**Del 1 Styrende del - Styringssystem for sikring av bygg og verdier** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Godkjent av universitetsdirektøren 11.06.2020 **1.** **Formålet** ^^^^^^^^^^^^^^^^^^^ Universitetet i Bergen (UiB) drifter og forvalter større mengder eiendom og verdier som gjenstander, objekter og samlinger. En stor andel av byggene og verdiene er avgjørende for UiBs forskning, utdanning og formidling. For å ivareta UIB sitt samfunnsoppdrag, lover og forskrifter, er det nødvendig at byggene og verdiene som forvaltes er tilfredsstillende sikret mot uønskede hendelser. Det er derfor etablert et styringssystem for å ivareta og beskytte disse. Styringssystemet skal bidra til at UiBs bygg og verdier sikres på en systematisk, planmessig og tilfredsstillende måte. Videre skal styringssystemet støtte opp under virksomhetens mål, verdier og hovedoppgaver, samt bidra til helhet og tydeliggjøring av overlappende fagområder som Helse, Miljø og Sikkerhet (HMS). Sikring, sammen med Informasjonssikkerhet og HMS utgjør hovedområdene i UiB sitt samlede sikkerhetsarbeid. **2. Styringssystemets oppbygging** ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ | I. Styrende del | II. Gjennomførende og kontrollerende del | I. Består av ett dokument: styringssystem for sikring av bygg og verdier – del 1 - styrende del. I styringsdokumentet beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategier og fordeling av ansvar og arbeidsoppgaver. II. Består av ett dokument: styringssystem for sikring av bygg og verdier – del 2- gjennomførende og kontrollerende del. Dette dokumentet utdyper roller, ansvar og aktiviteter som skal gjennomføres for å ivareta føringer i del 1. Det samlede styringssystemet gjelder for alle enheter ved UiB. **3. Styringssystemets grunnlag** ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Styringssystemets oppbygging og rammeverk er basert på UiB sitt styringssystem for informasjonssikkerhet og personvern (SIP) (20.02.20), som igjen bygger på den internasjonale standarden ISO/IEC 27001: 2013. Innholdet baserer seg på deler av SIP, de norske standardene 5830:2012, 5831:2014 ,5832:2014, 5834:2016, Nasjonal Sikkerhetsmyndighets (NSM) «veileder i sikkerhetsstyring» (versjon 1), NSMs håndbok «risikovurdering for sikring» (2016), Direktoratet for samfunnssikkerhet og beredskap (DSB) sin «Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen» (2014), UiB retningslinjene: «retningslinjer for risikovurdering knyttet til helse, miljø og sikkerhet (18.12.15 og «retningslinje for systematisk helse-, miljø- og sikkerhetsarbeid (23.10.2009) Det er i styringssystemet innarbeidet beskrivelser, forventninger og krav tilpasset UiB sitt behov og organisering. **4. Beslutningsmyndighet** ^^^^^^^^^^^^^^^^^^^^^^^^^^^ Det samlede styringssystem godkjennes av universitetsdirektør Forvaltningen av systemet følges opp av sikkerhetsrådgiver. **5. Virkeområde** ^^^^^^^^^^^^^^^^^^ Styringssystemet for sikring av bygg og verdier ved UiB gjelder: - UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten. - Brukere som har tilgang til UiB sine arealer og systemer **6. Aktuelle lover og forskrifter** ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Lover og forskrifter skal til enhver tid være gjeldende for beskyttelse av UiBs bygg og verdier. Følgende er relevant i den sammenheng: - Forskrift om offentlege arkiv - Forskrift om fredning av statens kulturhistoriske eiendommer. - Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) - Lov om universiteter og høyskoler (universitets- og høyskoleloven) - Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR - Forskrift om sikkerhet, helse og arbeidsmiljø på bygge- eller anleggsplasser (byggherreforskriften) **7. Definisjoner** ^^^^^^^^^^^^^^^^^^^ I styringssystemet benyttes følgende definisjoner: +-----------------------------------+-----------------------------------+ | **Begrep** | **Definisjoner** | +-----------------------------------+-----------------------------------+ | Sikkerhet | Reell eller oppfattet tilstand | | | som innebærer fravær av uønskede | | | hendelser, frykt eller fare | +-----------------------------------+-----------------------------------+ | Uønsket hendelse | Tilsiktet handling eller | | | utilsiktet hendelse som kan | | | påføre bygget eller verdi en | | | negativ konsekvens | +-----------------------------------+-----------------------------------+ | Sikring | Bruk av et sett av | | | sikkerhetstiltak for å beskytte | | | bygg og verdier mot uønskede | | | hendelser | +-----------------------------------+-----------------------------------+ | Sikkerhetstiltak | Organisatoriske, elektroniske, | | | logiske, fysiske og menneskelige | | | tiltak | +-----------------------------------+-----------------------------------+ | Sikkerhetsanalyse | Helhetsvurdering av verdier, | | | konsekvenser, sikkerhetsmål, | | | uønskede hendelser, | | | trusselaktører, sannsynlighet, | | | sårbarheter og usikkerheter, som | | | angir da risiko i en definert | | | kontekst. Inkluderer vurdering av | | | strategi og tiltak for å redusere | | | risiko. | | | | | | Skiller mellom forenklet og | | | detaljert analyse | +-----------------------------------+-----------------------------------+ | Sikkerhetsmål | Ønsket eller akseptabel tilstand | | | for en enhets verdier under eller | | | etter en uønsket hendelse | +-----------------------------------+-----------------------------------+ | Enhet | Fakultet, Institutt, | | | Universitetsmuseet, | | | Universitetsbiblioteket, | | | avdelinger i | | | sentraladministrasjonen, | | | sentre ved UiB | +-----------------------------------+-----------------------------------+ | Linjeleder | Ansatt dekan, fakultetsdirektør, | | | avdelingsdirektør, | | | instituttleder, senterleder | | | eller tilsvarende som har det | | | overordnede ansvaret ved enheten | +-----------------------------------+-----------------------------------+ | Bruker | Brukere av UiBs areal: Ansatte, | | | studenter, entreprenører, | | | leverandører og besøkende | +-----------------------------------+-----------------------------------+ | Skallsikring | Sikring av byggets ytterste | | | elementer | | | | | | (Inkludert tekniske rom innside | | | og utside, og i enkelte tilfeller | | | rom rett på innsiden av bygget | | | der inngangsparti er felles for | | | flere brukere) | +-----------------------------------+-----------------------------------+ | Verdisikring | Sikring av byggets verdier fra | | | der skallsikring slutter | +-----------------------------------+-----------------------------------+ | Verdi | Fysiske objekter, gjenstander og | | | samlinger, som hvis utsatt for en | | | uønsket hendelse, vil medføre en | | | negativ konsekvens for den som | | | eier, forvalter eller drar fordel | | | av dem | +-----------------------------------+-----------------------------------+ | Verdivurdering | Kartlegging og vurdering av | | | enhetens verdier | +-----------------------------------+-----------------------------------+ | Trusselaktør | Reell eller potensiell aktør som | | | kan ha en intensjon og vilje til | | | å påføre en verdi en negativ | | | konsekvens | +-----------------------------------+-----------------------------------+ | Sårbarhet | Manglende evne til å motstå en | | | uønsket hendelse eller å opprette | | | ny stabil tilstand dersom en | | | verdi er utsatt for dette | +-----------------------------------+-----------------------------------+ | Styringssystem | Overordnet, definert rammeverk | | | for hvordan virksomheten | | | arbeider, styrer og kontroller | | | aktivitetene sine for å være i | | | samsvar med mål, visjoner og | | | lovverket. | +-----------------------------------+-----------------------------------+ | Sikkerhetsorganisasjonen ved | sikkerhetsrådgiver, brann- og | | eiendomsavdelingen (EIA) | sikkerhetsingeniør | +-----------------------------------+-----------------------------------+ **8. Sikkerhetspolicy** ^^^^^^^^^^^^^^^^^^^^^^^ **8.1 Identifisering av kritiske verdier på UiB** ''''''''''''''''''''''''''''''''''''''''''''''''' Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske (materielle) verdier og miljø anses som kritiske verdier ved UIB. **8.2** **Overordnede sikkerhetsmål** ''''''''''''''''''''''''''''''''''''' Følgende sikkerhetsmål skal gjelde for arbeidet med sikring av bygg og verdier: - UiB skal ha en risikobasert sikkerhetsstyring - Bygg og verdier skal ha definerte sikkerhetsmål - UiB skal ha oversikt over sine verdier og implementere tiltak for å beskytte disse og byggene de befinner seg i - Bak ethvert sikkerhetstiltak skal det foreligge gode, faglige vurderinger og ansatte og studenter skal involveres der hvor relevant - UiB skal til enhver tid balansere kravet om tilgjengelighet oppimot beskyttelse av verdiene i henhold til gjeldende lovverk, forskrifter og retningslinjer. - Det skal tilstrebes en balansert sikring. Sikring av liv og helse skal prioriteres før verdier. - Systemer og tiltak som beskytter UiBs verdier skal ha redundans ved bortfall og nedetid. - Alle ansatte, studenter, leverandører og entreprenører skal være kjent med UiB sine krav til sikring av bygg og verdier og etterleve disse kravene **8.3 Sikkerhetsstrategi** '''''''''''''''''''''''''' - UiB skal arbeide for å redusere og fjerne identifiserte risikoområder - Enhver enhet ved UiB skal gjennomføre og dokumentere en vurdering av sine verdier. Vurderingen skal inkludere behov for tiltak og tiltaksplan. - Enhver enhet som har høyere klassifiserte verdier skal gjennomføre og dokumentere en forenklet sikkerhetsanalyse med tilhørende tiltaksplan. - Verdivurderinger og sikkerhetsanalyser skal minimum gjennomgås og oppdateres årlig, og revideres i sin helhet annethvert år. - Universitetsdirektør skal i samråd med eiendomsdirektør og sikkerhetsrådgiver utpeke et antall enheter hvert år som skal gjennomføre detaljerte sikkerhetsanalyser. Disse skal oppdateres og revideres likt som ved de forenklede analysene. - Funn ifra verdivurderinger og sikkerhetsanalyser skal sees i sammenheng med og innarbeides i lokalt og sentralt beredskapsplanverk der hvor relevant - Enhver enhet ved UiB skal minimum annethvert år øve på uønskede hendelser som ramme verdiene deres - Arbeidet med sikring av bygg og verdier skal bygge på UiBs øvrige styringssystemer og inngå i det totale internkontrollarbeid. Det skal jobbes mot en kontinuerlig forbedring. Det skal derfor: - Årlig rapporteres fra UiB enheter med hensyn på etterlevelse av styringssystemet. Universitetsdirektør, eller den han/hun utpeker kan gjennomføre stikkprøvekontroller for å sikre etterlevelse av styringssystemet. - Årlige tildelingsbrev fra universitetsdirektør skal være førende for enheters fokusområder for inneværende år - Arbeidet med sikring av verdier skal følge anbefalte og anerkjente standarder og beste praksis for resten av universitetet. De enkelte sikkerhetstiltak skal kunne integreres i UiBs besluttede og etablerte systemer. - Styringssystemet skal bidra til videreutvikling av universitetets sikkerhetskultur; hvor alle brukere bevisstgjøres universitetets mål, verdier og verktøy for å identifisere og beskytte disse. - Det skal gjennomføres sikkerhetsrevisjoner, på en etisk og forsvarlig måte, som evaluerer at UiBs og myndigheters krav til sikring av verdier er ivaretatt og fungerer etter sin hensikt. - Det skal tilstrebes en helhetlig sikring hvor verdier skal sees i sammenheng med bygget dem oppbevarer seg i, og både teknologiske og organisatoriske vurderinger inkluderes. - Teknologiske systemer som drifter sikkerhetstiltak skal ivareta krav til informasjonssikkerhet og personvern. - Det skal utarbeides retningslinjer som regulerer roller og ansvar innenfor det daglige sikkerhetsarbeidet på UiB, samt underliggende rutiner og prosedyrer som sikrer oppfølging av retningslinjene og styringssystemet på enhetene. **9. Kompetanse** ^^^^^^^^^^^^^^^^^ UiB skal sørge for nødvendig bevisstgjøring og kompetanseheving for linjeledere og ansatte som har verdier og forsvarlig sikring av dem. Linjeleder skal sørge for ressurser til planlegging, gjennomføring og oppfølging innenfor sitt ansvarsområde. Videre skal alle som bruker UiB sine bygg og systemer ha nødvendig kunnskap om disse og få opplæring i til enhver tid gjeldende føringer og retningslinjer. Kompetanse og opplæring skal inngå i årsplan for prioriteringer av tiltak for UiBs enheter hver år. **10. Sikkerhetsstyring** ^^^^^^^^^^^^^^^^^^^^^^^^^ Det skal være en risikobasert sikkerhetsstyring på UiB. Dette innebærer en kontinuerlig prosess for forbedring hvor arbeidet med sikring av bygg og verdier skal baseres på funn ifra verdivurderinger, sikkerhetsanalyser, status om sikkerhetsarbeid ved enheter ved UiB, og risikobildet i samfunnet for øvrig. Målet er å forebygge fremfor å handle reaktivt. Det skilles mellom verdivurderinger, forenklet sikkerhetsanalyse og detaljert sikkerhetsanalyse. Disse har ulikt detaljeringsnivå og krav til vurderinger. Alle enheter skal vise til en verdivurdering. Der hvor en identifiserer eller får kunnskap om at enheten har høye eller svært høye klassifiserte verdier, skal verdiene analyseres videre i en forenklet sikkerhetsanalyse. Linjeleder er ansvarlig for å se til at overnevnte vurderinger og eventuelle analyser gjennomføres i tråd med gjennomførende del av styringssystemet. Detaljert sikkerhetsanalyse stiller ytterligere krav til vurderinger. Det skal årlig utpekes et visst antall enheter som skal gjennomgå en slik en med godkjenning fra universitetsdirektør. Utvelgelsen av disse skal blant annet baseres på risikobildet ved UiB, tildelingsbrev, og øvrig samfunnsutvikling. Utvalgt enhet og sikkerhetsorganisasjonen ved EIA skal felles samarbeide om gjennomføring av en slik en. Overnevnte vurderinger og analyser skal gi bidra som beslutningsgrunnlag for linjeledere og universitetsdirektør i arbeidet mot å ha en tilstrekkelig og forsvarlig sikring av UiB sine bygg og verdier. Risikoer som klassifiseres som høy eller svært høy skal ikke aksepteres før det gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er høye eller svært høye etter godkjente tiltak. Status om UiB sitt sikkerhetsarbeid skal sammenstilles og rapporteres årlig til universitetsdirektør og er med på forme hvert års målsettinger. **11. Sikkerhetsorganisasjon, ansvar, roller og myndighet** ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ **11.1 Universitetsdirektør** ''''''''''''''''''''''''''''' Universitetsdirektøren har overordnet ansvar for all sikkerhet på UiB. For UiB sine bygg og verdier innebærer dette å ha et system som ivaretar en systematisk kartlegging og forsvarlig sikring mot uønskede hendelser. **11.2 Eiendomsdirektør** ''''''''''''''''''''''''' Eiendomsdirektøren har ansvar for at: - Styringssystemet gjennomgår årlig revisjon og godkjennes av universitetsdirektøren - Det foreligger underliggende retningslinjer til styringssystemet som gjenspeiler UiB sine aktiviteter og gjeldende risikobilde - Det foreligger nødvendige rutiner og prosedyrer som sikrer oppfølging av retningslinjene og føringer som gis i styringssystemet - Det foreligger årsrapport og årsplan for sikring av bygg og verdier, samt at disse formidles til universitetsdirektør og andre relevante beslutningstakere **11.3 Sikkerhetsrådgiver** ^^^^^^^^^^^^^^^^^^^^^^^^^^^ Sikkerhetsrådgiver skal: - Vedlikeholde styringssystem for sikring av bygg og verdier - Være rådgiver for UiB sine enheter i sikkerhetsspørsmål og problemstillinger. Fra anskaffelser og innføring av nye produkter og tjenester, til utarbeidelse av planverk, tester og øvelser. - Veilede og bidra med fagvurderinger ved utarbeidelse av verdivurderinger og sikkerhetsanalyser - Føre oversikt over enheters sikkerhetsarbeid i henhold til overordnede mål og strategier - Ved behov gjennomføre utvalgte sikkerhetsrevisjoner innenfor fagområdet - Holde seg orientert om gjeldende aktiviteter på UiB og risikobilde, og bidra til at sistnevnte gjenspeiles i styrende dokumenter til UiB **11.4 Brann- og sikkerhetsingeniør:** '''''''''''''''''''''''''''''''''''''' - Leder av vektertjenesten og kortsenter - Følge opp leverandør av sikkerhetsutstyr - Være rådgiver for UiB sine enheter i spørsmål om adgangskontroll, skall – og verdisikring, og brannsikkerhet. Fra anskaffelser og innføring av nye produkter og tjenester, til utarbeidelse av planverk, tester og øvelser. - Bidra med fagvurderinger i verdivurderinger og sikkerhetsanalyser - Bidra med å føre oversikt over enheters sikkerhetsarbeid - Holde seg orientert om gjeldende aktiviteter på UiB og risikobilde, og bidra til at sistnevnte gjenspeiles i styrende dokumenter til UiB **11.5 Linjeledere** '''''''''''''''''''' Linjeleder er ansvarlig for: - Å sikre verdier på enheten sin - Å definere sikkerhetsmål for egne verdier - At det gjennomføres nødvendige vurderinger, analyser og tiltak i tråd med styringssystemet og dets retningslinjer for dette. - Å se til at det avsettes ressurser og midler til risikoreduserende tiltak på egen enhet. Der hvor midler eller tiltak er av større og/eller prinsipiell karakter skal dette formidles til hensiktsmessige beslutningsfora iht. til «Regelsamlingens Del 1. punkt 1.3. Regler for styringsorgan» - Årlig rapportere om status på sikring av verdier til universitetsdirektør i henhold til kapittel «2, Retningslinje for årsrapport» i styrende del. Økonomi i sin helhet rapporteres i tråd med etablerte retningslinjer og rutiner for dette. - Der hvor relevant; utarbeide rutiner og prosedyrer som støtter opp under styringssystemet og tilhørende retningslinjer - Det vises for øvrig til kapittel «4.5 sytemeieransvar» i «Styringssystem for informasjonssikkerhet (SIP) – Del 1 – Styrende del» hvor systemeiers ansvar vedrørende blant annet anskaffelse av nye systemer fremgår. Informasjonssikkerhet skal sees i sammenheng med sikring av verdier **11.6 Bruker** ''''''''''''''' Bruker har ansvar for å ivareta UiBs verdier, forvalte installerte sikkerhetstiltak i henhold til spesifisert bruk, og melde feil, skader, behov og sikkerhetsavvik så snart de gjøres kjent med dette i henhold til definerte retningslinje. Se kapittel «11.Retningslinjer for håndtering av feil, skader og sikkerhetsavvik i gjennomførende del til styringssystemet. **12. Beredskap** ^^^^^^^^^^^^^^^^^ Universitetsdirektøren har overordnet ansvar for den sentrale beredskapen ved UiB. Beredskap for sikring av bygg og verdier inngår i den sentrale beredskapen. Eiendomsdirektør har operativt ansvar og fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader på eiendomsmassen til universitetet. Linjeleder har ansvar for at relevante funn ifra verdivurderinger og sikkerhetsanalyser innarbeides i det lokale beredskapsplanverket. Det vil si beskrivelser av hvordan en ved eventuelle, uønskede hendelser skal håndtere dette og av hvem. Videre har linjeledere ansvar for at beredskapsplanverk tar høyde for driftsavbrudd på systemene der de er systemeier, og ser til implementering av mottiltak for å redusere eller unngå dette. ====================== ============================= =================== Dato Kommentar Lagt inn av ====================== ============================= =================== 16. desember 2020 Rettskriving og presiseringer Mona Viksøy 01. juli 2020 10:39:12 Nytt dokument Steffen Hauge Wolff ====================== ============================= ===================