Del 1 Styrende del - Styringssystem for sikring av bygg og verdier

Godkjent av universitetsdirektøren 11.06.2020

1. Formålet

Universitetet i Bergen (UiB) drifter og forvalter større mengder eiendom og verdier som gjenstander, objekter og samlinger. En stor andel av byggene og verdiene er avgjørende for UiBs forskning, utdanning og formidling. For å ivareta UIB sitt samfunnsoppdrag, lover og forskrifter, er det nødvendig at byggene og verdiene som forvaltes er tilfredsstillende sikret mot uønskede hendelser. Det er derfor etablert et styringssystem for å ivareta og beskytte disse.

Styringssystemet skal bidra til at UiBs bygg og verdier sikres på en systematisk, planmessig og tilfredsstillende måte. Videre skal styringssystemet støtte opp under virksomhetens mål, verdier og hovedoppgaver, samt bidra til helhet og tydeliggjøring av overlappende fagområder som Helse, Miljø og Sikkerhet (HMS).

Sikring, sammen med Informasjonssikkerhet og HMS utgjør hovedområdene i UiB sitt samlede sikkerhetsarbeid.

2. Styringssystemets oppbygging

I. Styrende del
II. Gjennomførende og kontrollerende del
I. Består av ett dokument: styringssystem for sikring av bygg og verdier – del 1 - styrende del. I styringsdokumentet beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategier og fordeling av ansvar og arbeidsoppgaver.

II. Består av ett dokument: styringssystem for sikring av bygg og verdier – del 2- gjennomførende og kontrollerende del. Dette dokumentet utdyper roller, ansvar og aktiviteter som skal gjennomføres for å ivareta føringer i del 1.

Det samlede styringssystemet gjelder for alle enheter ved UiB.

3. Styringssystemets grunnlag

Styringssystemets oppbygging og rammeverk er basert på UiB sitt styringssystem for informasjonssikkerhet og personvern (SIP) (20.02.20), som igjen bygger på den internasjonale standarden ISO/IEC 27001: 2013.

Innholdet baserer seg på deler av SIP, de norske standardene 5830:2012, 5831:2014 ,5832:2014, 5834:2016, Nasjonal Sikkerhetsmyndighets (NSM) «veileder i sikkerhetsstyring» (versjon 1), NSMs håndbok «risikovurdering for sikring» (2016), Direktoratet for samfunnssikkerhet og beredskap (DSB) sin «Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen» (2014), UiB retningslinjene: «retningslinjer for risikovurdering knyttet til helse, miljø og sikkerhet (18.12.15 og «retningslinje for systematisk helse-, miljø- og sikkerhetsarbeid (23.10.2009)

Det er i styringssystemet innarbeidet beskrivelser, forventninger og krav tilpasset UiB sitt behov og organisering.

4. Beslutningsmyndighet

Det samlede styringssystem godkjennes av universitetsdirektør

Forvaltningen av systemet følges opp av sikkerhetsrådgiver.

5. Virkeområde

Styringssystemet for sikring av bygg og verdier ved UiB gjelder:

  • UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten.

  • Brukere som har tilgang til UiB sine arealer og systemer

6. Aktuelle lover og forskrifter

Lover og forskrifter skal til enhver tid være gjeldende for beskyttelse av UiBs bygg og verdier. Følgende er relevant i den sammenheng:

  • Forskrift om offentlege arkiv

  • Forskrift om fredning av statens kulturhistoriske eiendommer.

  • Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)

  • Lov om universiteter og høyskoler (universitets- og høyskoleloven)

  • Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR

  • Forskrift om sikkerhet, helse og arbeidsmiljø på bygge- eller anleggsplasser (byggherreforskriften)

7. Definisjoner

I styringssystemet benyttes følgende definisjoner:

Begrep

Definisjoner

Sikkerhet

Reell eller oppfattet tilstand som innebærer fravær av uønskede hendelser, frykt eller fare

Uønsket hendelse

Tilsiktet handling eller utilsiktet hendelse som kan påføre bygget eller verdi en negativ konsekvens

Sikring

Bruk av et sett av sikkerhetstiltak for å beskytte bygg og verdier mot uønskede hendelser

Sikkerhetstiltak

Organisatoriske, elektroniske, logiske, fysiske og menneskelige tiltak

Sikkerhetsanalyse

Helhetsvurdering av verdier, konsekvenser, sikkerhetsmål, uønskede hendelser, trusselaktører, sannsynlighet, sårbarheter og usikkerheter, som angir da risiko i en definert kontekst. Inkluderer vurdering av strategi og tiltak for å redusere risiko.

Skiller mellom forenklet og detaljert analyse

Sikkerhetsmål

Ønsket eller akseptabel tilstand for en enhets verdier under eller etter en uønsket hendelse

Enhet

Fakultet, Institutt, Universitetsmuseet, Universitetsbiblioteket, avdelinger i sentraladministrasjonen, sentre ved UiB

Linjeleder

Ansatt dekan, fakultetsdirektør, avdelingsdirektør, instituttleder, senterleder eller tilsvarende som har det overordnede ansvaret ved enheten

Bruker

Brukere av UiBs areal: Ansatte, studenter, entreprenører, leverandører og besøkende

Skallsikring

Sikring av byggets ytterste elementer

(Inkludert tekniske rom innside og utside, og i enkelte tilfeller rom rett på innsiden av bygget der inngangsparti er felles for flere brukere)

Verdisikring

Sikring av byggets verdier fra der skallsikring slutter

Verdi

Fysiske objekter, gjenstander og samlinger, som hvis utsatt for en uønsket hendelse, vil medføre en negativ konsekvens for den som eier, forvalter eller drar fordel av dem

Verdivurdering

Kartlegging og vurdering av enhetens verdier

Trusselaktør

Reell eller potensiell aktør som kan ha en intensjon og vilje til å påføre en verdi en negativ konsekvens

Sårbarhet

Manglende evne til å motstå en uønsket hendelse eller å opprette ny stabil tilstand dersom en verdi er utsatt for dette

Styringssystem

Overordnet, definert rammeverk for hvordan virksomheten arbeider, styrer og kontroller aktivitetene sine for å være i samsvar med mål, visjoner og lovverket.

Sikkerhetsorganisasjonen ved eiendomsavdelingen (EIA)

sikkerhetsrådgiver, brann- og sikkerhetsingeniør

8. Sikkerhetspolicy

8.1 Identifisering av kritiske verdier på UiB

Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske (materielle) verdier og miljø anses som kritiske verdier ved UIB.

8.2 Overordnede sikkerhetsmål

Følgende sikkerhetsmål skal gjelde for arbeidet med sikring av bygg og verdier:

  • UiB skal ha en risikobasert sikkerhetsstyring

  • Bygg og verdier skal ha definerte sikkerhetsmål

  • UiB skal ha oversikt over sine verdier og implementere tiltak for å beskytte disse og byggene de befinner seg i

  • Bak ethvert sikkerhetstiltak skal det foreligge gode, faglige vurderinger og ansatte og studenter skal involveres der hvor relevant

  • UiB skal til enhver tid balansere kravet om tilgjengelighet oppimot beskyttelse av verdiene i henhold til gjeldende lovverk, forskrifter og retningslinjer.

  • Det skal tilstrebes en balansert sikring. Sikring av liv og helse skal prioriteres før verdier.

  • Systemer og tiltak som beskytter UiBs verdier skal ha redundans ved bortfall og nedetid.

  • Alle ansatte, studenter, leverandører og entreprenører skal være kjent med UiB sine krav til sikring av bygg og verdier og etterleve disse kravene

8.3 Sikkerhetsstrategi

  • UiB skal arbeide for å redusere og fjerne identifiserte risikoområder

  • Enhver enhet ved UiB skal gjennomføre og dokumentere en vurdering av sine verdier. Vurderingen skal inkludere behov for tiltak og tiltaksplan.

  • Enhver enhet som har høyere klassifiserte verdier skal gjennomføre og dokumentere en forenklet sikkerhetsanalyse med tilhørende tiltaksplan.

  • Verdivurderinger og sikkerhetsanalyser skal minimum gjennomgås og oppdateres årlig, og revideres i sin helhet annethvert år.

  • Universitetsdirektør skal i samråd med eiendomsdirektør og sikkerhetsrådgiver utpeke et antall enheter hvert år som skal gjennomføre detaljerte sikkerhetsanalyser. Disse skal oppdateres og revideres likt som ved de forenklede analysene.

  • Funn ifra verdivurderinger og sikkerhetsanalyser skal sees i sammenheng med og innarbeides i lokalt og sentralt beredskapsplanverk der hvor relevant

  • Enhver enhet ved UiB skal minimum annethvert år øve på uønskede hendelser som ramme verdiene deres

  • Arbeidet med sikring av bygg og verdier skal bygge på UiBs øvrige styringssystemer og inngå i det totale internkontrollarbeid. Det skal jobbes mot en kontinuerlig forbedring. Det skal derfor:

  • Årlig rapporteres fra UiB enheter med hensyn på etterlevelse av styringssystemet. Universitetsdirektør, eller den han/hun utpeker kan gjennomføre stikkprøvekontroller for å sikre etterlevelse av styringssystemet.

  • Årlige tildelingsbrev fra universitetsdirektør skal være førende for enheters fokusområder for inneværende år

  • Arbeidet med sikring av verdier skal følge anbefalte og anerkjente standarder og beste praksis for resten av universitetet. De enkelte sikkerhetstiltak skal kunne integreres i UiBs besluttede og etablerte systemer.

  • Styringssystemet skal bidra til videreutvikling av universitetets sikkerhetskultur; hvor alle brukere bevisstgjøres universitetets mål, verdier og verktøy for å identifisere og beskytte disse.

  • Det skal gjennomføres sikkerhetsrevisjoner, på en etisk og forsvarlig måte, som evaluerer at UiBs og myndigheters krav til sikring av verdier er ivaretatt og fungerer etter sin hensikt.

  • Det skal tilstrebes en helhetlig sikring hvor verdier skal sees i sammenheng med bygget dem oppbevarer seg i, og både teknologiske og organisatoriske vurderinger inkluderes.

  • Teknologiske systemer som drifter sikkerhetstiltak skal ivareta krav til informasjonssikkerhet og personvern.

  • Det skal utarbeides retningslinjer som regulerer roller og ansvar innenfor det daglige sikkerhetsarbeidet på UiB, samt underliggende rutiner og prosedyrer som sikrer oppfølging av retningslinjene og styringssystemet på enhetene.

9. Kompetanse

UiB skal sørge for nødvendig bevisstgjøring og kompetanseheving for linjeledere og ansatte som har verdier og forsvarlig sikring av dem. Linjeleder skal sørge for ressurser til planlegging, gjennomføring og oppfølging innenfor sitt ansvarsområde.

Videre skal alle som bruker UiB sine bygg og systemer ha nødvendig kunnskap om disse og få opplæring i til enhver tid gjeldende føringer og retningslinjer. Kompetanse og opplæring skal inngå i årsplan for prioriteringer av tiltak for UiBs enheter hver år.

10. Sikkerhetsstyring

Det skal være en risikobasert sikkerhetsstyring på UiB. Dette innebærer en kontinuerlig prosess for forbedring hvor arbeidet med sikring av bygg og verdier skal baseres på funn ifra verdivurderinger, sikkerhetsanalyser, status om sikkerhetsarbeid ved enheter ved UiB, og risikobildet i samfunnet for øvrig. Målet er å forebygge fremfor å handle reaktivt.

Det skilles mellom verdivurderinger, forenklet sikkerhetsanalyse og detaljert sikkerhetsanalyse. Disse har ulikt detaljeringsnivå og krav til vurderinger.

Alle enheter skal vise til en verdivurdering. Der hvor en identifiserer eller får kunnskap om at enheten har høye eller svært høye klassifiserte verdier, skal verdiene analyseres videre i en forenklet sikkerhetsanalyse. Linjeleder er ansvarlig for å se til at overnevnte vurderinger og eventuelle analyser gjennomføres i tråd med gjennomførende del av styringssystemet.

Detaljert sikkerhetsanalyse stiller ytterligere krav til vurderinger. Det skal årlig utpekes et visst antall enheter som skal gjennomgå en slik en med godkjenning fra universitetsdirektør. Utvelgelsen av disse skal blant annet baseres på risikobildet ved UiB, tildelingsbrev, og øvrig samfunnsutvikling.

Utvalgt enhet og sikkerhetsorganisasjonen ved EIA skal felles samarbeide om gjennomføring av en slik en.

Overnevnte vurderinger og analyser skal gi bidra som beslutningsgrunnlag for linjeledere og universitetsdirektør i arbeidet mot å ha en tilstrekkelig og forsvarlig sikring av UiB sine bygg og verdier. Risikoer som klassifiseres som høy eller svært høy skal ikke aksepteres før det gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er høye eller svært høye etter godkjente tiltak.

Status om UiB sitt sikkerhetsarbeid skal sammenstilles og rapporteres årlig til universitetsdirektør og er med på forme hvert års målsettinger.

11. Sikkerhetsorganisasjon, ansvar, roller og myndighet

11.1 Universitetsdirektør

Universitetsdirektøren har overordnet ansvar for all sikkerhet på UiB.

For UiB sine bygg og verdier innebærer dette å ha et system som ivaretar en systematisk kartlegging og forsvarlig sikring mot uønskede hendelser.

11.2 Eiendomsdirektør

Eiendomsdirektøren har ansvar for at:

  • Styringssystemet gjennomgår årlig revisjon og godkjennes av universitetsdirektøren

  • Det foreligger underliggende retningslinjer til styringssystemet som gjenspeiler UiB sine aktiviteter og gjeldende risikobilde

  • Det foreligger nødvendige rutiner og prosedyrer som sikrer oppfølging av retningslinjene og føringer som gis i styringssystemet

  • Det foreligger årsrapport og årsplan for sikring av bygg og verdier, samt at disse formidles til universitetsdirektør og andre relevante beslutningstakere

11.3 Sikkerhetsrådgiver

Sikkerhetsrådgiver skal:

  • Vedlikeholde styringssystem for sikring av bygg og verdier

  • Være rådgiver for UiB sine enheter i sikkerhetsspørsmål og problemstillinger. Fra anskaffelser og innføring av nye produkter og tjenester, til utarbeidelse av planverk, tester og øvelser.

  • Veilede og bidra med fagvurderinger ved utarbeidelse av verdivurderinger og sikkerhetsanalyser

  • Føre oversikt over enheters sikkerhetsarbeid i henhold til overordnede mål og strategier

  • Ved behov gjennomføre utvalgte sikkerhetsrevisjoner innenfor fagområdet

  • Holde seg orientert om gjeldende aktiviteter på UiB og risikobilde, og bidra til at sistnevnte gjenspeiles i styrende dokumenter til UiB

11.4 Brann- og sikkerhetsingeniør:

  • Leder av vektertjenesten og kortsenter

  • Følge opp leverandør av sikkerhetsutstyr

  • Være rådgiver for UiB sine enheter i spørsmål om adgangskontroll, skall – og verdisikring, og brannsikkerhet. Fra anskaffelser og innføring av nye produkter og tjenester, til utarbeidelse av planverk, tester og øvelser.

  • Bidra med fagvurderinger i verdivurderinger og sikkerhetsanalyser

  • Bidra med å føre oversikt over enheters sikkerhetsarbeid

  • Holde seg orientert om gjeldende aktiviteter på UiB og risikobilde, og bidra til at sistnevnte gjenspeiles i styrende dokumenter til UiB

11.5 Linjeledere

Linjeleder er ansvarlig for:

  • Å sikre verdier på enheten sin

  • Å definere sikkerhetsmål for egne verdier

  • At det gjennomføres nødvendige vurderinger, analyser og tiltak i tråd med styringssystemet og dets retningslinjer for dette.

  • Å se til at det avsettes ressurser og midler til risikoreduserende tiltak på egen enhet. Der hvor midler eller tiltak er av større og/eller prinsipiell karakter skal dette formidles til hensiktsmessige beslutningsfora iht. til «Regelsamlingens Del 1. punkt 1.3. Regler for styringsorgan»

  • Årlig rapportere om status på sikring av verdier til universitetsdirektør i henhold til kapittel «2, Retningslinje for årsrapport» i styrende del. Økonomi i sin helhet rapporteres i tråd med etablerte retningslinjer og rutiner for dette.

  • Der hvor relevant; utarbeide rutiner og prosedyrer som støtter opp under styringssystemet og tilhørende retningslinjer

  • Det vises for øvrig til kapittel «4.5 sytemeieransvar» i «Styringssystem for informasjonssikkerhet (SIP) – Del 1 – Styrende del» hvor systemeiers ansvar vedrørende blant annet anskaffelse av nye systemer fremgår. Informasjonssikkerhet skal sees i sammenheng med sikring av verdier

11.6 Bruker

Bruker har ansvar for å ivareta UiBs verdier, forvalte installerte sikkerhetstiltak i henhold til spesifisert bruk, og melde feil, skader, behov og sikkerhetsavvik så snart de gjøres kjent med dette i henhold til definerte retningslinje. Se kapittel «11.Retningslinjer for håndtering av feil, skader og sikkerhetsavvik i gjennomførende del til styringssystemet.

12. Beredskap

Universitetsdirektøren har overordnet ansvar for den sentrale beredskapen ved UiB. Beredskap for sikring av bygg og verdier inngår i den sentrale beredskapen.

Eiendomsdirektør har operativt ansvar og fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader på eiendomsmassen til universitetet.

Linjeleder har ansvar for at relevante funn ifra verdivurderinger og sikkerhetsanalyser innarbeides i det lokale beredskapsplanverket. Det vil si beskrivelser av hvordan en ved eventuelle, uønskede hendelser skal håndtere dette og av hvem. Videre har linjeledere ansvar for at beredskapsplanverk tar høyde for driftsavbrudd på systemene der de er systemeier, og ser til implementering av mottiltak for å redusere eller unngå dette.

Dato

Kommentar

Lagt inn av

  1. desember 2020

Rettskriving og presiseringer

Mona Viksøy

  1. juli 2020 10:39:12

Nytt dokument

Steffen Hauge Wolff