Del 2 - gjennomførende og kontrollerende del - Styringssystem for sikring av bygg og verdier
Godkjent av universitetsdirektøren 11.06.2020
1. Styringssystemets oppbygging
Dette dokumentet utgjør sammen med «styringssystem for sikring av bygg og verdier – del 1- styrende del» det samlede styringssystemet og gjelder for alle enheter på UiB.
2. Retningslinjer for årsrapport
Sikkerhetsrådgiver skal årlig utarbeide en årsrapport for arbeidet med sikring av bygg og verdier på enhetene til UiB innen gjeldende år. Planen skal godkjennes av Eiendomsdirektør før årsskifte.
Årsrapporten skal minimum inneholde status om:
Tiltak fra foregående ledelsens gjennomgang
Risikobildet på UiB
Pågående aktiviteter på UIB
Sikkerhetsmål og strategi
Sikkerhetsorganiseringen
Sikkerhetsavvik
Sikkerhetsrevisjoner
Verdivurderinger, sikkerhetsanalyser, og oppfølging av disse
Ressurs- og kompetansebehov
Tilbakemeldinger fra enheter på UiB i henhold til overnevnte.
Årsrapporten skal videre bygge ledelsens gjennomgang. Eiendomsdirektør er ansvarlig for å tilrettelegge for ledelsens gjennomgang.
Ledelsens gjennomgang skal presentere hovedfunnene fra årsrapporten og gjennomføres med universitetsdirektør og i felles avdelingsdirektørmøte.
Se vedlegg 1. Mal. Årsrapport for sikring av bygg og verdier
3. Retningslinjer for årsplan
Eiendomsdirektør skal årlig utarbeide en årsplan for arbeidet med sikring av bygg og verdier i samråd med sikkerhetsrådgiver. Planen skal utarbeides før årsskifte og gjelde for neste kalenderår. Universitetsdirektør godkjenner årsplanen med tilhørende dokumentasjon av hvilke strategi som skal velges for å håndtere risikoområdene. Videre innarbeides planen i årlige lokale, tildelingsbrevs målsettinger og fokusområder. Tildelingsbrev fra Kunnskapsdepartementet vil også kunne sette føringer for de lokale tildelingsbrev.
Dersom årsplanen avdekker behov for ekstraordinære midler skal universitetsdirektør informeres tidligst mulig slik at vurderinger og eventuelle tilpasninger kan gjøres i forslag til årsbudsjett før endelig vedtak i universitetsstyret.
Årsplanen skal minimum beskrive følgende:
Oversikt over neste års målsettinger og fokusområder for arbeidet med sikring av bygg og verdier ved UiB, samt tiltak og aktiviteter for å understøtte disse.
Sikkerhetsanalyser: Oversikt over eventuelle bygg og enheters verdier som skal gjennomføre en detaljert analyse
Opplæringstiltak: Oversikt over tiltak for å tilføre ansatte og studenter kompetanse slik at de kan ivareta sitt sikkerhetsansvar
Informasjonstiltak: Oversikt over planlagte informasjonstiltak om relevante sikkerhetsutfordringer og annen relevant informasjon
Sikkerhetsrevisjoner: Planlagte sikkerhetsrevisjoner og hvilke sikkerhetsområder som skal revideres.
Se vedlegg 2. Mal. Årsplan. EIA direktør
4. Retningslinjer for linjeledere
Linjeleder skal:
Sikre verdier på enheten sin.
Ha ansvar for verdisikring og samarbeide med Eiendomsavdelingen (EIA) om skallsikring
Sørge for at det gjennomføres verdivurdering og implementere nødvendige sikkerhetstiltak innenfor egen enhet.
Sørge for at det gjennomføres sikkerhetsanalyse dersom enheten har høye eller svært høye klassifiserte verdier og implementere nødvendige sikkerhetstiltak
Utpeke planansvarlig for vedlikehold av verdivurderinger og sikkerhetsanalyser med nødvendig tiltaksplaner
Godkjenne sikkerhetsmål for verdier på enheten
Se til at verdivurderinger og eventuelle sikkerhetsanalyser gjennomgås, oppdateres og revideres i tråd med etablerte retningslinjer og syklus for dette. Overnevnte skal være dokumentert og sporbart.
Gå i dialog med naboenheter eller underliggende enheter der hvor relevant for å oppnå helhetlig sikring
Sørge for at sikkerhetstiltak er hensiktsmessige i henhold til behov og følger retningslinjer ved UiB og lovverk
Sørge for at sikkerhetstiltak innenfor eget ansvarsområde er robuste med hensyn på forvaltning, drift og vedlikehold. Tiltakene skal følge anerkjente og etablerte standarder og praksis ved UiB, samt ha nødvendig oppetid ved driftsavbrudd og sabotasje i tråd med verdiers klassifisering.
Sørge for at systemer ivaretar informasjonssikkerhet og personvern, og etterlever alle relevante lover, forskrifter og retningslinjer
Sørge for at etterlevelse av styringssystemet inkluderes i enhetens internkontrollarbeid, og bidra til at dette følges opp i alle ledd
Sørge for at enheten ivaretar leverandør- og brukerkontakt ved verdisikring i den daglige drift
Orientere sikkerhetsorganisasjonen ved EIA i saker hvor det planlegges nye sikkerhetstiltak og systemer
Sørge for at sikkerhetsmål og tiltak for å sikre enhetens verdier blir definert og fulgt opp ved inngåelse av leiekontrakter hos eksterne aktører, og i byggeprosjekter som berører eget areal og funksjoner. Sistnevnte inkluderer de ulike fasene i byggeprosjekter
Sørge for at sikkerhetsanalyser og tiltaksplaner som utarbeides i byggeprosjekter og ved inngåelse av leiekontrakter vedlikeholdes i driftsfasen.
Årlig rapportere til universitetsdirektør via sikkerhetsrådgiver om status for sikkerhetsarbeidet for sikring av fysiske verdier på enheten. Se kapittel «2.retningslinje for årsrapport» ovenfor.
5. Retningslinjer for Eiendomsavdelingen
Utover ansvaret som beskrives i det samlede styringssystem, har Eiendomsavdelingen (EIA) et særskilt ansvar for følgende:
Gi råd og støtte til UiBs enheter med faglige vurderinger knyttet til ivaretakelse av verdisikring og skallsikring
Driftsansvar for bygg UiB eier selv eller gjennom eiendomsselskapene knyttet til teknisk infrastruktur. Dette inkluderer sikring og oppetid på dører i byggets skall, vann-, elektro-, brann -og klimaanlegg, med mindre annet er regulert i leie – serviceavtale.
Ivareta skallsikring av byggene i samråd med enhetene
Koordineringsrolle ved vurdering og bestilling av verdisikring
Ha tjenesteleveranseavtaler med enhetene på UiB som beskriver hvilke tjenester som leveres, roller og ansvar mellom partene, og servicenivå
Forvalte rammeavtaler som dekker vektertjenesten for UiB, alarmmottak og lignende sikkerhetsleveranser
Produksjon, programmering og utlevering av adgangskort for UiB brukere
Følge opp og koordinere enheters behov for sikkerhetsmål og tiltak i byggeprosjekter, og ved inngåelse av leiekontrakter hos eksterne aktører.
6. Retningslinje for sikkerhetsstyring i byggeprosjekter
6.1 Ansvar
Linjeleder ved berørte areal er ansvarlig for å definere behov og se til at tiltak gjennomføres for å sikre enhetens verdier i prosjekters ulike faser. Herunder, hvilket sikkerhetsmål og kriterier som må ligge til grunn for en forsvarlig sikring, og bidra med nødvendige fagressurser, vurderinger og oppfølging.
Prosjektseksjonen ved Eiendomsavdelingen (EIA) er prosjekteringsansvarlig for vedlikehold og utvikling av eksisterende og ny bygningsmasse (med mindre prosjektet er finansiert direkte over statsbudsjettet). Herunder, ansvarlig for å se til at nødvendige vurderinger av sikkerhet innhentes fra de med ansvar i denne retningslinjen, og at disse dokumenteres for det avgrensede prosjekt i samarbeid med berørte enhet.
Sikkerhetsorganisasjonen ved EIA er rådgiver og kvalitetssikrer av overnevnte vurderinger.
Universitetsdirektør beslutter endelig sikkerhetsmål for større byggeprosjekter. Ved særskilte behov gjøres dette for mindre også.
6.2 Sikkerhetsstrategi
I tillegg til overordnede strategier beskrevet i styringssystemets styrende del – del 1, gjelder følgende strategier for alle byggeprosjekter ved UiB:
Skallsikring og verdisikring skal vurderes i tidligst mulige prosjektfase og være tema i alle faser. Fra prosjektering, til byggefase, og avhending.
Grad av vurderinger skal sees i sammenheng med om det er et mindre eller større prosjekt. Mindre prosjekt kjennetegnes av mandat, mens større skal også ha styringsdokument og regelmessig rapportering til styringsgruppe.
Vurderinger skal dekke om uønskede hendelser kan gi en negativ konsekvens for bygget og dets verdier innenfor prosjektets avgrensning.
Tema i vurderingene skal minimum inkludere tyveri, innbrudd, hærverk, brann, vann og klima
Alle vurderinger skal ha en tilhørende tiltaksplan med ansvar og frister for å redusere identifiserte risikoområder før byggestart kan igangsettes.
Det arkitektoniske uttrykk og arealutforming på innsiden skal være vurdert ifra et sikkerhetsperspektiv: plassering, utforming av skallet, innsyn, åpne versus lukkede arealer, fysiske barrierer, rømningsmuligheter mm.
Utvendige sikkerhetstiltak skal bidra til et positivt bymiljø
Alle vurderinger skal dokumenteres
6.3 Gjennomføring
Det skilles mellom risikoanalyse av byggefasen og risikoanalyse i prosjekteringen
Risikoanalyse for byggefasen, iht. byggherreforskriften, skal foreligge i alle typer prosjekter og styres av prosjektleder. Her skal minimum sikring mot uvedkommende inngå som obligatorisk punkt.
Risikoanalyse i prosjekteringen av bygget skal foreligge i alle større prosjekter sammen med en sikkerhetsstrategi. Dette innebærer at følgende skal vurderes og dokumenteres i tråd med ansvarsbeskrivelsene ovenfor:
En sikkerhetsstrategi for hvordan fagvurderinger av skallsikring og verdisikring skal følges gjennom prosjektets ulike faser frem til avhending. Videre skal sikkerhetsstrategien si noe om hvilket sikkerhetsmål som skal gjelde for bygget og verdiene i det.
Sikkerhet som egen temaanalyse i henhold til kriterier i «9.retningslinje om sikkerhetsanalyse ved UiB» nedenfor. Målet er å vedlikeholde den gjennom prosjektets syklus og vise til restrisiko for en eventuell driftsfase. Det må videre vurderes om sikring av ansatte og studenter skal inngå i vurderingene grunnet overlapp.
Øvrige fagområder følges opp i egne vurderinger og dokumenter i henhold til lovkrav og retningslinjer på UiB
Mindre prosjekter skal vurdere behov for risikoanalyser som ivaretar sikkerhet i prosjekteringen dersom særskilte forhold foreligger. For eksempel spesielle eller større klassifiserte verdier, komplekse avhengigheter i arealet, manglende erfaring med tiltak.
6.4 Oppbevaring og distribusjon
For oppbevaring og distribusjon av sikkerhetsdokumentasjon gjelder kapittel «10. Retningslinjer for oppbevaring og deling av sikkerhetsdokumentasjon»
Informasjon om planlagte prosjekter skal oversendes i tidligst, mulige prosjektfase til sikkerhetsorganisasjonen ved EIA.
6.5 Feil, skader og sikkerhetsavvik
EIA skal se til kapittel «11.Retningslinjer for håndtering av feil, skader og sikkerhetsavvik» i sine vedlikehold- og utviklingsprosjekter på lik linje med øvrige krav til vurderinger, dokumentasjon og sporbarhet.
Videre skal EIA se til at det foreligger tydelig definerte avvikssystem i prosjekter hvor leverandører brukes, eller der eksterne er byggherre, som sikrer erfaringsoverføring og statistikk.
6.6 Evaluering
Alle større prosjekter skal ha en skriftlig evaluering hvor alle involverte inkluderes. Forbedringspunkter følges opp gjennom utarbeidelse av tiltaksplan.
7. Retningslinjer for verdivurdering
7.1 Ansvar
Linjeleder har ansvaret for å gjennomføre og dokumentere en vurdering av verdiene på enheten sin, samt følge opp funn med nødvendige tiltak.
7.2 Grenseflate
Verdier kan i andre sammenhenger omfatte immaterielle verdier som liv/helse eller informasjonssikkerhet. Vurderinger av disse temaene skal ordinært tas i definerte verktøy og metoder i HMS-seksjonens eller IT-avdelingens retningslinjer.
Verdivurdering som verktøy kan tilrettelegge for vurderinger av liv/helse og informasjonssikkerhet. Dersom dette gjøres, skal dette koordineres med respektive fagavdelinger.
7.3 Praktisk gjennomføring
Verdivurderingen skal gjennomføres av en tverrfaglig arbeidsgruppe som består av en som har oversikt over arealer innad relevante enhet, kunnskap om verdier en har i disse arealene, eksisterende organisatoriske og teknologiske tiltak og eventuelle forbedringsområder. Dette hever påliteligheten til vurderingen og minsker usikkerhetene. En kombinasjon av representant fra ledelsen og medarbeidere er hensiktsmessig. Det er en fordel at arbeidsgruppen ikke blir for stor. En gruppe på fem stykker +/- vil være passende.
Se vedlegg 3. Mal. Verdivurdering
7.4 Fasene i verdivurderingen
Igangsetting
Verdivurdering
Sikkerhetsmål
Vurdering av tiltak
Rapportering
Revisjon
7.4.1 Igangsetting
7.4.1.1 Rammeverket
Før enhver analyse igangsettes skal forutsetninger og rammeverket for arbeidet beskrives. Dette innebærer beskrivelse av mål, organisering, hvem som skal inngå som ressurser, eierskap, plan for innhenting av informasjon, rekkefølge, og avgrensninger som gjøres.
Enhver verdivurdering skal forankres hos linjeleder.
Hva som utgjør rammene vil kunne påvirkes av årlige fokusområder godkjent av universitetsdirektør og eventuelle tildelingsbrev.
7.4.2. Verdivurdering
Her identifiserer, vurderer og klassifiserer en verdien en eier, forventer å eie i fremtiden eller forvalter for andre eiere. Verdivurderingen er det viktigste vurderingsgrunnlaget og skal brukes for å prioritere bruk av ressurser i en sikringssammenheng. Det bør beskrives kvalitativt hvilke negativ konsekvens tap eller skade av verdien kan få.
7.4.3 Sikkerhetsmål
Det fastsettes mål for hva som er ønsket eller akseptabel tilstand for verdier gitt en uønsket hendelse Målene skal blant annet baseres på krav i regelverk, styrende dokumenter og målsettinger hos UiB. Videre skal målene så langt som mulig være realistiske og målbare, slik at en kan på senere tidspunkt verifisere om implementerte sikkerhetstiltak har hatt ønsket effekt. Linjeleder skal godkjenne målene og løfte dem videre i linjen dersom av større karakter eller de berører andre avdelingers ansvarsområder.
7.4.4 Vurdering av tiltak
Basert på funn i verdivurderingen og sikkerhetsmålene som er definert, vurderes behov for tiltak for verdier klassifisert som moderat. Eventuelle høyere klassifiserte verdier følges opp i en forenklet sikkerhetsanalyse. Det er ofte hensiktsmessig å kombinere både teknologiske, organisatoriske og menneskelige tiltak. Ved utarbeidelse av forslag til tiltak må en gjøre vurderinger knyttet til kostnader og vurdere effekten av tiltakene i henhold til definerte sikkerhetsmål
7.4.5 Valg av tiltak
Linjeleder godkjenner eventuelle forslag til tiltak. Dersom tiltak besluttes følges disse opp i en tiltaksplan
7.4.6 Rapportering
Ferdige dokumenter skal oversendes sikkerhetsorganisasjonen ved EIA fortløpende etter gjennomføring. Dokumentene utgjør en del av rapporteringsgrunnlaget for årsrapport, ledelsens gjennomgang og årsplan.
7.4.7 Revisjon
Verdivurderingen og eventuell tiltaksplan skal gjennomgås årlig og oppdateres der hvor endringer har skjedd. For eksempel anskaffelse eller lån av nye verdier, forflytning av eksisterende verdier, endringer i samfunns- og trusselbildet, endring i organisatoriske forhold mm. Vurderingen skal revideres i sin helhet minimum annethvert år.
8. Retningslinjer for sikkerhetsanalyse
8.1 Ansvar
Linjeleder har ansvaret for å gjennomføre og dokumentere en forenklet sikkerhetsanalyse på enheten sin dersom enheten har verdier av høy eller svært høy klassifisering.
Sikkerhetsorganisasjonen ved Eiendomsavdelingen (EIA) og linjeleder er sammen ansvarlige for å gjennomføre detaljerte sikkerhetsanalyser ved årlig utvelgelse av bygg og områder etter godkjenning av universitetsdirektør. Prioriteringen skal baseres på risikobildet ved UiB, tildelingsbrev og evt. øvrig samfunnsutvikling.
8.2 Tema
Både forenklet og detaljert sikkerhetsanalyse skal vurdere:
Uønskede hendelser som kan gi en negativ konsekvens for verdier en eier i det daglige, skal anskaffe seg i nær fremtid eller låne fra andre
Tyveri, innbrudd, hærverk, brann, vann og klima
8.3 Grenseflate
Vurderinger knyttet til uønskede hendelser som berører liv/helse eller informasjonssikkerhet skal ordinært tas i definerte verktøy og metoder i HMS-seksjonens eller IT-avdelingens retningslinjer. Unntaket er dersom det er følgekonsekvenser som vurderes eller avdekkes i analysen.
Sikkerhetsanalysen som verktøy kan tilrettelegge for vurderinger av immaterielle verdier som liv/helse også. Dersom dette gjøres, skal dette koordineres med HMS-seksjonen og EIA.
8.4 Om sikkerhetsanalyse
I forenklet sikkerhetsanalyse er trusselvurdering, vurdering og valg av uønskede hendelser, og sårbarhetsvurdering komprimert og tilrettelagt for bruker. I detaljert sikkerhetsanalyse skal disse utgjøre egne kapitler med mer utfyllende vurderinger av fagressurser.
8.5 Praktisk gjennomføring
Sikkerhetsanalyser skal gjennomføres av en tverrfaglig arbeidsgruppe som består av en som har oversikt over arealer innad relevante enhet, kunnskap om verdier en har i disse arealene, eksisterende organisatoriske og teknologiske tiltak og eventuelle forbedringsområder. En kombinasjon av representant fra ledelsen og medarbeidere er hensiktsmessig. Det er en fordel at arbeidsgruppen ikke blir for stor. En gruppe på fem stykker +/- vil være passende.
Møtet ledes av en møteleder med fortrinnsvis erfaring fra risikoanalysearbeid og med hjelp fra sekretær.
Sikkerhetsorganisasjonen ved EIA kan bistå ved rådgivning for gjennomføring av sikkerhetsanalyse, samt spørsmål og problemstillinger knyttet til de ulike fasene nedenfor.
Se vedlegg 4. Mal. Forenklet sikkerhetsanalyse
8.6 Fasene i en sikkerhetsanalyse
En sikkerhetsanalyse skal inneholde følgende vurderinger, helt eller delvis, avhengig av om det er en forenklet eller detaljert analyse:
Igangsetting
Verdivurdering
Sikkerhetsmål
Vurdering og valg av uønskede hendelser
Trussel -/ sannsynlighetsvurdering
Sårbarhetsvurdering
Vurdering av risiko
Presentasjon av risikobildet
Forslag til tiltak
Kort beskrivelse av strategi og valg av tiltak
Verifisering og kontroll
Rapportering
Revisjon
8.6.1 Igangsetting
8.6.1.1 Rammeverket
Før enhver analyse igangsettes skal forutsetninger og rammeverket for arbeidet beskrives. Dette innebærer beskrivelse av mål, organisering, hvem som skal inngå som ressurser, eierskap, plan for innhenting av informasjon og rekkefølge, og avgrensninger som gjøres.
Enhver sikkerhetsanalyse skal forankres hos linjeleder.
Hva som utgjør rammene vil kunne påvirkes av årlige fokusområder godkjent av universitetsdirektør og eventuelle tildelingsbrev
8.6.1.2 Usikkerhet
Som med de fleste risikoanalyser medfører vurderingene en viss grad av usikkerhet avhengig av hva som analyseres og grad av tilgjengelig kunnskap på analysetidspunktet. Usikkerheten bak vurderingene skal derfor beskrives i sikkerhetsanalysen
8.6.1.3 Pålitelighet
Bruk av tverrfaglige arbeidsgrupper, kombinert med administrativ og praktisk kunnskap, samt ulike kilder og referanser, vil ofte heve påliteligheten til analysene som gjennomføres. Det er viktig med kritisk tenkning og at en begrunner og dokumenterer valgene en gjør underveis i analysen. Samlet gir dette sporbarhet til senere revisjoner og letter arbeidet for beslutningstaker
8.6.2 Verdivurdering
Her identifiserer, vurderer og klassifiserer en verdien en eier, forventer å eie i fremtiden eller forvalter for andre eiere. Verdivurderingen er det viktigste vurderingsgrunnlaget og skal brukes for å prioritere bruk av ressurser i en sikringssammenheng. Det bør beskrives kvalitativt hvilke negativ konsekvens tap eller skade av verdien kan få
Dersom enheten har allerede gjennomført en verdivurdering, skal tidligere funn om høye eller svært høye klassifiserte verdier følges opp i denne fasen i sikkerhetsanalysen. Lavere klassifiserte verdier kan integreres i samme analyse for helhet og forenkling. Dersom sistnevnte gjøres, må dette beskrives.
8.6.3 Sikkerhetsmål
Det fastsettes mål for hva som er ønsket eller akseptabel tilstand for verdier gitt en uønsket hendelse. Målene skal blant annet baseres på krav i regelverk, styrende dokumenter og målsettinger hos UiB. Videre skal målene så langt som mulig være realistiske og målbare, slik at en kan på senere tidspunkt verifisere om implementerte sikkerhetstiltak har hatt ønsket effekt. Linjeleder skal godkjenne målene og løfte dem videre i linjen dersom av større karakter eller de berører andre avdelingers ansvarsområder.
Dersom enheten har allerede definert sikkerhetsmål i verdivurderingen sin må dette sees i sammenheng med målene som defineres i sikkerhetsanalysen.
8.6.4 Vurdering og valg av uønskede hendelser
En beskrivelse av hvordan relevante, uønskede hendelser kan påvirker verdier negativt. Her må en se verdiene sine i sammenheng med resten av bygget og dets tekniske infrastruktur som ofte bidrar til forvaltningen av verdiene. Det er videre viktig å balansere mellom for få og for mange scenarioer for å belyse hvor en er sårbare. Det er ikke nødvendigvis behov for å velge scenarioer for alle identifiserte verdier.
8.6.5 Trusselvurdering
Gjøres der hvor en skal analysere uønskede hendelser der noen tilsiktet kan ramme verdier. Trusselvurderingen skal identifisere og beskrive eventuelle trusselaktører og faktorer som påvirker trusselnivået. Aktører vil ordinært være enkeltpersoner og/eller grupper. Vurderingen bør baseres på flere forskjellige kilder der hvor mulig.
8.6.6 Sannsynlighetsvurdering
Gjøres der hvor en skal analysere uønskede hendelser der uhell og ulykker, utilsiktede hendelser, kan ramme verdier. Sannsynlighetsvurderingen angir et tidsrom for når en hendelse estimeres å inntreffe. Vurderingen er kunnskapsbasert og kan kombineres med statistikk
8.6.7 Sårbarhetsvurdering
Sårbarhetsvurderingen skal avdekke i hvilken grad enheten er sårbare i de de uønskede som er valgt som relevante. Det skal vurderes i hvilken grad det eksisterer barrierer eller sikkerhetstiltak som vil være i stand til å forhindre den uønskede handlingen. Dersom slike barrierer eksisterer, skal det vurderes hvor godt de motstår de uønskede hendelsene
8.6.8 Vurdering av risiko
Her sammenstilles tidligere vurderinger til én vurdering for hver uønskede hendelse. Vurderingen skal kort begrunne og oppsummere tidligere resultater og konkludere med et risikonivå for hver uønskede hendelse. Usikkerhet bak vurderingene skal også inngå
8.6.9 Presentasjon av risikobildet
Presentasjon av risikobildet skal presenteres lettfattelig for beslutningstaker. Hensikten er å gi et beslutningsgrunnlag for videre sikkerhetsstyring. Det bør derfor også forsøkes å integrere punktet ovenfor. Gevinstpotensialet skal også belyses.
8.6.10 Forslag til tiltak
Basert på funn i sårbarhetsvurderingene formuleres forslag til tiltak for å redusere disse og/eller påvirke en eventuell trusselaktør eller sannsynligheten til de uønskede hendelsene. Det er ofte hensiktsmessig å kombinere både teknologiske, organisatoriske og menneskelige tiltak. Ved utarbeidelse av forslag til tiltak må en gjøre vurderinger knyttet til kostnader og vurdere effekten av tiltakene i henhold til definerte sikringsmål
Det skal vurderes risikoreduserende tiltak, forebyggende og skadereduserende, dersom risikonivået er moderat eller høyere. Alle høye eller svært høye risikoer skal prioriteres tiltak på.
8.6.11 Valg av strategi
Ved valg av strategi velges overordnede prinsipper for hvordan risiko skal håndteres. Dette er en ledelsesbeslutning og skal godkjennes av linjeleder. Utgangspunktet bør være at en forsøker å redusere/fjerne risikoen. Andre aktuelle strategier kan være å unngå aktiviteten, overføre og akseptere. Ulike sikkerhetsanalyser kan gi ulike strategier avhengig av situasjon og forutsetninger som definerte sikkerhetsmål, lovkrav, økonomi mm. Uavhengig av valg av strategi må en beskrive ulike alternativer og konsekvenser ved valg(ene). Valg av strategi må gjenspeiles i tiltaksplanen.
8.6.12 Valg av tiltak
Her fatter beslutningstaker endelig avgjørelse om valg av tiltak og baseres på overnevnte punkter. Valg av tiltak tilpasses den enkelte enhet og situasjonen denne befinner seg i. Tiltakene følges opp som beskrevet i kapittel «9. Retningslinje for etablering av sikkerhetstiltak» nedenfor og inngår i den totale sikkerhetsstyring. Det vil si en kontinuerlig syklus for monitorering, rapportering og forbedring. Er tiltakene av større karakter og/eller prinsipiell betydning må disse løftes videre i linjen.
8.7 Verifisering og kontroll
Tiltak og strategier skal verifiseres at de er gjennomført og bidrar til å oppnå definerte målsetting. En slik verifisering inkluderer at en vurderer om noen av forutsetningene for sikkerhetsanalysen har endret seg utover i prosessen.
En plan lages for verifiseringen. Denne skal inneholde mål og målekriterier. Her kan en ta i bruk for eksempel øvelser og revisjoner som hjelpemidler.
Dersom verifiseringen avdekker avvik skal det vurderes og besluttes om avvikene skal lukkes ved iverksettelse av korrigerende tiltak eller akseptering av risikoen. Hvis det besluttes korrigerende tiltak, skal det lages en tiltaksplan.
8.8 Rapportering
Ferdige dokumenter skal oversendes sikkerhetsorganisasjonen ved EIA fortløpende etter gjennomføring. Dokumentene utgjør en del av rapporteringsgrunnlaget for årsrapport, ledelsens gjennomgang og årsplan.
8.9 Revisjon
Sikkerhetsanalysen med tilhørende tiltaksplan og verifisering skal minimum gjennomgås og oppdateres årlig. Ved endringer i organisatoriske forhold, lovverk, økonomi, teknologisk utvikling, trusselbildet i samfunnet, implementering av tiltak mm., gir dette grunnlag for oppdatering. Analysen skal revideres i sin helhet minimum annethvert år.
9. Retningslinje for etablering av sikkerhetstiltak
9.1 Ansvar
Linjeleder er ansvarlig for å ha oversikt over sine verdier og at de er tilfredsstillende sikret mot uønskede hendelser i henhold til ansvarsområde. Dette inkluderer uønskede hendelser som tyveri, innbrudd, hærverk, brann, vann og klima.
Ved verdivurderinger må verdienes klassifisering derfor sees i sammenheng med behov for tiltak og tilhørende tiltaksplan. Alle sikkerhetsanalyser derimot skal ha en tiltaksplan.
9.2 Tiltaksplan
Tiltaksplanen skal minimum inneholde følgende punkter:
Henvisning til risikoområde eller verdivurdering som tilsier at tiltak må etableres for å unngå og/eller redusere konsekvensene ved uønsket hendelse
Oversikt over hvilke konkrete tiltak som skal etableres for å redusere identifiserte risikoområde
Nummerering på foreslåtte tiltak
Beskrivelse av hvem som har ansvaret for å etablere det enkelte tiltak
Frist for når de aktuelle tiltakene skal være implementert
Planen skal holdes som et «levende dokument» og lagres sammen med tilhørende verdivurdering eller sikkerhetsanalyse med datering og nødvendige henvisninger.
Se mal for tiltaksplan i vedlegg 3. mal. verdivurdering og vedlegg 4. Forenklet sikkerhetsanalyse
9.3 Aktuelle sikkerhetstiltak
Tiltak kan grupperes i teknologiske (fysiske, elektroniske og logiske), organisatoriske og menneskelige tiltak:
Fysiske tiltak som hindrer og/eller forsinker uønsket adgang til verdier. For eksempel dører, låser gjerder, gjerder, vegg mm.
Elektroniske tiltak kan være automatisk innbruddsalarmanlegg, automatisk adgangskontroll mm. Dette er da utstyr som støtter, supplerer eller erstatter de fysiske.
Logiske tiltak sikrer informasjon som lagres eller overføres elektronisk, eksempelvis IKT-programvarer som brannmur. Disse vurderingene skal ordinært følges opp gjennom styringssystem for informasjonssikkerhet og personvern. Dersom særskilte forhold foreligger bør det likevel belyses i sikkerhetsanalysen også.
Organisatoriske tiltak kan bestå av skriftlige eller muntlige beskrivelser, vurderinger og beslutninger som regulerer ledelse, organisering, prosesser, analyser, rutiner, atferd og/eller anvendelse av andre sikkerhetstiltak
Menneskelige tiltak handler om tiltak som kan påvirke persepsjon, vurderingsevne, kunnskap, atferd og evne til å bruke teknologiske tiltak og følge de organisatoriske. For eksempel holdningsskapende arbeid og opplæring.
9.4 Risikoaksept
Verdivurderinger: Moderate klassifiserte verdier aksepteres, men enkle tiltak skal vurderes
Sikkerhetsanalyser: Moderate risikoer aksepteres, men enkle tiltak skal vurderes. Høye eller svært høye risikoer aksepteres ikke og skal prioriteres tiltak på.Ved svært høye risikoer skal tiltak prioriteres umiddelbart. Det skal gjøres et grundig arbeid med å finne realistiske, risikoreduserende tiltak ved høye eller svært høye klassifiserte risikoer. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er høye eller svært høye etter godkjente tiltak.
10. Retningslinjer for oppbevaring og deling av sikkerhetsdokumentasjon
Verdivurderinger, sikkerhetsanalyser, tilhørende tiltaks- og – verifiseringsplaner. detaljerte bygningstegninger, modeller og teknisk infrastruktur, herunder sikkerhetsdokumentasjon og informasjonen den inneholder, skal ikke deles med andre enn dem som har tjenstlig behov for det. Dersom et dokument eller dets informasjon må deles, skal det alltid vurderes om dette må gjøres helt, delvis, eller ved andre alternative metoder. Overnevnte dokumenter skal normalt unntas offentlighet etter offentlighetsloven § 24,3.ledd, men det må gjøres en vurdering ved hvert enkelt tilfelle.
Sikkerhetsdokumentasjon av denne typen er først og fremst ment for linjeleder med utpekte fagressurser, sikkerhetsorganisasjonen ved eiendomsavdelingen (EIA), fagressurser ved EIA nødvendig for det enkelte prosjekt, og universitetsledelsen.
Sikkerhetsdokumentasjon skal lagres på tilgangsstyrt og begrenset elektronisk mappe innenfor UiB sitt system. Dersom analyser og tilhørende dokumenter skrives ut i fysisk format, skal disse ligge nedlåst på kontor til de med tilgang til dokumentet. Når det ikke er behov for dokumentene lenger skal disse makuleres.
Ved arealer hvor det er høyere klassifiserte verdier skal det gjennomføres autorisasjonssamtale og ny taushetserklæring med leverandør sine ansatte, og eventuelt UiB ansatte, dersom arbeid skal gjennomføres i nærhet eller direkte tilknytning til denne type verdier. Linjeleder ved berørte areal utpeker personal for gjennomføring i samråd med sikkerhetsorganisasjon til EIA.
Rammeavtaler med leverandører på UiB skal ha eget kapittel som regulerer overnevnte.
11. Retningslinjer for håndtering av feil, skader og sikkerhetsavvik
11.1 Ansvar
Bruker har ansvar for å ivareta UiBs verdier i sitt virke. Dette inkluderer å melde ifra om og registrere skader, feil og sikkerhetsavvik. Det skal være en lav terskel for å melde ifra.
Linjeleder har ansvar for å informere ansatte og studenter om retningslinjen, følge opp mottatte sikkerhetsavvik, vurdere mottak så snart som mulig, samt se til at avvik dokumenteres og ferdigstilles. Videre skal beredskapsledelsen i linjen varsles om uønskede hendelser og om potensielle kriser som kan få alvorlige konsekvenser for UIB.
EIA skal se til forvaltning og videreutvikling av elektronisk rapporteringssystem for innmelding av bygningsmessige skader, feil og behov, samt følge opp de registrerte sakene i respektive driftsområder. Videre skal EIA føre oversikt og statistikk på registrerte saker, både skader, feil, behov og sikkerhetsavvik.
Sikkerhetsorganisasjonen ved EIA skal være koordineringsledd mot HMS-seksjonen for å ivareta videreutvikling av funksjon for rapportering av sikkerhetsavvik. I tillegg til å bidra med å legge frem periodevise rapporter om sikkerhetsavvik ved UiB for Arbeidsmiljøutvalget og Læringsmiljøutvalget i saker der fysiske verdier og liv/helse overlapper.
11.2 Tema
Det skilles mellom feil, skader og sikkerhetsavvik. Disse vil kunne variere i kritikalitet, avhengig av formålet med tiltaket, omfang, og utviklingsstadiet.
Feil og skader: Feil og skader i/ved bygget som påvirker dets drift og infrastruktur negativt.For eksempel problemstillinger vedrørende dører, vinduer, branndeteksjon og slukkeutstyr, vannføring, klimaregulering
Sikkerhetsavvik: Uønskede hendelser og/eller forhold, som har ført til, førte nesten til, eller kan føre til, skade eller tap av verdier og bygg. For eksempel innbrudd, tyveri, hærverk, uvedkommende, større bygningsmessige skader, brudd på styringssystem for sikring av bygg og verdier med underliggende retningslinjer og prosedyrer/rutiner, tildelingsbrev, lovverk mm.
11.3 Gjennomføring
Bygningsmessige feil, skader og behov skal registreres i Tjenesteportalen UiBHjelp (Lydia). Akutte behov skal meldes til respektive driftsområde og/eller vektertjenesten avhengig av arbeidstid og tilgjengelighet. Feilmeldinger på alarmer skal varsles direkte til vektertjenesten.
Sikkerhetsavvik skal registreres i HMS-avvikssystemet. Avhengig av den uønskede hendelsens karakter, skal varsling til vekter og/eller nødetater prioriteres først.
Øvrige forhold som berører personers liv/helse, for eksempel ran, trusler og voldsepisoder, skal følge HMS-seksjonens retningslinje: «retningslinjer for melding og oppfølging av helse-, miljø- og sikkerhetsavvik».
11.4 Oppfølging
Alle innmeldinger skal følges opp for å minimere risiko og hindre gjentakelse. Samtlige som registrerer skader, feil og sikkerhetsavvik skal få tilbakemelding på status på videre håndtering.
Linjeleder skal motta kopi av alle registrerte sikkerhetsavvik innenfor egen enhet og følge opp innenfor sitt ansvarsområde. Dette innebærer dokumentasjon og ferdigstilling. Dersom ikke avviket kan løses lokalt skal meldingen videresendes i linjen.
Sikkerhetsorganisasjonen ved EIA skal motta kopi av alle registrerte sikkerhetsavvik og ved behov følge opp avvik innenfor sitt ansvarsområde. Videre skal sikkerhetsorganisasjon ved EIA ha lesetilgang til saksbehandling i henhold til overnevnte. Status på sikkerhetsavvik innenfor ansvarsområde skal inngå i årsrapporten til EIA.
Dersom sikkerhetsavvik samtidig berører liv/helse skal HMS-seksjonen og verneombud også få kopi. jfr. deres «retningslinjer for melding og oppfølging av helse-, miljø- og sikkerhetsavvik». Det skal samarbeides med EIA sin sikkerhetsorganisasjon, linjeleder og berørte bruker(e) om en løsning.
12. Vedlegg
Vedlegg 1. Mal. Årsrapport sikring av bygg og verdier
Vedlegg 2. Mal. Årsplan. EIA direktør
Vedlegg 3. Mal. Verdivurdering
Vedlegg 4. Mal. Forenklet sikkerhetsanalyse
Dato |
Kommentar |
Lagt inn av |
|---|---|---|
|
Rettskriving/presiseringer |
Mona Viksøy |
|
justert titler |
Steffen Hauge Wolff |
|
Nytt dokument |
Steffen Hauge Wolff |
|
Nytt dokument |
Steffen Hauge Wolff |