En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger

Størrelse: px
Begynne med side:

Download "En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger"

Transkript

1 En veiledning Sikkerhets- og beredskapstiltak mot terrorhandlinger Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste

2

3 Sikkerhetsråd 01 Gjennomfør en risikovurdering for å kartlegge hvilke verdier som må beskyttes, hvilke sårbarheter som kan utnyttes og hvilke trusler virksomheten kan være utsatt for. 06 Ha færrest mulige adgangspunkter til bygningen og sørg for at ansatte, besøkende og kjøretøy har adgangstegn. Hvis det er mulig, bør ikke uautoriserte kjøretøy parkeres i eller i nærheten av bygningen. 02 Sørg for god grunnsikring. Installer fysiske tiltak i bygningen slik som låser, alarmer, kamerovervåkning, ekstra belysning ute og inne m.m. 07 Vurder hvordan virksomheten best kan beskytte sensitiv informasjon og hvilke IKT-sikkerhetstiltak som er nødvendige. 03 Sørg for at virksomheten har en sikkerhetsansvarlig og at de ansatte er kjent med sikkerhetsrutiner, evakueringsplaner og er årvåkne overfor aktuelle trusler. 08 Lag et beredskapssystem for virksomheten med forberedte tiltak som kan iverksettes ved endringer i risikobildet eller dersom det skjer en hendelse. 04 Sørg for god adgangskontroll og kontroll med post og varer. Vurder om det er nødvendig å ha eget postmottak med relevant utstyr. 09 Gjennomfør øvelser for å teste planene. Tenk gjennom og ha en plan for å opprettholde virksomhetens funksjon dersom bygningen og IKT-systemene er utilgjengelige. 05 Sørg for at det er god orden og ryddig i bygg og nærliggende områder. Hold publikumsområder og omgivelser ryddige og godt opplyst, fjern unødvendige møbler og søppeldunker mv. 10 Søk råd og opplysninger hos politiet og andre myndigheter. Etabler gode rutiner for kontakt mellom virksomheten og politi/nødetater. sikkerhetsråd 3

4 Innhold Bakgrunn og beskrivelse av ansvar og roller 8 Trusselbildet 9 Hva er terrorisme? 9 Sikkerhet og beredskap 10 Sikkerhetsloven 10 Ansvar og roller 10 Sikkerhetsarbeid i de enkelte virksomheter 11 prosess for utarbeidelse av virksomhetens sikkerhetstiltak 12 Planlegging og organisering av arbeidet 13 Verdivurdering 14 Virksomhetens sikkerhetsmål 14 Trusselvurdering 15 Sårbarhetsvurdering 16 Risikovurdering 17 Strategier for risikohåndtering 18 Forebyggende versus skadereduserende tiltak 18 Skjulte versus synlige tiltak 18 Teknologi, organisasjon og menneske 19 Kvalitetssikring 19 Beredskapssystemet 22 Lokale beredskapsnivåer 23 Fastsettelse av lokalt beredskapsnivå 24 Skjematisk fremstilling av beredskapssystemet 25 Virksomhetens tiltaksliste basert på beredskapsnivå 26 Beredskapsnivå og sikringstiltak 28 Bruk av tiltak i de ulike beredskapstrinn 29 Eksempler på tidsbegrensede og forsterkende sikkerhetstiltak 31 4 innhold

5 Forord Arbeidet med å forebygge terrorhandlinger er en viktig global oppgave. Selv om Norge har vært forskånet fra konkrete terrorhandlinger, er det likevel nødvendig å være forberedt på å håndtere situasjoner dersom vi i fremtiden skulle bli utsatt for slike handlinger. Nye aktører innen kriminalitet, ekstremisme og terrorisme har kommet til. I tillegg har teknologier og metoder utviklet seg. Dette krever at man tenker nytt og har gode systemer for å tilpasse sikringstiltakene, slik at de er relevante i forhold til det aktuelle risikobildet. De enkelte virksomheter har et ansvar for å sikre egen aktivitet, herunder personell, informasjon og infrastruktur. Dette innebærer en forpliktelse til å planlegge for egne sikkerhetstiltak samt drifte og vedlikeholde disse, og kommer i tillegg til myndighetenes oppgaver. Veilederen gir råd om hvordan man tidsbegrenset kan øke eller eventuelt redusere sikkerhetsnivået ved å utarbeide beredskapsplaner for dette i den enkelte virksomhet. Fokus for denne veilederen er tidsbegrensede forebyggende sikkerhets- og beredskapstiltak. Veilederen er tiltenkt å være et hjelpemiddel for offentlige og private virksomheter i å systematisere og tilpasse egne tidsbegrensende sikringstiltak i forhold til verdiene virksomheten ønsker å beskytte, sårbarheter som kan utnyttes og aktuelle trusler. Selv om veilederen fokuserer på sikkerhetsplanlegging mot terrorhandlinger, vil rådene som gis også være til nytte i arbeidet med å forebygge annen kriminalitet og sikkerhetstruende virksomhet. Anbefalingene i veilederen bygger på erfaringer og praksis nasjonalt og internasjonalt. Et trinnvis oppbygget beredskapssystem med tilhørende tiltak kan være en god måte å systematisere sikkerhets- og beredskapsarbeidet på i den enkelte virksomhet. Sikkerhets- og beredskapsarbeidet er et lederansvar, men berører alle nivåer i virksomheten. Det er viktig at arbeidet får den prioritet og den oppmerksomhet som kreves. Praktiske øvelser vil være viktig for å forvisse seg om at planlagte tiltak er effektive. Øvelser gir nyttig erfaring som må tilbakeføres for å forbedre eksisterende tiltak og planer. Politidirektoratet, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet håper at veilederen vil være et nyttig hjelpemiddel i planleggingen internt i virksomheten. Kjetil Nilsen Ingelin Killengreen Janne Kristiansen Direktør NSM Politidirektør Sjef PST Oslo, 1. september 2010 forord 5

6 Formål med veilederen Formålet med veilederen er å gi offentlige og private virksomheter et hjelpemiddel, slik at virksomheten kan lage en plan for å iverksette relevante tidsbegrensede sikringstiltak, for ved behov å møte en terrortrussel. Behovet for å iverksette slike tiltak kan oppstå ved endringer i risikobildet knyttet til mulige terrorhandlinger herunder endringer i trusselsituasjonen, verdisituasjonen eller sårbarheten. Tiltakene er ment å håndtere ekstraordinære situasjoner som går utover hva som kan håndteres med grunnsikringen. Det er viktig å påpeke at tiltakene som identifiseres i denne prosessen må bygge på en grunnsikring, det vil si at virksomhetene har et etablert sikkerhetsregime for å ivareta sitt grunnleggende sikkerhetsbehov. I en helhetlig tilnærming til sikring må ting gjøres systematisk og i riktig rekkefølge. Dersom virksomheten ikke har en tilfredsstillende grunnsikring, må dette prioriteres først. Det er stor variasjon når det gjelder ulike virksomheters egne sikringstiltak, - alt fra få enkle til svært omfattende tiltak. Noen virksomheter er mer utsatt enn andre, avhengig av virksomhetens formål, driftsform og lokalisering. Det vil også kunne være stor variasjon når det gjelder hvilke typer sikringstiltak som vil være aktuelle å iverksette mot tenkelige og sannsynlige anslag. Det er utarbeidet et sikkerhetsgradert Sivilt beredskapssystem (SBS), som sammen med Beredskapssystem for Forsvaret (BFF) utgjør Nasjonalt beredskapssystem (NBS). Dette systemet tilrettelegger for en rekke forhåndsplanlagte sektortiltak for å forebygge eller redusere skadeomfang ved kriser, katastrofer, terroranslag og krig. For de virksomhetene som er omfattet av det nasjonale beredskapssystemet, må veilederen sees i sammenheng med kapittel 6 i disse planverkene. Veilederen beskriver faktorer som må ivaretas for å oppnå en helhetlig tilnærming til sikring. Den er bygget opp slik at den kan følges kronologisk. Den kan også benyttes som et hjelpemiddel for å etablere en grunnsikring. Virksomheten må imidlertid selv avklare hvilke formelle krav den eventuelt må forholde seg til, for eksempel sikkerhetsloven eller annen lovgivning. 6 Formål med veilederen

7 Bruk av veilederen Veilederen er bygget opp slik at flest mulig skal kunne dra nytte av den, uansett hvilket nivå virksomheten befinner seg på når det gjelder forebyggende sikkerhet. Veilederen er delt inn i fire kapitler som kan leses kronologisk eller hver for seg, alt etter behovet for veiledning i den enkelte virksomhet. Kapittel 2 beskriver en anbefalt prosess for utarbeidelsen av virksomhetens sikkerhetstiltak. Denne vil være felles for alle typer sikkerhetsvurderinger som skal resultere i konkrete forebyggende tiltak, og vil kunne brukes i en rekke sammenhenger. Likeledes kan en virksomhet som allerede har lagt arbeidet med risikovurdering, mål og strategi bak seg, velge å kun benytte seg av beskrivelsen for oppsett av beredskapssystem og nivåer i kapittel 3, eller plukke konkrete sikringstiltak fra samlingen med eksempler i kapittel 4. Veilederen er ugradert, da den beskriver generelle offentlig tilgjengelige prosesser og gir eksempler på allmenne tiltak. Planen som virksomhetene utarbeider på bakgrunn av denne veilederen, vil imidlertid kunne være mer sensitiv og derfor ha et skjermingsbehov. Det kan derfor være aktuelt å sikkerhetsgradere disse planene. Årsaken til dette er at den ferdige planen vil beskrive ulike tiltak virksomheten planlegger å implementere ved ulike hendelser og trusselnivåer. Dette kan være interessant for en motstander som kanskje vurderer å gjennomføre en uønsket handling. I tillegg vil det være vanskelig eller umulig å velge andre typer tiltak om de opprinnelig planlagte blir kjent av uvedkommende. Det er viktig å informere og motivere de ansatte om dette ved blant annet øvelser og trening. For virksomheter som ikke er sikre på kvaliteten og metodebruken i det arbeidet som er gjort tidligere, anbefales det å følge veilederen kronologisk gjennom samtlige kapitler. Bruk av veilederen 7

8 01 Dette kapittelet redegjør for bakgrunnen for å lage en veileder for sikkerhets- og beredskapstiltak mot terrorhandlinger, og tar for seg enkelte grunnleggende begreper innenfor forebyggende sikkerhet og beredskap. Det beskriver ansvar og roller hos noen relevante myndigheter og de sikkerhetsansvarlige i virksomhetene. 8 Her kan det stå en tekst

9 Bakgrunn og beskrivelse av ansvar og roller Trusselbildet Terrorisme som metode forekommer innenfor ulike politiske og religiøse retninger. I de siste ti årene har imidlertid ekstreme islamistiske organisasjoner, som blant annet al-qaida, representert den største terrortrusselen i Europa. Det er grunn til å anta at al-qaida og organisasjoner, grupper og personer inspirert av al-qaida fortsatt vil representere den største trusselen mot Europa og Norge i årene fremover. Ekstreme islamistiske grupper har stått bak store aksjoner i Europa, der mange sivile liv er gått tapt. Al-Qaida ønsker trolig fremdeles å gjennomføre aksjoner i Europa som i omfang tilsvarer terrorhandlingene i Madrid i 2004 og London Samtidig omfatter dagens terrortrussel også faren for at ekstreme islamistiske grupper iverksetter aksjoner som ikke nødvendigvis tar mange sivile liv, men som påfører betydelig skade og skaper utbredt frykt og uro i sivilbefolkningen. Denne trusselen er særlig forbundet med fremveksten av flere voldelige islamistiske grupper bestående av personer som er født og oppvokst i Europa. Det nasjonale trusselnivået i Norge er i dag lavt. Terrortrusselen i Europa vil imidlertid fortsatt være preget av betydelig uforutsigbarhet. Det er i utgangspunktet store variasjoner i trusselnivået innenfor Europa. Det finnes grupper og personer som sympatiserer med og aktivt støtter ekstrem islamistisk ideologi i de aller fleste europeiske land. Erfaring viser at utviklingen av voldelig intensjon i et miljø kan skje raskt, og det foreligger få gode indikatorer på hva som utløser en slik radikaliseringsprosess. Terrorgrupper er sikkerhetsbevisste, og man kan ikke påregne noen varslingstid før et eventuelt terrorangrep. I frie og åpne samfunn som de europeiske, er det derfor en betydelig grad av usikkerhet knyttet til beskrivelser av trusselsituasjonen. Hva er terrorisme? Det finnes ingen entydig og presis definisjon av begrepet terrorisme. I norsk lovgivning er terrorbegrepet behandlet på ulike steder. Sikkerhetsloven definerer terrorhandlinger som: «ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål». I Norge er terrorvirksomhet ansett som kriminelle handlinger og omfatter bl.a. å sette menneskers liv eller helse i fare, ødeleggelse av eller alvorlig skade på eiendom, å forstyrre prosesser eller systemer som opprettholder et demokratisk styre og/eller samfunnets økonomiske velferd og virkemåte. bakgrunn og beskrivelse av ansvar og roller 9

10 Sikkerhet og beredskap Sikkerhet kan defineres som fravær av uønskede hendelser, frykt eller fare. Begrepet brukes også om de tiltak som benyttes for å oppnå denne tilstanden. I denne sammenhengen menes beskyttelse mot ondsinnede handlinger. Beredskap defineres i denne sammenheng som forberedelsen av de tiltak som iverksettes for, på kort varsel, å øke sikringstiltakene utover grunnsikringen. En annen form for beredskap er forberedelser til å håndtere en akuttsituasjon, krise eller en katastrofe, samt hvordan virksomheten raskt kan komme tilbake til normal produksjon igjen om skaden allerede har skjedd. Veilederen vil ikke ta for seg dette. Sikkerhetsloven Sikkerhetsloven omfatter alle forvaltningsorganer som er i besittelse av skjermingsverdig informasjon eller objekt, leverandører til disse som kan få tilgang til skjermingsverdig informasjon eller objekt, samt noen spesielt utvalgte andre virksomheter av kritisk betydning for samfunnet. Disse virksomhetene «plikter å treffe nødvendige forebyggende sikkerhetstiltak for å beskytte skjermingsverdige objekter mot sikkerhetstruende virksomhet». Hovedansvaret for beskyttelse av skjermingsverdige objekter ligger hos den som eier eller råder over objektet. Det påpekes også at objektenes art, omfang og verdi kan være så varierende at det ikke er hensiktsmessig å implementere krav i loven om konkrete sikkerhetstiltak. Sikringstiltakene må tilpasses det enkelte objekt. Veilederen kan være et nyttig utgangspunkt for virksomhetens planlegging. Departementene skal i henhold til sikkerhetsloven sørge for at det utpekes skjermingsverdige objekter innen sitt myndighetsområde: Objektene skal klassifiseres som MEGET KRITISK, KRITISK eller VIKTIG. Ut fra klassifiseringen skal objektene beskyttes med sikkerhetstiltak som skal bestå av en kombinasjon av barrierer, deteksjon, verifikasjon og reaksjon, som i sum skal innfri kravene for den aktuelle klassifisering. Ansvar og roller Nasjonal sikkerhetsmyndighet (NSM) En hovedoppgave for NSM er å legge forholdene til rette for god sikring av informasjon og objekter som kan være spionasje-, sabotasje- eller terrormål, for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale interesser. Det vil si planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet. Med sikkerhetstruende virksomhet menes forberedelse til, forsøk på eller gjennomføring av spionasje, sabotasje eller terrorhandlinger, samt medvirkning til slik virksomhet. NSM har det daglige forvaltningsansvaret av sikkerhetsloven med forskrifter. NSM har ansvar for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. NorCERT er en avdeling i NSM som skal forebygge og reagere på angrep fra Internett mot kritisk infrastruktur i Norge. NSM holder oversikt over sikkerhetssituasjonen i samfunnskritisk IKT-infrastruktur, og har til enhver tid et oppdatert IKT-trussel- og sårbarhetsbilde. Politidirektoratet (POD) POD har ansvaret for ledelse og oppfølging av politidistriktene og politiets særorganer, med unntak av Politiets sikkerhetstjeneste (PST). Direktoratets hovedoppgaver er bl.a. strategisk og operativ samordning, etatsledelse, tilsyns-, forvaltningsog beredskapsoppgaver. Direktoratet har en støttefunksjon for politidistriktene og kan gi pålegg overfor politi- og lensmannsetaten i det omfang som til enhver tid er nødvendig og formålstjenlig. Sikkerhetsspørsmål, som ikke faller inn under ansvarsområdet til PST, ivaretas av direktoratet. I beredskapssituasjoner vil direktoratet koordinere innsatsen mellom flere politidistrikter og gi føringer for nivåer for ulike sikkerhets- og beskyttelsestiltak. 10 bakgrunn og beskrivelse av ansvar og roller

11 Politiets sikkerhetstjeneste (PST) PST har som hovedoppgave å forebygge og etterforske lovbrudd som kan true nasjonens sikkerhet og selvstendighet, og skal bidra til å sikre viktige samfunnsinteresser og gjennom sin virksomhet være et ledd i samfunnets samlede innsats for å fremme og befeste borgernes rettsikkerhet, trygghet og alminnelige velferd. Tjenesten benytter ulike metoder og arbeidsmåter. Sentralt står innsamling av informasjon i tilknytning til personer og grupper som kan utgjøre en trussel mot rikets sikkerhet, utarbeidelse av analyser og trusselvurderinger, etterforskning og andre operative tiltak. PST utgir årlig en ugradert nasjonal trusselvurdering. PST skal gi bistand og råd ved gjennomføring av sikkerhetstiltak i forsknings- og undervisningsinstitusjoner, statsadministrasjonen og offentlige og private virksomheter av betydning for viktige samfunnsinteresser. Politidistriktene Politiets oppgave er å forebygge og bekjempe kriminalitet og andre forstyrrelser av den alminnelige orden, samt beskytte person, eiendom og all lovlig virksomhet. Terrorisme er en form for alvorlig kriminalitet, og således en oppgave for politiet å forebygge og bekjempe. Hvert politidistrikt har et selvstendig ansvar for all polititjeneste i eget distrikt. Politiets oppgaver i denne sammenheng vil bl.a. være å: gi generelle råd om forebygging av kriminalitet og råd om tiltak for å forebygge terrorhandlinger. Dette gjøres i samarbeid med PST. gi råd til offentlige og private virksomheter ved utarbeidelse av beredskapsplaner. respondere på og håndtere trusler og hendelser. beskytte og sikre personer og objekter etter særskilt vurdering. Ved behov kan politiet også få bistand fra forsvaret. etterforske trusler og hendelser. Ved akutt mistanke, funn av mistenkelig gjenstander eller trusler om terrorhandlinger må politiet varsles umiddelbart på telefon 112 i en akuttsituasjon. Lokalt politi vil kunne nås på telefonnummer Politidistriktenes operasjonssentraler vil iverksette strakstiltak og sende ut politipatruljer som respons på en hendelse. Politidistriktene er pålagt å ha særlige planer for beskyttelse av definerte risikoobjekter i sitt distrikt. Sikkerhetsarbeid i de enkelte virksomheter Den enkelte virksomhet har et ansvar for egne forebyggende sikkerhetstiltak. Sikkerhet er et lederansvar, og virksomhetens leder må forsikre seg om at virksomheten har en effektiv intern organisering av sikkerhetsog beredskapsarbeidet, samt at sikkerheten er en del av det daglige arbeidet som gjøres av ledere og ansatte. Virksomhetens leder bør holdes løpende informert om risikobildet, og hvilke tiltak som iverksettes for å redusere risikoen ved behov. Virksomhetens leder må, eventuelt i samarbeid med virksomhetens styre og eiere, beskrive ønsket sikringsnivå for virksomheten og kontrollere at dette faktisk oppnås gjennom de tiltakene som iverksettes. Virksomhetene anbefales å peke ut en egen sikkerhetsleder. Denne har en viktig oppgave med å gjennomføre og motivere for en helhetlig tilnærming til sikkerhet i virksomheten, og å gi rådgivning og veiledning til ledelsen og ansatte, samt rapportere og registrere hendelser. Veilederen kan være et godt utgangspunkt for dette arbeidet når det gjelder forebygging mot terrorhendelser, blant annet ved å: benytte råd og veiledninger fra sikkerhetsmyndigheter til å utarbeide interne sikrings- og beredskapsplaner dimensjonere og tilpasse sikringstiltakene i forhold til verdi-, trussel- og sårbarhetsvurderinger samt virksomhetens egenart, blant annet for å omfatte sikkerhet for ansatte/besøkende, investerte verdier, bygninger og lokaler m.v. forsikre seg om at sikringstiltakene til enhver tid er tilpasset situasjonen og gir den tiltenkte effekt fremskaffe kunnskap om sikkerhetssituasjonen og rapportere til virksomhetens øverste ledelse sikre at de ansatte kjenner virksomhetens interne sikkerhetsprosedyrer og er årvåkne overfor terrortrusselen gjennomføre interne øvelser for å kontrollere at virksomheten kan respondere hensiktsmessig på terrorrelaterte trusler og hendelser opprette og vedlikeholde kontakt med politiet og andre relevante aktører bakgrunn og beskrivelse av ansvar og roller 11

12 02 Dette kapittelet beskriver prosessen som bør ligge til grunn for implementering av sikringstiltak mot terrorhandlinger. Kapittelet viser hvordan virksomheten må gjøre en vurdering av egne verdier, sårbarheter, trusler og samlet risiko, samt utforme egne og konkrete mål med sikringstiltakene. Kapittelet presenterer ulike strategier for håndtering av risiko, og hvordan virksomheten kan kvalitetssikre beredskapssystemet gjennom kontinuerlig oppfølging. 12 Her kan det stå en tekst

13 Prosess for utarbeidelse av sikkerhetstiltak Planlegging og organisering av arbeidet Uavhengig av om det gjennomføres en revisjon av eksisterende organisering og tiltak, eller om virksomheten skal etablere tiltak mot terrorhandlinger for første gang, er det viktig at arbeidet organiseres på en hensiktsmessig måte, og ledes av virksomhetens sikkerhetsleder. Arbeidet må forankres hos virksomhetens leder. Det er viktig å informere og involvere alle berørte parter, fordi hele virksomheten blir påvirket av eventuelle tiltak. Systemet som etableres er dessuten avhengig av de ansatte for å fungere som tiltenkt. Veilederen fokuserer på punktet for risikovurdering i risikohåndteringshjulet, som beskriver et forslag til trinn i selve prosessen med å utvikle et beredskapssystem med forebyggende tiltak mot terrorhandlinger. Hvor omfattende og formell prosessen blir, vil blant annet avhenge av størrelsen og kompleksiteten til den enkelte virksomhet, samt hvilke interne og eksterne krav virksomheten har til dokumentasjon. Veilederen retter seg mot virksomheter som er ulike både i størrelse og art. Felles for alle virksomheter er imidlertid prosessen de må igjennom for å oppnå god sikring i forhold til de mål som er satt for sikkerheten. Kontroll og revisjon Planlegging og organisering Verdivurdering Figuren til høyre er en versjon av risikohåndteringshjulet, som viser hvordan det forebyggende sikkerhetsarbeidet kan organiseres i en virksomhet. Implementering av tiltak Risikovurdering og valg av strategi og tiltak Sikringsmål /ambisjon Trusselvurdering Revurdering av mål/ambisjon Valg av strategi og forslag til tiltak Risikovurdering Sårbarhetsvurdering prosess for utarbeidelse av sikkerhetstiltak 13

14 Verdivurdering Gjennomføring av en verdivurdering er sentralt i arbeidet med å innføre sikringstiltak mot terrorhandlinger. Verdivurdering er en kartlegging og rangering av virksomhetens verdier, for å identifisere hvilke som er så viktige at de må beskyttes. Dette gjøres ut fra en systematisk vurdering av hvilke konsekvenser det kan få dersom ressursene rammes av uønskede tilsiktede handlinger. Verdiene som man ønsker å beskytte kan være mange og ulike, for eksempel liv og helse, fysiske objekter og gjenstander og sikkerhetsgradert eller sensitiv informasjon. I tillegg har man mer abstrakte verdier som omdømme, operativ evne, bevegelsesfrihet, med mer. Ofte er det vanskelig å fastsette verdier som ikke kan omgjøres til en kroneverdi. En måte å beskrive slike verdier på kan være å beskrive konsekvensen av fraværet av disse verdiene. Det er viktig å erkjenne at alt ikke kan være like verdifullt og like viktig å beskytte. Denne prioriteringen er vanskelig, men nødvendig. Verdiene vil være dimensjonerende for hvilke mål virksomheten setter seg i arbeidet med å fjerne eller redusere risiko, og for hvor store ressurser som skal brukes på sikkerhetstiltak. Verdivurdering og målsetning legger premissene for det påfølgende arbeidet. Uten å ha avklart dette, vil man ikke kunne verifisere hvorvidt tiltakene man iverksetter har den ønskede virkningen. Virksomhetens sikkerhetsmål Neste trinn er å bestemme seg for hva virksomheten ønsker å oppnå med sikringstiltakene. Eksempler på dette kan være å forhindre alle uønskede hendelser mot de viktigste verdiene, eller å kunne motstå bare de mest sannsynlige og skadelige typer angrep. Hvilke mål virksomheten setter seg med sikringstiltakene vil ha betydning for hvilke kostnader det medfører å beskytte seg. Fastsettelse av mål er en forutsetning for å kunne velge riktig strategi og for å vurdere om tiltakene har den effekt de var tiltenkt. Målene som settes her er ikke nødvendigvis endelige. Hvis det identifiseres risiko som er uakseptabel i forhold til opprinnelig målsetning, må denne søkes redusert eller fjernet. Det kan da bli nødvendig å justere målene med utgangspunkt i tilgjengelige ressurser. Eksempler på målsettinger 0-visjon aksepterer ingen tap eller påvirkning av spesifiserte verdier Vi skal beskytte oss mot trusselaktører av kategori X, men ikke nødvendigvis mot kategori Y Grunnsikringen vår skal kunne beskytte oss mot trussel-aktører av kategori X, men de tidsbegrensede tiltakene skal beskytte oss mot kategori Y Vi skal sørge for at den operative evnen ikke blir påvirket ved en eventuell hendelse samt redusere skadene på øvrige verdier 14 prosess for utarbeidelse av sikkerhetstiltak

15 Eksempel på revurdering av sikkerhetsmål Konsulentselskapet AS har kommet frem til oppgaven med å velge ut tiltak for beredskapssystemet sitt mot terrorhandlinger. De avdekker da at beskyttelse av et element man i utgangspunktet ønsket å sikre, vil medføre høyere kostnader enn et bortfall av dette elementet vil utløse. Trusselen vurderes i tillegg som svært lav. Konsulentselskapet anser derfor dette for å være en risiko som er mer hensiktsmessig å akseptere enn å håndtere på andre måter, og den opprinnelige målsetningen justeres i henhold til dette. Trusselvurdering En trusselvurdering er en beskrivelse og vurdering av antatte trusselaktører, og deres intensjon og kapasitet. En slik vurdering kan ha mange hensikter. De to som er mest relevante i dette arbeidet er å identifisere trusselaktører, deres farlighetsgrad samt mål og modus operandi, for å kunne dimensjonere sikringstiltakene riktig. I tillegg kan en trusselvurdering fungere som en tidlig varsling med tanke på å få implementert de tidsbegrensede sikringstiltakene i tide ved en økt trussel. Det er viktig å hente inn informasjon fra flere kilder. Eksempler på slike er åpne kilder, virksomhetens eller bransjens erfaringsdata, lokalt politi og Politiets sikkerhetstjeneste. Det kan også være nyttig å identifisere scenariene «mest sannsynlig» og «worst case» dersom trusselbildet viser seg å bli for komplekst. Relevante faktorer i en trusselvurdering er blant annet: Historie eller uttrykt intensjon eksisterer det trusselaktører som tidligere har gjennomført eller truet med å utføre en handling? Tilstedeværelse eksisterer det noen trusselaktører i området eller regionen? Kapasitet har trusselaktørene ressurser og kunnskap til å gjennomføre en handling? Målvalg har trusselaktørene valgt ut virksomheten som et mål, direkte eller indirekte? Prosess for utarbeidelse av sikkerhetstiltak 15

16 Det nasjonale trusselnivået Hvilket trusselnivå som til enhver tid er gjeldende, er offentlig tilgjengelig informasjon. Virksomhetene bør være kjent med dette. PST kan også vurdere trusselnivået innen spesielle sektorer og i forbindelse med større arrangementer mv. Det benyttes fire trusselnivåer: Lav En eller flere aktører kan ha intensjoner om, men trolig ingen kapasitet til å ramme bestemte interesser. Det foreligger en mulig, men lite sannsynlig trussel. Moderat En eller flere aktører kan ha intensjoner om og kapasitet til å ramme bestemte interesser. Det foreligger en mulig trussel. Høy En eller flere aktører har intensjoner om og kapasitet til å ramme bestemte interesser. Det foreligger en generell og uspesifisert trussel. Ekstrem En eller flere aktører har intensjoner om og kapasitet til å ramme bestemte interesser. Det foreligger en spesifikk og overhengende trussel. Sårbarhetsvurdering En sårbarhetsvurdering er en beskrivelse og vurdering av i hvilken grad det er mulig for ulike trusselaktører å utføre en uønsket handling, uten å bli stanset eller påvirket. Et sentralt begrep i en slik vurdering er mulighet. I hvilken grad er det mulig for en trusselaktør å forsere virksomhetens sikkerhetstiltak? Graden av mulighet vil variere blant annet etter hvilken kapasitet trusselaktøren har, herunder blant annet hvilken kunnskap, ferdighet og verktøy som denne besitter eller kan få tilgang til. Det er viktig å vurdere robustheten eller sårbarheten i både de permanente og de forberedte, tidsbegrensede tiltakene. Et hensiktsmessig hjelpemiddel for å vurdere effektiviteten av sikringstiltakene er tidsregnskapet. Ved å innføre et fysisk sikringstiltak kjøper du deg tid og gjør det vanskeligere for en trusselaktør å oppnå sitt formål. Det sentrale er at den tiden du kjøper deg, er større enn den tiden det tar før angrepet oppdages og varsles, samt at det reageres på en hensiktsmessig måte. I tilfeller der det ikke er hensiktsmessig å benytte fysiske sikringstiltak, kan man bruke andre strategier for å redusere sårbarheten. Eksempler på dette kan være økt bruk av organisatoriske og aktive tiltak som årvåkenhet, overvåkning samt ulike skadereduserende tiltak. 16 prosess for utarbeidelse av sikkerhetstiltak

17 Risikovurdering Når relevant informasjon er hentet inn og analysert i verdivurderingen, trusselvurderingen og sårbarhetsvurderingen, må kunnskapen sammenstilles i en risikovurdering. Risikovurderingen er ikke en kvantitativ, men en kvalitativ vurdering, blant annet fordi det kan være vanskelig å anslå trusselaktørenes intensjon og kapasitet. En risikovurdering vil derfor alltid innebære en viss grad av subjektivitet. Som regel er dette uproblematisk, da det sentrale er selve prosessen og identifiseringen av de ulike momentene som er med på å påvirke sluttresultatet. Det er mange ulike metoder som kan benyttes for å gjennomføre en risikovurdering. De fleste benytter momenter som verdi, trussel og sårbarhet i vurderingen. Det er imidlertid et skille mellom de metodene som er utarbeidet primært for sikring (security) og de som primært er for trygghet (safety). I denne sammenhengen anbefales det at en metode som er spesielt tilpasset sikring benyttes. Figur: Risikotrekanten Forholdet mellom verdi, sårbarhet, trussel og risiko kan illustreres i risikotrekanten. Figur a) viser en total risiko (R) som et utslag av forholdet mellom de tre variablene verdi (V), sårbarhet (S) og trussel (T). Figur b) viser hvordan en reduksjon av en av variablene (i dette tilfellet: sårbarhet) vil medføre en mindre total risiko. På samme måte vil en økning av en variabel også øke den totale risikoen. a) V R S T b) V R S T prosess for utarbeidelse av sikkerhetstiltak 17

18 Strategier for risikohåndtering Neste trinn i prosessen er å undersøke hvilken strategi eller kombinasjon av strategier det er mulig å benytte for å redusere eller fjerne den eventuelt uønskede risikoen som ble avdekket i risikovurderingen. Virksomheten har tradisjonelt fire ulike strategier å velge mellom. Disse er å unnvike problemet, overføre risikoen til andre, akseptere risikoen eller redusere/fjerne den. Unnvikelse Når risikoen er vurdert å være for høy, og det ikke er gode grunner for å akseptere den, eller mulighet til å overføre, fjerne eller redusere den, må virksomheten vurdere om den skal la være å gjennomføre handlingen eller oppgaven. Dette er ikke nødvendigvis en permanent beslutning, men kan være styrt av for eksempel en høy trussel i en kortere eller lengre periode. Dette kan kanskje være spesielt relevant for virksomheter som har begrensede muligheter for å forebygge en uønsket hendelse, og som i hovedsak må basere seg på en skadereduserende strategi. Det kan også være en mer permanent strategi for eksempel om verdiene man forvalter eller eier, er av en slik karakter at selv den minste risiko er uakseptabel. Overføring Overføring av risiko kan skje på flere måter. En variant er utkontraktering. I dette tilfellet betaler virksomheten for at noen andre skal gjennomføre handlingen eller oppgaven. Noen relevante eksempler er vakt- og sikringsoppgaver, verditransport og drift av IKT-systemer.Det er fordeler og ulemper med dette. Lojalitet og mulighet for kontroll ved ansettelser og av drift er imidlertid relevante problemstillinger for virksomheter som utkontrakterer oppgaver. Dette kan være spesielt viktig om tjenestene leveres og styres fra andre land enn Norge. Forsikring er et annet eksempel på overføring av risiko. Aksept Aksept av risiko kan deles inn i to kategorier passiv eller aktiv. Passiv aksept innebærer at virksomheten tar kostnaden for eller problemene med den uønskede hendelsen når den kommer: såkalt selvassurandør. Aktiv aksept innebærer at virksomheten forventer et visst tap på bakgrunn av uønskede handlinger og setter av en sum penger, dersom det er snakk om en pengeverdi, eller har en stående reserveløsning som vil brukes når tapet er et faktum. Hva som er akseptabelt, vil variere med virksomhet og situasjon. Fjerning eller reduksjon Den risikoen som ikke kan overføres, unnvikes eller aksepteres må søkes redusert eller fjernet gjennom permanente eller tidsbegrensede tiltak. Forebyggende versus skadereduserende tiltak I arbeidet med sikkerhet er det vanlig å skille mellom forebyggende og skadereduserende tiltak. Forebyggende tiltak er ment å forhindre at uønskede hendelser oppstår. Skadereduserende tiltak er ment å redusere konsekvensene dersom en uønsket hendelse likevel inntreffer. For å få en helhetlig tilnærming til sikringstiltakene, er det nødvendig å benytte seg av begge strategier. Forebyggende tiltak kan for eksempel være adgangskontroll, skjerpet vakthold og avsperring av områder. Skadereduserende tiltak kan for eksempel være splinthemmende film/folie på vindusglass eller back-up løsninger for kritiske IKT-systemer. Skjulte versus synlige tiltak Avgjørelsen av om man skal benytte skjulte eller synlige tiltak vil avhenge av situasjonen. Det er fordeler og ulemper med begge alternativene. Fordelen med synlige tiltak er blant annet at de gir et sikkerhetspreg som kan virke avskrekkende på noen trusselaktører. En ulempe kan være at synlige tiltak kan oppleves som skremmende for noen, som endrer sin oppførsel på bakgrunn av tiltakene. Fordelen med skjulte tiltak kan være nettopp å unngå å skape unødig frykt. En annen fordel kan være at en eventuell trusselaktør lettere kan bli identifisert, og kanskje avverget, om de ikke kjenner til at tiltakene er blitt iverksatt og at f.eks. overvåkingen av et område har økt. En kombinasjon av synlige og usynlige tiltak kan være nødvendig. 18 prosess for utarbeidelse av sikkerhetstiltak

19 Teknologi, organisasjon og menneske Sikringstiltak kan deles inn i tre ulike kategorier, teknologiske, organisatoriske og menneskelige. For å oppnå målsetningen med å sikre objekter eller informasjon, vil det i mange tilfeller være avhengig av en kombinasjon av tiltak innenfor de ulike kategoriene som virker sammen. Jo større og mer kompleks en virksomhet er, jo viktigere blir denne kombinasjonen og kategorienes avhengighet av hverandre. Med teknologiske sikringstiltak menes fysiske, elektroniske og logiske sikringstiltak. Med organisatoriske sikringstiltak menes policyer, regelverk, instrukser, veiledninger og annet som skriftlig eller muntlig regulerer atferd og/eller anvendelse av teknologiske sikringstiltak. Med menneskelige sikringstiltak menes tiltak rettet mot enkeltmennesker og grupper. Dette er psykologiske og sosiologiske tiltak som påvirker adferd og reell evne til å bruke teknologiske sikringstiltak og følge organisatoriske sikringstiltak. Det kan også være tiltak som iverksettes av individer og/eller grupper for å hindre en uønsket hendelse, i fravær av teknologiske og organisatoriske tiltak. Denne kategorien er særlig viktig, da de to andre kategoriene raskt kan bli virkningsløse om mennesket svikter. Eksempler på viktigheten av menneskelige tiltak Konsulentselskapet AS kjøper inn dyre og sikre verdiskap til alle sine ansatte. De følger opp kjøpet med gode skriftlige instrukser om hvordan skapene skal låses og åpnes, og hvordan nøkler og koder skal oppbevares. De ansatte synes imidlertid løsningen er tungvint, og velger å oppbevare dokumentene sine i ulåste skuffer og skap. Effekten av de to første tiltakene blir fullstendig fraværende på grunn av mangelen på menneskelige tiltak gjennom bevisstgjøring av de ansatte. Kvalitetssikring Beredskaps- og sikkerhetsplaner bør systematisk øves, testes, kontrolleres, vedlikeholdes og revideres for å sikre at de fungerer som tiltenkt og er tilpasset virksomhetens behov. Eksterne så vel som interne faktorer kan og vil forandre seg, og planene må gjenspeile dette. Det finnes flere måter å kvalitetssikre en virksomhets beredskapsplaner på, og de vanligste beskrives her. Øvelser Hyppigheten av øvelser vil være avhengig av blant annet virksomhetens struktur, risikobilde eller resultatet av tidligere øvelser. En øvelse kan være altomfattende og involvere alle aspekter av planverket og alt personell, eller rettet mot et begrenset område av beredskapsplanen og begrensede personellgrupper og utstyr. Eksempel på en slik begrenset øvelse kan være å gjennomføre en evakuering fra bygningen. En øvelse bør ha en overordnet målsetting og en beskrivelse av hva man forventer å få ut av øvelsen. Det kan være formålstjenlig å fokusere på svakheter som er avdekket i tidligere øvelser. prosess for utarbeidelse av sikkerhetstiltak 19

20 Øvelsene bør sikre at personell med særskilt ansvar kjenner til hvilke tiltak de skal treffe og hva som er deres rolle i det aktuelle scenariet, og at planlagte tiltak er godt kjent og innøvd. Øvelsene bør også sikre at de ansatte er godt kjent med hvilke tiltak som treffes dersom en hendelse skulle inntreffe. Eksempler her er evakueringsplaner, tiltak for å sikre områder ved bombealarm, samlingsplasser etc. I tillegg til å øve prosedyrer og tiltak, bør øvelsene omfatte testing og kontroll av nødvendig utstyr, for eksempel varslingsanlegg, kommunikasjons- og høyttaleranlegg. Også rutiner og ansvar for å kontakte nødetater og eventuell rapportering til sentralt hold er relevant. Like viktig som øvelsen selv er evalueringen etterpå. Evalueringen bør være en systematisk gjennomgang av øvelsen i ettertid for å identifisere forbedringspunkter. Dersom øvelsene avslører svakheter i prosedyrer og tiltak, må planverket justeres. Etterfølgende øvelser bør fokusere på svakhetene som tidligere ble påvist. Øvelser kan ha forskjellig form og være beregnet på forskjellige nivåer i virksomheten. Det er nødvendig å ha klart for seg hvilke nivåer som skal øves, slik at relevante problemstillinger blir spilt inn til de rette nivåene. De vanligste typer øvelser er: Bordøvelser (tabletop): En øvelsesform hvor tiltak ikke iverksettes reelt. Deltakerne samles rundt et bord. Problemstillinger blir spilt inn, og de enkelte deltagere legger frem sine bidrag til løsning. Hver problemstilling blir behandlet helt ut før neste blir lagt frem. Spilløvelser: En egen spillstab styrer øvelsens gang. Øvingsdeltakerne jobber ut fra de posisjonene de ville hatt i et reelt tilfelle. Spillstaben gir innspill i tilnærmet sanntid etter en planlagt hendelsesoversikt (dreiebok). Øvelsen begrenser seg til at beslutninger blir tatt og tiltak blir beordret, men tiltakene blir ikke iverksatt. Avgjørelser må tas mens et scenario utspiller seg på samme måte som det ville gjort i en virkelig situasjon. Slike øvelser gir en høy grad av realisme uten å involvere store ressurser, samtidig som beslutningstagere får samarbeide slik de vil måtte gjøre i en reell situasjon. Feltøvelser: En feltøvelse er en praktisk innsatsøvelse. Øvelsen styres av en spillstab på lik linje med en spilløvelse, men i tillegg blir tiltakene, eller enkelte av tiltakene, satt ut i livet. Dette er en ressurs- og personellkrevende måte å øve på, men vil på en god måte verifisere at tiltak fungerer hensiktsmessig og at personellet kjenner sine roller og innholdet i beredskapsplanen. En slik øvelse kan også være lærerik når det gjelder å koordinere innsats med eksterne aktører, eksempelvis politi og andre nødetater. Kontroll og testing Regelmessige kontrollrutiner er viktig for å sikre at nødvendig utstyr og rutiner fungerer som de skal. Kontakt- og varslingslister, sperremateriell, back-up strømforsyninger, informasjonsmedier, sambandsutstyr/kommunikasjonsmidler, førstehjelpsutstyr, brannslokkingsutstyr er eksempler på hva som bør være gjenstand for regelmessig kontroll. I tillegg kan det være hensiktsmessig å foreta regelmessige, men uvarslede tester av enkelte deler av beredskapsplanen. Slike tester vil bedre enn noe annet vise «tingenes reelle tilstand». Eksempler på dette er å gjennomføre en uvarslet evakueringsøvelse, eller å kontakte personell uten forvarsel og be dem iverksette i henhold til prosedyrer for et bestemt beredskapsnivå. 20 prosess for utarbeidelse av sikkerhetstiltak

21 Vedlikehold og revisjon En beredskapsplan må vedlikeholdes og revideres regelmessig. Sikringstiltakene som er planlagt bør regelmessig gjennomgås for å sikre at de fungerer som de skal. Dersom det skjer endringer i forutsetningene for planen, bør dette følges opp i planen så snart som mulig. Eksempler på faktorer som kan kreve endringer i beredskapsplanverket, er: Endringer i organisasjonsstrukturen Fysiske endringer (flytting, utbygging av kontorlokaler, oppussing) Endringer i trusselbildet Store endringer kan medføre behov for å utarbeide ny risikovurdering og legge denne til grunn for en større revisjon av beredskapsplanverket. Det anbefales uansett å gjennomføre en risikovurdering med jevne mellomrom. prosess for utarbeidelse av sikkerhetstiltak 21

22 03 Dette kapittelet viser en skjematisk fremstilling av et nivåbasert beredskapssystem, og tar for seg prosessen med å velge ut konkrete tiltak til de ulike beredskapsnivåene. Kapittelet tar også for seg metode for fastsettelse av lokalt beredskapsnivå, og viser den dynamiske sammenhengen mellom trusselnivå, verdi og sårbarhet. 22 Her kan det stå en tekst

23 Beredskapssystemet Lokale beredskapsnivåer Et beredskapssystem må være dynamisk og kunne tilpasses endringer i virksomhetens risikobilde. Det vil være hensiktsmessig at virksomhetens beredskapsplaner er bygget opp med ulike nivåer. Til høyre beskrives fire nivåer i tillegg til grunnsikringen, som er normaltilstanden for virksomheten. Beredskapsnivåene er ment å iverksettes i en tidsbegrenset og ekstraordinær situasjon som følge av endringer i risikobildet. Virksomhetene bør tilpasse sine konkrete tiltak til disse beredskapsnivåene. Beskrivelsen av nivåene er veiledende. Det anbefales at beredskapsnivåene gis en betegnelse som er lett forståelig og kjent for den enkelte ansatte i virksomheten. Eksemplene nedenfor er i alminnelig bruk i ulike virksomheter: Bruk av tall - beredskapsnivå I, II, III, IV Bruk av bokstaver - A, B, C, D Bruk av farger - benyttes blant annet av politiet i deres beredskapsplaner (grønn, gul, oransje og rød). Bruk av bokstaver i kombinasjon med farge - benyttes av NATO (A og B på gul bunn, C og D på rød bunn) Første beredskapsnivå Dette beredskapsnivået gir uttrykk for en endring eller usikkerhet i risikobildet, hvis art og omfang er ukjent. Omstendighetene innebærer at det er behov for å styrke grunnsikringen og årvåkenheten noe. Andre beredskapsnivå Dette nivået benyttes når det foreligger en økt og mer spesifikk endring i risikobildet, selv om ikke noe spesielt mål har blitt identifisert. Det innebærer en betydelig økning av sikringsnivået ved virksomheten, men daglig drift skal fortsatt ivaretas. Tredje beredskapsnivå Dette nivået brukes når risikobildet tilsier at et terrorangrep er overveiende sannsynlig. Et slikt nivå medfører at drift og aktivitetsnivå ved virksomheten reduseres betydelig og vanskelig kan opprettholdes i mer enn korte perioder av gangen. Fjerde beredskapsnivå Tiltakene ved dette beredskapsnivået innføres når en terrorhandling inntreffer, eller der etterretning eller annen informasjon tilsier at et terrorangrep mot et spesifikt, identifisert mål er overveiende sannsynlig. Aktivitet og drift reduseres til et minimum. beredskapssystemet 23

24 Fastsettelse av lokalt beredskapsnivå Beredskapsnivået bør i utgangspunktet fastsettes etter en risikovurdering foretatt av virksomheten selv. Det er ingen automatisk sammenheng mellom det generelle nasjonale trusselbildet for Norge og det beredskapsnivå som bør benyttes. Trusselen mot en virksomhet kan både være større og mindre enn det generelle trusselbildet, og vil være gjenstand for en vurdering av den enkelte virksomhet eller på bakgrunn av en hendelse eller situasjon som krever ekstra tiltak. En heving av det nasjonale trusselnivået vil imidlertid medføre at virksomheten må ta stilling til om dette påvirker deres eget risikobilde og således krever et økt beredskapsnivå. Det nasjonale trusselnivået vil være en av flere faktorer i denne vurderingen. Råd om å styrke sikkerheten kan også formidles fra politiet, med utgangspunkt i trusselvurderinger fra Politiets sikkerhetstjeneste eller lokale vurderinger foretatt av det enkelte politidistrikt. Endringer i virksomhetens verdi eller sårbarhet kan også påvirke risikobildet, og dermed hvilket beredskapsnivå virksomheten bør ha. Skjematisk fremstilling av beredskapssystemet Figuren nedenfor viser eksempel på oppbyggingen av et beredskapssystem. Tiltakene er inndelt i teknologiske, organisatoriske og menneskelige kategorier, men for enkelhets skyld er det ikke skilt mellom forebyggende og skadereduserende tiltak. Det er viktig at tiltakene i virksomhetens grunnsikring og tiltakene i beredskapssystemet til sammen består av en effektiv og hensiktsmessig kombinasjon av forskjellige barrierer. Teknologiske grunnsikringstiltak ligger for eksempel ofte til grunn for organisatoriske beredskapstiltak. De beredskapsnivå og tiltak som beskrives i veilederen består av forsterkende og tidsbegrensede tiltak og er i utgangspunktet ikke ment å skulle opprettholdes over lang tid. Tiltak som iverksettes kan være ressurskrevende og påvirke de ansatte eller organisasjonens virksomhet. Normaltilstand bør derfor opprettes så snart dette er mulig og forsvarlig. Dersom tiltakene må opprettholdes over lang tid bør man vurdere å implementere dem i grunnsikringen. Grunnsikring tiltak Teknologiske Organisatoriske Menneskelige Første beredskapsnivå Andre Tredje Fjerde 24 beredskapssystemet

25 Eksempler på fastsettelse av beredskapsnivå Eksempel 1: På tross av at det nasjonale trusselnivået er lavt, velger Konsulentselskapet AS å heve sitt beredskapsnivå til nivå 2. Dette gjøres fordi PST har vurdert trusselen mot virksomheten til å være høyere på grunn av deres forretningsvirksomhet i et konfliktfylt område av verden. Etter fire uker uten noen informasjon eller indikasjoner om at de opplysningene man hadde utgjør noen reell trussel for virksomheten, velger Konsulentselskapet AS å gjenopprette normal sikkerhetstilstand. Beredskapsnivået senkes til 1. Eksempel 2: Det nasjonale trusselnivået er lavt. Offentlighetsdirektoratet får imidlertid besøk av statsministeren i forbindelse med åpningen av sitt nye anlegg, og velger derfor å heve beredskapen til nivå 2 under hele besøket. Her vil også politiet kunne iverksette tiltak, og virksomheten vil kunne få råd fra politiet om hvilke tiltak som bør iverksette. Straks besøket er over gjenopprettes normal sikkerhetstilstand ved direktoratet. Eksempel 3: Det nasjonale trusselnivået heves til høyt. Konsulentselskapet AS velger likevel bare å innføre enkelte tiltak, fordi de anser egen virksomhet som et lite sannsynlig terrormål. beredskapssystemet 25

26 Eksempel på teknologiske, organisatoriske og menneskelige tiltak Acme AS har investert i sikre dører med et avansert elektronisk låssystem til alle sine adgangspunkter (et teknologisk forebyggende tiltak). I en normalsituasjon (grunnsikring) åpnes disse ved at ansatte holder adgangskortene sine foran kortleseren. Ved beredskapsnivå 1 innføres også PIN-kode for å åpne dørene, og ved nivå 2 differensieres adgangen for de ansatte til kun å gjelde deres egne kontorer og andre tjenestemessige nødvendige deler av virksomhetens lokaler (organisatoriske forebyggende tiltak). Ved første heving av beredskapsnivå innkalles alle ansatte til en brief, der de blir informert om situasjonen som foreligger, og der viktigheten av å følge prosedyrer og være årvåken i forbindelse med adgangskontroll understrekes (menneskelig forebyggende tiltak). Virksomhetens tiltaksliste basert på beredskapsnivå Virksomheten bør lage en tiltaksliste basert på virksomhetens egenart, risiko- og sårbarhetsbilde og eksisterende grunnsikring. Virksomhetens geografiske plassering, profil og sikkerhetsstrategi legger også grunnlaget for hvilke tiltak som er aktuelle. Tiltakslisten kan utformes på tre måter: a) En fast liste med tiltak for hvert av de fire beredskapsnivåene som innføres automatisk og uavhengig av årsaken til endringen i risikobildet b) En liste med tiltak for hvert av de fire beredskapsnivåene, der hvilke tiltak som skal iverksettes blir gjenstand for en vurdering på bakgrunn av den aktuelle situasjonen c) En kombinasjon av a) og b) De to sistnevnte modellene tar større hensyn til den spesifikke risikoinformasjonen som foreligger, og virksomheten har i større grad mulighet for å styre konsekvensene for den daglige driften gjennom å kun innføre de tiltak som synes hensiktsmessige. Disse modellene har større fleksibilitet. For eksempel vil det være mulig å benytte tiltak fra et høyt nivå på et lavere nivå og motsatt. De ansatte i virksomheten bør være kjent med hvilket beredskapsnivå som er gjeldende, og hvilke sikkerhetsrutiner som gjelder for dette. Det er derfor viktig med god internkommunikasjon, og at alle som har behov for det har tilgang til beredskapsplanene. Beredskapssystemet kan også brukes til å indikere behovet for å øke årvåkenheten, for eksempel ved at beredskapsnivået høynes, men få eller ingen tiltak innføres. Tiltakene kan systematiseres på en måte som gjør det enkelt å formidle hvilke tiltak som innføres ved en heving av beredskapsnivået, for eksempel 1.a, 1.b, 2.a, 2.b, osv. der tallene representerer beredskapsnivå og bokstavene de ulike tiltakene. 26 beredskapssystemet

27 Eksempel på implementering av tiltak Konsulentselskapet AS velger, på bakgrunn av informasjon fra PST og politiet om mulige demonstrasjoner mot deres virksomhet, å heve beredskapsnivået til 1. Grunnet denne spesifikke trusselen er det ikke alle 1-tiltak som er hensiktsmessige, så noen utelates. I tillegg innfører imidlertid bedriften et tiltak som egentlig tilhører beredskapsnivå 2, da dette tiltaket er spesielt relevant for situasjonen og det er fryktet at situasjonen raskt kan endre seg og dette tiltaket krever litt tid for å implementeres. beredskapssystemet 27

28 04 Dette kapittelet inneholder eksempler på konkrete sikringstiltak mot terrorhandlinger, inndelt i hensiktsmessige kategorier. 28 Her kan det stå en tekst

29 Beredskapsnivå og sikringstiltak Bruk av tiltak i de ulike beredskapstrinn Eksemplene i dette kapittellet er ofte benyttede, generelle sikkerhets- og beredskapstiltak som kan være hensiktsmessige mot terrorhandlinger. Forslagene er ikke uttømmende. Mange av tiltakene er generiske og kan innføres i større eller mindre grad, og vil være aktuelle på flere beredskapsnivåer. Eksempelvis er å «forsterke adgangskontrollen» et tiltak som kan innføres på et lavt beredskapsnivå og så styrkes ytterligere for hvert av de neste nivåene. Alle tiltakene vil ikke være like relevante for alle virksomheter. Virksomhetene må selv bestemme hvilke tiltak som er hensiktsmessige og hvorvidt de må suppleres med andre tiltak. Geografisk plassering, profil, type virksomhet, sikkerhetsstrategi, nivå på grunnsikring og ikke minst virksomhetens verdivurdering, trusselbilde og sårbarheter er eksempler på faktorer som har betydning for hvilke sikkerhets- og beredskapstiltak som er aktuelle. Tiltakene er gruppert tematisk og inndelt i teknologiske, organisatoriske eller menneskelige tiltak. Det er ikke nødvendig at den endelige beredskapsplanen skiller tiltakene på denne måten, men det er hensiktsmessig for å systematisere utvelgelsen av tiltak til de forskjellige nivåene. Eksemplene skiller ikke mellom forebyggende og skadereduserende tiltak, fordi oppsettet da ville blitt unødig komplisert. Det er imidlertid viktig å ta hensyn til denne inndelingen når man velger tiltak, og være bevisst på om de enkelte tiltakene søker å forebygge selve terrorhandlingen eller redusere skadevirkningene av den. Beredskapstiltakene består av flest organisatoriske og menneskelige tiltak. Teknologiske tiltak, som for eksempel et adgangskontrollsystem, vil i mange tilfeller allerede være en del av grunnsikringen. Bruken vil imidlertid kunne skjerpes inn som følge av organisatoriske beredskapstiltak når høyere beredskapsnivåer innføres. Sandsekker eller andre former for mobile fysiske barrierer er typiske tidsbegrensede teknologiske tiltak. Eksempler på valg av tiltak på bakgrunn av sikkerhetsstrategi Eksempel 1: I Sikkerhetsdepartementet er en del av den overordnede sikkerhetsstrategien å holde en lav profil, uten synlige logoer eller annen markering av biler eller kontorer. beredskapsnivå og sikringstiltak 29

30 Ingen former for synlig vakthold inngår som en del av deres beredskapsplan, da dette antas å kun bidra til å tiltrekke seg uønsket oppmerksomhet og således øke risikoen i stedet for å redusere den. Eksempel 2: Konsulentselskapet AS er en virksomhet som opererer i et marked med sterk konkurranse, og det er viktig for virksomheten å profilere seg tydelig. Deres bransje er også generelt terrorutsatt. Det er derfor viktig å signalisere til både ansatte og besøkende at sikkerhet står i høysetet, samtidig som man ønsker å fremstå som et utilgjengelig mål for potensielle terrorister. Uniformert vakthold og adgangskontroll er i utgangspunktet en viktig del av grunnsikringen til Konsulentselskapet AS, og denne forsterkes allerede ved en forhøyelse til beredskapsnivå 1. Eksempel på innføring av tiltak på ulike beredskapsnivå Beredskapsnivå a Alle ansatte må vurdere egne aktivitetsmønstre og endre disse regelmessig Møtevirksomhet som fordrer ekstern deltagelse reduseres til minimum Kun ansatte får adgang til virksomheten Kun ansatte med funksjoner definert som «kritiske» får adgang til virksomheten b Adgangskort må bæres synlig Bruk av pinkode innføres på elektroniske låssystemer Ingen endring Ansatte får kun adgang til områder der de har tjenstlig behov c Iverksette kontroll av alle innpasserende kjøretøy Iverksette kontroll av alle parkerte kjøretøy på virksomhetens område Ingen kjøretøy tillates parkert nærmere enn 25 meter fra hovedkontoret Ingen kjøretøy får kjøre inn på virksomhetens område d Gjennomgå rutiner for mottak av post og varer All post og varer skal gå til post- og varemottak for kontroll Varer fra ukjente avsendere avvises Ingen endring e Sørge for at det er ryddig og oversiktlig La utvendig belysning stå på når det er mørkt Fjern søppelkasser fra bygninger som er i bruk Ingen endring a, b, c, d, e = Tiltak 30 beredskapsnivå og sikringstiltak

31 Eksempler på tidsbegrensede og forsterkende sikkerhetstiltak Adgangskontroll for personell og besøkende Hensikt: Begrense mulighetene for potensielle aktører til å få adgang til bygninger/lokaler eller nærliggende områder Teknologiske tiltak Der det er hensiktsmessig, etablere fysiske sperringer for å hindre ferdsel Organisatoriske tiltak Vurdere behovet for antall adgangspunkter og begrense eller stenge disse når dette er hensiktsmessig Vurdere om forskjellige adgangspunkter kan brukes tilfeldig for å vanskeliggjøre eventuelle anslag Identifisere alle personer som kommer inn i virksomheten ved å kontrollere ID-kort Gjennomføre stikkprøvekontroller av håndbagasje for besøkende/ansatte. Den som ikke samtykker til kontroll, nektes adgang til virksomhetens område Ledsage besøkende på en hensiktsmessig måte Om mulig sikre at adgangskontrollene plasseres bort fra områder som ligger nær oppholdssted for ansatte Kontrollere låsesystemer og foreta hyppigere skifte av adgangskoder Låse eller på annen måte sikre bygninger og områder som ikke er i regelmessig bruk Foreta kontroll av besøkende utenfor ordinært mottaks- og resepsjonsområde Begrense adgang til bygninger/lokaler for besøkende som ikke tilhører virksomheten Adgang til bygning/lokale gis kun til ansatte Adgang til bygning/lokale gis kun til ansatte med spesielle funksjoner når det gjelder drift av kritiske systemer for virksomheten Gjennomsøke personell og eiendeler som skal gis adgang til bygning/lokale. Den som ikke samtykker til kontroll, nektes adgang til virksomhetens område Menneskelige tiltak Skjerpe årvåkenheten overfor mistenkelige personer og gjenstander Adgangskontroll for kjøretøy Hensikt: Redusere risikoen forbundet med at kjøretøyer blir brukt til å aksjonere mot bygninger eller å skjule gjenstander, for eksempel sprenglegemer Teknologiske tiltak Der det er hensiktsmessig, etablere fysiske sperringer for å kontrollere ferdsel og hindre uvedkommende kjøretøy adgang Der det er hensiktsmessig, etablere hindringer (sjikaner) for å redusere farten til kjøretøyer som nærmer seg bygningen Organisatoriske tiltak Iverksette eller styrke kontroller ved inn- og utkjørsler Gjennomgå virksomhetens parkeringsordninger og eventuell bruk av underjordisk parkeringsanlegg. Fastsette en minste avstand mellom bygninger og parkerte kjøretøyer som kan brukes til å skjule sprenglegemer, så langt unna som praktisk mulig Gjennomføre stikkprøvekontroller av kjøretøyer ved inn- og utkjørsler til virksomhetens område. Den som ikke samtykker til kontroll, nektes adgang til virksomhetens område Menneskelige tiltak Skjerpe årvåkenheten når det gjelder mistenkelige kjøretøyer Post- og varemottak Hensikt: begrense muligheten for at post- og varemottak benyttes til å gjennomføre anslag mot virksomheten Organisatoriske tiltak Alle vareleveranser skal gå til post- og varemottak Ikke tillate vareleveranser fra ukjente avsendere Øke bruk av deteksjonsmidler Menneskelige tiltak Sikre at sikkerhetspersonell og personale i postmottak er kjent med rutiner for mottak av post ved høynet beredskap Sikre at leverandører av varer og tjenester er innforstått med beredskapsnivået og hvilke praktiske følger dette får for dem beredskapsnivå og sikringstiltak 31

32 Fysiske omgivelser Hensikt: Vanskeliggjøre utførelsen av anslag mot virksomhetens bygningsmasse og personell Organisatoriske tiltak Øke bruk av utvendig belysning Der det er mulig flytte alle gjenstander som kan brukes til å skjule sprenglegemer, for eksempel søppeldunker og kasser, unna bygninger/lokaler som er i bruk, eller sikre dem og plassere dem på overvåkede steder Sørge for at det er ryddig og oversiktlig rundt virksomheten. Kutt ned vegetasjon om nødvendig Intensiver bruken av elektronisk overvåking Øke den visuelle kontrollen av parkerte kjøretøyer i virksomhetens nærhet Transport Hensikt: Redusere sårbarheten til virksomhetens kjøretøyer og sikre at de samme prinsipper for forebyggende sikkerhet som gjelder for bygninger /lokaler også gjelder for beskyttelsen av virksomhetens kjøretøyer og deres passasjerer Organisatoriske tiltak Sikre at kjøretøyer ikke forlates ulåst, og at de undersøkes før bruk. Det bør fastsettes tiltak for å sikre virksomhetens kjøretøyer når de er parkert, særlig på offentlig område Sikre at passasjerer og bagasje undersøkes Vokte virksomhetens kjøretøyer når de ikke befinner seg i et beskyttet og kontrollert område Undersøke kjøretøyer som har vært forlatt ubevoktet før bruk Sikre at rutinetransporter foregår til varierte tider, særlig når det gjelder transport av passasjerer Sikre at påstignings- og avstigningspunktene i forbindelse med transporten varieres, og at reiserutene varieres dersom dette er mulig IKT Hensikt: Beskytte vitale IKT-systemer mot angrep Organisatoriske tiltak Gjennomgå instruksverk og annen sikkerhetsdokumentasjon knyttet til informasjonssystemene Intensiver sikkerhetsoppdateringer av programvare og sikkerhetsovervåkingen av systemene, logger, brannmurkonfigurasjoner m.m. Innføre kortere intervaller for skifte av passord Etablere vaktordning med nøkkelpersonell for å sikre drift av kritiske informasjonssystemer Kontrollere at tilgang til informasjonssystemer er mulig selv om nøkkelpersonell ikke er tilgjengelig, herunder sikre tilgang til systemdokumentasjon og passord for administratorer Gjennomgå planer for alternativ lokalisering av informasjonssystem(er) Foreta hyppig fjernlagring av sikkerhetskopier Vurdere bruk og oppbevaring av mobiltelefon og andre bærbare elektroniske enheter. Om nødvendig innskjerpe reglene for bruk av mobiltelefon og hvor den kan medbringes Øke bruken av tilgjengelige kryptoløsninger Kontrollere at virksomheten har oppdatert oversikt over eventuell gradert/sensitiv informasjon og materiell, inkludert maskinlesbare lagringsmedia Gjennomgå prosedyre for nødmakulering Menneskelige tiltak Sikre at sjåførene er orientert om terrortrusselen og forstår hva de bør gjøre for å forebygge en terroraksjon 32 beredskapsnivå og sikringstiltak

33 Personell Hensikt: Vanskeliggjøre anslag mot personell og redusere skade på liv og helse ved et eventuelt anslag Organisatoriske tiltak Avlyse mindre viktige aktiviteter som kan øke eksponeringen av ansatte eller lokalene Sikre at ansatte varierer aktivitetsmønstre for å unngå å framstå som et forutsigbart mål Sikre at ansatte ikke samler seg i større grupper, der dette er mulig Redusere/unngå opphold i de delene av bygningen /lokalet som etter en risikovurdering fremstår som mer sårbare for anslag Henvise de ansatte til et trygt område eller evakuere dem Gjennomføre øvelser og evakueringsdriller Menneskelige tiltak Sikre at de ansatte er kjent med beredskapsnivået og de tiltak som er iverksatt Iverksette informasjonstiltak for å sikre at alle ansatte til enhver tid er orientert om trusselen fra terrorisme og hvilke former trusselen kan ha Alle ansatte skal med jevne mellomrom påminnes om å være årvåkne med hensyn til ukjente personer, kjøretøyer, etterlatte pakker og vesker, nettaktivitet eller annen unormal aktivitet. Dette gjelder også sosial manipulering, blant annet i forbindelse med tilgang til ressurser på informasjonssystemer og adgang til lokaler Sikre at alle ansatte vet hva de skal gjøre dersom det inntrer en hendelse, blant annet gjelder dette kjennskap til alarmer, evakueringsordninger, samlingspunkter og trygge områder Ansatte som er ansvarlige for iverksetting av tiltak mot en terrortrussel skal være tilgjengelige Vakthold og inspeksjon Hensikt: Å kunne oppdage mistenkelige gjenstander som er etterlatt i lokalene. Redusere risikoen for aksjoner gjennom utplassering av vakt- og sikkerhetspersonell, både for å avskrekke og for å oppdage inntrengere Organisatoriske tiltak Sikre at det fastsettes rutiner for å inspisere bygningen/lokalet innvendig. Dette gjelder særlig samlingspunkter for ansatte og lokaliteter med kritiske funksjoner Sikre at områder som ikke er i bruk undersøkes, sikres og inspiseres med jevne mellomrom Øke synligheten av inspeksjon og vakthold ute og inne Kommunikasjon Hensikt: Sikre effektivt samarbeid med både interne og eksterne samarbeidspartnere Organisatoriske tiltak Kontrollere rutinene for å motta og formidle instruksjoner fra politi, vaktstyrke og sikkerhetstjenester Kontrollere aktuelle interne og eksterne varslingslister Kontakte leverandører og samarbeidende virksomheter for å bekrefte deres iverksettelse av tiltak i henhold til avtale Sikre at vakt- og sikkerhetspersonale er utstyrt med alarm- og varslingssystemer slik at de kan varsle omgående dersom et anslag synes å være nært forestående beredskapsnivå og sikringstiltak 33

34 Annen relevant litteratur ASIS International (2008) Threat Advisory System Response Guideline, Alexandria: ASIS International Forsvarsdepartementet (2007) ot.prp.nr 21 ( ) Om lov om endring i lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven), Oslo: Forsvardepartementet Justis- og politidepartementet (2000) ot.prp.nr. 29 ( ) Om lov om endringer i politiloven (overvåkingstjenestens oppgaver mv.). Oslo: Justisog politidepartementet Forsvarsbygg (2005) Sikringshåndboka - Håndbok i sikring og beskyttelse av eiendom, bygg og anlegg mot terrorhandlinger, spionasje, sabotasje og annen kriminalitet, Oslo: Forsvarsbygg (unntatt offentlighet) Idsø, Einar Skavland og Jakobsen, Øyvind Mejdell (2000) Objekt og informasjonssikkerhet, - metode for risiko- og sårbarhetsanalyse, Trondheim: Institutt for produksjons- og kvalitetsteknikk, Norges teknisknaturvitenskaplige universitet (NTNU) Nasjonal sikkerhetsmyndighet (2006) Veiledning i risiko- og sårbarhetsanalyse, Kolsås: Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet (2009) Veiledning i verdivurdering, Kolsås: Nasjonal sikkerhetsmyndighet Norges offentlige utredninger (NOU) (2006) Når sikkerheten er viktigst - beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner, Oslo: Departementenes servicesenter Politidirektoratet (2007) Politiets beredskapssystem del I - Håndbok i krisehåndtering, Oslo: Politidirektoratet Standard Norge (2008) Norsk standard Krav til risikoanalyser, Oslo: Standard Norge Vinje, Finn-Erik (2006) Sikkerhet Safety/Security En begrepsutredning, i NOU 2006:6 Når sikkerheten er viktigst - beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner, Oslo: Departementenes servicesenter. Øksne, Anders og Furuseth, Helge Rager (2004) Risikohåndtering, Trondheim: NTNU 34 anbefalt videre lesning

35

36 En veiledning for offentlige og private virksomheter Tangram Design // Photo: Johnér/Tangram

Veileder. Håndbok for samfunnsøkonomiske analyser

Veileder. Håndbok for samfunnsøkonomiske analyser Veileder Håndbok for samfunnsøkonomiske analyser 2 SSØ 10/2010, 1. opplag 1500 eks. Forord Det er viktig at statlige tiltak er velbegrunnede og gjennomtenkte. Samfunnsøkonomisk analyse er en metode for

Detaljer

TEMA. Veileder for sikkerhet ved store arrangementer

TEMA. Veileder for sikkerhet ved store arrangementer TEMA 10 Veileder for sikkerhet ved store arrangementer Veileder for sikkerhet ved store arrangementer 4 innhold Innledning... 9 Arbeidsgruppen...9 Definisjoner...9 Oppbygging...10 Erfaringstilbakeføring...10

Detaljer

Åpenhet og trygghet i de nordiske samfunn etter erfaring med terrorhandlinger

Åpenhet og trygghet i de nordiske samfunn etter erfaring med terrorhandlinger Åpenhet og trygghet i de nordiske samfunn etter erfaring med terrorhandlinger Sjef for Politiets sikkerhetstjeneste Benedicte Bjørnland, Norge Åpenhet og trygghet i de nordiske samfunn etter erfaring

Detaljer

NOU Norges offentlige utredninger 2006: 6

NOU Norges offentlige utredninger 2006: 6 NOU Norges offentlige utredninger 2006: 6 Når sikkerheten er viktigst Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner Innstilling fra utvalg oppnevnt ved kongelig resolusjon

Detaljer

Sikker håndtering av personopplysninger i skolen

Sikker håndtering av personopplysninger i skolen Sikker håndtering av personopplysninger i skolen veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra

Detaljer

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Nr. 2006:4 Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Skrevet på oppdrag fra Fornyings- og administrasjonsdepartementet Forord Statskonsult viderefprte i 2005 sitt flerflrige arbeid

Detaljer

Veileder Resultatmåling

Veileder Resultatmåling Veileder Resultatmåling Mål- og resultatstyring i staten SSØ 12/2010, 2. opplag 3000 eks. Forord God informasjon om egne resultater er en forutsetning for at statlige virksomheter skal kunne tilpasse seg

Detaljer

Samfunnssikkerhet og risikoforskning (SAMRISK) Innstilling fra en utredningsgruppe nedsatt av Norges forskningsråd

Samfunnssikkerhet og risikoforskning (SAMRISK) Innstilling fra en utredningsgruppe nedsatt av Norges forskningsråd Samfunnssikkerhet og risikoforskning (SAMRISK) Innstilling fra en utredningsgruppe nedsatt av Norges forskningsråd Forord Utredningsgruppen for planlegging av en forskningssatsning innen samfunnssikkerhet

Detaljer

Ulik avviksrapportering et lederspørsmål?

Ulik avviksrapportering et lederspørsmål? Ulik avviksrapportering et lederspørsmål? Masteroppgave i Endringsledelse Samfunnsvitenskapelig fakultet Universitetet i Stavanger Høsten 2014 Gunn Laila Dahlseng Hope 1 UNIVERSITETET I STAVANGER MASTERGRADSSTUDIUM

Detaljer

God praksis for å hindre. eksterne misligheter

God praksis for å hindre. eksterne misligheter Fédération des Experts Comptables Européens God praksis for å hindre eksterne misligheter November 2005 Et notat fra FEEs Public Sector Committee (FEEs komité for offentlig sektor) Oversatt til norsk i

Detaljer

Veileder Gevinstrealisering

Veileder Gevinstrealisering Veileder Gevinstrealisering planlegging for å hente ut gevinster av offentlige prosjekter Forord I de fleste offentlige prosjekter vil det være forventninger om gevinster som skal realiseres etter at prosjektet

Detaljer

RAPPORT x/2011. En beskrivelse av styringsmodellen i et departement

RAPPORT x/2011. En beskrivelse av styringsmodellen i et departement RAPPORT x/2011 En beskrivelse av styringsmodellen i et departement RAPPORT 2/2011 Innhold 1 Innledning... 3 2 God styring i et departement... 4 2.1 Definisjon av styring...4 2.2 Departementets oppgaver

Detaljer

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten 1.Innledning Veilederen finnes på departementenes

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

Sydhavna (Sjursøya) - et område med forhøyet risiko

Sydhavna (Sjursøya) - et område med forhøyet risiko RAPPORT Sydhavna (Sjursøya) - et område med forhøyet risiko Februar 2014 INNHOLD Forord... 7 Sammendrag... 8 01 Innledning... 11 1.1 Mandat... 12 1.2 Problemstilling og avgrensing... 13 1.3 Organisering

Detaljer

091 - Anbefalte retningslinjer for Sikring av forsyninger og materiell i olje- og gassindustrien

091 - Anbefalte retningslinjer for Sikring av forsyninger og materiell i olje- og gassindustrien 091 - Anbefalte retningslinjer for Sikring av forsyninger og materiell i olje- og Original versjon Nr: 091 Etablert: 05.11.2003 Revisjon nr: 2 Rev. dato: 17.12.2013 Side: 2 FORORD Denne retningslinjen

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2015-04-08 Fysisk sikring mot ulovlig inntrengning Veiledning til forskrift om informasjonssikkerhet Forskrift om informasjonssikkerhet stiller krav

Detaljer

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst GOD VIRKSOMHETSSTYRING Grunnlag for god pasientbehandling Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst Hamar, desember2010 1 Forord Å gi god og riktig pasientbehandling

Detaljer

«ÅPNINGSFOREDRAG» Innledning

«ÅPNINGSFOREDRAG» Innledning «ÅPNINGSFOREDRAG» Innledning Jeg vil takke for invitasjonen til å være tilstede også i år på konferansen til Direktoratet for samfunnssikkerhet og beredskap og holde åpningsforedraget. Oppfølging av 22.

Detaljer

IS-1877. Et trygt fødetilbud. Kvalitetskrav til fødselsomsorgen

IS-1877. Et trygt fødetilbud. Kvalitetskrav til fødselsomsorgen IS-1877 Et trygt fødetilbud Kvalitetskrav til fødselsomsorgen Heftets tittel: Et trygt fødetilbud. Kvalitetskrav til fødeselsomsorgen Utgitt: 12/2010 Bestillingsnummer: IS-1877 Utgitt av: Kontakt: Postadresse:

Detaljer

Hvordan Holde orden i eget Hus

Hvordan Holde orden i eget Hus Veileder IS-1183 Hvordan Holde orden i eget Hus internkontroll i sosialog helsetjenesten innhold 1 Innledning... 6 1.1 Bakgrunn... 7 1.2 Hva er internkontroll... 7 1.3 Internkontroll som en del av et kvalitetssystem...

Detaljer

VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR

VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR RÅDGIVENDE INGENIØRERS FORENING VEILEDER I GOD FORRETNINGSSKIKK OG SAMFUNNSANSVAR Innhold FORORD / Innledning 4 Del I: FORSLAG TIL Bruk av veilederen 7 Hvordan starte arbeidet i egen bedrift? 7 Del II:

Detaljer

Hvordan kan vi som ledere forstå og møte motstand i endringsprosesser?

Hvordan kan vi som ledere forstå og møte motstand i endringsprosesser? Hvordan kan vi som ledere forstå og møte motstand i endringsprosesser? Nasjonalt Topplederprogram våren 2009 Anne Bjørg Nyseter Stian Refsnes Henriksen Bård Are Bjørnstad Nasjonalt Topplederprogram våren

Detaljer

POLITIET I DET DIGITALE SAMFUNNET

POLITIET I DET DIGITALE SAMFUNNET UTRYKNINGSPOLITIET POLITIETS DATA- OG MATERIELLTJENESTE ØKOKRIM POLITIET I DET DIGITALE SAMFUNNET En arbeidsgrupperapport om: ELEKTRONISKE SPOR, IKT-KRIMINALITET OG POLITIARBEID PÅ INTERNETT Til Politidirektoratet

Detaljer

FORORD. Politidirektoratet, desember 2008. Ingelin Killengreen FORORD 1

FORORD. Politidirektoratet, desember 2008. Ingelin Killengreen FORORD 1 FORORD Vold i nære relasjoner kan ikke aksepteres. Dette er ikke en privatsak. Politiet har i samarbeid med andre offentlige myndigheter et ansvar for å sikre alle retten til et liv fritt for vold og trusler.

Detaljer

Mot alle odds? Veier til samordning i norsk forvaltning. Difi-rapport 2014:07 ISSN 1890-6583

Mot alle odds? Veier til samordning i norsk forvaltning. Difi-rapport 2014:07 ISSN 1890-6583 Mot alle odds? Veier til samordning i norsk forvaltning Difi-rapport 2014:07 ISSN 1890-6583 Forord Difi har gjennomført et prosjekt der formålet har vært å belyse samordning i norsk forvaltning og å peke

Detaljer

Omstilling? Har du husket det viktigste?

Omstilling? Har du husket det viktigste? Arbeidstilsynets publikasjoner best.nr. 590 Omstilling? Har du husket det viktigste? Hva du kan gjøre for å sikre sunne omstillingsprosesser Utgitt september 2008 Direktoratet for arbeidstilsynet Statens

Detaljer

Helhetlig ROS-analyse for Verdal kommune

Helhetlig ROS-analyse for Verdal kommune Helhetlig ROS-analyse for Verdal kommune 1. utgave (behandlet politisk feb. 2014) 1 INNHOLD 1. Om ROS-analysen s. 3 1.1. Formål med «Helhetlig ROS-analyse for Verdal kommune» s. 3 1.2. Kjennetegn helhetlig

Detaljer

PERSONVERN I SKOLE OG BARNEHAGE

PERSONVERN I SKOLE OG BARNEHAGE PERSONVERN I SKOLE OG BARNEHAGE Samlerapport, juni 2014 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: Pb 8177 Dep, 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22

Detaljer