NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING

Transkript

1 Kristoffer Polak, Standard Norge NS 5831 og NS 5832 NS 5831 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOSTYRING NS 5832 SAMFUNNSSIKKERHET BESKYTTELSE MOT TILSIKTEDE UØNSKEDE HANDLINGER KRAV TIL SIKRINGSRISIKOANALYSE

2 For alle som tenker på sin egen sikkerhet, eller har ansvar for sikring av en virksomhet, institusjon eller organisasjon, er det viktig å bruke en riktig risikoanalysemetode. 2

3 Arbeidet med standardserien «NS583..» ble startet på av standardiseringskomiteen SN/K 296 Samfunnssikkerhet i BAE sektor i Bakgrunn: Komiteen mente at Standarden NS 5814 Krav til risikovurdering, egnet seg ikke til å vurdere risiko for tilsiktede skadelige (uønskede) handlinger, da den opererer med statistisk basert sannsynlighet for en skadelig hendelse. Rapport fra arbeidsgruppe «Krim» Mangler i standardverk i BAE-sektoren ved forebygging av kriminalitet ble lagt til grunn. 3

4 4

5 I oktober 2010 startet arbeidet i gruppen for NS 5830 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Terminologi. Standarden ble fastsatt i februar I mai 2011 vedtok komiteen å opprette en arbeidsgruppe for NS 5831 Risikoanalyse for uønskede villede handlinger. 5

6 Standardene ble utviklet av en arbeidsgruppe bestående opprinnelig av representantene for følgende organisasjoner: Ernst & Young AS Forsvarsbygg NSM PST NSR Statoil Noen av medlemmene i arbeidsgruppen har skiftet arbeidssted i arbeidsperioden 6

7 Etter en periode med forararbeid foreslo arbeidsgruppen å splitte standarden i to separate standarder: NS 5831 Risikohåndtering for uønskede villede handlinger NS 5831 Risikoanalyse for uønskede villede handlinger. I 2013 ble navnene på de standardene endret til NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til risikostyring NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til risikoanalyse Den 15. januar 2012 ble standardene lagt ut på høring som ble avsluttet den 15. mars

8 Høringen resulterte i en del kommentarer som var kritiske til terminologien i standardene. Det var imidlertid ingen kommentarer som imøtegikk de faglige sidene ved de to standardutkast, bortsett fra mindre redaksjonelle kommentarer. Etter høringen ble det holdt flere avklaringsmøter for å oppnå konsensus for standardene blant interessentene, men uten resultat. Komiteen SN/K 296 oppnådde ikke heller konsensus når det gjaldt terminologi. 8

9 Konsensus ble oppnådd først i oktober 2014 terminologien ble justert ved å innføre helt nye termer for å unngå å bruke termene som var brukt i andre standarder i en annen betydning. Titlene for standardene ble følgelig endret til: NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til sikringsrisikostyring NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til sikringsrisikoanalyse. 9

10 Hva er nytt i disse standardene sammenlignet med tidligere norske og internasjonale standarder? Standardene er utarbeidet spesifikt for bruk for styring og analyse av risiko for «tilsiktede uønskede handlinger», dvs handlinger som utøves med hensikt og mål om å skade noen. «Noen» er i standardene betegnet som «entitet», og det kan være for eksempel et fysisk objekt, et individ, en organisasjon, en stat, en gruppering, en virksomhet eller en annen enhet som hensiktsmessig passer inn i den aktuelle sammenhengen. Med andre ord, omhandler standardene kriminelle handlinger, slike som ran, tyveri, bedrageri, dataangrep, terrorisme, vandalisme og sabotasje. 10

11 Det mest sentrale i disse standardene er at man har gått bort fra å definere risiko (sikringsrisiko) som et enkelt produkt for sannsynlighet og konsekvens (NS 5814). Istedenfor er det introdusert bruk av tre faktorer: verdi, sårbarhet og trussel. 11

12 12

13 NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til sikringsrisikostyring Denne standarden beskriver et styringssystem for håndtering av risiko knyttet til tilsiktede uønskede handlinger, og gir rammer for flere standarder i denne serien. 13

14 NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Krav til sikringsrisikoanalyse Denne standarden tar for seg sikringsrisikoanalyse som en del av sikringsrisikostyringen (beskrevet i NS 5831). Standarden beskriver prinsippene for gjennomføring av sikringsrisikoanalyse, dvs for risiko knyttet til tilsiktede uønskede (hovedsakelig kriminelle) handlinger. 14

15 NS 5831 og NS 5832 gir oss redskaper for riktig håndtering av risiko for uønskede handlinger utført med vilje og som har til hensikt å skade noen. Standarder og rutiner utviklet med tanken på tilfeldige hendelser forårsaket av naturkrefter eller menneskelig svikt egner seg mye mindre til dette formålet. 15

16 16