US-SAK NR: 46/2013 UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP UNIVERSITETSDIREKTØREN 1302 1901 SAKSANSVARLIG: FUNG. ASS.UNIVERSITETSDIR. RAGNHILD SOLHEIM SAKSBEHANDLER(E): RAGNHILD SOLHEIM OG SIKKERHETSLEDER BÅRD TOLLEFSEN ARKIVSAK NR:2013/ Grunnlagsdokument for sikkerhet ved UMB - godkjenning Dokumenter: a) Saksframlegg b) Vedlegg: Grunnlagsdokument for sikkerhet ved UMB Forslag til vedtak: 1. Framlagte forslag til Grunnlagsdokument for sikkerhet ved UMB vedtas. 2. Universitetsstyret ber administrasjonen om å videreutvikle arbeidet med hensyn på de fire grunnleggende prinsippene: ansvar; likhet; nærhet og samvirke. Ås, 5. juni 2013 Siri Margrethe Løksa universitetsdirektør UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP UNIVERSITETSSTYRET MØTEDATO 13.06.2013
2 a) Saksfremlegg Bakgrunn Regjeringen har besluttet at alle virksomheter i statsforvaltningen i løpet av 2013 skal vurdere egen sikkerhet og beredskap og har for 2013 bedt om rapportering for ulike forhold i forhold til sikkerhet. UMB har over tid arbeidet med sikkerhet, inkludert krise- og beredskapshåndtering (heretter kalt «sikkerhet»). For å kunne se sikkerhetsarbeidet under ett, har administrasjonen utarbeidet en beskrivelse av de grunnleggende prinsippene, organiseringen av og ansvar for sikkerhets- og beredskapsarbeidet ved UMB. Dokumentet må ses i sammenheng med tildelingsbrevet for 2013. I tildelingsbrevet presiserer Kunnskapsdepartementet følgende om institusjonenes ansvar: «.skal ha beredskapsplaner som skal bygge på regelmessige risiko- og sårbarhetsanalyser (ROS) og kriseøvelser. skal følge gjeldende regelverk/retningslinjer for informasjonssikkerhet skal fortsette arbeidet med oppfølingen av 22. juli-kommisjonens anbefalinger om å styrke risikoerkjennelse, sikkerhetskultur, holdninger og lederskap m.v. til samfunnssikkerhet og beredskap,» Det er viktig å understreke at det er sikkerhetstilstanden slik universitetet vurderer den, og hvilke tiltak vi iverksetter for å minimere risiko for hendelser og for å profesjonalisere UMBs håndtering av kriser slik at alle former for skader blir minst mulig, dette dreier seg om. I tillegg til godkjenning av vedlagte dokument kan det legges opp til en underveisrapport til universitetsstyret om gjennomføringen av arbeidet. Det forventes av departementet at institusjonen utarbeider helhetlige risiko- og sårbarhetsanalyser, krise- og beredskapsplaner og at det gjennomføres minst én øvelse pr år. UMB sitt sikkerhetsarbeid bygger på de fire prinsippene ansvar, likhet, nærhet og samvirke. Interne nødnummer (sikkerhetsleder og brannvernleder), beredskapsplanen og tiltakskort er tilgjengelig på intranettet, ROS er utarbeidet pr institutt og gjennomføring av tiltak gjøres så godt som mulig i flg de fire prinsippene. UMB har valgt verktøyet «IK-sentral» for å dokumentere ROS, tiltak, hendelser og oppfølgingen av disse. Grunnlagsdokumentet beskriver 5 sikkerhetsområder: Personsikkerhet Fysisk sikkerhet Objektsikkerhet Informasjonssikkerhet Omdømmesikkerhet Det beskrives et sikkerhetssystem som i praksis tar opp i seg prinsippene fra kvalitetsstyring. Dette betyr at elementene er følgende: styrende dokumenter, prosedyrebeskrivelser, dokumentasjon og UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP UNIVERSITETSSTYRET MØTEDATO 13.06.2013
3 håndtering av avvik, og ledelsens gjennomgang. Altså et system som skal hjelpe universitetet til et systematisk sikkerhetsarbeid med oppmerksomhet på enkelhet, relevans, tilgjengelighet og kontinuerlig forbedring. Grunnlagsdokumentet og sikkerhetssystemet er relevant inn mot NMBU hvor slikt system skal være på plass til 1.1.2014. UMBs system, tenking og erfaringer vil naturlig inngå i dette arbeidet. Universitetsdirektørens vurdering Universitetsdirektøren ser det som viktig å vie oppmerksomhet til sikkerhetsarbeidet ved universitetet. UMB har et godt system for arbeidet, og universitetet legger opp til å videreføre arbeidet ved å øve i krisehåndtering på lokalt nivå og på universitetsnivå. Sikkerhetsledelsen har god kontakt med nødetatene i regionen og med sentrale sikkerhetsetater, informasjonen på intranett inneholder viktig informasjon og er tilgjengelig fra intranettets forside. Universitetsdirektøren mener det er behov for å gjennomføre ledelsens gjennomgang med et helhetsblikk på sikkerhet i følge grunnlagsdokumentets beskrivelse. Det er viktig at ledelsen ser arbeidet med de fem sikkerhetsområdene og behov for dokumentasjon av oppfølging av hvert av disse, under ett. Universitetet skal i løpet av året gjennomføre minst én øvelse, men universitetsdirektøren understreker at enhetene med fordel kan iverksette øvelser på eget initiativ. UMB har nylig inngått en avtale om kjøp av støtte ved gjennomføring av øvelser og for å arbeide enda bedre på alle nivåer i organisasjonen med forståelse av og trening i håndtering av krisesituasjoner. Universitetsdirektøren vil vektlegge gjennomføring av ledelsens gjennomgang for å sikre at det arbeides tilstrekkelig med forbedring av sikkerhet innen alle de fem områdene. Det er også sentralt å opparbeide en forståelse av hva de fire grunnleggende prinsippene (ansvar, likhet, nærhet og samvirke) betyr i en praktisk situasjon. Kunnskapsdepartementet krever for kalenderåret 2013 for første gang en egen rapport om sikkerhetstilstanden ved universitetene. Universitetsdirektøren kommer til å vurdere om det er hensiktsmessig å gi universitetsstyret en underveisrapport i forhold til dette, blant annet med tanke på best mulig forberedelse av sikkerhet og beredskap for NMBU. UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP UNIVERSITETSSTYRET MØTEDATO 13.06.2013
UNIVERSITETET FOR MILJØ- OG BIOVITENSKAP UNIVERSITETSSTYRET MØTEDATO 13.06.2013 2
US 46/2013 b) Vedlegg Versjon x,iv Grunnlagsdokument for sikkerhet ved UMB Juni 2013 1
Innholdsfortegnelse VERSJON X,IV... 1 1 INNLEDNING... 3 1.1 REFERANSER... 3 1.1.1 Relevante lover og bestemmelser... 3 1.1.2 Relevante standarder... 4 2 SIKKERHETSORGANISASJONEN... 4 2.1 ORGANISERING OG ANSVAR... 4 2.2 SIKKERHETS- OG BEREDSKAPSKOORDINERING... 5 3 PRINSIPPER OG GJENNOMFØRING... 5 3.1 SIKKERHETSPRINSIPPER... 5 3.2 GJENNOMFØRING... 6 4 SIKKERHETSOMRÅDER... 6 4.1 PERSONSIKKERHET... 6 4.2 FYSISK SIKKERHET... 6 4.3 OBJEKTSIKKERHET... 6 4.4 INFORMASJONSSIKKERHET... 6 4.5 OMDØMMESIKKERHET... 7 5 AVVIK, AVVIKSHÅNDTERING OG INTERNREVISJON... 8 5.1 GENERELT... 8 5.2 BEHANDLING AV AVVIK... 8 5.3 HENSIKT... 8 5.4 UTFØRELSE... 8 5.5 AVVIKSLISTE OG RAPPORTERING... 8 5.6 INTERNREVISJON... 9 6 LEDELSENS GJENNOMGANG AV INTERNKONTROLL OG STYRINGSSYSTEM FOR SIKKERHET... 9 6.1 INNLEDNING... 9 6.1.1 Hensikt... 9 6.1.2 Referat... 9 7 DOKUMENTASJON OG INTERNKONTROLL... 9 7.1 DOKUMENTKATEGORIER... 9 7.2 OPPDATERING AV DOKUMENTASJON OG VERSJONSKONTROLL... 10 7.3 INTERNKONTROLLSYSTEM... 10 8 OPPLÆRING... 10 Dokumentet er godkjent: Dato Navn Rolle xx.yy.2013 Siri Margrethe Løksa Universitetsdirektør 2
1 INNLEDNING 1.1 Dokumentets hensikt og rolle UMBs overordnede mål for arbeidet med sikkerhet og beredskap er å forebygge uønskede hendelser og å minske konsekvensene dersom de skulle oppstå. Dette innebærer blant annet at hvert sikkerhetsområde skal ha både en grunnleggende oversikt over risiko og sårbarhet, og en god styring med det forebyggende arbeidet innen området. Grunnlagsdokumentet for sikkerhet ved UMB er et overordnet styrende dokument for forebyggende sikkerhetsarbeid og beredskapshåndtering, videre kalt sikkerhet. Grunnlagsdokumentet med underliggende dokumenter utgjør UMBs samlede planverk for sikkerhetsarbeidet. Dokumentet beskriver hvordan UMB har fordelt ansvar og myndighet med tilhørende aktiviteter i forhold til sikkerhet. For å sikre kontinuerlig forbedring, skal det årlig gjennomføres interne revisjoner av grunnlagsdokumentet og av de underliggende dokumentene. UMB har definert følgende sikkerhetsområder (for nærmere utdyping se pkt 4): Personsikkerhet Fysisk sikkerhet Objektsikkerhet Informasjonssikkerhet Omdømmesikkerhet Ved UMB behandles ikke sikkerhetsgradert informasjon slik de er definert i Sikkerhetsloven 11. Derimot behandles taushetsbelagt informasjon knyttet til ansatte, studenter, oppdragsgivere og andre samarbeidspartnere. 1.1 Referanser 1.1.1 Relevante lover og bestemmelser Personopplysningsloven Forvaltningsloven Offentlighetsloven Sikkerhetsloven Brannvernloven Straffeloven Arkivloven Arbeidsmiljøloven Tjenestemannsloven KDs tildelingsbrevs bestemmelser om sikkerhet og beredskap Hvert sikkerhetsområde har egne referanselister til relevante lover, forskrifter og andre bestemmelser som er styrende for området. All sikkerhetsdokumentasjon og informasjon om informasjonssikkerhet ligger under http://internkontroll.umb.no. Øvrige dokumenter ligger her http://www2.compendiapersonal.no/kunder/umb/hms.nsf/unique/coml-8r5gb7 3
1.1.2 Relevante standarder Sikkerhetssystemene er tilpasset metoder fra internasjonale standarder som: ISO/IEC 27001: 2005: Krav til styringssystem for sikkerhet, ISO/IEC 27002: 2005: Tiltak for styring av informasjonssikkerhet, ISO/IEC 27005:2011: Retningslinjer for risikostyring og ISO/IEC 27007:2011: Retningslinjer for revisjon. 2 Sikkerhetsorganisasjonen 2.1 Organisering og ansvar I henhold til Sikkerhetsforskriften 2-1 har øverste leder ansvar for den forebyggende sikkerhetstjeneste innen sitt ansvars- og myndighetsområde. Øverste leder ved UMB er rektor. Universitetsdirektøren, som leder av UMBs samlete administrasjon, har ansvar for å iverksette og gjennomføre de beslutninger rektor og universitetsstyret fatter innenfor sikkerhetsområdet. Universitetsdirektøren har utpekt assisterende universitetsdirektør til sikkerhetsansvarlig (CSO Chief security officer) og sikkerhetsansvarlige pr område (se tabell 1). Instruks for sikkerhetsansvarlig følger som vedlegg nr 3. Tabell 1: Sikkerhetsorganisasjonen: Ansvarsområder, navn og stilling Ansvarsområde Navn Stilling UMBs øverste leder Hans Fredrik Hoen Rektor Leder for den samlete Siri Margrethe Løksa Universitetsdirektør administrasjon Sikkerhetsansvarlig (CSO) Ragnhild Solheim Fung. assisterende universitetsdirektør Sikkerhetsleder Bård Tollefsen Sikkerhetsleder Personsikkerhet ansatte Jan Olav Aarflot Personal- og organisasjonsdirektør Personsikkerhet studenter Ole Jørgen Torp Studiedirektør Fysisk sikkerhet Bård Tollefsen Sikkerhetsleder (bygninger) Fysisk sikkerhet (brann) Jon Olafsen Brannvernleder Objektsikkerhet Bård Tollefsen Sikkerhetsleder Informasjonssikkerhet Jan Olav Aarflot Personal- og organisasjonsdirektør Informasjonssikkerhet Geir Tutturen IT-leder Omdømmesikkerhet Mette Risbråthe Fung. kommunikasjons- og markedsdirektør Presiseringer: Universitetsdirektøren er behandlingsansvarlig for personopplysninger i samsvar med Personopplysningsloven 2-4 Personal- og organisasjonsdirektøren har utførende ansvar for informasjonssikkerhet knyttet til personaldata iht Personopplysningsloven, er daglig (operasjonell) behandlingsansvarlig og ivaretar kontakt med Datatilsynet IT-leder har overordnet ansvar for informasjonssikkerhet knyttet til IT-systemene og ITinfrastruktur UMBs sikkerhetsleder er ansvarlig for løpende kontroll av sikkerhetstiltakene, ansvar for tilrettelegging av interne revisjoner, avviksbehandling på de ulike sikkerhetsområdene, og 4
tilrettelegging for ledelsens gjennomgang. Sikkerhetsleder skal rapportere om avvik og tiltak som bør iverksettes til sikkerhetsansvarlig (assisterende universitetsdirektør). Det er utarbeidet instruks for sikkerhetsleder (se vedlegg 4). 2.2 Sikkerhets- og beredskapskoordinering Sikkerhets- og beredskapskoordinering skal skje i sentralt sikkerhets- og beredskapsutvalg. Sikkerhetsansvarlig er sekretær for utvalget. Sentralt sikkerhets- og beredskapsutvalg består av: Rektor (leder) Universitetsdirektør En instituttleder Direktøren for drifts- og serviceavdelingen (DSA) Leder av studentdemokratiet Sentralt sikkerhets- og beredskapsutvalg skal: Definere strategi for UMBs sikkerhetsarbeid Fastlegge sikkerhetsmålene Godkjenne planlagte tiltak for å oppfylle sikkerhetsmålsettingene Planlegge og iverksette risikovurderinger og sikkerhetsrevisjon Vurdere tiltak/reaksjon ved sikkerhetsbrudd og sikkerhetstruende hendelser, samt ivareta sikkerhetsrapportering Gjennomføre Ledelsen gjennomgang Ved krisehendelser trer UMBs beredskapsgruppe i funksjon. Beredskapsgruppa leder UMBs arbeid ved krisehendelser. Beredskapsgruppa består av: Assisterende universitetsdirektør/sikkerhetsansvarlig (leder) Personal- og organisasjonsdirektør Kommunikasjons- og markedsdirektør Sikkerhetsleder Brannvernleder Representant fra sentralbordet Loggfører Beredskapstelefoner og tiltakskort for bruk under kriser ligger på http://www2.compendiapersonal.no/kunder/umb/hms.nsf/unique/coml-8r5gb7 Hendelseforløp loggføres på www.iksentral.no 3 Prinsipper og gjennomføring 3.1 Sikkerhetsprinsipper UMBs grunnlagsdokument bygger på de tre grunnleggende prinsippene i den nasjonale beredskapstilnærmingen: Ansvarsprinsippet som betyr at den som har et ansvar i en normalsituasjon også har dette ansvaret i tilfelle ekstraordinære hendelser. 5
Likhetsprinsippet som betyr at den organisasjonen som skal håndtere en krise, er mest mulig lik den daglige organisasjonen. Nærhetsprinsippet som betyr at kriser skal håndteres på lavest mulig nivå. Samvirkeprinsippet som betyr at myndigheter, virksomheter ellet etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering. 3.2 Gjennomføring For å oppfylle det overordnede målet for samfunnssikkerhet og beredskap, og for å forebygge uønskede hendelser og minske konsekvensene dersom de skulle oppstå, skal det: Utarbeides helhetlige risiko- og sårbarhetsanalyser, samt delanalyser knyttet til særskilte utfordringer i den enkelte virksomhet. Utarbeides krise- og beredskapsplaner som sikrer en god krisehåndtering og som styrker organisasjonens krisehåndteringsevne. Gjennomføres øvelser for å teste egen beredskap, og for å sette ansatte og studenter i stand til å takle utfordringer ved kriser. Sikres forankring av arbeidet med risiko- og sårbarhetsanalyser, kriseplanverk og øvelser i UMBs ledelse og enheter, og at dette gis nødvendig prioritet. Gjøres årlig gjennomgang og evaluering av sikkerhetssystemene med hensyn på status og egnethet. Dette for å sikre at sikkerhetssystemet tilfredsstiller lover og forskrifter og andre krav og mål som er beskrevet. 4 Sikkerhetsområder 4.1 Personsikkerhet Med personsikkerhet forstås beskyttelse mot brudd på gjeldende bestemmelser som regulerer helse-, miljø- og sikkerhet for ansatte og studenter. Lovhenvisning: Arbeidsmiljøloven med forskrifter. 4.2 Fysisk sikkerhet Med fysisk sikkerhet forstås sikring av UMBs eiendommer og bygninger slik at undervisning og forskning kan foregå i trygge omgivelser, og sikring i forhold til uønsket adgang eller bruk. Brannsikring inngår i fysisk sikkerhet. Lovhenvisning: Arbeidsmiljøloven og Brannvernloven 4.3 Objektsikkerhet Med objektsikkerhet forstås identifisering av objekter som må beskyttes av hensyn til rikets sikkerhet og vitale nasjonale interesser og at disse beskyttes i henhold til en felles standard. Lovhenvisning: Objektsikringsforskriften i medhold av Sikkerhetsloven 4.4 Informasjonssikkerhet Med informasjonssikkerhet forstås beskyttelse mot brudd på konfidensialitet, integritet eller tilgjengelighet av den informasjonen som blir behandlet i et system, samt beskyttelse av informasjonssystemer og nett i seg selv. Lovhenvisning: Personopplysningsloven med forskrifter. 6
4.5 Omdømmesikkerhet Med omdømmesikkerhet forstås sikring mot hendelser og aktiviteter, så vel interne ved UMB som eksterne, som kan være skadelige for UMBs omdømme. 7
5 Avvik, avvikshåndtering og internrevisjon 5.1 Generelt Et avvik er definert som enhver hendelse eller tilstand som bryter med UMBs internkontrollkrav. Hvert sikkerhetsområde skal ha dokumenterte prosedyrer for avviksbehandling og internkontroll. 5.2 Behandling av avvik Hendelser defineres inn i følgende kategorier: Avvik fra gjeldende rutiner Hendelser som kan ha sikkerhetsmessig konsekvens Hendelser utført av ansatte, som brudd på sikkerhetsbestemmelser Hendelser utført av eksterne, som fysisk innbrudd, elektroniske angrep Beredskapshendelser 5.3 Hensikt Rutiner for rapportering av hendelser og håndtering av avvik skal sikre at man har mulighet til å gjøre forbedringer i internkontrollen og at eventuelle sikkerhetsbrudd rapporteres til ansvarlig person. På denne måten kan organisasjonen lære av avvik, og sette i gang tiltak for å forbedre tilstanden i virksomheten. 5.4 Utførelse Alle ansatte er ansvarlig for å rapportere avvik fra gjeldende rutiner og andre hendelser til den som er ansvarlig for det aktuelle området eller sikkerhetsansvarlig. Avvik håndteres av linjeleder eller sikkerhetsansvarlig avhengig av avvikets art. All avvikshåndtering skal dokumenteres og loggføres for hvert sikkerhetsområde. Dokumentasjonen må være tilgjengelig for innsyn. 5.5 Avviksliste og rapportering Avviksliste skal holdes løpende oppdatert og kan inneholde: Dato Beskrivelse Kilde Avdeling/systemområde Alvorlighet Status Ansvarlig for oppfølging Frist for neste oppfølgingspunkt Kommentar / korrektivt tiltak Hendelser loggføres på www.iksentral.no 8
Sikkerhetsansvarlig utarbeider en årlig rapport fra avviksbehandling til Ledelsens gjennomgang. 5.6 Internrevisjon Sikkerhetsansvarlig utarbeider prosedyrer og plan for internrevisjon. Sikkerhetsleder har ansvar for å følge opp at planlagte aktiviteter blir gjennomført. Resultater fra internrevisjonene i de ulike sikkerhetsområdene, skal dokumenteres og rapporteres til sikkerhetsleder. Sikkerhetsleder er ansvarlig for at det utarbeides en årlig rapport fra internrevisjonene på de ulike sikkerhetsområdene til Ledelsens gjennomgang av sikkerhetssystemet. 6 Ledelsens gjennomgang av internkontroll og styringssystem for sikkerhet 6.1 Innledning Ledelsen (Sentralt sikkerhets- og beredskapsutvalg) skal minst en gang per år gjennomføre en revisjon av sikkerhetssystemet gjennom «Ledelsens gjennomgang av internkontroll og styringssystem for sikkerhet». Ledelsen skal revidere UMBs overordnede sikkerhetsmål og sikkerhetspolicy for å vurdere om disse er hensiktsmessige, tilstrekkelig og effektive og at de tilfredsstiller relevante lover og forskrifter. Ledelsen skal behandle avviksrapporter og rapporter fra interne revisjoner fra alle sikkerhetsområdene og behandle og gjennomføre korrigerende tiltak der dette er nødvendig. Sikkerhetsleder har ansvar for å tilrettelegge for denne gjennomgangen. 6.1.1 Hensikt Hensikten med ledelsens gjennomgang er: Følge opp de målene som er satt og evt fastsette nye mål Vurdere oppfølgingen av forbedringstiltak og av korrigerende tiltak Sørge for at internkontroll og styringssystem for sikkerhet er hensiktsmessig, tilstrekkelig og effektivt og at det tilfredsstiller relevante lover og forskrifter. 6.1.2 Referat Sikkerhetsleder skriver referat fra ledelsens gjennomgang. I referatet skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken begrunnelse. Referatet distribueres iht distribusjonsliste (vedlegg 2). 7 Dokumentasjon og internkontroll 7.1 Dokumentkategorier Dokumentasjonen består av følgende dokumentkategorier/-nivåer: 1. Grunnlagsdokument for sikkerhet 2. Styringsdokumenter for hvert av sikkerhetsområdene A) Internkontrollsystem for Informasjonssikkerhet ved UMB 9
B) Fysisk sikkerhet C) Objektsikkerhet D) Personsikkerhet HMS E) Omdømmesikkerhet 3. Underliggende dokumentasjon på hvert sikkerhetsområde som reglementer, retningslinjer, spesifikasjoner og prosedyrer for avviksbehandling og internrevisjon. 7.2 Oppdatering av dokumentasjon og versjonskontroll Grunnlagsdokumentet og styringsdokumentene vedtas av universitetsstyret på hovedversjonsnivå (dette angis med heltalls versjonsnummer). For å sørge for at dokumentene kan holdes oppdatert i forhold til mindre eller kurante endringer som ikke er av prinsipiell karakter, har universitetsdirektør myndighet til å endre grunnlagsdokument og styringsdokumentene på underversjonsnivå (dette angis med desimalverdier). Underliggende dokumenter godkjennes av assisterende universitetsdirektør. 7.3 Internkontrollsystem Sikkerhetsdokumentasjonen inngår i UMBs internkontrollsystem på https://internkontroll.umb.no 8 Opplæring Ansvarlige for de enkelte sikkerhetsområder har ansvar for at tilstrekkelig opplæring blir gitt. Sikkerhetsleder har ansvar for den generelle opplæring i sikkerhet. Alle sikkerhetsområdene skal ha en plan for opplæring. 10
Organisasjonskart for UMB Vedlegg 1 11
Distribusjonsliste med navn og roller Navn Rolle Vedlegg 2 Hans Fredrik Hoen Siri Margrethe Løksa Ragnhild Solheim Jan Olav Aarflot Ole-Jørgen Torp Mette Risbråthe Terje Holsen Paul Stray Bård Tollefsen Jon Olafsen Instituttene Cecilie Rolstad Denby Ørjan Totland Are Aastveit Eva Falleth Øystein Johnsen Torstein Steine Ragnar Øygard Paul Wisborg Senterledere Steinar Valsø Ingar Selmer-Olsen Vigdis Johansen Avdelingsledere Kjersti Sørli-Rimer Geir Arne Rosvoll Geir Tutturen Andre Margreth Reme Lena Marie Kjøbli Lise Thoen Rektor Universitetsdirektør Fung. Assisterende universitetsdirektør og sikkerhetsansvarlig (CSO); forskningsdirektør Personal- og organisasjonsdirektør Studiedirektør Fung. kommunikasjons- og markedsdirektør Eiendomsdirektør Strategidirektør Sikkerhetsleder Brannvernleder Instituttleder, IMT Instituttleder, INA Instituttleder, IKBM Instituttleder, ILP Instituttleder, IPM Instituttleder, IHA Instituttleder, Handelshøyskolen Instituttleder, Noragric Senterleder, SKP Senterleder, SHF Senterleder, SEVU Avdelingsdirektør, DSA Avdelingsdirektør, Biblioteket Avdelingsdirektør, IT Arkivleder HMS-koordinator Hovedverneombud 12
Vedlegg 3 Instruks for sikkerhetsansvarlig (CSO) 1 Innledning Sikkerhetsansvarlig ivaretar på vegne av universitetsdirektøren den daglige overordnete ledelse av UMBs sikkerhets- og beredskapsarbeid. Sikkerhetsansvarlig skal sørge for at det er utviklet et styringssystem på alle av grunnlagsdokumentets definerte sikkerhetsområder. Sikkerhetsleder har ansvar for å utvikle et planmessig sikkerhets- og beredskapsarbeid ved UMB basert på ROS-analyser i henhold til tildelingsbrevets bestemmelser. 2 Krisehendelser Når krisehendelser oppstår, kaller sikkerhetsansvarlig inn beredskapsgruppa. Sikkerhetsansvarlig leder beredskapsgruppa. Når beredskapsgruppa er etablert som følge av krisehendelser, leder sikkerhetsansvarlig UMBs samlete ressursinnsats. I slike tilfeller skal UMBs samlete ressurser stilles til disposisjon for sikkerhetsansvarlig. 3 Sikkerhetsansvarliges oppgaver a) Utarbeide og vedlikeholde Internkontrollsystemet. b) Påse at de gjeldende sikkerhetsbestemmelser, instrukser og rutiner blir fulgt. c) Påse at underlagte sikkerhetsledd har klart definerte oppgaver/forhold for å utøve sine funksjoner, og virkelig utøver disse. d) Påse at UMB utøver sitt ansvar for fysisk sikkerhet, personell og sikkerhet og dokumentsikkerhet. e) Påtale mislighold muntlig eller skriftlig, avhengig av misligholdets karakter. f) Være sekretær for sentralt sikkerhets- og beredskapsutvalg. g) Øvrige oppgaver som framkommer i grunnlagsdokumentet. 13
Vedlegg 4 Instruks for sikkerhetsleder 1. Generelt om sikkerhetsleder Sikkerhetsleder er ledelsens rådgiver i sikkerhetsspørsmål og daglig leder av den operative sikkerhetstjenesten ved UMB. Sikkerhetsleders nærmeste foresatte i sikkerhetsrelaterte oppgaver er assisterende universitetsdirektør. 2. Sikkerhetsleders oppgaver a) Påse at alle lover, forskrifter og utfyllende bestemmelser som angår sikkerheten følges (særlig gjelder dette sikkerhetsloven m/forskrifter). b) Følge opp og lære opp UMBs enheter i gjennomføring av ROS-analyser og oppfølging av analysene. c) Ta seg av sikkerhetssaker som angår universitetet i nødvendig samarbeid med annet sikkerhetspersonell. d) Veilede og orientere UMBs ansatte om gjeldende bestemmelser for sikkerhetstjenesten. Minne om taushetsplikt og søke å gjøre de ansatte sikkerhetsbevisste. e) Kontrollere at arkivering og behandling av graderte dokumenter skjer i overensstemmelse med gjeldende instrukser og at ingen dokumenter utleveres til uautorisert personell. f) Sørge for at ansatte som har behov for det, får utlevert nødvendige lokale sikkerhetsbestemmelser og blir pålagt å sette seg inn i disse. g) Ansvar for fortløpende oppdatering av de lokale sikkerhetsbestemmelser. h) Påse og sørge for at det blir skiftet kode på safer i h.h.t. regelverk. i) Foreta tilsyn med sikkerheten ved UMBs enheter og legge til rette for kontroll fra KD av sikkerhetstilstanden ved universitetet. j) Gjennomføre jevnlige sikkerhetsmøter med instituttene og øvrige enheter ved UMB. k) Utføre ikke anmeldte inspeksjoner på dag- eller nattid på kontorer, møterom og andre lokaler han finner grunn til å inspisere. l) Ha sikkerhetssamtaler ved ansettelse og ved avslutning av ansettelsesforhold der det er nødvendig. m) Sikkerhetsleder er UMBs kontaktperson mot politiet, han/hun har også fullmakt til å anmelde straffbare forhold til politiet på vegne av UMB. n) Påse at innleid vaktselskap følger opp sin kontraktfestete avtale med UMB. 14