Veiledning dokumentasjon av etablert internkontroll

Veiledning dokumentasjon av etablert internkontroll 1

1 Innledning... 2 1.1 Bakgrunn... 2 1.2 Formål... 2 1.3 Hvordan bruke veilederen... 2 2 Hvorfor bør virksomheten ha dokumenter som beskriver etablert internkontroll... 3 3 Policyer... 5 3.1 Utvelgelse av policyområder... 5 3.2 Innhold i en policy... 6 4 Prosedyrer... 7 4.1 Utvelgelse av prosedyreområder... 7 4.2 Innhold i en prosedyre... 8 5 Oppdatering og vedlikehold av policyer og prosedyrer... 8 Vedlegg A Mal for policy med eksempel og veiledning... 9 1. Formål... 1 2. Gyldig for... 1 3. Definisjoner... 2 4. Overordnede føringer og prinsipper... 2 5. Roller og ansvar... 4 6. Eierskap og implementering av policy... 8 Vedlegg B Mal for prosedyre med eksempel og veiledning... 1 1. Formål... 1 2. Gyldig for... 1 3. Definisjoner... 1 4. Kobling mot overordnede føringer og prinsipper... 2 5. Gjennomføring av prosedyren... 2 6. Implementering og etterlevelse... Feil! Bokmerke er ikke definert. 1

1 Innledning 1.1 Bakgrunn Det er viktig å dokumentere etablert internkontroll på en hensiktsmessig måte i form av styrende dokumenter. En god dokumentasjon gjør det mulig å tilgjengeliggjøre og formidle etablerte standarder og krav til oppgaveutførelse i virksomheten på en god måte. Mange virksomheter har gjerne et stort antall omfattende dokumenter som beskriver etablerte standarder og krav. Innholdet er ofte vanskelig tilgjengelig, fordelt på mange ulike typer dokumenter som alle har ulike struktur, nivå og omfang. Andre virksomheter igjen mangler styrende dokumenter. 1.2 Formål Formålet med å dokumentere etablert internkontroll i form av styrende dokumenter som beskriver hvem som har ansvaret for hva, samt hvordan oppgaver skal gjennomføres, er å sørge for at virksomheten når sine mål gjennom en målrettet og effektiv drift, pålitelig rapportering og overholdelse av lover og regler. Gjennom å etablere gode styrende dokumenter som er standardiserte, har en ryddig struktur og ikke er for omfangsrike gir dette merverdi både i form av enklere vedlikehold/ajourhold av styrende dokumenter, bedre kvalitet på disse dokumentene, samt større grad av forståelse og gjenkjennelighet som bidrar til økt sannsynlighet for etterlevelse blant de ansatte. I denne veiledningen er det gitt eksempel på hvordan statelige virksomheter kan dokumentere etablert internkontroll i form av policyer og prosedyrer 1, og hvordan disse dokumentene kan struktureres i et dokumenthierarki. Hva som vil være den mest hensiktsmessige måten å dokumentere og strukturere dokumentasjon av etablert internkontroll på, og på hvilke områder det vil være behov for slike styrende dokumenter, vil variere fra virksomhet til virksomhet. Likevel kan veiledningen i dette dokumentet gi inspirasjon og være til hjelp i arbeidet med å etablere et hierarki av styrende dokumenter som beskriver etablert internkontroll på en enhetlig og helhetlig måte, hvor det legges til grunn risiko, vesentlighet og egenart i forhold til utvelgelse av områder for styrende dokumenter. 1.3 Hvordan bruke veilederen Veiledningen er delt i to hoveddeler, veiledning og maler med eksempler: I kapittel 2-6 gis en veiledning og beskrivelse av hvorfor virksomheten bør utarbeide et hierarki av styrende dokumenter. Videre hvor i virksomheten det bør utarbeides styrende dokumenter, samt hvordan oppdatere og vedlikeholde dokumentene. I vedlegg A og B er det gitt maler på innhold og struktur for overordnede styrende dokumenter omtalt som policyer, og dokumenter på et lavere nivå omtalt som prosedyrer. Disse kan brukes som et utgangspunkt for virksomheter som ønsker å ha en fast struktur på disse dokumentene. Malene inneholder veiledningstekst og eksempel. 1 Med policyer og prosedyrer menes her virksomhetens interne styrende dokumenter som beskriver henholdsvis overordnede prinsipper og føringer, herunder tydeliggjøring av myndighet, roller og ansvar (policy), og hvordan oppgaver skal gjennomføres (prosedyrer). Begrepet policy i dette dokumentet, og i Veileder i internkontroll, tilsvarer det som i Økonomiregelverket omtales som virksomhetens instruks og rutine. 2

I tillegg til denne veiledningen har DFØ utviklet en veiledning og mal for policy for internkontroll. Denne følger samme mal som policyer omtalt i dette dokumentet. Malen er tilgjengelig på www.dfo.no/internkontroll. 2 Hvorfor bør virksomheten ha dokumenter som beskriver etablert internkontroll? Effektiv internkontroll forutsetter at ledelsen fastsetter rammer for hvordan virksomheten skal innrettes for at dens samfunnsoppdrag skal realiseres. For at det skal være tydelig hva virksomheten står for må verdigrunnlaget og overordnende føringer og prinsipper være definert og dokumentert. Videre må myndighet, roller og ansvar knyttet til virksomhetskritiske og risikoutsatte områder og prosesser, være dokumentert. Ledelsen må også påse at overordnede føringer og prinsipper i tilstrekkelig grad er operasjonalisert til konkrete prosesser, aktiviteter og kontroller og dokumentere en standard for hvordan oppgaveutførelsen knyttet til disse skal være. Styrende dokumentene vil bidra til å tydeliggjøre roller og ansvar, gjennom å beskrive hvem som har ansvaret for hva, og hvordan oppgaver skal utføres innenfor virksomhetskritiske og risikoutsatte områder. Å skille hvem som har ansvaret for hva, fra hvordan oppgaver skal utføres i forskjellige dokumenttyper og nivåer, er hensiktsmessig for å tydeliggjøre gjennomføringsansvaret. Styringsdokumenter som beskriver etablert internkontroll må tilpasses den enkelte virksomhets risiko, vesentlighet og egenart. I figuren 1 under er det tatt utgangspunkt i et dokumenthierarki med to nivåer, henholdsvis policyer og prosedyrer. I tillegg viser den skraverte trekanten på toppen av hierarkiet i figur 1, at det må være en sammenheng mellom forutsetninger, mål og krav gitt av eksempelvis overordnet departementet, og fastsatte policyer og prosedyrer i virksomheten. Nivået omtalt som Overordnende føringer og krav i figur 1 under, omtales ikke videre i denne veiledningen. Hvor mange nivåer av styrende dokumenter det er behov for, og hvor mange dokumenter innenfor hvert nivå som trengs, må den enkelte virksomhet selv vurdere. Innenfor enkelte områder kan virksomheten eksempelvis kun ha behov for å utarbeide en policy da man ikke ser et behov for å spesifisere og operasjonalisere innholdet i policyen ytterligere i prosedyrebeskrivelser. Det kan eksempelvis være at virksomheten på områder som miljø og kommunikasjon vurderer at policyer er tilstrekkelig. Det kan også eksistere tilfeller hvor virksomheten ikke velger å utarbeide policyer, men kun har behov for prosedyrebeskrivelser. Det er altså ikke et mål om et en til en - forhold mellom policy og prosedyrer. Som oftest finnes flere prosedyrer under en og samme policy. 3

Figur 1 Dokumentasjon på etablert internkontroll Enhetlighet For at de styrende dokumentene skal gi effekt må de være kjent og etterlevd i virksomheten. Ved å skape en standard mal med en sammenhengende og oversiktlig struktur på innholdet i de styrende dokumentene, vil dette bidra til å gjøre innholdet forståelig, tilgjengelig og brukervennlig for virksomhetens ansatte. Sannsynligheten for etterlevelse vil øke når innholdet er tilgjengeliggjort på en brukervennlig måte. I tillegg vil en standard mal for innholdet i dokumentene bidra til kvalitet i utformingen, samt forenkler arbeidet med utforming og ajourhold. Helhetlighet Det bør være en sammenheng mellom styringsdokumenter fra overordnet departement og virksomhetens interne styrende dokumenter. Eksterne styringsdokumenter, som eksempelvis Instruks for økonomi- og virksomhetsstyring fra departement til virksomheten og Tildelingsbrev fra overordnet departement til virksomhet, vil gi føringer for innholdet i virksomhetens styrende dokumenter som beskriver etablert internkontroll. Også eksterne krav i form av lover og regler vil gi føringer for hvor det må etableres styrende dokumenter, samt innholdet i virksomhetens styrende dokumenter. Eksempelvis stiller Bestemmelser om økonomistyring i staten kapittel 2.2 punkt d) krav om å definere myndighet og ansvar og fastsette instrukser. Begrepet instruks i Økonomiregelverket benyttes synonymt med begrepet policy i dette dokumentet. Det bør være en vertikal sammenheng fra mål og krav fastsatt av overordnet departement, gjennom policyer og ned til eventuelle tilhørende prosedyrer på de aktuelle områdene i virksomheten. I en god struktur vil derfor overordnende dokumenter (eksempelvis en policy) ha tydelige «pekere» ned til underliggende dokumenter (eksempelvis prosedyrer), og omvendt. Dette legger samtidig til rette for at eksterne overordnede føringer og krav, policyer og prosedyrer sees i sammenheng og utgjør en helhet. 4

3 Policyer Policyer er dokumenter som beskriver overordnede føringer og prinsipper og herunder krav, samt tydeliggjør roller, myndighet og ansvar gjennom å definere hvem som har ansvaret for hva innenfor det området policyen gjelder for. En policy bør være relativt kort (1-5 sider). Policydokumentene må være godt forankret hos virksomhetsledelsen, da policyen regulerer områder, funksjoner og/eller prosesser som er av betydning for oppfyllelse av virksomhetens samfunnsoppdrag. Enkelte policyer vil være virksomhetsovergripende. Virksomhetsovergripende policyer beskriver overordnede føringer og prinsipper som er gjeldene og førende for oppgaveutførelsen for alle virksomhetsområder og organisatoriske enheter, og for alle ansatte i virksomheten. Eksempler på virksomhetsovergripende policyer kan være policy for etisk adferd, policy for sikkerhet og beredskap, policy for styring og kontroll eller policy for internkontroll 2. Videre kan virksomheten ha policyer som gjelder for enkeltområder eller funksjoner. En funksjonspolicy beskriver overordnede føringer og prinsipper som gjelder for viktige områder/ funksjoner i virksomheten. En funksjonspolicy skal gjelde for en funksjon uavhengig av om funksjonen er lagt til en eller flere avdelinger. Eksempler på funksjonspolicyer kan være policy for tilskuddsforvaltning, etatsstyring, IKT, HR, Økonomi, m.v. 3.1 Utvelgelse av policyområder Ikke alle prosesser eller områder i virksomheten kan betegnes som kritiske for virksomhetens måloppnåelse og for overholdelse av fastsatte krav. Siden virksomhetens internkontroll skal tilpasses risiko og vesentlighet og være basert på en kost- nyttevurdering, er det derfor ikke hensiktsmessig å etablere og dokumentere like omfattende internkontroll på alle områder i en virksomhet. Virksomheten bør ha en risikobasert tilnærming knyttet til hvilke områder/funksjoner det skal eksistere policyer for. Dvs. at virksomhetens overordnede risikovurdering, sammen med en vesentlighetsvurdering, bør benyttes for å avgjøre hvilke områder som bør reguleres i policyer. Områder som ikke direkte eksponeres av risikoer identifisert i den overordnede risikovurderingen kan likevel ha behov for policyer. Det kan for eksempel eksistere eksplisitte krav i lover og regler som legger føringer for at virksomheten bør utarbeide en policy på området. Økonomiregelverket kapittel 2 stiller en rekke krav til virksomhetens interne styring. Som nevnt vil også andre føringer og krav i instruks eller tildelingsbrev fra departement kunne påvirke hvilke områder som virksomheten bør regulerer i policyer. Ofte vil det være naturlig å ha policyer som regulerer sentrale roller og ansvar for virksomhetens kjerneprosesser (dvs. virksomhetens hovedoppgaver) og på viktige støtte- og styringsprosesser som støtter opp under virksomhetens kjerneprosesser. 2 Mal for policy internkontroll beskrives i verktøyet Veiledning policy for internkontroll, som er tilgjengelig på dfo.no/internkontroll. 5

3.2 Innhold i en policy Når virksomheten har besluttet på hvilke områder/funksjoner det er behov for policyer, vil neste steg være å sikre at innholdet i hver enkelt policy følger en fast mal med tilstrekkelig kvalitet. Når policyer skal utformes, er det viktig å involvere de nøkkelpersonene som har ansvaret for, eller har en sentral rolle på området. Involvering bidrar til å sikre eierskap til policyen og tydeliggjøring av grensesnittet mellom de ulike rollene som er involvert i oppgavegjennomføringen på området. I mange tilfeller er derfor selve prosessen, bevisstgjøringen og diskusjonene som leder frem til fordelingen av roller og ansvar i policyen, like viktig som policyen i seg selv! Følgende innholdsfortegnelse i en policy kan være hensiktsmessig: 1. Formål 2. Gyldig for 3. Definisjoner 4. Overordnede føringer og prinsippet 5. Roller og ansvar 6. Eierskap og implementering av policy Kjennetegn på gode policyer: 1. De er relativt korte, overordnede og prinsippbaserte. 2. De er utformet etter en fast mal (ref. forslag ovenfor) og inngår i en nummerserie. De har en felles heading hvor det minst fremgår hvem som er eier av policyen, hvem som har godkjent policyen, versjonsnummer, sist oppdatert og hvilken dato policyen trådde i kraft. 3. De er formelt godkjent av virksomhetsledelsen (helst virksomhetens øverste leder), og dette fremgår av selve dokumentet. 4. De adresserer mål, krav og de viktigste risikoene innenfor det området de gjelder for. 5. De angir tydelig myndighet, roller og ansvar og beskriver hva som skal være på plass og hvem som har ansvaret for hver enkelt hva, samt ansvarsforholdet mellom virksomhetslederen og øvrig ledelse, eventuelt styre. 6. De definerer tydelig eierskap og ansvar for utforming og implementering av policyen 7. De er gjort kjent og er lett tilgjengelige for brukerne (intranett, møter, mv.) 8. De er gjenstand for versjonshåndtering og er lagret på et ikke-redigerbart format, f.eks. pdf. I Vedlegg A er det beskrevet en Mal for policy med eksempel og veiledning som virksomheten kan benytte som hjelp i arbeidet med utarbeidelse av policyer. 6

4 Prosedyrer Prosedyrene utgjør det neste nivået i dokumenthierarkiet i eksempelet, se figur 1. Prosedyrene skal operasjonalisere og konkretisere hvordan aktiviteter (kontroller, oppfølging og rapportering, mv.) skal gjennomføres. Konkretiseringen som skjer gjennom prosedyrene sørger for at de prinsipper og føringer som er gitt i en policy gjennomføres og følges opp i den praktiske oppgavegjennomføringen på ulike områder, slik at risikoer håndteres på en tilfredsstillende måte. En prosedyre kan inneholde prosesskart som viser aktivitetsflyt i en prosess. Videre kan prosesskartet illustrere hvor det eksisterer risikoer i prosessen og hvor det således er behov for risikoreduserende tiltak/kontroller. Prosedyren kan også inneholde sjekklister og maler som skal brukes ved utføring av ulike kontroller/aktiviteter. Videre beskrives ofte arbeidsmetoder og krav i prosedyren for å sikre at oppgaver gjennomføres og evt. dokumenteres på en standardisert måte. Dette for å sørge for at like ting gjøres likt. Prosedyrer bidrar også til å sikre løpende kontinuerlig drift. Gjennom tydelige beskrivelser av hvordan aktiviteter og kontroller skal utføres og dokumenteres er virksomheten bedre rustet mot sykefravær, permisjoner, tap av nøkkelpersoner, mv. Selv om en prosedyre i hovedsak fokuserer på hvordan noe skal utføres, vil det være relevant å beskrive fordeling av roller og ansvar også her, men da på et lavere og mer detaljert nivå enn i policyene. I motsetning til policyer er det ikke kritisk at prosedyrer er forankret hos øverste ledelse. Virksomhetsledelsen må imidlertid forsikre seg om at det eksisterer prosedyrer for å håndtere viktige oppgaver. De konkrete prosedyrene bør godkjennes av linjeleder som er ansvarlig for den aktuelle prosessen eller oppgaven. 4.1 Utvelgelse av prosedyreområder Forutsatt at virksomheten har utarbeidet policyer slik at rammene for virksomhetens internkontroll er etablert, vil det neste steget være å vurdere hvor man trenger prosedyrer. Ettersom utvelgelse av policyområder tar utgangspunkt i en risiko- og vesentlighetsvurdering, vil det ofte være naturlig at prosedyrer som et utgangspunkt vurderes innenfor de samme policyområdene, da disse områdene ansees for vesentlige i forhold til måloppnåelse. Som nevnt er det imidlertid ikke gitt at alle policydokumentene krever ytterligere spesifisering i en prosedyre. Den enkelte virksomhet må selv vurderer behovet for ulike prosedyrer med utgangspunkt i risiko, vesentlighet og egenart. Områder eller prosesser som ikke direkte eksponeres av risikoer identifisert i den overordnede risikovurderingen kan likevel ha behov for prosedyrer. Dette kan eksempelvis gjelde på områder med sårbarhet i forhold til nøkkelkompetanse/nøkkelpersoner og hvor det av den grunn er viktig å dokumentere hvordan spesifikke oppgaver skal gjennomføres. I tillegg kan det eksistere eksplisitte krav i lover og regler som legger føringer for hvordan oppgaver konkret skal utføres. Eksempelvis setter Økonomiregelverket krav til 7

attestasjonskontroll, kontroll ved bokføring, transaksjonskontroll av inntekter, aggregerte kontroller og etterkontroll, mv. 4.2 Innhold i en prosedyre Som for policynivået vil det være viktig å sikre at innholdet i hver enkelt prosedyre følger en fast mal og har tilstrekkelig kvalitet, samt at nøkkelpersoner blir involvert ved utforming. Følgende innholdsfortegnelse i en prosedyre kan være hensiktsmessig: 1. Formål 2. Gyldig for 3. Definisjoner 4. Kopling til overordnede føringer og prinsipper 5. Gjennomføring av prosedyren 6. Eierskap og implementering av policy Kjennetegn på gode prosedyrer: 1. De er utformet etter en fast mal (ref. forslag ovenfor) og inngår i en nummerserie. De har en felles heading hvor det minst fremgår hvem som er eier av prosedyren, hvem som har godkjent prosedyren, versjonsnummer, sist oppdatert og hvilken dato prosedyren trådde i kraft. 2. De har koplinger til eventuelle tilhørende styrende dokumenter. Eksempelvis vil en prosedyre for inngående fakturahåndtering ha en nummerserie som peker tilbake til policy for økonomiforvaltning. 3. De er formelt godkjent av leder for området prosedyren omfatter eller av prosesseier ol., og dette fremgår av dokumentet. 4. De adresserer mål, krav og de viktigste risikoene og kontrollene innenfor den aktuelle prosessen. 5. De angir tydelig hvordan aktiviteter skal gjennomføres (herunder kontroller) og gjerne beskrivelse av bakgrunn/forklaring av hvorfor aktiviteten skal gjennomføres. 6. Eierskap og ansvar for utforming og implementering av prosedyren er tydelig definert. 7. De er gjort kjent og er lett tilgjengelige for brukerne (intranett, møter, mv.) 8. De er gjenstand for versjonshåndtering og er lagret på et ikke-redigerbart format, f.eks. pdf. 9.. I Vedlegg B er det beskrevet en Mal for prosedyre med eksempel og veiledning som virksomheten kan benytte som hjelp i arbeidet med utarbeidelse av prosedyrer. 5 Oppdatering og vedlikehold av policyer og prosedyrer Det er viktig at styrende dokumenter som etableres blir vedlikeholdt og tilpasset endringer i interne og eksterne rammebetingelser. Endringer i interne og eksterne rammebetingelser vil påvirke både mål, krav og risiko, og således gi behov for å tilpasse og endre etablert internkontroll dokumentert i virksomhetens styrende dokumenter. Dersom policyer og prosedyrer 8

ikke oppdateres og vedlikeholdes vil de oppfattes som utdaterte og irrelevante, og dermed miste sin verdi. Resultatet blir en svakere internkontroll. Dokumenteier har best forutsetninger for å vite når det er hensiktsmessig og nødvendig med endring og oppdatering. Det er derfor naturlig at dokumenteier har ansvar for å endre og ajourholde det aktuelle dokument. Brukerne av de respektive policyer og prosedyrer vil opparbeide seg erfaringer og inngående kunnskap om hvordan den etablerte internkontrollen fungerer, herunder ha ideer til endringer, justeringer og tilpasninger. Det er viktig at dokumenteier etablerer tydelige prosesser som sikrer at slike innspill mottas, vurderes og ses i sammenheng, før endringer innarbeides. I den sammenheng er det også viktig å etablere klare prosesser for hvem som godkjenner eventuelle endringer og når og hvordan endringene skal implementeres i organisasjonen. En rolle/funksjon med fagansvar for internkontroll kan eventuelt bidra med å koordinere, fasilitere og holde i prosessen med oppdatering og vedlikehold av styrende dokumenter. For enkelt å kunne spore endringer mv. bør de styrende dokumentene ha et system for versjonshåndtering, for eksempel gjennom et vedlegg som utgjør en endringslogg. Vedlegg A Mal for policy med eksempel og veiledning Når policyer skal utvikles er det som nevnt viktig at de får lik struktur. Policy for Tilskuddsforvaltning bør eksempelvis ha samme struktur som Policy for IKT og Policy for sikkerhet og beredskap Dette vedlegget er en veiledning til hvordan innholdet i en policy kan se ut. Eksempelet i malen nevner ikke alle temaer på området som kan være aktuelle å omtale i en policy. Virksomheten må selv skreddersy og tilpasse til risiko, vesentlighet og egenart. Intensjonen er at virksomheten kan ta utgangspunkt i malen for å utarbeide en policy. All tekst i kursiv er veiledende tekst og kan slettes når dokumentet er ferdig. Øvrig tekst er eksempeltekst som virksomheten kan vurdere som utgangspunkt og bearbeide til eget behov. Det presiseres at malen verken er en fasit eller er uttømmende, men kun ment som inspirasjon og utgangspunkt for videre arbeid. I eksempelet under er det tatt utgangspunkt i en policy for sikkerhet og beredskap. 9

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## 1. Formål Veiledning: Formålet bør relateres til hva som er hensikten med området/funksjonen eller hovedprosessene policyen skal håndtere. Eksempel/mal: [VIRKSOMHETEN] leverer virksomhetskritiske tjenester og forvalter informasjon for et stort antall kunder i statsforvaltningen. Informasjon representerer store verdier. For at [VIRKSOMHETEN] skal kunne levere tjenester til avtalt kvalitet må informasjonen og informasjonssystemer behandles og beskyttes på en forsvarlig måte. [VIRKSOMHETEN] må videre ha forsvarlig sikkerhet for ansatte og materiell, mv. for å beskytte virksomhetens aktivitet mot interne og eksterne trusler av tilsiktet og utilsiktet art. De overordnede formålene med [VIRKSOMHETEN]s sikkerhets- og beredskapsarbeid er å ivareta; [VIRKSOMHETEN]s delansvar for samfunnssikkerhet 3 og beredskapsarbeid Kundeforpliktelser med hensyn til sikkerhet og beredskap Ansattes behov for egen sikkerhet Sikkerhetsmålene skal understøtte og sikre [VIRKSOMHETEN]s drift, allmenne tillit og omdømme, samt overholdelse av lover og regler som til en hver tid er gjeldene på området. 2. Gyldig for Veiledning: Dette avsnittet skal angi hvilken del av virksomheten policyen gjelder for. Gjelder den for hele virksomheten (alle lokasjoner og områder mv.), eller kun en avgrenset del? Gjelder den for en tredjepart som leverer tjenester på vegne av virksomheten (eksempelvis konsulenter, ekstern regnskapsfører, mv.)? Eksempel/mal: Denne policyen gjelder for alle ansatte og innleid personell i [VIRKSOMHETEN]. Sikkerhet i [VIRKSOMHETEN] omfatter områdene: Sikkerhetsadministrasjon Personalsikkerhet Objektsikkerhet Informasjonssikkerhet, herunder; o dokumentsikkerhet o informasjonssystemsikkerhet o fysisk sikkerhet Beredskap i [VIRKSOMHETEN] omfatter håndtering/reduksjon av skadevirkninger som følge av uønskede hendelser som medfører: Skade på eller tap av liv og helse 3 [VIRKSOMHETEN]s ansvar i forbindelse med Sivilt Beredskapssystem (SBS). 1

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## Høyt personellfravær Tap av [VIRKSOMHETEN]s evne til å levere tjenester 3. Definisjoner Veiledning: I dette avsnittet bør virksomheten definere hva som menes med sentrale begreper benyttet i policyen. Eksempel/mal: Sikkerhet. Sikkerhet er kontroll over mulige årsaker til uønskede hendelser som kan medføre skade på, eller tap av, [VIRKSOMHETEN]s aktiva (verdier), nødvendig for at [VIRKSOMHETEN] skal kunne levere sine tjenester. Beredskap. Beredskap er evne til å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til skade på, eller tap av, aktiva eller som medfører svikt i [VIRKSOMHETEN]s leveranser. Informasjonssystem. Informasjonssystem er et system for innsamling, lagring, behandling, overføring og presentasjon av informasjon. I prinsippet kan et informasjonssystem være helt manuelt, men ordet brukes i denne policy om systemer som er basert på informasjons- og kommunikasjonsteknologi (IKT). 4. Overordnede føringer og prinsipper Veiledning: Dette avsnittet skal angi overordnede føringer og prinsipper som skal være gjeldende innenfor det området/funksjonen som policyen regulerer. Det bør her angis konkrete krav, eksempelvis til sentrale lover og regler for det aktuelle området. Eksempel/mal: [VIRKSOMHETEN]s aktiva(verdier) skal behandles iht. krav i relevante lover og forskrifter. Følgende lover 4 er relevant for sikkerhetsarbeidet i [VIRKSOMHETEN]: Personopplysningsloven med Personopplysningsforskriften Sikkerhetsloven med forskrifter Beskyttelsesinstruksen Offentlighetsloven E-Forvaltningsforskriften Reglement for økonomistyring i staten Bestemmelser om statlig økonomistyring Arkivloven Arbeidsmiljøloven Tjenestemannsloven 4 Mer informasjon om lovene og forskriftene finnes på www.lovdata.no. 2

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## Følgende sikkerhetsprinsipper er definert i [VIRKSOMHETEN]: 1) Personell og sikkerhet. Brukere av [VIRKSOMHETEN]s aktiva skal gjennom opplæring og tilgang på prosedyrer oppnå tilstrekkelig kompetanse til å forvalte informasjon og systemer og ivareta virksomhetens sikkerhetsbehov og krav. a. Alle ansatte som får tilgang til skjermingsverdig informasjon skal underskrive taushetserklæring b. Fast ansatte med tilgang til [VIRKSOMHETEN]s informasjonssystemer skal underskrive [VIRKSOMHETEN]s «Sikkerhetsinstruks ansatte» c. Endringer i konfigurasjon av systemer og nettverk skal bare utføres av kvalifisert personell og etter godkjenning av systemeier i [VIRKSOMHETEN]. 2) Dokumentsikkerhet. Alle dokumenter og lagringsmedia som inneholder skjermingsverdig informasjon, skal oppbevares, forsendes og avhendes på en slik måte at det ikke kommer uvedkommende i hende. 3) Fysisk sikkerhet. [VIRKSOMHETEN]s fysiske sikkerhet skal forhindre uautorisert adgang til lokaler der skjermingsverdig informasjon 5 lagres og behandles, samt beskytte ansatte, lokaler, informasjon, materiell og IKT-systemer mot innbrudd, hærverk og tyveri. 4) Tilgang til informasjonssystem. a. Det skal etableres tilgangskontroller som sikrer funksjonalitet i informasjonssystemer og data mot uautorisert endring (dataintegritet). b. Kun medarbeidere med behov får tilgang til informasjonssystemer og informasjon. c. Autoriserte personer skal ha rettidig tilgang til informasjonssystemer, tjenester og informasjon. 5) Endringskontroll. [VIRKSOMHETEN]s informasjonsbehandling skal være korrekt, og informasjon skal kun endres av personer med lovlig tilgang. Ved endringer i informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten. Uønskede hendelser skal kunne spores. 6) Avvikshåndtering. a. [VIRKSOMHETEN] skal sikre at sikkerhetshendelser formidles på en måte som gjør det mulig å iverksette korrigerende tiltak for å begrense skadevirkningene og trekke lærdom av slike hendelser. Dette skal skje ved å ha velfungerende prosedyrer og systematiske læringsprosesser knyttet til melding og rapportering av sikkerhetshendelser, herunder oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen. b. Ved uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig skal Datatilsynet orienteres 6. 7) Sikkerhetsarbeid. a. [VIRKSOMHETEN]s sikkerhetsarbeid skal forhindre at personer eller systemer hos [VIRKSOMHETEN], bevisst eller ubevisst, er årsak til sikkerhetsmessig uønskede hendelser hos egen eller andre virksomheter eller privatpersoner. b. Sikkerhetsarbeid skal være en integrert del av [VIRKSOMHETEN]s drift. c. Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes. 8) Beredskapsarbeid. Det skal etableres beredskapsplanverk for håndtering av uønskede hendelser. Beredskapsplanene skal være kjent og tilgjengelige for personer som skal delta i [VIRKSOMHETEN]s beredskapsarbeid. 6 Iht. personopplysningsforskriften 2-6 3

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## 5. Roller og ansvar Veiledning: Dette avsnittet bør omfatte hvem som har ansvaret for hva knyttet til det området/funksjonen policyen gjelder for. Policydokumentet må si tydelig hvem som har hvilket ansvar for å etablere, drifte og påse etterlevelse av oppgaver knyttet til området/funksjonen som policyen dekker. Eksempel/mal: Sikkerhetsarbeidet i [VIRKSOMHETEN] er en kontinuerlig oppgave og er organisert med faste roller og ansvar. Sikkerhetsorganisasjonen er en permanent organisering i [VIRKSOMHETEN] uavhengig av hvilke hendelser som måtte inntreffe. I dette kapittelet beskrives: [VIRKSOMHETEN]s sikkerhetsorganisasjon med tilhørende roller og ansvar [VIRKSOMHETEN]s beredskapsorganisasjon for håndtering av alvorlige krisesituasjoner; katastrofer, alvorlige ulykke, svikt i kritisk infrastruktur, høyt personellfravær, kriminalitet, mv. 5.1 Roller og ansvar i sikkerhetsorganisasjonen Direktør [VIRKSOMHETEN]s direktør har det overordnede ansvaret for sikkerhet og beredskap i [VIRKSOMHETEN]. Ansvaret innebærer at; det avsettes nødvendige ressurser for å ivareta sikkerhetsarbeidet [VIRKSOMHETEN]s drift utføres i henhold til lover, forskrifter og inngåtte avtaler det foreligger policyer og prosedyrer for å ivareta sikkerheten og at disse følges opp Avdelingsdirektører Avdelingsdirektører har ansvar for sikkerheten i respektive avdelinger/enheter. Ansvaret innebærer; ansvar for alle aktiva (informasjon, personell, lokaler, systemteknisk) som avdelingen/enheten forvalter, uansett hvor det lagres eller er fysisk plassert gjennomføring av sikkerhetstiltak og kontroll av at sikkerheten er ivaretatt i avdelingen/enheten Linjeledere Linjeledere har ansvar for sikkerheten innen sitt ansvars- og myndighetsområde. Ansvaret gjelder også der utførelsen av sikkerhetsoppgaver er overlatt til privat leverandør eller andre virksomheter. Linjeledere skal godkjenne hvem som skal kunne benytte systemer og dets informasjon, samt hvilket autorisasjonsnivå som skal gis. Sikkerhetssjef Sikkerhetssjef skal forestå koordinering, rådgivning og kontroll med sikkerheten i [VIRKSOMHETEN], samt bidra til at det etableres nødvendige kontrollrutiner slik at sikkerhetspolicy og tilhørende prosedyrer etterleves i hele virksomheten. 4

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## Ansatte Alle ansatte (faste og midlertidige) har ansvar for å medvirke til en effektiv sikkerhetstjeneste ved [VIRKSOMHETEN]. Alle ansatte har ansvar for å sette seg inn i [VIRKSOMHETEN]s sikkerhetsprosedyrer og å overholde disse. Ansatte har ansvar for å melde sikkerhetshendelser til sikkerhetssjef. Det er viktig at ansatte bidrar med forslag til forbedringer av sikkerheten. Roller og ansvar i beredskap og krisesituasjon Ved håndtering av sikkerhets- og beredskapshendelser i [VIRKSOMHETEN] legges følgende prinsipp til grunn: Ansvarsprinsippet som innebærer at den avdeling som har ansvar og myndighet for et fageller tjenesteområde i normalsituasjon, også skal ha ansvaret for å håndtere uønskede hendelser på området. Likhetsprinsippet som betyr at den organisasjonen man opererer med til daglig skal være mest mulig lik den organisasjonen man har ved uønskede hendelser. Nærhetsprinsippet som innebærer at uønskede hendelser skal håndteres på et lavest mulig nivå. Dersom en uønsket hendelse er av en slik art og omfang at hendelsen krever innsats utover det [VIRKSOMHETEN]s normale ressurser kan håndtere, skal det etableres kriseledelse for håndtering av situasjonen. [VIRKSOMHETEN]s kriseledelse skal vurdere hvilke tiltak som skal iverksettes og har myndighet til å treffe nødvendige beslutninger i en akutt situasjon. Kriseledelsen har ansvar for at nødvendig informasjon og varsling blir gitt internt og eksternt. Kriseledelse Rolle Funksjon Navn Mobil Ansvar Kriseleder Avd.leder Adm.avd. Terje Flink Xxx xx xxx Treffe nødvendige tiltak for å håndtere årsaker og konsekvenser av den uønskede hendelsen med det mål å returnere virksomheten til en stabil tilstand. Fast deltaker kriseledelsen Fast deltaker kriseledelsen Personalsjef Mia Var Xxx xx xxx Ivareta ansatte i [VIRKSOMHETEN] og eventuelt pårørende. Være rådgiver i personell og arbeidsmiljø spørsmål for kriseledelsen og krisestab, samt ansvarlig for å planlegge bemanning i [VIRKSOMHETEN] dersom krisen forventes å vare. Lede personell og pårørende funksjonen i krisestab. Kommunikasjonssjef Thale Godt Xxx xx xxx Innhente informasjon om situasjon og utarbeide informasjon som skal formidles internt og eksternt. Lede 5

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## Informasjonsfunksjonen i krisestab. Fast deltaker kriseledelsen Fast deltaker kriseledelsen Administrasjonssjef Ola Orden Xxx xx xxx Sørge for at sentralbordet og operatører er kjent med krisesituasjonen og vet hvilken informasjon som skal gis og hvor henvendelser skal kanaliseres under håndtering av krisen. Administrasjonssjef skal fungere som kriseledelsens administrative ressurs og kan forlate pågående møter mv. for å gi/ta beskjeder. Sikkerhetssjef Klaus Klar Xxx xx xxx Opptre som rådgiver i sikkerhet og beredskapsspørsmål for kriseledelsen og krisestab. Holde seg oppdatert på situasjonen og de ulike tiltak som iverksettes. Være klar til å ta over som kriseleder hvis nødvendig. Dersom hendelsen medfører alvorlig svikt i [VIRKSOMHETEN]s evne til å levere tjenester, kan det etableres en kontinuitetsledelse for håndtering av kritiske situasjoner. Kritiske situasjoner kan oppstå som følge av svikt i IKT-systemer eller andre nødvendige ressurser knyttet til tjenestene. Slike situasjoner kan kreve innsats utover det tjenestens normale ressurser kan håndtere. Normalt vil kontinuitetsledelsen håndtere svikt i tjenestetilbudet på egen hånd, uten etablering av kriseledelse, dersom årsaken er teknisk svikt. Ved etablering av [VIRKSOMHETEN]s kontinuitetsledelse skal kontinuitetsleder holde kriseleder løpende orientert om situasjonen. Kriseleder skal vurdere om kriseledelse skal etableres dersom konsekvensene vil kunne få alvorlige følger for [VIRKSOMHETEN] som helhet. Kontinuitetsledelse Rolle Funksjon Navn Mobil Ansvar Kontinuitetsleder Avd. dir. stab Kjell Kjapp Xxx xx xxx Innhente opplysninger om Assisterende kontinuitetsleder Avd.dir. regnskap Dorthe Debet Xxx xx xxx 6 situasjonen og varsle/innkalle nødvendig fagpersonale/avklare ansvarsforhold Beslutte evt. avvik fra rutiner Ta beslutninger om å iverksette tiltak for å etablere korrekt feiloppretting og kontinuitet av virksomhetskritiske oppgaver Utarbeide og sende ut informasjon til kunder og

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## media Gi rapport om situasjonen til sentral kriseleder som vurderer om sentral kriseledelse skal innkalles. Rapportere status til [VIRKSOMHEN]s direktør. Deltaker kontinuitetsledelse Seksjonssjef IT Tore Tekno Xxx xx xxx Påse at sentralbordet er operativt under krisen Påse at sentralbordet er kjent med krisesituasjonen og vet hvilken informasjon som skal gis og hvor henvendelser skal kanaliseres under håndtering av krisen. Fungere som kriseledelsens administrative ressurs og kan forlate pågående møter mv. for å gi/ta beskjeder Påse at gjeldende nød- og gjenopprettingsprosedyrer blir fulgt innenfor det området som deltakeren har ansvaret for. Rapportere status til kontinuitetsleder. Deltaker kontinuitetsledelse Avd.dir KOM Tone Tydelig Xxx xx xxx Utarbeide nødvendig informasjon i samarbeid med aktuelle deltakere Deltaker kontinuitetsledelse Sikkerhetskoordin ator Siri Styr Xxx xx xxx Overvåke at alle tiltak som iverksettes er iht. nødvendige sikkerhetskrav. At kontinuitetsplanen og nødprosedyrer er tilgjengelig på et medium uansett hvilke katastrofelignende tilstand [VIRKSOMHETEN] måtte utsettes for. Påse at planen er gjenstand for uttesting/øvelse slik at man vet at den vil fungere når behovet evt. oppstår. 7

Policy nr ## Policyeier: <rolle> <Navn på policy> Gyldig fra: dd.mm.åå Sist revidert: dd.mm.åå Godkjent av: <rolle> Versjonsnummer: ## 6. Eierskap og implementering av policy Veiledning: Det bør beskrives hvem som eier policydokumentet. Dette innebærer å være ansvarlig for utforming, implementering og oppdatering av policyen. Det bør også bør også beskrives hvem som skal godkjenne policyen. Dette vil normalt være virksomhetens øverste leder. Eksempel/mal: Sikkerhetssjef er eier av denne policyen, samt ansvarlig for utforming og implementering av denne policy og for at policyen til enhver tid er oppdatert Policyen er gyldig fra tidspunktet den er godkjent av [VIRKSOMHET]s direktør. 8

Vedlegg B Mal for prosedyre med eksempel og veiledning Når prosedyrer skal utvikles er det viktig at de får en lik struktur. Prosedyre for avvikshåndtering bør eksempelvis ha samme struktur som Prosedyre for budsjettprosess. Prosedyrene bør operasjonalisere overordnede føringer og prinsipper som er beskrevet i policyen ved å beskrive og konkretisere hvordan oppgaver i form av aktiviteter og kontroller skal gjennomføres. Dette vedlegget er en veiledning til hvordan innholdet i en prosedyre kan se ut. Eksempelet i malen nevner ikke alle temaer på området som kan være aktuelle å omtale i en prosedyre. Virksomheten må selv skreddersy og tilpasse til risiko, vesentlighet og egenart. Intensjonen er at virksomheten kan ta utgangspunkt i malen for å utarbeide en prosedyre. All tekst i kursiv er veiledende tekst og kan slettes når dokumentet er ferdig. Øvrig tekst er eksempeltekst som virksomheten kan vurdere som utgangspunkt og bearbeide til eget behov. Det presiseres at malen verken er en fasit eller er uttømmende, men kun ment som inspirasjon og utgangspunkt for videre arbeid. I eksempelet under er det tatt utgangspunkt i en prosedyre for melding og rapportering av sikkerhetshendelser. Denne prosedyren skal operasjonalisere prinsipp 6) Avvikshåndtering omtalt i kapittel 4 i policy for sikkerhet og beredskap, Vedlegg A. 1

1. Formål Veiledning: Formålet bør relateres til hva som er hensikten med prosessen prosedyren skal håndtere. Eksempel/mal: I følge [VIRKSOMHETEN]s policy for sikkerhet og beredskap skal [VIRKSOMHETEN] påse at sikkerhetshendelser og -svakheter formidles på en måte som gjør det mulig å treffe korrigerende tiltak for å begrense skadevirkningene og trekke lærdom av slike hendelser. Formålet med å varsle om en sikkerhetshendelse er å; raskt få virksomhetens oppmerksomhet rettet mot mulige konsekvenser av en sikkerhetshendelse slik at virksomheten hurtig kan iverksette tiltak for å redusere negative konsekvenser. sikre at virksomheten kan iverksette tiltak som forhindrer eller reduserer sannsynligheten for at lignende hendelser skal gjentas. 2. Gyldig for Veiledning: Dette avsnittet skal angi hvilken del av virksomheten policyen gjelder for. Gjelder den for hele virksomheten (alle lokasjoner og områder mv), eller bare en avgrenset del? Gjelder den for en tredjepart som leverer tjenester på vegne av virksomheten eller for kunder? (eksempelvis konsulenter, ekstern regnskapsfører, mv). Eksempel/mal: Denne prosedyren gjelder for alle ansatte og innleid personell i [VIRKSOMHETEN]. 3. Definisjoner Veiledning: I dette avsnittet bør virksomheten definere hva de mener med sentrale begreper benyttet i prosedyren. Eksempel/mal: Sikkerhetshendelse. En sikkerhetshendelse er en identifisert tilstand som indikerer et mulig brudd på relevant regelverk, [VIRKSOMHETEN]s policy for sikkerhet og beredskap, svikt i etablerte sikringstiltak eller mulig sårbarhet som kan være relevant for sikkerheten. Sikkerhet i dette dokumentet er knyttet til nøkkelbegrepene konfidensialitet, integritet og tilgjengelighet. Dvs. beskyttelse av: o konfidensialitet slik at informasjon ikke blir kjent for uvedkommende o integritet slik at informasjon ikke utilsiktet blir endret ved behandling i eller i tilknytning til dataanleggene o tilgjengelighet slik at autoriserte brukere har tilgang til informasjonen og tilhørende tjenester som avtalt Eksempler på sikkerhetshendelser kan være: 1

inntrengning i IKT-systemer, applikasjoner uautorisert endring, sletting eller utlevering av informasjon (f.eks. personopplysninger) oppdagelse eller mistanke om virus eller trojanere bevisst forsøk på misbruk av IKT-systemer innbrudd i [VIRKSOMHETEN]s lokaler uvedkommende har skaffet seg tilgang til systemer eller adgang til lokaler. 4. Kobling mot overordnede føringer og prinsipper Veiledning: I dette avsnittet beskrives koblingen til policyer, samt eventuelle lovkrav og andre føringer som legger rammer og begrensninger på gjennomføring av aktiviteter. Det kan også være hensiktsmessig å beskrive de risikoene som prosedyren skal håndtere. Eksempel/mal: Denne prosedyren skal sikre forsvarlig og effektiv rapportering og håndtering av sikkerhetshendelser i tråd med føringer gitt i: [VIRKSOMHETEN]s Policy for sikkerhet og beredskap Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften) Personopplysningsloven med Personopplysningsforskriften Sikkerhetsloven med forskrifter Beskyttelsesinstruksen Offentlighetsloven E-Forvaltningsforskriften Reglement for økonomistyring i staten Bestemmelser om statlig økonomistyring Arkivloven 5. Gjennomføring av prosedyren Veiledning: Dette avsnittet beskriver hvilke hovedaktiviteter som gjennomføres i den aktuelle prosessen som prosedyren gjelder for, og hvilke personer/funksjoner som er involvert og ansvarlig for de enkelte aktivitetene. En prosesskartlegging dokumentert i et prosessflytskjema kan for eksempel bidra til å bedre forståelse av prosessen og skape en forutsigbar, systematisk, helhetlig og enhetlig prosess på tvers i hele virksomheten. Det kan være hensiktsmessig å ytterligere detaljere og beskrive de ulike hovedaktivitetene omtalt i boksene i figuren under. Det kan også eksempelvis for aktiviteten Melde sikkerhetshendelse være behov for et eget skjema for rapportering av sikkerhetshendelser. Den enkelte virksomhet må avgjøre detaljeringsnivå ut ifra behov/egenart. 2

Eksempel/mal: Alle ansatte og innleid personell i [VIRKSOMHETEN] er ansvarlige for å melde om sikkerhetshendelse som definert i denne prosedyren. [VIRKSOMHETEN]s sikkerhetssjef er ansvarlig for å følge opp at sikkerhetshendelsen blir håndtert i henhold til denne prosedyren, samt at riktig nivå mottar meldingen. Sikkerhetssjef har også ansvar for å melde status tilbake til personen som opprinnelig meldte hendelsen, regelmessig rapportere til ledergruppen og påse at tiltak blir implementert av ansvarlig person for håndtering av sikkerhetshendelsen innen definert tid. Leder, prosesseier eller andre som mottar melding om sikkerhetshendelser via sikkerhetssjef har ansvar for at tiltak blir definert og implementert slik at lignende hendelse ikke skjer igjen. Prosess: Figur 2 Prosessflytdiagram melding og rapportering av sikkerhetshendelser 3

Beskrivelse av sentrale aktiviteter i prosessen Nr. Handling Ansvarlig Når 1 Ved avdekket eller mistanke om sikkerhetshendelse (iht. definisjon av sikkerhetshendelse omtalt i kapittel 3 i denne prosedyren) varsles sikkerhetssjef. Melder benytter Skjema for sikkerhetshendelser 7. Skjema finnes både på [VIRKSOMHETEN]s intranettsider under Kvalitetssystem -> Diverse skjema og under Sikkerhet -> Diverse skjema 2 Meldingen mottas av sikkerhetssjef som videresender Skjema for sikkerhetshendelser til ansvarlig person for håndtering av sikkerhetshendelsen (eksempelvis avdelingsleder, seksjonsleder, prosessansvarlig, o.l.). Dersom sikkerhetshendelse er innenfor sikkerhetssjefs eget ansvar- og myndighetsområde håndteres hendelsen av sikkerhetssjef. 3 Ansvarlig for håndtering av sikkerhetshendelsen vurderer hvordan hendelsen bør håndteres innenfor sitt ansvars- og myndighetsområde. Sikkerhetssjef involveres i beslutning av korrigerende tiltak før endelig tiltak besluttes. Tiltak dokumenteres i Skjema for sikkerhetshendelser med evt. frist og ansvarlig person for utforming og implementering av tiltak. Når tiltaket er ferdig utformet og implementert settes status til lukket i Skjema for sikkerhetshendelse. 4 Mottaker og ansvarlig for håndterer av sikkerhetshendelsen sender melding til sikkerhetssjef om status på håndtering av sikkerhetshendelse. Det er ikke nødvendig å «lukke» tiltaket før tilbakemelding om status sendes sikkerhetssjef, ettersom utforming og implementering ofte vil ta noe tid avhengig av tiltak. 5 Sikkerhetssjef mottar tilbakemelding om status på håndtering av sikkerhetshendelse og videresender denne informasjonen til melder. Sikkerhetssjef følger på regelmessig basis opp at Melder av sikkerhetshendelse Sikkerhetssjef Ansvarlig håndterer av sikkerhetshendelse Ansvarlig håndterer av sikkerhetshendelse Sikkerhetssjef Umiddelbart Raskest mulig, helst samme dag som sikkerhetshendelsen er identifisert Innen 3 dager etter at melding om sikkerhetshendelse er mottatt NB! Tid avhenger av vurdert alvorlighetsgrad på sikkerhetshendelse Innen 3 dager etter at avviket er mottatt Innen 3 dager etter at avviket er mottatt 7 Evt. kan dette være et felles skjema for registrering og håndtering av avvik som inneholder en kategori av avvik som omhandler sikkerhetshendelser. På www.dfo.no/internkontroll finnes et eksempel på skjema for registrering og håndtering av avvik med tilhørende prosedyre. Dette skjema kan utvides til å inkludere sikkerhetshendelser som definert i dette dokumentet. 4

alle tiltak blir lukket (utformet og implementert) og rapporterer en samlet oversikt over registrerte sikkerhetshendelser med tilhørende status på håndtering til ledergruppen månedlig. 6 Personen som først registrerte og meldte sikkerhetshendelsen mottar status om håndtering. Melder av sikkerhetshendelse Innen en uke etter at melding om avvik er sendt 6. Eierskap og implementering Veiledning: Det bør beskrives hvem som eier selve prosedyredokumentet. Dette innebærer å være ansvarlig for utforming, implementering og oppdatering, samt sikre etterlevelse av prosedyren. Det bør også beskrives hvem som skal godkjenne prosedyren. Dette vil normalt være personen i stillingen over den som skal godkjenne prosedyren. Dette kan eksempelvis være avdelingsleder/direktør. Eksempel/mal: Sikkerhetssjef som eier av denne prosedyren, er ansvarlig for utforming og implementering av denne prosedyren og for at prosedyren til enhver tid er oppdatert og blir etterlevd. Prosedyren er gyldig fra tidspunktet den er godkjent av direktør administrasjonsavdelingen 5