Rolf Jullum, sjefingeniør i Nasjonal Sikkerhetsmyndighet (foto: Even Rise).

Arbeidsprosesser innen sikring – hvem må gjøre hva for å utvikle og etablere en beskyttelse?

I enhver virksomhet foregår normal drift i egne prosesser blant ledere – og egne blant medarbeiderne. Arbeidsprosessene er enten ledelsesprosesser eller fagprosesser.

Publisert

Denne fagartikkelen ble først publisert i papirutgaven av magasinet Aktuell Sikkerhet. Her kan du bestille abonnement på bladet som kommer ut seks ganger årlig.

De prosessene hos ledelsen som er koblet til trusler (det som kan ramme en virksomhet) og det virksomheten ønsker å beholde intakt, vil behandle usikkerhet. Usikkerhet til hva som kan skje og hvilke konsekvenser hendelsene vil gi. Innen sikring kalles dette risiko. Arbeidsprosesser som behandler risiko er ledelsesprosesser. Et eksempel på en slik ledelsesprosess er NS 5832. NS5832 er ikke en fagprosess.

Ledelsen må ha oversikt over all oppgaveløsning og påse at nødvendig informasjon og beslutningsgrunnlag blir tilgjengelig og at det er sammenheng mellom arbeidsprosesser. Ledelsens gjennomgang krever relevant underlag.

Arbeidsprosess

En arbeidsprosess er en strukturert tilnærming for en oppgaveløsning, som følger spesielle mønstre. Det er ulike rolleinnehavere og aktører som er ansvarlig for den enkelte arbeidsprosess. Enhver arbeidsprosess er basert på et sett med forutsetninger, det skal gi definerte leveranser og resultater, det stilles krav til kompetanse og metoder.

Håndbok – Risikovurdering for sikring

NSM sin håndbok «Risikovurdering for sikring», gir en oversikt over mye av det arbeidet en virksomhet må igjennom for å nå fram til en fullverdig beskyttelse. Her er noen av de fagprosessene man må benytte seg av beskrevet- som for eksempel verdivurdering og sårbarhetsvurdering. Håndboken viser også hvilke hovedaktiviteter i NS 5832 den enkelte fagprosess knytter seg til. Typisk informasjon ledelsen trenger er: full beskrivelse av virksomheten med omgivelser, oversikt over

konsekvenser av skade på verdier, sammenhenger og avhengigheter mellom arbeidsprosesser internt og eksternt, sårbarheter, forslag til sikringstiltak med beskrivelse av beskyttende funksjon disse vil ha overfor verdiene. Alt dette gir rammer for valg og beslutninger de må ta.

NSM anbefaler at virksomheten selv lager en oversikt over de sentrale prosesser, som må følges og de sikringsfaglige krav som stilles, for å sikre at de har en god oppgaveløsning. Det påpekes at det er virksomheten som eier verdiene, som er ansvarlig for å etablere kontroll med beskyttelsen av disse.

Virksomheten skal beslutte igangsatt analyser og annet arbeid, de skal forvalte resultater og ta beslutninger underveis fram mot verifisert beskyttelse.

En fagmodell for sikring kan bestå av følgende hovedelementer:

A) Virksomhetens interne ledelsesprosesser og oppgaveløsning

B) Analyser bestilt fra fagmiljøer, i eller utenfor virksomheten, for utvikling av den faktiske sikringen og beskyttelsen

C) Analyser bestilt fra fagmiljøer for risikohåndtering (ledelsesnært)

D) Forvaltning og drift av etablerte sikringsløsninger

A. Virksomhetens interne ledelsesprosesser og oppgaveløsning

Ledelsen har ansvaret for at relevant beskyttelse er på plass og at løsningers funksjon er verifisert i henhold til krav som påhviler virksomhetens ledelse. En fullverdig beskyttelse består av sikkerhetsadministrasjon (organisering, systemer, styring, rutiner, … ), styringssystemer tilpasset sikring og fysisk sikkerhet, som består av barrierer, deteksjon, verifikasjon og reaksjon, koblet i en helhet som omfatter organisering, rutiner, opplæring, logger, oppfølging og mulighet for hendelseshåndtering.

Dette innebærer også at virksomheten må kartlegge seg selv med beskrivelser av all oppgaveløsning,

arbeidsprosesser, avhengigheter, beskrive verdier med konsekvenser av skade/bortfall. Virksomhetens leder må fastsette sikringsmål og beslutte hva som er akseptert risiko.

B. Analyser bestilt fra fagmiljøer for utvikling av sikring og beskyttelse

Alt arbeid som gjøres med kartlegging i og utenfor virksomheten og vurderinger basert på innsamlet informasjon, hører inn under hovedprosessen Fagprosess-Sikring (sikringsanalyse). Her er noen eksempler på aktuelle fagprosesser hørende til en sikringsanalyse:

• Fagprosess – Virksomhet & Situasjon (virksomhetskartlegging som ligger før beslutning om gjennomføring av NS 5832)

• Fagprosess – Verdivurdering (Se håndboken punkt 4.3)

• Fagprosess – Sårbarhetsvurdering (håndbokens punkt 4.7)

• Fagprosess – Scenarioutvikling (håndbokens punkt 4.6)

• Fagprosess – Tiltak

Det er andre elementer som er relevant også, men som ikke omtales spesifikt her.

C. Analyser bestilt av fagmiljøer for risikohåndtering

• Fagprosess - Risiko

D. Forvaltning av sikringsløsninger

Virksomheten må ha etablert ressurser som forvalter sikringsløsningene. Dette omfatter organisatoriske tiltak, administrative tiltak, forvaltning av logger og systemer, forvaltning av alarmer, og reaksjon, styring av hendelseshåndtering (ligger under beredskap), evaluering av erfaringer med drift med innspill til ledelsen om forbedringer.

Avsluttende merknader

Vi ser at en helhetlig oppgaveløsning innebærer involvering av mange mennesker. Disse må utøve oppgaveløsning ved hjelp av flere arbeidsprosesser. Disse arbeidsprosessene er selvstendige, men koblet med forutsetninger og leveranser, samt beslutninger. Det er da ikke en som kan stå for alt. Koordineringen og ledelsen må styre.

Powered by Labrador CMS