Styringsdokument for sikkerhet og beredskap

OsloMet sine vedtatte prinsipper for virksomhetsstyring gjelder også for sikkerhetsstyringen. Som overordnede faglige prinsipper for sikkerhets- og beredskapsarbeidet, skal Nasjonal Sikkerhetsmyndighet (NSM) sine fire grunnprinsipper for sikkerhetsstyring legges til grunn.

1.1 Identifisere og kartlegge

OsloMet skal ha oversikt over interne og eksterne krav, egne verdier, farer og trusler sårbarheter og avhengigheter, og utarbeide scenarier for uønskede hendelser med konsekvensvurderinger.

1.2 Beskytte og opprettholde

Sikkerhetstiltak skal baseres på risikovurderinger, slik at risikoen reduseres til et akseptabelt nivå. Akseptabel sikkerhet oppnås når både organisatoriske, digitale, fysiske, og menneskelige tiltak er kombinert og virker sammen i et helhetlig forebyggende sikkerhetsarbeid.

1.3 Oppdage

Sikkerhetsarbeidet skal periodisk kontrolleres for å avdekke om verdiene er forsvarlig sikret iht. akseptabel risiko. Basert på ledelsens gjennomgang skal ledelsen vurdere om sikkerhetsarbeidet er hensiktsmessig, og om det er behov for endringer.

1.4 Håndtere og gjenopprette

Uønskede hendelser skal håndteres for å begrense skade, sikre kontinuitet, gjenopprette, og hindre gjentagelse. Håndtering av uønskede hendelser inngår i det forebyggende sikkerhetsarbeidet.

1.5 Akseptabel risiko

Sikkerhetsstyring handler om å håndtere risiko, avdekket gjennom risikovurderinger. Etter risikovurdering skal det vurderes hvordan risiko kan håndteres for å bli akseptabel.

Risiko kan håndteres på ulike måter:

• Unngås, ved å ikke å gjennomføre aktivitet som representerer risiko
• Overføres, ved å flytte en del av ansvaret for risikohåndteringen
• Reduseres, ved å gjennomføre tiltak slik at restrisikoen blir akseptabel
• Akseptere risiko slik den foreligger

Hva som er akseptabel risiko, skal følge av gjeldene akseptkriterier for risikostyring, og gjeldende konsekvensmatriser ved OsloMet.

2.1 Helhetlig sikkerhetsstyring

Helhetlig sikkerhetsstyring skal understøtte OsloMet sitt samfunnsoppdrag, kjernevirksomhet, tillit og omdømme. Sikkerhetsarbeidet skal bidra til gjennomføring av strategier, arbeidet med kvalitet, og andre satsninger. Behovet for sikkerhet skal balanseres med behovet for åpenhet og internasjonalt samarbeid. OsloMet sine campuser skal være trygge arbeids- og studiesteder.

2.2 Tilstrekkelig sikring

Verdiene skal være tilstrekkelig sikret mot misbruk, skade og tap, basert på en begrunnet og akseptert risiko, og etterlevelse av regulatoriske krav og føringer.

2.3 Helhetlig og systematisk forebyggende sikkerhetsarbeid

Et helhetlig og systematisk forebyggende sikkerhetsarbeid skal gjøre OsloMet robust og godt forberedt for å kunne holde driften i gang og redusere skade og konsekvenser av alvorlige og langvarige hendelser.

2.4 Tilstrekkelig sikkerhetskompetanse

Ansatte, studenter og tilknyttede skal ha tilstrekkelig sikkerhetskompetanse for å kunne bidra til forebyggende sikkerhet i sitt daglige virke. De skal vite hva de skal gjøre og hvor de skal si fra ved uønskede hendelser.

For å nå sikkerhetsmålene, skal arbeidet med sikkerhet være risikobasert, systematisk, helhetlig på tvers av sikkerhetsområder, og inngå som en del av virksomhetsstyringen. Opplæringsressursene fra sikresiden.no skal brukes systematisk.

3.1 Sikkerhetsstyring er virksomhetsstyring

1. Øverste ledelse skal årlig få en oversikt over risiko, måloppnåelse og etterlevelse av krav samt forslag til tiltak for å redusere risiko. Dette skal behandles i ledelsens gjennomgang.
2. Øverste ledelse skal ha kunnskapsgrunnlag for beslutninger i plan- og budsjettprosessen for å redusere risikoen til et akseptabelt nivå.
3. Styret skal ha tilstrekkelig informasjon til å ivareta sin påse-rolle.

3.2 Sikkerhet er et lederansvar

1. Enhver leder skal være kjent med styringssystemet, og innenfor sitt ansvars- og myndighetsområde kunne rapportere på:
2. Vurderinger av egne verdier, trusler og sårbarheter.
3. Gjennomføring av risikovurderinger, som følges opp med tiltak for å redusere risikoen til et akseptabelt nivå.
4. Sikkerhetsopplæring og sikkerhetsoppfølging av egne ansatte og tilknyttede.

3.3 Sikkerhetsorganisasjonen tilrettelegger og er pådrivere i sikkerhetsarbeidet

1. Sikkerhetsorganisasjonen skal koordinere arbeidet med en årsplan som det rapporteres på i linjen og i sikkerhetsorganisasjonen.
2. Sikkerhetstiltak skal være basert på risiko og fungere godt sammen.
3. Etablerte rammeverk, grunnprinsipper og anerkjente veiledninger skal brukes for å utvikle og følge god praksis.
4. Sikkerhetsarbeidet skal kontinuerlig forbedres og tilpasses aktuelt risikobilde.

3.4 Opplæring og sikkerhetskompetanse får styringssystemet til å virke

1. Alle skal ha jevnlig basisopplæring i sikkerhet.
2. Det skal vurderes hvilken sikkerhetsopplæring ulike ansatte, studenter og tilknyttede trenger i tillegg til basisopplæringen.
3. Sikresiden.no skal være synlig og lett å finne for OsloMet sine ansatte, studenter og tilknyttede. Sikresiden.no skal være synlig i lokalene og opplæringsressursene fra sikresiden.no skal brukes inn i virksomhetsprosesser der de hører hjemme.
4. Alle med roller i beredskapsstabene skal ha jevnlige øvelser for å sikre operativ handlingskompetanse og effektiv bruk av beredskapsplanverk og verktøy for samhandling og proaktiv stabsmetodikk.

Styringssystem for sikkerhet og beredskap samler og setter rammene for helhetlig sikkerhetsstyring på tvers av sikkerhetsområder, deres regulatoriske krav og deres risikobilde.

4.1 Sikkerhetsområder

De ulike sikkerhetsområdene har ulikt hovedfokus, samtidig som de henger sammen og er delvis avhengige av hverandre.

4.1.1 Beredskap og kontinuitet

Beredskap er definert som planlagte og forberedte tiltak som gjør oss i stand til å håndtere uønskede hendelser slik at konsekvensene blir minst mulig (regjeringen.no). Kontinuitet handler om å kunne opprettholde aktivitet til tross for en uønsket hendelse (PDF, sikt.no), og å sørge for at verdiskapingen i et system, en tjeneste eller en arbeidsprosess kan holdes i gang.

4.1.2 Brannvern

Arbeidet med brannvern skal bidra til å redusere sannsynligheten for brann, og begrense konsekvensene som brann kan få for liv, helse, miljø og materielle verdier (lovdata.no), og for drift.

4.1.3 Fysisk sikkerhet

Fysisk sikkerhet er tiltak som beskytter verdier mot at noen får urettmessig tilgang (nsm.no). Styrken i tiltakene varierer med verdivurderingen av det som skal sikres. Fysiske sikringstiltak er helt grunnleggende uavhengig av type trussel og virksomhet.

4.1.4 Helse, miljø- og sikkerhet (HMS)

Et systematisk HMS-arbeid (lovdata.no) skal fremme at virksomheten har et forbedringsarbeid innen arbeidsmiljø, sikkerhet, forebygging av helseskader eller miljøforstyrrelser, vern av ytre miljø, forebygging av uhell og ulykker forbundet med egen lovlig aktivitet, og forebygging av uønskede tilsiktede hendelser.

4.1.5 Informasjonssikkerhet og personvern

Informasjonssikkerhet handler om å sikre informasjonsbehandling, som foregår i samspill mellom mennesker, prosesser og teknologi. Personvern er individets rett til privatliv og kontroll over egne personopplysninger. Kunnskapsdepartementet har fastsatt policy for informasjonssikkerhet og personvern i høyere utdanning og forskning(PDF, regjeringen.no), som beskriver krav til forsvarlig informasjonsbehandling, IT-sikkerhet og personvern.

4.1.6 Personellsikkerhet

Personellsikkerhet handler om å gjennomføre tiltak som gjør at mennesker bidrar til god sikkerhet gjennom sine holdninger, atferd og kultur. Tiltak innenfor personellsikkerhet (nsm.no) har særlig fokus på å redusere risiko for bevisst og ubevisst innsidevirksomhet.

4.1.7 Kontroll med kunnskapsoverføring (Eksportkontroll og Sanksjoner)

Kontroll med kunnskapsoverføring (regjeringen.no) handler om å ikke dele sensitiv kunnskap og flerbruksteknologi med land vi ikke har sikkerhetspolitisk samarbeid med, uten tillatelse. Utenriksdepartementet har utarbeidet retningslinjer for utdanningsinstitusjonene for å ivareta at kunnskapsdeling skjer innenfor rammene av det norske eksportkontrollregelverket og gjeldende sanksjonsforskrifter10.

4.1.8 Nasjonal sikkerhet (Sikkerhetsloven og behandling av gradert informasjon)

Sikkerhetsloven handler om å beskytte verdier med betydning for nasjonale sikkerhetsinteresser (regjeringen.no). Sikkerhetsloven stiller krav om et dokumentert og virksomhetstilpasset styringssystem som også omfatter aktiviteter som ivaretar nasjonale sikkerhetsinteresser.

4.2 Styringssystemets dokumentstruktur og forvaltning

Hvert sikkerhetsområde har en dokumentstruktur underlagt dette styringsdokumentet, som skal være tilgengelige for ansatte, studenter og tilknyttede:

4.2.1 Styrende del

Policy som angir krav og føringer, prinsipper, mål og strategier, og roller og ansvar for gjennomføring. Policy er overordnet og normativ, og skal godkjennes av Direktør for organisasjon og infrastruktur. Policy skal revideres minimum årlig og endres ved behov.

4.2.2 Gjennomførende del

Retningslinjer, prosedyrer/rutiner som beskriver hvordan arbeid med sikkerhet og beredskap skal gjennomføres. Retningslinjer, prosedyrer/rutiner skal godkjennes av sikkerhetsleder. Gjennomførende del skal revideres minimum årlig og endres ved behov.

4.2.3 Kontrollerende del

Dokumentasjon på risikostyring, gjennomførte opplæringsaktiviteter og øvelser, avvik- og hendelseshåndtering, internkontroll, revisjoner, og ledelsens gjennomgang.

Styringsprosessene ved OsloMet involverer hele organisasjonen, i henhold til vedtatte styringslinjer.

Dette er også gjeldende for roller og ansvar i styringssystem for sikkerhet og beredskap.

Styret

Skal påse at sikkerhet og beredskap inngår i OsloMet sin virksomhetsstyring, i et helhetlig styringssystem for sikkerhet. Styret skal orienteres årlig om sikkerhetstilstanden gjennom årsrapporteringen.

Linjeorganisasjonen

Rektor er øverste ansvarlige for sikkerheten ved OsloMet. Det strategiske ansvaret er delegert til Direktør organisasjon og infrastruktur.
Enkelte ledere har nøkkelroller i sikkerhetsorganisasjonen i sin administrative enhet. Disse lederne er ansvarlig for at det er kompetanse, ressurser og planer i egen avdeling til å ivareta sikkerhetsområder som faglig tilhører deres ansvars- og myndighetsområde.

Alle ledere er ansvarlige for at styringssystemet gjøres gjeldende i eget ansvars- og myndighetsområde, og for å gjennomføre aktiviteter iht. vedtatte sikkerhetsstrategi, og de til enhver tid gjeldende tiltaks- og handlingsplaner.

Sikkerhetsorganisasjonen

Sikkerhetsorganisasjonen bistår både i styrende, gjennomførende og kontrollerende del i styringssystemet. Sikkerhetsorganisasjonen består av sikkerhetsleder (CSO), informasjonssikkerhetsleder (CISO), og andre nøkkelroller for de ulike sikkerhetsområdene.

Beredskapsorganisasjonen

Beredskapsorganisasjonen består av roller som inngår i OsloMet sine beredskapsstaber sentralt og på fakultet, som beskrevet i OsloMet sin beredskapsplan.

Alle

Alle ansatte, studenter og tilknyttede har et selvstendig ansvar for å ivareta sikkerheten i egne aktiviteter, og for å si fra dersom de oppdager feil, uhell eller sikkerhetstruende hendelser. Alle skal delta i opplæring og bidra til at OsloMet har en god sikkerhetskultur.
Internrevisjonen

Har en uavhengig kontrollrolle. Internrevisjonen gjennomfører revisjon av OsloMet sin sikkerhetsstyring, innenfor hele eller deler av styrende, gjennomførende og kontrollerende del.

5.1 Linjeorganisasjonen

Rektor

• er øverste ansvarlig for at sikkerhetsstyringen ved OsloMet inngår som del av øvrige plan- og styringsprosesser.
• er behandlingsansvarlig for personopplysninger, og autorisasjonsansvarlig iht. sikkerhetslovens bestemmelser. Rektor orienterer årlig Styret om sikkerhetsarbeidet.
• godkjenner styringsdokument for sikkerhet og beredskap.

Prorektorer, dekaner, instituttledere, instituttdirektører, senterleder og alle ledere i linjen

• Alle ledere er ansvarlige for at styringssystemet gjøres gjeldende og relevant i eget ansvars- og myndighetsområde.
• Alle ledere skal gjennomføre aktiviteter iht. vedtatte sikkerhetsstrategi og de til enhver tid gjeldende tiltaks- og handlingsplaner.

Direktør Organisasjon og infrastruktur

• er strategisk ansvarlig for at styringssystemet holdes oppdatert, kommunisert og relevant, og for at sikkerhetsorganisasjonen har riktig ressurser, økonomi og kompetanse.
• godkjenner styrende del (policy) i alle sikkerhetsområdene.
• er ansvarlig for at sikkerhetsorganisasjonen utvikler tjenester, prosesser og funksjoner som bistår linjeorganisasjonen i å gjennomføre av sikkerhetskravene.
• har nøkkelrollene sikkerhetsleder (CSO), informasjonssikkerhetsleder (CISO), Fagansvarlig personvern, og Fagansvarlig beredskap og kontinuitet i sin administrative enhet.

Prorektor forskning

• er ansvarlig for at det er kompetanse, ressurser og planer i eget ansvars- og myndighetsområde for å ivareta arbeidet med kontroll med kunnskapsoverføring (eksportkontroll og sanksjoner).
• har nøkkelrollen Fagansvarlig kunnskapsoverføring som strategisk og gjennomførende støtte, i samarbeid med den øvrige sikkerhetsorganisasjonen.

Avdelingsdirektør IT

• har nøkkelrollene IT-sikkerhetsleder og Computer Security Incident Response Team (CSIRT) i sin administrative enhet.
• er ansvarlig for at det er kompetanse, ressurser og planer i egen avdeling til å ivareta IT-sikkerheten og personvernet i tråd med gjeldende krav.
• er ansvarlig for at informasjonssikkerheten og personvernet ivaretas i OsloMet sin IT-infrastruktur, systemer og tjenester.

Avdelingsdirektør Eiendom

• har nøkkelrollene Fagansvarlig brannvern og Fagansvarlig fysisk sikkerhet i sin administrative enhet.
• er ansvarlig for at det er kompetanse, ressurser og planer i egen avdeling til å ivareta fagansvaret for brannvern og fysisk sikkerhet.
• er ansvarlig for at brannvern og fysisk sikkerhet ivaretas ved OsloMet.

Avdelingsdirektør HR

• har nøkkelrollene Fagansvarlig personellsikkerhet og Fagansvarlig HMS i sin administrative enhet.
• er ansvarlig for at det er kompetanse, ressurser og planer i egen avdeling til å ivareta fagansvaret for Helse, - Miljø- og Sikkerhet (HMS-system) og for Personellsikkerhet.

5.2 Sikkerhetsorganisasjonen

Sikkerhetsorganisasjonen består av nøkkelroller som har både strategiske og operative oppgaver:

• Utarbeider policyer, retningslinjer og prosedyrer/rutiner, med planer for oppfølging
• Koordinerer, tilrettelegger og er pådrivere for arbeidet innen de ulike sikkerhetsområdene
• Gir opplæring og veiledning i sikkerhetsfaglige spørsmål og bistår med gjennomføring av forebyggende aktiviteter
• Bistår med å håndtere avvik- og sikkerhetshendelser

De som innehar rollene i sikkerhetsorganisasjonen skal møtes jevnlig, for å ivareta tverrfaglig samarbeid og situasjonsforståelse, og for å utarbeide og gjennomføre koordinerte planer og aktiviteter.

Enkelte nøkkelroller har ansvar for å koordinere sikkerhetsfaglige nettverk og forum, for å sikre samhandling med operative ressurser i organisasjonen.
Rollene i sikkerhetsorganisasjonen har egne rollekort, og skal rapportere til egen leder, til OI-direktør, til sikkerhetsleder, og til øvrige i sikkerhetsorganisasjonen etter gjeldende HUKI-matrise.

Sikkerhetsleder (CSO)

• koordinerer sikkerhetsarbeidet på tvers av alle sikkerhetsområdene.
• ansvarlig for at sikkerhetsorganisasjonen videreutvikler policy, retningslinjer og prosedyrer/rutiner innenfor alle sikkerhetsområder.
• godkjenner gjennomførende del (retningslinjer, rutiner/prosedyrer) i alle sikkerhetsområdene.
• utvikler og følger opp policy, retningslinjer og rutiner/prosedyrer for nasjonal sikkerhet (behandling av gradert informasjon)
• legger frem årlig ledelsens gjennomgang for den helhetlige sikkerhetsstyringen

Informasjonssikkerhetsleder (CISO)

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner i ledelsessystem for informasjonssikkerhet og personvern.
• koordinerer informasjonssikkerhetsarbeidet og holder oversikt over informasjonssikkerhetsrisiko, måloppnåelse og etterlevelse av krav.

IT-sikkerhetsleder

• utvikler og følger opp retningslinjer og prosedyrer/rutiner for IT-sikkerhet, i ledelsessystem for informasjonssikkerhet og personvern.
• leder arbeidet med sikkerhetsarkitektur, teknisk sikring av IKT-systemene, sårbarhetsscanning og overvåkning av sikker tilstand i IKT-systemene.
• Computer Security Incident Response Team (CSIRT)
• detekterer og håndterer cyberangrep.
• samvirker med Cybersikkerhetssenter for forskning og utdanning (eduCSC) og Norsk cybersikkerhetssenter (NCSC).

Fagansvarlig Personvern

• utvikler og følger opp retningslinjer og prosedyrer/rutiner for personvern, og kravene til personvern i ledelsessystem for informasjonssikkerhet og personvern.
• koordinerer arbeidet med etterlevelse av personvernregelverket, leder nettverk for personvernkontakter, og følger opp avvikshåndtering og oppmelding til Datatilsynet.

Fagansvarlig Kunnskapsoverføring (eksportkontroll og sanksjoner)

• utvikler og følger opp Policy, retningslinjer og prosedyrer/rutiner for Kontroll med kunnskapsoverføring (eksportkontroll og sanksjoner)
• er rådgiver og saksbehandler ved søknad om lisens for kunnskapsoverføring.

Fagansvarlig Personellsikkerhet

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner for personellsikkerhet.
• koordinerer arbeidet med sårbarhetsoppfølging og innsiderisiko, og med systematisk sikkerhetsopplæring innenfor alle sikkerhetsområdene, med bl.a. bruk av Sikresiden.no.

Fagansvarlig HMS

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner for HMS.
• koordinerer arbeidet med HMS, og leder nettverk for HMS-kontakter.

Fagansvarlig Brannvern

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner for brannvern.
• koordinerer arbeidet med brannvern, og får tiltak gjennomført.

Fagansvarlig Fysisk sikkerhet

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner for fysisk sikkerhet.
• koordinerer arbeidet med fysisk sikkerhet, og får tiltak gjennomført.

Fagansvarlig Beredskap og kontinuitet

• utvikler og følger opp policy, retningslinjer og prosedyrer/rutiner for beredskap og kontinuitet.
• utvikler, vedlikeholder og tilgjengeliggjør beredskapsplanverket, og gjennomfører og følger opp beredskapsøvelser.

Personvernombud (Personvernombudstjeneste fra Sikt)

• er en uavhengig stilling og skal støtte OsloMet i å oppfylle pliktene etter personvernregelverket, ved å gi uavhengige råd til ledelse og ansatte, og ved å kontrollere etterlevelse.
• skal være kontaktpunkt for de registrerte og samarbeide med Datatilsynet.

5.3 Beredskapsorganisasjonen

Beredskapsorganisasjonen skal bygges etter de nasjonale beredskapsprinsippene14, som stadfester at det daglige linjeansvaret og den daglige sikkerhetsorganisasjonen også gjelder ved kriser:

• Ansvarsprinsippet, som betyr at den som har et ansvar i en normalsituasjon også har dette ansvaret ved krisehendelser.
• Likhetsprinsippet, som betyr at den organisasjonen som skal håndtere en krise, er mest mulig lik den daglige organisasjonen.
• Nærhetsprinsippet, som betyr at kriser skal håndteres på lavest mulig nivå.
• Samvirkeprinsippet, som betyr at krisehåndteringen skal skje i samvirke med andre berørte aktører og virksomheter, både i det forebyggende arbeidet, og når noe skjer.

Sentral beredskapsledelse, og fakultetenes beredskapsledelse er beskrevet i beredskapsplan.