Grunnprinsipper for sikkerhetsstyring
Etabler styringssystem for sikkerhet
Styringssystem for sikkerhet beskriver hvordan virksomhetens aktiviteter innenfor sikkerhetsstyring planlegges, utføres, kontrolleres og forbedres. Styringssystemet for sikkerhet omfatter hele det forebyggende sikkerhetsarbeidet, det vil si aktiviteter som kan ha betydning for sikkerhet, både direkte og indirekte. Dette innebærer at styringssystemet for sikkerhet bør omfatte elementene:
- risikostyring
- sikkerhetsledelse
- sikkerhetsorganisering
- sikkerhetstiltak og -prosedyrer
- forholdet til andre virksomheter
- sikkerhetsoppfølging
- sikkerhetsdokumentasjon
- planer og rutiner for hendelseshåndtering samt planer for gjenoppretting etter en sikkerhetstruende virksomhet
Sammenhengen mellom disse utdypes nærmere i NSMs Veileder i sikkerhetsstyring. Styringssystemets utforming avhenger av de verdiene som skal beskyttes og hvordan beskyttelsen etableres. Utformingen henger følgelig sammen med risiko for sikkerhetstruende virksomhet.
Styringssystemet for sikkerhet bør samordnes med virksomhetsstyringen for øvrig. Dette vil gi grunnlag for felles tilnærming i håndteringen av de risikoer virksomheten står overfor. Virksomheten bør identifisere de deler av eksisterende virksomhetsstyring som kan utvides og tilpasses til også å dekke forebyggende sikkerhetsarbeid. Eksempelvis kan virksomhetens kompetansestyring utvides til også å omfatte sikkerhetskompetanse, og prosedyrer for avviksrapportering kan tilpasses til å inkludere rapporter om sikkerhetstruende virksomhet.
Ved samordning er det viktig å være oppmerksom på at forebyggende sikkerhetsarbeid kan medføre behandling av skjermingsverdig informasjon. Samordningen bør derfor ivareta behovet for beskyttelse av slik informasjon.
Premissene og forutsetningene for virksomhetens forebyggende sikkerhetsarbeid bør fremkomme i virksomhetens styringsdokument for forebyggende sikkerhetsarbeid. Styringsdokumentet tjener som informasjon fra virksomhetens ledelse til ansatte i virksomheten og underleverandører om forpliktelser og forventninger i det forebyggende sikkerhetsarbeidet.
Alle som gjennomfører aktiviteter med betydning for sikkerhet bør kjenne forutsetningene og forpliktelsene knyttet til egen arbeidsutførelse. Dette betyr at også andre (enn virksomhetens egne medarbeidere), som utfører aktiviteter med betydning for sikkerhet, må ha nødvendig tilgang til styringsdokumenter og informasjon om den enkeltes ansvar, myndighet og hvordan aktivitetene skal utføres. Eksempelvis må underleverandører, håndverkere, vareleverandører eller datateknikere, kjenne de bestemmelser og rutiner for adgang til områder og systemer som gjelder. Forholdet til andre leverandører eller samarbeidspartnere kan formaliseres i en leverandøravtale med sikkerhetsvilkår.
Styringssystemet kan med fordel etableres med grunnlag i anerkjente standarder for ledelsessystem, som for eksempel ISO 9000-serien og ISO 27000-serien.
Hvorfor er dette viktig: Et styringssystem for sikkerhet er nødvendig for å kunne ivareta ønsket sikkerhetstilstand samt kunne håndtere sikkerhetstruende virksomhet. Styringssystemet for sikkerhet bør dokumenteres i det omfang det er nødvendig for å sikre at aktiviteter utføres sikkert og som besluttet, og slik at beslutninger og resultater av arbeidsutførelse kan gjenfinnes som grunnlag for (senere) håndtering av uønskede hendelser.
Anbefalte tiltak:
- Utform og vedlikehold styringsdokument (prosedyrer, instrukser og planer)
- Sørg for at sikkerhetssystemet blir kjent i nødvendig grad i hele virksomheten og i underlagte virksomheter
- Sikkerhetsstyringssystemet bør være tilstrekkelig dokumentert. Hvordan arbeidet skal utføres og kontrolleres bør fremkomme i dokumentasjonen. Sikkerhetsstyringssystemet kan dokumenteres gjennom:
- styrende dokumenter – som beskriver eksterne og interne (overordnede) føringer og krav for det forebyggende sikkerhetsarbeidet, eksempelvis virksomhetens styringsdokument for forebyggende sikkerhetsarbeid, sikkerhetsmål og planer
- utførende dokumenter – som beskriver hvordan aktiviteter med betydning for sikkerhet utføres, eksempelvis prosedyrebeskrivelser, arbeidsinstrukser, handlingsplaner og sikkerhetstiltak
- kontrollerende dokumenter – som beskriver resultater fra gjennomføring av aktiviteter med betydning for sikkerhet, eksempelvis registreringer, rapporter fra håndtering av uønskede hendelser og evaluering og referater fra ledelsens gjennomgåelse.