Sjanger: Kortstudie
I Forsvarets etterretningsdoktrine visualiseres etterretning som en sekvensiell prosess omtalt som etterretningshjulet 1Modellen tar utgangspunkt i NATO-standard AJP-2 . Hjulet viser prosessen med styring ⯈ innhenting ⯈ analyse ⯈ formidling. Innen forebyggende sikkerhet, og sikkerhetsarbeid generelt, er det utarbeidet flere ulike modeller som visualiserer prosesser og fremgangsmåter for å oppnå forsvarlig sikkerhet. I Sikkerhet på norsk forsøker jeg å utarbeide en tilnærming til en helhetlig terminologi for sikkerhet, og som et utgangspunkt for dette arbeidet redegjør jeg i denne kortstudien for et par sentrale prosessbeskrivelser for sikkerhet- og risikostyring i norsk sikkerhetsdiskurs. Aktivitetene i de ulike prosessene kategoriseres deretter som kjerneprosesser eller støtteprosesser og som sekvensielle eller kontinuerlige aktiviteter, før de sammenstilles i en helhetlig sekvensiell liste og grupperes i overordnende kategorier. På bakgrunn av dette utarbeider jeg et hjul for sikkerhet, inspirert av etterretningshjulet.
Manunta (1997)
I norsk angrepssikkerhetsdiskurs henvises det tidvis til arbeidene til Manunta . I sin doktorgradsavhandling søkte å etablere Angrepssikkerhet2eng: Security Science som en egen vitenskapelig disiplin. Som en del av dette arbeidet modellerte han en sikkerhetsprosess fra sikkerhetsanalyse til tiltaksutvikling.
Modellen tar utgangspunkt i en vurdering av sikkerhetstilstanden på bakgrunn av virksomhetsstrategi, ytre faktorer, sikkerhetsstrategi og risikopersepsjon, etterfulgt av en beslutning om å utarbeide en plan, prosjektering av planen og iverksetting av tiltak for å oppnå forsvarlig sikkerhet. De iverksatte tiltakene evalueres og følges opp kontinuerlig og danner grunnlag for en ny vurdering av sikkerhetstilstanden.
Kategorisering
| Aktivitet | Type | Kategori |
| Sikkerhetsanalyse | Kontinuerlig | Støtteprosess |
| Sikkerhetsstrategi | Kontinuerlig | Støtteprosess |
| Risikopersepsjon | Kontinuerlig | Støtteprosess |
| Vurdering | Sekvensielt | Kjerneprosess |
| Beslutning | Sekvensielt | Kjerneprosess |
| Plan | Sekvensielt | Kjerneprosess |
| Prosjektering | Sekvensielt | Kjerneprosess |
| Iverksetting | Sekvensielt | Kjerneprosess |
| Evaluering | Sekvensielt | Kjerneprosess |
| Oppfølging | Sekvensielt | Kjerneprosess |
Risikostyringsprosess
I ISO 31000 , som er en internasjonal standard med retningslinjer for risikostyring, beskrives både et rammeverk for styring og ledelse av risiko, samt prosessen med å utøve risikostyring (. I standarden er risikostyringsprosessen visualisert som en sekvensiell prosess som innebærer å etablere omfang, kontekst og kriterier, utarbeide en risikovurdering, håndtere identifisert risiko og overvåkning og gjennomgåelse av både håndteringen, vurderingen og rammebetingelsene. Prosessen innebærer også kontinuerlig kommunikasjon og konsultasjon, samt registrering og rapportering av prosessen. En risikostyringsprosess basert på ISO 31000 er også beskrevet i Risikostyring , med en tilsvarende modell som i ISO-standarden. I figuren under har jeg sammenfattet de to modellene.
Kategorisering
| Aktivitet | Type | Kategori |
| Fastsette omfang | Sekvensielt | Kjerneprosess |
| Etablere kontekst | Sekvensielt | Kjerneprosess |
| Fastsette risikokriterier | Sekvensielt | Kjerneprosess |
| Risikovurdering | Sekvensielt | Kjerneprosess |
| Risikohåndtering | Sekvensielt | Kjerneprosess |
| Overvåkning | Kontinuerlig | Kjerneprosess |
| Gjennomgåelse | Kontinuerlig | Kjerneprosess |
| Kommunikasjon | Kontinuerlig | Støtteprosess |
| Konsultasjon | Kontinuerlig | Støtteprosess |
| Registrering | Kontinuerlig | Støtteprosess |
| Rapportering | Kontinuerlig | Støtteprosess |
Lov om nasjonal sikkerhet (2018)
Kapittel fire i sikkerhetsloven er viet til generelle krav til hvordan det forebyggende sikkerhetsarbeidet skal utøves. I sikkerhetsloven er det ingen visuell modell av sikkerhetsstyringsprosessen, men det stilles egne lovkrav til at sentrale deler av prosessen blir ivaretatt.
§ 4-1. Sikkerhetsstyring
I denne paragrafen stilles det krav til at det forebyggende sikkerhetsarbeidet skal være en del av styringssystemet til virksomheten, at sikkerhetstilstanden regelmessig kontrolleres og at ansvaret for det forebyggende sikkerhetsarbeidet ligger til virksomhetens leder. Sikkerhetsstyring er med andre ord et sentralt element av forebyggende sikkerhetsarbeid.
§ 4-2. Vurdering av risiko
I denne paragrafen stilles det krav om at virksomheter regelmessig skal vurdere risiko, og at risikovurderinger skal danne grunnlag for iverksettelse av forebyggende sikkerhetstiltak. Tiltak skal med andre ord forankres i en risikovurdering som har identifisert tiltakene som er nødvendige for å oppnå et forsvarlig sikkerhetsnivå.
§ 4-3. Plikt til å gjennomføre sikkerhetstiltak og øvelser
I denne paragrafen stilles krav om at tiltakene som blir identifisert i en risikovurdering skal iverksettes, og at virksomheter regelmessig skal gjennomføre øvelser for å vurdere effekten av sikkerhetstiltakene som er iverksatt.
§ 4-4. Krav til dokumentasjon
I denne paragrafen stilles det krav om at både risikovurderingen og gjennomførte og planlagte sikkerhetstiltak skal være dokumentert. Formålet med dette er å ivareta at et forsvarlig sikkerhetsnivå kan dokumenteres, og legge til rette for at tilsynsmyndigheter etter sikkerhetsloven kan verifisere at virksomheten har oppnådd et forsvarlig sikkerhetsnivå.
§ 4-5. Varslingsplikt
I denne paragrafen stilles det krav om at sikkerhetsmyndigheten og andre myndigheter med tilsynsansvar etter sikkerhetsloven skal varsles dersom virksomheten blir utsatt for uønskede hendelser. Formålet med dette er blant annet å legge til rette for at kongen i statsråd skal kunne fatte nødvendige vedtak for å hindre sikkerhetstruende virksomhet som kan utgjøre en ikke ubetydelig risiko for nasjonale sikkerhetsinteresser.
Kategorisering
| Aktivitet | Type | Kategori |
| Sikkerhetsstyring | Kontinuerlig | Kjerneprosess |
| Risikovurdering | Sekvensielt | Kjerneprosess |
| Gjennomføre sikkerhetstiltak | Sekvensielt | Kjerneprosess |
| Øvelser | Sekvensielt | Kjerneprosess |
| Dokumentasjon | Kontinuerlig | Kjerneprosess |
| Varslingsplikt | Sekvensielt | Kjerneprosess |
NSMs grunnprinsipper for sikkerhetsstyring (2020)
I Grunnprinsipper for sikkerhetsstyring deles prinsippene for sikkerhetsstyring inn i fire kategorier. Kategoriene er:
- Identifisere og kartlegge
- Beskytte og opprettholde
- Oppdage
- Håndtere og gjenopprette
Innenfor hver kategori introduseres det ulike aktiviteter som kan inngå i det forebyggende sikkerhetsarbeidet. Kategoriene og aktivitetene introduseres ikke eksplisitt som en prosess, men det fremheves at kategoriene bygger på hverandre, og at forebyggende sikkerhetsarbeid er en kontinuerlig aktivitet.
| Identifisere og kartlegge | ||
| Kartlegg interne og eksterne krav | Sekvensiell | Kjerneprosess |
| Identifiser verdiene | Sekvensiell | Kjerneprosess |
| Avdekk sårbarheter | Sekvensiell | Kjerneprosess |
| Utarbeid scenario | Sekvensiell | Kjerneprosess |
| Kartlegg avhengigheter | Sekvensiell | Kjerneprosess |
| Gjennomfør en konsekvensanalyse | Sekvensiell | Kjerneprosess |
| Beskytte og opprettholde | ||
| Håndter identifisert risiko | Sekvensiell | Kjerneprosess |
| Etabler sikkerhetsorganisasjon | Sekvensiell | Kjerneprosess |
| Etabler styringssystem for sikkerhet | Sekvensiell | Kjerneprosess |
| Gjennomfør jevnlige øvelser, trening og opplæring | Sekvensiell | Kjerneprosess |
| Oppdage | ||
| Kontroller sikkerhetstilstanden jevnlig | Sekvensiell | Kjerneprosess |
| Gjennomfør ledelsens gjennomgang | Sekvensiell | Kjerneprosess |
| Håndtere og gjenopprette | ||
| Håndter hendelser | Sekvensiell | Kjerneprosess |
| Evaluer og lær av hendelser | Sekvensiell | Kjerneprosess |
Analyse
I tabellen under er aktivitetene i de ulike tabellene sammenstilt og kategorisert i felles overordnende kategorier.
| Overordnet kategori | Prosess | Aktivitet | Type | Prosesstype |
| Rammebetingelser | Risikostyring | Fastsette omfang | Sekvensiell | Kjerneprosess |
| Risikostyring | Etablere kontekst | Sekvensiell | Kjerneprosess | |
| Risikostyring | Fastsette risikokriterier | Sekvensiell | Kjerneprosess | |
| Manunta | Sikkerhetsanalyse | Sekvensiell | Støtteprosess | |
| Manunta | Sikkerhetsstrategi | Sekvensiell | Støtteprosess | |
| NSM (I&K) | Kartlegg interne og eksterne krav | Sekvensiell | Kjerneprosess | |
| Risikovurdering | Risikostyring | Risikovurdering | Sekvensiell | Kjerneprosess |
| Sikkerhetsloven | Risikovurdering | Sekvensiell | Kjerneprosess | |
| Manunta | Vurdering | Sekvensiell | Kjerneprosess | |
| Manunta | Beslutning | Sekvensiell | Kjerneprosess | |
| Manunta | Plan | Sekvensiell | Kjerneprosess | |
| NSM (I&K) | Identifiser verdiene | Sekvensiell | Kjerneprosess | |
| NSM (I&K) | Avdekk sårbarheter | Sekvensiell | Kjerneprosess | |
| NSM (I&K) | Utarbeid scenario | Sekvensiell | Støtteprosess | |
| NSM (I&K) | Kartlegg avhengigheter | Sekvensiell | Kjerneprosess | |
| NSM (I&K) | Gjennomfør en konsekvensanalyse | Sekvensiell | Kjerneprosess | |
| Implementering | Risikostyring | Risikohåndtering | Sekvensiell | Kjerneprosess |
| Sikkerhetsloven | Gjennomføre sikkerhetstiltak | Sekvensiell | Kjerneprosess | |
| Manunta | Prosjektering | Sekvensiell | Kjerneprosess | |
| Manunta | Iverksetting | Sekvensiell | Kjerneprosess | |
| NSM (B&O) | Håndter identifisert risiko | Sekvensiell | Kjerneprosess | |
| NSM (B&O) | Etabler sikkerhetsorganisasjon | Sekvensiell | Kjerneprosess | |
| NSM (B&O) | Etabler styringssystem for sikkerhet | Sekvensiell | Kjerneprosess | |
| Monitorering | Risikostyring | Overvåkning | Kontinuerlig | Kjerneprosess |
| Manunta | Oppfølging | Sekvensiell | Kjerneprosess | |
| NSM (O) | Kontroller sikkerhetstilstanden jevnlig | Sekvensiell | Kjerneprosess | |
| Manunta | Risikopersepsjon | Kontinuerlig | Støtteprosess | |
| Håndtering | NSM (H&G) | Håndter hendelser | Sekvensiell | Kjerneprosess |
| Sikkerhetsloven | Varslingsplikt | Sekvensiell | Kjerneprosess | |
| Evaluering | Risikostyring | Gjennomgåelse | Kontinuerlig | Kjerneprosess |
| Sikkerhetsloven | Øvelser | Sekvensiell | Kjerneprosess | |
| Manunta | Evaluering | Sekvensiell | Kjerneprosess | |
| NSM (B&O) | Gjennomfør jevnlige øvelser, trening og opplæring | Sekvensiell | Kjerneprosess | |
| NSM (H&G) | Evaluer og lær av hendelser | Sekvensiell | Kjerneprosess | |
| Øvrige prosesser | Risikostyring | Kommunikasjon | Kontinuerlig | Støtteprosess |
| Risikostyring | Konsultasjon | Kontinuerlig | Støtteprosess | |
| Risikostyring | Registrering | Kontinuerlig | Støtteprosess | |
| Risikostyring | Rapportering | Kontinuerlig | Støtteprosess | |
| Sikkerhetsloven | Sikkerhetsstyring | Kontinuerlig | Kjerneprosess | |
| Sikkerhetsloven | Dokumentasjon | Kontinuerlig | Kjerneprosess | |
| Manunta | Sikkerhetsanalyse | Kontinuerlig | Støtteprosess | |
| Manunta | Sikkerhetsstrategi | Kontinuerlig | Støtteprosess |
I analysen er de sekvensielle prosessene plassert sekvensielt etter når de gjennomføres i relasjon til hverandre. På bakgrunn av dette er de sekvensielle prosessene kategorisert i felles overordnende kategorier. Kontinuerlige prosesser som naturlig inngår i en av de overordnende kategoriene er deretter plassert i aktuell kategori. De øvrige kontinuerlige prosessene har i mer eller mindre grad tilknytning til flere av de sekvensielle aktivitetene.
Drøfting
I figur 3 løper rammebetingelser ut fra sikkerhetsstyring. Formålet med dette er å synliggjøre at sikkerhetsprosessen blir iverksatt sentralt i sikkerhetsstyringen, og at rammebetingelser fastsetter rammene for aktivitetene i hjulet. Rammebetingelser kunne potensielt vært plassert som et eget steg i hjulet, men ettersom kravstilling og definering av rammebetingelser er sentralt i all styring er rammebetingelser her knyttet til sikkerhetsstyring; boksene i hjulet kan delegeres bort, men fastsettelsen av rammebetingelser er uløselig knyttet til den sentrale styringen.
På bakgrunn av rammebetingelser utarbeides det deretter en risikovurdering hvor verdier, sårbarheter, trusler og farer kartlegges og risiko evalueres. På bakgrunn av risikovurderingen starter implementeringen av nødvendige tiltak for å oppnå et forsvarlig sikkerhetsnivå identifisert i risikovurderingen. Deretter må implementerte tiltak og risikobildet monitoreres. Dersom monitoreringen avdekker en uønsket hendelse må denne håndteres, etterfulgt av en evaluering av håndteringen og prosessen i sin helhet. Prosessen innebærer kontinuerlig sentralisert styring, hvor kommunikasjon og konsultasjon, registrering og rapportering, dokumentering og sikkerhetsstrategi blir kontinuerlig ivaretatt.
I hjulet er evaluering plassert etter håndtering. Dette følger den sekvensielle prosessen med erfaringslæring basert på hendelser. Evaluering innebærer likevel også å vurdere hvorvidt de etablerte tiltakene er hensiktsmessige og er korrekt implementert. Evalueringsaktiviteter som verifikasjonsøvelser burde ideelt sett vært gjennomført før det oppstår en uønsket hendelse, men for å ivareta en naturlig sekvensiell progresjon er evaluering plassert etter håndtering.
En forenklet modell som viser de viktigste delene av prosessen kan visualiseres på følgende måte:
Konklusjon
I denne kortstudien har jeg utarbeidet en sekvensiell modell for å visualisere sikkerhetsprosessen knyttet til forebyggende sikkerhet. Modellen er inspirert av etterretningshjulet , og tar utgangspunkt i , , , og .
Legg igjen en kommentar