Information från Regionkansliet. Före Under Efter. Sammanfattning av policy, ramverk och strategi för säkerhetsarbete i Västra Götalandsregionen

Relevanta dokument
Granskning avseende Säkerhetsarbetet i Västra Götalandsregionens hel- och delägda bolag

Mall krishanteringsplan. Krishanteringsplan för XXXX (nämnd/styrelse/bolag) i Västra Götalandsregionen.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Handlingsplan för Samhällsstörning

Informationssäkerhetspolicy inom Stockholms läns landsting

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

SAMMANTRÄDESPROTOKOLL Kommunstyrelsen Sammanträdesdatum

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Riktlinjer för kris- och kontinuitetshantering

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinjer för säkerhetsarbetet

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhetspolicy för Ånge kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Odla säkerhetskultur RÄTT INSTÄLLNING GÖR HALVA JOBBET

Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Riktlinjer för kris- och kontinuitetshantering

Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informations- och IT-säkerhet i kommunal verksamhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Kommunens författningssamling

Säkerhetspolicy för Tibro kommun

Riktlinjer för kris- och kontinuitetshantering

Plan för kommunal ledning och kommunikation vid kriser och extraordinära händelser

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kallelse till styrelsemöte för Angereds Närsjukhus

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Krisledningsplan. Österåkers Kommun. Beslutad av Kommunfullmäktige

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Säkerhetspolicy för Kristianstad kommun

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Handlingar. onsdag den 24 juni till sammanträde med styrelsen för Sahlgrenska Universitetssjukhuset.

Säkerhet. Färgelanda kommun. Plan för. Policy-Organisation-Ansvar. Dnr 2011/168 Hid

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Policy och riktlinjer för skyddsoch säkerhetsarbete

KRISHANTERINGSPLAN Ledningsplan för allvarliga och extraordinära händelser i Ronneby kommun

Krisledningsplan. för Hudiksvalls kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Plan. för hantering av samhällsstörningar och extraordinära händelser Beslutat av: Kommunfullmäktige. Beslutandedatum:

Säkerhetspolicy Bodens Kommun

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

REGEL FÖR KRISHANTERING

Plan för kommunal ledning och information vid kriser och extraordinära händelser

Informationssäkerhetspolicy

Ledningssystem för Informationssäkerhet

Plan för hantering av extraordinära händelser

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Försvarsdepartementet

Myndigheten för samhällsskydd och beredskaps författningssamling

Säkerhetspolicy. för Katrineholms kommun. -KS/&0ô021b 3-ÓDVJ. Katrineholms kommun \. Kommunstyrelsens handling nr 18/2009 cjrj0: qq g' Förslag till

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Myndigheten för samhällsskydd och beredskaps författningssamling

KOMMUNALA STYRDOKUMENT

Risk- och säkerhetspolicy. Tyresö kommun

Krisledningsplan. för Hudiksvalls kommun

Policy för säkerhetsarbetet i. Södertälje kommun

Bilaga till rektorsbeslut RÖ28, (5)

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Säkerhetspolicy för Sandvikens kommun

Ledningssystem för Informationssäkerhet

Säkerhetspolicy i Linköpings kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

1(6) Informationssäkerhetspolicy. Styrdokument

Bilaga Från standard till komponent

Krisplan vid Linnéuniversitetet allmän bakgrund Beslutad av rektor Dnr: ST 2013/

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Koncernkontoret Enheten för säkerhet och intern miljöledning

Plan för extraordinära händelser Essunga kommun

Finansinspektionens författningssamling

Dnr

0 Österåker. Tjänsteutlåtande. Till Kommunstyrelsen. Krisledningsplan Österåkers Kommun. Sammanfattning. Beslutsförslag

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Promemoria. Krisberedskapsmyndigheten skall därefter lämna ett förslag till överenskommelse till regeringen senast den 1 september 2003.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Lagstadgad plan. Plan för hantering av extraordinära händelser Diarienummer KS-345/2011. Beslutad av kommunfullmäktige den 20 juni 2011

Informationssäkerhetspolicy IT (0:0:0)

Kommunal krishantering

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Övergripande kommunal ledningsplan

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Transkript:

Före Under Efter Sammanfattning av policy, ramverk och strategi för säkerhetsarbete i Västra Götalandsregionen Handledning för chefer hur säkerhetsarbete ska bedrivas i VGR 2008-06-01

Innehållsförteckning Säkerhet Västra Götalandsregionen 3 1. Policy 4 Följande principer ska därför vara vägledande i säkerhetsarbetet 4 Säkerhetsarbetets mål 4 Ansvar 5 2. Säkerhetsstrategi 2008 2011 7 strategiska mål 6 3. Skyddsåtgärder för att skapa en god säkerhet 7 4. Ramverk och riktlinjer grunden i säkerhetsarbetet 9 Steg 1 Vad är skyddsvärt 9 Steg 2 Säkerhetsprocessen 9 Steg 3 Utbildning 9 Mall för nämndens/styrelsens årliga redovisning till regionstyrelsen 10 Regionstyrelsen skall årligen rapportera 11 2

Säkerhet Västra Götalandsregionen Säkerhetsstrategiska avdelningen ansvarar för utveckling av risk och krishantering utifrån regional policy, ramverk och strategi för säkerhet Datavirus Dataförlust Integritets brott Före Risk- och sårbarhetsanalys, genomföra skyddsåtgärder, planera/öva, organisera riskhanteringsgrupp. Under Åtgärda det akuta, bedöm läget, aktivera operativ plan, aktivera kommunikationsplan avvikelsehantering Efter Samla in och analysera data, återkoppla analysera, åtgärda, återkoppla, normalisera, kommunicera, stöd anställda, utvärdera och dra lärdom VRI Brand Kris Katastrof Brand & utrymning Elavbrott Vårdsäkerhet Driftsäkerhet Krishantering Skyddsvärt Patientsäkerhet Borttappade nycklar Inbrott Allmän säkerhet Stöld Hot & Våld Utrustningsfel Gasutsläpp Informationssäkerhet Fallskada Miljö säkerhet Vattenbrist Läckage Farligt gods Avfall Explosion Risk och krisorganisation i respektive förvaltning 3

1. Policy Västra Götalandsregionen ska värna människor, egendom, verksamheter och miljö, samt grundläggande värden som demokrati, jämlikhet, rättvisa, integritet och förtroende, mot hot och faror. Västra Götalandsregionen är en del av rikets krishanteringsorganisation. Samhällsviktig verksamhet ( i princip hela regionen) som hälso- och sjukvård och dess stödfunktioner, teknisk infrastruktur, person- och godstransporter samt flöden av varor och tjänster får inte bryta samman. Det ska finnas god förmåga i Västra Götalandsregionen att hantera krissituationer. Den ska byggas på den ordinarie verksamhetens krav på säkerhet och uthållighet. Följande principer ska därför vara vägledande i säkerhetsarbetet: Ansvarsprincipen Den som ansvarar under normala förhållanden ansvarar även under kris. Närhetsprincipen Krisen ska hanteras där den inträffar och av närmast berörda. Likhetsprincipen Innebär att en verksamhets lokalisering och organisation så långt som möjligt ska vara densamma under fred, kris och krig. Säkerhetsarbetets mål Patienter, resenärer, besökare, studerande, personal och förtroendevalda ska vara trygga i regionens lokaler och verksamheter. Rätt och riktig information ska nå rätt mottagare i rätt tid. Regionens verksamheter ska vara robusta och ha god beredskap och förmåga för att hantera kriser, extraordinära händelser och dess konsekvenser. God säkerhetskultur och en gemensam säkerhetsprocess i regionens verksamheter ska underlätta samverkan i säkerhetsarbetet över organisatoriska gränser. Policy, ramverk och riktlinjer samt säkerhetsstrategi, Dnr RSK 636:2006. 4

Ansvar Regionstyrelsen ansvarar för att god säkerhet upprätthålls i regionen. Nämnder, styrelser och bolag har det yttersta ansvaret för säkerheten inom respektive verksamhetsområde och ska se till: att säkerhetsarbetet fastställs i en plan som utgår från verksamhetens mål, skyddsvärda objekt och regionala direktiv att utbildning, risk- och sårbarhetsanalyser och övningar genomförs att resultatet av arbetet rapporteras till regionstyrelsen årligen. Förvaltningschef eller VD ska upprätta en organisation för ett systematiskt säkerhetsarbete, som beaktar alla områden. Chef ansvarar för säkerheten på den egna enheten och för att personalen är informerad. Varje medarbetare ansvarar för att arbeta aktivt för ökad säkerhet och för att påpeka brister i säkerheten till närmsta chef. 5

2. Säkerhetsstrategi 2008 2011 7 strategiska mål Mål 1. Att förebygga mänskligt lidande, skador, skadeverkningar och kostnader förorsakade av skador, förluster, olyckor och andra oönskade händelser. Mål 2 Att säkerhetsarbetet i regionens verksamheter blir en ledningsfråga och kopplas till en tydlig politisk beslutsordning. Mål 3 Att Västfastigheter ansvarar för fastighetsbunden teknisk säkerhet (exvis; tekniska skyddsåtgärder avseende brand, inbrott, kameraövervakning med mera) samt kontinuiteten och säkerheten i medieförsörjningen till verksamheten (exvis; el, vatten, värme, gas med mera i regionens och i externt hyrda lokaler. Mål 4 Att Regionservice ansvarar för tekniska skyddsåtgärder och kontinuiteten, som inte västfastigheter har ansvar för, i regionens och i externt hyrda lokaler exvis inom IT-området. Mål 5 Att alla bolag och förvaltningar etablerar en ändamålsenlig risk- och krishanteringsorganisation och upprättar handlingsplaner för att uppnå en relevant säkerhetsnivå. Mål 6 Att säkerhetskulturen förbättras och utvecklas i regionens verksamheter. Mål 7 Att rätt och riktig information till rätt mottagare i rätt tid. Målen kommer årligen att följas upp och ligga till grund för den fortsatta planeringen av regionens säkerhetsarbete. Se mall sid 7 och 8. 6

3. Skyddsåtgärder för att skapa en god säkerhet Risk- och sårbarhetsanalyser Regionen och dess verksamheter ska kontinuerligt analysera risker och sårbarheter i verksamheten på lämpligt sätt. Fysiskt skydd huvudsakligen omfattande brand, tillträdesskydd och skydd mot yttre påverkan ska etableras med utgångspunkt från identifierade hot och risker. Skydd av teknisk drift gäller alla tekniska system. Rutiner ska vara dokumenterade och även innefatta ändringshantering, avvikelsehantering, skydd av datamedia och skydd mot skadlig programkod. Databehandlingsresurser, inklusive datakommunikation, ska godkännas i överenskommelse mellan aktuell systemägare, funktionsområdesansvarig, driftansvarig, eller motsvarande, innan de tas i drift. Åtkomst- och behörighetsstyrning Formella rutiner för tilldelning, förändring, upphörande och uppföljning av åtkomst ska finnas. Systemförändringar Särskild uppmärksamhet ska läggas på att verksamhetens säkerhetskrav beaktas vid utveckling, anskaffning och avveckling av informationsbehandlingsresurser. Etablerade säkerhetsåtgärder ska verifieras och godkännas av befattningshavare med motsvarande ansvar, före driftssättning Kris- och kontinuitetsplanering Åtgärdsplan ska säkerställa att verksamheten ska kunna bedrivas kontinuerligt. Planerna ska hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av arbetet. Planen ska omfatta beslutad krisorganisation och återgång till normal drift. Granskning och uppföljning Relevans och nytta av vidtagna åtgärder ska utvärderas genom regelbunden granskning och uppföljning Organisationsförändring Vid utredningar inför organisationsförändringar, där verksamhetsansvar förs över till annan förvaltning, bolag eller annan juridisk person, ska risk- och konsekvensanalyser genomföras för att säkerställa att säkerhetsbrister inte uppkommer. 7

Ansvar för avtal med extern part Den som ingår avtal med extern part ansvarar för att risker relaterade till uppdraget analyseras, att kraven på riskhantering och säkerhet specificeras i avtalet och att uppföljning av avtalade skyddsåtgärder sker. Sekretessavtal ska tecknas med alla ingående parter. Rapportering av avvikelser och incidenter En samordnad avvikelse- och incidentrapportering är ett medel för varje verksamhets bedömning av effektiviteten i säkerhetsarbetet och en övergripande analys av förebyggande åtgärder. Vid större händelser eller olyckor inom regionens verksamheter ska en oberoende utredning genomföras. Dokumentation Uppkomna skador eller incidenter ska dokumenteras på ett systematiskt sätt för uppföljning och förbättring. I VGR ska vi använda MedControl. Ta hjälp av din säkerhetsfunktion. Där finns expertkunskapen om skyddsåtgärderna! Filmer/interaktiva utbildningsprogram På regionens hemsida finns ytterligare stöd i form av regelverk, mallar, verktyg och metoder. Se intra.vgregion.se/säkerhet 8

4. Ramverk och riktlinjer grunden i säkerhetsarbetet Steg 1 Vad är skyddsvärt Säkerhetsarbetet inom regionen ska omfatta allt från vardagssäkerhet till den stora krisen och utgå från det som betraktas som skyddsvärt. Yttrandefrihet Demokrati Mötesfrihet Vad är skyddsvärt i din verksamhet? Goda rutiner Öppenhet Trygghet Förtroende God arbetsmiljö Elever Patienter Besökare Personal Information Utrustning Teknik Byggnader Lokaler Steg 2 Säkerhetsprocessen Säkerhetsprocessen handlar om att arbeta i ett före, under och efterperspektiv. FÖRE Förebyggande: risk- och sårbarhetsanalys, genomför skyddsåtgärder Förberedande: planera, organisera riskhanteringsgrupp, öva UNDER Vardagsolycka: åtgärda det akuta, avvikelserapportera Allvarlig händelse: åtgärda det akuta, avvikelserapportera Kris eller extraordinär händelse: bedöm läget, aktivera operativ plan, aktivera kommunikationsplan EFTER Fakta: samla in och analysera data, återkoppla Orsak: analysera, åtgärda, återkoppla Efterfas: normalisera, kommunicera, stöd anställda, utvärdera och dra lärdom Steg 3 Utbildning Regionfullmäktige har i säkerhetspolicyn slagit fast att säkerhetsfrågor ska vara ett återkommande inslag i regionens/verksamhetens utbildningsinsatser för medarbetare, chefer och förtroendevalda, särskilt inom chefsutbildningen. 9

Säkerhetsarbetet ska revideras varje år inom respektive nämnds, styrelses eller bolags verksamhet. Resultatet ska redovisas i respektive årsredovisning, samt till regionstyrelsen enligt enligt mall nedan. Samtliga nämnder och styrelser får i uppdrag att årligen, i samband med ekonomisk redovisning, till regionkansliet inkomma med en översikt av läget i deras säkerhetsarbete, enligt punkt 1.8 i ramverk för säkerhetsarbete. Dnr RSK 636-2006 Mall för nämndens/styrelsens årliga redovisning till regionstyrelsen Rött/DÅLIGT: Vi är långt ifrån att nå uppsatta mål. Mycket arbete återstår. Orange/VARNING: Vi är inte riktigt nära att nå målen. En hel del arbete återstår. Gult/OK: Vi är på gång att nå våra mål. Vi är på rätt väg. Ljusgrönt/BRA: Vi bedömer att vi når våra mål. Mörkgrönt/UTMÄRKT: Vi överträffar våra mål. Våra resultat är utmärkta. 1 (Mål 1). Har din förvaltning en fungerande avvikelsehantering. Markera med pil enligt balanserat styrkortsmetodik 2 (Mål 1). Redovisas kostnader för inträffade händelser till förvaltningsledningen. 3 (Mål 1). Är behovet av personer utbildade i riskanalys, sårbarhetsanalys eller händelseanalys tillgodosett. 4 (Mål 2). Har förvaltnings-/bolagsledning säkerhetsfrågorna regelbundet på agendan. 5 (Mål 3). Har Västfastigheter fått ett utökat ansvar för fastighetsbundna säkerhetsanläggningar 6 (Mål 4). Har Regionservice ansvar för tekniska skyddsåtgärder som inte Västfastigheter ansvarar för (inkl. IT-säkerheten) 7 (Mål 5). Har förvaltningen en risk - och krishanteringsorganisation( IT, tele, el, vatten etc.) 8 (Mål 5). Finns en handlingsplan fastställd av nämnden/styrelsen för säkerhetsarbetet. 9 (Mål 6). Genomförs mätningar av säkerhetskulturen. 10 (Mål 7). Är förvaltningsövergripande processer och digitala informationsmängder klassificerade utifrån sekretess, riktighet, tillgänglighet, spårbarhet. 11 (Mål 7). Tillämpas regelverk som beskriver regionala krav på hur IT-stödet ska utvecklas i perspektiven verksamhet, informatik, teknik och säkerhet. 10

Regionstyrelsen skall årligen rapportera till den myndighet som regeringen utser, om vilka åtgärder som vidtagits för att minska risker och sårbarheter och därmed förbättrat krishanteringsförmågan inom regionen, därför ska även nedanstående redovisas årligen till regionstyrelsen. 1. Vilka granskningar, risk- och sårbarhetsanalyser, och skyddsåtgärder av större betydelse har utförts avseende säkerheten och vilka förbättringsåtgärder har genomförts. 2. De övergripande och gemensamma risker som behöver hanteras över förvaltnings- och bolagsgränserna inom VGR. 3. Bedömning av aktuellt läge för er organisations krishanteringsförmåga Använd mallen nedan. Strategisk Ledning Samverkan med andra aktörer Extern information/ kommunikation Intern information/ kommunikation Operativ ledning Långsiktig planering. Prioritering av resurser Förtroendefrågor osv. Andra förvaltningar, kommuner, polis räddningstjänst, etc. I förväg planerad och övad kris/ katastrofledning 1 Inga tydliga brister/problem 2 Oklarheter/ osäkerheter 3 Tydliga brister/problem Regionen har inledningsvis valt att använda MVA-metoden* som ett verktyg för att genomföra risk och sårbarhetsanalyser. En genomförd analys ger svar på förvaltningens krishanteringsförmåga. Metodledare finns utbildade och i mån av behov kommer flera att utbildas. * MVA är en processinriktad metod för att analysera verksamheters, förvaltningars och funktioners sårbarhet ur ett brett perspektiv. Utvecklad vid Lunds Universitet. 11

För ytterligare information kontakta Säkerhetsstrategiska avdelningen Tel: 0500-49 56 00. FACTUM REKLAMBYRÅ 2008. TRYCK SKARABORGS OFFSET

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss