Nyckelhanteringsguiden

Nyckelhanteringsguiden

Introduktion Nyckelhantering är något som många verksamheter har behov av att få kontroll över. Det har visat sig i flera undersökningar som gjorts om säkerheten inom en rad olika typer av verksamheter. Med PAAM Systems nyckelhanteringsguide får du en mycket god överblick av vilka aspekter som bör beaktas och tas om hand, för att hantering och förvaring av nycklar ska bli såväl säker som enkel och effektiv. Med dryga två decennier av erfarenhet vågar vi påstå att vi vet vad vi pratar om. Särskilt med tanke på att vi längs hela resan varit med och utvecklat branschen, flera gånger om genom att sätta helt nya innovationer på marknaden. Guiden är användbar nästan oavsett vilken bransch ni är verksamma inom. Den är också applicerbar på mer än nyckelhantering angreppssättet är lika gångbart när det gäller andra typer av flyttbara värdeobjekt. Magnus Johansson, VD PAAM Systems Frank Norberg, grundare av TT system 2 Nyckelhanteringsguide PAAM systems

Innehåll Vad innebär nyckelhantering? 5 Hur definierar vi en nyckel? 5 Vad gör nyckelhantering så viktigt? 6 Historik 8 Den optimala lösningen för nyckelhantering varierar 10 Angreppssätt 12 Behovsanalys 17 Från nuläge till nyläge 20 4-stegsmetoden 22 Nulägesanalys Steg 1 24 Konsekvensanalys Steg 2 35 Lösningar Steg 3 37 Nylägesanalys Steg 4 58 I verksamheten Från nuläge till nyläge IIntroduktion/Innehåll Introduktion Verktygslåda 60 Sammanfattning 68 Nyckelhanteringsguide PAAM systems 3

4 Nyckelhanteringsguide PAAM systems

Vad innebär nyckelhantering? Nyckelhantering innebär väldigt olika saker för olika aktörer. En vedertagen definition är svår att identifiera. I PAAM Systems nyckelhanteringsguide utgår vi från följande: Hantering och förvaring av nyckelknippor och nycklar, baserat på interna resurser och med hänsyn tagen till externa faktorer, liksom potentiella hot eller krav. Vilken hanteringsnivå som krävs för just er verksamhet beror mycket på vilka krav som finns, både från internt håll och från eventuella externa intressenter. Med denna guide som följeslagare har du goda möjligheter att hitta rätt nivå för just din verksamhet. Hur definierar vi en nyckel? I dagens samhälle är det många saker som kan anses fungera som nyckel och därför per definition också inkluderas av den här nyckelhanteringsguiden. Förutom den klassiska nyckeln finns numera även en rad olika typer av elektroniska nycklar, som fungerar med hjälp av exempelvis RFID eller mobiltelefon. Även dessa definitioner av nyckel är alltså inräknade i PAAM Systems nyckelhanteringsguide. I verksamheten Från nuläge till nyläge IIntroduktion/Nyckelhantering Introduktion Nyckelhanteringsguide PAAM systems 5

Vad gör nyckelhantering så viktigt? Nyckelhantering är idag en strategiskt viktig bricka för många framgångsrika verksamheter. Med en genomtänkt och anpassad hantering undviks såväl materiella som immateriella skador. Kostnaderna som en ineffektiv hantering för med sig elimineras också. Dessutom ökar tryggheten hos personalen och varumärket stärks. För som bekant är varumärket också summan av allt man säger och gör vilket även innefattar sättet att hantera nyckelfrågan. Felkällor Några av de vanligaste orsakerna till oklarheter i nyckelhanteringen är förhållandevis enkla att undanstyra. Det är trots allt väldigt sällan som det är ett brott som ligger bakom problemen. Med ett genomtänkt system kan såväl glömska som slarv och alltför hög arbetsbelastning elimineras som felkällor de klart vanligaste orsakerna till missöden. Rutiner Skriftliga rutiner i all ära, men de har en tendens att med tiden falla i glömska eller kanske inte uppdateras i takt med verkligheten. Outtalade rutiner finns det också gott om och de fungerar säkert så länge inget oförutsett inträffar eller någon av de invigda slutar på företaget. Bristande rutiner är trots allt en vanlig felkälla när det gäller nyckelhantering. Den mänskliga faktorn Utan digitala system är det näst intill omöjligt att bygga bort den mänskliga faktorn som en felkälla. Manuella signeringslistor för in- och utlämning av nycklar är ett exempel på något som lätt blir inkomplett. Investering för säkerhets skull Inom säkerhetsbranschen brukar man tala om att skyddsinvesteringar viktas 80 % för skydd mot externa hot och 20 % för interna. Samtidigt görs gällande att de verkliga skadekostnaderna har en rakt motsatt fördelning, där 80 % av skadorna orsakas av interna problem, där en fungerande nyckelhantering sannolikt skulle vara en mycket god åtgärd för att minska den siffran. Ärlighet räcker långt, men inte alltid hela vägen De allra flesta människor har goda intentioner och gör alltid sitt yttersta för att leva upp till förväntningarna hos sin arbetsgivare. Men det finns fortfarande en liten klick vars samvete är rymligt och som gör att en inte fullt ut kontrollerad nyckelhantering kan fallera. Arbetsgivarperspektiv och arbetsmiljö Faktum är att nyckelhanteringen också kan påverka arbetsklimatet. En genomtänkt nyckelhantering skapar trygghet och ökar förtroendet mellan medarbetare. I situationer där 6 Nyckelhanteringsguide PAAM systems

IIntroduktion/Nyckelhantering Varför? Introduktion någonting försvinner kan man snabbt utesluta de flesta genom en god nyckelhantering, vilket bibehåller en god arbetsmiljö. Bevissituationer Om ett problem uppstår följer nästan alltid en bevisbörda. Vart gick det snett och på grund av vad eller vem? Som förvaltare är det viktigt att kunna svara på några grundläggande frågor i förhållande till sin kund: - När användes nyckeln senast? - Var och hur förvaras en nyckel? - Vilka har tillgång till en nyckel? Med svar på dessa frågor elimineras de flesta frågetecknen och oskyldiga människor blir aldrig felaktigt misstänkta, vilket gör situationen mycket mer hanterbar. Registrering Registrering och kontroll av aktiviteter medför många åsikter och ofta en kollektiv rädsla för intrång i integriteten. Rätt använt kan ett elektroniskt system däremot ge helt motsatt effekt. Genom att ha kontroll på nyckelhanteringen elimineras risken bland personalen att bli felaktigt anklagad för något man inte gjort. Det i sin tur skapar istället en värdefull trygghet. Lösning Med ett elektroniskt nyckelhanteringssystem kan man leva upp till alla involverades krav på trygghet, säkerhet och integritet. Försäkringsbolagen blir också nöjda och en eventuell säkerhetspolicy blir även den tillgodosedd. Felkällorna reduceras till ett minimum och nyckelhanteringen blir inte heller längre en potentiell källa till irritation. Från nuläge till nyläge I verksamheten Nyckelhanteringsguide PAAM systems 7

Historik I dag är tekniken inte längre en begränsande faktor. Möjligheten att skaffa sig en effektiv hantering och förvaring av nycklar är mycket god. För att ge en inblick i utvecklingen genom de senaste årtiondena har vi här samlat några milstenar. 1990 Nyckelhantering sköttes med hjälp av manuella rutiner och metoder. 1990 Tillbehör som elektroniska kodlås till nyckelskåp gjorde entré på marknaden. Syftet var att slippa hantera nyckeln till nyckelskåpet, särskilt i fall flera personer skulle ha tillträde till samma nyckelskåp. 1993 Elektroniska nyckelskåp som kunde registrera och kontrollera nyckelknippor introducerades. 1998 De första elektroniska nyckelskåpen som kommunicerade med en dator enligt TCP/IP-standard (Ethernet) lanserades. 1999 Det första systemet för elektronisk övervakning och kontroll av nyckelknippor i fleranvändarmiljö (serverbaserad) blev tillgängligt på marknaden. Den nya tekniken innebar också nya möjligheter för administration av nyckelknippor. Förvaring Tillträde Spårbarhet 1989 1992 1996 Nyckelförvaring sker företrädesvis i skåp med mekanisk låsning. Nyckelskåp med kodlås (CodeLock, nu NPC) Nyckelskåp med bevakning Keysafe 8 Nyckelhanteringsguide PAAM systems

2000 System för elektronisk övervakning och kontroll av nyckelknippor har blivit ett allmängiltigt verktyg och används av stora delar av marknaden. Utöver sina tekniska fördelar hamnar också priset/nyckelfäste på plussidan. 2002 System som kan integreras med befintliga verksamhetssystem och som tillhandahåller administration av nycklar presenteras och börjar säljas. Verksamhetsstöd 2006 System som kombinerar administrationen med kontroll och övervakning av nycklar och som dessutom kan integreras i befintligt säkerhetssystem lanseras. 2010 Utvecklingen för att kunna möta framtidens krav och behov går fort och PAAM Systems är med i frontlinjen. Resultatet av utvecklingsarbetet når marknaden och en rad verksamheter skapar kontroll över tillträdet till sina tillgångar. Tillträde till tillgångar I verksamheten Från nuläge till nyläge IIntroduktion/Historik Introduktion 2007 2009 2010 Eagle lanseras PAAM Systems bildas Systemet Axsor lanseras Vi utvecklar Tillträde till tillgångar Nyckelhanteringsguide PAAM systems 9

Den optimala lösningen för nyckelhantering varierar Behoven och förutsättningarna för en lyckosam nyckelhantering skiljer sig mycket från fall till fall. Det finns idag inget enskilt system som är svaret på allas behov när det gäller till exempel tillgång till lokaler, fordon, maskiner och förvaringsenheter. I den intilliggande matrisen beskriver vi en rad olika sätt och system för att skapa tillträde, med sina respektive styrkor och svagheter. Den optimala lösningen för varje enskild verksamhet är oftast en kombination av några av dessa lösningar. 10 Nyckelhanteringsguide PAAM systems

Olika sätt att hantera nycklar/ skapa tillträde till lokal Säkerhet Tillämpning Enkelhet Kostnadseffektivitet Huvusaklig fördel Huvudsaklig nackdel Kommentar Manuell hantering och administration av nycklar Manuell hantering, administration av nycklar sker med hjälp av separat mjukvara Passersystem (online) Passersystem elektroniska dörrlås (offline) Nyckeltuber/ nyckelboxar (ej godkända) Nyckeltuber/ nyckelboxar (godkända) Beroende av förvarings - enhet. Beroende av förvarings - enhet. Hög Medel Låg Medel Medel Medel Medel Låg Medel Hög Låg Hög Hög Hög Hög Medel Hantering av nycklar i de fall beståndet av nycklar och antalet användare är lågt. I de fall omfattningen av förvaring av nycklar är stor samtidigt som omfattningen av utlåning av nycklarna är liten. Daglåsning på yttre skal och eventuellt inre miljöer. Låsning av innedörrar. Skapa tillgänglighet till lokaler på ett större geografiskt område utan krav på godkänd förvaring av nycklar. Skapa tillgänglighet till lokaler på ett större geografiskt område med krav på godkänd förvaring av nyckel. Enkelt God kontroll på nyckelbeståndet. Snabb access till att förändra tillträde till lokal. Kostnads - effektiv lösning som varande passersystem. Snabb access till lokal. Spar tid och reskostnader. Snabb access till lokal. Spar tid och reskostnader. Mycket administration, låg säkerhet. Låg säkerhet i hantering, ingen spårbarhet. Hög kostnad per dörr (10-20 tkr). Ej säkerhetsklassad lösning. Ej säkerhetsklassad lösning. Ej säkerhetsklassad lösning. Hög investeringskostnad. För att upprätthålla en hög säkerhet, spårbarhet och en acceptabel hantering av nycklar i ett manuellt system, krävs tydliga rutiner som efterföljes av alla inblandade parter. Trots att ett mjukvaruverktyg/databas används för att skapa kontroll på ett nyckelbestånd måste nyckelhanteringen underkastas manu - ella rutiner. Ett mjukvaruverktyg ger i första hand användaren en överblick över ett nyckelbestånd och dess status. Kräver kompletterande hantering av nycklar (nycklar till lokaler utan passersystem - nödöppningsnycklar till lokaler med passersystem. Kräver kompletterande hantering av nycklar (nycklar till lokaler utan passersystem - nödöppningsnycklar till lokaler med passersystem. Kräver kompletterande hantering av nycklar till objekt där inte nyckeltuber är installerade samt en hög säkerhet och kontroll runt hanteringen av nycklar till de nyckeltuber som är installerade. Kräver kompletterande hantering av nycklar där inte nyckeltuber är installerade samt en hög säkerhet och kontroll runt hanteringen av nycklar till de nyckeltuber som är installerade. Olika sätt I verksamheten Från nuläge till nyläge IIntroduktion/Innehåll Introduktion Elektroniska system för nyckelstyrning Hög Medel Hög Skapar tillgänglighet och spårbarhet på nyckelknippanivå. Full kontroll på hantering av nycklar. Hög investeringskostnad. På marknaden finns idag tre nivåer av system för elektronisk övervakning och kontroll av nycklar. 1) Enkla system/produkter som fungerar autonomt, varje separat skåp hanteras för sig och lever sitt eget liv. 2) Serverbaserade system. I dessa system samordnas ofta ett antal skåp med kommunikation mot en server och en databas. 3) Serverbaserade system med wwwkommunikation. Ny generation av system med all nödvändig funktionalitet, som är konstruerade för att motsvara framtida krav på IT-applikationer och integration med andra säkerhetssystem. Nyckelhanteringsguide PAAM systems 11

Angreppssätt Det finns olika sätt att ta hand om riskhantering. Här beskriver vi de två vanligaste. Händelsestyrd riskhantering Att bygga upp sin säkerhet utifrån de skador och incidenter som sker innebär ett reaktivt beteende för organisationen. Det innebär också att skador tillåts att ske istället för att man förebygger dem. Farliga beteenden och dagliga störningar kan därför finnas i hanteringen utan att de åtgärdas och samtidigt skapa otrygghet bland medarbetare. Styrka händelse Katastrof Händelsestyrd riskhantering Planerad riskhantering Skada Störning Incident Farligt beteende Få/inga störningar Tid 12 Nyckelhanteringsguide PAAM systems

Planerad riskhantering Att förutse och definiera de risker och faror som kan uppstå och förebygga dem innan de gör skada innebär en planerad riskhantering. Detta är det angreppssätt som alltid lönar sig både säkerhetsmässigt och kostnadsmässigt. Det skapar också en större trygghet bland personalen. Planerad riskhantering skapar sänkta kostnader. Kostnaderna förflyttas också från driftskostnader samt svårbudgeterade direkta och indirekta kostnader för att istället bli planerade och lägre utgifter samt hamna under investering av utrustning och liknande. Dessutom elimineras också kostnaderna för att återuppbygga ett anseende, som lätt blir skadat när incidenter inträffar. Kostnader för förlorat anseende Indirekta kostnader Direkta kostnader Investeringskostnader Driftskostnader I verksamheten Från nuläge till nyläge IIntroduktion/IAngreppssätt Introduktion Kostnader vid händelsestyrd riskhantering Kostnader vid planerad riskhantering Den totala kostnaden för riskhaneringen kan fördelas i ett antal poster, som tydligt omfördelas och minskar vid en planerad riskhantering. Nyckelhanteringsguide PAAM systems 13

Ett fördelaktigt angreppssätt, för att få kontroll på nyckelhanteringen, är att i första hand lösa alla små vardagliga störningar och skapa ett system som flyter på bra. Att proaktivt eliminera farliga beteenden och riskfaktorer i vardagen gör också att även den stora katastrofen på sikt byggs bort. Det är också med största sannolikhet ett mer kostnadseffektivt sätt att bygga upp hanteringen på, än att försöka bygga bort en enskild katastrof. De kostnader som vardagens störningar drar med sig blir också över tid nästan alltid större än de vid en stor enskild olycka. Dagliga störningar Incident Störning Skada Katastrof Dagliga störningar kostar i de allra flesta fall mer över tid, än ett enskilt större dråpslag. 14 Nyckelhanteringsguide PAAM systems

I verksamheten Från nuläge till nyläge Introduktion Nyckelhanteringsguide PAAM systems 15

16 Nyckelhanteringsguide PAAM systems

Behovsanalys För att identifiera behovet för en enskild verksamhet, privat eller offentlig, är det viktigt att först ställa sig frågan: Påverkar nyckelhanteringen vår verksamhet? Behovet varierar givetvis med verksamhetens storlek, art och mängden nycklar som ska hanteras. Några frågeställningar som ganska snabbt ger en överblick av just ert behov av nyckelhantering är de här. 1. Hur många personer använder nycklarna? Tänk både internt och externt. 2. Hur många nycklar finns i omlopp totalt? 3. Vilka nycklar kan plockas bort genom alternativa sätt att skapa tillträde till ett objekt? 4. Vilka nycklar vill vi ha kontroll på? 5. Vilka nycklar måste vi ha kontroll på? 6. Vilka värden representerar nycklarna? I verksamheten Från nuläge till nyläge IIntroduktion/Behovsanalys Introduktion 7. Ska alla personer ha tillgång till samtliga nycklar eller behöver tillgängligheten begränsas? 8. Hanteras endast egna nycklar eller förekommer nycklar för uppdragsgivares räkning? Beroende av hur mycket nyckelhanteringen påverkar den dagliga verksamheten blir också behovet av en fungerande hantering väldigt varierande. Nyckelhanteringsguide PAAM systems 17

Tveksamma alternativ Värt att notera här är också de lösningar som använder sig av låsta fästen eller mobiltelefoner som ensam nyckellösning. Driftssäkerheten på en mobiltelefon är alltför låg för att kunna fungera som en enskild nyckellösning i dagsläget. Likaså är låsta fästen av alltför låg säkerhetsnivå för att kunna fungera som ett tillfredsställande alternativ i de fall där nyckelhantering anses vara av verksamhetskritisk karaktär. Värdebestämning av en nyckel Det finns två olika aspekter att beakta när en nyckels värde ska bestämmas. Dels är värdet beroende av hur många cylindrar nyckeln går till (man brukar räkna med ca 1 500 kr/ cylinder). En huvudnyckel blir i det här hänseendet betydligt mer värd. Den andra variabeln för en nyckels värde baseras på vad den skyddar. En nyckel till ett lager, en bil eller en butik blir ur det perspektivet oerhört värdefull och sannolikt också viktigare att kontrollera. För att skapa en ännu tydligare bild av just er verksamhets behov av nyckelhantering kikar vi här på fyra olika områden/funktioner där nycklar ofta är involverade. Administration En genomtänkt och systematiserad nyckelhantering är mer och mer värdefull ju större antal användare och mängd nycklar som är i rörelse. Ordning och reda skapar effektivitet och sparar pengar. Fysisk säkerhet När nycklarna representerar ett stort värde (en enskild nyckel eller alla nycklarna gemensamt) är det viktigt med fysisk säkerhet. Det samma gäller om uppdragsgivare eller försäkringsbolag ställer krav på en specifik säkerhetsnivå. Tillgänglighet Genom att aktivitetsrelatera användandet av en nyckel eller nyckelknippa ökar säkerheten och hanteringen begränsas ordentligt. Som användare ska man inte kunna göras ansvarig för ett nyckeluttag mer än under den tid som nyckeln används. Spårbarhet Att kunna spåra en specifik nyckel är viktigt när den nyttjas av många. Spårbarheten blir än mer viktig när nyckelhanteringen sker för en uppdragsgivares räkning. 18 Nyckelhanteringsguide PAAM systems

Antal nyckelknippor Administration Antal nyckelknippor Tillgänglighet Efter att ha tänkt igenom hur pass viktigt respektive område (Administration, fysisk säkerhet, tillgänglighet och spårbarhet) är för er verksamhet, är det dags att kategorisera dem och göra bedömningar. Röd Bedömning Nyckelhantering är mycket viktig för att verksamheten ska fungera på ett tillfredsställande sätt. Om hanteringen fallerar kommer den att påverka kärnverksamhetens resultat negativt. Konsekvens Frågeställningar runt nyckelhantering bör i det här läget betraktas som strategiska och hanteras på ledningsnivå. Antal användare/händelser Antal användare/händelser Antal nyckelknippor Fysisk säkerhet Antal nyckelknippor Spårbarhet Gul Bedömning Hanteringen av nycklar är förhållandevis viktig och är att anse som en stödprocess för att verksamheten ska fungera effektivt. Konsekvens Tydliga riktlinjer och rutiner bör utformas och kommuniceras till alla berörda, för att minska sannolikheten för skador och störningar. Grön Bedömning Nyckelhanteringen har ingen egentlig påverkan på verksamhetens vardag och kan mestadels hanteras manuellt, med små tekniska hjälpmedel. Värde Antal användare/händelser I verksamheten Från nuläge till nyläge IIntroduktion/Behovsanalys Introduktion Nyckelhanteringsguide PAAM systems 19

Från nuläge till nyläge Med utgångspunkt i behovsanalysen är det enklare att bestämma vilken ambitionsnivå arbetet med nyckelhanteringen bör ligga på i respektive verksamhet. I de fall en genomgång av nyckelhanteringen anses nödvändig är det viktigt att gå vidare med en nulägesanalys. Från nuläget ska vi sedan förflytta oss till ett tänkt nyläge. I det här skedet är det mycket viktigt, för att nå bästa resultat, att besluta kring ekonomiska ramar för översynen. Beslutet bör tas på ledningsnivå. I processen mot att utveckla en säker, enkel, effektiv och kostnadseffektiv nyckelhantering föreslår vi vår 4-stegsmetod: 20 Nyckelhanteringsguide PAAM systems

I verksamheten Från Från nuläge till till nyläge nyläge Introduktion Nyckelhanteringsguide PAAM systems 21

Från nuläge till nyläge 4-stegsmetoden 1 Nulägesanalys 3 Lösning 1.1 Definiera och beskriv objekten för nyckelhanteringen. 1.2 Beskriv och definiera de verktyg som används i verksamheten idag. 1.3 Icke påverkbara faktorer. 1.4 Påverkbara faktorer. 3.1 Ta fram en målbeskrivning för verksamheten. 3.2 Utforma en lösning som har sin utgångspunkt i den framtagna målbeskrivningen. 3.3 Lösningar 2 Konsekvensanalys 4 Nylägesanalys 2.1 Sammanställ en konsekvensanalys där nuläget stäms av mot påverkbara och icke påverkbara hot och krav som verksamheten har att ta hänsyn till. 4.1 Utvärdera resultatet av genomförda åtgärder nyläget i relation till tidigare beskrivna nuläge. 4.2 Utvärdera implementerad lösning i ljuset av den målbeskrivning som tagits fram och analysera om verksamheten eventuellt skapat förändrade krav och hotbilder. 22 Nyckelhanteringsguide PAAM systems

Verktyg Rutiner Objekt Nycklar Introduktion Finansiering Användare Icke påverkbara faktorer Externa hot Legala faktorer Försäkringsvillkor Tekniska hjälpmedel Uppgradering Process för hantering av nycklar Nulägesanalys Konsekvensanalys Utvärdering av nyläge Säkerhet Bekvämlighet Uppdatering Lösning Nylägesanalys Enkelhet Effektivitet Påverkbara faktorer Interna hot Uppdragsgivares förväntningar Organisation I verksamheten Från Från nuläge till till nyläge nyläge Nyläge Nyckelhanteringsguide PAAM systems 23

Nulägesanalys Steg 1 En relevant nulägesbeskrivning är grunden i utformningen av en behovsanpassad nyckelhantering. Med full kontroll på verksamhetens status och omfattning när det gäller hantering av nycklar är det enklare att klara av resterande steg i processen. Verktyg Rutiner Objekt Nycklar Finansiering Användare Tekniska hjälpmedel Icke påverkbara faktorer Uppgradering Uppdatering Påverkbara faktorer Externa hot Legala faktorer Process för hantering av nycklar Nulägesanalys Konsekvensanalys Lösning Nylägesanalys Interna hot Uppdragsgivares förväntningar Försäkringsvillkor Utvärdering av nyläge Organisation Säkerhet Enkelhet Bekvämlighet Effektivitet Nyläge 24 Nyckelhanteringsguide PAAM systems

I verksamheten Från Från nuläge till till nyläge nyläge Introduktion Nyckelhanteringsguide PAAM systems 25

1.1 Beskrivning av objekt I den här processen avser det vi kallar för objekt det bestånd av nycklar och nyckelknippor som hanteras verksamheten. Det inkluderar också såväl interna som externa användare av nycklarna. Följande frågors svar ger en god överblick över objekten: Nyckelbestånd Användare Hur många nycklar hanteras i verksamheten? Vilka typer av nyckelknippor kan definieras (nyckelgrupper)? Vilket värde har varje nyckel (huvudnycklar)? Vilka värden skyddar nycklarna? Hur många användare är kopplade till en verksamhet? Vilka grupper av användare finns i organisationen? Hur hanteras externa användare? 26 Nyckelhanteringsguide PAAM systems

1.2 Beskrivning av verktyg Nästa steg är att fundera kring de verktyg som behövs för en fungerande nyckelhantering. Det är viktigt att tänka igenom såväl mjuka som hårda delar i verktygslådan. Rutiner, policies, och finansiella medel liksom tekniska hjälpmedel. Introduktion Rutiner De rutiner som utformas runt hantering och förvaring av nycklar bör omfatta frågeställningar kring hårdvaran, behörighetsregler och administrationen. Frågeställningarna stämmas av med det nuläge som föreligger. Hårdvara Hur ska varje typ av nyckel förvaras? Hur ska en nyckelknippa märkas för att vara spårbar internt? Skall nyckelhantering integreras med andra funktioner/säkerhetssystem i verksamheten (samordning av databaser, tillträdessystem etc)? I hur stor omfattning skall integrationen genomföras? Behörighetsregler Hur skall nycklar förvaras när man hanterar dem utanför sin förvaringsplats? Vem skall ha tillgång till en nyckel? Under vilka förutsättningar och tidsbegränsningar? Administration Vilka rutiner skall gälla för att skapa ordning och reda i hanteringen av nycklar? Vilka rutiner skall gälla för utkvittering och inlämning av nycklar? Bättre kontroll på kostnader som är direkt härledda till nyckelhanteringen. Sannolikt blir den dagliga driften av nyckelhanteringen överlag mer kostnadseffektiv. Kostnaderna för störningar i hanteringen av nycklar minskas väsentligt. Skaderisken minskar och därmed också kostnaderna för dessa, som dessutom sällan är budgeterade. I verksamheten Från Från nuläge till till nyläge nyläge Nyckelhanteringsguide PAAM systems 27

Finansiering De verkliga kostnaderna för nyckelhantering är ofta svåra att identifiera. De är många gånger del i den allmänna kostnadsbudgeten som rör kostnader för personal, daglig drift etc. Erfarenheten ger dock vid hand att kostnaderna i de flesta fall är högre än estimerat. En genomarbetad hantering av nycklar ger därför nästan alltid goda effekter också ur ett ekonomiskt perspektiv! Några exempel på fördelar är de här: Fördelar Bättre kontroll på kostnader som är direkt härledda till nyckelhanteringen. Sannolikt blir den dagliga driften av nyckelhanteringen överlag mer kostnadseffektiv. Kostnaderna för störningar i hanteringen av nycklar minskas väsentligt. Skaderisken minskar och därmed också kostnaderna för dessa, som dessutom sällan är budgeterade. 28 Nyckelhanteringsguide PAAM systems

Tekniska hjälpmedel Kartläggningen av de tekniska hjälpmedel som finns tillgängliga redan idag är en viktig del i nulägesanalysen. Är de i paritet med antalet och typen av objekt? De tekniska hjälpmedlen är oftast flera: Fysiskt skydd I vilken typ av skåp förvararas verksamhetens nycklar? Fördela beståndet enligt nedan klassificering Tunnplåt Stöldskyddsskåp klass l/ll. Säkerhetsskåp klass SS 3492 Värdeskåp Grade 0-9 Nyckelskåpens placering Ej skalskyddat rum Skalskyddat rum Rum med säkerhetsklassning Nyckelrum i en fastighets bottenplan System för tillgänglighet (definition av låssystem på nyckelförvaringsenheter) Nyckellåsning Ej godkänt kodlås Godkänt kodlås med en kod. Godkänt kodlås med flera koder. Låsning ingår i passersystem (offline/online). Definition av låssystem på lokal nyckelförvaringsenhet Nyckel Kodlås Stand Alone (typ Timelock Codoor). Ingår i passersystem (off line/on line). Spårbarhet Vilken typ av elektronisk övervakning och kontroll av nyckelknippor finns idag? Spårbarhet på dörrnivå Spårbarhet på nyckelknippanivå Spårbarhet på nyckelnivå Introduktion I verksamheten Från Från nuläge till till nyläge nyläge Nyckelhanteringsguide PAAM systems 29

30 Nyckelhanteringsguide PAAM systems

1.3 Icke påverkbara faktorer Det finns en rad yttre omständigheter som inte går att ändra på. Dessa går vi igenom här. Det handlar främst om försäkringsvillkor och externa hot som inbrott, stöld och brott. Det handlar också om legala faktorer så som regler och lagar för sjukhus, försvaret, säkerhetsbolag och andra organisationer av samma typ. Introduktion Försäkringsvillkor Villkoren för att en försäkring ska gälla gör det tydligt att det är viktigt med en fungerande nyckelhantering. Definitioner Inbrott Att olovligen med våld bryta sig in i lokal eller med dyrk ta sig in i lokal. Innebär i sak att om en nyckel hamnar i orätta händer och en lokal öppnas med nyckel vid ett inbrott så kommer ett försäkringsbolag inte att ersätta den skada som blir följden. Föreskrifter Nyckel, kod eller låskombination till byggnad och lokal skall handhas och förvaras på ett betryggande sätt. Den får inte vara märkt eller placerad så att den kan identifieras av obehörig. Den får inte heller förvaras på ett sådant sätt i försäkringslokalen att den är tillgänglig för obehörig. I verksamheten Från Från nuläge till till nyläge nyläge Nyckel Passagekort, kod eller liknande anses av försäkringsbolag vara en nyckel. Lokal Följande anses inte som lokal: fordon, arbetsredskap, fartyg, plasthall, tält, container, skåp, kista eller liknande definieras inte som lokal. Spårlöst inbrott Inbrott utan brytmärke, genererar inte heller någon ersättning från försäkringsbolag. Kod eller kombinationslås Om låsanordning består av kod eller kombinationslås och skåpet öppnats av obehörig Ersättning utgår endast vid hot eller våld i lokalen och endast om gärningsmannen tagit sig in genom inbrott. Ingen ersättning utgår om nyckel eller kod är förvarad i samma lokal som skåp. Nyckelhanteringsguide PAAM systems 31

Stöld, skadegörelse i lokal Ersättning utgår endast vid inbrott. Stöld av nyckel För att försäkringen ska lösa ut krävs att nyckeln skall ha stulits genom: Rån Inbrott i lokal som uppfyller skyddskrav Inbrott i bostad Nyckel tagen när den förvarats i säkerhetsskåp motsvarande standard SS 3492. Inbrott i nyckelförvaring som motsvarar nyckelns värde. Exempelvis huvudnyckel förvarad i värdeskåp. Ersättning Max två basbelopp och endast för utbyte av det antal cylindrar nyckeln representerar. Omhändertagen egendom Låna inte ut en nyckel! Ersättning för stulen eller förlorad nyckel utgår inte. Undantag vid tillägg i försäkringen som rör omhändertag egendom (vanligt bland exempelvis entreprenörer). Sammanfattning Sammanfattningsvis kan man enkelt konstatera att det är ytterst sällsynt att en verksamhet utsätts för skador som ersätts av en försäkring. Istället krävs istället att den egna säkerhetsnivån i nyckelhanteringen är så hög att den motsvarar de direkta och indirekta kostnader som en eventuellt skada skulle kunna medföra. 32 Nyckelhanteringsguide PAAM systems

1.4 Påverkbara faktorer Förutom icke påverkbara faktorer finns det också en mängd faktorer som går att göra något åt. Vissa av dem går att justera omgående, andra över tid. Introduktion Allmänna, påverkbara faktorer Säkerhetsarbetet runt hanteringen av nycklar Förväntningar från eventuella uppdragsgivare. Interna hot som oordning, glömska, slarv, stöld och bedrägeri Organisation och verksamhet - Hur ser verksamhetens organisation ut? - Finns en dedikerad säkerhetsavdelning i organisationen? Ansvarsområden? Organisation nyckelhantering - Hur ser organisationen för verksamhetens nyckelhantering ut? - Finns någon övergripande ansvarig för nyckelhantering utsedd? - Drivs eventuellt förändringsprojekt i projektform? - Ingår nyckelhanteringsprocesser i ett linjeansvar? Hur ofta inventeras och revideras verksamhetens bestånd av nycklar och användare (interna och externa)? Finns det någon policy för nyckelhantering? Uppdateras nuläget över tid? Finns målsättningar med hanteringen framtagen? Utvärderas verksamhetens hotbild regelbundet? Utvärderas och uppgraderas lösningarna för följande? - Förvaring - Märkning av nyckelknippor. - Administration - Integration - Hur implementeras de lösningar som är för handen gällande? - Kommunikation av mål, policy, lösningar. - Utbildning av personal. - Utvärdering och återkoppling. I verksamheten Från Från nuläge till till nyläge nyläge Nyckelhanteringsguide PAAM systems 33

34 Nyckelhanteringsguide PAAM systems

Konsekvensanalys Steg 2 I konsekvensanalysen handlar det om att ställa objektsbeskrivningar och interna resurser mot faktorer som går att påverka samt faktorer som inte går att påverka. Risker och sannolikheter för att skador och störningar ska inträffa, om inga åtgärder tas, beskrivs här. Med konsekvensanalysens samlade resultat blir bristerna tydligt definierade. Därefter handlar det om att prioritera ordningen på åtgärderna för bristerna, baserat på vilka som gör störst skada för verksamheten. Detta gör det också enklare att utforma verksamhetens målbeskrivning, som även blir nästa steg mot en säker, enkel och rationell nyckelhantering. Introduktion I verksamheten Från Från nuläge till till nyläge nyläge Nyckelhanteringsguide PAAM systems 35

36 Nyckelhanteringsguide PAAM systems

Lösningar Steg 3 Hela genomlysningen av verksamheten syftar självklart till att kunna utveckla och kvalitetssäkra nyckelhanteringen. Det är tyvärr relativt sällsynt med en tydlig målbeskrivning för hur en optimal hantering och förvaring av nycklar ska fungera på en specifik verksamhet. Som redan berörts är det viktigt att målbilden för den enskilda verksamheten grundar sig i hur viktig nyckelhanteringen är för det dagliga arbetet. Om den är mycket viktig och en nyckelfaktor i det slutgiltiga resultatet, då bör givetvis utvecklingsinsatsen anpassas utifrån det och vice versa. Målbeskrivningen bör också uttryckas i främst mjuka värden då det är där de flesta förtjänsterna finns att hämta. Introduktion I verksamheten Från Från nuläge till till nyläge nyläge Nyckelhanteringsguide PAAM systems 37

3.1 Målbeskrivning Målbeskrivningen kan delas upp i fyra olika parametrar för att bli tydlig och enkel att arbeta vidare utifrån. Målbilden bör även återge inbördes prioritering mellan de fyra delarna; säkerhet, enkelt handhavande, flexibilitet och effektivitet. Hög säkerhet Hög säkerhet minimerar risken för att skada skall uppstå, med oönskade påföljder som exempelvis ersättningsanspråk. Om den trots allt inträffar är det värdefullt med ett material som beskriver gången för en stundande utredning. Hög säkerhet skapar också trygghet bland personalen som kan känna sig säkra när de hanterar nycklar både internt och för uppdragsgivares räkning. Enkelt handhavande Skapar hög acceptans bland personalen och begränsar felprocenten orsakad av den mänskliga faktorn. flexibilitet. Att kunna utöka funktionalitet och lägga till nya behov längs vägen, utan att behöva byta system, är en stor fördel. Det samma gäller möjligheten att integrera nyckelhanteringen i andra eventuella affärs- eller säkerhetssystem. Kostnadseffektivitet Hög effektivitet i nyckelhanteringen är också en viktig parameter att ta hänsyn till i sin målbeskrivning. Minimala driftsstörningar sparar pengar och gör även att risken för att en större katastrof ska inträffa också minskar, vilket även det ger reducerade utgifter. Hög flexibilitet Ett nyckelhanteringssystem som är anpassningsbart för både utbyggnader och omorganisationer skapar hög 38 Nyckelhanteringsguide PAAM systems

3.2 Lösningar Med de två första stegen i 4-stegsmetoden avklarade är det dags att skapa den lösning som passar just den här verksamheten bäst. För att åskådliggöra detta delmoment så tydligt som möjligt ger vi ett fiktivt exempel på lösning. Men först några viktiga punkter att ha med sig. Introduktion Fastställ en budget för implementering av lösningen. Genomför förändringarna genom att uppdatera mjuka och uppgradera hårda verktyg. Kommunicera och utbilda verksamhetens personal i de nya rutinerna. Från nuläge till nyläge 3.3 Exempel Med nuläges- och konsekvensanalysen som utgångspunkt, tillsammans med målbeskrivningen formar vi här ett exempel på lösning. Lösningen är påhittad och skapad utifrån ett worst case-scenario där nulägesanalysen visar på stora behov och riskerna runt verksamheten är påfallande stora. På så sätt får vi tillftälle att påvisa flera fallgropar som ofta identifieras i verkliga uppdrag. Värt att ha i åtanke är att det är sällsynt att en och samma verksamhet brottas med alla de svagheter som berörs i detta exempel. För att uppnå bästa resultat och skapa en större förståelse kring processen delar vi upp den enligt följande: Policy/Rutiner Behörighet Administration Organisation Hårdvara Låsning av förvaringsenhet Nyckelmärkning Nyckelringar/säkring av nyckelknippa Kommunikation I verksamheten I verksamheten Nyckelhanteringsguide PAAM systems 39

Policy/Rutiner Nuläge Förebyggande ågärder En övergripande och generell policy för hanteringen saknas, liksom rutiner för hur den ska gå till. I en del av organisationen finns en generell policy, men den är inte tydligt kommunicerad och efterlevs därför inte av alla. Istället har tysta rutiner utvecklats och de är i de flesta fallen i stort sett helt personanknutna. Konsekvens Svårigheten att kommunicera en enhetlig bild av hur nyckelknippor ska hanteras blir uppenbar. Problematiken uppstår i både interna och externa fall vilket skapar viss oro, inte minst från externt håll. Hanteringen av nyckelknippor kommer högst sannolikt att fortsätta utvecklas olika i olika delar av verksamheten. I det fall anställda flyttar mellan avdelningar eller orter med olika tysta rutiner riskerar verksamheten att drabbas av störningar, som övertid kan bli kostsamma och generera ökade risker. En gemensam policy arbetas fram avseende: Grad av fysisk säkerhet på förvaringsenheter, kopplat till de objekt/ nyckelknippor som skall förvaras. Sett ur ett säkerhetsperspektiv. Klassificering av olika typer av nycklar. Vilka nycklar kräver elektronisk övervakning och vilka kan hänga på en krok. Dels med utgångspunkt i vilket värde nyckeln betingar och dels utifrån behovet av spårbarhet. Tilldelning av personal och externa partners behörigheter till de nycklar som finns i verksamheten. Nyckelmärkning. Organisation för hanteringen och ansvarsområden för respektive person i organisationen. 40 Nyckelhanteringsguide PAAM systems

Checklista Rutiner Övergripande ansvarig för nyckelhanteringen är utsedd. Skriftliga rutiner/policies är kommunicerade i hela organisationen. Hantering och förvaring av nycklar i verksamheten uppfyller försäkringsbolagens krav. Hantering och förvaring av nycklar i verksamheten uppfyller eventuella uppdragsgivares förväntningar och krav. Från nuläge till nyläge I verksamheten I verksamheten Introduktion 41

Behörighet Uttag av nycklar Nuläge Konsekvens Nyckelknippor hänger i ett skåp på nyckelkrokar utan elektronisk övervakning. När knipporna plockas ut ska de registreras i den manuella liggare som finns i anslutning till skåpet. Den här rutinen gör det omöjligt att behörighetsstyra tillgången till nyckelknipporna i skåpet. Vem som helst har därmed tillgång till nycklarna, så länge inte skåpet har någon elektronisk lösning med unika koder för varje enskild individ som getts tillgång till nycklarna. I sådana här fall är sannolikheten stor att ett felaktigt handhavande kommer att upptäckas först när knippan ska användas igen och saknas på sin krok, eller möjligen har hamnat på fel krok. Vid ett fel kan alla användare ställas till svars för eventuella störningar och skador. Detta eftersom alla kan anses ha tillgång till nycklarna. Att identifiera felkällan här är mycket svårt. 42 Nyckelhanteringsguide PAAM systems

Behörighet Insättning av nycklar Nuläge En nyckelknippa återlämnas på en krok i ett nyckelskåp utan elektronisk kontroll. Konsekvens Sannolikheten för att nyckelknippan hängs tillbaka på fel krok eller inte hängs tillbaka alls är relativt stor. Och om den hängs tillbaka, men på fel plats, riskerar verksamheten att få störningar vilket kan leda till såväl irritation som till onödiga kostnader. När en knippa saknas i ett manuellt system av den här typen är det också svårt att hitta information om vem som tagit ut knippan. Förebyggande ågärder Nyckelknippor som behöver gå att spåra förflyttas till ett system med elektronisk övervakning och kontroll över händelser som rör de aktuella nyckelknipporna. Ett alternativ, om än mindre driftssäkert, är tydligare rutiner för manuella kvittenser så att knippan med hjälp av dem kan spåras. Introduktion Från nuläge till nyläge I verksamheten I verksamheten Nyckelhanteringsguide PAAM systems 43

Hantering av knippor i portabla förvaringsenheter Nuläge Förebyggande ågärder Nycklar som går till nyckelskåp finns tillgängliga i ett separat nyckelrum/ nyckelskåp. Nyckelknipporna som finns i nyckelväskor hanteras i vissa fall manuellt och omdisponeras inför kvälls- respektive helgpass. Andra väskor används ograverade och med samma innehåll hela tiden. Konsekvens Noggranna rutiner för utlåning av knippor samt behovsstyrning av specifika knippor bör tas fram. Regelbundna inventeringar av förvaringsskåpet, efter varje utlåning, krävs för att ta kontroll. Det är också möjligt att hänga in samtliga nycklar, tillhörande en portabel nyckelväska, i ett elektroniskt system och på så sätt skapa sökbarhet på väsknivå. När en inkomplett nyckelväska hängs in i skåpet uppstår en betydande störning vid nästa tillfälle den plockas ut. Utan spårbarhet blir också sökandet efter saknade nycklar komplicerat och verksamheten får problem. Digniteten på problemen avgörs av vilka kostnader störningen medför. 44 Nyckelhanteringsguide PAAM systems

Övriga uttag (långtidsutlåning) Nuläge Samtliga i personalen har eget ansvar för uttag av nyckelknippor i systemet. Registrering sker bara via kodlåset/ passersystemet som går till nyckelrummet. Nyckelknippan delas ut via kvittens vid anställningens början och ska sedan förvaras i nyckelrummet när respektive anställd inte är i tjänst. Förebyggande ågärder Det är inte alla nyckelknippor som är personliga, ibland är de istället knutna till en specifik tjänst eller uppgift. Oavsett bör understrykas att det är viktigt att personalens knippor lämnas på arbetsplatsen efter arbetsdagens slut. Introduktion I verksamheten I verksamheten Från nuläge till nyläge Nyckelhanteringsguide PAAM systems 45

Behörighet Behörighetsregler (allmänt) En grundregel när det gäller behörighet till nycklar eller nyckelknippor är att definiera vem eller vilka som ska ha tillgång till respektive nyckel. Nödöppningsnycklar Förebyggande ågärder När man använder sig av nyckelskåp som utrustats med elektroniska kodlås, eller om de ingår i ett större passersystem, är det mycket viktigt att samtlig personal informeras om regler för hantering av nödöppningsnycklar. För behörig personal måste dessa vara tillgängliga dygnet runt. Se till att varje användares ansvar för en nyckel eller nyckelknippa begränsas till den tid som de är uttagna ur systemet. På så sätt blir kontrollen betydligt enklare och mer effektiv. Checklista Tillträde/Behörighet Personal har inte tillträde till nycklar som han/hon inte behöver i sin dagliga verksamhet. Personal har inte tillträde till nycklar under tider då han/hon inte är i tjänst. Personal i verksamheten har inte fritt tillträde till den lokal där nyckelskåp är placerat. Nycklar är kopplade till enskilda uppdrag och återlämnas efter slutfört uppdrag. Känsliga nycklar lånas ut permanent och används i daglig verksamhet och/eller förvaras i exempelvis bilar och bostäder. Förteckning, över vilka nyckelknippor som förvaras i respektive skåp, förvaras oåtkomligt för obehöriga. 46 Nyckelhanteringsguide PAAM systems

Administration Administrationen av nycklar är en av de viktigaste delarna i hanteringen för att minimera störningar i systemet och även för att snabbt kunna gå tillbaka och se tidigare händelser. Rutiner Introduktion Precisera vilka rutiner som krävs för att skapa en bra ordning och en tillfredsställande spårbarhet. Med utgångspunkt i en nyckel som hänger i ett skåp är följande frågor relevanta att ge ett svar på: Vart går nyckeln? Tänk på att svaret på frågan inte får framgå av märkningen på nyckeln! Vem/vilka har använt nyckeln den senaste tiden och under vilka tider? En nyckel som är borta från sin plats i ett skåp vem har tagit ut den och hur kommer man i kontakt med personen i fråga? När togs nyckeln ut och när förväntas den komma tillbaka? Från nuläge till nyläge I verksamheten I verksamheten

Administration av utlåning och inlämning Nuläge Administrationen kring nycklar och nyckelknippor sköts i första hand genom manuella rutiner. Verktygen som används är en förteckning över vilka knippor som skall finnas tillgängliga och kopplade till specifika användare. Kvittenser skrivs ut vid utlåning av nycklar både externt och internt, samma procedur genomförs när nycklarna återlämnas. Konsekvens Det finns en rad konsekvenser som dyker upp till följd av det beskrivna handhavandet. De mest påfallande är de här: I manuella system är risken större att nyckelknippor tas ut av obehörig personal/användare. I det fall nyckelhanteringen bygger på enbart manuella rutiner begränsas möjligheten till spårbarhet väsentligt. Bevisningen blir svår när det inte går att verifiera vem som tagit ut en knippa, när den använts och när den hängdes tillbaka. Gemensamt för manuella rutiner är att de är svåra att upprätthålla över tid. Förebyggande åtgärder Skaffa verktyg för att administrera nycklarna som står i relation till en nyckelknippas betydelse för verksamheten (ekonomiskt och funktionsmässigt). Utgå också från antalet nycklar det handlar om liksom antalet användare som är inblandade. I vissa fall kan en helt manuell administration vara fullt tillräcklig och den rätta vägen att gå. Ofta underlättar dock ett mjukvaruverktyg administrationen väsentligt. I de flesta fall bör även valda delar av ett nyckelbestånd övervakas med hjälp av ett elektroniskt nyckelskåp som kopplas upp mot samma mjukvara. En dokumentation och därmed samlad överblick över det nyckelbestånd man förfogar över och de användare som berörs gör hanteringen mer greppbar. 48 Nyckelhanteringsguide PAAM systems

Beståndsdokumentation (nycklar och användare) Nuläge Ett register över vilka nyckelknippor som finns är upprättat, likaså vilken enhet de finns på och var de hänger. När en uppdragsgivare lämnar in en nyckelknippa skrivs ett kvitto ut och förvaras hos nyckelförvaltaren Verifiering av varje knippa mot kvittensen förs löpande över tid. Dessutom registerförs vilka nycklar som finns på respektive knippa. Det finns också rutiner för hur uppdateringar av nyckelbeståndet på varje specifikt objekt ska föras. När en nyckelknippa återlämnas efter ett slutfört förvaltningsuppdrag skrivs ett återlämningskvitto. Konsekvens Det räcker med att en eller ett fåtal verifieringar inte kommer med i hanteringen för att störningar kan uppstå i framtiden. Om uppdateringar av uppdragsgivares nyckelknippor inte fungerar är sannolikheten för att nycklar försvinner från en knippa. På samma sätt kan nycklar som inte längre används i verksamheten av misstag finnas kvar på knipporna och skapa oreda. Mycket tid går åt för utredningar så snart inte alla manuellt hanterade dokument är på rätt plats. Sökningar i manuella system är alltid tidskrävande. Förebyggande åtgärder Rutiner för att kontinuerligt inventera beståndet av nycklar och nyckelknippor för att säkerställa att de överensstämmer med förvaltningsavtal. Samma typ av kontinuerlig rutin för att jämföra nyckelknipporna med eventuella förändringar i de nyckelsystem uppdragsgivarna använder sig av. Lätta instruktioner för när och hur en förvaltare återlämnar en nyckelknippa till uppdragsgivaren. Viktig information vid överlämnandet är vilka nycklar det handlar om, när de ska lämnas tillbaka, av vem och till vem. En viktig åtgärd, för att minimera antalet störningar i nyckelhanteringen är att låta all data registreras digitalt. Introduktion Från nuläge till nyläge I verksamheten I verksamheten Nyckelhanteringsguide PAAM systems 49

Ansvarsdelegering inom organisationen Organisation Det finns ingen som har det övergripande ansvaret för nyckelhantering. Däremot har varje avdelning ett delegerat ansvar för nyckelhanteringen där. I de fall ingen specifik person har tilldelats ansvaret är det avdelningens linjechef som automatiskt blir ansvarig. Konsekevens Nuläget för med sig att varje avdelning skapar sitt eget regelverk och sina egna rutiner kring nyckelhanteringen. Förebyggande åtgärder Att skapa en central policy som förankras i den dagliga verksamheten förekommer risken för att flera olika sätt att hantera nycklar inom samma verksamhet etableras. Integration Verksamheter som är helt eller delvis uppbyggda på ett system med elektronisk kontroll och övervakning av nyckelknippor är samordningen än viktigare. Styrregler för hur databaser med användare kan integreras med övriga säkerhetssystem är viktigt. Det säkerställer att det i grunden bara kommer att finnas en databas för alla nycklar, nyckelknippor och adresser i verksamheten. 50 Nyckelhanteringsguide PAAM systems

Checklista Administration Samtliga nycklar i organisationen är under kontroll. Inga nycklar/nyckelknippor är på drift. Förteckning över alla nycklar i verksamheten finns på plats. Förteckning över vilka i verksamheten som skall ha tillgång till nycklar finns. Det går inte för utomstående att härleda vart en nyckel låser upp, utifrån nyckelknippans märkning. Det finns system för att följa upp att alla utlånade nycklar/knippor lämnas tillbaka och lämnas tillbaka vid rätt tidpunkt. Vi vet vem som tagit en specifik nyckel/nyckelknippa och när han/hon tagit ut knippan (statusinformation). Vi vet var en specifik person har använt en specifik nyckel (historik). Nyckelförteckning över vilka nyckelknippor som förvaras i respektive skåp finns. I verksamheten I verksamheten Introduktion Från nuläge till nyläge Nyckelhanteringsguide PAAM systems 51

Hårdvara (Fysiska förvaringsenheter) Nuläge De förvaringsenheter som används idag är inte anpassade för behovet av fysisk säkerhet. Värdet som nycklarna står för överstiger den säkerhetsnivå som förvaringsenheterna kan erbjuda. Lokalerna där förvaringsenheterna finns är inte heller integrerade i det befintliga passersystemet. Se till att låsenheterna till förvaringsskåp eller -rum uppfyller de försäkringsvillkor som gäller för verksamhetens försäkringar. Förvaringsenheter och låsanordningarna som hör till dem ska motsvara det värde, som nycklarna och det som nycklarna skyddar tillsammans betingar. Rekommendation Konsekvens Risken för att obehöriga får tillgång till nycklar är hög, vilket också ökar risken för inbrott och stölder. Sannolikheten för att en större skada ska inträffa är också stor om huvudnyckel eller andra nycklar, till känsliga och värdefulla objekt, hamnar i orätta händer. Huvudnycklarna bör förvaras i ett säkerhetsskåp med minst klass SS 3492. Resterande nycklar förvaras med fördel i skåp motsvarande klassningen stöldskyddsskåp klass I/II. För att vara riktigt på den säkra sidan är det också bra att låta försäkringsbolaget godkänna lösningen även formellt. På så sätt säkerställs att eventuella intrång är ersättningsbara. Förebyggande ågärder Fatta beslut om vilken säkerhetsnivå som krävs för varje enskild nyckel eller nyckelgrupp. Säkerställ att förvaringsenheter uppfyller branschkraven och/eller interna policybeslut eller säkerhetskrav. 52 Nyckelhanteringsguide PAAM systems