38.9 Bilaga - Risk- och sårbarhetsanalys TFK

(1)

2014-04-07

Risk- och sårbarhetsanalys för trafik- och

fastighetskontoret, Sollentuna kommun 2014

(2)

Sid 2 av 14

Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.

Innehållsförteckning

Bakgrund och lagkrav... 3

Syfte och mål ... 3

Metod ... 3

Nämndens prioriterade åtaganden ... 4

Nämndens kritiska beroenden... 4

Riskanalys ... 5

Åtgärder för riskerna ... 8

Sårbarhetsanalys genom förmågebedömning ... 9

Åtgärder för sårbarheterna ... 11

Resultat och slutsatser ... 12

Bedömningsgrunder riskanalys... 13

Bedömningsgrunder för sannolikhet och konsekvens ... 13

Riskmatris... 14

(3)

Sid 3 av 14

Bakgrund och lagkrav

Enligt Lag (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap samt Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser (2010:6) ska alla kommuner identifiera och analysera de risker som finns inom kommunen och som kan leda till en extraordinär händelse. En extraordinär händelse är en händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av en kommun.

Denna rapport kommer att utgöra underlag för kommunens aggregerade RSA som ska rapporteras till länsstyrelsen under mandatperiodens första år, d.v.s. den 30 september 2015. Övriga år, den 15 september, ska kommunen rapportera uppföljningar av sin RSA till länsstyrelsen.

Syfte och mål

Syftet med RSA är att öka riskmedvetenheten och minska sårbarheter inom Sollentuna kommuns verksamheter och inom kommunens interna och externa kritiska beroenden, samt öka förmågan att klara sina prioriterade åtaganden.

Målet med genomförd RSA är att Sollentuna kommun ska få utökad kunskap om de risker och sårbarheter som är aktuella inom kommunen och på så sätt kunna skapa system som är robusta.

RSA ska även ligga till grund för den plan som ska finnas för att hantera extraordinära händelser.

Metod

För att svara mot syftet med denna analys har arbetet genomförts i följande steg.

Källa: Vägledning för risk- och sårbarhetsanalyser (MSB 2011)

Beskrivning av rapporterande nämnd

Trafik- och fastighetskontoret ansvarar för drift och underhåll av kommunens vägnät, parkanläggningar, trafikanordningar samt övriga allmänna ytor, brygganläggningar och parkeringsverksamhet.

Förvaltning av kommunens mark och fastigheter, inklusive naturreservat och övrig naturmark.

Ny-, till- och ombyggnad av kommunens lokaler och anläggningar.

(4)

Sid 4 av 14

RSA består av, som benämningen antyder, en riskanalys och en sårbarhetsanalys. TFN har i detta arbete genomfört två workshopar: en riskanalysworkshop och en sårbarhetsanalysworkshop. Efter riskanalysworkshopen har ett scenario tagits fram som förmågebedömts under

sårbarhetsanalysworkshopen.

Nämndens prioriterade åtaganden

För att kunna analysera vilken påverkan olika händelser har på nämndens förmåga att utföra sitt uppdrag, har vi lyft ett av våra åtaganden som vi ser som särskilt kritiskt vid påfrestning. Vi måste kunna tillhandahålla lokaler även vid extraordinär händelse för att undvika oacceptabla

konsekvenser.

Nämndens kritiska beroenden

Kritiska beroenden är resurser som nämnden är beroende av för att kunna uppfylla sina

prioriterade åtaganden. Ett beroende definieras som kritiskt om det är svårt att ersätta den aktuella resursen med en annan. Kritiska beroenden kan vara interna eller externa.

Kritiska beroenden

Interna Externa

IT IT, tele

Telefoni Andra nämnder

Material beroende på krissituation Värmeförsörjning

Närvarande personal Vatten

El

Från trafik- och fastighetskontoret har följande personer deltagit i analysarbetet:

 Annette Hedlin – förvaltningschef

 Kjell Lauri – chef gata-, park- och trafikavdelningen

 Susanna Arbro – chef fastighetsavdelningen

 Karin Sylvan - kvalitetsstrateg

 Åsa Hinndal-Anrin - kommunikationsstrateg

 Anna Grönvall – chef administrativa enheten, controller

Beskrivning av trafik- och fastighetskontorets prioriterade åtaganden är följande:

 Tillhandahålla lokaler

(5)

Sid 5 av 14

Riskanalys

Bedömningsgrunder för sannolikhet och konsekvens (se förklaring bedömningsgrunder sid.13, samt riskmatris sid.14).

Identifierad risk/händelse

Möjliga orsaker till risken/händelsen

Konsekvenser (för hälsa, miljö, egendom och prioriterade åtaganden)

Kommentarer Sanno-

likhet (1-5)

Konse- kvens (1-5)

Riskvärde (Sannolikhet*

konsekvens)

Kan risken accepteras?

(Ja/Nej)

R1 Hot mot medarbetare

 Missnöje med beslut

 Hot mot annans barn

 Psykiska och fysiska skador kan uppstå

Beroende på hotets omfattning berörs man på olika sätt och det får olika konsekvenser

5 4 20

Nej

R2 Blockerade nödutgångar kan leda till skada

 Snöröjning

 Obetänksamhet vid flytt och liknande

 Skada på person vid

brand 4 5 20

Nej

R3 Risk för

informationsläcka ge

 Otillräckligt skydd för t ex mobila enheter

 Förlust

 Stöld

 Känslig information sprids såsom upphandlingar, investeringsplaner, parkeringstillstånd för rörelsehindrade, kvinnojour,

ensamkommande flyktingbarn, skyddade boenden

4 5 20

Nej

R4 Nyckelpersonsber oende påverkar verksamheten negativt vid frånvaro

 Kunskap och erfarenhet är inte delat

 Arbete faller mellan stolarna

Pågår ett arbete kring

kartläggning av processer och uppdaterande av

dokumentation

4 4 16

(6)

Sid 6 av 14

likhet (1-5)

Konse- kvens (1-5)

konsekvens)

(Ja/Nej)

R5 Inbrott och stöld  Otillräckligt skydd  Förlust av datorer och andra värden vilket kan leda till informationsförlust

4 4 16

R6 Brand i fastigheteter

 Elfel

 Sabotage

 Vandalisering

 Slarv

 Personskador

 Egendomsskador

 Avbrott i verksamheten

Beroende på brandens omfattning kan

konsekvenserna variera i omfattning

3 5 15

R7 Otillbörlig spridning av känslig

information via tex e-post

 Slarv

 Intrång

 Förtroenderisk

 Information om skyddade personer kommer i fel händer

3 5 15

R8 Bristande

tillgänglighet pga svårhanterliga system

 Svårtillgängliga säkerhetssystem

 Medarbetare hittar osäkra genvägar som kan få konsekvenser på sekretess

5 3 15

R9 Otillräckligt behörighetsskydd gör att obehöriga personer kan komma åt systemen

 Ej genomtänkt behörighetsskydd

 Känslig information om tex skyddade personer blir åtkomlig för andra, upphandlingssekrete ss

5 2 10

(7)

Sid 7 av 14

likhet (1-5)

Konse- kvens (1-5)

konsekvens)

(Ja/Nej)

R10 Känslig

information visas vid inloggning på konferensdatorer

 Felkonfigurering  Känslig information om tex skyddade personer blir åtkomlig för andra, upphandlings- sekretess

5 2 10

(8)

Sid 8 av 14

Åtgärder för riskerna

För risker som inte kan accepteras bör åtgärder vidtas. Åtgärderna kan antingen förbygga orsakerna till risken eller begränsa konsekvenserna om den skulle inträffa.

I tabellen nedan anges vilken risk åtgärden berör (R1-R10 – se riskmatris sid.14), beskrivning av risken, vilken åtgärd som ska vidtas, ansvarig för att åtgärden genomförs samt datum när åtgärden är genomförd.

R1- R10

Risk/Händelse Åtgärd Ansvarig Klar

(datum) R1 Hot mot medarbetare  Utbildning i säkerhetstänk

 Inventering av befintlig säkerhetsanordning

Kjell Lauri /Caroline Quistberg

20141130

R2 Blockerade nödutgångar kan leda till skada

 Inventering

 Löpande rondering

Sanna Arbro

R3 Informationssäkerhet  Ta fram rutiner utifrån informationssäkerhetsutbild ning ex. Säker utskrift, Låsa dator/mobil/iPad,,

Incidentrapportera, passerkort/e-tjänstekort.

 Förhindra otillbörlig spridning av känslig information via t ex e-post

 Se över otillräckligt behörighetsskydd som gör att obehöriga personer kan komma åt systemen.

 Förhindra att känslig information visas vid inloggning på konferensdatorer.

 Se över bristande tillgänglighet till rätt information pga svårhanterliga system.

Anna Grönvall 20140615

R4 Nyckelpersonsberoende påverkar verksamheten negativt vid frånvaro

 SE till att ersättarlista finns + loggbok (public).

 Se till att sprida kompetens bland medarbetare.

Respektive avd-

/enhetschef

20140615 20141130 R5 Inbrott och stöld  Ta fram och befäst

kontorsrutiner för hantering av mobila enheter, datorer, personliga saker mm.

Anna Grönvall 20140615

R6 Brand i fastigheteter  Genomfört myndighetskrav. Ansvarig för arbetsmiljökrav

(9)

Sid 9 av 14

Sårbarhetsanalys genom förmågebedömning

Sårbarhetsanalysen har genomförts genom att bedöma nämndens förmåga att hantera ett specifikt scenario.

Utifrån scenariot har nämndens förmåga att hantera händelsen bedömts. Se tabell nedan.

Bedömningsnivåer

Följande bedömningsnivåer används vid en samlad bedömning av nämnden förmåga att motstå allvarliga

störningar.

Nivå Beskrivning av förmåga

1 Förmågan är god

2 Förmågan är i huvudsak god, men

har vissa brister

3 Det finns en viss förmåga, men

den är bristfällig

4 Det finns ingen eller mycket

bristfällig förmåga

Indikator Förmåga nivå 1-4 Sårbarhet (bristen i förmåga beror på att…)

1 2 3 4

Ledning, samverkan och information Det finns en känd krisplan.

X

Kontoret har befunnit sig i en uppbyggnadsfas och saknat resurser för att uppdatera och öva krisplanen. Många av de ansvariga i krisplanen har bytt tjänst.

Det finns en regelbundet utbildad och övad beredskaps- och

ledningsorganisation. X

Kontoret har befunnit sig i en uppbyggnadsfas och saknat resurser för att utbilda och öva en beredskaps- och ledningsorganisationen. Många av tjänsterna i ledningsgruppen har bytts ut senaste året.

Beredskapsorganisationen disponerar nödvändiga resurser i form av lokaler samt tekniska system för bland annat

kommunikation och lägesbild och den kan verka dygnet runt under minst en veckas tid.

X

Se ovan.

Det finns rutiner och tekniskt stöd för information till allmänheten och till media, samt för intern

information.

X

Rutiner mm finns men behöver bli kända internt och övas.

Beskrivning av scenario 1:

Kommunal skola brinner ner på grund av pyromandåd under pågående hösttermin.

Konsekvenser av branden är att skolan brinner ner till grunden, personskador och dödsfall.

(10)

Sid 10 av 14

1 2 3 4

Det finns nätverk (t.ex. med andra myndigheter, nämnder, kommuner, landsting eller näringsliv) för samverkan och att

samverkansövningar genomförs regelbundet.

X

Nätverk och samarbeten finns men

samverkansövningar genomförs inte regelbundet.

Behov av samverkan med andra aktörer är identifierade och tillgodosedda.

X

Detta finns.

Informationssäkerhet

Det finns redundans och robusthet inom nämndens

kommunikationssystem (IT, tele, radio).

X

Tekniska lösningarna för att få ut kommunikation är undermåliga.

Det finns tillräcklig förmåga hos nämnden att upprätthålla

informationstillgångarnas konfidentialitet, riktighet och tillgänglighet.

X

Det finns brister i arbetet kring

informationssäkerheten, däremot är riktighet och tillgänglighet bra.

Larm

Det finns övade larmrutiner. X Detta sköts av våra avtalade entreprenörer.

Omvärldsbevakning

Det finns en omvärldsbevakning som tidigt kan varna för allvarliga kriser som kan leda till

extraordinära händelser.

X

Säkerhetsavdelningen informerar organisationen löpande om händelser i närområdet.

Det finns rutiner och tekniskt stöd för att snabbt sprida information till den egna organisationen och andra aktörer.

X

Vi behöver arbeta med rutiner och teknik även utifrån detta perspektiv.

Säkerhet och robusthet i verksamhetens infrastruktur Det finns redundans och robusthet i

nämndens infrastruktur. X Reservkraft

Det finns testad reservkraft med en

uthållighet om minst en vecka. X Detta ansvarar SEAB för.

Möjlighet att flytta verksamheten till annan plats Det finns genomförda förberedelser

på den alternativa platsen. X Vi har inte identifierat några alternativa platser.

Flytt av verksamheten till alternativ plats är övad.

X

Övning behöver genomföras

(11)

Sid 11 av 14

1 2 3 4

Materiella resurser

Det finns materiella resurser för att motstå allvarliga störningar, vilka kan tas i bruk med kort varsel och som har uthållighet om minst en vecka.

X

Det finns ingen översyn gjord, detta behöver göras.

Det finns förmåga att omfördela interna materiella resurser samt förmåga att ta emot

förstärkningsresurser.

X

Förmågan att omfördela resurser är god.

Personella resurser

Det finns regelbundet utbildad och övad personal som är tillgänglig med kort varsel och som kan verka under minst en vecka.

X

Tillgängligheten kan tillgodoses men utbildningen är en brist.

Det finns möjlighet att omfördela personal inom nämnden och dess ansvarsområde samt att ta emot förstärkningsresurser.

X

Förmågan att omfördela resurser är god.

Samverkan

Behov av samverkan med andra aktörer är identifierade och tillgodosedda.

X

Samverkan finns men behöver ses över i förhållande till en kris.

Praktisk erfarenhet

Inträffad skarp händelse hade beröringspunkter med det ovan beskrivna scenariot.

Ingen erfarenhet av skarp händelse.

Genomförd övning hade beröringspunkter med det ovan beskrivna scenariot.

Ingen erfarenhet av genomförd övning.

Åtgärder för sårbarheterna

För att minska ovan beskrivna sårbarheter behöver åtgärder vidtas. I tabellen nedan anges vilken sårbarhet åtgärden avser, vilken åtgärd som ska vidtas, ansvarig för att åtgärden genomförs samt datum när åtgärden är genomförd.

Sårbarhet Åtgärd Ansvarig Klar (datum)

Krisplan Befintlig krisplan för kontoret måste uppdateras,

kommuniceras och övas.

Krisplanerabetet synkroniseras i kommunen.

Annette Hedlin 20141130

Beredskaps- och ledningsorganisation

Befintlig krisplan för kontoret måste uppdateras,

kommuniceras och övas.

Krisplanerabetet synkroniseras i kommunen

(12)

Sid 12 av 14

Sårbarhet Åtgärd Ansvarig Klar (datum)

Övade scenarier Öva scenarier men barn- och utbildningskontoret och säkerhetsavdelningen.

Förberedelse för omlokaliserad verksamhet

Se ovan

Samverkan och nätverk med andra aktörer

Se över rutin vid kris. Annette Hedlin 20141130 Omvärldsbevakning,

formalisering av kommunikationsvägar, hantering av främlingar på enheterna

Rutiner mm finns men behöver bli kända internt och övas.

Resultat och slutsatser

Vilka är de viktigaste slutsatserna, sammantagna bedömningarna.

 Resultatet av risk- och sårbarhetsanalysen och arbetet med åtgärderna ska leda till att vi ska vara en väl förberedd organisation om det sker en extraordinär händelse. Alla medarbetare ska känna sig trygga i att de har rätt utbildning, rätt beredskap och vet hur de ska agera vid en uppkommen krissituation. Vi ska arbeta aktivt med att minimera risker och skapa beredskap för extraordinära händelser.

(13)

Sid 13 av 14

Bedömningsgrunder riskanalys

Bedömningsgrunder för sannolikhet och konsekvens

Sannolikhet 1

Mycket låg

2 Låg

3 Medelhög

4 Hög

5 Mycket hög Inträffar var 30:e år Inträffar var 10:e år Inträffar 1 gång/år Inträffar 6 gånger/år Inträffar varje vecka

Konsekvens 1

Mycket begränsade

2 Begränsade

3

Allvarliga 4

Mycket allvarliga

5 Katastrofala

Små direkta hälsoeffekter, mycket begränsade störningar i samhällets funktionalitet, övergående misstro mot enskild samhällsinstitution, mycket begränsade skador på egendom och miljö

Måttliga direkta hälsoeffekter,

begränsade störningar i samhällets

funktionalitet,

övergående misstro mot flera samhälls-

institutioner, begränsade skador på egendom och miljö

Betydande direkta eller måttliga indirekta hälsoeffekter, allvarliga störningar i samhällets funktionalitet, bestående misstro mot flera

samhällsinstitutioner eller förändrat beteende, allvarliga skador på egendom och miljö

Mycket stora direkta eller betydande indirekta hälsoeffekter, mycket allvarliga störningar i samhällets

funktionalitet, bestående misstro mot flera

samhällsinstitutioner och förändrat beteende, mycket allvarliga skador på egendom och miljö

Katastrofala direkta eller mycket stora indirekta hälsoeffekter och/eller flera döda, extrema störningar i samhällets funktionalitet,

grundmurad misstro mot samhällsinstitutioner och allmän instabilitet, katastrofala skador på egendom och miljö

(14)

Sid 14 av 14

Riskmatris

Ange (R1-R10) i rätt ruta efter sannolikhet och konsekvens.

Mycket

hög (5) ^R8 ^R1

Hög (4)

R4, R5 R2, R3

Medelhög (3)

R6, R7

Låg (2)

R9, R10

Mycket låg (1)

(1) Mycket begrän-

sade

(2) Begrän-

sade

(3) All- varliga

(4) Mycket

allvarliga

(5) Kata- strofala Sannolikhet