2014-04-07
Risk- och sårbarhetsanalys för trafik- och
fastighetskontoret, Sollentuna kommun 2014
Sid 2 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Innehållsförteckning
Bakgrund och lagkrav... 3
Syfte och mål ... 3
Metod ... 3
Nämndens prioriterade åtaganden ... 4
Nämndens kritiska beroenden... 4
Riskanalys ... 5
Åtgärder för riskerna ... 8
Sårbarhetsanalys genom förmågebedömning ... 9
Åtgärder för sårbarheterna ... 11
Resultat och slutsatser ... 12
Bedömningsgrunder riskanalys... 13
Bedömningsgrunder för sannolikhet och konsekvens ... 13
Riskmatris... 14
Sid 3 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Bakgrund och lagkrav
Enligt Lag (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap samt Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser (2010:6) ska alla kommuner identifiera och analysera de risker som finns inom kommunen och som kan leda till en extraordinär händelse. En extraordinär händelse är en händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av en kommun.
Denna rapport kommer att utgöra underlag för kommunens aggregerade RSA som ska rapporteras till länsstyrelsen under mandatperiodens första år, d.v.s. den 30 september 2015. Övriga år, den 15 september, ska kommunen rapportera uppföljningar av sin RSA till länsstyrelsen.
Syfte och mål
Syftet med RSA är att öka riskmedvetenheten och minska sårbarheter inom Sollentuna kommuns verksamheter och inom kommunens interna och externa kritiska beroenden, samt öka förmågan att klara sina prioriterade åtaganden.
Målet med genomförd RSA är att Sollentuna kommun ska få utökad kunskap om de risker och sårbarheter som är aktuella inom kommunen och på så sätt kunna skapa system som är robusta.
RSA ska även ligga till grund för den plan som ska finnas för att hantera extraordinära händelser.
Metod
För att svara mot syftet med denna analys har arbetet genomförts i följande steg.
Källa: Vägledning för risk- och sårbarhetsanalyser (MSB 2011)
Beskrivning av rapporterande nämnd
Trafik- och fastighetskontoret ansvarar för drift och underhåll av kommunens vägnät, parkanläggningar, trafikanordningar samt övriga allmänna ytor, brygganläggningar och parkeringsverksamhet.
Förvaltning av kommunens mark och fastigheter, inklusive naturreservat och övrig naturmark.
Ny-, till- och ombyggnad av kommunens lokaler och anläggningar.
Sid 4 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
RSA består av, som benämningen antyder, en riskanalys och en sårbarhetsanalys. TFN har i detta arbete genomfört två workshopar: en riskanalysworkshop och en sårbarhetsanalysworkshop. Efter riskanalysworkshopen har ett scenario tagits fram som förmågebedömts under
sårbarhetsanalysworkshopen.
Nämndens prioriterade åtaganden
För att kunna analysera vilken påverkan olika händelser har på nämndens förmåga att utföra sitt uppdrag, har vi lyft ett av våra åtaganden som vi ser som särskilt kritiskt vid påfrestning. Vi måste kunna tillhandahålla lokaler även vid extraordinär händelse för att undvika oacceptabla
konsekvenser.
Nämndens kritiska beroenden
Kritiska beroenden är resurser som nämnden är beroende av för att kunna uppfylla sina
prioriterade åtaganden. Ett beroende definieras som kritiskt om det är svårt att ersätta den aktuella resursen med en annan. Kritiska beroenden kan vara interna eller externa.
Kritiska beroenden
Interna Externa
IT IT, tele
Telefoni Andra nämnder
Material beroende på krissituation Värmeförsörjning
Närvarande personal Vatten
El
Från trafik- och fastighetskontoret har följande personer deltagit i analysarbetet:
Annette Hedlin – förvaltningschef
Kjell Lauri – chef gata-, park- och trafikavdelningen
Susanna Arbro – chef fastighetsavdelningen
Karin Sylvan - kvalitetsstrateg
Åsa Hinndal-Anrin - kommunikationsstrateg
Anna Grönvall – chef administrativa enheten, controller
Beskrivning av trafik- och fastighetskontorets prioriterade åtaganden är följande:
Tillhandahålla lokaler
Sid 5 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Riskanalys
Bedömningsgrunder för sannolikhet och konsekvens (se förklaring bedömningsgrunder sid.13, samt riskmatris sid.14).
Identifierad risk/händelse
Möjliga orsaker till risken/händelsen
Konsekvenser (för hälsa, miljö, egendom och prioriterade åtaganden)
Kommentarer Sanno-
likhet (1-5)
Konse- kvens (1-5)
Riskvärde (Sannolikhet*
konsekvens)
Kan risken accepteras?
(Ja/Nej)
R1 Hot mot medarbetare
Missnöje med beslut
Hot mot annans barn
Psykiska och fysiska skador kan uppstå
Beroende på hotets omfattning berörs man på olika sätt och det får olika konsekvenser
5 4 20
Nej
R2 Blockerade nödutgångar kan leda till skada
Snöröjning
Obetänksamhet vid flytt och liknande
Skada på person vid
brand 4 5 20
Nej
R3 Risk för
informationsläcka ge
Otillräckligt skydd för t ex mobila enheter
Förlust
Stöld
Känslig information sprids såsom upphandlingar, investeringsplaner, parkeringstillstånd för rörelsehindrade, kvinnojour,
ensamkommande flyktingbarn, skyddade boenden
4 5 20
Nej
R4 Nyckelpersonsber oende påverkar verksamheten negativt vid frånvaro
Kunskap och erfarenhet är inte delat
Arbete faller mellan stolarna
Pågår ett arbete kring
kartläggning av processer och uppdaterande av
dokumentation
4 4 16
Sid 6 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Identifierad risk/händelse
Möjliga orsaker till risken/händelsen
Konsekvenser (för hälsa, miljö, egendom och prioriterade åtaganden)
Kommentarer Sanno-
likhet (1-5)
Konse- kvens (1-5)
Riskvärde (Sannolikhet*
konsekvens)
Kan risken accepteras?
(Ja/Nej)
R5 Inbrott och stöld Otillräckligt skydd Förlust av datorer och andra värden vilket kan leda till informationsförlust
4 4 16
R6 Brand i fastigheteter
Elfel
Sabotage
Vandalisering
Slarv
Personskador
Egendomsskador
Avbrott i verksamheten
Beroende på brandens omfattning kan
konsekvenserna variera i omfattning
3 5 15
R7 Otillbörlig spridning av känslig
information via tex e-post
Slarv
Intrång
Förtroenderisk
Information om skyddade personer kommer i fel händer
3 5 15
R8 Bristande
tillgänglighet pga svårhanterliga system
Svårtillgängliga säkerhetssystem
Medarbetare hittar osäkra genvägar som kan få konsekvenser på sekretess
5 3 15
R9 Otillräckligt behörighetsskydd gör att obehöriga personer kan komma åt systemen
Ej genomtänkt behörighetsskydd
Känslig information om tex skyddade personer blir åtkomlig för andra, upphandlingssekrete ss
5 2 10
Sid 7 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Identifierad risk/händelse
Möjliga orsaker till risken/händelsen
Konsekvenser (för hälsa, miljö, egendom och prioriterade åtaganden)
Kommentarer Sanno-
likhet (1-5)
Konse- kvens (1-5)
Riskvärde (Sannolikhet*
konsekvens)
Kan risken accepteras?
(Ja/Nej)
R10 Känslig
information visas vid inloggning på konferensdatorer
Felkonfigurering Känslig information om tex skyddade personer blir åtkomlig för andra, upphandlings- sekretess
5 2 10
Sid 8 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Åtgärder för riskerna
För risker som inte kan accepteras bör åtgärder vidtas. Åtgärderna kan antingen förbygga orsakerna till risken eller begränsa konsekvenserna om den skulle inträffa.
I tabellen nedan anges vilken risk åtgärden berör (R1-R10 – se riskmatris sid.14), beskrivning av risken, vilken åtgärd som ska vidtas, ansvarig för att åtgärden genomförs samt datum när åtgärden är genomförd.
R1- R10
Risk/Händelse Åtgärd Ansvarig Klar
(datum) R1 Hot mot medarbetare Utbildning i säkerhetstänk
Inventering av befintlig säkerhetsanordning
Kjell Lauri /Caroline Quistberg
20141130
R2 Blockerade nödutgångar kan leda till skada
Inventering
Löpande rondering
Sanna Arbro
R3 Informationssäkerhet Ta fram rutiner utifrån informationssäkerhetsutbild ning ex. Säker utskrift, Låsa dator/mobil/iPad,,
Incidentrapportera, passerkort/e-tjänstekort.
Förhindra otillbörlig spridning av känslig information via t ex e-post
Se över otillräckligt behörighetsskydd som gör att obehöriga personer kan komma åt systemen.
Förhindra att känslig information visas vid inloggning på konferens- datorer.
Se över bristande tillgänglighet till rätt information pga svårhanterliga system.
Anna Grönvall 20140615
R4 Nyckelpersonsberoende påverkar verksamheten negativt vid frånvaro
SE till att ersättarlista finns + loggbok (public).
Se till att sprida kompetens bland medarbetare.
Respektive avd-
/enhetschef
20140615 20141130 R5 Inbrott och stöld Ta fram och befäst
kontorsrutiner för hantering av mobila enheter, datorer, personliga saker mm.
Anna Grönvall 20140615
R6 Brand i fastigheteter Genomfört myndighetskrav. Ansvarig för arbetsmiljökrav
Sid 9 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Sårbarhetsanalys genom förmågebedömning
Sårbarhetsanalysen har genomförts genom att bedöma nämndens förmåga att hantera ett specifikt scenario.
Utifrån scenariot har nämndens förmåga att hantera händelsen bedömts. Se tabell nedan.
Bedömningsnivåer
Följande bedömningsnivåer används vid en samlad bedömning av nämnden förmåga att motstå allvarliga
störningar.
Nivå Beskrivning av förmåga
1 Förmågan är god
2 Förmågan är i huvudsak god, men
har vissa brister
3 Det finns en viss förmåga, men
den är bristfällig
4 Det finns ingen eller mycket
bristfällig förmåga
Indikator Förmåga nivå 1-4 Sårbarhet (bristen i förmåga beror på att…)
1 2 3 4
Ledning, samverkan och information Det finns en känd krisplan.
X
Kontoret har befunnit sig i en uppbyggnadsfas och saknat resurser för att uppdatera och öva krisplanen. Många av de ansvariga i krisplanen har bytt tjänst.
Det finns en regelbundet utbildad och övad beredskaps- och
ledningsorganisation. X
Kontoret har befunnit sig i en uppbyggnadsfas och saknat resurser för att utbilda och öva en beredskaps- och ledningsorganisationen. Många av tjänsterna i ledningsgruppen har bytts ut senaste året.
Beredskapsorganisationen disponerar nödvändiga resurser i form av lokaler samt tekniska system för bland annat
kommunikation och lägesbild och den kan verka dygnet runt under minst en veckas tid.
X
Se ovan.
Det finns rutiner och tekniskt stöd för information till allmänheten och till media, samt för intern
information.
X
Rutiner mm finns men behöver bli kända internt och övas.
Beskrivning av scenario 1:
Kommunal skola brinner ner på grund av pyromandåd under pågående hösttermin.
Konsekvenser av branden är att skolan brinner ner till grunden, personskador och dödsfall.
Sid 10 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Indikator Förmåga nivå 1-4 Sårbarhet (bristen i förmåga beror på att…)
1 2 3 4
Det finns nätverk (t.ex. med andra myndigheter, nämnder, kommuner, landsting eller näringsliv) för samverkan och att
samverkansövningar genomförs regelbundet.
X
Nätverk och samarbeten finns men
samverkansövningar genomförs inte regelbundet.
Behov av samverkan med andra aktörer är identifierade och tillgodosedda.
X
Detta finns.
Informationssäkerhet
Det finns redundans och robusthet inom nämndens
kommunikationssystem (IT, tele, radio).
X
Tekniska lösningarna för att få ut kommunikation är undermåliga.
Det finns tillräcklig förmåga hos nämnden att upprätthålla
informationstillgångarnas konfidentialitet, riktighet och tillgänglighet.
X
Det finns brister i arbetet kring
informationssäkerheten, däremot är riktighet och tillgänglighet bra.
Larm
Det finns övade larmrutiner. X Detta sköts av våra avtalade entreprenörer.
Omvärldsbevakning
Det finns en omvärldsbevakning som tidigt kan varna för allvarliga kriser som kan leda till
extraordinära händelser.
X
Säkerhetsavdelningen informerar organisationen löpande om händelser i närområdet.
Det finns rutiner och tekniskt stöd för att snabbt sprida information till den egna organisationen och andra aktörer.
X
Vi behöver arbeta med rutiner och teknik även utifrån detta perspektiv.
Säkerhet och robusthet i verksamhetens infrastruktur Det finns redundans och robusthet i
nämndens infrastruktur. X Reservkraft
Det finns testad reservkraft med en
uthållighet om minst en vecka. X Detta ansvarar SEAB för.
Möjlighet att flytta verksamheten till annan plats Det finns genomförda förberedelser
på den alternativa platsen. X Vi har inte identifierat några alternativa platser.
Flytt av verksamheten till alternativ plats är övad.
X
Övning behöver genomföras
Sid 11 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Indikator Förmåga nivå 1-4 Sårbarhet (bristen i förmåga beror på att…)
1 2 3 4
Materiella resurser
Det finns materiella resurser för att motstå allvarliga störningar, vilka kan tas i bruk med kort varsel och som har uthållighet om minst en vecka.
X
Det finns ingen översyn gjord, detta behöver göras.
Det finns förmåga att omfördela interna materiella resurser samt förmåga att ta emot
förstärkningsresurser.
X
Förmågan att omfördela resurser är god.
Personella resurser
Det finns regelbundet utbildad och övad personal som är tillgänglig med kort varsel och som kan verka under minst en vecka.
X
Tillgängligheten kan tillgodoses men utbildningen är en brist.
Det finns möjlighet att omfördela personal inom nämnden och dess ansvarsområde samt att ta emot förstärkningsresurser.
X
Förmågan att omfördela resurser är god.
Samverkan
Behov av samverkan med andra aktörer är identifierade och tillgodosedda.
X
Samverkan finns men behöver ses över i förhållande till en kris.
Praktisk erfarenhet
Inträffad skarp händelse hade beröringspunkter med det ovan beskrivna scenariot.
Ingen erfarenhet av skarp händelse.
Genomförd övning hade beröringspunkter med det ovan beskrivna scenariot.
Ingen erfarenhet av genomförd övning.
Åtgärder för sårbarheterna
För att minska ovan beskrivna sårbarheter behöver åtgärder vidtas. I tabellen nedan anges vilken sårbarhet åtgärden avser, vilken åtgärd som ska vidtas, ansvarig för att åtgärden genomförs samt datum när åtgärden är genomförd.
Sårbarhet Åtgärd Ansvarig Klar (datum)
Krisplan Befintlig krisplan för kontoret måste uppdateras,
kommuniceras och övas.
Krisplanerabetet synkroniseras i kommunen.
Annette Hedlin 20141130
Beredskaps- och ledningsorganisation
Befintlig krisplan för kontoret måste uppdateras,
kommuniceras och övas.
Krisplanerabetet synkroniseras i kommunen
Annette Hedlin 20141130
Sid 12 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Sårbarhet Åtgärd Ansvarig Klar (datum)
Övade scenarier Öva scenarier men barn- och utbildningskontoret och säkerhetsavdelningen.
Annette Hedlin 20141130
Förberedelse för omlokaliserad verksamhet
Se ovan
Samverkan och nätverk med andra aktörer
Se över rutin vid kris. Annette Hedlin 20141130 Omvärldsbevakning,
formalisering av kommunikationsvägar, hantering av främlingar på enheterna
Rutiner mm finns men behöver bli kända internt och övas.
Annette Hedlin 20141130
Resultat och slutsatser
Vilka är de viktigaste slutsatserna, sammantagna bedömningarna.
Resultatet av risk- och sårbarhetsanalysen och arbetet med åtgärderna ska leda till att vi ska vara en väl förberedd organisation om det sker en extraordinär händelse. Alla medarbetare ska känna sig trygga i att de har rätt utbildning, rätt beredskap och vet hur de ska agera vid en uppkommen krissituation. Vi ska arbeta aktivt med att minimera risker och skapa beredskap för extraordinära händelser.
Sid 13 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Bedömningsgrunder riskanalys
Bedömningsgrunder för sannolikhet och konsekvens
Sannolikhet 1
Mycket låg
2 Låg
3 Medelhög
4 Hög
5 Mycket hög Inträffar var 30:e år Inträffar var 10:e år Inträffar 1 gång/år Inträffar 6 gånger/år Inträffar varje vecka
Konsekvens 1
Mycket begränsade
2 Begränsade
3
Allvarliga 4
Mycket allvarliga
5 Katastrofala
Små direkta hälsoeffekter, mycket begränsade störningar i samhällets funktionalitet, övergående misstro mot enskild samhällsinstitution, mycket begränsade skador på egendom och miljö
Måttliga direkta hälsoeffekter,
begränsade störningar i samhällets
funktionalitet,
övergående misstro mot flera samhälls-
institutioner, begränsade skador på egendom och miljö
Betydande direkta eller måttliga indirekta hälsoeffekter, allvarliga störningar i samhällets funktionalitet, bestående misstro mot flera
samhällsinstitutioner eller förändrat beteende, allvarliga skador på egendom och miljö
Mycket stora direkta eller betydande indirekta hälsoeffekter, mycket allvarliga störningar i samhällets
funktionalitet, bestående misstro mot flera
samhällsinstitutioner och förändrat beteende, mycket allvarliga skador på egendom och miljö
Katastrofala direkta eller mycket stora indirekta hälsoeffekter och/eller flera döda, extrema störningar i samhällets funktionalitet,
grundmurad misstro mot samhällsinstitutioner och allmän instabilitet, katastrofala skador på egendom och miljö
Sid 14 av 14
Upphovsrätten till detta material ägs av BRM Europe AB. Dokumentet får ej kopieras eller spridas utanför Sollentuna kommun utan skriftligt medgivande från BRM Europe AB.
Riskmatris
Ange (R1-R10) i rätt ruta efter sannolikhet och konsekvens.
Mycket
hög (5) R8 R1
Hög (4)
R4, R5 R2, R3
Medelhög (3)
R6, R7
Låg (2)
R9, R10
Mycket låg (1)
(1) Mycket begrän-
sade
(2) Begrän-
sade
(3) All- varliga
(4) Mycket
allvar- liga
(5) Kata- strofala Sannolikhet