Risk- och sårbarhetsanalys Andreas Thulin

2014-05-06

Disposition 1 Region Halland• Organisation

2 RSA process • Samhällsviktig verksamhet• Tre olika typer av analyser

3 Utvecklingsområden• Förankring• Riskhanteringsprocessen• Samverkan inom Halland• Samlad riskbild nationellt• Process för systematiskt

säkerhetsarbete

Alingsås

Borås

Göteborg

Kungsbacka

Varberg

Falkenberg

HalmstadLaholm

Ängelholm

MalmöLund

Kristianstad

Karlshamn Karlskrona

LjungbyVäxjö

Hyltebruk

Värnamo

Jönköping

Halland

Helsingborg

Region Halland

• Regionkontoret• Regionservice• Psykiatrin• Akutsjukhus i Halmstad och

Varberg samt närsjukhus i Kungsbacka

• 46 vårdenheter inom Vårdval Halland, 23 egna och 23 privata

• 5 ambulansstationer.

Region Halland

• Kulturförvaltningen• Hallandstrafiken• Regional utveckling • Skolförvaltningen

Organisation och RSA

• Utgår från Nätverket för Säkerhetssamordnare och RKK-beredningsgrupp (RSA – Förmågeanalys).

• Riskhanteringsgrupper i respektive förvaltning.• Säkerhetsutvecklaren leder arbetet med hjälp av respektive

deltagare.• RSA uppdelad i fem delar.

Identifiering av samhällsviktig verksamhet (RSA del 1)

• Respektive riskhanteringsgrupp identifierar samhällsviktig verksamhet. Identifiering utifrån följande kriterier:

• Ett bortfall av eller en störning i verksamheten/funktionen kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.

• Verksamheten/funktionen är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället skall kunna hanteras så att skadeverkningarna blir så små som möjligt.

Mall för identifiering av samhällsviktig verksamhet 1 Verksamhet/funktion

2 Kritiska system

3 Sårbarhet/redundans

4 Påverkan vid frånfall

5 Kritiska resurser

6 Sårbarhet/redundans

7 Påverkan vid frånfall

             

Identifiering av samhällsviktig verksamhet

Gått igenom samtliga förvaltningar och identifierat samhälls-viktig verksamhet. Ex uppdelning av sjukhuset.

Resultat efter del 1• Identifierat ”samhällsviktig verksamhet”• Identifierat kritiska system → påverkan vid frånfall• Identifierat kritiska resurser → påverkan vid frånfall• Sårbarhet/redundans för samhällsviktiga verksamheter

1 Händelse 2 Effekt/konsekvens K 3 Sårbarhet/redundans

S 4 Hanteringsförmåga

HF 5 Förslag på åtgärder 6 Kommentar

Mall för grovanalys (RSA del 2)

Skalor för S, K, HFSannolikhet1-4 (Spannet dagligen/varje vecka till 1 gång på 10 år).

Konsekvens 1-4 (verksamheten kan upprätthållas till att den inte kan

upprätthållas).

Hanteringsförmåga1 God Resurser och behov motsvarar förväntningarna –

uppgiften kan lösas.2 I huvudsak god Brister/störningar nedsätter förmågan – uppgiften

kan i huvudsak lösas.3 Viss Brister/störningar nedsätter förmågan – uppgiften

kan till viss del lösas.4 Ingen (bristfällig)4 Ingen/bristfällig

) Svåra brister – uppgiften kan inte lösas.

Kan ej bedömas 

Hanteringsförmågan kan ej bedömas.

Riskmatris

    Konsekvens    

Sannolikhet K1liten

K2medelstor

K3stor

K4mycket stor

S4 - mycket stor   10     13

S3 - stor 11  18   

S2 - medelstor   1,9,14,15 12,19  4

S1 - liten   3,7,8,16 5 2,4,6,17

Hanteringsförmåga

Händelse Sannolikhet Konsekvens Hanteringsförmåga 2 2 I huvudsak god

1 4 Kan ej bedömas1 2 I huvudsak god2 4 Viss

5. Avbrott i Avbrott vattenförsörjningen 1 3 Viss1 4 Ingen (bristfällig) 1 2 I huvudsak god1 2 God2 2 I huvudsak god3 2 I huvudsak god2 2 I huvudsak god

Viss

2 3 Viss1 2 I huvudsak god2 2 God2 2 I huvudsak god1 2 I huvudsak god1 4 Kan ej bedömas2 3 I huvudsak god2 3 Viss

Resultat efter genomförd grovanalys

• Kartlagt extraordinära händelser• Bedömt sannolikhet, konsekvenserna, hanteringsförmåga• Bedömt sårbarhet/redundans• Föreslagit förbättringsåtgärder

*Redan här har vi uppfyllt stora delar av lagstiftningen och har ett grundmaterial att arbeta vidare med.

Djupanalys IBERO (RSA del 3)

Vilka händelser som djupanalyseras bestäms utifrån genomförd grovanalys.

Genomförda scenarion:• Avbrott i vattenförsörjningen• Externt avbrott i elförsörjningen• Stora interna störningar i datakommunikationerna

Genomförs för respektive förvaltning samt övergripande genom syntes (tar mycket tid i anspråk).

IBERO

• Bedömer hanteringsförmågan inom tio områden ex upptäcka samt skapa lägesbild

• Identifierar brister som behöver åtgärdas.

IBERO

• Bedömer hanteringsförmågan för respektive verksamhet

• Identifierar brister/flaskhalsar som begränsar vår förmåga • Syntes

Katastrofmedicinsk förmågeanalys(RSA del 4 )

Vidareutveckling av IBERO

• Bedömer hanteringsförmågan inom tio områden ex upptäcka samt skapa lägesbild.

• Identifierar brister som behöver åtgärdas.

Katastrofmedicinsk förmågeanalys

Vidareutveckling av IBERO

• Bedömer hanteringsförmågan för respektive verksamhet men mer detaljerat.

• Identifierar brister/flaskhalsar som begränsar vår förmåga.• Genomförs för respektive förvaltning samt övergripande

genom syntes.

Katastrofmedicinsk förmågeanalys

Scenario 1:• Bussolycka kl 16:00 vardag, vinter, farbar väg, skadeutfall.

Scenario 2: • Bussolycka kl 02:00 helg, vinter, farbar väg, skadeutfall.

Hanteringsförmågan:• Ligger inom detta spann.

Genomförande: Skickar ut frågorna och lägger själv in i programmet.

Risk- och sårbarhetsanalysen har kompletterats med ett kapitel somenbart rör Informationssäkerhet.

• Egen riskhanteringsgrupp (Nätverket informationssäkerhetssamordnarna).

• Grovanalys (14 händelser).

• Djupanalys enligt IBERO.

Informationssäkerhet

Åtgärdsförslag (RSA del 5 )

Under arbetets gång har ett stort antal åtgärdsförslagidentifierats. Dessa har hanterats i följande mall:

• Riskområde• Åtgärdsförslag• Prioritet (L,M,H)• Risk delas/löses med annan aktör• Kostnad

Riskområde Åtgärdsförslag Prioritet (L,M,H) Risk delas/löses med annan aktör Kostnad Kommentar

Avbrott vattenförsörjningen

Ta fram rutin för omkoppling till reservvattentäckt.

H RGS Arbetstimmar

För samtlig samhällsviktig verksamhet inom akutsjukhusen har kontinuitetsplaner skapats. Dessa bygger på följande: • Bemanning saknas men alla system och lokaler finns.• Bemanning finns men lokalerna är av någon anledning helt eller delvis oanvändbara.• Checklistor för material och utrustning.

Dessa kan utvecklas men är ett bra första steg. Dock finns det ingen kontinuitetsplan för sjukhusen som helhet.

Fler verksamheter har tagit egna initiativ till att skapa kontinuitetsplaner.

Kontinuitetsplanering

Region Hallands modell

Välj hela eller delar av denna process.

Passar både kommuner, länsstyrelser, regioner och landsting.

IBERO finns även i version för kommun och länsstyrelse.

Utvecklingsområden

Samhällsviktig verksamhet

• Vägledning för samhällsviktig verksamhet• Acceptabel avbrottstid• Vad innebär det att vara en samhällsviktig verksamhet

och vilka skyldigheter/krav medför det?

Utvecklingsområden

Skalor (S,K och HF)

• Svårt med bedömningar.

• Hade varit bra med gemensamma skalor.

Utvecklingsområden

Privata alternativ

• Under en kris • Genomförande (samhällsviktiga, vem avgör?)• Avtal

Offentlig- privat samverkan• Kartlägga och identifiera beroenden

Utvecklingsområden

ÅtgärdsförslagLutar sig tillbaka efter färdigställd analys.

I dagsläget äger varje förvaltning sina egna åtgärdsförslag vilketleder till problem när det gäller åtgärdsförslag som berör fleraaktörer. Hur får vi fortsatt verkstad efter det att analysen ärfärdigställd?

Framöver utses ansvarig/sammankallande.

Kontinuerlig uppföljning på Nätverket för Säkerhetssamordnare.

Utvecklingsområden

Effektivisering av RSA-processen

• Grovanalys genomförs av en övergripande grupp.

• IBERO fortsatt förvaltningsvisa och övergripande.

Nya verksamheter och omorganisationer

• Riskhanteringsgrupper splittras• Nya bedömningar (omorganisation)

Utvecklingsområden

Nya verksamheter och områden att analyser:KulturförvaltningenHallandstrafikenRegional utvecklingSkolförvaltningenMiljö?Ekonomi?

Region – kommun?

Utvecklingsområden

Samverkan inom Halland

Duktiga på att analysera oss själva. Men hur ser det ut utanför vårt ”område”? Hur är vi sammankopplade?

Måste bli bättre på att koppla samman analyserna och hämta ”pusselbitar” från varandra. Exempelvis vattenförsörjning.

Kringliggande regioner, landsting och kommuner.

Utvecklingsområden

Stöd/riktlinjer från nationell nivå

• Gemensam metod?

• Gemensamma skalor.

• Allt mer detaljerade föreskrifter.

Syfte: Att uppnå en jämförbar riskbild på lokal, regional och nationell nivå. För detta krävs att vi använder samma verktyg.

Process för systematiskt säkerhetsarbete i landsting och regioner

• Framtagen av flera regioner och landsting i samverkan med SKL.

• Målgrupp: landsting, regioner och kommuner• Vägledning för systematiskt säkerhetsarbete i landsting,

regioner och kommuner • Processkarta med visualiserad arbetsprocess samt

aktiviteter

http://www.skl.se/MediaBinaryLoader.axd?MediaArchive_FileID=11194d84-9d73-4961-9ed2-830c087404df&FileName=Process-systematiskt-sakerhetsarbete.pdf

Aktivitetsbeskrivning

Systematiskt säkerhetsarbete

Lägga in den egna organisationens metoder och arbetssätt.

Ingen kostnad.

Kan hämtas på www.skl.se

Utvecklingsområden

Samlad riskbild

• Process för systematiskt säkerhetsarbete.

• Bli bättre på att väva samman proaktiva och reaktiva analyser.