Handreiking Security Management

advertisement
VROM 8225 / JUNI 2008
Dit is een publicatie van: Ministerie van VROM
> Rijnstraat 8 > 2515 XP Den Haag > www.vrom.nl
www.vrom.nl
Handreiking Security Management
Ministerie van VROM >
staat voor ruimte, milieu, wonen, wijken en integratie. Beleid maken, uitvoeren en handhaven.
Nederland is klein. Denk groot.
Handreiking Security Management
Den Haag, juni 2008
02
03
Inhoudsopgave
Voorwoord
05
Leeswijzer
Stappenplan
07
07
1.
1.1
1.2
1.3
1.4
1.5
Inleiding Security Managementsysteem
Achtergrond en aanleiding
Convenant Olie en (Petro-) Chemische industrie
Noodzaak voor security
Introductie Security Managementsysteem (SMS)
Security en kwaliteit
09
09
09
09
10
11
2.
Security beleid
13
3.
3.1.1
3.1.2
3.1.3
3.1.4
3.2
3.3
3.4
3.4.1
3.5
3.6
3.6.1
Risicomanagement
Risicoanalysemethodiek
Het middelenplan
Security matrix
Kansbepaling
Effectbepaling
Uitwerking in de security matrix
Tijdpadanalyse
Stap 2 – Uitvoeren afhankelijkheidsanalyse
Stap 3 – Uitvoeren dreigingsanalyse
Stap 4 – Uitvoeren kwetsbaarheidanalyse
Standaardscenario’s
Stap 5 – Uitvoeren risicoanalyse
Stap 6 - Kosten- en batenanalyse
De veiligheidsketen
14
14
16
16
17
17
18
18
21
21
21
22
22
23
24
4
Security maatregelen
4.1
Inleiding security maatregelen
4.2
Stap 7: Security maatregelen nemen
4.2.1 Organisatorische security maatregelen
4.2.2 Personele security maatregelen
4.2.3Fysieke security maatregelen
(bouwkundige en elektronische)
4.2.4 ICT-security maatregelen
4.2.5 Mix van security maatregelen
25
25
25
25
26
5.
5.2
5.3
5.4
28
28
28
28
Security organisatie
Stap 8 – Beschrijving interne security organisatie
Stap 9 – Afstemming met hulpdiensten
Niveaus van security
26
26
26
Bijlage 1: Checklist
Voorwaarden
Checklist
29
29
30
ijlage 2: Voorbeeld van een security
B
intentieverklaring
31
04
05
Voorwoord
Veiligheid (safety) en beveiliging (security) zijn tegenwoordig
niet meer weg te denken binnen bedrijven en ook daar buiten.
Logisch, de belangen van de bedrijven zijn groot en er zijn veel
(be)dreigingen die de belangen kunnen schaden.
De vraag doet zich voor hoe bedrijven zich tegen deze (be)dreigingen kunnen beschermen. Dit ‘beschermen ’of ‘beveiligen’ duidt
men in vaktaal veelal aan met security.
werkers binnen het bedrijf is dat een belangrijk signaal, voor de
mensen die met security bezig zijn een stevige steun in de rug.
Het doet er zeker toe als security management gezien wordt als
volwaardig onderdeel van de bedrijfsvoering. Daarnaast is het
belangrijk dat het security managementsysteem zo veel mogelijk
bij bestaande systemen op het gebied van veiligheid (safety) aansluit.
Deze handreiking gaat over security management en, hoewel er
veel bruikbare methoden bestaan om ‘security’ te ‘managen’,
kiest de handreiking niet voor één specifieke methode1. De
onderwerpen die deel uit maken van een security managementsysteem komen in de volgende hoofdstukken aan bod en vormen
zo een aanpak om te komen tot een security managementsysteem voor uw bedrijf.
Security management gaat veel verder dan in deze handreiking
beschreven wordt.
De handreiking adviseert enkel over een mogelijke aanpak van
security management binnen een bedrijf. Om alle taken op het
terrein van security adequaat te kunnen uitvoeren, is het raadzaam om naast het lezen van (achtergrond) informatie en deze
handreiking ook relevante opleidingen te volgen.
Het uitgangspunt bij het schrijven van deze handreiking is het op
weg helpen van de medewerker die security management, zeg
maar ‘beveiliging’, binnen het bedrijf als extra taak naast zijn
eigenlijke werk moet uitvoeren.
Deze handreiking komt voort uit de afspraken in het kader van
het Convenant Olie en (Petro-) Chemische Industrie. Hierin is
afgesproken dat de deelnemende bedrijven die daar nog niet
over beschikken een security managementsysteem (SMS) zullen
inrichten.
In het convenant zijn voorwaarden gesteld waaraan een SMS
minimaal moet voldoen. Daarmee kan iets gezegd worden over de
kwaliteit van een SMS en ontstaat de mogelijkheid om verschillende systemen op hun gelijkwaardigheid te toetsen. Denk daarbij aan concepten zoals de International Ship and Port Facility
Security (ISPS) Code en het Authorised Economic Operator (AEO)
concept. De ISPS-code is een internationaal voorschrift dat verplicht tot maatregelen voor de beveiliging van schepen en havenvoorzieningen. In het AEO-concept gaat het om de waarborgen
die in de hele logistieke keten zijn getroffen om het goederenverkeer veilig te laten zijn. Sommige van de aan het convenant
deelnemende bedrijven hebben namelijk met meer dan één verplichting met betrekking tot veiligheid te maken.
Door het ondertekenen van het convenant hebben de directies
van de deelnemende bedrijven laten zien dat security voor hen
een serieus onderwerp in de bedrijfsvoering is. Voor de mede-
1
In Nederland is DHM® voor security management een alom bekende methode. Deze opleiding kan onder meer aan de Haagse Hogeschool gevolgd
worden. Daarnaast zijn persoonsgebonden certificatieschema’s mogelijk,
zoals het Certified Protection Professional (CPP™) programma van de ASIS
International en het Certified Protection Officer (CPO) programma van de
International Foundation for Protection Officers (IFPO). Beide opleidings­
organisaties bieden een opleiding aan in Nederland.
06
07
Leeswijzer
De handreiking beschrijft een proces, gevormd door verschillende achtereenvolgende stappen, om te komen tot een security
managementsysteem.
Na de inleiding waarin kort ingegaan wordt op de achtergrond
van het Convenant Olie- en (Petro-)Chemische industrie en op
de noodzaak voor de deelnemende bedrijven om een security
managementsysteem (SMS) in te richten, krijgt dit meer in detail
aandacht. Benadrukt wordt dat een SMS een integraal onderdeel
vormt van de normale bedrijfsvoering van een bedrijf. Daarbij
komen enkele aspecten met over security en kwaliteit aan de
orde.
Het startpunt bij het opstellen van een SMS is het opstellen van
een security beleidsplan. Dit komt in hoofdstuk 2 aan de orde.
Hoofdstuk 3 gaat in op risicomanagement – hier natuurlijk gefocust op security management. Het risicoanalyseproces krijgt in
de vijf volgende stappen aandacht. Met de uitkomsten van dit
proces kijken we vervolgens hoe deze uitwerken naar security
maatregelen en –voorzieningen. In deze fase is het belangrijk
ook naar de kosten en baten en naar de mogelijke effecten van
de invoering van deze maatregelen en voorzieningen te kijken.
Vragen moeten gesteld worden zoals: “hebben de getroffen
maatregelen wel het effect dat wij ervan verwachten of werken ze
op juist negatief uit op security gebied of op de operationele activiteiten van het bedrijf?”
De samenwerking met politie, brandweer en de geneeskundige
hulpverlening bij ongevallen en rampen (GHOR) komt aan de
orde, evenals het belang van gezamenlijk oefenen in het kader
van voorbereiding op incidenten. Om het belang hiervan te kunnen plaatsen in het totale proces van beveiligen, gaan we in op de
veiligheidketen.
In hoofdstuk 4 wordt ingegaan op de security maatregelen. Het
inventariseren en treffen van security maatregelen is een belangrijke stap in het security managementsysteem. Enkele hulpmiddelen – een keuze uit vele instrumenten die de security manager
ter beschikking staat – komen aan de orde.
Hoofdstuk 5 is gericht op de security organisatie binnen het
bedrijf maar ook de organisatie tussen het bedrijf en de lokale
hulpdiensten. Het alerteringssysteem en aansluiting hierop in het
kader van het convenant komt hier ook aan de orde.
De handreiking bevat zowel theorie als concrete stappen om te
komen tot een security managementsysteem. De ene stap is
verder uitgewerkt dan de andere. De andere deelnemers aan het
Convenant Olie en (Petro-) Chemische Industrie kunnen een rol
spelen bij de invulling van een SMS voor uw bedrijf. Met name het
NAVI zal in samenwerking met de brancheorganisaties de nodig
ondersteuning bieden bij de implementatie van het SMS.
Bij het opzetten van een security managementsysteem, dat wanneer het gerealiseerd is minimaal aan de voorwaarden in het
convenant voldoet, kan het stappenplan op blz 8 worden gevolgd.
08
Stappenplan
 Stap 1
Maken van het security beleidsplan, of – afhanke­
lijk van de grootte van het bedrijf – een security
beleidsintentie.
[Dit proces is meer in detail beschreven in punt
2.2. van deze handreiking.]
 Stap 2
Uitvoeren afhankelijkheidsanalyse.
[Dit proces is meer in detail beschreven in punt
3.2. van deze handreiking.]
 Stap 3
Uitvoeren dreigingsanalyse.
[Dit proces is meer in detail beschreven in punt
3.3. van deze handreiking.]
 Stap 4
Uitvoeren kwetsbaarheidsanalyse.
[Dit proces is meer in detail beschreven in punt
3.4. van deze handreiking.]
 Stap 5
Uitvoeren van een risicoanalyse met behulp van
de uit stap 2, 3 en 4 verkregen resultaten.
[Dit proces is meer in detail beschreven in punt
3.5. van deze handreiking.]
 Stap 6
Uitvoeren kosten-batenanalyse.
[Dit proces is meer in detail beschreven in punt
3.6. van deze handreiking.]
 Stap 7
Het nemen van security maatregelen.
[Dit proces is meer in detail beschreven in punt
4.2. van deze handreiking.]
 Stap 8
Het beschrijven en vorm geven aan de security
organisatie (intern).
[Dit proces is meer in detail beschreven in punt
5.2. van deze handreiking.]
 Stap 9
Het afstemmen met hulpdiensten.
[Dit proces is meer in detail beschreven in punt
5.3. van deze handreiking.]
09
1.
Inleiding Security
Managementsysteem
Deze handreiking is een uitvloeisel van het recentelijk door de
deelnemende partijen – industrie en overheid - geaccordeerde
Convenant voor de Olie en (Petro-) Chemische Industrie. In dit convenant verplicht ieder deelnemend bedrijf zich om een security
managementsysteem (SMS) in te richten (voor zover nog niet
aanwezig) en te onderhouden. De overheid levert hieraan een bijdrage in de vorm van deze handreiking.
1.1 Achtergrond en aanleiding
(waaronder het NAVI), het ministerie van EZ en een aantal bedrijven uit de olie- en (petro) chemische industrie opgesteld.
1.2 Convenant Olie en (Petro-) Chemische Industrie
Onder het convenant vallen bedrijven uit de chemische sector,
te weten de zgn. Brzo ‘99-bedrijven3. Omdat veel bedrijven ook
petrochemische activiteiten uitvoeren, zijn ook oliebedrijven
gevraagd deel te nemen aan dit convenant.
De olie- en (petro-) chemische industrie is aangeduid als een van
de sectoren die vitaal zijn voor Nederland. De aanleiding hiervoor
is de motie Wijn2. Antwoord moest gegeven worden op de vraag
in hoeverre de Nederlandse vitale infrastructuur kwetsbaar is
voor uitval, door moedwillige verstoring, door technisch-organisatorisch falen of door natuurverschijnselen.
Kort na deze motie werd de wereld opgeschrikt door de aanslagen op het World Trade Center in New York, door velen aangeduid met nine eleven. Naast veel slachtoffers werd ook veel
schade toegebracht aan de vitale infrastructuur van de VS met
alle gevolgen van dien.
De motie heeft geleid tot het project bescherming vitale infrastructuur (BVI), dat gecoördineerd wordt door het ministerie van
Binnenlandse Zaken en Koninkrijksrelaties. Bij dit project zijn
naast de vitale sectoren, ook alle verantwoordelijke vakministeries bij betrokken.
Als zich een incident voordoet, kan dit grote gevolgen hebben
voor de omgeving. De (petro-) chemische sector is van vitaal
belang voor Nederland en daardoor erg gevoelig voor calamiteiten.
De ministeries genoemd in paragraaf 1.1 en de industrie onderkennen dat de locaties waar olie en (petro-) chemische bedrijven gevestigd zijn mogelijk doelwit voor moedwillige verstoring
kunnen zijn. Daarom heeft VROM samen met de Algemene
Inlichtingen- en Veiligheidsdienst (AIVD) en een aantal ondernemingen het project ‘Security in de Chemiesector’ uitgevoerd om
inzicht te krijgen in de wijze waarop en de mate waarin olie en
(petro-) chemische bedrijven ‘security’ hebben vormgegeven.
In de Beleidsbrief Bescherming Vitale Infrastructuur van 16 september 2005 aan de Tweede Kamer wordt aangegeven dat op het
terrein van security een intensivering gewenst is.
Het convenant dat nu is afgesloten tussen de overheid en de
olie- en (petro-) chemische industrie, het oprichten van het
publiek-private Nationaal Adviescentrum Vitale Infrastructuur
(NAVI) dat vitale bedrijven en overheden adviseert op het gebied
van security en het instellen van de Nationaal Coördinator
Terrorismebestrijding zijn daar het uitvloeisel van.
1.3 Noodzaak voor security
Deze handreiking is door het ministerie van VROM (directie
Externe Veiligheid) in samenwerking met het ministerie van BZK
De uitkomsten van het project zijn verschillend, de conclusie echter duidelijk: VROM, AIVD en de deelnemende bedrijven zijn van
oordeel dat een security managementsysteem (SMS) het instrument is om er voor zorg te dragen dat olie en (petro-) chemische
bedrijven een adequaat weerstandsvermogen4 hebben.
Het is dus noodzakelijk dat een dergelijke security managementsysteem door de betreffende bedrijven wordt ingevoerd en onderhouden. De afspraken die daarmee verband houden zijn in het
convenant vastgelegd.
Men kan zich verschillende redenen voorstellen waarom security
noodzakelijk is.
Allereerst zorgt security ervoor dat de bedrijfsprocessen binnen
het bedrijf ongestoord kunnen worden uitgevoerd. Security is dus
voorwaardenscheppend.
2
3
4
Motie Wijn, (TK, 2001-2002, 26 643, nr. 20)
Brzo, Besluit risico’s zware ongevallen
Het weerstandsvermogen is in feite de mate van beveiliging tegen
incidenten.
10
Maar ook wet- en regelgeving zijn belangrijke redenen.
Kernenergie­centrales bijvoorbeeld moeten ingevolge de
Kernenergiewet en internationale overeenkomsten aan een
bepaald niveau van security voldoen. Het niveau wordt regelmatig
door internationale inspectieteams gecontroleerd.
dent-gedreven beveiligen extra geld kost – geld dat vervolgens
dus niet voor de kerntaak van het bedrijf ingezet kan worden.
Vanuit een organisatiebreed gezichtspunt is er in plaats van een
quick win dus letterlijk sprake van een quick loss.
Ook maatschappelijke en politieke druk kan als reden voor
beveiliging worden genoemd. Een krantenkop in De Telegraaf:
“Wapens gestolen uit magazijn bij Defensie” scoort niet bij het
betreffende ministerie. Zo’n incident beïnvloedt het imago van
een bedrijf in belangrijke mate. Het imago is voor veel bedrijven
een belangrijke reden om de security van het bedrijf goed te
organiseren.
1.4 Introductie Security Managementsysteem (SMS)
Om deze redenen en om negatieve effecten zoveel mogelijk uit te
sluiten, is het beter om security maatregelen en voorzieningen
op basis van risicomanagement te treffen.
Risicomanagement in algemene zin omvat alle activiteiten
die erop gericht zijn om de risico’s die een bedrijf loopt bij het
bereiken van haar doelstelling te beheersen5. We stellen ons
dan vragen zoals hoe we met eerder vastgestelde risico’s moeten omgaan en hoe we risico’s kunnen beheersen. Wanneer we
het totale proces van beleid tot uitvoering met inbegrip van de
borging van kwaliteit op het gebied van beveiliging (security)
beschouwen als security management, is risicomanagement een
onderdeel van het security managementproces. Het hanteren van
risicomanagement in een bedrijf leidt tot het doelbewust inzetten
van security maatregelen en voorzieningen als integraal onderdeel van de bedrijfsvoering van het bedrijf.
Als het kalf verdronken is …
Veel bedrijven treffen security voorzieningen en nemen security
maatregelen nadat er een incident heeft plaatsgevonden. “Dat
mag nooit meer gebeuren”, luidt dan de opdracht van de directie
aan de security functionaris. Op zijn of haar beurt treft deze dan
die security maatregelen en voorzieningen die in het kader van
dit incident als afdoende worden geacht. Dit ‘reactief beveiligen’
ook wel ‘incident-gedreven beveiligen’ genoemd, leidt meestal tot
aanzienlijke investeringen en exploitatiekosten.
Het is daarom verstandig om security te organiseren voordat zich
een incident heeft voorgedaan. De ervaring leert, dat het inci-
Security management gaat over de volgende activiteiten:
• het in lijn met de visie en missie van het bedrijf en de daarop
gebaseerde plannen formuleren van een security strategie en
deze in security plannen uitwerken (SMART);
• het structureren van de security organisatie;
• het leiden van het security personeel;
• het controleren of de beoogde security doelstellingen wel worden bereikt.
Organisatorische en personele maatregelen worden samen met
bouwkundige en elektronische voorzieningen (waaronder ICT)
ingezet om de security doelstellingen te bereiken. Dat maakt
security management een complex vak. Het vraagt om een
gestructureerde, planmatige en systematische aanpak. Door het
inrichten en onderhouden van een security managementsysteem
wordt het mogelijk de security doelstellingen efficiënt en effectief
te realiseren.
In algemene zin is een systeem ‘een geheel van elkaar wederzijds beïnvloedende elementen gericht op het bereiken van een
bepaald doel’. Op basis van deze eenvoudige definitie en de
bovengenoemde uitleg van security management ziet een security managementsysteem (SMS) er als volgt uit.
5
Cees Coumou (2003) “Risicomanagement voor security- en facilitymanagers”,
Alphen aan den Rijn: Kluwer.
11
Figuur 1: SMS
onveiligheid
technisch
sociosysteem
Figuur 1 toont een security managementsysteem als een sociotechnisch systeem. Dat wil zeggen dat de ‘ wederzijds beïnvloedende elementen’ in dit systeem een ‘menselijk’ en een
‘technisch’ karakter dragen.
Het socio-deel gaat over de mens als zwakste én als sterkste
schakel. Een bekend voorbeeld van de zwakste schakel is de keg
onder de deur om deze open te laten staan. Hiermee wordt het
kostbare toegangsbeheersysteem van een organisatie omzeild.
Een voorbeeld van de sterkste schakel is de security beambte die
zich nauwgezet aan zijn opdrachten houdt en zich niet laat vermurwen door wie of wat dan ook.
De organisatorische en personele security maatregelen passen in
dit gedeelte van het systeem. Voorbeelden van organisatorische
maatregelen zijn toegangsbeheer, clean desk policies, controlerondes en security bewustzijn (awareness). Voorbeelden van
personele security maatregelen zijn ondermeer werving, selectie
en pre-employment screening van nieuw personeel, beloning- en
sanctiebeleid, vorming en opleiding.
De technische kant van een security managementsysteem ken-
veiligheid
merkt zich door bouwkundige en elektronische (inclusief ICT)
voorzieningen. De bouwkundige voorzieningen bestaan meestal
uit versterkte muren en deuren en goede sloten. Elektronische
voorzieningen zijn meestal detectoren, Closed Circuit Television
(CCTV)-systemen, kaartlezers. In het kader van informatiebeveiliging (ICT) gaat het over firewalls en antivirusprogrammatuur.
In het kader van het convenant is het security management­
systeem als volgt gedefinieerd:
Het security managementsysteem bevat tenminste de volgende
elementen: een vastgesteld security beleid, risico-identificatie en
– analyse, security maatregelen en –voorzieningen en af­spraken
over de interne en externe security organisatie.
1.5 Security en kwaliteit
Veiligheid draagt bij aan het streven om een organisatie goed te
laten functioneren. Daarbij wordt gefocused op het bereiken van
een zo hoog mogelijke kwaliteit. Dit proces, continu verbeteren,
neemt in het bedrijf een blijvende plaats in. Het principe is terug
12
Figuur 2
PLAN
DO
ACT
CHECK
te voeren naar een eenvoudig model dat bekend staat onder
de naam: ‘Deming-cirkel’ of ‘Plan Do Check Act – cirkel’ of ‘de
regelkring’. Het model biedt de security managers gereedschap
om ook binnen het security managementsysteem kwaliteit te
realiseren.
1.6 Eisen aan het SMS vanuit het convenant
In het convenant is de afspraak gemaakt dat het te implementeren SMS tenminste de volgende elementen bevat:
• een vastgesteld security beleid;
• risico-identificatie en –analyse (risicomanagement);
• security maatregelen en voorzieningen;
• afspraken over de interne en externe security organisatie.
In deze handreiking worden negen stappen doorlopen aan de
hand waarvan kan worden gestreefd naar een SMS dat aan de
eisen uit het convenant voldoet.
13
2.
Security beleid
Een goede start voor het inrichten van een security managementsysteem is om het security beleid te beschrijven. In dit
hoofdstuk wordt een introductie op security beleid beschreven.
Stap 1 om te komen tot een SMS: het opstellen van een security
beleidsplan.
2.2 Stap 1: Opstellen van het security beleidsplan
De eerste stap voor de inrichting en onderhouden van een security managementsysteem is een door de directie goedgekeurd
security beleidsplan of een security intentieverklaring bij een
kleiner bedrijf. In beide gevallen komen de volgende onderwerpen aan bod:
• de betrokkenheid van de directie bij security;
2.1 Inleiding security beleid
• de relatie van security met het algemene bedrijfsbeleid;
Beveiligings- of security beleid is een thema dat eenvoudig uit te • de hoofdlijnen van het security beleid;
• verwijzingen naar wet- en regelgeving;
leggen en te begrijpen is. Letterlijk is het een plan van aanpak
voor het oplossen van security problemen in de meest ruime zin. • eventuele interne regelgeving die als basis kan dienen bij de
security;
• de organisatie van security;
Een organisatie formuleert beleid om haar doelstelling te kun• de toezicht en handhaving;
nen realiseren. Men heeft dus een bepaald resultaat voor ogen.
• de verantwoordelijkheden en bevoegdheden;
Daarbij is de directie verantwoordelijk voor het algemeen beleid,
• de financiële middelen;
stelt dit beleid vast en neemt het op in een beleidsplan. Dit plan
• kwaliteitszorg en security;
is nodig om verbeteringen of veranderingen in de toekomst aan
te geven en om, daaraan gerelateerd, richting te geven aan struc- • de informatieverstrekking;
• nadere aanwijzingen over beleidsoverleg security
turele veranderingen in personeel en middelen.
(periodiciteit).
Alle managementdisciplines binnen het bedrijf krijgen aandacht
in het beleidsplan: het strategische management, human resour- Om een goed beeld te krijgen van een security beleidsplan is in
bijlage 2 een voorbeeld opgenomen.
ce management, het financieel management, het operationeel
management, het ICT- en middelenmanagement, veranderingsmanagement, kwaliteitsmanagement, safety management en ook
security management.
Bij security beleid staan de volgende vragen centraal:
• Wat moet worden beveiligd? (de essentiële zaken van het
bedrijf)
• Waartegen moet worden beveiligd? (dreigingen)
• Met welke middelen kan dit het beste gebeuren? (maatregelen)
Om security beleid en uitvoering ervan op een planmatige en
systematische manier te kunnen verankeren in het bedrijf, is het
belangrijk dat er zowel bij directie als ook bij de medewerkers
draagvlak bestaat.
Dit moet uiteindelijk uitmonden in een security beleidsplan
of, afhankelijk van de grootte van het bedrijf, in een intentie­
verklaring over security.
14
3.
Risicomanagement
Al eerder hebben we gezien dat risicomanagement6 in algemene
zin alle activiteiten omvat die erop gericht zijn om de risico’s die
een bedrijf loopt bij het bereiken van haar doelstelling te beheersen7.
Om er achter te komen aan welke risico’s het bedrijf blootstaat,
voeren we een risico-inventarisatie en -analyse uit. Iedere organisatie loopt op elk voorstelbaar gebied voortdurend risico’s. Elke
manager is daarom op zijn of haar gebied bezig met risicobeheersing. Met name de security manager zal zich veelal richten
op het voorkomen of beheersen van ongeautoriseerde beïnvloeding van de bedrijfsprocessen, of in het kader van terrorismebestrijding, moedwillige verstoring van de bedrijfsprocessen.
In dit hoofdstuk staat eerst informatie over risicomanagement.
Hierin wordt beschreven wat we onder risicomanagement verstaan en welke methoden er zijn voor het uitvoeren van een
risicoanalyse. Vanaf paragraaf 3.1.1. worden de volgende stappen
voor het inrichten van een SMS beschreven: het uitvoeren van
een afhankelijkheidsanalyse, een dreiginganalyse, een kwetsbaarhedenanalyse, de risicoanalyse en een kosten-batenanalyse.
3.1 Inleiding risicomanagement
Om een goede risicoanalyse te kunnen uitvoeren is kennis en
informatie nodig over het bedrijf, over concrete en potentiële
dreigingen én over maatregelen die de weerbaarheid van een
bedrijf verhogen. Doel van de risicoanalyse is om in te spelen op
ernstige risico’s van nu en in de nabije toekomst (zie figuur 3).
Drie belangrijke aspecten dragen bij aan de risico’s die een
bedrijf loopt, te weten de onderwerpen bedrijfsbelangen, dreiging
en kwetsbaarheid.
De bedrijfsbelangen betreffen de vitale bedrijfsprocessen en
cruciale onderdelen van het bedrijf. Deze belangen, waarvan
het bedrijf afhankelijk is voor het bereiken van zijn doelstelling,
moeten beschermd worden om ernstige bedrijfseconomische of
maatschappelijke schade te voorkomen.
De dreiging hangt af van de mogelijkheden van potentiële daders
(capability) en de mate waarin zij bereid zijn om hun daad uit te
voeren (intent). Tijdens de risico-inventarisatie en –analyse zal
deze dreiging in kaart moeten worden gebracht. Daarbij is de
doelstelling het meten van de bereidheid en de mogelijkheden
van de daders en deze vervolgens te rangschikken op de mate
van gevaar die zij voor het bedrijf opleveren.
De security manager kan over veel bronnen beschikken om zicht
op de dreiging te krijgen. Het ligt voor de hand dat hij dreiginginformatie opvraagt bij de regiopolitie en ook bij collega’s van
bedrijven in de buurt. Het lezen van vakbladen en participeren in
een beroepsvereniging kan bovendien meehelpen. Op het gebied
van terrorismebestrijding kan hij voor actuele dreiginginformatie
de internetsite van de NCTb raadplegen. Als bedrijven zich aansluiten op het Alerteringssysteem van de NCTb zijn ze verzekerd
van periodieke informatie.
De kwetsbaarheid hangt af van de mogelijkheden die de omgeving deze potentiële daders biedt. De weerbaarheid van een
bedrijf is in dit kader belangrijk.
Figuur 3 op blz 15 toont de onderdelen van een risicoanalyse.
Wanneer een bedrijf zich wat betreft zijn beveiliging alleen
baseert op de verwachte of ingeschatte dreiging, kan men mogelijk tot verkeerde conclusies komen. Een lage dreiging zou men
met relatief weinig middelen het hoofd kunnen bieden.
Wanneer men zich echter op risico’s oriënteert - dus naast de
dreiging, de kwetsbaarheid en het belang in de overwegingen
meeneemt - is het niet uitgesloten dat men ondanks een lage
dreiging grote risico’s moet vaststellen. Het volgende hoofdstuk
gaat dieper op deze denkwijze in.
3.1.1 Risicoanalysemethodiek
Mensen en organisaties zijn voortdurend bezig dagelijkse risico’s
te beheersen. Vaak gebeurt dat intuïtief, zonder een expliciete
aanpak of methodiek. Maar er zijn ook bedrijfssectoren en vakgebieden die gespecialiseerd zijn in het analyseren en managen
van risico’s. Een voorbeeld hiervan is de financiële sector, die
zich bezighoudt met het beperken van risico’s rond investeringen,
verzekeringen en beleggingen.
6
7
De tekst van deze paragraaf en bijbehorende subparagrafen berust met
toestemming van de NCTb en het NAVI in belangrijke mate op de “Wat kan
uw bedrijf ondernemen tegen terrorisme? Handreiking voor bedrijven” uitgegeven door de NCTb.
Cees Coumou (2003) “Risicomanagement voor security- en facilitymanagers”, Alphen aan den Rijn: Kluwer.
15
Figuur 3
Belang (financieel of anderszins)
Risico
Dreiging (b.v. door criminaliteit)
Kwetsbaarheid (omgeving)
Een ander soort risicomanagement is het beperken van risico’s
die kwaadwillende personen, zoals terroristen, bewust veroorzaken. Hiervoor zijn specifieke risicoanalysemethoden ontwikkeld.
Ze bestaan meestal uit een combinatie van een afhankelijkheidsanalyse, een dreigingsanalyse en een kwetsbaarheidanalyse.
Hier staat de kans op de dreiging centraal.
Het schema (figuur 4 op blz 16) kan helpen bij de uitvoering van
een (minder omvangrijke) risicoanalyse. Aan de hand van deze
stappen kunnen de risico’s van een bedrijf worden gerangschikt
en benoemd. Dit vormt de basis voor (aanvullende) maatregelen
om risico’s te verminderen.
In de risicoanalyse worden de cruciale belangen en afhankelijkheden, de kans op dreigingen en de weerbaarheid van een bedrijf
aan elkaar gerelateerd. Dat levert een beeld op van de risico’s
van een bedrijf.
In de afhankelijkheidsanalyse staan de kroonjuwelen van het
bedrijf centraal: vitale bedrijfsprocessen en cruciale onderdelen
van het bedrijf. Deze kroonjuwelen waarvan het bedrijf afhankelijk is voor het bereiken van zijn doelstelling moeten beschermd
worden om ernstige bedrijfseconomische of maatschappelijke
schade te voorkomen.
In de dreigingsanalyse worden kwaadwillende personen en hun
activiteiten onderzocht.
In de kwetsbaarheidanalyse gaat het om de weerbaarheid van
een bedrijf door de genomen security maatregelen en –voorzieningen.
Welke risico’s het bedrijf wel of niet wil lopen is vastgelegd in het
security beleidsplan. De risicoanalyse levert een beeld op van de
aanwezige risico’s, de mate van bedreiging en de (nog) te nemen
maatregelen. Wanneer we voor de taak staan om de risico’s te
beheersen, zullen we daarvoor een soort middelenplan moeten
ontwikkelen.
16
Figuur 4
Beperken van risico’s
Afhankelijkheidsanalyse
(zie 3.2)
Dreigingsanalyse
(zie 3.3)
Risicoanalyse
(zie 3.5.)
Kosten- en batenanalyse
(zie 3.6)
Kwetsbaarheidsanalyse
(zie 3.4)
3.1.2 Het middelenplan
In het middenplan worden de security maatregelen en voorzieningen beschreven die in te zetten zijn om de vastgestelde
risico’s te beheersen. In de wetenschap dat nooit alle risico’s te
beheersen zijn, wordt ernaar gestreefd om de restrisico’s zo klein
mogelijk te krijgen. Restrisico’s zijn de risico’s die overblijven
wanneer we alle noodzakelijk geachte security maatregelen en
-voorzieningen hebben getroffen. Een aantal middelen is veelal
al in het bedrijf aanwezig; op basis van de risicoanalyse zal veelal
blijken dat er aanvullende maatregelen nodig zijn.
In het middelenplan gaat het heel concreet om een opsomming
van technische maatregelen en voorzieningen, te weten:
• de bouwkundinge maatregelen;
• de elektronische maatregelen;
• de alarmering;
• compartimenteringsmaatregelen;
• (...).
Het mag duidelijk zijn dat we met dit plan in de hand ook heel
eenvoudig aanvullende maatregelen kunnen nemen.
Het ontwerpen van dit onderdeel van het security plan is niet
eenvoudig, maar kan door de toepassing van een aantal instrumenten sterk vereenvoudigd worden. In deze paragraaf komt
verder de security matrix aan de orde, vervolgens krijgt de
tijdpad­analyse aandacht.
Overigens is niet alles ‘planbaar’. Een tijdpadanalyse is op zich
een goed instrument, maar heeft weinig meerwaarde bij incidenten zoals bij voorbeeld beschieting met raketten, bomauto’s,
gijzeling, afpersing of ICT-aanvallen. De vraag is natuurlijk of
dit reële incidenten zijn. Uiteraard moet men eerst nadrukkelijk
nadenken over welke scenario’s mogelijk en echt zijn. In deze
paragraaf gaan we overigens nog niet in op de verschillende
security strategieën en security maatregelen en voorzieningen.
Bovendien wordt in de handreiking maar een beperkt aantal van
de beschikbare instrumenten genoemd.
3.1.3 Security matrix
Security managers staan voor de taak een uitspraak te doen over
de mate van beveiliging en daarop actie te nemen. Bij dit proces
kan een eenvoudig, doch grofmazig instrument enigszins hulp
17
Kansbepaling
K
Kans
Kwalificering
2
heel kleine
tot kleine
Praktisch onmogelijk tot denkbaar,
maar zeer onwaarschijnlijk
4
matige
Ongewoon, maar mogelijk
6
gerede
Voorstelbaar
8
grote
Zeer goed mogelijk
bieden: de security matrix. De input voor de security matrix levert
de naar zijn ontwerper genoemde ‘Jaarsma-schaal8’ (nadien
als waarde-incident-schaal opgenomen in DHM® voor security
management). Deze Jaarsma-schaal is voor deze handreiking
aangepast (zie figuur op bla 18).
Om de zwaarte van het risico te bepalen gebruiken we de formule
‘Risico is Kans maal Effect’ [ R = K x E ], waarbij we ons steeds
moeten realiseren dat deze benadering subjectief is.
De toepassing is als volgt. Als eerste bepalen we de kans, dat een
incident zich kan voordoen.
Vervolgens kijken we naar het effect dat optreedt of de effecten
die optreden wanneer het incident zich voordoet.
Voorbeeld: wanneer we de kans op een incident groot vinden
scoort dit in de tabel ‘kans’ een 8. Bij de effectbepaling nemen
we altijd de hoogste score. Als dat bijvoorbeeld bij algemene
beoordeling: hindelijk is, scoort dat een 4.
8
Ing J.C. (Jan) Jaarsma (1994) “Beveiliging Van Braam Houckgeest kazerne te
Doorn”, Nootdorp: Secure Connection B.V.
Effectbepaling
E
Verstoring bedrijf in
mensuren
Materiële schade,
kosten reparatie
Publicitaire schade
Operationele gereedheid
Algemene beoordeling
<€
2
< 40 uur en/of
Enige
1 dag verstoring
Kleine omvang
4
< 500 uur en/of
< € 50.000
2.500
Aanzienlijke
3 dagen verstoring
Hinderlijk
6
< 3000 uur en/of
< € 500.000
Grote
2 weken verstoring
Omvangrijk
8
< 4000 uur en/of
> € 500.000
Zeer grote
Volledig ontregeld
Ramp
18
Bijgestelde Jaarsma-schaal
groot
Let op: de gebruikte waarden in de matrices zijn algemeen. Per
bedrijf zullen deze waarden op hun bruikbaarheid of toepasselijkheid moeten worden beoordeeld, aangepast en vastgesteld. Een
kwestie van beleid dus!
16
32
48
64
12
24
36
48
8
16
24
32
4
8
12
16
KANS
Uitwerking in de security matrix
Door de kans en het effect in de eerdergenoemde tabellen te
scoren, kunnen we deze waarden in de formule R = K x E invullen. Bovengenoemde voorbeeld leidt tot
R=KxE
R=8x4
R = 32
klein
Het idee is nu, dat de belangen die in de 32 – 64 range scoren de
zwaarste beveiliging krijgen. Hier accepteert men geen enkele
schade aan het te beveiligen belang.
De belangen die scoren in de 4 – 12 range krijgen geen of de
lichtste beveiliging. Hier accepteert men zoveel schade aan het te
klein
groot
beveiligen belang als daders kunnen maken in de periode vallend
EFFECT
tussen bij voorbeeld twee surveillances (dat kan letterlijk zijn:
het maken van schade, maar ook het ontvreemden van zaken
behoort hiertoe). De moeilijkste categorie zijn de belangen die
scoren in de 16 – 24 range. Hier zal de security manager de mate 3.1.4 Tijdpadanalyse
Wanneer security maatregelen en voorzieningen zijn geïmplevan beveiliging per geval moeten beoordelen.
menteerd, is het in lijn met de uitgangspunten voor adequaat
security management om het security ontwerp en de realisatie
Het instrument of hulpmiddel lijkt discutabel, maar heeft in de
ervan te toetsen. Hiervoor gebruikt men veelal de tijdpadanalyse.
praktijk zijn nut bewezen. Het is snel en redelijk betrouwbaar.
Deze analyse9 werkt als volgt.
Voorwaarde voor de mate van die betrouwbaarheid is, dat de
beoordeling van het te beveiligen belang in relatie tot het risico
door een groep van mensen (bij voorbeeld een auditteam) uitgeWe trekken twee parallelle lijnen en voorzien deze lijnen van
voerd wordt. Er is dan sprake van collectieve subjectiviteit, waar- een schaalverdeling (zie uitgewerkt voorbeeld met tijdschaal op
door persoonlijke meningen enigszins afgezwakt worden.
blz 19).
Steeds moet men overwegen of men de gedachte maatregelen
en voorzieningen wel of niet gaat nemen. De security manager
doet voorstellen aan de directie. ‘Effecten’ kunnen de adequate
inschatting van risico’s soms vertroebelen en vergen doorgaans
een hard managementbesluit waarbij de kosten-batenanalyse
nadrukkelijk aan de orde is. Daarnaast kunnen bureaupolitieke
overwegingen een rol spelen bij de uiteindelijke duiding van
risico’s en de beheersing daarvan met behulp van security maatregelen en voorzieningen. De directie beslist!
Het mogelijke scenario van de dader(s) wordt in activiteiten
opgesplitst en vervolgens op de bovenste lijn in tijd zichtbaar
gemaakt. Op de onderste tijdlijn vinden we de activiteiten om de
inbraak of een ander incident te verijdelen.
9
Voorheen bij de politie als PIVA-ALRE-methodiek aangeduid; binnen DHM®
voor security management INCI-DETAR-methodiek genoemd.
19
Uitgewerkt voorbeeld met tijdschaal
Dader
A. Verplaatst zich van de openbare weg naar de periferie van het bedrijf. 6 minuten. (Totale tijd 6 minuten.)
B.Knipt gat in hek. 2 minuten. (Totale tijd 8 minuten.)
C.Verplaatst zich over bedrijfsterrein. 6 minuten. (Totale tijd 14 minuten.)
D.Breekt in door bovenlicht te forceren. 3 minuten. (Totale tijd 17 minuten.)
E. Detectiesysteem genereert een alarm.
F. Buit verzamelen. 11 minuten. (Totale tijd 28 minuten.)
G.[…]
Repressie
K.Ontvangst gegenereerd alarm in particuliere alarmcentrale.
L. Detectieverificatie met behulp van video. 2 minuten. (Totale tijd 2 minuten.)
M.Waarschuwen politie en aanrijtijd. 5 minuten. (Totale tijd 7 minuten.)
De politie is in dit voorbeeld op tijd om de inbreker op heterdaad te betrappen!
0
5
10
15
20
25
30
35
40
45
50
Dader lijn
A
B
C
D
F
K
L
Repressie lijn
0
5
10
15
20
25
30
35
40
45
50
20
3.2 Stap 2 – Uitvoeren afhankelijkheidsanalyse
De afhankelijkheidsanalyse bepaalt voor elk belang de waarde
en daarmee de afhankelijkheid. Denk aan mensen, bedrijfsprocessen, cruciale bedrijfselementen, grondstoffen, objecten of
locaties. Het gaat om belangrijke waarden die kunnen worden
aangetast en waarvan een bedrijf afhankelijk is.
Hieronder volgen een paar invalshoeken om de belangen en de
afhankelijkheden van bedrijven te verhelderen:
• mensen en hun veiligheid zijn natuurlijk van het grootste
belang voor ieder bedrijf. Elk bedrijf moet de fysieke veiligheid
van mensen kunnen waarborgen;
• informatie kan uniek, kostbaar, imagogevoelig, vertrouwelijk
of cruciaal zijn voor de continuïteit of concurrentiepositie van
een bedrijf. De beschikbaarheid, vertrouwelijkheid of de integriteit van de informatie moet dan ook worden veiliggesteld;
• bedrijfsprocessen zijn vaak cruciaal voor de continuïteit of
concurrentiepositie van een bedrijf. Deze processen mogen
niet of zo min mogelijk worden verstoord;
• grondstoffen, productiemiddelen, producten en diensten kunnen kostbaar voor het bedrijf zijn en aantrekkelijk voor kwaadwillenden. Het is dan ook belangrijk om de beschikbaarheid en
integriteit hiervan te waarborgen.
Een goede afhankelijkheidsanalyse geeft inzicht in de belangen
die het bedrijf onderkent en de waarde ervan. Ook geeft de analyse aan waarvan die belangen afhankelijk zijn. Zo kan bepaalde
informatie cruciaal voor een bedrijf zijn. Om deze informatie
te beschermen is het bedrijf afhankelijk van een betrouwbaar
computersysteem. Mede op basis van de afhankelijkheidsanalyse krijgt het bedrijf inzicht in de aard en omvang van de schade
die een ernstig incident kan aanrichten. Deze schade kan van
bedrijfseconomische of meer maatschappelijke aard zijn. De aard
en omvang van de schade die een incident kan aanrichten noemen we het effect of de ernst van een incident. Een categorisering en rangschikking van de ernst van mogelijke schades vormt
de basis voor de risicoanalyse.
overzicht waar deze belangen zich bevinden. Hiermee worden de
risico­plaatsen – de plaatsen waar de risico’s bestaan - bekend.
Een inventarisatie van de belangen, inschatting van de zwaarte
van deze belangen en de risicoplaatsen vormen de eerste bouwsteen voor de risicoanalyse.
3.3 Stap 3 – Uitvoeren dreigingsanalyse
Als de belangen en de afhankelijkheden van een bedrijf zijn
benoemd en gerangschikt, moeten we systematisch kijken hoe
die belangen kunnen worden bedreigd. Wie kunnen een belang
schaden en hoe gaat men te werk?
Een dreigingsanalyse spreekt zich uit over (potentiële) dreigingen. Bij deze analyse is het verstandig eerst mogelijke kwaadwillende personen zoals criminelen in kaart te brengen. De keuze
van kwaadwillenden voor een bepaald bedrijf is afhankelijk van
de aantrekkelijkheid van dat bedrijf en de genomen security
maatregelen (vergelijk de aantrekkelijkheid van de buit die bij
een juwelier te ‘verdienen’ is met bij voorbeeld de buit bij een
composteerbedrijf). Wie heeft de kennis, kunde en intentie om
specifieke bedrijven schade toe te brengen? Vervolgens moeten
we vaststellen met welke middelen en met welke methoden
kwaadwillenden te werk kunnen of zullen gaan.
Om een dreigingsanalyse op te stellen waarin de terroristische
dreiging centraal staat, kunnen bedrijven gebruikmaken van de
informatie van de AIVD (www.aivd.nl) en de NCTb (www.nctb.nl).
Om een inschatting te maken van dreiging die uitgaat van bijvoorbeeld criminelen, moeten bedrijven andere bronnen en deskundigen raadplegen.
Een categorisering en inschatting van de kans op een (terroristische of criminele) dreiging is de tweede bouwsteen voor de
risicoanalyse.
3.4 Stap 4 – Uitvoeren kwetsbaarheidsanalyse
De afhankelijkheidsanalyse levert een overzicht van de verschillende te beveiligen belangen en hun gewicht ten opzichte
van elkaar op (letterlijk: het ene belang telt zwaarder dan het
andere). Een zwaarder belang vereist een zwaardere beveiliging
dan een minder zwaar belang. Daarnaast geeft de analyse een
De kwetsbaarheidsanalyse onderzoekt de kwetsbaarheid van
bedrijven voor onbevoegde beïnvloeding, zoals bijvoorbeeld criminaliteit of terroristische activiteiten. In de analyse wordt een
relatie gelegd tussen de methoden en de middelen van kwaad­
21
willenden en de weerbaarheid van het bedrijf daartegen. De
methoden en middelen die kwaadwillenden kunnen of zullen
gebruiken, vloeien voort uit de dreigingsanalyse.
De kwetsbaarheidsanalyse verstrekt inzicht in de wijze waarop
het bedrijf zich heeft beveiligd tegen bepaalde scenario’s en
vormt de derde bouwsteen voor de risicoanalyse.
In de risicoanalyse moeten deze bouwstenen vervolgens samengevoegd worden. Voordat we deze stap maken is het nodig om
even stil te staan bij twee belangrijke aspecten binnen security
management, namelijk de standaardscenario’s en de veiligheidsketen.
3.4.1 Standaardscenario’s
Een scenario is letterlijk een chronologische beschrijving van
een bepaald voorval (of een aaneenschakeling van voorvallen)
dat heeft plaatsgevonden of kan plaatsvinden. Het is een aannemelijke en vaak vereenvoudigde beschrijving van wat mogelijk
zou kunnen gebeuren, gebaseerd op een samenhangende en
onderling verenigbare reeks veronderstellingen over belangrijke
sturende krachten op het terrein van security en relaties van
security. De wijze van optreden van de tegenstander (potentiële
crimineel of terrorist of anderen), ook wel de modus operandi
genoemd, maakt hier deel van uit.
Wanneer men scenario’s tracht te ontwikkelen voor de eigen
security situatie, zijn er in theorie oneindig veel te bedenken.
Maar niet allemaal zijn ze even reëel. Het is aan het bedrijf om te
bepalen welke scenario’s het mee wil nemen.
In het kader van het convenant ontwikkelt en beheert een speciaal daartoe in het leven geroepen werkgroep een set standaard
scenario’s met reële voorvallen. Daarmee blijft het aantal voorvallen waartegen men zich moet beveiligen beheersbaar en blijven de scenario’s actueel.
De risicoanalyse maakt de ernst of het effect van de meest waarschijnlijke security incidenten duidelijk en houdt rekening met de
weerbaarheid van het bedrijf.
De risicoanalyse betrekt de resultaten uit de andere analyses:
• de kans op dreigingen en incidenten;
• de weerbaarheid van het bedrijf tegen specifieke dreigingen of
activiteiten;
• de ernst van de schade die incidenten ondanks de weerbaarheid van het bedrijf veroorzaken.
De kans op incidenten uit de dreigingsanalyse wordt concreter in
het licht van de bestaande én ontbrekende weerbaarheid (maatregelen en voorzieningen) uit de kwetsbaarheidanalyse. Sommige
incidenten zullen bij nader inzien door de al aanwezige maatregelen minder aannemelijk blijken te zijn. Zo kan een bedrijf
beschikken over informatie die voor bijvoorbeeld terroristen
interessant is. Als blijkt dat een bedrijf adequate security maatregelen heeft genomen, is de kans dat deze informatie misbruikt
wordt - en daarmee de kans op een incident - kleiner.
De kans dat een bedrijf te maken krijgt met een terroristische
aanslag is doorgaans veel lager dan bijvoorbeeld de kans op diefstal. Daar staat tegenover dat de schade door een terroristische
aanslag veel ernstiger kan zijn dan de schade die door diefstal
wordt veroorzaakt.
In de risicoanalyse wordt de kans op bijvoorbeeld een criminele
daad of terroristische aanslag daarom gerelateerd aan het effect
van het incident. Het resultaat is een waardering van het risico,
zoals al werd toegepast bij de security matrix. De formule hiervoor is:
Risico = Kans X Effect
Nadat de risico’s in een rangorde geplaatst zijn, geeft het bedrijf
aan welke risico’s acceptabel zijn en tegen welke risico’s het aanvullende maatregelen moet nemen.
3.5 Stap 5 – Uitvoeren risicoanalyse
De analysetabel laat zien waar de afhankelijkheidsanalyse,
De risicoanalyse brengt de belangen, dreigingen en weerbaarheid dreigingsanalyse, kwetsbaarheids­analyse en risicoanalyse met
elkaar samenhangen, waar zij zich op richten en waar dat toe
van het bedrijf bij elkaar. Het geeft inzicht in de soorten risico’s,
leidt.
welke risico’s acceptabel zijn en tegen welke risico’s het bedrijf
maatregelen moeten nemen. Het onjuist analyseren van de risico’s leidt mogelijk tot security incidenten.
22
Analysetabel
Focus op
Leidt tot
Afhankelijkheidsanalyse
Type analyse
Aard en omvang van de bedrijfsbelangen
Inschatting van de schade bij een incident
Dreigingsanalyse
• potentiële dreiging
• kwaadwillenden
• middelen en methoden
Inschatting van de kans op criminele of
terroristische acties of incidenten
Kwetsbaarheidsanalyse
• weerbaarheid
• maatregelen
Inschatting van de weerbaarheid van
het bedrijf tegen activiteiten van kwaad­
willenden
+
Risicoanalyse
• belangen
• potentiële dreiging
• weerbaarheid
Inschatting van de ernst van de schade die
incidenten ondanks de weerbaarheid van
een bedrijf veroorzaken
Kosten- en batenanalyse
• effect / baten van de maatregelen
• kosten van de maatregelen
Inschatting van de meest kosteneffectieve maatregelen: keuze van aanvullende
maatregelen
+
Een belangrijk – absoluut niet te vergeten – aspect is dus de
‘samenhang der dingen’. In een analyse wordt het eigen optreden
afgezet tegen het optreden van de tegenstander om duidelijkheid
over het eigen weerstandsvermogen (effectiviteit en efficiëntie) te
verkrijgen.
Aan de hand van de uitkomsten van en het vervolg op de analyse
wordt de behoefte aan aanvullende security maatregelen en
voorzieningen bepaald.
3.6 Stap 6 - Kosten- en batenanalyse
De kosten- en batenanalyse, ook wel maatregelenanalyse
genoemd, bekijkt de aanvullende maatregelen die de vastgestelde risico’s kunnen verminderen. Het is belangrijk om alle schakels uit de veiligheidsketen hierbij te betrekken (zie 3.6.1).
Aan de hand van de maatregelen en voorzieningen is het mogelijk de daadwerkelijke vermindering van risico’s, dus de baten te
bepalen. Centraal staat echter de vraag of de risico’s écht minder
worden door de maatregelen. Om het effect van deze maatregelen te beoordelen is enige deskundigheid vereist.
De volgende stap is het afzetten van de baten tegen de kosten
van de maatregelen en voorzieningen. Daardoor wordt duidelijk
welke het meest kosteneffectief zijn. Staan de kosten in een
acceptabele verhouding tot de baten? Het bedrijf is zelf verantwoordelijk voor deze afweging en voor de keuze van het al dan
niet invoeren van maatregelen en voorzieningen. Met andere
woorden: bedrijven bepalen zelf het risico dat ze willen lopen.
Na de keuze voor te treffen maatregelen en voorzieningen is
het mogelijk de kwetsbaarheidanalyse en vervolgens de risicoanalyse op bepaalde punten bij te stellen. Door het treffen van
maatregelen is immers de kwetsbaarheid afgenomen. De nieuwe
uitkomst van de risicoanalyse geeft dan zicht op de beheersbaarheid van de verschillende risico’s en de acceptatie daarvan door
het bedrijf.
23
3.6.1 De veiligheidsketen
Naast de kosten- en batenanalyse moeten we de uitkomsten van
het hiervoor beschreven proces ook nog in de verschillende fasen
die we binnen risicobeheersing hebben vastgesteld, beoordelen.
Die fasen vormen de schakels in de veiligheidsketen.
De veiligheidsketen bestaat uit vijf schakels. In security management worden alle vijf schakels betrokken bij het beheersen van
de risico’s. Deze schakels zijn proactie, preventie, preparatie,
respons en nazorg. Door de veiligheidsketen als leidraad te
nemen en te gebruiken bij het ontwerp en invoeren van security
maatregelen en –voorzieningen kan het veiligheidsniveau en
daarmee de weerbaarheid van een bedrijf positief worden beïnvloed.
Voor de duidelijkheid zijn de vijf schakels hieronder uitgewerkt.
• Proactie: het voorkomen of wegnemen van structurele oorzaken van onveiligheid. Proactieve maatregelen moeten
voorkomen dat kwetsbaarheden ontstaan. Een bedrijf kan
bijvoorbeeld bedrijfsonderdelen naar een minder risicovolle
locatie verplaatsen. Het schrijven van een security beleidsplan
is een concreet voorbeeld.
• Preventie: het voorkomen van directe oorzaken van onveiligheid en beperken van de gevolgen van eventuele inbreuken
op die veiligheid (security incident). Preventieve maatregelen
verkleinen de kwetsbaarheid en dus de kans op een incident.
Voorbeelden hiervan zijn goed hang- en sluitwerk aanbrengen,
een toegangscontrole instellen en virusscanners gebruiken.
• Preparatie: het voorbereiden op het optreden bij een security
incident. Preparatieve maatregelen zijn gericht op een goede
voorbereiding op incidenten. Een bedrijf kan bijvoorbeeld een
ontruimingsplan opstellen voor het personeel en geregeld
oefenen.
• Respons: bestrijden en beperken van de nadelige gevolgen van
een security incident en hulp verlenen. Soms gebruiken we
voor het woord respons ook ‘repressie’. Responsieve maatregelen moeten de directe nadelige gevolgen van een incident
beperken. Denk aan het inzetten van blusmiddelen, het organiseren van de eerste hulp en het managen van de crisis.
• Nazorg: activiteiten gericht op het verhelpen van de gevolgen
van een security incident en de terugkeer naar de ‘normale’
situatie. Nazorgmaatregelen moeten de bedrijfscontinuïteit en
de teruggang naar de normale situatie bevorderen. Een concreet voorbeeld is het regelen van een uitwijklocatie.
24
4.
Security ­maatregelen
Op basis van het security beleid en de risicoanalyse zullen
bepaalde (aanvullende) security maatregelen en –voorzieningen
getroffen worden.
Deze maatregelen en voorzieningen kunnen een aantal doelen
dienen. Het belangrijkste is wel tijd winnen om te kunnen reageren – de respons of repressie op een incident. In algemene zin
is het zo dat hoe zwaarder een maatregel is, hoe meer tijd een
opponent nodig heeft of die maatregel te overwinnen. Het beheer
van de security maatregelen wordt vastgelegd in het operator
security plan (OSP). In deze handreiking wordt verder niet ingegaan op het OSP. In dit hoofdstuk vindt u meer informatie over
het nemen van mogelijke security maatregelen.
De genoemde doelen moeten daarbij afzonderlijk en in samenhang worden behandeld.
4.2 Stap 7: Security maatregelen nemen
Bij security management worden security maatregelen verdeeld
in groepen. Daarbij komt men veel verdelingen tegen. Een veel
toegepaste verdeling is de volgende verdeling:
• organisatorische security maatregelen;
• personele security maatregelen;
• bouwkundige security maatregelen;
• elektronische security maatregelen;
• ICT-security maatregelen.
4.1 Inleiding security maatregelen
Met in het achterhoofd het bedrijfsbeleid zal de security manaSecurity heeft tot doel de belangen van een bedrijf te beschermen ger zich op het gebied van security tot doel moeten stellen deze
tegen onbevoegde en/of onbedoelde beïnvloeding. Daaronder valt maatregelen en voorzieningen kosteneffectief te realiseren. De
manager zal dus die maatregelen en voorzieningen moeten kieook het moedwillig verstoren van de bedrijfsprocessen.
zen waarmee het vereiste security niveau daadwerkelijk te realiDe security doelen voor bedrijven in de vitale infrastructuur, ken- seren is tegen zo gering mogelijke kosten.
nen de volgende volgordelijkheid:
4.2.1 Organisatorische security maatregelen
1 Voorkomen dat gevoelige of kwetsbare informatie in het
De meest verstrekkende maatregelen zijn de organisatorische
publieke domein terecht komt (bijvoorbeeld op het internet).
maatregelen. Deze vormen de basis voor de security van het
2 Afschermen van attractieve en kwetsbare onderdelen om
bedrijf. Het vergt niet alleen veel denk- en schrijfwerk, vooral de
kennisname en verkenningsacties door kwaadwillenden te
naleving van deze maatregelen vergt de nodige aandacht.
bemoeilijken.
3 Afschrikken van kwaadwillenden. De kwaadwillende moet het
Daarnaast hangt de consistentie van de beveiliging af van de
gevoel hebben dat de beveiliging bij het bedrijf goed op orde
kwaliteit van de organisatorische maatregelen. Een goede veiligis.
heidscultuur draagt positief bij aan de kwaliteit van de security
4 Tegenhouden. De kwaadwillende wordt het fysiek onmogelijk
en het borgen daarvan. Veiligheidsbewustwordingsprogramma’s
gemaakt zijn daad te verrichten.
5 Detectie. Indien al het voorgaande de kwaadwillende niet heeft kunnen de veiligheidscultuur verbeteren.
afgeschrikt of tegengehouden, is het zaak zijn inbreuk zo
Voorbeelden van organisatorische maatregelen zijn:
vroeg mogelijk te detecteren.
• toegangsbeheer;
6 Vertragen. Het opwerpen van barrières tussen de gedetec• zoneringsplan (wie mag waar komen?);
teerde kwaadwillende en zijn doel. Dit kan zowel het binnen• fotografeerverbod;
dringen als het kunnen vluchten betreffen.
• sluitplan (waaronder sleutelbeheer);
7 Interventie. De kwaadwillende wordt tijdig door een bevoegde
• autorisatie toekenning en autorisatiebeheer (wie mag wat?);
en capabele functionaris tegengehouden. Uitlevering aan
• uitvoerbeleid (geautoriseerd meenemen van bedrijfseigenJustitie behoort tot de mogelijkheden.
dommen);
Om deze doelen te bereiken staan ons meerdere security strate- • clean desk regeling (wat moet altijd worden opgeborgen?);
• need-to-know regeling (wie mag wat weten?);
gieën, security maatregelen en voorzieningen ter beschikking.
25
• rubriceringsregeling (personeelsvertrouwelijke informatie,
patentinfo etc.);
• merkingsregeling (markeren en registreren van waardevolle
assets);
• registratie en archivering (van kwetsbare informatie);
• procedure alarmopvolging (detectie en tijdpadanalyse);
• incidentenregistratie;
• opleidingsplan op terrein van security;
• communicatieplan op terrein van security (o.a. veiligheidsbewustzijn).
4.2.2 Personele security maatregelen
Personele security maatregelen zijn onder te verdelen in:
1. Maatregelen voor indiensttreding, vooral gericht op de werving
en selectie van nieuw personeel, zoals bijvoorbeeld:
• werving, selectie- en aannameprocedures;
• controleren cv en getuigschrift en referenties;
• antecedentenonderzoek;
• verklaring omtrent gedrag (VOG);
• geheimhoudingsverklaring;
• laten invullen van vragenlijst;
• procedure extern personeel/inhuur.
2. Maatregelen bij in dienst zijn, zoals:
•
•
•
•
security opleidingen/bewustzijn;
gedragscode;
functionerings- en beoordelingsgesprekken;
beloning- en sanctiebeleid.
deuren, het afschermen van glaspartijen en het afschermen van
ventilatieopeningen. Voorbeelden hiervan zijn:
•
•
•
•
•
•
terreinafscheiding (hekwerken, grachten, barrières, poort);
buitengevel (steensmetselwerk, beton, kunststof e.d.);
hang- en sluitwerk (SKG-normering);
zonescheiding en compartimentering;
opbergmiddelen (kluis, kasten e.d.);
indringerdetectiesysteem (radar, infrarood, geluid,
combinatie);
• closed circuit TV (CCTV);
• verlichting (permanent, schrik, dag-nacht);
• toegangsverleningssysteem (slagboom, tourniquet, kaartlezer,
irisscan e.d.).
4.2.4 ICT-security maatregelen
Voorbeelden van ICT-security maatregelen zijn:
•
•
•
•
•
•
backupregeling;
virusscanners;
encryptie (versleuteling van informatie);
stand alone systeem (dus los van internet);
firewall(s);
ICT-authenticatie en autorisatie (wie ben je en wat mag je op
het netwerk);
• wachtwoordbeheer.
3. Maatregelen bij vertrek, te weten:
4.2.5 Mix van security maatregelen
Wanneer een bedrijf zich wil beveiligen tegen georganiseerde
criminele activiteiten of tegen een terroristische aanslag zal
het andersoortige maatregelen treffen dan wanneer het zich wil
beschermen tegen een gelegenheidsdader.
Het ontwikkelen van scenario’s (hoe treedt de opponent op) is
daarbij een goed hulpmiddel. Om deze scenario’s te kunnen ontwikkelen, kan men omtrent de wijze van optreden van mogelijke
opponenten (gelegenheidsdader, semi-professional, professional,
terrorist) advies inwinnen bij de lokale politiecontacten.
•
•
•
•
•
intrekken autorisaties;
inleveren pasjes, sleutels, telefoon e.d.;
checklist laatste dag;
exitgesprek met leidinggevende;
ontslag-op-staande-voet-procedure.
4.2.3 Fysieke security maatregelen (bouwkundige en elektronische)
Bouwkundige security maatregelen bestaan uit het vakkundig
ontwerpen, bouwen en beheren van onder andere verstevigde
muren, goedgekeurd hang- en sluitwerk op bereikbare ramen en
Vervolgens moet per scenario worden aangegeven met welke
maatregelen de kwaadwillende wordt afgeschrikt, tegengehouden dan wel gedetecteerd en geïntervenieerd. Hierbij kan ook
worden aangegeven in welke mate deze security doelen worden
gehaald. Doorgaans zijn de maatregelen uit de security doelen 1,
26
2 en 3 (zie paragraaf 4.1) goedkoper en eenvoudiger te realiseren
dan de overige security doelen.
De mate waarin de hoge security doelen moeten worden nagestreefd is afhankelijk van de effectiviteit van de lagere security
doelen. Bijvoorbeeld: als kwaadwillenden uw bedrijf niet weten te
vinden of binnen uw bedrijf de kwetsbare installaties niet weten
te vinden, hoeft u minder te investeren in het tegenhouden van
deze kwaadwillenden.
Het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) kan
u adviseren over het opstellen van de scenario’s, het uitvoeren
van een risicoanalyse en het nemen van security maatregelen.
Als deelnemer aan het Convenant Olie en (Petro-) Chemische
Industrie ontvangt u tevens een aantal standaard scenario’s.
Deze standaard scenario’s kunt u toevoegen aan de scenario’s
die u voor uw bedrijf opstelt (zie paragraaf 3.4.1).
Onderstaande tabel kan als hulpmiddel worden gebruikt.
Opponent 1 (scenario 1)
Security doel 1
Effectiviteit security
maatregelen
Security doel 2
Etc.
Etc.
O-maatregelen
- maatregel X
- maatregel Y
P-maatregelen
B-maatregelen
E-maatregelen
ICT-maatregelen
27
5.
Security ­organisatie
5.1 Inleiding security organisatie
brandweer en de geneeskundige hulpverlening. De geneeskundige hulpverlening bij ongevallen en rampen wordt vaak afgekort
als GHOR. De taken, verantwoordelijkheden en bevoegdheden van
Tot nu toe zijn stappen genomen en accenten gelegd op security
de functionaris én het personeel van de eventuele security afdezoals die van dag tot dag van plaats tot plaats bijna vanuit een
ling dienen in een security plan te zijn opgenomen. In een groot
bepaalde routine georganiseerd wordt. Maar op het moment dat
bedrijf zijn deze taken vaak over meerdere personen verdeeld en
zich een incident– anders gezegd: een inbreuk op de veiligheid –
voordoet, moet ook adequaat worden gereageerd. Daarvoor is het onderdeel van een security afdeling. In kleine bedrijven zijn deze
noodzakelijk te weten wie op welk moment waarvoor verantwoor- vaak bij één persoon belegd.
delijk is en welke taken hij of zij moet uitvoeren. Ook de samenTe allen tijde is het noodzakelijk om de taken, verantwoordelijkwerking met de zogenoemde ‘zwaailichtdiensten’ is belangrijk.
heden en bevoegdheden met betrekking tot security op papier
Deze zaken staan beschreven in stap 8 en 9. Afsluitend komen
vast te leggen, zodat een ieder weet wat te doen. Regelmatig
de niveaus van security aan bod. Dit is vooral belangrijk op het
oefenen van wat er is uitgedacht als reactie (waaronder represmoment dat uw bedrijf zich bij het Alerteringssysteem aansluit.
sie) op een incident is noodzakelijk om in crisissituaties adequaat
te kunnen handelen. Tevens levert het oefenen informatie op hoe
deelonderwerpen in het security plan kunnen worden verbeterd.
5.2 Stap 8 – Beschrijving interne security organisatie
Het beschrijven van de taken, verantwoordelijkheden en bevoegdheden binnen het bedrijf op het gebied van security is belangrijk. 5.3 Stap 9 – Afstemming met hulpdiensten
Deze activiteit schept duidelijkheid op dit terrein en geeft aan hoe
Een incident beperkt zich zelden tot het object zelf. Veelal is
security personeel samenwerkt in routinesituaties en in crisishet bedrijf bij de beheersing van het incident aangewezen op de
situaties.
assistentie van anderen, zoals de politie, de brandweer en de
GHOR. In deze stap moeten met deze ‘zwaailichtdiensten’ secuAfhankelijk van de grootte van het bedrijf kunnen de volgende
rity afspraken gemaakt worden en op papier worden vastgelegd.
functionarissen een rol hebben bij de uitvoering van het security
Vervolgens dienen deze afspraken door daartoe bevoegde functimanagement:
onarissen bij de verschillende partijen te worden bekrachtigd.
• Een directeur of lid van de Raad van Bestuur, die security in
zijn portefeuille heeft. Indien dit niet het geval is, moet deze
In essentie komt het erop neer af te spreken wat het bedrijf bij
rol belegd worden.
een incident moet doen, wat de politie, brandweer en/of GHOR
• Security manager.
moet doen, wie op welk moment welke verantwoordelijkheid en/
In een kleine organisatie is het denkbaar dat deze functie in
of bevoegdheid voor wat heeft, wie de voorlichting doet etc.
deeltijd wordt uitgevoerd, bijvoorbeeld de safety- en securityBelangrijk is het om ook deze afspraken in de praktijk in een
manager of de security- en facilitymanager.
oefensituatie met de verschillende partners te beoefenen.
• Security - bewakingspersoneel.
Dit kan zowel bewakers aan de poort betreffen, als receptiemedewerkers als ook terreinsurveillance, eigen personeel of
5.4 Niveaus van security
ingehuurd.
• Medewerkers.
In het SMS zal in relatie tot moedwillige verstoring – dus in dit
Zij hebben een rol, echter niet als functionaris, maar als
kader een mogelijke terroristische aanslag en daarop volgend
medewerker die security beleid moet naleven.
een eventuele opschaling - rekening gehouden worden met vier
niveaus van security.
De security manager organiseert de security binnen het bedrijf,
bereidt het beleid voor, regelt de uitvoering, draagt zorg voor
Deze niveaus zijn gerelateerd aan de dreigingsniveaus van het
de kwaliteit en coördineert het optreden met de lokale politie,
28
Alerteringsysteem Terrorismebestrijding (ATb) van de NCTb, te
weten:
1. basisniveau;
2. lichte dreiging;
3. matige dreiging;
4. hoge dreiging.
Bij elk niveau van dreiging hoort een niveau van security.
Het eerste niveau wordt doorgaans het basis security niveau
genoemd. Dit betreft de security matrix zoals benoemd in paragraaf 3.1.2. De security maatregelen tegen lichte, matige en
hoge dreiging zijn aanvullende en steeds oplopende maatregelen
bovenop het basisniveau.
Het niveau van dreiging wordt door de NCTb afgekondigd via
het ATb-systeem. Houd er rekening mee dat de dreigingniveaus
lichte en matige dreiging voor langere periode kunnen worden
afgekondigd. Dit betekent dat de bijbehorende maatregelen ook
een langere periode moeten zijn vol te houden.
Bij een hoge dreiging is sprake van een concrete dreiging qua
tijd en plaats. De maatregelen zullen dan extreem zijn, zoals bijvoorbeeld afzetting van wegen, ontruiming in het meest extreme
geval, sluiting van het bedrijf.
Bij alle niveaus is het van wezenlijk belang de lokale afstemming
met politie, brandweer, GHOR, particuliere security organisaties,
buren (buurbedrijven) goed te regelen en de afspraken in een
plan vast te leggen10.
De handreiking “Wat kan uw bedrijf ondernemen tegen terrorisme? Handreiking voor bedrijven” uitgegeven door de Nationaal
Coördinator Terrorismebestrijding is daarbij een bruikbaar en vrij
te downloaden hulpmiddel (www.nctb.nl/publicaties/Rapporten/).
Wanneer het bedrijf zich aansluit bij het ATb zal in overleg met
personeel van de NCTb een opschalingsmatrix worden opgesteld.
Deze matrix geeft per dreigingniveau de security maatregelen en
voorzieningen aan die getroffen moeten worden op een bepaalde
dreigingniveau.
10 In DHM® voor security management spreekt men over Plan Interne Beveiligings Organisatie (IBO) en Plan Externe Beveiligings Organisatie (EBO).
29
Bijlage 1:
Checklist
Wanneer alle hiervoor besproken stappen doorlopen zijn,
de plannen zijn gemaakt en de security maatregelen en
voorzie­ningen zijn ingevoerd, is er sprake van een security
management­systeem dat aan de in het convenant gestelde eisen
voldoet.
Voorwaarden
Artikel 4 van het Convenant Olie en (Petro-) Chemische Industrie
vermeldt de volgende verplichtingen van de deelnemende bedrijven:
 De bedrijven zorgen dat zij binnen 12 maanden na inwerkingtreding van dit convenant een security managementsysteem
hebben ontwikkeld en geïmplementeerd.
 Het security managementsysteem bevat tenminste de volgende elementen: een vastgesteld security beleid, risico-identificatie en –analyse, security maatregelen en voorzieningen en
afspraken over de interne en externe security organisatie.
 De bedrijven onderhouden en verbeteren continu het security
managementsysteem.
 De bedrijven passen de security maatregelen en voorzieningen zo nodig aan als actualisatie van de standaard scenario’s,
zoals vermeld in artikel 3 heeft plaatsgevonden.
 De bedrijven voeren tenminste één maal per jaar een interne
operationele audit op het security managementsysteem uit.
Integraal onderdeel van deze audit is het nagaan of actualisatie heeft plaatsgevonden van de risico’s op basis van de standaard scenario’s.
30
Checklist
Stap
no.
Activiteit
Resultaat
Opmerking
1
Maken van het security beleidsplan,
of – afhankelijk van de grootte van het
bedrijf een security beleidsintentie.
Security beleidsplan / security beleids- Moet zijn vastgesteld door de directie.
intentie.
2
Uitvoeren afhankelijkheidsanalyse.
Bedrijfsbelangen/bedrijfswaarden in
kaart gebracht.
Gezamenlijke activiteit in de lijn- en
staforganisatie.
3
Uitvoeren dreigingsanalyse.
Dreigingsbeeld voor het bedrijf op de
locatie in beeld gebracht.
Input van lokale politie, NCTb (internet) mogelijk.
4
Uitvoeren kwetsbaarheid­analyse.
[Dit proces is meer in detail beschreven in punt 3.4. van deze handreiking].
Eigen security in kaart gebracht; daarmee ‘weerstandsvermogen’ van eigen
bedrijf tegen vastgestelde dreiging
bekend.
Zo genoemde SOLL-situatie met
betrekking tot security maatregelen
en voorzieningen bekend.
Houdt rekening met de security cultuur van het bedrijf.
5
Uitvoeren van een risico­analyse.
Risico’s in beeld.
Scenario’s in beeld.
Inzet instrumentarium (in de voorbeelden gegeven normen en waarden eerst
naar eigen bedrijf vertalen).
6
Uitvoeren kosten-baten­analyse.
Inzicht in wel of niet treffen van
bepaalde security maatregelen en
voorzieningen; acceptatie van bepaalde
(rest)risico’s.
7
Het nemen van security maatregelen.
Concrete security maatregelen getroffen.
8
Het beschrijven en vorm geven aan
de security organisatie (intern). [Dit
proces is meer in detail beschreven in
punt 5.2. van deze handreiking].
Actieplan optreden eigen organisatie
wanneer zich een incident voordoet.
9
Het afstemmen met hulpdiensten.
[Dit proces is meer in detail beschreven in punt 5.3. van deze handreiking].
Plan optreden zwaailichtdiensten (politie, brandweer, GHOR) wanneer zich
een incident voordoet.
Ook oog hebben voor samenwerking
met zwaailichtdiensten (politie, brandweer, GHOR).
31
Bijlage 2:
Voorbeeld van een
security intentie­
verklaring
B.V. Olie- en Gasopslag Onderhuizen
B.V. Olie- en Gasopslag Onderhuizen (OGO) exploiteert op het
bedrijventerrein Halfweg een aantal opslagtanks voor tijdelijke
olie- en gasopslag binnen de Randstadregio. Zij beschikt over
de daarvoor benodigde vergunningen. De VROM-Inspectie en de
gemeente Z. zijn belast met het toezicht op de bedrijfsuitoefening
van de B.V. OGO.
Het security beleid van B.V. OGO is onderdeel van het totale
beleid van het bedrijf. Onderstaande security intentieverklaring
is gericht op het nemen van security maatregelen en voorzieningen die tegengaan dat de bedrijfsuitoefening van het bedrijf
onbevoegd kan worden beïnvloed.
Het doel van deze door de directie afgegeven verklaring is om
iedere werknemer op elk niveau duidelijkheid te verschaffen over
de doelstellingen met betrekking tot security en om het begrip
binnen de gehele organisatie voor reeds genomen en te nemen
security maatregelen te bevorderen.
Security intentieverklaring
1. De directie van B.V. Olie- en Gasopslag Onderhuizen verplicht
zich tot het treffen van maatregelen en voorzieningen die
tegen-gaan dat de bedrijfsprocessen, de daarvoor benodigde
materialen en apparatuur van de inrichting onbevoegd kunnen
worden beïnvloed. De security maatregelen zijn aanvullend
op de veiligheidsmaatregelen (safety), dus niet vervangend.
Zij beschouwt daarbij de veiligheid (safety én security) van het
personeel als haar belangrijkste taak.
2. De zorg voor het op de juiste wijze nemen van deze maatregelen en voorzieningen vormt een integraal onderdeel van
het algemene ondernemingsbeleid van OGO. De zorg op het
gebied van het beveiligen tegen onbevoegd beïnvloeden is een
onderdeel van de kwaliteitszorg.
3. Tot deze zorg behoort het inrichten en in stand houden van
een adequaat security managementsysteem, de daarbij behorende plannen, de daarbij behorende security organisatie;
het verstrekken van de nodige budgetten en middelen en het
treffen van de vereiste organisatorische en personele maat-
regelen en de vereiste bouwkundige en elektronische security
­maatregelen (inclusief ICT).
4. De directie heeft dhr. N.N. naast zijn taak als facilitymanager
voor 8 uren per week als object-security manager (OSM) aangesteld. Deze heeft tot taak de directie te adviseren over het
te voeren security beleid en de daaruit voortvloeiende security
maatregelen en voorzieningen, met inbegrip van de handhaving van dit beleid.
5. Gebeurtenissen die (in)direct te maken hebben met de security ­maatregelen of voorzieningen, of een inbreuk hierop kunnen maken worden direct door tussenkomst van de OSM aan
de directie gemeld.
6. De directie draagt er zorg voor dat er binnen het bedrijf ten
aanzien van de security maatregelen en voorzieningen een
duidelijke toewijzing en delegatie van taken, verantwoordelijkheden en bevoegdheden plaatsvindt.
7. De directie is ervoor verantwoordelijk dat iedereen binnen het
bedrijf bekend is met de voor haar/hem geldende relevante
security maatregelen en voorzieningen.
8. Als uitvloeisel van deze intentieverklaring verplicht de directie zich tot het opstellen van een security plan waarin naast
de interne security ook de externe security van het object
geregeld wordt (afspraken met de politie, brandweer en
Geneeskundige Hulpverlening bij Ongevallen en Rampen
(GHOR)
9. De directie zal zich ten aanzien van het treffen van de vereiste security maatregelen en voorzieningen bij voortduring
laten leiden door datgene dat op dit terrein qua ontwikkeling
gebruikelijk en noodzakelijk is (state-of-the-art).
32
VROM 8225 / JUNI 2008
Dit is een publicatie van: Ministerie van VROM
> Rijnstraat 8 > 2515 XP Den Haag > www.vrom.nl
www.vrom.nl
Handreiking Security Management
Ministerie van VROM >
staat voor ruimte, milieu, wonen, wijken en integratie. Beleid maken, uitvoeren en handhaven.
Nederland is klein. Denk groot.
Download