'Handreiking Security Management' PDF document

Dit is een publicatie van: Ministerie van VROM> Rijnstraat 8 > 2515 XP Den Haag > www.vrom.nl

Ministerie van VROM >staat voor ruimte, milieu, wonen, wijken en integratie. Beleid maken, uitvoeren en handhaven.Nederland is klein. Denk groot.

www.vrom.nl

Handreiking Security Management

VRO

M 8

225

/ JU

NI 2

008


Den Haag, juni 2008

03

Inhoudsopgave

Voorwoord 05

Leeswijzer 07 Stappenplan 07

1. Inleiding Security Managementsysteem 091.1 Achtergrond en aanleiding 091.2 Convenant Olie en (Petro-) Chemische industrie 091.3 Noodzaak voor security 091.4 Introductie Security Managementsysteem (SMS) 101.5 Security en kwaliteit 11

2. Security beleid 13

3. Risicomanagement 143.1.1 Risicoanalysemethodiek 143.1.2 Het middelenplan 163.1.3 Security matrix 16 Kansbepaling 17 Effectbepaling 17 Uitwerking in de security matrix 183.1.4 Tijdpadanalyse 183.2 Stap 2 – Uitvoeren afhankelijkheidsanalyse 213.3 Stap 3 – Uitvoeren dreigingsanalyse 213.4 Stap 4 – Uitvoeren kwetsbaarheidanalyse 213.4.1 Standaardscenario’s 223.5 Stap 5 – Uitvoeren risicoanalyse 223.6 Stap 6 - Kosten- en batenanalyse 233.6.1 De veiligheidsketen 24

4 Security maatregelen 254.1 Inleiding security maatregelen 254.2 Stap 7: Security maatregelen nemen 254.2.1 Organisatorische security maatregelen 254.2.2 Personele security maatregelen 264.2.3 Fysieke security maatregelen

(bouwkundige en elektronische) 264.2.4 ICT-security maatregelen 264.2.5 Mix van security maatregelen 26

5. Security organisatie 285.2 Stap 8 – Beschrijving interne security organisatie 285.3 Stap 9 – Afstemming met hulpdiensten 285.4 Niveaus van security 28

Bijlage 1: Checklist 29 Voorwaarden 29 Checklist 30

Bijlage 2: Voorbeeld van een security intentieverklaring 31

05

Voorwoord

Veiligheid (safety) en beveiliging (security) zijn tegenwoordig niet meer weg te denken binnen bedrijven en ook daar buiten. Logisch, de belangen van de bedrijven zijn groot en er zijn veel (be)dreigingen die de belangen kunnen schaden. De vraag doet zich voor hoe bedrijven zich tegen deze (be)dreigin-gen kunnen beschermen. Dit ‘beschermen ’of ‘beveiligen’ duidt men in vaktaal veelal aan met security.

Deze handreiking gaat over security management en, hoewel er veel bruikbare methoden bestaan om ‘security’ te ‘managen’, kiest de handreiking niet voor één specifieke methode1. De onderwerpen die deel uit maken van een security management-systeem komen in de volgende hoofdstukken aan bod en vormen zo een aanpak om te komen tot een security managementsy-steem voor uw bedrijf.

Het uitgangspunt bij het schrijven van deze handreiking is het op weg helpen van de medewerker die security management, zeg maar ‘beveiliging’, binnen het bedrijf als extra taak naast zijn eigenlijke werk moet uitvoeren.

Deze handreiking komt voort uit de afspraken in het kader van het Convenant Olie en (Petro-) Chemische Industrie. Hierin is afgesproken dat de deelnemende bedrijven die daar nog niet over beschikken een security managementsysteem (SMS) zullen inrichten.

In het convenant zijn voorwaarden gesteld waaraan een SMS minimaal moet voldoen. Daarmee kan iets gezegd worden over de kwaliteit van een SMS en ontstaat de mogelijkheid om verschil-lende systemen op hun gelijkwaardigheid te toetsen. Denk daar-bij aan concepten zoals de International Ship and Port Facility Security (ISPS) Code en het Authorised Economic Operator (AEO) concept. De ISPS-code is een internationaal voorschrift dat ver-plicht tot maatregelen voor de beveiliging van schepen en haven-voorzieningen. In het AEO-concept gaat het om de waarborgen die in de hele logistieke keten zijn getroffen om het goederen-verkeer veilig te laten zijn. Sommige van de aan het convenant deelnemende bedrijven hebben namelijk met meer dan één ver-plichting met betrekking tot veiligheid te maken.

Door het ondertekenen van het convenant hebben de directies van de deelnemende bedrijven laten zien dat security voor hen een serieus onderwerp in de bedrijfsvoering is. Voor de mede-

werkers binnen het bedrijf is dat een belangrijk signaal, voor de mensen die met security bezig zijn een stevige steun in de rug. Het doet er zeker toe als security management gezien wordt als volwaardig onderdeel van de bedrijfsvoering. Daarnaast is het belangrijk dat het security managementsysteem zo veel mogelijk bij bestaande systemen op het gebied van veiligheid (safety) aan-sluit.

Security management gaat veel verder dan in deze handreiking beschreven wordt. De handreiking adviseert enkel over een mogelijke aanpak van security management binnen een bedrijf. Om alle taken op het terrein van security adequaat te kunnen uitvoeren, is het raad-zaam om naast het lezen van (achtergrond) informatie en deze handreiking ook relevante opleidingen te volgen.

1 In Nederland is DHM® voor security management een alom bekende me-thode. Deze opleiding kan onder meer aan de Haagse Hogeschool gevolgd worden. Daarnaast zijn persoonsgebonden certificatieschema’s mogelijk, zoals het Certified Protection Professional (CPP™) programma van de ASIS International en het Certified Protection Officer (CPO) programma van de International Foundation for Protection Officers (IFPO). Beide opleidings-organisaties bieden een opleiding aan in Nederland.

07

Leeswijzer

De handreiking beschrijft een proces, gevormd door verschil-lende achtereenvolgende stappen, om te komen tot een security managementsysteem. Na de inleiding waarin kort ingegaan wordt op de achtergrond van het Convenant Olie- en (Petro-)Chemische industrie en op de noodzaak voor de deelnemende bedrijven om een security managementsysteem (SMS) in te richten, krijgt dit meer in detail aandacht. Benadrukt wordt dat een SMS een integraal onderdeel vormt van de normale bedrijfsvoering van een bedrijf. Daarbij komen enkele aspecten met over security en kwaliteit aan de orde.

Het startpunt bij het opstellen van een SMS is het opstellen van een security beleidsplan. Dit komt in hoofdstuk 2 aan de orde.

Hoofdstuk 3 gaat in op risicomanagement – hier natuurlijk gefo-cust op security management. Het risicoanalyseproces krijgt in de vijf volgende stappen aandacht. Met de uitkomsten van dit proces kijken we vervolgens hoe deze uitwerken naar security maatregelen en –voorzieningen. In deze fase is het belangrijk ook naar de kosten en baten en naar de mogelijke effecten van de invoering van deze maatregelen en voorzieningen te kijken. Vragen moeten gesteld worden zoals: “hebben de getroffen maatregelen wel het effect dat wij ervan verwachten of werken ze op juist negatief uit op security gebied of op de operationele acti-viteiten van het bedrijf?”De samenwerking met politie, brandweer en de geneeskundige hulpverlening bij ongevallen en rampen (GHOR) komt aan de orde, evenals het belang van gezamenlijk oefenen in het kader van voorbereiding op incidenten. Om het belang hiervan te kun-nen plaatsen in het totale proces van beveiligen, gaan we in op de veiligheidketen.

In hoofdstuk 4 wordt ingegaan op de security maatregelen. Het inventariseren en treffen van security maatregelen is een belang-rijke stap in het security managementsysteem. Enkele hulpmid-delen – een keuze uit vele instrumenten die de security manager ter beschikking staat – komen aan de orde.

Hoofdstuk 5 is gericht op de security organisatie binnen het bedrijf maar ook de organisatie tussen het bedrijf en de lokale hulpdiensten. Het alerteringssysteem en aansluiting hierop in het kader van het convenant komt hier ook aan de orde.

De handreiking bevat zowel theorie als concrete stappen om te komen tot een security managementsysteem. De ene stap is verder uitgewerkt dan de andere. De andere deelnemers aan het Convenant Olie en (Petro-) Chemische Industrie kunnen een rol spelen bij de invulling van een SMS voor uw bedrijf. Met name het NAVI zal in samenwerking met de brancheorganisaties de nodig ondersteuning bieden bij de implementatie van het SMS.

Bij het opzetten van een security managementsysteem, dat wan-neer het gerealiseerd is minimaal aan de voorwaarden in het convenant voldoet, kan het stappenplan op blz 8 worden gevolgd.

08

Stappenplan

Stap 1 Maken van het security beleidsplan, of – afhanke-lijk van de grootte van het bedrijf – een security beleidsintentie.[Dit proces is meer in detail beschreven in punt 2.2. van deze handreiking.]

Stap 2 Uitvoeren afhankelijkheidsanalyse. [Dit proces is meer in detail beschreven in punt 3.2. van deze handreiking.]

Stap 3 Uitvoeren dreigingsanalyse. [Dit proces is meer in detail beschreven in punt 3.3. van deze handreiking.]

Stap 4 Uitvoeren kwetsbaarheidsanalyse. [Dit proces is meer in detail beschreven in punt 3.4. van deze handreiking.]

Stap 5 Uitvoeren van een risicoanalyse met behulp van de uit stap 2, 3 en 4 verkregen resultaten.[Dit proces is meer in detail beschreven in punt 3.5. van deze handreiking.]

Stap 6 Uitvoeren kosten-batenanalyse.[Dit proces is meer in detail beschreven in punt 3.6. van deze handreiking.]

Stap 7 Het nemen van security maatregelen.[Dit proces is meer in detail beschreven in punt 4.2. van deze handreiking.]

Stap 8 Het beschrijven en vorm geven aan de security organisatie (intern).[Dit proces is meer in detail beschreven in punt 5.2. van deze handreiking.]

Stap 9 Het afstemmen met hulpdiensten.[Dit proces is meer in detail beschreven in punt 5.3. van deze handreiking.]

09

1. Inleiding Security Managementsysteem

Deze handreiking is een uitvloeisel van het recentelijk door de deelnemende partijen – industrie en overheid - geaccordeerde Convenant voor de Olie en (Petro-) Chemische Industrie. In dit con-venant verplicht ieder deelnemend bedrijf zich om een security managementsysteem (SMS) in te richten (voor zover nog niet aanwezig) en te onderhouden. De overheid levert hieraan een bij-drage in de vorm van deze handreiking.

1.1 Achtergrond en aanleiding

De olie- en (petro-) chemische industrie is aangeduid als een van de sectoren die vitaal zijn voor Nederland. De aanleiding hiervoor is de motie Wijn2. Antwoord moest gegeven worden op de vraag in hoeverre de Nederlandse vitale infrastructuur kwetsbaar is voor uitval, door moedwillige verstoring, door technisch-organi-satorisch falen of door natuurverschijnselen.Kort na deze motie werd de wereld opgeschrikt door de aan-slagen op het World Trade Center in New York, door velen aan-geduid met nine eleven. Naast veel slachtoffers werd ook veel schade toegebracht aan de vitale infrastructuur van de VS met alle gevolgen van dien.De motie heeft geleid tot het project bescherming vitale infra-structuur (BVI), dat gecoördineerd wordt door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Bij dit project zijn naast de vitale sectoren, ook alle verantwoordelijke vakministe-ries bij betrokken.Als zich een incident voordoet, kan dit grote gevolgen hebben voor de omgeving. De (petro-) chemische sector is van vitaal belang voor Nederland en daardoor erg gevoelig voor calamitei-ten.

In de Beleidsbrief Bescherming Vitale Infrastructuur van 16 sep-tember 2005 aan de Tweede Kamer wordt aangegeven dat op het terrein van security een intensivering gewenst is. Het convenant dat nu is afgesloten tussen de overheid en de olie- en (petro-) chemische industrie, het oprichten van het publiek-private Nationaal Adviescentrum Vitale Infrastructuur (NAVI) dat vitale bedrijven en overheden adviseert op het gebied van security en het instellen van de Nationaal Coördinator Terrorismebestrijding zijn daar het uitvloeisel van.

Deze handreiking is door het ministerie van VROM (directie Externe Veiligheid) in samenwerking met het ministerie van BZK

(waaronder het NAVI), het ministerie van EZ en een aantal bedrij-ven uit de olie- en (petro) chemische industrie opgesteld.

1.2 Convenant Olie en (Petro-) Chemische Industrie

Onder het convenant vallen bedrijven uit de chemische sector, te weten de zgn. Brzo ‘99-bedrijven3. Omdat veel bedrijven ook petrochemische activiteiten uitvoeren, zijn ook oliebedrijven gevraagd deel te nemen aan dit convenant.

De ministeries genoemd in paragraaf 1.1 en de industrie onder-kennen dat de locaties waar olie en (petro-) chemische bedrij-ven gevestigd zijn mogelijk doelwit voor moedwillige verstoring kunnen zijn. Daarom heeft VROM samen met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en een aantal onderne-mingen het project ‘Security in de Chemiesector’ uitgevoerd om inzicht te krijgen in de wijze waarop en de mate waarin olie en (petro-) chemische bedrijven ‘security’ hebben vormgegeven.

De uitkomsten van het project zijn verschillend, de conclusie ech-ter duidelijk: VROM, AIVD en de deelnemende bedrijven zijn van oordeel dat een security managementsysteem (SMS) het instru-ment is om er voor zorg te dragen dat olie en (petro-) chemische bedrijven een adequaat weerstandsvermogen4 hebben.

Het is dus noodzakelijk dat een dergelijke security management-systeem door de betreffende bedrijven wordt ingevoerd en onder-houden. De afspraken die daarmee verband houden zijn in het convenant vastgelegd.

1.3 Noodzaak voor security

Men kan zich verschillende redenen voorstellen waarom security noodzakelijk is. Allereerst zorgt security ervoor dat de bedrijfsprocessen binnen het bedrijf ongestoord kunnen worden uitgevoerd. Security is dus voorwaardenscheppend.

2 Motie Wijn, (TK, 2001-2002, 26 643, nr. 20)3 Brzo, Besluit risico’s zware ongevallen4 Het weerstandsvermogen is in feite de mate van beveiliging tegen

incidenten.

10

Maar ook weten regelgeving zijn belangrijke redenen. Kernenergie centrales bijvoorbeeld moeten ingevolge de Kernenergiewet en internationale overeenkomsten aan een bepaald niveau van security voldoen. Het niveau wordt regelmatig door internationale inspectieteams gecontroleerd.

Ook maatschappelijke en politieke druk kan als reden voor beveiliging worden genoemd. Een krantenkop in De Telegraaf: “Wapens gestolen uit magazijn bij Defensie” scoort niet bij het betreffende ministerie. Zo’n incident beïnvloedt het imago van een bedrijf in belangrijke mate. Het imago is voor veel bedrijven een belangrijke reden om de security van het bedrijf goed te organiseren.

Om deze redenen en om negatieve effecten zoveel mogelijk uit te sluiten, is het beter om security maatregelen en voorzieningen op basis van risicomanagement te treffen.

Risicomanagement in algemene zin omvat alle activiteiten die erop gericht zijn om de risico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen5. We stellen ons dan vragen zoals hoe we met eerder vastgestelde risico’s moe-ten omgaan en hoe we risico’s kunnen beheersen. Wanneer we het totale proces van beleid tot uitvoering met inbegrip van de borging van kwaliteit op het gebied van beveiliging (security) beschouwen als security management, is risicomanagement een onderdeel van het security managementproces. Het hanteren van risicomanagement in een bedrijf leidt tot het doelbewust inzetten van security maatregelen en voorzieningen als integraal onder-deel van de bedrijfsvoering van het bedrijf.

Als het kalf verdronken is … Veel bedrijven treffen security voorzieningen en nemen security maatregelen nadat er een incident heeft plaatsgevonden. “Dat mag nooit meer gebeuren”, luidt dan de opdracht van de directie aan de security functionaris. Op zijn of haar beurt treft deze dan die security maatregelen en voorzieningen die in het kader van dit incident als afdoende worden geacht. Dit ‘reactief beveiligen’ ook wel ‘incident-gedreven beveiligen’ genoemd, leidt meestal tot aanzienlijke investeringen en exploitatiekosten.

Het is daarom verstandig om security te organiseren voordat zich een incident heeft voorgedaan. De ervaring leert, dat het inci-

dent-gedreven beveiligen extra geld kost – geld dat vervolgens dus niet voor de kerntaak van het bedrijf ingezet kan worden. Vanuit een organisatiebreed gezichtspunt is er in plaats van een quick win dus letterlijk sprake van een quick loss.

1.4 Introductie Security Managementsysteem (SMS)

Security management gaat over de volgende activiteiten:

• hetinlijnmetdevisieenmissievanhetbedrijfendedaaropgebaseerde plannen formuleren van een security strategie en deze in security plannen uitwerken (SMART);

• hetstructurerenvandesecurityorganisatie;• hetleidenvanhetsecuritypersoneel;• hetcontrolerenofdebeoogdesecuritydoelstellingenwelwor-

den bereikt.

Organisatorische en personele maatregelen worden samen met bouwkundige en elektronische voorzieningen (waaronder ICT) ingezet om de security doelstellingen te bereiken. Dat maakt security management een complex vak. Het vraagt om een gestructureerde, planmatige en systematische aanpak. Door het inrichten en onderhouden van een security managementsysteem wordt het mogelijk de security doelstellingen efficiënt en effectief te realiseren.

In algemene zin is een systeem ‘een geheel van elkaar weder-zijds beïnvloedende elementen gericht op het bereiken van een bepaald doel’. Op basis van deze eenvoudige definitie en de bovengenoemde uitleg van security management ziet een secu-rity managementsysteem (SMS) er als volgt uit.

5 Cees Coumou (2003) “Risicomanagement voor security- en facilitymanagers”, Alphen aan den Rijn: Kluwer.

11

Figuur 1 toont een security managementsysteem als een socio-technisch systeem. Dat wil zeggen dat de ‘ wederzijds beïn-vloedende elementen’ in dit systeem een ‘menselijk’ en een ‘technisch’ karakter dragen.

Het socio-deel gaat over de mens als zwakste én als sterkste schakel. Een bekend voorbeeld van de zwakste schakel is de keg onder de deur om deze open te laten staan. Hiermee wordt het kostbare toegangsbeheersysteem van een organisatie omzeild. Een voorbeeld van de sterkste schakel is de security beambte die zich nauwgezet aan zijn opdrachten houdt en zich niet laat ver-murwen door wie of wat dan ook.

De organisatorische en personele security maatregelen passen in dit gedeelte van het systeem. Voorbeelden van organisatorische maatregelen zijn toegangsbeheer, clean desk policies, contro-lerondes en security bewustzijn (awareness). Voorbeelden van personele security maatregelen zijn ondermeer werving, selectie en pre-employment screening van nieuw personeel, beloning- en sanctiebeleid, vorming en opleiding. De technische kant van een security managementsysteem ken-

merkt zich door bouwkundige en elektronische (inclusief ICT) voorzieningen. De bouwkundige voorzieningen bestaan meestal uit versterkte muren en deuren en goede sloten. Elektronische voorzieningen zijn meestal detectoren, Closed Circuit Television (CCTV)-systemen, kaartlezers. In het kader van informatiebeveili-ging (ICT) gaat het over firewalls en antivirusprogrammatuur.

In het kader van het convenant is het security management-systeem als volgt gedefinieerd:Het security managementsysteem bevat tenminste de volgende elementen: een vastgesteld security beleid, risico-identificatie en – analyse, security maatregelen en –voorzieningen en af spraken over de interne en externe security organisatie.

1.5 Security en kwaliteit

Veiligheid draagt bij aan het streven om een organisatie goed te laten functioneren. Daarbij wordt gefocused op het bereiken van een zo hoog mogelijke kwaliteit. Dit proces, continu verbeteren, neemt in het bedrijf een blijvende plaats in. Het principe is terug

veiligheidonveiligheidsocio- technisch

systeem

Figuur 1: SMS

12

te voeren naar een eenvoudig model dat bekend staat onder de naam: ‘Deming-cirkel’ of ‘Plan Do Check Act – cirkel’ of ‘de regelkring’. Het model biedt de security managers gereedschap om ook binnen het security managementsysteem kwaliteit te realiseren.

1.6 Eisen aan het SMS vanuit het convenant

In het convenant is de afspraak gemaakt dat het te implemente-ren SMS tenminste de volgende elementen bevat: • eenvastgesteldsecuritybeleid;• risico-identificatieen–analyse(risicomanagement);• securitymaatregelenenvoorzieningen;• afsprakenoverdeinterneenexternesecurityorganisatie.

In deze handreiking worden negen stappen doorlopen aan de hand waarvan kan worden gestreefd naar een SMS dat aan de eisen uit het convenant voldoet.

PLAN

DO

CHECK

ACT

Figuur 2

13

2. Security beleid

Een goede start voor het inrichten van een security manage-mentsysteem is om het security beleid te beschrijven. In dit hoofdstuk wordt een introductie op security beleid beschreven. Stap 1 om te komen tot een SMS: het opstellen van een security beleidsplan.

2.1 Inleiding security beleid

Beveiligings- of security beleid is een thema dat eenvoudig uit te leggen en te begrijpen is. Letterlijk is het een plan van aanpak voor het oplossen van security problemen in de meest ruime zin.

Een organisatie formuleert beleid om haar doelstelling te kun-nen realiseren. Men heeft dus een bepaald resultaat voor ogen. Daarbij is de directie verantwoordelijk voor het algemeen beleid, stelt dit beleid vast en neemt het op in een beleidsplan. Dit plan is nodig om verbeteringen of veranderingen in de toekomst aan te geven en om, daaraan gerelateerd, richting te geven aan struc-turele veranderingen in personeel en middelen.

Alle managementdisciplines binnen het bedrijf krijgen aandacht in het beleidsplan: het strategische management, human resour-ce management, het financieel management, het operationeel management, het ICT- en middelenmanagement, veranderings-management, kwaliteitsmanagement, safety management en ook security management.

Bij security beleid staan de volgende vragen centraal:• Watmoetwordenbeveiligd?(deessentiëlezakenvanhet

bedrijf)• Waartegenmoetwordenbeveiligd?(dreigingen)• Metwelkemiddelenkandithetbestegebeuren?(maatrege-

len)

Om security beleid en uitvoering ervan op een planmatige en systematische manier te kunnen verankeren in het bedrijf, is het belangrijk dat er zowel bij directie als ook bij de medewerkers draagvlak bestaat.

Dit moet uiteindelijk uitmonden in een security beleidsplan of, afhankelijk van de grootte van het bedrijf, in een intentie-verklaring over security.

2.2 Stap 1: Opstellen van het security beleidsplan

De eerste stap voor de inrichting en onderhouden van een secu-rity managementsysteem is een door de directie goedgekeurd security beleidsplan of een security intentieverklaring bij een kleiner bedrijf. In beide gevallen komen de volgende onderwer-pen aan bod:• debetrokkenheidvandedirectiebijsecurity;• derelatievansecuritymethetalgemenebedrijfsbeleid;• dehoofdlijnenvanhetsecuritybeleid;• verwijzingennaarwet-enregelgeving;• eventueleinterneregelgevingdiealsbasiskandienenbijde

security;• deorganisatievansecurity;• detoezichtenhandhaving;• deverantwoordelijkhedenenbevoegdheden;• definanciëlemiddelen;• kwaliteitszorgensecurity;• deinformatieverstrekking;• nadereaanwijzingenoverbeleidsoverlegsecurity

(periodiciteit).

Om een goed beeld te krijgen van een security beleidsplan is in bijlage 2 een voorbeeld opgenomen.

14

3. Risicomanagement

Al eerder hebben we gezien dat risicomanagement6 in algemene zin alle activiteiten omvat die erop gericht zijn om de risico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheer-sen7. Om er achter te komen aan welke risico’s het bedrijf blootstaat, voeren we een risico-inventarisatie en -analyse uit. Iedere orga-nisatie loopt op elk voorstelbaar gebied voortdurend risico’s. Elke manager is daarom op zijn of haar gebied bezig met risicobe-heersing. Met name de security manager zal zich veelal richten op het voorkomen of beheersen van ongeautoriseerde beïnvloe-ding van de bedrijfsprocessen, of in het kader van terrorismebe-strijding, moedwillige verstoring van de bedrijfsprocessen.

In dit hoofdstuk staat eerst informatie over risicomanagement. Hierin wordt beschreven wat we onder risicomanagement ver-staan en welke methoden er zijn voor het uitvoeren van een risicoanalyse. Vanaf paragraaf 3.1.1. worden de volgende stappen voor het inrichten van een SMS beschreven: het uitvoeren van een afhankelijkheidsanalyse, een dreiginganalyse, een kwets-baarhedenanalyse, de risicoanalyse en een kosten-batenanalyse.

3.1 Inleiding risicomanagement

Om een goede risicoanalyse te kunnen uitvoeren is kennis en informatie nodig over het bedrijf, over concrete en potentiële dreigingen én over maatregelen die de weerbaarheid van een bedrijf verhogen. Doel van de risicoanalyse is om in te spelen op ernstige risico’s van nu en in de nabije toekomst (zie figuur 3).

Drie belangrijke aspecten dragen bij aan de risico’s die een bedrijf loopt, te weten de onderwerpen bedrijfsbelangen, dreiging en kwetsbaarheid.

De bedrijfsbelangen betreffen de vitale bedrijfsprocessen en cruciale onderdelen van het bedrijf. Deze belangen, waarvan het bedrijf afhankelijk is voor het bereiken van zijn doelstelling, moeten beschermd worden om ernstige bedrijfseconomische of maatschappelijke schade te voorkomen.

De dreiging hangt af van de mogelijkheden van potentiële daders (capability) en de mate waarin zij bereid zijn om hun daad uit te voeren (intent). Tijdens de risico-inventarisatie en –analyse zal deze dreiging in kaart moeten worden gebracht. Daarbij is de

doelstelling het meten van de bereidheid en de mogelijkheden van de daders en deze vervolgens te rangschikken op de mate van gevaar die zij voor het bedrijf opleveren.

De security manager kan over veel bronnen beschikken om zicht op de dreiging te krijgen. Het ligt voor de hand dat hij dreiging-informatie opvraagt bij de regiopolitie en ook bij collega’s van bedrijven in de buurt. Het lezen van vakbladen en participeren in een beroepsvereniging kan bovendien meehelpen. Op het gebied van terrorismebestrijding kan hij voor actuele dreiginginformatie de internetsite van de NCTb raadplegen. Als bedrijven zich aan-sluiten op het Alerteringssysteem van de NCTb zijn ze verzekerd van periodieke informatie.

De kwetsbaarheid hangt af van de mogelijkheden die de omge-ving deze potentiële daders biedt. De weerbaarheid van een bedrijf is in dit kader belangrijk.Figuur 3 op blz 15 toont de onderdelen van een risicoanalyse.

Wanneer een bedrijf zich wat betreft zijn beveiliging alleen baseert op de verwachte of ingeschatte dreiging, kan men moge-lijk tot verkeerde conclusies komen. Een lage dreiging zou men met relatief weinig middelen het hoofd kunnen bieden. Wanneer men zich echter op risico’s oriënteert - dus naast de dreiging, de kwetsbaarheid en het belang in de overwegingen meeneemt - is het niet uitgesloten dat men ondanks een lage dreiging grote risico’s moet vaststellen. Het volgende hoofdstuk gaat dieper op deze denkwijze in.

3.1.1 RisicoanalysemethodiekMensen en organisaties zijn voortdurend bezig dagelijkse risico’s te beheersen. Vaak gebeurt dat intuïtief, zonder een expliciete aanpak of methodiek. Maar er zijn ook bedrijfssectoren en vak-gebieden die gespecialiseerd zijn in het analyseren en managen van risico’s. Een voorbeeld hiervan is de financiële sector, die zich bezighoudt met het beperken van risico’s rond investeringen, verzekeringen en beleggingen.

6 De tekst van deze paragraaf en bijbehorende subparagrafen berust met toestemming van de NCTb en het NAVI in belangrijke mate op de “Wat kan uw bedrijf ondernemen tegen terrorisme? Handreiking voor bedrijven” uit-gegeven door de NCTb.

7 Cees Coumou (2003) “Risicomanagement voor security- en facilitymana-gers”, Alphen aan den Rijn: Kluwer.

15

Een ander soort risicomanagement is het beperken van risico’s die kwaadwillende personen, zoals terroristen, bewust veroorza-ken. Hiervoor zijn specifieke risicoanalysemethoden ontwikkeld. Ze bestaan meestal uit een combinatie van een afhankelijkheids-analyse, een dreigingsanalyse en een kwetsbaarheidanalyse.

Het schema (figuur 4 op blz 16) kan helpen bij de uitvoering van een (minder omvangrijke) risicoanalyse. Aan de hand van deze stappen kunnen de risico’s van een bedrijf worden gerangschikt en benoemd. Dit vormt de basis voor (aanvullende) maatregelen om risico’s te verminderen.

In de afhankelijkheidsanalyse staan de kroonjuwelen van het bedrijf centraal: vitale bedrijfsprocessen en cruciale onderdelen van het bedrijf. Deze kroonjuwelen waarvan het bedrijf afhanke-lijk is voor het bereiken van zijn doelstelling moeten beschermd worden om ernstige bedrijfseconomische of maatschappelijke schade te voorkomen.

In de dreigingsanalyse worden kwaadwillende personen en hun activiteiten onderzocht.

Hier staat de kans op de dreiging centraal.

In de kwetsbaarheidanalyse gaat het om de weerbaarheid van een bedrijf door de genomen security maatregelen en –voorzie-ningen.

In de risicoanalyse worden de cruciale belangen en afhankelijk-heden, de kans op dreigingen en de weerbaarheid van een bedrijf aan elkaar gerelateerd. Dat levert een beeld op van de risico’s van een bedrijf.

Welke risico’s het bedrijf wel of niet wil lopen is vastgelegd in het security beleidsplan. De risicoanalyse levert een beeld op van de aanwezige risico’s, de mate van bedreiging en de (nog) te nemen maatregelen. Wanneer we voor de taak staan om de risico’s te beheersen, zullen we daarvoor een soort middelenplan moeten ontwikkelen.

Belang (financieel of anderszins)

Kwetsbaarheid (omgeving)

Dreiging (b.v. door criminaliteit)Risico

Figuur 3

16

3.1.2 Het middelenplanIn het middenplan worden de security maatregelen en voor-zieningen beschreven die in te zetten zijn om de vastgestelde risico’s te beheersen. In de wetenschap dat nooit alle risico’s te beheersen zijn, wordt ernaar gestreefd om de restrisico’s zo klein mogelijk te krijgen. Restrisico’s zijn de risico’s die overblijven wanneer we alle noodzakelijk geachte security maatregelen en -voorzieningen hebben getroffen. Een aantal middelen is veelal al in het bedrijf aanwezig; op basis van de risicoanalyse zal veelal blijken dat er aanvullende maatregelen nodig zijn.In het middelenplan gaat het heel concreet om een opsomming van technische maatregelen en voorzieningen, te weten:• debouwkundingemaatregelen;• deelektronischemaatregelen;• dealarmering;• compartimenteringsmaatregelen;• (...).

Het mag duidelijk zijn dat we met dit plan in de hand ook heel eenvoudig aanvullende maatregelen kunnen nemen.

Het ontwerpen van dit onderdeel van het security plan is niet eenvoudig, maar kan door de toepassing van een aantal instru-menten sterk vereenvoudigd worden. In deze paragraaf komt verder de security matrix aan de orde, vervolgens krijgt de tijdpad analyse aandacht.

Overigens is niet alles ‘planbaar’. Een tijdpadanalyse is op zich een goed instrument, maar heeft weinig meerwaarde bij inci-denten zoals bij voorbeeld beschieting met raketten, bomauto’s, gijzeling, afpersing of ICT-aanvallen. De vraag is natuurlijk of dit reële incidenten zijn. Uiteraard moet men eerst nadrukkelijk nadenken over welke scenario’s mogelijk en echt zijn. In deze paragraaf gaan we overigens nog niet in op de verschillende security strategieën en security maatregelen en voorzieningen. Bovendien wordt in de handreiking maar een beperkt aantal van de beschikbare instrumenten genoemd.

3.1.3 Security matrixSecurity managers staan voor de taak een uitspraak te doen over de mate van beveiliging en daarop actie te nemen. Bij dit proces kan een eenvoudig, doch grofmazig instrument enigszins hulp

Kwetsbaarheidsanalyse(zie 3.4)

Bep

erke

n va

n ri

sico

’s

Afhankelijkheidsanalyse(zie 3.2)

Risicoanalyse(zie 3.5.)

Kosten- en batenanalyse(zie 3.6)

Dreigingsanalyse(zie 3.3)

Figuur 4

17

bieden: de security matrix. De input voor de security matrix levert de naar zijn ontwerper genoemde ‘Jaarsma-schaal8’ (nadien als waarde-incident-schaal opgenomen in DHM® voor security management). Deze Jaarsma-schaal is voor deze handreiking aangepast (zie figuur op bla 18).

Om de zwaarte van het risico te bepalen gebruiken we de formule ‘Risico is Kans maal Effect’ [ R = K x E ], waarbij we ons steeds moeten realiseren dat deze benadering subjectief is.De toepassing is als volgt. Als eerste bepalen we de kans, dat een incident zich kan voordoen.

Vervolgens kijken we naar het effect dat optreedt of de effecten die optreden wanneer het incident zich voordoet.

Voorbeeld: wanneer we de kans op een incident groot vinden scoort dit in de tabel ‘kans’ een 8. Bij de effectbepaling nemen we altijd de hoogste score. Als dat bijvoorbeeld bij algemene beoordeling: hindelijk is, scoort dat een 4.

Kansbepaling

K Kans Kwalificering

2 heel kleine tot kleine

Praktisch onmogelijk tot denkbaar, maar zeer onwaarschijnlijk

4 matige Ongewoon, maar mogelijk

6 gerede Voorstelbaar

8 grote Zeer goed mogelijk

Effectbepaling

E Verstoring bedrijf in mensuren

Materiële schade, kosten reparatie

Publicitaire schade Operationele gereed-heid

Algemene beoorde-ling

2 < 40 uur en/of < € 2.500 Enige 1 dag verstoring Kleine omvang

4 < 500 uur en/of < € 50.000 Aanzienlijke 3 dagen verstoring Hinderlijk

6 < 3000 uur en/of < € 500.000 Grote 2 weken verstoring Omvangrijk

8 < 4000 uur en/of > € 500.000 Zeer grote Volledig ontregeld Ramp

8 Ing J.C. (Jan) Jaarsma (1994) “Beveiliging Van Braam Houckgeest kazerne te Doorn”, Nootdorp: Secure Connection B.V.

18

Let op: de gebruikte waarden in de matrices zijn algemeen. Per bedrijf zullen deze waarden op hun bruikbaarheid of toepasselijk-heid moeten worden beoordeeld, aangepast en vastgesteld. Een kwestie van beleid dus!

Uitwerking in de security matrixDoor de kans en het effect in de eerdergenoemde tabellen te scoren, kunnen we deze waarden in de formule R = K x E invul-len. Bovengenoemde voorbeeld leidt tot R = K x ER = 8 x 4R = 32

Het idee is nu, dat de belangen die in de 32 – 64 range scoren de zwaarste beveiliging krijgen. Hier accepteert men geen enkele schade aan het te beveiligen belang.

De belangen die scoren in de 4 – 12 range krijgen geen of de lichtste beveiliging. Hier accepteert men zoveel schade aan het te beveiligen belang als daders kunnen maken in de periode vallend tussen bij voorbeeld twee surveillances (dat kan letterlijk zijn: het maken van schade, maar ook het ontvreemden van zaken behoort hiertoe). De moeilijkste categorie zijn de belangen die scoren in de 16 – 24 range. Hier zal de security manager de mate van beveiliging per geval moeten beoordelen.

Het instrument of hulpmiddel lijkt discutabel, maar heeft in de praktijk zijn nut bewezen. Het is snel en redelijk betrouwbaar. Voorwaarde voor de mate van die betrouwbaarheid is, dat de beoordeling van het te beveiligen belang in relatie tot het risico door een groep van mensen (bij voorbeeld een auditteam) uitge-voerd wordt. Er is dan sprake van collectieve subjectiviteit, waar-door persoonlijke meningen enigszins afgezwakt worden.

Steeds moet men overwegen of men de gedachte maatregelen en voorzieningen wel of niet gaat nemen. De security manager doet voorstellen aan de directie. ‘Effecten’ kunnen de adequate inschatting van risico’s soms vertroebelen en vergen doorgaans een hard managementbesluit waarbij de kosten-batenanalyse nadrukkelijk aan de orde is. Daarnaast kunnen bureaupolitieke overwegingen een rol spelen bij de uiteindelijke duiding van risico’s en de beheersing daarvan met behulp van security maat-regelen en voorzieningen. De directie beslist!

3.1.4 TijdpadanalyseWanneer security maatregelen en voorzieningen zijn geïmple-menteerd, is het in lijn met de uitgangspunten voor adequaat security management om het security ontwerp en de realisatie ervan te toetsen. Hiervoor gebruikt men veelal de tijdpadanalyse. Deze analyse9 werkt als volgt.

We trekken twee parallelle lijnen en voorzien deze lijnen van een schaalverdeling (zie uitgewerkt voorbeeld met tijdschaal op blz 19).

Het mogelijke scenario van de dader(s) wordt in activiteiten opgesplitst en vervolgens op de bovenste lijn in tijd zichtbaar gemaakt. Op de onderste tijdlijn vinden we de activiteiten om de inbraak of een ander incident te verijdelen.

16 32 48 64

12 24 36 48

8 16 24 32

4 8 12 16

KA

NS

klei

n gr

oot

klein grootEFFECT

9 Voorheen bij de politie als PIVA-ALRE-methodiek aangeduid; binnen DHM® voor security management INCI-DETAR-methodiek genoemd.

Bijgestelde Jaarsma-schaal

19

Uitgewerkt voorbeeld met tijdschaal

DaderA. Verplaatst zich van de openbare weg naar de periferie van het bedrijf. 6 minuten. (Totale tijd 6 minuten.)B. Knipt gat in hek. 2 minuten. (Totale tijd 8 minuten.)C. Verplaatst zich over bedrijfsterrein. 6 minuten. (Totale tijd 14 minuten.)D. Breekt in door bovenlicht te forceren. 3 minuten. (Totale tijd 17 minuten.)E. Detectiesysteem genereert een alarm.F. Buit verzamelen. 11 minuten. (Totale tijd 28 minuten.)G. […]

RepressieK. Ontvangst gegenereerd alarm in particuliere alarmcentrale.L. Detectieverificatie met behulp van video. 2 minuten. (Totale tijd 2 minuten.)M. Waarschuwen politie en aanrijtijd. 5 minuten. (Totale tijd 7 minuten.)

De politie is in dit voorbeeld op tijd om de inbreker op heterdaad te betrappen!

0 5 10 15 20 25 30 35 40 45 50

0 5 10 15 20 25 30 35 40 45 50

A B C D F

LK

Dader lijn

Repressie lijn

20

3.2 Stap 2 – Uitvoeren afhankelijkheidsanalyse

De afhankelijkheidsanalyse bepaalt voor elk belang de waarde en daarmee de afhankelijkheid. Denk aan mensen, bedrijfspro-cessen, cruciale bedrijfselementen, grondstoffen, objecten of locaties. Het gaat om belangrijke waarden die kunnen worden aangetast en waarvan een bedrijf afhankelijk is.

Hieronder volgen een paar invalshoeken om de belangen en de afhankelijkheden van bedrijven te verhelderen:• mensenenhunveiligheidzijnnatuurlijkvanhetgrootste

belang voor ieder bedrijf. Elk bedrijf moet de fysieke veiligheid van mensen kunnen waarborgen;

• informatiekanuniek,kostbaar,imagogevoelig,vertrouwelijkof cruciaal zijn voor de continuïteit of concurrentiepositie van een bedrijf. De beschikbaarheid, vertrouwelijkheid of de inte-griteit van de informatie moet dan ook worden veiliggesteld;

• bedrijfsprocessenzijnvaakcruciaalvoordecontinuïteitofconcurrentiepositie van een bedrijf. Deze processen mogen niet of zo min mogelijk worden verstoord;

• grondstoffen,productiemiddelen,productenendienstenkun-nen kostbaar voor het bedrijf zijn en aantrekkelijk voor kwaad-willenden. Het is dan ook belangrijk om de beschikbaarheid en integriteit hiervan te waarborgen.

Een goede afhankelijkheidsanalyse geeft inzicht in de belangen die het bedrijf onderkent en de waarde ervan. Ook geeft de ana-lyse aan waarvan die belangen afhankelijk zijn. Zo kan bepaalde informatie cruciaal voor een bedrijf zijn. Om deze informatie te beschermen is het bedrijf afhankelijk van een betrouwbaar computersysteem. Mede op basis van de afhankelijkheidsana-lyse krijgt het bedrijf inzicht in de aard en omvang van de schade die een ernstig incident kan aanrichten. Deze schade kan van bedrijfseconomische of meer maatschappelijke aard zijn. De aard en omvang van de schade die een incident kan aanrichten noe-men we het effect of de ernst van een incident. Een categorise-ring en rangschikking van de ernst van mogelijke schades vormt de basis voor de risicoanalyse.

De afhankelijkheidsanalyse levert een overzicht van de ver-schillende te beveiligen belangen en hun gewicht ten opzichte van elkaar op (letterlijk: het ene belang telt zwaarder dan het andere). Een zwaarder belang vereist een zwaardere beveiliging dan een minder zwaar belang. Daarnaast geeft de analyse een

overzicht waar deze belangen zich bevinden. Hiermee worden de risico plaatsen – de plaatsen waar de risico’s bestaan - bekend.

Een inventarisatie van de belangen, inschatting van de zwaarte van deze belangen en de risicoplaatsen vormen de eerste bouw-steen voor de risicoanalyse.

3.3 Stap 3 – Uitvoeren dreigingsanalyse

Als de belangen en de afhankelijkheden van een bedrijf zijn benoemd en gerangschikt, moeten we systematisch kijken hoe die belangen kunnen worden bedreigd. Wie kunnen een belang schaden en hoe gaat men te werk?

Een dreigingsanalyse spreekt zich uit over (potentiële) dreigin-gen. Bij deze analyse is het verstandig eerst mogelijke kwaadwil-lende personen zoals criminelen in kaart te brengen. De keuze van kwaadwillenden voor een bepaald bedrijf is afhankelijk van de aantrekkelijkheid van dat bedrijf en de genomen security maatregelen (vergelijk de aantrekkelijkheid van de buit die bij een juwelier te ‘verdienen’ is met bij voorbeeld de buit bij een composteerbedrijf). Wie heeft de kennis, kunde en intentie om specifieke bedrijven schade toe te brengen? Vervolgens moeten we vaststellen met welke middelen en met welke methoden kwaadwillenden te werk kunnen of zullen gaan.

Om een dreigingsanalyse op te stellen waarin de terroristische dreiging centraal staat, kunnen bedrijven gebruikmaken van de informatie van de AIVD (www.aivd.nl) en de NCTb (www.nctb.nl). Om een inschatting te maken van dreiging die uitgaat van bijvoor-beeld criminelen, moeten bedrijven andere bronnen en deskundi-gen raadplegen.Een categorisering en inschatting van de kans op een (terro-ristische of criminele) dreiging is de tweede bouwsteen voor de risicoanalyse.

3.4 Stap 4 – Uitvoeren kwetsbaarheidsanalyse

De kwetsbaarheidsanalyse onderzoekt de kwetsbaarheid van bedrijven voor onbevoegde beïnvloeding, zoals bijvoorbeeld cri-minaliteit of terroristische activiteiten. In de analyse wordt een relatie gelegd tussen de methoden en de middelen van kwaad-

21

willenden en de weerbaarheid van het bedrijf daartegen. De methoden en middelen die kwaadwillenden kunnen of zullen gebruiken, vloeien voort uit de dreigingsanalyse.

De kwetsbaarheidsanalyse verstrekt inzicht in de wijze waarop het bedrijf zich heeft beveiligd tegen bepaalde scenario’s en vormt de derde bouwsteen voor de risicoanalyse.

In de risicoanalyse moeten deze bouwstenen vervolgens samen-gevoegd worden. Voordat we deze stap maken is het nodig om even stil te staan bij twee belangrijke aspecten binnen security management, namelijk de standaardscenario’s en de veiligheids-keten.

3.4.1 Standaardscenario’sEen scenario is letterlijk een chronologische beschrijving van een bepaald voorval (of een aaneenschakeling van voorvallen) dat heeft plaatsgevonden of kan plaatsvinden. Het is een aan-nemelijke en vaak vereenvoudigde beschrijving van wat mogelijk zou kunnen gebeuren, gebaseerd op een samenhangende en onderling verenigbare reeks veronderstellingen over belangrijke sturende krachten op het terrein van security en relaties van security. De wijze van optreden van de tegenstander (potentiële crimineel of terrorist of anderen), ook wel de modus operandi genoemd, maakt hier deel van uit.

Wanneer men scenario’s tracht te ontwikkelen voor de eigen security situatie, zijn er in theorie oneindig veel te bedenken. Maar niet allemaal zijn ze even reëel. Het is aan het bedrijf om te bepalen welke scenario’s het mee wil nemen. In het kader van het convenant ontwikkelt en beheert een speci-aal daartoe in het leven geroepen werkgroep een set standaard scenario’s met reële voorvallen. Daarmee blijft het aantal voor-vallen waartegen men zich moet beveiligen beheersbaar en blij-ven de scenario’s actueel.

3.5 Stap 5 – Uitvoeren risicoanalyse

De risicoanalyse brengt de belangen, dreigingen en weerbaarheid van het bedrijf bij elkaar. Het geeft inzicht in de soorten risico’s, welke risico’s acceptabel zijn en tegen welke risico’s het bedrijf maatregelen moeten nemen. Het onjuist analyseren van de risi-co’s leidt mogelijk tot security incidenten.

De risicoanalyse maakt de ernst of het effect van de meest waar-schijnlijke security incidenten duidelijk en houdt rekening met de weerbaarheid van het bedrijf.De risicoanalyse betrekt de resultaten uit de andere analyses:• dekansopdreigingenenincidenten;• deweerbaarheidvanhetbedrijftegenspecifiekedreigingenof

activiteiten;• deernstvandeschadedieincidentenondanksdeweerbaar-

heid van het bedrijf veroorzaken.

De kans op incidenten uit de dreigingsanalyse wordt concreter in het licht van de bestaande én ontbrekende weerbaarheid (maat-regelen en voorzieningen) uit de kwetsbaarheidanalyse. Sommige incidenten zullen bij nader inzien door de al aanwezige maat-regelen minder aannemelijk blijken te zijn. Zo kan een bedrijf beschikken over informatie die voor bijvoorbeeld terroristen interessant is. Als blijkt dat een bedrijf adequate security maat-regelen heeft genomen, is de kans dat deze informatie misbruikt wordt - en daarmee de kans op een incident - kleiner.

De kans dat een bedrijf te maken krijgt met een terroristische aanslag is doorgaans veel lager dan bijvoorbeeld de kans op dief-stal. Daar staat tegenover dat de schade door een terroristische aanslag veel ernstiger kan zijn dan de schade die door diefstal wordt veroorzaakt.

In de risicoanalyse wordt de kans op bijvoorbeeld een criminele daad of terroristische aanslag daarom gerelateerd aan het effect van het incident. Het resultaat is een waardering van het risico, zoals al werd toegepast bij de security matrix. De formule hier-voor is:

Risico = Kans X Effect

Nadat de risico’s in een rangorde geplaatst zijn, geeft het bedrijf aan welke risico’s acceptabel zijn en tegen welke risico’s het aan-vullende maatregelen moet nemen.

De analysetabel laat zien waar de afhankelijkheidsanalyse, dreigingsanalyse, kwetsbaarheids analyse en risicoanalyse met elkaar samenhangen, waar zij zich op richten en waar dat toe leidt.

22

Een belangrijk – absoluut niet te vergeten – aspect is dus de ‘samenhang der dingen’. In een analyse wordt het eigen optreden afgezet tegen het optreden van de tegenstander om duidelijkheid over het eigen weerstandsvermogen (effectiviteit en efficiëntie) te verkrijgen.

Aan de hand van de uitkomsten van en het vervolg op de analyse wordt de behoefte aan aanvullende security maatregelen en voorzieningen bepaald.

3.6 Stap 6 - Kosten- en batenanalyse

De kosten- en batenanalyse, ook wel maatregelenanalyse genoemd, bekijkt de aanvullende maatregelen die de vastgestel-de risico’s kunnen verminderen. Het is belangrijk om alle scha-kels uit de veiligheidsketen hierbij te betrekken (zie 3.6.1).

Aan de hand van de maatregelen en voorzieningen is het moge-lijk de daadwerkelijke vermindering van risico’s, dus de baten te bepalen. Centraal staat echter de vraag of de risico’s écht minder

worden door de maatregelen. Om het effect van deze maatrege-len te beoordelen is enige deskundigheid vereist.

De volgende stap is het afzetten van de baten tegen de kosten van de maatregelen en voorzieningen. Daardoor wordt duidelijk welke het meest kosteneffectief zijn. Staan de kosten in een acceptabele verhouding tot de baten? Het bedrijf is zelf verant-woordelijk voor deze afweging en voor de keuze van het al dan niet invoeren van maatregelen en voorzieningen. Met andere woorden: bedrijven bepalen zelf het risico dat ze willen lopen.

Na de keuze voor te treffen maatregelen en voorzieningen is het mogelijk de kwetsbaarheidanalyse en vervolgens de risico-analyse op bepaalde punten bij te stellen. Door het treffen van maatregelen is immers de kwetsbaarheid afgenomen. De nieuwe uitkomst van de risicoanalyse geeft dan zicht op de beheersbaar-heid van de verschillende risico’s en de acceptatie daarvan door het bedrijf.

Analysetabel

Type analyse Focus op Leidt tot

Afhankelijkheidsanalyse Aard en omvang van de bedrijfsbelangen Inschatting van de schade bij een incident

Dreigingsanalyse • potentiëledreiging• kwaadwillenden• middelenenmethoden

Inschatting van de kans op criminele of terroristische acties of incidenten

Kwetsbaarheidsanalyse • weerbaarheid• maatregelen

Inschatting van de weerbaarheid van het bedrijf tegen activiteiten van kwaad-willenden

+

Risicoanalyse • belangen• potentiëledreiging• weerbaarheid

Inschatting van de ernst van de schade die incidenten ondanks de weerbaarheid van een bedrijf veroorzaken

+

Kosten- en batenanalyse • effect/batenvandemaatregelen• kostenvandemaatregelen

Inschatting van de meest kosteneffec-tieve maatregelen: keuze van aanvullende maatregelen

23

3.6.1 De veiligheidsketenNaast de kosten- en batenanalyse moeten we de uitkomsten van het hiervoor beschreven proces ook nog in de verschillende fasen die we binnen risicobeheersing hebben vastgesteld, beoordelen. Die fasen vormen de schakels in de veiligheidsketen. De veiligheidsketen bestaat uit vijf schakels. In security manage-ment worden alle vijf schakels betrokken bij het beheersen van de risico’s. Deze schakels zijn proactie, preventie, preparatie, respons en nazorg. Door de veiligheidsketen als leidraad te nemen en te gebruiken bij het ontwerp en invoeren van security maatregelen en –voorzieningen kan het veiligheidsniveau en daarmee de weerbaarheid van een bedrijf positief worden beïn-vloed.

Voor de duidelijkheid zijn de vijf schakels hieronder uitgewerkt.

• Proactie: het voorkomen of wegnemen van structurele oor-zaken van onveiligheid. Proactieve maatregelen moeten voorkomen dat kwetsbaarheden ontstaan. Een bedrijf kan bijvoorbeeld bedrijfsonderdelen naar een minder risicovolle locatie verplaatsen. Het schrijven van een security beleidsplan is een concreet voorbeeld.

• Preventie: het voorkomen van directe oorzaken van onveilig-heid en beperken van de gevolgen van eventuele inbreuken op die veiligheid (security incident). Preventieve maatregelen verkleinen de kwetsbaarheid en dus de kans op een incident. Voorbeelden hiervan zijn goed hang- en sluitwerk aanbrengen, een toegangscontrole instellen en virusscanners gebruiken.

• Preparatie: het voorbereiden op het optreden bij een security incident. Preparatieve maatregelen zijn gericht op een goede voorbereiding op incidenten. Een bedrijf kan bijvoorbeeld een ontruimingsplan opstellen voor het personeel en geregeld oefenen.

• Respons: bestrijden en beperken van de nadelige gevolgen van een security incident en hulp verlenen. Soms gebruiken we voor het woord respons ook ‘repressie’. Responsieve maatre-gelen moeten de directe nadelige gevolgen van een incident beperken. Denk aan het inzetten van blusmiddelen, het orga-niseren van de eerste hulp en het managen van de crisis.

• Nazorg: activiteiten gericht op het verhelpen van de gevolgen van een security incident en de terugkeer naar de ‘normale’ situatie. Nazorgmaatregelen moeten de bedrijfscontinuïteit en de teruggang naar de normale situatie bevorderen. Een con-creet voorbeeld is het regelen van een uitwijklocatie.

24

4. Security maatregelen

Op basis van het security beleid en de risicoanalyse zullen bepaalde (aanvullende) security maatregelen en –voorzieningen getroffen worden. Deze maatregelen en voorzieningen kunnen een aantal doelen dienen. Het belangrijkste is wel tijd winnen om te kunnen reage-ren – de respons of repressie op een incident. In algemene zin is het zo dat hoe zwaarder een maatregel is, hoe meer tijd een opponent nodig heeft of die maatregel te overwinnen. Het beheer van de security maatregelen wordt vastgelegd in het operator security plan (OSP). In deze handreiking wordt verder niet inge-gaan op het OSP. In dit hoofdstuk vindt u meer informatie over het nemen van mogelijke security maatregelen.

4.1 Inleiding security maatregelen

Security heeft tot doel de belangen van een bedrijf te beschermen tegen onbevoegde en/of onbedoelde beïnvloeding. Daaronder valt ook het moedwillig verstoren van de bedrijfsprocessen.

De security doelen voor bedrijven in de vitale infrastructuur, ken-nen de volgende volgordelijkheid: 1 Voorkomen dat gevoelige of kwetsbare informatie in het

publieke domein terecht komt (bijvoorbeeld op het internet).2 Afschermen van attractieve en kwetsbare onderdelen om

kennisname en verkenningsacties door kwaadwillenden te bemoeilijken.

3 Afschrikken van kwaadwillenden. De kwaadwillende moet het gevoel hebben dat de beveiliging bij het bedrijf goed op orde is.

4 Tegenhouden. De kwaadwillende wordt het fysiek onmogelijk gemaakt zijn daad te verrichten.

5 Detectie. Indien al het voorgaande de kwaadwillende niet heeft afgeschrikt of tegengehouden, is het zaak zijn inbreuk zo vroeg mogelijk te detecteren.

6 Vertragen. Het opwerpen van barrières tussen de gedetec-teerde kwaadwillende en zijn doel. Dit kan zowel het binnen-dringen als het kunnen vluchten betreffen.

7 Interventie. De kwaadwillende wordt tijdig door een bevoegde en capabele functionaris tegengehouden. Uitlevering aan Justitie behoort tot de mogelijkheden.

Om deze doelen te bereiken staan ons meerdere security strate-gieën, security maatregelen en voorzieningen ter beschikking.

De genoemde doelen moeten daarbij afzonderlijk en in samen-hang worden behandeld.

4.2 Stap 7: Security maatregelen nemen

Bij security management worden security maatregelen verdeeld in groepen. Daarbij komt men veel verdelingen tegen. Een veel toegepaste verdeling is de volgende verdeling:• organisatorischesecuritymaatregelen;• personelesecuritymaatregelen;• bouwkundigesecuritymaatregelen;• elektronischesecuritymaatregelen;• ICT-securitymaatregelen.

Met in het achterhoofd het bedrijfsbeleid zal de security mana-ger zich op het gebied van security tot doel moeten stellen deze maatregelen en voorzieningen kosteneffectief te realiseren. De manager zal dus die maatregelen en voorzieningen moeten kie-zen waarmee het vereiste security niveau daadwerkelijk te reali-seren is tegen zo gering mogelijke kosten.

4.2.1 Organisatorische security maatregelen De meest verstrekkende maatregelen zijn de organisatorische maatregelen. Deze vormen de basis voor de security van het bedrijf. Het vergt niet alleen veel denken schrijfwerk, vooral de naleving van deze maatregelen vergt de nodige aandacht.

Daarnaast hangt de consistentie van de beveiliging af van de kwaliteit van de organisatorische maatregelen. Een goede veilig-heidscultuur draagt positief bij aan de kwaliteit van de security en het borgen daarvan. Veiligheidsbewustwordingsprogramma’s kunnen de veiligheidscultuur verbeteren.

Voorbeelden van organisatorische maatregelen zijn:• toegangsbeheer;• zoneringsplan(wiemagwaarkomen?);• fotografeerverbod;• sluitplan(waarondersleutelbeheer);• autorisatietoekenningenautorisatiebeheer(wiemagwat?);• uitvoerbeleid(geautoriseerdmeenemenvanbedrijfseigen-

dommen);• cleandeskregeling(watmoetaltijdwordenopgeborgen?);• need-to-knowregeling(wiemagwatweten?);

25

• rubriceringsregeling(personeelsvertrouwelijkeinformatie,patentinfo etc.);

• merkingsregeling(markerenenregistrerenvanwaardevolleassets);

• registratieenarchivering(vankwetsbareinformatie);• procedurealarmopvolging(detectieentijdpadanalyse);• incidentenregistratie;• opleidingsplanopterreinvansecurity;• communicatieplanopterreinvansecurity(o.a.veiligheidsbe-

wustzijn).

4.2.2 Personele security maatregelen Personele security maatregelen zijn onder te verdelen in:1. Maatregelen voor indiensttreding, vooral gericht op de werving

en selectie van nieuw personeel, zoals bijvoorbeeld:

• werving,selectie-enaannameprocedures; • controlerencvengetuigschriftenreferenties; • antecedentenonderzoek; • verklaringomtrentgedrag(VOG); • geheimhoudingsverklaring; • lateninvullenvanvragenlijst; • procedureexternpersoneel/inhuur. 2. Maatregelen bij in dienst zijn, zoals:

• securityopleidingen/bewustzijn; • gedragscode; • functionerings-enbeoordelingsgesprekken; • beloning-ensanctiebeleid.

3. Maatregelen bij vertrek, te weten:

• intrekkenautorisaties; • inleverenpasjes,sleutels,telefoone.d.; • checklistlaatstedag; • exitgesprekmetleidinggevende; • ontslag-op-staande-voet-procedure.

4.2.3 Fysieke security maatregelen (bouwkundige en elektroni-sche) Bouwkundige security maatregelen bestaan uit het vakkundig ontwerpen, bouwen en beheren van onder andere verstevigde muren, goedgekeurd hang- en sluitwerk op bereikbare ramen en

deuren, het afschermen van glaspartijen en het afschermen van ventilatieopeningen. Voorbeelden hiervan zijn:

• terreinafscheiding(hekwerken,grachten,barrières,poort);• buitengevel(steensmetselwerk,beton,kunststofe.d.);• hang-ensluitwerk(SKG-normering);• zonescheidingencompartimentering;• opbergmiddelen(kluis,kastene.d.);• indringerdetectiesysteem(radar,infrarood,geluid,

combinatie);• closedcircuitTV(CCTV);• verlichting(permanent,schrik,dag-nacht);• toegangsverleningssysteem(slagboom,tourniquet,kaartlezer,

irisscan e.d.).

4.2.4 ICT-security maatregelen Voorbeelden van ICT-security maatregelen zijn:

• backupregeling;• virusscanners;• encryptie(versleutelingvaninformatie);• standalonesysteem(duslosvaninternet);• firewall(s);• ICT-authenticatieenautorisatie(wiebenjeenwatmagjeop

het netwerk);• wachtwoordbeheer.

4.2.5 Mix van security maatregelen Wanneer een bedrijf zich wil beveiligen tegen georganiseerde criminele activiteiten of tegen een terroristische aanslag zal het andersoortige maatregelen treffen dan wanneer het zich wil beschermen tegen een gelegenheidsdader.

Het ontwikkelen van scenario’s (hoe treedt de opponent op) is daarbij een goed hulpmiddel. Om deze scenario’s te kunnen ont-wikkelen, kan men omtrent de wijze van optreden van mogelijke opponenten (gelegenheidsdader, semi-professional, professional, terrorist) advies inwinnen bij de lokale politiecontacten.

Vervolgens moet per scenario worden aangegeven met welke maatregelen de kwaadwillende wordt afgeschrikt, tegengehou-den dan wel gedetecteerd en geïntervenieerd. Hierbij kan ook worden aangegeven in welke mate deze security doelen worden gehaald. Doorgaans zijn de maatregelen uit de security doelen 1,

26

2 en 3 (zie paragraaf 4.1) goedkoper en eenvoudiger te realiseren dan de overige security doelen.

De mate waarin de hoge security doelen moeten worden nage-streefd is afhankelijk van de effectiviteit van de lagere security doelen. Bijvoorbeeld: als kwaadwillenden uw bedrijf niet weten te vinden of binnen uw bedrijf de kwetsbare installaties niet weten te vinden, hoeft u minder te investeren in het tegenhouden van deze kwaadwillenden.

Onderstaande tabel kan als hulpmiddel worden gebruikt.

Het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) kan u adviseren over het opstellen van de scenario’s, het uitvoeren van een risicoanalyse en het nemen van security maatregelen. Als deelnemer aan het Convenant Olie en (Petro-) Chemische Industrie ontvangt u tevens een aantal standaard scenario’s. Deze standaard scenario’s kunt u toevoegen aan de scenario’s die u voor uw bedrijf opstelt (zie paragraaf 3.4.1).

Opponent 1 (scenario 1)

Security doel 1 O-maatregelen- maatregel X- maatregel Y

P-maatregelen B-maatregelen E-maatregelen ICT-maatregelen

Effectiviteit security maatregelen

Security doel 2

Etc.

Etc.

27

5. Security organisatie

5.1 Inleiding security organisatie

Tot nu toe zijn stappen genomen en accenten gelegd op security zoals die van dag tot dag van plaats tot plaats bijna vanuit een bepaalde routine georganiseerd wordt. Maar op het moment dat zich een incident– anders gezegd: een inbreuk op de veiligheid – voordoet, moet ook adequaat worden gereageerd. Daarvoor is het noodzakelijk te weten wie op welk moment waarvoor verantwoor-delijk is en welke taken hij of zij moet uitvoeren. Ook de samen-werking met de zogenoemde ‘zwaailichtdiensten’ is belangrijk. Deze zaken staan beschreven in stap 8 en 9. Afsluitend komen de niveaus van security aan bod. Dit is vooral belangrijk op het moment dat uw bedrijf zich bij het Alerteringssysteem aansluit.

5.2 Stap 8 – Beschrijving interne security organisatie

Het beschrijven van de taken, verantwoordelijkheden en bevoegd-heden binnen het bedrijf op het gebied van security is belangrijk. Deze activiteit schept duidelijkheid op dit terrein en geeft aan hoe security personeel samenwerkt in routinesituaties en in crisis-situaties.

Afhankelijk van de grootte van het bedrijf kunnen de volgende functionarissen een rol hebben bij de uitvoering van het security management:• EendirecteuroflidvandeRaadvanBestuur,diesecurityin

zijn portefeuille heeft. Indien dit niet het geval is, moet deze rol belegd worden.

• Securitymanager. In een kleine organisatie is het denkbaar dat deze functie in

deeltijd wordt uitgevoerd, bijvoorbeeld de safety- en security-manager of de security- en facilitymanager.

• Security-bewakingspersoneel. Dit kan zowel bewakers aan de poort betreffen, als receptie-

medewerkers als ook terreinsurveillance, eigen personeel of ingehuurd.

• Medewerkers. Zij hebben een rol, echter niet als functionaris, maar als

medewerker die security beleid moet naleven.

De security manager organiseert de security binnen het bedrijf, bereidt het beleid voor, regelt de uitvoering, draagt zorg voor de kwaliteit en coördineert het optreden met de lokale politie,

brandweer en de geneeskundige hulpverlening. De geneeskun-dige hulpverlening bij ongevallen en rampen wordt vaak afgekort als GHOR. De taken, verantwoordelijkheden en bevoegdheden van de functionaris én het personeel van de eventuele security afde-ling dienen in een security plan te zijn opgenomen. In een groot bedrijf zijn deze taken vaak over meerdere personen verdeeld en onderdeel van een security afdeling. In kleine bedrijven zijn deze vaak bij één persoon belegd.

Te allen tijde is het noodzakelijk om de taken, verantwoordelijk-heden en bevoegdheden met betrekking tot security op papier vast te leggen, zodat een ieder weet wat te doen. Regelmatig oefenen van wat er is uitgedacht als reactie (waaronder repres-sie) op een incident is noodzakelijk om in crisissituaties adequaat te kunnen handelen. Tevens levert het oefenen informatie op hoe deelonderwerpen in het security plan kunnen worden verbeterd.

5.3 Stap 9 – Afstemming met hulpdiensten

Een incident beperkt zich zelden tot het object zelf. Veelal is het bedrijf bij de beheersing van het incident aangewezen op de assistentie van anderen, zoals de politie, de brandweer en de GHOR. In deze stap moeten met deze ‘zwaailichtdiensten’ secu-rity afspraken gemaakt worden en op papier worden vastgelegd. Vervolgens dienen deze afspraken door daartoe bevoegde functi-onarissen bij de verschillende partijen te worden bekrachtigd.

In essentie komt het erop neer af te spreken wat het bedrijf bij een incident moet doen, wat de politie, brandweer en/of GHOR moet doen, wie op welk moment welke verantwoordelijkheid en/of bevoegdheid voor wat heeft, wie de voorlichting doet etc.Belangrijk is het om ook deze afspraken in de praktijk in een oefensituatie met de verschillende partners te beoefenen.

5.4 Niveaus van security

In het SMS zal in relatie tot moedwillige verstoring – dus in dit kader een mogelijke terroristische aanslag en daarop volgend een eventuele opschaling - rekening gehouden worden met vier niveaus van security.

Deze niveaus zijn gerelateerd aan de dreigingsniveaus van het

28

Alerteringsysteem Terrorismebestrijding (ATb) van de NCTb, te weten: 1. basisniveau;2. lichte dreiging;3. matige dreiging;4. hoge dreiging.

Bij elk niveau van dreiging hoort een niveau van security. Het eerste niveau wordt doorgaans het basis security niveau genoemd. Dit betreft de security matrix zoals benoemd in para-graaf 3.1.2. De security maatregelen tegen lichte, matige en hoge dreiging zijn aanvullende en steeds oplopende maatregelen bovenop het basisniveau.

Het niveau van dreiging wordt door de NCTb afgekondigd via het ATb-systeem. Houd er rekening mee dat de dreigingniveaus lichte en matige dreiging voor langere periode kunnen worden afgekondigd. Dit betekent dat de bijbehorende maatregelen ook een langere periode moeten zijn vol te houden.

Bij een hoge dreiging is sprake van een concrete dreiging qua tijd en plaats. De maatregelen zullen dan extreem zijn, zoals bij-voorbeeld afzetting van wegen, ontruiming in het meest extreme geval, sluiting van het bedrijf.

Bij alle niveaus is het van wezenlijk belang de lokale afstemming met politie, brandweer, GHOR, particuliere security organisaties, buren (buurbedrijven) goed te regelen en de afspraken in een plan vast te leggen10.

De handreiking “Wat kan uw bedrijf ondernemen tegen terro-risme? Handreiking voor bedrijven” uitgegeven door de Nationaal Coördinator Terrorismebestrijding is daarbij een bruikbaar en vrij te downloaden hulpmiddel (www.nctb.nl/publicaties/Rapporten/).

Wanneer het bedrijf zich aansluit bij het ATb zal in overleg met personeel van de NCTb een opschalingsmatrix worden opgesteld. Deze matrix geeft per dreigingniveau de security maatregelen en voorzieningen aan die getroffen moeten worden op een bepaalde dreigingniveau.

10 In DHM® voor security management spreekt men over Plan Interne Beveili-gings Organisatie (IBO) en Plan Externe Beveiligings Organisatie (EBO).

29

Bijlage 1: Checklist

Wanneer alle hiervoor besproken stappen doorlopen zijn, de plannen zijn gemaakt en de security maatregelen en voorzie ningen zijn ingevoerd, is er sprake van een security management systeem dat aan de in het convenant gestelde eisen voldoet.

Voorwaarden

Artikel 4 van het Convenant Olie en (Petro-) Chemische Industrie vermeldt de volgende verplichtingen van de deelnemende bedrij-ven:

De bedrijven zorgen dat zij binnen 12 maanden na inwerking-treding van dit convenant een security managementsysteem hebben ontwikkeld en geïmplementeerd.

Het security managementsysteem bevat tenminste de volgen-de elementen: een vastgesteld security beleid, risico-identifi-catie en –analyse, security maatregelen en voorzieningen en afspraken over de interne en externe security organisatie.

De bedrijven onderhouden en verbeteren continu het security managementsysteem.

De bedrijven passen de security maatregelen en voorzienin-gen zo nodig aan als actualisatie van de standaard scenario’s, zoals vermeld in artikel 3 heeft plaatsgevonden.

De bedrijven voeren tenminste één maal per jaar een interne operationele audit op het security managementsysteem uit. Integraal onderdeel van deze audit is het nagaan of actualisa-tie heeft plaatsgevonden van de risico’s op basis van de stan-daard scenario’s.

30

Checklist

Stap no.

Activiteit Resultaat Opmerking

1 Maken van het security beleidsplan, of – afhankelijk van de grootte van het bedrijf een security beleidsintentie.

Security beleidsplan / security beleids-intentie.

Moet zijn vastgesteld door de directie.

2 Uitvoeren afhankelijkheidsanalyse. Bedrijfsbelangen/bedrijfswaarden in kaart gebracht.

Gezamenlijke activiteit in de lijnen staforganisatie.

3 Uitvoeren dreigingsanalyse. Dreigingsbeeld voor het bedrijf op de locatie in beeld gebracht.

Input van lokale politie, NCTb (inter-net) mogelijk.

4 Uitvoeren kwetsbaarheid analyse. [Dit proces is meer in detail beschre-ven in punt 3.4. van deze handreiking].

Eigen security in kaart gebracht; daar-mee ‘weerstandsvermogen’ van eigen bedrijf tegen vastgestelde dreiging bekend.

Zo genoemde SOLL-situatie met betrekking tot security maatregelen en voorzieningen bekend.

Houdt rekening met de security cul-tuur van het bedrijf.

5 Uitvoeren van een risico analyse. Risico’s in beeld.Scenario’s in beeld.

Inzet instrumentarium (in de voorbeel-den gegeven normen en waarden eerst naar eigen bedrijf vertalen).

6 Uitvoeren kosten-baten analyse. Inzicht in wel of niet treffen van bepaalde security maatregelen en voorzieningen; acceptatie van bepaalde (rest)risico’s.

7 Het nemen van security maatregelen. Concrete security maatregelen getrof-fen.

8 Het beschrijven en vorm geven aan de security organisatie (intern). [Dit proces is meer in detail beschreven in punt 5.2. van deze handreiking].

Actieplan optreden eigen organisatie wanneer zich een incident voordoet.

Ook oog hebben voor samenwerking met zwaailichtdiensten (politie, brand-weer, GHOR).

9 Het afstemmen met hulpdiensten.[Dit proces is meer in detail beschre-ven in punt 5.3. van deze handreiking].

Plan optreden zwaailichtdiensten (poli-tie, brandweer, GHOR) wanneer zich een incident voordoet.

31

Bijlage 2: Voorbeeld van een security intentieverklaring

B.V. Olie- en Gasopslag Onderhuizen

B.V. Olie- en Gasopslag Onderhuizen (OGO) exploiteert op het bedrijventerrein Halfweg een aantal opslagtanks voor tijdelijke olie- en gasopslag binnen de Randstadregio. Zij beschikt over de daarvoor benodigde vergunningen. De VROM-Inspectie en de gemeente Z. zijn belast met het toezicht op de bedrijfsuitoefening van de B.V. OGO.

Het security beleid van B.V. OGO is onderdeel van het totale beleid van het bedrijf. Onderstaande security intentieverklaring is gericht op het nemen van security maatregelen en voorzie-ningen die tegengaan dat de bedrijfsuitoefening van het bedrijf onbevoegd kan worden beïnvloed.

Het doel van deze door de directie afgegeven verklaring is om iedere werknemer op elk niveau duidelijkheid te verschaffen over de doelstellingen met betrekking tot security en om het begrip binnen de gehele organisatie voor reeds genomen en te nemen security maatregelen te bevorderen.

Security intentieverklaring

1. De directie van B.V. Olie- en Gasopslag Onderhuizen verplicht zich tot het treffen van maatregelen en voorzieningen die tegen-gaan dat de bedrijfsprocessen, de daarvoor benodigde materialen en apparatuur van de inrichting onbevoegd kunnen worden beïnvloed. De security maatregelen zijn aanvullend op de veiligheidsmaatregelen (safety), dus niet vervangend. Zij beschouwt daarbij de veiligheid (safety én security) van het personeel als haar belangrijkste taak.

2. De zorg voor het op de juiste wijze nemen van deze maatre-gelen en voorzieningen vormt een integraal onderdeel van het algemene ondernemingsbeleid van OGO. De zorg op het gebied van het beveiligen tegen onbevoegd beïnvloeden is een onderdeel van de kwaliteitszorg.

3. Tot deze zorg behoort het inrichten en in stand houden van een adequaat security managementsysteem, de daarbij beho-rende plannen, de daarbij behorende security organisatie; het verstrekken van de nodige budgetten en middelen en het treffen van de vereiste organisatorische en personele maat-

regelen en de vereiste bouwkundige en elektronische security maatregelen (inclusief ICT).

4. De directie heeft dhr. N.N. naast zijn taak als facilitymanager voor 8 uren per week als object-security manager (OSM) aan-gesteld. Deze heeft tot taak de directie te adviseren over het te voeren security beleid en de daaruit voortvloeiende security maatregelen en voorzieningen, met inbegrip van de handha-ving van dit beleid.

5. Gebeurtenissen die (in)direct te maken hebben met de secu-rity maatregelen of voorzieningen, of een inbreuk hierop kun-nen maken worden direct door tussenkomst van de OSM aan de directie gemeld.

6. De directie draagt er zorg voor dat er binnen het bedrijf ten aanzien van de security maatregelen en voorzieningen een duidelijke toewijzing en delegatie van taken, verantwoordelijk-heden en bevoegdheden plaatsvindt.

7. De directie is ervoor verantwoordelijk dat iedereen binnen het bedrijf bekend is met de voor haar/hem geldende relevante security maatregelen en voorzieningen.

8. Als uitvloeisel van deze intentieverklaring verplicht de direc-tie zich tot het opstellen van een security plan waarin naast de interne security ook de externe security van het object geregeld wordt (afspraken met de politie, brandweer en Geneeskundige Hulpverlening bij Ongevallen en Rampen (GHOR)

9. De directie zal zich ten aanzien van het treffen van de ver-eiste security maatregelen en voorzieningen bij voortduring laten leiden door datgene dat op dit terrein qua ontwikkeling gebruikelijk en noodzakelijk is (state-of-the-art).

Dit is een publicatie van: Ministerie van VROM> Rijnstraat 8 > 2515 XP Den Haag > www.vrom.nl

Ministerie van VROM >staat voor ruimte, milieu, wonen, wijken en integratie. Beleid maken, uitvoeren en handhaven.Nederland is klein. Denk groot.

www.vrom.nl


VRO

M 8

225

/ JU

NI 2

008

'Handreiking Security Management' PDF document

Documents

Transcript of 'Handreiking Security Management' PDF document