Målgruppe for veilederen: |
---|
Veilederen kan brukes av:
I veilederen bruker vi «virksomheter» som felles betegnelse for virksomhetene nevnt over. |
Innhold
Introduksjon
Veilederen omfatter styring og oppfølging av leverandører av tjenester eller systemer med betydning for sikkerhet, sikring og digital sikkerhet.
Begrepet «leverandør» omfatter alle typer leverandører. Dette kan være:
- eksterne selskaper som entreprenører, vaktselskaper, IT-selskaper m.m.
- eiere av jernbanevirksomheten og søsterselskaper i konsernet som gir føringer om bruk av administrative tjenester og bruk av systemer, ofte innen IKT, økonomi og HR m.m.
- andre jernbanevirksomheter
- konsulent- og rådgivningsselskaper
Tjenester fra leverandører kan være:
- vedlikehold av infrastruktur, rullende materiell og annet utstyr
- skifting av tog
- buss for tog
- drift og brukerstøtte av IKT-systemer
- drift og brukerstøtte av OT-systemer
- vakt- og sikringstjenester
- berging og beredskap
- rådgivning til etablering av styringssystem, risikovurderinger, revisjoner, opplæring m.m.
Begrepet «underleverandør» omfatter leverandørene som benyttes av leverandører nevnt over.
Begreper i veilederen
Barriere | Menneskelige, tekniske og organisatoriske (MTO) elementer som hver for seg eller samlet skal redusere muligheten for at konkrete feil og fare- og ulykkessituasjoner inntreffer, eller som begrenser eller forhindrer skader/ulemper. |
---|---|
Inspeksjon | Besiktelse eller kontroll med avgrenset omfang til et område, en aktivitet, type utstyr e.l. |
Jernbane- virksomhet |
En jernbanevirksomhet, et offentlig eller privat foretak, som har som hovedvirksomhet å yte tjenester for godstransport og/eller passasjertransport på jernbane med krav om at foretaket sørger for trekkraft. Dette inkluderer også foretak som kun leverer trekkraft. |
Leverandør | En person eller en virksomhet som har påtatt seg å yte eller utføre en leveranse av varer og eller tjeneste(r). |
Operasjonell teknologi (OT) |
Brukes til å overvåke, kontrollere og administrere fysiske prosesser i ulike bransjer og kritisk infrastruktur. |
Overvåking | Ordninger innført av jernbanevirksomheter, infrastrukturforvaltere eller vedlikeholdsleverandører, for å kontrollere at styringssystemet brukes korrekt og at det fungerer etter hensikt. |
Revisjon | En systematisk, uavhengig og dokumentert prosess for å skaffe revisjonsbevis og evaluere objektivt om revisjonskriterier er oppfylt. |
Samarbeids- partner |
Et kommersielt foretak som har inngått avtale om samarbeid med et annet kommersielt foretak. |
Tiltak |
Iverksette tiltak eller ta nødvendige forholdsregler for å forhindre og håndtere uønskede hendelser eller redusere konsekvenser av dem. Tiltak har som hensikt å opprettholde og/eller forbedre nivået på sikkerhet, sikring m.m. |
Infrastructure as a Service (IaaS) |
Jernbanevirksomheten kan kontrollere fundamental infrastruktur og har muligheten til å innføre og kjøre vilkårlig programvare. Virksomheten kan kontrollere relevante applikasjoner, servere, operativsystemer, samt i noen tilfeller visse elementer i nettverket (for eksempel brannmur). Delt kontroll med leverandøren. |
Platform as a Service (PaaS) |
Jernbanevirksomheten kan innføre egenutviklede eller innkjøpte applikasjoner på leverandørens skyinfrastruktur ved å bruke programmeringsspråk og verktøy støttet av leverandøren. Virksomheten kontrollerer ikke den underliggende skyinfrastrukturen, inkludert nettverk, servere, operativsystem eller lagringsmuligheter. Jernbanevirksomheten har kontroll over applikasjoner og i noen tilfeller konfigurasjonsmuligheter for miljøet som applikasjoner kjører i. Delt kontroll med leverandøren. |
Software as a Service (SaaS) |
Jernbanevirksomheten bruker applikasjoner som kjører på leverandørens skyinfrastruktur. Jernbanevirksomheten kan i noen tilfeller kontrollere begrensete kundespesifikke applikasjonsinnstillinger, men kontrollerer ikke den underliggende skyinfrastrukturen, inkludert nettverk, servere, operativsystemer eller lagringsmuligheter. Leverandøren har kontroll. |
Skytjeneste | En modell som gjør det mulig å få tilgang til et sett konfigurerbare dataressurser (for eksempel nettverk, servere, lagring, applikasjoner og tjenester) som er lett tilgjengelige over alt, blir levert og priset etter bruk, kan skaffes raskt og gjøres tilgjengelig med minimalt med administrasjon. |
Relevante krav i jernbanelovgivningen
Jernbanelovgivningen krever at virksomheten skal ha kontroll med leverandørene.
Overordnete myndighetskrav finnes i lov om anlegg og drift av jernbane, inkludert sporvei, tunnelbane og forstadsbane m.m. (jernbaneloven).
Merk: For noen av myndighetskravene er kravteksten avkuttet. Vi vil fremheve de mest relevante delene.
Sikkerhetsforskriften
§ 2-3. Jernbanevirksomhetene
(1) Jernbanevirksomhetene skal:
- gjennomføre de nødvendige tiltak for risikohåndtering nevnt i § 3-2 bokstav a, eventuelt i samarbeid med hverandre og med andre aktører,
- i sine sikkerhetsstyringssystemer ta hensyn til de risikoene som er forbundet med virksomheten til andre aktører og tredjeparter,
- eventuelt kontraktsmessig forplikte de andre aktørene som nevnt i annet ledd som kan ha en mulig virkning på sikker drift av jernbanesystemet i EØS, til å gjennomføre tiltak for risikohåndtering, og
- sørge for at underleverandører gjennomfører tiltak for risikohåndtering gjennom bruk av CSM-ene for overvåking nevnt i § 3-2 bokstav c, og at dette er fastlagt i kontrakts regulerte ordninger som skal framlegges på anmodning fra Byrået eller Statens jernbanetilsyn.
(2) Med forbehold om jernbanevirksomhetenes ansvar som nevnt i første ledd, skal ECM og alle andre aktører som har en mulig virkning på sikker drift av jernbanesystemet i EØS, inkludert produsenter, leverandører av vedlikeholdstjenester, innehavere, tjenesteytere, oppdragsgivere, transportører, avsendere, mottakere og laste- og losseforetak:
- gjennomføre de nødvendige tiltak for risikohåndtering, eventuelt i samarbeid med andre aktører,
- sørge for at delsystemer, tilbehør, utstyr og tjenester som de leverer eller yter, oppfyller de fastsatte kravene og bruksvilkårene, slik at den aktuelle jernbanevirksomheten på en sikker måte kan bruke dem i driften.
(3) Jernbanevirksomheter og enhver aktør som er nevnt i annet ledd som finner eller underrettes om en sikkerhetsrisiko i forbindelse med feil og konstruksjonsmessig manglende samsvar eller funksjonssvikt på teknisk utstyr, herunder på strukturelle delsystemer, skal, innenfor grensene for deres respektive myndighetsområder:
- gjennomføre eventuelle nødvendige korrigerende tiltak for å håndtere den sikkerhetsrisikoen som er funnet,
- rapportere disse risikoene til de relevante involverte parter for å gjøre dem i stand til å gjennomføre eventuelle nødvendige ytterligere korrigerende tiltak for å sikre at sikkerheten i jernbanesystemet i EØS opprettholdes. Byrået kan utarbeide et verktøy som forenkler informasjonsutvekslingen mellom de relevante aktørene, idet det tas hensyn til de involverte brukernes personvern, resultatene av en nytte- og kostnadsanalyse og IT-applikasjonene og registrene som Byrået allerede har opprettet.
(4) Når det gjelder utveksling av kjøretøyer mellom jernbaneforetakene, skal enhver involvert aktør utveksle all informasjon som er relevant for sikker drift, for eksempel det aktuelle kjøretøyets status og historie, elementer i vedlikeholdsplanene med tanke på sporbarhet, sporbarhet for lasting og fraktbrev mv.
CSM SMS og ERAs veileder
4.2. Kompetanse
4.2.1 Lovbestemt krav
4.2.1 Organisasjonens kompetansestyringssystem skal sikre at personell som har en rolle som påvirker sikkerheten, er kompetent i de sikkerhetsrelaterte oppgavene de har ansvar for (se 2.3 Organisatoriske roller, ansvar, ansvarlighet og myndigheter), herunder minst:
(d) løpende opplæring og periodisk oppdatering av eksisterende kompetanse
(e) periodisk vurdering av kompetanse og kontroller av psykologisk og fysisk form for å sikre at kvalifikasjoner og ferdigheter opprettholdes over tid
4.2.2 Organisasjonen skal tilby et opplæringsprogram, som nevnt i punkt (c), (d) og (f) i avsnitt 4.2.1, for ansatte som utfører sikkerhetsrelaterte oppgaver som sikrer at:
(a) opplæringsprogrammet leveres i henhold til identifiserte kompetansekrav og individuelle behov hos personalet
(e) opplæringsprogrammet blir jevnlig gjennomgått og revidert (se 6.2 Internrevisjon) og endringer foretatt ved behov (se 5.4 Endringsstyring)
4.2.7 Sjekkpunkter
Når man ser på kompetansestyringssystemet, er det viktig å huske at det vil være kompetansekrav som strekker seg utover organisasjonens ansatte, og som gjelder for leverandører og annet personell.
Organisasjonen bør ha på plass midler for å sikre at innleid personell har kompetanse til å utføre arbeidet. Dette gjelder spesielt der bemanningsbyråenes kontroll av kompetanse gjerne ikke er så grundig som man skulle ønske.
4.5 Dokumentert informasjon
4.5.1 Lovbestemt krav
4.5.1.1 Det er en beskrivelse av sikkerhetsstyringssystemet, inkludert:
(d) identifisering av entreprenører, partnere og leverandører med en beskrivelse av type og omfang av leverte tjenester
(e) identifisering av kontraktsmessige ordninger og andre forretningsavtaler, inngått mellom organisasjonen og andre parter identifisert under (d), som er nødvendige for å kontrollere sikkerhetsrisikoen til organisasjonen og de som er knyttet til bruken av entreprenører
5.3. Leverandører og samarbeidspartnere
5.3.1 Organisasjonen skal identifisere og kontrollere sikkerhetsrisikoer som oppstår fra utkontrakterte aktiviteter, herunder drift eller samarbeid med entreprenører, partnere og leverandører.
5.3.3. Organisasjonen skal overvåke:
a) sikkerhetsytelsen til alle aktiviteter og operasjoner til entreprenører, partnere og leverandører for å sikre at de overholder kravene fastsatt i kontrakt
b) entreprenørers, partneres og leverandørers bevissthet om sikkerhetsrisikoer de medfører for organisasjonens virksomhet
Kravforskriften
§ 3-1.Krav til sikkerhetsstyringssystem
Sikkerhetsstyringssystemet skal omfatte bruk av leverandører. Jernbanevirksomheten skal stille de samme styrings- og sikkerhetskrav til aktiviteter utført av leverandører som til aktiviteter utført av egen virksomhet.
§ 4-2.Sikkerhetspolitikk
Jernbanevirksomhetens øverste ledelse skal utarbeide en dokumentert sikkerhetspolitikk. Sikkerhetspolitikken skal:
d. være formidlet til alle som arbeider for eller på vegne av jernbanevirksomheten
§ 4-8.Ledelsens gjennomgåelse
Jernbanevirksomhetens øverste ledelse skal ved behov og minst en gang per år, gjennomgå sikkerhetsstyringssystemet og resultater fra virksomhetens sikkerhetsarbeid for å sikre at sikkerhetsstyringssystemet fortsatt er hensiktsmessig og oppdatert. Ved gjennomgåelsen skal det tas hensyn til blant annet:
- resultater og gjennomføring av tiltak etter interne revisjoner og revisjoner av leverandører, samt vurdering av samsvar med lovgivningens krav og interne krav
§ 5-1.Kompetansekrav
Jernbanevirksomheten skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av alle oppgaver og funksjoner av betydning for jernbanevirksomhetens arbeid med sikkerheten. Jernbanevirksomheten skal videre sørge for at kompetansekrav for oppgaver som utføres av leverandører sikrer den kompetanse som jernbanevirksomheten anser som nødvendig.
§ 5-2.Kompetanse
Jernbanevirksomheten skal ha tilgjengelig den kompetanse som er nødvendig for at virksomheten skal drives innenfor akseptabel risiko.
Dersom oppgavene av sikkerhetsmessig betydning utføres av leverandør skal jernbanevirksomheten ha nødvendig kompetanse blant annet til å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.
Egne ansatte og ansatte hos leverandører, som utfører oppgaver av betydning for jernbanevirksomhetens arbeid med sikkerhet, skal ha tilstrekkelig kompetanse i forhold til oppgavene.
§ 5-3.Opplæring
Jernbanevirksomheten skal stille krav til at leverandører har systemer for å sikre at deres ansattes kompetanse opprettholdes i forhold til arbeid av betydning for sikkerheten som vedkommende skal utføre.
§ 6-2.Oppfølging og oppdatering av risikovurderinger
Jernbanevirksomheten skal systematisk følge opp forutsetningene for, avgrensningene og resultatene av risikovurderingene. Jernbanevirksomheten skal gjennomføre nødvendige tiltak for håndtering av risikoer identifisert i risikovurderinger, eventuelt i samarbeid med annen virksomhet.
§ 7-1.Revisjoner
Jernbanevirksomheten skal systematisk gjennomføre revisjoner av leverandører for å vurdere om leverandører overholder krav i eller i medhold av avtaler.
Revisjoner skal gjennomføres i henhold til anerkjent metodikk, vedtatte revisjonsprogrammer og på en måte som ivaretar objektivitet og uavhengighet.
§ 7-3.Beredskapsøvelser
Jernbanevirksomhetene skal samordne slike øvelser i den grad det er nødvendig.
Sikringsforskriften
§ 2-2 Krav om styring av sikring
Jernbanevirksomheten skal også sikre at styringen utøves i oppgaver som utføres av leverandør.
§ 4-3 Ledelsens gjennomgang
Ledelsens gjennomgang skal avdekke eventuelle behov for endring i styringssystemet. I gjennomgangen skal ledelsen minimum ta hensyn til
d)interne revisjoner, revisjoner av leverandører og gjennomføringen av tiltak basert på resultatene.
§ 5-1 Kompetanse
Jernbanevirksomheten skal sikre at leverandører, som utfører oppgaver av betydning for sikringsarbeidet, har den kompetansen som jernbanevirksomheten krever. Jernbanevirksomheten skal ha nødvendig kompetanse til blant annet å kunne spesifisere krav til leveranser, følge opp leverandøren og ta stilling til leveransen.
5-2 Kompetansekrav
Jernbanevirksomheten skal ha kompetansekrav som angir den kompetansen som er nødvendig for å utføre alle oppgaver og funksjoner av betydning for sikringsarbeidet.
§ 5-3 Opplæring
Jernbanevirksomheten skal stille krav om at leverandøren opprettholder personellets kompetanse.
§ 6-3 Oppfølging og oppdatering av risikovurderinger
Jernbanevirksomheten skal systematisk følge opp forutsetningene for, avgrensningene og resultatene av risikovurderingene. Jernbanevirksomheten skal gjennomføre nødvendige sikringstiltak for å håndtere identifiserte risikoer, og skal i nødvendig grad samarbeide med andre jernbanevirksomheter og tredjeparter om dette.
§ 7-1 Beredskap
Jernbanevirksomheten skal samordne sine beredskapsplaner med andre relevante aktører og offentlige myndigheter.
§ 8-1 Revisjoner
Jernbanevirksomheten skal systematisk gjennomføre revisjoner av leverandører for å kontrollere om de overholder krav i eller i medhold av avtaler.
Sidesporforskriften
§ 5. Krav til sikkerhetsstyringssystem
- […]
- […]
- krav til kompetanse for personell som har oppgaver som kan påvirke sikkerheten,
- beskrivelse av hvordan ansvar og myndighet er fordelt i virksomhetens organisasjon, herunder instrukser for personell som har oppgaver som kan påvirke sikkerheten,
- […]
SJTs kommentarer
Bokstav c:
[…]
Jernbanevirksomheten må også påse at personell hos leverandører som gjennomfører arbeidsoppgaver som kan ha betydning for sikkerheten har nødvendig kompetanse til å gjennomføre arbeidsoppgavene slik jernbanevirksomheten beslutter.
Bokstav d:
[…]
Fordeling av ansvar og myndighet til personell hos leverandør må også forankres, for eksempel gjennom avtale med leverandøren.
Styring av leverandører
Kravene til styring av leverandører innebærer at virksomheten skal beskrive i styringssystemet hvordan leverandørene kontinuerlig følges opp.
Virksomheten kan følge opp leverandøren med utgangspunkt i forskjellig regelverk, for eksempel:
- jernbanelovgivningen
- internasjonale og norske standarder, bransjestandarder
- virksomhetens bestemmelser for styring av sikkerhet, sikring og digital sikkerhet
Virksomheten må opprettholde sikker drift også ved bruk av leverandørtjenester. Å sette ut oppgaver og tjenester endrer ikke ansvaret for sikkerhet og sikring. Det er bare selve arbeidsoppgavene som kan delegeres. Virksomheten skal dermed identifisere og styre risikoer som oppstår når oppgaver og tjenester settes ut.
Virksomheten kan styre leverandøren på følgende måter:
- Utsettingen av tjenester er risikovurdert.
- Leverandøren har fått en tilpasset kravliste som den kan ta inn i styringssystemet sitt.
- Kravlisten kan også brukes for å evaluere den eksisterende avtalen.
- Leverandøren arbeider etter beskrivelsene i virksomhetens styringssystem.
- Virksomheten har vurdert at leverandørens styringssystem er tilstrekkelig.
Krav i leverandøravtalen
Oppgaver som er viktige for sikkerhet, sikring og digital sikkerhet kan bli satt ut til en leverandør fordi virksomheten ikke har kompetansen selv. Virksomheten må likevel ha nok kompetanse for styring og kontroll. Det vil si kompetanse til å kunne stille nødvendige krav til leveransen i avtalen og til å kontrollere at leveransen er i samsvar med kravene.
Leverandøren skal ivareta gjeldende krav i avtalen med virksomheten, inkludert relevante krav i jernbanelovgivningen. Virksomheten skal spesifisere i avtalen hvilke krav til sikkerhet, sikring og digital sikkerhet m.m. leverandøren skal oppfylle. Virksomhetens krav til leverandøren skal være tilpasset oppgavene og tjenestene leverandøren skal utføre.
Virksomheten skal sikre at leverandøren har kompetanse til å kunne oppfylle kravene. Det kan være spesifikke krav til leverandører innen for eksempel renhold, IKT-tjenester, vakt- og sikringstjenester og vedlikeholdstjenester av materiell og utstyr.
Avtalen med leverandøren er et viktig virkemiddel for å sikre at virksomheten har rett til å følge opp at krav blir etterlevd i oppgaver som leverandøren utfører. Dette gjelder også for eventuelle underleverandører.
Virksomheten skal angi i avtalen med leverandøren hvilke krav som stilles til bruk av underleverandører. Dette er for å påse at sikkerhet, sikring og digital sikkerhet ivaretas i hele leverandørkjeden.
Eksempler på hva SJT fant under tilsyn
Virksomheten som har tillatelse til drift på jernbanenettet i Norge tilhører et konsern og er et datterselskap.
- Virksomheten hadde ingen avtale med IT-enheten i konsernet. IT-enheten hadde avtaler med nasjonale og internasjonale IT-leverandører. Gjennom konsernfelles retningslinjer og prosedyrer stilte IT-enheten krav til virksomheten om bruk av konsernfelles IKT-verktøy.
- Virksomheten hadde ingen avtale med enheter i konsernet eller andre datterselskaper i konsernet som forvalter infrastruktur og driver verksteder til vedlikehold av kjøretøy som virksomheten bruker i daglig drift.
- Virksomheten hadde ingen avtale med konsernet om å styre oppgaver som utføres av sikkerhetssjefen, som var ansatt i konsernet. Det var ikke etablert formelle rapporteringslinjer mellom konsernets sikkerhetssjef og virksomhetens øverste ledelse og sikkerhetsrådgiver.
- Virksomheten hadde ingen avtale med egne datterselskaper om å styre oppgaver med betydning for sikring som utføres av operativt og administrativt personell ansatt i datterselskapene.
Kontroll med underleverandøren
Virksomheten bør sette krav til at leverandøren har kontroll på alle sine underleverandører som kan påvirke sikkerhetsnivået.
Før anskaffelsen bør virksomheten vurdere om leverandøren har nødvendig kompetanse og tilgjengelige ressurser til å følge opp underleverandører.
Leverandøren bør kunne redegjøre for alle underleverandører som brukes. Virksomheten bør bli informert, og avtalen oppdatert, hvis det skjer et bytte av underleverandører.
Virksomheten bør også undersøke muligheten til å kontrollere underleverandører direkte.
Leverandøren bør kunne gi tilgang til informasjon og relevant dokumentasjon, for eksempel innsyn i eventuelle tredjeparters revisjonsrapporter.
Eksemplene under viser at virksomheten bør ha en risikobasert styring av leverandører. I daglig drift er det viktig å fange opp risikoer som en del av den fortløpende forbedringsprosessen.
Eksempler på hva SJT fant under tilsyn
1. Oversikt over leverandører
Virksomheten hadde ikke dokumentert hvilke leverandører de bruker, og hvilken betydning leverandørene har for virksomhetens arbeid med sikring med hensyn til hvilke oppgaver og tjenester leverandørene utfører.
Den overordnete risikovurderingen viste at «avhengigheter av andre virksomheter» utgjør en sikringsrisiko. I kritikalitetsvurderinger av IKT-systemer ble leverandører av IKT-systemene vurdert med hensyn til risiko for sikkerhet, men risiko for sikring var mangelfull vurdert.
Det var uklart om den overordnete risikovurderingen og kritikalitetsvurderingene av IKT-systemer peker på de samme leverandørene, eller om det finnes andre leverandører med betydning for sikring.
2. Risikovurdering av leverandør og mangelfull leveranse
Virksomheten hadde ikke vurdert hvilken risiko bruken av en vedlikeholdsleverandør og manglende eller mangelfullt utført vedlikehold utgjør for sikkerheten.
3. Kartlegge beredskapsressurser og lage beredskapsplan
Virksomheten hadde ikke kartlagt og dokumentert hvilke interne og eksterne beredskapsressurser som er tilgjengelige ved hendelser som krever at det blir satt i verk beredskapstiltak. Det var ikke dokumentert om ansatte med ansvar for IKT og leverandører av IKT-tjenester inngår i beredskapsorganisasjonen, uansett om det gjelder IKT-hendelser eller andre sikringshendelser.
Beredskapsanalysen og valgte beredskapstiltak var ikke basert på relevante risikovurderinger og beredskapsanalyser, og omfattet ikke fysisk sikring og informasjonssikkerhet.
Metoder for å følge opp leverandører
Å følge opp leverandører bør basere seg på avtalen og anskaffelsens art, omfang, verdi og kompleksitet.
Virksomheten kan følge opp leverandører gjennom ulike aktiviteter.
Evaluering av leveransen:
- Egenrapportering fra leverandøren.
- Gjennomgang av drifts- og vaktlogger.
- Resultater fra tredjepartsrevisjoner.
- Gjennomgang av rapporter for håndtering av uønskede hendelser, avvik og endringer i rutiner og systemer.
Kontroll: Kontrollere om innleid personell har nødvendig kunnskap og evne til å utføre oppgaven i henhold til kravene virksomheten stiller.
Ved innleie av skiftepersonell er det viktig å kontrollere om krav til kompetanse er oppfylt. Relevante kontrollpunkter kan være:
- Er vedkommende kjent med de fysiske forholdene og operasjonelle rutinene på området?
- Er det et sikret eller usikret område?
- Kjenner operatøren til signaler og skilt på området?
- Har operatøren nødvendig kompetanse til å betjene materiell og utstyr?
Ledelsens gjennomgang: Vurdere resultater av risikovurderinger, revisjoner, rapportering og behandling av uønskede hendelser m.m.
- Nivået og omfanget av en slik oppfølging bør være risikobasert. Virksomhetens behov for å beskytte verdier som leverandøren eller underleverandørene har tilgang til, vil ha betydning for hvilken metode som velges for oppfølging.
Målstyring: Virksomheten kan bruke sikkerhetsindikatorer til å måle sikkerhetsnivået hos leverandøren. Dette kan virksomheten gjøre ved å følge opp leverandørens rapportering og behandling av uønskede hendelser.
- Virksomheten skal ha et system for å rapportere, registrere, granske og analysere og følge opp uønskede hendelser som har betydning for sikkerhet, sikring eller digital sikkerhet. Uønskede hendelser og ulykker skal kategoriseres og vurderes ut fra hvilken risiko de utgjør for sikkerhet, sikring eller digital sikkerhet. Korrigerende tiltak og/eller forbedringstiltak skal settes i verk.
- Uønskede hendelser knyttet til bruk av leverandører – og som har betydning for arbeidet med sikkerhet, sikring eller digital sikkerhet – må rapporteres og behandles i virksomhetens system. Det kan være uønskede hendelser knyttet til vedlikehold, tilgang til informasjon, adgang til områder m.m.
- Alle ansatte i virksomheten, innleid personell og leverandørens ansatte skal kjenne til gjeldende prosedyrer og rutiner for rapportering av uønskede hendelser.
- Virksomheten skal kunne legge frem en oversikt over uønskede hendelser som oppstod fordi leverandøren har utført arbeidet feil eller mangelfullt.
Overvåking:
- Be om å få oversendt periodiske rapporter om vesentlige forhold.
- Krev jevnlig egenrapportering.
- Still krav til oversendelse av rapporter av nye og oppdaterte risikovurderinger og nye og endrete styrende dokumenter.
- Følg opp rapportering av uønskede hendelser, inkludert tilsiktede handlinger.
Periodiske møter: Kontraktsmøter kan brukes til å vurdere behov for endringer av krav i kontrakten. I driftsmøter kan virksomheten følge opp hvordan leveransen utføres. Man kan for eksempel se på rapportering og håndtering av uønskede hendelser, gjennomføring av opplæring og utfordringer med bemanning i henhold til plan.
Revisjon og inspeksjon: Bruk dette virkemiddelet overfor leverandøren og underleverandører med sjekklister. Dette kan virksomheten gjøre før nye avtaler inngås eller når leverandøren foretar omfattende endringer, inkludert å bytte underleverandør.
Revisjon av leverandører
Virksomheten skal bruke revisjon som et verktøy for å overvåke fortløpende om leverandøren oppfyller krav til sikkerhet, sikring og ivaretakelse av digital sikkerhet.
Revisjonen gjennomføres i henhold til de interne rutinene virksomheten har, og den skal følge anerkjent metodikk for revisjon. Revisjoner kan for eksempel gjennomføres etter den anerkjente standarden «ISO 19011 Retningslinjer for revisjon av ledelsessystemer».
En revisjon må tilpasses ansvarsfordelingen som avtalen beskriver. Sørg for at en revisjon omfatter både egne tiltak og tiltakene leverandøren har ansvaret for.
Hensikten med revisjoner
Jernbanelovgivningen stiller krav til hvordan revisjoner gjennomføres. De skal utføres i henhold til vedtatte revisjonsprogrammer og slik at objektivitet og uavhengighet blir ivaretatt. Daglig oppfølging og kontroller sikrer ikke objektivitet og uavhengighet på samme måte som en revisjon i regi av et uavhengig revisjonsteam.
Eksempler på hva SJT fant under tilsyn
Virksomheten kunne ikke vise dokumentasjon på at de systematisk gjennomfører revisjoner av leverandører som utfører oppgaver av betydning for sikring.
Det var ikke planlagt og/eller gjennomført revisjon av en leverandør som virksomheten hadde identifisert som en leverandør med betydning for sikring.
Virksomheten hadde rutiner for daglig oppfølging av leverandøren som har en kritisk funksjon. Man så ikke noe behov for å gjennomføre en revisjon av leverandøren.
I et møte med leverandøren konkluderte virksomheten med at leverandørens styringssystem ivaretar kravene i sikringsforskriften. Basert på risiko har virksomheten vurdert at det ikke er behov for å utføre detaljerte kontroller av leverandøren. Virksomheten anbefalte ved en eventuelt fremtidig kontroll å utføre operative kontroller på et konkret objekt.
Revisjonsprogram
Revisjonsprogrammet dekker både interne og eksterne revisjoner:
- Interne revisjoner omfatter virksomhetens egne bestemmelser og prosesser for styring og kontroll av leverandører, både eksterne og (konsern)interne leverandører.
- Eksterne revisjoner er rettet mot eksterne leverandører og deres eventuelle underleverandører.
Virksomheten bør også være opptatt av at hver revisjon skal gi mest mulig verdi til både leverandøren og egen virksomhet. Å kartlegge og vurdere risiko hos seg selv og hos leverandøren, vil gi god informasjon om hvordan revisjonsprogrammet skal bygges opp for å tilføre begge parter verdi.
En revisjon er ikke bare et verktøy for å vurdere samsvar med krav eller forventninger. Brukt på en god måte kan en revisjon gi betydelig innsikt i om tiltak, systemer og rutiner faktisk fungerer etter hensikten og om de er tilstrekkelige og effektive.
Revisjoner er også et godt verktøy for å se om kultur, kompetanse og organisering fungerer godt sammen. Revisjonen blir da et viktig verktøy som beslutningsgrunnlag for ledelsen i virksomheten. Samtidig kan revisjoner gi viktig informasjon for virksomhetens risikobilde: Det blir avdekket om barrierer og tiltak fungerer som forutsatt i risikovurderingene.
Når virksomheten følger opp leverandører, bør den få bekreftet at det blir gjennomført konkrete forbedringstiltak og aktiviteter etter revisjoner som reduserer risikoen som forventet.
Revisjonsrapporten vil være et viktig styringsdokument for ledelsen i virksomheten og hos leverandøren.
Leverandørstyring ved bruk av skytjenester
De fleste store leverandører av skytjenester tilbyr verktøy og tjenester som kan være til nytte i virksomhetens revisjon av egne sikringstiltak. Det kan være sikkerhetsportaler med innsikt i relevante konfigurasjoner og sårbarheter med tilhørende forslag til utbedring.
Verktøyene har ofte en funksjonalitet for å sammenligne gjeldende konfigurasjon med anerkjente sikkerhetsstandarder. Slike verktøy kan være til stor nytte, men de vil ikke kunne avdekke alle forhold. Jernbanevirksomheten må derfor sørge for at alle iverksatte tiltak revideres.
Leverandøren skal ha kontroll på applikasjoner, øvrige tjenester, server, lagring og nettverk. Virksomheten og leverandøren av skytjenester har delt kontroll av dataene.
Merknad: Jernbanevirksomheten bør ikke begrense overvåkingen av leverandørens skytjenester og andre IKT-tjenester til å gjennomgå revisjonsrapporter fra tredjeparter. Jernbanevirksomheten skal revidere egne tiltak, som for eksempel interne prosesser, tilgangsstyring, tjenestekonfigurasjoner, logger, etc.
Hva bør virksomheten revidere ved skytjenester?
Det kan være en utfordring å gjennomføre revisjoner hos store globale skyleverandører. Skyleverandøren gir derimot ofte tilgang til revisjonsrapporter fra revisjoner de selv har utført eller i samarbeid med tredjepartsrevisorer. Jernbanevirksomheten kan overvåke leverandørens tjenester ved å gjennomgå revisjonsrapporter fra tredjeparter.
Revisoren henter frem virksomhetens risikovurdering av tjenesten. Revisoren gjennomgår identifiserte risikoer og tiltak og påser at de samsvarer med den avtalte fordelingen av kontroll mellom virksomheten og leverandøren som er definert i tjenesteavtalen.
Revisoren gjennomgår tiltakene virksomheten selv skal ha utført, og undersøker at de fungerer etter hensikten. Dette kan for eksempel være å:
- undersøke at virksomhetens prosess for tilgangsstyring fungerer
- ha multifaktorautentisering aktivert for alle brukere
- sørge for at brukerne klassifiserer og merker informasjon (i henhold til interne krav om klassifisering)
- følge opp informasjon og varsler fra leverandøren
- sørge for at brukernes mulighet til å dele informasjon med eksterne parter er riktig konfigurert, etc.
Revisoren bruker også skytjenestens sikkerhetsportal til å få innsikt i eventuelle øvrige sårbarheter som virksomheten selv må følge opp.
Videre ber revisoren leverandøren av skytjenesten om innsyn i en revisjonsrapport utført av tredjepart.
Revisor undersøker om virksomheten selv har utført tiltak som kan motvirke eller redusere eventuelle sårbarheter som er påpekt i rapporten fra tredjepart, eller om det finnes sårbarheter av en slik karakter at virksomheten bør revurdere innholdet og omfanget av avtalen med leverandøren av skytjenesten.
Et eksempel på dette kan være at man revurderer eller kjøper andre typer tjenester (IaaS eller PaaS) av leverandøren av skytjenester – for eksempel at virksomheten har en større andel av den delte kontrollen med leverandøren. Dette kan innebære at virksomheten selv må skaffe kompetanse på et område den normalt ikke har kompetanse på.
Leverandører med sterk posisjon på sitt fagfelt
Noen ganger kjøper virksomheten tjenester av leverandører med stor markedsmakt, for eksempel Microsoft, Norske Tog m.m. Tjenestene eller produkter som de leverer, kan være av en slik art at det er vanskelig å styre leverandøren. Hvordan håndteres dette?
Avhengig av hvor stor risikoen er, kan virksomheten vurdere disse tiltakene for å ha kontroll:
- Er det mulig å gjennomføre en mottakskontroll av det leverte produktet?
- Kan eventuelt mottakskontroll på stikkprøvebasis være tilstrekkelig?
- Er det mulig å avvise et produkt hvis virksomheten mistenker at det ikke oppfyller krav og spesifikasjoner i henhold til avtalen?
- Er det mulig å følge opp produktet etter at det er tatt i bruk gjennom fortløpende og stikkprøvebasert overvåking av utvalgte egenskaper?
- Kan virksomheten inngå et samarbeid med andre virksomheter som bruker samme leverte tjenester/produkt for å utveksle erfaringer?
- Kan virksomheten sikre effektivt innsyn på et særlig kritisk punkt i produksjonsprosessen hos leverandøren? Vil det i så fall være mulig å sikre nødvendig innsyn i akkurat dette punktet?