Nyckelhanteringsguiden

Transcription

Nyckelhanteringsguiden
Introduktion
Nyckelhantering är något som många verksamheter har behov
av att få kontroll över. Det har visat sig i flera undersökningar
som gjorts om säkerheten inom en rad olika typer av verksamheter. Med PAAM Systems nyckelhanteringsguide får du en
mycket god överblick av vilka aspekter som bör beaktas och
tas om hand, för att hantering och förvaring av nycklar ska bli
såväl säker som enkel och effektiv. Med dryga två decennier
av erfarenhet vågar vi påstå att vi vet vad vi pratar om. Särskilt
med tanke på att vi längs hela resan varit med och utvecklat
branschen, flera gånger om genom att sätta helt nya innovationer på marknaden. Guiden är användbar nästan oavsett vilken bransch ni är verksamma inom. Den är också applicerbar
på mer än nyckelhantering – angreppssättet är lika gångbart
när det gäller andra typer av flyttbara värdeobjekt.
Magnus Johansson,
VD PAAM Systems
2
Nyckelhanteringsguide PAAM systems
Frank Norberg,
grundare av TT system
IIntroduktion/Innehåll
Introduktion
5
Hur definierar vi en nyckel?
5
Vad gör nyckelhantering så viktigt? 6
Historik 8
Den optimala lösningen för
nyckelhantering varierar 10
Angreppssätt 12
Behovsanalys 17
Från nuläge till nyläge 20
4-stegsmetoden 22
Nulägesanalys Steg 1
24
Konsekvensanalys Steg 2
35
Lösningar Steg 3
37
Nylägesanalys Steg 4
58
Verktygslåda 60
Sammanfattning 68
I verksamheten
Vad innebär nyckelhantering?
Från nuläge till nyläge
Innehåll
3
4
IIntroduktion/Nyckelhantering
Introduktion
Vad innebär nyckelhantering?
Nyckelhantering innebär väldigt olika saker för olika aktörer. En vedertagen
definition är svår att identifiera. I PAAM Systems nyckelhanteringsguide
utgår vi från följande: Hantering och förvaring av nyckelknippor och nycklar,
baserat på interna resurser och med hänsyn tagen till externa faktorer,
liksom potentiella hot eller krav. Vilken hanteringsnivå som krävs för just er
verksamhet beror mycket på vilka krav som finns, både från internt håll och
från eventuella externa intressenter. Med denna guide som följeslagare har
du goda möjligheter att hitta rätt nivå för just din verksamhet.
Hur definierar vi en nyckel?
I verksamheten
I dagens samhälle är det många saker som kan anses fungera som nyckel
och därför per definition också inkluderas av den här nyckelhanteringsguiden. Förutom den klassiska nyckeln finns numera även en rad olika typer
av elektroniska nycklar, som fungerar med hjälp av exempelvis RFID eller
mobiltelefon. Även dessa definitioner av nyckel är alltså inräknade i PAAM
Systems nyckelhanteringsguide.
5
Vad gör nyckelhantering så viktigt?
Nyckelhantering är idag en strategiskt viktig bricka för många framgångsrika
verksamheter. Med en genomtänkt och anpassad hantering undviks såväl materiella som immateriella skador. Kostnaderna som en ineffektiv hantering för med
sig elimineras också. Dessutom ökar tryggheten hos personalen och varumärket
stärks. För som bekant är varumärket också summan av allt man säger och gör –
vilket även innefattar sättet att hantera nyckelfrågan.
Felkällor
Några av de vanligaste orsakerna
till oklarheter i nyckelhanteringen är
förhållandevis enkla att undanstyra.
Det är trots allt väldigt sällan som det
är ett brott som ligger bakom problemen. Med ett genomtänkt system kan
såväl glömska som slarv och alltför
hög arbetsbelastning elimineras som
felkällor – de klart vanligaste orsakerna till missöden.
6
Investering för säkerhets skull
Inom säkerhetsbranschen brukar
man tala om att skyddsinvesteringar
viktas 80 % för skydd mot externa hot
och 20 % för interna. Samtidigt görs
gällande att de verkliga skadekostnaderna har en rakt motsatt fördelning,
där 80 % av skadorna orsakas av
interna problem, där en fungerande
nyckelhantering sannolikt skulle vara
en mycket god åtgärd för att minska
den siffran.
Rutiner
Skriftliga rutiner i all ära, men de
har en tendens att med tiden falla i
glömska eller kanske inte uppdateras
i takt med verkligheten. Outtalade
rutiner finns det också gott om och
de fungerar säkert så länge inget
oförutsett inträffar eller någon av de
invigda slutar på företaget. Bristande
rutiner är trots allt en vanlig felkälla
när det gäller nyckelhantering.
Ärlighet räcker långt,
men inte alltid hela vägen
De allra flesta människor har goda
intentioner och gör alltid sitt yttersta
för att leva upp till förväntningarna
hos sin arbetsgivare. Men det finns
fortfarande en liten klick vars samvete
är rymligt och som gör att en inte fullt
ut kontrollerad nyckelhantering kan
fallera.
Den mänskliga faktorn
Utan digitala system är det näst intill
omöjligt att bygga bort den mänskliga
faktorn som en felkälla. Manuella
signeringslistor för in- och utlämning
av nycklar är ett exempel på något
som lätt blir inkomplett.
Arbetsgivarperspektiv
och arbetsmiljö
Faktum är att nyckelhanteringen
också kan påverka arbetsklimatet. En
genomtänkt nyckelhantering skapar
trygghet och ökar förtroendet mellan medarbetare. I situationer där
Varför?
IIntroduktion/Nyckelhantering
Introduktion
- När användes nyckeln senast?
- Var och hur förvaras en nyckel?
- Vilka har tillgång till en nyckel?
Bevissituationer
Om ett problem uppstår följer nästan
alltid en bevisbörda. Vart gick det
snett och på grund av vad eller vem?
Som förvaltare är det viktigt att kunna
svara på några grundläggande frågor i
förhållande till sin kund:
personalen att bli felaktigt anklagad
för något man inte gjort. Det i sin tur
skapar istället en värdefull trygghet.
Lösning
Med ett elektroniskt nyckelhanteringssystem kan man leva upp till alla
involverades krav på trygghet, säkerhet och integritet. Försäkringsbolagen
blir också nöjda och en eventuell
säkerhetspolicy blir även den tillgodosedd. Felkällorna reduceras till ett
minimum och nyckelhanteringen blir
inte heller längre en potentiell källa
till irritation.
I verksamheten
någonting försvinner kan man snabbt
utesluta de flesta genom en god
nyckelhantering, vilket bibehåller en
god arbetsmiljö.
Med svar på dessa frågor elimineras
de flesta frågetecknen och oskyldiga
människor blir aldrig felaktigt misstänkta, vilket gör situationen mycket
mer hanterbar.
Registrering
Registrering och kontroll av aktiviteter
medför många åsikter och ofta en
kollektiv rädsla för intrång i integriteten. Rätt använt kan ett elektroniskt
system däremot ge helt motsatt
effekt. Genom att ha kontroll på nyckelhanteringen elimineras risken bland
7
Historik
I dag är tekniken inte längre en begränsande faktor. Möjligheten att skaffa sig en
effektiv hantering och förvaring av nycklar är mycket god. För att ge en inblick i
utvecklingen genom de senaste årtiondena har vi här samlat några milstenar.
– 1990
Nyckelhantering sköttes med hjälp av
manuella rutiner och metoder.
1990
Tillbehör som elektroniska kodlås till
nyckelskåp gjorde entré på marknaden. Syftet var att slippa hantera
nyckeln till nyckelskåpet, särskilt i fall
flera personer skulle ha tillträde till
samma nyckelskåp.
1993
Elektroniska nyckelskåp som kunde
registrera och kontrollera nyckelknippor introducerades.
Förvaring
8
1998
De första elektroniska nyckelskåpen
som kommunicerade med en dator
enligt TCP/IP-standard (Ethernet)
lanserades.
1999
Det första systemet för elektronisk
övervakning och kontroll av nyckelknippor i fleranvändarmiljö (serverbaserad) blev tillgängligt på marknaden.
Den nya tekniken innebar också nya
möjligheter för administration av
nyckelknippor.
Tillträde
Spårbarhet
1989
1992
1996
Nyckelförvaring sker
företrädesvis i skåp med
mekanisk låsning.
Nyckelskåp med kodlås
(CodeLock, nu NPC)
Nyckelskåp med
bevakning Keysafe
IIntroduktion/Historik
Introduktion
2002
System som kan integreras med
befintliga verksamhetssystem och
som tillhandahåller administration av
nycklar presenteras och börjar säljas.
2006
System som kombinerar administrationen med kontroll och övervakning
av nycklar och som dessutom kan
integreras i befintligt säkerhetssystem
lanseras.
System för elektronisk övervakning
och kontroll av nyckelknippor har
blivit ett allmängiltigt verktyg och
används av stora delar av marknaden.
Utöver sina tekniska fördelar hamnar
också priset/nyckelfäste på plussidan.
2010
Utvecklingen för att kunna möta framtidens krav och behov går fort och
PAAM Systems är med i frontlinjen.
Resultatet av utvecklingsarbetet når
marknaden och en rad verksamheter
skapar kontroll över tillträdet till sina
tillgångar.
Verksamhetsstöd
I verksamheten
2000
Tillträde till tillgångar
2007
2009
2010
Eagle lanseras
PAAM Systems bildas
Systemet Axsor lanseras
Vi utvecklar
Tillträde till tillgångar
9
Den optimala lösningen för
nyckelhantering varierar
Behoven och förutsättningarna för en lyckosam nyckelhantering skiljer sig
mycket från fall till fall. Det finns idag inget enskilt system som är svaret på
allas behov när det gäller till exempel tillgång till lokaler, fordon, maskiner
och förvaringsenheter.
I den intilliggande matrisen beskriver vi en rad olika sätt och system för att
skapa tillträde, med sina respektive styrkor och svagheter. Den optimala
lösningen för varje enskild verksamhet är oftast en kombination av några av
dessa lösningar.
10
Manuell
hantering,
administration
av nycklar sker
med hjälp av separat mjukvara
Beroende
av förvarings enhet.
Passersystem
(online)
Passersystem
elektroniska
dörrlås (offline)
Nyckeltuber/
nyckelboxar
(ej godkända)
Nyckeltuber/
nyckelboxar
(godkända)
Elektroniska
system för
nyckelstyrning
Medel
Låg
Låg
Hög
Hög
Hög
Medel
Medel
Medel
Hög
Hög
Medel
Tillämpning
Låg
Hantering av
nycklar i de fall
beståndet av
nycklar och antalet användare
är lågt.
Medel
Medel
Huvusaklig fördel
Huvud saklig
nackdel
Kommentar
Enkelt
Mycket
administration, låg
säkerhet.
För att upprätthålla en hög säkerhet, spårbarhet och en acceptabel
hantering av nycklar i ett manuellt
system, krävs tydliga rutiner som
efterföljes av alla inblandade
parter.
I de fall
omfattningen
av förvaring av
nycklar är stor
samtidigt som
omfattningen
av utlåning av
nycklarna är
liten.
God
kontroll
på nyckelbeståndet.
Låg
säkerhet i
hantering,
ingen
spårbarhet.
Trots att ett mjukvaruverktyg/databas används för att skapa kontroll
på ett nyckelbestånd måste nyckelhanteringen underkastas manu ella rutiner. Ett mjukvaruverktyg
ger i första hand användaren en
överblick över ett nyckelbestånd
och dess status.
Daglåsning på
yttre skal och
eventuellt inre
miljöer.
Snabb access till att
förändra
tillträde till
lokal.
Hög
Låsning av
innedörrar.
Hög
Skapa tillgänglighet till lokaler på ett större
geografiskt
område utan
krav på godkänd
förvaring av
nycklar.
Medel
Skapa tillgänglighet till lokaler på ett större
geografiskt
område med
krav på godkänd
förvaring av
nyckel.
Hög
Skapar tillgänglighet och
spårbarhet på
nyckelknippa nivå.
Kostnads effektiv
lösning
som varande passersystem.
Snabb
access till
lokal. Spar
tid och reskostnader.
Snabb
access till
lokal. Spar
tid och reskostnader.
Full
kontroll på
hantering
av nycklar.
Hög
kostnad
per dörr
(10-20 tkr).
Ej säkerhetsklassad
lösning.
IIntroduktion/Innehåll
Introduktion
Beroende
av förvarings enhet.
Kostnadseffektivitet
Kräver kompletterande hantering
av nycklar (nycklar till lokaler utan
passersystem - nödöppningsnycklar
till lokaler med passersystem.
Ej
säkerhetsklassad
lösning.
av nycklar (nycklar till lokaler utan
passersystem - nödöppningsnycklar
till lokaler med passersystem.
Ej
säkerhetsklassad
lösning.
av nycklar till objekt där inte
nyckeltuber är installerade samt
en hög säkerhet och kontroll runt
hanteringen av nycklar till de
nyckeltuber som är installerade.
Hög investeringskostnad.
av nycklar där inte nyckeltuber är
installerade samt en hög säkerhet
och kontroll runt hanteringen av
nycklar till de nyckeltuber som är
installerade.
Hög investeringskostnad.
På marknaden finns idag tre nivåer
av system för elektronisk övervakning och kontroll av nycklar.
1) Enkla system/produkter som
fungerar autonomt, varje separat
skåp hanteras för sig och lever sitt
eget liv. 2) Serverbaserade system.
I dessa system samordnas ofta ett
antal skåp med kommunikation
mot en server och en databas. 3)
Serverbaserade system med wwwkommunikation. Ny generation av
system med all nödvändig funktionalitet, som är konstruerade för
att motsvara framtida krav på
IT-applikationer och integration
med andra säkerhetssystem.
Manuell
hantering och
administration
av nycklar
Enkelhet
Olika sätt
Säkerhet
I verksamheten
Olika sätt att
hantera nycklar/
skapa tillträde
till lokal
11
Angreppssätt
Det finns olika sätt att ta hand om riskhantering.
Här beskriver vi de två vanligaste.
Händelsestyrd riskhantering
Att bygga upp sin säkerhet utifrån de
skador och incidenter som sker innebär ett reaktivt beteende för organisationen. Det innebär också att skador
tillåts att ske istället för att man
Styrka händelse
Katastrof
förebygger dem. Farliga beteenden
och dagliga störningar kan därför finnas i hanteringen utan att de åtgärdas
och samtidigt skapa otrygghet bland
medarbetare.
Händelsestyrd
riskhantering
Planerad
riskhantering
Skada
Störning
Incident
Farligt beteende
Få/inga störningar
Tid
12
IIntroduktion/IAngreppssätt
Introduktion
Planerad riskhantering
Att förutse och definiera de risker och
faror som kan uppstå och förebygga
dem innan de gör skada innebär en
planerad riskhantering. Detta är det
angreppssätt som alltid lönar sig
både säkerhetsmässigt och kostnadsmässigt. Det skapar också en större
trygghet bland personalen.
kostnader för att istället bli planerade och lägre utgifter samt hamna
under investering av utrustning och
liknande. Dessutom elimineras också
kostnaderna för att återuppbygga ett
anseende, som lätt blir skadat när
incidenter inträffar.
Planerad riskhantering skapar sänkta
kostnader. Kostnaderna förflyttas
också från driftskostnader samt
svårbudgeterade direkta och indirekta
Kostnader för förlorat anseende
I verksamheten
Indirekta kostnader
Direkta kostnader
Investeringskostnader
Driftskostnader
Kostnader vid
händelsestyrd
riskhantering
Kostnader vid
planerad
riskhantering
Den totala kostnaden för riskhaneringen kan fördelas i ett antal poster, som tydligt omfördelas och minskar vid en planerad riskhantering.
13
Ett fördelaktigt angreppssätt, för att få
kontroll på nyckelhanteringen, är att
i första hand lösa alla små vardagliga
störningar och skapa ett system som
flyter på bra. Att proaktivt eliminera
farliga beteenden och riskfaktorer i
vardagen gör också att även den stora
katastrofen på sikt byggs bort. Det
Dagliga störningar
Incident
är också med största sannolikhet ett
mer kostnadseffektivt sätt att bygga
upp hanteringen på, än att försöka
bygga bort en enskild katastrof. De
kostnader som vardagens störningar
drar med sig blir också över tid nästan
alltid större än de vid en stor enskild
olycka.
Störning
Skada
Katastrof
Dagliga störningar kostar i de allra flesta fall mer över tid, än ett enskilt större dråpslag.
14
15
I verksamheten
Introduktion
16
IIntroduktion/Behovsanalys
Introduktion
Behovsanalys
För att identifiera behovet för en enskild verksamhet, privat eller
offentlig, är det viktigt att först ställa sig frågan: Påverkar nyckelhanteringen vår verksamhet?
Behovet varierar givetvis med verksamhetens storlek, art och mängden nycklar som ska hanteras. Några frågeställningar som ganska
snabbt ger en överblick av just ert behov av nyckelhantering är de här.
1. Hur många personer använder nycklarna? Tänk både internt och externt.
2. Hur många nycklar finns i omlopp totalt?
3. Vilka nycklar kan plockas bort genom alternativa sätt att skapa tillträde till ett objekt?
I verksamheten
4. Vilka nycklar vill vi ha kontroll på?
5. Vilka nycklar måste vi ha kontroll på?
6. Vilka värden representerar nycklarna?
7. Ska alla personer ha tillgång till samtliga nycklar eller behöver tillgängligheten begränsas?
8. Hanteras endast egna nycklar eller förekommer nycklar för uppdragsgivares räkning?
Beroende av hur mycket nyckelhanteringen påverkar den dagliga verksamheten blir
också behovet av en fungerande hantering väldigt varierande.
17
Tveksamma alternativ
Värt att notera här är också de
lösningar som använder sig av låsta
fästen eller mobiltelefoner som ensam nyckellösning. Driftssäkerheten
på en mobiltelefon är alltför låg för
att kunna fungera som en enskild
nyckellösning i dagsläget. Likaså är
låsta fästen av alltför låg säkerhetsnivå för att kunna fungera som ett
tillfredsställande alternativ i de fall
där nyckelhantering anses vara av
verksamhetskritisk karaktär.
Värdebestämning av en nyckel
Det finns två olika aspekter att beakta
när en nyckels värde ska bestämmas. Dels är värdet beroende av
hur många cylindrar nyckeln går till
(man brukar räkna med ca 1 500 kr/
cylinder). En huvudnyckel blir i det
här hänseendet betydligt mer värd.
Den andra variabeln för en nyckels
värde baseras på vad den skyddar.
En nyckel till ett lager, en bil eller en
butik blir ur det perspektivet oerhört
värdefull och sannolikt också viktigare
att kontrollera.
För att skapa en ännu tydligare bild
av just er verksamhets behov av nyckelhantering kikar vi här på fyra olika
områden/funktioner där nycklar ofta
är involverade.
18
Administration
En genomtänkt och systematiserad
nyckelhantering är mer och mer
värdefull ju större antal användare
och mängd nycklar som är i rörelse.
Ordning och reda skapar effektivitet
och sparar pengar.
Fysisk säkerhet
När nycklarna representerar ett stort
värde (en enskild nyckel eller alla
nycklarna gemensamt) är det viktigt
med fysisk säkerhet. Det samma gäller om uppdragsgivare eller försäkringsbolag ställer krav på en specifik
säkerhetsnivå.
Tillgänglighet
Genom att aktivitetsrelatera användandet av en nyckel eller nyckelknippa ökar säkerheten och hanteringen
begränsas ordentligt. Som användare
ska man inte kunna göras ansvarig för
ett nyckeluttag mer än under den tid
som nyckeln används.
Spårbarhet
Att kunna spåra en specifik nyckel
är viktigt när den nyttjas av många.
Spårbarheten blir än mer viktig när
nyckelhanteringen sker för en uppdragsgivares räkning.
IIntroduktion/Behovsanalys
Introduktion
Värde
Efter att ha tänkt igenom hur pass
viktigt respektive område (Administration, fysisk säkerhet, tillgänglighet
och spårbarhet) är för er verksamhet,
är det dags att kategorisera dem och
göra bedömningar.
Gul
Bedömning
Hanteringen av nycklar är förhållandevis viktig och är att anse som en
stödprocess för att verksamheten ska
fungera effektivt.
Röd
Bedömning
Nyckelhantering är mycket viktig för
att verksamheten ska fungera på ett
tillfredsställande sätt. Om hanteringen
fallerar kommer den att påverka kärnverksamhetens resultat negativt.
Konsekvens
Tydliga riktlinjer och rutiner bör
utformas och kommuniceras till alla
berörda, för att minska sannolikheten
för skador och störningar.
Konsekvens
Frågeställningar runt nyckelhantering
bör i det här läget betraktas som strategiska och hanteras på ledningsnivå.
Spårbarhet
I verksamheten
Tillgänglighet
Antal nyckelknippor
Antal användare/händelser
Antal nyckelknippor
Fysisk säkerhet
Administration
Antal nyckelknippor
Antal nyckelknippor
Grön
Bedömning
Nyckelhanteringen har ingen egentlig
påverkan på verksamhetens vardag
och kan mestadels hanteras manuellt,
med små tekniska hjälpmedel.
19
Med utgångspunkt i behovsanalysen är det enklare att bestämma
vilken ambitionsnivå arbetet med nyckelhanteringen bör ligga på i
respektive verksamhet. I de fall en genomgång av nyckelhanteringen
anses nödvändig är det viktigt att gå vidare med en nulägesanalys.
Från nuläget ska vi sedan förflytta oss till ett tänkt nyläge. I det här
skedet är det mycket viktigt, för att nå bästa resultat, att besluta kring
ekonomiska ramar för översynen. Beslutet bör tas på ledningsnivå.
I processen mot att utveckla en säker, enkel, effektiv och kostnadseffektiv nyckelhantering föreslår vi vår 4-stegsmetod:
20
21
I verksamheten
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Introduktion
4-stegsmetoden
1
Nulägesanalys
1.1 Definiera och beskriv objekten för
nyckelhanteringen.
1.2Beskriv och definiera de verktyg
som används i verksamheten idag.
3
Lösning
3.1 Ta fram en målbeskrivning för
verksamheten.
3.2Utforma en lösning som har sin
utgångspunkt i den framtagna
målbeskrivningen.
1.3 Icke påverkbara faktorer.
3.3 Lösningar
1.4 Påverkbara faktorer.
2
Konsekvensanalys
2.1 Sammanställ en konsekvensanalys där nuläget stäms av mot
påverkbara och icke påverkbara
hot och krav som verksamheten
har att ta hänsyn till.
22
4
Nylägesanalys
4.1 Utvärdera resultatet av genomförda åtgärder – nyläget – i relation
till tidigare beskrivna nuläge.
4.2Utvärdera implementerad lösning
i ljuset av den målbeskrivning
som tagits fram och analysera om
verksamheten eventuellt skapat
förändrade krav och hotbilder.
Rutiner
Nycklar
Finansiering
Användare
Introduktion
Objekt
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Verktyg
Tekniska hjälpmedel
Icke påverkbara
faktorer
Externa hot
Legala faktorer
Uppgradering
Uppdatering
Process för hantering av nycklar
• Nulägesanalys
• Konsekvensanalys
• Lösning
• Nylägesanalys
Påverkbara
faktorer
Interna hot
Uppdragsgivares
förväntningar
Försäkringsvillkor
Organisation
Säkerhet
Enkelhet
Bekvämlighet
Effektivitet
I verksamheten
Utvärdering av nyläge
Nyläge
23
Nulägesanalys Steg 1
En relevant nulägesbeskrivning är grunden i utformningen av en
behovsanpassad nyckelhantering. Med full kontroll på verksamhetens status och omfattning när det gäller hantering av nycklar
är det enklare att klara av resterande steg i processen.
Verktyg
Objekt
Rutiner
Nycklar
Finansiering
Användare
Icke påverkbara
faktorer
Externa hot
Legala faktorer
Uppgradering
Uppdatering
• Nulägesanalys
• Lösning
• Nylägesanalys
Påverkbara
faktorer
Interna hot
Uppdragsgivares
förväntningar
Organisation
Säkerhet
Enkelhet
Bekvämlighet
Effektivitet
Nyläge
24
25
I verksamheten
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Introduktion
1.1 Beskrivning av objekt
I den här processen avser det vi kallar för objekt det bestånd av
nycklar och nyckelknippor som hanteras verksamheten. Det inkluderar också såväl interna som externa användare av nycklarna.
Följande frågors svar ger en god överblick över objekten:
Nyckelbestånd
• Hur många nycklar hanteras i verksamheten?
• Hur många användare är kopplade
till en verksamhet?
• Vilka typer av nyckelknippor kan
definieras (nyckelgrupper)?
• Vilka grupper av användare finns i
organisationen?
• Vilket värde har varje nyckel
(huvudnycklar)?
• Hur hanteras externa användare?
• Vilka värden skyddar nycklarna?
26
Användare
1.2 Beskrivning av verktyg
Introduktion
Nästa steg är att fundera kring de verktyg som behövs för en
fungerande nyckelhantering. Det är viktigt att tänka igenom såväl
mjuka som hårda delar i verktygslådan. Rutiner, policies, och
finansiella medel liksom tekniska hjälpmedel.
• Hur ska varje typ av nyckel förvaras?
• Hur ska en nyckelknippa märkas för
att vara spårbar internt?
• Skall nyckelhantering integreras med
andra funktioner/säkerhetssystem i
verksamheten (samordning av databaser, tillträdessystem etc)?
• I hur stor omfattning skall integrationen genomföras?
Behörighetsregler
• Hur skall nycklar förvaras när man
hanterar dem utanför sin förvaringsplats?
Administration
• Vilka rutiner skall gälla för att skapa
ordning och reda i hanteringen av
nycklar?
I verksamheten
Hårdvara
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Rutiner
De rutiner som utformas runt hantering och förvaring av nycklar
bör omfatta frågeställningar kring hårdvaran, behörighetsregler
och administrationen. Frågeställningarna stämmas av med det
nuläge som föreligger.
• Vilka rutiner skall gälla för utkvittering och inlämning av nycklar?
• Bättre kontroll på kostnader som
är direkt härledda till nyckelhanteringen.
• Sannolikt blir den dagliga driften
av nyckelhanteringen överlag mer
kostnadseffektiv.
• Kostnaderna för störningar i hanteringen av nycklar minskas väsentligt.
• Skaderisken minskar och därmed
också kostnaderna för dessa, som
dessutom sällan är budgeterade.
• Vem skall ha tillgång till en nyckel?
• Under vilka förutsättningar och tidsbegränsningar?
27
Finansiering
De verkliga kostnaderna för nyckelhantering är ofta svåra att
identifiera. De är många gånger del i den allmänna kostnadsbudgeten som rör kostnader för personal, daglig drift etc. Erfarenheten ger dock vid hand att kostnaderna i de flesta fall är högre
än estimerat. En genomarbetad hantering av nycklar ger därför
nästan alltid goda effekter också ur ett ekonomiskt perspektiv!
Några exempel på fördelar är de här:
Fördelar
• Bättre kontroll på kostnader som
är direkt härledda till nyckelhanteringen.
• Sannolikt blir den dagliga driften
av nyckelhanteringen överlag mer
kostnadseffektiv.
• Kostnaderna för störningar i hanteringen av nycklar minskas väsentligt.
• Skaderisken minskar och därmed
också kostnaderna för dessa, som
dessutom sällan är budgeterade.
28
I vilken typ av skåp förvararas verksamhetens nycklar? Fördela beståndet
enligt nedan klassificering
• Tunnplåt
Definition av låssystem på lokal
nyckelförvaringsenhet
• Nyckel
• Kodlås Stand Alone (typ Timelock
Codoor).
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Fysiskt skydd
Introduktion
Kartläggningen av de tekniska hjälpmedel som finns tillgängliga
redan idag är en viktig del i nulägesanalysen. Är de i paritet med
antalet och typen av objekt? De tekniska hjälpmedlen är oftast flera:
• Ingår i passersystem (off line/on
line).
• Stöldskyddsskåp klass l/ll.
• Värdeskåp Grade 0-9
Nyckelskåpens placering
• Ej skalskyddat rum
• Skalskyddat rum
Spårbarhet
Vilken typ av elektronisk övervakning
och kontroll av nyckelknippor finns
idag?
• Rum med säkerhetsklassning
• Spårbarhet på dörrnivå
• Nyckelrum i en fastighets
bottenplan
• Spårbarhet på nyckelknippanivå
I verksamheten
• Säkerhetsskåp klass SS 3492
• Spårbarhet på nyckelnivå
System för tillgänglighet
(definition av låssystem på nyckelförvaringsenheter)
• Nyckellåsning
• Ej godkänt kodlås
• Godkänt kodlås med en kod.
• Godkänt kodlås med flera koder.
• Låsning ingår i passersystem
(offline/online).
29
30
1.3 Icke påverkbara faktorer
Introduktion
Det finns en rad yttre omständigheter som inte går att ändra på.
Dessa går vi igenom här. Det handlar främst om försäkringsvillkor
och externa hot som inbrott, stöld och brott. Det handlar också
om legala faktorer så som regler och lagar för sjukhus, försvaret,
säkerhetsbolag och andra organisationer av samma typ.
Inbrott
Att olovligen med våld bryta sig
in i lokal eller med dyrk ta sig in i
lokal. Innebär i sak att om en nyckel
hamnar i orätta händer och en lokal
öppnas med nyckel vid ett inbrott så
kommer ett försäkringsbolag inte att
ersätta den skada som blir följden.
Nyckel
Passagekort, kod eller liknande anses
av försäkringsbolag vara en nyckel.
Lokal
Följande anses inte som lokal: fordon,
arbetsredskap, fartyg, plasthall, tält,
container, skåp, kista eller liknande
definieras inte som lokal.
Spårlöst inbrott
Inbrott utan brytmärke, genererar inte
heller någon ersättning från försäkringsbolag.
Föreskrifter
Nyckel, kod eller låskombination till
byggnad och lokal skall handhas och
förvaras på ett betryggande sätt. Den
får inte vara märkt eller placerad så
att den kan identifieras av obehörig.
Den får inte heller förvaras på ett sådant sätt i försäkringslokalen att den
är tillgänglig för obehörig.
I verksamheten
Definitioner
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Villkoren för att en försäkring ska gälla gör det tydligt att det är
viktigt med en fungerande nyckelhantering.
Kod eller kombinationslås
Om låsanordning består av kod
eller kombinationslås och skåpet
öppnats av obehörig
Ersättning utgår endast vid hot eller
våld i lokalen och endast om gärningsmannen tagit sig in genom
inbrott. Ingen ersättning utgår om
nyckel eller kod är förvarad i samma
lokal som skåp.
31
Stöld, skadegörelse i lokal
Ersättning utgår endast vid inbrott.
Stöld av nyckel
För att försäkringen ska lösa ut krävs
att nyckeln skall ha stulits genom:
Ersättning
Max två basbelopp och endast för
utbyte av det antal cylindrar nyckeln
representerar.
• Rån
• Inbrott i lokal som uppfyller skyddskrav
• Inbrott i bostad
• Nyckel tagen när den förvarats i säkerhetsskåp motsvarande standard
SS 3492.
• Inbrott i nyckelförvaring som motsvarar nyckelns värde. Exempelvis
huvudnyckel förvarad i värdeskåp.
Omhändertagen egendom
Låna inte ut en nyckel! Ersättning för
stulen eller förlorad nyckel utgår inte.
Undantag vid tillägg i försäkringen
som rör omhändertag egendom (vanligt bland exempelvis entreprenörer).
Sammanfattning
Sammanfattningsvis kan man enkelt
konstatera att det är ytterst sällsynt
att en verksamhet utsätts för skador
som ersätts av en försäkring. Istället
krävs istället att den egna säkerhetsnivån i nyckelhanteringen är så
hög att den motsvarar de direkta och
indirekta kostnader som en eventuellt
skada skulle kunna medföra.
32
1.4 Påverkbara faktorer
• Interna hot som oordning, glömska,
slarv, stöld och bedrägeri
• Organisation och verksamhet
-
Hur ser verksamhetens organi-
sation ut?
- Finns en dedikerad säkerhets-
avdelning i organisationen? Ansvarsområden?
• Organisation nyckelhantering
-
Hur ser organisationen för verk-
samhetens nyckelhantering ut?
-
Finns någon övergripande ansvarig för nyckelhantering utsedd?
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
• Förväntningar från eventuella uppdragsgivare.
Säkerhetsarbetet runt
hanteringen av nycklar
• Hur ofta inventeras och revideras
verksamhetens bestånd av nycklar och
användare (interna och externa)?
• Finns det någon policy för nyckelhantering?
• Uppdateras nuläget över tid?
• Finns målsättningar med hanteringen
framtagen?
• Utvärderas verksamhetens hotbild
regelbundet?
• Utvärderas och uppgraderas lösningarna för följande?
I verksamheten
Allmänna, påverkbara
faktorer
Introduktion
Förutom icke påverkbara faktorer finns det också en mängd
faktorer som går att göra något åt. Vissa av dem går att justera
omgående, andra över tid.
- Förvaring
- Märkning av nyckelknippor.
- Administration
- Integration
- Drivs eventuellt förändrings projekt i projektform?
- Hur implementeras de lösningar
som är för handen gällande?
- Ingår nyckelhanteringsprocesser
i ett linjeansvar?
- Kommunikation av mål, policy, lösningar.
- Utbildning av personal.
- Utvärdering och återkoppling.
33
34
Introduktion
Konsekvensanalys Steg 2
I verksamheten
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
I konsekvensanalysen handlar det om att ställa objektsbeskrivningar och interna resurser mot faktorer som går att påverka
samt faktorer som inte går att påverka. Risker och sannolikheter
för att skador och störningar ska inträffa, om inga åtgärder tas,
beskrivs här. Med konsekvensanalysens samlade resultat blir bristerna tydligt definierade. Därefter handlar det om att prioritera
ordningen på åtgärderna för bristerna, baserat på vilka som gör
störst skada för verksamheten. Detta gör det också enklare att
utforma verksamhetens målbeskrivning, som även blir nästa steg
mot en säker, enkel och rationell nyckelhantering.
35
36
Introduktion
Lösningar Steg 3
I verksamheten
Från
tillnyläge
nyläge
Frånnuläge
nuläge till
Hela genomlysningen av verksamheten syftar självklart till att
kunna utveckla och kvalitetssäkra nyckelhanteringen. Det är
tyvärr relativt sällsynt med en tydlig målbeskrivning för hur en
optimal hantering och förvaring av nycklar ska fungera på en specifik verksamhet. Som redan berörts är det viktigt att målbilden
för den enskilda verksamheten grundar sig i hur viktig nyckelhanteringen är för det dagliga arbetet. Om den är mycket viktig
och en nyckelfaktor i det slutgiltiga resultatet, då bör givetvis
utvecklingsinsatsen anpassas utifrån det och vice versa. Målbeskrivningen bör också uttryckas i främst mjuka värden då det är
där de flesta förtjänsterna finns att hämta.
37
3.1 Målbeskrivning
Målbeskrivningen kan delas upp i fyra olika parametrar för att
bli tydlig och enkel att arbeta vidare utifrån. Målbilden bör även
återge inbördes prioritering mellan de fyra delarna; säkerhet,
enkelt handhavande, flexibilitet och effektivitet.
Hög säkerhet
Hög säkerhet minimerar risken för att
skada skall uppstå, med oönskade
påföljder som exempelvis ersättningsanspråk. Om den trots allt inträffar är
det värdefullt med ett material som
beskriver gången för en stundande
utredning. Hög säkerhet skapar också
trygghet bland personalen som kan
känna sig säkra när de hanterar
nycklar både internt och för uppdragsgivares räkning.
Enkelt handhavande
Skapar hög acceptans bland personalen och begränsar felprocenten
orsakad av den mänskliga faktorn.
Hög flexibilitet
Ett nyckelhanteringssystem som är
anpassningsbart för både utbyggnader och omorganisationer skapar hög
38
flexibilitet. Att kunna utöka funktionalitet och lägga till nya behov längs
vägen, utan att behöva byta system,
är en stor fördel. Det samma gäller
möjligheten att integrera nyckelhanteringen i andra eventuella affärs- eller säkerhetssystem.
Kostnadseffektivitet
Hög effektivitet i nyckelhanteringen
är också en viktig parameter att
ta hänsyn till i sin målbeskrivning.
Minimala driftsstörningar sparar
pengar och gör även att risken för att
en större katastrof ska inträffa också
minskar, vilket även det ger reducerade utgifter.
3.2 Lösningar
• Kommunicera och utbilda verksamhetens personal i de nya rutinerna.
• Fastställ en budget för implementering av lösningen.
Introduktion
Med de två första stegen i 4-stegsmetoden avklarade är det dags
att skapa den lösning som passar just den här verksamheten
bäst. För att åskådliggöra detta delmoment så tydligt som möjligt ger vi ett fiktivt exempel på lösning. Men först några viktiga
punkter att ha med sig.
• Genomför förändringarna genom
att uppdatera mjuka och uppgradera hårda verktyg.
3.3 Exempel
För att uppnå bästa resultat och skapa
en större förståelse kring processen
delar vi upp den enligt följande:
I verksamheten
I verksamheten
Med nuläges- och konsekvensanalysen som utgångspunkt, tillsammans
med målbeskrivningen formar vi här
ett exempel på lösning. Lösningen är
påhittad och skapad utifrån ett worst
case-scenario där nulägesanalysen
visar på stora behov och riskerna runt
verksamheten är påfallande stora.
På så sätt får vi tillftälle att påvisa
flera fallgropar som ofta identifieras i
verkliga uppdrag. Värt att ha i åtanke
är att det är sällsynt att en och samma
verksamhet brottas med alla de svagheter som berörs i detta exempel.
• Policy/Rutiner
• Behörighet
• Administration
• Organisation
• Hårdvara
• Låsning av förvaringsenhet
• Nyckelmärkning
• Nyckelringar/säkring av nyckelknippa
• Kommunikation
39
Policy/Rutiner
Nuläge
En övergripande och generell policy
för hanteringen saknas, liksom rutiner
för hur den ska gå till. I en del av organisationen finns en generell policy,
men den är inte tydligt kommunicerad och efterlevs därför inte av alla.
Istället har ”tysta rutiner” utvecklats
och de är i de flesta fallen i stort sett
helt personanknutna.
Konsekvens
Svårigheten att kommunicera en
enhetlig bild av hur nyckelknippor ska
hanteras blir uppenbar. Problematiken
uppstår i både interna och externa fall
vilket skapar viss oro, inte minst från
externt håll. Hanteringen av nyckelknippor kommer högst sannolikt att
fortsätta utvecklas olika i olika delar
av verksamheten. I det fall anställda
flyttar mellan avdelningar eller orter
med olika tysta rutiner riskerar verksamheten att drabbas av störningar,
som övertid kan bli kostsamma och
generera ökade risker.
40
Förebyggande ågärder
En gemensam policy arbetas fram
avseende:
• Grad av fysisk säkerhet på förvaringsenheter, kopplat till de objekt/
nyckelknippor som skall förvaras.
Sett ur ett säkerhetsperspektiv.
• Klassificering av olika typer av nycklar. Vilka nycklar kräver elektronisk
övervakning och vilka kan hänga
på en krok. Dels med utgångspunkt
i vilket värde nyckeln betingar och
dels utifrån behovet av spårbarhet.
• Tilldelning av personal och externa
partners behörigheter till de nycklar
som finns i verksamheten.
• Nyckelmärkning.
• Organisation för hanteringen och
ansvarsområden för respektive
person i organisationen.
Introduktion
Checklista – Rutiner
Övergripande ansvarig för nyckelhanteringen är utsedd.
Skriftliga rutiner/policies är kommunicerade i hela organisationen.
Hantering och förvaring av nycklar i verksamheten uppfyller försäkringsbolagens krav.
I verksamheten
I verksamheten
Hantering och förvaring av nycklar i verksamheten uppfyller eventuella
uppdragsgivares förväntningar och krav.
41
Behörighet – Uttag av nycklar
Nuläge
Nyckelknippor hänger i ett skåp på
nyckelkrokar utan elektronisk övervakning. När knipporna plockas ut ska
de registreras i den manuella liggare
som finns i anslutning till skåpet.
42
Konsekvens
Den här rutinen gör det omöjligt
att behörighetsstyra tillgången till
nyckelknipporna i skåpet. Vem som
helst har därmed tillgång till nycklarna, så länge inte skåpet har någon
elektronisk lösning med unika koder
för varje enskild individ som getts
tillgång till nycklarna. I sådana här fall
är sannolikheten stor att ett felaktigt
handhavande kommer att upptäckas
först när knippan ska användas igen
och saknas på sin krok, eller möjligen
har hamnat på fel krok. Vid ett fel
kan alla användare ställas till svars
för eventuella störningar och skador.
Detta eftersom alla kan anses ha
tillgång till nycklarna. Att identifiera
felkällan här är mycket svårt.
Behörighet – Insättning av nycklar
Konsekvens
Sannolikheten för att nyckelknippan
hängs tillbaka på fel krok eller inte
hängs tillbaka alls är relativt stor. Och
om den hängs tillbaka, men på fel
plats, riskerar verksamheten att få
störningar vilket kan leda till såväl
irritation som till onödiga kostnader.
När en knippa saknas i ett manuellt
system av den här typen är det också
svårt att hitta information om vem
som tagit ut knippan.
Introduktion
Nyckelknippor som behöver gå att
spåra förflyttas till ett system med
elektronisk övervakning och kontroll
över händelser som rör de aktuella
nyckelknipporna. Ett alternativ, om
än mindre driftssäkert, är tydligare
rutiner för manuella kvittenser så
att knippan med hjälp av dem kan
spåras.
En nyckelknippa återlämnas på en
krok i ett nyckelskåp utan elektronisk
kontroll.
I verksamheten
I verksamheten
Nuläge
43
Hantering av knippor i portabla förvaringsenheter
Nuläge
Nycklar som går till nyckelskåp finns
tillgängliga i ett separat nyckelrum/
nyckelskåp. Nyckelknipporna som
finns i ”nyckelväskor” hanteras i vissa
fall manuellt och omdisponeras inför
kvälls- respektive helgpass. Andra
väskor används ograverade och med
samma innehåll hela tiden.
Konsekvens
När en inkomplett nyckelväska hängs
in i skåpet uppstår en betydande störning vid nästa tillfälle den plockas ut.
Utan spårbarhet blir också sökandet
efter saknade nycklar komplicerat och
verksamheten får problem. Digniteten
på problemen avgörs av vilka kostnader störningen medför.
44
Noggranna rutiner för utlåning av
knippor samt behovsstyrning av
specifika knippor bör tas fram. Regelbundna inventeringar av förvaringsskåpet, efter varje utlåning, krävs för
att ta kontroll. Det är också möjligt att
hänga in samtliga nycklar, tillhörande
en portabel nyckelväska, i ett elektroniskt system och på så sätt skapa
sökbarhet på väsknivå.
Övriga uttag (långtidsutlåning)
Introduktion
Det är inte alla nyckelknippor som
är personliga, ibland är de istället
knutna till en specifik tjänst eller
uppgift. Oavsett bör understrykas att
det är viktigt att personalens knippor
lämnas på arbetsplatsen efter arbetsdagens slut.
Samtliga i personalen har eget ansvar
för uttag av nyckelknippor i systemet.
Registrering sker bara via kodlåset/
passersystemet som går till nyckelrummet. Nyckelknippan delas ut via
kvittens vid anställningens början och
ska sedan förvaras i nyckelrummet
när respektive anställd inte är i tjänst.
I verksamheten
I verksamheten
Nuläge
45
Behörighet – Behörighetsregler (allmänt)
En grundregel när det gäller behörighet till nycklar eller nyckelknippor är att definiera vem eller vilka som ska ha tillgång till
respektive nyckel.
Nödöppningsnycklar
När man använder sig av nyckelskåp
som utrustats med elektroniska kodlås, eller om de ingår i ett större passersystem, är det mycket viktigt att
samtlig personal informeras om regler
för hantering av nödöppningsnycklar.
För behörig personal måste dessa
vara tillgängliga dygnet runt.
Se till att varje användares ansvar för
en nyckel eller nyckelknippa begränsas till den tid som de är uttagna ur
systemet. På så sätt blir kontrollen
betydligt enklare och mer effektiv.
Checklista – Tillträde/Behörighet
Personal har inte tillträde till nycklar som han/hon inte behöver i sin
dagliga verksamhet.
Personal har inte tillträde till nycklar under tider då han/hon inte är i tjänst.
Personal i verksamheten har inte ”fritt tillträde” till den lokal där nyckelskåp
är placerat.
Nycklar är kopplade till enskilda uppdrag och återlämnas efter slutfört
uppdrag.
”Känsliga” nycklar lånas ut permanent och används i daglig verksamhet
och/eller förvaras i exempelvis bilar och bostäder.
Förteckning, över vilka nyckelknippor som förvaras i respektive skåp, förvaras oåtkomligt för obehöriga.
46
Introduktion
Administration
Administrationen av nycklar är en av de viktigaste delarna i hanteringen för att minimera störningar i systemet och även för att
snabbt kunna gå tillbaka och se tidigare händelser.
Precisera vilka rutiner som krävs
för att skapa en bra ordning och en
tillfredsställande spårbarhet. Med
utgångspunkt i en nyckel som hänger
i ett skåp är följande frågor relevanta
att ge ett svar på:
• Vart går nyckeln? Tänk på att svaret
på frågan inte får framgå av märkningen på nyckeln!
Rutiner
• En nyckel som är borta från sin
plats i ett skåp – vem har tagit ut
den och hur kommer man i kontakt
med personen i fråga?
• När togs nyckeln ut och när förväntas den komma tillbaka?
I verksamheten
I verksamheten
• Vem/vilka har använt nyckeln den
senaste tiden och under vilka tider?
Administration av
utlåning och inlämning
Nuläge
Administrationen kring nycklar och
nyckelknippor sköts i första hand genom manuella rutiner. Verktygen som
används är en förteckning över vilka
knippor som skall finnas tillgängliga
och kopplade till specifika användare.
Kvittenser skrivs ut vid utlåning av
nycklar både externt och internt,
samma procedur genomförs när nycklarna återlämnas.
Konsekvens
Det finns en rad konsekvenser som
dyker upp till följd av det beskrivna
handhavandet. De mest påfallande är
de här:
• I manuella system är risken större
att nyckelknippor tas ut av obehörig personal/användare.
• I det fall nyckelhanteringen bygger
på enbart manuella rutiner begränsas möjligheten till spårbarhet
väsentligt.
• Bevisningen blir svår när det inte
går att verifiera vem som tagit ut
en knippa, när den använts och när
den hängdes tillbaka.
• Gemensamt för manuella rutiner är
att de är svåra att upprätthålla över
tid.
48
Förebyggande åtgärder
Skaffa verktyg för att administrera
nycklarna som står i relation till en
nyckelknippas betydelse för verksamheten (ekonomiskt och funktionsmässigt). Utgå också från antalet
nycklar det handlar om liksom antalet
användare som är inblandade.
I vissa fall kan en helt manuell administration vara fullt tillräcklig och den
rätta vägen att gå. Ofta underlättar
dock ett mjukvaruverktyg administrationen väsentligt. I de flesta fall bör
även valda delar av ett nyckelbestånd
övervakas med hjälp av ett elektroniskt nyckelskåp som kopplas upp
mot samma mjukvara.
En dokumentation och därmed samlad överblick över det nyckelbestånd
man förfogar över och de användare
som berörs gör hanteringen mer
greppbar.
Verifiering av varje knippa mot
kvittensen förs löpande över tid.
Dessutom registerförs vilka nycklar
som finns på respektive knippa. Det
finns också rutiner för hur uppdateringar av nyckelbeståndet på varje
specifikt objekt ska föras. När en
nyckelknippa återlämnas efter ett
slutfört förvaltningsuppdrag skrivs ett
återlämningskvitto.
Konsekvens
Det räcker med att en eller ett fåtal
verifieringar inte kommer med i
hanteringen för att störningar kan
uppstå i framtiden. Om uppdateringar
av uppdragsgivares nyckelknippor
inte fungerar är sannolikheten för
att nycklar försvinner från en knippa.
På samma sätt kan nycklar som inte
längre används i verksamheten av
misstag finnas kvar på knipporna och
skapa oreda.
Introduktion
Rutiner för att kontinuerligt inventera
beståndet av nycklar och nyckelknippor för att säkerställa att de överensstämmer med förvaltningsavtal.
Samma typ av kontinuerlig rutin för
att jämföra nyckelknipporna med
eventuella förändringar i de nyckelsystem uppdragsgivarna använder
sig av.
Nuläge
Ett register över vilka nyckelknippor
som finns är upprättat, likaså vilken
enhet de finns på och var de hänger.
När en uppdragsgivare lämnar in en
nyckelknippa skrivs ett kvitto ut och
förvaras hos nyckelförvaltaren
Mycket tid går åt för utredningar så
snart inte alla manuellt hanterade
dokument är på rätt plats. Sökningar
i manuella system är alltid tidskrävande.
Lätta instruktioner för när och hur en
förvaltare återlämnar en nyckelknippa
till uppdragsgivaren. Viktig information vid överlämnandet är vilka nycklar det handlar om, när de ska lämnas
tillbaka, av vem och till vem.
En viktig åtgärd, för att minimera
antalet störningar i nyckelhanteringen
är att låta all data registreras digitalt.
I verksamheten
I verksamheten
Beståndsdokumentation
(nycklar och användare)
49
Ansvarsdelegering inom
organisationen
Organisation
Det finns ingen som har det övergripande ansvaret för nyckelhantering.
Däremot har varje avdelning ett delegerat ansvar för nyckelhanteringen
där. I de fall ingen specifik person har
tilldelats ansvaret är det avdelningens linjechef som automatiskt blir
ansvarig.
Konsekevens
Nuläget för med sig att varje avdelning skapar sitt eget regelverk och
sina egna rutiner kring nyckelhanteringen.
50
Att skapa en central policy som
förankras i den dagliga verksamheten
förekommer risken för att flera olika
sätt att hantera nycklar inom samma
verksamhet etableras.
Integration
Verksamheter som är helt eller
delvis uppbyggda på ett system med
elektronisk kontroll och övervakning
av nyckelknippor är samordningen än
viktigare. Styrregler för hur databaser
med användare kan integreras med
övriga säkerhetssystem är viktigt. Det
säkerställer att det i grunden bara
kommer att finnas en databas för alla
nycklar, nyckelknippor och adresser i
verksamheten.
Introduktion
Checklista – Administration
Samtliga nycklar i organisationen är under kontroll.
Inga nycklar/nyckelknippor är på drift.
Förteckning över alla nycklar i verksamheten finns på plats.
Förteckning över vilka i verksamheten som skall ha tillgång till nycklar finns.
Det går inte för utomstående att härleda vart en nyckel låser upp, utifrån
nyckelknippans märkning.
Det finns system för att följa upp att alla utlånade nycklar/knippor lämnas
tillbaka – och lämnas tillbaka vid rätt tidpunkt.
Vi vet vem som tagit en specifik nyckel/nyckelknippa och när han/hon tagit
ut knippan (statusinformation).
Vi vet var en specifik person har använt en specifik nyckel (historik).
I verksamheten
I verksamheten
Nyckelförteckning över vilka nyckelknippor som förvaras i respektive skåp
finns.
51
Hårdvara (Fysiska förvaringsenheter)
Nuläge
De förvaringsenheter som används
idag är inte anpassade för behovet av
fysisk säkerhet. Värdet som nycklarna
står för överstiger den säkerhetsnivå
som förvaringsenheterna kan erbjuda.
Lokalerna där förvaringsenheterna
finns är inte heller integrerade i det
befintliga passersystemet.
Konsekvens
Risken för att obehöriga får tillgång
till nycklar är hög, vilket också ökar
risken för inbrott och stölder. Sannolikheten för att en större skada ska
inträffa är också stor om huvudnyckel
eller andra nycklar, till känsliga och
värdefulla objekt, hamnar i orätta
händer.
Fatta beslut om vilken säkerhetsnivå
som krävs för varje enskild nyckel eller nyckelgrupp.
Säkerställ att förvaringsenheter uppfyller branschkraven och/eller interna
policybeslut eller säkerhetskrav.
Se till att låsenheterna till förvaringsskåp eller -rum uppfyller de försäk-
52
ringsvillkor som gäller för verksamhetens försäkringar.
Förvaringsenheter och låsanordningarna som hör till dem ska motsvara
det värde, som nycklarna och det
som nycklarna skyddar tillsammans
betingar.
Rekommendation
Huvudnycklarna bör förvaras i ett säkerhetsskåp med minst klass SS 3492.
Resterande nycklar förvaras med
fördel i skåp motsvarande klassningen
stöldskyddsskåp klass I/II. För att vara
riktigt på den säkra sidan är det också
bra att låta försäkringsbolaget godkänna lösningen även formellt. På så
sätt säkerställs att eventuella intrång
är ersättningsbara.
Introduktion
Checklista – Fysisk säkerhet/Hårdvara
Skalskyddet överensstämmer med värdet på nycklarna i skåpet.
Skalskyddet överensstämmer med värdet som nycklarna i skåpet
representerar.
Skalskydd till lokal med nyckelskåp är anpassat efter vilka värden som
förvaras i lokalen.
Placering av nyckelskåp omöjliggör identifiering genom exempelvis ett
fönster.
I verksamheten
I verksamheten
Nyckelskåp och/eller lokal är utrustad med larm.
53
Låsning av förvaringsenhet
Nuläge
Lokaler och vissa förvaringsenheter
är utrustade med nyckellåsning.
Några förvaringsenheter är däremot
utrustade med kodlås, men bara en
gemensam kod.
Konsekvens
Något som ofta uppstår, när flera ges
tillträde till samma förvaringsenhet,
är problemet med vart nyckeln till förvaringsenheten ska förvaras. En alltför
vanlig lösning är att gömma nyckeln
i samma rum som förvaringsenheten. Om förvaringsenheten istället är
utrustad med kodlås blir det enklare,
men bara om det finns flera koder till
samma lås. I det här fallet finns det
bara en kod, som snabbt blir allmänt
känd. Det leder i sin tur att låsets
betydelse mer eller mindre går om intet. Alla kommer in och ut ändå. Även
i de fall där det enda hindret är ett
kodlås, fast med flera olika koder, blir
skyddet svagt. Anledningen är främst
att koden är lätt att få kännedom om,
både genom syn och hörsel.
54
Nyckellåsning för så långt det är möjligt bytas ut mot elektroniska kodlås
alternativt till elektroniska passersystem. Ytterligare begränsningar kan
skapas genom att låta varje behörig
person få tillgång enbart med kod
i kombination med ytterligare ett
media. Förslagsvis en RFID-tag eller
ett Dallas I-button-kort.
Säkerställ att förvaringsenheter uppfyller branschkraven och/eller interna
policybeslut eller säkerhetskrav.
Se till att låsenheterna till förvaringsskåp eller -rum uppfyller de försäkringsvillkor som gäller för verksamhetens försäkringar.
Förvaringsenheter och låsanordningarna som hör till dem ska motsvara
det värde, som nycklarna och det
som nycklarna skyddar tillsammans
betingar.
Nyckelmärkning
• Nyckelknipporna som används
saknar märkning helt och hållet.
• Nyckelknippor är märkta med
egenhändigt framtagna nyckelbrickor.
• Knipporna är inte kopplade till
någon bevakningstjänst.
Konsekvens
Introduktion
• Nycklarna är tydligt märkta med
det ”mål” som de låser upp.
de på villovägar finns inte heller
någon bevakning på nycklarna, för att
kontrollera så att de inte används av
obehöriga.
En nyckelknippa, oavsett hur många
nycklar som sitter i den, bör märkas
enligt ett system som inte avslöjar
något om den för obehöriga. Det gäller framförallt tre parametrar:
Nuläge – flera alternativ
• Status (nyckelgruppstillhörighet,
exempelvis huvudnycklar).
• Tillhörighet (juridisk ägare).
• Mål (där nyckeln öppnar).
Om en nyckelknippa hanteras externt bör den vara försedd med en
nyckelbricka som knyter den till en
bevakningstjänst. Märkningsprinciperna skall vara tillgänglig internt i
verksamheten, men omöjlig att förstå
för obehöriga.
I verksamheten
I verksamheten
En borttappad eller stulen nyckelknippa leder direkt till målet om
den är märkt med vart den går. Är
märkningen å andra sidan otydlig kan
den orsaka problem för personalen
när den ska härledas. Omärkta, eller
bristfälligt märkta nyckelknippor riskerar också att bli svåra att identifiera
och få tillbaka om de tappats. Hamnar
Checklista – Nyckelmärkning
Nyckelknippor är märkta så att de kan identifieras i det fall de skulle tappas
bort.
Nyckelknippor är märkta med ”Bevakningstjänst” för att kunna återfås vid
förlust.
Det finns en standard för alla knippors märkning.
55
Nyckelringar/säkring av nyckelknippa
Nuläge
Nyckelknippor är sammansatta med
traditionella nyckelringar.
Konsekvens
Det är en smal sak att öppna en knippa och plocka loss, alternativt lägga
till, nycklar i knippan utan att det
upptäcks. Denna möjlighet är speciellt
olycklig när nyckelknippor lånas ut till
exempelvis externa entreprenörer.
En nyckelring som är förseglad går
inte att återförsluta efter att den
brutits upp. Är nyckelringen dessutom numrerad går det inte heller att
ersätta den gamla med en ny, utan
att det upptäcks. Det går därmed inte
att förändra innehållet i knippan utan
att det märks.
Numrerade/paginerade nyckelknippor gör dessutom revisionen av ett
nyckelbestånd snabbare, enklare och
säkrare!
Checklista – Nyckelringar
Det går inte att ta bort en nyckel från en knippa utan att det upptäcks.
56
Kommunikation
Konsekvens
Risken för att kulturen kring nyckelhanteringen kommer att variera
från avdelning till avdelning inom
organisationen.
Introduktion
Se till att nödvändiga instruktioner
angående nyckelhanteringen knyts
till olika roller i organisationen. Se
också till att dessa instruktioner ingår
i introduktionen av nyanställd
personal, precis som tidigare, men
säkerställ också att alla rutiner
och processer i nyckelhanteringen
dokumenteras och delas ut till den
nyanställde.
När nyanställda introduceras och när
förändringar i organisationen sker går
man igenom rutinerna kring nyckelhantering. Dock oftast muntligt och
utan stödjande dokumentation.
En annan förebyggande åtgärd är att
tydligt beskriva ansvaret kring nyckelhanteringen, kopplat till varje specifik
befattning eller roll i verksamheten.
I verksamheten
I verksamheten
Nuläge
Checklista – Kommunikation
Skriftliga rutiner finns för att kunna kommuniceras till samtliga anställda i
verksamheten.
Gällande rutiner är kommunicerade till alla anställda.
57
Nylägesanalys Steg 4
Att följa upp resultaten av en utvecklad nyckelhantering i absoluta tal och minskade kostnader är inte helt enkelt. Däremot kan
ett resultat ställt mot en målbeskrivning ge en del svar på om
förändringarna gett den utveckling som eftersträvats. Bedömningar kan göras kring ökad säkerhet, enklare hantering, smidigare och mer effektivt handhavande. Om en historia beskrivits
i nulägesanalysen kan man med fördel mäta förändringarna i
siffror rörande minskat antal skador och störningar, såväl direkta
som indirekta. Andra nyckeltal att ställa mot gamla siffror är tidsåtgången för att hantera nycklar och för att reda ut störningar.
Om en jämförelse gjorts mot en målbeskrivning eller tidigare
siffror och det visar sig att utfallet inte är tillfredsställande, då
fortsätter processen med en ny nulägesbeskrivning som sakta
men säkert processas igenom till ett nytt, förhoppningsvis tillfredsställande nyläge. En revision av nya nylägen görs sedan
fortlöpande över tid.
58
Objekt
Rutiner
Nycklar
Finansiering
Användare
Introduktion
Verktyg
Uppgradering
Uppdatering
Externa hot
Legala faktorer
Påverkbara
faktorer
• Nulägesanalys
• Lösning
• Nylägesanalys
Icke påverkbara
faktorer
Interna hot
Uppdragsgivares
förväntningar
Organisation
Enkelhet
Bekvämlighet
Effektivitet
I verksamheten
I verksamheten
Säkerhet
Nyläge
Uppgradering
Om en utvärdering resulterar i att utfallet inte lever upp till de uppsatta målen
bör en uppgradering av de interna resurserna ske så snart som möjligt.
59
Verktygslåda
Här följer en beskrivning av en mängd olika redskap för att
hantera nycklar.
Förvaringsenheter
Värdet på nycklarna som förvaras i
ett skåp och det värde som nycklarna
skyddar, är det som styr vilken nivå
på fysisk säkerhet/förvaringsenhet
man bör välja.
Låsenheter
Skyddsklassen på ett skåp gäller
självklart enbart när dörren till skåpet
är låst, förutom de korta ögonblick då
en nyckel eller nyckelknippa plockas
ut alternativt hängs in. Även här är
det viktigt att välja en låsenhet som
har en säkerhetsnivå som lever upp
till värdet på nycklarna och det de
skyddar.
Värt att notera
För att det ska vara säkert med vanlig
nyckellåsning på en låsenhet krävs
att verksamheten har mycket god
kontroll på vem eller vilka som har
tillgång till denna nyckel. Ett system
med större säkerhet och flera fördelar
i jämförelse med nyckellåsning är
elektromekaniska kodlås, med flera
60
koder. På så sätt kan alla med behörighet tilldelas en kod för att komma
in i skåpet. Kodlås, med en kod som
gäller för alla som har behörighet, har
däremot en tendens att bli allmänt
känd i organisationen och fyller
därmed inte någon funktion. Kodlåset
blir effektivt först när varje behörig
har en egen kod. Ännu effektivare blir
det om det har dubbla identifikatorer. Exempelvis kan krävas både kod
och kort. På så sätt kan inte en kod
på villovägar skapa oreda utan det
tillhörande kortet.
Loggning av händelser i
förvaringsenhet
Loggning på dörrnivå
Det finns ett antal kodlås på marknaden som har loggfunktion, vilket innebär att låset kommer ihåg vilken kod/
ID-bärare som använts för att öppna
dörren. Ett alternativ till kodlås är att
montera ett externt passersystem,
vilket innebär att förvaringsenheten
hanteras som en av många dörrar i
passersystemet.
bäst i de fall ordning och reda står
högst på önskelistan.
Introduktion
I verksamheten
I verksamheten
Loggning på dörr- och nyckel-/
nyckelknippanivå
Det finns en rad lösningar för att
kunna logga vilken nyckel eller nyckelknippa som en användare plockar
ut ur skåpet, samt vilken tid det sker.
För att göra lösningarna ”klassade och
godkända” kombineras en klassad
förvaringsenhet tillsammans med en
godkänd låsenhet.
61
Tillgängliga förvaringsenheter
Här följer en beskrivning av en mängd olika redskap för att
hantera nycklar.
Nyckelskåp av tunnplåt
Detta är den vanligaste förvaringsenheten. Skåpen finns i första hand med
enbart nyckellåsning. Den här typen
av förvaring lever inte upp till några
säkerhetsföreskrifter utan fungerar
bäst i de fall ordning och reda står
högst på önskelistan.
Nyckelskåp i klass med Stöldskyddsskåp klass l/ll
Används för förvaring av nycklar i
största allmänhet. Dessa skåp går att
få med elektroniska kodlås alternativt elektromekaniska lås, som kan
kopplas ihop med passersystem. Det
fysiska skyddet är vad man kallar
inbrottsfördröjande. Huvudnycklar bör
inte förvaras i denna typ av skåp.
62
Introduktion
Säkerhetsskåp enligt SS 3492
Säkerhetsskåp är det lägsta rekommenderade skyddet för förvaring av
huvudnycklar. Med ett sådant får man
också ersättning från ett försäkringsbolag om något stjäls vid ett inbrott i
det (upp till två basbelopp). Viktigt att
veta i det här sammanhanget är dock
att om någon går in i skåpet genom
att använda en kod som fungerar, så
klassas det inte som inbrott. Koden
likställs med en nyckel i det sammanhanget. Ett kodlås som hanterar
många koder är därför att föredra, så
att inte en enda kod sprids ut till alla.
På så sätt minskar risken för ”kodstöld”.
I verksamheten
I verksamheten
Skåpen har historiskt varit utrustade
med nyckellås eller mekaniska kombinationslås, men finns idag med flera
olika typer av godkända och klassade
elektroniska kodlås. Det innebär att
det blir både säkrare och smidigare i
hanteringen.
Värdeskåp enligt EU standard
(Grade 0–9)
Värdeskåp som förvaringsenhet för
nycklar används uteslutande för förvaring av huvudnycklar. Vilken ”grade”
som används beror på vilket värde de
huvudnycklar som förvaras i skåpet
skyddar. Vilken låsenhet som passar
bäst styrs av hur ofta skåpet öppnas
och hur många som ska ha tillgång till
nycklarna i skåpet.
63
Plomberingspåsar för nycklar
När man vill säkerställa att specifika
nycklar inte används under en given
tidsperiod är plomberingspåse en
enkel och billig lösning. En nyckel
förseglas i en numrerad påse med
säkerhetstejp. Det unika numret på
påsen registreras i ett plomberingsregister, med tid, datum och signatur av
den som plomberat påsen. Ytterligare
en person verifierar dessutom plomberingen.
Märkning av nyckelknippor
En genomgående princip för hur
en verksamhets nyckelknippor ska
märkas är både bra och viktigt. Det
förenklar hanteringen och ökar både
kontroll och ordning. Nyckelbrickans
färg och nummer ska kunna identifiera nyckelknippans hemvist och ägare.
Däremot ska inte märkningen vara
förståelig för obehöriga.
Nyckelbrickor med bevakningstjänst
Förutom att brickan har som funktion
att identifiera en nyckelknippa adderar man med fördel en funktion som
innebär att en borttappad nyckelknippa kan identifieras av en extern
aktör (utan att för den skull avslöja
vart nycklarna går). En borttappad
nyckelknippa lämnas till polisen som
hittegods. Det går också bra att lägga
den i närmaste brevlåda för att då
skickas till extern aktör, som i sin tur
ser till att nyckelknippan returneras
till ägaren.
64
Nyckelringar
Introduktion
Att samla ett antal nycklar på en
nyckelring är ofta en förbisedd detalj i
att bygga upp en nödvändig säkerhet
i nyckelhanteringen. En säker nyckelring säkerställer att ingen plockar bort
nycklar från ringen. Detta är speciellt
värdefullt i de fall en verksamhet
förvaltar nyckelknippor för uppdragsgivares räkning eller när man lånar
ut nycklar internt och externt. Nedan
följer några exempel på olika nyckelringar.
Vanlig traditionell nyckelring
Beståndet nycklar på en ring kan
förändras av vem som helst, när som
helst. Säkerhetsnivån är så gott som
obefintlig.
I verksamheten
I verksamheten
Stålring med kopparnit
Säker nyckelring som är fullt möjlig
att bryta upp, men mycket svår att
återförsluta utan spår.
”Amerikansk” stålring
Hög säkerhet. Den både försluts och
klipps upp med speciella verktyg. Här
är dock prislappen mycket hög. Dessa
används främst i högsäkerhetsobjekt,
exempelvis fängelser.
Förseglingsring i plast med
numrering
Kopplas till plomberingsregister (se
plomberingspåse ovan). Försluts utan
verktyg, går inte att få upp utan att
förstöra ringen. För återförslutning
krävs en ny ring.
65
Att bära nycklar
Det finns relativt få produkter på
marknaden som fungerar för att bära
eller hantera nycklar i arbetet. Nedan
följer några exempel på produkter
som trots allt finns tillgängliga.
Samlingsring/bälteshållare
En eller ett antal nyckelknippor bärs
synligt, vilket innebär risk för att
nycklar tappas, stjäls eller avläses.
Bältesväska
Används för att bära ett mindre
antal nyckelknippor ute i fält utan
att behöva exponera nycklarna för
obehöriga.
Axelremsväska
Ett större antal nyckelknippor fästs i
en samlingsring som i sin tur förvaras
i väskan.
Nyckelportfölj
Används i huvudsak för att hantera ett
fast nyckelbestånd eller ett större antal nycklar ute i fält. Nycklarna hänger
i ordning på platser numrerade 1-40,
med god översikt i väskan.
Att förvara nycklar i bilar
Det finns idag ingen serietillverkad,
optimal lösning på marknaden. De
produkter som finns tillgängliga är
ofta kundspecifika lösningar som
utvecklats utifrån varje verksamhet.
66
• Förteckning över vilka nycklar/
nyckel knippor som finns i en verksamhet.
• Förteckning över var respektive
nyckel skall förvaras.
Introduktion
Alternativa verktyg
Nedan följer en förteckning över
alternativa verktyg som finns tillgängliga på marknaden. De fyller
oftast bara vissa delar av det totala
funktionsbehovet för en komplett
administration.
• Manuell hantering med hjälp av
handskrivna formulär.
• Word och Excel-formulär som är utformade i den egna verksamheten.
• Förteckning över vart en nyckel
låser upp.
• Nyckelhanteringsmoduler som är
integrerade i branschanknutna ITverktyg (exempelvis FM-verktyg för
fastighetsskötsel).
• Förteckning över vilka användare
och potentiella användare av nycklar som finns i en verksamhet.
• Verktyg som har utformats av leverantörer av låssystem och säkerhetsprodukter.
Verktyg för att administrera
nycklar/nyckelknippor
Det finns flera administrationsverktyg för nyckelhantering tillgängliga.
Nedan listas exempel på funktioner
som ses som administrativa kopplat
till hantering av nycklar och som bör
rymmas i verktyget.
• Inventeringsunderlag, för att kontrollera att ett bestånd av befintliga
nycklar är intakt.
I verksamheten
I verksamheten
• Avtal. Vilka nycklar/knippor som
tagits emot från uppdragsgivare
för att förvaltas i en verksamhet.
Det kan också handla om nycklar
som lämnats ut till intern personal
för att användas i tjänsten över en
längre tid.
• Nyckelkvittenser.
• Register som loggar vilka nycklar
som lånats ut och när de skall lämnas tillbaka.
• Plomberingsregister som visar vilka
nycklar som förvaras i säkerhet
under en viss tid. En obruten förpackning garanterar att en nyckel/
knippa inte används under denna
tid.
67
Sammanfattning
Den lösning och de åtgärder som föreslås skall inte
utgå ifrån tekniska lösningar utan istället utgå från ett
dokumenterat behov. I det fall en investering i verktyg
för att hantera och förvara nycklar görs ska den gå att
räkna hem på ett eller flera av följande sätt:
Ökad säkerhet
Mindre kostnader i samband med skador.
Ökad trygghet
Större tilltro till hanteringen bland anställda och
kunder (mervärde för kunden).
Ökad effektivitet
Säker hantering av nycklar till lägre kostnad.
Ökat anseende
Om en skada/störning uppstår ska verksamhetens anseende kunna upprätthållas såväl internt som externt.
68
69
I verksamheten
Introduktion
Nyckelguiden har av många ansett som ”branschbibeln”.
Denna uppdaterade version, signerad PAAM Systems, ger
ännu bättre förutsättningar för att ta kontroll över nyckelhanteringen i vilken verksamhet som helst. Angreppssättet är faktiskt även applicerbart när det gäller alla typer
av flyttbara värdeobjekt. Vilka aspekter spelar in och vilka
kan förbises i jakten på en god hantering? Nyckelguiden
har svaren. Följ 4-stegsmetoden och du går en enklare,
effektivare och framförallt säkrare framtid till mötes.
PAAM System AB
Stubbengatan 2
SE-703 44 Örebro
Sweden
Tel: +46 (0)19-30 87 80
Fax: +46 (0)19-32 28 95
E-post: info@paam.se
www.paam.se

Nyckelhanteringsguiden

Transcription

Similar documents

Nyckelhantering.pdf

NYCKELHANTERING - När du flyttar in.

Nyckelkvittens - Janina`s Hundpromenad

Till dig som flyttar

Ladda ned Produktblad

Ladda ner

Låsningssystemet iLOQ S10

Här kan du ladda ner och läsa våra ordningsregler.