dc.description.abstract | Prioritering av samfunnskritiske funksjoner og virksomheter er en politisk og ikke en teknokratisk
prosess. Blind anvendelse av en metodikk til dette formålet er derfor lite hensiktsmessig – det må
være klart hva prioriteringen skal anvendes til og hvilke ulike hensyn som skal tas i ulike
prioriteringssituasjoner. Eksempler på beredskapsproblemstillinger med behov for prioritering er
utpeking av nøkkelobjekter som beskyttes av militære styrker i en krisesituasjon, klassifisering
kritiske infrastrukturer for å avklare hvilke som skal underlegges de hardeste sikkerhetskravene,
og utpeking av sektorer som skal prioriteres med vaksiner i tilfelle en pandemi. Muligheten for
prioritering er også et vesentlig aspekt av en nasjonal tverrsektoriell ROS-vurdering, hvor ulike
sektorer, virksomheter eller til og med personer og stillinger kan ses mot hverandre.
Prioriteringsproblematikken knyttet til IKT kan ikke bare inkludere IKT-systemene i seg selv,
men må også inkludere brukerne som er avhengige av systemene. BAS5 har derfor utviklet en
metode for identifisering og rangering av alle kritiske samfunnsfunksjoner, herunder alle kritiske
infrastrukturer, og ikke bare kritiske IKT-systemer. Prosjektet har videre beskrevet et system for
beslutningsstøtte, og ikke et system for automatisk prioritering. Dette betyr at relevante
beslutningsmiljøer må involveres i bruken av metoden.
I BAS5-prosjektet er ulike samfunnsfunksjoners kritikalitet knyttet til sårbarheten overfor ulike
hendelser som kan ramme dem, i tillegg til betraktninger om deres vesentlighet eller viktighet for
samfunnet. Det er derfor knapt mulig å prioritere kritiske samfunnsfunksjoner uten samtidig å
gjøre seg opp en grunnleggende mening om hvilke risiko de er utsatt for eller utsetter andre for.
Det vil si at det må forutsettes at det foretas risiko- og sårbarhetsvurdering (ROS-vurdering) på
sektor- og virksomhetsnivå.
Metoden som er utviklet beskriver hovedtrekkene for beslutningstøtte i situasjoner hvor det kan
være nødvendig å prioritere mellom forskjellige kritiske samfunnsfunksjoner. Metoden er
risikobasert, og inneholder to hovedaspekter. Det utvikles og forankres en permanent løpende
prosess som involverer ansvarlige departementer og alle andre som har ansvar og kunnskap innen
egen sektorer. Til støtte for denne prosessen brukes en teknikk som er ROS-basert, da antagelser
om kritikalitet bør forutgås av nærmere analyse og vurdering
Prosessen krever at ”noen” pekes ut til å samordne den på nasjonalt nivå, på tvers av
ansvarsgrenser, at det ordinære ansvarsprinsippet utnyttes for å strukturere arbeidet, at det
etableres tverrsektorielle felles prosedyrer, inklusive permanente fora med tett møtefrekvens og at
det etableres tverrsektorielle standarder. Konkret valg av metodikk for ROS-analyse er overlatt til
den enkelte sektor eller virksomhet, tilpasset dennes forutsetninger. Innrapportering av resultater
fra ROS-analyse skal derimot foretas i et rigid standardisert format. Det forutsettes at det utvikles
en enkel standard database for å håndtere informasjon på tvers av virksomheter og
samfunnssektorer. | en_GB |
dc.description.abstract | Making priorities about societal critical functions and entities is a political and not a technocratic
process. The blind usage of a methodology does not meet the purpose – there must also be clear
ideas about the purpose of priority and what other concerns that may have to be considered in
different situations. The following are some examples of emergency planning problems that
highlight the need for priorities: determining key assets to be protected by military forces in a
crisis situation, classifying critical infrastructures to determine levels of security, and determining
priority for vaccines during a pandemic. Making priorities possible is also a significant aspect of a
national cross sector risk assessment, juxtapositioning sectors, entities, or even persons and
positions.
The problem of prioritising relative to ICT must not only include the ICT systems themselves, but
also users that depend upon them. BAS5 has developed a method for the identification and
ranking of all critical functions of society, not only critical ICT systems. Furthermore, the project
has described a system for decision support, and not a system for making automatic priorities.
This means that relevant decision making environments have to be involved in the use of the
method.
In the BAS5 project, the criticality of various sectors of society is related to vulnerabilities
derived from various events that might befall them, in addition to thoughts about their
significance or importance to society. It is therefore hardly possible to prioritise the critical
functions of society without, at the same time, making up one’s mind about the risks that they are
subjected to or subject others to. That means that risk assessments must be assumed to be
performed at sector and entity levels.
The developed method describes a system for decision support for situations that make
prioritising between various critical societal functions necessary. The method is risk based, and
contains two main aspects. Firstly, a permanent and ongoing process between ministries and
others with responsibilities within their own sectors is established. Secondly and to support this
process, a risk assessment based technique is applied, as assumptions about criticality should be
preceded by some analysis and assessment.
The process requires that “somebody” is appointed as coordinator at national level and across
sectors, that the normal principle of sector responsibility is exploited to structure the work, that
cross-sectoral common procedures are implemented, including the establishment of permanent
fora meeting frequently, and the establishment of cross-sectoral standards. The choice of risk
assessment methodologies should be left to sectors and entities, adapted to their particular
circumstances. The reporting of results from risk assessments should however be subjected to a
rigidly standardised format. It will also be necessary to develop a simple standard database for the
management of cross-sectoral information. | en_GB |