kat1

ISO-standarderna uppdateras för att tillgodose tekniska framsteg. ISO publicerade därför en ny version i oktober 2022 för den senaste versionen av ISO 27001 har man 18 till 36 månader på sig att övergå från de gamla versionerna från 2013 eller 2017.  

När träder ISO 27001 2022 i kraft

Övergångsperiod är alltså tre år för att tillämpa den nya versionen om man blivit reviderad för 2013 versionen före oktober 2022. Det betyder att nästa gång som en organisation gör en certifieringsrevision, som är en 3-årscykel, kommer den att behöva bedömas mot 2022-versionen vid den tidpunkten. Under tiden finns den nya version av bilaga A att arbeta med nu när den nya standarden har publicerats. 

Vad är nytt i ISO 27001 2022

Att vara i en organisation eller företag som hanterar känslig data så behöver man hålla sig uppdaterad med de senaste rekommendationerna och kraven för info säkerhet. Ofta kommer förändringar av bästa praxis att utvecklas med tiden. Att ha partners som kan bistå med uppdateringar och hjälpa till att förstå vad som har förändrats, vara i överensstämmelse med kraven och hålla den mest känsliga information säker. I ISO 27001 2022-versionen kan ändringarna sammanfattas med följande skillnader: 

  • Ny bilaga A för kontroller och uppföljningar
  • 4 kontrollteman introducerade
  • Inrätta kontroller för molntjänster
  • Mer fokus på proaktiv säkerhet

Uppdaterat innehåll i ISO-klausuler 

ISO - "skallkraven" är alltid tillämpliga och måste implementeras oavsett vilken typ av organisation eller vilken typ av data som hanteras. Ändringar har också gjorts i punkterna 4 till 10, särskilt i punkterna 4.2, 6.2, 6.3 och 8.1, med tillägg av information. Terminologin uppdaterades och några meningar och satser omstrukturerades.  

Nya kontroller i bilaga A 

Till skillnad från ISO - "skallkraven" är kontrollerna i bilaga A mer specifika och kan tillämpas på ett mer flexibelt sätt eftersom de relaterar (eller inte gör det) till organisationens omfattning . Med denna nya version är den största förändringen en minskning av bilaga A - kontrollerna. I i 2013 års version var det 114, och nu är det 93, 2022 års version har mindre kontroller vad gäller funktionalitet eftersom onödiga och redundanta kontroller har kombinerats och/eller eliminerats.  

Kontrollerna har inte tagits bort tillsammans. Snarare har 24 kontroller slagits samman, 11 nya kontroller har införts och 58 har uppdaterats. De nya kontrollerna är följande:  

  1. Intelligenshot
  2. Informationssäkerhet för användning av molntjänster  
  3. ICT-beredskap för kontinuitet i verksamheten  
  4. Fysisk säkerhetsövervakning  
  5. Konfigurationshantering  
  6. Radering av information  
  7. Datamaskering 
  8. Förebyggande av dataläckage 
  9. Övervakning av aktiviteter 
  10. Webbfiltrering 
  11. Säker kodning 

Till exempel kan ett team behöva lägga mer tid på den första kontrollen under denna övergångsperiod. Kravet på "intelligenshot" skiljer sig från tidigare versioner och även andra ramverk för cybersäkerhet eftersom det kräver specifik identifiering av hot. Snarare än en allmän diskussion om hot i riskbedömningsfasen, här driver 2022-versionen informationssäkerhetsteam ett steg längre. Att införa en mogen process för att identifiera nya hot och specificera hot som måste mildras är en del av en starkare, mer proaktiv intelligenshot - process. Dessa nya ISO-kontroller bör vara i fokus för organisationers efterlevnadsinsatser under övergångsperioden. Ett team bör bekanta sig med dem, bestämma om de är tillämpliga och sedan förstå vad som behöver göras för att implementera de nya kontrollerna. 

Omorganiserade kontroller i bilaga A 

För att göra revision och efterlevnad enklare har den nya versionen 93 kontroller indelade i fyra kategorier, istället för de tidigare 14 klausulerna. Dessa kategorier är organiserade kring fyra olika koncept eller teman. 

  1. Människor (8 kontroller)  
  1. Organisatorisk (37 kontroller)  
  1. Teknologisk (34 kontroller)  
  1. Fysisk (14 kontroller) 

Nya standarder för molntjänster 

Jämfört med 2013 är användningen av molntjänster mycket mer allmänt förekommande idag. På grund av detta har ISO modifierat kontroll 5.23 för att tillämpas specifikt på molnteknik. Denna riskreducerande åtgärd är avsedd att reglera administration och användning av molntjänster som AWS, Azure och GCP. Konfidentialitet, integritet och tillgänglighet omfattas alla av denna kontroll. 

Relaterad artikel: Hur man förbereder sig för en ISO 27001-revision i 10 steg . 

Vad ska du göra för att förbereda dig för ISO 27001 2022 

Först bör ett team granska de nya kontrollerna. Sedan måste man avgöra om de är tillämpliga med tanke på organisationens omfattning. För att fastställa tillämpligheten bör man använda samma perspektiv som användes när man ursprungligen utarbetade omfattningen för ISMS. Genom att använda den omfattningen av ISO-certifieringen inom organisationen kommer det att göra det möjligt att bedöma tillämpligheten av de nya kontrollerna. Sedan kan ett team planera nästa steg för att implementera de ändringar som behövs. 

Bästa praxis för ISO-uttalanden om tillämplighet   

Många anser att  Statement of Applicability  (SoA) är den mest betungande delen av certifieringen. Detta dokument är dock en viktig del av försäkringarna för dina revisorer och andra intresserade och ger en känsla av djupet och bredden i ditt ledningssystem för informationssäkerhet ISMS. Det används också ofta för att identifiera kontroller som du behöver av andra skäl som inkluderar kontrakt och hantering av lagstiftning som gäller för organisationen.  

Med utgivningen av ISO 27001 2022 bör Statement of Applicability (SOA) hänvisa till kontrollerna i bilaga A till ISO 27001:2013. Genom att ändra formatet i delen av ISO 27001 för att betona de fyra delarna av detta krav, gör författarna det tydligare vad som krävs. Även om processen att kategorisera kan vara svår, betyder det att ha allt prydligt på plats att ha ett informationssäkerhetssystem som är lättare att implementera och som mer sannolikt håller överensstämmelsen.  

Tills den nya versionen av ISO 27001 släpps måste SoA (Statement of Applicability) fortfarande hänvisa till bilaga A till ISO 27001:2013, och kontrollerna i ISO 27002:2022 kommer att vara en alternativ kontrolluppsättning som man måste jämföra med den befintliga Bilaga A.  

Lägga till information till ditt tillgångsinventering  

ISO 27001 behandlar information som tillgångar och det uppdaterade språket betonar vikten av att skydda dem.  

Det är bara vettigt att behandla information som tillgångar och att skydda den på lämpligt sätt. Förlusten av känslig data kan vara ännu mer förödande för ditt företag än förlusten av fysiska tillgångar. Dataförlust kan leda till enorma ekonomiska förluster, ansvar och till och med irreparabel skada på ditt rykte. Vid inventering är det viktigt att bedöma hur viktig en information är, vilka risker som är förknippade med den och vem som ansvarar för att skydda den tillgången.  

Anledningen till denna kategorisering är att korrekt bedöma din risk. När allt kommer omkring, om du inte korrekt har bedömt sårbarheter i samband med informationstillgångar, riskerar du att misslyckas med att skydda den informationen ordentligt. Att ta på sig en tillgångsinventering som en del av din certifiering hjälper dig att säkerställa att du har täckt alla baser. 

Hur har ISO 27001 förändrats under åren? 

International Organization for Standardization (ISO) utvecklar och publicerar egna, industriella och kommersiella standarder. ISO har blivit ett känt namn när det gäller säkerhetsefterlevnad för informationshanteringssystem. En sådan hanteringsstandard för informationssäkerhet är ISO 27001. 

ISO 27001, som det nu kallas, har funnits sedan tidigt 90-tal under namnet ISO/IEC 17799. Detta utvecklades till ISO/IEC 27001:2005 Information Security Management System (ISMS)-specifikationen. Denna senare version innehåller policyer och procedurer, inklusive fysiska, juridiska och tekniska kontroller som hjälper företag att utföra information och riskhantering.  

Den senaste stora förändringen i ISO-reglerna går tillbaka till 2017. Det var faktiskt bara några få mycket små förändringar mellan de två. En var helt enkelt ett namnbyte för att återspegla en regional uppdatering. ISO27001 antogs som standard på  EU-nivå 2017 . Detta ledde till införandet av bokstäverna "EN" i "BS EN ISO/IEC 27001:2017."  

Det gjordes också två mycket mindre ändringar i formuleringen avseende vissa av kontrollerna i bilaga A. Den första gäller tillgångarna. I 2013 års version uppmanas enheter att skapa en inventering av tillgångar som har att göra med information. Under 2017 benämns själva informationen specifikt som en tillgång. Som ett resultat kom det en uppmaning till specifik inventeringsinformation.  

Den andra förändringen var strikt estetisk. I 2013 års version presenteras de punkter som går på Statement of Applicability som en lista. I 2017 års version presenteras de som en serie med fyra punktpunkter. De fyra punkterna på listan förblev dock oförändrade. Dom är:  

  • nödvändiga kontroller  
  • motivering för deras införande;  
  • huruvida de nödvändiga kontrollerna genomförs eller inte; och  
  • motiveringen för att utesluta någon av kontrollerna i bilaga A.  

I båda fallen förefaller det som om ändringarna gjordes specifikt för att betona. De införde inga nya krav eller praxis. Snarare efterlyste de att krav som redan finns uppmärksammas närmare.  

Minst en gång vart femte år ses alla ISO-standarder över. Detta är en nödvändig del av att hålla informationshanteringsstandarderna uppdaterade med det ständigt föränderliga cyberhotslandskapet. Pågående förbättringar av ramverket är viktigt för att beskriva nuvarande bästa praxis för att skydda data. Även om ISO 27001 reviderades 2013, 2017 och 2019, var ändringarna så små att 2013-versionen fortfarande är det som styr efterlevnadsteamen. På grund av detta är det säkert att hävda att ISO-reglerna behövde revideras, med tanke på de framsteg inom teknik som har skett under alla dessa år.  

Relaterad artikel: Varför blir ISO ett populärt ramverk för amerikanska företag? 

Vad händer när ISO 27001:2013 löper ut  

Vid denna tidpunkt har organisationer fortfarande tillräckligt med tid för att säkerställa en smidig övergång till den nya standarden, under vilken intresserade organisationer bör gå ISO/IEC 27001-utbildningen och övergångsutbildningen för att bli certifierade. Efter denna övergångsperiod kommer ISO 27001-certifikaten som utfärdats under revidering 2013 att dras tillbaka och betraktas som förfallna, oavsett certifikatets angivna utgångsdatum.    

Hur påverkar den nya versionen nuvarande ISO-certifieringar  

ISO 27001-  certifieringen har en giltighetstid på tre år och den gamla versionen av standarden kommer att vara giltig tills den löper ut. Om din organisation för närvarande är certifierad enligt ISO 27001:2013 måste du uppgradera till ISO 27001 2022 innan nästa övervaknings- eller omcertifieringsrevision du har planerat. Beroende på omfattningen av ditt ISMS kan din organisation behöva implementera nya kontroller. Dessa kontroller måste implementeras, genomdrivas via policyer och procedurer och testas innan din revision. 

Även de kontroller som egentligen inte har förändrats kommer att kräva avsevärda organisatoriska förändringar eftersom säkerhetskontrollerna enligt ISO 27002 har kombinerats och omnumrerats. För att återspegla ändringarna måste du byta namn på dina gamla papper och skapa ett uppdaterat uttalande om tillämplighet.  

Även om det finns en treårig övergångsperiod som tillåter certifierade organisationer att revidera sitt ledningssystem i enlighet med den nya versionen, rekommenderas det inte att din organisation dröjer med uppdateringen.  

Vägledning för ISO-certifiering och riskbedömning  

Är ISO 27001- certifiering rätt för din organisation, jag kan hjälpa dig att förstå fördelarna, såväl som kraven för certifiering. Kontakta mig för en konsultation. 

 

© 2024 Lennart Piper

Nya möjligheter att bygga "Ett integrerat ledningssystem för hållbarhet" Nytt IAF MD 11 dokument version 2

Många har byggt sitt ledningssystem sedan 90-talet enligt ISO 14001 och ISO 9001, man har antagit ISO:s modell för ledningssystem som numera fått en familj av 4 generiska ledningssystemstandarder, nämligen ISO 14001/ 9001/ 45001/ 27001. Om man även använder sig av ISO 26000 så kan man nu bygga ett integrerat ledningssystem för hållbarhet även om ISO ännu inte publicerat ett sådant certifieringsbart ledningssystem. 

ISO tog 2012 fram en 7struktur (High Level Structure-HLS) för ledningssystem  som ger förenklingar för integrering av perspektiven miljö/kvalitet/arbetsmiljö/säkerhet.  Det har sedan 2014 funnits en vägledning för standardförfattare hur man skall hantera hållbarhet i ISO standarder enligt ISO Guide 82:2014 och i nästa revision av ISO 26000 kommer 7strukturen användas och därmed kan ett 5:e perspektiv integreras för ”Socialt Ansvarstagande” i ett ledningssystem. Se även nya ISO Guide 83:2020, samma rubriker som tidigare men tydligare förklaringar av rubrikerna.

Läs nya  IWA (ISO Workshop Agreement) 26 - Användning av ISO 26000 i ledningssystem från 18 augusti 2017. Detta dokument är redan nu en vägledning hur ISO 26000 kan integreras i 7strukturen (Annex B), IWA 26s rekommendationer för strukturering (7strukturen) har använts när alla ovan ISO standarder jämförs i Brev 3 (kolumn E i tabellen) .

Nu kan man bygga integrerade ledningssystem med bilder och symboler och använda IT-verktyg i en "low cost plattform", 5 standarder kan nu bilda "Ett integrerat ledningssystem för hållbarhet".

 

 

Framtida ledningssystem – Analys och gruppering av rubrikerna enligt standarderna

© 2024 Lennart Piper 

 

Framtida Ledningssystem

Ett framtida ledningssystem kan numera integrera flera perspektiv enligt den nya generationen av ISO standarder om man analyserar och skapar sig en förståelse för hur ISOs olika författargrupper skapat standarderna. 

Tabellen (med Google) visar skillnaderna mellan standarderna genom att jämföra rubriker och underrubriker. Det visar sig att huvuddelen av kraven enligt standarderna är mycket lika och endast en mindre del (20-30%) är specifik för respektive standard. Detta möjliggör en avsevärd förenkling om man konstruerar sitt ledningssystem efter den logik som finns inbyggd i ISOs ledningssystemstandarder. Alla 7 rubrikerna (element 4-10 enligt standarderna) är desamma dock så finns det mindre skillnader när man analyserar underrubrikerna beroende på standard eller perspektiv (miljö/kvalitet/arbetsmiljö/säkerhet).

I tabellen finns övergripande kommentarer som lyfter fram de skillnader som finns mellan standarderna, om man detaljerar analysen ytterligare så kan "skallkraven" (totalt ca 300 för de 4 standarderna) i respektive underrubrik jämföras och därmed kan precisionen i jämförelsen förfinas.  

Det är framförallt perspektivet kvalitet som har flera grundläggande krav (processerna), även info säkerhet har några krav som "Uttalande om tillämplighet" (SOA-Statement of Applicability) och "Kontinuitetshantering" som behöver uppmärksammas när man bygger ett integrerat ledningssystem. 

Integr ledn sys - Kommunikation enligt standarderna

© 2024 Lennart Piper

  

Inledning

Det finns många skäl att börja arbeta med kommunikation. Drivkrafterna för kommunikation ger möjligheter till en mer utvecklad organisation med bättre prestanda. Dessutom kan synpunkter från intressenterna förbättra organisationens aktiviteter, produkter och tjänster mot en hållbar utveckling. En dialog med intressenterna förbättrar förståelsen för intressenternas behov och synpunkter för att organisationen skall kunna sträva mot ett ökat förtroende och en fortlöpande dialog med omvärlden. Genom en öppenhet mot intressenterna möjliggörs ett rikt utbyte omkring aspekter och indikatorer som sen organisationen kan använda i det interna arbetet för att utveckla organisationen. En förbättrad kommunikation underlättar för intressenterna att förstå en organisations åtaganden, policys och prestanda. En mer utvecklad kommunikation sprider likaså organisationens fördelar, uppnådda resultat och prestanda. 

Inom ISO har det sedan länge funnits en kommunikationsstandard, det finns dock behov av en mer utvecklad kommunikation som också möjliggör en integrering med flera fokusområden som kvalitet, arbetsmiljö, socialt ansvarstagande och säkerhet. 

År 2000 startade ISO ett arbete för en vägledningsstandard för miljökommunikation (se bilden nedan) som publicerades i en första version 2006, nuvarande svenska standard har beteckningen SS-EN ISO 14063:2010. Denna standard möjliggör en bred användning och omfattar en process för dialogen med en organisations intressenter och kan med fördel även användas för andra fokusområden än miljö. Standarden tar inte upp formatet för hur en redovisning av miljöprestandan skall gå till. För detta rekommenderar jag att man följer formatet i Global Reporting Initiative - GRI som under flera år (sedan 1998) utvecklat rekommendationer (numera även standarder) för hur bl.a. en miljöredovisning skall utformas. I GRIs rekommendationer och i ISO 14063 finns ett antal principer för hantering av information i en organisation. Förutom GRI så har EMAS engagerat sig i kraven för utformning av en miljöredovisning. En skillnaden mellan den tidigare (2004 versionen) av ISO 14001 - Specifikationsstandarden för miljöledningssystem och EMAS - Eco Management and Audit Scheme är att EMAS ställer ett skarpt krav på att organisationen årligen skall lämna en tredjepartsgranskad miljöredovisning. ISO 14001:2015 har ett nytt krav på att organisationen skall kommunicera sin miljöprestanda även externt. 

Relation mellan ISO 14001, ISO 14031 och ISO 14063

Vägledningsstandarden för ISO 14063 är uppdelad i grundelement som följer Demings PDCA-cykel. I grundelement finns det på samma sätt som i ISO 14001 och ISO 14031:2013 - Utvärdering av miljöprestanda, ett antal element (delar eller rubriker) som ger vägledning i processen för miljökommunikation. Grundelementen och elementen bildar struktur och innehåll för miljökommunikation, denna struktur utgör tillsammans kravbilden för att följa ISO 14063. Om man vill jämföra struktur och krav mellan ISO 14001 och ISO 14031 så har ISO 14001, 7 grundelement, 22 element och 68 skallkrav, motsvarande för ISO 14031 är 4 grundelement (följa upp och förbättra utgör tillsammans ett grundelement), 5 element och 31 börkrav.

Vägledningsstandarden ISO 14063 - Miljökommunikation anger på samma sätt som ISO 14031 - Utvärdering av miljöprestanda, inga uttryckliga "skallkrav" utan använder bör (krav) respektive kan (rekommendation). Bör (krav) är en miniminivå för organisationer och kan (rekommendation) är ytterligare en ambitionsnivå för, framförallt organisationer som vill utveckla miljökommunikationen ytterligare. 

Skallkrav  finns  i  specifikationsstandarderna  ISO 14001 och  ISO 9001  vilket möjliggör certifiering av en organisation, medan vägledningsstandarder som ISO 14031 och ISO 14063 innehåller börkrav. Det gemensamma för båda typerna av krav är att de utgör en miniminivå. En vanlig skillnad är att specifikationsstandarder används för certifiering medan vägledningsstandarder oftast är interna kravnivåer för organisationen och används  ej  för  certifiering.

Integrerade ledningssystem för miljö/arbetsmiljö/kvalitet/säkerhet – för hållbara organisationer som vill följa ISO standarder

© 2024 Lennart Piper 

 

Introduktion till ledningssystem

Ledningssystem

Ett ledningssystem innebär en möjlighet för ledningen att effektivisera och systematisera arbetet i en organisation såväl som en möjlighet att planera för en långsiktig överlevnad och möjliggör därmed att bli en hållbar organisation. Vad jag menar med en hållbar organisation är en organisation som har en långsiktig överlevnad och som minimum omfattar yttre miljön, kvalitet, säkerhet och arbetsmiljö, och denna omfattning är också en del av rubriken för denna information. Jag kan idag inte avgöra om det finns några hållbara organisationer. Enligt Gro Harlem Brundtland så består det av tre delar nämligen, miljö, ekonomi och sociala aspekter. Bland de organisationer som i ett antal år arbetat enligt exempelvis GRI:s rekommendationer kan det finnas organisationer som på sikt kommer att betecknas som hållbara organisationer. Det är först efter 10 till 30 år efter att man har börjat arbeta med ledningssystem som man kan konstatera att de kan anses tillhöra kategorin hållbara organisationer. 

Hållbar utveckling

En hållbar organisation skiljer sig från dagens traditionella organisationer genom att organisationen har accepterat en vision om att organisationen på lång sikt försöker att nå en hållbar utveckling enligt den idé som den FN kommission som leddes av Gro Harlem Brundtland från 1987. Definitionen på hållbar utveckling är: En utveckling som tillgodoser våra nuvarande behov utan att äventyra förmågan hos kommande generationer att tillgodose deras behov.

Ekonomisk styrning

Det är vanligt att ekonomiska aspekter är det som prioriterar en organisations handlande och särskilt på kort sikt. Den ekonomiska styrningen är av stor vikt för att en organisation skall klara överlevnaden. De ekonomiska indikatorerna som tillämpas ger oftast ett bra mått på hur väl organisationen klarar sig i konkurrensen med andra likvärdiga organisationer och företag.

Hållbara organisationer

Den hållbara organisationen försöker ha ett långsiktigt tänkande och där är oftast den ekonomiska styrningen ett viktigt medel både på kort och lång sikt. Dock så har inte alla organisationer/företag inte tagit ställning till hållbarhetsfrågorna och det kan innebära att organisationen saknar en idé om organisationens långsiktiga tjänster och produkter. Genom att ta till sig hållbarhetsfrågorna så får organisationen en bättre möjlighet att ta till sig de långsiktiga perspektiven. Därmed ökar chansen för en överlevnad på 10 år eller mer för organisationen. Jag har försökt att definiera en gräns mellan en kortsiktig överlevnad respektive en långsiktig överlevnad för organisationer genom att använda en 10 års gräns. Genom att medvetenheten om långsiktiga frågor kan öka i en organisation så kan det innebära att förmågan att exempelvis hitta kostnadsbesparingar genom ett resurssnålt utvecklas, samtidigt kan också organisationens förmåga till långsiktig ekonomisk stabilitet förbättras

Vision och policy

Det som kännetecknar en hållbar organisation är att verksamhetsidén har en inriktning där ledarskapet uttryckt en vision och en policy som baserats på principer som organisationen tagit ställning till. I visionen har organisationen uttryckt en vilja att kunna överleva som organisation i mer än 10 år. Vad bör då en vision innehålla förutom det långsiktiga tänkandet? Visionen grundas på organisationens verksamhetsidé eller för ett företag affärsidén. De tjänster eller produkter som organisationen avser leverera till omvärlden måste ha eller kommer att ha en efterfrågan från omvärldens intressenter, i dagligt tal används ofta ordet marknad för att identifiera en eller flera kategorier av intressenter. För att kunna fastställa en policy så måste organisationen ta ställning till ett antal principer som organisationen avser att tillämpa genom den egna policyn. Dessa principer kan ibland vara lätta och naturliga att följa vid första anblicken, dock så inser man snart att åta sig att följa ett antal principer kan kräva betydande ansträngningar, ett exempel är att verkligen tillämpa principen ”transparens”. Det är därför viktigt att policyn inte antas alltför snabbt utan att den föregås av en ordentlig diskussion i organisationen under ett antal månader.

Definition av en organisation

En organisation definieras av ISO som en enhet som har egna uppgifter, syfte och en egen administration. Människan har sedan begynnelsen ingått i en evolution för att ständigt försöka förbättra möjligheterna för individen att få ett bra och stimulerande liv under acceptabla omständigheter. Detta betyder att det hos individen finns en inneboende vilja att ständigt utvecklas. Vi människor är dock begränsade i vad vi kan åstadkomma som individer och vi har insett att om vi samarbetar med varandra så ökar chansen för en god utveckling. Organisationer och företag har sedan lång tid visat sig vara en lämplig form för samarbete mellan människor. När den globala standardiseringsorganisationen ISO fick förfrågan att inte enbart skriva standarder för produkter utan även för system och organisationer så påbörjades en ny era att på global nivå försöka lära av varandra mellan länder och därmed underlätta samarbete och handel mellan människor oberoende var man finns i världen. Att inrikta sig på organisationer var ett viktigt beslut som ISO tog i början av 1990-talet då idén om standarden för ISO 14000-serien föddes. Att försöka etablera en standard för organisationer som vill förbättra sin miljöprestanda är med stor sannolikhet ett effektivare sätt än att försöka nå alla enskilda individer i världen och försöka få dem att utföra ett miljöarbete. Dock så skall man komma ihåg att ytterst är det människor som verkar i organisationer och företag och det är de som sedan utför uppgifterna.

Resurser

En hållbar organisation måste ha förmåga att hantera tillgängliga resurser för att undvika resursbrist. Dessutom får en hållbar organisation tillgång till nya kunskaper som möjliggör en förmåga att utveckla resurssnålhet i organisationen. Vad menas då med resurser? Det är vanligt att förklara termen resurs genom att ange tre olika typer av resurser, nämligen; människor med kunskap och tid, material och teknik samt finansiellt kapital (tillgångar – skulder). De nya standarder ISO 9001/14001:2015 har också krav på att organisationen skall ha en resurshantering (planering/uppföljning/prioritering) för sitt förbättringsarbete. Ordet resurshantering är en slutsats som kan dras om man studerar alla delarna i standarderna där ordet resurs nämns (ett 25-tal). Tidigare omnämndes ordet resurs i endast några delar av standarden.

Riskbedömning

Ibland uppstår problem i hanteringen av resurser och det kan relateras till en svag eller obefintlig resursplanering. Denna brist på planering kan förklaras genom att ledningen i en organisation ofta förbiser att lämna resurser för oförutsedda händelser. Att resurser inte lämnas beror många gånger på att konkurrensen mellan organisationer är stor och ekonomin tillåter inte ett utrymme för oförutsedda händelser. Detta kan i viss månkompenseras genom att engagera kunniga och erfarna människor som på ett tidigt stadium kan förutse eventuella risker (numera är det krav i alla ledningssystemstandarder genomföra risk/möjlighetsanalyser. Även om dessa risker kan identifieras så väljer många gånger ledningen ändå att försöka spara pengar. För att öka sannolikheten till framgång i projekt och med produkter kan ledningen försöka utveckla en metodik för hur olika förbättringsaspekter kan prioriteras, med aspekter menas delar i produkt/tjänst och aktiviteter som organisationen förmår styra över och som är värdeskapande.  

Kravdokument

Exempel på kravdokument är standarderna, exempelvis ISO 14001 och ISO 9001. Ett annat kravdokument är den nya arbetsmiljöstandarden ISO DIS 45001.2 som snart kommer att publiceras. Dessa kravdokument är grunden för många organisationer när man inför ledningssystem för olika perspektiv. Dessa ledningssystem har tidigare haft olika strukturer och uppbyggnad beroende på vilken organisation som är författare till kravdokumentet, dock så bestämde ISO 2012 att alla ledningssystem skall följa en gemensam struktur (7strukturen). En gemensam nämnare är att dessa kravdokument uttrycker sina krav i form av ”skallkrav” som organisationen måste uppfylla för att nå syftet med dokumentet. Intressenter har olika krav som organisationen kan hantera på ett generellt sätt genom ett ledningssystem som innehåller flera perspektiv. Därmed har organisationen ett generellt arbetssätt för att få hjälp att prioritera tid och resurser för en viss kravbild.

Vägledningsdokument

Organisationer som vill införa ledningssystem har också behov av att studera vägledningsdokument som kan ha betydelse för ledningssystemet och verksamheten. I missiv breven har jag valt att bl.a.. använda ISO/IEC 15288 (livscykelprocesser för system), ISO 14063 (miljökommunikation) samt vägledningsstandarden för Socialt Ansvar ISO 26000.

Perspektiv

Att namnge och använda ledningssystem för olika perspektiv bidrar till förståelsen omkring de aktiviteter som genomförs i en organisation, så att man verkligen fokuserar på ett visst område som ledningen anser vara viktigt och grundläggande. Det kan uppfattas att det är mycket arbete när man bestämmer sig för att införa ett eller flera perspektiv, dock har det blivit mycket enklare när man numera kan följa 7strukturen. Jag har koncentrerat mig på integration av kravdokumenten ISO 14001:2015 (miljö), ISO 9001:2015 (kvalitet), ISO 45001:2017 (arbetsmiljö) och ISO 27001:2014 (info säkerhet) till "ett ledningssystem".  

Analys av skallkrav

Om man analyserar skallkraven inom flera perspektiv så upptäcker man att flera skallkrav inte är specifika för perspektivet utan är generiska, dvs de är generella och egentligen inte direkt kopplade till ett visst perspektiv och de kan likväl användas för ett annat perspektiv. Att ISO skrivit standarder som innehåller både generiska och specifika skallkrav har sitt ursprung i hur man organiserat arbetet för att författa standarderna. Exempel på detta är den tekniska kommittén ISO TC 176 – Kvalitetsledningssystem och ISO TC 207 Miljöledningssystem, dessa båda kommittéer är organiserade som två oberoende kommittéer som har ett visst samarbete. Dock så bestämmer respektive kommitté ytterst vad som kommer att stå i de dokument som publiceras. Detta innebär för användaren av standarden att många skallkrav upprepas i andra standarder, inte med exakt formulering men ändå med samma syfte. Ett exempel är att de flesta kravdokumenten kräver att man skall ha en viss dokumentation i ledningssystemet för att skallkravet skall vara uppfyllt. Detta innebär för användaren eller den organisation som skall uppfylla ett visst skallkrav för flera perspektiv att man skapar rutiner och aktiviteter som blir onödigt byråkratiska och tunga att genomföra. Om man på ett systematiskt sätt arbetar igenom alla skallkraven för de perspektiv som man avser att hantera i ett ledningssystem så kommer man att kunna förenkla rutinerna avsevärt genom att inte behöva upprepa skallkrav som redan har behandlats. En slutsats av analysen av skallkraven är att det är viktigt att lyfta fram de skallkrav som är unika och specifika för respektive perspektiv. När man går igenom skallkraven så inser man också att de aktiviteter som skall genomföras enligt organisationens rutiner måste struktureras på ett logiskt och tydligt sätt. Ett resultat av genomgången och analysen av skallkraven enligt ISO standarderna samt praktiska erfarenheter under många år och arbete med flera hundra organisationer och företag är att det är framförallt några frågeställningar som är viktiga: Struktur/Processer, rutiner och målstyrning/indikatorer.

Målstyrning

En kategori av generiska skallkrav är de som behandlar målstyrningen i ledningssystemet. Denna kategori av skallkrav är bäst utvecklade inom ISO 14001 dock så kan man finna definitioner i andra ledningssystem. Om man tillämpar den målstyrningsmodell som ISO 14001 tillämpar tillsammans med den struktur (element och grundelement) som finns i ISO 14001 så kan man hitta en utgångspunkt för integration av flera perspektiv i ett integrerat ledningssystem.

Aspekter

En grundläggande komponent i målstyrningen enligt ISO14001 är användningen av miljöaspekter. Denna komponent kan användas på ett likartat sätt inom kvalitetsområdet såväl som arbetsmiljöområdet och uttrycks då som kvalitetsaspekter respektive arbetsmiljöaspekter. Om organisationen antar detta synsätt så bildar aspektsbegreppet, den huvudsakliga grunden för integration av flera perspektiv till ett ledningssystem. Aspekterna för olika perspektiven är underlag för att definiera och prioritera målen i organisationen och blir också motorn för att driva aktiviteterna på ett gemensamt sätt.

Struktur

En annan slutsats av analysen av skallkraven och dess tillämpning är att ISO 14001 tidigt hade en bättre struktur och enkelhet än många andra ledningssystem, jag brukar därför inordna skallkraven oberoende på perspektiv enligt de sju delar/element som finns ISO 14001. Denna struktur möjliggör ett modulärt arbetssätt så att man framledes kan få nya perspektiv att passa in utan att för den sakens skull bygga om strukturen i ledningssystemet.

Arbetsrutiner

Organisationen kan möta skallkraven i de olika kravdokumenten genom att dokumentera en rutin där det framgår hur och vem som skall utföra en viss aktivitet. Genom att skriva korta och kärnfulla rutiner blir det lättare för medarbetare i organisationen att tillämpa rutinerna. Numera dokumenteras oftast rutiner i nätverksbaserade IT-system (intranät) som möjliggör en hög tillgänglighet för alla medarbetare i organisationen samtidigt som det också kan ge en hög aktualitet, dvs. man kan snabbt få ut ändrade rutiner till alla i organisationen. Jag har analyserat skallkraven och kommit fram till att det finns i huvudsak två kategorier av skallkrav, nämligen specifika skallkrav för ett visst perspektiv och generiska skallkrav som man kan finna i många kravdokument som innehåller skallkrav. Om man är medveten om att man kan betrakta skallkrav som generiska så underlättar det skrivandet av rutiner för de generiska skallkraven genom att man inte behöver skriva fler rutiner än nödvändigt beroende på att samma generiska skallkrav kan finnas i olika kravdokument/standarder. Det finns mer än 200 skallkrav i ISO 14001, ISO 9001, ISO 45001 och det visar sig att många av dessa skallkrav är generiska. Det betyder faktiskt att samma skallkrav upprepas i kravdokument för skilda perspektiv. Ibland kan systemansvariga hävda att det finns risk att tappa fokus när man integrerar olika områden i ett och samma ledningssystem. Jag tror att detta kan bero på sättet som man skriver sina rutiner, om man skriver rutiner utifrån specifika skallkrav så undviker man detta problem.

Rutinerna skrivs på ett övergripande sätt och kopplas till aktiviteterna i respektive process så att det bildar ett ramverk, från rutinerna hänvisas sedan till instruktioner och mallar. Vissa rutiner kommer endast att innehålla och uppfylla specifika skallkrav från ett kravdokument för ett visst perspektiv. I framförallt äldre kvalitetsledningssystem är det vanligt att förutom vem som ansvarar inom rutinen och hur man utför olika aktiviteter inom rutinen så har man också angett syftet med rutinen. Jag har valt att inte ange syftet med skallkravet i själva rutintexten på grund av att rutintexterna bör hållas så korta som möjligt. Syftet med skallkraven kan hittas i respektive kravdokument. Jag har för de tre perspektiven miljö, kvalitet och arbetsmiljö inordnat samtliga skallkrav i en struktur med 7 element (se missiv 3) och syftet med varje skallkrav kan hittas i respektive element. I missiv 4   visar jag exempel på ett ledningssystem som illustrerar hur man kan formulera rutiner som uppfyller både generiska och specifika skallkrav för fyra perspektiv.

Standarder från ISO

ISO-standarder har en utgångspunkt som är internationellt förankrad. De är framförhandlade under en lång tid, normalt under 3–5 år, samt oftast välstrukturerade och genomtänkta. Det är dokument som man är överens om och syftet är hela tiden att försöka nå koncensus i förhandlingsprocessen. Allra bäst blir de standarder där det är många personer och många länder som har samlat sig omkring ett ämne. Det finns klara regler för hur arbetet skall genomföras. ISO direktiven har samlat mycket erfarenhet under mer än 50 år och uppdateras fortlöpande för att spegla och hantera arbetsprocessen. Regelverket för deltagandet är till viss del ganska rigida och det poängterades bland annat med anledning av området för Socialt Ansvarstagande. Man kan förvänta sig att ISO Technical Management Board (TMB) kommer att fortsätta att öppna upp för ett bredare deltagande från NGO (Non Governmental Organisations), arbetstagarorganisationer, offentliga organisationer och konsumentorganisationer. Industriföretag och industriorganisationer har traditionellt haft ett stort deltagande och inflytande. 

Erfarenheter av ledningssystem

När en organisation börjar tillämpa standarder och andra kravdokument finns det risk att byråkratin ökar i organisationen. För att uppfylla kraven i ett kravdokument så måste organisationen till del skriva ner sitt arbetssätt, dvs. hur görs saker och ting och vem är processägare. Dessutom vill kravställarna att man dokumenterar resultat och händelser i redovisande dokument. Många nya ord (termer) och definitioner måste användarna förstå och framförallt inte missförstå, detta kräver utbildning träning och tid, samt en öppenhet för att vilja lära sig nya arbetssätt för att vilja bli bättre. Att bli bättre är grundläggande för varje organisation.

Individen kanske inte vill lägga all energi på jobbet utan vill också ha möjlighet att utveckla sig på fritiden. Det är svårt att ha kontrollen över en process då många variabler ingår i de aktiviteter som förväntas genomföras, att förändra ett sådant komplext område kan bära emot och vara ett hinder för många organisationer och som kan uppfattas som en betydelsefull baksida. Oftast försöker man ändra på saker och ting när man inför ledningssystem, detta är dock ett vanligt fel i ambitionen som istället bör ha ett långsiktigt perspektiv. Införandet av ledningssystem innebär egentligen att man beskriver ett arbetssätt i en rutin utifrån ett nuvarande arbetssätt och inte vad man kommer att göra i framtiden. På kort sikt uppfattar många att det kan vara negativt att införa ett ledningssystem som innebär att makten flyttas från någon eller några få personer till flera personer som har möjlighet att få insyn i hur en organisation leds. På lång sikt innebär det oftast att jämlikheten och demokratisering utvecklas positivt i en organisation. När en befattningsbeskrivning upprättas reagerar kanske någon att det blir för mycket ordning och minskad flexibilitet. Ibland kan en enskild befattningshavare påpeka att ett visst ansvar inte står i befattningsbeskrivningen och det kan då innebära att ett visst övergripande ansvar “hamnar mellan stolarna”, befattningsbeskrivningen kan då uppfattas negativt och begränsande. Organisationens processer, rutiner med instruktioner och mallar är ett ramverk som hjälper en organisation att påbörja ett arbete med en ständig förbättring och rutinerna i sig kommer att kunna förbättras och likaså förutom produkterna eller tjänsterna.

  1. Brev 1
  2. Brev - vägledning 2024
  3. Seminarium via Teams
  4. ISO och FN medlemmar