ISO 19770-1, certifikace pro auditory, manažery a firmy.

V minulém článku jsme se zastavili u ISO norem v oblasti ICT obecně. Tentokrát bych chtěl podrobně představit jednoho klíčového nováčka a zároveň předzvěst nových trendů.

U procesních norem se obvykle setkáváme se dvěma typy certifikací – personální a firemní. ISO 19770-1 přináší do této oblasti průlom. V řadě středních a velkých organizací se oblasti SAM věnuje interní odborník. Ten může být nositelem certifikace ISO SAM Manažer. Pro složitější oblasti činnosti nebo přípravu organizace na certifikaci na ISO 19770 může pak využít spolupráce ISO SAM Auditora. Organizaci tato možnost primárně přináší výrazné úspory nákladů při přípravě na firemní certifikaci a údržbě procesů, sekundárně pak jistotu, že interní specialisté dosahují potřebné úrovně znalostí.

Jak probíhá implementace SAM dle ISO 19770?

Obecně se dá říci, že zavedení ISO SAM norem do každodenního provozu přinese organizaci zejména úspory nákladů a zvýšení efektivity procesů. Zvýšení úrovně kvality otevře přístup na nové trhy (náročnější zákazníci, jiný typ klientů) a stávající motivuje k větší loajalitě. Pravidelné vyhodnocování práce dodavatelů umožní vyvíjet na ně soustavný a systematický tlak – a často zajistí zvýhodnění podmínek dodávek a zkvalitnění souvisejících služeb.

Začínáme s implementací

Mimo úspěšnou certifikaci můžeme jako cíle stanovit např. konkretizace práv a povinností uživatelů počítačové sítě, centralizaci softwarové platformy apod. Cíle se budou lišit podle typu organizace, její velikosti a zaměření.

Mezi členy projektového týmu by rozhodně měli patřit zástupce vedení (nejlépe CIO) SAM manažer, účetní a personalista. Úlohou případného externího ISO SAM Auditora je maximálně projekt zkrátit a zefektivnit.

Projektový plán by měl minimálně obsahovat následující činnosti s  termíny dokončení a osobní odpovědností:

·                    konkretizace cílů a strategie SAM

·                    analýzu rizik

·                    stanovení politiky správy SAM

·                    zpracování SAM standardů

·                    implementaci a aplikace auditovacích nástrojů

·                    inventarizaci licencí softwaru

·                    průběžný monitoring a reaudity

Konkretizace cílů a strategie SAM
Jde zejména o dílčí cíle, časová vymezení, kompetence a pracovní pozice řešící danou oblast.
Jako cíle lze například stanovit:

·                    zamezení nežádoucím instalacím software

·                    centralizace softwarové platformy

·                    efektivní kontrola investic do oblasti licencí software

·                    monitoring skutečného využívání dostupných zdrojů

·                    přenesení resp. sdílení odpovědnosti

·                    trvalý monitoring nežádoucích aktivit

·                    trvalá dostupnost podrobných informací o SW/HW

Analýza rizik
Analýza rizik obsahuje rámcovou identifikaci softwarových aktiv, hrozeb a míry zranitelnosti firmy. Prostřednictvím navazujících personálních, organizačních či technických opatření je stanoven způsob řízení rizik.

Stanovení politiky správy SAM
Politika správy SAM je obvykle řešena jako úvodní, řídící část směrnice pro práci a správu ICT. Celá směrnice zahrnuje práva a povinnosti všech uživatelů firemních počítačů ve vztahu k softwaru a popis životního cyklu softwaru ve firmě (od žádosti uživatele přes testování, instalaci, až po vyřazování nepotřebných licencí). Směrnice by měla být uvedena do života formou proškolení uživatelů, konkrétních technických opatření a změn smluvních vztahů.

Zpracování SAM Standardů
SAM standardy jsou v praxi nejčastěji upravovány pomocí výše uvedené směrnice. Jsou v ní definovány postupy implementace, správy, kontroly a údržby všech procesů SAM. Obsahuje šablony dokumentů ( např. Pasporty, závěrečné zprávy, předávací protokoly atd.)

Implementace a aplikace SAM systémů
SAM systémům se obecně říká auditovací nástroje. Jejich hlavní úlohou je eliminace rutinních procesů, zajištění trvalé aktuálnosti získaných údajů v evidenci.

Ač to na první pohled není zřejmé, systémy se od sebe výrazně liší.
Je nepříjemné zjistit až v průběhu reálného zavádění do provozu, že evidence licencí neobsahuje jejich historii, že po instalaci licencí nezůstávají žádné stopy (kdo kdy instaloval) nebo že nástroj se zadýchává již při zpracování první stovky počítačů. Ještě nepříjemnější je zjištění, že ačkoliv výrobce nástroje tvrdí, že obcházení jednotlivých počítačů není nutné, na devadesáti procentech z nich dálkově nefunguje.  V neposlední řadě jde o kvalitu výstupů (informace o tom, co je kde instalováno) a o každodenní uživatelský komfort.

Vytipujte tedy alespoň 10% počítačů a nasaďte na dva týdny auditovací nástroj „nanečisto“.

Inventarizace licencí softwaru (často nejen licencí, ale všeho počítačového vybavení)
Základem inventury je zjištění, co je na kterém počítači instalováno. Auditovací nástroj za Vás porovná nalezená data s vlastní knihovnou známých programů a poskytne potřebnou statistiku. Budete se muset pouze rozhodnout, co na počítačích zůstane a co se musí odinstalovat.

Jedinou rutinní prací, se kterou Vám žádný SAM systém nepomůže, je dohledání dokladů k licencím softwaru v účetnictví a jejich spárování se skutečnými instalacemi v evidenci auditovacího nástroje.
Je třeba pečlivě zkontrolovat, zda doklady o nabytí obsahují všechny náležitosti. (informace viz zeptejtesesama.cz nebo swmpoint.cz).

Pravidelný monitoring a reaudit
Poslední fáze projektu by měla obsahovat nastavení funkčního systému přehledů a výstupů z celého procesu SAM, které k takovým úpravám poskytnou dostatečné podklady.
Norma výslovně vyžaduje:

§  čtvrtletní přehled výdajů (porovnání s rozpočtem);

§  čtvrtletní porovnání autorizovaných instalací vůči všem instalacím (zjištění rozsahu neautorizovaných instalací);

§  dvakrát za rok přehled plnění stanovených úkolů, sumář změn a vyřešení případných problémů;

§  dvakrát za rok přehled plnění smluvních dodávek spolu s návrhem prodloužení časově omezených kontraktů či licencí;

§  dvakrát za rok ověření aktuálnosti evidence hardwaru i softwaru (včetně softwarových buildů);

§  roční přehled platnosti zaškolení a certifikací odpovědných osob;

§  roční přehled o stavu plnění plánů a úkolů definovaných pro oblast SAM;

§  roční přehled o stavu požadavků uživatelů, administrátorů, managementu, výhled do budoucna;

§  roční přehled o plnění dodávek ze strany dodavatelů;

§  roční přehled o stavu fyzických a elektronických evidencí;

§  roční přehled o aktuálnosti metod vyhodnocování skutečného využívání licencí softwaru uživateli;

§  roční přehled hodnotící způsob dodržování stanovených interních pravidel.

Závěrečná certifikace
Po realizaci výše uvedených kroků lze přistoupit k certifikačnímu auditu. Ten je předepsán jako dvoufázový. V první fázi je provedena revize dokumentace, komplexnost systému s ohledem na podmínky konkrétní firmy. Ve druhé fázi je pak prováděn audit shody dokumentace s realitou.

Certifikovaní odborníci

Přítomnost odborníků může proces zavední normy i jeho údržbu výrazně usnadnit a zkrátit. Pojďme se tedy ještě na chvíli zastavit u osobních certifikací pro ISO 19770. K dispozici jsou dva typy certifikací:

ISO/IEC 19770 SAM MANAŽER řídí zavedení  ISO 19770 ve firmě, přípravu na firemní certifikaci a údržbu procesů.  Certifikace není podmíněna konkrétním dosažedným vzděláním, pouze předpokládá potřebné informační zdroje pro přípravu snadno dostupné na internetu. Zkouška je písemná.

ISO/IEC 19770 SAM Auditor je externím specialistou. Auditorská certifikace se skládá z písemné a ústní části, vyžaduje výrazně hlubší oborové znalosti a alespoň tři doložené referenční projekty zavedení SAM ve firmě.

První certifikáty byly vydány v květnu 2008.

Názor odborníka

 

„ISO 19770 je standardem, který na našem trhu posledních deset let chyběl zákazníkům i profesionálním auditorům. Doposud nebyla k dispozici profesní certifikace, která by ověřovala kvalitu a zkušenost auditora. Obsah normy odpovídá požadavkům uplatňovaným doposud, pouze klade velký důraz na dlouhodobý efekt, opakovatelnost a udržování procesů ve stavu odpovídajícím reálné skutečnosti. Příznivě to vypovídá o kvalitě práce tuzemských odborných konzultantů.

Bc. Martina Hyndráková Softwarová auditorka, B:Right Consulting, s.r.o.

Bc. Martina Hyndráková
Softwarová auditorka, B:Right Consulting, s.r.o.

Pro firmu znamená zavedení ISO 19770 účinnou ochranu proti výskytu nežádoucího softwaru a přenesení odpovědnosti za případné problémy ze statutárního zástupce firmy a CIO na ty, kteří za vzniklý problém zodpovídají ve skutečnosti.

Možnost certifikace ISO SAM Manažer dává středním a větším firmám vyřešit zavedení ISO vlastními silami. Procesy tak budou více zapadat do každodenní provozní reality a budou tak i maximálně výtěžné. Na podzim by měla být norma k dispozici i v české verzi, zpřístupní se tak i menším firmám“.

Shrnutí

Zavádění ISO standardu je projekt jako každý jiný. Je třeba stanovit jasné cíle, provést výběrové řízení, stav projektu monitorovat a reagovat na změny. Při periodických reauditech, které jsou nedílnou součástí implementace normy, lze korigovat nevyhovující části procesů a doplňovat potřebné inovace. 

Zkoušku ISO 19770 SAM Manažer může absolvovat každý IT specialista, jež má 6 měsíční praxi v oboru, se znalostmi normy ISO/IEC 19770-1 a s orientací v procesech SAM.

Reklamy
Příspěvek byl publikován v rubrice ISO 19770-1. Můžete si uložit jeho odkaz mezi své oblíbené záložky.

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s