Standardy ISO aktivně užívané v ČR.

Standardy ISO jsou často skloňovaným pojmem. Zákazníci vnímají certifikaci dodavatele na ISO jako mezinárodně uznávaný způsob ověření kvality. Firmy samotné zastávají v zásadě dva pohledy: nutné zlo, které musíme podstoupit, abychom mohli realizovat určité typy zakázek – a nebo cestu ke zkvalitnění a zefektivnění celkového chodu firmy.

ISO je Mezinárodní organizace pro normalizaci (International Organization for Standardization) se sídlem v Ženevě, založena v roce 1947. Organizace se zabývá tvorbou mezinárodních norem ISO a jiných druhů dokumentů ve všech oblastech normalizace kromě elektrotechniky (jedná se např. o technické specifikace, technické zprávy a veřejně dostupné specifikace, dohody o technických trendech, pokyny ISO atd.).

Zastavme se pro dnešek u informačních technologií v libovolné organizaci.
Jak ovlivňuje ISO tuto oblast?

V oboru IT existuje několik zajímavých norem, které se aktivně používají i v České republice. Vždy se jedná o tzv. procesní normy, nikoliv jakostní (nebudeme se tedy věnovat ISO 9000, 9001,9002 atd.).  Procesní ISO standardy bychom mohli podle definice požadovaného cíle rozdělit do dvou skupin: na bezpečnost informací a systémové řízení.

ISO v oblasti bezpečnosti informací

Informace jsou od nepaměti tím nejcennějším zbožím. V obchodním styku představují klíčovou konkurenční výhodu a v některých oborech i hodnotu rozdílu mezi životem a smrtí.

S rozvojem informačních technologií narostlo množství způsobů sdílení dat tak, že bylo potřeba přistoupit k zavedení systémů sofistikované ochrany informací. Na tuto potřebu reagovalo ISO vytvořením normy 27001. Hlavním přínosem této normy je řízení rizik ve vztahu k samotné existenci informací, definice hierarchie a zodpovědnosti zaměstnanců, zabezpečení minimalizace výpadků podnikových procesů a v neposlední řadě splnění zákonných požadavků.

Bezpečnost informací se čím dál více dostává do popředí zájmu nejvyššího vedení firem. Pokud chce jakákoliv firma obstát na současném trhu, jsou pro ní informace o dodavatelích, zákaznících, vlastních výsledcích, plánech a procesech tím nejcennějším majetkem. Na tato fakta reagují mezinárodní normy ISO 17799, BS 7799 a řada dalších, které předkládají koncepci budování a řízení podnikové informační bezpečnosti.

V popředí zájmu je zejména „systém řízení informační bezpečnosti“ – ISMS (Information Security Management System).

Cílem zavedení ISMS v podniku je:

·                     Minimalizovat a řídit riziko ekonomických ztrát souvisejících s provozem
ICT (technické závady, živelné katastrofy, zcizení, atd.)

·                    Eliminovat riziko odcizení informací, ať už zvenku nebo zevnitř

·                    Minimalizovat možnost kompromitace firmy v důsledku ztráty informací

Jaké jsou přínosy zavedení a certifikace ISMS pro firmu?

·         Inventura vlastních aktiv, jejich ocenění a klasifikace

·         Přechod řízené a komplexní bezpečnosti

·         Efektivní řízení investic do informační bezpečnosti

·         Zavedení systémového a systematického přístupu při používání informačních technologií/systémů

·         Trvalé systémové monitorování a zlepšování systému řízení bezpečnosti informací

·         Řízené odstranění nebo snížení rizik v oblasti informačních systémů

·         Zvýšení odpovědnosti zaměstnanců při práci s informacemi

·         Naplnění požadavků legislativy

·         Zvýšení důvěryhodnosti pro partnery i zákazníky

·         Konkurenční výhoda, kultivace Image a firemní kultury

ISO v oblasti systémového řízení

V oblasti systémového řízení jsou nejdůležitější dvě normy – ISO 20000 a ISO 19770.

Management služeb v IT

Norma ISO 20000 je prvním celosvětovým standardem přímo určeným pro management služeb IT. Zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů IT procesů. Popisuje integrovanou sadu procesů řízení pro poskytování služeb IT a obsahově se řídí úspěšnými projekty IT Infrastructure Library (ITIL).

To nejlepší z praxe

Knihovna ITIL představuje procesně orientovaný rámec pro oblast IT Service Managementu (ITSM). Vznikla jako souhrn „Best Practices“ z oblasti ITSM a v současnosti je mezinárodním standardem pro oblast ITSM. Knihovna ITIL je rozdělena do několika oddílů (samostatných knih), zaměřených na specifickou oblast řízení IT služeb, které odpovídají klíčovým procesům v IT oddělení a vzájemně se prolínají.

ITIL se nezabývá pouze zavedením řízení služeb IT, ale také jejich zlepšováním. Pomáhá pochopit a upravit pro každodenní praxi potřebné procesy včetně všech nutných návazností. V tomto ohledu je tedy výborným vodítkem pro průběžné zvyšování kvality a produktivity.

Integrovaný management s ISO 20000

Nový standard ISO pro služby IT nekonkuruje normě ISO 27001 pro informační bezpečnost, jak by se mohlo zdát. Je spíše považován za její logické doplnění. Synergické struktury obou standardů umožňují snadné zapojení do integrovaného systému řízení. Společná dokumentace a audity s multifunkčními auditorskými týmy přinášejí další úsporu nákladů. Díky své flexibilitě je standard vhodný pro všechny velikosti podniků a odvětví, i pro oddělení a dílčí úseky organizací.

Nejdůležitější částí normy ISO 20000 je, stejně jako u všech standardů ISO, model zlepšování procesů podle vzoru: plan-do-check-act. Aplikace tohoto cyklu vede k neustálému zvyšování kvality a efektivity výkonů. Pravidelně se definují cíle a příslušné ukazatele jako „spokojenost zákazníků“ nebo „disponibilita služeb“ a vypracovávají se opatření k jejich optimalizaci.

Statisticky se ukazuje, že investice do optimalizace procesů přinášejí bez procesu neustálého zlepšování pouze krátkodobé úspěchy. Použitím standardu s pravidelnými kontrolními audity se tomu účinně zabrání. Provedením posudku nezávislou třetí osobu se zviditelní odchylky vůči zadání a zavedou se nápravná opatření. ISO 20000 se tak osvědčuje jako strategický prvek řízení.

Software Asset Management –  ISO 19770

Norma ISO 19770 je prvním celosvětovým standardem pro oblast Software Asset Managementu (SAM). Popisuje integrovanou sadu procesů řízení pro správu softwarových aktiv ve firmě. Zaměřuje se na zlepšování kvality, zvyšování efektivity a snížení nákladů. Využívá zkušenosti z IT Infrastructure Library (ITIL).

Cílem normy je poskytnout organizacím směrnice či systém dokumentů, díky kterým minimalizují rizika a náklady na správu softwaru. Hlavními prostředky jsou:

·                    Stanovení cílů a strategie SAM

·                    Analýza rizik

·                    Stanovení politiky správy SAM

·                    Zpracování SAM standardů

·                    Implementace a aplikace SAM systémů

·                    Inventarizace

·                    Monitoring a audit

Správa softwaru (SAM) představuje účinný nástroj pro řízení softwarových aktiv. Centralizuje softwarovou platformu, optimalizuje investice do vybavení, monitoruje skutečné využívání aktiv. Maximalizuje využívání softwarových aktiv a chrání společnost před riziky v důsledku porušování autorských práv. Zahrnuje všechna záznamová média, licence, licenční ujednání a duševní vlastnictví spojené s veškerým software firmy.

ISO 19770 je rozděleno do šesti základních částí. V části strategie jsou definovány cíle, projektové plány, časová vymezení, kompetence, vytvořena potřebná fóra a zřízeny pracovní pozice pro řešení dané problematiky.

Ve druhé fázi je provedena analýza rizik – identifikace softwarových aktiv firmy, souvisejících hrozeb a míry zranitelnosti organizace. Dopady jsou kvantifikovány. Na základě analýzy je stanoven způsob řízení prostřednictvím navazujících personálních, organizačních či technických opatření. Typicky se jedná o směrnice pro práci a správu informačních technologií, pravidla pro přístup z externích sítí, pravidla pro opravy či likvidaci HW/SW a řada dalších. Tyto jsou následně uváděny v život formou školení, technických opatření, změn smluvních vztahů.

Následně je provedena inventarizace (softwarový audit) včetně dohledání dokladů o nabytí softwaru, kontroly dodržování licenčních smluv, narovnání případných licenčních rozdílů, zavedení trvalých evidenci a přijetí potřebných opatření k udržení jejich aktuálnost v každodenním provozu.

Posledním krokem je zavedení a vytvoření mechanismů, které umožní monitorovat stav systému pro správu softwarových aktiv (SAM). Jedná se jak o technické nástroje, tak o plány pravidelných interních či externích auditů.

Po realizaci výše uvedených kroků lze přistoupit k certifikačnímu auditu. Ten je předepsán jako dvoufázový, kdy v první fázi je provedena revize dokumentace, komplexnost systému s ohledem na podmínky konkrétní firmy. Ve druhé fázi je pak prováděn audit shody dokumentace s realitou.

A co dál?

Tento článek byl jen malým nahlédnutím do světa ISO norem. Protože pro mnoho podnikatelů je tato oblast stále velmi obtížně uchopitelná, rozhodli jsme se pro příště vybrat jednu z norem a konkrétně popsat proces jejího zavedení do praxe. Příští článek se proto bude jmenovat „ISO 19770-1, certifikace pro auditory, manažery a firmy.“ A já pevně doufám, že Vás přesvědčím, že zavádění normy je jednoduchým procesem a norma je neocenitelným pomocníkem při řízení každodenního běhu firmy.

Názor odborníka

Ing.Petr Koten ředitel úseku certifikací, Česká společnost pro jakost

Ing.Petr Koten
ředitel úseku certifikací, Česká společnost pro jakost

Častou otázkou, kterou si pokládají organizace usilující o certifikaci systému managementu bezpečnosti informací ISMS (či jiných systémů managementu) je, zda certifikovaný systém bude pro organizaci přínosem nebo neužitečnou zátěží.

Na základě našich zkušeností, z provedených certifikačních auditů ISMS, lze ve stručnosti uvést následující předpoklady pro funkční a užitečný systém ISMS: a) vrcholové vedení organizace podporuje zavádění ISMS, b) na zavádění se podílí tým pracovníků organizace znalý firemních procesů a normy ISO/IEC 27001, v případě potřeby doplněn externím poradcem c) analýza rizik je pečlivě provedená a na významná rizika je reagováno vhodnými opatřeními, d) dokumentované postupy jsou psány stručně a srozumitelně, e) pracovníci organizace jsou obeznámeni s dokumentací ISMS, f) systém ISMS podléhá pravidelné vnitřní kontrole.

 

Pokud se organizace drží výše uvedených zásad a v praxi uplatňuje relevantní požadavky normy ISO/IEC 27001, pak lze očekávat, že ISMS splní svůj účel, kterým je zajištění bezpečnosti informaci z hlediska zachování jejich důvěrnosti, integrity a dostupnosti.

Je důležité uvést, že ISMS není užitečným nástrojem pouze pro IT firmy, ale pro všechny organizace, které nakládají s důležitými informacemi.

Shrnutí

CIO manažery zajímá především efektivita procesů, které ovlivňují každodenní chod firmy, a tak v oboru IT najdeme spíše procesní než jakostní normy ISO. Dobré zvládnutí procesů uvolňuje firmě zdroje pro další rozvoj – tedy i zvyšování zisku.

Po zavedení procesu ISMS je možné jej nechat prověřit akreditovanými certifikačními autoritami a získat mezinárodně uznávané ověření jeho kvality. Certifikát ISMS slouží jako doklad pro vedení podniku, dodavatele i zákazníky o efektivním řízení informační bezpečnosti.

Zatímco knihovna ITIL umožňuje výhradně personální certifikace konzultantů v oblasti řízení služeb IT ISO 20000 nabízí možnost certifikace osob i organizací.

 I pro ISO 19770 jsou k dispozici oba typy certifikací – firemní a personální (ISO19770 SAM Auditor, ISO 19770 SAM Manažer). Nově je možné získat akreditovaný certifikát i v ČR. Zvláštností je i manažerský certifikát, určen zaměstnancům organizací, specializovaným na problematiku SAM.

Reklamy
Příspěvek byl publikován v rubrice ISO 19770-1. Můžete si uložit jeho odkaz mezi své oblíbené záložky.

Zanechat Odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit / Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit / Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit / Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit / Změnit )

Připojování k %s