Případová studie: bezpečnost & kvalita
Nejvyšší ohodnocení za integraci 27001 / 9001
Informační bezpečnost a management kvality jsou na první pohled dvě různé věci, ovšem v praxi rostou společně a tvoří koherentní celek. Spokojenost zákazníků coby nejvyšší cíl managementu kvality stále více závisí na dostupnosti IT a zabezpečení dat, což je podporováno normou ISO 27001. Naopak firemní cíle dle ISO 9001 pomáhají s cílenou implementací informační bezpečnosti. Díky integračnímu přístupu lze ISO 27001 efektivně implementovat jak do stávajících systémů řízení jakosti, tak i v kombinaci.
-
synergie díky podobným strukturám
-
o 30 procent nižší náklady na kombinovanou certifikaci
-
přibližně 20% úspora v běžném provozu
Profil firmy:
EDVG Elektronische Datenverarbeitung GmbH spravuje miliony osobních dat. Zavedený poskytovatel IT služeb poskytuje podporu členským organizacím jako ÖGB, Komora zaměstnanců nebo ARBÖ. EDVG s 85 zaměstnanci nabízí kompletní portfolio od vývoje aplikací přes systémovou integraci až po služby výpočetního centra a internetové služby.
Energický úvod: osm měsíců na dva standardy
Názorným příkladem úspěšné integrace IS a QM je společnost EDVG Elektronische Datenverarbeitung GmbH, která za pouhých osm měsíců implementovala jak ISO 9001, tak i ISO 27001 a za další tři měsíce byla prostřednictvím stage review, zlepšení systému a auditu prvního stupně optimálně připravena na certifikaci. Tento poskytovatel IT služeb neměl až dosud definované žádné obchodní procesy konformní s normami ISO. Angažované vedení projektu ale přineslo zkušenosti z oblasti modelování procesů, navíc byl přizván poradce. „ISO 9001 a ISO 27001 mají identické prvky v organizaci. Přezkoumání, porady grémia, kontrolní a recertifikační audity provádíme integrovaně“, vysvětluje Dr. Gustav JUNG, manažer kvality společnosti EDVG. Kombinovaný certifikační audit společností CIS a Quality Austria pro celou firmu EDVG s 85 zaměstnanci zabral čtyři dny. V případě samostatných certifikací by byly na jeden standard nutné asi tři dny. „Úspora nákladů 30 procent čistě za certifikaci a téměř 20 procent za celou fázi zavádění obou norem díky menší vynaložené práci“, zdůrazňuje spokojeně Jung.
Podobná struktura ISO 9001 a ISO 27001
Jestliže postavíme standardy pro informační bezpečnost a management kvality proti sobě, jsou oba založeny na neustálém zlepšování podle cyklu PDCA (Plan-Do-Check-Act). Kromě toho se shodují ve struktuře, podle tabulky mapování v Příloze C, ISO 27001: Po procesním přístupu a předmětu normy následují v obou normách definice, systémové požadavky, dokumentace a odpovědnost vedení.
V obou případech strukturu uzavírají interní audity, přezkoumání vedením organizace a zlepšování systému. Z těchto rozhraní vyplývají cenné synergie. Například ISO 9001 požaduje kontrolu neshodných produktů. To odpovídá požadavku normy ISO 27001 na management incidentů pro odstraňování nedostatků IT.
Silná dvojka: rozdíly se doplňují
„Rozdíly mezi standardy se jeví jako logické doplňky, které rozhodující měrou přispívají ke zvýšení obchodního úspěchu“, vysvětluje auditor CIS Dr. Peter Soudat. „IS zabezpečuje potenciál podniku, QM ho vytváří.“ ISO 9001 požaduje definování firemních cílů, zaměření na zákazníka a měřitelnost dosažení cílů. Tyto tři body nestojí v normě ISO 27001 v popředí. Zato klade velký důraz na řízení rizik pro zachování kontinuity podnikání a prostřednictvím podnormy ISO 27005 nabízí podrobnou pomůcku pro realizaci tohoto požadavku. Naproti tomu vztahuje ISO 9001 rizika pouze obecně na prostředí.
Ve firmě EDVG byl integrační přístup realizován již u projektového týmu, který byl vytvořen ze tří osob z oblastí vedení projektů, managementu kvality a informační bezpečnosti - vedení společnosti je pak odpovědné za celkový systém. „Formulovali jsme zaměření na dva hlavní cíle: na jedné straně definovat, dokumentovat a optimalizovat všechny procesy v souladu s ISO, na druhé straně zakotvit tyto pojmy v hlavách zaměstnanců“, shrnuje projektový vedoucí EDVG Mag. Alfons Ankerl. Již při definování firemních cílů podle ISO 9001 byly zřetelné výhody integrace: „Bylo pro nás výhodné zaměřit ISMS na jeden firemní cíl - být kompetentním a uznávaným poskytovatelem IT služeb pro naše zákazníky. Kromě toho se komunikování cílů zaměstnancům ukázalo jako opravdový motivační faktor pro běžný provoz firmy. „Tam, kde jsou vize, vzniká síla je dosáhnout“, je přesvědčen Kanov.
Souhra politik, dokumentace i managementu zdrojů
Management kvality funguje ve firmě EDVG jako zastřešující systém, zatímco informační bezpečnost specifikuje s tím spojené cíle IS. Podobně se postupovalo v případě vypracování politik. Struktura politiky kvality s oblastí působnosti angažovanost a aktivita managementu, odpovědnosti a proces zlepšování sloužil jako základní kostra pro politiku bezpečnosti. Kruh se uzavírá i v dokumentaci: Podle ISO 9001 upravují dokumentační směrnice, kde se mají jaké dokumenty kým odkládat a jak dlouho uchovávat. Prostřednictvím klasifikace podle ISO 27001 mohla firma EDVG tento požadavek prohloubit směrem k informační bezpečnosti. Pro hlavní informační platformy jako pracoviště, email, fax nebo telefon byly vypracovány politiky pro nejvyšší ochranu. „Protože EDVG spravuje miliony osobních dat pro členské organizace, je bezpečnost dat obchodně kritickým faktorem úspěšnosti“, zdůrazňuje Gustav Jung. „Informační bezpečnost podle ISO 27001 zvyšuje hodnotu našich služeb.“
Další důležitá synergie vyplynula z rozhovorů se zaměstnanci, které požaduje norma ISO 9001. „Vytvořili jsme z rozhovorů se zaměstnanci mocný nástroj - v tomto osobním rámci navíc komunikujeme povědomí o bezpečnosti, identifikujeme šance na rozvoj a zjišťujeme potřebu školení“, informuje Gustav Jung. Výcvik a tvorba povědomí jsou v obou standardech přiřazeny k managementu zdrojů.
Analýzou rizik k novým oblastem obchodní činnosti
Impulzy pro nové obchodní činnosti generovala firma EDVG ze zavedení managementu rizik. Systematika norem pomohla strukturovaně vypracovat silné a slabé stránky organizace. „Riziko není negativní. Je pouze negativní ho neznat“, říká Gustav Jung. Výsledky přinesly solidní základ pro plánování opatření a byly také vizionářsky realizovány. Z rizik se staly šance - nové obchodní činnosti s kvalitnějšími službami. Od té doby nabízejí proaktivně servisní smlouvy pro vysokou bezpečnost a vysokou disponibilitu.
Velké finále s ISO 20000
Tým EDVG byl celkově natolik spokojen se souhrou managementu kvality a informační bezpečnosti, že byl následně standardizován i management IT služeb. Rozmach z úspěšné certifikace byl využit pro důsledný další rozvoj podniku i v další fázi. Během dalších pouhých sedmi měsíců byla zavedena norma ISO 20000 pro management IT služeb, osvědčeným způsobem integrována a zakončena třetí certifikací v září 2009. Gustav Jung je v současnosti přesvědčen: „Když se podívám zpět, mohli jsme normu ISO 20000 implementovat v jednom kroku společně s ISO 9001/27001. Díky podobné struktuře norem je integrační přístup prakticky předurčen. Synergie, které z toho vyplývají, by měly vlastně využít všechny firmy.“
Více informací o certifikaci ISO 27001:
Nabídku kurzů si můžete prohlédnout zde:
O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:
Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz