Österreich
Secure Your Business
 

Případová studie: Bezpečnost / Kvalita
„Nejvyšší ohodnovcení“ za integraci 27001-9001 
 

  • Synergie díky podobným strukturám
  • O 30 procent nižší náklady na kombinovanou certifikaci
  • Přibližně 20% úspora v běžném provozu

Informační bezpečnost a management kvality jsou na první pohled dva páry bot. V praxi rostou společně a vydávají shodný celek: spokojenost zákazníků, nejvyšší cíl kvality, stále větší měrou závisí na disponibilitě IT a bezpečnosti dat, což podporuje norma ISO 27001. Opačně pak pomáhají firemní cíle podle ISO 9001 při cíleném uplatňování informační bezpečnosti. Integrovaný přístup umožňuje účinnou implementaci ISO 27001 jak do stávajících systémů managementu kvality tak i kombinovanou implementaci. Firma EDVG tak zavedením obou standardů zažila během pouhých osmi měsíců úspěšné pas de deux - a ušetřila asi 30 procent času a nákladů. 

 

ballett-foto_plus_text_engl

 

  • Spokojenost zákazníků je nejlepší reklama

Více než 4 200 firem po celém Rakousku má certifikaci managementu kvality (QM) podle ISO 9001. V závislosti na požadavcích trhu a legislativy se mnohé z nich musejí vypořádat i s oblastí informační bezpečnosti (IS). Zde nabízí skutečné šance integrace systémů managementu. Kromě toho je integrovaný přístup zajímavý i pro podniky, které dosud nepoužívaly vůbec žádný procesní management. Standardy ISO pro kvalitu (ISO 9001), životní prostředí (ISO 14000), informační bezpečnost (ISO 27001) a management IT služeb (ISO 20000) mají podobnou strukturu a procesní přístup. „Z toho vyplývají synergie, které se vyplatí: Integrovaný systém managementu ušetří v praxi v běžném provozu přibližně 20 až 30 procent nákladů na optimalizaci systému, hodnocení a audity, vysvětluje Dr. Peter Soudat, auditor certifikační organizace CIS.

 

  • Energický úvod: osm měsíců na dva standardy

Názorným příkladem úspěšné integrace IS a QM je společnost EDVG Elektronische Datenverarbeitung GmbH, která za pouhých osm měsíců implementovala jak ISO 9001, tak i ISO 27001 a za další tři měsíce byla prostřednictvím stage review, zlepšení systému a auditu prvního stupně optimálně připravena na certifikaci. Tento poskytovatel IT služeb neměl až dosud definované žádné obchodní procesy konformní s normami ISO. Angažované vedení projektu ale přineslo zkušenosti z oblasti modelování procesů, navíc byl přizván poradce. „ISO 9001 a ISO 27001 mají identické prvky v organizaci. Přezkoumání, porady grémia, kontrolní a recertifikační audity provádíme integrovaně“, vysvětluje Dr. Gustav JUNG, manažer kvality společnosti EDVG. Kombinovaný certifikační audit společností CIS a Quality Austria pro celou firmu EDVG s 85 zaměstnanci zabral čtyři dny. V případě samostatných certifikací by byly na jeden standard nutné asi tři dny. „Úspora nákladů 30 procent čistě za certifikaci a téměř 20 procent za celou fázi zavádění obou norem díky menší vynaložené práci“, zdůrazňuje spokojeně Jung.

 

  • V souznění: podobná struktura ISO 9001 a ISO 27001  

Jestliže postavíme standardy pro informační bezpečnost a management kvality proti sobě, jsou oba založeny na neustálém zlepšování podle cyklu PDCA (Plan-Do-Check-Act). Kromě toho se shodují ve struktuře, podle tabulky mapování v Příloze C, ISO 27001: Po procesním přístupu a předmětu normy následují v obou normách definice, systémové požadavky, dokumentace a odpovědnost vedení. V obou případech strukturu uzavírají interní audity, přezkoumání vedením organizace a zlepšování systému. Z těchto rozhraní vyplývají cenné synergie. Například ISO 9001 požaduje kontrolu neshodných produktů. To odpovídá požadavku normy ISO 27001 na management incidentů pro odstraňování nedostatků IT.

 

  • Silná dvojka: rozdíly se doplňují

„Rozdíly mezi standardy se jeví jako logické doplňky, které rozhodující měrou přispívají ke zvýšení obchodního úspěchu“, vysvětluje auditor CIS Dr. Peter Soudat. „IS zabezpečuje potenciál podniku, QM ho vytváří.“ ISO 9001 požaduje definování firemních cílů, zaměření na zákazníka a měřitelnost dosažení cílů. Tyto tři body nestojí v normě ISO 27001 v popředí. Zato klade velký důraz na řízení rizik pro zachování kontinuity podnikání a prostřednictvím podnormy ISO 27005 nabízí podrobnou pomůcku pro realizaci tohoto požadavku. Naproti tomu vztahuje ISO 9001 rizika pouze obecně na prostředí.

 

Ve firmě EDVG byl integrační přístup realizován již u projektového týmu, který byl vytvořen ze tří osob z oblastí vedení projektů, managementu kvality a informační bezpečnosti - vedení společnosti je pak odpovědné za celkový systém. „Formulovali jsme zaměření na dva hlavní cíle: na jedné straně definovat, dokumentovat a optimalizovat všechny procesy v souladu s ISO, na druhé straně zakotvit tyto pojmy v hlavách zaměstnanců“, shrnuje projektový vedoucí EDVG Mag. Alfons Ankerl. Již při definování firemních cílů podle ISO 9001 byly zřetelné Výhody integrace: „Bylo pro nás výhodné zaměřit ISMS na jeden firemní cíl - být kompetentním a uznávaným poskytovatelem IT služeb pro naše zákazníky. Informační bezpečnost se tak profilovala jako centrální business enabler“, říká Mag. Rudolf Kanov, manažer informační bezpečnosti firmy EDVG. Kromě toho se komunikování cílů zaměstnancům ukázalo jako opravdový motivační faktor pro běžný provoz firmy. „Tam, kde jsou vize, vzniká síla je dosáhnout“, je přesvědčen Kanov.

  

  • „Pas de Deux“ v případě politik, dokumentace, managementu zdrojů

Management kvality funguje ve firmě EDVG jako zastřešující systém, zatímco informační bezpečnost specifikuje s tím spojené cíle IS. Podobně se postupovalo v případě vypracování politik. Struktura politiky kvality s oblastí působnosti angažovanost a aktivita managementu, odpovědnosti a proces zlepšování sloužil jako základní kostra pro politiku bezpečnosti. Kruh se uzavírá i v dokumentaci: Podle ISO 9001 upravují dokumentační směrnice, kde se mají jaké dokumenty kým odkládat a jak dlouho uchovávat. Prostřednictvím klasifikace podle ISO 27001 mohla firma EDVG tento požadavek prohloubit směrem k informační bezpečnosti. Pro hlavní informační platformy jako pracoviště, email, fax nebo telefon byly vypracovány politiky pro nejvyšší ochranu. „Protože EDVG spravuje miliony osobních dat pro členské organizace, je bezpečnost dat obchodně kritickým faktorem úspěšnosti“, zdůrazňuje Gustav Jung. „Informační bezpečnost podle ISO 27001 zvyšuje „business value“ našich služeb.“

 

Další důležitá synergie vyplynula z rozhovorů se zaměstnanci, které požaduje norma ISO 9001. „Vytvořili jsme z rozhovorů se zaměstnanci mocný nástroj - v tomto osobním rámci navíc komunikujeme povědomí o bezpečnosti, identifikujeme šance na rozvoj a zjišťuje potřebu školení“, informuje Gustav Jung. Výcvik a tvorba povědomí jsou v obou standardech přiřazeny k managementu zdrojů.

 

  • Impulz: s analýzou rizik k novým oblastem obchodní činnosti

Impulzy pro nové obchodní činnosti generovala firma EDVG ze zavedení managementu rizik. Systematika norem pomohla strukturovaně vypracovat silné a slabé stránky organizace. „Riziko není negativní. Je pouze negativní ho neznat“, říká Gustav Jung. Výsledky přinesly solidní základ pro plánování opatření a byly také vizionářsky realizovány. Z rizik se staly šance - tedy: nové obchodní činnosti s kvalitnějšími službami. Od té doby nabízejí proaktivně servisní smlouvy pro vysokou bezpečnost a vysokou disponibilitu.

 

  • Velké finále s ISO 20000

Tým EDVG byl celkově natolik spokojen se souhrou managementu kvality a informační bezpečnosti, že byl následně standardizován i management IT služeb. Rozmach z úspěšné certifikace byl využit pro důsledný další rozvoj podniku v další fázi. Během dalších pouhých sedmi měsíců byla zavedena norma ISO 20000 pro management IT služeb, osvědčeným způsobem integrována a zakončena třetí certifikací v září 2009. Gustav Jung je v současnosti přesvědčen: „Když se podívám zpět, mohli jsme normu ISO 20000 implementovat v jednom kroku společně s ISO 9001/27001. Díky podobné struktuře norem je integrační přístup prakticky předurčen. Synergie, které z toho vyplývají, by měly vlastně využít všechny firmy.“  

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 733 180 494 office.cz@cis-cert.com

GDPR VOP