Způsobů, jak prokázat, že procesy ve společnosti jsou nastavené a řízené, je více. Jedním z nich, mezinárodně uznávaným, je absolvování certifikace dle mezinárodních standardů vydávaných Mezinárodní organizací pro standardizaci (ISO). Rád Vám pomohu s přípravou na certifikaci i Vaší společnosti. Popíšeme procesy a vytvoříme potřebnou dokumentaci (bez zbytečného balastu). Pak Vám pomohu s výběrem certifikačního orgánu a společně projdeme certifikačním auditem a navazujícími tříletými cykly.
Primárně se zabývám systémy managementu kvality, bezpečnosti informací a IT služeb, ale nejen jimi. Další oblastí, která po nedávných událostech nabírá na významu, a bude se jí tak dostávat více pozornosti, je Business Continuity Management. Díky struktuře, jakou jsou nové normy koncipovány (Annex SL), je mnohem snazší integrovat požadavky více norem do jednotné řídící dokumentace.
Proč zavádět a certifikovat systém řízení? Protože chcete:
– přinášet svým zákazníkům služby a produkty v požadované kvalitě,
– snížit náklady na nekvalitu,
– mít věci pod kontrolou,
– zajistit bezpečnost Vašich informací,
– získat konkurenční výhodu,
– být připraveni na nenadálé situace,
– být lepší – neustále se posouvat dále!
Níže Vám poskytuji stručný popis vybraných systémů managementu a jejich možných přínosů pro Vaši společnost – čeho můžeme společně dosáhnout, rozhodnete-li se, že do toho společně půjdeme.
Spolupráce s odborným konzultantem Vám při zavádění a udržování systémů řízení může velice usnadnit dosažení požadovaných cílů. Zároveň nemusíte samotné implementaci a/nebo údržbě věnovat tolik Vašeho času, který můžete věnovat dalšímu rozvoji Vašeho podnikání.
Kvalita
Systém managementu kvality (QMS) dle požadavků normy EN ISO 9001:2015 bývá považován za základní systém, který společnosti implementují. Bude to nejspíš tím, že všechny ostatní systémy se také, ve svém jádru, zabývají zajištěním kvality. A je jedno, jestli se ona kvalita týká zajištění bezpečnosti informací, bezpečnosti práce, životního prostředí nebo jiné oblasti našeho fungování.
QMS pomáhá společnostem snižovat náklady na realizaci procesů třeba díky snížení zmetkovitosti či zrychlení činností díky jasně definovaným a popsaným odpovědnostem a pravomocem.
Bezpečnost informací
Pozor! Nezřídka se setkávám s názorem, kdy někteří lidé tvrdí: „My nemáme v počítači žádné informace, které potřebujeme chránit, tohle pro nás není.“ Je potřeba si uvědomit, že systém managementu bezpečnosti informací dle normy EN ISO/IEC 27001:2013 (ISMS) není jen o informacích v elektronické podobě, ale o veškerých informacích, které ve společnosti máme. Nejsou to tedy jen informace v elektronické podobě, ale také ty vytištěné na papírech, ty informace, které jsou v hlavách našich zaměstnanců či dokonce zaměstnanců externích partnerů. Tím se nám obzor značně rozšiřuje. A rozšíří se ještě víc, když si uvědomíme, že bezpečnost informací není jen o jejich ochraně (zabezpečení před neoprávněným přístupem), ale také o zajištění jejich dostupnosti a kvality (integrity).
ISMS pomáhá předcházet nejen finančním ztrátám, ale především ztrátám informací způsobených bezpečnostními incidenty, odchody klíčových zaměstnanců, či z jiných důvodů. A pokud ztratíme cenné informace, můžeme si být jistí, že ztratíme také finančně – např. ztrátou konkurenční výhody či know-how.
Kybernetická bezpečnost
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, spolu se svými prováděcími vyhláškami, stanovuje v České republice požadavky na zajištění kybernetické bezpečnosti pro osoby povinné – ty, na které platnost tohoto zákona dopadá. Nedejte se ale zmást, opět se nejedná jen o bezpečnost v kyber světě. Není možné zajistit ochranu elektronických informací např. bez jejich zajištění fyzického či bez proškolených a uvědomělých uživatelů ICT. Stejně tak, jako u ISMS se jedná o komplexní soubor požadavků na aplikaci bezpečnostních opatření a norma ISO/IEC 27001:2013 byla jedním z hlavních zdrojů při sestavování vyhlášky o kybernetické bezpečnosti. I proto zařazuji oblast kybernetické bezpečnosti pod oblast bezpečnosti informací.
TISAX
Systém auditu a výměny informací TISAX (Trusted Information Security Assessment Exchange, česky důvěryhodná výměna hodnocení informační bezpečnosti) je systém výměny informací o úrovni zajištění informační bezpečnosti mezi jednotlivými zaregistrovanými členy.
TISAX vytvořili Německá asociace automobilového průmyslu (VDA) a asociace evropského automobilového průmyslu ENX. TISAX hodnocení vychází z požadavků normy ISO/IEC 27001 doplněných a speciálně upravených pro potřeby automotive.
Osobní údaje
Další podoblastí bezpečnosti informací je zajištění ochrany osobních údajů. Ty jsou jedním z předmětů ochrany v rámci ISMS, nicméně pobírají zvláštní pozornosti. Ochrana osobních údajů je u nás řešena pod zákony již dlouhá léta, a kdo splňoval požadavky zákona č. 101/2000 Sb., o ochraně osobních údajů (již neplatí), neměl pak ani tolik práce, když vyšlo v platnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, známé především pod zkratkou GDPR. V roce 2019 došlo k ukotvení, resp. zpřesnění některých požadavků, GDPR v našem právním řádu zákonem č. 110/2019 Sb., o zpracování osobních údajů. I nadále má agendu spojenou s osobními údaji vrchlově na starosti Úřad na ochranu osobních údajů (ÚOOÚ).
ISO/IEC 27701:2019 – rozšíření pro ISO/IEC 27001 a ISO/IEC 27002 pro bezpečnost osobních údajů. Nový standard, který umožňuje certifikaci systému řízení bezpečnosti informací se zaměřením na osobní údaje.
IT služby
Poskytujete svým zákazníkům IT služby? Pak Vám určitě něco říká ITIL a související procesy. Norma ISO/IEC 20000-1:2018 – systém managementu IT služeb (ITSM) – definuje požadavky na řízení těchto služeb a poskytuje možnost certifikace tohoto systému. Jedná se o soubor best practise a referenčních modelů procesů řízení IT služeb – informačních a komunikačních technologií – od jejich návrhu přes provoz po rozvoj. Obsahují jak pohled zákazníka, tak pohled poskytovatele služeb. Tak jako ostatní ISO normy směřuje ke zlepšování kvality, zvyšování efektivity a snižování nákladů definovaných IT procesů.
Největší význam má norma pro společnosti poskytující nebo dodávající IT služby, ale je aplikovatelná ve všech oborech a odvětvích.
Kontinuita podnikání
Nastavit si takové procesy a takovým způsobem, který Vám umožní rychlý návrat do běžného provozu i po nenadálých situacích znamenajících výpadek provozu? Může se to zdát jako zbytečnost. „Vždyť to přeci vymyslím, až to přijde…“, to je něco, co si říká velké množství manažerů. Ale dokud danou krizovou situaci nezažijí, tak si nedovedou představit, co vše je v tu chvíli čeká. Mohou si danou situaci promyslet, sepsat postup a pak si to i vyzkoušet. A tím už se dostáváme k jádru požadavků normy EN ISO 22301:2019 – systém managementu kontinuity podnikání – chcete-li Business Continuity. Uvidíte, že pokud se pustíme do přípravy procesů zajišťujících snazší a rychlejší reakce na krizové situace, objevíme také spoustu užitečných námětů na zlepšení stávajících procesů. Správné nastavení procesů pro kontinuitu podnikání Vám může pomoci dodržet Vaše smluvní závazky, jejichž penalizace může být finančně mnohem náročnější než samotná analýza a nastavení daných procesů. O ztrátě dobrého jména nemluvě.
A pozor, nejedná se jen o procesy související s IT, jak se mylně někdo může domnívat. Jedná se komplexní sadu procesů realizovaných Vaší společností!
Energetický management
Popis v přípravě.
ČSN EN ISO 50001:2019 – systém managementu hospodaření s energií (EnMS)