ISO/IEC e-learning norme pomažu korisnicima u definiranju optimalnih resursa

Serija međunarodnih normi ISO / IEC 24751  za e-learning olakšavaju korisnicima definiranje potreba i preferenci za odgovarajuće edukacione resurse.

ISO / IEC 24751:2008, Informatička tehnologija - Prilagodljivost i individualizirani pristup u e-learningu, obrazovanje i trening, (ISO/IEC 24751:2008, Information technology – Individualized adaptability and accessibility in e-learning, education and training), je norma koja je je objavljena u tri dijela. Ona pruža okvirni referentni model, plus "pristup za sve" kriterije o osobnim potrebama i preferencijama, te opis digitalnih resursa.

ISO / IEC 24751 ima za cilj zadovoljiti potrebe učenika u kontekstu "invalidnosti", što se gleda kao posljedica neusklađenosti između potreba učenika i izvedene edukacije ili iskustva predavača.

Na primjer, slijepa osoba nije onemogućena u obrazovanju ako se sat nastave vrši u audio obliku. Međutim, ako osoba nema dovoljno predznanje za razumjevanje lekcije, ili se lekcija sluša u vrlo bučnom okruženju, praktički je nemoguće uspješno pratiti lekciju. Prema tome, potrebe i preferencije jednog korisnika mogu proisteći iz konteksta korisnika ili okruženja, tehničkih zahtjeva korisnikovog uređaja, dostupnih alata (npr. Braille uređaji,  sustavi prepoznavanje glasa, alternativne tipkovnice, itd.), pozadine korisnika, ili invalidnosti u tradicionalnom smislu.


ISO / IEC 24751, Dio 1, (ISO/IEC 24751-1:2008 Information technology - Individualized adaptability and accessibility in e-learning, education and training - Part 1: Framework and reference model) osigurava zajednički okvir za opisivanje i definira potrebe učenika i preferencije, te odgovarajući opis digitalnih izvora učenja, tako da se pojedinačne preferencije i potrebe učenika mogu uskladiti s odgovarajućim korisničkim sučeljem alata i digitalnim resursima za učenje .

ISO / IEC 24751, Dio 2, (ISO/IEC 24751-2:2008 Information technology - Individualized adaptability and accessibility in e-learning, education and training - Part 2: "Access for all" personal needs and preferences for digital delivery), pruža opći informacijski model i opis kako korisnik može pristupiti online učenju sadržaja i srodnih aplikacija. Ona uključuje načine kako se potrebe i preferencije mogu rangirati s obzirom na prioritet, te korištenje generičkih i specifičnih potreba aplikacija.
 
ISO / IEC 24751, 3. Dio,(ISO/IEC 24751-3:2008 Information technology - Individualized adaptability and accessibility in e-learning, education and training - Part 3: "Access for all" digital resource description), pruža zajednički jezik za opisivanje aspekata računalnog sustava (uključujući i umrežene sustave), te olakšati pristupačnost sadržaja potrebama i preferencijama učenika. Ovaj dio opisuje primjere scenarija i pruža informacije o primjerima implementacije.
 
Za osobe s invaliditetom, koje imaju ograničen izbor pristupnih modaliteta, proces usklađivanja resursa uz zahtjeve korisnika nije stvar praktičnosti ili dorade, već nešto što predstavlja najveći značaj u osiguranju pristupa. Korištenje ISO / IEC 24751 pruža pomoć u usklađivanju  pojedinačnih potreba učenika i računalnog okruženja za učenje s potrebnim korisničko sučeljem i resursima nužnim za ispunjavanje tih potreba.

Integrirani sustavi upravljanja

Svakodnevna potreba uvođenja nekoliko sustava upravljanja, kao npr. kvalitetom, okolišem, zdravljem i sigurnošću ljudi, informacijske sigurnosti, itd., dovodi do nužnosti optimizacije upravljanja i maksimalne unifikacije, a što se ogleda kroz primjenu integracije sustava upravljanja. Uostalom, međunarodna organizacije ISO stalno potiče nužnost integracije, ali objektivno, trenutno nema pravog prihvaćenog standarda kojim bi se dala realna i praktički provediva unificirana integracija sustava upravljanja.

U svakoj organizaciji se pojavljuje više sustava upravljanja koji su oduvijek bili relativno samostalni, a kao takvi će i ostati, jer se odnose na pojedine sektore unutar organizacije. To su npr. računovodstvo, materijalno knjigovodstvo, maloprodaja itd. U svakom tom sektoru postoji menadžer, koji se obično naziva „voditelj“, ili jednostavno „šef“. Njima je glavna funkcija da se osigura obavljanje poslova koji su predviđeni da se rade kod njega. Takve menadžere manje više ne opterećuje što se dešava s ostalim dijelovima organizacije.

No, pojavom novih sustava unutar organizacije koji se protežu na cijelu organizaciju stvar je malo komplicirana. Takvi su sustavi npr. sustav za upravljanje kvalitetom (QMS), sustav za upravljanje okolišem (EMS), sustav za upravljanje zdravljem i sigurnošću (OHSAS), sustav za upravljane informacijskom sigurnošću (ISMS), sustav za upravljanje sigurnošću hrane i pića (HACCP, FSMS) itd. U svakom od ovih sustava upravljanja, da bi odgovorili na svoje ciljeve i zadovoljili svoje poslovne politike učestvuje ako ne 100% svi dijelovi organizacije, a onda gotovo svi. Do sada je to relativno jednostavno. Uspostavi se svaki od ovih sustava upravljanja u skladu sa zahtjevima normi (ISO 9001, 14001, 18001, 27001, 22000, itd) i stvar bi trebala hodati. Neka se ispuni i konačni cilj uspostave bilo koje od ovih sustava, izvrši certifikacija, te na taj način dobije javno priznanje da su sustavi u skladu sa svim zahtjevima normi. Za svaki od ovih sustava upravljanja postoji menadžer, u pravili jedan menadžer, jedan čovjek, naročito ako su organizacije veće.

Mogućnost integracije sustava upravljanja

Pogledajmo sada malo s jedne strane šta je intencija svake od normi vezano za položaj menadžera takvih sustava. Svaki od manadžera bi trebao imati status i položaj pomoćnika direktora za određeno područje. Odjednom stvar se komplicira. Uz postojeću prvu liniju menadžmenta koja prema organizacionoj shemi ima određeni broj članova, najednom se povećava taj krug ljudi. To znači da direktor na jednom mora komunicirati s povećanim brojem ljudi. To je u pravilu neprihvatljivo, ne zato što se to možda nekom direktoru ne sviđa, nego zbog realnih limita i mogućnosti koje su evidentne.

S druge strane, rekli smo da se takvi sustavi odvijaju praktički u cijeloj organizaciji. To sigurno dovodi da se dijelovi pojedinih sustava upravljanja preklapaju i da postaju zajednički. Najednom imamo situaciju da se treba više menadžera baviti istim pitanjima, ali svaki u svom dijelu. Nepotrebno umnožavanje ingerencija, teškoće u razdvajanju nadležnosti, itd.

Očito je da se nešto treba uraditi sa ta dva problema da se uvedu u prihvatljivu varijantu za praksu. Izlaz se našao u nekoliko godina staroj ideji integracije sustava upravljanja. To bi pojednostavljeno značilo uspostaviti takav sustav upravljanja koji bi bio zajednički za sve pojedinačne sustave i imao jednog menadžera. Kao ideja daje sliku pravog rješenja. Na prvi pogled, to je ono šta treba napraviti.

E sada dolazi do komplikacije. Realizacija tako integriranog sustava upravljanja unosi mnogo nepoznanica i dilema. Npr. banalno pitanje: da li za takav integrirani sustav upravljanja treba proglasiti jednog od postojećih menadžera kao glavnog ili treba potpuno novi profil menadžera. Drugo nezaobilazno pitanje, kako jedinstveno upravljati sa svim sustavima? Rješenja za to su pokušavali naći pojedinci na razne načine. Jedan od banaliziranih načina je kada se pojedini zasebno uvedeni sustavi upravljanja „integriraju“ tako da se njihova dokumentacija stavi u jednu uvezanu knjigu, pa se jednom bojom prikazuju dijelovi teksta koji pripadaju QMS-u, drugom bojom koji pripadaju EMS itd. Da ne spominjem ništa drugo, ali recimo daltonisti nisu kompetentni za menadžere u tom slučaju. Pametnijeg (čitaj pravog) načina integracije raznih sustava upravljanja za sada nema kao opće prihvaćene metodologije, a kamoli kao međunarodne norme. Postoji BS norma PAS 99 kojom se pokušava dati odgovor kako urediti okruženje i uvesti integrirani sustav upravljanja. Metodološki to daje odgovor na mnoga pitanja vezana za integraciju. Zbog toga će se u nastavku malo bolje prikazati ideja i mogućnosti integracije bazirane na normi PAS 99.

Prvo pogledajmo što rade sustavi upravljanja. Njihova funkcija je da osiguraju pravilno funkcioniranje niza aktivnosti koje se obavljaju u organizaciji u cilju zadovoljavanja svih zainteresiranih strana. Svaka od pojedinih normi vezanih za sustave upravljanja prema ISO traži da se za upravljanje koristi procesni pristup kao način upravljanja aktivnostima resursima i pravilama kojima se ostvaruje cilj posla. Od revizije norme ISO 9001:2008 čak se uvodi zahtjev detaljnog mapiranja poslovnih procesa i njihovog mjerenja i praćenja. Kako je odvijanje, praćenje, mjerenje događanja vezanih za poslovni proces također novi proces, sve već gore spomenute norme predlažu da se za to koristi metodološki pristup PDCA. Dolazimo konačno do situacije da se upravljanje aktivnostima u organizaciji vrši procesnim pristupom, a kontrola rada tih procesa PDCA pristupom. Ništa novo, ali taj isti princip se koristi i u normi PAS99. Kao ideja je relativno jednostavno. Treba naći procese kojima bi se upravljali pojedini sustavi upravljanja, a njih onda kontrolirati PDCA metodom. Glavni za to bi trebao biti menadžer integriranog sustava upravljanja, koji bi ujedno bio i vlasnik tih procesa.

Pogledajmo sada koji su sustavi upravljanja relevantni za integraciju. Ima ih dvije vrste: jedni su oni koje imaju sve organizacije, a drugi su specijalni, vezani za djelatnost organizacije. Koji su sustavi upravljanja glavni – odnosno nezaobilazni:

1. sustav za upravljanje kvalitetom (QMS – ISO 9001)
2. sustav za upravljanje informacijskom sigurnošću (ISMS – ISO 27001)
   
3. sustav za upravljanje zdravljem i sigurnošću (OHSAS - 18001)
   
4. sustav za upravljanje okolišem (EMS – ISO 14001)
   

sustavi upravljanja OHSAS i EMS dosta zavise u kojem bi se obimu implementirali od veličine i djelatnosti firme, dok se za QMS i ISMS nebi trebalo diskutirati da li treba ili ne – odgovor je uvijek 'da'.

Specijalni sustavi upravljanja zavisni od djelatnosti organizacije mogu biti:

1. HACCP
2. sustav za upravljanja ispravnošću hrane (ISO 22000)
   

Gore navedeni sustavi upravljanja nisu konačan skup, kako danas postojećih (poznatih) sustava upravljanja, tako i onih koji će se pojaviti iz raznih razloga. To znači da metodologija integracije mora biti u potpunosti nezavisna od vrste i broja sustava koji se integriraju.

Integracijom tih sustava upravljanja prema PAS99 potižu se slijedeći efekti:

* poboljšane poslovnog fokusa;
* više  holistički pristup upravljanju poslovnim rizicima;
* manje sukoba između sustava;
* smanjenje dupliciranja i birokracije;
* efikasniji audit, kako interni tako i eksterni.

Analizama normi sustava koji se žele integrirati u jedan sustav, može se uočiti da postoji niz zahtjeva koji su zajednički za sve i niz zahtjeva koji su specifični. Na slici je prikazan osnovni odnos zahtjeva pojedinih standarda i standard PAS 99. Iz slike se može vidjeti kakav je princip primijenjen za integraciju sustava.

Da bi se moglo pristupiti kvalitetnoj integraciji sustava upravljanja trebat će i norme prilagoditi. Odnosno, ISO kao krovna organizacija bi trebala za sve norme po kojima se certificiraju sustavi upravljanja definirati jedinstvene, zajedničke zahtjeve i posebno specifične. Kako to do sada nije formalno napravljeno, krajnji korisnici, konzultanti i menadžeri moraju preko nekih usporednih tablica tražiti zajedničke zahtjeve i onda nešto s time uraditi u smislu integracije.

U svakom slučaju, težište je na zajedničkim zahtjevima, jer specifični i tako vrijede samo unutar pojedinog sustava upravljanja i ne mogu se integrirati.

Nakon što se utvrde zajednički zahtjevi treba izgraditi sustav upravljanja koji mora zadovoljiti te zahtjeve. Tu može u velikoj mjeri pomoći norma PAS 99 koja definira okruženje za integrirani sustav upravljanja.

ZAKLJUČAK

Iz nevedenog se može vidjeti da je integracija raznih sustava upravljanja imperativ optimizacije, povećanja efikasnosti upravljanja s organizacijom. Kao takva, integracija je nezaobilazna budućnost za sve organizacije koje imaju barem dva implementirana sustava. Jednostavno taj pravac razvoja sustava upravljanja je neizbježan. Pri tome, osnovni princip je u identifikaciji zajedničkih zahtjeva, njihovog izdvajanja iz skupa specifičnih, te stvaranje sustava upravljanja nad tim zajedničkim zahtjevima. Relativno jednostavno kao princip, ali zbog još uvjek neoptimalnih struktura ISO normi, taj posao nije baš tako jednostavan, a što je još gore, nije jedinstveno definiran. Stvaranje norme PAS99 je dobar pokušaj unifikacije stvaranja okruženja i metodologije integracije sustava upravljanja. Treba očekivati da će jednog dana i ISO prihvatiti ovu nacionalnu normu, ili stvoriti novu međunarodnu normu za lakši i kvalitetniji rad menadžera i auditora.

Obavezne kontrole za implementaciju ISMS

Više puta sam imao priliku diskutirati s nizom polaznika seminara i radionica, te za vrijeme konzaltinga pri uvođenju ISMS, koje su to kontrole koje bi se moralo implementirati, a koje bi se mogle na neki način izbjeći. Prvo da razjasnim ovo da se "izbjegnu". Nema izbjegavanja kontrola. Dopustiv je jedan slučaj vezan za neprihvaćanje neke potrebne kontrole: Cost Benefit analiza je neprihvatljiva za njenu implementaciju.  Tada se mora promijeniti izbor obrade rizika. Objasnit ću kasnije.

Prije svega da objasnim pojam "kontrola". Malo nespretan prijevod engleske riječi "Control" koja u duhu našeg jezika ima smisao "sigurnosna mjera" ili "mjera sigurnosti", a ne "kontrola". Ako se u ovom tekstu navede riječ "kontrola" (ili nekom drugom koji govori o ISMS) uvjek mislite da je to "sigurnosna mjera". Svaka sigurnosna mjera ima za cilj smanjenje rizika s nekog neprihvatljivod nivoa na prihvatljivi.

Analizom zahtjeva norme ISO 27001:2005 može se pokazati da je za implementaciju ISMS u organizaciju presudna procjena rizika, koja u sebi objedinuje interakciju prijetnji i ranjivosti s posljedicama na aspekte informacijske sigurnosti. Iz procesa upravljanja rizicima za ISMS (ISO/IEC 27005:2008) evidentno je da se nakon procjene rizika i određivanja njegovog nivoa mogu dogoditi četiri slučaja u fazi obrade rizika:

1. prijenos rizika
2. izbjegavanje rizika
   
3. prihvaćanje rizika, i
   
4. smanjivanje rizika.

U koliko se radi o odabiru procjenitelja rizika da će biti provedeno smanjivanje rizika, to se radi primjenom jedne ili više sigurnosnih mjera - kontrola, definiranih u anksu A norme ISO 27001:2005. Prijedlozi najbolje prakse za svaku sigurnosnu mjeru iz aneksa A s opisom šta bi se moglo poduzeti pri uspostavljanju neke sigurnosne mjere nalazi se opisano u ekvivalentnoj točni norme ISO 27002:2005. Iz pregleda netko bi mogao zaključiti da se u krajnjem slučaju može svaka kontrola isklljučiti , odnosno ni jedna primjeniti. Taj stav se čak imože naći u nekim tekstovima koje se bave ovim pitanjima. To je apsolutno površni zaključak i ni usnu ne treba o njemu tako razmišljati. Postoje sigurnosne mjere koje se jednostavno nemogu isključiti, bez obzira na procjenu rizika ili odluku procjenitelja rizika. Razlog za to leži u činjenici da su neke sigurnosne mjere - kontrole propisane kao obavezne prema ISO 27001:2005. To naravno vrijedi samo uz pretpostavku da se želi firma certificirati. U koliko firma ne želi formalni certifikat za ISMS, tada se nemoraju ispuniti ni svi zahtjevi norme. No, za daljnje promatranje pretpostavimo da se žele ispuniti svi zahtjevi u cilju certificiranja.

Neke obavezne kontrole su svakako: politika informacijske sigurnosti, kontrole za popis imovine i klasifikaciju informacija, kontrole vezane za zaposlenike, kontrole vezane za incidente, kontinuitet poslovanja i suskladnost s legislativom. Ne postoji ni teoretska mogućnost isključiti te kontrole. Dolje su navedene eksplicitno kontrole koje bi svaki ISMS morao imati implementirane:

•  Prava intelektualnog vlasništva - Intellectual property rights  - IPR  (15.1.2)
  
• Zaštita organizacijskih zapisa - Protection of organizational records (15.1.3)
  
• Zaštita podataka i privatnosti osobnih informacija - Data protection and privacy of personal information (15.1.4)
  
• Dokument politike informacijske sigurnosti - Information security policy document (5.1.1)
  
• Dodjeljivanje odgovornosti za informacijsku sigurnost - Allocation of information security responsibilities (6.1.3)
  
• Razina svijesti o informacijskoj sigurnosti, obrazovanje i obučavanje - Information security awareness, education, and training (8.2.2)
  
• Izvještavanje o sigurnosnim događajima - Reporting information security events (13.1.1)
  
• Uključivanje informacijske sigurnosti u proces upravljanja kontinuitetom poslovanja - Including information security in the business continuity management process(11.1.1)
  

To naravno nije sve. Ima ih još. No, za početak i prvo razmišljanje koje sve kontrole moraju biti uključene u ISMS ovo je sasvim dovoljno. Zbog toga, interni i vanjski auditori koji ne nađu implementirane ove kontrole mogu mirne savjesti uskratiti pozitivnu ocjenu audita takvog ISMS.