Objavom revizije standarda ISO 9001:2008 govori se (naročito od strane certifikacijskih kuća) da ona ne donosi ništa značajno novo. To se može tako gledati ako se ne obraća pažnja na osnovne intencije u toj reviziji, te težnju certifikacijskih kuća da proces certificiranja svedu na svoj poslovni interes i minimalne napore, ne mareći za stvarne intencije certifikata. Glavni doprinos nove revizije svodi se na težnju povećanja sigurnosti okruženje u kojem treba funkcionirati sistem za upravljanje kvalitetom (SUK, odnosno Quality management systems– QMS, engl.). Tu se standard ISO 9001:2008 poziva na potrebu vođenja brige o rizicima vezanim za okruženje QMS-a. Dalje se u standardu o tome ne govori više eksplicitno, ali taj detalj objektivno upućuje tim za implementaciju QMS-a i/ili tim za održavanje i poboljšavanje certificiranog QMS-a da brine o sigurnosti okruženja, odnosno dovođenja u stanje upravljanja rizicima koje jedino mogu ukazati na potencijalne probleme dugotrajne stabilnosti i eventualnih prijetnji koje mogu dovesti do nestabilnosti QMS-a, odnosno poslovanja organizacije. Nedovoljna briga o rizicima okruženja u kojima funkcionira organizacija a time i QMS može dovesti do prekida kontinuiteta poslovanja i vrlo ozbiljnih posljedica. Jedan od aspekata sigurnosti organizacije kao i QMS-a u njoj je i pitanje informacija, odnosno bolje rečeno informacijskoj sigurnosti. O toj temi se ništa ne govori među konzultantima QMS-a, a još manje među auditorima. Zbog kojeg razloga je tako? Da li je u pitanju nepostojanje znanja o informacijskoj sigurnosti ili čak nepostojanja ni svijesti o tome vezano za QMS, neće se ovdje spekulirati. No, realno se takvo pitanje može i mora postaviti. Da li zbog modernih vremena ili zbog trendova u kojima se općenito sve kreće prema informatičkom društvu također se ovdje ne smatra ključnim pitanjem, pa čak ni bitnim razlogom. Potreba za informacijskom sigurnošću vezana za uspostavljanje i poboljšanje QMS-a je prirodna stvar, čak implicitno, ozbiljni zahtjev standarda ISO 9001:2008.
Odnos ISO 9001:2008 i informacija
Nova revizija standarda ISO 9001:2008 na niz mjesta direktno upućuje da su informacije potrebne za funkcioniranje organizacije, a time i QMS-a. Evo samo nekih primjera iz standarda ISO 9001:2008 koji se pozivaju na informacije te nužnost manipulacije s njima (generiranje, prijenos, obradu, čuvanje, dostavljanje, odnosno isporuku korisnicima):
- 4.1 Opći zahtjevi
- 5.6.2 Ulazni podaci preispitivanja
- 6. Upravljanje resursima
- 6.3 Infrastruktura
- 7.2.2 Preispitivanje zahtjeva koji se odnose na proizvod
- 7.2.3 Komuniciranje s kupcem
- 7.3.2 Ulazni podaci projektiranja i razvoja
- 7.3.3 Izlazni podaci projektiranja i razvoja
- 7.4.2 Informacije za nabavu
- 7.4.3 Verifikacija nabavljenoga proizvoda
- 7.5.1 Nadzor proizvodnje i pružanja usluga
- 8.2.1 Zadovoljstvo kupca
- 8.4 Analiza podataka
Naravno da to nije sve. Postoji još niz mjesta u ISO 9001:2008 koja se referenciraju na informacije.
Kada se na tim gore navedenim mjestima govori o informacijama onda se misli na informacije koje su bitne za funkcioniranje organizacije, ali i na one koje su bitne unutar QMS-a. U tom kontekstu informacije predstavljaju resurs kao i svaki drugi koji se nalazi u nekoj organizaciji. Najčešće se informacije svrstavaju u kategoriju tzv. nematerijalne imovine, za razliku od materijalne kao npr. oprema, strojevi, alati, zgrade, odnosno sitni inventar, osnovna sredstva, itd. Ako su pored materijalne imovine i ljudski resursi organizacije s kojima se treba postupati u skladu sa zakonskom regulativom, ali i prema procedurama i uputstvima iz QMS-a, postavlja se pitanje, kako to da se informacije ne tretiraju na isti način, kao i bilo koja druga imovina, odnosno resurs organizacije? Tko je kriv za to?
Evo banalnog primjera: dokumentacija QMS u organizaciji koja može biti u papirnatom, elektronskom ili kombiniranom obliku mora biti u određenim situacijama kontrolirana, nepromjenljiva, dostupna itd. Čime to garantira menadžer za kvalitetu ili neko drugi ovlašten za upravljanje dokumentacijom? Da li je vjerovanje dovoljno da nitko neće zloupotrebiti dokumentaciju u kojoj može biti i poslovnih tajni? Mnogo pitanja na koja ni nadprosječno sposoban i obrazovan menadžer QMS-a nema odgovor, ali ne samo on, nego na žalost i konzultanti i auditori QMS-a.
Pored toga, i standard ISO 9004:2009 se također vrlo mnogo referencira na tokove informacija u QMS-u i informacijski sistem, te i on eksplicitno pretpostavlja tretiranje informacija kao resurs QMS-a.
Odnos ISO 9001:2008 i intelektualnog vlasništva
U okviru filozofije QMS-a se ne govori o povećanju dobiti organizacije vezano za implementaciju i certifikaciju ISO 9001:2008. Osnovna postavka je u slijedećem: ako uspostavljeni QMS ne doprinosi povećanju viška vrijednosti u organizaciji, zašto ga neka organizacija u opće i implementira? Upravo je to i bit značaja QMS-a: doprinos povećanju viška vrijednosti.
Komponente viška vrijednosti čine materijalni kapital (MK), financijski kapital (FK) i intelektualni kapital (IK). U analizi QMS-a koji je implementiran u organizacijama može se pokazati kako se obrađuju resursi: MK u glavnom zadovoljavajuće, FK u glavnom nezadovoljavajuće, a IK nikako, odnosno IK je praktički isključen. Intelektualni kapital koji između ostalog stvara konkurentsku prednost, definira se kao znanje zaposlenih koje oni pretvaraju u vrijednosti na tržištu. U pojmu „intelektualni kapital“ izraz „intelektualni“ označava da je izvor tog kapitala intelekt, odnosno znanje u različitim oblicima. U praksi, u organizacijama se sreću dva oblika intelektualnog kapitala:
- Eksplicitni:u obliku planova, nacrta, patenata, licenci, bazama podataka, priručnika, poslovnika, korporacijskih standarda, kompjutorskih programa, itd. (Explicit Knowledge, engl.).
- Imlicitni: koji je u glavama zaposlenih (znanje, vizije, sposobnost djelovanja, rješavanja problema, leadership, kultura, iskustvo …), a u literaturi se naziva skriveno znanje (Tacit Knowledge, engl.).
Uska veza između intelektualnog kapitala i zakonske regulative je i neki od oblika Zakona o intelektualnosm vlasništvu kojeg svaka država bezuvjetno ima. Tim zakonom se u principu definiraju odnosi prema tuđem ali i vlastitom intelektualnom kapitalu. Prema ISO 9001 svaka nacionalna zakonska regulativa je osnov i obaveza koju se bezuvjetno mora pridržavati uspostavljeni QMS, što znači i prema zakonskoj regulativi vezanoj za intelektualno vlasništvo.
Pojednostavljeno, iz gore navedenog se može zaključiti da intelektualni kapital predstavlja skup informacija unutar organizacije, a samim time i unutar QMS-a. Na taj način se opet dolazi do pitanja: kako to da informacije nisu formalno tretirane u okviru uspostavljenog QMS-a kao i svaki drugi resurs, ali sa svojim specifičnostima?
Ako je sasvim normalno da se resursi kao što su npr. strojevi za proizvodnju, kompjuteri, pisaće mašine, stolovi, alati itd ne smiju uništavati i otuđivati, ako se nad ljudima kao resursu organizacije ne smije provoditi mobing i sl., što se smije i/ili ne smije raditi s informacijama? Takav odgovor se ne može naći u okviru ISO 9001 (što je u redu jer za to se koristi drugi standard), a niti uspostavljeni QMS-i se toga ne dotiču (što nije u redu jer u organizaciji nisu korišteni drugi standardi).
Pojam informacije i informacijskog sistema
Da bi se moglo detaljnije razraditi način i mogućnosti tretiranja informacije kao resurs u organizaciji, odnosno u QMS-u, treba objasniti neke osnovne pojmove.
Kao prvo, pod pojmom informacije se podrazumjeva svaki podatak koji u nekom kontekstu ima značenje i vrijednost za vlasnika i/ili korisnika. Tako npr. ako se kaže podatak 37 onda on nije informacija jer nije u nikakvom kontekstu. Međutim ako se kaže da je temperatura radnog okruženja 37oC, onda to predstavlja informaciju.
Pod informacijskim sistemom se smatra uređeni skup resursa i pravila koji imaju jednu ili više uloga u procesima generiranja, prijenosa, arhiviranja i obrade informacija.
Glavne značajke upotrebe informacija se opisuju kroz tri aspekta:
- Tajnost (Confidentiality) informacije koja ima smisao u tome da informaciju mogu koristiti i obrađivati samo ovlaštena lica;
- Cjelovitost (Integrity) informacije koji se opisuje svojstvom da se informacija ne može promijeniti bez znanja vlasnika informacije, ali i metode obrade informacija; i
- Raspoloživost (Availability) informacija koja ima značajku da se informacija mora dostaviti korisniku na mjestu i u vremenu kada je to njemu potrebno.
Osiguranje postojanja ova tri aspekta čine temeljnu okosnicu sistema za upravljanje sigurnošću informacija koja je tema standarda ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems — Requirements. Ovaj standard definira informacijsku sigurnost kao stalno osiguranje i poboljšanje tajnosti, cjelovitosti i raspoloživosti informacija u okviru informacijskog sistema. Često puta se ova tri aspekta informacijske sigurnosti označavaju popularno kao C-I-A što je akronim od engleskih naziva ovih aspekata informacijske sigurnosti.
Ako se pogleda ilustracija informacijskog sistema prikazanog na slici 1, a koji je sastavni dio svake organizacije, posjedovala ona formalno implementirani i certificirani QMS ili ne, može se zaključiti da su to isti resursi koji se koriste i u poslovnim procesima za ostvarivanje poslovnih ciljeva organizacije.
U svakom slučaju, niz informacija koje se nalaze unutar informacijskog sistema organizacije predstavljaju dijelom najstrože poslovne tajne, nervni sistem organizacije (npr. ako se onemogući kolanje informacija u organizaciji – koliko dugo će ta organizacija funkcionirati? Ili niste svjesni netočnosti podataka koje koristite a na temelju njih trebate donositi strateške i operativne odluke za poslovanje, ili do vaših poslovnih planova može doći bilo tko, pa čak i konkurencija, koliko takva organizacija ima budućnosti?).
Odgovore na sva ta pitanja prvenstveno daje sistem za upravljanje informacijskom sigurnošću ISMS (Information Security Management System) temeljen na standardu ISO/IEC 27001:2005 kao i ostalima iz te familije standarda.
Značaj i sadržaj ISO/IEC 27001:2005
Standard ISO/IEC 27001:2005 je skup zahtjeva koje se mora ispuniti ako se želi certificirati sistem za upravljanje informacijskom sigurnošću. Standard je u potpunosti harmoniziran sa ISO 9001:2008 tako da je njegova struktura vrlo slična ostalim certifikacijskim standardima. Glavna poglavlja su:
0. Uvod
1. Predmet
2. Normativne reference
3. Nazivi i definicije
4. Sustav upravljanja informacijskom sigurnošću
5. Odgovornost uprave
6. Interne prosudbe (auditi) ISMS-a
7. Provjera ISMS-a od strane uprave
8. Poboljšanje ISMS-a
Aneks A (normativni) Ciljevi kontrola i kontrole
Aneks B (informativni) OECD principi i ova međunarodna norma
Aneks C (informativni) Podudarnosti između ISO 9001:2000, ISO 14001:2004 i ove međunarode norme
Glavni smisao standarda je da se ispune zahtjevi kojima se osigurava ispunjenje tri glavna aspekta informacijske sigurnosti tajnosti, integriteta i raspoloživosti (C-I-A).
Metodološki implementacija ISMS-a se svodi na definiranje opsega informacijskog sistema, definiranje sigurnosne politike, provođenje GAP analize, procjene rizika što sve može ugroziti ili ugrožava nivo željene informacijske sigurnosti, odabir sigurnosnih mjera (kontrola) te implementacija istih.
Pri implementaciji treba voditi brigu o maksimalnoj integraciji s postojećim QMS-om u organizaciji (ako ga ima), jer ISMS ima ulogu da ojača i podigne sigurnost ostvarenja poslovnih ciljeva koji su sastavni dio poslovne politike organizacije, odnosno QMS-a.
Treba naglasiti da standard ISO/IEC 27002:2005 kaže za informaciju: „Informacija je imovina koja kao i ostala važna imovina u poslovanju ima vrijednost za organizaciju i mora biti stalno odgovarajuće štićena“. Kao što se vidi i tu se eksplicitno govori da je informacija vrijedan resurs organizacije i da ga se mora štiti, odnosno uključiti u ravnopravan odnos s ostalim resursima unutar QMS-a.
Zaključak
Iz gore navedenog se može zaključiti da su informacije jedan od najvažnijih resursa u organizaciji, te samim time se moraju odgovarajuće tretirati u okviru QMS-a.
Direktno opterećivanje QMS-a sa osiguranjem sigurnosnih aspekata informacije (C-I-A) je neracionalno i nije preporučljivo. Optimalno je implementirati ISMS prema zahtjevima standarda ISO/IEC 27001:2005 i njega integrirati sa QMS-om. Kako je implementacija ISMS-a složen projekt najbolje ga je provesti nakom certificiranja QMS-a.
U tom slučaju se može govoriti o kvalitetno uspostavljenom QMS-u. U protivnom, QMS koji nije praćen sa ISMS-om ne može se objektivno tretirati kao dobro uspostavljen jer nema dokaza za upravljanje informacijama, odnosno aspekata informacijske sigurnosti C-I-A, kao jednog od najvažnijih resursa svake organizacije.
Za svaki QMS koji je uspostavljen bez implementacije ISMS može se reći da je nesiguran, nestabilan, da daje nepouzdane rezultate, odnosno, da je na „staklenim nogama“.
Na kraju jedno jednostavno pitanje: Zašto se većina korisnika kod implementacije QMS-a i njegovog poboljšanja, te audirori u procesu audita odnose prema informacijama i njihovoj sigurnosti kao prema nečemu potpuno nevažnom, kada su informacije prema ISO 9001 jedan od ključnih resursa?
Nema komentara:
Objavi komentar