Informace a využití výpočetní techniky. v managementu jakosti

Transkript

1 Informace a využití výpočetní techniky v managementu jakosti Výstup z projektu podpory jakosti č. 5/16/2004 Autor: Otakar Král a kol. Národní informační středisko pro podporu jakosti Praha 2004

2 Publikace nebyla podrobena korektuře ze strany Národního informačního střediska pro podporu jakosti. Za kvalitu textů a tisku odpovídá autor. Národní informační středisko pro podporu jakosti, 2004 ISBN

3 OBSAH: PŘEDMLUVA... 5 ÚVOD ZÁKLADY, POJMY, DEFINICE, VÝZNAM IS/IT Informační technologie Informace, řízení, systém, proces, data, znalosti Specifikace základních pojmů, se kterými se setkáme v dalších částech textu Komunikace, data, znalosti, přenos a množství informace Členění informačních technologií Získávání informace Přenos informace Uchovávání a vyhledávání informace Zabezpečení informací Informace v současnosti jako zdroj konkurenční výhody MODEL PRO ZAVEDENÍ A SPRÁVU EFEKTIVNÍHO SYTÉMU BEZPEČNOSTI INFORMACÍ V ORGANIZACI Úvod Základní principy Procesní přístup Soulad s jinými systémy řízení Působnost normy Základní termíny a definice Systém řízení bezpečnosti informací Všeobecně Vybudování a řízení ISMS Požadavky na dokumentaci Odpovědnost vedení Závazek vedení Řízení zdrojů Zhodnocení ISMS vedením organizace Všeobecně Vstupní dokumenty pro zhodnocení ISMS Výstupní dokumenty pro zhodnocení Interní audity ISMS Zlepšení ISMS Soustavné zlepšování

4 2.6.2 Nápravná opatření Preventivní opatření PODNIKOVÉ ŘÍDICÍ A INFORMAČNÍ SYSTÉMY JAKO ZÁKLAD MĚŘENÍ, ANALYZOVÁNÍ A ZLEPŠOVÁNÍ PROCESŮ Úvod Úloha a postavení informací v soudobém podniku Podnikové informační systémy Modely podnikového informačního systému Integrovaný informační systém podniku Závěr MOŽNOSTI A CESTY KE ZVÝŠENÍ ÚČINNOSTI SYSTÉMŮ MANAGEMENTU JAKOSTI V MALÝCH A STŘEDNÍCH PODNICÍCH Úvod Analýza a návrh Závěr INFORMAČNÍ PODPORA SYSTÉMU MANAGEMENTU JAKOSTI V PODNIKU UKÁZKA FUNKČNÍHO MODULU METROLOGIE, INFORMAČNÍ PODPORY QMS PRO MALÉ A STŘEDNÍ PODNIKY VÝROBNÍ A SLUŽEB Základní charakteristika Evidence měřidel Základy obsluhy systému Ochrana kódy a správa systému Obsluha číselníků Evidence měřidel Kalibrace měřidel Prohledávání dokladů Tisk sestav Rozbory a přehledy ZÁVĚR SEZNAM LITERATURY SEZNAM POUŽITÝCH ZKRATEK

5 PŘEDMLUVA Vážený čtenáři, publikace, kterou jste právě otevřel, je součástí projektu Průvodce řízením jakosti. Projekt, realizovaný vydáním prvních šesti publikací, byl schválen a finančně zabezpečen v rámci projektů Národní politiky podpory jakosti na rok Realizátorem projektu je Česká společnost pro jakost a autory jsou její členové, přední odborníci v oboru. Cílem projektu je postupné vydávání publikací věnovaných základním tématům managementu jakosti, ochrany životního prostředí, zdraví a bezpečnosti při práci. Jednotlivé publikace, zaměřené na určitou dílčí oblast, seznamují čtenáře s nejnovějšími poznatky, metodami a nástroji oboru management jakosti a oborů příbuzných, především životní prostředí, bezpečnost a ochrana zdraví. Autoři čerpají z prací špičkových světových odborníků, z vlastních prací a také ze své praxe v tuzemských podnicích a zahraničních společnostech. Cílovou skupinou čtenářů (uživatelů) této edice by měli být jak vedoucí, tak řadoví pracovníci různých profesí podniků výroby, obchodu a služeb, pracovníci veřejné a státní správy, studenti a učitelé především středních škol a odborných učilišť. Publikace mohou sloužit i zájemcům z jiných profesí, kteří mají zájem o získání vstupních informací z managementu jakosti. U čtenářů nepředpokládáme žádné předběžné znalosti oboru, měly by plně dostačovat jejich znalosti středoškolské. Pokud se týká obsahu publikací, byli autoři vedeni zájmem podat čtenáři takové informace, které mu pomohou rychle se orientovat v dané problematice. Tyto poznatky by mu měly především pomoci kvalifikovaněji řešit jeho běžné pracovní úkoly, pokud již v oboru pracuje. Obsah jednotlivých publikací této edice ulehčí čtenářům vstup do hlubšího studia oboru studiem odborné literatury nebo v některých odborných kurzech. Realizátoři projektu budou vděční jak za všechny připomínky k vydaným publikacím, tak i za návrhy témat, kterými by se měly zabývat publikace další. Národní informační středisko pro podporu jakosti 5

6

7 ÚVOD Cílem tohoto materiálu je uvést soudobé základní poznatky a znalosti z oblasti informatiky, ucelit soubornou informaci k uvedené problematice a věcně doložit nezastupitelný význam informací pro manažerskou činnost, funkčnost systémů řízení i jakosti. Zpracovaný materiál nejen vysvětluje základní pojmy a přístupy v oblasti informatiky, ale zachycuje i praxí ověřené postupy, jak v této problematice zabezpečovat způsobilost informačních systémů (IS). Je v současném období reálnou skutečností, že informace jsou tím nejcennějším, co podnik vlastní, tudíž i v prostředí stále se zvyšující konkurence jsou informace, jejich úroveň, cena, disponibilita a ochrana jedním z nejvýznamnějších parametrů konkurenceschopnosti. Z výše uvedených důvodů je tudíž nezbytné ucelení poznatků a jejich rekapitulace pro oblast působnosti manažerů v podnicích výrobních a služeb, rovněž tak i v institucích veřejných a státních služeb. Pokud prohlašujeme, že informace jsou tím nejcennějším, co organizace má, znamená to rovněž, že je potřeba tento majetek důsledně a účinně bránit proti znehodnocení či zcizení. Tak, jak jsou již vypracovány plné funkční a ověřené systémy budování systémů managementu jakosti dle ČSN EN ISO 9001:2001, ČSN EN ISO 14001:2001, systémy BOZP, v současném období jsou publikovány modely pro zavedení a správu efektivního systému bezpečnosti informací v organizaci; podrobněji bude uvedeno v dalších kapitolách. Instituce veřejné a státní správy mají svá specifika oproti organizacím výrobním a služeb, avšak i zde platí v plné výši, že funkčnost a efektivita instituce je přímo úměrná úrovni disponibilních informací v jejím systému řízení. Autorský kolektiv si vytkl za cíl připravit pro manažery z podniků výrobních a služeb, i veřejné a státní správy manuál, který v hlavních 7

8 rysech zrekapituluje a doporučí přístup a podmínky pro vybudování, provozování a zlepšování informačních systémů, zejména ve vztahu k systémům managementu jakosti. Je nezbytné, aby ti, kteří jsou uživateli informačních systémů, měli jasno, co jsou základní podmínky pro funkčnost, co jednotlivé pojmy znamenají a jaké jsou nezbytné souvztažnosti. Pokud budou alespoň v zásadách jasné základní podmínky a požadavky pro způsobilý IS, byť diferencovaný specifiky pro oblasti výroby, služeb i veřejné a státní správy, lze podat doporučení, která budou pro manažerskou veřejnost zřejmá a ve svých důsledcích zdůvodněná a pro aplikaci účinná. Vzhledem ke struktuře a poslání tohoto materiálu, který má plnit i funkci poradce pro aktuální potřeby manažerů, jsou koncipovány jednotlivé kapitoly jako relativně samostatné segmenty, pouze s nezbytně nutnými odvolávkami do jiných kapitol. Pro IS platí, rovněž pro jeho procesy, že jejich majitelé musí býti schopni je identifikovat, definovat, měřit, analyzovat a zlepšovat. k tomu má předkládaný materiál přispět. Považuji za svou povinnost poděkovat spolupracovníkům v autorském týmu, kteří svými poznatky a připomínkami přispěli k vytvoření tohoto materiálu: ve statích 3 a 4 Ing. J. Mertovi, CSc., Ing. J. Polákovi, CSc., a Ing. L. Hanzlíkovi. Stať 6 byla zpracována Ing. J. Králem a Ing. R. Fleglem. Ostatní části práce a celý materiál koncipovali a korigovali Ing. O. Král, Ph.D., CSc., a doc. Ing. V. Dolanský, CSc. Ing. Otakar Král, Ph.D., CSc., 8

9 1 ZÁKLADY, POJMY, DEFINICE, VÝZNAM IS/IT 1.1 Informační technologie V tomto textu je předložen jeden z pohledů na odbornou oblast, která věrně charakterizuje operace s informací (s informacemi) a jejich využívání v současné době. Oblast je souhrnně označována jako Informační technologie. Přestože jde o termín, jehož obsah se ještě ustaluje, akceptovaný výklad termínu je následující: Informační technologie (IT) představuje hardwarové a softwarové prostředky pro sběr, přenos, ukládání, zpracování a distribuci informací. Jednou z nejbližších nadřazených oblastí je informatika. Informatika je multidisciplinární obor, jehož předmětem je tvorba a užití informačních systémů (IS) v organizacích a společenstvích, a to na bázi informačních a komunikačních technologií. Multidisciplinarita v tomto případě znamená, že zkoumání předmětu zahrnuje technické, ekonomické, sociální, psychologické, právní a další aspekty. Přirozeným vývojem oblasti informatiky byla zavedena zkratka IS/IT (Informační systémy a Informační technologie), která soustřeďuje technické a komerční aspekty informatiky. Vývoj oblasti IS/IT není záležitostí akademického prostředí a je naopak stále a intenzívně podmiňován jejím začleněním do prostředí hospodářského, se všemi riziky a důsledky. Informační systémy a informační technologie jsou sice velmi významným faktorem hospodářského prostředí, ale pozitivní efekt nepřinášejí zcela automaticky. Naopak řada informatikou se zabývajících projektů skončila neúspěšně a přinesla jejich investorům nemalé ztráty, pokud nebyla respektována pravidla pro tvorbu a implementaci IS/IT v reálné praxi. Doporučení, jak postupovat pro realizaci funkčního a ekonomicky únosně implementovaného IS/IT, jsou předmětem následujícího textu. 9

10 1.2 Informace, řízení, systém, proces, data, znalosti Vývoj pojetí termínu informace od počátku až k epoše informačních technologií, má více možných uživatelských pojetí. Pojetí, které vychází z normy ISO/IEC 62382, říká, že Informace je poznatek týkající se jakýchkoli objektů, jako jsou fakta, události, věci, procesy nebo myšlenky, včetně pojmů, které mají v určitých souvislostech zvláštní význam. k takovéto definici netřeba komentáře. Dále v názvu kapitoly uvedené pojmy jsou specifikovány v následujícím textu Specifikace základních pojmů, se kterými se setkáme v dalších částech textu Pod pojem řízení je nutno zahrnout činnosti: 1. rozhodování, 2. plánování, 3. organizování, 4. motivování, 5. kontrolu. Systémem, resp. subsystémem rozumíme objekt, který má chování: a) cílové, b) plánované, c) organizované, d) reprodukovatelné, e) regulovatelné. Procesem, resp. Subprocesem, je chápána přeměna vstupů na výstupy, což představuje následnost předem plánovaných činností se stanoveným cílem. Nelze provádět kvalifikovaně akty řízení, pokud nejsou disponibilní informace, potřebné pro jejich úspěšné uskutečňování. 10

11 Informace pro manažerské řízení musí být: a) objektivní, b) úplné, c) včasné, d) doručené stanovenému adresátovi, e) trvale aktualizované, f) určeným uživatelům dostupné, g) ekonomicky únosně získávané. Se znalostí a akceptováním uvedených přístupů a pojmů se jeví nová ČSN EN ISO 9001:2001 a jí stanovené parametry systému managementu jakosti podniku jako propracovaný nástroj pro zabezpečování a zvyšování konkurenceschopnosti. Další možný a úspěšně ověřený model pro systém řízení a posuzování podniku je Evropský model pro malé a střední podniky EFQM. Tento model pro vyspělé (excelentní) podniky předpokládá integraci systému managementu jakosti již v jeho integrované podobě. Jakými nástroji a přístupy bude dosahováno konkurenceschopnosti, je předmětem rozsáhlých systémů řízení podniků; jsou to např. MIS, Controllingové řízení, Marketingové řízení, BSC a další, lze však s naprostou bezpečností prohlásit, že bez funkčních informačních systémů je kvalifikované řízení vyloučeno Komunikace, data, znalosti, přenos a množství informace Je zřejmé, že informace nemůže být přenášena sama o sobě, musí mít nějaký nosič. Zpravidla je přenášena opět změnou struktury tohoto nosiče, která je určitým způsobem definována. Každá změna struktury má význam určité dílčí informace. Jak zdroj, tak příjemce informace musí znát význam všech možných přenášených informací. Pokud máme zdroj a příjemce, mluvíme o předávání informací. 11

12 Informace jsou za účelem přenosu zaznamenány do struktury přenášejícího média (zapsány do knihy, modulovány na časový průběh toku elektronů v elektrickém vodiči apod.). Při předávání informace mluvíme o komunikaci a cestu, kterou je informace přenášena, označujeme jako komunikační kanál. Při zápisu znaků do struktury média mluvíme někdy o kódování (resp. o dekódování při získávání zprávy po přenosu). Data Data (i znalosti, viz níže) můžeme chápat jako fragmenty znakových modelů. Data vyžadují popis. Pokud je v buňce pamětí například hodnota 25,60, nevíme, zda je to cena za litr benzinu, venkovní teplota, průměr tyče, nebo cosi jiného. Jiným příkladem jsou data jako informace o určitém technologickém procesu (uchovávaná např. v databázi). Tato data jsou představována výpisy hodnot vybraných proměnných charakterizujících např. řízený technologický proces po určitých časových intervalech. k jednotlivým hodnotám v řádcích tabulek se tentokrát váže mnohdy velmi složitá technologie, vyjádřená v detailech mnoha modely, vztahy a experimenty, a k porozumění obsahu databáze je třeba speciální předchozí průpravy. Znalosti V pokračování předchozího příkladu uvažujme o situaci operátora složitého technologického procesu, který byl přivolán na pracoviště jako náhrada za zdravotně indisponovaného kolegu. Uvažujme o případu, kdy přivolaný operátor není příliš zkušený a nedokáže se ihned orientovat v aktuálním průběhu procesu. První reakcí tohoto operátora je vyloučení obavy, že proces byl naveden do nějakého nebezpečného režimu, ze kterého hrozí hmotné i lidské škody. Informace v bázích reprezentované jako znalosti mohou popisovat nejen podmínky korektního nebo chybného průběhu procesu, ale mohou zachycovat i nedostatky v kvalifikaci a postupu činností operátora. 12

13 Data ve výpočetní technice Pokud v současné době mluvíme o informatice, nemůžeme pominout využití výpočetní techniky. Počítače ovšem nezpracovávají informace, ale data (nebo znalosti). Popis dat je dán strukturami a je umístěn např. v záhlaví tabulek (mluvíme potom o hlavičce). Popis znalostí je svázán s popisem dat, která obsahují, a se strukturou použité reprezentace znalostí. Vzhledem k převažujícímu použití anglického jazyka při využití výpočetní techniky budou v této části textu uvedeny u nejčetnějších významů i anglické ekvivalenty. Data musí být opatřena hlavičkou i při přenosu. V tomto případě má popis dat spíše podobu závorek, kdy data jsou uvozena hlavičkou, která obsahuje minimálně údaje o příjemci (z důvodu směrování) a jsou nějak zakončena. Často proto mluvíme o balíčku (packet) a o rámech (frame). V zásadě platí, že pokud se ztratí informace o významu dat (hlavička), jsou tím data zcela znehodnocena (například výše uvedené číslo, které by bez záhlaví ztratilo smysl). Každý sebelepší počítač je schopen rozpoznat pouze dva stavy stav, při kterém je hodnota napětí vyšší než jistá daná úroveň (tento stav nazýváme zapnuto, true nebo logická 1), a stav, při kterém je hodnota napětí nižší než daná úroveň (tento stav nazýváme vypnuto, false nebo logická 0). Pouze těmito dvěma stavy jsou uvnitř počítače popisovány veškeré skutečnosti. Protože používáme čísla 0 a 1, říkáme, že počítač pracuje v tzv. binární soustavě. Např. každé kladné reálné číslo (na straně abecedy zpráv) se převede do posloupnosti znaků 0 a 1 (na straně kódové abecedy), která roste jednorozměrně na obě strany od desetinné čárky. Velikost přenášeného reálného čísla lze odhadnout z počtu binárních míst obsazených jedničkou, a o jaké číslo jde, je jednoznačně dekódovatelné ze struktury posloupnosti. Do binárních řetězů lze však vhodně kódovat i jiné než číselné struktury (např. textové zprávy, tvarové konfigurace na obrazovkách, stavy diagnostických systémů apod.). Nejprve ale bude nutné vysvětlit následující: My lidé pracujeme v desítkové soustavě, to znamená, že základem naší soustavy je číslo 10 a k vytvoření libovolného čísla používáme deset číslic (od 0 do 9). Když všechna čísla vyčerpáme, přecházíme do vyššího řádu, což se projeví především více ciframi v čísle (např. po posledním 13

14 jednociferném čísle 9 následuje číslo 10, které je dvojciferné). Naprosto stejné je to v každé jiné číselné soustavě, pouze se změní základ soustavy. V binární, neboli dvojkové, soustavě je tento základ roven číslu 2 a k dispozici pro tvorbu čísel máme pouze čísla 0 a 1. Opět platí, že pokud je vyčerpáme, přecházíme do vyššího řádu (číselná řada začíná 0, 1, 10, 11, 100, 101,...). Musíme si však uvědomit, že číslo 10 neznamená deset a číslo 100 neznamená sto. Použijeme-li převodní metody (které zde nebudu popisovat), zjistíme, že číslo 10 ve dvojkové soustavě odpovídá číslu 2 v soustavě desítkové a číslo 100 ve dvojkové soustavě odpovídá číslu 4. Dvojková soustava je díky počítačům nejdůležitější soustavou po naší desítkové. Ale binární povaha počítače se projevuje zcela všude, tedy i ve způsobu ukládání souborů. Pokud si například otevřeme nějaký soubor v programu DiskEditor či podobném, uvidíme podivný zápis souboru pomocí nějakých nám nesrozumitelných znaků. Vedle bude tabulka, kde uvidíme další podivná čísla, ale také písmena. To je právě zápis binárního kódu. Pokud máte možnost DiskEditor používat, teď se jistě zarazíte. Před chvílí bylo řečeno, že binární soustava používá pouze nulu a jedničku, ale teď se mluví o mnoha číslech a dokonce písmenech. Čísla v binární soustavě jsou pro zobrazování i pamatování velmi dlouhá, například číslo 255 v desítkové soustavě, tedy nejvyšší číslo, které lze uložit do jednoho bytu, má v binární soustavě tvar , což je poměrně nepraktické. Proto se veškerá binární čísla uvádějí v tzv. šestnáctkové (neboli hexadecimální) soustavě, tedy soustavě o základu 16. Má tedy 16 znaků pro vyjádření čísel. My však známe pouze 10. Ano, pro čísla 10 až 15 se používají znaky A, B, C, D, E a F). Převod z dvojkové soustavy do šestnáctkové je velmi jednoduchý. Každé čtyři číslice v binárním zápisu můžeme zobrazit jako jeden znak v zápisu hexadecimálním. Takže již zmíněné číslo 255 se v hexadecimální soustavě zapíše jako FF. To je mnohem kratší a také přehlednější. Musíme si však uvědomit, že tento převod je prováděn softwarově, programem, a že hardware, tedy počítač, žádnou desítkovou ani šestnáctkovou soustavu nezná. Zpočátku bylo přizpůsobeno zpracování dat na děrných štítcích. Až 14

15 daleko později vznikla dnes stále používaná abeceda ASCII se 128 znaky kódové abecedy (7 bitů). Paměť se ovšem snáze vyrábí se šířkou slova, která je mocninou 2. Nejblíže vyšší je v každém případě 2 3 = 8. Tato jednotka je v českém jazyce označována jako slabika a její původní označení je byte (čteno: bajt), její zkratkou je B. Přestože dnes některá kódování ukládají znak do šestnácti bitů, zůstala velikost této jednotky stejná. Pro množství ukládaných dat používáme tuto jednotku (B, byte) a její násobky. Pro potřeby přenosu dat pak stále mluvíme o bitech za sekundu, [b.s -1 ]. Také se používají obvyklé metrické násobky. V současném období pro spojení užíváme jednotku Mb.s -1, Gbs -1 (Mega, Giga bitech za sekundu). Při ukládání dat se používá jednotka byte (B). Metrické násobky lze uplatnit u pevných disků, ale nikoli u přímo adresovatelné operační paměti, jejíž velikost je z konstrukčních důvodů mocninou čísla 2. Paralelně se proto začaly používat i jednotky 1 KB = 2 10 B = 1024 B a 1 MB = 1024 KB. Zde již docházelo k záměně metrického a binárního (2 20 = ) významu zkratky Mega. Mezinárodní norma IEC proto zavádí nové označení, u zkratek v podstatě vzniklé doplněním písmene i. Platí, že 1 GiB = 1024 MiB = KiB = B. 1.3 Členění informačních technologií Přístup k informačním technologiím lze realizovat z více pohledů. v tomto textu omezeného rozsahu budeme sledovat nejprve výklad podle procedur s informací (získávání, přenos...) a v závěru velmi stručně pohovoříme o některých typických aplikacích informačních technologií vycházejících z uživatelských a komerčních hledisek Získávání informace Z okolního prostředí získáváme informaci v zásadě pomocí čidel (senzorů). Každý senzor vlastně transformuje popis stavu nějakého svého okolí do změny (velikostí, struktury) média, které se předává dále. Médiem je zde cokoli, co může přenášet informaci (často také mluvíme o signálu). Pokud je různá velikost snímané veličiny přenášena plynulou změnou při přenosu, která může (byť v omezeném 15

16 rozsahu) nabývat předem neznámého množství hodnot, mluvíme o analogovém signálu. Pokud snímání informací probíhá pouze (zpravidla) v pravidelných časových okamžicích (intervalech) a pokud veličina, do které je informace kódována, nabývá navíc konečného (předem známého) počtu hodnot, mluvíme o diskrétním (digitálním) signálu Přenos informace Pokud je informace získávána ze vzdálenějšího místa, nebo je reálné nebezpečí jejího poškození, musíme vyřešit její přenos. V průběhu cesty je informace často poškozována šumem. Šum může být deterministický, který můžeme popsat nebo změřit a teoreticky i od informace oddělit. Podstatně obtížnějším soupeřem je ale šum nedeterministický, kde je významným termínem bílý šum (jeho frekvenční spektrum obsahuje rovnoměrně všechny frekvence). Bývá snaha informaci před začátkem přenosu ošetřit tak, aby zkreslení bylo minimální. Děje se tak několika postupy. Nejjednodušším způsobem je využít zesílení. Lepším řešením je však použití vhodné modulace. (Kvalitu rozhlasového vysílání se proto podařilo zvýšit zaváděním frekvenční modulace.) Rozhodujícím krokem však byl nástup digitalizace. Číslicový signál lze vhodným způsobem upravit tak, aby ztráty informace při přenosu byly minimální (většinu šumu lze při příjmu informace odfiltrovat, a tak získáme téměř původní informaci). V technice samozřejmě stoprocentní jistota neexistuje, ale výpočetní technika přinesla řešení i pro případy, kdy informace projde kanálem poškozená. Prvním opatřením byly redundantní kódy, které přenášely více informace, než bylo pro přenos třeba. Pokud se část informace cestou ztratila, bylo možno buď alespoň poznat, že informace byla poškozena, nebo dokonce chybějící část zpět dopočítat. k tomu se při přenosu dlouho používaly samoopravné kódy. Jejich konstrukce je ale složitá a v současné době je nahrazuje pro počítač snáze realizovatelná redundantní informace, např. kontrolní součet. V původním významu kontrolní součet sloužil jen pro detekci chyb 16

17 při přenosu. Pokud si ovšem představíme kanál s minimálním rušením a přenášené byty jako čísla v tabulce (ve skutečnosti výpočty probíhají po bytech, nikoli po bitech), můžeme si snadno představit, že kontrolní součet provedeme jednak vodorovně pro každý řádek, jednak svisle pro každý sloupec. Pro zjednodušení algoritmu se doplní ještě kontrolní součty těchto kontrolních součtů. Pokud pak při příjmu nalezneme neshodu jednak v jednom ze sloupců, jednak v jednom z řádků, víme nejen, který konkrétní byte je změněn, ale při vhodné volbě vytváření součtů jej dokážeme také dopočítat zpět. Tato metoda se označuje jako křížový součet. Je používána zvláště u záznamových médií, například CD a disket, kde není možné provádět níže popsaný postup. U zvláště citlivých aplikací (velké databáze, produkční servery) jsou data stejně ještě dodatečně zabezpečena, zejména pravidelným zálohováním. Databázi lze definovat jako souhrn navzájem vázaných dat, uložených bez zbytečného opakování, aby mohla sloužit více databázovým aplikacím. U významných aplikací se ovšem kromě zálohování na pásku využívá ještě možnosti ukládat data na dva či více harddisků současně pokud dojde k poruše, jeden zůstává funkční a po výměně vadného disku, server sám zálohování obnoví. Křížové součty příliš zatěžují přenosovou cestu, proto se při on-line komunikaci používá jen jednoduchý kontrolní součet. Zpráva se rozdělí do krátkých úseků (paketů) a každý se označí kontrolním součtem. Pokud není paket přenesen správně, požádá o jeho zaslání přijímající strana znovu. Protože v řadě případů je třeba ošetřit i případ, že paket nebyl zaslán vůbec, není dodatečná zátěž z tohoto řešení velká. Komunikační protokoly V předchozím textu bylo řečeno, že pokud má být někomu předána informace, musí na to být určitým způsobem připraven. Praktická realizace při komunikaci dvou počítačů vypadá tak, že poskytovatel informace čeká, až bude o informaci požádán, a pak ji předá. Systémy, které takto pracují, lze shrnout pod označení technologie klient server. V tomto případě je to klient, který je jediný autonomní a může rozhodnout o tom, co bude provádět. Naproti tomu server je 17

18 pasivní a čeká na požadavky od klienta. Pokud požadavek přijde, může jej bud' vyplnit (předat patřičnou informaci nebo ji naopak převzít a zařadit), nebo odmítnout. Aby byl jasný postup, jakým vytvořit program na straně serveru, nebo klienta, jsou předem dohodnuty komunikační protokoly. Protokol jednak (obdobně jako v původním významu) určuje postup komunikace, jednak také obsah jednotlivých předávaných paketů. Počítačové sítě Počítačové sítě jsou strukturou více počítačů propojených vhodným hardwarem. (Komunikační protokoly jsou složitější a každý paket musí obsahovat adresu příjemce i odesílatele.) Prostředky sítě pak vhodným způsobem zajišťují směrování paketů. Místně provedená vysokorychlostní síť se označuje zkratkou LAN (Local Area Network). Často je postavena na základě jediné technologie (tzv. homogenní síť, například síť ethernet), a v tom případě nevyžaduje nutně směrování. Velmi malé sítě (počtem počítačů i rozsahem) nepotřebují žádný směrovací systém, každý paket může v zásadě procházet celou sítí. Větší homogenní sítě je třeba kvůli technologickým omezením rozdělit. k tomu slouží tzv. bridge. Pokud počítače na síti nemohou z přicházejících paketů poznat, že je síť rozdělena, jedná se o transparentní bridge nemá český překlad. Zde je třeba připomenout, že připojení nedostatečně zabezpečených počítačů do sítě internetu může být nebezpečné, protože hrozí jejich napadení z vnější sítě. Problém je, že ne každý uživatel si dokáže dostatečně a správně zabezpečit svůj počítač např. nastavením hesel pro využití sdílených prostředků (disky, tiskár-ny...), antivirovým programem apod. Proto vznikla myšlenka oddělit sít' od vnějšího prostředí. Toto oddělení je dnes nejčastěji prováděno počítačem s operačním systémem Linux nebo Unix, celý systém se označuje jako firewall (z anglického protipožární přepážka ). Princip je takový, že firewall propouští jakékoli pakety ven, ale dovnitř se smějí vracet jen některé specifikované pakety. Zpravidla je možné z vnitřní části sítě používat běžné služby internetu jako web, telnet nebo zasílání a předávání pošty, ale pokud si některý uživatel za tímto oddělením zinstaluje například webový server, nebude 18

19 z vnějšku dostupný. Tato činnost není ovšem zdaleka neobvyklá mnoho podniků dnes provozuje tzv. intranet, což je internetová síť dostupná nějakým způsobem jen vlastním zaměstnancům. Druhou možností je použití zabezpečeného připojení (https) a přihlašování k takovému webovému serveru pomocí hesla. Zde je třeba upozornit, že http protokol, používaný pro webové servery, umožňuje od samého počátku obousměrnou a navazovanou komunikaci, i když je stále zřídka používána. Je tedy možné nejen si ze serveru soubory stahovat, ale rovněž je na něj ukládat. Výše uvedené způsoby ochrany dat (informací) jsou ukázkou, jak lze naplňovat požadavky pro efektivní systém bezpečnosti informací v organizaci, viz dále text Uchovávání a vyhledávání informace Informace získáváme, aktualizujeme a uchováváme pro následná využívání. Ukládání informací je zásadně možné na magnetická média, např. vnější paměti počítače (páska, disk, CD,...), či do vnitřní operační paměti výpočetního systému. Již první jednoduché databáze umožnily zjednodušit vyhledávání. Dalším vývojovým stadiem byl vznik relačních databází, umožňujících sledovat vztahy mezi jednotlivými tabulkami databáze. Příkladem je tabulka s údaji o zákaznících, tabulka s údaji o skladu, tabulka faktur. Přesto pro efektivitu využití dat je mnohem významnější přínos prvních lokálních sítí, umožňujících sdílet pracně získaná data z více počítačů najednou. Další etapou pak bylo zavedení systému klient-server, kdy veškerá data jsou na centrálním počítači a pomocí další tabulky, databáze uživatelů, je určeno, kdo má přístup do jaké části databáze (a přístup jakého typu jestli může data jen číst, nebo také měnit). Jako klientský program lze použít některý z běžných databázových programů, nebo je možné vytvořit na serveru speciální klienty pro přístup pomocí programu telnet. Jednotlivé aplikace pak mohou být vytvářeny na serveru například s využitím jazyka php. V současné době je řada nejčastěji používaných úloh zpracována 19

20 a je volně k dispozici na Internetu, takže obvyklý postup je stáhnout si připravený program a na označeném místě (zpravidla na začátku) zapsat požadované údaje (například adresu správce serveru, jména souborů a podobně). Po vyzkoušení lze stránku dát k dispozici uživatelům. Požadovaná znalost programování je v tomto případě minimální Zabezpečení informací Zabezpečení šifrováním se provádí nejen z důvodu utajení, ale především jako ochrana proti pozměňování zpráv (napadení systému, například hackerem). Šifrování se provádí na různých úrovních, může být například již na úrovni transportní vrstvy (protokol SPX sítí Novell). V náročnějších aplikacích je proto třeba používat speciálně navržené klientské a serverové aplikace. Nezanedbatelným problémem je ochrana proti vlastním zaměstnancům. Pokud má do databáze právo zapisovat více osob, nejčastějším řešením je, že kromě pravidelného zálohování (pro účely auditu jsou v tomto případě zálohy pravidelně realizovány jako trvalé, například přepsané na CD-ROM) se také průběžně u každé změny zaznamenává, kdo ji provedl (tato činnost databáze se označuje auditing). Pro případ odhalení cizího hesla je možné pracovníkovi pravidelně odesílat pro kontrolu seznam zásahů, které nad databází vykonal. Opravy nežádoucích zásahů jsou samozřejmě možné; pokud například zaměstnanec banky omylem přesune částku na něčí účet, může operaci napravit a zákazník by na svém výpise neměl nic vidět. Oba zásahy však musí být stále viditelné pro tohoto zaměstnance a pro všechny, kteří mají právo jeho práci kontrolovat. Tato databáze zásahů musí být organizována tak, že nesmí poskytovat prostředky ke zpětným změnám. Obdobně se řeší zabezpečení veřejných databází, kde přibývá další problém. Jakékoli propojení na internet může být vnímáno jako nebezpečné. V tomto případě lze například vést dvě databáze, výkonnou a prezenční, do které se výkonná pravidelně přenáší (například v noci obnovením ze zálohy). Dochází tím ke zpoždění, ale napadení z vnějšku se tím prakticky vylučuje. 20

21 Význam ochrany informací pro každou organizaci, jak dokládá i předchozí text, spočívá v ceně a významu informací pro konkurenceschopnost. Proto následující text vychází z této kapitoly, rekapituluje zásadní pojmy a přístupy a především dává návod, jak v organizaci vybudovat funkční systém bezpečnosti informací. 1.4 Informace v současnosti jako zdroj konkurenční výhody Dnes již není pochyb o tom, zda informace pro rozhodování a konání v procesu řízení jsou či nejsou prvořadé. Kde však jsou značné neshody a nejasnosti v managementu podniků výrobních, služeb i institucí veřejné a státní správy, je jaký rozsah, obsah, formu, způsob získávání, zpracování, ukládání, skartování a především zabezpečení informací uskutečňovat. Zabezpečování, ochranu informací je nutno chápat ve dvou základních rovinách: 1) Ochrana před poškozením, ztrátou v důsledku selhání techniky či lidského činitele, které nemělo ve svém konání úmysl data zcizit, poškodit či jinak znehodnotit (úmyslně změnit ). 2) Ochrana před zcizením zevnitř či zvenčí, jednání s cílem úmyslně poškodit informační techniku a používaný software, znehodnotit či zaměnit informace uložené, zpracované či nově přicházející. Cílem napadání je uskutečňovat krádeže, popřípadě virové útoky na SW, s cílem informační systém a jeho vlastníka poškodit a především s konečným efektem jeho informace zcizit a využít ve vlastní prospěch. Odpověď na otázku, proč jsou informace tak významným objektem zájmu, spočívá ve skutečnosti, že bez informací nelze činit úspěšné akty řízení (rozhodování, plánování, organizování, motivování a kontrolu). 21

22 Jaké závěry lze z předchozí stati učinit? 1) Informace jsou nezbytnou základnou pro rozhodování. 2) Informace musí býti kompetentní, tj. objektivní, úplné, včasně dodané adresátovi, trvale aktualizované, uživateli přístupné a ekonomicky únosně získávané. 3) Při sběru dat je navíc potřeba se vyhnout získávání redundantních (nadbytečných) informací nepotřebných v konkrétním místě a čase pro konkrétní účel, protože se tím snižuje přehlednost informačního systému. 4) Závěr pro majitele informací: Informace musí být důsledně a pečlivě ve všech etapách nakládání s nimi chráněny. Účinně, avšak ekonomicky únosně. Proto je nezbytné vybudovat, realizovat a stále zlepšovat vlastní efektivní systém řízení bezpečnosti informací (Information Security Management System, tj. ISMS) v organizaci, což podmiňuje získání konkurenční výhody. 5) Pro záměr o zcizení či poškození informací v objektu svého zájmu vyplývá následující závěr: Podaří-li se informace konkurence získat či narušit, lze získat významnou konkurenční výhodu a protivníka vážně poškodit. Zcizená data navíc jsou velmi žádaným a cenným zbožím, které lze vícenásobně zhodnotit (prodat, využít pro vlastní potřebu ). Vynaložené náklady na zcizení či poškození budou jen zlomkem nákladů, které napadený musel vynaložit na vybudování své datové, informační základny. Případná odhalení v počítačové kriminalitě jsou obtížně doložitelná a případné postihy zatím nejsou výrazné. 6) To jsou důvody, proč je nebezpečí zcizení či poškozování informací celosvětovým fenoménem, který je velmi významným a bohužel stále rostoucím byznysem. 22

23 Ujasněme si, co je elementárně předmětem zájmu počítačové kriminality, jejímž realizačním výstupem je zcizení či poškození informací napadeného: Citlivá data o silných stránkách organizace, tj. teritoria prodejů a nákupů, jejich ziskovost, specifické smlouvy s dodavateli a odběrateli (dealery), kvalifikační a příjmové úrovně top managementu, perspektivní strategické záměry (z finančních analýz, Balanced Scorecard ), informace o aktuálních jednáních a závěrech dozorčích rad a vedení podniků, zprávách analytiků Dále údaje o majetkových poměrech, cash flow Citlivá data slabých stránek, tj. popřípadě neuhrazené závazky, půjčky, ztráty, konkurenční neúspěchy. Ztráty v konkrétních teritoriích a jejich důvody, specifikace nekvalitních výrob, služeb a reklamace, příčiny, nositelé a důsledky selhávání v systému managementu jakosti podniku Citlivá data ze sféry výzkumu, konstrukce a technologie v oblasti produktů a rozvoji informačních a komunikačních technologií. Dle klasika řízení P. Druckera dochází v poslední době k situaci, kdy technologie (veškeré!) již nejsou spjaty pouze s jednou aplikační oblastí, ale naopak roste potenciál jejich využití ve velmi netradičních výrobcích a službách. Z hlediska zájemců o zcizení informací je výše uvedená skutečnost skvělou zprávou a podnětem pro vícenásobné zhodnocení informací, které získají. Citlivá data z oblasti působnosti, jejichž základ tvoří především normy ČSN EN ISO 9001:2001 a 14001, mohou být rovněž zneužita konkurencí nejen pro přímé poškozování napadeného, ale mohou znamenat i významné úspory pro vlastní zabezpečování norem, specifických předpisů a požadavků zákazníků, pracovníků i obyvatel v okolí podniku. Citlivá data z oblasti bezpečnosti a ochrany při práci, mj. v souladu s aktuálními požadavky BOZP, jsou údaji snadno zneužitelnými. 23

24 Rovněž data z oblasti efektivního systému řízení a bezpečnosti informací (ISMS), např. dle BS :2002 paradoxně mohou být velmi žádaným a ceněným zbožím pro konkurenční podniky. Základem pro funkční ochranu vlastních informací je vždy systém, v rámci kterého jsou prováděny veškeré operace ve spojení se získáváním, kontrolou, zpracováním, užitím, aktualizací, ukládáním a skartací dat. V současnosti jedním z nejpropracovanějších a funkčních systémů bezpečnosti informací v organizaci je výše uvedená BS :2002, která je základem pro nové ČSN EN ISO řady S překladem, s nepodstatnými korekturami v úvodní a definiční části, se seznámíme v dalším textu této publikace, kde jsou systematicky uvedeny nezbytné kroky, za jakých lze zabezpečovat model IS- MS. Je nezbytné si uvědomit, že se jedná o systém s procesní strukturou. V dalším textu je pro procesní přístup uvedeno podrobné vysvětlení. V této souvislosti je vhodné připomenout, neboť hovoříme o modelu pro zavedení a správu efektivního systému řízení bezpečnosti informací ISMS, terminologii a význam uváděných pojmů. V teorii systémů se rozumí systémem uspořádaná množina prvků spolu s jejich vlastnostmi a vztahy mezi nimi, jež vykazují jako celek určité vlastnosti, respektive chování. Informační systém lze mj. definovat jako soubor lidí, technických prostředků a metod (programů), zabezpečujících sběr, přenos, zprostředkování a uchování dat za účelem prezentace informací pro potřeby uživatelů činných v systémech řízení. Data lze definovat jako údaje, které jsou vhodným způsobem zachycené (vyjádřené) zprávy, které vypovídají o světě a jsou srozumitelné pro příjemce, kterým může být člověk nebo technický prostředek. 24

25 Informatiku je nutno chápat jako vědní obor, který zkoumá procesy vzniku, zpracování, komunikace dat a informací, vč. operací spojených s organizací a řízením. Informační technologií označujeme veškerou techniku, která se zabývá zpracováním informací, tj. zejména organizační, výpočetní a telekomunikační, ale i její příslušné programové vybavení a organizační upořádání. 25

26 2 MODEL PRO ZAVEDENÍ A SPRÁVU EFEKTIVNÍHO SYTÉMU BEZPEČNOSTI INFORMACÍ V ORGANIZACI 2.1 Úvod Další text je výtahem z překladu a interpretace britské normy BS :2002 Information Security Management Systems Specification with guidance for use 1 (dále uváděné jenom jako norma) pro využití v podmínkách České republiky. Norma podává návod, jak vybudovat, provozovat a zlepšovat systém bezpečnosti informací v organizaci. Dokument využívá terminologii a pojmy blízké normám, standardům a praktikám, platným nebo užívaným v českém prostředí ve spojení s problematikou bezpečnosti informačních systémů a technologií. Dokument je určen pro vedoucí a řídící pracovníky, specialisty a odborníky pracující v oblasti bezpečnosti informačních systémů v České republice, jako odborná publikace obsahující český překlad a interpretaci jedné ze světově uznávaných norem v této oblasti pro účely její implementace v rámci informačních systémů v České republice. Dokument oproti originálu neobsahuje některé úvodní a závěrečné informace, které nejsou pro podmínky České republiky přímo relevantní. Pro seznámení se s těmito informacemi je nutno využít anglického originálu. Pro účely interpretace využívá dokument pojmů, které jsou obsahem základního překladového slovníku důležitých pojmů normy BS ISO/IEC 17799:2000. Tato část BS 7799 byla připravena výborem BDD/2, Information security management. Nahrazuje BS :1999, která je již zastaralá. Toto nové vydání bylo vytvořeno za účelem souladu s dalšími standardy systému řízení, jako např. BS EN ISO 9001:2000 a BS EN ISO 14001:1996 proto, aby zajistilo důslednou a sjednocenou 1 Systémy managementu bezpečnosti informací specifikace s průvodcem pro použití 26

27 implementaci a využití systémů řízení. Také zavádí model Plánování-Zavedení-Kontrola-Využití (Plan-Do-Check-Act nebo zkratkou PDCA) jako součást přístupu systému řízení k vývoji, implementaci a zdokonalování efektivnosti systému řízení bezpečnosti informací v organizaci. Zavedení modelu PDCA bude také odrážet principy, které jsou definovány ve směrnicích OECD (2002) pro řízení bezpečnosti informačních systémů a sítí. Toto nové vydání především poskytuje masivní model pro zavedení principů ve směrnicích, které upravují hodnocení rizik, návrh a zavedení bezpečnosti, řízení a přehodnocení bezpečnosti. Cíle opatření a jednotlivá opatření, kterých se to týká, jsou v tomto vydání odvozeny a uspořádány přímo podle těch, které jsou uvedeny v BS ISO/IEC 17799:2000. Seznam cílů řízení a opatření v této normě není vyčerpávající a organizace by měla brát v úvahu, že i další cíle opatření a jednotlivá opatření mohou být nezbytné. Ne všechna opatření zde popsaná se budou týkat všech situací, nemohou ani přihlížet k omezením místního prostředí nebo technologií, nebo se vyskytovat ve formě, která vyhovuje každému případnému uživateli v organizaci. Tato publikace nemůže obsáhnout všechna opatření z oblasti jejího určení. Uživatelé jsou sami odpovědni za její správné použití. Shoda s normou sama o sobě neposkytuje imunitu před plněním zákonných závazků. 2.2 Základní principy Tato norma byla připravena pro podnikové manažery a jejich zaměstnance, aby poskytla model pro zavedení a správu efektivního systému řízení bezpečnosti informací (Information Security Management System nebo ISMS). Přijetí ISMS by mělo být strategickým rozhodnutím organizace. Vytvoření a zavedení ISMS v organizacích je podmíněno podnikatelskými potřebami a cíli a z toho vyplývajícími požadavky na bezpečnost; dále pak používanými procesy a velikostí a strukturou organizace. Všechny tyto požadavky a jejich podpůrné 27

28 systémy podléhají změnám v čase. Předpokládá se, že jednoduché situace vyžadují jednoduchá řešení ISMS. Tuto normu mohou využívat interní i externí subjekty, včetně certifikačních orgánů, pro zhodnocení schopnosti organizace vyhovět svým vlastním potřebám, stejně jako jakýmkoli požadavkům zákazníků nebo regulatorních orgánů Procesní přístup Tato britská norma prosazuje přijetí procesního přístupu pro vybudování, zavedení, provozování, monitorování, udržování a zvyšování efektivity ISMS v organizaci. Každá organizace musí pro efektivní činnost identifikovat a řídit mnohé aktivity. Jakákoli aktivita, využívající určité zdroje a zavedená za účelem přeměny vstupů ve výstupy, může být považována za proces. Výstup jednoho procesu často přímo vytváří vstup do procesu následujícího. Využívání systému procesů v rámci organizace, spolu s určováním a vzájemným působením těchto procesů a také jejich řízením, může být označováno jako procesní přístup. Při použití procesního přístupu je kladen důraz na: a) pochopení požadavků na bezpečnost informací a potřebu stanovení zásad a cílů bezpečnosti informací; b) zavedení a provoz opatření v kontextu s řízením celkových podnikatelských rizik organizace; c) monitorování a přehodnocování funkčnosti a efektivnosti IS- MS; d) neustálé zlepšování založené na objektivních měřítkách. Model známý jako Plánování-Zavedení-Kontrola-Využití (Plan-Do- Check-Act nebo PDCA) může být aplikován na všechny procesy ISMS zavedené podle této normy. Obrázek č znázorňuje, jak ISMS přijímá požadavky bezpečnosti informací a očekávání zainteresovaných stran jako vstup a jak pomocí nezbytných činností a procesů vytváří výstupy bezpečnosti informací (např. řízenou bez- 28

29 pečnost informací), které splňují tyto požadavky a očekávání. Obrázek č také znázorňuje propojení procesů. PŘÍKLAD 1 Může být například požadováno, aby v důsledku bezpečnostních dopadů nebyly způsobeny organizaci vážné finanční škody ani jiné těžkosti. PŘÍKLAD 2 Vyskytne-li se závažný důsledek například napadení e-business systému organizace očekává se, že pro minimalizaci dopadů budou k dispozici dostatečně vyškolení lidé. Obr : Model PDCA aplikovaný v procesech ISMS 29

30 Plánování (vybudování ISMS) Zavedení (implementace a provoz ISMS) Kontrola (monitorování a přehodnocování ISMS) Využití (podpora a zlepšování ISMS) Ustavení bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s řízením rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace. Zavedení a využívání bezpečnostní politiky, opatření, procesů a postupů. Posouzení, kde to lze i poměřování procesu (resp. jeho funkčnosti a efektivnosti) vůči bezpečnostní politice, cílům a praktickým zkušenostem a předání výsledků vedení organizace ke zhodnocení. Provedení nápravných a preventivních činností, založených na zhodnocení provedeném vedením organizace tak, aby bylo dosaženo nepřetržitého zlepšování ISMS Soulad s jinými systémy řízení Tato norma je propojena s normami BS EN ISO 9001:2000 a BS EN ISO 14001:1996 tak, aby byla podpořena její konzistentnost a jednotné zavedení a provoz společně s odpovídajícími normami řízení. Tato norma je navržena tak, aby organizaci umožnila propojit nebo integrovat ISMS s požadavky těchto dalších relevantních systémů řízení Působnost normy Všeobecně Tato norma specifikuje požadavky na vybudování, zavedení, provoz, monitorování, hodnocení, udržování a zlepšování zdokumentované- 30

31 ho ISMS v kontextu celkových podnikatelských rizik organizace. Specifikuje požadavky na zavedení bezpečnostních opatření, upravených podle potřeb jednotlivých organizaci nebo jejich částí. ISMS je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření, adekvátně chránící informační aktiva a poskytující odpovídající jistotu zákazníkům a dalším zaintereso-vaným stranám. Jinými slovy jde o zvyšování konkurence-schopnosti, peněžního toku (cash flow), ziskovosti, souladu s právem a postavení na trhu. Aplikace Požadavky této normy jsou obecně použitelné a jsou určeny k využití ve všech organizacích bez ohledu na typ, velikost a povahu podnikání. Pokud některé požadavky této normy nemohou být využity vzhledem k povaze organizace a jejího podnikání, může se uvažovat o jejich vyřazení. Tam, kde se tato vyřazení provedou, lze akceptovat nároky na soulad s touto normou, jedině pokud tato vyřazení neovlivní schopnost a/nebo odpovědnost organizace zajistit bezpečnost informací v souladu s bezpečnostními požadavky stanovenými analýzou rizik a relevantními regulatorními požadavky. Jakékoliv vyřazení opatření, zjištěného jako nezbytné k uspokojení kritérií akceptace rizik, musí být opodstatněno, a musí být doloženo, že rizika s tím spojená byla akceptována odpovědnými osobami Základní termíny a definice Pro účely této normy se užívají následující termíny a definice: Dostupnost: zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby [BS ISO/IEC 17799:2000]. Důvěrnost: zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni [BS ISO/IEC 17799:2000]. Bezpečnost informací: ochrana důvěrnosti, integrity a dostupnosti informací. Systém řízení bezpečnosti informací (ISMS): část celkového systému řízení organizace, založená na přístupu (organizace) k podnikatelským rizikům, která je zaměřena na vybudování, zavá- 31

32 dění, provoz, monitorování, přehodnocování, údržbu a zlepšování bezpečnosti informací. POZNÁMKA: Systém řízení zahrnuje organizační strukturu, politiky, plánovací činnosti, odpovědnosti, praktiky, směrnice, postupy, procesy a zdroje. Integrita: zajištění správnosti a úplnosti informací a metod jejich zpracování [BS ISO/ IEC 17799:2000]. Prohlášení o aplikovatelnosti: dokument popisující cíle opatření a samotná opatření, která jsou relevantní a aplikovatelná na ISMS organizace a která jsou založena na výsledcích a závěrech procesů hodnocení a zvládání rizik. Rizika: představují akceptaci, analýzu, vyhodnocování, řízení, zvládání; podrobněji viz [ISO Guide 73]. 2.3 Systém řízení bezpečnosti informací Všeobecně Organizace musí vybudovat, zavést, udržovat a soustavně zlepšovat dokumentovaný ISMS organizace, a to v rámci kontextu celkových podnikatelských aktivit a rizik. Použitý proces je pro účely této normy založen na modelu PDCA znázorněném na obr Vybudování a řízení ISMS Vybudování ISMS Organizace musí udělat následující: 1. Definovat působnost ISMS, a to na základě specifických rysů podnikatelské činnosti a organizace, její struktury, umístění, aktiv a technologií. 32

33 2. Definovat politiku, a to na základě specifických rysů podnikatelské činnosti organizace, její struktury, umístění, aktiv a technologií, která: a) definuje rámec pro stanovení cílů a ustavuje celkový směr řízení a rámec principů pro činnosti týkající se bezpečnosti informací; b) bere v potaz podnikatelské a právní nebo regulatorní požadavky a smluvní bezpečnostní závazky; c) pro vybudování a údržbu ISMS vytváří potřebné vazby na prostředí, tedy na strategii organizace, její organizační strukturu a proces řízení rizik; d) ustavuje kritéria, vůči kterým bude hodnoceno riziko a bude definována struktura hodnocení rizik; e) byla schválena vedením. 3. Definovat systematický přístup k hodnocení rizik Určí metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti informací, právním a regulatorním požadavkům. Pro snížení rizik na akceptovatelnou úroveň stanoví politiku a cíle ISMS Určí kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně. 4. Identifikovat rizika a) Identifikuje aktiva v rámci působnosti ISMS a jejich vlastníky. b) Identifikuje hrozby pro tato aktiva. c) Identifikuje zranitelnosti, které by mohly být hrozbami využity. d) Identifikuje, jaké dopady na aktiva by mohla mít ztráta důvěry, integrity a dostupnosti. 5. Ohodnotit rizika a) Zhodnotí podnikatelské škody, které by mohly vyplynout ze selhání bezpečnosti s tím, že vezme v úvahu případné následky ztráty důvěrnosti, integrity nebo dostupnosti aktiv. 33

34 b) Zhodnotí reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo vyskytnout působením existujících hrozeb a slabin a dopady na konkrétní aktiva s přihlédnutím k aktuálně zavedeným opatřením. c) Odhadne úrovně rizik. d) Určí, zda je riziko akceptovatelné nebo vyžaduje zvládání podle kritérií stanovených v Identifikovat a ohodnotit varianty pro zvládání rizik Možné činnosti zahrnují: a) aplikování vhodných opatření; b) vědomé a objektivní akceptování rizik s tím, že naplňují politiku organizace a kritéria pro akceptaci rizik organizace; c) vyhnutí se rizikům; d) přenesení souvisejících podnikatelských rizik na třetí strany, např. na pojišťovny, dodavatele. 7. Vybrat cíle opatření a jednotlivá opatření pro zvládání rizik Z přílohy a této normy musí být vybrány vhodné cíle opatření a jednotlivá opatření a tento výběr musí být uskutečněn na základě výsledků procesů hodnocení a zvládání rizik. POZNÁMKA: Cíle opatření a jednotlivá opatření uvedené v příloze a nejsou vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření. 8. Připravit Prohlášení o aplikovatelnosti Cíle ISMS a jednotlivá opatření vybraná v souladu s požadavky bodu g a důvody pro jejich výběr musí být zdokumentovány v Prohlášení o aplikovatelnosti. Vyřazení jakéhokoli cíle a jednotlivého opatření musí být také dokumentováno. 34

35 9. Obdržet souhlas s navrhovanými zbytkovými riziky a oprávnění k zavedení a provozu ISMS od vedení organizace. Zavedení a provoz ISMS Organizace musí provést následující: a) Formulovat plán zvládání rizik, který vymezí odpovídající řídící činnosti, odpovědnosti a priority pro řízení rizik bezpečnosti informací. b) Zavést plán zvládání rizik tak, aby dosáhla určených cílů opatření, přičemž vezme v úvahu finanční a lidské zdroje (role a odpovědnosti). c) Zavést dále uvedená opatření vybraná v g) pro realizaci cílů ISMS d) Zavést školicí programy a programy zvyšování bezpečnostního povědomí. e) Řídit provoz. f) Řídit zdroje. g) Zavést ověřené a formalizované postupy a další opatření pro rychlou detekci a reakci na bezpečnostní incidenty, které ohrožují provoz ISMS. Monitorování a přehodnocení ISMS Organizace musí provést následující: 1. Monitorovat a provádět další opatření, která: a) včas detekují chyby zpracování; b) včas identifikují úspěšné i neúspěšné bezpečnostní incidenty a narušení bezpečnosti; c) umožní vedení organizace určit, zda bezpečnostní aktivity, kterými byli pověřeni lidé, nebo které byly implementovány technologiemi, fungují dle očekávání; d) s ohledem na podnikatelské priority určí způsob eliminace bezpečnostních problémů. 35

36 2. Pravidelně přehodnocovat ISMS (včetně splnění politiky, cílů a analýzy bezpečnostních opatření) s ohledem na výsledky bezpečnostních auditů, incidentů, návrhů a podnětů všech zainteresovaných stran. 3. Přehodnocovat úroveň zbytkového a akceptovatelného rizika s ohledem na změny: a) organizace; b) technologií; c) podnikatelských cílů a procesů; d) identifikovaných hrozeb; e) vnějších událostí jako např. změn právního nebo regulatorního prostředí a změn v sociálním klimatu. 4. Provádět interní audity ISMS v plánovaných intervalech. 5. Na úrovni vedení organizace pravidelně (nejméně jednou do roka) přehodnocovat ISMS z důvodu ujištění se, že jeho působnost je i nadále odpovídající a že se daří nacházet možnosti zlepšení. 6. Registrovat všechny činnosti a události, které by mohly mít dopad na efektivitu nebo výkon ISMS. Udržování ISMS Organizace musí pravidelně provádět následující: a) Zavádět identifikované možnosti vylepšení ISMS. b) Provádět odpovídající nápravné a preventivní činnosti s využitím jak vlastních zkušeností v oblasti bezpečnosti, tak i zkušeností jiných organizací. c) Projednávat výsledky a činnosti a dohodnout je se všemi zainteresovanými stranami. d) Zaručit, že zlepšení dosáhnou zamýšlených cílů. 36

37 2.3.3 Požadavky na dokumentaci Všeobecně Dokumentace ISMS musí obsahovat následující: a) Doložená prohlášení bezpečnostní politiky a cílů opatření. b) Působnost ISMS, postupů a opatření k podpoře ISMS. c) Zprávu o hodnocení rizik. d) Plán zvládání rizik. e) Zdokumentované postupy nezbytné pro zajištění efektivního plánování, provozu a řízení procesů bezpečnosti informací organizace. f) Záznamy vyžadované touto normou. g) Prohlášení o aplikovatelnosti. Správa dokumentů Dokumenty vyžadované ISMS musí být chráněny a spravovány. Musí být ustaven doložený postup tak, aby vymezil řídící činnosti potřebné: a) ke schvalování dokumentů před jejich vydáním; b) k revizi, aktualizaci a opětovnému schválení dokumentů; c) k zajištění identifikace změn a aktuálních verzí dokumentů; d) k zajištění přístupnosti a použití pouze posledních verzí příslušných dokumentů; e) k zajištění čitelnosti a snadné identifikace dokumentů; f) k zajištění identifikace dokumentů externího původu; g) k zajištění řízené distribuce dokumentů; h) k zabránění neúmyslnému použití zastaralých dokumentů; i) k aplikování jejich vhodné identifikace pro případ jejich jak hokoli dalšího použití. 37

38 Správa záznamů Záznamy mají být vytvořeny a udržovány tak, aby prokazovaly soulad s požadavky a s efektivním provozem ISMS. Záznamy musí být spravovány. ISMS musí zohlednit všechny relevantní právní požadavky. Záznamy musí zůstat čitelné, snadno identifikovatelné, a tak musí být snadné je vyhledat. Opatření potřebné k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být zdokumentována. Řídicí proces musí určit nutný rozsah záznamů. Musí být udržovány záznamy o fungování a efektivnosti procesu budování a řízení ISMS. Dále musí být udržovány záznamy o všech výskytech bezpečnostních incidentů, vztahujících se k ISMS. PŘÍKLAD Příklady záznamů jsou návštěvní kniha, záznamy o auditu a záznam o autorizaci přístupu. 2.4 Odpovědnost vedení Závazek vedení Vedení organizace musí demonstrovat svůj závazek vůči vybudování, zavedení, provozu, monitorování, přehodnocování, udržování a zlepšování ISMS tak, že: a) ustanoví politiku bezpečnosti informací; b) zajistí stanovení cílů bezpečnosti informací a plánu jejich dosažení; c) stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací; d) propaguje v rámci organizace význam plnění cílů bezpečnosti informací a souladu s politikou bezpečnosti informací, 38

39 a také plnění povinnosti vyplývající ze zákona a potřebu soustavného zlepšování; e) zajistí dostatečné zdroje pro vybudování, zavedení, provoz a údržbu ISMS; f) stanoví svým rozhodnutím akceptovatelnou úroveň rizika; g) provede zhodnocení ISMS Řízení zdrojů Zajištění zdrojů Organizace musí určit a zajistit zdroje potřebné pro: a) vybudování, zavedení, provoz a udržování ISMS; b) zajištění podpor podnikatelských cílů postupy bezpečnosti informací; c) určení a věnování náležité pozornosti zákonným a regulatorním požadavkům a smluvním bezpečnostním závazkům; d) udržování odpovídající bezpečnosti správnou aplikací všech zavedených opatření; e) provedení revizí podle potřeby a zajištění odpovídajících reakcí na jejich výsledky; f) zlepšení efektivnosti ISMS podle potřeby. Školení, informovanost a kompetence Organizace musí zajistit, aby veškerý personál, kterého se týkají povinnosti určené v ISMS, byl kompetentní k výkonu požadovaných úkolů. Zajišťuje to pomocí: a) určení nezbytných kompetencí personálu vykonávajícího práci ovlivňující ISMS; b) zajištění odpovídajícího školení, a je-li to nutné, zaměstnání k tomu příslušného personálu; 39

40 c) vyhodnocení efektivnosti zajištěného školení a provedených činností; d) udržování záznamů o vzdělávání, školení, dovednostech, zkušenostech a kvalifikačních předpokladech. Organizace musí také zajistit, že veškerý příslušný personál si je vědom závažnosti a významu svých činností v rámci bezpečnosti informací a svého přínosu k dosažení cílů ISMS. 2.5 Zhodnocení ISMS vedením organizace Všeobecně Vedení organizace musí provádět zhodnocení ISMS organizace v naplánovaných intervalech, aby zajistilo jeho trvalou účelnost, dostatečnost a efektivnost. Tato zhodnocení musí také hodnotit možnosti zlepšení a potřebu změn v ISMS včetně bezpečnosti politiky a cílů bezpečnosti. Výsledky zhodnocení musí být jasně zdokumentovány a musí být o nich udržovány záznamy Vstupní dokumenty pro zhodnocení ISMS Výchozí dokumenty pro hodnocení vedení organizace musí zahrnovat informace o: a) výsledcích auditů a analýz z ISMS; b) zpětné vazbě od zainteresovaných stran; c) technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a efektivnosti ISMS; d) stavu preventivních a nápravných činností; e) slabinách nebo hrozbách, jimž nebyla v rámci předchozího hodnocení rizik věnována náležitá pozornost; 40

41 f) činnostech, které následovaly po předchozím zhodnocení vedením organizace (tj. vyplývaly z jeho závěrů); g) jakýchkoli změnách, které by mohly ovlivnit ISMS; h) doporučeních pro zlepšení Výstupní dokumenty pro zhodnocení Výstupy pro zhodnocení prováděné vedením organizace musí zahrnovat jakákoliv rozhodnutí a činnosti vztahující se k následujícímu: a) Zlepšování efektivnosti ISMS. b) Nezbytné změny postupů bezpečnosti informací v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS. Změny se mohou týkat také: podnikatelských požadavků; bezpečnostních požadavků; podnikových procesů ovlivňujících existující podnikatelské požadavky; regulatorního nebo zákonného prostředí; úrovně rizika a/nebo úrovně akceptovatelnosti rizika. c) Potřebě zdrojů Interní audity ISMS Organizace musí provádět interní audity ISMS v naplánovaných intervalech, aby zjistila, zda cíle opatření, jednotlivá opatření a postupy ISMS: a) vyhovují požadavkům této normy a odpovídají legislativě nebo nařízením; b) vyhovují určeným požadavkům na bezpečnost informací; c) jsou zavedeny a udržovány efektivně; d) fungují tak, jak se očekává. 41

42 Program auditu musí být naplánován s ohledem na stav a význam auditovaných procesů a oblastí a s ohledem na výsledky předchozích auditů. Musí být definována kritéria auditů, jejich rozsah, četnost a metodiky. Výběr a vlastní provedení auditů musí zajistit jejich objektivitu a nestrannost. Auditoři nesmějí prověřovat svou vlastní práci. Odpovědnosti a požadavky na plánování a provedení auditů a na vypracování zpráv a udržování záznamů mají být určeny zdokumentovaným postupem. Vedení organizace, odpovědné za oblast, která je auditovaná, musí zajistit, že kroky na odstranění zjištěných nedostatků jsou prováděny bez zbytečného odkladu. Tyto kroky musí obsahovat zpětnou kontrolu a přípravu zprávy o výsledcích této kontroly. 2.6 Zlepšení ISMS Soustavné zlepšování Organizace musí neustále zlepšovat efektivnost ISMS s využitím politiky bezpečnosti informací, cílů bezpečnosti, výsledků auditu, analýz motivovaných událostí, nápravných a preventivních akcí a zhodnocení prováděných vedením organizace Nápravná opatření Organizace musí provést příslušné činnosti pro odstranění nedostatků spojených s implementací a provozem ISMS, aby zabránila jejich opětovnému výskytu. Zdokumentovat postupy pro nápravná opatření, určit požadavky na: a) identifikaci nesouladů v zavedení a/nebo provozu ISMS; b) určení příčin nesouladů; c) zhodnocení, zda je zapotřebí činností zabraňujících opakování těchto nesouladů; d) určení a zavedení potřebných nápravných opatření; 42

43 e) zaznamenání výsledků zavedených opatření; f) přehodnocení provedených nápravných opatření Preventivní opatření Organizace musí určit opatření, která zabrání budoucím nesouladům. Podniknutá preventivní opatření musí být přiměřená závažnosti potenciálních problémů. Zdokumentovaný postup aplikace preventivních opatření musí definovat požadavky na: a) identifikaci potenciálních nesouladů a jejich příčin; b) určení a zavedení potřebných preventivních opatření; c) zaznamenání výsledků podniknutých opatření; d) přehodnocení podniknutých preventivních opatření; e) identifikaci změněných rizik a zajištění, že významně změněným rizikům bude věnována odpovídající pozornost. Priorita preventivních opatření bude určena na základě výsledků analýzy rizik. POZNÁMKA: Opatření pro prevenci vzniku nesouladů je většinou finančně efetivnější než opatření nápravné. 43

44 3 PODNIKOVÉ ŘÍDICÍ A INFORMAČNÍ SYSTÉMY JAKO ZÁKLAD MĚŘENÍ, ANALYZOVÁNÍ A ZLEPŠOVÁNÍ PROCESŮ 3.1 Úvod V současném období, rozvojem a dostupností kvalitní výpočetní techniky a programových produktů pro oblast podnikání i osobního využívání, se problematika informací, informačních systémů dostala do pozice nepostradatelné součásti, lze říci podmínky úspěšného podnikání. Z hlediska etap vývoje podnikových informačních systémů (PIS) lze v posledních desetiletích přiřadit pro sedmdesátá léta zaměření na informační technologie. Osmdesátá léta byla typická rozvojem nových přístupů a metod pro tvorbu PIS a devadesátá léta byla zaměřena na strategické plánování a zaměření PIS na podporu kriteriálních cílů podniků. Rozvoj PIS bude v následujícím desetiletí zaměřen na lidského činitele, který je v informačních systémech podmiňující. Pro funkční charakteristiku současného období se nelze vyhnout pojmu globalizace, který představuje zcela nový celoplanetární přístup, metody, formy vč. vzniku nových vlastnických nadnárodních kompetencí v ekonomickém postavení podniků i států. Globalizace je již existující realita, proto je nezbytné si rovněž uvědomit, co to znamená a jaké jsou možnosti a nástroje z hlediska PIS. Jedná se o dvě hlavní sféry pro razantní rozvoj PIS s možnostmi významných přínosů: Využívání informací o možnostech dalšího rozvoje ve všech etapách podnikového reprodukčního cyklu, které přicházejí z okolí, vnějšku podniku. Rozhodující postavení v tomto sehrává internet. Poznání, zvládnutí a využívání nových nástrojů a metod PIS všemi pracovníky podniku. To si vyžaduje změny kvalifikace, adaptace pracovníků na nové formy, metody v dosavadním 44

45 procesu výroby či služeb. Tímto jsou současně vytvářeny podmínky pro objektivní a účinné měření, analyzování a zlepšování podnikových procesů, subprocesů i jednotlivých činností. Je nezbytné si uvědomit, že v podmínkách globalizace jsou zákaznická orientace a systémy managementu jakosti podniku, mj. požadavky ISO 9001:2000 na sledování, hodnocení a přijímání opatření, podmínkou zachování konkurenceschopnosti. Toto poznání vyplývá ze současného přebytku kapacit ve většině oborů podnikání a velmi krátkých inovačních cyklů v důsledku sílících konkurenčních tlaků globálně působících podnikatelských organizací a zvyšujících se požadavků zákazníků. V tomto složitém konkurenčním prostředí musí podnik, který usiluje o posílení nebo alespoň udržení svého postavení na trhu být, vybaven funkčním PIS a pružně jej rozvíjet podle měnících se potřeb. 3.2 Úloha a postavení informací v soudobém podniku Informace jsou pro moderní podnik významným zdrojem (viz mj. ISO 9004:2000). Jsou nehmotné povahy, přesto mají obrovskou cenu (pro vlastní podnik i pro konkurenci). Je nezbytné na jejich získání, ukládání, aktualizaci a zpracování, až po skartaci, vynakládat významné finanční prostředky. Informace, které jsou objektivní, úplné, včasné, trvale aktualizované, uživateli přístupné, ekonomicky únosně získávané a soudobými metodami zpracovávané v podniku, mohou zvyšovat výnosy podniku: V systému prověrek (interních auditů) minimalizovat výskyt neshod, potenciální i zjištěné neshody odstranit a zavádět systém preventivních opatření pro odstraňování neshod v rámci SW podpory prověrek. Zjištěné vady interní i externí (reklamace) trvale vyhodnocovat, příčiny, důsledky i nositele neshod zjistit a uskutečnit opatření od opětného proškolení až po postihy. Na základě přesných a včasných informací minimalizovat zásoby. To lze úspěšně 45

46 uskutečňovat tehdy, jsou-li známy přesné termíny konkrétní dodávky, stavu rozpracovanosti dávky či výrobku, veškeré výrobní i zákaznické požadavky. Lze uskutečnit různými metodami, např. JIT. Minimalizovat průběžné doby produktu od dodávky vstupních materiálů po expedici, se zaměřením na plné využití disponibilního výrobního zařízení a lidských kapacit. Využitím elektronických transakcí lze zrychlit, zkvalitnit a zlevnit styk se zákazníky, dodavateli, kooperujícími a spolupracujícími organizacemi. Rozsáhlý kontakt se zákazníky spolu s účinnými audity interních procesů, jak mj. vyžaduje i nová ISO 9001:2000, za předpokladu kvalitních informací (výše deklarovaných), zpracovávaných soudobými SW prostředky, ve struktuře informačního systému podniku jedině může naplnit plnohodnotně požadavek na měření, analyzování a následné průkazné zlepšování podnikových procesů (viz dále). 3.3 Podnikové informační systémy Informační systémy a jejich informační technologie (IS/IT) prošly od padesátých let obrovským vývojem, který sálová klimatizovaná zařízení přemístil na dílny a do domácností, učinil z PC příslušenství strojů atd. Z hlediska informací a komunikací jsou již nyní dostupné prostředky od malých i mobilních zařízení k poskytování dat a informací k celosvětové síti internetu. 3.4 Modely podnikového informačního systému a) Technologický model PIS Toto pojetí vychází z pohledu specialistů IS/IT, kteří pro uživatele zabezpečovali veškeré hardwarové i softwarové náležitosti informačního systému. 46

47 Model podnikového IS v tomto pojetí má strukturu: Hardware (HW) Operační systém (OS) Databázový systém (DBS) Aplikační software (ASW) Jedním z představitelů tohoto přístupu může být např. otevřený operační systém UNIX, dosud využívaný a funkční. Jedná se v tomto pojetí o přístup, ve kterém není striktní vazba (závislost) aplikace na hardware či operačním systému, což představuje větší možnost propojitelnosti a přenositelnosti různých SW aplikací v podniku. V důsledku nového nástupu parametrizovatelných aplikací PIS se částečně snižuje význam technologického pojetí IS. Snižují se však možnosti doprogramování v důsledku objektivně vysokých cen za změny. Implementace v PIS se přesouvá do nastavování vhodných parametrů pro potřeby konkrétního podniku. b) Model PIS z pohledu úrovně řízení podniku V tomto případě jsou uživateli především pracovníci řídících struktur podniku. Tito pracovníci, manageři různých stupňů řízení, mají požadavky s třemi rozhodujícími úrovněmi: pro strategické řízení, pro taktické řízení, pro operativní řízení. V každé této úrovni je rozhodování podmíněno SW podporou: plánování, organizování, motivování, kontrolou. 47

48 V této souvislosti hovoříme rovněž o čtyřvrstvé organizační pyramidě z pohledu činností IS/IT v podniku: vrcholové řízení I, střední úroveň řízení II, práce s daty, tvorba know-how a implementace pro užití III výrobní a obslužné činnosti IV. Pro každou uvedenou úroveň řízení (I IV) jsou stanoveny kompetence, které lze naplnit pouze za předpokladu trvalého přísunu kvalitních (viz vpředu uvedených) informací. c) Procesní přístup k PIS Pojem proces představuje obecně přeměnu vstupů na výstupy. Je přitom nepodstatné, zda vstupy jsou hmotné či nehmotné, realizačním výstupem je stanovený produkt. Lze komplexněji definovat proces jako následnost předem plánovaných činností se záměrem získat stanovený produkt, dosáhnout stanoveného cíle. Ve vlastním výrobním, technologickém procesu je vše relativně přehledné, definovatelné a ověřitelné, včetně stanovení dekompozice na procesy, subprocesy a činnosti. Již složitější situace je, když procesy řešíme v oblasti ekonomické, personální, obchodní, či když dochází k průniku procesů hmotných a nehmotných. Obecně však platí zásada, že pro efektivní uskutečňování procesů musí míti proces svého vlastníka, přiřazeny zdroje (finanční, lidské, vybavení, materiály, pracovní prostředí, informační...) a stanovený čas k jeho realizaci. 48

49 Tab : Stanovení kompetencí Úroveň Kompetence Informace I II III IV Stanovení vize a strategie podniku Informační strategie podniku Informování vlastníků a zainteresovaných stran Zabezpečení a platná kompletace zakázek Návrh výrobku Návrh způsobu výroby Zabezpečení zdrojů Finanční analýzy Realizace výrobku a služeb Zajištění sběru a kontroly dat z výroby, skladů, faktur Agregované interní informace o stavu, trendech, finančních ukazatelích Postavení podniku vzhledem k okolí, tj. konkurenci, partnerům, bankám, legislativě Získání, plánování a řízení zakázek Aktuální informace o stavu a průběhu zakázek SW podpora systému managementu jakosti Informace o vhodných materiálech, zařízeních, strojích, technologiích Informace o aktuálním stavu zásob a kapacitách Vývoj nákladovosti výroby Informace pro vlastní technologický proces Logistický proces Výskyt neshod v QMS V rámci procesního modelu podniku lze z interního hlediska např. uvažovat o následujících čtyřech základních procesech, přičemž 49

50 odlišnosti jsou v jednotlivých podnicích a organizacích (výroba, služby ) jen v primárním procesu, zbývající tři jsou shodné či velmi podobné. Jedná se o možné pojetí: primární proces produkce výrobků, služeb, obou, včetně nákupu vstupů, vývoje, systémů managementu jakosti proces prodeje a marketingu proces finančního řízení proces řízení lidských zdrojů, personalistika. Na trhu již existují procesně orientovaná SW řešení pro podnikové informační systémy. V podstatě se v procesním přístupu jedná o zprůhlednění, optimální řazení a zvýšení efektivnosti celkového reprodukčního cyklu a jeho procesů, jak naznačuje schéma na obr Obr : Procesní přístup a standardní uspořádání podniku 3.5 Integrovaný informační systém podniku Možnosti SW aplikace PIS v podnicích Aplikace, implementované před lety byly projektovány na společném databázovém prostředí. Tím počaly být nahrazovány aplikace 50

51 z osmdesátých let, postavené na agendovém přístupu, které byly označovány jako automatizované systémy řízení (ASŘ). Tudíž v našich podnicích bylo a je možno reagovat následujícími třemi způsoby: Zlepšováním existujících SW řešení, které zabezpečí využití již investovaných prostředků, ale nebude postačující pro následná období. Vývojem nového vlastního PIS, který bude uzpůsoben podnikovým potřebám i novým požadavkům a možnostem HW a SW. Je zde však riziko tempa a úrovně dalšího vývoje PIS i vysoká finanční a časová náročnost. Nákupem ověřeného funkčního parametrizovatelného SW produktu od renomované SW firmy s garantovanými podmínkami realizace, záruky a dalšího vývoje. Tento přístup je nyní nejčetnější, i když má rovněž své slabiny ve finanční náročnosti, závislosti na dodavatelské firmě, přizpůsobování organizace práce dodávanému SW. Tento stav lze zmírnit kvalifikovaným náročným výběrovým řízením a zabezpečením aktivní působnosti vlastních, v oblastech projektování HW a SW způsobilých, pracovníků, kteří budou partnery dodavatelské firmy. Oblasti působnosti systémů PIS V osmdesátých a devadesátých letech převažovaly v podnicích automatizované systémy řízení (ASŘ), které tvořily počítačovou podporu všech stupňů řízení, včetně technologických procesů. Koncem osmdesátých let vstoupily do podnikové praxe SW aplikace orientované na podporu návrhu výrobku. Jednalo se především o SW řešení CAD (Computer Aided Design) pro podporu konstruování a CAP (Computer Aided Process Planning) pro podporu výrobních postupů. Následně SW podpora numericky řízených strojů a zařízení NC (Numerical Control) vytvářela součást tzv. CAM (Computer Aided Manufacturing), počítačovou podporu výroby. Takto výrobně orien- 51

52 tované nasazení počítačů v podnicích tvoří podstatnou část tzv. počítačové integrované výroby CIM (Computer Integrated Manufacturing). Obsahem modelů CAx je tedy model CIM, zahrnující v podniku činnosti plánovací a realizační, nutné k zabezpečování reprodukčního cyklu. Obr : Model CIM počítačově integrované výroby dle A. W. Scheera Další představu o struktuře CIM upřesní model počítačově integrované výroby CIM dle profesora A. W. Scheera, který k činnostem CAx (tvorba produktu) přiřadil oblast PPS, tj. plánování a řízení výroby. 52

53 Máme-li dát odpověď na otázku, co tedy řešení soudobých PIS znamená, uvedeme rámcově a zjednodušeně, že trendem jsou tzv. systémy ERP (Enterprise Resource Planning), což představuje a zahrnuje propojení úloh CAD/CAP s plánováním a řízením výroby (viz předchozí obrázek), následující vývoj, který kompletoval SW podporu pro celý reprodukční proces. Jedná se zejména o propojení finančních a logistických úloh, podporu obchodu, péče o zákazníka prostřednictvím a možnostmi internetu, péče o lidské zdroje, systémy managementu jakosti Lze tedy k pojetí PIS konstatovat, že je lze deklarovat ve dvou přístupech: a) V užším smyslu zahrnuje PIS integraci vnitropodnikových oblastí, především návrh výrobku, výroby, logistiky, financí, lidských zdrojů, systémů managementu jakosti. b) V širším přístupu mimo zdokonalované oblasti ad a) je PIS rozšiřován o manažerské nadstavby typu MIS (Management Information Systém), řízení dodavatelských řetězů, řízení vztahů se zákazníky atd. Rovněž je přiřazována podpora elektronického obchodu B2B (Business to Business). B2C (Business to Customer) atp., rozšířené využívání internetu a intranetu 3.6 Závěr Výše uvedený text představuje rámcovou kompilaci soudobých přístupů, s přihlédnutím k situaci v ČR. Není potřeba dnes již nikoho z manažerů přesvědčovat, že bez informačních systémů, SW podpory řízení nelze úspěšně podnik řídit. Je však kriteriálními otázkami, kdo, jak, s jakými prostředky a co má prioritně v podniku zabezpečovat z hlediska informačních systémů. Dovolím si na závěr vyslovit doporučení orientované na soudobé podmínky v oblasti výroby a služeb u nás. Nový přístup, deklarovaný v ISO 9001:2000, je formalizovaným obecným návodem a doporučením, jak vytvářet a ověřovat celopodnikový reprodukční cyklus, v čem jej měřit, analyzovat a zlepšovat, aby byl pro deklaro- 53

54 vané poslání způsobilý. Nestanovuje však striktně metody a postupy, jak systém managementu jakosti vytvářet, čím a jak jej měřit. V tomto se tudíž otevírá rozsáhlá možnost pro pracovníky, kteří jsou schopni implementovat teoretická poznání do reálných podnikových podmínek, jak využít současných HW a SW prostředků, internetu. Poznání, že možnosti informační podpory pro řízení nikdy nekončí a konkurenční výhodu má a bude míti pouze ten, kdo dokáže na měnící se podmínky odpovídajícím způsobem reagovat, je podmínkou ekonomické existence. 54

55 4 MOŽNOSTI A CESTY KE ZVÝŠENÍ ÚČINNOSTI SYSTÉMŮ MANAGEMENTU JAKOSTI V MALÝCH A STŘEDNÍCH PODNICÍCH 4.1 Úvod V současném období rozvoje metod pro řízení podniku si lze již skutečně vybrat rovněž v bohaté nabídce poradenských služeb pro budování a zlepšování systémů managementu jakosti a podnikových informačních systémů, včetně SW podpor. Dominantní postavení zaujímají systémy budované dle ČSN EN ISO 9001:2001 a ČSN EN ISO 14001, nově i systémy bezpečnosti a hygieny, ochrany dat a informací Otázka, která mimo jiné zákonitě vyvstává, je jak, čím a kým garantovat způsobilost poradenské firmy, že výsledky budou ekvivalentní vynaloženým zdrojům a zárukou dalšího zlepšování. Lze vyslovit předpoklad, že významné, mezinárodně působící organizace, jejich české ekvivalenty i významné české organizace z hlediska velikosti, dosahovaných výsledků, počtu úspěšných uvedení do realizace, renomovaného jména, budou své služby garantovat (snad kvalitu služeb prokazovat). Prokazováním v tomto případě se zpravidla rozumí příprava, získání, resp. obhájení příslušného certifikátu. V názvu tohoto příspěvku je specifikováno, že bude zaměřen prioritně na problematiku malých a středních podniků. Podniky velké, specifické svým zaměřením výroby či služeb (energetika, telekomunikace, stavebnictví, hutě, automobilky ), zpravidla mají svá vývojová pracoviště i pro racionalizaci a zpravidla rovněž prostředky na financování kvalitní externí poradenské činnosti. U podniků malých a středních samozřejmě je rovněž specifikované zaměření na segment výroby či služby, ale tyto podmínky mají omezené vlastní kapacity pro racionalizaci i zdroje financování externích kapacit. 55

56 4.2 Analýza a návrh Hlavní poznatky ze současné situace malých a středních podniků jsou následující: 1. Všechny podniky, které až dosud na trhu ČR působí, prokázaly již svoji životaschopnost, konkurenčnost, i když často s velkými obtížemi a problémy s dalším působením. 2. Až na výjimky je značné podfinancování reprodukčních procesů, tudíž dochází k šetření ať to stojí, co to stojí, to znamená neobnovování strojů a zařízení, zastaralé technologie, neudržení kvalifikovaného personálu, rezignování na současné moderní, účinné, avšak náročné metody řízení. To ve svém důsledku znamená degradaci podniku na výrobní dílnu a práci ve mzdě dle stále tvrdších podmínek zadavatelů práce. 3. Samostatnou a nesmírně významnou složkou konkurenceschopnosti, způsobilosti na trhu, jsou implementace soudobých moderních a účinných metod pro řízení podniku (rozhodování, plánování, organizování, motivování a kontrolu). V současném období již neexistuje snadná cesta k odkrývání rezerv, lze to již jen prostřednictvím vědeckých metod (analýza, syntéza, indukce, dedukce, matematicko-statistické metody ). Je tedy nezbytné se s těmito metodami seznámit, postupně aplikovat na konkrétní podnikovou problematiku a implementovat do konkrétních podmínek. Tímto se dostáváme do již uvedené situace, že malé a často i střední podniky na toto nemají podmínky, pracovníky, kapacity, finance Možným řešením je vytváření určité databáze úspěšných řešení, která budou publikována formou případových studií, konkrétními projekty úspěšné implementace v podmínkách ČR. Taková řešení však mají svá úskalí. Nemohou být univerzálně v plné míře aplikovatelná, mohou však být určitým řešením typovým. 56

57 Již např. v rámci soutěže o Národní cenu za jakost ČR v posledních letech byly zpracovány vysoce kvalitní sebehodnotící zprávy, které mohou být v řadě případů inspirací pro zlepšování. Vyvstává proto otázka, jak je možno ve firmách průměrných, s nedostatečnými volnými finančními zdroji, účinně zabezpečovat racionalizace procesů. Doporučení lze rámcově formulovat takto: 1. Učinit rozhodnutí, že lze vyčlenit a že budou vyčleněny kapacity a finanční prostředky pro konkrétní oblast monitorování, měření, analyzování a zlepšování procesů. 2. Jmenovat schopného pracovníka vedení firmy pro řízení řešitelského týmu pro řešení konkrétního procesu, úkolu, či většího racionalizačního projektu, který je z hlediska konkurenceschopnosti aktuální. 3. Provést výběrové řízení pro zabezpečení zadaného řešení, včetně ověření funkčnosti nabízeného projektu v podobném podniku, rozhodnout (není nezbytné, lze i vlastními silami) o získání poradce, nákupu SW podpory, školení řešitelského týmu Racionalizace systému managementu jakosti (QMS) podniku, vybudovaného dle ČSN EN ISO 9001:2001, a dalších norem umožňuje významná zlepšení procesů. V nejčastěji frekventované ČSN EN ISO 9001:2001, zejména při aplikaci kapitol č. 4 Požadavky na dokumentaci, č. 6 Zdroje, č. 7 Realizace procesu a č. 8 Měření, analyzování a zlepšování je žádoucí SW podpora, kterou lze realizovat: V prvé fázi využitím např. tabulkového procesu MS Excel pro tvorbu přehledů, např. v rámci sedmi základních nástrojů řízení jakosti: kontrolních tabulek, vývojových diagramů, histogramů, diagramu příčin a následků, 57

58 Paretova diagramu, bodového diagramu, regulačních diagramů. Pro SW podporu výše uvedených sedmi základních nástrojů i dalších matematicko-statistických metod (MSM) již existuje celá řada plně funkčních, relativně snadno a levně dostupných SW produktů, avšak i řada funkčních SW produktů, s cenově neúměrně vysokými požadavky. V této problematice je nezbytný pečlivý a kvalifikovaný výběr. Zde tedy stojíme před prvním významným problémem: Jak nalézt vhodný funkční, cenově vstřícný SW produkt pro podporu systému managementu jakosti, např. pro MSM metody? Systém managementu jakosti podniku musí řešit celý komplex procesů v reprodukčním cyklu. Proto zákonitě vyvstává potřeba SW podpory, analogicky jako pro ukázku již uvedených sedmi základních nástrojů pro oblasti: vadných výrobků vnitřních, vadných výrobků externích, metrologie, interních auditů, řízení dokumentů QMS atd. Zde, pokud nechceme zůstat jen ve stádiu sběru dat a základních přehledů a rozborů, zpravidla mnohdy nevystačí vlastní tvorba SW podpory. V současné době již i největší světové firmy producentů SW programů pro podniky řeší a nabízejí jednotlivé moduly i celý systém managementu jakosti. Samozřejmě v rozdílné úrovni věcného a softwarového řešení a cenových úrovní. 58

59 Doporučení pro výběr SW podpory je následující: Důsledná a kvalifikovaná analýza vlastních požadavků na SW produkt, který chceme získat. Formulace požadavků na řešení, výběr pracovníků pro budoucí využívání uvažovaného SW produktu. Dotazy u dodavatele a trvání na možnosti ověření si slibů i reálných výstupů na referenčním pracovišti uvažovaného dodavatele, včetně příprav budoucích uživatelů. Ověření způsobilosti vlastní platby za nákup SW produktu a jeho implementaci, možnosti integrace do dosavadního systému řízení podniku, garantování SW údržby a dalšího rozvoje SW produktu. Výběr dle vlastní stupnice kritérií, tj. splnění souboru požadavků, cena, termíny realizace, další služby Výše uvedená doporučení jsou rámcová, avšak obecně platná. Nedostatečné provedení příslušných analýz, neověřování podaných informací a neprovedení přípravy budoucích uživatelů vede k nezdaru a finančním ztrátám, včetně snížení prestiže vlastních pracovníků garantujících systém managementu jakosti. 4.3 Závěr Poznání, že možnosti informační SW podpory pro řízení nikdy nekončí a konkurenční výhodu má a bude míti pouze ten, kdo dokáže na měnící se podmínky odpovídajícím způsobem reagovat, je již nyní podmínkou ekonomické existence. Je proto nezbytné, aby podnikový management byl seznámen s významem, možnostmi, ale i úskalími při rozhodování o tvorbě či rozšiřování již existující informační SW podpory pro řízení podniku a v jeho rámci se systémem managementu jakosti podniku. 59

60 5 INFORMAČNÍ PODPORA SYSTÉMU MANAGEMENTU JAKOSTI V PODNIKU Informační podpora systému managementu jakosti podniku (QMS) je pro úspěšný chod celopodnikového řízení nezbytným předpokladem. Podmíněnost funkčnosti systému managementu jakosti i celopodnikového systému řízení spočívá především ve skutečnosti, že nelze realizovat řídící akty (rozhodování, plánování, organizování a kontrolu), aniž bychom měli zabezpečeny informace o celém průběhu uvedených řídících aktů. Zpětná vazba, tj. především informace o výsledcích, musí být rozšířena, doplněna a kumulována s procesy, které předcházejí procesu (jeho části), o který se zajímáme a následují po něm. U procesů posuzujeme jejich způsobilost. Péče o způsobilost procesu (subprocesu) musí zejména zahrnovat možnost jeho měření, analyzování a návrhy na jeho zlepšování. Dále může zahrnovat řízení procesu, řízení s vymezenými kompetencemi, koordinaci, specifikované kontrolní či evidenční činnosti. Je tudíž zřejmé, že pro funkční systém managementu jakosti jsou podmínkou nutnou (ale ne postačující) dostupné kvalitní informace, které však budou již zpracovány a analyzovány dle oblasti působnosti. Toto lze zabezpečit v současném období výhradně prostřednictvím problémově orientovaného software. Při každé úvaze o vhodném SW vybavení pro systém managementu jakosti zcela zákonitě narazíme na otázku, dle jakého modelu QMS se budeme orientovat, které parametry QMS budou kriteriální, povinné či jen orientační. Z modelů, které jsou známé a v podnikové praxi již ověřené, se nabízí ČSN EN ISO 9001:2001, EFQM, TQM (jako modely celopodnikového systému managementu jakosti), s vyjímkou modelů orientovaných na určitou specifickou oblast či sektor průmyslu. K prostředkům hodnocení dle ČSN EN ISO 9001:2001 se vrátíme v dalším textu, protože požadavky jsou jednoznačně deklarované a záleží tudíž na podniku realizujícím QMS, zda výše 60

61 uvedené požadavky bude splňovat v míře nezbytně nutné, či položí významný důraz na stálé průběžné zlepšování. Přístup a hodnocení dle EFQM je v EU již standardizovaný. O hodnocení QMS dle přístupů TQM se relativní hodně hovoří, nejsou však celosvětově či celoevropsky stanovena jednotná kritéria. Akceptovatelným přístupem pro dosud nestandardizované hodnocení dle TQM jsou např. v USA deklarované požadavky ceny Malcoma Baldrige pro podniky, které prokážou, že pomocí TQM dosáhly nejvyšší jakosti produktů a služeb, a prokázaly dosahování následujících cílů: Pochopit a implementovat myšlenku, že o tom, co je jakost, rozhoduje zákazník a že je nezbytné maximálně uspokojovat jeho očekávání. Toto pojetí TQM, proto vyžaduje, aby měla organizace při projektování, produkci výrobků a služeb dostatek zákaznicky orientovaných informací. Uplatňovat takový styl vedení v celé organizaci, který vytváří u všech zaměstnanců trvalý pocit spoluzodpovědnosti za jakost a snahu o odstranění všech překážek, které tento styl narušují. Za uplatňování tohoto stylu nese hlavní odpovědnost vrcholový management. Dosahovat stále vyšší a vyšší úrovně efektivnosti pomocí permanentního zdokonalování veškerých podnikatelských a výrobních aktivit. Zdokonalování produkčních metod, procesů a jejich organizování se musí stát trvalou potřebou organizace. Přesvědčivě prokázat, že se rozhodování opírá o spolehlivé informace a analýzy, nikoliv o pravidlo podle oka nebo o ustálené zvyky. Kvalitní informace, analýzy a kvalifikované rozhodování musejí vytvářet spolehlivou základnu pro uplatňování praktik TQM v celé organizaci. Umožnit všem zaměstnancům, aby se podíleli na jakosti dosahovaných výsledků. TQM se musí opírat o motivované pracovníky, kteří mají dostatečné znalosti, dovednosti a možnosti 61

62 uplatňovat své schopnosti pro dosahování nejvyšší jakosti výsledků své práce. Výše uvedené skutečnosti přesvědčivě dokumentují, že informační báze je základem celé metodiky. Rovněž je zřejmé, že dosahovaná zlepšení v systému řízení podniku a v jeho nedílné části, tj. systému managementu jakosti, musí ve svých důsledcích znamenat pro organizaci určité přínosy, které představují: Spolu s dosažením vyšší jakosti bylo dosaženo i nižších nákladů. Vyšší jakost se projevila především vyšší spolehlivostí výrobků, včasným dodáváním požadovaného zboží, snížením počtu vad a zkrácením průběžných dob produkce. Vyšší jakost vedla k vyššímu uspokojování zákazníků a snížení počtu zákaznických stížností. Současně se zvýšil počet věrných zákazníků. U firem uplatňujících TQM se zvýšila celková spokojenost zaměstnanců. Následně došlo k výraznému snížení absence a fluktuace. Uvedené výsledky ukazují, že aplikování TQM umožňuje dosahovat lepších výsledků a získávat konkurenční výhody nejen na domácích, ale i na zahraničních trzích. Je vytvořen a provozován informační systém, který umožňuje trvale měřit, analyzovat a následně zlepšovat praktiky TQM v celé organizaci. Máme-li proniknout k jádru požadavků na informační podporu QMS, je nezbytné si opětovně uvědomit, jaké požadavky jsou vlastně na systémy zajišťující jakost kladeny. Co zdůrazňovali klasičtí představitelé managementu jakosti? Prof. Juran výrobky a služby jsou vhodné pro užití, dr. Deming výrobky a služby uspokojují zákaznické potřeby, dr. Crosby výrobky a služby jsou konzistentní s požadavky. 62

63 Závěr: Juran a Deming kladou důraz na jakost z hlediska uživatele, Crosby z pohledu výrobce. Japonský expert, Taguchi, definuje jakost z hlediska dosažení ideálního stavu, který přináší společnosti maximální užitek Takto by bylo možno pokračovat dále s tím, že je nezbytné se shodnout na souboru kritérií pro QMS a jeho informační podpoře. Prioritní je volba systému managementu jakosti podniku, druhotné pak rozhodnutí o obsahu, formě a rozsahu informační podpory QMS. V našich podmínkách jednoznačně dominuje QMS dle požadavků ČSN EN ISO 9001:2001, proto i informační podpora bude v maximální míře orientována na splnění základních kritérií uvedené normy. Charakteristickými rysy nového přístupu normy ISO 9001:2000, převzaté jako ČSN EN ISO 9001:2001, jsou: orientace na procesní přístup ke všem činnostem systému managementu jakosti (tj. identifikace, specifikace a zajištění potřebných zdrojů pro efektivní řízení vstupních, hodnototvorných a výstupních charakteristik procesů); uplatňování zásad managementu jakosti; přizpůsobení zásadám managementu systémů a možnosti vzájemné integrace (např. se systémy managementu orientovaného na životní prostředí); zdůraznění činností přidávajících hodnotu před pouhým dokumentováním a plněním písemných postupů; měření výkonnosti procesů a zajišťování zpětné vazby pro hodnocení spokojenosti zákazníka a neustálé zlepšování procesů. Požadavky nové ČSN EN 9001:2001 v současném období nejuceleněji definuje funkční model QMS. Proto na tento model musí být orientována informační podpora systému managementu jakosti podniku. Je zřejmé, že v současnosti informační podpora je realizována prostřednictvím IT/IS, tedy počítačovou technikou a SW prostředky. Ještě dříve, než se podíváme na jedny z možných modelů SW informační podpory QMS, si upřesníme následující pojmy a jejich obsah: 63

64 1. Faktory ovlivňující jakost jsou především strategie, informace, projektování, materiály, lidé, zařízení 2. Strategie jakosti produkce spočívá prioritně ve vytváření standardů jakosti, které musí výrobky a služby splňovat. Standardy jsou rovněž důležité parametry pro preventivní, průběžnou i následnou kontrolu. Při vytváření strategie jakosti musí management brát v úvahu minimálně tři faktory: trh výrobků a služeb, vliv konkurence, vlastní image. 3. Informace mají dominantní roli při určování strategie a ověřování, zda jsou stanovené standardy dodržovány. Při vytváření strategie jsou potřebné informace o zákaznických preferencích, očekávání, o konkurenčních standardech, o nákladech na jakost Informace jsou a budou i nadále určujícím faktorem, který umožňuje kvalifikované a objektivní porovnávání parametrů QMS, analyzování a vyhodnocování jevů minulých, současně probíhajících i predikovaných, zakládá možnosti prognóz i reálného zlepšování QMS. Softwarová podpora systému managementu jakosti podniku SW podpora QMS není, ani nemůže být, jednotným, typovým projektem. Vždy je třeba uvážit konkrétní podmínky firmy, charakter její činnosti. Proto se informační systémy pro podporu QMS významně liší např. z hlediska počtu použitých modulů. Pro vybudování reálné funkční SW podpory QMS je tedy vhodné realizovat projekt dle konkrétních podmínek podniku, odborné úrovně jeho útvaru ŘJ a personálního i technického zabezpečení IT/IS, rozvoje a realizace celopodnikového systému řízení, disponibilních finančních prostředků atd. 64

65 Tam, kde podnik má funkční celopodnikový systém řízení, včetně řešení jeho informační báze, tam je zpravidla prostor pro uspokojování požadavků, potřeb a rozvoje informační podpory QMS. Druhá krajní varianta spočívá ve stavu, kdy podnik nemá dořešený systém celopodnikového řízení, má funkční pouze některé jeho segmenty, často v nejednotném programovém prostředí. Zde je obvykle informační podpora QMS dílčí nebo omezena většinou jen na neshodné výrobky a reklamace. Z výše uvedeného popisu stavů informační podpory QMS vyplývají i dva rozdílné, avšak pro implementaci v podnikové praxi žádoucí přístupy, které pro tuto potřebu označíme variantami i a II (jak přehledně uvádí tab. 5.1): a) V podniku, který nemá dobudován svůj funkční systém řízení, je nutno se v případě rozhodnutí o implementaci informační podpory QMS zaměřit na podporu kriteriálních funkcí QMS, které jsou současně příčinou nejvyšších nákladů a zdrojem možných přínosů QMS varianta I. Na obrázku 5.1 je uvedeno možné schéma, kde pro potřebu středně velkého (do 250 pracovníků) strojírenského podniku jsou doporučeny programové moduly, které jsou v souladu s požadavky ČSN EN 9001:2001. V tomto případě nelze obvykle počítat s možností plného sdílení informační báze celopodnikového informačního systému (není dobudována), proto i informační základna pro podporu QMS je vytvářena zpravidla z části přejímáním z dostupné celopodnikové báze, z větší části autonomní tvorbou pro QMS. b) Na obrázku 5.2 je uvedeno možné schéma, kde v podmínkách rozvinutého systému celopodnikového řízení, v jednotném SW prostředí, s kvalifikovanými pracovníky IT/IS a funkčním útvarem ŘJ lze plně využívat výhod jednotného informačního systému, varianta II. V tomto případě není neřešitelným problémem úzká spolupráce a získání potřebných informací pro QMS z podnikových subsystémů (modulů) tak, aby pokryly požadavky ISO 9001:2000, resp. TQM, EFQM 65

66 Rozsah, obsah a forma jednotlivých modulů, které naplňují informačně požadavky QMS, nebudou a ani nemohou být jednotné, plně standardizované. Avšak dominantním ukazatelem způsobilosti SW podpory QMS bude v tomto případě: Počet procesů dle ISO 9001:2000, které SW podpora QMS pokrývá objektivní ukazatel. Rozsah a úroveň informací o jednotlivých procesech QMS z části objektivní ukazatel. Dostatečnost pro posuzování, analyzování a zlepšování procesů, subjektivní ukazatel, posuzováno potřebami, kvalifikací a možnostmi uživatele. 66

67 Tab. 5.1: Přehled modulů I. a II. varianta Č. Oblast činnosti /modul I. varianta II. varianta 1. Plánování jakosti X X 2. Řízení dokumentace X X 3. Procesy - identifikace, kritéria a metody X řízení procesů, procesní mapy 4. Evidence a údržba HIM X 5. Spolehlivost výrobních strojů a zařízení X X 6. Zdroje finanční, informační X a technicko-výrobní 7. Personalistika, způsobilost, výcvik X X 8. Bezpečnost, hygiena práce X X 9. Marketing a prodej X 10. Řízení projektů X 11. Návrh a vývoj X X 12. FMEA X X 13. Nakupování, zásobování, logistika X 14. Plánování a řízení výroby X 15. Výrobní evidence X 16. Metrologie X X 17. Hlášení neshod X X 18. Reklamace aktivní a pasivní X X 19. Interní audity X X 20. Opatření k nápravě X X 21. Preventivní opatření X X 22. Statistický analytický SW pro QMS X X 23. Spokojenost zákazníka X X 24. Ověřování plánovaných výsledků a kontinuální zlepšování procesů X 67

68 Počet uvedených modulů I. varianty není dogma nebo striktní předpis, je však možným souborem modulů, které svým rozsahem, obsahem a formou pokrývají funkce QMS, které mají užší vazbu na působnost útvaru řízení jakosti v podmínkách a požadavcích ISO 9001:2000. Verzí v tomto případě rozumíme celkový počet modulů informačního systému pro QMS. Struktura QMS je orientována na zabezpečení souboru činností při ověřování shody zadání a výstupů v procesech výroby, služeb a řídících, administrativních a obslužných procesů. Proto vlastní tvorba konkrétních operací, např. technologických procesů, zde není zahrnuta, výsledky (způsobilost) však ano prostřednictvím přehledu uvedených modulů. Přehled modulů II. varianty pokrývá svými realizačními výstupy, za využití rozvinutého informačního systému podniku, již spektrum požadavků ISO 9001:2000, s omezeními, danými dostupností či existencí segmentů celopodnikového systému řízení. 68

69 Obr. 5.1: SW podpora pro ČSN EN ISO 9001:2001 varianta I 69

70 Obr. 5.2: SW podpora pro ČSN EN ISO 9001:2001 varianta II 70

71 6 UKÁZKA FUNKČNÍHO MODULU METROLOGIE, INFORMAČNÍ PODPORY QMS PRO MALÉ A STŘEDNÍ PODNIKY VÝROBNÍ A SLUŽEB 6.1 Základní charakteristika Modul slouží k evidenci a plánování činností spojených se zabezpečováním metrologického pořádku v organizaci. Řízení měřicích a monitorovacích zařízení je předmětem kapitoly 7.6 normy ČSN EN ISO 9001:2001. Modul umožňuje vystavovat a aktualizovat evidenční a kalibrační listy měřidel i kalibrů. Poskytuje přehled evidenčních listů podle druhů kontrolních prostředků a rozbory evidenčních listů podle data příští kalibrace (konce platnosti kontrolního prostředku). Modul pro metrologickou evidenci se skládá ze submodulů základní evidence měřidel a ze speciální evidence kalibrů. Evidence kalibrů je speciální evidence mezních měřidel, určená zejména pro strojírenské organizace s velkým počtem těchto měřidel. Kalibry jsou definovány technickým popisem (druh kalibru, závit, rozměr, stoupání závitu a tolerance) a pořadovým číslem. Evidence kalibrů je obdobou evidence měřidel. Pro každý evidovaný kalibr lze zakládat podle data kalibrace kalibrační listy, na kterých jsou automaticky vyhodnoceny naměřené rozměry. Pro celkovou informaci o možnostech uvedeného modulu Metrologie, připadajících v úvahu pro náročnější a rozsáhlejší výrobní programy, jsou v modulu Metrologie ještě k dispozici submoduly: Program pro výpočet rozměrů, tolerancí a kalibrů. Submodul MSA, analýza systémů měření (opakovatelnost a reprodukovatelnost měřením a srovnáváním a způsobilost měřidla C g a C gk ). Tyto dva uvedené submoduly v tomto textu nejsou uvedeny. Pro ucelení představy o práci s funkčním podnikovým modulem Metrologie, který pro svou jednoznačnou určenost (podnikovými předpisy i státní legislativou) je pro ukázku zejména vhodný, následuje ukázka jeho obsluhy. 71

72 6.1.1 Evidence měřidel Evidence měřidel je univerzální evidence jakéhokoliv kontrolního prostředku v libovolném typu organizace. Měřidlo je na evidenčním listu definováno: technickým popisem (obor měření, skupina a druh měřidla) a pořadovým číslem v rámci daného druhu. Dále formulář zápisu umožňuje zaznamenat tyto informace: metrologická kategorie měřidla, inventární číslo, rozsah a přesnost měřidla, informace o výrobci, ceně a výrobním čísle, informace o uživateli a umístění měřidla v organizaci, informace o příslušném etalonu, kalibračním postupu, času a nákladech na kalibraci. 6.2 Základy obsluhy systému Ochrana kódy a správa systému Prvním krokem při práci s programem je přihlášení uživatele do systému. Systém při spuštění vyžaduje zadání uživatelského jména a hesla. Uživatelská jména a hesla přiděluje pověřený správce databáze. Správce databáze pro jednotlivé uživatele rovněž určí úroveň jejich přístupu k uživatelským funkcím a datům. Správa systému je správci databáze přístupná v menu Služby. Obr : Přihlášení do systému 72