Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus

Tvrtka In Rebus d.o.o., Sv. Mateja 5, 10 000 Zagreb, OIB: 91591564577, provodi projekt „Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus “.

Naziv projekta: Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus

Naziv korisnika: In Rebus d.o.o. Zagreb

Ukupna vrijednost projekta: 208.750,00 HRK

EU sufinanciranje projekta: 141.950,00 HRK

Razdoblje provedbe projekta: 1.9.2020. – 1.9.2021.

Projekt je sufinanciran sredstvima iz Europskog fonda za regionalni razvoj (link www.strukturnifondovi.hr)

.

.

OPIS PROJEKTA

Općenito se projekt može okarakterizirati trima veličinama, koje navodimo na samom projektu:

  • Cilj – odgovara na pitanje “ZAŠTO”, tj koji je razlog provođenja projekta
  • Doseg – odgovara na pitanje “ŠTO”, tj, što je obuhvaćeno projektom
  • Pristup – odgovara na pitanje: “KAKO”, tj. kako ćemo doći do cilja

Temeljni cilj projekta je usklađenje s normama ISO 9001:2015 i ISO 27001:2013 te certificiranje po tim normama. Doseg projekta su interni procesi i sustavi te poslovanje društva, u koje je potrebno implementirati odredbe normi. Pristup projektu se sastoji od  snimanja trenutnog stanja, definiranja ciljanog konačnog stanja te uvođenja promjena u procese i sustave, kao i edukacije. Osnovni predmet usklađenja su interni procesi i poslovni sustavi. Nastavno na njih, predmet usklađenja su interni akti, promjena procesa i aktivnosti i cilju postizanja kvalitete i sigurnosti informacija.

FAZE PROJEKTA

A. Pripremna faza

Radovi pripreme na ovom projektu obuhvaćaju sljedeće aktivnosti:

  1. Uspostava projektnih aktivnosti

Uspostava projektnog tima, pisanje projektnog i izvedbenog plana, metodologije rada te komunikacije i aktivnosti vođenja projekta

  1. Edukacija

Tijekom cijelog trajanja projekta, vanjski konzultanti educiraju osoblje naručitelja, za svaku fazu projekta. Na kraju projekta se obavlja završni konsolidirani edukacijski tečaj, predviđenog trajanja, a opseg pojedinih tema varira i određuje se na temelju rezultata usvojenog znanja tijekom projekta

  1. Analiza trenutnog stanja

Analiza trenutnog stanja obuhvaća analizu procesa, procedura i sustava koji su trenutno zastupljeni u društvu, a koji služe za uspostavu kvalitete i sigurnosti informacija. Stupanj usklađenja internih procesa, aktivnosti i sustava se dokumentiraju.

  1. Izrada GAP analize

Prvo se pristupa izradi dokumenta ciljanog stanja. Ova faza isporučuje popis aktivnosti koje su potrebne da se dio procesa i sustava uskladi s normama, imajući u vidu da nisu jednaki koraci na svim procesima i sustavima, jer su neki više ili manje usklađeni u samom startu. Temeljem analize trenutnog stanja i poznatog popisa ciljanog stanja, dolazimo do potrebnih koraka u izvedbi.

  • Implementacija

Radno najintenzivnija faza projekta je implementacija normi, prema rezultatima GAP analize i definiranom ciljanom konačnom stanju procesa. Ova faza obuhvaća implementaciju koraka za ostvarenje postavljenih ciljeva, što zaposlenici društva obavljaju samostalno, ali uz pomoć i savjet vanjskog konzultanta. Taj dio aktivnosti obuhvaća izradu interne regulative, kao i implementaciju novih koraka internih poslovnih procesa, s obaveznom izradom zapisa o poslovnim događajima, koji služe za mjerenje metrike i analizu, temeljem kojih će se nakon implementacije sustava, moći mjeriti procesi te uvoditi poboljšanja. Nakon implementacije, obavlja se mjerenje, uvode se metrike te se implementira proces kružne cikličke primjene i mjerenja poboljšanja (tzv, model PDCA  – „Plan-Do-Check-Act“ – Planiranje, implementacija, mjerenje, korekcija).

  • Certifikacija

Proces certificiranja prema navedenim normama je završna faza projekta. Postupak certificiranja temelji se na aktivnostima: definiranja audit tima i raspona i opsega nadzora te samom provedbom audita. Zadnja aktivnost  procesa certifikacije je dostava  izviješća o obavljenom certifikacijskom auditu (nadzoru), koja se direktno komunicira na završnom sastanku auditora, pred odgovornim osobama prijavitelja i članovima projektnog tima. Nakon prihvaćenog izvještaja o obavljenom certifikacijskom nadzoru, Akreditacijska kuća izdaje certifikat, što je ujedno i konačni rezultat procesa certifikacije.

Benefiti QMS-a

Prvi od osnovnih ciljeva projekta je uspostava QMS-a, odnosno skup politika, procesa, dokumentiranih procedura i zapisa. Ova zbirka dokumentacije definira skup internih pravila koja će propisivati kako prijavitelj izrađuje i isporučuje proizvod ili uslugu svojim kupcima. Sustav upravljanja kvalitetom mora biti usklađen s potrebama, proizvodima i uslugama koje prijavitelj pruža. ISO 9001:2015 standard daje smjernice kako bi prijavitelj bio siguran da nije propustio važne elemente potrebne za uspješan QMS. Benefiti uspostave QMS-a su uspostava ponavljajućih procedura kvalitete, vidljivost i rejting, unaprjeđenje procesa proizvodnje softvera u skladu sa zahtjevima norme ISO 9001:2015, povećanje konkurentske sposobnosti na tržištu. Jedno od ključnih načela ISO 9001:2015 sustava upravljanja kvalitetom je usredotočenost na poboljšanje zadovoljstva kupaca prepoznavanjem i ispunjavanjem zahtjeva i potreba kupaca. Poboljšavanjem zadovoljstva kupaca, unaprjeđuje se i ponovno poslovanje s tim kupcima. Uz ISO 9001:2015 procesni pristup, promatraju se pojedinačni procesi u organizaciji kao i interakcije i međuovisnosti tih procesa. Na taj način mogu se lakše pronaći područja za unaprjeđenje i uštede unutar organizacije. Najvažnija značajka ISO 9001:2015 sastava upravljanja kvalitetom je osiguranje da se odluke donose temeljem metrike, a to je ključ uspjeha upravljačkog sustava. Time se resursi mogu bolje usmjeriti ka učinkovitijem rješavanju izazova i unaprjeđenju organizacijske učinkovitosti i djelotvornosti. Uz stalno unaprjeđenje kao glavnu isporuku sustava upravljanja kvalitetom, ostvaruju se vrijednosti parametara kvalitete, veće  uštede u vremenu, novcu i drugim resursima, te povećanje učinkovitosti.

Doseg projekta u dijelu usklađenja s normom ISO 9001. Doseg projekta je uspostava QMS-a. Doseg je naveden kako slijedi:

  1. GAP-analiza
  2. Priprema dokumentacije
  3. Modeliranje procesa i izrada pripadajuće dokumentacije kako slijedi:
  4. Interni audit;
  5. Upravina Ocjena;
  6. Prilagodba;

Benefiti ISMS-a

Drugi od osnovnih ciljeva projekta je uspostava ISMS-a. ISO 27001:2013 je međunarodni standard objavljen od strane Međunarodne Organizacije za Standardizacije (ISO) koji definira kontrole za upravljanje informacijskom sigurnošću. ISO 27001:2013 je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti informacija. Temeljni princip sustava upravljanja sigurnošću prema normi ISO 27001:2013 se zasniva na upravljanju rizicima. Taj proces se sastoji od identifikacije i analize rizika, te definiranja koraka kojima se ti rizici tretiraju (umanjuju, eliminiraju, zaobilaze). Ti koraci su  sigurnosne mjere, koje se implementiraju, a mogu biti administrativne (propisi: politike procedure upute i dr) logičke (informacijski sustavi za pristup podacima) i fizičke (fizički pristup). U većini slučajeva tvrtke već imaju uspostavljene Interne procedure, ali postoje neusklađenosti s normama, u vidu propusta u organizaciji i implementaciji tehničkih parametara. Stoga se okosnica primjene ISO 27001 odnosi na uspostavu organizacijskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se propisale aktivnosti i tehničke mjere koje smanjuju narušavanje sigurnosti. Benefiti uspostave ISMS-a su porast stupnja sigurnosti informacija, uspostava procesa sigurnosti primjenom norme, bolja vidljivost u partnerskim odnosima, bolji rejting na tržištu, usklađenje poslovne strategije i procesa sigurnosti informacija, ispunjenje tržišnih zahtjeva za usklađenošću. Primjenom ovog standarda informacijske sigurnosti zadovoljavaju se i pravni zahtjevi. Postoji sve više zakona, propisa i ugovornih zahtjeva u svezi informacijske sigurnosti, a primjenom norme ISO 27001:2013 postiže se visoki stupanj usklađenosti. Stoga ovaj standard pruža vrlo učinkovitu metodologiju za usklađenje s propisima koji postavljaju zahtjeve na sigurnost informacija (primjer je GDPR). Nadalje, primjenom ovog standarda ostvaruje se marketinška prednost. Prijaviteljeva temeljna djelatnost je izrada softvera, a kada se radi o poslovnom softveru, sigurnost informacija i osiguranje kvalitete su ključni. Jedan od dodatnih benefita uvođenja norme je i smanjenje troškova, što se vidi kroz primjer implementacije upravljanja incidentima, kojeg Norma propisuje. Taj proces služi za evidenciju, analizu i uklanjanje uzroka neželjenih događaja, koji  narušavaju usluge. Narušavanje usluge se može dovesti u korelaciju s troškovima. Većom produktivnošću ovog procesa, se ujedno i postižu uštede, jer aktivnosti na uklanjanju incidenata ili umanjenju njihova utjecaja donose uštedu činjenicom da se incidenti mjere u utrošenom novcu (zbog vremena resursa i slično). Dakle, sprečavajući incidente društvo će uštedjet resurse koje bi moglo iskoristiti negdje drugdje.

Doseg projekta u dijelu usklađenja s normom ISO 27001

Doseg projekta je uspostava ISMS-a, a koji je naveden kako slijedi:

  • Organizacija upravljanja sigurnošću
  • Implementacija sigurnosti u projektima
  • Udaljeno spajanje
  • Sigurnost ljudskih resursa
  • Upravljanje imovinom informacijskog sustava
  • Upravljanje pravima pristupa
  • Fizička sigurnost
  • Sigurnost u operativnim postupcima
  • Zaštita na komunikacijama
  • Razvoj i održavanje
  • Odnosi s trećim stranama
  • Upravljanje incidentima
  • Upravljanje rizicima
  • Upravljanje kontinuitetom poslovanja
  • Izrada SOA dokumenta
  • Certifikacija

Uz navedene procese naručitelju će se isporučiti interni akti koji definiraju te procese, kako je navedeno u dosegu. Također, uz navedene procese naručitelju će se isporučiti interni akti upravljačkih i nadzornih procesa: Politika sigurnosti informacijskog sustava; Metodologija unutarnje revizije, Izvještaj revizije, Upravina ocjena. Projekt će u cijelost obvezati društvu prijavitelja u kontinuirano educiranje djelatnika, povećanje kvalitativne razine istih te olakšati prisutnost na sve širem tržištu kako kupaca tako i dobavljača usvojenošću kodeksa poslovanja priznatom od strane velikog broja zemalja članica EU-a. U portfelju društva prijavitelja povećat će se kategorija nematerijalne imovine uz referencu “know how” s temeljem održivost u poslovnom i potrošačkom okruženju. Projekt će se provoditi u trajanju od najviše 12 mjeseci.

CILJEVI PROJEKTA:

Projekt će obuhvatiti usklađenje poslovanja društva In Rebus d.o.o. sa standardima ISO 9001:2015 i ISO 27001:2013. Implementacijom normi In Rebus d.o.o. će prilagoditi interne procese u cilju povećanja kvalitete svojih usluga te upravljanje informacijskim sustavom i informacijskom sigurnošću. Certificiranje će omogućiti društvu In Rebus d.o.o. sustavno vrednovanje i globalnu usklađenost u upravljanju poslovnim procesima i sigurnošću informacija. Projekt će trajati 12 mjeseci te će rezultati  dovesti do ispunjenja specifičnog cilja, odnosno svrhe projekta koji je direktno vezan na dugoročne ciljeve razvoja društva a to je povećana konkurentnost društva na globalnom tržištu uvođenjem ISO 9001:2015 i ISO 27001:2013 sustava upravljanja kvalitetom i informacijskom sigurnosti.

PRAĆENJE PROJEKTA UVOĐENJE SUSTAVA ISO 9001:2015 I ISO 2700:2013 U DRUŠTVO IN REBUS:

Projekt je započet u rujnu 2020. godine te su izabrani dobavljači za vidljivost projekta, pripremu dokumentacije za uvođenje sustava ISO 9001:2015 i ISO 27001:2013 kao i za edukaciju zaposlenika društva In Rebus. Društvo je na svoju web stranicu postavilo informacije o projektu te je izrađen plakat vidljivosti. Trenutno se provodi aktivnost pripreme dokumentacije koja bi trebala biti dovršena u ožujku 2021. godine.

PRAĆENJE PROJEKTA, PRIPREMA DOKUMENTACIJE ZA UVOĐENJE SUSTAVA ISO 9001:2015 I ISO 2700:2013 U DRUŠTVO IN REBUS:

Provedene su aktivnosti Pripreme dokumentacije za uspostavu sustava upravljanja poslovnim procesima ISO 9001:2015 (Ukupna aktivnost je obuhvaćala slijed radnji od analize i vrednovanja postojećeg stanja u odnosu na zahtjeve iz ISO 9001:2015 i to: GAP analiza; priprema dokumentacije, modeliranje procesa i izrada pripadajuće dokumentacije) i  Pripreme dokumentacije za uspostavu sustava upravljanja sigurnošću informacija ISO 27001:2013 (Ukupna aktivnost obuhvaća slijed radnji od analize i vrednovanja postojećeg stanja u odnosu na zahtjeve iz ISO 27001:2013 i to: organizacija upravljanja sigurnošću, implementacija sigurnosti u projektima, udaljeno spajanje, sigurnost ljudskih resursa, upravljanje imovinom informacijskog sustava, upravljanje pravima pristupa, fizička sigurnost, sigurnost u operativnim postupcima, zaštita na komunikacijama, razvoj i održavanje, odnosi s trećim stranama, upravljanje incidentima, upravljanje rizicima, upravljanje kontinuitetom poslovanja, izrada SOA dokumenta).

Trenutno je u pripremi Edukacija zaposlenika za upravljanje sustavom upravljanja poslovnim procesima ISO 9001:2015 i Edukacija zaposlenika za upravljanje sustavom sigurnošću informacija ISO 270001:2013.

Ova publikacija je ostvarena uz financijsku potporu Europske unije. Ova publikacija odražava isključivo stajalište autora publikacije i Europska unija ne može biti odgovorna za informacije koje se u njoj nalaze

O NAMA

IN REBUS – mi proizvodimo softver. Naš tim se sastoji od iskusnih projektanata-programera i mreže konzultanata.

Iskustvo koje smo stekli u različitim industrijama osigurat će Vam lakše postizanje poslovnih ciljeva.

KONTAKT

GDJE SMO