Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus
Tvrtka In Rebus d.o.o., Sv. Mateja 5, 10 000 Zagreb, OIB: 91591564577, provodi projekt „Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus “.
Naziv projekta: Uvođenje sustava ISO 9001-2015 i ISO 27001-2013 u društvo In Rebus
Naziv korisnika: In Rebus d.o.o. Zagreb
Ukupna vrijednost projekta: 208.750,00 HRK
EU sufinanciranje projekta: 141.950,00 HRK
Razdoblje provedbe projekta: 1.9.2020. – 1.9.2021.
Projekt je sufinanciran sredstvima iz Europskog fonda za regionalni razvoj (link www.strukturnifondovi.hr)
.
.
OPIS PROJEKTA
Općenito se projekt može okarakterizirati trima veličinama, koje navodimo na samom projektu:
- Cilj – odgovara na pitanje “ZAŠTO”, tj koji je razlog provođenja projekta
- Doseg – odgovara na pitanje “ŠTO”, tj, što je obuhvaćeno projektom
- Pristup – odgovara na pitanje: “KAKO”, tj. kako ćemo doći do cilja
Temeljni cilj projekta je usklađenje s normama ISO 9001:2015 i ISO 27001:2013 te certificiranje po tim normama. Doseg projekta su interni procesi i sustavi te poslovanje društva, u koje je potrebno implementirati odredbe normi. Pristup projektu se sastoji od snimanja trenutnog stanja, definiranja ciljanog konačnog stanja te uvođenja promjena u procese i sustave, kao i edukacije. Osnovni predmet usklađenja su interni procesi i poslovni sustavi. Nastavno na njih, predmet usklađenja su interni akti, promjena procesa i aktivnosti i cilju postizanja kvalitete i sigurnosti informacija.
FAZE PROJEKTA
A. Pripremna faza
Radovi pripreme na ovom projektu obuhvaćaju sljedeće aktivnosti:
- Uspostava projektnih aktivnosti
Uspostava projektnog tima, pisanje projektnog i izvedbenog plana, metodologije rada te komunikacije i aktivnosti vođenja projekta
- Edukacija
Tijekom cijelog trajanja projekta, vanjski konzultanti educiraju osoblje naručitelja, za svaku fazu projekta. Na kraju projekta se obavlja završni konsolidirani edukacijski tečaj, predviđenog trajanja, a opseg pojedinih tema varira i određuje se na temelju rezultata usvojenog znanja tijekom projekta
- Analiza trenutnog stanja
Analiza trenutnog stanja obuhvaća analizu procesa, procedura i sustava koji su trenutno zastupljeni u društvu, a koji služe za uspostavu kvalitete i sigurnosti informacija. Stupanj usklađenja internih procesa, aktivnosti i sustava se dokumentiraju.
- Izrada GAP analize
Prvo se pristupa izradi dokumenta ciljanog stanja. Ova faza isporučuje popis aktivnosti koje su potrebne da se dio procesa i sustava uskladi s normama, imajući u vidu da nisu jednaki koraci na svim procesima i sustavima, jer su neki više ili manje usklađeni u samom startu. Temeljem analize trenutnog stanja i poznatog popisa ciljanog stanja, dolazimo do potrebnih koraka u izvedbi.
- Implementacija
Radno najintenzivnija faza projekta je implementacija normi, prema rezultatima GAP analize i definiranom ciljanom konačnom stanju procesa. Ova faza obuhvaća implementaciju koraka za ostvarenje postavljenih ciljeva, što zaposlenici društva obavljaju samostalno, ali uz pomoć i savjet vanjskog konzultanta. Taj dio aktivnosti obuhvaća izradu interne regulative, kao i implementaciju novih koraka internih poslovnih procesa, s obaveznom izradom zapisa o poslovnim događajima, koji služe za mjerenje metrike i analizu, temeljem kojih će se nakon implementacije sustava, moći mjeriti procesi te uvoditi poboljšanja. Nakon implementacije, obavlja se mjerenje, uvode se metrike te se implementira proces kružne cikličke primjene i mjerenja poboljšanja (tzv, model PDCA – „Plan-Do-Check-Act“ – Planiranje, implementacija, mjerenje, korekcija).
- Certifikacija
Proces certificiranja prema navedenim normama je završna faza projekta. Postupak certificiranja temelji se na aktivnostima: definiranja audit tima i raspona i opsega nadzora te samom provedbom audita. Zadnja aktivnost procesa certifikacije je dostava izviješća o obavljenom certifikacijskom auditu (nadzoru), koja se direktno komunicira na završnom sastanku auditora, pred odgovornim osobama prijavitelja i članovima projektnog tima. Nakon prihvaćenog izvještaja o obavljenom certifikacijskom nadzoru, Akreditacijska kuća izdaje certifikat, što je ujedno i konačni rezultat procesa certifikacije.
Benefiti QMS-a
Prvi od osnovnih ciljeva projekta je uspostava QMS-a, odnosno skup politika, procesa, dokumentiranih procedura i zapisa. Ova zbirka dokumentacije definira skup internih pravila koja će propisivati kako prijavitelj izrađuje i isporučuje proizvod ili uslugu svojim kupcima. Sustav upravljanja kvalitetom mora biti usklađen s potrebama, proizvodima i uslugama koje prijavitelj pruža. ISO 9001:2015 standard daje smjernice kako bi prijavitelj bio siguran da nije propustio važne elemente potrebne za uspješan QMS. Benefiti uspostave QMS-a su uspostava ponavljajućih procedura kvalitete, vidljivost i rejting, unaprjeđenje procesa proizvodnje softvera u skladu sa zahtjevima norme ISO 9001:2015, povećanje konkurentske sposobnosti na tržištu. Jedno od ključnih načela ISO 9001:2015 sustava upravljanja kvalitetom je usredotočenost na poboljšanje zadovoljstva kupaca prepoznavanjem i ispunjavanjem zahtjeva i potreba kupaca. Poboljšavanjem zadovoljstva kupaca, unaprjeđuje se i ponovno poslovanje s tim kupcima. Uz ISO 9001:2015 procesni pristup, promatraju se pojedinačni procesi u organizaciji kao i interakcije i međuovisnosti tih procesa. Na taj način mogu se lakše pronaći područja za unaprjeđenje i uštede unutar organizacije. Najvažnija značajka ISO 9001:2015 sastava upravljanja kvalitetom je osiguranje da se odluke donose temeljem metrike, a to je ključ uspjeha upravljačkog sustava. Time se resursi mogu bolje usmjeriti ka učinkovitijem rješavanju izazova i unaprjeđenju organizacijske učinkovitosti i djelotvornosti. Uz stalno unaprjeđenje kao glavnu isporuku sustava upravljanja kvalitetom, ostvaruju se vrijednosti parametara kvalitete, veće uštede u vremenu, novcu i drugim resursima, te povećanje učinkovitosti.
Doseg projekta u dijelu usklađenja s normom ISO 9001. Doseg projekta je uspostava QMS-a. Doseg je naveden kako slijedi:
- GAP-analiza
- Priprema dokumentacije
- Modeliranje procesa i izrada pripadajuće dokumentacije kako slijedi:
- Interni audit;
- Upravina Ocjena;
- Prilagodba;
Benefiti ISMS-a
Drugi od osnovnih ciljeva projekta je uspostava ISMS-a. ISO 27001:2013 je međunarodni standard objavljen od strane Međunarodne Organizacije za Standardizacije (ISO) koji definira kontrole za upravljanje informacijskom sigurnošću. ISO 27001:2013 je usredotočen na zaštitu povjerljivosti, cjelovitosti i raspoloživosti informacija. Temeljni princip sustava upravljanja sigurnošću prema normi ISO 27001:2013 se zasniva na upravljanju rizicima. Taj proces se sastoji od identifikacije i analize rizika, te definiranja koraka kojima se ti rizici tretiraju (umanjuju, eliminiraju, zaobilaze). Ti koraci su sigurnosne mjere, koje se implementiraju, a mogu biti administrativne (propisi: politike procedure upute i dr) logičke (informacijski sustavi za pristup podacima) i fizičke (fizički pristup). U većini slučajeva tvrtke već imaju uspostavljene Interne procedure, ali postoje neusklađenosti s normama, u vidu propusta u organizaciji i implementaciji tehničkih parametara. Stoga se okosnica primjene ISO 27001 odnosi na uspostavu organizacijskih propisa (tj. pisanje dokumenata) koji su neophodni da bi se propisale aktivnosti i tehničke mjere koje smanjuju narušavanje sigurnosti. Benefiti uspostave ISMS-a su porast stupnja sigurnosti informacija, uspostava procesa sigurnosti primjenom norme, bolja vidljivost u partnerskim odnosima, bolji rejting na tržištu, usklađenje poslovne strategije i procesa sigurnosti informacija, ispunjenje tržišnih zahtjeva za usklađenošću. Primjenom ovog standarda informacijske sigurnosti zadovoljavaju se i pravni zahtjevi. Postoji sve više zakona, propisa i ugovornih zahtjeva u svezi informacijske sigurnosti, a primjenom norme ISO 27001:2013 postiže se visoki stupanj usklađenosti. Stoga ovaj standard pruža vrlo učinkovitu metodologiju za usklađenje s propisima koji postavljaju zahtjeve na sigurnost informacija (primjer je GDPR). Nadalje, primjenom ovog standarda ostvaruje se marketinška prednost. Prijaviteljeva temeljna djelatnost je izrada softvera, a kada se radi o poslovnom softveru, sigurnost informacija i osiguranje kvalitete su ključni. Jedan od dodatnih benefita uvođenja norme je i smanjenje troškova, što se vidi kroz primjer implementacije upravljanja incidentima, kojeg Norma propisuje. Taj proces služi za evidenciju, analizu i uklanjanje uzroka neželjenih događaja, koji narušavaju usluge. Narušavanje usluge se može dovesti u korelaciju s troškovima. Većom produktivnošću ovog procesa, se ujedno i postižu uštede, jer aktivnosti na uklanjanju incidenata ili umanjenju njihova utjecaja donose uštedu činjenicom da se incidenti mjere u utrošenom novcu (zbog vremena resursa i slično). Dakle, sprečavajući incidente društvo će uštedjet resurse koje bi moglo iskoristiti negdje drugdje.
Doseg projekta u dijelu usklađenja s normom ISO 27001
Doseg projekta je uspostava ISMS-a, a koji je naveden kako slijedi:
- Organizacija upravljanja sigurnošću
- Implementacija sigurnosti u projektima
- Udaljeno spajanje
- Sigurnost ljudskih resursa
- Upravljanje imovinom informacijskog sustava
- Upravljanje pravima pristupa
- Fizička sigurnost
- Sigurnost u operativnim postupcima
- Zaštita na komunikacijama
- Razvoj i održavanje
- Odnosi s trećim stranama
- Upravljanje incidentima
- Upravljanje rizicima
- Upravljanje kontinuitetom poslovanja
- Izrada SOA dokumenta
- Certifikacija
Uz navedene procese naručitelju će se isporučiti interni akti koji definiraju te procese, kako je navedeno u dosegu. Također, uz navedene procese naručitelju će se isporučiti interni akti upravljačkih i nadzornih procesa: Politika sigurnosti informacijskog sustava; Metodologija unutarnje revizije, Izvještaj revizije, Upravina ocjena. Projekt će u cijelost obvezati društvu prijavitelja u kontinuirano educiranje djelatnika, povećanje kvalitativne razine istih te olakšati prisutnost na sve širem tržištu kako kupaca tako i dobavljača usvojenošću kodeksa poslovanja priznatom od strane velikog broja zemalja članica EU-a. U portfelju društva prijavitelja povećat će se kategorija nematerijalne imovine uz referencu “know how” s temeljem održivost u poslovnom i potrošačkom okruženju. Projekt će se provoditi u trajanju od najviše 12 mjeseci.
CILJEVI PROJEKTA:
Projekt će obuhvatiti usklađenje poslovanja društva In Rebus d.o.o. sa standardima ISO 9001:2015 i ISO 27001:2013. Implementacijom normi In Rebus d.o.o. će prilagoditi interne procese u cilju povećanja kvalitete svojih usluga te upravljanje informacijskim sustavom i informacijskom sigurnošću. Certificiranje će omogućiti društvu In Rebus d.o.o. sustavno vrednovanje i globalnu usklađenost u upravljanju poslovnim procesima i sigurnošću informacija. Projekt će trajati 12 mjeseci te će rezultati dovesti do ispunjenja specifičnog cilja, odnosno svrhe projekta koji je direktno vezan na dugoročne ciljeve razvoja društva a to je povećana konkurentnost društva na globalnom tržištu uvođenjem ISO 9001:2015 i ISO 27001:2013 sustava upravljanja kvalitetom i informacijskom sigurnosti.
PRAĆENJE PROJEKTA UVOĐENJE SUSTAVA ISO 9001:2015 I ISO 2700:2013 U DRUŠTVO IN REBUS:
Projekt je započet u rujnu 2020. godine te su izabrani dobavljači za vidljivost projekta, pripremu dokumentacije za uvođenje sustava ISO 9001:2015 i ISO 27001:2013 kao i za edukaciju zaposlenika društva In Rebus. Društvo je na svoju web stranicu postavilo informacije o projektu te je izrađen plakat vidljivosti. Trenutno se provodi aktivnost pripreme dokumentacije koja bi trebala biti dovršena u ožujku 2021. godine.
PRAĆENJE PROJEKTA, PRIPREMA DOKUMENTACIJE ZA UVOĐENJE SUSTAVA ISO 9001:2015 I ISO 2700:2013 U DRUŠTVO IN REBUS:
Provedene su aktivnosti Pripreme dokumentacije za uspostavu sustava upravljanja poslovnim procesima ISO 9001:2015 (Ukupna aktivnost je obuhvaćala slijed radnji od analize i vrednovanja postojećeg stanja u odnosu na zahtjeve iz ISO 9001:2015 i to: GAP analiza; priprema dokumentacije, modeliranje procesa i izrada pripadajuće dokumentacije) i Pripreme dokumentacije za uspostavu sustava upravljanja sigurnošću informacija ISO 27001:2013 (Ukupna aktivnost obuhvaća slijed radnji od analize i vrednovanja postojećeg stanja u odnosu na zahtjeve iz ISO 27001:2013 i to: organizacija upravljanja sigurnošću, implementacija sigurnosti u projektima, udaljeno spajanje, sigurnost ljudskih resursa, upravljanje imovinom informacijskog sustava, upravljanje pravima pristupa, fizička sigurnost, sigurnost u operativnim postupcima, zaštita na komunikacijama, razvoj i održavanje, odnosi s trećim stranama, upravljanje incidentima, upravljanje rizicima, upravljanje kontinuitetom poslovanja, izrada SOA dokumenta).
Trenutno je u pripremi Edukacija zaposlenika za upravljanje sustavom upravljanja poslovnim procesima ISO 9001:2015 i Edukacija zaposlenika za upravljanje sustavom sigurnošću informacija ISO 270001:2013.
PRAĆENJE PROJEKTA, EDUKACIJA ZA UVOĐENJE SUSTAVA ISO 9001:2015 I ISO 2700:2013 U DRUŠTVO IN REBUS, CERTIFIKACIJA:
In Rebus je proveo sedmodnevnu edukaciju svojih zaposlenika za Upravljanje sustavom upravljanja poslovnim procesima ISO 9001:2015 (sustav ISMS) i edukaciju zaposlenika za Upravljanje sustavom sigurnošću informacija ISO 270001:2013 (sustav QMS), gdje su djelatnici detaljno upoznati s načelima upravljanja kvalitetom i informacijskom sigurnošću s ciljem povećanja konkurentnosti usluga na domaćem i stranom tržištu kao i važnošću sustava upravljanja informacijskom sigurnošću vlastitog sustava informacija, kako svojih vlastitih tako i od klijenata te suradnika.
Time je uspješno završen postupak certificiranja društva In Rebus za norme: ISO 9001:2015 (sustav ISMS) i ISO 270001:2013 (sustav QMS).
Ova publikacija je ostvarena uz financijsku potporu Europske unije. Ova publikacija odražava isključivo stajalište autora publikacije i Europska unija ne može biti odgovorna za informacije koje se u njoj nalaze