Prezentace předmětu: INFORMAČNÍ MANAGEMENT Vyučující: Ing. Radim Dolák, Ph.D. Název prezentace Název projektu Rozvoj vzdělávání na Slezské univerzitě v Opavě Registrační číslo projektu CZ.02.2.69/0.0./0.0/16_015/0002400 Logolink_OP_VVV_hor_barva_cz INFORMAČNÍ MANAGEMENT 10. INFORMAČNÍ AUDIT, ISO NORMY Ing. Radim Dolák, Ph.D. •Každý podnik nebo organizace by měl mít dobrý přehled o svých procesech řízení informací, aby mohl získané informace dále efektivněji využívat. Pro tyto účely se standardně provádí informační audit dané společnosti. •Mezi nejznámější systémové nástroje řízení kvality patří normy ISO řady 9000, v nichž je možné nalézt i současnou univerzální definici jakosti (kvality). Úvod csvukrs üDefinovat pojem informační audit üUvést klíčové části a oblasti, které jsou sledovány v rámci informačního auditu üUvést nejčastěji používané ISO normy Cíle přednášky csvukrs •Podle Sodomky a Klčové (2010) lze procesně orientované strategické koncepce charakterizovat jako dílčí podnikové strategie, které na bázi propojení IS/CTS a podnikových procesů umožňují efektivně plnit strategické cíle organizace. • •Lze definovat tyto tři dílčí koncepce: qERP koncepce qCRM koncepce qSCM koncepce • • • IS a procesně orientované strategické koncepce csvukrs •ERP koncepce - je založena na úzké provázanosti informačního systému, řízení interních procesů, jejichž plným vlastníkem je organizace, a řízení externích procesů, jejichž spoluvlastníky jsou zákazníci a dodavatelé společnosti. •ERP koncepce je prakticky realizována prostřednictvím ERP systému, popř. podnikových aplikací, které jako integrovaný celek primárně slouží k řízení interních procesů. IS a procesně orientované strategické koncepce csvukrs •CRM koncepce - je založena na úzké provázanosti IS, řízení externích procesů, jejichž spoluvlastníkem jsou zákazníci společnosti. •Prakticky je realizována prostřednictvím CRM systému, popř. podnikových aplikací, které jako integrovaný celek primárně slouží k řízení kontaktů, marketingových, obchodních a servisních procesů. • • • • IS a procesně orientované strategické koncepce csvukrs •SCM koncepce - je založena na úzké provázanosti informačního systému a řízení externích procesů, jejichž spoluvlastníkem jsou dodavatelé, popř. odběratelé společnosti. •Tato koncepce je realizována prakticky prostřednictvím SCM systému, popř. podnikových aplikací, které jako integrovaný celek primárně slouží k řízení procesů dodavatelského řetězce či procesů umožňujících efektivní začlenění organizace do dodavatelského řetězce jako jeho součásti. • • • • IS a procesně orientované strategické koncepce csvukrs •Každý podnik nebo organizace by měl mít dobrý přehled o svých procesech řízení informací, aby mohl získané informace dále efektivněji využívat. Pro tyto účely se standardně provádí informační audit dané společnosti. • •Podle P.W.I SECURITY lze uvést následující definice informačního auditu: „Informační audit je mezioborová informační disciplína, především z oblasti informační vědy, informačního a znalostního managementu. Užívá se jako aplikace teoretických základů informačního managementu v praxi.“ •Pro zpracování, třídění a pořádání informací je pro firmu ovšem důležitý především Informační audit systému. • • • • • Informační audit csvukrs •Podle P.W.I SECURITY lze uvést následující definice informačního auditu systému: •1. Analýza informačního systému, jejímž cílem je posoudit, zda je systém ve shodě se stanovenými požadavky (uživatelskými, legislativními, kvalitativními, bezpečnostními, normalizačními apod.). •Audit provádí nezávislá autorizovaná osoba nebo instituce, která nemá přímou odpovědnost za funkce prověřovaného systému. •2. Záznam událostí a činností vykonaných uživatelem nebo jeho jménem, důležitých z hlediska bezpečnosti informačního systému (tzv. bezpečnostní audit). Spolu s identifikací a autentizací slouží k určení zodpovědnosti při vyšetřování bezpečnostních incidentů. • • • • • Informační audit csvukrs •Audit informačního systému je příležitostí pro prověření technického stavu dílčích oblastí informačního systému a kvality systémové integrace v podniku. Podle Bezoušky (2003) jsou mezi klíčové oblasti, které jsou v rámci auditu sledovány, řazeny zejména: qinformační služby využívané jednotlivými útvary podniku, interní SLA a metriky těchto služeb, qorganizační otázky spojené s informačním systémem (přístup vedení podniku qk IS, zastoupení oddělení informatiky ve vedoucích orgánech podniku, platforma pro řízení požadavků IS, atd.), qstrategie podniku, obchodní a rozvojové plány a jejich dopad na požadavky na informační systém, qkrizové řízení podniku, backup a disaster plannig/recovery, • • • Informační audit csvukrs qexistující outsourcingové vztahy, situace vztahů k současným dodavatelům, qsystém kontroly výskytu chyb, náklady na chyby, pojištění proti ztrátám, penalizace třetích stran, qmechanismy hodnotící podmínky IS a soulad s požadavky práva, hodnocení IS v rámci auditu, interní kontrola a audity informačního systému, qzměnové řízení v klíčových procesech podporovaných informačním systémem. • • • • Informační audit csvukrs •V rámci závěrečné auditní zprávy jsou pak jednotlivé technologické celky i informace z manažerské roviny sestaveny zpět, aby vytvořily celkový obraz informačního systému z pohledu jeho provozních a rozvojových potřeb a možností. •Podle Alexandera (2016) výstupy auditu ve formě auditní zprávy je třeba zpracovat takovou formou, aby byla srozumitelná pro určeného příjemce. •V řadě případů je auditní zpráva vyhotovena v několika verzích – stručná souhrnná zpráva pro vrcholový management organizace a podrobná, technicky specializovaná zpráva pro odpovědné pracovníky útvaru IT. • Informační audit csvukrs •Obvyklá struktura výstupů auditu bezpečnosti IS zahrnuje: qpopis zjištěného stavu, qzákladní bezpečnostní posouzení systému, qpopis zjištěných nedostatků v oblasti dokumentace, qpopis zjištěných zranitelností a bezpečnostních nedostatků IS, qidentifikace kritických míst, qnávrh protiopatření, včetně doporučení postupu realizace. Informační audit csvukrs •Jak uvádí Alexander (2016), tak by měl také identifikovat zranitelnost IS a hrozby, které vyplývají z nedostatečného nastavení bezpečnostních opatření. Úkolem auditu je upozornit na zjištěné zranitelnosti, aby bylo možno pomocí následných bezpečnostních opatření tyto hrozby a zranitelnosti eliminovat nebo zmírnit na míru akceptovatelnou pro danou organizaci. •Tato opatření jsou klasifikována jako: qPreventivní qRedukční qDetekční qRepresivní qNápravná Informační audit csvukrs qPreventivní – slouží k prevenci výskytu bezpečnostních incidentů. qRedukční – opatření, která mohou být přijata v předstihu tak, aby se minimalizovaly případné škody, které mohou nastat. 
 qDetekční – pokud dojde k bezpečnostnímu incidentu, je důležité odhalit tuto skutečnost co nejdříve – detekovat. qRepresivní – opatření proti pokračování nebo opakování bezpečnostního incidentu. qNápravná – opatření sloužící k rychlé nápravě vzniklé škody. Informační audit csvukrs •Podle Doucka (2010) patří mezi nejznámější systémové nástroje řízení kvality normy ISO řady 9000, v nichž je možné nalézt i současnou univerzální obecnou definici jakosti (kvality). •Podle Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví jsou ISO normy mezinárodní, celosvětově platné normy vydávané Mezinárodní organizací pro standardizaci. Systémy řízení kvality tvoří specifickou skupinu standardů. Požadavky ISO norem jsou univerzální, lze je využít organizacemi bez ohledu na jejich typ, velikost a sektor působnosti. Většina norem je koncipována tak, aby umožňovala integraci s dalšími systémy řízení. •Technické normy jsou dokumentované dohody, které pro všeobecné a opakované použití poskytují pravidla, směrnice, pokyny nebo charakteristiky činností nebo jejich výsledků, které zajišťují, aby materiály, výrobky, postupy a služby vyhovovaly danému účelu. • • • • Integrovaný systém řízení pomocí ISO norem csvukrs •Mezinárodní normy řady ISO 9000 vypracovala technická komise Mezinárodní organizace pro normalizaci ISO/TC 176 Quality management and quality assurance (Management kvality a prokazování kvality). Výše uvedené normy byly schváleny Evropským výborem pro normalizaci (CEN) jako normy EN ISO bez jakýchkoliv modifikací. •Význam zkratek často používaných v technické normalizaci •ČSN = Česká technická norma označuje se šestimístným číslem (třídicím znakem) a názvem, např.: ČSN 80 0001 Textilie Třídění a základní názvy. •Kromě norem, které jsou vyhlášeny jako harmonizované, jsou české technické normy nezávazné, závaznými se stávají až v případě, kdy je jejich použití smluvně dohodnuto mezi zainteresovanými organizacemi. Totéž platí i pro čs. normy, které zavádějí normy evropské a mezinárodní • • • • Integrovaný systém řízení pomocí ISO norem csvukrs •ČSN ISO = Česká technická norma, která zavádí do soustavy českých norem mezinárodní normu ISO, označuje se číslem normy ISO, třídicím znakem české technické normy a názvem, např.: ČSN ISO 1144 (80 0050) Textilie – Jednotný systém pro označování délkové hmotnosti (systém Tex). Zavedení mezinárodních standardů do národních norem členských států je dobrovolné •ČSN EN = Česká technická norma, která zavádí do soustavy českých norem evropskou normu. Označuje se číslem evropské normy, třídicím znakem české technické normy a názvem, např. ČSN EN 12751 (80 0070) Textilie – odběr vzorků vláken, nití a plošných textilií ke zkouškám. Evropské normy se přebírají do ČSN ve většině případů překladem, tyto ČSN EN se proto v žádných ustanoveních neliší od originální evropské normy. Zavedení evropských norem do norem národních je pro členy CEN povinné. • • • • Integrovaný systém řízení pomocí ISO norem csvukrs •ČSN EN ISO = Česká technická norma, která zavádí do soustavy českých norem evropskou normu identickou s mezinárodní normou ISO. Označuje se číslem evropské normy (identickým s číslem normy ISO), třídicím znakem české technické normy a názvem, např. ČSN EN ISO 105-A01 (80 0120) Textilie – Zkoušky stálobarevnosti – Část A01: Všeobecné principy zkoušení. •Nejvýznamnějším zástupcem v oblasti řízení kvality je standard ISO 9001, který specifikuje požadavky na systémy managementu kvality (QMS) organizace. Aktuální verze ISO 9001 vyšla v září 2015, česká verze normy ISO 9001 je platná od března 2016. Integrovaný systém řízení pomocí ISO norem csvukrs •Podle Institutu pro testování a certifikaci jsou hlavní přínosy certifikace podle normy ISO 9001 následující: qstabilizace dosahované kvalitativní úrovně v sortimentu výrobků a služeb, qnavyšovat tržby díky efektivně nastaveným procesům, qzvýšení důvěryhodnosti firmy v očích zákazníků a ostatních obchodních partnerů, qmožnost získat nové zákazníky díky poskytování vysoce kvalitní produkce, qzavedení pořádku a pravidel do všech aktivit uvnitř firmy, qmožnost následné zpětné kontroly plnění stanovených pravidel, quplatňováním preventivních opatření. • Integrovaný systém řízení pomocí ISO norem csvukrs •Kromě zmíněné normy ISO 9001 existují i jiné normy, využitelné pro další oblasti fungování organizace (Oblast zvyšování kvality a výkonnosti ISO 9004:2010; Řízení bezpečnosti informací, informačních technologií, bezpečnostní techniky: ČSN ISO/IEC 27001:2014; Řízení BOZP: ČSN OHSAS 18001:2008; Environmentální řízení ČSN EN ISO 14001:2016; Řízení rizik: ČSN EN ISO 31000:2010 a další). Integrovaný systém řízení pomocí ISO norem csvukrs •Koho se týkají normy ISO 9000? qorganizací, které se snaží získat výhody uplatňováním systému managementu kvality qorganizací, které se snaží získat důvěru, že jejich dodavatelé požadavky na produkty splní, quživatelů produktů, qvšech, kteří mají zájem na vzájemném pochopení terminologie používané v managementu kvality (např. dodavatelé, zákazníci, kompetentní orgány), qvšech osob, jak interních, tak externích vůči organizaci, které posuzují systém managementu kvality nebo provádějí jeho audit z hlediska shody s požadavky ISO 9001 (např. auditoři, kompetentní orgány, certifikační/registrační orgány), Integrovaný systém řízení pomocí ISO norem csvukrs qvšech osob, jak interních, tak externích vůči organizaci, které poskytují poradenství nebo školení/výcvik týkající se systému managementu kvality, který je vhodný pro tuto organizaci, qzpracovatelů souvisících norem. Integrovaný systém řízení pomocí ISO norem csvukrs •V dnešní společnosti jsou technické normy kvalifikovaná doporučení, nikoli povinná nařízení. Jejich používání je dobrovolné, avšak všestranně výhodné. •K čemu technické normy slouží? qjsou nezbytnou podmínkou pro volný oběh zboží a služeb zejména v EU, qslouží jako referenční úroveň pro poměření/zhodnocení kvality výrobku nebo služby, qstanovují kritéria bezpečnosti, qpodporují vyrovnaný vztah (soulad) mezi kvalitou a náklady, qjsou často závazné v obchodních smlouvách mezi dodavatelem a odběratelem, qmohou být povinně vyžadovány u veřejných zakázek, q Integrovaný systém řízení pomocí ISO norem csvukrs qjsou efektivním nástrojem konkurenčního boje v hospodářské soutěži, qchrání životní prostředí a dbají na ochranu zdraví, qumožňují vzájemnou podporu/vzájemný soulad životního prostředí a konkurenceschopnosti, qchrání jak spotřebitele, tak i výrobce, qzajišťují efektivní výrobu, qzajišťují provázanost mezi výrobky a službami, qumožňují přijímat vyspělá technická řešení bez ohledu na rozdílnou technickou úroveň účastníků trhu, qreflektují výsledky vývoje a výzkumu, qjednotné evropské a mezinárodní technické normy jsou jednou z nezbytných podmínek pro volný oběh zboží a služeb q Integrovaný systém řízení pomocí ISO norem csvukrs DĚKUJI ZA POZORNOST