Je systém řízení jakosti byrokratický přežitek omezující tvořivý rozvoj, nebo logické vyústění potřeb moderního řízení? Nová revize mezinárodních norem řady ISO 9000:2000 podstatně zvyšuje atraktivnost managementu jakosti pro posílení konkurenceschopnosti podniku. Zavádí důsledný procesní přístup a díky své otevřenosti je ideálním nástrojem integrovaného managementu zahrnujícího také informační bezpečnost. Není divu, že aplikace těchto norem do procesů ochrany informací a informačních systémů jako přímých zdrojů podnikání se rychle rozšiřuje, vznikají další normy, návody a metodiky a jsou k dispozici i první pozitivní zkušenosti.

Jakost a mezinárodní normy
Pojem jakost je obvykle svázán s pojmem zákazník, klient. Definuje se jako schopnost výrobku, systému nebo procesu naplňovat požadavky a očekávání zákazníka. Ačkoli je jakost v konzervativním pojetí chápána jako parametr výrobku (například kvalitní hodinky, auto, fasáda), v současném pojetí je jakost naprosto stejně vtahována i na služby.

Nejznámějším standardem pro řízení jakosti jsou mezinárodní normy známé jako ISO 9000, jež jsou rámcem pro formální proces zavádění systému jakosti, který může být následně certifikován. Rodina norem ISO 9000 vznikla v roce 1987 a byla postupně novelizována. Typická implementace z roku 1994 (ISO 9000:1994) předpokládala 20 pevně definovaných prvků (oblastí produkce, například nákup materiálů a komponent, výrobní proces, kontrola a zkoušení, skladování a dodávky atd.) a pro každý tento prvek musela být zpracována a schválena závazná směrnice. Práce s těmito směrnicemi (schvalování, revize, přidělování) podléhala přísným pravidlům - odtud ta nešťastná souvislost s byrokracií.

V praxi se ukázaly některé nedostatky norem ISO 9000:1994 - významně statický charakter a vhodnost hlavně pro výrobní organizace s opakující se výrobou.

Proto byla v roce 2000 vydána novelizovaná řada norem ISO 9000:2000. Zásadní novinkou je důsledně procesní přístup, který je použitelný pro široký segment výrobků a služeb ve všech odvětvích a je vhodný pro organizace jakékoli velikosti. Normy jsou jasně pochopitelné, zajišťují jednoduchou aplikovatelnost a snižují nároky na administrativu řízení jakosti. Zároveň zajišťuje schopnost celého systému jakosti stále se zdokonalovat - s ohledem na rostoucí požadavky a spokojenost zákazníků.

Nyní jsou definovány pouze čtyři prvky (na rozdíl od 20 dřívějších): odpovědnost vedení, řízení zdrojů, řízení procesů (vstup, zpracování, výstup) a měření, analýza a zlepšování.

Jakost a informační bezpečnost
Informační bezpečnost bývá definována jako stav, kdy je dosaženo definované úrovně dostupnosti, důvěrnosti a integrity informací v informačním systému, resp. jako proces směřující k tomuto stavu.

V zásadě lze procesy a opatření pro zajištění dostupnosti, důvěrnosti a integrity informací rozdělit na dvě skupiny - technické (týkají se informačních a komunikačních technologií a dalších technických zařízení) a organizační (týkají se lidí a řízení systému informační bezpečnosti). Enormní nárůst složitosti informačních a komunikačních technologií a rychlost jejich rozvoje a nasazování do praxe přináší obrovské bezpečnostní problémy, kde jen pověstný vrchol ledovce představují všudypřítomné viry a hrozby útoků z internetu. Je nutno přijímat celou řadu přímých bezpečnostních opatření vztažených k technologiím a technikám zpracování, ukládání a přenosu informací, například nasazovat a obsluhovat prostředky redundantního zpracování a zálohování dat, zabezpečovat přenosy dat šifrováním, zajistit spolehlivou autentizaci uživatelů, chránit před útoky z vnějšího prostředí používáním bezpečnostních bran (firewallů) atd.

Ukazuje se, že informační bezpečnost představuje interdisciplinární problém, kdy je nutno skloubit nejrůznější zájmy, procesy a techniky, je nutno zajistit řízení informační bezpečnosti a zájem vrcholového managementu na této činnosti. Jedná se tedy o nepřímé metody zvládání informační bezpečnosti, na kterých se podílí řízení v organizaci jako celku, řízení práce s informacemi, prvky personální a fyzické bezpečnosti, zpracování a výměny informací, řízení přístupu, vývoje a údržby systémů, havarijního plánování a přirozeně kontrolní činnost. To ovšem již vyžaduje využití nástrojů systému integrovaného řízení.

A jsme u postaty věci. Pojmy jako "systém", "řízení", "integrované řízení" a "procesní přístup" jsou společné a jsou to právě ty pojmy, se kterými operují normy pro řízení jakosti. Dá se dokonce říci, že systém řízení informační bezpečnosti je přímo předurčen k tomu, aby byl vytvářen společně se systémem řízení jakosti.

Společná potřeba, společný zájem, společné přístupy, nástroje a metody. V organizaci, která má zaveden systém řízení jakosti podle ISO 9000:2000, nebo o jeho zavedení usiluje, by lidé měli rozumět potřebám, používaným nástrojům a technikám řízení jakosti i řízení informační bezpečnosti a měli by umět jednat a chovat se v rámci zavedené podnikové kultury. Integrace systémů řízení jakosti a informační bezpečnosti také šetří prostředky, jednou vynaložené investice do nastolení pořádku (a jakost není nic jiného než důsledné řízení a konání podle pravidel) není třeba vynakládat opakovaně.

Jakost a britská norma BS 7799
Mezinárodně uznávaná britská technická norma BS 7799 je u nás známá především první částí normy (BS 7799-1), která byla bez věcných změn převzata do soustavy mezinárodních norem ISO, a poté i do soustavy českých technických norem jako ČSN ISO/IEC 17799. Obsahuje soubor bezpečnostních opatření a postupů pro řízení informační bezpečnosti v organizaci.

Druhá část normy (BS 7799-2 obsahuje specifikaci Systému řízení informační bezpečnosti ISMS - Information Security Managemet System) byla v loňském roce významně novelizována a vydána pod označením BS 7799-2:2002. Cílem novelizace byla harmonizace s normami systémů řízení jakosti ISO 9000:2000 tak, aby to umožnilo konzistentní a jednotnou implementaci a účinnost systémů řízení. Organizace, která se rozhodne pro zavedení ISMS, může tedy sladit, nebo zcela integrovat svůj ISMS se souvisejícími požadavky systému řízení jakosti.

Principy Systému řízení informační bezpečnosti (ISMS)
Základní principy, na kterých je ISMS postaven, se dají shrnout do následujících bodů:

1. Zavedení ISMS by mělo být strategickým rozhodnutím organizace. Nejedná se o šablonu, naopak návrh a implementace ISMS by měly být ovlivňovány zájmy a potřebami a z toho vyplývajícími bezpečnostními požadavky, zavedenými procesy, velikostí a strukturou organizace. Navíc tento systém musí být schopen se dynamicky měnit v čase.

2. Zásadním požadavkem je procesní přístup pro budování, realizaci, provoz, monitoring, údržbu a zvyšování efektivnosti ISMS. Při tom se aplikuje princip PDCA známý z norem jakosti, jak ilustruje obrázek 1. ISMS převezme vstupní požadavky a očekávání na informační bezpečnost od zúčastněných stran (požadavky legislativy, smluvní závazky, obchodní cíle, stav podnikové kultury atd.) a prostřednictvím nezbytných akcí a procesů vyprodukuje řízenou informační bezpečnost.

3. Co se týká dokumentace, dbá se nyní hlavně na její kvalitu, vhodnost a aktuálnost. Například počet dokumentů stanovených normou BS 7799-2:2002 je omezen a může se významně lišit v závislosti na velikosti organizace a typu jejích aktivit, rozsahu a složitosti bezpečnostních požadavků a provozovaného informačního systému. Velký význam je ale přikládán dokumentování procedur. Termín "procedura" je dle konvencí informační bezpečnosti používán ve významu "proces, který je vykonáván lidmi", v protikladu k procesům vykonávaným počítači nebo jinými technickými prostředky. Pod pojmem "dokumentovaná procedura" se chápe taková, která je nejen popsána, ale i implementována a udržována!

Závěrem
Přínos zavedení ISMS do praxe organizace je nesporný. Vždyť není velký problém vymyslet množství různých bezpečnostních opatření, technik, technologií a doporučení, konečně zdrojů je k dispozici celá řada (například BS 7799-1 je jedním z nich). Při realizaci najednou zjišťujeme, že chybí elementární vstupy: definice cílů, povědomí managementu a zaměstnanců o podstatě problémů informační bezpečnosti, chybí peníze. Výsledek je vždy stejný: izolované akce, nekoncepční výdaje, nízká účinnost přijímaných opatření a téměř vždy zastavení se na půli cesty.

Využití principů systému řízení jakosti podle ISO 9000:2000 k zavedení Systému řízení informační bezpečnosti (ISMS) se zdá být velmi dobrým řešením. Nejenže to umožní integrovat celou řadu činností, přístupů a aktivit v organizaci, ale poprvé se naskýtá možnost, jak úsilím k nastavení definované úrovně informační bezpečnosti dokonce ušetřit. Vždyť pokud nebude fungovat systém řízení, pak prostředky vkládané do informační bezpečnosti mohou být velmi snadno znehodnoceny tím, že budou existovat bezpečnostní díry, o kterých buď nevíme, anebo o nich víme, ale nedokážeme je zacelit.

Co se týká certifikace ISMS, existují již v České republice certifikační orgány, které tuto službu nabízejí (byť i bez akreditace Českým institutem pro akreditaci), a existují i podniky, které certifikaci úspěšně absolvovaly. Lze očekávat, že počet podniků a organizací zajímajících se o vybudování a certifikaci ISMS v blízké budoucnosti poroste.

Literatura:
Géblová, Alena: Certifikace: Zbytečná byrokracie. Podnikání v praxi, 23/2002.
Löffelmann, Jiří: Řízení jakosti a informační systémy. IT System, 10/2002.
Fiala, Alois, doc., Ing., CSc. a kol.: Management jakosti s podporou norem ISO 9000:2000, Svazek 1 a Svazek 2. VERLAG DASHÖFER, Praha 2001.
BS 7799-2:2002. Information security management systems - Specification with guidance for use. British Standards Institution (BSI), 2002.

Autor článku, Josef Šustr, pracuje jako vedoucí projektů ve společnosti INFOSEC, s. r. o. Systematicky se věnuje problematice řízení informační bezpečnosti, podílel se na řadě bezpečnostních projektů ve velkých organizacích. Specializuje se na analýzy rizik, návrhy a implementaci komplexních souborů bezpečnostních opatření a zpracování bezpečnostní politiky.