Kiwiki - Príspevky používateľa [sk]

Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.

2011-06-19T15:46:25Z

Samopalo: Vytvorená stránka „{{Praca_uvod|5|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný m…“

{{Praca_uvod|5|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

=Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o=

V nasledujúcom texte si rozoberieme integrovaný manažérsky systém v prostredí konkrétnej firmy. Zameriame sa hlavne na ochranu informácií v podniku.

==Predstavenie spoločnosti==

SLOVECA, Sasol Slovakia, spol. s r.o. vznikla na základe registrácie dňa 16.7.1992 na Obvodnom súde v Bratislave ako spoločnosť so sídlom na Paulínyho ul. č. 12 v Bratislave. Prevádzkové priestory spoločnosti sú situované do areálu NCHZ, a.s. Nováky na ulici M.R.Štefánika č. 1.

==Predmet činnosti spoločnosti==

V súlade so živnostenským listom vydaným Živnostenským úradom v Prievidzi, obchodným registrom okresného súdu Bratislava 1 je predmet činnosti:

- výroba chemických výrobkov

– vývoj, výroba a spracovanie tenzidov a tenzioaktívnych polykondenzátov etylénoxidu, ich derivátov alebo zmesí a podobných výrobkov

- obchodná činnosť v hore uvedenej oblasti.

==Identifikačné údaje spoločnosti==

Názov spoločnosti: SLOVECA, Sasol Slovakia, spol. s r.o.

Sídlo spoločnosti: Paulínyho 12, 811 02 BRATISLAVA

IČO: 313 294 71

DRČ: SK2020466382

Peňažný ústav: CITIBANK Bratislava

==Zásady manažérskych systémov==

===Cieľ===

Základným cieľom IMS v spoločnosti je splnenie cieľov vyplývajúcich z politiky kvality a environmentu a cieľov kvality a environmentu spoločnosti. Za účelom dosiahnutia maximálnej účinnosti a na uspokojenie zákazníka je podstatné, aby IMS bol primeraný danému typu činnosti a ponúkaným produktom, ktoré spoločnosť poskytuje. Efektívnym IMS sa eliminujú nedostatky, znižujú sa náklady vyplývajúce z nekvality a taktiež sa predchádza
potencionálne možným problémom v oblasti životného prostredia, bezpečnosti a ochrany zdravia pri práci.

===Zodpovednosti a právomoci===

Za budovanie, overovanie a zvyšovanie účinnosti IMS zodpovedá manažer integrovaného systému riadenia, ďalej MISR.

MISR zodpovedá taktiež za metodické riadenie pre odborné činnosti súvisiace s plánovaním, rozbormi, riadením i preverovaním kvality, za vytváranie postupov kvality, ich implementáciu, ako aj revíziu IMS.

====Zodpovednosť úsekov spoločnosti za dodržiavanie IMS====

Všetci zamestnanci spoločnosti, ktorí vykonávajú alebo zabezpečujú jednotlivé časti Integrovaného manažérskeho systému, majú osobnú zodpovednosť aj za dodržiavanie zásad tohto systému.

Za činnosť jednotlivých úsekov zodpovedajú ich vedúci. Za špecifické činnosti pri udržiavaní Integrovaného systému riadenia je zodpovedný Manažér pre Integrovaný systém riadenia. Najvyššiu zodpovednosť za budovanie, overovanie a zvyšovanie účinnosti tohto systému trvale nesie Prezident spoločnosti.

==Systémové prvky IMS v spoločnosti==

===Postupy systémov kvality, environmentu a bezpečnosti práce===

IMS je účinný vtedy, ak zasahuje do všetkých činností spojených s kvalitou produktu podľa požiadaviek zákazníka od prvého kontaktu až po uspokojenie všetkých jeho požiadaviek, vrátane environmentu a BOZP.

Za účelom realizácie a vylepšovanie IMS a pre realizáciu politiky a cieľov kvality, environmentu a bezpečnosti práce spoločnosti:

- sú školení a pripravovaní zamestnanci na všetkých úrovniach,

- je zabezpečovaná trvalá starostlivosť o výrobno-technologické zariadenia, o kontrolné a meracie prístroje,

- sú stanovené kritéria QMS ovplyvňujúce postavenie produktov společnosti na trhoch,

- sú vypracované potrebné písomné predpisy a postupy koordinujúce všetky činnosti súvisiace s IMS.

===Politika kvality, environmentu a bezpečnosti práce===

Politika kvality, environmentu a bezpečnosti práce prezentovaná vrcholovým manažmentom spoločnosti je odzrkadlením jeho snahy o prvoradú orientáciu na splnenie požiadaviek zákazníkov. V praxi to znamená vytvárať trvalé povedomie vysokej kvality, vyberať najlepších dodávateľov, zvyšovať odbornú úroveň našich zamestnancov, predchádzať nedostatkom v kvalite výroby, minimalizovať negatívne vplyvy vlastnej činnosti na životné prostredie, vytvárať bezpečné podmienky pre výkon práce vlastným zamestnancom i zamestnancom externých firiem.

Manažment si v súlade s tými snahami:

- vytyčuje dlhodobý program rozvoja spoločnosti, v rámci ktorého si určuje jednotlivé nosné programy,

- stanovuje ciele v oblasti kvality výroby a spôsoby, ktorými sa tieto ciele majú dosiahnuť,

- rozhoduje o výške, ako aj spôsobe využívania zdrojov vyčlenených na zlepšovanie kvality,

- stanovuje a schvaľuje organizačnú štruktúru, zodpovednosti a právomoci útvarov spoločnosti,

- sleduje vývoj kvality výroby,

- sleduje vývoj reklamácií na výrobky spoločnosti,

- vytvára zodpovedajúce materiálne a personálne podmienky pre činnosti, ktorými sa zabezpečuje kvalita, ochrana životného prostredia a zdravia zamestnancov,

- zodpovedá za zavedenie, udržiavanie a neustále zdokonaľovanie Integrovaného manažerského systému, výkon interných a externých auditov a hodnotí plnenie nápravných a preventívnych opatrení.

V spoločnosti SLOVECA sú hlavné zásady politiky uvedené v materiáloch „Politika kvality, životného prostredia a bezpečnosti práce spoločnosti SLOVECA“ a „Ciele kvality, environmentu a bezpečnosti práce pre rok 2011“, ktoré sú prílohou tejto kapitoly.

==Používanie IMS v spoločnosti==

- zamestnanci sú oboznámení s politikou i cieľmi kvality, environmentu a bezpečnosti práce na pracovných poradách. Školenie vykonávajú riadiaci zamestnanci a zamestnanci, ktorí absolvovali kurz interných audítorov, takže boli detailne oboznámení s prvkami QMS podľa EN ISO 9001:2008, EMS podľa EN ISO 14001:2004 a SMS podľa OHSAS 18001:2007.

- Príručka ako aj ostatná riadiaca dokumentácia je distribuovaná a evidovaná v riadenom režime podľa určeného rozdeľovníka.

- vedúci úsekov sú zodpovední za to, že ich zamestnanci sú s dokumentáciou súvisiacou s IMS priebežne a včas oboznamovaní.

==Dokumentácia==

Zameraním tejto aktivity je stanoviť pre celú spoločnosť jednotný, koordinovaný a záväzný postup na prípravu, vypracovanie a operatívne riadenie všetkých dokumentov a údajov, ktoré sa vzťahujú na požiadavky EN ISO 9001:2008, EN ISO 14001:2004 a SMS podľa OHSAS 18001:2007. Pod dokumentačnou činnosťou rozumieme teda spôsob schvaľovania, triedenia, ochrany, archivácie a skartácie dokumentácie.

===Riadenie záznamov===

Táto aktivita sa vzťahuje na vyhotovovanie, identifikáciu, zber, značenie, registráciu, uschovávanie, archiváciu, udržiavanie a skartáciu záznamov. Všetky údaje a výsledky zo vstupov, medzioperácie a výstupov sú zapisované a evidované. Za správnosť vedenia záznamov o kvalite zodpovedajú všetci riadiaci zamestnanci. Záznamy musia byť čitateľné a identifikovateľné. Pravidlá pre manipuláciu, uschovávanie záznamov, ich udržiavanie, archiváciu a skartáciu sú popísané v „Registratúrnom poriadku“.

===Súvisiace predpisy===

OS GR č. 1/2009 „Organizačné a riadiace predpisy“

OS GR č. 2/2010 „Registratúrny poriadok a registratúrny plán“

===Riadenie dokumentov===

Režim pre vypracovanie, pripomienkovanie, schvaľovanie, vydanie a distribúciu, revíziu a zmenové konanie dokumentácie je rozpracovaný podrobne v OS GR č. 01/2009 – „Organizačné a riadiace predpisy“. Táto smernica stanovuje jednotnú štruktúru riadiacej dokumentácie spoločnosti. Súčasťou každej riadiacej i technologickej dokumentácie je rozsah pôsobnosti jednotlivých dokumentov, záznam o preštudovaní a záznam o zmenách. Jednotlivé úseky spoločnosti, ktoré vypracovávajú riadiacu dokumentáciu sú povinné:

- Spracovať návrh dokumentu podľa obsahového zamerania a podľa predpísanej štruktúry.

V zmysle OS GR č. 01/2009 sústavu organizačných a riadiacich predpisov tvoria:

a) Príkazy PS (PK)

b) Príkazy GR

c) Príkazy RZ (RZ)

d) Organizačné smernice GR

e) Organizačné smernice SITM (RZ)

f) Metodické pokyny GR

g) Metodické pokyny SITM (RZ)

- Spracovaný návrh dokumentu predložiť MISR na pripomienkové konanie, ktorý posudzuje predložený návrh z hľadiska dodržiavania požiadaviek IMS.

- Podľa zamerania predložiť návrh dokumentu na pripomienkovanie ostatným štrukturálnym zložkám spoločnosti.

- Po zapracovaní pripomienok vypracovať konečné znenie dokumentu a prideliť poradové číslo – tajomníčka Rady kvality.

- Po schválení dokumentu zabezpečí tajomníčka Rady kvality jeho distribúciu podľa základného rozdeľovníka, alebo na základe požiadavky spracovateľa podľa upraveného rozdeľovníka.

===Zmeny v dokumentácii a údajoch===

Pre vykonávanie zmien v organizačných a riadiacich predpisoch platia tieto zásady:

- návrh na zmenu predkladá spracovateľ, resp. držiteľ výtlačku prostredníctvom spracovateľa po vykonaní pripomienkového konania

- tajomníčka Rady kvality zabezpečí u všetkých užívateľov predpisu výmenu neplatných strán a vykonanú zmenu zaznačí v zázname o zmenách

- gestorom zodpovedným za udržiavanie predpisu v aktuálnom stave je spracovateľ predpisu

- užívateľ predpisu sleduje platnosť jeho vydania a zmien.

Vedúci úsekov spoločnosti sú povinní s obsahom vydaného predpisu preukázateľne oboznámiť spolupracovníkov, ktorých sa daná oblasť dotýka.

===Riadená dokumentácia===

Medzi riadenú dokumentáciu patria:

- Príručka IMS

- Sústava organizačných a riadiacich predpisov, ktorú tvoria:

a) Organizačné smernice GR a SITM

b) Príkazy PS, GR a SITM

c) Metodické pokyny GR a SITM

O spôsobe vypracovania, overovania, vydávania a zmenového konania týchto predpisov pojednáva OS GR č. 1/2009.

- Technická dokumentácia (technologický reglement, technicko-hospodárske normy a pod.)

- Organizačné smernice a Metodické pokyny vydané v NCHZ,a.s. vo vzťahu k BOZP, PO, a environmentu, ktorými sa riadi aj spoločnosť SLOVECA.

===Evidencia a archivácia dokumentácie===

Tieto činnosti sa vykonávajú v súlade s Registratúrnym poriadkom a registratúrnym plánom spoločnosti, ktorý je samostatnou OS PS č. 02/2010. Archiváciu riadiacej dokumentácie NCHZ, a.s, ktorá je doručená na závod Nováky podľa rozdeľovníka NCHZ, a.s. vykonáva sekretariát riaditeľa závodu.

==Príručka IMS==

Príručka je „sprievodca“ kvalitou, environmentom a bezpečnosťou práce, ktorá prostredníctvom odkazov poukazuje jasné súvislosti s nižšími úrovňami dokumentácie. Je to dokument, ktorý slúži užívateľovi ako rýchly a ľahký prehľad o fungovaní IMS, jeho organizačnej štruktúre a postupoch.

===Režim riadenia príručky IMS===

====Vypracovanie====

Príručku ako jeden z rozhodujúcich druhov riadiacej dokumentácie IMS vypracováva MISR alebo ním delegovaná osoba.

====Preverovanie====

Oprávnenými preverovateľmi Príručky a jej jednotlivých segmentov v spoločnosti SLOVECA, Sasol Slovakia, spol. s r.o. Bratislava sú:

- Prezident spoločnosti

- Manažér integrovaného systému riadenia

- Vedúci úsekov spoločnosti

====Schvaľovanie====

Príručku schvaľuje PS schvaľovacím listom. Každý riadený výtlačok Príručky obsahuje originál schvaľovacieho listu.

====Vydanie, značenie a distribúcia====

Táto príručka je trvalo udržiavaná v aktuálnom znení v elektronickej forme na intranete spoločnosti, kde je k dispozícii riadiacim zamestnancom na vrtkých úrovniach riadenia. Zodpovedný za jej priebežnú aktualizáciu je MISR. Evidovaný výtlačok príručky je u Tajomníčky Rady kvality. Výtlačok je udržiavaný v riadenom režime.
Rozmnožovanie príručky v neriadenom režime alebo akejkoľvek jej časti je neprípustné.

====Revízia príručky IMS====

Revíziu Príručky vykonáva MISR 1x ročne – vždy s termínom do 15. februára nasledujúceho roka, alebo v prípade nutnosti z dôvodu závažných zmien aj častejšie a bez ohľadov na termín. Archiváciu zápisu o vykonaní revízie zabezpečuje MISR.

====Zmenové konanie====

V prípade potreby aktualizácie Príručky môže podať ktorýkoľvek riadiaci pracovník návrh na zmenové konanie. MISR podáva návrhy na zmenové konanie i na základe výsledkov jej pravidelnej revízie. Návrh na zmenové konanie musí obsahovať:

- číslo kapitoly a strany, ktorej sa zmena týka

- presnú textovú formuláciu nového znenia.

Zmeny v texte musia byť vyznačené na pravej strane zvislou čiarou.

====Označovanie====

Výtlačok Príručky udržiavaný v riadenom režime je na titulnej strane označený číslom 1.
Za správne značenie je zodpovedný MISR. Na každej strane Príručky kvality, okrem titulného listu, je uvedené logo spoločnosti, číslo a dátum vydania, číslo a dátum zmeny, ako aj číslovanie strán. V jednotlivých kapitolách sú okrem ich číslovania podľa EN ISO 9001:2008 uvádzané aj rozdelenia príslušnej kapitoly na segmenty.

==Počítačová sieť firmy SLOVECA==

===Technologické riešenie===

TOP PROXY požaduje operačný systém minimálne Windows 95 s nainštalovanou podporou TCP/IP a programom antivírusovej kontroly. Hardvarová konfigurácia je minimálne Pentium133 MHz, 32 MB RAM, HDD 1 GB. Riadi prístupové práva internet, tvorí e-mail server. Doporučuje sa, aby sa na uvedenom zariadení nespracúvali žiadne iné úlohy.

Novell server spracováva požiadavky užívateľov využívajúcich balík ekonomického softwaru a zdieľaných adresárov prístupných pre všetkých užívateľov na tomto serveri. Hardvarová konfigurácia je minimálne Pentium 90 MHz, 128 MB RAM, HDD 10 GB. HDD pracujú v režime mirroring.

'''Mirroring-''' taká synchronizácia zložiek, ktorá prenáša iba súbory ktoré sa zmenili a zmazané súbory zo zálohy odstraňuje. Preto treba robiť zálohy denne, týždenne, párny a nepárny mesiac. Takže od zmazania dôležitého súboru máme minimálne mesiac na jeho záchranu a naopak pri havárií hlavného disku máme k dispozícií najaktuálnejšie dáta z predošlého dňa.

Pracovné stanice sú PC zapojené do lokálnej LAN siete, ktoré komunikujú so sieťou Novell. Minimálna konfigurácia je 486 DX2, 32 MB RAM, 500 MB HDD. Operačný systém minimálne Windows 95. Identifikácia počítača v sieti je stanovená nasledovne:

Názov počítača- priezvisko pracovníka, ktorý ma počítač pridelený

Pracovná skupina- Sloveca

Popis počítača- pracovná stanica

===Povinnosti užívateľa siete===

Užívateľ pracovnej stanice pripojenej na sieť je povinný po príchode na pracovisko zapnúť PC a prihlásiť sa do siete.

===Druhy prístupov===

====Elektronická pošta a prístup na INTERNET====

V spoločnosti SLOVECA sú vytvorené dve skupiny užívateľov pre rôzne prístupy do siete internet:

-Skupina užívateľov, ktorá ma samostatný prístup do siete INTERNET, vrátane e-mailu.

-Skupina užívateľov, ktorá má prístup do siete INTERNET pomocou TOP Proxy.

Po predchádzajúcom súhlase riaditeľa úseku, osoba určená ako správca siete, prideľuje kontá jednotlivých užívateľov a zabezpečí nainštalovanie správnych programov pre pripojenie užívateľa k jednotlivých spôsobom pripojenia na INTERNET. Zoznam užívateľov zaradených do tejto skupiny vedie správca siete.

Skupina užívateľov prostredníctvom TOP Proxy má spravidla k dispozícii e-mailový box pre príjem a odosielanie elektronickej pošty. Zoznam užívateľov zaradených do tejto skupiny vedie správca siete.

====Systém zdieľaných adresárov====

Na serveri sú spravidla dva druhy zdieľaných adresárov. Jeden adresár vo všeobecnosti je pre dáta spracované formou Excelu a druhý adresár pre dáta spracované vo Worde.

V týchto adresároch majú užívatelia vytvorený svoj vlastný adresár vo forme priezviska, ktorý je vo všeobecnosti prístupný pre všetkých užívateľov s plnými právami.
Za zálohovanie týchto dát je zodpovedný každý užívateľ samostatne. Tieto adresáre nepodliehajú povinnosti zálohovania.

Okrem týchto adresárov je zdieľaný pre všetkých užívateľov adresár ISO 9000, Lando s právami na čítanie súborov. K zdieľaným adresárom sa dostane užívateľ spravidla cez funkciu Open nasledovne:
F:\Data_ex\Meno_uziv\subor.

===Novell server===

Na Novell serveri je nainštalovaný balík ekonomického softvéru, ku ktorému majú prístup zadefinovaní užívatelia využívajúci niektorú nainštalovanú aplikáciu. Zoznam týchto užívateľov vedie správca siete.

===Prevádzka serverov===

Prevádzka serverov je zabezpečená nepretržite záložnými zdrojmi. Ich spoľahlivú prevádzku a a správu zabezpečuje správca siete.

===Používanie elektronickej pošty===

Elektronická pošta je určená na odosielanie a prijímanie elektronických dokumentov v rámci spoločnosti, resp. mimo spoločnosti.

Každá elektronická správa, ktorá je posielaná mimo spoločnosť musí byť podpísaná daným užívateľom a jej kópia musí byť archivovaná v súlade s registratúrnym poriadkom spoločnosti SLOVECA.
Na spracovanie elektronickej pošty sa využíva program Outlook, ktorý je nakonfigurovaný tak, aby po jeho spustení na danom PC okamžite upozornil užívateľa o tom, že má novú poštu, ak jeho PC túto prijal.

Elektronickou poštou je zakázané posielať správy, ktoré spadajú do kategórie služobného tajomstva.

===Prístup do siete INTERNET===

Prístup do siete INTERNET je určený výhradne pre získavanie informácií, ktoré bezprostredne slúžia k plneniu pracovných úloh pre pracovníkov, ktorým bola táto služba sprístupnená.

===Ochrana, archivovanie a zálohovanie na PC===

====Postup pri riadení údajov na nosičoch dát====

Typ a rozsah údajov, ktoré sa budú riadiť týmito ustanoveniami ako aj správcov zodpovedných za údaje uložené na nosičoch dát určí riaditeľ pre administratívu, financie a kontrolu.
Za zabezpečenie riadenia údajov uložených na nosičoch dát je zodpovedný v rámci spoločnosti správca siete.

Správca počítačovej siete vedie zoznam vybraných údajov uložených na nosičoch dát s určením spôsobu a termínu zálohovania a správcov zodpovedných za údaje uložené na nosičoch dát v „Zozname vybraných údajov uložených na nosičoch dát“, užívateľov údajov uložených na nosičoch dát v „Zozname pracovníkov bez prístupových práv“.

Správca siete ďalej zabezpečí, aby užívatelia využívajúci údaje uložené na nosičoch dát v sieti nemohli do nich zasahovať.

====Manipulácia s údajmi uloženými na nosičoch dát====

Údaje uložené na nosičoch dát, ktorými sa riadia užívatelia pri vykonávaní činností, ktoré vplývajú na kvalitu sa musia pravidelne preskúmavať a schvaľovať pred ich uvoľnením ostatným užívateľom z hľadiska spôsobilosti a spoľahlivosti týchto údajov.

Údaje, ktoré neboli preskúmané a schválené nemôžu byť použité ako podklad pre činnosti, ktoré ovplyvňujú kvalitu.

====Preskúmavanie a schvaľovanie údajov====

Preskúmavanie a schvaľovanie údajov uložených na nosičoch dát vykonáva správca zodpovedný za údaje uložené na nosičoch dát.

Správca zodpovedný za údaje uložené na nosičoch dát vedie na nosičoch dát len aktuálne a z hľadiska použitia vhodné údaje. Za preskúmané a schválené údaje sa považujú len také, ktoré správca zodpovedný za údaje uložené na nosičoch dát uvoľní pre používanie. Za tieto uvoľnené údaje preberá plnú zodpovednosť. Za týmto účelom musí priebežne kontrolovať spôsobilosť a spoľahlivosť týchto údajov. V prípade, že údaje poskytuje v písomnej forme na internom oznámení slúži jeho podpis ako schválenie týchto údajov.

====Zaškolenie užívateľov====

Správca zodpovedný za údaje uložené na nosičoch dát zaškolí spoločne so správcom siete užívateľov údajov so spôsobom manipulácie s údajmi a ich využívaním. O tomto zaškolení sa vyhotoví písomný záznam, ktorého súčasťou je prezenčná listina účastníkov školenia.

====Zmenové riadenie====

Správca zodpovedný za údaje uložené na nosičoch dát vykonáva zmeny týchto údajov ale nie je povinný viesť o tom osobitné záznamy. Pre identifikáciu časov aktualizácie slúži programové vybavenie VT, ktoré zaznamenáva dátum poslednej zmeny.

O zmenách, ktoré by pri ich nerešpektovaní mohli ovplyvniť kvalitu výrobkov okamžite informuje príslušných užívateľov prostredníctvom odkazovej služby v sieti alebo pomocou interného oznámenia.

Pokiaľ to umožňuje programové vybavenie , vykonanú zmenu údajov uložených na nosičoch dát označí spôsobom na ktorom sa s užívateľmi dohodol.

====Zálohovanie====

V záujme zabezpečenia údajov na nosičoch dát pred stratou alebo ich znehodnotením sa všetky súbory údajov zálohujú spôsobom a v intervale podľa „Zoznamu vybraných údajov uložených na nosičoch dát“. Za zálohovanie týchto údajov je zodpovedný správca za údaje uložené na nosičoch dát. Po dohode so správcom siete označené nosiče uloží do doby ďalšieho zálohovania u seba.

Ak sieť nie je vybavená prostriedkami na automatické zálohovanie, správca siete, ktorý udržiava počítačovú sieť, je povinný minimálne raz do mesiaca zálohovať vytvorené súbory na sieťovom disku. Ak nie je možné vykonať toto zálohovanie, správca siete oznámi túto skutočnosť všetkým a tí sú povinní previesť zálohovanie na náhradné nosiče dát.

====Archivácia====

Archivujú sa len tie údaje, ktoré dokumentujú činnosť spoločnosti, ktoré majú podľa požiadaviek organizačných a riadiacich noriem charakter záznamovej dokumentácie a nahrádzajú jej písomnú formu. Za archiváciu údajov uložených na nosičoch dát je zodpovedný „Správca zodpovedný za údaje uložené na nosičoch dát“.

Tieto údaje sa po skončení ich aktuálnosti ďalej nearchivujú, ale ak existuje písomná forma týchto údajov, archivuje sa podľa príslušných vnútropodnikových predpisov. Pokiaľ to nie je stanovené inak, archivujú sa údaje na dobu 3 roky.

====Ochrana údajov pred zničením====

Na PC smie jeho užívateľ používať len tie programy, ktoré boli oficiálne zakúpené a sú v podniku evidované. Oficiálne zakúpené programové vybavenie na ktorého používanie vlastní spoločnosť licenčné číslo je uvedené v zozname „Legálne programové vybavenie“

V prípade, že strata alebo poškodenie údajov bolo spôsobené používaním iných programových prostriedkov ako tých, ktoré sú uvedené v tomto zozname, zodpovednosť za ich poškodenie nesie užívateľ daného PC.

Na každom PC, kde sú uložené dáta podliehajúce tomuto prepisu, musia byť nainštalované rezidentné programy na antivírovú ochranu s dobou aktualizácie podľa licenčných podmienok dodávateľa.

====Ochrana údajov pred zneužitím====

Aplikačný software chráni správca danej aplikácie prideľovaním prístupových práv jednotlivým užívateľom podľa rozsahu ich činnosti. Správcovské heslá sú uložené u riaditeľa pre administratívu, financovanie a kontrolu.

====Procesný prístup k riadeniu a dokumentovaniu záznamov====

Riadenie dokumentov a záznamov sa v spoločnosti SLOVECA zaraďuje medzi podporné procesy organizácie. Cieľom a účelom tohto podporného procesu je stanoviť pre celú spoločnosť jednotný, koordinovaný a záväzný postup na prípravu, vypracovanie a operatívne riadenie všetkých dokumentov a záznamov, ktoré ovplyvňujú kvalitu výslednej produkcie spoločnosti.

Zásady a návody na tvorbu dokumentov a záznamov a ich operatívne riadenie sú záväzné pre všetkých zamestnancov spoločnosti SLOVECA, ktorí sú poverení návrhom, spracovaním, pripomienkovaním, schvaľovaním, vydávaním, distribúciou, používaním, kontrolou, revíziou, zrušením a archiváciou dokumentov a záznamov súvisiacich s riadením a zabezpečovaní kvality, ŽP a BOZP v spoločnosti.

V spoločnosti SLOVECA sú vytvorené a zdokumentované postupy za účelom riadenia všetkých dokumentov a záznamov, ktoré sa vzťahujú na požiadavky noriem. Spoločnosť zabezpečuje, aby záznamy a dokumenty pred ich vydaním boli overené zodpovedným pracovníkom, aby sa zaznamenali všetky revízie a zmeny a aby sa zabránilo používaniu neplatných alebo zastaralých dokumentov a záznamov.

====Monitorované kritériá riadenia dokumentov a záznamov====

- rozsah revízií

- interval revízií

- vyradenie neaktuálnych dokumentov

- spôsob archivácie

- tvorba a riadenie záznamov

Riadenie monitorovaných kritérií je zabezpečené:

- stanovením právomocí pre riadenie dokumentácie

- definovaním štruktúry dokumentov a záznamov

- zoznamom riadených dokumentov a záznamov

Cieľ procesu riadenia dokumentov a záznamov: Dostupnosť správnych dokumentov a záznamov na požadovaných miestach

'''Vstup do procesu:''' Požiadavka na dokument a záznam. Záznam preukazujúci zhodu s požiadavkami.

'''Výstup z procesu:''' Schválený vždy aktuálny dokument a záznam. Záznam preukazujúci zhodu s požiadavkami.

'''Vplyvy na proces:''' Informačné potreby spoločnosti, legislatíva, organizačná štruktúra spoločnosti, úroveň ľudských zdrojov, infraštruktúra spoločnosti, technické zázemie a kvalifikácia zamestnancov.

'''Možné príčiny neriadenosti procesu:''' Nevhodne definované informačné toky, vonkajšie vplyvy, nejednoznačnosť kompetencií.

'''Metódy riadenia procesu:''' Jednoznačné právomoci pre riadenie dokumentácie, definované štruktúry dokumentov, záznamov a dát.

'''Profit z riadeného procesu:''' Dostupnosť aktuálnych verzií, prevencia nezhôd.

'''Súvisiace procesy:''' Všetky procesy pri ktorých sa používajú záznamy a dokumenty

===Riadenie tlačív===

====Rozdelenie tlačív====

Z pohľadu vydávania sú tlačivá:

Vydávané v spoločnosti:

- V súvislosti s riadenou dokumentáciou

- Vydávané samostatne

Externe nakupované tlačivá- musia byť zaevidované v zozname tlačív

====Navrhovanie tlačív====

Návrhy nových tlačív spracováva úsek, ktorý zodpovedá za riadenie príslušnej činnosti a to buď samostatne alebo ako súčasť riadiaceho aktu. Pokiaľ podľa organizačného poriadku za metodické riadenie príslušnej oblasti zodpovedá aj iný úsek, je spracovateľ povinný dať tlačivo pripomienkovať aj vedúcemu tohto úseku.

Pri navrhovaní nového tlačiva je potrebné rešpektovať nasledujúce zásady:

-pri riešení návrhu brať do úvahy spôsob vyplňovania (ručne alebo počítačom)

-tlačivo má predpisovať len vyplnenie potrebných údajov

-tlačivo má byť stručné, jednoduché, prehľadné, so stručným navádzajúcim textom a má byť riešené tak, aby bolo pri vyplňovaní čo najjednoduchšie

Každé tlačivo navrhnuté v rámci spoločnosti obsahuje:

-výstižný názov, ktorý stručne vyjadruje jeho obsah

-číslo, ktorým je identifikovateľné v ľavom dolnom rohu

-názov spoločnosti v ľavom hornom rohu

Navrhovateľ tlačiva je povinný spracovať návrh nového alebo upraveného tlačiva a vyhotoviť ho vo formáte v ktorom sa bude používať, zapracovať pripomienky všetkých zainteresovaných úsekov, nechať tlačivo odsúhlasiť vedúcim úseku za zverenú činnosť, odovzdať návrh tlačiva zmocnencovi vedenia pre kvalitu na odsúhlasenie, pridelenie čísla a ak je umiestnené v automatizovanej forme ,tak aj pridelenie názvu šablóny a jej umiestnenie v počítačovej sieti. Zmocnenec pre kvalitu zaeviduje tlačivo, zabezpečí schválenie u povereného konateľa a zaradí originál do Zoznamu tlačív.

====Schvaľovanie tlačív====

Návrhy nových tlačív a návrhov zmien tlačív sú odsúhlasené v poradí:

-Vedúci úseku navrhovateľa

-Vedúci úseku dotknutého príslušnou oblasťou činnosti

-Zmocnenec pre kvalitu- pridelí tlačivu evidenčné číslo a poverený konateľ ho schváli podpisom.

====Číslovanie, evidencia a archivácia tlačív====

Všetky tlačivá sú evidované v Zozname tlačív, v ktorom je uvedený úsek užívateľa a ak je tlačivo súčasťou riadiaceho aktu, tak aj číslo tohto riadiaceho aktu. Zmocnenec pre kvalitu zadá potrebné údaje do Zoznamu tlačív v počítačovej sieti a založí originál tlačiva do Zoznamu tlačív v papierovej forme. Taktiež vyhotoví kópiu zaevidovaného tlačiva a vráti je navrhovateľovi. Ak navrhovateľ požaduje zavedenie schváleného a zaevidovaného tlačiva, iniciuje to u správcu siete.

Správca siete založí šablónu tlačiva na príslušné miesto do počítača, určí prístupy k šablóne a informuje navrhovateľa a zmocnenca pre kvalitu o založení tlačiva v počítačovej sieti, o umiestnení šablóny a tlačiva a názve. Zmocnenec pre kvalitu vedie evidenciu všetkých platných tlačív v spoločnosti v neautomatizovanej i automatizovanej forme. Vzory všetkých týchto tlačív sú k dispozícii v papierovej forme u zmocnenca pre kvalitu.

====Zrušenie a zmeny tlačív====

K zrušeniu alebo zmene tlačiva môže dôjsť po vykonaní revízie tlačiva alebo príslušného riadiaceho aktu, ktorým je tlačivo riadené. Zmocnenec pre kvalitu zodpovedá za zabezpečenie týchto činností vo všetkých dotknutých úsekoch, ak je v rámci revízie rozhodnuté o zrušení alebo zmene tlačiva. Pri zmene tlačiva je potrebné postupovať ako v prípade návrhu nového tlačiva.

====Automatizované tlačivá====

Verzie tlačív v automatizovanej a papierovej forme musia byť čo najviac podobné. Ak oba vzory tlačiva nie sú rovnaké, musia byť založené v Zozname tlačív a ak je tlačivo riadené riadiacim aktom spoločnosti, tak musia byť oba vzory začlenené do prílohy riadiaceho aktu.

===Návrhy na zlepšenie bezpečnosti informácií===

Informačné technológie sa neustále rozvíjajú rýchlym tempom. Pri zabezpečení bezpečnosti informácií v elektronickej podobe je potrebný neustály dozor a inovácie počítačovej siete a používaných programov. Je potrebné prerozdelenie právomocí nakladania s informáciami a udelenie prístupu k jednotlivým informáciám pre užívateľov. V súčasnosti firma používa programy a riešenia uvedené v predchádzajúcom texte. Tieto sú zastaralé a bolo by ich treba inovovať. Programy musia byť zakúpené legálne. Pri ich výbere sa firma musí riadiť rozsahom aplikácií programu, referenciami na program a cenou. Veľmi dôležité je pre ochranu informácií mať zavedený aktuálny antivírový program. Treba určiť zodpovednosti za ochranu informácií a údržbu siete. Zamestnanec v tejto funkcii by mal byť kompetentný na výkon týchto činností a mal by sa neustále v danej oblasti vzdelávať. Pre systém ochrany informácií je potrebné vypracovať prehľadnú dokumentáciu a zaevidovať ju.

Informácie v tlačenej podobe musia byť bezpečne uložené u kompetentného zamestnanca a využívanie týchto informácií pracovníkmi firmy by malo byť monitorované a obmedzené podľa dôležitosti informácií.

Úniku informácií sa dá zabrániť aj zodpovedným výberom zamestnancov.

===Návrh implementácie systému bezpečnosti informácií===

#1 Vytvorenie dokumentácie

-identifikácia aktuálneho stavu bezpečnosti IS a zmapovanie jeho slabých stránok boli prevedené v predchádzajúcich kapitolách.

#2 Zavedenie bezpečnostných procesov a funkcií-

-jednotlivé procesy a funkcie sme si zadefinovali v predchádzajúcich kapitolách.

#3 Implementácia konkrétnych bezpečnostných mechanizmov-

-napr. IDS/IPS (Intrusion Detection/Prevention System – systémy detekcie/prevencie prieniku), FDS (Fraud Detection System – systémy detekcie podvodov), PKI (Public Key Infrastructure – infraštruktúra verejných kľúčov) alebo DLP (Data Loss Prevention – prevencia straty dát), implementácia bezpečnejšej hierarchickej topológie siete, a pod.;

#4 Zavedenie kontroly bezpečnosti-
technické audity, previerky užívateľov, kontroly funkcie implementovaných mechanizmov

===Zhodnotenie===

Zavedenie systému bezpečnosti informácií si vyžaduje vyčlenenie finančných prostriedkov na nákup bezpečnostných mechanizmov, mzdy pracovníkom podieľajúcim sa na implementácii systému a na neustále udržiavanie tohto systému. Firma si musí určiť, nakoľko je zavedenie tohto systému v súčasnej situácii potrebné a či má spoločnosť dostatok finančných prostriedkov na jeho zavedenie.

Podnikový informačný systém

2011-06-19T15:01:32Z

Samopalo: Vytvorená stránka „{{Praca_uvod|4|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný m…“

{{Praca_uvod|4|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

=Podnikový informačný systém=

Systémy, ktoré popisujú a následne definovaným spôsobom reprodukujú intelektuálnu schopnosť človeka získavať, spracovávať a vyhodnocovať údaje, s cieľom získať informácie potrebné pre jeho ďalšiu činnosť, nazývame informačné systémy. Z hľadiska praktickej realizácie to znamená, že sú to systémy riadenia a technológie zberu, prenosu, uchovávania, spracovania a distribúcie dokumentov, informácií a informačných služieb. [11]

Podnikový informačný systém je založený na Intranet/Internet technológii, ktorého základným cieľom je poskytnúť používateľom jednotné a jednoduché používateľské prostredie pre sprístupňovanie informačných služieb riadiaceho, administratívneho, prevádzkového alebo inak špecializovaného charakteru.

Zámerom systému je aplikačne podporiť široké spektrum štandardných ale aj špecializovaných podnikových procesov, ktoré sú realizované vo väčšine podnikoch a organizáciách. Aplikačná podpora systému je rozčlenená do oblastí:

• '''Prevádzkové agendy''' - Aplikácie realizujúce automatizovanú podporu pre procesy súvisiace s prevádzkovými agendami organizácie, t.j. aplikácie typu Evidencia používateľov systému, Služobné cesty, Služobné motorové vozidlá, Zmenové konanie, Databáza požiadaviek, Evidencia SW a pod.

• '''Personálne agendy''' - Aplikácie realizujúce automatizovanú podporu pre procesy súvisiace s personalistikou organizácie, t.j. aplikácie typu Evidencia organizačných útvarov a zamestnancov, Dovolenkové lístky a čerpanie dovoleniek, Vzdelávanie a pod.

• '''Podpora riadenia''' - Aplikácie realizujúce automatizovanú podporu pre procesy súvisiace s riadením zdrojov organizácie, t.j. aplikácie typu Porady, Úlohy, Interné právne normy, Plánovanie času, Evidencia obchodných prípadov, Projektová činnosť, Pracovné výkazy a pod.

• '''Spisová služba''' - Aplikácie realizujúce automatizovanú podporu pre procesy súvisiace so spisovou službou organizácie, t.j. aplikácie typu Dokumentačný server, Faxový server, Evidencia bežnej korešpondencie, Evidencia spisov a písomností a pod.

• '''Informačné zdroje''' - Aplikácie realizujúce automatizovanú podporu pre procesy súvisiace so všeobecnou informovanosťou v rámci organizácie, t.j. aplikácie typu Informačná nástenka, Pravidelné hlásenia a štatistika, Kontaktné osoby a organizácie, Interný telefónny zoznam, Knižnica a pod.

==Spôsob prístupu používateľov==

Architektúra systému umožňuje používateľom pristupovať k informačnému systému prostredníctvom rôznych kanálov a z rôznych prostredí.

Základným spôsobom je prístup z prostredia Intranetu. V prostredí Internetu majú používatelia systému možnosť pristupovať k systému či už prostredníctvom WWW prehliadača alebo mobilného telefónu podporujúceho WAP. Sprístupnenie informácií z vnútropodnikového systému prostredníctvom Internetu umožňuje používateľom byť vo svojej kancelárii, aj keď sú na služobnej ceste a pod. Nasadenie systému v prostredí Internetu umožňuje zapojiť obchodných partnerov, dodávateľov a zákazníkov do realizácie elektronických procesov.

===Prednosti riešenia===

• Nízke náklady na prevádzku a údržbu systému

• Aplikačná podpora všeobecných administratívnych, prevádzkových a riadiacich procesov

• Flexibilita systému vzhľadom na zmenu organizačnej štruktúry podniku

• Zvýšenie efektivity práce, komunikácie a rozhodovania

• Úspora nákladov a času

==Manažérske informačné systémy==

Jedným z najpoužívanejších a IS je manažérsky informačný systém. Najviac totiž napomáha riadeniu a manažovaniu podniku. MIS je systém, ktorý poskytuje odborným pracovníkom buď dáta, alebo informácie, ktoré majú vzťah k operáciám, ktoré sa vykonávajú v organizácii. Podporuje aktivity zamestnancov, vlastníkov a akcionárov tým, že im poskytuje spoľahlivé a včasné informácie, alebo im pomáha vykonávať transakcie.

Manažérsky informačný systém pozostáva z nasledujúcich subsystémov:

-Systémy pre transakčné spracovanie (Transaction Processing Systems - TPS),

-Systémy pre informačné vykazovanie (Information Reporting Systems - IRS),

-Systémy pre podporu rozhodovania (Decision Support Systems - DSS) vrátane expertných systémov,

-Systémy pre automatizáciu administratívnych prác.

===Oblasti použitia===

IS sa používajú v mnohých spoločnostiach s rôznym zameraním od veľkých hi-tech počítačových spoločností až po malé firmy napr. predávajúce nehnuteľnosti.
Táto časť má za úlohu poskytnúť príklady použitia intranetu ako formy IS vo firmách a môže aj napomôcť hľadať nové aplikácie použitia vo firme.
Každá väčšia spoločnosť je rozdelená do oddelení s viac či menej vymedzeným okruhom činnosti a zodpovednosti.

Samozrejme, v každej firme môže byť toto členenie rôzne avšak väčšinou sa neodlišuje od nasledujúceho delenia, ktoré rozdeľuje intranetové aplikácie do funkčných skupín podľa jednotlivých oddelení:

• personálne oddelenie,

• vzdelávanie pracovníkov a technická podpora užívateľom,

• finančné oddelenie,

• oddelenie predaja a marketingu,

• vývoj a projektové riadenie

• výroba.

Je vhodné, aby každé oddelenie malo na intranete vlastnú domovskú stránku (home page), na ktorej sa zamestnanci môžu dozvedieť o danom oddelení, úlohách za ktoré je zodpovedné, súčasných projektoch a tiež kontakt na oddelenie resp. oficiálne e-mailové adresy zamestnancov.

==Intranet==

Sieťové spojenie vybraných príbuzných / podobných klientov (počítačov) používajúcich štandardný internet protokol, t.j. TCP/IP a HTTP.

Sieť zložená z klientov a využívajúca IP adressing, za ktorou stojí jeden alebo viac firewall-sou zabezpečujúcich bezpečnosť tejto siete z vonku. Takouto sieťou môže byť interná podniková LAN alebo WAN sieť, čo znamená, že interná je táto sieť iba logicky, v skutočnosti môže fyzicky pokrývať celú zemeguľu. Prístup do tejto siete je však obmedzený skupinami klientov, ktorý sú do nej zahrnutý.

Intranet teda predstavuje „interný internet“ s rovnakým transakčným protokolom HTTP (HyperText Transfer Protocol – slúži na distribúciu hypertextových dokumentov), založený na Client/Server architektúre.

Vo všeobecnosti teda označuje použitie internetovských technológií, predovšetkým Web, pre vnútropodnikové siete a informačné systémy. Technická stránka intranetu sa v podstate ničím nelíši od toho, čo sa používa na Internete. Preto sa tejto stránke intranetu budem venovať len v najnutnejšej miere. Omnoho dôležitejšia je koncepčná stránka intranetu, teda akým spôsobom môže ovplyvniť život v podniku a v čom je jeho prínos.
Intranet je buď celkom izolovaný od Internetu, alebo prístup z/do Internetu je prísne kontrolovaný tzv. firewall-om.
Firewall predstavuje kombináciu programových a technických zariadení, ktoré umožňujú prácu v rámci organizácie a využívanie zdrojov Internetu. Neumožní však prístup užívateľom Internetu prístup do intranetu.
Ten je niekedy umožnený iba špeciálnym skupinám užívateľov na základe hesla.

Organizácie využívajú intranet na rôzne účely: elektronická pošta, ktorá je už viac menej nevyhnutnosťou v každom podniku; spoločná práca na projektoch; brainstorming; prístup k databázam organizácie a dokumentom; video konferencie a mnohé iné.

===Výhody intranetu===

Väčšina firiem a organizácií je založených na vzájomnej spolupráci zamestnancov. Preto nevyhnutnou požiadavkou pre korektný beh organizácie je komunikácia medzi zamestnancami.

Najznámejšie formy komunikácie:

• Telefón

• Fax

• Osobný kontakt

• Písomný styk

• E-mail

Zamestnanci si často musia vzájomne odpovedať na rutinné otázky, čo zrovna nešetrí ich čas. Taktiež hľadanie a naháňanie rôznych papierových dokumentov, správ, výkazov je činnosť, ktorá zdržuje pracovníkov od ich práce.

Tieto a mnohé iné veci v súčasnej dobe majú jedno optimálne riešenie a tým je intranet.

==Extranet==

Extranety bezpečným spôsobom spájajú intranety rozličných firiem alebo geograficky vzdialené pobočky jednej firmy.

Výhody takéhoto prepojenia sú nesporné. Prepojenie intranetov môže viesť k novej fáze medzi podnikovej spolupráce. Na najjednoduchšej úrovni si podniky môžu zasielať relevantné dokumenty, kontakty a časové rozvrhy, aby si udržali vzájomnú synchronizáciu aktivít.

Extranet je vlastne privátna sieť niekoľkých kooperujúcich organizácií, umiestnená za podnikovým firewallom.

Extranetové služby využívajú existujúcu internetovú infraštruktúru, čiže po finančnej stránke je to veľmi vhodná forma rozširovania spolupráce podnikov. [12]

Systém manažérstva informačnej bezpečnosti

2011-06-19T14:39:51Z

Samopalo: Vytvorená stránka „{{Praca_uvod|3|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný m…“

{{Praca_uvod|3|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

=Systém manažérstva informačnej bezpečnosti=

Systém riadenia informačnej bezpečnosti podľa ISO 27001:2005 je určený
k ochrane informácií a teda k zvládaniu rizík, ktoré tieto informácie môžu
potenciálne ohrozovať.

Systém riadenia informačnej bezpečnosti podľa ISO 27001:2005 je dokumentovaný
systém dokazujúci, že identifikované informačné aktíva sú chránené, riziká
bezpečnosti informácií sú riadené, sú zavedené opatrenia s požadovanou úrovňou
záruky a tie sú kontrolované. ISMS môže byť zavedený pre špecifický IS,
jednotlivé časti IS alebo môže zahŕňať celú organizáciu.

==Prečo systém manažérstva informačnej bezpečnosti==

Informácie sú aktíva, ktoré majú pre spoločnosť veľkú hodnotu a teda
potrebujú byť vhodným spôsobom chránené. Bezpečnosť informácií je zameraná
na širokú škálu hrozieb a zabezpečuje tak kontinuitu činností organizácie,
minimalizuje obchodné straty a maximalizuje návratnosť investícii a
podnikateľských príležitostí. Informácie môžu existovať v rôznych podobách.
Môžu byť tlačené, písané, zachytené na filme alebo posielané elektronickou
poštou. Nech už majú akúkoľvek formu alebo sú zdieľané akýmikoľvek
prostriedkami, vždy by mali byť vhodne chránené.

Pre účely tejto normy je bezpečnosť informácií charakterizovaná ako zachovanie:

-dôvernosti

-integrity

-dostupnosti

Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení,
ktoré môžu existovať vo forme pravidiel, natrénovaných postupov, procedúr,
organizačnej štruktúry a programových funkcií. Tieto opatrenia musia byť
zavedené preto, aby sa dosiahli špecifické bezpečnostné ciele organizácie. [7]

==Norma ISO 27001:2005==

ISO 27001:2005 je certifikovateľný štandard a obsahuje špecifikáciu pre systémy riadenia bezpečnosti informácií.

Funguje ako základ pre posudzovanie systémov riadenia bezpečnosti informácií (ISMS - Information Security Management System) pre organizáciu ako celok alebo len pre jej časť. Je ju možné použiť ako základ pre formalizovaný postup k certifikácii.

Dôležitou súčasťou normy ISO 27001 je popis k vybudovaniu a prevádzke systému riadenia bezpečnosti informácií:
Organizácie musia realizovať analýzu rizík, aby bolo možné určiť špecificky optimálne bezpečnostné ciele a opatrenia, implementovať ich a aplikovať podľa vlastných požiadaviek. Po ich identifikácii je ich potrebné zrozumiteľne zdokumentovať pre všetky osoby v organizácii, pre ktoré budú aplikované. Tieto podklady musia byť k dispozícii pre manažérov, zamestnancov a vybrané nezávislé strany (napr. interných audítorov, certifikačných audítorov atď.).

Zdokumentované bezpečnostné ciele a opatrenia, dokumentácia bezpečnostnej politiky a postupy, ako aj všetky ostatné záznamy, dôležité z hľadiska IS, sa označujú ako systém riadenia bezpečnosti informácií organizácie.

'''Príloha A''' ISO 27001 sleduje štruktúru normy ISO 17799, ako návod na riadenie bezpečnosti informácií. Zoznam bezpečnostných cieľov a opatrení tejto časti normy ISO 27001 však nie je vyčerpávajúci. Na základe špecifík organizácie môže vyplynúť potreba konkretizácie ďalších bezpečnostných cieľov a opatrení.

Spoločnosť by mala mať minimálne jedného pracovníka, ktorý sa vyzná v problematike ISMS, aby mohol efektívne spolupracovať jednak pri zavádzaní systému a konečnej certifikácii, ako aj pri správe, údržbe a trvalom zlepšovaní systému s tým, že bude komunikačným partnerom pre vedenie organizácie aj pre výkonnú zamestnaneckú zložku.

Pre tento účel sa ponúka a je vo veľkom využívaný medzinárodne akreditovaný vzdelávací program „ Manažér IS“ ( informačnej bezpečnosti) od spoločnosti CIS-Certificaion & Information Security Services.
[8]
Norma popisuje systém manažérstva informačnej bezpečnosti – Information Security
Management System (ISMS), založený na podobných princípoch ako systém manažérstva kvality podľa normy ISO 9001:2005 a systém environmentálneho manažérstva podľa normy ISO 14001:2004. Cieľom tohto systému je riadiť procesy narábania s informáciami pri zabezpečení troch prvkov:

'''Dôvernosti''' – confidentiality – t.j. zabezpečenie toho, že informácie sú poskytnuté
a prístupne len oprávneným osobám.

'''Dostupnosti''' – availability – t.j. zabezpečenie toho, že k informáciám majú neobmedzený
prístup len oprávnené osoby. Inými slovami, správne informácie, správnym ľuďom
v správny čas.

'''Integrity''' – integrity – t.j. zabezpečenie správnosti a úplnosti informácií z hľadiska obsahu
a formy.

==Implementácia systému manažérstva informačnej bezpečnosti==

Treba si uvedomiť, že implementácia systému je kontinuálny proces.Nie je to jednorázová záležitosť a treba sa jej venovať neustále. Pri zavedení systému manažérstva informačnej bezpečnosti treba vychádzať z PDCA cyklu, ktorého autorom je Alexander Deming.

'''Plan''' -Plánovanie

'''Do'''- Zavedenie a prevádzka

'''Check'''- Monitorovanie a preskúmanie

'''Act''' -Udržiavanie a zlepšovanie

===Postup implementácie===

-Stanoviť si stratégiu, rozsah a cieľ

-Vypracovať rizikovú analýzu

-Vytvoriť bezpečnostné štandardy

-Implementovať bezpečnostné opatrenia

-Monitorovať systém

Implementácia ISO 27001:2005 predstavuje mnoho výhod pre
organizáciu, medzi ktoré patria najmä:

'''Externé konkurenčné výhody''':

-certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie
na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti,
čo prospieva jej dlhodobej stabilite a prosperite

- ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie

- ISMS napomáha odstráneniu prístupových bariér ku svetovým
aj domácim trhom

'''Interné organizačné výhody''':

-zvýšenie produktivity činnosti pozitívnou efektivitou motivácie,
vzdelanosti, monitoringu, kontroly a sankcií

- zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov,
čím sa redukujú náklady na chyby

- optimalizácia a zefektívnenie plánovania investícií do IS a IT

- objektívnejšie vyhodnocovanie a ochrana firemného know-how

Doba zavádzania systému riadenia je závislá na:

- veľkosti organizácie a časovému prispôsobeniu vedenia a zamestnancov

- často spôsobu a forme zavádzania (iba vlastnými silami, s pomocou
odborného externého poradcu alebo kombináciou týchto možností) [7]

'''Certifikácia'''- Po vykonaní certifikačného auditu môže organizácia získať certifikát. Doba jeho platnosti je 3 roky. Pred uplynutím tejto doby môže organizácia požiadať o recertifikáciu.

==Medzinárodná platnosť==

Norma ISO 27001 je rovnako ako všetky ISO štandardy medzinárodne platným štandardom. a to znamená, že firma, ktorá obdrží certifikát v jednej krajine, nemusí preukazovať znovu splnenie požiadaviek v inej krajine. [9]

==Predpisy súvisiace s bezpečnosťou informácií==

V niektorých prípadoch býva dôvodom na zavedenie systému bezpečnosti informácií aby organizácia vyhovela požiadavkám legislativy.

Medzi takéto požiadavky a predpisy patria okrem iného aj:

Zákon č. 211/2000 Z.z. o slobodnom prístupe,

Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností,

Zákon č. 428/2002 Z.z. o ochrane osobných údajov,

Zákon č. 215/2002 Z. z. o elektronickom podpise,

Obchodný zákonník č. 513/1991 Zb.

Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008

2011-06-19T13:24:53Z

Samopalo:

{{Hlavička_FM
|{{PAGENAME}}
|Pavol Fekiač
|Ing. Andrea Julény
|2010/2011
|Bakalárska práca
|Manažérstvo kvality produkcie
}}

{{Praca_uvod|1|Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

{{abstrakt
|Bakalárska práca sa zaoberá integrovaným manaţérskym systémom a jeho implementáciou. Zameriava sa konkrétne na bezpečnosť informácií ako súčasť tohto systému. V teoretickej časti bakalárskej práce autor popisuje integrovaný manaţérsky systém ako celok, jeho dôleţitosť a prínosy vo firme. Ďalej rozpracováva jeho jednotlivé podsystémy- kvalita, ţivotné prostredie, bezpečnosť a ochrana zdravia pri práci a bezpečnosť informácií. Práca dáva návod ako integrovaný manaţérsky systém implementovať, rozvíjať a udrţiavať. Dôleţité je vypracovať prehľadnú dokumentáciu tohto systému. Jej súčasťou je aj príručka integrovaného manaţérskeho systému, ktorá slúţi ako hlavný dokument. Práca ďalej rieši nakladanie s informáciami, prístup k nim a ich ochranu pred zneuţitím alebo znehodnotením. Rozoberá sa v nej tieţ potreba ochrany informácií v tlačenej forme a elektronickej forme. V praktickej časti je predstavená firma v ktorej prostredí bola práca aplikovaná. Nájdeme tu popísaný integrovaný manaţérsky systém, ktorý je vo firme zavedený. Popisuje sa tu ako môţe fungovať ochrana informácií v organizácii. Zaoberá sa vyuţitím informačných technológií v spoločnosti. Autor poukazuje na dôleţitosť ochrany informácií v prostredí firmy a aplikáciu bezpečnostných programov. Jednotlivé prvky vyhodnocuje a navrhuje riešenia na ich zdokonalenie. V závere ponúka zhrnutie práce a jej moţné prínosy vo firme.
|The bachelor work is engaged in Integrated management system and its implementation. Specifically its aimed at information security as a part of this system. In theory of the bachelor work author describes Integrated management system altogether as well as its importance and contribution for company. Next he elaborates the individual subsystems – quality, environment, health safety and information security. The work gives instruction how to implement, develope and maintain Integrated management system. It is important to elaborate transparent documentation of this system. The manual of Integrated management system, which serves as main document, is the part of this documentation too. The work also analyzes using of information, access to information, prevention of information misusage or its devaluation. The work includes necessity of information security – printed information as well as information in electronic form. The company in which the work was applied is introduced in practical part of the work. There we can find description of Integrated management system which is applied in this company. It shows way how to protect company information. The work deals with using of information technologies in organization. Author points at the importance of information security in company environment and the application of safety programs. He evaluates individual components and suggests solutions for its improvement. At the end of the work author offers conclusion and possible contributions for company.
}}

'''Úvod'''

V dnešnej dobe je pre firmu veľmi dôležité zabezpečiť čo najvyššiu kvalitu výrobkov a služieb. To sa dá dosiahnuť pomocou integrovaného manažérskeho systému. Pomôže nám pri zabezpečovaní plnenia požiadaviek zákazníkov ako aj pri celkovom riadení procesov vo firme a minimalizovaní nákladov. V nasledujúcej práci si rozoberieme tento systém, jeho prvky a dokumentáciu. Veľmi dôležitou sa stáva aj ochrana informácií, ktoré môžu mať tlačenú, elektronickú, ústnu alebo písanú formu. Je potrebné zabezpečiť ochranu pri ich používaní. Vysvetlíme si ako je to možné a prečo je to dôležité. Čerpať budeme z odborných textov súvisiacich s touto témou a daných noriem. Rozoberieme počítačové systémy a riešenia ochrany informácií v spoločnosti. To všetko prevedieme v oblasti konkrétnej firmy SLOVECA, Sasol Slovakia, spol. s r.o.. Na záver zhodnotíme prácu a jej prínosy.

=Integrovaný manažérsky systém=
Integrovaný manaţérsky systém je výborným nástrojom na vytýčenie a dosiahnutie jednotlivých cieľov organizácie. Pomáha pri minimalizovaní nákladov, riadení procesov, ochrane životného prostredia. Zabezpečuje ochranu informácií, zlepšenie ekonomických výsledkov, bezpečnosť zamestnancov atď.

==Význam IMS==
Na základe podnikovej stratégie, definovanej politiky, cieľov a programov na ich dosahovanie predstavuje IMS dobrovoľný nástroj uplatňovania efektívneho, jednotného, systémového a procesného riadenie organizácie v oblastiach:

* Komplexnej starostlivosti o životné prostredie
* Riadenia environmentálnych aspektov
* Minimalizovania environmentálnych vplyvov
* Zlepšovania environmentálneho správania a environmentálneho profilu
* Zvyšovania a neustáleho zlepšovania kvality vybraných výrobkov alebo služieb
* Napĺňania požiadaviek a očakávaní zákazníkov a ostatných zainteresovaných subjektov organizácie
* Dodržiavania bezpečnosti a ochrany zdravia pri práci
* Ochrany informačných aktivít organizácie
* Plnenia právnych a iných požiadaviek

==Postup budovania IMS==
Existujú dva spôsoby, ktorými je možné vybudovať integrovaný manažérsky systém:

# Postupná implementácia jednotlivých systémov riadenia
# Implementácia IMS ako celku

===Implementácia IMS===
#Vytvorenie systému:
##Záväzné prehlásenie vrcholového manažmentu organizácie o trvalom zlepšovaní jej správania vo zvolenej oblasti prostredníctvom implementácie a udržiavania adekvátneho manažérskeho systému
##Vypracovanie systému a relevantnej dokumentácie
# Uvedenie systému do praxe:
## Oboznámenie sa s dokumentáciou
## Realizácia obsahov smerníc, príkazov
# Odstraňovanie nedostatkov a nezhôd
# Udržiavanie systému v praxi:
## Interným spôsobom- proces seba analýzy a seba hodnotenia prostredníctvom interných kontrol, interných auditov a preskúmania manažmentom organizácie
## Externým spôsobom- procesy analýzy a hodnotenia prebiehajú prostredníctvom certifikačného orgánu, orgánu štátnej správy a samosprávy napr. inšpektorát bezpečnosti práce, inšpektorát životného prostredia, ministerstvá, okresné a krajské úrady a finančných partnerov.
## Certifikácia systému
Na predĺženie platnosti certifikátu sa následne vykonáva opakované posúdenie tzv. Recertifikácia [1].

===Systémy manažérstva SR===
V Slovenskej Republike môžu integrovaný systém manažérstva tvoriť tieto systémy riadenia:

;QMS: Quality Management System- Systém manažérstva kvality
;EMS: Environmental Management System- Environmentálny manažérsky systém
;ISMS: Information Security Management System- Systém riadenia bezpečnosti informácií
;HSMS: Health Safety Management System- Systém riadenia bezpečnosti a ochrany zdravia pri práci

Iné manažérske systémy- napr. ISO 22000:2005, SA 8000:2001

Podsystémy IMS

2011-06-19T13:06:12Z

Samopalo:

{{Praca_uvod|2|Bezpečnosť informácií ako súčasť integrovaného manažérskeho systému firmy|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

=Podsystémy IMS=
Medzi podsystémy integrovaného manažérskeho systému zaraďujeme systém manažérstva kvality, ochranu životného prostredia, bezpečnosť a ochranu zdravia pri práci a bezpečnosť informácií.

==Systém manažérstva kvality==
Systém manažérstva kvality je súčasťou IMS. Jeho zavádzanie je dlhodobý proces, ktorý by mal viesť k zlepšovaniu spokojnosti zákazníkov a zainteresovaných strán, znižovaniu nákladov, efektivite, zvyšovaniu produktivity, obmedzeniu rizík, určeniu zodpovednosti a zvyšovaniu celkovej kvality produktov.

Systém manažérstva kvality (nenormované tvary: systém manažmentu kvality, staršie systém riadenia kvality, systém riadenia akosti, skr. SMK) je systém manažérstva na usmerňovanie a riadenie organizácie s ohľadom na kvalitu.

Požiadavky na systémy manažérstva kvality sa rozoberajú v norme STN EN ISO 9001: 2000 a STN EN ISO 9004: 2000. Okrem toho existujú niektoré špeciálne normy a predpisy pre určité oblasti, napr. pre medicínu alebo armádu.

===Rozhodnutie a motivácia pre zavedenie systému manažérstva kvality===

Rozhodnutie pre zavedenie systému kvality v podniku a výber vhodného modelu je dôležité strategické rozhodnutie, ktoré musí spraviť vedenie firmy. Výsledok rozhodnutia sa bude odvíjať od toho, ako si vedenie zodpovie kľúčové otázky pred jeho prijatím ako napr.:

• vieme konkrétne vymenovať dôvody pre zavedenie systému kvality ?

• koľko zdrojov sme ochotní (môžeme si dovoliť) vyčleniť na zavedenie systému a potom na jeho chod a udržiavanie?

• máme vlastné know-how, alebo budeme musieť angažovať externú konzultačnú spoločnosť ?

• ktoré zákaznícke požiadavky musíme v definovaní vlastného pojmu kvality zohľadniť ?

• ktoré interné požiadavky a očakávania musia byť zohľadnené ?

• aké výrobky ponúkame a ako rýchlo chceme byť schopní pružne reagovať na zmeny špecifikácií ?

• aké sú plány na ďalší rozvoj podniku? chceme rásť? ak áno, ako rýchlo a akým smerom ? atď…

===Prínosy z implementácie SMK===

Účinný, efektívny a kvalitne implementovaný systém manažérstva kvality
podľa normy ISO 9001:2008 organizácii garantuje:

- maximálnu spokojnosť a lojalitu zákazníkov

- minimalizovať výdaje s tým spojené

- podporovať činnosť neustáleho zlepšovania

Účinný, efektívny a kvalitne implementovaný systém manažérstva kvality
podľa normy ISO 9001:2008 organizácii prinesie:

- zvýšenie spokojnosti zákazníkov

- zvýšiť kvalitu produktov ( výrobkov a služieb)

- posilniť dôveru a vzťahy medzi organizáciou a zákazníkmi

- zvýšenie prestíže firmy, zlepšenie postavenia na trhu, zvýšenie
dôveryhodnosti
- skvalitnenie jej fungovania (zvýšenie efektivity činnosti)

- sprehľadnenie činností, zavedenie poriadku v organizácii, zníženie
výskytu nepodarkov a nezhôd

- vytvorenie základov pre neustále zlepšovanie QMS v organizácii

- zlepšenie funkčnosti a produktivity organizácie

- otvorenie nových príležitostí a udržovanie podielu na trhu [6]

===Princípy SMK===

-Orientácia na zákazníka

-Vodcovstvo

-Zapojenie ľudí

-Procesný princíp

-Systémový prístup k manažérstvu

-Neustále zlepšovanie

-Orientácia na fakty pri rozhodovaní

-Vzájomná prospešnosť vzťahov s dodávateľmi

====Orientácia na zákazníka====

Budúcnosť každej organizácie je bytostne závislá na chovaní jednotlivých skupín zákazníkov a maximalizácie miery spokojnosti a loajality zákazníkov. Pre dosiahnutie maximálnej spokojnosti a loajality zákazníkov je potrebné:

• systematické preskúmavanie požiadaviek zákazníkov

• rýchle a efektívne uspokojovanie týchto požiadaviek

• previazanosť cieľov kvality s potrebami a očakávaním zákazníkov

• systematické meranie spokojnosti a loajality zákazníkov

• rozvoj a riadenie vzťahov so zákazníkmi

• rozvoj vzťahov i s ďalšími zainteresovanými stranami ( verejná správa, úrady a pod.)

====Vodcovstvo====

Manažéri organizácií musia viesť a vytvoriť také prostredie pre svojich pracovníkov, aby všetky skupiny zamestnancov podávali v práci maximálne výkony v záujme naplňovania vytýčených cieľov. Realizácia tohto princípu vyžaduje:

• deklarovanie vízie, politiky, cieľov organizácie v súlade s požiadavkami zákazníkov a zainteresovaných strán

• vytváraním pracovného prostredia vzájomnej dôvery medzi zamestnancami a manažmentom

• poskytovaním príležitostí zamestnancom k vlastnej aktívnej a tvorivej práci, vrátane určenia zodpovednosti a právomoci

• motiváciou svojich zamestnancov k tímovej práci a k zlepšovaniu

====Zapojenie ľudí====

Ľudské zdroje sú najvýznamnejšie pre činnosť organizácie. Pre zapojenie ľudí musí vedenie organizácie:

• vysvetľovať dôležitosť všetkých činností svojich zamestnancov pre dosahovanie výsledkov organizácie

• viesť zamestnancov k otvorenej diskusií o ich nedostatkov a hľadať riešenia

• trvale vzdelávať zamestnancov na všetkých úrovniach

• odmeňovať zamestnancov za pracovné výkony

• motivovať zamestnancov k lepším výkonom [2]

====Procesný princíp====

Procesný prístup v organizácií zahŕňa :

• definovanie procesov pre dosiahnutie požadovaných výsledkov,

• identifikácia a meranie vstupov a výstupov z procesov za súčastného identifikovania externých a interných dodávateľov a zákazníkov,

• vyhodnotenie možných rizík, súvislosti a vplyvov procesov na zákazníkov a všetky ostatné zúčastnené strany,

• stanovenie jasných zodpovedností a právomoci pre riadenie procesov,

• identifikovanie interných a externých zákazníkov, dodávateľov a ostatných účastníkov procesov

====Systémový prístup k manažérstvu====

Identifikovanie, porozumenie a riadenie systému vzájomne súvisiacich procesov zameraných na daný ciel prispieva k efektívnosti a účinnosti organizácie pri dosahovaní jej cieľov. Systémový prístup k manažérstvu v organizácií vyžaduje činnosti ako pochopenie vzájomných väzieb medzi procesmi v rámci systému ďalej vytvorenie krízového manažmentu vo firme s ohľadom na procesy a neustále zlepšovanie systému prostredníctvom merania a vyhodnocovania [14]

====Neustále zlepšovanie====

Neustále zlepšovanie výkonnosti by malo byť chápané ako základný cieľ akejkoľvek organizácie. Pre zabezpečenie tohoto princípu je potrebné:

• bolo sústavne rozvíjané prostredie k tvorivej práci zamestnancov

• bola výsledkom preskúmania vedením, rozhodnutia o smeroch zlepšovania a nie len o nápravných opatreniach

• bolo internými aj externými auditmi a všetkými riadiacimi pracovníkmi identifikované príležitosti k zlepšovaniu

• boli uvoľňované potrebné zdroje pre kontinuálne zlepšovanie a hodnotená ich efektívnosť

• bola pre zlepšovanie obecne prijatá metodológia

====Orientácia na fakty pri rozhodovaní====

Objektívne rozhodovanie je možné iba na základe využitia vhodne analyzovaných dát a informácií. Pre úspešné zvládnutie princípu je potrebné:

• zber dostatočne presných a spoľahlivých dát z jednotlivých procesov v organizácií

• využitie vhodných štatistických metód zberu a analýzy

• výcvik ľudí k využitiu štatistických metód

• ochota manažérov analyzované dáta využívať pri rozhodovaní

• pokiaľ možno sprístupnenie výsledkov analýzy dát zamestnancom

====Vzájomná prospešnosť vzťahov s dodávateľmi====

Každá organizácia je previazaná so svojimi dodávateľmi, preto je potrebné, aby medzi nimi bolo dosiahnuté obojstranné vyvážených a prospešných vzťahov. Kľúčovými aktivitami pre naplnenie tohoto princípu je:

• výber kľúčových, resp. strategicky významných dodávateľov

• pravidelné hodnotenie dodávateľov

• poskytovanie rôznych druhov pomoci

• efektívna komunikácia a obojstranná dôvera

• motivácia dodávateľov k zlepšovaniu a pod. [2]

==Systém environmentálneho manažérstva==

Systém environmentálneho manažérstva ako súčasť IMS je účinný prístup organizácie k ochrane a tvorbe životného prostredia.

Je to systém navrhnutý a zavedený organizáciou pre riadenie jej významných environmentálnych aspektov a pre dosiahnutie zhody s právnymi požiadavkami. Umožňuje organizácii dosiahnutie a systematické riadenie úrovne environmentálneho správania, ktoré si sama stanovuje. Čiže je to všeobecne použiteľná zásada manažmentu organizácie, ktorá spája prístupy k ochrane životného prostredia s celkovým riadením organizácie s cieľom dosiahnutia environmentálnych a podnikateľských cieľov.

EMS sú použiteľné pre celé spektrum organizácii, od výrobných v priemyselnej sfére, v pôdohospodárstve, v službách, v zdravotníctve a obchode, regióne so zreteľom na miestne potreby ako aj podmienky.

V nasledujúcom období sa očakáva stúpajúci záujem spotrebiteľov, verejnosti, podnikateľskej sféry a orgánov štátnej správy o plnenie požiadaviek ochrany a tvorby životného prostredia organizácií práve prostredníctvom preukázateľnosti systematického prístupu formou aplikácie štandardov, ktoré pre túto oblasť boli v medzinárodnom a európskom merítku vytvorené. Tento trend možno prirovnať k vývoju záujmu o systémy zabezpečovania kvality a manažérstva kvality, ktorých zavedenie a certifikácia je jedným z najdôležitejších indikátorov preukázovania schopnosti splniť požiadavky zákazníka a ktoré spolu so systémami environmentálneho manažérstva už dnes tvoria subsystémy v integrovanom spôsobe riadenia.

Práve EMS je tým nástrojom, ktorým cez všetky produktívne sektory je možné riešiť problémové otázky životného prostredia s cieľom zabezpečovania prijatých opatrení v rámci trvaloudržateľného rozvoja. Výsledkom úspešného zavedenia a neustáleho zlepšovania EMS má byť pre organizáciu a pre spoločnosť zabezpečenie jej trvalého ekonomického rastu a prosperity a zmena jej správania v zodpovednosti za stav životného prostredia .

===Hlavné kroky pri budovaní EMS===

Počiatočné preskúmanie, zhodnotenie environmentálnych aspektov a ich vplyvov na životné prostredie, identifikácia a stanovenie významných environmentálnych vplyvov

Do úvahy je treba vziať tieto požiadavky:

• emisie do vzduchu,

• znečisťovanie vody,

• pevné a iné odpady,

• kontaminácia pôdy,

• využitie zdrojov, hluk,

• prach,

• vibrácie,

• vizuálny dojem,

• vplyv na časti ekosystémov.

Pri environmentálnych vplyvoch treba posúdiť okrem činností v normálnom stave aj abnormálnu činnosť / skúšobný, nábehový stav výroby /, nehody, núdzové stavy a minulé činnosti- záťaže.

Nedostatočné zhodnotenie environmentálnych vplyvov nastáva vtedy, ak sa nedôsledne posúdia práve nepriame činnosti spojené s organizáciou, t.j. dodávatelia surovín, polotovarov, energií alebo užívatelia výrobku a zneškodnenie výrobku.

===Realizácia budovania EMS===

• stanovenie štruktúry zodpovedností a právomocí

• príprava a realizácia postupov tréningu pracovníkov s cieľom vybudovania odborného potenciálu v oblasti ľudských zdrojov a získania žiadúceho environmentálneho uvedomenia na všetkých úrovniach riadiacej a výkonnej sféry

• príprava a realizácia postupov pre internú a externú komunikáciu, riadenia výrobných procesov vo väzbe na environmentálne požiadavky, havarijných plánov a preventívnych opatrení.

====Kontrola a monitoring====

• monitoring a sledovanie merateľných a kvantifikovateľných indikátorov

• kontrola funkčnosti systému formou interných auditov

• identifikácia nezhôd

• stanovenie nápravných opatrení, realizácia a previerka ich účinnosti

• riadenie záznamov o všetkých činnostiach.

====Vyhodnotenie====

• zhodnotenie účinnosti systému manažérstva na základe výsledkov kontroly a monitoringu

• preskúmanie manažmentom

• stanovenie ďalších krokov k udržiavaniu a trvalému zlepšovaniu EMS.

'''Celý systém environmentálneho manažérstva musí byť zdokumentovaný v zmysle požiadaviek normy EN ISO 14 001.'''
[4]

==Systém manažérstva bezpečnosti a ochrany zdravia pri práci==

Zvyšovanie bezpečnosti a ochrany zdravia pri práci má dôležitý hospodársky
význam, pretože riešenie otázok súvisiacich s bezpečnosťou a ochranou zdravia, s
vytváraním priaznivých pracovných podmienok a pracovných vzťahov prináša optimalizáciu pracovného procesu a pozitívny ekonomický efekt. Prináša zníženie strát, vyššiu produktivitu, efektívnosť a kvalitu práce – znamená lepšiu prosperitu podniku a tým aj celej spoločnosti.

Starostlivosť o bezpečnosť a ochranu zdravia pri práci má aj dôležitý humánny
aspekt, ktorý prezentuje kultúrnu a spoločenskú úroveň podniku a štátu.
Politickým a hospodárskym vývojom, vývojom pracovných vzťahov a pracovných
podmienok sa mení vo svete aj prístup k presadzovaniu bezpečnosti a ochrany zdravia při práci. Nová politika BOZP vychádza z poznania, že pracovné úrazy, choroby z povolania a nevhodné pracovné podmienky sú v podstatnej miere dôsledkom nesprávnej organizácie práce.

Na zabezpečenie trvalej prosperity podniku je dôležité, aby bol zavedený riadiaci
mechanizmus, ktorý zabezpečí správne fungovanie podnikateľského subjektu. Všeobecne platí zásada, že len 15 % problémov je vhodné ponechať na riešenie zamestnancom a 85 % by malo byť zabezpečených systémom riadenia. Tak ako v ostatných oblastiach riadenia podniku, aj v oblasti bezpečnosti a ochrany zdravia pri práci je potrebné zaviesť účinný systém riadenia.

Pre systém riadenia bezpečnosti a ochrany zdravia pri práci (BOZP) boli vo svete spracované viaceré normy a príručky.

Väčšina z nich vychádza zo všeobecného modelu riadenia Dr. Edwardsa Deminga a princípu neustáleho zlepšovania. Určitým vzorom boli aj normalizované systémy riadenia kvality rady ISO 9000 a riadenia environmentu podľa radu ISO 14 000.
V našich podmienkach sa pre systém riadenia BOZP rozšírila koncom 90-tych rokov najmä britská norma BS 8800 a štandard asociácie certifikačných inštitúcií OHSAS 18 000.

Snaha o vytvorenie jednotného modelu systému riadenia BOZP v rámci Medzinárodnej
normalizačnej organizácie (ISO) stroskotala a integračné aktivity prebrala Medzinárodná
organizácia práce (MOP). Výsledkom je medzinárodná Smernica MOP pre systém riadenia
BOZP, ktorá bola vydaná v máji 2001. Smernica vychádza z podobných princípov, ako iné
známe systémy, je založená na podobných krokoch a prvkoch, zdôrazňuje však viac účasť
zamestnancov na riadení BOZP a presadzuje dobrovoľný prístup pri zavádzaní systému
riadenia BOZP.

Podobne ako u všeobecného modelu riadenia, aj v systému riadenia BOZP je východiskovým bodom – formulovanie stratégie podnikovej politiky BOZP. Ďalšími krokmi sú:

- plánovanie

- organizačné zabezpečenie

- kontrola a hodnotenie

- opatrenia na zlepšenie

Posledný krok cyklu je podkladom na formulovanie nových cieľov podnikovej
politiky BOZP na kvalitatívne vyššej úrovni a absolvovanie ďalšieho cyklu. V tom je
princíp neustáleho zlepšovania. [13]

SÚTN vydal k 1. 10. 2009 v slovenskom jazyku OHSAS 18002: 2008 a OHSAS 18001: 2007 ako nové opravené vydanie.

Vydané normy úzko súvisia a obsahujú požiadavky systému manažérstva bezpečnosti a ochrany zdravia pri práci a môžu sa používať na certifikáciu/registráciu, a medzi pokynmi na vlastné vyhlásenie o systéme manažérstva BOZP a na necertifikovateľnú základnú pomoc pri vytváraní, zavádzaní alebo zlepšovaní systému manažérstva bezpečnosti a ochrany zdravia pri práci. Manažérstvo bezpečnosti a ochrany zdravia pri práci zahŕňa celý rad prvkov vrátane takých, ktoré majú strategické a konkurenčné dôsledky. Preukázanie úspešného začleňovania normy OHSAS môže organizácia využiť na to, aby presvedčila zainteresované strany, že má primeraný systém manažérstva bezpečnosti a ochrany zdravia pri práci.

Normy OHSAS sú kompatibilné s medzinárodnými normami na systémy manažérstva, t. j. s normami ISO 9001: 2000 (o kvalite) a ISO 14001: 2004 (o životnom prostredí) s cieľom uľahčiť integrácie systémov manažérstva kvality, životného prostredia, bezpečnosti a ochrany zdravia pri práci v organizáciách, ktoré majú o to záujem.
Úlohou noriem OHSAS nie je obsiahnuť všetky nevyhnutné ustanovenia zmlúv. Používatelia sú zodpovední za správne používanie. [5]

V nasledujúcej kapitole si podrobnejšie rozoberieme ďalší podsystém a to konkrétne bezpečnosť informácií.

Podsystémy IMS

2011-06-19T12:44:24Z

Samopalo: Vytvorená stránka „{{Praca_uvod|2|Bezpečnosť informácií ako súčasť integrovaného manažérskeho systému firmy|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva …“

Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008

2011-06-19T12:08:46Z

Samopalo:

{{Hlavička_FM
|{{PAGENAME}}
|Pavol Fekiač
|Ing. Andrea Julény
|2010/2011
|Bakalárska práca
|Manažérstvo kvality produkcie
}}

{{Praca_uvod|1|Bezpečnosť informácií ako súčasť integrovaného manažérskeho systému firmy|Integrovaný manažérsky systém|Podsystémy IMS|Systém manažérstva informačnej bezpečnosti|Podnikový informačný systém|Bezpečnosť informácií a IMS vo firme SLOVECA, Sasol Slovakia, spol. s.r.o.}}

{{abstrakt
|Bakalárska práca sa zaoberá integrovaným manaţérskym systémom a jeho implementáciou. Zameriava sa konkrétne na bezpečnosť informácií ako súčasť tohto systému. V teoretickej časti bakalárskej práce autor popisuje integrovaný manaţérsky systém ako celok, jeho dôleţitosť a prínosy vo firme. Ďalej rozpracováva jeho jednotlivé podsystémy- kvalita, ţivotné prostredie, bezpečnosť a ochrana zdravia pri práci a bezpečnosť informácií. Práca dáva návod ako integrovaný manaţérsky systém implementovať, rozvíjať a udrţiavať. Dôleţité je vypracovať prehľadnú dokumentáciu tohto systému. Jej súčasťou je aj príručka integrovaného manaţérskeho systému, ktorá slúţi ako hlavný dokument. Práca ďalej rieši nakladanie s informáciami, prístup k nim a ich ochranu pred zneuţitím alebo znehodnotením. Rozoberá sa v nej tieţ potreba ochrany informácií v tlačenej forme a elektronickej forme. V praktickej časti je predstavená firma v ktorej prostredí bola práca aplikovaná. Nájdeme tu popísaný integrovaný manaţérsky systém, ktorý je vo firme zavedený. Popisuje sa tu ako môţe fungovať ochrana informácií v organizácii. Zaoberá sa vyuţitím informačných technológií v spoločnosti. Autor poukazuje na dôleţitosť ochrany informácií v prostredí firmy a aplikáciu bezpečnostných programov. Jednotlivé prvky vyhodnocuje a navrhuje riešenia na ich zdokonalenie. V závere ponúka zhrnutie práce a jej moţné prínosy vo firme.
|The bachelor work is engaged in Integrated management system and its implementation. Specifically its aimed at information security as a part of this system. In theory of the bachelor work author describes Integrated management system altogether as well as its importance and contribution for company. Next he elaborates the individual subsystems – quality, environment, health safety and information security. The work gives instruction how to implement, develope and maintain Integrated management system. It is important to elaborate transparent documentation of this system. The manual of Integrated management system, which serves as main document, is the part of this documentation too. The work also analyzes using of information, access to information, prevention of information misusage or its devaluation. The work includes necessity of information security – printed information as well as information in electronic form. The company in which the work was applied is introduced in practical part of the work. There we can find description of Integrated management system which is applied in this company. It shows way how to protect company information. The work deals with using of information technologies in organization. Author points at the importance of information security in company environment and the application of safety programs. He evaluates individual components and suggests solutions for its improvement. At the end of the work author offers conclusion and possible contributions for company.
}}

''Úvod''

V dnešnej dobe je pre firmu veľmi dôležité zabezpečiť čo najvyššiu kvalitu výrobkov a služieb. To sa dá dosiahnuť pomocou integrovaného manažérskeho systému. Pomôže nám pri zabezpečovaní plnenia požiadaviek zákazníkov ako aj pri celkovom riadení procesov vo firme a minimalizovaní nákladov. V nasledujúcej práci si rozoberieme tento systém, jeho prvky a dokumentáciu. Veľmi dôležitou sa stáva aj ochrana informácií, ktoré môžu mať tlačenú, elektronickú, ústnu alebo písanú formu. Je potrebné zabezpečiť ochranu pri ich používaní. Vysvetlíme si ako je to možné a prečo je to dôležité. Čerpať budeme z odborných textov súvisiacich s touto témou a daných noriem. Rozoberieme počítačové systémy a riešenia ochrany informácií v spoločnosti. To všetko prevedieme v oblasti konkrétnej firmy SLOVECA, Sasol Slovakia, spol. s r.o.. Na záver zhodnotíme prácu a jej prínosy.

=Integrovaný manažérsky systém=
Integrovaný manaţérsky systém je výborným nástrojom na vytýčenie a dosiahnutie jednotlivých cieľov organizácie. Pomáha pri minimalizovaní nákladov, riadení procesov, ochrane životného prostredia. Zabezpečuje ochranu informácií, zlepšenie ekonomických výsledkov, bezpečnosť zamestnancov atď.

==Význam IMS==
Na základe podnikovej stratégie, definovanej politiky, cieľov a programov na ich dosahovanie predstavuje IMS dobrovoľný nástroj uplatňovania efektívneho, jednotného, systémového a procesného riadenie organizácie v oblastiach:

- Komplexnej starostlivosti o životné prostredie

- Riadenia environmentálnych aspektov

- Minimalizovania environmentálnych vplyvov

- Zlepšovania environmentálneho správania a environmentálneho profilu

- Zvyšovania a neustáleho zlepšovania kvality vybraných výrobkov alebo služieb

- Napĺňania požiadaviek a očakávaní zákazníkov a ostatných zainteresovaných subjektov organizácie

- Dodržiavania bezpečnosti a ochrany zdravia pri práci

- Ochrany informačných aktivít organizácie

- Plnenia právnych a iných požiadaviek

==Postup budovania IMS==
Existujú dva spôsoby, ktorými je možné vybudovať integrovaný manažérsky systém:

# Postupná implementácia jednotlivých systémov riadenia
# Implementácia IMS ako celku

===Implementácia IMS===
#1 Vytvorenie systému:
a) Záväzné prehlásenie vrcholového manažmentu organizácie o trvalom zlepšovaní jej správania vo zvolenej oblasti prostredníctvom implementácie a udržiavania adekvátneho manažérskeho systému

b) Vypracovanie systému a relevantnej dokumentácie

#2 Uvedenie systému do praxe:
a) Oboznámenie sa s dokumentáciou

b) Realizácia obsahov smerníc, príkazov

c) Odstraňovanie nedostatkov a nezhôd

#3 Udržiavanie systému v praxi:
a) Interným spôsobom- proces seba analýzy a seba hodnotenia prostredníctvom interných kontrol, interných auditov a preskúmania manažmentom organizácie

b) Externým spôsobom- procesy analýzy a hodnotenia prebiehajú prostredníctvom certifikačného orgánu, orgánu štátnej správy a samosprávy napr. inšpektorát bezpečnosti práce, inšpektorát životného prostredia, ministerstvá, okresné a krajské úrady a finančných partnerov.

#4 Certifikácia systému
Na predĺženie platnosti certifikátu sa následne vykonáva opakované posúdenie tzv. Recertifikácia. [1]

===Systémy manažérstva SR===
V Slovenskej Republike môžu integrovaný systém manažérstva tvoriť tieto systémy riadenia:
QMS- Quality Management System- Systém manažérstva kvality

EMS- Environmental Management System- Environmentálny manažérsky systém

ISMS- Information Security Management System- Systém riadenia bezpečnosti informácií

HSMS- Health Safety Management System- Systém riadenia bezpečnosti a ochrany zdravia pri práci
Iné manažérske systémy- napr. ISO 22000:2005, SA 8000:2001

Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008

2011-06-19T11:33:50Z

Samopalo: Vytvorená stránka „{{Hlavička_FM |{{PAGENAME}} |Pavol Fekiač |Ing. Andrea Julény |2010/2011 |Bakalárska práca |Manažérstvo kvality produkcie }} {{Praca_uvod|1|Bezpečnosť informáci…“

Diskusia s užívateľom:Samopalo

2011-05-25T11:27:52Z

Samopalo: Diskusia s redaktorom:Samopalo premiestnená na Open source licencie

#presmeruj [[Open source licencie]]

Systém manažérstva bezpečnosti informácií podľa ISO/IEC 27001:2005 v porovnaní so systémom manažérstva kvality podľa ISO 9001:2008 (Zadanie)

2011-05-25T09:57:01Z

Samopalo: Vytvorená stránka „{{Zadanie_BP_KMMK |Pavol Fekiač |Manažérstvo kvality produkcie |Bezpečnosť informácií ako súčasť integrovaného manažérskeho systému firmy |# úvod # integrova…“

{{Zadanie_BP_KMMK
|Pavol Fekiač
|Manažérstvo kvality produkcie
|Bezpečnosť informácií ako súčasť integrovaného manažérskeho systému firmy
|# úvod
# integrovaný manažérsky systém (IMS)
# systémové prvky IMS (kvalita, environment a bezpečnosť)
# podnikový informačný systém
# bezpečnosť informácií a ochrana informácií
# dokumentácia IMS
# diverzifikácia dokumentácie, návrh hierarchie dokumentácie a spôsob ochrany internej,
dokumentácie firmy
# technologické riešenie ochrany dokumentácie IMS
# posúdenie/sumarizácia procesných a ekonomických parametrov návrhu
# závery

|# STN ISO 27001 Systém manažérstva informačnej bezpečnosti
# DOBDA, L. Ochrana dat v informačních systémech. Grada Publishing, 1998, ISBN 80-7169-479-7
# STRNÁD, O. Bezpečnosť a manažment informačných systémov. Vydavateľstvo STU, 2009
|Katedra metrológie a manažérstva kvality FM TnUAD
|Ing. Andrea Julény
|Ing. Štefan Orság
|13. 1. 2011
|Doc. Peter Ponický, PhD.|KMMK FM TnUAD|Doc. Ing. Jozef Tkáč, PhD.
}}