Aby zapewnić klientom najwyższą jakość oferowanych produktów i usług, TT opracowała procedury Zintegrowanego Systemu Zarządzania Jakością. Efektem tej polityki było zdobycie w pierwszej kolejności Certyfikatu ISO 9001 w zakresie projektowania, programowania i wdrażania specjalizowanych rozwiązań informatycznych oraz systemów automatyki dla przemysłu, w tym energetyki i gazownictwa. Pierwszy certyfikat w 1997 r. otrzymał oddział firmy w Ostrowie Wielkopolskim. Następnie w 2005 r. certyfikowane były już wszystkie oddziały w Polsce.
Aby klient czuł się bezpiecznie
W 2009 r. rozpoczęto projekt wdrożenia zintegrowanego systemu zarządzania opartego na światowych standardach: ISO/IEC 20 000 – System Zarządzania Usługami IT oraz ISO/IEC 27 001 – System Zarządzania Bezpieczeństwem Informacji.
Standardy ISO/IEC 27 001 oraz ISO/IEC 20 000 obejmują zagadnienia związane z ochroną tworzonych, przechowywanych i przetwarzanych informacji oraz kwestie zarządzania usługami IT. Norma ISO 27 001 standaryzuje wymagania w zakresie bezpieczeństwa, integralności i dostępności informacji. Norma ISO/IEC 20 000 gwarantuje możliwość sprawdzenia, czy firma skutecznie wdrożyła najlepsze procedury zarządzania usługami informatycznymi, zdefiniowane przez metodykę Information Technology Infrastructure Library (ITIL).
Pierwszy etap przedsięwzięcia
Efektem pierwszego etapu wdrożenia Zintegrowanego Systemu Zarządzania było zaprojektowanie procesów ISO/IEC 20000 i ITIL zakresie: Service Strategy (strategie zarządzania usługami IT), Service Design (zasady projektowania usług), Service Transition (wdrażanie usług z uwzględnieniem powiązań pomiędzy usługami), Service Operation (procesy wspierające Continual Service Improvement – mechanizmy ciągłego doskonalenia) w Zespole Serwisu.
Zaczęto od powołania Zespołu Serwisu (Service Desk), który jest punktem styku pomiędzy Transition Technologies oraz klientami i użytkownikami.
Katalog usług
Kolejnym krokiem było wdrożenie procesu Zarządzania Poziomem Usług. Wymogiem tego procesu jest opracowanie katalogu usług – w ogólnym pojęciu to spis usług, jakie organizacja IT może dostarczyć biznesowi. Katalog usług został zbudowany w oparciu o takie atrybuty jak: nazwa usługi (identyfikator), rodzaj usługi, opis i definicja usługi, warunki świadczenia usługi, role i odpowiedzialności (dostawcy i klienta), definicje mierników usługi, opis metod monitorowania i usprawniania realizacji, sposób rozliczania, opis zarządzania poziomem jakości usługi IT, sposób pomiaru efektywności, inicjowanie, definiowanie oraz testowanie oczekiwań i potrzeb klienta w odniesieniu do możliwości IT, parametry SLA (uzgodnione warunki świadczenia usług) oraz sposób zarządzania zmianą (dopasowanie usługi do zmieniających się warunków świadczenia).
Katalog usług jest podstawą umów SLA. Po uzupełnieniu katalogu o poziomy dostępności oraz ustaleniu takich rzeczy, jak okna serwisowe, uzyskano umowę pomiędzy TT a klientami oraz użytkownikami.
Implementacja procesów
Kolejnym etapem projektu była implementacja procesów ISO/IEC 20 000 w poszczególnych obszarach.
- Zarządzanie dostępnością i ciągłością działania – opracowano strategię ciągłości działania (Business Continuity Management – BCM) oraz odpowiednie Plany Ciągłości Działania (PCD), zapewniając ciągłość świadczonych usług. Wdrożono odpowiednie opomiarowanie procesów, zgodnie z zapisami SLA, które są realizowane poprzez wskaźniki niezawodności, czasy reakcji, czasy odpowiedzi z help desku czy wykonanie budżetu.
- Zarządzanie finansami – kluczowy element dla stabilności działania IT, bezpośrednio związany z pozostałymi procesami, a w szczególności z zarządzaniem poziomem usług oraz planowaniem wydajności.
- Zarządzanie pojemnością – odpowiednie zarządzanie wydajnością, w tym także planowanie zasobów na kolejne okresy rozliczeniowe, ma istotne znaczenie dla ciągłości działania świadczonych usług – dlatego ważne jest, aby proces ten uwzględniał zapisy SLA, a także elementy związane z planowaniem wydatków.
- Zarządzanie bezpieczeństwem informacji – zapewnienie bezpieczeństwa nie kończy się na wdrożeniu zabezpieczeń technicznych, równie ważna jest formalna analiza ryzyka i określenie najpoważniejszych zagrożeń dla bezpieczeństwa świadczonych usług i przetwarzanych danych.
- Współpraca z użytkownikami – zadania realizowane przez help desk mają istotne znaczenie dla dostarczania usług IT, stąd ważne, by proces ten został odpowiednio zorganizowany i realizowany.
- Zarządzanie incydentami – sposób postępowania w sytuacjach wystąpienia błędów jest jednym z głównych zadań realizowanych przez dział help desk. Z punktu widzenia jakości i bezpieczeństwa usług ważne, by reakcja ta była szybka i skuteczna.
- Zarządzanie problemami – zarządzanie wiedzą o przyczynach i metodach rozwiązania problemów ma znaczenie dla minimalizacji prawdopodobieństwa ich powtórzenia.
- Zarządzanie konfiguracją – konfiguracja to nie tylko sprzęt, lecz także oprogramowanie, dokumentacja oraz personel, a przede wszystkim wiedza o interakcji tych elementów.
Od zaangażowania do satysfakcji
Jednym z najważniejszych aspektów naszej działalności jest dbałość o wysoką jakość usług, co przekłada się potem na zadowolenie klientów. Efektem takiej polityki jest certyfikat ISO 9001 w zakresie projektowania, programowania i wdrażania specjalizowanych rozwiązań informatycznych oraz systemów automatyki dla przemysłu, w tym energetyki i gazownictwa.
Posiadanie certyfikatu wpływa znacząco na poziom satysfakcji klientów, a ten udokumentowany jest ich bardzo dobrymi opiniami i niewielką liczbą reklamacji. Oceny naszej pracy nie byłyby pewnie tak wysokie, gdyby nie zaangażowanie pracowników w realizację swoich zadań. To właśnie dzięki ich wysiłkowi wywiązujemy się terminowo ze swoich zobowiązań, a korzystając z nowych technologii, rozwijamy się i zwiększamy funkcjonalność naszych produktów, tym samym stajemy się bardziej konkurencyjni.
Wyróżnia nas na pewno to, że stawiamy na naukę. Nie tylko współpracujemy z polskimi i zagranicznymi placówkami naukowo-badawczymi, ale również sami prowadzimy intensywną działalność badawczo-rozwojową (B+R) w dziedzinie zaawansowanych technologii komputerowych i informatyki. To właśnie te działania spowodowały, że w 2010 r. decyzją ministra gospodarki firma uzyskała status Centrum Badawczo-Rozwojowego.
Tomasz Gilarski, Wiceprezes Transition Technologies
Forum Projektowe
Podczas trwania projektu powołano Forum Projektowe odpowiedzialne za:
- koordynację procesów: zarządzanie incydentem, zmianą, problemem, wersją, konfiguracją, dostępnością, ciągłością usług IT, pojemnością, poziomem usług oraz finansami według standardu ISO/IEC 20000;
- wykonanie przeglądu i zatwierdzenie Zintegrowanej Polityki Zarządzania oraz ogólnego podziału odpowiedzialności;
- monitorowanie istotnych zmian narażenia aktywów informacyjnych na podstawie zagrożenia;
- wykonywanie przeglądu i monitorowanie naruszeń bezpieczeństwa informacji i dostępności usług;
- zatwierdzanie ważniejszych przedsięwzięć zmierzających do podniesienia poziomu bezpieczeństwa informacji;
- określenie aktywów znajdujących się w zakresie Zintegrowanego Systemu Zarządzania, właścicieli aktywów oraz zidentyfikowanie zagrożeń dla tych aktywów – klasyfikacja informacji wrażliwych;
- ustanowienie zasad i celów bezpieczeństwa informacji oraz zarządzania usługami IT;
- systematyczna weryfikacja i analiza standardów związanych z bezpieczeństwem teleinformatycznym (normy, zalecenia, akty prawne);
- sformułowanie i wdrożenie planu postępowania z ryzykiem;
- wdrażanie i eksploatowanie zabezpieczeń, w kontekście kompleksowego zarządzania ryzykiem w instytucji – wyznaczenie poziomu ryzyka;
- opracowanie raportu z szacowania ryzykiem;
- określenie działań podejmowanych w celu rozwiązania problemów związanych z naruszeniem bezpieczeństwa przy uwzględnieniu priorytetów biznesowych;
- przeprowadzanie w zaplanowanych odstępach czasu audytów wewnętrznych Zintegrowanego Systemu Zarządzania ISO/IEC 20000 i ISO/IEC 27001;
- w regularnych odstępach czasu podejmowanie przeglądu Zintegrowanego Systemu Zarządzania ISO/IEC 20000 i ISO/IEC 27001, rejestrowanie działań i zdarzeń, które mogą mieć wpływ na skuteczność lub jakość realizacji Zintegrowanego Systemu Zarządzania ISO/IEC 20000 i ISO/IEC 27001;
- podejmowanie odpowiednich działań korygujących lub zapobiegawczych;
- ciągłe doskonalenie w oparciu o obiektywny pomiar;
- dobór i sprawdzenie kandydatów do pracy.
Plan postępowania z ryzykiem
Kolejnym kamieniem milowym w projekcie był proces zarządzania ryzykiem oraz określanie potencjału i możliwości organizacji, czyli plan postępowania z ryzykiem. Dane wejściowe do procesu szacowania ryzyka stanowiła klasyfikacja informacji i aktywów. Zespół projektowy sformalizował procedurę zarządzania ryzykiem, opisując w dokumencie takie obszary, jak:
- metodologia zarządzania ryzykiem,
- główne czynniki ryzyka,
- identyfikacja i ocena ryzyka,
- kryteria oceny ryzyka,
- działania ograniczające ryzyko,
- akceptacja wdrażania nowych i modyfikacji istniejących produktów, usług oraz procesów,
- incydenty ryzyka,
- zapewnienie ciągłości działania firmy,
- zarządzanie sytuacjami awaryjnymi i kryzysowymi,
- postępowanie w przypadku wykrycia przestępstwa lub podejrzenia popełnienia przestępstw.
Taka metodologia jest zgodna z tzw. kołem Deminga, zwanym również cyklem PDCA (Plan–Do–Check–Act). Stanowi ono uznany standard stosowany przy zarządzaniu ryzykiem rozumianym jako spójna, stała praktyka obejmującą identyfikację i ocenę ryzyka, ograniczanie poprzez działania, monitorowanie poziomu ryzyka oraz reewaluację i działania korygujące. Zarządzanie ryzykiem obejmuje wszystkie sfery działalności firmy i wszystkie linie biznesowe.
Proces szacowania ryzyka przeprowadził zespół projektowy TT. Jego wynikiem jest macierz oraz plan postępowania z ryzykiem, określający szczegóły wdrożenia zabezpieczeń.
Bezpiecznie i bez ryzyka
W celu zapewnienia najwyższego poziomu bezpieczeństwa, integralności i poufności powierzonych informacji oraz ograniczenia operacyjnego narażenia na ryzyko, jak również spełnienia wymagań wynikających z umów i wykazania jakości usług, firma Transition Technologies wdrożyła w swoim systemie zarządzania kolejne normy ISO /IEC 27001oraz ISO /IEC 20000-1.
Andrzej Bębenek, Pełnomocnik Zarządu ds. Zintegrowanego Systemu Zarządzania, Transition Technologies
Audyty technologiczne
Testowanie procesów stanowiło ostatnią fazę projektu. Prowadzono je poprzez audyty, działania korygujące i naprawcze w poszczególnych lokalizacjach oraz prezentacje i szkolenia z ZSZ dla wszystkich pracowników. BCC (aktualnie All for One Poland) przeprowadził audyt technologiczny w obszarze kopii zapasowych. Pierwszy etap audytu polegał na sprawdzeniu zasad wykonywania kopii zapasowych. Zweryfikowano harmonogram tworzenia kopii zapasowych, ich rodzaj, liczbę przechowywanych generacji kopii zapasowych, system oznaczania nośników, procedury zakupu i utrzymania odpowiedniego zapasu nośników kopii zapasowych oraz miejsce ich przechowywania.
Na drodze ku doskonałości
W ramach testowania procesów świeżo wdrożonych norm przeprowadziliśmy wraz z BCC audyty technologiczne infrastruktury IT w TT. Ich celem było zdiagnozowanie i stworzenie podstaw do poprawy stanu bezpieczeństwa IT. Audyty technologiczne polegają na dogłębnym sprawdzeniu stanu użytkowanych w organizacji zabezpieczeń w infrastrukturze IT, ze szczególnym uwzględnieniem potencjalnych słabych punktów, które mogą mieć wpływ na bezpieczeństwo systemów i danych.
Po trzech latach od rozpoczęcia projektu można śmiało powiedzieć, że to dopiero początek drogi ku doskonałości. Dalsze kroki to ustawiczne doskonalenie Zintegrowanego Systemu Zarządzania, audyty wewnętrzne i recertyfikacje, rekomendacje, potencjały oraz projekty rozwojowe.
Hubert Nowak, Dyrektor Implementation Solution Center (ISC), Transition Technologies
W drugim etapie sprawdzono zasady testowania możliwości odtworzenia kopii zapasowych, zakres testów, sposoby przeprowadzenia testów oraz zasady dokumentowania wyników testów. Audyt został zakończony raportem, w którym Transition Technologies uzyskał potencjały do doskonalenia w obszarze kopii zapasowych. Procedury zostały zaktualizowane. Wdrożono nowe rozwiązanie w procesie wykonywania kopii zapasowych. Zminimalizowano ryzyku utraty danych.
W kolejnych etapach konsultanci z Zespołu Bezpieczeństwa Informacji BCC dokonywali oceny procesów IT pod kątem zgodności z normą ISO/IEC 20000, dobrymi praktykami ITIL oraz sprawdzali spójność założeń i dokumentacji z rzeczywistymi praktykami w organizacji (polityka bezpieczeństwa, struktura organizacyjna i odpowiedzialność za procesy, organizacja bezpieczeństwa, klasyfikacja i kontrola aktywów, bezpieczeństwo osobowe, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, zarządzanie ciągłością działania). Weryfikacja domen jest realizowana zgodnie z normą ISO/IEC 27001.
Ostatnim etapem projektu było badanie procesu zarządzania ciągłością działania dla systemów IT. Konsultanci BCC wykorzystują do tego standard ISO 22301 System Zarządzania Ciągłością Działania. We wszystkich etapach były wykorzystywane takie narzędzia jak: wywiad, listy kontrolne, obserwacje. W wyniku audytu TT otrzymało raport rzetelnie i szczegółowo opisujący aktualny stan rozwiązań zapewniających bezpieczeństwo informacji, a także zdefiniowane przez audytorów potencjały do doskonalenia.
BCC (aktualnie All for One Poland) oferuje usługi związanie z wdrażaniem systemów zarządzania bezpieczeństwa informacji i przygotowaniem do certyfikacji na zgodność z normą ISO/IEC 27001. Realizuje projekty doradcze w zakresie: zarządzania ciągłością działania (ang. Business Continuity Management), zarządzania ryzykiem operacyjnym i procesami biznesowymi. Adresatem usługi są duże firmy i organizacje posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT.
Konsultanci BCC specjalizują się w opracowaniu strategii zarządzania działami IT na zgodności z systemami zarządzania usługami IT ISO/IEC 20000 i ITIL v3. W ramach audytów bezpieczeństwa IT BCC weryfikuje funkcjonujące w firmie procedury, bada systemy produktywne, serwisy WWW, bazy danych, jak również analizuje i sprawdza strukturę sieciową wraz z urządzeniami (switch, firewall itp).
Dopełnieniem audytu są testy penetracyjne, które sprawdzają funkcjonowanie zabezpieczeń w rzeczywistych okolicznościach. Wyniki audytu są przedstawiane w formie raportu, który odzwierciedla stan bezpieczeństwa informacji w przedsiębiorstwie. Wskazuje zarówno na elementy krytyczne, które stanowią bezpośrednie zagrożenie, jak również zawiera rekomendacje dotyczące procesów i działań, które warto w firmie zaimplementować.