ISO dla informatyków

Certyfikaty ISO są ważne, kiedy trzeba wybrać dostawcę rozwiązań IT do firmy. Jednak czy warto samemu mieć takie dokumenty, potwierdzające jakość wewnętrznych operacji IT?

Certyfikaty ISO (International Organization for Standards) pomagają w ocenie dostawców rozwiązań informatycznych. Są wskazówką ułatwiającą podjęcie decyzji, które oprogramowanie i sprzęt lepiej spełni oczekiwania użytkownika. Z drugiej strony, czy samemu warto zdobyć taki certyfikat? W przypadku organizacji IT normy ISO mogą się przydać, aby uspokoić zarząd i korporacyjnych użytkowników, że dane oraz procesy są bezpieczne i warto w nie inwestować.

Trzy normy

Powstały trzy standardy – ISO 20000, ISO 27001 oraz ISO 22301 – związane z zarządzaniem usługami IT, bezpieczeństwem informacji oraz ciągłością biznesową. Można je stosować w przypadku większości działów IT, niezależnie od wielkości firmy i branży, w której działa. Jednym z założeń standardów ISO jest bowiem możliwość ich stosowania w każdej organizacji. Z reguły przedsiębiorstwa starają się o otrzymanie certyfikatu, aby poprawić jakość świadczonych wewnętrznie usług.

Norma ISO 20000 jest określana jako standard zarządzania usługami IT. W praktyce wskazuje ona, jak zarządzać usługami IT dostarczanymi do wewnętrznego, firmowego użytkownika. Standard ten powstał na podstawie zbioru, tzw. dobrych praktyk zebranych w Information Technology Infrastructure Library (ITIL). Norma jest dostępna po polsku i składa się z dwóch części: specyfikacji (ISO 20000-1) oraz reguł postępowania (ISO 20000-2).

Z kolei ISO 27001 dotyczy zarządzania bezpieczeństwem informacji. Jest to rodzina standardów, które mają pomóc firmom w zarządzania bezpieczeństwem takich zasobów, jak informacje finansowe, własność intelektualna, dane o pracownikach lub informacje powierzone przez zewnętrzne podmioty. Kiedy jednak warto rozważyć uzyskanie tego certyfikatu? Firma musi odpowiedzieć sobie, czy przetwarza poufne lub wrażliwe dane, które być może wymagają dodatkowej ochrony. Jeśli są przechowywane tylko w jednym komputerze, wdrażanie ISO 27001 nie będzie potrzebne, ale jeśli znajdują się one w wielu komputerach, spełnienie wymogów tej normy może być bardzo przydatne.

Trzecia z omawianych norm, ISO 22301, odnosi się do ciągłości biznesowej, w szczególności w sytuacjach kryzysowych. Inaczej niż dwa pozostałe standardy związane z zarządzaniem systemami, w tym przypadku mamy do czynienia ze standardem bezpieczeństwa społecznego. Norma ISO 22301 została opracowana przez grupę światowej klasy ekspertów reprezentujących różne sektory gospodarki i administrację państwową, przez co obejmuje bardzo szerokie spektrum zagadnień. Ten zespół ekspertów opracował standardy ochrony przed zdarzeniami, katastrofami i klęskami wywoływanymi świadomie lub nie przez ludzi oraz powodowanymi przez awarie techniczne i czynniki naturalne. Ponieważ w większości firm technologie IT są kluczowym komponentem prowadzenia biznesu, trzeba je chronić, aby zapewnić ciągłość biznesową.

Papierologia

Wszystkie normy ISO w dużym uproszczeniu polegają na tym, aby dokumentować wykonywanie czynności oraz wykonywać je zgodnie z dokumentacją. Niektóre standardy wymagają, aby wykonywać czynności zgodnie z najlepszymi praktykami, ale część standardów nie nakłada takich wymogów. Jednak w każdym przypadku trzeba sporządzić dokumentację firmowych praktyk i procesów. Ta dokumentacja musi być zapisana w określonej formie, zgodnej ze specyfikacją ISO. Połączenie niepewności i precyzji powoduje, że wiele organizacji zakłada, iż każdy działa związane ISO są bardzo kosztowne i wymagają zaangażowania firmy doradczej.

Jak dział IT może ocenić, kiedy uzyskanie certyfikacji ISO jest warte zachodu? Są trzy opcje, jak można zdobyć informacje na ten temat. Pierwsza, to książki poświęcone tej tematyce, za pomocą wyszukiwarki można znaleźć wiele takich pozycji. Druga opcja to skorzystanie z obszernych zasobów udostępnionych przez samą organizację ISO. Trzeba jednak dodać, że te materiały z reguły mają bardzo techniczny charakter. Na koniec, warto poszukać osoby, z którą można przedyskutować te kwestie. Takich okazji dostarczają konferencje i targi, w których biorą udział firmy mające już za sobą proces certyfikacji.

Oczywiście nie we wszystkich sytuacjach można tak postąpić i czasem faktycznie potrzebna jest pomoc konsultanta. W przypadku firm, które nie miały wcześniej doświadczeń związanych ze standardami ISO, samodzielnie wdrożenie standardu bez zewnętrznej pomocy jest bardzo trudne. Te standardy są skomplikowane i, wdrażając je bez doświadczenia, można pójść złą drogą. Przykładowo, można wdrożyć zbyt wiele zasad lub restrykcyjnych reguł, które nie mają zastosowania w przypadku danej firmy.

Kwestie certyfikacji ISO komplikuje również fakt, że wiele standardów wymaga zaangażowania uczestników spoza działów IT. Przykładem są reguły bezpieczeństwa informacji, których zasięg może wykraczać poza dział IT. Przyjmijmy, że prezes firmy robi notatki w papierowym notesie. Mogą to być zapiski dotyczące firmowej strategii. Jeśli prezes zgubi swój notatnik w publicznym miejscu lub ktoś mu ten notatnik ukradnie, powstanie poważne zagrożenie dla bezpieczeństwa informacji. Ten problem trzeba jakość rozwiązać, ale jak ma się on do norm ISO? Prezes nie jest przecież częścią działu IT, a jego notatnik nie jest elementem infrastruktury IT. Jednak zapisane w nim informacje wymagają ochrony.