Thomson multimedia Polska

Wdrożenie Zintegrowanego Systemu
Zarządzania w oparciu o wymagania norm
PN-EN ISO 9001:2000 oraz BS 7799-2:2002
Thomson Information Services Polska (TIS Polska) jest organizacją działającą w ramach
korporacji Thomson, zlokalizowaną w Piasecznie i umieszczoną w strukturach oddziału Support Service
Center (SSC) Thomson multimedia Polska Sp. z o.o.. Podstawową działalnością jest świadczenie usług
informatycznych na rzecz oddziałów Thomson’a w środkowej i wschodniej Europie oraz podmiotów
zewnętrznych.
Rys historyczny
W styczniu 2003 zakończyła się integracja zakładów Thomsona
zlokalizowanych w Polsce w wyniku, czego powstała nowa
organizacja Thomson multimedia Polska Sp. z o.o.. Na wiosnę
2003 r. został zainicjowany korporacyjny projekt reorganizacji
struktur IT działających w ramach nowoutworzonej spółki. W
ramach projektu przygotowano długofalowy plan integracji
infrastruktury (sieć, serwery) oraz zespołów odpowiedzialnych za
bezpośrednią obsługę użytkownika (Help Desk), usługi
telekomunikacyjne, zarządzanie infrastrukturą oraz nadzór nad
aplikacjami biznesowymi i produkcyjnymi. Podstawą tej integracji
był istniejący od kilkunastu lat w zakładach w Piasecznie Dział
Informatyki.
Nowa organizacja TIS Polska rozpoczęła działalność w lipcu 2003
r i objęła swoimi usługami również struktury Thomson’a
zlokalizowane w Europie wschodniej.
W połowie 2004 roku nastąpiły zmiany własnościowe w
Thomson multimedia Polska , co spowodowało, że
TIS Polska, poza klientami wewnętrznymi, rozpoczął również
świadczenie usług dla podmiotów zewnętrznych.
Działalność w paru zdaniach
Andrzej Galik, TIS Polska Manager,
„W czasach, gdy otaczający nas
świat odsłania przed nami nowe
zagrożenia, systematyzacja pracy
zgodnie z uznanymi standardami
bezpieczeństwa jest rzeczą
oczywistą”
TIS Polska zapewnia swoim klientom kompleksową obsługę informatyczną na warunkach określonych
w umowach typu SLA (Service Level Agreement). Umowy SLA precyzują zakres, charakter oraz czas
realizacji poszczególnych usług. W istniejącym systemie rozliczeń TIS Polska stanowi tak zwane
centrum kosztów, co oznacza, że produkcyjne jednostki organizacyjne Thomson w całości pokrywają
wydatki związane z funkcjonowaniem organizacji. Wszystkie koszty wynikające z działalności TIS
Polska rozdzielane są na jednostki biznesowe w zależności od stopnia, w jakim korzystały z
poszczególnych rodzajów usług. Przychody pozyskiwane od innych klientów, nie wchodzących w skład
Thomson multimedia Sp. z o.o., pomniejszają łączną sumę kosztów, pozwalając tym samym na
obniżenie cen jednostkowych usług świadczonych na rzecz jednostek wewnętrznych Thomson’a. Taki
model finansowania działalności TIS Polska wiąże się z koniecznością uzgadniania z jednostkami
biznesowymi, wszelkich kwestii związanych z budżetem w szczególności w zakresie planowanych
potrzeb klientów w kolejnych okresach rozliczeniowych.
Wymagania klientów dotyczące warunków współpracy są rozpoznawane, przeglądane i
dokumentowane na etapie negocjacji budżetu. TIS Polska Manager reprezentuje w tym obszarze
interesy TIS Polska. Podpisanie umowy jest równoznaczne z deklaracją potwierdzającą zdolność
organizacji do wywiązania się z przyjętych zobowiązań.
Wzrost jakości bezpiecznych usług informatycznych
Coraz większe oczekiwania klientów, co do oferowanych przez TIS Polska usług, wymogi korporacyjne
w zakresie Sarbanes-Oxley Act oraz ochrony wartości intelektualnej zaważyły na decyzji o podjęciu
działań zmierzających do zwiększenia efektywności zarządzania organizacją i zapewnienia
odpowiedniego bezpieczeństwa przetwarzanych informacji. Na początku roku 2004 zdecydowano o
rozpoczęciu przygotowań do usystematyzowania zarządzania w oparciu o uznane standardy.
Wynikiem tych działań, było wybranie firmy Doradztwo Gospodarcze DGA S.A. do przeprowadzenia
wstępnego audytu w zakresie bezpieczeństwa i jakości. Efektem audytu była ocena systemu
zarządzania pod kątem wymagań norm ISO 9001:2000 i BS 7799-2:2002.
Etap ten pozwolił zapoznać się kierownictwu TIS Polska z istniejącymi niedoskonałościami organizacji,
oraz czyhającymi zagrożeniami. Raport zawierający ocenę posłużył również jako podstawa do
kontynuowania pracy - oszacowano czasochłonność projektu, a w dalszych pracach wykorzystano jako
źródło danych wejściowych do analizy ryzyka. W trakcie audytu posłużono się narzędziem DGA Secure
Audit, jednym z programów rodziny DGA Secure wspierających zarządzanie bezpieczeństwem
organizacji.
Działania projektowe
Wraz z początkiem lipca, po analizie wyników audytu zaakceptowano plan projektu i rozpoczęto prace
projektowe. Pierwsze działania polegały na przeszkoleniu pracowników z podstawowych „zasad sztuki”
w ramach prowadzonego projektu. Równolegle trwały prace nad stworzeniem koncepcji systemu,
który spełniałby oczekiwania organizacji. W celu pozyskania
dodatkowych informacji o pracach niezbędnych do wykonania w
zakresie bezpieczeństwa informacji przeprowadzono ocenę
ryzyka. Podstawą do określenia ryzyk, było opracowanie
klasyfikacji informacji, która kategoryzowałaby grupy informacji i
wskazywała ich wartość. Wykorzystując dane z audytu
wstępnego, klasyfikację informacji, oraz metodykę DGA
oszacowano ryzyko związane z utratą informacji oraz ryzyko
związane z utratą ciągłości działania. Odpowiednio, wyniki zostały
przedstawione i omówione w raporcie z oceny ryzyka utraty
informacji i strategii ciągłości działania. Opierając się na
zidentyfikowanych ryzykach, dla wartości przekraczających
określony przez kierownictwo próg akceptowalności, wskazano
działania doskonalące – plan minimalizacji ryzyka. W planie
umieszczono nie tylko zadania związane z wdrożeniem środków
technicznych, ale wskazano też czynności obejmujące
Wojciech Fukowski, Business
Systems Manager, Pełnomocnik ds.
zagadnienia organizacyjne min. procedury i instrukcje
Zintegrowanego Systemu
postępowania.
Zarządzania, „Nie wszystkie
Na tym etapie prace z zakresu dwóch norm przebiegały
elementy zarządzania organizacją
równolegle i dotyczyły tworzenia dokumentacji składającej się z
wydają się niezbędne, jednakże
procedur graficznych i dokumentów tekstowych. W celu
na pewno na bezpieczeństwie nie
można oszczędzać”
opracowania
procedur
graficznych
posłużono
się
oprogramowaniem DGA Process, oferującym szerokie możliwości
komponowania w sposób graficzny ścieżek postępowania. Komplementarnym narzędziem
wykorzystanym do rozpowszechnienia całości opracowanych materiałów jest zastosowane rozwiązanie
prezentacji dokumentacji na stronach intranetowych – DGA Quality. W końcu września ukończono
prace projektowe, i z dniem 1 października 2004 wprowadzono ustanowione reguły zarządzania w
życie. Pod koniec grudnia i w początku stycznia przeprowadzono audyty wstępne, których celem była
ocena skuteczności wdrożenia zintegrowanego systemu zarządzania. Wyniki audytu przedstawione na
przeglądzie kierownictwa pozwoliły podjąć decyzję o przystąpieniu do certyfikacji systemu.
Efekt sukcesu
Z początkiem lutego jednostka certyfikacyjna DNV przeprowadziła audyt certyfikacyjny na zgodność z
wymaganiami norm ISO 9001:2000 oraz BS 7799-2:2002. Wynik oceny pozwolił jednostce tej
rekomendować TIS Polska do przyznania certyfikatów, a tym samym od połowy marca 2005 TIS
Polska posiada jako jedyny podmiot w strukturach Thomson’a oraz nieliczny w Polsce zintegrowany
system zarządzania zgodny z powyższymi standardami.
Spoglądając na rezultaty prac, z całą pewnością możemy stwierdzić, że decyzja, którą podjęliśmy
blisko rok temu okazała się trafiona. Wdrożenie systemu zapewniło nam z jednej strony spełnienie
standardów korporacyjnych, z drugiej – wymagań klientów. Zyskaliśmy dużo - profesjonalny
wizerunek wraz ze skutecznie działającą organizacją, co zapewnia nam solidne podstawy do rozwoju i
dzisiaj i w przyszłości.
Ze strony DGA S.A. w projekcie udział brali:
nadzór merytoryczny: Marcin Zastawa, Dyrektor Departamentu Zarządzania,
kierownik projektu: Michał Borucki, Starszy konsultant ds. bezpieczeństwa informacji,
konsultanci: Tomasz Redliński, Michał Mytkowski