Thomson multimedia Polska
Transkrypt
Thomson multimedia Polska
Wdrożenie Zintegrowanego Systemu Zarządzania w oparciu o wymagania norm PN-EN ISO 9001:2000 oraz BS 7799-2:2002 Thomson Information Services Polska (TIS Polska) jest organizacją działającą w ramach korporacji Thomson, zlokalizowaną w Piasecznie i umieszczoną w strukturach oddziału Support Service Center (SSC) Thomson multimedia Polska Sp. z o.o.. Podstawową działalnością jest świadczenie usług informatycznych na rzecz oddziałów Thomson’a w środkowej i wschodniej Europie oraz podmiotów zewnętrznych. Rys historyczny W styczniu 2003 zakończyła się integracja zakładów Thomsona zlokalizowanych w Polsce w wyniku, czego powstała nowa organizacja Thomson multimedia Polska Sp. z o.o.. Na wiosnę 2003 r. został zainicjowany korporacyjny projekt reorganizacji struktur IT działających w ramach nowoutworzonej spółki. W ramach projektu przygotowano długofalowy plan integracji infrastruktury (sieć, serwery) oraz zespołów odpowiedzialnych za bezpośrednią obsługę użytkownika (Help Desk), usługi telekomunikacyjne, zarządzanie infrastrukturą oraz nadzór nad aplikacjami biznesowymi i produkcyjnymi. Podstawą tej integracji był istniejący od kilkunastu lat w zakładach w Piasecznie Dział Informatyki. Nowa organizacja TIS Polska rozpoczęła działalność w lipcu 2003 r i objęła swoimi usługami również struktury Thomson’a zlokalizowane w Europie wschodniej. W połowie 2004 roku nastąpiły zmiany własnościowe w Thomson multimedia Polska , co spowodowało, że TIS Polska, poza klientami wewnętrznymi, rozpoczął również świadczenie usług dla podmiotów zewnętrznych. Działalność w paru zdaniach Andrzej Galik, TIS Polska Manager, „W czasach, gdy otaczający nas świat odsłania przed nami nowe zagrożenia, systematyzacja pracy zgodnie z uznanymi standardami bezpieczeństwa jest rzeczą oczywistą” TIS Polska zapewnia swoim klientom kompleksową obsługę informatyczną na warunkach określonych w umowach typu SLA (Service Level Agreement). Umowy SLA precyzują zakres, charakter oraz czas realizacji poszczególnych usług. W istniejącym systemie rozliczeń TIS Polska stanowi tak zwane centrum kosztów, co oznacza, że produkcyjne jednostki organizacyjne Thomson w całości pokrywają wydatki związane z funkcjonowaniem organizacji. Wszystkie koszty wynikające z działalności TIS Polska rozdzielane są na jednostki biznesowe w zależności od stopnia, w jakim korzystały z poszczególnych rodzajów usług. Przychody pozyskiwane od innych klientów, nie wchodzących w skład Thomson multimedia Sp. z o.o., pomniejszają łączną sumę kosztów, pozwalając tym samym na obniżenie cen jednostkowych usług świadczonych na rzecz jednostek wewnętrznych Thomson’a. Taki model finansowania działalności TIS Polska wiąże się z koniecznością uzgadniania z jednostkami biznesowymi, wszelkich kwestii związanych z budżetem w szczególności w zakresie planowanych potrzeb klientów w kolejnych okresach rozliczeniowych. Wymagania klientów dotyczące warunków współpracy są rozpoznawane, przeglądane i dokumentowane na etapie negocjacji budżetu. TIS Polska Manager reprezentuje w tym obszarze interesy TIS Polska. Podpisanie umowy jest równoznaczne z deklaracją potwierdzającą zdolność organizacji do wywiązania się z przyjętych zobowiązań. Wzrost jakości bezpiecznych usług informatycznych Coraz większe oczekiwania klientów, co do oferowanych przez TIS Polska usług, wymogi korporacyjne w zakresie Sarbanes-Oxley Act oraz ochrony wartości intelektualnej zaważyły na decyzji o podjęciu działań zmierzających do zwiększenia efektywności zarządzania organizacją i zapewnienia odpowiedniego bezpieczeństwa przetwarzanych informacji. Na początku roku 2004 zdecydowano o rozpoczęciu przygotowań do usystematyzowania zarządzania w oparciu o uznane standardy. Wynikiem tych działań, było wybranie firmy Doradztwo Gospodarcze DGA S.A. do przeprowadzenia wstępnego audytu w zakresie bezpieczeństwa i jakości. Efektem audytu była ocena systemu zarządzania pod kątem wymagań norm ISO 9001:2000 i BS 7799-2:2002. Etap ten pozwolił zapoznać się kierownictwu TIS Polska z istniejącymi niedoskonałościami organizacji, oraz czyhającymi zagrożeniami. Raport zawierający ocenę posłużył również jako podstawa do kontynuowania pracy - oszacowano czasochłonność projektu, a w dalszych pracach wykorzystano jako źródło danych wejściowych do analizy ryzyka. W trakcie audytu posłużono się narzędziem DGA Secure Audit, jednym z programów rodziny DGA Secure wspierających zarządzanie bezpieczeństwem organizacji. Działania projektowe Wraz z początkiem lipca, po analizie wyników audytu zaakceptowano plan projektu i rozpoczęto prace projektowe. Pierwsze działania polegały na przeszkoleniu pracowników z podstawowych „zasad sztuki” w ramach prowadzonego projektu. Równolegle trwały prace nad stworzeniem koncepcji systemu, który spełniałby oczekiwania organizacji. W celu pozyskania dodatkowych informacji o pracach niezbędnych do wykonania w zakresie bezpieczeństwa informacji przeprowadzono ocenę ryzyka. Podstawą do określenia ryzyk, było opracowanie klasyfikacji informacji, która kategoryzowałaby grupy informacji i wskazywała ich wartość. Wykorzystując dane z audytu wstępnego, klasyfikację informacji, oraz metodykę DGA oszacowano ryzyko związane z utratą informacji oraz ryzyko związane z utratą ciągłości działania. Odpowiednio, wyniki zostały przedstawione i omówione w raporcie z oceny ryzyka utraty informacji i strategii ciągłości działania. Opierając się na zidentyfikowanych ryzykach, dla wartości przekraczających określony przez kierownictwo próg akceptowalności, wskazano działania doskonalące – plan minimalizacji ryzyka. W planie umieszczono nie tylko zadania związane z wdrożeniem środków technicznych, ale wskazano też czynności obejmujące Wojciech Fukowski, Business Systems Manager, Pełnomocnik ds. zagadnienia organizacyjne min. procedury i instrukcje Zintegrowanego Systemu postępowania. Zarządzania, „Nie wszystkie Na tym etapie prace z zakresu dwóch norm przebiegały elementy zarządzania organizacją równolegle i dotyczyły tworzenia dokumentacji składającej się z wydają się niezbędne, jednakże procedur graficznych i dokumentów tekstowych. W celu na pewno na bezpieczeństwie nie można oszczędzać” opracowania procedur graficznych posłużono się oprogramowaniem DGA Process, oferującym szerokie możliwości komponowania w sposób graficzny ścieżek postępowania. Komplementarnym narzędziem wykorzystanym do rozpowszechnienia całości opracowanych materiałów jest zastosowane rozwiązanie prezentacji dokumentacji na stronach intranetowych – DGA Quality. W końcu września ukończono prace projektowe, i z dniem 1 października 2004 wprowadzono ustanowione reguły zarządzania w życie. Pod koniec grudnia i w początku stycznia przeprowadzono audyty wstępne, których celem była ocena skuteczności wdrożenia zintegrowanego systemu zarządzania. Wyniki audytu przedstawione na przeglądzie kierownictwa pozwoliły podjąć decyzję o przystąpieniu do certyfikacji systemu. Efekt sukcesu Z początkiem lutego jednostka certyfikacyjna DNV przeprowadziła audyt certyfikacyjny na zgodność z wymaganiami norm ISO 9001:2000 oraz BS 7799-2:2002. Wynik oceny pozwolił jednostce tej rekomendować TIS Polska do przyznania certyfikatów, a tym samym od połowy marca 2005 TIS Polska posiada jako jedyny podmiot w strukturach Thomson’a oraz nieliczny w Polsce zintegrowany system zarządzania zgodny z powyższymi standardami. Spoglądając na rezultaty prac, z całą pewnością możemy stwierdzić, że decyzja, którą podjęliśmy blisko rok temu okazała się trafiona. Wdrożenie systemu zapewniło nam z jednej strony spełnienie standardów korporacyjnych, z drugiej – wymagań klientów. Zyskaliśmy dużo - profesjonalny wizerunek wraz ze skutecznie działającą organizacją, co zapewnia nam solidne podstawy do rozwoju i dzisiaj i w przyszłości. Ze strony DGA S.A. w projekcie udział brali: nadzór merytoryczny: Marcin Zastawa, Dyrektor Departamentu Zarządzania, kierownik projektu: Michał Borucki, Starszy konsultant ds. bezpieczeństwa informacji, konsultanci: Tomasz Redliński, Michał Mytkowski