Napísal: Ing. František KALUŽA – špecialista informačnej bezpečnosti, Fakulta špeciálneho inžinierstva, ŽU, Katedra bezpečnostného manažmentu.

V súčasnosti veľmi skloňované slovo “Outsourcing” prináša do spoločností nové vnímanie pohľadu na zabezpečenie funkčnosti prevádzky rôznych zdrojov činnosti spoločnosti. Najčastejšie sa v súčasnosti hovorí o outsourcingu v oblasti ICT, ale známe sú aj služby vo výskume, výrobných procesoch, správe ekonomických, účtovných, daňových a iných agend spoločností. Spoločnosti zvažujú či im dodávka externých služieb prinesie viac úžitku ako negatív. Spoločnosti však veľmi často robia množstvo chýb, keď hodnotia ekonomické a rôzne iné aspekty outsourcingu a podceňujú tie bezpečnostné. Pri každej činnosti outsourcingovej spoločnosti totižto dochádza k styku s informačnými aktívami spoločnosti a keďže outsourcingová spoločnosť je cudzia spoločnosť, sú riziká straty bezpečnostných atribútov informačných aktív o to vyššie. Úlohou tohto článku preto nebude sledovať, či je vhodné outsourcovať zdroje spoločnosti, ale pokúsiť sa vykresliť základné pravidlá dobrej praxe bezpečnosti outsourcingu.

K outsourcingu podobne ako aj k informačnej bezpečnosti možno pristupovať procesným riadením, ktoré je definované v rôznych normách, odporúčaniach a metrikách.

1      Riadenie rizík outsourcingu

Outsourcing je len vtedy efektívny, ak je dodávaný ako služba koncovým zákazníkom (užívateľom), ktorá je profesionálna, nákladovo optimalizovaná a zahrňuje len také riziká, ktoré poznáme a môžeme riadiť. Nesporne prináša mnohé výhody, ale pri nesprávnom riadení môže naopak vytvárať množstvo rizík. Medzi najčastejšie chyby, ktoré spoločnosti robia pri nasadzovaní outsourcingu je, že potenciálnu, príp. už vybranú spoločnosť dostatočne nepreveria.

Analýza rizík

Základným nástrojom pre preverenie outsourcingových spoločností je analýza rizík. Súčasťou analýzy rizík je zaistenie takých technických, organizačných a právnych podmienok pre činnosť externej spoločnosti, aby bola zabezpečená primeraná úroveň informačnej bezpečnosti a zhoda so zákonnou legislatívou, normami a internými pravidlami informačnej bezpečnosti. Riziká hroziace informačným aktívam vyplývajúce  so spolupráce s outsourcingovou spoločnosťou by mali byť identifikované a musia byť implementované príslušné opatrenia ešte pred udelením prístupu k aktívam informačného systému spoločnosti (IS). Analýza rizík by mala byť vykonávaná periodicky, čím sa zabezpečí adekvátnosť a aktuálnosť všetkých požiadaviek na špecifické bezpečnostné opatrenia. Identifikácia rizík spojených s prístupom outsourcingovej  spoločnosti by mala brať do úvahy nasledovné:

a)     K akým informačným aktívam má outsourcingová spoločnosť prístup,

b)    Typ a pravidlá prístupu k informačným aktívam, ktorý bude udelený outsourcingovej spoločnosti:

• Fyzický prístup,
• Logický prístup k zdrojom a infraštruktúre:

-       Prístup bez možnosti prístupu k informáciám,

-       Prístup s možnosťou prístupu k informáciám,

• Systém identifikácie a autorizácie k IS, vydávanie oprávnení: identifikačných a autorizačných prvkov,

c)     Hodnota a kritickosť informačných aktív, ku ktorým má v IS outsourcingová spoločnosť prístup,

d)    Opatrenia potrebné na ochranu informačných aktív, ktoré nemajú byť sprístupnené outsourcingovej spoločnosti,

e)     Personál outsourcingovej spoločnosti zúčastňujúci sa na manipulácii s informačnými aktívami IS spoločnosti,

f)     Dopad na stratu prístupu outsourcingovej spoločnosti k aktívam IS, stanovenie opatrení v prípade tohto výpadku,

g)    Právne a regulačné požiadavky, záujmy strán a iné zmluvné záväzky významné pre obe zmluvné strany, ktoré je nutné vziať do úvahy,

Nech je úroveň poskytovaných služieb akákoľvek, v spoločnosti musí existovať aspoň 1 zodpovedný zamestnanec (zz), príp. útvar, ktorý je kontrolným orgánom a je zodpovedný za vedenie kontrolnej činnosti outsourcingovej spoločnosti. Pre tento účel musí mať útvar (zz) primerané oprávnenia vyplývajúce z outsourcingovej zmluvy. Otázkou je, kto by tým zamestnancom mal byť. Výber závisí od typu outsourcingovej činnosti, morálnych, etických a odborných predpokladov. V praxi tou osobou býva najčastejšie bezpečnostný manažér spoločnosti, príp. vedúci bezpečnostného útvaru.

Proces riadenia rizík

Súčasťou procesov riadenia rizík je rozhodovací proces, vychádzajúci z analýzy rizík, v ktorom útvar (zz) vyvíja, analyzuje a zrovnáva preventívne a regulačné opatrenia pre zvyšovanie bezpečnosti IS. Následne sú vyberané tie, ktoré minimalizujú existujúce riziká súvisiace s pôsobením outsourcingovej spoločnosti na aktíva IS. Riadenie rizík preto aktívne kopíruje systém neustáleho zlepšovania P-D-C-A, čo je uvedené aj v normách [3-4].

Vhodný postup riadenia rizík sa skladá z nasledujúcich fáz, ktoré sa cyklicky opakujú pre každé riziko:

Schéma 1: Fázy riadenia rizík spojených s outsourcingovou spoločnosťou [6].

1.     Spočíva v zistení a štrukturovanej evidencii významných rizík,

2.     Stanovenie a rozbor zdrojov rizika a stanovenie indikátorov včasného varovania, ako aj stanovenia vlastníka rizika (outsourcingovej spoločnosti),

3.     Určenie pp vzniku a veľkosti dopadu rizika na hodnotiacej stupnici (najlepšie konvertovaním do kvalitatívnej škály),

4.     Výber najvhodnejšieho postupu pre zvládanie príslušného rizika a to v súlade s celkovou stratégiou riadenia rizík v IS,

5.     Aktívne ovplyvňovanie pozície rizika – znižovanie potenciálnych škôd a pravdepodobnosti ich vzniku a sú konkretizáciou prijatej stratégie a taktiky riadenia rizika,

6.     Pravidelné operatívne sledovanie daného rizika, vyhodnocovanie indikátorov vzhľadom k prijatým limitám a posudzovanie opatrení na jeho zvládanie.

7.     Pravidelné vykazovanie sledovaných ukazovateľov rizík za jednotlivé riziká, oblasti a komplexne celé tretie strany,

8.     Agregácia dielčích zložiek komplexného rizika tretích strán.

Medzi základné riziká outsourcingových spoločností, ktoré je nutné sledovať a aktívne sa nimi zaoberať patria nasledovné:

• Prílišná závislosť na outsourcingových spoločnostiach,
• Strata kľúčových kompetencií a znalostí v spoločnosti,
• Prílišná zameranosť outsourcingovej spoločnosti na kľúčových zamestnancov a možná strata ich dostupnosti,
• Nedostatočná kvalifikácia, príp. motivácia personálu outsourcingovej spoločnosti,
• Ne(s)plnenie zmluvných záväzkov outsourcingovou spoločnosťou,
• Zasahovanie neformálnych vzťahov manažmentu do outsourcingových činností – klientelizmus,
• Nedostatočná finančná efektivita využívania outsourcingovej spoločnosti,
• Skryté a nevyjasnené náklady vykazované outsourcingovou spoločnosťou,
• Bezpečnostné problémy – ochrana DID v IS.

2  Zmluvné vzťahy s tretími stranami

SLA – Service Level agreement

Zmluva musí byť realizovaná tak, že bude vylúčená možnosť vzniku nedorozumenia medzi oboma zmluvnými stranami. Outsourcingová spoločnosť nám iste ponúkne vypracovanú zmluvu. Určite sa však vyplatí mať vypracovanú svoju zmluvu a začať vyjednávanie o budúcej zmluve od našej zmluvy. Podcenenie niektorých ustanovení zmluvy môže v budúcnosti priniesť nevýhodnosť zmluvného vzťahu pre jednu zo strán, čo je v konečnom dôsledku základom pre nespokojnosť zmluvných strán. Základom každej zmluvy s outsourcingovou spoločnosťou musí byť efektívne vypracovaná SLA (Service Level Agreement) – Dohoda o úrovni poskytovaných služieb. Nie je účelom tohto článku definovať celú úroveň poskytovaných služieb (viď, Cobit, ISO/IEC 20000), ale len jej bezpečnostnú oblasť.

Bezpečnostné požiadavky na zmluvu

Zmluva s outsourcingovou spoločnosťou pokrývajúca prístup, spracúvanie, oznamovanie alebo správu informácií v IS alebo prostriedkov na ich spracúvanie, prípadne pridanie produktov alebo služieb do prostriedkov na spracúvanie informácií by mala pokryť všetky relevantné bezpečnostné súčasti.

Základné bezpečnostne relevantné súčasti zmluvy:

a)     Zabezpečenie výhodnosti zmluvy pre obe zmluvné strany: v praxi tzv. win-win kontrakt, kde zo zmluvy profitujú a rastú obe zmluvné strany, v opačnom prípade sa problém postupne eskaluje na úroveň krízy (patovej situácie) v zmluvnom vzťahu,

b)    Spôsob zabezpečenia ochrany obchodného tajomstva a kritických informácií spoločnosti, s ktorými príde outsourcingová spoločnosť do styku, kontrolné mechanizmy dodržiavania ochrany,

c)     Monitoring, kontrola a hodnotenie plnenia ustanovení zmluvy: cieľom je priebežne nastavovať kvalitu poskytovaných služieb na úroveň obojstranne výhodnej spolupráce, musí byť stanovený interný kontrolór, príp. tretia stran zodpovedná za monitoring a kontrolu.

d)    Vzhľadom k tomu, že zmluvy bývajú dlhodobejšie je vhodné definovať vymedzenie dodatkov (príloh) k zmluve, ktoré bude možné meniť vzhľadom na zmenu podmienok trhu v čase (napr. cenové podmienky),

e)     Požiadavky na pracovnoprávne usporiadanie – napr. skúsenosti, vedomosti zamestnancov outsourcera, veľkosť pracovných tímov, systém nahraditeľnosti kľúčových zamestnancov, systém vzdelávania,

f)     Zabezpečenie ochrany osobných údajov v outsourcovanej spoločnosti v zmysle platného zákona o ochrane osobných údajov vzhľadom k tomu, že outsourcingová spoločnosť s najväčšou pp. príde do styku s internými osobnými údajmi, príp. ich dokonca spracováva, alebo spravuje ich zdroje.

g)    Súčasťou zmluvy musí byť dohoda o vysporiadaní po ukončení poskytovania outsourcingových služieb a podmienky odstúpenia od zmlúv na oboch stranách pre  opätovné incourcovanie činností.

Podľa [E1], bodu 6.2.3 by mali byť pri riešení zmlúv s outsourcingovými spoločnosťami taktiež zvážené a následne zahrnuté do zmluvy nasledovné bezpečnostné podmienky:

a)     odkaz na politiku informačnej bezpečnosti outsourcingovej spoločnosti a jej najzávažnejšie body,

b)    Opatrenia na zabezpečenie ochrany aktív IS vrátane:

• Procedúr na ochranu aktív IS, vrátane informácií, softvéru a hardvéru,
• Akékoľvek nevyhnutné opatrenia a mechanizmy fyzickej ochrany,
• Opatrenia na ochranu pred škodlivým kódom,
• Postupy na určenie toho, či došlo ku kompromitácii aktív, napr. strata alebo modifikácia informácií, softvéru a hardvéru,
• Opatrenia na zabezpečenie návratu a zničenia informácií a aktív IS po vypršaní platnosti dohody alebo v inak stanovenom termíne,
• Dôvernosť, integrita, dostupnosť (DID) a akékoľvek iné relevantné vlastnosti aktív,
• Obmedzenia kopírovania a odkrytia informácií a použitie zmlúv o zachovaní dôvernosti,

c)     Školenia správcov v oblasti metód a procedúr bezpečnosti,

d)    Zabezpečenie užívateľského povedomia v súvislosti s otázkami a zodpovednosťami za informačnú bezpečnosť,

e)     Doložka o presune personálu v prípade potreby, čo sa stane s pôvodným personálom,

f)     Duševné vlastníctvo poskytovaných služieb, SW a iných aktív IS,

g)    Zodpovednosti v súvislosti s inštaláciou a údržbou hardvéru a softvéru v IS,

h)     Systém operatívnej komunikácie s outsourcingovou spoločnosťou – jednoznačná štruktúra a formát tvorby správ, systém exportovania výkazov o činnosti outsourcingovej spoločnosti,

i)      Jednoznačný a bližšie špecifikovaný proces riadenia zmien v poskytovaných službách,

j)      Politika riadenia prístupu k zdrojom a infraštruktúre IS pokrývajúca:

• Rozličné dôvody, požiadavky a výhody, pre ktoré sa prístup outsourcingovej spoločnosti stáva opodstatneným,
• Povolené metódy, autorizačný proces prístupu k IS a privilégiá pre outsourcingovú spoločnosť,
• Požiadavky na realizáciu zoznamov zamestnancov outsourcingovej spoločnosti s rozličnými typmi autorizácii v IS s uvedením práv a privilégií,
• Stanovisko, o prístupe:

-       akýkolvek prístup, ktorý nie je explicitne povolený je zakázaný,

-       akýkoľvek prístup, ktorý nie je zakázaný je povolený,

-       možné výnimky, kto ich stanovuje a kontroluje (s výnimkami však opatrne, aby Vám „neprerástli cez hlavu“; kto však tvrdí, že výnimky nesmú byť, žije v utópii),

• Popis procesu zrušenia prístupových práv alebo prerušenie spojenia medzi systémami,

k)     Pravidlá týkajúce sa oznamovania, signalizovania a vyšetrovania incidentov a narušení informačnej bezpečnosti IS, ale aj nesplnenia požiadaviek uvedených v zmluve,

l)      Opis každého produktu a služby, ktoré majú byť v IS poskytnuté a opis informácií, ktoré majú byť sprístupnené, vrátane ich bezpečnostnej klasifikácie,

m)   Cieľová úroveň služieb a neprijateľná úroveň služieb, ich meranie ,hodnotenie a vykazovanie,

n)     Definícia overiteľných kritérií výkonnosti, ich monitoring a vykazovanie, kto zodpovedá za vedenie monitoringu,

o)    Právo monitorovať a zrušiť akúkoľvek aktivitu spojenú s aktívami IS,

p)    Právo auditovať zodpovednosti definované v zmluve, spôsoby auditu, vymenovanie štatutárnych práv audítorov,

q)    Požiadavky na kontinuitu služieb, vrátane mier dostupnosti a spoľahlivosti,

r)      Jednotlivé záväzky medzi organizáciou a outsourcingovou spoločnosťou a naopak,

s)     Zodpovednosti outsourcingových spoločností vzhľadom na právne otázky a spôsob, akým  sa zabezpečí, že budú tieto požiadavky naplnené,

t)      Riešenie sporov, sankcie (pokuty, zľavy, odstúpenie od zmluvy), príp. arbitrážna doložka,

u)     Povolenie určenia ďalších subjektov ak sa predpokladá budúci prístup k IS, ako aj podmienky za akých k nemu môže dôjsť – záruky, že nepríde k strate DID aktív IS,

v)     Práva outsourcingových spoločností v IS,

w)    Podmienky prehodnotenia / stornovania zmlúv:

• Mal by byť zavedený havarijný plán pre prípad, ak sa akákoľvek outsourcingová spoločnosť rozhodne ukončiť zmluvný vzťah pred vypršaním jeho platnosti,
• Prehodnocovanie dohôd v prípade zmeny bezpečnostných požiadaviek na IS,
• Aktuálna dokumentácia – zoznamy aktív, licencie, dohody a práva s nimi súvisiace.

3  Riadenie dodávky služieb poskytovaných outsourcingovou spoločnosťou

V IS musí byť zabezpečené, že dodávky služieb a ich úroveň uvedené v outsourcingovej zmluve sú treťou stranou v praxi uplatňované a dodržiavané. Najlepším spôsobom kontroly dodržiavania zmluvných vzťahov je komunikácia na všetkých úrovniach riadenia.Vhodnými nástrojmi komunikácie sú pravidelne podávané hlásenia o stave outsourcovanej činnosti, kontrolné dni, audity a previazaný systém viacúrovňovo-odborovej kontroly (kontrolný tím).

Dodávka outsourcingových služieb musí byť riadená nielen zmluvnými vzťahmi a smernicami z nich vyplývajúcimi, ale zamestnanci outsourcingovej spoločnosti sa musia pri svojej činnosti riadiť aj dohodnutými internými smernicami odberateľa, a.s. stanovujúcimi režimové a iné opatrenia pri práci, ktoré sú platné u odberateľa.

Služby, správy a záznamy poskytnuté tretími stranami musia byť pravidelne kontrolované interným orgánom auditu a v pravidelnej perióde aj externou auditnou spoločnosťou.

Monitoring a revízia služieb poskytovaných outsourcingovou spoločnosťou by mali zabezpečiť, že podmienky týkajúce sa informačnej bezpečnosti IS sú dodržiavané a bezpečnostné problémy a incidenty vhodne riešené. V prípade odhalenia nedostatkov v úrovni poskytovaných služieb sa musí pristúpiť k nápravným opatreniam. Pokiaľ pre tento účel nestačí bezpečnostný útvar (zz), je vhodné už pred vznikom outsourcingovej zmluvy poveriť kontrolný tím (s dostatočným počtom, kompetenciami  a kvalitou personálu) na vytvorenie systému efektívneho riadenia  kontroly a z nej vyplývajúcich zmien.

To zahŕňa aj vytvorenie vzájomného riadiaceho vzťahu týkajúceho sa poskytovaných služieb medzi organizáciou a outsourcingovou spoločnosťou, ktorý umožní:

• Monitoring úrovne výkonu a kvality poskytovaných služieb (vrátane porovnávania služieb na trhu s poskytovanými), čím sa overí dosahovaná zhoda s podmienkami danými zmluvou,
• Pravidelnú tvorbu revíznej správy o poskytovaných službách, o ktorej zostavovanie sa stará outsourcingová spoločnosť a konanie pravidelných rokovaní podľa požiadaviek zmluvy,
• Prehľadnosť finančných tokov a dodržiavanie finančných ustanovení zmluvy,
• komplexná funkčnosť autsourcingu, dodržiavanie SLA, kvalita dodávaného know-how, riadenie zmien v poskytovaných službách a systém riadenia kvality.

Bezpečnostný útvar (zz) pritom bezprostredne zodpovedá za to, že bude kontrolovať:

• Či dodávka outsourcingových služieb je v súlade so schválenou dohodou o bezpečnosti, a definíciami služieb a aspektov riadenia ustanovených v zmluve,
• Auditné záznamy a stopy o bezpečnostných incidentoch tretej strany, ako aj prevádzkové problémy, zlyhania, chyby a narušenia bezpečnosti spojené s poskytovanými službami,
• Systém zvyšovania bezpečnostného povedomia a vzdelávania, riešenie všetkých identifikovaných problémov a incidentov informačnej bezpečnosti,
• Či si outsourcingová spoločnosť udržiava dostatočnú schopnosť poskytovať služby v súlade s plánmi zostavenými s cieľom dodržať zmluvnú úroveň kontinuity poskytovaných služieb aj po nastaní významných zlyhaní alebo pohrôm.

V opačnom prípade upozorní outsourcingovú spoločnosť na porušovanie ustanovení zmluvy a následné sankcie a opatrenia vyplývajúce z jej nesplnenia až po možné zrušenie zmluvného vzťahu.

Vo výsledku riadenie dodávky služieb uzatvorí neustály cyklus PDCA zlepšení, čím sa naplnia podmienky na možnú certifikáciu služieb riadenia outsourcingu.

Schéma 2: Metodika Plánuj-Konaj-Overuj-Urob pre procesy manažmentu služieb [3, str.13]

Riadenie zmien týkajúcich sa služieb poskytovaných externými subjektami

Vzhľadom k tomu, že outsourcingová činnosť môže v odberateľovej komplexnej podnikateľskej stratégii významnú úlohu, musí byť zabezpečená nielen kvalita, ale aj integrita poskytovaných outsourcingových služieb. Spoločnosť musí preto začleniť procedúry zabezpečujúce možnosť pokračovať v prevádzke IS aj v momente, keď outsourcingová spoločnosť stratí schopnosť poskytovať služby, čím sa predíde časovým stratám spôsobeným hľadaním náhradných služieb.

Zoznam zmien, pri ktorých by malo dochádzať k preskúmaniu zmluvy o službách s outsourcingovou spoločnosťou:

1) Zmena úrovne, hĺbky, rozsahu poskytovaných služieb v IS,

2) Zaznamenaná zmena kvality poskytovaných služieb smerom k horšiemu stavu,

3)     Modifikácia a vývoj aplikácií a subsystémov IS – zistenie, či je outsourcingová spoločnosť schopná odborne reflektovať zmeny technológií, rizík, všeobecné zmeny IS,

4)     Závažné incidenty informačnej bezpečnosti vyvolané outsourcingovou spoločnosťou (jej zamestnancami),

5)     Neschopnosť reakcie na vznikajúce kritické stavy a výpadky outsourcovaného IS,

6)     Zistené existenčné problémy outsourcingovej spoločnosti.

4  Zamestnanci a outsourcing

Personálna bezpečnosť v outsourcingu

Outsourcingová spoločnosť si musí byť vedomá svojich povinností a musí prijať svoje zodpovednosti a záväzky vyplývajúce z prístupu, spracúvania, oznamovania alebo riadenia informačných aktív a infraštruktúry IS. Taktiež musí v plnej miere zodpovedať za dodržiavanie personálnej bezpečnosti svojich zamestnancov priamo pracujúcich v IS, príp. tých, ktorí majú umožnený určitý typ prístupu k IS. Zamestnanci outsourcingovej spoločnosti, ktorí pracujú v IS musia dodržiavať všetky ustanovenia bezpečnostnej politiky odberateľa a jej vykonávacích predpisov.

Všetci zamestnanci outsourcingu musia mať realizované dohody o mlčanlivosti. Je vhodné definovať všeobecnejšie dohody, tieto sú univerzálne použiteľné. Dohody o mlčanlivosti by mali zohľadňovať požiadavky na ochranu kritických informácií s využitím právne vymožiteľných podmienok.

Požiadavky kladené na mlčanlivosť definovanú v dohodách o mlčanlivosti by mali byť verejne prístupné a  periodicky preskúmavané. V požiadavkách musia byť uvedené nasledovné údaje:

a)     Definícia kritických informačných aktív, ktoré majú byť chránené,

b)    Doba platnosti dohody, informácie s trvalou mlčanlivosťou, výnimky mlčanlivosti,

c)     Nevyhnutné kroky v prípade skončenia platnosti dohody,

d)    Zodpovednosti a činnosti podpisujúcich strán smerujúce k predídeniu neautorizovaného úniku kritických informačných aktív,

e)     Povolené použitie kritických informácií a práva podpisujúcej strany na použitie informácií,

f)     Právo auditu a monitorovania aktivít zahŕňajúcich prácu s kritickými informáciami,

g)    Proces na oznamovanie a vypracúvanie správ o neautorizovanom úniku informácií alebo inom narušení dôvernosti kritických informácií,

h)     očakávané kroky, ktoré budú vykonané v prípade porušenia tejto dohody.

Musia byť taktiež stanovené poverené osoby, ktoré zodpovedajú za sprevádzané osoby a za zachovanie bezpečnostných atribútov (DID) informačných aktív a infraštruktúry IS počas ich návštevy v sledovaných priestoroch.

Práca s ľudmi

V personálnej bezpečnosti v outsourcingu veľmi závisí na interakcii outsoursingová spoločnosť – zákazník (zamestnanec odberateľa) – manažment odberateľa outsourcingu. Pokiaľ nefunguje táto interakcia, neexistuje priestor na systém zlepšení PDCA. Len koncový zákazník môže adekvátne zhodnotiť reálnu funkčnosť a efektivitu outsourcingových aktivít, pretože je koncovým odberateľom tejto služby. Komunikácia s zákazníkom môže prebiehať mnohými formami, napr.:

§              Helpdesk:        –     presná evidencia požiadavky, všetko a jednom mieste, každé nahlásenie je evidované a samostatne riešené,

-       existencia možnosti kontrolných mechanizmov implementovaných v automatizovaných systémoch,

-       garancie vyššej úrovne bezpečnosti,

-       vyššia možnosť vyhodnocovania a kontroly dodržiavania SLA,

-       vyššia integrita a nezávislosť chodu IT na konkrétnych ľuďoch.

§  E-mail:                       -     relevatné informácie v just-in-time,

§  Intranet:                    -     všeobecne platné vyhlásenia a oznamy

§  Vox populi:                –     priestor pre pripomienky zákazníkov formou ankety, audio, príp. videozáznamu

-       prihlasovacia anketa – priestor pre pripomienky pred prihlásením k PC, v sieti, príp. ku konkrétne outsourcovanej infraštruktúre.

V každom prípade však užívateľ musí mať oprávnený pocit, že outsourcing rieši jeho potreby a problémy s konkrétnou službou a že ohlasy neskončia takpovediac v koši, ale že sú efektívne  riešené.

Odkazy:

[1] STN 27001 – Informačné technológie, Zabezpečovacie techniky, Systémy manažérstva informačnej bezpečnosti, Požiadavky

[2] STN 27002 – Informačné technológie, Zabezpečovacie techniky, Pravidlá dobrej praxe manažérstva informačnej bezpečnosti

[3] ISO/IEC 20000-1 Informačné technológie – manažment služieb -

[4] ISO/IEC 20000-1 Informačné technológie – manažment služieb – Časť 2: Súbor postupov

[5] ISO/IEC 27005 – – Informačné technológie, Zabezpečovacie techniky,

[6] Outsourcing – Príručka manažéra, TATE International, s.r.o., 2008

[7] http://www.itsm.sk/sk/Home.alej

[8] www.wikipedia.org

Zoznam skratiek:

DID                  – Dôvernosť, Integrita, Dostupnosť

ICT                  – Informačné a komunikačné technológie (Information and Communication Technology)

IS                     – Informačný systém (Information System)

PC                   – Osobný počítač (Personal Computer)

PDCA              – Plánuj – Konaj – Kontroluj – Urob (Plan-Do-Check-Act)

pp.                   – pravdepodobne

SLA                 – Úroveň poskytovaných služieb (Service Level Agreement)

SW                  – Softvér (Software)

Zz                    – zodpovedný zamestnanec

Zoznam pojmov:

Informačný systém [8] (IS) je systém na zber, udržiavanie, spracovanie a poskytovanie informácií. V poňatí tohto článku je to komplexný IS skladajúci sa z jednotlivých čiastkových IS, ktoré slúžia spracovanie informácií k zabezpečeniu základnej funkčnosti a napĺňaniu podnikateľskej stratégie spoločnosti.

Outsourcing [8] je špeciálna forma externého obstarávania predtým interne vykonávaných výkonov, pričom je zmluvne stanovená dĺžka, predmet výkonu, a iné špecifické parametre, ako napr. SLA. Je to koncepcia, ktorá sa zakladá na odbere zdrojov z oblasti mimo podniku. Jednotlivé podnikové procesy vykonáva externý poskytovateľ služieb alebo výrobca. V niektorých odvetviach má svoj špecifický názov (napr. poskytovateľ internetových služieb – provider).