Normalizacja w zarządzaniu bezpieczeństwem - nowe spojrzenie

Artykuł porusza kwestię prowadzonych od kilku lat prac normalizacyjnych związanych z zarządzaniem bezpieczeństwem społecznym societal security oraz działaniami uruchomionymi w Polsce (powstanie KT 306 w PKN). Pokazane są istotne elementy działań na rzecz zapewnienia bezpieczeństwa. Polegają one na wdrażaniu antykryzysowych „dobrych praktyk” best practices, będących podstawą tworzenia nowych rozwiązań normatywnych. Na odwołanie się autora do międzynarodowych zaleceń (ISO/ PAS 22399:2007) pozwoliło mu jego wieloletnie doświadczenie (współpraca w zespole KT 182 oraz robocze kontakty z członkami innych KT), a także jego praktyka zawodowa (jako menedżera TQM, audytora-konsultanta oraz rzeczoznawcy systemów technicznego zabezpieczenia osób, mienia i zarządzania bezpieczeństwem).

Kilka słów wprowadzenia...

Wejście ludzkości w XXI wiek jest charakteryzowane bardzo różnie, ale we wszystkich opiniach i ocenach przewija się słowo „bezpieczeństwo”, kojarzone w różny sposób oraz pisane z licznymi odnośnikami. Wrześniowa tragedia WTC z 2001 roku wstrząsnęła światem, uświadamiając nam, że:

• jesteśmy społeczeństwem „III fali” uzależnionym od informacji i jej znaczenia (może być pozytywna-negatywna, budująca-niszcząca, mobilizująca-panikująca);
• działania na rzecz naszego bezpieczeństwa (społecznego, osobistego, środowiskowego, informacyjnego) są wciąż niedoskonałe (często nieracjonalne) i wymagają wielu zmian.

Problematyka badania i oceny naszych działań, widziana i traktowana coraz częściej zgodnie z normami zarządczymi jako metodyczne odniesienie do zadań organizacyjnych („koło Deminga – PDCA” ↔ „podejście procesowe”)¹ pozostała niejako w tle. Sprawa niebagatelna, bowiem uogólnione „dobre praktyki” (best practices) zawarte w normach i dotyczące kwestii bezpieczeństwa stanowią o zgodnym, skutecznym i dającym się wymiernie porównać postępowaniu w odniesieniu do samego problemu bezpieczeństwa w różnych organizacjach, co można stwierdzić i określić poprzez audyt.
Warto tu podkreślić, że użycie narzędziowe norm zarządzania jakościowego (ISO 9000, ISO 9001, ISO 9004) z całym ich dorobkiem i skutecznością celową dla potrzeb oceny procesów zapewnienia bezpieczeństwa środowiskowego oraz informacyjnego (ISO 14001, ISO 27001, ISO 27002, ISO 27005) wspiera oraz znacząco podwyższa skuteczność planowanych i prowadzonych działań w zakresie bezpieczeństwa ogólnego.

Normatywny wymóg zachowania nadzoru i zaangażowania kierownictwa w funkcjonowanie wdrożonego w firmie Systemu Zarządzania Bezpieczeństwem Informacji /ISMS/ powoduje przeniesienie wpływów otoczenia (rynek, środowisko) na warunki analizy zagrożeń i oceny ryzyka oraz podejmowane decyzje co do sposobu postępowania z nim („traktowanie ryzyka”) ². Należy pamiętać, że każdy prawidłowo zrealizowany audyt bezpieczeństwa (ogólnego, operacyjnego, informacyjnego itd.) w swoich skutkach spełnia podstawowe wymogi w zakresie zachowania jakości zarządzania QMS ( Quality Management System) zgodnie z zapisem pkt.8.5.3 normy ISO 9001:2008 [Działania zapobiegawcze – usunięcie przyczyny potencjalnej niezgodności lub problemów, które jeszcze się nie pojawiły]. W konsekwencji jest to bardzo istotne dla audytowanej firmy, zalecane działania naprawcze (wg QMS) mogą bowiem okazać się droższe niż czynności doskonalące system dla potrzeb bezpieczeństwa (np. dla SZBI/ISMS wg normy ISO 27001). Firma na ogół już realizuje zalecone działania korygujące (QMS – pkt.8.5.2 normy ISO 9001:2008 – usunięcie przyczyn wykrytych niezgodności lub wykrytych problemów w celu zapobieżenia ich powtórnemu wystąpieniu) wobec stwierdzonych naruszeń systemu bezpieczeństwa. Ale wszystko to, łącznie z tworzeniem planów ciągłości działania i scenariuszami kryzysowymi potencjalnych krytycznych zdarzeń w procesach systemowych (A.14 Zarządzanie ciągłością działania – zał. A normy PN-ISO/IEC 27001:2007), jest wykonywane głównie z myślą o danej firmie/organizacji/korporacji i z tej racji ma bardzo często charakter „czysto biznesowy” (maksimum wysiłku dla minimum strat finansowych). Wdrażane przedsięwzięcia antykryzysowe są ograniczone do „własnego podwórka” i w minimalnym (na ogół) stopniu uwzględniają straty społeczne w samej firmie oraz jej bezpośrednim otoczeniu. W większości firm zarządzanie bezpieczeństwem jest widziane jako przeniesienie świadomości potrzeb zarządzania ryzykiem (we wszystkich jego postaciach) w obszar strategii bezpieczeństwa i zachowania ciągłości działania firmy przy różnorodnych incydentach, mogących prowadzić do zagrożeń kryzysowych (co uwidacznia rys. 1). Poszczególne działania mają zatem prowadzić do zapobiegania i(lub) eliminowania ich skutków (materializacja ryzyk).

A jak się to ma do szerszego kontekstu społecznego w warunkach istniejących oraz wciąż się pojawiających nowych zagrożeń kryzysowych nie tylko biznesowo-rynkowych, ale także naturalnych, technicznych i środowiskowych o zróżnicowanym charakterze, takich jak: zjawiska atmosferyczne/geologiczne z towarzyszącymi im powodziami i pożarami, katastrofy techniczne i komunikacyjne, wielkoobszarowe oddziaływania atmosferyczne (dymy i pyły wulkaniczne, „kwaśne deszcze”, „trujące obłoki”… itp.) przy ich nad wyraz szerokim oddziaływaniu na ludzi, zwierzęta, infrastrukturę, środowisko..?

1. Bezpieczeństwo człowieka – społeczeństwa

Bezpieczeństwo człowieka stało się w ostatnich latach XX wieku domeną działalności naukowej – securitologii, która uwzględnia wieloaspektowość postrzegania i „odczytywania” bezpieczeństwa jako obiektu badań naukowych (z wszystkimi wynikającymi z tego faktu implikacjami, związanymi z zastosowanymi zasadami teorii poznania naukowego).

Pierwsze publikacje podejmujące próbę wyodrębnienia securitologii jako dyscypliny naukowej pochodzą z 1989r, co można wyjaśnić nowymi potrzebami i oczekiwaniami, a także warunkami kształtującymi się po rewolucyjnej zmianie ustrojów społeczno-politycznych w Europie.

Cechą charakterystyczną tych właśnie publikacji jest opisanie i uwzględnienie wielorakich czynników: obiektywnych i subiektywnych, socjopsychologicznych i kulturowych, politycznych i prawnych, przyrodniczych i technicznych, makroi mikroekonomicznych, które nie tylko warunkują zagrożenia, ale także pozostają z nimi we wzajemnych nierozerwalnych związkach.

Nauka o bezpieczeństwie (securitologia) jest na chwilę obecną widziana dwojako i jest traktowana jako:

• dyscyplina naukowa w grupie 64 (nauki interdyscyplinarne), tzn. poświęcona badaniom naukowym dotyczącym bezpieczeństwa,
• poddziedzina nauki, ulokowana w ramach systematyzacji odpowiednio: w grupie 3: – nauki ekonomiczne; w dziedzinie 2: – nauki o zarządzaniu, tzn. poświęcona badaniu procesów zarządzania bezpieczeństwem.

W ostatnich latach securitologia zapisała na swym koncie wiele praktycznych osiągnięć w badaniu teorii i praktyki bezpieczeństwa człowieka. Do tego sukcesu przyczynił się również współudział polskiego środowiska naukowego, a także prace popularyzatorskie Stowarzyszenia EAS (European Association for Security), które powstało na konferencji krakowskiej 12 maja 2000 r.
Stowarzyszenie EAS (Europejska Federacja dla Bezpieczeństwa) ma osobowość prawną i jest towarzystwem naukowym prowadzącym badania oraz popularyzującym nauki o bezpieczeństwie człowieka. Celem Stowarzyszenia jest edukacja dla bezpieczeństwa ludzi i firm we wspólnej Europie³. Stowarzyszenie wydaje publikacje książkowe oraz (na bieżąco) Zeszyty Naukowe „Securitologia/Securitology/Секюритология” dotyczące nauk o bezpieczeństwie oraz zagadnień z zakresu edukacji dla bezpieczeństwa.

Warto wiedzieć, że Stowarzyszenie to wypracowało podstawę programową, która pozwoliła utworzyć na studiach wyższych nowe specjalności, takie jak: „zarządzanie bezpieczeństwem”, „bezpieczeństwo europejskie”, „administracja bezpieczeństwem”, a na studiach podyplomowych: „zarządzanie bezpieczeństwem” oraz „edukacja dla bezpieczeństwa”. Powstał również Międzynarodowy Ośrodek Szkoleń Specjalnych. I choć obecnie nie sposób wskazać możliwości ścisłego unormowania (a tym bardziej certyfikowania) bezpieczeństwa społecznego, to jednak trzeba pamiętać, że analizowany problem istnieje i narasta, zwłaszcza w odniesieniu do sytuacji kryzysowych oraz nadzwyczajnych zagrożeń.

1.1. Prace normalizujące – obszar międzynarodowy

Działania w tym zakresie na poziomie międzynarodowym podejmowano dwukrotnie. W ISO opracowano założenia i w 2001 r. powołano komitet „Security people”. Po okresie nieaktywności komitetu dokonano w 2005 r. jego reaktywacji poprzez umieszczenie sekretariatu w szwedzkiej jednostce normalizacyjnej SIS oraz zmianę nazwy na „Societal Security” TC 223. W 2006 r. nowy komitet zorganizował w Sztokholmie pierwsze posiedzenie pod przewodnictwem Pana Ambasadora Kristera Kumlina (Senior Adviser to the Swedish Emergency Management Agency). W posiedzeniu uczestniczyło 68 przedstawicieli z 30 krajów. Postanowiono wówczas, że praca komitetu będzie koncentrować się na rozwoju zarządzania kryzysowego poprzez usprawnianie sfery technicznej, sfery zarządzania i sfery operacyjnej, a także interoperacyjności (interoperability) w działaniach służb ratunkowych.

Normy i dokumenty normalizacyjne opracowywane w tym komitecie mają wspomagać ochronę i ułatwiać reagowanie na kryzysy spowodowane klęskami naturalnymi, wypadkami czy atakami terrorystycznymi niszczącymi naszą codzienną egzystencję. Zostaną wzięte pod uwagę wszystkie fazy zarządzania kryzysowego: przed wystąpieniem sytuacji kryzysowej, w trakcie jej trwania i po jej zakończeniu (Rys. 2).

Pierwszy dokument normalizacyjny TC 223, który zawierał wytyczne dotyczące gotowości na wypadek wystąpienia sytuacji kryzysowych i ciągłości zarządzania w stanach kryzysowych, ukazał się pierwszego grudnia 2007 roku i jest to: ISO/PAS 22399:2007, Societal security – Guidelines for incident preparedness and operational continuity management.

Ten bazujący na szerokiej współpracy międzynarodowej dokument zawiera wytyczne dotyczące gotowości i ciągłości w zarządzaniu kryzysowym. Ustala procesy, zasady i terminologię ww. problematyki w kontekście bezpieczeństwa społecznego. Ma on na celu dostarczenie podstaw do rozwoju oraz wprowadzenia gotowości i ciągłości w zarządzaniu kryzysowym w organizacjach, a także zapewnienie zaufania w podobnych sytuacjach pomiędzy organizacjami, społecznościami i biznesem. Wytyczne dostarczają narzędzi, które umożliwiają organizacjom publicznym i prywatnym reagowanie w sytuacjach kryzysowych. Narzędzia te umożliwiają zarządzanie w sytuacji kryzysowej, pokonanie tej sytuacji, a także podjęcie odpowiedniego postępowania w celu zapewnienia ciągłości działania organizacji.

Trzeba pamiętać, że wytyczne oraz sam dokument typu ISO/ PAS obowiązują przez okres trzech lat. Po tym czasie w ramach dalszych działań komitetu oraz organizacji normalizacyjnych krajów-uczestników prac powinny one zostać przetworzone do postaci normy (międzynarodowej lub krajowej) lub też powinna być podjęta decyzja o przedłużeniu ważności dokumentu na następne trzy lata. Po tym okresie na jego podstawie można już tylko opracować normę lub wycofać dokument. Na posiedzeniu w maju 2007 r. TC 223 podjął uchwałę, w myśl której utworzono Grupę Zadaniową nr 2 (Task Group). Grupa ta miała za zadanie monitorowanie zastosowania ISO/ PAS 22399 oraz przegląd izraelskiej normy dotyczącej bezpieczeństwa i ciągłości systemów zarządzania oraz zastosowania innych dokumentów. Sekretariat TC 223 zwrócił się do wszystkich członków komitetu z prośbą o informowanie o wszelkich istniejących normach i innych dokumentach, jak również o wszystkich pracach prowadzonych w zakresie gotowości i ciągłości, w tym szczególnie o krajowych dokumentach dotyczących specyfikacji i systemów zarządzania. W rozpoczynającym się 2009 roku sekretariat może wskazać następujące zidentyfikowane dokumenty:

• ISO/PAS 22399:2007, Societal security – Guidelines for incident preparedness and operational continuity management (including the „best of five” documents),
• TR 19:2005: Technical reference for business continuity management (Singapore),
• BS 25999-2 Specification for Business Continuity Management (UK),
• CSA Z1600 Standard on emergency management and continuity programs (draft standard from Canadian Standards Association,)
• All Hazards Risk Management Systems Best Practices Standard: Requirements with Guidance for Use: A practical management systems approach to security, preparedness, response, business/operational continuity and recovery for disruptive incidents resulting in an emergency, crisis, or disaster (draft standard from ASIS International).

W nadchodzących latach prace TC 223 będą nabierały znaczenia, a ich efekty w postaci dokumentów normalizacyjnych umożliwią zainteresowanym opracowywanie procedur i systemów, a jednocześnie dadzą im więcej pewności i przekonania o właściwym przygotowaniu do sytuacji kryzysowych (przy zachowaniu zgodności terminologicznej i operacyjnej).

Gotowość i ciągłość to kluczowe elementy w ochronie życia oraz podczas pomocy w przezwyciężaniu zdarzeń kryzysowych. Kto jest przygotowany do takich sytuacji, ten ma znacznie większe szanse i mniejsze straty, warto zatem zapoznać się z istniejącymi i projektowanymi dokumentami TC:

1. ISO/WD 22300 Societal security – Fundamentals and vocabulary,
2. ISO/NP 22320 Societal security – Command and control, information, coordination and cooperation for emergency management,
3. ISO/NP 22322 Societal security – Inter/Intra organisational warning procedures,
4. ISO/NP 22301 Societal security – Preparedness and continuity management systems – Requirements,
5. ISO/NP **** Societal security – Video-surveillance Format for Interoperability,
6. ISO/PWI 22397 Societal security – Public and private partnerships,
7. ISO/PWI 22398 Societal security – Procedures on exercises and testing.

Kilka uwag na ten temat:

• problemy zarządzania i współpracy w zakresie wsparcia, pomocy oraz nadzoru nad działaniami wspierającymi związane są z ustaleniami, które wynikają z wymogów prawnych obowiązujących w miejscu ich stosowania;
• wprowadzane procedury ostrzegawcze (międzynarodowe i wewnętrzne) są upowszechniane z uwzględnieniem już obowiązujących zasad ochronnych;
• proponowane i wdrażane procedury testowania oraz ćwiczenia muszą uwzględniać pryncypia środowiskowe (lokalne, religijne itp.) głównie dla zapewnienia łatwości i skuteczności stosowania ich w rzeczywistych działaniach ratowniczo-odtwórczych.

Trzeba przy tym pamiętać, że przedstawiane rekomendacje mają charakter doradczy i są (analogicznie jak i treść norm) przyjmowane oraz stosowane dobrowolnie przez zainteresowane strony, instytucje i osoby.

1.2. Prace normalizujące – obszar krajowy

W Polsce kwestie ujmowane jako societal security są (na chwilę obecną) „rozrzucone” w licznych dokumentach ustawowych i normatywnych, przy czym dają się w nich zauważyć znaczne rozbieżności pojęciowe i zakresowe (w części już umocowane prawnie). Trzeba te dokumenty wziąć pod uwagę szczególnie teraz, ponieważ 20 listopada 2008 roku powołano nowy Komitet Techniczny nr 306 (Komitet Bezpieczeństwa powszechnego i ochrony ludności). Powołanie to odbyło się w Polskim Komitecie Normalizacyjnym dzięki inicjatywie takich organizacji ustawowych, jak MSWiA, MON oraz społecznych (POLALARM, PISA, ISACA PL), a także wysiłkowi WSO PKN i jego dyrektora p. Ryszarda Grabca.

W styczniu 2009 r. został powołany Komitet Techniczny 391 i zarazem przestała istnieć dotychczasowa grupa robocza CEN BT/WG 161 ds. ochrony i bezpieczeństwa ludności. KT 306 będący lustrzanym odbiciem dla obu ww. instytucji ma zapewnić wdrożenie w polskiej praktyce prawnej i zharmonizowanie w naszych normach wskazań dyrektyw UE, związanych z bezpieczeństwem społecznym w warunkach kryzysu i zagrożeń, a wynikających pośrednio z implementacji regionalnej prac ISO/TC 223 „Societal Security”. KT 306 jest sklasyfikowany wg ICS jako: 01.040.03; 01.040.13; 03.080.20; 03.080.30; 03.100.01; 13.060.01; 13.200; 13.310; 13.340.10; 95.020. Jego zakres tematyczny obejmujący ogrom zagadnień niezbędnych do opracowania jest następujący:

• zintegrowane zarządzanie granicami,
• infrastruktura krytyczna (budynki, cywilna infrastruktura inżynieryjna, bezpieczeństwo zasilania w wodę oraz zasilania w energię),
• ochrona i obrona przed BMR,
• ochrona obywateli przed zjawiskami groźnymi dla życia i zdrowia lub powodującymi straty materialne, a także minimalizowanie ich skutków,
• przeciwdziałanie terroryzmowi,
• bezpieczeństwo łańcucha dostaw,
• zmniejszenie ryzyka popełniania przestępstw z wykorzystaniem produktów i usług,
• służby ratunkowe,
• likwidacja skutków użycia BMR i wystąpienia naturalnych kataklizmów.

KT 306 w zakresie współpracy z CEN/TC 391, CEN/TC 164/WG 15, CEN/TC 379, CEN/TC 384 oraz ISO/TC 223 jest komitetem wiodącym. Na forum międzynarodowym i regionalnym współpracuje z CEN/BT/WG 125, CEN/BT/WG 126, a także CENELEC/TC 79.

W działaniach komitetu KT 306 przewidywana jest szeroka współpraca z powołanym w dniu 25 lutego 2009 roku nowym komitetem CEN/TC 388 – Systemy ochrony obwodowej („Perimeter protection”) – pilotowanym przez Holendrów i dążącym do ujednolicenia systemów ochrony bezpośredniej (fizycznej i technicznej). Szczególnie ważnym elementem prac jest planowana szeroka konsultacja w zakresie normalizacji procesów przeciwdziałania rozprzestrzenianiu się terroryzmu [normalizacja statusu upoważnionego przedsiębiorcy (AEO UE – KE C 648/2005; (WE) 1875/2006), działania we współpracy m.in. z instytucjami celnymi i logistycznymi (CT-PAT: Customs Service – USA, Schenker DB – Niemcy/Polska)].

2. Bezpieczeństwo społeczne jako obowiązek państwa

Pytań z zakresu „Societal Security” w stosunku do władz państwowych jest wiele:

• Jak można odnieść się do realizacji audytu systemu bezpieczeństwa społecznego?
• Co wiemy na temat bezpieczeństwa i czego oczekujemy od państwa w tym zakresie?
• W jakich dziedzinach oraz w jak szerokim zakresie prowadzone są działania/czynności rządowe?

Na tak postawione pytania nie ma jednoznacznych odpowiedzi. Ogólne potrzeby i oczekiwania społeczne w zakresie ochrony (różnie artykułowane i realizowane w poszczególnych środowiskach – gminnym, osiedlowym, wielkomiejskim) są powszechnie znane, ale obecnie nie dysponujemy ujednoliconymi wskaźnikami i wymaganiami, nie wspominając o braku norm dla przedstawionego na rysunku systemu bezpieczeństwa społecznego. Trudno jest więc odnieść się do rzetelności przedstawianej publicznie oceny zapewnienia bezpieczeństwa społecznego w rozumieniu spełnienia obowiązku przez państwo (przy zachowaniu warunku oczekiwań samego społeczeństwa).

Istnieje szereg uregulowań prawnych (ustawy i rozporządzenia, zarządzenia i decyzje resortowe oraz przepisy prawa lokalnego), ale problemem zasadniczym jest ich interpretacja. Podobnie dzieje się w procesie rozumienia i wdrażania już istniejących rozwiązań normalizacyjnych, stąd zaangażowanie PKN w wydawanie przez KT w 2009 r. komentarzy do poszczególnych norm⁴.

Odrębnym problemem staje się asymetryczny charakter zagrożeń w przypadku konfl iktów zbrojnych, co przekłada się na zagrożenie terrorystyczne dla całego obszaru europejskiego. Jako Europa posiadamy (społecznie nieakceptowalne) doświadczenia z zamachów w Madrycie (11.03.2004 r.) i Londynie (7.07.2005 r.) oraz świadomość udaremnienia zamachów terrorystycznych na lotniska brytyjskie w 2007 r. Tym bardziej istotne stają się prace KT 306 nad normami z zakresu bezpieczeństwa społecznego oraz zachowanie w tym względzie warunków szerokiej współpracy instytucjonalnej krajowej i zagranicznej (z utrzymaniem wskazanych podstaw interoperacyjności).

3. Audyt bezpieczeństwa w firmie a oczekiwania społeczne

W minionym dwudziestoleciu żadna z ekip rządzących RP (pomimo nagłaśniania sprawy w mediach) nie przedstawiła odpowiednich rozwiązań prawnych dotyczących bezpieczeństwa, w tym polityki społecznej. Powoduje to, że środowisko biznesu III RP traktuje społeczeństwo dwuwymiarowo: jako pracowników – wykonawców oraz nabywców – konsumentów i tylko w tym zakresie czuje się do czegokolwiek zobowiązane (vide: oceny istniejącego kryzysu światowego).

Audyt bezpieczeństwa w firmach jest z reguły realizowany jako audyt wewnętrzny zarządzania łączący w analizowanych procesach ocenę elementów ZSJ i SZBI (QMS+ISMS).

Powody takiego postępowania to:

• konieczność wykrycia i skorygowania niezgodności/zagrożeń/ ryzyk dla bezpiecznego funkcjonowania firmy;
• wymaganie norm (ZSJ+SZBI) i przepisów ustawowych (SZBI), w tym deklarowanych odrębnie (SoA ISMS);
• mechanizm sterowania/nadzoru wykorzystywany przez kierownictwo dla potrzeb zapewnienia założonych zysków;
• audyt jako kluczowy element dla zapewnienia skuteczności ZSJ+SZBI,
• skorygowanie błędów/niedoróbek i pomyłek procesowych oraz eliminacja ryzyk dla firmy, zanim zostaną one wykryte przez jednostki zewnętrzne lub (co gorsze) zmaterializują się w postaci kosztów finansowych i środowiskowych.

Zasadniczą rolę odgrywają tutaj cechy podstawowe dla audytu I strony, który to:

• jest robiony u siebie i przez siebie (dla ZSJ, bowiem dla SZBI ciągle jeszcze jest realizowany przez zatrudnionego specjalistę zewnętrznego z powodu obiektywizmu oceny, ponieważ „trudno jest być sędzią we własnej sprawie”, a problematyka bezpieczeństwa obejmuje całość firmy),
• ma zasady ustalane wewnętrznie (ale z zachowaniem zgodności i odpowiedzialności wobec wymogów prawa),
• charakteryzuje się systematyką i niezależnością (co nie zawsze jest spełniane),
• jest przeprowadzany w zakresie i częstości niezbędnej w danych okolicznościach,
• z zasady jest planowany (ZSJ+SZBI), choć bywa doraźny (jako skutek incydentu i/lub zagrożenia zaistniałego w obszarze SZBI).

Na etapie przygotowania i projektowania audytu zgodnie z wymaganiami ISO 9001 zachowane są wymagania procesowe pod względem weryfikacji i walidacji prac (Rys. 4).

Przyjmując „dobro firmy” za zasadnicze, w prowadzonych działaniach podporządkowuje mu się wszystkie inne cele, co czasami prowadzi do kolizji prawnych⁵ o daleko idących skutkach.
Szereg działań przygotowywanych z myślą o sytuacjach kryzysowych w firmie nie uwzględnia potrzeb ludzkich i środowiskowych (w pewnych sytuacjach wręcz obciąża otoczenie swymi skutkami), dlatego tak istotnym staje się wprowadzenie dobrych praktyk społecznych oraz unormowanie obszaru działań ratowniczych i naprawczych – nie tylko zresztą w odniesieniu do firmowych biznesów.

Dla zarządów firm i pracodawców pojawia się tu socjologiczna sprzeczność: trzeba zaufać pracownikom i powierzyć im istotne dane oraz tajemnice firmy, a zarazem liczyć się z koniecznością weryfikacji i walidacji ich pracy. Problem ten musi być rozwiązywany wielopłaszczyznowo: organizacyjnie, personalnie i informacyjnie, przy zachowaniu wymagań ochrony bezpośredniej (fizycznej i technicznej), szczególnie w odniesieniu do zespołów ludzkich zapewniających ciągłość działania firmy i posiadanych przez nich informacji. Nie zapominajmy przy tym, że większość tych osób ma rodziny i otoczenie towarzyskie interesujące się ich pracą.

Podsumowanie

W świetle przedstawionych powyżej faktów certyfikowanie zarządzania bezpieczeństwem nie tylko w firmach dla potrzeb biznesu, ale również dla oceny bezpieczeństwa społecznego jawi się nam niejednolicie i mgliście. Jego uporządkowanie wymaga wiele wysiłku oraz „pracy u podstaw”. Przykładowo – Polska Norma PN-ISO/IEC 27001:2007 dotycząca wymagań dla systemu zarządzania bezpieczeństwem informacji (SZBI/ ISMS) dla większości jej potencjalnych użytkowników wydaje się ciągle niezrozumiała – stąd zaawansowane prace w KT 182 nad mającym ukazać się „lada dzień” komentarzem do niej.

To dobry i oczekiwany kierunek działań prospołecznych, ale zainteresowani też powinni sami „uderzyć się w pierś”, bowiem niejeden „biznesmen” narzekający na normę nie zadał sobie trudu zapoznania się z przywoływanymi w niej dokumentami uzupełniającymi (normami ISO, wytycznymi OECD). Tymczasem wnikliwe przeczytanie drugiej edycji międzynarodowej normy ISO 17799 (PN-ISO/IEC 17799:2007) znakomicie pomaga w rozumieniu istoty wymagań zawartych w załączniku normatywnym A normy PN-ISO/IEC 27001:2007, a stosunkowo niewielki wysiłek włożony w poznanie wytycznych OECD z dnia 25 lipca 2002 r. procentuje w dwójnasób (na stronie www.oecd.org/dataoecd/16/3/15582300.pdf dostępne jest polskie tłumaczenie).

Z żalem należy stwierdzić, że zalecenia ISO/PAS 22399:2007 ciągle jeszcze są przedmiotem rozważań… tylko czy aby potrzebnych i skutecznych, co do ich rezultatów końcowych?

Ksiądz profesor Józef Tischner zwykł był mawiać na swoich wykładach: „...choć prawdą jest stwierdzenie, iż praktyka bez teorii jest ślepa, a teoria bez praktyki mocno kulawa – to należy pamiętać zawsze, że życie jest bogatsze od wszelkich naszych przypuszczeń i przewidywań…”. Na łamach niniejszego artykułu starano się wskazać różnice w podejściu do przedstawionego w tytule tematu.

Świadom ułomności swego pióra autor pragnie ocenę swoich starań pozostawić PT Czytelnikom.

dr inż. Marek Blim

Bibliografia

1. Anderson S. Inżynieria zabezpieczeń, seria TAO, Wydawnictwo Naukowo-Techniczne, Warszawa 2005.
2. Bezpieczeństwo w biznesie, pod red. nauk. Wł. Fehlera, wyd. Messenger Service Stolica S.A., Warszawa 2005.
3. Białas A. Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006.
4. Byczkowski M. Blim M., Zawiła-Niedźwiecki J., Założenia TSM - Total Security Management, opracowanie European Network Security Institute, Warszawa, 2004.
5. Konieczny J. Wprowadzenie do bezpieczeństwa biznesu, wyd. Konsalnet, Warszawa 2004.
6. Michalak A. Ochrona tajemnicy przedsiębiorstwa. Zagadnienia cywilnoprawne, seria MONOGRAFIE, Kantor Wydawniczy ZAKAMYCZE, Kraków 2006.
7. Pipkin D.L. Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa, seria TAO, Wydawnictwo Naukowo-Techniczne, Warszawa 2002.
8. Polaczek T. Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo HELION, Gliwice 2006.
9. Polok M. Ochrona tajemnicy państwowej i tajemnicy służbowej w polskim systemie prawnym, Wydawnictwo Prawnicze LexisNexis, Warszawa 2006.
10. Yourdon E. Wojny na bity. Wpływ wydarzeń z 11 września na technikę informacyjną, seria TAO, Wydawnictwo Naukowo- Techniczne, Warszawa 2004.
11. Zagórski Z., Socjologiczne portrety grup społecznych, Wydawnictwo Uniwersytetu Wrocławskiego, Wrocław 2002.
12. Strona internetowa ISO – http://www.iso.org/iso/standards_development/technical_committees/list_o... z dnia 15-01-2009.
13. Strona internetowa Polskiego Komitetu Normalizacyjnego http://www.pkn.pl/, link Obronność i bezpieczeństwo w zakładce DZIAŁALNOŚĆ NORMALIZACYJNA, z dnia 2009-01-15.
14. Strona internetowa http://www.sail.global, link ISO/PAS 22399 z dnia 2009-01-15.

Przypisy

1. Metodyka organizacji oparta na <podejściu procesowym>, J.M. Chmielewski, K. Waćkowski, Quality Review 3–4(55–56) 2008, s. 93–101.
2. Norma PN-ISO/IEC 27001:2007, ppkt.4.2.1. c) – g), s. 11–12.
3. Adres, statut, lista członków i inne dokumenty EAS dostępne są na stronie www.eas.krakow.pl
4. Ryzyko jest zawsze obecne w naszym życiu, Skalska J., wywiad  prezesem PKN, drem inż. T. Schweitzerem, Wiadomości PKN. Normalizacja, Nr 12/2008, s. 2–5
5. Z praktyki audytorskiej: duża spółka (z udziałem kapitału zagranicznego)  ramach „cięcia kosztów” zlikwidowała swój dział transportu ciężkiego, a potrzeby przeniosła do fi rmy outsourcingowej, pomijając? zaniedbując? nałożone wcześniej na nią osoba prawna) ustawowe zobowiązania rzeczowe (obowiązek obronny) wobec Centrum Zarządzania Kryzysowego Wojewody.

Zabezpieczenia 4/2009