W wielu jednostkach samorządu lokalnego coraz więcej spraw można załatwić online, np. złożyć wnioski do wydziału komunikacji, uzyskać zdalny dostęp do informacji publicznej czy monitorować status sprawy. Podobnie jest w Urzędzie Miasta Bydgoszczy.

IT coraz ważniejsze

Wraz ze wzrostem udogodnień dla obywateli rośnie także znaczenie wydziału IT. Aplikacje do obsługi interesantów i wewnętrzne systemy informatyczne urzędu (do zarządzania zasobami, finansami, kadrami), a także sieć komunikacyjna, centrum przetwarzania danych i infrastruktura wirtualna wymagają kompetencji i wysokich standardów pracy.

W bydgoskim urzędzie blisko 1000 użytkowników w siedmiu lokalizacjach jest połączonych we wspólną sieć i pracuje z ponad 40 systemami aplikacyjnymi. Dane są przechowywane i przetwarzane przez 20 serwerów i ponad 100 urządzeń sieciowych w dwóch centrach przetwarzania danych. Nad całością infrastruktury teleinformatycznej czuwa 30 pracowników Wydziału Informatyki.

Zwiększanie zakresu usług świadczonych przez IT dla obywateli i pracowników urzędu oraz związany z tym wzrost nakładów na infrastrukturę wiąże się ze zmianą postrzegania roli IT. Wydział stał się ważnym ogniwem w podnoszeniu efektywności pracy urzędu i partnerem dla innych jednostek organizacyjnych w kreowaniu usług na wysokim poziomie.

To z kolei wymagało zmiany priorytetów – obecnie zamiast technologii, działania koncentrują się na zarządzaniu procesami i dostarczanymi usługami.

W relacji między Wydziałem Informatyki a innymi działami można odnaleźć wiele analogii z „czystą” relacją biznesową usługodawca – klient. W konsekwencji zadania realizowane przez IT podlegają parametryzacji i ocenie, naturalne jest też dążenie do podnoszenia jakości i rozszerzania zakresu usług.

Zwiększenie zakresu odpowiedzialności spowodowało niedobór narzędzi do mierzenia wskaźników i stopnia osiągnięcia celów przy ocenie jakości i efektywności usług oraz zarządzania programami i projektami realizowanymi przez UM Bydgoszczy. Zdiagnozowano też, że konieczne są zmiany w modelu funkcjonowania i organizacji pracy, a także brakuje procesowego podejścia do prowadzonych działań.

Metodyki zarządzania IT w Bydgoszczy

W UM Bydgoszczy od 2008 r. trwają prace nad wdrożeniem Zintegrowanego Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 oraz Systemu Zarządzania Usługami IT ISO/IEC 20000 opartego na najlepszych praktykach ITIL.

Efektem projektu „Wdrożenie metodyk zarządzania usługami IT, projektami i programami w Urzędzie Miasta Bydgoszczy”, nadzorowanego przez firmę akredytacyjną, będzie stosowanie w codziennej praktyce urzędu systemu zasad i dobrych praktyk stworzonych i rozwijanych przez agendę rządu brytyjskiego – Office of Goverment Commerce.

W ramach projektu zostały zakupione światowej klasy aplikacje informatyczne niezbędne do zastosowania nowych metod pracy, aplikacja P2MSP do planowania i zarządzania projektami i programami oraz oprogramowanie systemów zarządzania usługami informatycznymi. Cykl szkoleń objął kilkudziesięciu pracowników urzędu sprawujących nadzór nad sprawnym funkcjonowaniem systemów IT, korzystających z nich w ramach prac nad Programem Rozwoju Bydgoszczy, a także związanych z obsługą inwestorów.

Projekt został dofinansowany przez Islandię, Lichtenstein i Norwegię za pośrednictwem środków Mechanizmu Finansowego Europejskiego Obszaru Gospodarczego.

Cele, techniki i narzędzia audytowe

Jednym z etapów projektu, który ma być zwieńczony uzyskaniem certyfikatów ISO/IEC 27000 i ISO/IEC 20000, jest przeprowadzony przez specjalistów z BCC w listopadzie i grudniu 2010 r. audytu IT. Jego celem było sprawdzenie, czy przyjęte zasady, procedury i normy są nie tylko utrzymywane na założonym na początku projektu poziomie, ale również czy następuje ich rozwój i doskonalenie.

Standardy bezpieczeństwa wykorzystane  w audycie IT w UM Bydgoszcz

Norma ISO/IEC 20000 – Systemy Zarządzania Usługami Informatycznymi – wprowadza podejście procesowe do zarządzania usługami IT. Norma składa się z dwóch części: ISO/IEC 20000-1:2005 oraz ISO/IEC 200002:2005. Pierwsza przedstawia wymagania, które system zarządzania musi spełnić, aby mógł być potwierdzony certyfikatem zgodności z normą. Druga zawiera wytyczne i wskazuje, co należy zrobić, aby sprostać przedstawionym wymaganiom.

Norma ISO/IEC 27001 – Systemy Zarządzania Bezpieczeństwem Informacji – obejmuje całość zagadnień związanych z ochroną tworzonych, przechowywanych i przetwarzanych w firmie informacji. Norma proponuje zastosowanie podejścia procesowego do ustanowienia, wdrożenia, eksploatacji, monitorowania, utrzymywania i poprawy efektywności SZBI.

COBIT (Control Objectives for Information and related Technology) – standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych.

ITIL (Information Technology Infrastructure Library) – kodeks postępowania dla działów informatyki. Zbiór zaleceń, jak efektywnie
i skutecznie świadczyć usługi informatyczne.

BS 25999 – norma opracowana przez BSI, dotyczy obszaru zarządzania ciągłością działania. Standard zastępuje wycofaną specyfikację PAS-56. Norma BS 25999 składa się z dwóch standardów. Pierwszy – BS 25999-1:2006 jest zbiorem wytycznych, które wprowadzają procesy, zasady i terminologię. Drugi – BS 25999-2 jest standardem, w oparciu o który może być przyznany certyfikat zgodności. Określa on wymagania do wdrożenia środków kontroli ciągłości działania.

Podczas audytu konsultanci BCC wykorzystali m.in. następujące techniki i narzędzia: zaznajamianie się z dokumentacją, uzyskiwanie wyjaśnień i informacji, obserwacja wykonywanych zadań, oględziny, listy kontrolne, graficzną analizę procesów.

W audytach testy wykonane na procedurach kontrolnych oparte są na próbach, co nie pozwala wykryć wszystkich słabości w procedurach kontrolnych, inne ograniczenia mogą wynikać z błędów lub potencjalnych oszustw.

Dlatego, by audyt był adekwatny, konieczne jest duże zaangażowanie obu stron – dociekliwość audytora i rzetelność audytowanego podmiotu.

Audyt – pierwsza faza

W Urzędzie Miasta Bydgoszczy audyt podzielono na cztery fazy. W pierwszej konsultanci BCC wspólnie z dyrektorem Wydziału Informatyki określili zakres i harmonogram prac. Dokonano analizy struktury wydziału i firm zewnętrznych (dostawcy, odbiorcy, instytucje obsługujące), a także warunków prawnych i techniczno-organizacyjnych w kontekście systemów ISO.

By audyt IT był adekwatny, konieczne jest duże zaangażowanie obu stron – dociekliwość audytora i rzetelność audytowanego podmiotu

 

Przeprowadzono wywiady z wszystkimi pracownikami wydziału, analizując procesy IT: planowanie i wdrażanie usług, raportowanie, zarządzanie poziomem usług i ich dostępnością, zarządzanie wydajnością, budżetowanie i księgowanie usług IT, zarządzanie incydentami i problemami, zarządzanie bezpieczeństwem informacji oraz relacjami z otoczeniem (klienci/dostawcy), zarządzanie konfiguracją, zmianą oraz wersją.

Sprawdzono zgodność założeń oraz dokumentacji z rzeczywistymi praktykami w organizacji (polityka bezpieczeństwa, struktura organizacyjna i odpowiedzialność za procesy, organizacja bezpieczeństwa, klasyfikacja i kontrola aktywów, bezpieczeństwo osobowe, fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, rozwój i utrzymanie systemu, zarządzanie ciągłością działania).

Na podstawie uzyskanych informacji zredagowano listę kontrolną, którą wykorzystano w wywiadzie z użytkownikami końcowymi z innych wydziałów. Dokonano także przeglądu dokumentacji procesów IT pod kątem klasyfikacji informacji i systemów, analizy ryzyka, procedury i zasady. Weryfikacji poddano mierniki efektywności przebiegu procesów IT w Wydziale Informatyki.

Druga faza – zarządzanie usługami IT

W drugiej fazie zweryfikowano poziom adaptacji procesów ISO/IEC 20000, ITIL v3. Audytem objęto następujące procesy:

  • zarządzanie finansowe dla usług IT – analiza polityki finansowej zarządzania usługami, która uwzględnia cele budżetowania i księgowania,
  • zarządzanie ciągłością usług IT – zapewnienie uzgodnionej ciągłości i dostępności usług dla wydziałów urzędu we wszystkich okolicznościach,
  • zarządzanie pojemnością – zapewnienie stałej wydajności usługodawcy na takim poziomie, aby mógł spełniać bieżące i przyszłe zapotrzebowania UM Bydgoszczy,
  • zarządzanie dostępnością – zapewnienie usług IT w ramach zobowiązań przyjętych w SLA,
  • zarządzanie bezpieczeństwem informacji – zapewnienie sprawnej i skutecznej ochrony informacji we wszystkich działaniach związanych z usługami,
  • zarządzanie incydentem – przywrócenie jak najszybciej uzgodnionej usługi do użytku,
  • zarządzanie problemem – zminimalizowanie zaburzenia działalności poprzez zidentyfikowanie i analizę przyczyny incydentów oraz doprowadzenie problemów do zamknięcia,
  • zarządzanie zmianą – uzyskanie pewności, że wszystkie zmiany są oceniane, zatwierdzane, wdrażane i sprawdzane w kontrolowany sposób,
  • zarządzanie wersją – dostarczenie, rozprowadzenie i śledzenie jednej lub kilka zmian tworzących wydanie w środowisku produkcyjnym,
  • zarządzanie konfiguracją – określenie i kontrolowanie komponentów usług i infrastruktury oraz zachowywanie dokładnej informacji o konfiguracji.

Trzecia faza – bezpieczeństwo informacji

Przeprowadzony w trzeciej fazie audyt System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 objął działania w ramach zdefiniowanych w normie procesów:

  • analiza ryzyka, audyty wewnętrzne, przegląd systemu zarządzania (weryfikacja procedur i planu postępowania z ryzkiem, planu audytów wewnętrznych oraz raportów; analiza danych z przeglądu systemu zarządzania),
  • polityka bezpieczeństwa informacji (weryfikacja polityki oraz jej znajomość i sposobu realizacji przez pracowników wydziału; sposoby promowania systemu ISO/IEC 27001 w urzędzie; przegląd i aktualizacja polityki),
  • organizacja wewnętrzna (rola, funkcja i zakres obowiązków Forum Zarządzania Bezpieczeństwem Informacji; zarządzenia; główne obowiązki i zadania pełnomocnika zarządu ds. bezpieczeństwa informacji; weryfikacja kart stanowiskowych oraz umów o poufności z dostawcami),
  • odpowiedzialność za aktywa (weryfikacja procedury klasyfikacji informacji i aktywów),
  • bezpieczeństwo zasobów ludzkich (weryfikacja procedury rekrutacji oraz zarządzania kontrolą dostępu w przypadku zmiany stanowiska lub odejścia pracownika z Wydziału Informatyki; analiza umów w z podwykonawcami),
  • obszary zabezpieczone (weryfikacja kontroli dostępu do budynku, pomieszczeń oraz serwerowni; weryfikacja zasad pracy zdalnej),
  • procedury i obowiązki operacyjne (weryfikacja procedury zarządzania zmianą; analiza podziału pomieszczeń dla urządzeń testowych, deweloperskich oraz produktywnych; weryfikacja umów z dostawcami pod kątem bezpieczeństwa IT i parametrów SLA; sprawdzenie bieżącego monitoringu oraz strojenia systemów produktywnych; analiza zapisów z dyżurów i monitoringu; weryfikacja polityki kopii zapasowych, polityki korzystania z systemu antywirusowego i poczty elektronicznej),
  • kontrola dostępu (weryfikacja polityk kontroli dostępu i zarządzania hasłami),
  • pozyskiwanie, rozwój i utrzymanie systemów (weryfikacja polityki korzystania z zabezpieczeń kryptograficznych),
  • zarządzanie incydentami (weryfikacja procedury zarządzania incydentami; zapisy z incydentów; działania korygujące i zapobiegawcze),
  • zarządzanie ciągłością działania (weryfikacja strategii zarządzania ciągłością działania, procedur planów ciągłości działania, planu testów, zapisów z testów),
  • zgodność z prawem (przegląd dokumentacji wymaganej przez GIODO; legalność oprogramowania, zarządzanie licencjami; analiza audytów technologicznych).

Próba generalna

Jestem przekonany, że w każdej instytucji czy firmie utrzymującej własną infrastrukturę ICT wraz z jej wzrostem pojawi się potrzeba wprowadzenia usystematyzowanego systemu zarządzania. Istotne, by dostrzec tę potrzebę we właściwym momencie. W zbyt małym środowisku formalne systemy zarządzania mogą stanowić jedynie niepotrzebny balast dla organizacji, a ich wartość dodana może być niezauważalna. Dostrzeżenie takiej konieczności zbyt późno oznacza ogromny wysiłek podczas projektu, wynikający z konieczności wdrożenia poważnej zmiany biznesowej w funkcjonującym środowisku.

Oceniając nasz projekt z perspektywy czasu, myślę, że niektóre działania powinniśmy wykonać nieco wcześniej. Natomiast uważam za niezmiernie istotne, iż od samego początku poszukiwaliśmy gotowych, działających i sprawdzonych rozwiązań. Dlatego wybraliśmy metdyki będące zbiorem dobrych praktyk, które z powodzeniem funkcjonują w brytyjskiej administracji.

Posługiwanie się sprawdzonymi i ogólnie przyjętymi standardami wpływa pozytywnie na realizację samego wdrożenia, jak również sprawia, że sposób funkcjonowania IT w Urzędzie Miasta Bydgoszczy jest czytelny i transparenty z punktu widzenia zarówno naszych klientów wewnętrznych, jak i partnerów czy kontrahentów zewnętrznych.

Bezpośrednim beneficjentem system zarządzania IT, jak każdego systemu zarządzania, jest kierownictwo urzędu. Jest on narzędziem pozwalającym na optymalizację kosztów utrzymania systemów teleinformatycznych wspierających pracę poszczególnych jednostek organizacyjnych. Z perspektywy pracowników system zarządzania to z jednej strony dodatkowe obowiązki związane z koniecznością rejestrowania wykonywanych czynności, a drugiej jasne i czytelne zasady pracy. Choć bezpośrednio niewidoczny dla mieszkańców, system zarządzania przekłada się na poprawę efektywności i racjonalizację wydatków administracji publicznej, co leży w interesie każdego podatnika.

Przygotowując się do audytu certyfikującego, poszukiwaliśmy firmy, która w cyklu audytów wewnętrznych wskaże braki oraz te elementy, które wymagają poprawy. Nadrzędną dla nas wartością jest sprawnie funkcjonujący system zarządzania, a certyfikat ma być tego potwierdzeniem, a nie wartością samą w sobie. Dlatego też szukaliśmy partnera, który posiada kompetencje w obszarze metodycznego zarządzania IT, jak i sam te zasady wykorzystuje. Przyznam, że liczyliśmy na to, że poza weryfikacją zgodności naszego systemu z wytycznymi norm uzyskamy również wskazówki i zalecenia wynikające z doświadczeń i wykorzystania dobrych praktyk w codziennej działalności. I takiego partnera udało się zaleźć.

Wartość audytu zrealizowanego przez konsultanta firmy BCC (aktualnie All for One Poland) w mojej ocenie to przede wszystkim cenne uwag i wymiana doświadczeń. Otrzymaliśmy rekomendacje w obszarze zarządzania poziomem usług, zarządzania zasobami czy ciągłością działania. Większość z nich wprowadziliśmy już w życie. Zalecenia, co chciałbym szczególnie podkreślić, mają charakter bardzo praktyczny, niosący dla Urzędu Miasta Bydgoszczy faktyczną wartość dodaną.

System zarządzania zostanie zweryfikowany poprzez poddanie go certyfikacji na zgodność z wymaganiami norm ISO 20000 i ISO 27000. Audyt certyfikujący odbędzie się w styczniu 2011 r. Jednostką certyfikującą będzie TUV Nord.

Marek Staniewski, Dyrektor Wydziału Informatyki, Urząd Miasta Bydgoszczy

Czwarta faza – ciągłość działania

W czwartej fazie audytowi poddano strategię zarządzania ciągłością działania w Wydziale Informatyki wg standardu BS 25999. Dokonano analizy dokumentacji: budowy procedury tworzenia planów ciągłości działania, opracowanych planów ciągłości działania dla systemów IT, planów odtworzenia utraconych zasobów (katalog procesów i aplikacji objętych projektem z określeniem ich parametrów POUZ: RTO – Recovery Time Objective, RPO – Recovery Point Objective, BWO – Backup Window Objective, NRO – Network Recovery Objective, MDL – Maximum Data Loss, scenariusze działania w wypadku katastrofy).

Raport z audytu

Wynikiem audytu jest raport przedstawiający stan bieżący oraz zawierający zalecenia dalszych kroków doskonalących, naprawczych bądź korygujących. Zalecenia audytorów dotyczą procedur oraz rozwiązań organizacyjnych i technicznych. Ich wdrożenie pozwoli na stabilizację, standaryzację i doprecyzowanie zakresu usług oraz stworzenie spójnej i pełnej dokumentacji infrastruktury IT.

W efekcie decyzje będą podejmowane na podstawie dostępnych mierzalnych wskaźników i celów, co pozwoli lepiej wykorzystać zasoby wewnętrzne i środki finansowe przeznaczone na rozwój IT w Urzędzie Miasta Bydgoszczy.

Zdefiniowane sposoby wymiany i dystrybucji informacji pozwolą na polepszenie komunikacji pomiędzy klientami, użytkownikami oraz IT i dzięki temu lepsze wsparcie procesów biznesowych w urzędzie. Elastyczne i szybkie funkcjonowanie nowych wymagań w strategii IT wpłynie na rynkową relację pomiędzy Wydziałem Informatyki i jego klientami.