tartalom oldal / page contentsa témára irányuló figyelmet jelzi, hogy az usa-ban a six sigma...
TRANSCRIPT
TARTALOM
SZAKMAI CIKKEK, ELŐADÁSOKKihívások a szervezetekkel szemben
a XXI. század elején – III. (befejező) rész – Herneczki Katalin, Tunkli Gábor
Új fejlemények az informatika irányításának szabványosításában – Krauth Péter
A kockázatfelmérés elmélete, gyakorlata és tapasztalatai – Móricz Pál
Az információbiztonság tanúsíthatósága, tanúsítása – Vilhelm Zsolt
Az információvédelem lehetséges gyenge pontjai – Kolonics Krisztián
A MINŐSÉG JAVÍTÁSÁNAK /FEJLESZTÉSÉNEK TECHNIKÁIPDCA – a tervezés-végrehajtás körfolyamata
– DSc Parányi György 7M – a hét vezetési módszer
– DSc Parányi GyörgySWOT – az erősségek, gyengeségek,
lehetőségek és korlátok elemzése – DSc Parányi György
A TÁRSASÁG HÍREI ÉS PROGRAMJAIA Magyar Minőség Társaság Közgyűlése
– Beszámoló
HAZAI ÉS NEMZETKÖZI HÍREK,BESZÁMOLÓKA Regionális Minőségi Díjak múltja, jelene, jövője
– Szabó Kálmán
A Nemzeti Minőség Klub ülése (2005. május 4.)
Minőségtudomány – vezetési gyakorlatEgyütt az egészségügyi ellátás minőségének
fejlesztéséért
SZAKBIZOTTSÁGOKMinőségi konfliktuskezelés
A TÁRSASÁG ÚJ TAGJAIÚj belépők
CONTENTS
PROFESSIONAL ARTICLES, LECTURESOrganizations' Challenges by the Early 21st
Century – Part 3. – Herneczki, Katalin; Tunkli, Gábor
New Developments of Standardizationin Management of Informatics – Krauth, Péter
Theory, Practice and Experiences of Risk-survey– Móricz, Pál
Possibility and Realization of Certification of ISMS Systems – Vilhelm, Zsolt
Possible Weak Points of Information Security – Kolonics, Krisztián
TECHNICS OF QUALITY IMPROVEMENT /DEVELOPMENT PDCA, Cycle of Planing-Execution
– DSc Parányi, György 7M – Seven Methods of Management
– DSc Parányi, GyörgySWOT – Analyzis of Strengths, Weaknesses,
Opportunities and Threats – DSc Parányi, György
NEWS AND PROGRAMS OF THE SOCIETYGeneral Assembly of the Hungarian Society
for Quality
DOMESTIC AND INTERNATIONAL NEWS AND REPORTSPast, Presence and Future of the Regional
Quality Awards – Szabó, Kálmán
Session of the National Quality Club (4th May, 2005)
Quality Science – Management PracticeTogether for the Development
of Medical Care Quality
COMMITTEES OF EXPERTSHigh Quality of Conflict-handling
NEW MEMBERS TO THE SOCIETYNew Members
2
6
13
15
19
23
24
24
26
29
32
35
37
38
Oldal / Page
2 MAGYAR MINÕSÉG
SZAKMAI CIKKEK, ELÕADÁSOK
Kihívások a szervezetekkel szemben a XXI. század elején
– Herneczki Katalin* – Tunkli Gábor**–
III. (befejezõ) rész4. MenedzsmenteszközökVizsgáljuk meg – a korábban leírtakra támasz-kodva –, milyen új elvárásoknak kell megfelel-niük a menedzsmentmegközelítéseknek:
– Az emberi tényezõ hatékonyságának növe-lése.
– A gyorsuló mûszaki, technológiai fejlõdéseredményeinek beépítése az értékteremtõfolyamatokba.
– Az egyének tudásbõvítésének támogatása,majd a tudás hasznosítása a szervezet szint-jén.
– Egyre nagyobb feladatot jelent a globálissáváló piac – és globális fogyasztók – elvárá-sainak, a gyorsuló ütemben változó igényei-nek figyelemmel kísérése. Globális és regio-nális stratégiák válnak szükségessé.
– Erõsödõ civil nyomás az ökológiai problémákkezelésére.
– Gyorsan és rugalmasan változó szerveze-tekre van szükség.
– Folyamatosan változik az emberek – munka-vállalók – munkához való viszonyulása, amitmég tetéznek a multikulturális hatások.
– Középtávon a nyers- és alapanyagok drágu-lása, az energiatakarékos technológiák ésalternatív anyagok elõtérbe kerülése.1
– Az információ és kommunikációs technoló-gia eszközeinek beépítése a szervezet mûkö-désébe, a termékekbe és a szolgáltatásokba.
– Globálisan és regionálisan is élesedõ versenya termékek, szolgáltatások és a magasankvalifikált, alkalmazható tudással bírómunkaerõ piacán.
** [email protected]** [email protected]
1 Az ökológiai változások sebessége nõ. Az elõrejelzések évtizedrõl évtizedre rövidülõ idõszakokat s növekvõ hatásokat prognosz-tizálnak. Az a benyomásunk, hogy az ökoszféra összetettségébõl adódóan jelenleg nem vagyunk képesek megbízható prognosz-tizálásra, így a várható hatás, a bekövetkezés ideje nehezen becsülhetõ. Az az érzésünk, hogy a hatások radikálisabbak leszneka vártnál, s talán hamarabb érik el az emberi civilizációt, mint azt korábban hittük.
ÖSSZEFOGLALVAa) Az emberi erõforrás hasznosítása kiemelt feladattá válik – felértékelõdik a humántõke.b) Technikai és szervezeti értelemben is innovatív, gyors szervezetekre van szükség.c) Holisztikus megközelítéssel kell közeledni a szervezetekhez. d) Az ökológiai kérdések lassan gazdasági jelentõséget is kapnak.
4.1 Holisztikus megközelítés és konvergencia
Általánosan elfogadott az a nézet, hogy a külön-bözõ menedzsment- és leadership- (irányítási,vezetési) irányzatok:
– eszközök a vezetés kezében a verseny-képesség javításához,
– jellemzõen egy oldalról, egy szemszögbõl kö-zelítik meg a szervezetet (pl. stratégiaimenedzsment, marketingmenedzsment, mi-nõségmenedzsment stb.).
Teszik mindezt annak ellenére, hogy a szerve-zetek nem így mûködnek. Egy vállalat, szervezet
életében egyszerre és egymástól nem elvá-lasztható módon vannak jelen az egyes tevé-kenységek (megközelítési szempontok).
Elsõ állításunk ebbõl következõen az, hogyHOLISZTIKUS megközelítésekre van szükség. Ezttámasztják alá az új elvárások is. A holisztikusmegközelítés nem, vagy nem feltétlenül jelenti akorábbi specializálódott megközelítések megszûné-sét vagy összeolvadását. Viszont jelenti annak afelismerését, hogy össze kell hangolni az egyesterületeken végzett beavatkozásokat, s hatásukatmás területekre vonatkozóan is vizsgálni kell.Ennek a felismerésnek a megjelenésére vannak
MAGYAR MINÕSÉG 3
utaló jelek. Ilyen jel pl. a marketingmenedzsmentszéles körû értelmezése, vagy a minõségirányításirendszerek legelterjedtebbik modelljének, az ISO9001-nek a változása (gondoljunk csak arra, hogy a képzés helyett az emberi erõforrásokkal valógazdálkodásról van szó), vagy ilyenek a kiválóságimodellek, mint pl. a Malcolm Baldridge (USA),vagy az EFQM (Európa). A minõségirányításimegközelítések szélesedését mutatja az 5. ábra.
A fejlõdési folyamatot figyelmesebben szemlélvekét törvényszerûség állapítható meg:
– Minden régió a saját kulturális erõsségeialapján fejlesztett. Így az észak-amerikaifejlesztéseket mindig is jellemezte a mérhe-tõség, és a mérési módszertanok kidolgozott-sága. Japán nagymértékben épített az erõskollektivizmusra, Európa – elsõsorban Nyu-gat-Európa – pedig sztenderdizált, azazkövetendõ szabályokat állított fel.
– A szélesedés folytán az egyes megközelítéseka belõlük hiányzó területek felé bõvülnek.Ezt a folyamatot nevezzük konvergenciá-nak, melynek eredményeképpen az egyesmegközelítések közelítenek egymáshoz.
A konvergencia jelensége nemcsak a minõség-irányításon belül figyelhetõ meg. A vezetési ta-nácsadás különbözõ irányzatai – éppen a holisz-tikus megközelítés szükségességének felismerésemiatt – szélesednek, s ebbõl következõen kon-vergálnak (6. ábra).
LM – Logisztikai menedzsmentQM – Quality (Minõség-) menedzsmentSM – Stratégiai menedzsmentMM – MarketingmenedzsmentPM – Pénzügyi menedzsmentHM – Humánerõforrás-menedzsment
Példa erre a marketingmenedzsment közeledéseaz értékesítéshez. Egyre gyakoribb a vevõk szán-dékain alapuló, úgynevezett „reverse marketing”,amelyben a klasszikus 4P (price, product, place,promotion) helyett a vevõszempontú 4C-t (cus-tomer value, cost, convenience, communication)alkalmazzák, mivel a virtuális piactéren a vevõkfokozatosan átveszik a kezdeményezõ szerepet.Megfigyelhetjük a humánerõforrás-menedzsmentszélesedését is, hiszen egyfelõl a HR-kérdésekegyre inkább a vállalati stratégiák részévé válnak,másfelõl a személyes teljesítmények mérése,értékelése, visszacsatolása során szoros kapcso-latba kerültek az üzleti célok mérésével, érté-kelésével. Számos további példával lehetne igazol-ni ezt a konvergenciát, ami egyértelmûen aholisztikus megközelítést teszi szükségessé.
4.2 Az emberi erõforrások hasznosítása4.2.1 Kulturális különbözõségekÉppen a konvergencia – és persze a globalizáló-dás – következtében elinduló szélesedõ alkalma-zások hívták fel a figyelmet a kulturális külön-bözõségek figyelembevételének fontosságára (lásdpl. a minõségi körök sorsa Magyarországon a 80-as évek végén, 90-es évek elején). Ennekfontosságát a globalizációból adódó multikultura-litás, és a GLOBE-felmérés eredményei még job-ban kiemelik. Nincsen másról szó, mint:
– Az adott ország népességére jellemzõ kultu-rális jellemzõk tudatos figyelembevételérõl.Számos mérés azt mutatta, hogy a vezetõksaját országuk kulturális jellemzõivel nin-csenek tisztában, illetve tévképzeteik van-nak. Pedig fontos lenne ezek ismerete – lásda 3. fejezetben ismertetett GLOBE-felméréseredményeit –, annak érdekében, hogy épí-teni tudjanak az erõsségekre. Csak egyetlenpéldával szeretnénk érzékeltetni a kérdésfontosságát. A magyarok a változásokat jóltûrõ, a szabályokat nem követõ nemzetekközé tartoznak. Vajon hány minõségirá-nyítási rendszer tervezésénél, kialakításánálvették ezt figyelembe? Meglehetõsen elter-jedt az a nézet Magyarországon, hogy az ISO9001-es szabványnak megfelelõ minõség-irányítási rendszerek csak fölösleges bürok-ráciát hoztak a vállalatok életébe, ám ver-senyelõnyt nem. Nem lehet ennek az is oka,hogy a szabályokat nem követõ embereket
Minőség-ellenőrzés
QCh = Quality Check
Minőség-biztosítás
QA = QualityAssurance
Minőség-szabályozás
SQC = StatisticalQuality Control
Teljes körűminőség-
szabályozásTQC = Total Quality
Control
Minőségirányítási rendszerek
QAS = Quality AssuranceSystem
Teljes körűminőség-
menedzsmentTQM = Total Quality
Management
EUEUEU, USAEU, USA
USAUSA
JapánJapán
Minőség- díjak
EU, USAEU, USA
BSC 6szigma
5. ábra. Minõségirányítási megközelítések
QM
SM
MM
HM
LMPM
6. ábra. A vezetési tanácsadás összefüggései
4 MAGYAR MINÕSÉG
próbálunk talán túlságosan is aprólékos,merev szabályok követésére kényszeríteni?
– Egyre több vezetõ dolgozik olyan környe-zetben, amikor is az általa irányítottak jelen-tõs része más nemzet lánya, fia, esetleg többnemzet lányaival, fiaival kell közösen sike-reket elérni. A kulturális különbözõségekismeretén túl, ebben az esetben szükség leszmás értékek, szokások elismerésére, elfo-gadására is.
4.2.2 HumántõkeA „humántõke” – az emberi erõforrás értéke – azüzleti nyelv mindennapos kifejezésévé vált. Mit isjelent valójában? Az összes rendelkezésre állómunkaerõ tudásának, gyakorlati tapasztalatának,készségeinek összessége, a cégérték nehezenszámszerûsíthetõ, de mégis talán legfontosabbrésze. Mérések igazolják, hogy az egyéni tehetség,képességek, készségek és szaktudás – valamintezek jól irányított együttes mûködtetése – aversenyelõny megszerzésében, az üzleti kiválóságelérésében, a tartós sikerben kiemelkedõ szerepetjátszanak, nagyobbat, mint amennyire ezt koráb-ban becsülték. A termékek, a szolgáltatások, azár, az értékesítési csatornák, a technológiák, azinfrastruktúra stb. másolhatók, utánozhatók – azember, aki ezeket alkalmazza, viszont NEM.Természetesen rövid távon segítenek a pénzügyiés más technikák, de ha egyszer egy cég jólmegoldja a likviditásmenedzsmentet, a készlet-optimalizálást stb., abban nincs további elõnytnyújtó tartalék.
Gondoljuk végig az üzleti eredményességhezvezetõ utat – visszafelé. A növekvõ nyereségességfeltétele az elégedett, visszatérõ, lojális ügyfélkör.Elégedett ügyfeleink csak akkor lesznek, ha avelük közvetlen vagy közvetett kapcsolatban állóalkalmazottak is elégedettek, elkötelezettek. Mitõllesz elkötelezett, lojális egy dolgozó? Biztos, hogynem attól, hogy a cég falain kifüggesztett „missz-ió”-ban azt olvassa, hogy ez minden dolgozószámára kötelezõ. Mi befolyásolja leginkább a dol-gozói elkötelezettséget? Alapvetõen két dolog: aközvetlen vezetõvel való elégedettség (jó vezetõkiválasztása, fejlesztése), és a munkában elért si-kerérzet, ami attól függ, hogy olyan munkát vé-gez-e, ami illeszkedik a természetes erõsségeihez,képességeihez, „talentumához”. Ehhez ismernikell ezeket a képességeket, azaz jól kell kiválasz-tani és pozicionálni. Tehát ha végigmegyünk ezena láncon, valóban odajutunk, hogy az EMBER-nekvan központi szerepe a tartós sikerben.
Itt kell keresni a versenyelõny lehetséges for-rását!
Kiemelt jelentõségének felismerése óta a „job-bak” már nem tekintik az emberekkel való fog-lalkozást a HR-részleg elszigetelt feladatának acégen belül, hanem a szervezet minden vezetõjétegyre nagyobb mértékben érintõ stratégiai jelen-tõségû feladatnak.
Bár a vezetõk nagy része valóban érzi és elhiszi,hogy a humántõke talán a cég legfontosabb, leg-értékesebb eszköze, mégis zavaró, hogy ezt nemigazán tudják adatokra és mérésekre építve,azokkal alátámasztva bizonyítani, ha úgy tetszik,a „soft” tényezõt „hard” számokkal kifejezni.Márpedig bármit is csak akkor lehet jól kezelni,ha mérni, számszerûsíteni, értékelni tudjuk.Ráadásul érvelni is csak így lehet például lét-számbõvítés, leépítés, képzések vagy motivációsrendszer stb. mellett. A tulajdonosokat mindig aszámok érdeklik! A cégek árbevételük átlagosan36%-át fordítják a humántõkével kapcsolatosköltségekre (USA-adat), de csak 16%-uk állítja,hogy a humántõkére fordított összeg megtérülé-sérõl pontos ismereti vannak.
A témára irányuló figyelmet jelzi, hogy az USA-ban a Six Sigma mintájára megjelent a HumanSigma, amely az emberi erõforrás és az üzletieredményesség kapcsolat mérésére fókuszál.Nagy-Britanniában a 90-es évek elején indult elaz Investors in People – rövidítve IIP – (magyarultalán a Humántõke-befektetõk lenne a leg-találóbb fordítás) követelményeinek és elismerésirendszerének kialakítása és elterjesztése. A folya-mat terjedt, s ma már a világ számos országában,így Magyarországon is elérhetõek az IIP-vel kap-csolatos szolgáltatások.*
4.2.3 Szervezeti kultúraA humánerõforrástól nehezen vagy egyáltalánnem választható el a szervezeti kultúra fejlesz-tése, mégis tegyünk erre egy kísérletet, tekintet-tel arra, hogy némileg más eszközökkel közelít-hetõ meg pl. a tudás megszerzésének és alkal-mazásának kérdése. Összpontosítsuk figyelmün-ket a tudás szervezeti szintû használatára éshasznosítására, az ezzel kapcsolatos folyamatosváltozások kezelésére.
Nem újkeletû a TANULÓ SZERVEZETEKelmélete.
„Tanulónak nevezzük az olyan szervezetet,amelyik úgy reagál az új információkra, hogy köz-ben megváltoztatja az információk értékelésénekés feldolgozásának programját” – írta egy nem-
* Lásd bõvebben lapunk 2005/3. számában Csóti Gábor: Befektetés a munkatársakba – Az Investors in People megjelentMagyarországon – (A szerk.)
MAGYAR MINÕSÉG 5
zetközi szervezetfejlesztési szakember a 90-esévek elején. Ez azt jelenti, hogy a szervezet a sajátmûködését állandó önértékelésnek teszi ki, úgykezeli, mint egy olyan független változót – mintamilyen pl. a konkurencia tevékenysége, a vevõielvárások változása is –, amelyre folyamatosanreflektálni kell. Az egyik mutatószám, amit a ta-nuló szervezet figyel, a humántõke-kapacitáshasznosulásának mértéke. A kreatív humán-energiák felszabadításának a tanuló szervezet amódszertana, ami mögött az alapvetõ szervezeticélok háromszögmodellje áll.1
Egyetértünk Lõvey azon felfogásával, hogy azegészséges szervezetben az emberek örömüketlelik munkájukban. Az ilyen szervezetek egyiklegfontosabb jellemzõje, hogy megfelelnek azalapvetõ szervezeti célok háromszögmodelljének.
Ez a modell a szervezet holisztikus megközelí-tése mellett érvel, amikor azt mondja, hogy aszervezetnek a hosszú távú sikeresség és ered-ményesség érdekében egyensúlyban kell tartaniaaz alábbi három szükséglet kielégítését:
– a fogyasztók, felhasználók, kliensek szükség-letei,
– a szervezet dolgozóinak, munkatársainakszükségletei,
– a szervezet, a vállalkozás gazdaságos, nye-reséges és hatékony mûködésének szükség-lete.
A fenti három tényezõ bármelyikének hosszabbtávú elõtérbe helyezése vagy elhanyagolása a má-sik kettõ, illetve a szervezet hosszú távú eredmé-nyességének rovására megy.
Számos más megközelítés is ismert – pl. válto-zásmenedzsment, shared-menedzsment, partner-ship alapú megközelítések stb. – amelyek mindazt célozzák, hogy a humántõke hasznosulásimutatója javuljon. Az a közös bennük, hogy amegoldást a szervezeti kultúra tudatos, sziszte-matikus és módszertanilag megalapozott fejlesz-tésével kívánják elérni.
4.3 FolyamatmenedzsmentA fentiek alapján talán látszik, hogy meggyõzõ-désünk szerint egy szervezet rugalmasságát,gyorsaságát – végsõ soron sikerességét – a hu-mántõke minõsége és annak hasznosulása hatá-rozza meg. Éppen a szervezeti célok háromszög-modellje hívja fel azonban a figyelmet a vevõi éstulajdonosi elvárásokra is. Egyértelmûen látszik,hogy a vevõi elvárások közé egyre nagyobbhangsúllyal épül be – nem a korábbi elvárásokhelyett, hanem azok mellé – a gyorsaság. Erre akívánalomra minden szervezetnek reagálnia kell.
A reakció egyik – de önmagában nem elégséges –lépése a humántõkébe való befektetés növelése, ahasznosulás javítása. A másik szükséges befek-tetés a folyamatok irányításának újragondolása,ahol a cél a megbízhatóság (folyamatképesség)megtartása, vagy szükség esetén javítása – márahol mérik jelenleg a folyamatképességi indexet –mellett a rugalmasság és a gyorsaság növelése.Ennek egyik meghatározó eleme biztosan az in-formációtechnológiai eszközök alkalmazása lesz,amelyekkel egyfelõl rövidíteni lehet pl. a rendelés-felvétel idejét, másfelõl pedig optimalizálni lehet afolyamatot, pl. a legrövidebb átfutási idõre. Meg-ítélésünk szerint ez a rugalmassági követelmény a jelenlegi ISO-rendszerek végét jelenti. Nemhiszünk abban – és ez nem elsõsorban és nemcsaka szabványból következik, hanem sokkal inkábbaz alkalmazói és tanúsítói gyakorlatból –, hogy azelõíró jellegû szabályozások lehetõvé tennék azilyen típusú gyorsaságot, rugalmasságot. Sokkalinkább elképzelhetõnek tartjuk a végrehajtók fel-hatalmazásán, döntésén alapuló folyamatirányí-tást – s az ehhez szükséges beruházást a humán-tõkébe. Nem a leírt szabályok, hanem a közösenkialakított és vallott értékek, normák, szokásokfogják biztosítani a gyorsaság mellett a folyamatmegbízhatóságát. Ez minden résztvevõtõl mástípusú szabályozási megközelítést kíván.
4.4 A fejlõdés kényszereAz élesedõ piaci verseny, a tudás felértékelõdése, a gyorsuló innováció nemcsak a humántõke fel-értékelõdését és a holisztikus szemléletmódothozza magával, hanem a fejlõdés, javulás kénysze-rét is, a jelenleginél sokkal erõsebben.
Ebbõl következõen pedig – összhangban a 3.fejezetben leírtakkal – felértékelõdik a mérés,elemzés, beavatkozás szerepe. Minden szervezet-nek meg kell tanulni jól mérni. Mérni kell a sajátteljesítménye jellemzõ mutatóit, elemezni kell az okokat, s keresni kell a javulás lehetõségeit. A szervezetek azonban nem elégedhetnek megazzal, hogy mérik saját teljesítményüket, össze-hasonlításra van és lesz szükségük a helyes viszo-nyítás érdekében. Éppen ezért, nagyobb figyelmetkell fordítaniuk a benchmarkingkapcsolatokkialakítására és mûködtetésére, a jó gyakorlatokmegkeresésére. A fejlõdéshez külsõ és belsõmérésekre egyaránt szükség van.
5. ÖsszefoglalásTanulmányunkban a világban ma elterjedt érték-modellt vettük alapul. Tettük ezt azért, mert nemlátjuk annak reális esélyét – még akkor sem, ha
1 Lõvey Imre, Ipargazdaság, 1994/IV.
6 MAGYAR MINÕSÉG
személyesen ezt szeretnénk s tartanánk helyes-nek –, hogy ez az értékmodell az elkövetkezõ 10-20 évben gyökeresen megváltozzon.
Egyértelmû jelei vannak, hogy a szervezetekéletében két fõ elem fogja meghatározni aversenyképességet:
– az emberi erõforrások hatékonyságánaknövelése;
– a gyors, rugalmas, innovatív mûködés.
Az ezekhez szükséges menedzsment- és leader-ship-megközelítések és eszközök részben márrendelkezésre állnak, részben a közeljövõbenlétrejönnek. Ezeknek az eszközöknek
– holisztikus megközelítésûeknek kell lenniük;– mérhetõvé kell tenniük az elért eredmé-
nyeket;– ki kell egyenlíteniük azt a deficitet, amit a
humántõke-beruházások felhalmoztak;
– növelniük kell a szervezet rugalmasságát,gyorsaságát;
– támaszkodniuk kell az eddigi megközelítések-re, hiszen a korábbi elvárások is továbbélnek.
Felhasznált irodalom:Mansour Javidan – Robert J. House: Cultural Acu-men for Global Manager: Lessons from Project Globe;Bakacsi Gyula, Takács Sándor, Karácsony András,Imrek Viktor: Easter European cluster: traditionand transition (Journal of World Business);Hanges, P. J. Dickinson, M. W. & Lord, R. G.: Trends,developments and gaps in cross-cultural research onleadership (12th annual conference of the Society ofIndustrial and organizational Psychology, St. Louis);Gupta, V., Hanges, P. J. & Dorfman, P. (2002) Culturalclusters: Methodology and finding, Journal of World; Varga Csaba: Tudástársadalom-programok a közép-kelet-európai régióban – ERISA-IANIS Annual Confe-rence (Budapest 2004. június 9–11.) elhangzottelõadás.
Új fejlemények az informatika irányításának szabványosításában
– Krauth Péter*–
BevezetésKezdetben volt a minõségirányítás. Pontosabbanannak felismerése, hogy a termékek minõségétmegbízható gyártási folyamatok – azaz a gyártó-rendszerek minõségbiztosítása – nélkül nem lehetnövelni. Ez idõvel kiegészült – a gazdaság kör-nyezettudatosságának növekedésével együtt – akörnyezetmenedzsment szempontjaival. Majd azinformatika gyors behatolásának eredményeképpa gazdasági életbe a figyelem az információ-védelem legfelsõ szintû kérdéseire is ráirányult.Ezzel párhuzamosan egyre növekedett az üzletitevékenység függõsége az informatikai rendsze-rektõl, amelyek bonyolultsága és kifinomultsága a90-es évek során addig elképzelhetetlen méreteketöltött. Mindez magával hozta az igényt az infor-matikai rendszerek ellenõrizhetõsége és szolgál-tatásszerû mûködtetése iránt. Mindezek mögött afejlemények mögött azonban a háttérben folyama-tosan zajlott a szervezetek pénzügyi vezetésébenaz operatív irányítási tevékenység mellett a straté-giai-taktikai szempontok megjelenése – elõszörpénzügyi kontrollingrendszerek, késõbb pedig aszervezet minden részére kiterjedõ üzleti teljesít-ményértékelési és -tervezési megközelítések for-májában (pl. kiegyensúlyozott stratégiai mutató-számrendszer: Balanced Score Card, BSC).
Figyelemre méltó jelenségként értékelhetõ, hogy afenti öt menedzsmentterület (l. 1. ábra) közül
négy esetében (a legfelsõ, stratégiai területkivételével) olyan mértékû egyetértés alakult ki,ill. van kialakulóban, hogy nemzetközi szabvá-nyok formájában is lehetségessé vált a legfon-tosabb követelmények megfogalmazása az egyesirányítási területekre. A szervezeteknek azonbanilyen módon egyre több irányítási rendszert kellkialakítaniuk, és fennáll annak a veszélye, hogyelkülönülõ, egymással nem kellõképpen integrált
Stratégiaiirányítás
Informatika-szolgáltatásirányítása
Információ-védelem
irányítása
Minõség-irányítás
Környezet-irányítás
SZERVEZET
1. ábra: Az irányítási rendszerek „túlburjánzása”
* Stratégiai tanácsadó, KFKI Számítástechnikai Rt.
MAGYAR MINÕSÉG 7
rendszerek jönnek létre. Ez végsõ soron azt ered-ményezheti, hogy a vállalatvezetés nem az üzletitevékenységet sokoldalúan támogató, összehan-golt irányítási rendszerekre épül rá szervesen,hanem úgy tûnhet, hogy egyre több, „kívülrõlráerõszakolt” követelménynek kell eleget tennie.Az ilyen helyzeteket könnyen fel lehet ismerniarról, hogy vállalatvezetõk arra hivatkoznak: az„ISO” miatt ezt meg ezt kell csinálni. Azaz esetlegúgy gondolják, hogy valójában ezek végzésére (pl. dokumentálás, mérés, megelõzés) nincs isszüksége a vállalatnak, ezek pusztán a „piaconmaradás” költségeit növelik (pl. ha az ISO 9001szerinti tanúsítás megszerzése kizárólag a kor-mányzati tendereken való elindulás lehetõségénekmegteremtése érdekében történik).
Éppen ezért jár el különös óvatossággal az ISO,amikor új menedzsmentszabványra vonatkozójavaslat jelenik meg. A jelen cikk a két fent em-lített informatikai terület (védelem és üzemelte-tés) irányításának elõkészítés alatt álló nemzet-közi szabványait tekinti át – hangsúlyozva aminõség- és környezetmenedzsmenttel, ill. azegymással való összehangolás szükségességét éslehetõségét.
Az információvédelem szerepeAz információ védelmének fontosságát ma már – a számítógépek és a szélessávú internet tömegeselterjedésének korszakában – nem kell különö-sebben hangsúlyozni. Az internetre gyors vonalon(pl. ADSL) kapcsolt és védtelenül hagyottszámítógép egyes becslések szerint néhány óraalatt „gazdagéppé” válik, azaz távolról szervezettinformatikai támadások akaratlan résztvevõjévé,ami természetesen együtt jár az adott számító-gépen található információk (pl. levelezési listák)illetéktelen kezekbe jutásával.
Nincs különösebb ok azonban felháborodnivagy meglepõdni az ilyen és ehhez hasonló ese-ményeken. Fel kell ismerni, hogy semmilyenrendszer – különösen nem az olyan komplex rend-szerek, mint pl. az élõlények, az országok, magaaz egész Föld, de idesorolhatók a számítógépek, azinformatikai rendszerek is – sem maradhat megolyannak, amilyen, ha nincs olyan mechanizmu-sokkal ellátva, amelyek a rendszert kifejezetten a külsõ behatások elleni ellenálló képességgelruházzák fel: azaz védelmet biztosítanak szá-mára. Ilyen mechanizmus az élõlényeknél azimmunrendszer, az országok esetében a honvéd-ségük, de a Föld Van Allen övezete, valamintózonrétege is hasonló értelemben nyújt védelmet.Idõnként hajlamosak vagyunk figyelmen kívülhagyni e tényt, és alulértékelni a védelem fon-tosságát. A kijózanodás, sajnos, ilyen esetekbenmindig valamilyen súlyos káresemény bekövet-
kezése után történik csak meg, mint pl. egy új,pusztító vírus megjelenése, amely könnyen tá-madja meg a legyengült immunrendszert; egyország külsõ erõszak áldozata lehet megfelelõhadsereg vagy védelmi szövetség nélkül; és azUVB-sugarak élõlényeket károsító hatása „sza-badon” érvényesülhet a meggyengült ózonrétegen(ózonlyukak) keresztül. Hogy milyen értékeinkvannak, többnyire csak utólag, a káreseménybekövetkezte után tudatosul.
Információvédelem és szabványosításGyakran elfeledkezünk azonban arról, hogy arendszereknek nemcsak a létrehozása, de a fenntartása is folyamatos ráfordítást igényel, ésmindkettõ költségekkel jár. És ha mégis számbavennénk a védelem költségeit, túlságosan is könnyû azt mondani, hogy „ennyit nem ér meg”,vagy „ennyi pénz most nincs”. Talán ezért isfontos hangsúlyozni, hogy a védelem költségeinekarányban kell állniuk a tényleges veszélyekkel.Még egyértelmûbben: a védelem kulcskérdése azarányos költségviselés.
A költségek ésszerû mederben tartása egyrészta tényleges (igazolható) védelmi igények számba-vételével, másrészt olyan szabványos megoldások-nak az alkalmazásával lehetséges, amelyek ki-küszöbölik a szükségtelen védelmet, és csökken-tik a költségeit a ténylegesen szükségesnek ítéltvédelemnek. Míg az elsõ esetben a rendszeres – avállalat kultúrájába beépülõ – kockázatértékelés-nek van meghatározó szerepe, addig az utóbbiesetben a nemzeti és nemzetközi szabványokismerete és használata képez nélkülözhetetlensegédeszközt. A szabványok (és ezen belül azinformációvédelmi szabványok) ugyanis kulcs-fontosságú területeken adnak át alapvetõ isme-reteket és módszereket (útmutatók), valaminthatároznak meg piacszabályozó követelmény-rendszereket mind a szolgáltatások, mind az esz-közök területén.
Az információvédelem szabványosításában szá-mos nemzetközi szervezet játszik szerepet, ame-lyek közül a legfontosabbak: ISO, IEC, IETF, ITU,CCIMB, ETSI. Míg ezek közül egyesek nagyonfontos, de szûkebb területekre koncentrálnak (pl.hálózatok – ETSI, IETF vagy eszközértékelés –,CCIMB), addig másoknál (ISO/IEC és ITU) az in-tegratív szerep kerül elõtérbe. Különösen egyér-telmû ez az ISO és IEC közös mûszaki bizott-ságának (JTC1) SC27 nevû albizottságában, ahol(szoros együttmûködésben az ITU-val) a legtöbbés legátfogóbb, az információvédelem mindenszintjére kiterjedõ, kiemelkedõ nemzetközi jóvá-hagyást élvezõ szabványt jelentetnek meg azinformációvédelem területén (l. 2. ábra). Fontosmegemlíteni néhány nemzeti szabványosítási
8 MAGYAR MINÕSÉG
testületet is, amelyek nagy hatással voltak és vannak a nemzetközi szintû szabványosításra is.Ezek közül elsõsorban az NIST (USA) és a BSI (Nagy-Britannia) emelendõ ki külön.
Az SC27 3 munkacsoportban foglalkozik az infor-mációvédelem1 három különbözõ oldalával:– Védelmi szolgáltatások (követelményrendsze-
rek és útmutatók).– Védelmi eszközök (technikák és mechanizmu-
sok).– Védelmi rendszerek és eszközök értékelése.
Az információvédelmi szabványok áttekintéseMindenekelõtt nyilvánvaló kell legyen, hogy a leg-felsõ szinten az információvédelem irányításánakegészét átfogó rendszer és ennek követelményeiállnak. Bármilyen más eszközre, információsrendszerre, tanúsításra, kockázatkezelésre, infor-matikaüzemeltetésre, biztonságértékelésre stb.vonatkozó szabvány csak egy ilyen védelmi rend-szer keretében kaphat értelmet és töltheti beszerepét hasznosan (l. 4. ábra). A BS 7799-2 azelsõ és legelterjedtebb szabvány ezen a területen,azonban nemzetközi szintû, hivatalos elismerésemég nem történt meg. Ennek csak egyik oka,hogy egyes, informatikai területen fejlett – és egy-úttal a brit kezdeményezésben ellenérdekelt –országok (pl. USA, Kanada, Franciaország, Né-metország) igyekeztek lelassítani a BS 7799-2további terjedését. A másik ok, hogy több szakmaiérv is felmerült, amely az ellen hatott, hogy a BS7799-2 korábban az ISO/IEC közös, nemzetköziszinten hivatalosan elfogadott szabványává váljonaz információvédelem irányításának. Az egyik érvaz, hogy túl sok olyan specifikus, egy adott tech-
nológiai szintet feltételezõ követelményt tartal-maz, amely könnyen – technológiai szempontból –elavulttá teheti a szabványt, ami mindenképpenelkerülendõ, mint ahogy az is, hogy túlságosangyakori felülvizsgálatával, módosításával bizony-talanságot keltsen a kiadott tanúsítványok érvé-nyességét illetõen. Másik ilyen érv, hogy nemtisztázza megfelelõen a kapcsolatát más – ebben atémakörben megjelent – szabvánnyal, ill. ajánlás-sal, mint amilyen pl. a Common Criteria (ISO/IEC15 408), a kockázatmenedzsmentet kiemelten ke-zelõ ISO/IEC 13 335 (Management of Informationand Communications Technologies Security,MICTS), a COBIT (Control OBjectives for IT andrelated technologies). Harmadsorban nem helyezkellõ hangsúlyt az információvédelem irányításá-nak eredményességi és hatékonysági kérdéseire.Bár valószínûleg mindenki elismeri az erre irá-nyuló mérések fontosságát, a szabvány magaazonban mégsem írja elõ egyértelmûen azt, hogya védelem irányítási rendszerének eredményes-ségét mikor és hogyan kell figyelemmel kísérni,ha egy szervezet a szabványnak való megfeleléstbizonyítani kívánja.
Áttörés a menedzsmentszintû szabványosításbanTekintettel a fenti véleménykülönbségekre ésérdekellentétekre, talán nem meglepõ, hogy azinformációvédelem irányítási rendszerére vonat-kozó követelmények nemzetközi szintû szab-ványosítása mintegy évtizedes késésben van. Nemsegített a helyzeten az sem, hogy 2000-ben a BritSzabványügyi Testületnek sikerült „keresztül-nyomnia” a BS 7799 1. részét, amely tehát nemkövetelményeket, hanem még csak útmutatótadott védelmi intézkedések megvalósítására.Talán abban reménykedtek, hogy a követelmé-nyek elfogadtatása ez után már egyszerûbb lesz?
E helyzet ezzel szemben az lett, hogy eléggészokatlan módon a BS 7799-1 nemzetközi szab-ványként való megjelenése után (ISO/IEC 17 799)szinte azonnal elindult a nemzetközi szabvá-nyosítási közösség kifogásait figyelembe vevõmódosítása, és hiányosságainak kiküszöbölése is.Ezzel párhuzamosan kb. öt évet húzódott azirányítási rendszer követelményeit megfogalmazószabvány ügye. Miután azonban a BS 7799„vetélytársának” számító ISO/IEC 13 335-neksikerült megtalálni a megfelelõ helyet (átfogómodell és kockázatkezelési elõírás) az infor-
SC27SC27
Követelmények,védelm i szolgáltatások
Biztonságértékelési
Védelm i technikákés mechanizmusok (WG2)
ISOISO
IECIEC
ITUITU
JTC1JTC1
IETFIETF
CCIMBCCIMB
BSIBSI
NISTNIST ETSIETSI
kapcsolat,
közös munka
Követelmények,védelmi szolgáltatásokés útmutatók (WG1)
Védelmi technikákés mechanizmusok (WG2)
Biztonságértékelési szempontok (WG3)
2. ábra: Az információvédelem nemzetközi szabványosításának fõ szereplõi
1 Itt érdemes megjegyezni, hogy a „védelem” és a „biztonság” szavak gyakran ugyanannak az angol szónak, a „security”-nek a ma-gyar megfelelõi. A jelen cikk törekszik arra, hogy a „védelem” szót következetesen „folyamat” értelemben használja, azaz akkor,amikor a védelemrõl mint folyamatról, tevékenységsorról van szó; míg a „biztonság” szót „eredmény” értelemben, azaz amikor avédelmi folyamat eredményeként kapott biztonságról esik szó. Abban az esetben, ha mindkét értelem fennáll, vagy nem lényeges akülönbségtétel, akkor inkább a „védelem” szót használja a cikk.
MAGYAR MINÕSÉG 9
matikai védelem területén belül, kellõ egyetértésalakult ki, hogy az „i”-re feltegyék a pontot.
Ilyen módon 2004 októberében hosszas elõ-készítés, tanulmánykészítés, szavazások és javas-latok után elfogadták, hogy gyorsított ütembenelkészítik az ISO/IEC 24 743 jelû szabványt,amely az információvédelem irányítási rendsze-reivel szemben támaszt majd nemzetközilegegységesen elfogadott követelményeket. A tervekszerint a szabványosítás a következõ ütem szerintfog megvalósulni:
1. 2004. október: Az új szabványosítási tevé-kenység elfogadása.
2. 2005. április: szabványbizottság (SC27/WG1)szintû javaslat.
3. 2006. április: ISO/IEC szintû javaslat.4. 2006. október: a szabvány publikálása.
A gyorsított eljárást az teszi lehetõvé, hogy a szab-vány tartalmában és szerkezetében jelentõsmértékben épít a BS 7799-2-re, attól csak a kifo-gásolt részeknél fognak eltérni – nem utolsósor-ban a befektetések védelme, a kompatibilitásérdekében. A gyorsított eljárásban eddig teljesenpontosan betartották a mérföldköveket: a bizott-sági szintû javaslatról a szavazás áprilisbanfejezõdik be. A szabványhoz szorosan fog kapcso-lódni az elõírt védelmi intézkedések meg-valósítására útmutatást adó, új kiadású ISO/IEC17 799:2005 is.A bizottsági javaslat alapján a jelenleg látható fõmódosítások a következõ témák köré csoportosul-nak:1. Követelmények az alkalmazandó kockázat-felmérési módszerre
a) összehasonlíthatóság és megismételhetõség,b) vezetõi átvizsgálás után a kockázatfelmérés
aktualizálása.2. Követelmények a védelmi intézkedések ered-ményességét vizsgáló mérések
a) megadására és használatára,b) a mérési eredmények alapján az irányítási
rendszer fejlesztésére.3. Dokumentációs követelmények:
a) az intézkedések nyomon követhetõségérevezetõi döntésekig, politikákig, célokig és akockázatfelmérés eredményeiig,
b) a dokumentációkhoz való hozzáférés, azokátadása, tárolása és végül leselejtezése abizalmassági osztályba való besorolás-sal összhangban történjen.
Itt kell azt is megjegyezni, hogy a korábban leg-inkább ellenálló, különvéleményüket fenntartóországok (pl. Ausztrália, Németország, USA)kérésére egy külön, de kapcsolódó szabvány(ISO/IEC 24 742) fog készülni a mérõszámok ésmérés témakörében (2008-ra) annak érdekében,hogy az irányítási rendszer eredményességének
vizsgálata, figyelemmel követése és értékelése ajövõben fontosságának megfelelõ szerepet kap-hasson.
Összefoglalva tehát: 2006 végére végre lesz a BS 7799-2:2002 megközelítését elfogadó, tovább-fejlesztett nemzetközi szabvány az információ-védelem menedzsmentrendszerére. Ezt fogjakiegészíteni 2008-ban egy másik, az irányításirendszer eredményességvizsgálatát támogatószabvány.
Magyarországról elmondható, hogy megfelelõütemben követi a BS 7799 szabvány sorsát nem-zetközi színtéren. Az MSZ ISO/IEC 17 999:2002viszonylag korán megjelent a BS 7799-1 nem-zetközi szintû elfogadását követõen. A BS 7799-2nemzetközi szabványosítási programba történtfelvételével szinte egyidejûleg pedig kiadta aztmagyar elõszabványként MSZE 17 799 jelzettel.Ez mindaddig érvényben fog maradni, amíg az újISO/IEC 24 743 meg nem jelenik, amikor is a ter-vek szerint azonnal kiadásra kerül annak MSZISO/IEC 24 743 jelzetû magyar szabványváltozata.
Az információvédelmi szabványok egységesrendszereAz információvédelem irányítása, illetve az ezzelkapcsolatos szabványok mellett hasznos áttekin-teni azt is azonban, hogy hogyan illeszkedhetnekössze a különbözõ védelmi szabványok, milyen fõterületeket lehet/érdemes megkülönböztetni azinformációvédelemben.
Bár – e fenti okok miatt is – ma még nem állrendelkezésre egy egységes szabványrendszer azinformációvédelemre, ennek körvonalai és leg-alapvetõbb elemei megteremtõdtek. Az egységes-séghez mindenekelõtt egy olyan megalapozottkoncepció kell (l. 3. ábra), amely lehetõvé teszi,hogy az egyes meglévõ szabványelemek becsat-lakoztathatók, a hiányok azonosíthatók és a fej-lesztés további irányai meghatározhatók legyenek.
A szabványhierarchia csúcsán a vonatkozófogalmak és meghatározásaik szerepelnek. AzISO/IEC 73-as útmutatója a kockázatkezelésterületén tisztázza a fogalmakat, míg a JTC1SC27 szabványosítási bizottsága folyamatosanvezeti a szûkebb értelemben vett információ-védelem területén felmerülõ fogalmakat, és írja leszabványos értelmezésüket. Ez utóbbinak szab-ványformában való kiadása alkalmas idõpontbanmeg fog történni.
A fogalmak segítségével olyan általános alap-elveket kell kimondani, amelyekre a különbözõkésõbbi, részletes útmutatások egységesen hivat-kozni tudnak. Ezzel együtt létre kell hozni olyanmodelleket, amelyek a fogalmak, alapelvek ésmegközelítések összefüggéseit egységes keretek-ben képesek megjeleníteni. E modellek képezik a
10 MAGYAR MINÕSÉG
konkrét követelményrendszerek alapját. Ilyenmodellt ad jelenleg az ISO/IEC 13 335-1 a védelemteljes területére, és erre alapuló követelmény-rendszert fog megfogalmazni a tervezett ISO/IEC24 743 az információvédelem irányítási rendsze-rére, az ISO/IEC 13 335-2 a kockázatkezelésre,valamint az ISO/IEC 24 742 a mérési tevékeny-ségre az információvédelem irányítási rendsze-rében.
A következõ szintet az olyan útmutatók képezik,amelyek értelmezik és esetlegesen kiegészítik azáltalános, alkalmazási területtõl független köve-telményeket. Ilyen útmutatók készítése folyik azISO TC 68 (pénzügyi terület), TC 215 (egészség-ügyi terület) mûszaki bizottságai és az ITU-T(távközlési terület) keretében. További, részlete-sebb szabványok adnak útmutatást egyes védelmirészterületeken arra, hogyan lehet megvalósítaniaz általános követelményeket egy-egy konkrétfolyamat vagy eljárás esetén (pl. incidenskezelés,behatolásvédelem, hálózatvédelem, bizalmi szol-gáltatások igénybevétele szervezeten kívülrõl,termék- és rendszerértékelés).
Végül – ebbõl a szempontból – a legalsó szintenhelyezkednek el azok az alapvetõen mûszaki tar-talmú szabványleírások, amelyek kodifikálják azegyes mûszaki megoldások legfontosabb tudni-valóit, megközelítéseit és használatát (pl. digitálisaláírás, idõbélyegzés, letagadhatatlanság biztosí-tása, hitelesítés, kulcsgondozás, hozzáférés-ellen-õrzés).
A 4. ábra, amely az SC27 bizottság által kialakí-tott szabványosítási irányvonal alapján készült,mintegy térképet ad az olvasó kezébe az informá-cióvédelem ma még szövevényes szabványrend-szeréhez.
Az informatikaszolgáltatás szerepeAz informatikáról szerencsére nemcsak akkorhallani, ha valami baj van vele. Ha átgondoljuk,hogy mi minden változott meg az informatikánakköszönhetõen az elmúlt 20 évben a munkahe-lyünkön, az otthonunkban, a személyes kapcso-lattartásban, akkor nyilvánvalónak kell lennie,hogy az informatika radikálisan át tudja formálnitevékenységeinket – nem utolsósorban az üzletitevékenységeket.
Az informatika ezen képessége a gazdasági éle-tet afelé hajtja, hogy egyre jobban egybefonód-janak az üzleti és az informatikai megoldások.Mindezt azon keresztül éri el, hogy az informa-tikai megoldások egyre kifinomultabbak lesznek,és ezzel párhuzamosan egyre sokrétûbbé éskomplexebbé válnak. A komplexitás növekedéseaz egyik oldalon – látszólag paradox módon – ahasználat egyszerûsödését eredményezi a mási-kon, mivel fokozatosan kialakul az informatika-szolgáltatók azon köre, amely képes kezelni ezt akomplexitást, méghozzá úgy, hogy a felhasz-nálókat és üzleti vezetõket a komplexitás egyrekevésbé terhelje.
Az informatikaszolgáltatás tehát beleilleszke-dik abba az általános kiszervezési (outsourcing)tendenciába, amely jelentõsen átformálja a gaz-dasági szereplõk tevékenységét az elkövetkezõévtizedben. Nem magától értetõdõ azonban, hogyhogyan is lehet a komplexitás kézbentartását és ahasználat egyszerûsödését elérni. Ezt célozzákazok a kezdeményezések, amelyek az informatikaszolgáltatásszerû2 mûködtetését helyezik elõ-térbe, mint pl. a COBIT (Control OBjectives forIT and related technologies), az ITIL (IT Infra-structure Library) vagy akár az e-SCM (e-Sourcing Capability Model). Az informatikas-zolgáltatás és ennek is elsõsorban az irányításirendszere (IT Service Management, az infor-matikaszolgáltatás irányítása) emiatt kulcs-
Keretek
Alapelvek
Terminológia
Alapvetőszabványok
Folyamatokés eljárások
Alkalmazásiútmutatók éskiegészítők
Műszakimegol-dások
Fogalmak ésmeghatározásaik
Általánosan elfogadott,magas szintû alapszabályok,
amelyekre az útmutatások alapulnak
Fogalmak,módszerek és technikák közötti
kapcsolódások egyszerûsített leírásai
Konkrét követelmények,amelyek a védelem irányításának
meghatározott területein alkalmazhatók
Részletes leírások,amelyek útmutatást adnak arra, hogy az
alapvetõ szabványokat hogyan lehet alkalmazni konkrét területeken
Részletes leírások,amelyek útmutatást adnak arra, hogy
alapvetõ védelmi tevékenységeket hogyan lehet megvalósítani
Részletes leírások,amelyek konkrét megoldásokat adnak
védelmi tevékenységek megvalósításának támogatására
3. ábra: Az információvédelmi szabványok tervezettegységes rendszerének különbözõ szintjei
4. ábra: Térkép az információvédelmi szabványokhoz
2 Az informatika meghatározott követelményeket kielégítõ és folyamatosan figyelemmel kísért módon történõ nyújtása; fontoseleme ennek a szolgáltatási megállapodás, amely ezeket a konkrét követelményeket kodifikálja.
MAGYAR MINÕSÉG 11
fontosságú szerepet fog kapni az üzleti tevé-kenységek fejlesztésében és átszervezésében.
Az informatikaszolgáltatás szabványosításaTalán senkinek sem okoz igazi meglepetést, hogyaz informatikaszolgáltatás szabványosításában(hasonlóan a minõség és az információvédelemterületéhez) szintén a britek jártak elõl.
A 80-as évek végén (1988) jelent meg az ITILelsõ kiadása, amely a brit kormányzat kezdemé-nyezésére összegezte az akkori – mind a kor-mányzaton belül, mind a privát szférában szer-zett – üzemeltetési tapasztalatokat, és a legjobbanbevált gyakorlatot ajánlotta az informatikaivezetõk figyelmébe. Érdekes módon, épp ellentét-ben az információvédelem területével, ahol na-gyon – sokak szerint talán túl – korán megjelen-tek a követelmények nemzeti szabvány formában,itt inkább az informatikaszolgáltatásra vonatkozóajánlásgyûjtemény nemzetközi szintû elterjesz-tésére helyezõdött a hangsúly (l. 5. ábra).
Ebben alapvetõ szerepe volt az itSMF-nek (ITService Management Forum), amely elõször csakNagy-Britanniában, majd késõbb egyre inkábbnemzetközi szinten (1998) terjesztette az infor-matikaszolgáltatás bevált gyakorlatát mind azinformatikaszolgáltatók, mind ügyfeleik körében,és szervezte rendszeresen a tapasztalatok cseré-jét. Mára több mint 25 ország (köztük Magyar-ország) tagja a szervezetnek, és egyre határozot-tabban átveszi az ITIL fejlesztésének feladatát isa brit kormányzattól. Az ITIL 2. kiadása az újévezreddel látott napvilágot, amely az ajánlásokathozzáigazította a 90-es évek internetforradal-mához és az informatika megváltozott vállalatiszerepéhez. A gyorsuló világ egyik jele, hogy a 2. kiadás korszerûsége és nagy népszerûségeellenére, már az idén elkezdik a következõ, újabbkiadás elõkészítését.
Azonban az új évezreddel nemcsak új ITIL,hanem új brit szabvány is együtt járt. Ekkoradták ki ugyanis az ITIL-t nemzeti szabvány
formájában elõször, majd a kapcsolódó tanúsításirendszerrel együtt 2003-ban – némileg átdolgo-zott formában – ismételten. Ez lett a BS 15 000 (l. 6. ábra), amelyet a Brit Szabványügyi Testületmár 2004-ben javasolt az ISO/IEC-nek, hogy ún.gyorsított eljárással adaptálja mint nemzetköziszabványt. Hogy ezt a javaslatot minden különö-sebb probléma nélkül elfogadták, annak ellenére,hogy a BS 7799-cel kapcsolatban korábban – ha-sonló szituációban – rossz tapasztalatok keletke-ztek, valószínûleg döntõ szerepe volt a BS 15 000alapját képezõ ITIL széles körû, nemzetközi elter-jedtségének és hiánypótló voltának. A BS 15 000ilyen módon 2 éven belül (2006 végére, kiadásaután 3 évvel) ISO/IEC 20 000 jelzettel már nem-zetközi szabvánnyá válik. Mindenképpen tanulsá-gos történet a szabványosítási bizottságokszámára!
Magyarország idõben és folyamatosan követi aszabvánnyal kapcsolatos fejleményeket. Egyrészt akapcsolódó ajánlások (ITIL) hazai terjesztésével azitSMF.hu (az Informatikai Szolgáltatásme-nedzsment Magyarországi Fóruma, www.itsmf.hu)úttörõ és figyelemfelhívó szerepet tölt be a hazaiinformatikaszolgáltatás fejlesztésében. Az MSZTpedig a BS 15 000 ún. magyar elõszabványkéntvaló és kellõ idõben (2005. elsõ negyedév) történõmegjelentetésével támogatja az informatikaszol-gáltatásuk fejlettségét tanúsítással is bizonyítanikívánó szervezeteket. A tervek szerint az ISO/IEC20 000 megjelenésével közel egy idõben fog a mag-yar változat is megjelenni.
Informatikaszolgáltatás és információvédelemAz informatikaszolgáltatás és az információvé-delem ugyanannak a dolognak a megközelítése – csak két különbözõ szempontból. Semmiképpensem célszerû a két területet szembeállítani egy-mással, vagy akárcsak egymástól függetlenülkezelni (l. 7. ábra), még akkor sem, ha a védelmi
2003
2000
2006
1998
Magyarországon Nemzetközi szinten
1988
2007:Magyar szabvány(MSZ ISO/IEC 20 000)
Nem-zetközi
szabvány(ISO/IEC 20 000)
Brit szabvány(BS 15 000)
„De facto” ajánlásnemzetközi szinten (itSMF)
Bevált vállalati/intézményi gyakorlataz informatikában
2005:Magyar előszabvány(MSZE 15100)
1996:Kormányzatiajánlás(ITB)
5. ábra: Szolgáltatásirányítás szabványosítása itthon és külföldön
Szolgáltatásb iztosítási fo lyam atok
Kiadási folyam at Javítási
folyam atok
Kapcsolattartásifo lyam atok
Állapotfelügyeleti fo lyam atok
Ka pa citás biztosítás
Szo lgá lta tás folyto n os sá g ának é s re ndelk ezés re
állásá nak b iz tos ítá sa
Sz olgáltatá si s zint b iztosítás a
Sz olgáltatá sjelen tés
Info rm á cióvé delembiztosítás a
Info rm at ika szo lgálta tás k ö lts ég ve tés e é s
szá m v ite le
Kia dá sk ezelé sIncidenskeze lé s
Prob lé m ak eze lés
Ü zleti kapcs o la t k eze lé se
Szállítók ezelés
Ko n fig u rá ciók eze lésVá ltozá sk ezelés
6. ábra: Szolgáltatásirányítási folyamatok a BS 15 000 szerint
12 MAGYAR MINÕSÉG
követelmények fontosságára gyakran csak törvé-nyek közvetítésével vagy – rosszabb esetben –saját kárunkon figyelünk fel, míg az infor-matikaszolgáltatás követelményei ma még elsõ-sorban költségtakarékossági programokban ke-rülnek – és csak jobb esetben üzleti célkitûzé-seken keresztül – megfogalmazásra.
A bevezetõben mondottak szerint a két területirányítását integráltan, egymással szoros össz-hangban érdemes végezni, már csak a felmerülõköltségek optimális szinten való tartása érde-kében is. Melyik vállalat vagy intézmény enged-heti meg manapság magának azt a luxust, hogy:
• két incidenskezelési folyamatot mûködtes-sen, vagy
• két egymástól független, hiteles nyilvántar-tást vezessen az informatikai eszközökrõl,vagy
• két üzemzavar-elhárítási tervet tartson fennaz üzletfolytonosság biztosítása érdekében,vagy
• a kockázatfelmérés eredményét csak szû-kebb biztonsági célok érdekében tudja fel-használni?
Természetesen ezek csak a legnyilvánvalóbbintegrációs pontok. Részletesebb összevetése akét terület követelményeinek az 1. táblázatbantalálható.
Érdemes felfigyelni arra (l. 6. ábra), hogy a BS15 000-1 magában foglalja az információvédelemegy minimális követelményrendszerét (szûkeb-bet, mint amit a BS 7799-2 elõír), azaz nem lehetmegfelelni a BS 15 000-nek úgy, hogy az informá-cióvédelem legfõbb követelményeinek ne tennénkeleget. Más oldalról a BS 7799-2 számos olyankövetelményt támaszt, amely alapvetõ üzemel-tetési követelmény a BS 15 000-1-ben (pl. inci-denskezelés, folytonosságbiztosítás). Ne feledjük:a legtöbb biztonsági incidens szinte definíciószerint üzemeltetési incidens is (pl. hardver-meghibásodás, szoftverleállás, adatvesztés), ésfordítva.
Olyan megközelítésre nyílik tehát ilyen módonlehetõség, amely a fentiekben részletezett kap-csolódási pontokat egységes folyamatokba szer-vezve valósítja meg, figyelembe véve mindkétterület egyedi követelményeit is (pl. hogy azinformációvédelem nem azonos az informatikaivédelemmel). Ezzel nemcsak költséghatékonysá-got lehet elérni az informatika irányításirendszereinél, hanem stabil mûködésüket ésfolyamatos fejlesztésüket is jobban biztosítanilehet.
7. ábra: A védelem és az üzemeltetés integrálásakézenfekvõ lehetõség
Védelmi politika
Védelmi követelmények külsõ szerzõdésekben (3. féllel kötött v. kiszervezési szerzõdés)Az információvédelem összehangolása
Vagyontárgyak felügyeleteVagyonleltár
A védelem fizikai és környezeti kérdéseiA kommunikáció és az üzemeltetés irányítása
KapacitástervezésRendszerelfogadásRendszerhasználat figyeléseVáltozáskezelési eljárásokBiztonsági másolat, adatmentésEseménynaplózásIncidensek bejelentéseTanulás az incidensekbõlMegállapodás a felek közti adatcserérõlHozzáférés-ellenõrzésProgram forráskönyvtár Követelmények a rendszerek biztonságáraMûködésfolytonosság fenntartása
A szolgáltatási megállapodás összehangolása a vezetés politikai döntéseivel(Szolgáltatási szint biztosítása)Beszállítókkal kötött megállapodás (Szolgáltatási szint biztosítása)
A szolgáltatási megállapodások összehangolása (Szolgáltatási szint biztosítása)Az informatikai infrastruktúra változásainak felügyelete (Változáskezelés)Konfigurációs adatbázis, hiteles szoftver- és hardvertár (Konfiguráció- éskiadáskezelés)Rendszeres kockázatelemzés (Folytonosságbiztosítás)Kapcsolódó részletes ajánlás (Infokommunikációs infrastruktúra menedzsmentje)Kapacitásterv készítése (Kapacitásbiztosítás)Változás- és kiadáskezelésTeljesítménymenedzsment (Kapacitásbiztosítás)VáltozáskezelésRendelkezésre állás biztosításaIncidenskezelésÜgyfélszolgálat (Incidenskezelés)ProblémakezelésSzolgáltatási megállapodás (Szolgáltatási szint biztosítása)Rendelkezésre állás biztosításaHiteles szoftvertár (Kiadáskezelés)Szolgáltatási megállapodás (Szolgáltatási szint biztosítása)Folytonosságbiztosítás
1. táblázat: Az információvédelem és informatikaszolgáltatás követelményeinek összevetése
Információvédelmi követelmény Informatikaszolgáltatási követelmény/ajánlás
MAGYAR MINÕSÉG 13
ÖsszefoglalásAz integrációnak – és a többi irányítási rendszer-rel való összhang megteremtésének – az adja megaz elvi alapját, hogy mindkét informatikai irá-nyítási rendszernél a követelmények a PDCA-cik-lus keretébe vannak beágyazva. A gyakorlatbanpedig további megerõsítést ad az is, hogy ma márkézzelfogható közelségbe került a nemzetközileg(de jure és de facto) elfogadott menedzsmentszab-ványok összefüggõ rendszere:
– Minõségirányítási rendszer (ISO 9001:2000);– Környezetirányítási rendszer
(ISO 14 001:1996);
– Információvédelem-irányítási rendszer(ISO/IEC 24 743:2006, a BS 7799-2 átvétele);
– Informatikaszolgáltatás-irányítási rendszer(ISO/IEC 20 000:2006, a BS 15 000 átvétele).
Ezt hivatott elõsegíteni az MSZT azon középtávúcélja is, hogy 2007 végére az informatikai rend-szerek fejlesztésének, üzemeltetésének és védel-mének legfontosabb, széles körben érdeklõdésreszámottartó, nemzetközi szinten elfogadott ésegységes rendszert alkotó szabványai magyarul ishozzáférhetõk legyenek.
A kockázatfelmérés elmélete, gyakorlata és tapasztalatai
Elõadás-kivonat
– Móricz Pál*–
A biztonság, kockázatfelmérés, kockázatkezelésma divatos, egyre több területen megjelenõ téma-kör. Beszélnek vállalatmûködési kockázatokról,pénzügyi kockázatokról, piaci kockázatokról, pro-jektkockázatokról stb. Mi most az információbiz-tonság kockázatairól fogunk beszélni.
Nincs tökéletes biztonság. A mûködés biztosítá-sához hozzáférést kell biztosítani az érintet-teknek, bizonyos „kapukat ki kell nyitni”. Ezen-felül nem ismerünk minden kockázatot.
Nem cél a maximális biztonság. Az ismert koc-kázatok között van olyan, aminek kezelése na-gyon nagy erõforrás lekötésével jár. Vannak, ame-lyek elõfordulását nem lehet kizárni, de ténylegeselõfordulásuk nem várható.
Cél az elegendõ biztonság. Akkor elegendõ, ha azintézkedések a kockázatokkal arányosak.
Mit mond az elmélet?A BS 7799-2:2002 Információvédelmi irányításiszabvány viszonylag szûkszavú.
Mint követelményszabvány eleve óvakodikkonkrét módszertant adni, és mivel nagyon sok-féle szervezet kívánja alkalmazni, nehéz is lenneáltalánosan érvényes részletes módszert elõírnia.Az Útmutató ISO/IEC 17 799 is csak nagyon kicsittesz hozzá.
A BS 7799-2:2002 szabvány az informá-cióvédelmi irányítási rendszer (ISMS) kialakí-
tásának lépéseit a következõkben határozza meg(dõlttel jelöltük a kockázatfelmérésre, -kezelésrevonatkozó lépéseket):
• Alkalmazási terület meghatározása.• ISMS-politika meghatározása.• Kockázatfelmérés szisztematikus megközelí-
tésének definiálása.• Kockázatok azonosítása.• Kockázatok felmérése.• Kockázatkezelésre vonatkozó lehetõségek
azonosítása és értékelése.• Kockázatkezelésre vonatkozó szabályozási
célok és szabályozások kiválasztása.• Alkalmazhatósági nyilatkozat készítése.• Vezetõségi jóváhagyás az ISMS bevezetésére.
A szabvány A melléklete ezt a következõkkelegészíti ki:
Leltárt kell készíteni minden olyan fontos va-gyontárgyról, amely kapcsolódik valamilyeninformációs rendszerhez, és azt karban kelltartani.Az információs vagyon megfelelõ védelménekbiztosításához • osztályozási útmutatók szükségesek (figye-
lembe véve az információk megosztására és korlátozására vonatkozó szervezeti igénye-ket és az ezekkel kapcsolatos hatásokat); és
• az osztályozási rendszerrel összhangban azinformáció jelölésére és kezelésére eljárá-sokat kell meghatározni.
14 MAGYAR MINÕSÉG
Magyarországon ma a legelterjedtebb útmutatóaz Informatikai Tárcaközi Bizottság (ITB) 8. ajánlása (1994). Lépései:
I. Védelmi igény feltárása:1. IT-alkalmazások és adatok feltérképezése,2. értékelésük.
II. Fenyegetettségelemzés:1. fenyegetett rendszerelemek
feltérképezése,2. alapfenyegetettség meghatározása,3. fenyegetõ tényezõk meghatározása.
III. Kockázatelemzés:1. fenyegetett rendszerelemek értékelése,2. gyakoriság meghatározása,3. kockázatmeghatározás, -leírás.
IV. Kockázatmenedzselés:1. intézkedések kiválasztása,2. értékelése,3. költség/haszon elemzés,4. maradványkockázat-értékelés.
Az ISO/IEC TR 13 335-3:1998 szabvány. Az in-formatikai biztonság menedzselésének irányelveiszabvány (technikák) ad néhány módszertanitámpontot. Az Információs Társadalom Koordiná-ciós Tárcaközi Bizottság megbízásából készülõ Az informatikai biztonság irányításának követel-ményrendszere (IBIK) ajánlástervezet is eztajánlja.Több módszert ismertetnek:
• Alapvetõ megközelítés (mindenre azonosszintû védelem).
• Informális megközelítés (szakértelem éstapasztalati alapon).
• Részletes kockázatelemzés (strukturáltan,mindenre).
• Kombinált megközelítés (magas szintû min-denre, kiemeltekre részletes, a többirealapvetõ).
Az ISO/IEC 13 335-3 szerint a részletes kockázat-elemzés lépései:
• peremfeltételek meghatározása,• vagyontárgyak azonosítása,• vagyontárgyak értékelése és köztük függõ-
ségek megállapítása,• fenyegetettségfelmérés,• sebezhetõségfelmérés• meglevõ/tervezett ellenintézkedések azono-
sítása,• kockázatok felmérése.
Menjünk végig a lépéseken!Mi az alkalmazási terület? Hol a határ? Két szélsõséges megközelítés:
Egy cég életét szétdarabolni, azaz legyen egy,minden szakterületre kiterjedõ kockázatelemzés.
Az információvédelmi kockázatelemzés legyenazonos a céges kockázatelemzéssel (legfeljebbnéhány kockázatot, ami jellemzõen nem informá-cióhoz kapcsolódik, azt az információvédelmikockázatelemzéskor nem vesszük figyelembe.Mivel az üzlet minden elemében ott az informá-ció, sokat nem kell kihagyni.
Vannak más területek (pénzügyi, piaci, fizikaivédelmi stb.), ahol vannak kialakult módszerek(és felelõsök), nem érdemes velük konkurálni. Ha nincs kellõ vezetõi támogatás, inkább vegyükszûkebbre a felmérés területét, kisebb a feladat,könnyebben áttekinthetõ, és biztosítható azilletékesekkel az együttmûködés.
Rokon (és a gyakorlatban szintén nem fekete-fehér döntési) kérdés, hogy az információvédelemszakmai vagy cégfolyamat.
VagyonleltárNemcsak információ, hanem kezelésüket bizto-sító erõforrások, eszközök, rendszerek is.Értékek típusai ITB 8 szerint
Fizikai• környezet, infrastruktúra,• hardver,• adathordozó,• dokumentumok, iratok.Logikai• szoftver,• adatok,• kommunikáció.Személyi• személyzet,• felhasználók,• ellenõrök.
Értékek típusaira példák (ISO/IEC 17 799:2000)Információk• Adatbázisok, adatállományok, rendszerdo-
kumentáció, felhasználói, kezelõi kéziköny-vek, oktatási anyagok, mûködési, üzemel-tetési és támogató eljárások, folytonosságitervek, mentési rendszer, archivált infor-máció.
Szoftverek• Alkalmazási és rendszerszoftverek, fejlesz-
tési eszközök és szolgáltatások.Fizikai értékek• Számítógépek, távközlési berendezések,
faxok, üzenetrögzítõk, mágneses adathor-dozók, táp, klíma, bútor stb. berendezések.
Szolgáltatások• Számítástechnikai, távközlési és köz- (fûtés,
világítás, villamos energia, légkondicionálás)szolgáltatások.
MAGYAR MINÕSÉG 15
Gyakorlati kérdések:Mi legyen benne, milyen mélységben (meddig
érdemes bontani, hány sor legyen)?Mi a vagyonelem értéke (ki és mi határozza
meg az értékelés szempontját, forintosítás)?Kockázatértékelés elõtt vagy után értékeljük?
KockázatfelmérésKockázat: egy meghatározott „nem kedvezõ ese-mény” elõfordulási valószínûségének és következ-ményének (következményeinek) kombinációja(ISO/IEC Guide 73 alapján).
Mik az események? Mik a következmények? Mikaz okok (mert ettõl függ az elõfordulás)?Az ISO/IEC 13 335 fenyegetésekrõl és sérülékeny-ségekrõl beszél, ad rájuk listát (ilyen lista másuttis található).Számbavételi szempontok lehetnek:
Eredmény-, követelményoldalról• Üzleti eredménykockázatokból kiindulva.• Külsõ követelménysérülés kockázatai
szerint.Folyamatoldalról• Üzleti folyamat kockázatai szerint.• Információkezelési folyamat, információ
életciklus szerint.Szolgáltatás(eszköz)oldalról• Információs rendszerenként.• Eszközök, vagyonelemek mentén.
Gyakorlati kérdések:Paranoia mértéke?A egyik vagyonelem sérülése kihathat másokra
is. Az ok-okozat lánc gyakran soklépcsõs – hogyanérdemes ezt kezelni?
Milyen részletességû leírás kell az ok–esemény–következmény láncról?
Szokásos értékelési szempontok lehetnek:• gyakoriság,• következmény súlyossága, • (+feltárhatóság).
Gyakorlati kérdések:Mutatónként hány csoport?Csoportok leírása számmal vagy szöveggel?Csoportok meghatározása, szempontrendszere
(meddig érdemes, lehetséges specifikálni, mindeneshetõségre felkészülni)?
Több ok, több következmény esete kezelése azértékelésben?
Mutatók alapján kockázatcsoportok (szorzás/összeadás/táblázat stb.).
A meglevõ intézkedéseket milyen mértékbenvegyük figyelembe?
További fontos gyakorlati szempontok:Iterációk, korábbi értékítéletek felülvizsgálata
gyakori.Csakis az érintettekkel, helyszínen élõkkel
együtt lehet jól és jót csinálni.Vezetõk számára érthetõ, értéket adó, dönté-
sekhez használható anyag kell.Célszerû kihasználni a felmérés megállapítá-
sait a tudatosítás során (már a felméréskor, de akésõbbi képzések során is).
A legfontosabb módszertan:
JPÉ(Józan paraszti ész.)
Az információbiztonság tanúsíthatósága,tanúsítása– Vilhelm Zsolt*–
Bevezetõ megjegyzésekA címet pontosítani kell, mert valójában „infor-mációbiztonság-irányítási rendszer” vagy, más-képpen fogalmazva „információvédelem-irányí-tási rendszer” tanúsíthatóságáról, tanúsításáróllesz szó. A magyar terminológia tehát nem vég-leges. Talán az – szakmai körökben nem túl si-keres, sokat bírált – MSZ ISO/IEC 17 799:2002szabvány éppen most készülõ javított kiadásának
és a decemberben meghirdetett, a BS 7799-2:2002alapján készült, MSZE 17 799-2:2004 elõszab-ványnak a szakmai lektorai, szerzõi fogják a„végleges” terminológiát kialakítani, vagy – és eza valószínûbb – vitatkozunk tovább. Ebben acikkben, az említett dokumentumokra tekintet-tel, bízva azok sikerében, mi már az „információ-védelem-irányítás”, illetve az „információvédelmiirányítási rendszer” kifejezéseket fogjuk használ-
* MSZT Informatikai Központ, mb. fõosztályvezetõ.
16 MAGYAR MINÕSÉG
ni. Nézzék el, ha még – idõnként megbotolva –olykor használom az „információbiztonság-irá-nyítás” kifejezést is.
A szóban forgó, az információvagyon bizton-ságát, védelmét szolgáló irányítási (menedzs-ment-) rendszert, az angol „Information SecurityManagement System” kifejezés alapján, elter-jedten „ISMS”-nek rövidítik. Ezzel szemben amagyar nyelvû írott kiadványokban – kormányza-ti dokumentumokban is – felbukkant az „IBIR”(Információ Biztonság Irányítási Rendszer)rövidítés is, az egyéb irányítási rendszerek ma-gyar nyelvû MIR, KIR, MEBIR stb. rövidítéseimintájára. Ha a szabványalkotók szándéka siker-rel jár, a fenti szabványok a szakma hazai bibliáilesznek, és áttérünk az „Információvédelem-irányítási Rendszer” kifejezésre, akkor a követ-kezetesség megkívánja, hogy azt „IVIR”-nekrövidítsük. De ekkor bukik az „IBIR”. Ez, és másérvek is az eredeti, bizonyára stabilabb „ISMS”rövidítés megtartása mellett szólnak.
A kis kitérõ után térjünk a tárgyra! Egy szer-vezet, a jól ismert „BS 7799” szabványok alapján,külsõ segítséggel vagy anélkül, létrehozhatja sajátISMS-ét. Ezt természetesen mûködtetheti anél-kül, hogy tanúsíttatná, hiszen az igazi cél az, hogyinformációvagyonát megvédje a leselkedõ veszé-lyektõl. A „tanúsítás”, azaz a rendszer meg-felelõségének, külsõ – pártatlan – fél által történõigazolása általában valamilyen külsõ ok hatásáramerül fel. A „külsõ ok” sokféle lehet: pl. jogszabá-lyi követelmény, partner (vevõ, szolgáltató stb.)igénye vagy egyéb. A „tanúsított”-ság követel-ménye magában foglalhat a „tanúsító”-ra vonat-kozó kikötést, például azt, hogy az – valamelynemzeti vagy megadott konkrét – ún. „akkre-ditáló testület” által elismert (akkreditált) legyen.A tanúsítás, illetve a tanúsítvány értéke szorosanösszefügg az ilyen „bizalomnövelõ” elismerésekmeglétével, tehát ezek a tanúsítási szolgáltatásárában – a piac törvénye szerint – rendszerint visszatükrözõdnek.
Magyarországon ez idõ szerint jogszabály, tör-vény nem korlátozza az ISMS rendszerek tanú-síthatóságát. Itt meg kell jegyezni, sõt hangsú-lyozni kell, hogy az ISMS, információvédelmetszolgáló szervezetvezetési (menedzselési) „mód-szer” lévén, nem tévesztendõ össze az „infor-matikai termékek és rendszerek biztonságifunkciói összességé”-vel.
Az MSZT, mint sikeres „tanúsító szervezet”,felvette tanúsítási szolgáltatásai sorába a – közel-jövõben meghirdetésre kerülõ, „felújított” „MSZISO/IEC 17 799” szabvány, illetve a közismert„BS 7799-2:2002” alapján kifejlesztett „MSZE17 799-2” magyar elõszabvány szerint kialakított,bevezetett, karbantartott és továbbfejlesztett
információvédelem-irányítási rendszerek tanúsí-tását. Megkezdte az erre való felkészülést, a szük-séges belsõ eljárások kidolgozását, a szakemberekspeciális képzését, amely várhatóan rövidesen be-fejezõdik. Az MSZT – a vevõk, partnerek bizalmá-nak, tanúsítványa értékének növelése érdekében– egyszersmind célul tûzi ki e szolgáltatás akkre-ditációját – NAT vagy más alkalmas szervezetáltal – és – adott esetben, amennyiben a minden-kori jogszabályi környezet ezt elõírja – az erre atevékenységre való „kijelölés” megszerzését.
Ehhez jó alapot adnak az MSZT számára aszóban forgó, a tárgyhoz tartozó szakterületeken(informatika, információtechnológia, irányításirendszerek stb.) kifejtett szabványalkotói tevé-kenysége, a már évek óta sikerrel nyújtott, külön-bözõ típusú (MIR, KIR, MEBIR, terméktanúsításstb.) tanúsítási szolgáltatásai, a rendelkezéséreálló sokoldalú, jól képzett, gyakorlott külsõ ésbelsõ szakembergárdája (auditorok, szakértõk).Az új szolgáltatás bevezetéséhez jelentõs segít-séget nyújtanak az IQNet (nemzetközi tanúsítószervezetek hálózata/szövetsége) tagságábóladódó elõnyök, mint például az IQNet, ISMSrendszerek auditálására vonatkozó harmonizá-ciós dokumentuma, egyéb segédletek, útmutatókés széles körû eszmecsere-lehetõségek, és az, hogyaz MSZT a nemzetközi érvényû és elismertségûIQNet-tanúsítvány kibocsátására is jogosult.
Miért tanúsíttassunk, és kivel?Az elsõ felmerülõ kérdés: Miért vezessünk be,illetve tanúsíttassunk a „BS 7799-2” szabványszerint kiépített ISMS-t?Egy 1999-es, a BSI-DISC és az Admiral Plc. általközösen készített felmérés szerint a leggyakoribbválaszok e kérdésre a következõk:
– A „jó gyakorlat” (Best Practice) alkalmazásaérdekében.
– Az „üzlet biztonsága” érdekében.– „Versenyelõny” szerzése érdekében.– Az ügyfelek kívánságára.
Egyéb elõforduló indokok még:– a lényeges jogszabályoknak (pl. az Adatvé-
delmi törvénynek) való megfelelés,– azért, hogy a szervezet megkövetelhesse part-
nereitõl is a „BS 7799”-nek való megfelelést.
Most tegyük fel az „önzetlen” kérdést: Miért azMSZT-vel tanúsíttassuk létrehozott ISMS-ünket?Már a cikk bevezetõjében is említettük az alábbiválaszokat:
– Az érintett szakterületen végzett szab-ványalkotói tevékenységbõl adódó kompe-tencia miatt.
– Az MSZT nagy tapasztalatokkal rendelkezikés eredményes a különbözõ tanúsítási (MIR,
MAGYAR MINÕSÉG 17
KIR, MEBIR, HACCP, KES, terméktanúsításstb.) területeken.
– Az MSZT-nek – szerteágazó tevékenysége ésszervezeti struktúrája folytán – sokoldalú, jólképzett, gyakorlott külsõ és belsõ szakem-bergárda (auditorok, szakértõk) áll a ren-delkezésére.
– Az MSZT tagja – a világ számos országánaknemzeti tanúsító szervezetét tömörítõ –IQNet nevû nemzetközi hálózatnak (szövet-ségnek), és ezen keresztül jelentõs mennyi-ségû tapasztalatot szerez, hasznos informá-cióhoz és széles körû konszenzuson alapulóeredményhez (harmonizációs dokumen-tumok, IQNet-tudásbázis) jut, és nemzet-közi „érvényû és elfogadottságú” IQNet-tanúsítvány kibocsátására jogosult.
A tanúsítás (auditálás) folyamataA „BS 7799” szabványok, illetve az ezekkel azo-nosnak tekinthetõ nemzetközi vagy nemzeti szab-ványok alapján kiépített ISMS MSZT-általiauditálásának folyamata, eljárásai (mind elõzetes,mind tanúsítási, mind okirat-megújító auditesetén) kidolgozás alatt állnak.
Jelenleg az auditálás folyamatát a következõ-képpen képzeljük el:
A helyszíni audit elõtti tevékenységekDokumentáció (és önértékelõ kérdõív, ha van)értékelése.
Elõaudit (ha az ügyfél igényli): a dokumentá-cióértékelés során felmerült félreértések tisztá-zása, egyeztetése, továbbá a kockázatelem-zés/kezelés auditálása céljából.
Helyszíni auditNyitó értekezlet.Helyszíni bejárás.AUDIT vizsgálatok.Felkészülés a záróértekezletre.Záróértekezlet.
Utóaudit, ha szükséges.
Auditot követõ tevékenységekAuditjelentés elkészítése.Helyesbítések bizonyítékainak vizsgálata (havoltak eltérések, különben „döntés”).Helyesbítõ tevékenységek átvizsgálása.Helyesbítõ tevékenységek visszaigazolása (hameggyõzõek a bizonyítékok).DÖNTÉS (a tanúsítvány odaítélésérõl vagy meg-tagadásáról).Követelmények az auditorokkal szembenA rendszervizsgálat és -értékelés fõ erõforrásai az
auditorok, szigorú követelmények vonatkoznakrájuk, az „EA-7/03” (EA: European co-operationfor Accreditation) ajánlással összhangban:
– egyetemi vagy azzal egyenértékû végzettség;– olyan fõállás (szakma), amely kapcsolatban
áll az információvédelemmel, pl.: adatfeldol-gozás, elektrotechnika stb.;
– legalább 2 éves információvédelmi tapasz-talat;
– az információvédelemhez kapcsolódó törvé-nyek ismerete – abban az országban, ahol azauditor dolgozik;
– megfelelés az MSZ EN ISO 19 011:2003 (ISO19 011:2002) szabvány követelményeinek;
– az auditált folyamatok, valamint a hozzájukkapcsolódó kockázatok ismerete;
– problémamegoldó képesség;– speciális információvédelmi képzés (BS
7799, egyéb szabványok és útmutatók …);– a kiértékelés alatt álló szervezet ipari szek-
torában megfelelõ szakértelem (kompeten-cia).
Dokumentációértékelés (1. fázis)Az audit 1. fázisa, a dokumentációértékelés,amelynek célja a kiépített ISMS megismerése és ahelyszíni auditra való felkészülés, továbbá annakellenõrzése, hogy:
– megvannak-e a szabvány által elõírt, beveze-tett dokumentált eljárások, az információ-védelmi politika dokumentumában hivatkoz-nak-e ezekre;
– léteznek-e a szabvány által elõírt, dokumen-tált üzemeltetési eljárások;
– a kifejlesztett szoftverek üzemi szoftverekközé történõ átsorolásának szabályai megvannak-e határozva, és dokumentálva van-nak-e;
– a hozzáférés-ellenõrzés szabályai dokumen-táltak-e;
– a törvényi, szabályozói vagy szerzõdéseskövetelmények dokumentáltsága (valameny-nyi információs rendszerre) megfelelõ-e.
A dokumentációértékelés – kicsit másképpen fo-galmazva – az alábbi kérdésekre keresi a választ azMSZE 17 799-2:2004 szabvány 4.3.1 pontja szerint:
– Meghatároztak-e információbiztonsági poli-tikát?
– Megtörtént-e az ISMS-alkalmazási terület(scope of ISMS) meghatározása és dokumen-tálása?
– Hogyan közelítette meg a szervezet a koc-kázatbecslést/kockázatértékelést (risk asses-ment)?
– Hogyan történik a kockázatok kezelése?– Van-e kockázatjavítási terv?
18 MAGYAR MINÕSÉG
– Megfelelõ-e a szervezet „alkalmazhatóságinyilatkozata” (SOA)?Az okok, amelyek miatt a kiválasztottcélokat és védelmi intézkedéseket beemeltékvagy kizárták az alkalmazhatósági nyi-latkozatból, alaposak-e?
– Az IT-környezet dokumentációja megfelelõ-e?– Van-e üzletmenet-folytonossági terv (BCP)?– Van-e helyreállítási katasztrófaterv (DRP)?
A dokumentációértékelés helyszíne a felek meg-egyezésétõl függ, a szervezet telephelyén is tör-ténhet.
A helyszíni AUDIT (2. fázis)Az audit a szervezet telephelyén történõ, a rend-szer mûködését vizsgáló eljárás, amelynek alap-vetõ céljai a következõk:
1. Megbizonyosodni arról, hogy a szervezet akialakított szabályzatai, céljai és folyamataiszerint mûködik-e.
2. Ellenõrizni, hogy a kialakított ISMSmegfelel-e a szabványnak, és teljesíti-e azinformációvédelmi politikában definiáltcélokat;
Az audit kiemelten összpontosít a szervezetISMS-ének következõ elemeire:• az információbiztonsághoz tartozó kockázatok
becslése, kiértékelése;– az „alkalmazhatósági nyilatkozat” (SOA); – a meghatározott rövid és hosszú távú célki-
tûzések;– teljesítményfigyelés, -mérés, jelentés és
felülvizsgálat a kitûzött célok alapján;– vezetõségi felülvizsgálat (átvizsgálás);– a vezetés felelõssége az információvédelmi
politikáért;– dokumentum- és feljegyzéskezelés;
Az auditálás leggyakoribb eszközei:– interjú;– mintavétel;– kérdésjegyzék;– megfigyelés;– stb.
Jelentõs nemmegfelelõségnek minõsülnek a kö-vetkezõk:
– a szabvány kötelezõ pontjának hiánya;– egy fontos szabályzat vagy folyamat, védelmi
intézkedés (control) teljes mûködésképtelen-sége (leállása);
– az ISMS nélkülözhetetlen (kötelezõ) elemé-nek dokumentálatlansága;
– sok „kis” nemmegfelelõség.
Példák: nincs definiált védelmi politika (securitypolicy), nincs dokumentált biztonsági esemé-nyeket (incidenseket) kezelõ eljárás, üzletmenet-folytonosság-menedzsment hiánya, vagy aszoftverlicencek kezelésének hiánya.
Az audit idõtartama függ a szervezet méretétõl,az alkalmazottak számától, telephelyek számátólstb. Általában minimum 1 nap, maximum 17 nap.Megállapításánál az MSZT az IQNet megfelelõajánlásait alkalmazza.
Felügyeleti auditA tanúsítvány 3 évig érvényes. Ezalatt – általában– évente egyszer felügyeleti auditra kerül sor.
A felügyeleti audit célja bizonyítékokat szerezniarra, hogy a szervezet:
– megfelel a politikában meghatározott elvárá-soknak, teljesíti a célokat és célkitûzéseket,valamint a védelmi intézkedések [az óvin-tézkedések (controls)] szerint mûködik;
– frissíti ISMS-dokumentációját;– felismeri az új információbiztonsági kocká-
zatokat, és kiértékeli azok hatását a kiépítettISMS-re;
– áttekinti az új jogi és egyéb követelménye-ket, és intézkedéseket tesz annak érdekében,hogy ezeknek megfeleljen;
– rendszeresen végez belsõ információbizton-sági auditokat, hogy megbizonyosodjon azISMS helyes mûködésérõl és eredményes-ségérõl;
– gondoskodik róla, hogy minden nemmeg-felelõségre reagálnak és, hogy a megelõzõ éshelyesbítõ tevékenységek kellõ hatékony-ságúak;
– felülvizsgálja és szükség esetén változtatja arövid és hosszú távú célokat;
– meggyõzõdik róla, hogy a külsõ és belsõ kom-munikáció kellõen hatékony.
Természetesen mind a dokumentumértékelés,mind pedig a helyszíni audit(ok) során alapvetõfontosságú az alábbi elemek megléténekellenõrzése, illetve vizsgálata:
– a vezetõség elkötelezettsége és felelõssége,– az információbiztonságot üzemeltetõ és fel-
ügyelõ (ellenõrzõ) szervezet,– a folyamatok kialakításának, dokumen-
tálásának, mûködése biztosításának ésfejlesztésének folyamata – intézményesítettrendszere,
– a vezetõségi felülvizsgálat és belsõ auditrendszere,
hiszen ezek együtt alkotják a kockázatkezelésenés folyamatszemléleten alapuló, kialakított infor-mációvédelmi eljárások irányítási (menedzs-ment-) rendszerét.
MAGYAR MINÕSÉG 19
Hozzáférés harmadik fél által Több olyan információvédelmi lehetõség van,amelyek védik információs vagyontárgyainkatilletéktelen külsõ személy általi hozzáféréstõl. Alegtöbb vállalat életében vannak azonban olyanesetek, amelyeknél részben vagy egészben ismer-jük azokat a személyeket vagy szervezeteket, akikkapcsolatba kerülnek, kerülhetnek a vállalatszámára fontos információkkal, értékekkel. Ajelen információvédelmi cikkünkben ezeket asajátos kapcsolatokon alapuló eseteket, terüle-teket mutatjuk be, amelyekre közös jellemzõ,hogy az információvédelem megvalósítása soránkiemelt jelentõségûek.
Egy mai vállalatnak sok – akár százas nagyság-rendet is elérõ – külsõ, harmadik féllel (szállító,megrendelõ, szolgáltató, felügyeleti szerv, hivatalstb.) van kapcsolata az egyes vállalati „termelõ”-tevékenységek végrehajtása során. A munkakap-csolatok egy része szerzõdésben – megrendelés-ben – rögzített feltételeken alapul, egy részeazonban nem szabályozott. Röviden ezt mutatjukbe, hogy milyen lehetõségek vannak, mit célszerûezekben az esetekben tenni.
Látogatók fogadásaAz elsõ részben a nem szerzõdéses partnerekkelvaló kapcsolattartás alatt felmerülõ információ-védelmi kérdéseket mutatjuk be.
Az egyik leggyakoribb harmadik fél a látogató,aki több célból is jöhet a vállalathoz. Lehet, hogya vállalat által szervezett megbeszélésre, rendez-vényre jött, lehet, hogy egy jövõbeni munkatárs,aki meghallgatásra, felvételi beszélgetésre érke-zett, de az is elõfordulhat, hogy egy jövõbeni vevõ(megrendelõ), aki érdeklõdni, tájékozódni jött.Elõfordulhat továbbá az is, hogy látogatónk egyjövõbeni szállító, aki a termékét, szolgáltatásátszeretné bemutatni, ismertetni.
Valamennyi ilyen típusú látogató esetébenközös jellemzõ, hogy viszonylag keveset tudunkróla (esetleg semmit), az elsõ látogatás(ok) alkal-mával biztosan semmilyen szerzõdéses (jogi) kap-csolatban nem áll szervezetünkkel, és várhatóanaz esetek többségében nem is fog ilyen szerzõdé-ses (jogi) kapcsolat létrejönni. Talán pont ez atény hordozza magában a legnagyobb informá-cióvédelmi kockázatot, ugyanis gondoljunk arra,hányszor elõfordult már – hallottunk róla vagytapasztaltuk –, hogy egy látogató sétálgatott az
irodában, és senki sem kérdezte meg tõle, kihezjött, milyen célból, csak késõbb tapasztaltukszomorúan, hogy eltûntek holmik, eszközök,információk, információs vagyontárgyak.
Természetesen ez nem általános, de sajnos elõ-forduló esemény. Gondoljuk csak tovább ezeket atörténéseket: egy tárgyaláson a jövõbeni kapcso-lat reményében mindkét fél információkat közöl,mutat be magáról, termékérõl, ami további veszé-lyeket, fenyegetéseket rejthet. Egy informá-cióvédelmi menedzsmentrendszert mûködtetõ,vagy a védelemmel törõdõ vállalatnál törekednikell arra, hogy az ilyen, illetve ehhez hasonló„látogatásokból” eredõ információvédelmi kocká-zatot minimálisra szûkítsük.
Mik lehetnek a követelmények, mely pontokatérdemes vizsgálni, szabályozni ezen a területen?
Látogatók belépéseTöbb vállalatnál bevált szokás, hogy a vendégeket(látogatókat) nem engedik be a vállalat területére,hanem a portaszolgálat mellett kialakított tár-gyalókban fogadják a vendégeket, és itt is tárgyal-nak. A vendég ezáltal nem láthatja az informá-ciókat, információs vagyontárgyakat, kezelésükmódját, azaz nem kerülhet ezekkel fizikai kapcso-latba. Egy ilyen módszer kialakítása egyrésztköltséges, másrészt fizikai adottságokhoz kötött,harmadrészt pedig a dolgozók részére is egyfajta„kényelmetlenséget” jelent. Mindezen tapasztala-tok ellenére hosszú távon kifizetõdõbb, hatéko-nyabb megoldás lehet, mint egy hasonló védelmiszint elérése a vállalat teljes (belsõ) területén.
Látogatók közlekedése Ha az elõzõ megoldás nem lehetséges, akkor cél-szerû, hogy egy-egy vendég jelenléte során folya-matos kíséretet kapjon, lehetõleg egy olyan sze-mély által, aki a vállalat „információvédelmiszempontból” elkötelezett dolgozója, és ismeri alehetõségeket, korlátokat. A látogató ne közleked-jen „szabadon”, hiszen ellenkezõ esetben akárvéletlenül, vagy akár tudatosan is, de kerülhetinformáció a birtokába. A kíséretet már célszerû aportai beléptetésnél biztosítani, a látogatás soránegészen a vállalat területének elhagyásáig.
Elkülönített területek védelmeA következõ megoldás lehet, hogy a kísérõ általbiztosított közlekedésen túl, kijelöljük azokat aterületeket ahová, akár külsõ félnek, akár illeték-
Az információvédelem lehetséges gyenge pontjai– Kolonics Krisztián*–
* Informin Kft. – igazgató.
20 MAGYAR MINÕSÉG
telen dolgozónak sincs lehetõsége belépésre,áthaladásra. Ennek a védelmi módszernek azalkalmazásánál megint a fizikai elhelyezkedés,illetve a megvalósítási lehetõségek játszanakelsõdleges szerepet, hiszen ez nem mindenholmegoldható.
Nyilvános információk kezeléseA második leggyakoribb, nem szerzõdéses feleketnevezzük hallgatóságnak. Itt az információkátadása leggyakrabban nem a vállalat területénjön létre, hanem azon kívül, ahol a vállalat dolgo-zója, illetve a cég egy kiállításon, konferenciánszeretné termékét, tevékenységét megismertetni.A jelen esetben a vállalat alkalmazottjánakelsõdlegesen azt kell figyelembe vennie, hogy ahallgatóságnak ne jusson a tudomására bizalmasinformáció. A „jól értesült dolgozó” jelentõs infor-mációvédelmi kockázatot jelent. Egy dolgozó, akielmondja, hogy náluk a kritikus rendszereket,információkat, akár épületet „vasrács” és „titok”típusú riasztó védi a fizikai behatolástól, és aportás is 12 óránként járõrözik, igen jelentõsinformációkat közölhet bizonyos személyekrészére. Nincs más dolga egy „tolvajnak”, mint az,hogy utánanéz a „titok” nevû riasztó felépítésé-nek, kivárja a megfelelõ idõpontot, és felkészülvetudja megszerezni a vállalat adatait, információit.
Ahhoz, hogy egy vállalat gazdaságilag nyeresé-ges legyen, a termékeit, a piaci helyzetét, ver-senytársaihoz képest elfoglalt szerepét és a tõlükvaló különbözõséget, az általa hordozott értéket isbe kell mutatnia. Ehhez információkat kell közöl-nie a nyilvánossággal újságban, internetesweboldalakon, hirdetésekben, szórólapokon. Azilyen jellegû marketinganyagok elkészítésekor istörekedni kell arra, hogy az információk védelmeés a termékrõl, szolgáltatásról átadott – érdek-lõdést felkeltõ – adatok egyensúlyban legyenek, ésne jelentsenek a szükségesnél nagyobb kocká-zatot.
Szerzõdéses partnerekSzerzõdéses partnereink esetében teljesen máskövetelmények is elõtérbe kerülnek, hiszen továb-bi szempontokat is figyelembe kell venni. Több-nyire jól ismerjük õket, hosszú távon képzeljük elegyüttmûködésünket, viszont ehhez sokkal többinformációt kell megosztanunk velük.
Kik lehetnek szerzõdéses partnereink? Vevõk,beszállítók, szolgáltatók, vállalkozók, akikegy konkrét munka elvégzését, termék legyártá-sát, szolgáltatás nyújtását vállalják. A velük foly-tatott tevékenységet azonban a vállalat egy-egydolgozója folyamatosan felügyelje. A vevõt azértékesítés szolgálja ki és látja el információval, a
beszállítóval a raktár és a beszerzési munkatársáll kapcsolatban, a szolgáltató, illetve alvállalkozómunkájáért a mûködtetésre kijelölt dolgozókfelelnek.
Mit kell tennie egy információvédelmi kérdések-ben elkötelezett vállalatnak, vezetõségnek?Könnyen elintézhetnénk ezt a kérdéskört azzal azegy megjegyzéssel, hogy a szerzõdésbe írjuk bele„a tudomására jutott információkat bizalmasankezeli, harmadik személy részére nem adja ki”.Természetesen egy információvédelmileg elköte-lezett vállalat ennél többet is tesz, kell hogy te-gyen információinak védelme érdekében.
Elsõ lépés lehet a szerzõdéses partner minõ-sítése. Ma bármely területet megvizsgálva már azelsõ lépéseknél az egyes beszállítók, partnerekminõsítésével találkozhatunk, gondoljunk csak aminõségirányítási rendszerre. Talán érdemeslenne megfontolni egy partner kiválasztásakor aztis, hogy rendelkezik-e az információk védelmérevonatkozóan gyakorlattal, esetleg rendszerrel.
A következõ lépésben a vállalati információknyilvánosságra kerülésének a kockázatát cél-szerû vizsgálni, és szükség szerint csökkenteni.Ennek egyik megoldása lehet a beszállítói körminimalizálása, azonban nem biztos, hogy ez másszempontból célravezetõ. Az együttmûködésalapja természetesen a jogilag rendezett ésgaranciákkal, esetleg szankciókkal jól körül-bástyázott szerzõdés, mely kiterjed a titoktartás-ra, a közös dokumentumok és információkkezelésére és a munkatársak együttmûködéséreis. Azt, hogy a két cég között információvédelmimegállapodás jött létre, mindkét félnek tudatosí-tania kell a dolgozókban.
Természetesen nem ismerhetjük a szerzõdésespartner minden dolgozóját, fontos tehát, hogymeggyõzõdjünk, hogy a nálunk munkát végzõszemély is ismeri a két cég között fennálló infor-mációvédelmi elõírások vonatkozó részét, illetvebetartja az információvédelmi rendszerben a har-madik félre vonatkozó elõírásokat és a munka-végzéséhez kapcsolódó egyéb szabályozásokat.Célszerû, ha ezt a dolgozó egy erre rendszeresítettnyilvántartásban aláírásával is alátámasztja.
OutsourcingSpeciális, azonban egyre inkább terjedõfélbenlévõ szerzõdéses partner az outsourcing (kihe-lyezett) tevékenységet végzõ cég. A vállalatoktöbbségében, gazdasági megfontolások alapján, acég profiljába nem illeszkedõ tevékenységeketkülsõ céggel végeztetik. Az outsourcing lényege,hogy egy vállalat a saját – többnyire nem a fõtevékenységi körbe tartozó – rendszerelemét tel-jes felelõsségû üzemeltetésre átadja egy másik,
MAGYAR MINÕSÉG 21
erre specializálódott cégnek. Ez lehet takarítás,karbantartás, étkeztetés, gépfenntartás, javítás,informatikai rendszer üzemeltetése, értékesítésstb. Az elvárt szolgáltatási szintet, minõséget ésegyéb feltételeket szolgáltatási szerzõdésben(SLA – Service Level Agreement, OLA OperationLevel Agreement) rögzítik. A jelentõs különbségaz, hogy ezt a tevékenységet a partner önállóanvégzi, a szolgáltatási szerzõdésben foglaltaknakmegfelelõen, azaz kisebb a kontroll lehetõsége.
Az egyéb szerzõdéses partnereknél a vállalatdolgozójának személyes részvétele a tevékenységsorán részben vagy egészben biztosított, ellenbenaz outsourcing tevékenységnél ez ellenkezik agazdasági megfontolásokkal. Ebben az esetben avállalat vezetésének, az információvédelmi törek-véseket, elkötelezettségeket mérlegelni kell, elsõ-sorban azért, hogy felmérje, a tevékenység „ki-adása” milyen kockázatot jelent, illetve ismerje,milyen technikai és adminisztratív eszközökkeltudja a kockázatot csökkenteni. A vezetõségnekdöntenie kell, hogy milyen kockázatot jelent azinformációfeldolgozó eszközöket (számítógépe-ket) takarító és karbantartó személyzet vagy azinformációs adatbázisainkat és szervereinketadminisztráló, archiváló külsõ cég munkássága,hozzáférése a vállalati információhoz.
Az információvédelem egyik célravezetõ eszköze akockázatértékelés, amelynek elkészítése, kialakí-tása és az ott felsorolt tényezõkre adott válasz,intézkedés meghatározása jelentõs elõrelépéstjelenthet.
A következõ részben ennek a segédeszköznek ahasználatát, módszerét mutatjuk be, amelybentöbbek között kitérünk a „harmadik féllel” kap-csolatos kockázatok figyelembevételére is.
Most elsõsorban olyan területeket mutatunkbe, amelyek figyelemfelkeltésre szolgálhatnak.
Nem azt próbáltuk természetesen sugallni, hogya vállalattal kapcsolatban lévõ harmadik felekpotenciális veszélyt jelentenek, hanem inkább tájé-koztatást kívánunk adni arra vonatkozóan, hogy azinformációvédelem kérdéskörében erre a területreis gondolni kell. Többnyire azért, mert lehetnekkockázatai a munkakapcsolatoknak, melyek keze-lése eltér saját dolgozóink munkaviszonyánakkezelésétõl. A különbözõ típusú harmadik felekkezelésére külön-külön célszerû intézkedést kiala-kítani, valamint szorgalmazni kell aktív részvé-telüket is az információs vagyon megvédésében,hiszen mindkét fél üzleti érdeke ezt kívánja.
Az ember a biztonság leggyengébbláncszemeAz eddigiekben a harmadik fél hozzáférésének lehe-tõségeit mutattuk be, azonban még nem beszéltünk
azokról, akik a vállalati információkat létrehozzák,feldolgozzák, továbbítják, kezelik, egyszóval ma-gukról a vállalati felhasználókról, dolgozókról.Egyes források szerint az információvédelmi „inci-densek” 80%-át a dolgozók tudatos vagy éppen-séggel nem eléggé tudatos tevékenysége okozza.
Kikrõl is beszélünk, kikre is gondolunk? Gyakran az információk védelmét leszûkítikazokra, akiknek valamiféle felhasználói hozzá-férésük van, vagy kapcsolatban állnak egy-egyinformatikai rendszerrel. Nem szabad azonbanelfelejtenünk, hogy az információ védelme nemcsak az elektronikus adatokra korlátozódik,hanem minden más területre, tevékenységre is,így a felhasználók kifejezés alatt a vállalat vala-mennyi dolgozóját kell értenünk.
Az információvédelmi rendszert üzemeltetõkközös véleménye, hogy a védelem „leggyengébbláncszeme” maga az ember, a felhasználó, a„social engineering”. Hiába a több millió forintértkiépített tûzfal, védelmi rendszer, ha valakihiszékenységbõl, túlzott segítõkészségbõl továb-bítja a legféltettebb vállalati információkat, titko-kat. Talán már unalmasnak hangozhat az okta-tásra vonatkozó intés, de ez az egyik olyan terület,ahol kiemelten és hatványozottan megtérülõlehet a befektetett munka és idõ.
Milyen egyéb, más lehetõségek állnak a munkál-tatók rendelkezésére? Ezek közül ismertetnénk néhányat.
MunkaszerzõdésA munkaszerzõdés a legtöbb helyen csak egy for-malitás a munkáltató és a munkavállaló között, alegtöbb esetben az információvédelmet meg sememlítik, még kevesen gondolnak ennek jelentõssúlyára, lényegére. Amennyiben sikerül egy olyanszakaszt elhelyezni a munkaszerzõdésekben,amely felhívja a dolgozó figyelmét arra, hogy azinformációvédelmi elõírásokban foglaltakatbetartsa, azzal már lényeges lépést tettünk elõre,hiszen felhívtuk a munkavállaló figyelmét egy-egyvállalati szabályozásra.
„A nagy testvér figyel minket”A munkaszerzõdés másik fontos eleme lehet, hogyközöljük és elfogadtatjuk a dolgozókkal, hogy avállalat információkat gyûjt a munkaidõ alattitevékenységérõl, csak és kizárólag törvényeskeretek között.
Mivel a legtöbb vállalatnál a felhasználói azo-nosítók utalnak a személyre, annak nevére(KOVACSB – Kovács Béla), az európai jogrendszerint ez magánjellegûnek minõsül. Kivételtképez, ha a dolgozó és a vállalat errõl másképpen
22 MAGYAR MINÕSÉG
rendelkezett. Erre a legalkalmasabb megoldás amunkaszerzõdés, azaz itt lehet rögzíteni, hogy azegyes felhasználói lehetõségek, hozzáférések mireis használhatók valójában „büntetlenül”.
Milyen adatgyûjtésekrõl is beszélünk akkor,amikor a figyelést, gyûjtést említjük? Ma már ter-mészetesnek minõsül egy-egy vállalati területen avideokamerás megfigyelés – és hangsúlyoznunkkell a terület megfigyelését, de hasonlóan min-dennapos védelmi rendszerként funkcionálnak akülönbözõ beléptetõrendszerek, melyekkel aterületen belüli mozgásokat (ki mikor, hova lépettbe) lehet rögzíteni.
Hasonlóan a mozgáshoz, a személyhez kapcso-lódó adatforgalom is naplózható, akár a levelezéskapcsán a kimenõ és bejövõ e-mailek, akár az„internetes látogatások” során felkeresett web-site-ok és még sorolhatnánk.
A munkaszerzõdésben rögzített adatgyûjtésiterületeket tartalmazó lista lehet néhány elemû,de akár több tíz is, melyet a vállalat vezetõsé-gének kell eldöntenie annak megfelelõen, hogyhol célszerû ilyen eszköz alkalmazása.
Gyakorlatias megoldás lehet, hogy nem említe-nek meg mindent tételesen, hanem csak utalásttesznek arra vonatkozóan, hogy a személyzetiosztály nyilvántartást vezet, és a betekintést isbiztosítja.
Persze, lehetnek olyan munkahelyek, ahol ennéljóval több adatot is gyûjthetnek a dolgozókról, deezekben az esetekben a vállalat információvéde-lemért felelõs menedzsmentjének kell döntenie.
Kiemelten fontos ezen tényeknek a dolgo-zókkal, felhasználókkal történõ megismertetése,megértetése, hiszen ez nemcsak vállalati, deszemélyi érdek is.
Hozzáférés az információkhozA jelenlegi információvédelmi rendszerek több-nyire megengedõ vagy tiltó eljárásokat alkalmaz-nak az egyes területek szabályozására.
A tiltást elõtérbe helyezõ vállalatok esetébenminden információhoz hozzáférünk, amelyektõlkifejezetten nem vagyunk eltiltva, míg a meg-engedõ típusú gyakorlatot követõ vállalatoknál,csak azokhoz az információkhoz férünk hozzá,amelyekre nekünk szükségünk van, és ezt másokis így gondolják, azaz engedélyezik.
Az információvédelem szempontjából mindkétmegoldás hasznos, mindkettõnél fontos, hogynem elegendõ a jogosultságok egyszeri kiosztása,hanem szükséges ezek rendszeres és folyamatosellenõrzése, felülvizsgálata. A dolgozó munkájasorán folyamatosan kéri és kapja az új és újabbinformációkhoz kapcsolódó jogosultságot, de azesetek többségében sohasem mond le róla, vagyisnem vonják vissza tõle.
Igenis szükség van az információvédelem meg-valósítása során arra, hogy rendszereinkbendefiniáljunk olyan periódusokat, amikor a fel-használók hozzáférését, jogait a munkahelyi ve-zetõ, az információvédelmi felelõs felülvizsgálja,és esetenként szûkíti.
DokumentálásNyugodtan mondhatjuk, hogy talán ez az egyikterület, amely az auditorok egyik kedvenc vesszõ-paripája (függetlenül a felülvizsgálati területtõl).Egy információvédelmi auditra készülõ vállalat-nak nem szabad csak és kizárólag a „jó gyakorlat(best practice)” módszerére támaszkodva felké-szülni a megmérettetésre, fontos, hogy a folya-matait és jelen esetben a jogosultság megszer-zésének folyamatát is dokumentálják. Legyenvalamilyen rögzített formula (adathordozótólfüggetlenül), ahol a felhasználó kéri, az informá-ció tulajdonosa engedélyezi az igénylést, majd akijelölt személy elvégzi annak beállítását.
Fontos felhívni a vállalat dolgozóinak figyelmétarra, hogy a jogosultsági rendszer beállításai mamég csak a vállalaton belül mûködnek. Egy-egykiküldött e-mail, egy pendrive-ról felmásolt doku-mentum további életútját nem tudjuk követni.Jellemzõ, hogy a vállalatok többsége nem tudjadefiniálni, hogy kinek küldhetõ tovább, kinyomtathatja, ki másolhatja az adott információt.Vannak erre informatikai kezdeményezések, deezek elterjedése még eléggé szûkös, így az infor-mációk vállalaton kívülre juttatásakor fontos afenti szempontok figyelembevétele, a felhasználáseljárásmódja.
A szó elszáll, az írás elég, az adatot letörlikTalán a fenti mondást nem minden vállalatnálhajtják végre kellõ alapossággal. A BS 7799 szab-vány külön fejezetet szentel az információkmegsemmisítésének. Egy jelszavakkal „feltunin-golt” telefonkönyv talán sokkal veszélyesebb, mintegy rosszul beállított tûzfal. Egy nem megfelelõkörültekintéssel törölt diszk (winchester) értékeskincs lehet egy hacker számára. Az információktárolásától függõen külön-külön kell szabályozniaz egyes adathordozók megsemmisítését.
– Papír alapú információ csak az adathordozó(jelen esetben a papír) kellõ mértékû aprí-tása után hagyhatja el az adott szervezetiegységet (talán nem jelent túlzott költséget,ha minden papír így hagyja el az információtérintõ területet).
– A nyomtatók környéke mindig legyen papír-mentes. Ne legyenek kinyomtatott doku-mentumok a nyomtatók mellett gazdátlanul(az újrahasznált „kétoldalas” papírok meg-válogatása célszerû).
MAGYAR MINÕSÉG 23
– A CD-k, floppyk, merevlemezek megsem-misítését megfelelõ gondossággal, szabályo-zott módon végezzék. Érdemes kikérni ilyenterületeken jártas cégek szakvéleményét.
– Az adathordozók újrahasznosítása során isérdemes a fenti tényeket figyelembe venni.
Legális hackelésManapság egyre több cég foglalkozik ilyen jel-legû tevékenységgel. Ha megrendelünk egy ilyenvizsgálatot, nem is az a legfontosabb szempont,
hogy elmondhassuk, hogy rendszerünket nemsikerült feltörni, hanem az, hogy egy kívülállómegvizsgálta, és jónak találta. Ha igazán profi a cég, akkor további jobbító intézkedéseket javasol.
Fontos tehát, hogy szabályozásunkat folyama-tosan értékeljük újra, vonjuk le az elmúlt idõszaktanulságait, tapasztalatait, és tegyük meg a job-bító, javító intézkedéseket, azaz tervezzünk, cse-lekedjünk, ellenõrizzünk, intézkedjük (PDCA), éskezdjük ismét elölrõl.
A MINÕSÉG JAVÍTÁSÁNAK /FEJLESZTÉSÉNEK TECHNIKÁI
Ebben a rovatban a továbbiakban a vállalati vezetés-szervezéshez kapcsolódó, hibamentes és gaz-daságos, racionális munkavégzés feltételeinek, körülményeinek biztosítását, a folyamatos javítástcélzó elemzési-szervezési módszereket és eljárásokat ismertetjük.Az elsõ csoportba a vezetõi munkát, a vállalati célok meghatározását és a vezetési folyamatokhatékonyabbá tételét segítõ módszereket soroltuk. A további technikák a minõségalakítási folyamatfõ fázisait, azaz a gyártmány- és gyártástervezés, majd a gyártás minõségének és hatékonyságánakjavítását szolgálják.*
PDCA – a tervezés-végrehajtás körfolyamataA minõségfejlesztési, -irányítási folyamat meneteaz „egészséges emberi gondolkodás” tükre:
– fontold meg, hogy mit akarsz tenni (Plan);– tedd meg (Do);– vizsgáld meg, hogy elérted-e azt, amit szán-
dékoztál (Check);– cselekedj tevékenységed eredményeként
(Action);– kezdd újra, a tanultak hasznosításával
(Plan).
A TQM (a teljes körû minõségirányítás)állandóan ismétlõdõ körfolyamat, ugyanis mindiglehet valamit jobban csinálni – állapítja megDeming.
A tervezés (Plan) fázisban felvázolják az adottfeladattal összefüggõ problémákat, adatokra és tapasztalatokra támaszkodva. Ezután rang-sorolják, elsõként azokat, amelyek a leg-könnyebben elérhetõ sikerekkel kecsegtet-nek. Megállapítják a probléma okait, és kidol-gozzák a kiküszöbölésükre vonatkozó straté-
giát. Ez tartalmazza, hogy MIT és HOGYANkell tenni.
A végrehajtás (Do) fázisban valósítják meg astratégiát, és végrehajtják az elhatározott javításimunkálatokat. Kidolgozzák a tevékenység folya-matábráját, meghatározzák a jellemzõ adatokatés feldolgozásuk módját, elvégzik a statisztikaiértékeléseket.
Az ellenõrzés (Check) fázis során megítélik, hogya bevezetett intézkedések elérték-e a kívánthatást. A vizsgált adatok feldolgozásával meg-határozzák a korábbi és az aktuális eredményekközötti különbségeket.
A beavatkozás (Action) fázis zárja a körfolyama-tot. Az ellenõrzés fázis adatainak tanulmányozásaalapján megállapítják, hogy milyen helyesbítõbeavatkozásra van szükség a célok meg-valósításához, és felderítik a további javításlehetõségeit. Ezzel egy újabb tervezési fázis ésújabb körfolyamat veszi kezdetét.
* A rovatban megjelenõ anyag az alábbi forrásmunkán alapul: Parányi Gy. (szerk.): Minõséget – gazdaságosan.
24 MAGYAR MINÕSÉG
A 7M vezetési (helyesebben: a vezetést támogató)módszert japán szakemberek javasolták 1977-ben. Céljuk, hogy a nem számszerûen megje-lenõ, rendezetlen adatokat, amelyek egy prob-lémakörhöz tartoznak, rendezzék, és a problémamegoldásához hozzásegítsenek (1. tábla).
Az eredeti publikációban (Y. Nayatani) szereplõ7M-eszköz:
1. Affinitás- (KJ) diagram.2. Relációdiagram.3. Fadiagram.4. Mátrixdiagram.5. Mátrix-adatelemzés (portfólió).6. PDCA-séma.7. Hálódiagram.
Az 5. eszközt bonyolultsága miatt az átvevõ orszá-gokban mással szokták helyettesíteni, pl. folya-matábrával.
A 7M vezetési technika külön-külön és sorbakapcsolva is alkalmazható. A problémamegoldássorrendjében ezek a következõk:a) Adatelemzés: affinitásdiagram (intuitív, in-
duktív módszer); reláció(kapcsolat)-diagram(okkeresési, kauzális, deduktív módszer).
b) Megoldáskeresés: mátrixdiagram; fadiag-ram; portfólió vagy folyamatdiagram.
c) A megoldás megvalósítása: hálódiagram(programütemterv); folyamatdöntési program-kártya (PDCA).
7M – a hét vezetési módszer
SWOT – az erõsségek, gyengeségek, lehetõségek és korlátok elemzése
A vállalati helyzet, versenyképesség és ezen belüla minõségképesség állapotának és a minõségügyiproblémák mérlegelésének egyik eszköze aSWOT- (magyar változatban: GYELV-) elemzés.
Strengths; erõsségek: azok a belsõ tényezõk, ame-lyekben a vállalatnak versenyelõnye lehet a pia-con. Weaknesses; gyengeségek: azok a belsõtényezõk, amelyek a vállalatot hátrányba hozzáka piacon. Opportunities; lehetõségek: a külsõkörnyezetnek azon tendenciái, amelyek kedvezõpiaci pozíció elérését teszik lehetõvé a vállalatszámára. Threats; veszélyek: a külsõ környe-zetnek azon tendenciái, amelyek kedvezõtlenek avállalat számára.
Néhány példa:
Belsõ tényezõkS Erõsségek:Különleges versenyképesség? Megfelelõek a pénzügyi erõforrások?
Versenyképes a szakértelem?Vásárlók jó véleménye?Elismert piaci vezetõ szerep?Jól kidolgozott funkcionális stratégia?Méretgazdaságosság?Erõs verseny ösztönzõ nyomása?Fejlett technológia?Költségelõnyök?Termékinnovációs képesség?Bizonyított már a menedzsment?
W Gyengeségek:Nincs egyértelmû stratégiai irányvonal?Romló piaci pozíció?Elavult teljesítmények?Gyengébb nyereség, mert…?Menedzseri készség és tehetség hiánya?Hiányzó kulcsszakértelem, vagy -versenyképesség?Gyenge nyomon követés a végrehajtási stratégiában?Belsõ mûködési problémák?Piaci nyomásra érzékenység?Visszaesett K+F-tevékenység?Nagyon szûk termelési profit?Gyenge piaci imázs?
1. tábla
Megoldás-keresés
Mátrixdiagram
Portfólió
MAGYAR MINÕSÉG 25
Versenyhátrány?Az átlagosnál gyengébb piaci szakértelem?Pénzügyi erõforrások hiánya a stratégiaváltáshoz?
Külsõ tényezõkO Lehetõségek:Más vásárlói csoportok kiszolgálása?Belépés új piacokra vagy szegmensekbe?Termékvonal kiterjesztése a szélesebb vásárlói igényekkielégítésére?Diverzifikálás hasonló termékek irányába?Komplementer termékek hozzáadása?Vertikális integráció?Lehetõség jobb stratégiai csoportokba kerülésre?Elégedettség a rivális vállalatok körében?Gyorsabb piaci növekedés?
T Fenyegetések:Új versenytárs belépése?Helyettesítõ termékek növekvõ értékesítése?Lassuló piaci növekedés?Kedvezõtlen kormányzati politika?Verseny fokozódó nyomása?Sebezhetõség – válság és üzleti ciklus esetén?Vásárlók és szállítók javuló alkupozíciója?Vásárlói igény és ízlés változása?Kedvezõtlen demográfiai változások?
A vállalat illetékes szakértõi a számba vettbefolyásoló tényezõket elemzik, értékelik. Azértékelés alapján megfelelõ következtetések von-hatók le a vállalat jövõjérõl.
A kiterjesztett, általunk kidolgozott SWOT-elemzés mélyebb vizsgálatokat tesz lehetõvé, éscélra orientáltan, azaz a célkritériumokból kiin-dulva, a vizsgált tényezõk súlyozott értékelése ésegymásra hatásuk összevetése alapján jelöli ki akívánatos megoldási, elõrelépési irányokat.A kiterjesztett SWOT-elemzés összefüggéseit a 2. tábla mutatja.
A vizsgált tényezõk köre és minõsítésea) Az adottságok, amelyek lehetnek:
– erõsségek (+);– (az adott körülmények között) közömbösek
(±) és/vagy– gyengeségek (–).
b) Az esélyek, amelyek változatai:– a lehetõségek (+);– az (adott körülmények között) indifferens
tényezõk (±) és/vagy– a kötöttségek (–).
E tényezõk súlyának megítélésénél három fokozatkülönböztethetõ meg:1. Nagy, jelentõs (jele: + + +, vagy – – –).2. Közepes (jele: + +, vagy – –).3. Kis, kicsi (jele: + vagy –).
A fejlesztési folyamat fázisa szerint megkülön-böztethetõk:A) Valamennyi célra orientált elemzés kiindulá-
sát képezõ törekvések: a kihívások alapjánkitûzött célok és az ezekbõl következõ felada-tok, illetve elemzési kritériumok (pl. meglévõminõségpotenciálok kihasználása vagy ter-mékminõség-növelés stb.).
B) Valamennyi eredménycentrikus elemzés be-fejezését alkotó elhatározások: alterna-tívák mérlegelése, döntés, intézkedések (pl. aminõségi potenciál jobb kihasználása, amunkavégzõk továbbképzése, a technológiaifegyelem betartása vagy a termékminõségnövelése, más anyagok alkalmazása, korsze-rûbb kikészítési technológia bevezetéserévén), amelyek kellõképpen megfelelnek akihívásoknak.
Az a) és b) pont szerinti tényezõk összevetésénektehát kizárólag a célok (A) tükrében, az ered-mények (B) elérésének érdekében van létjogosult-sága. A kiterjesztett SWOT-analízis stratégiaiszinten segíti a legkülönfélébb (ezen belül akülönbözõ minõség-) problémák alapos éssokoldalú vizsgálatát, és a leghatásosabb meg-oldási utak megtalálását.
2. tábla
ESÉLYEK
(–)
(–)
26 MAGYAR MINÕSÉG
Társaságunk 2005. május 18-án tartotta éves,rendes közgyûlését.
A bevezetõ elõadásában dr. Halm Tamás, aNemzeti Fejlesztési Hivatal elnökhelyettese, a II.Nemzeti Fejlesztési Tervben elérhetõ támogatá-sokról szólt.
Az elmúlt egy esztendõt értékelve megállapítot-ta, hogy bár a pénzügyi mérleg pozitív, mégsem ezaz EU-tagság legnagyobb hozadéka, hiszen azegyetemre sem az ösztöndíj kedvéért szoktakbeiratkozni.
Jövõnk szempontjából az a legnagyobb kérdés,hogy a támogatásokat – melyek hosszú idõremeghatározzák fejlõdésünket – mire fordítsuk. Aza cél, hogy versenyképes, összetartó és biztonsá-gos Magyarország jöjjön létre.
Ezért a stratégia alapgondolata, a fõirányok, hogy– az emberekbe,– a gazdaságba,– a szélesen értelmezett környezetbe fek-
tessünk be.
A program 8 ágazatot emel ki, mint olyat, ame-lyekbe a befektetés optimális.
Az is fontos alapelv, hogy az EU-pénzek felérõlnem központilag, hanem a régiókban döntsenek.A részletes stratégián dolgoznak, szeptemberbenszéles körû kampányt indítanak, melyben azérdekelt szervezetek hozzászólását kérik, mielõttvéglegesítik a programot.
Elõadását egy Gábor Dénes-idézettel fejezte be,mely szerint a jövõt nem felfedezni, hanemfeltalálni kell.
Pónyai György elnök beszámolójában a Társa-ság 2004. évi tevékenységét a kettõsséggel jelle-
mezte. Rendezvényeink színvonala a résztvevõkmegítélése szerint igen jó volt, és a korábbiakhozviszonyítva is tovább javult, pénzügyi tevékeny-ségünk azonban nem volt megfelelõ.
Részletesen szólt az oktatásról, ennek kere-tében a tanfolyamok számáról, jellemzõirõl, arésztvevõk megoszlásáról, megelégedettségérõl,valamint a képzések eredményességérõl. Rámuta-tott arra, hogy a Társaság árbevételének csök-kenése elsõsorban az oktatási tevékenység vissza-esésére vezethetõ vissza (2002-ben 48,5 M Ft,2003-ban 28,8 M Ft, 2004-ben 14,2 M Ft.)
Elmondta, hogy 8 rendezvényünkön kb. 750 fõvett részt. A legnagyobb rendezvény a Minõség-héten tartott konferencia volt, melynek mottója„Felkészültségünk az EU kihívásaira a csat-lakozás tükrében”. Ennek üzenete a következõ-képpen foglalható össze:
A minõség nem öncélú eszköz, hanem szer-vesen beépül a menedzsmentbe, és elsõ alkalom-mal a stratégiában kerül kinyilvánításra. A minõ-ség tehát egyrészt eszköz, másrészt eredmény.
Mindebbõl az következik, hogy:– A vezetés csak addig érdekelt a minõség fej-
lesztésében, amíg az számára, ill. a céljaszámára elõnyt jelent. Ebbõl kifolyólag csök-ken az ISO 9000 sorozat szerinti tanúsításokszáma, valamint az EFQM szerinti kiválóság-modellt megvalósító szervezetek száma is.
– Várhatóan azok a szervezetek lesznek sik-eresek, amelyek élén olyan felsõ vezetés áll,amely képes a vállalati tevékenységek és aminõséggel kapcsolatos tevékenységek integ-rált irányítására.
A TÁRSASÁG HÍREI ÉS PROGRAMJAI
A Magyar Minõség Társaság KözgyûléseBeszámoló
Halm Tamás, a NFH elnökhelyettese
A közgyûlés elnöksége
MAGYAR MINÕSÉG 27
– A vállalati minõséggel fõfeladatként foglal-kozó szervezeteknek kell hasznosságukatbizonyítani, vagyis azt, mennyivel tudnakhozzájárulni a vállalati célkitûzések meg-valósításához. Amennyiben erre nem lesznekképesek, várható a minõséggel foglalkozószervezeti egységek létszámának és jelen-tõségének csökkenése, esetleg a minõség-szervezet megszûnése.
– A minõséggel kapcsolatos napi tevékenységegyre inkább beépül a munkavállalók egé-szének feladatkörébe, ami a minõséggel fõ-feladatként foglalkozók számának csökke-nésével jár. A kis létszámú vállalatok eddigsem alkalmaztak külön minõségszervezetet.Ez a tendencia meg fog jelenni a nagyobb lét-számú vállalatoknál is. A minõségirányítóktevékenysége egyre inkább átalakul mûkö-désfejlesztéssé, vagyis céljuk a belsõ minõségmódszeres javítása.
– A környezeti tényezõk szerepének növeke-dése miatt a minõségszakemberek egyrenagyobb számban fognak a természeti erõ-források felelõsségteljes használatának tá-mogatása céljából megfelelõ kvalitatív mód-szereket használni.
– Ha nem is drasztikusan, de növekedni fog azolyan közelítések elterjedése, mint a HatSzigma vagy Hat Szigmára való tervezés,amely során a projektek alapján egyértel-mûen meghatározható a tevékenységek sikeressége vagy sikertelensége.
– A megváltozott helyzet megköveteli az ok-tatás megváltoztatását. Nagyobb hangsúlytkell helyezni a technikák olyan oktatására,hogy a minõségszakember mindig a célnaklegmegfelelõbbet tudja alkalmazni. A minõ-ségoktatást multikulturális elemekkel kellkiegészíteni, elsõsorban a globalizáció folytán.
– A minõség egyre inkább szerepet fog kapni azegészségügyben, oktatásban és közigazgatás-ban. Ezek a területek megfelelõ szakértelmûirányítást követelnek meg, elsõsorban azelõírások, technikák és folyamatok területén.
A beszámoló értékelte lapunk, a Magyar Minõségmúlt évi teljesítményét, különös tekintettel azolvasói elégedettség felmérésére. (Errõl lapunk ez évi 5. számában részletesen beszámoltunk.)
Szólt a szakbizottságok tevékenységérõl, végüla pénzügyi helyzetrõl. Megállapította, hogy a Tár-saság 2004-ben 14 M Ft veszteséget halmozott fel.
Ennek okai a következõk:– Az MMT legnagyobb bevételi forrása, az
oktatás – amely a bevételek kb. 50%-át tetteki az elmúlt években –, jelentõsen megcsap-pant. 2002-ben az MMT ebbõl származóbevétele meghaladta a 48 millió Ft-ot, 2004évben a vonatkozó bevételünk 14 millió Ft-racsökkent. A csökkenés okait elemezve azállapítható meg, hogy az oktatás iránti
fizetõképes igény általánosságban – és nemcsupán az MMT-nél – csökkent, továbbá tan-folyami témáink egy része (pl. ISO 9000sorozat) iránt már kisebb az érdeklõdés.
– Már 2003-ban egyértelmû volt, hogy bevéte-leink növelése érdekében pályázatok kidolgo-zásában kell részt vennünk. Eleinte sikerültis nagyobb értékû pályázatot nyernünk. Apályázatok még magasabb színvonala érde-kében a 2004. év elején újabb, magasan kvali-fikált munkatársat alkalmaztunk, nagyobbösszegû pályázatot mégsem tudtunk nyerni.
– Bár költségtakarékos gazdálkodást folytat-tunk, és a kiadásokat (a létszámot is) jelen-tõsen csökkentettük, nem sikerült a bevétel-kiesést kompenzálni.
– Azoknak az új tevékenységeknek, amelyekettagjaink pozitívan értékeltek (pl. Hírlevélmegindítása) is volt költségvonzata.
– Az MMT a tagdíjakat az elmúlt 5 évben csakigen kis mértékben vagy egyáltalán nemmódosította, holott költségeink növekedtek.
Összefoglalásként kiemelte, hogy szakmai szem-pontból az MMT tevékenysége jónak ítélhetõ.Jelentõs számú szakembert volt képes rendez-vényeire és tanfolyamaira megmozgatni. Sok újtémával kapcsolatos rendezvényt elsõnek tartottaz országban, ezzel is segítve nem csupán a szak-emberek információval történõ ellátását, hanemhazánk európai uniós beilleszkedését is.
A pénzügyi szempontból veszteséges év azonbanazt követeli meg, hogy felülvizsgáljuk az MMTszervezetét és tevékenységét, és megtaláljukazokat a megoldásokat, amelyekkel a Társaságsikeresen tudja segíteni a hazai gazdaságot, ésezzel megteremteni a saját mûködéséhez szük-séges feltételeket.
A Felügyelõbizottság nevében dr. Kovács Éva,a bizottság elnöke megállapította, hogy az egy-szerûsített éves beszámoló megbízható és valósképet ad az MMT vagyoni, pénzügyi helyzetérõlés gazdálkodásának eredményérõl. 2004-ben iscsakúgy, mint az elõzõ évben, az MMT pénzügyivezetõje figyelemre méltó, grafikonokkal színesí-tett, összehasonlító táblázatokkal tûzdelt elem-zést készített a Társaság vezetésének, ezért azanyagok összeállításában közremûködõ kollégá-kat köszönet illeti. Értékelését úgy foglalta össze,hogy a 2004. év az MMT életében a visszaesés évevolt. A Társaság vagyona csökkent, fizetõképes-sége megingott.
Az ügyvezetés a bevételelmaradásokat a kellõidõben hozott intézkedéseivel, pl.: nyertes pályá-zatok révén külsõ forrás bevonásával és költség-csökkentéssel igyekezett ellensúlyozni, ám a sikerelmaradt.
A Felügyelõbizottság véleménye szerint a 2004. évveszteséges zárása az MMT további önálló
28 MAGYAR MINÕSÉG
létezését kérdõjelezi meg, és ezzel egyidejûlegmás, hasonló küldetésû társszervezettel való fúziógondolatát veti fel. Ezt az ajánlást mérlegelje azMMT vezetése, és elfogadást követõen kezdjenkonkrét elõkészítõ tárgyalásokba, alkosson megegy konkrét cselekvési programot az „össze-olvadásra”, és az átmenet idõszakára faragja le amûködési költségeit a reálisan produkálhatóbevétel szintjére, ezzel megállítva a fizetésképte-lenné válás folyamatát, és egyben megteremtve anullszaldós gazdálkodás feltételét.
A hozzászólások során Rózsa András gratuláltaz MMT munkatársainak és a tagságnak a 2005.évi tevékenységéhez és fõleg ahhoz, hogy õszinténkerült terítékre, hogy a szervezet munkáját lehetjobbítani és fejleszteni a tagság elvárásainak érde-kében.
Napjainkban a magyarországi minõségügyicivil szervezetek ugyanazokkal a gondokkal küz-denek, azaz a tagság és a rendezvényeken résztvevõk száma csökken, akár a tanúsítások számaés a képzéseken részt vevõk aránya is.
A nehézségek ellenére a minõségügyben tevé-kenykedõ civil szervezeteknek arra kell összpon-tosítani, hogy mi a teendõ a tagság jobb és sok-oldalú kiszolgálása érdekében, ezzel fékezve mega tagság további csökkenését. Ma már nem mûkö-dik, hogy a gazdasági szereplõk 2-3 minõségügyiszervezetnek fizetnek tagdíjat ugyanazért a szol-gáltatásért. Elkeserítõ az is, hogy a bevétel érde-kében a minõségi szolgáltatások szintje folyama-tosan csökken.
Az intézkedések között elsõ helyen szerepel-jenek a tagság érdekét szolgáló, költségkímélõtagdíjak és a magas szintû szolgáltatások. A köz-hasznú szervezetek vezetõi elõtt ne a nyereséglebegjen fõ célként, hanem a tagság elégedett-ségének elérése, a szervezeti stratégia teljesítéseésszerû gazdálkodás mellett.
Számos esetben szó volt már errõl, de amikorkonkrét lépésrõl volt szó, nagyon nehezen moz-dultak a szóban forgó szervezetek vezetõi. Errenézve számos példát sorolt fel.
Az elmúlt hónapokban az MMT vezetõsége tár-gyalásokat kezdeményezett más szervezetekkelaz együttgondolkodás kialakítására. Áprilisban azISO 9000 Fórum vezetõi meghatalmazást kaptaka taggyûléstõl a tárgyalások folytatására. Több-szöri megbeszélést követõen az MMT és az ISO9000 Fórum vezetõsége megállapodást kötött a„Szövetség a minõségért” létrehozására. A szán-déknyilatkozat aláírása után csapatmunkábankialakította az Alapelveket. (A megállapodást abeszámolót követõen közöljük. – A szerkesztõ)
Varga Sándorné elmondta, hogy a magyar piacszereplõi közül sok szervezet az elmúlt évekbenigen szép eredményeket ért el a különféle vállalat-irányítási rendszerek bevezetésével és mûködte-tésével, valamint a minõségfejlesztési technikákalkalmazásával. Vannak azonban olyan szerveze-tek, amelyek számára pl. a minõségirányításirendszer nem hozta meg a várt eredményeket.Feltehetõen azért nem, mivel nem testre szabottirányítási rendszert mûködtettek. Ezek a szerve-zetek nem újították meg irányítási rendszerüketaz ISO 9001:2000 követelményei alapján, és visszaesett érdeklõdésük a minõségügyi tovább-képzések iránt is. Ez az egyik oka annak, hogy azérdeklõdés a továbbképzések iránt csökkent,ahogy azt az MMT oktatási tevékenységénekmutatószámai is bizonyítják. A másik ok pedig az,hogy a hazai oktatási piac nem szabályoz.Mintegy 2000 oktatóhely van hazánkban, és a fel-nõttképzés területén bevezetett akkreditálásirendszer nem szûrte meg az oktatóhelyeket, aszervezetek és a szakemberek nem tudják, miértkellene akkreditált felnõttképzést választaniuk.Javasolta, hogy az MMT kezdeményezzen együtt-mûködést a Felnõttképzési Akkreditáló Testület-tel az oktatóhelyek akkreditálási követelményei-nek fejlesztése céljából, mert ez elõsegítheti, hogycsak a legfelkészültebb elõadókkal, hiteles for-rásanyagokon alapuló képzésekkel foglalkozó ésszéles körben elismert bizonyítványt, tanúsít-ványt adó felnõttképzõ intézmények legyenek ahazai oktatási piac meghatározói.
Végül gratulált a kitûnõ kezdeményezéshez aSZÖVETSÉG A MINÕSÉGÉRT egyesülés létre-hozásáért.
Befejezésül az elnök két bejelentést tett:– Botos Balázs felmentését kérte Igazgató-
tanácsi tagsága alól.– Aschner Gábor visszavonul, felmentését kéri
ügyvezetõ igazgatói megbízása alól. A tagságnevében megköszönte az ügyvezetõ igazgató-nak a Társaságért végzett többéves mun-káját.
– Ez év õszére ismét közgyûlést hív össze atovábbi teendõk megvitatására.
Összeállította: dr. Róth András
Lapunkat rendszeresen szemlézi Magyarország legnagyobb médiafigyelője az
1064 Budapest, Auróra u. 11.Tel.: 303-4738, Fax: 303-4744E-mail: [email protected]://www.observer.hu
A Szerkesztõbizottság ezúton köszöni megAschner Gábornak a Magyar Minõség felelõskiadójaként végzett sokéves munkáját.
MAGYAR MINÕSÉG 29
Az elmúlt másfél évtized a magyar társadalombanalapvetõ változást hozott a minõség iránti elköte-lezettség terén. A kezdeti ösztönösséget, az újdon-ság okozta lelkesedést mára már a tudatosság vál-totta fel. Nyilvánvalóvá vált, hogy a minõségirá-nyítási rendszerek az irányítás egyik fontos, denem elkülönülõ, öncélú eszközei. A szervezetekélvezik elõnyeit, és elutasítják a számukrahasznot nem hozó elemeit. Tudatosan és kritiká-val döntenek használatukról.Az, hogy Magyarországon ez a fejlõdési folyamatúgy ment végbe, hogy
– Magyarország az ötödik helyen áll Európá-ban a tanúsított minõségirányítási rendsze-rû szervezetek rangsorában;
– az Európai Minõség Díjnak számos nyerteseés díjazottja került ki Magyarországról;
– a hazai minõségdíjak elnyerése ma már vá-gyott és megtisztelõ siker;
– a szervezeti önértékelés ismert, elfogadott ésfejlõdõ tendenciát mutat;
– a magyar minõségmozgalom európai ésnemzetközi szinten elismert és elfogadott;
– a kormányzatok elkötelezettek a minõség-központú tevékenység mellett;
nagymértékben köszönhetõ azoknak a szakmaicivil szervezeteknek, amelyek már a ’80-as ’90-esévekben zászlót bontottak a minõségtudat meg-
honosítása, elfogadtatása és állandó ébrentartásaérdekében.
Hazánk teljes jogú tagsága az Európai Unióban ésszámos nemzetközi szervezetben megköveteli ahazai, a minõséggel foglalkozó szervezetek tevé-kenységének és egymással való kapcsolatánakátértékelését. A társadalom igényének magasabbszintû kielégítése, a versenyképesség javítása aminõségszervezetek magasabb szintû együttmû-ködésével valósítható csak meg. Ennek érdekébena Magyar Minõség Társaság és az ISO 9000Fórum a jövõben együttmûködik, és létrehozza a
SZÖVETSÉG A MINÕSÉGÉRT
egyesülést. A szövetséghez csatlakozó szervezetekönállóságuk feladása nélkül mûködnek együtt.
A Szövetség a Minõségért minden olyan szervezetszámára nyitott, amely elfogadja az egyesülésalapelveit, és tevékenyen részt vesz céljai meg-valósításában.
Budapest, 2005. április 12.
Szövetség a Minõségért
Rózsa András s. k.elnök
ISO 9000 Fórum
Pónyai György s. k.elnök
Magyar Minõség Társaság
Tisztelt Olvasó!
Tájékoztatjuk, hogy az [email protected] e-mail címünk 2005. május 31-én megszûnik.Kérjük, hogy a késõbbiekben a munkatársakat ismertetõ weboldalon (www.quality-mmt.hu) lévõ e-mail címeket szíveskedjen használni! Köszönettel:
Magyar Minõség Társaság
HAZAI ÉS NEMZETKÖZI HÍREK, BESZÁMOLÓK
A Regionális Minõségi Díjak múltja, jelene, jövõje– Szabó Kálmán*–
A hazai minõségdíjak kialakulása2002-ig a hazai szervezetek számára csupán kétlehetõség volt, hogy számot adjanak minõségügyitevékenységük eredményességérõl. 1989-ben hir-dették meg elõször a IIASA-Shiba Díjat, mely azelmúlt 15 év alatt meghatározó szerephez jutott ahazai minõségdíj-palettán. 1996-ban indult a
Nemzeti Minõségi Díj (NMD) pályázat. Minden évfontos momentuma, hogy a nyertes vállalkozásoka Parlamentben vehetik át a díjat a miniszter-elnöktõl.
A 2002. év kiemelkedõ jelentõségû mérföldkõ a magyarországi minõségdíjak rendszerében. AzOktatási Minisztérium a korábban elindított
* Minõségszakértõ, IFKA – Magyar Ipari és Kereskedelmi Minõségfejlesztési Központ.
30 MAGYAR MINÕSÉG
Comenius 2000. minõségfejlesztési programraépítve meghirdette a Közoktatás MinõségéértDíjat. Szintén ebben az évben a Gazdasági ésKözlekedési Minisztérium, a Magyar Ipari ésKereskedelmi Minõségfejlesztési Központ, vala-mint a megyei kereskedelmi és iparkamarák elsõalkalommal hirdettek megyei és regionálisminõségi díjakat (1. ábra).
Az elmúlt három év a regionális díjak létrejöttéveláttörést hozott a minõségügyi területen. A vállal-kozások széles köre ismerkedett meg az önérté-keléssel mint minõségfejlesztési módszer alapjá-val, és kezdte alkalmazni a szervezet fejlesztésé-nek céljából. A tapasztalatok azt mutatják, hogyszámos vállalkozás szervezeti kultúrájának ko-rábban is része volt a „tükörbe nézés” igénye, avevõi igény és elégedettség mérése, valamint tö-rekvés a folyamatos fejlõdésre. Számukra a regio-nális díjra való pályázás lehetõséget adott az eddigelért eredmények bemutatására, megerõsítést ésvisszaigazolást jelentett az addig megtett út he-lyességérõl, továbbá a fejlesztési irányok kijelölé-sében is támogatta õket.
A 2002–2004. idõszakban több mint 180 pályá-zat érkezett be a meghirdetõ kereskedelmi ésiparkamarákhoz, és ezzel 2004 végéig közel 200vállalkozás mondhatja el magáról, hogy bir-tokában van valamilyen minõségdíj (2. ábra).
Nehéz lenne megítélni, hogy ez sok, vagy kevés.Ha az elmúlt évek adatait vizsgáljuk, látható,hogy a pályázók száma, ha nem is rohamosan, deévrõl évre emelkedett. Ez köszönhetõ volt egy-részt a kamarák által végzett magas színvonalú
szervezõ és lebonyolító munkának, másrészt an-nak, hogy néhány régióban nem csak termelõ- ésszolgáltatóprofilú vállalkozások, hanem önkor-mányzatok, oktatási, egészségügyi, illetve rendõriszervezetek is pályázhattak. Ezekben a régiókbanpéldaértékû együttmûködés alakult ki a megyeikamarák és az önkormányzatok között a nemescél érdekében. Úgy tûnik, hogy ezek az együtt-mûködések a regionális díjak jövõje szempont-jából meghatározó jelentõségûek lehetnek.
A pályázatok színvonalaA pályázók számának alakulása mellett figyelem-re méltó a benyújtott pályázatok elért pontszáma.Míg az elsõ két évben a régiószintû átlagpont-számok alig haladták meg a 200 pontot, addig2004-ben már egyértelmûen 250 pont környékénvoltak az átlagértékek. Ami szintén örvendetes,hogy a régiók nyertes pályázatainak pontszámaeléri, illetve meghaladja a 350–400 pontot is. Ezek a vállalkozások minden bizonnyal komolyesélyekkel indulhatnának a jövõben az NMD-benis (3. ábra).
Az elmúlt évek tapasztalatai szerint a regionálisminõségdíjakra benyújtott pályázatok közel 90%-a kis- és középvállalkozások körébõl érke-zett. Ez azért örvendetes, mert korábban több-ször is az a vád érte a Nemzeti Minõségi Díjat,hogy elsõsorban nagyvállalatok számára nyújtlehetõséget a megmérettetésre és ezzel együtt azelismerésre. A regionális díjak fontos szerepe,hogy minél szélesebb körben biztosítsanak lehetõ-séget a kis- és középvállalkozások számára apályázásra. Nem szabad elfelejteni, hogy a díjakesetében a szakmai hozadék mellett milyen fontosaz elismerés motivációs hatása. Ehhez viszontszükséges, hogy a regionális díj elnyerésének lehe-tõsége még jobb teljesítményre ösztönözze a vál-lalkozásokat. Ez a folyamatos fejlõdés, a markán-san megnyilvánuló vevõközpontúság biztosíthatjaezeknek a vállalkozásoknak a versenyképességetés a fennmaradást.
A nagyméretû vállalkozások körébõl a regio-nális díjakra ez idáig nem érkezett komolyabbszámban pályázat. A regionális díjak megítélése
Minőségdíjas szervezetek megoszlása
118
7
13
2
33
36
6
2627
28
0 5 10 15 20 25 30 35 40 45 50
2001
2002
2003
2004
IIASA-Shiba Díj NMD KMD Regionális min. díj
1. ábra
2. ábra
2004. évi regionális minőségi díj pontszámok
0
50
100
150
200
250
300
350
400
450
Dél-Dunántúl Észak-Alföld Dél-Alföld Nyugat-Dunántúl Észak-Magyarország
regionális átlag pontszám legalacsonyabb pontszám a régióban legmagasabb pontszám a régióban
3. ábra
Minőségdíjas szervezetek száma
2004. évi regionális minőségidíj-pontszámok
MAGYAR MINÕSÉG 31
és fejlõdése szempontjából többek között fontoslenne, hogy a pályázók között legyenek a régióbanismert és elismert „húzó”-vállalkozások. Ezekmegjelenésének jelentõsége kettõs lehet. Egyrésztezek a pályázók további presztízst és ismertségetbiztosítanának a regionális díjaknak, másrészt azáltaluk alkalmazott jó gyakorlat megismerése ta-nulási lehetõség más szervezetek számára (bench-marking).
Ez a gondolat közvetlenül kapcsolódik egy má-sik továbblépési lehetõséghez is. Ez pedig nemmás, mint a jó gyakorlatok megismerése és át-adása. Napjainkban az egymástól való tanulásegyre nagyobb szerepet kap nemzetközi szinten a vállalkozások életében. A mai nézetek szerint afennmaradás, illetve a fejlõdés két leghatéko-nyabb alternatívája az új módszerek, eljárásokkidolgozása, illetve a már kifejlesztett jó gyakorlatmegismerése és beépítése a mûködésbe. Úgyvélem, hogy a magyar kis- és középvállalkozásoktúlnyomó többsége számára csupán az utóbbialternatíva létezik. Ahhoz viszont, hogy az errenyitott szervezetek egymásra találjanak, meg kellteremteni a párbeszéd lehetõségét.
E tekintetben is található számos követendõpélda országszerte. Ilyenek a megyei kamarákszervezésében mûködõ minõségi körök, melyekelsõsorban az adott megye kamarai tagjai szá-mára biztosítanak fórumot a párbeszédre, együtt-mûködésre. Hasonlóan hasznos szakmai találko-zókat szervez néhány minõségügyi szervezet is(ISO 9000 Fórum, Minõségfejlesztési Központ).Viszont tény, hogy jelenleg a regionális díjakranem épül egy ilyen rendszeresen és szervezettenmûködtetett, országos szintû lehetõség az egy-mástól tanulásra. Ez mûködhetne akár klubfor-mában, amire jó példaként szolgálhat a Minõség-fejlesztési Központ által mûködtetett NemzetiMinõség Klub (a Shiba-díj és az NMD gyõzteseitfogja össze), akár rendszeresen megszervezettkonferenciák keretében.
A cikk megírásának pillanatában már többrégióban kiírták a 2005. évi regionális minõségidíjat. A kiíró szervezetek igyekeznek a korábbiévek tapasztalatait felhasználni, és az alapjánapróbb fejlesztéseket építettek be a folyamatba.Ezek egyrészt szervezési természetûek, másrészta pályázók felkészítésének hatékonyságát céloz-zák. Mindenképpen üdvözölendõek az új kezde-ményezések, de sajnálatos tény, hogy a regionálisdíjak rendszerét a mai napig nem sikerült homo-gén, közös elvi és szakmai szempontokon alapuló,egységes felépítésû és megjelenésû kezdeménye-zéssé alakítani. Mindez felveti a kérdést, milyenirányba induljunk, hogy egy jól mûködõ, kiszámít-ható perspektívával rendelkezõ regionális minõ-ségidíj-rendszer mûködhessen? Az alábbiakban
néhány lehetséges fejlesztési irányt szeretnékröviden összefoglalni.
A fejlesztés lehetséges irányai– Mindamellett, hogy – a tapasztalatok szerint –
a regionálisdíj-modell struktúrája, leegyszerû-sített formájából eredõen, támogatta annakegyszerû értelmezését és alkalmazhatóságát,megérett egy alapos revízióra. Érdemes lennemegvizsgálni annak lehetõségét, hogy a 2006.évtõl a regionális díjak a Nemzeti MinõségiDíjban korábban alkalmazott, kisvállalati mo-dell követelményeit vegyék alapul, kiegészítvenéhány specifikus, a regionalitás jellegét támo-gató alponttal.
– A közoktatás területén alkalmazott KözoktatásMinõségéért Díj tapasztalatai alapján elmond-ható, hogy az eredményes pályázás egyik fontosfeltétele a helyes modellértelmezés. Ezzel el-kerülhetõ, hogy sikeres vállalkozások értelme-zési félreértésekbõl eredõen alacsony színvo-nalú pályázatot adjanak be. Ezért célszerûlenne egy egységesen használható, szövegesértelmezési segédlet kidolgozása.
– Szinte minden meghirdetõ kamara tapasztalta,hogy a mikroméretû vállalkozások számáratöbbnyire teljesíthetetlen a modell 9 területé-nek értelmezése. Ezen kis szervezetek pályá-zási lehetõségét könnyíthetné, ha a pályázat-ban 2-3 konkrét fejlesztést kellene csupánbemutatni, alkalmazva a folyamatos fejlesztésPDCA-logikáját.
– Mint a korábbiakban írtam, a jelenleg mûködõregionális minõségi díjak rendszere mind szak-mailag, mind megjelenésében heterogén képetmutat. Fontos lenne egy egységes díjrendszerkialakítása. Ezen belül: – egységes értékelési módszertan;– homogén értékelõi szakemberbázis;– koncentrált szakmai (minõségügyi) bázis,
szervezet;– a regionális díjak helyének és szerepének ki-
alakítása a magyarországi minõségi díjakrendszerében (átjárhatóság, egymásra épülés);
– egységes, országos szintû PR-, marketing-stratégia.
– A regionális díjak kiszámítható jelene és jövõjeszempontjából kapjon hangsúlyos szerepet adíjak finanszírozása. Látható, hogy a jelenlegipályázási és támogatási formában a díjakkomoly finanszírozási problémával küzdenek,mely erõteljes hatást gyakorol a szakmai ésszervezési tevékenységekre. Célszerû lenneennek feloldása céljából a szervezõknek hosszútávú együttmûködéseket kialakítani külsõtámogató szervezetekkel (szponzoráció), illetve
32 MAGYAR MINÕSÉG
megvizsgálni, hogy milyen EU-s támogatásiforrásokat lehetne igénybe venni a jövõben.Mindezek mellett érdemes volna megvizsgálni,hogy részvételi díj bevezetésének milyen hatásalenne a pályázatok számára.
Szeretném, ha ez a cikk vitaindító szerepet töl-tene be, és a lapot olvasó szakemberek hozzá-
szólásukkal támogatnák, illetve saját vélemé-nyükkel kiegészítenék a leírtakat.
Számos feladat vár minden résztvevõre, akárszervezõ, akár értékelõ, akár finanszírozó.Mindannyiunk célja és jól felfogott érdeke, hogy aregionális minõségi díjak a jövõben mind aszervezõk, mind pedig a pályázók közös meg-elégedésére mûködjenek.
A Nemzeti Minõség Klub üléseaz Alcoa Európai Keréktermék Kft.-nél
(2005. május 4.)
Schleiffer Ervin elnök megkülönböztetett szere-tettel köszöntötte az új klubtagokat, és ismételtenaláhúzta a Nemzeti Minõség Klub összetartó ere-jét, szakmai jelentõségét.
Leskó Tamás, a GKM osztályvezetõje tájékozta-tott a minisztérium által meghirdetett minõség-ügyi pályázat adta lehetõségekrõl. A kis- ésközépvállalkozások (maximális létszám: 249 fõ)számára kiírt pályázatok fontosságát jelzi, hogyaz összes vállalkozás 99%-a a kkv-k körébe tar-tozik, s az alkalmazottak több mint 57%-át fog-lalkoztatják. A kkv-k a bruttó hozzáadott érték40%-át adják.
Az osztályvezetõ a GVOP-2005.2.1.2. pályázatcéljának a minõség- és környezetirányítási rend-szerek bevezetését nevezte, felsorolva a támoga-tott rendszereket. 2,3 Mrd Ft keretösszeg állrendelkezésre. A résztvevõk megismerhették apályázatok benyújtásának módját, és megismer-hették az eljárásrendet. Megtudtuk, hogy a GVOP2004. pályázatain elnyert támogatás 1 615 M Ftvolt, a fejlesztések összköltsége 3 287 M Ftnagyságrendet képviselt. Befejezésül a kkv-k általigényelhetõ kedvezményes hitelprogramokról(Mikrohitel, Mikrohitel Plusz, Midihitel, Széche-nyi Hitel, Széchenyi Kártya stb.) tájékozódhat-tunk. Az elõadó további információforrásként aGKM honlapját (www.gkm.hu), a www.lendü-let.hu weblapot és a 06-40-200-617-es telefonszá-mot ajánlotta hallgatósága figyelmébe.
Sugár Karolina, a Minõségfejlesztési Központügyvezetõ igazgatója bevezetõjében az EFQMötszintû elismerési rendszerérõl mondta el a leg-fontosabb tudnivalókat. Elhangzott, hogy 2001óta az EFQM a háromszintû elismerésen kívültovábbi két alsóbb szintû elismerést vezetett beannak érdekében, hogy ösztönözze a szerveze-teket az önértékelés és a kiválóságmodell egyre
szélesebb körben való sikeres alkalmazására.2002-ben a Minõségfejlesztési Központ – IMFAelnyerte az EFQM Nemzeti Partnerszervezeti stá-tuszát, 2003 szeptemberétõl pedig annak licencétis megszerezte, mely alapján a sikeres magyarpályázó vállalkozások számára az EFQM-mel kö-zösen európai elismerõ oklevelet adhat ki az alsókét szintre, a Recognised for Excellence (Kiváló-ságmodell eredményes alkalmazásáért) és aCommitment to Excellence (Elkötelezettség aKiválóság iránt) szintekre.
Tájékoztatást kaptunk az EOQ áprilisi török-országi kongresszusáról (a MIK 2004 szeptembe-rétõl EOQ-tag), melynek egyik jelentõs eseményeShiba professzor kitüntetése volt. Klubunk meg-alapításának egyik szorgalmazója, Európán kívü-liként, az EOQ érdekében végzett munkájáértkapta a rangos elismerést.
Shoji Shiba professzorral megállapodás szüle-tett a Shiba-díj-pályázat ütemezésérõl. A pályáza-ti felhívás június elején, a beadási határidõ októ-berben, a díjátadás 2006 tavaszán lesz.
Kálmán Albert, a GKM osztályvezetõje bejelen-tette, hogy a Nemzeti Minõségi Díj Bizottságmájus 17-én tartja következõ ülését, ahol dönte-nek az idei díjkiírásról.
Schleiffer Ervin elnök adta át a 2004-benIIASA-Shiba Díjat, illetve Nemzeti Minõségi Díjatnyert szervezetek, csoportok, illetve egyénekrészére az általa és Kóka János miniszter általaláírt dokumentumokat.
Veres László gyárigazgató „Fejlõdésünk módsze-rei, eredményei” címmel tartott bemutatkozóelõadást.
A cég vezetõje szerint folyamatos fejlõdésük amunkatársak elkötelezettségén, tanulási hajlan-dóságán és kreatív megoldóképességén nyugszik.
MAGYAR MINÕSÉG 33
A keréktermékek gyártásában a konkurenciá-nál is kedvezõbb termékjellemzõkkel rendelkez-nek. Büszkék arra, hogy a végfelhasználóknak isjövedelmet termelnek (kiszállítási pontosság,gyors átfutási idõ, megbízható minõség, folyama-tok stabilitása).
Vevõi elégedettséget három legnagyobb vevõ-jüknél mérik – vevõt még nem veszítettek elelégedettség hiánya miatt. 1999–2004 között atermékvolumenben 66%-os növekedést értek el,miközben a selejt 53%-os mértékben csökkent.
Elismeréseik közül büszkék az Alcoa ABSdíjára, a 2002-ben kapott Magyar Minõség HázaDíjra, a 2003-as IIASA-Shiba Díjra, és perszeleginkább a miniszterelnöktõl átvett 2004. éviNemzeti Minõségi Díjra.
A jelenleg is folyó 1,5 milliárd forintos beruhá-zást is munkájuk elismerésének tekintik.
A gyárigazgató alkalmazott módszereik közülkiemelte a „Segítõláncot”, s példákon keresztülszemléltette az abban való operátori, csoport-vezetõi, mûszakvezetõi, technikusi, mérnöki,területi vezetõi, termelési vezetõi és gyárigazgatóiszerepvállalásokat.
Hallhattunk a Pareto-elemzés, a 8 lépéses prob-lémamegoldás alkalmazási formáiról.
A gyárigazgató befejezésül a sikeresnek ítéltjavaslattételi rendszerükrõl beszélt, amely immá-ron harmadik változatban mûködik (az elsõ kettõvalószínûleg motiváció hiányában hiúsult meg). A fejlesztési javaslatokról ma már havi riportokkészülnek, s a megvalósítás ütemei folyamatosankövethetõek a dolgozók részérõl.
A Nemzeti Minõség Klub június 29-én tartjakövetkezõ ülését Gyõrben, a Hödlmayr HungáriaLogistics Kft. vendégeként. Szõdi Sándor
Minõségtudomány – vezetési gyakorlat(XVI. Debreceni Országos Minõségkonferencia)
2005. május 18–20.A Debreceni Országos Minõségkonferenciák tör-ténetében másodjára találkozunk tavasz végén.Egy évvel ezelõtt, amikor ezt az idõpontváltozástkezdeményeztük, nem kis izgalommal számolgat-tuk a jelentkezõk számát. Nem volt ez máskéntebben az évben sem. A nyolc szekció, 116 részt-vevõ, a 38 elõadó és a 10 felkért hozzászóló iga-zolja az elõzetes feltevés helyességét. A számok azelõzõ évhez képest közel 20–25%-os növekedéstmutatnak. Jellemzõ az a tény is, hogy pl. a „Minõ-ségdíjasok és/vagy ISO-tanúsítottak” szekció 8 elõadója közül 6 elsõ számú (felsõ) vezetõ volt.
A konferencia célja a minõségügy mai helyze-tébõl adódott. A minõségi körökkel indultak a ’80-as évek, majd a Dr. Shoji Shiba nevével fém-jelzett ÁMR (Átfogó Minõségvezetési Rendszer – aTQM magyar útja) következett, hogy ’92–95 kö-zött elkezdõdhessen az ISO 900x, 2000-tõl pedigaz ISO 9001:2000 szabvány alkalmazása. A minõ-ségügy „felkent papjai” helyébe szakértõk, majd abelsõ, külsõ auditorok és a MIR-vezetõk léptek –elõször csak a gépiparban, aztán lépésrõl lépésre a„lõszergyártástól a közegészségügyig” egyre többszakterületen. Ebben a „hõsi korban” éventetöbbszörösére nõtt a tanúsított szervezetek szá-ma, s a külföldiek által tartott egy-két napos tan-folyamok helyét fokozatosan átvették a minõségiszakképzést biztosító felsõfokú graduális és poszt-graduális képzések.
Egy-két „stratéga” már 2002-ben érezte, hogy anövekedési görbe hamarosan aszimptotikus sza-kaszába érkezik. Két év alatt szépen megszapo-
rodott a magyar minõségügyet temetni kezdõvészmadarak száma, s velük együtt közel más-félezer tanácsadó hagyta el a pályát.
Pedig nem történt más, csak felnõtt a ma-gyar minõségügy. Felnõtt, s ma már a tanúsít-ványok számának drasztikus növekedése helyettaz intenzív fejlõdésre van szüksége. A „majd azaudit elõtt izózunk, most dolgozzunk” szemléletetvallók jó része már nem újította meg a tanúsít-ványát. Helyettük megjelentek a minõségi költ-ségeket analizáló tulajdonosok, a stratégiai tervekalternatíváiba burkolózó igazgatók, a beosztott-jaikat minõsíteni kívánó vezetõk, a merev, vál-tozni képtelen szervezeti struktúra átalakításátszorgalmazó igazgatótanácsok, sõt a minõségidíjak lépcsõin szökdécselõ kollektívák.
A magyar minõségügy a tudomány felé fordult(fordul?), Balanced ScoreCard-ot, Myers Briggs-féle pszichometriai mérést, matematikai statisz-tikát, költségoptimalizálást, FMEA-t és QFD-thasználunk az utóbbi hónapokban. A gazdaságbukdácsolása és a verseny újabb és újabb kihívá-sokat jelent.
A hagyományoknak megfelelõen a QUALI-MED-díj átadásával kezdõdött meg a plenárisülés, melyet Csonka Tibor (Debreceni Hõszol-gáltató Rt., vezérigazgató) és Pummer József(QUALIMED-IL Kft., vezetõ tanácsadó) vehettekát. A nyitó elõadás Debrecen város stratégiai ter-veit mutatta be az EU-csatlakozás kapcsán. APartium évszázadokon keresztül kiemelkedõ hadiés gazdasági szerepet töltött be. A város további
34 MAGYAR MINÕSÉG
fejlõdésének záloga, hogy ezt a kiemelkedõ szere-pet hogyan tudja teljesíteni – mint az Unió határ-városa. Dr. Papp László tanácsnok ipartelepí-tési, turisztikai, közlekedési, távközlési, kul-turális terveket ismertetett. Kiemelkedõ érdek-lõdés kísérte a menetrendszerû közlekedéstmegindító Debreceni Repülõtérrõl és a szépenfejlõdõ Ipari Parkról szóló információkat.
A küldetésen alapuló, hosszú távú stratégiáraépülõ vezetés sikerét mutatta Csonka Tibor – akiez évben nyerte el „Az év menedzsere” kitün-tetést. Cége, a Debreceni Hõszolgáltató Rt., 1994óta következetesen alkalmazza a stratégiaterve-zést, melynek segítségével nemcsak kezelni tudtaa gazdasági, törvényi változásokat, de latensigények kielégítése révén ért el gazdasági sike-reket.
Több elsõ számú vezetõ elõadásából levonhatókonklúzió, hogy a stratégiai tervezés és a humán-erõforrás-fejlesztés képezi a sikeres vállalatok(Zeiss Hungária Kft., AKSD Kft., E-ON Tiszán-túli Áramszolgáltató Rt., Nyírtávhõ Kft., Nyír-ségvíz Rt., Debreceni Vízmû Rt. stb.) mai gyakor-latát. Ezek a szervezetek az üzleti kiválóság(EFQM) modelljének alkalmazásában látják avezetés eszközét.
Konferenciáink történetében mérföldkõnek te-kinthetõ a „Minõségtudomány – a Magyar Tudo-mányos Akadémia szerepvállalása” c. szekció. A minõségtudomány és a vele foglalkozó akadé-mikusok mára megtalálták helyüket a MagyarTudományos Akadémia berkein belül. Definiáltáka minõségtudományt mint nem önálló szaktu-dományt, hanem interdiszciplináris, alkalmazotttudományegyüttest, amely a mûszaki, gazdaságiés humán tudományok elemeit ötvözve jelenítimeg a minõség kritériumait a termékben, a ter-melésben, a társadalom életminõségében és a kul-túrában. Dr. Turcsányi Károly a minõség–mar-keting–erkölcs kapcsolatát ismertette. Dr. Ko-vács Károly és dr. Veress Gábor a minõségtu-domány módszereként a rendszerelméletet jelölikmeg. Dr. Birher Nándor filozófus a minõségjelentõségének fontosságáról, a minõség és azérték összefüggéseirõl tartott elõadást. Dr.Parányi György szerint „a minõség minttudományos diszciplína olyan ütemben hatol beaz ipari gyakorlatba, amilyen mértékben válikérdemi felismeréssé a termelés stratégiai mega-lapozásának, irányításának, szervezésének szük-ségessége, és ennek feltétele; a vállalativezetés/irányítás mindinkább tudományosan (is)megalapozottá tételének követelménye”.
Megyeri József és Tunkli Gábor európaiminõségdíj-értékelõk egész napos tréning kere-tében világítottak rá a regionális díj pályázat és azeurópai szint között tapasztalható különbségre,
miszerint a benchmarking munka irányának vál-toztatása összefügg az egymástól való tanulásfelértékelõdésével, illetve az alkalmazott módsze-rek értékelés alapján való bõvítésével.
A hazai felsõoktatás minõségügyi szakembereiélénk vitában taglalták a MAB-akkreditáció, azISO 9001 és a TQM alkalmazásának elméleti ésgyakorlati kérdéseit, leszögezve azt a következte-tést, hogy az intézmény speciális, egyedi helyzete,szervezettsége, tudományos munkája, nem utol-sósorban a professzori, tanári kar összetétele,hozzáállása dönti el a minõségfejlesztés útját, irá-nyát. Dr. Koczor Zoltán a Budapesti MûszakiFõiskola sikeres modelljének bemutatásávalillusztrálta az ISO-alapú megközelítést. Dr. Pá-czelt István a MAB akkreditációs követelmé-nyeinek változási irányát ismertette, míg dr.Szintai István és dr. Topár József a TQM-filozófián alapuló EFQM-modell szerinti ön-értékelés alkalmazási tapasztalatait taglalták.
A „farmtól az asztalig” szekció a 2004-ben elin-dult élelmiszer-biztonsági projekt céljait és eddigieredményeit tárta a hallgatóság elé. A projekt-kon-zorciumot alkotó szervezetek – az ÁRPÁD-AGRÁRRt., a Debreceni Egyetem Agrártudományi Cent-rum, a NAGISZ-HAGE Rt., a REMETE ’96 Kft., aSzabolcs Gabona Rt. és a QTT Tanúsító Iroda Kft.által kifejlesztett Teljes körû ÉlelmiszerbiztonságiRendszer összetevõi és követelményei alapjántalaj-összetételi mérésekkel és infrastrukturáliscélú helyzetfelméréssel kezdõdött el a hároméveskutató-fejlesztõ tevékenység. A következõ év fel-adata lesz az irányítási rendszerek modellezésekismintakísérletek segítségével, s a projekt záró-évében – 2007-ben – kerül sor a nagyüzemi alkal-mazási feltételek extrapolálására.
A humánerõforrás-kérdésekkel foglalkozószekció munkáját három témakör fémjelezte.Szûcs Gyuláné a Carl Zeiss Hungária OptikaiKft. igazgatója a belsõ karrierfejlesztés segít-ségével kapcsolja össze a vállalati és az egyénicélokat. Berényiné Komádi Gyöngyi (Debre-ceni Vízmû Rt.) a kompetenciák és a vezetõiképességek mérésére alapított HR-fejlesztéstismertette a Qualimed-IL Fejlesztõ Iroda Kft.munkatársai által bemutatott, számítógéppeltámogatott vezetõi tesztek segítségével.
A konferencia összessége a fejlesztés alapgon-dolatára épült, melynek bázisát a minõségtudo-mány-vezetéstudomány, gyakorlati megvaló-sítását pedig az üzleti kiválóság képezi. A záróhozzászólók egyike – Churchillt idézve – hangsú-lyozta a fejlesztés fontosságát a válságban, ésezzel adta meg a XVI. Debreceni Országos Minõ-ségkonferencia legfontosabb üzenetét.
Bernáth Lajos,QUALIMED-csoport
MAGYAR MINÕSÉG 35
Idén ötödik alkalommal, május 19–20. közöttkerült megrendezésre a Debreceni Egészség-ügyi Minõségügyi Napok (DEMIN V.), aDebreceni Akadémiai Bizottság Székházában. ADebreceni Egyetem OEC Népegészségügyi Iskola,az Európai Minõségügyi Szervezet Magyar Nem-zeti Bizottságával (EOQ MNB) és az ISO Fórum-mal közösen szervezett konferenciasorozatot2001-tõl évente rendezik meg, mely – a szervezõkcéljai szerint – W. Edwards DEMING folyamatosminõségfejlesztés elvéhez híven, az egészségügyiellátás minõségének folyamatos fejlesztéséhezszeretne hozzájárulni.
A konferenciasorozattal olyan fórum jött létre,amely lehetõséget teremt az egészségügyi minõ-ségbiztosítás és minõségfejlesztés koncepcionálisés gyakorlati elképzeléseinek, továbbá az elérteredmények megismertetésére, megtárgyalására,a közös gondolkozásra. Programjában az egész-ségügyi minõségmenedzsment aktuális kérdéseinkívül olyan témák is szerepelnek rendszeresen,amelyeknek közvetlen gyakorlati hatásuk van agyógyító-megelõzõ és a gondozási szolgáltatásokszakmai színvonalának fejlesztésére, a magyar-országi mortalitási, morbiditási adatok és az élet-minõséggel kapcsolatos eredmények javítására.
Eddigi konferenciák fõ témái:
DEMIN I. (2001. június 7–8.): „Elmélettõl a gya-korlatig az egészségügyi minõségbiztosításban és-fejlesztésben.”DEMIN II. (2002. június 9–10.): „ISO-tól a klini-kai auditig.”DEMIN III. (2003. május 15–16.): „Hatékonyságaz egészségügyi ellátásban.”DEMIN IV. (2004. április 29–30.): „Az egészség-ügyi minõségbiztosítás helyzete az Európai Unió-hoz történõ csatlakozás elõtt.”
Az „V. Debreceni Egészségügyi Minõségbiz-tosítási Napok” konferencia hat szekciójában47 elõadás hangzott el, és 210 regisztrált részt-vevõje volt.
A konferenciát dr. Vojnik Mária, az Egész-ségügyi Minisztérium politikai államtitkára nyi-totta meg. Bevezetõ elõadásában az egészségügyiellátás minõségének javítását célzó kormányzatiterveket foglalta össze.
A hat szekcióban elhangzottakat röviden azalábbiakban ismertetem.
Multidiszciplináris minõségfejlesztés azegészségügybenAz Európai Unióhoz való csatlakozás után azegészségügyi minõségbiztosítás jelentõsége, aköltséghatékonyságra való törekvés és a rendel-kezésre álló szakmai bizonyítékok, az egységesstandardok alkalmazásának szükségessége felér-tékelõdik annak érdekében, hogy a rendelkezésreálló erõforrások optimális kihasználásával, alegkisebb kockázattal, a lehetõ legnagyobb egész-ségnyereséget tudjuk elérni. Eredményes és haté-kony minõségfejlesztést csak közösen, multidisz-ciplináris módon, képzett humánerõforrássallehet megvalósítani. Ebben kiemelkedõ szerepevan a vezetésnek. A fejlett gazdasági, társadalmieredményekkel rendelkezõ országokban márhosszú évtizedek óta a humánerõforrás-gazdál-kodás jelentõs kérdése a vezetés és vezetõk kivá-lasztása, jellemzõik, kompetenciájuk meghatáro-zása. A sikeres vezetõ személyek karizmája,tudása, az általuk alkalmazott módszerek jelen-tették az alapot a vezetés, a vezetõk követelmény-rendszerének kialakításához.
Standardizálás vagy integrálás?A fekvõbeteg-ellátás minõségirányítási rendsze-rében 2001 óta alkalmaznak standardokat.
A szakemberek véleménye alapján a járóbeteg-szakellátásban, a háziorvosi ellátásban, ápolásbanis ki kellett dolgozni az ISO-rendszer mellett és/vagy annak kiegészítésére a szakmaspecifikusstandardokat. A Kórházi Ellátási Standardok(KES) mellett tehát szükséges, hogy a járóbeteg-szakellátás folyamatának értékeléséhez is ren-delkezésre álljanak szakmai standardok. A szol-gáltatói szintû integrált rendszerek kialakításamellett fontos tényezõ a területi (városi, megyei,regionális) szintû egészségügyi minõségügyi rend-szer kialakítása, tekintettel arra, hogy a pácien-sek gyakran több szolgáltatót vesznek igénybe,melyeknek össze kell hangolni minõségügyi rend-szerük struktúráját és folyamatait.
A szekcióban az Országos Alapellátási Intézet(OALI) részérõl is hangzott el elõadás. Az OALIaz alapellátás háziorvosi, házi gyermekorvosi,iskolaorvosi, védõnõi szolgálat és a beteg ottho-nában nyújtott ápolási szolgáltatás szervezési-módszertani, tudományos-kutató, gyógyító-meg-elõzõ intézménye. Az alapellátás minõségénekfejlesztése és biztosítása kritikus terület az
Együtt az egészségügyi ellátás minõségénekfejlesztéséért
Beszámoló az V. Debreceni Egészségügyi Minõségügyi Napokról
36 MAGYAR MINÕSÉG
egészségügyi ellátórendszer minõsége szempont-jából.
Szakmai szervezetek, intézményektörekvése az ápolás minõségéértAz egészségügyi ellátás során a pácienseknekegyre fontosabb az ápolás minõsége. Ebben aszekcióban több olyan elõadás hangzott el, amelypéldaértékû lehet a többi egészségügyi dolgozó,köztük az orvosok, minõségfejlesztõ munkájához.
A fekvõbeteg-intézményekben folyó ápolás mel-lett a járóbeteg-szakellátás és az otthoni sza-kápolás minõségének témakörébõl is elõadásokhangoztak el. A Magyar Egészségügyi Szak-dolgozói Kamara szerint a statisztikai folyamat-szabályozás (SPC) segíthet az ápolás minõségé-nek mérésében, leírásában, elemzésében, értelme-zésében és modellezésében.
A minõség fejlesztése és elismeréséneklehetõségei az egészségügybenAz egészségügyi minõségfejlesztés kritikus területea szakfelügyeleti rendszer átalakítása, melynekcélja, hogy az adott szakterület a szakma korszerûszabályai szerint mûködjön, és ennek szakmai fel-ügyeletét a szakma szakértõje lássa el. Az Egész-ségügyi Minisztérium ez irányú terveit – betegségmiatt – csak a DEMIN V.-kiadványból ismerhettükmeg. A szakfelügyeleti rendszer átalakításávalmegvalósítható az egészségügyi szakterületek szakmai ellenõrzése, a bizonyítékokon alapuló szakmai irányelvek és a betegellátás hatékonyságá-nak szisztematikus monitorozása, a jogszabálybanelõírt minimumfeltételek és a minõségi követel-mények ellenõrzése indikátorok segítségével.
A Magyar Szabványügyi Testület (MSZT) elõ-adója beszámolt a European Network for QualitySystem Assesssment and Certification (EQNet)mûködésérõl. Az IQNettel való együttmûködésegyszerûsíti és harmonizálja a tanúsítási folyama-tokat hazai és nemzetközi szinten, és csökkenti a
költségeket. Elõadás hangzott el a IIASA-ShibaDíjról, a regionális, illetve megyei díjakról, vala-mint az európai elismerési szintekre történõpályázás lehetõségérõl.
Gyermekgyógyászati és a védõnõi ellátásminõségének helyzeteA DEMIN V. az egészségügyi ellátás gyakorlatikérdései közül a gyermekgyógyászati és a védõnõiellátás gondjaival, az ellátás fejlesztésével kapcso-latos kérdésekkel foglalkozott. Ezek közülkiemelt jelentõségû a házi gyermekorvosok és avédõnõk közös tevékenységének fejlesztése, vagyéppen az orvosi, illetve védõnõi kompetenciákmeghatározása, az átfedések megszüntetése és a hatékonyabb ellátás megvalósulása érdekében.A gyermekgyógyászati ellátásban is lényeges sze-repe van a bizonyítékokon alapuló protokollok-nak, illetve az elégedettségi vizsgálatoknak.
Védõnõk és egészségfejlesztésA védõnõk szerepe kiemelkedõ a lakosság egész-ségtudatának fejlesztésében, mely alapvetõenkihat az egészségügyi ellátás folyamataira éseredményeire, ebben jelentõs a jelenleg fejlesztésalatt álló iskolai védõnõi hálózat szerepe. A fiata-lok egészségtudatának fejlesztése mellett a védõ-nõk feladata a különbözõ szûrõprogramok ered-ményességének javítása, illetve kialakulóban vanegy, a felnõtteket otthon is gondozó szemlélet ésgyakorlat.
A DEMIN V. Hippokratésztõl vett idézettel zárult:„Elvégeznivalónk sok, ám az élet rövid, az idõelrohan, a kísérletezgetés a beteg gyógykezelésé-vel veszélyes, a véleményalkotás nehéz.”
Az idézet már a 2006. májusi DEMIN VI.-ra utalt.
Dr. Gõdény SándorDEOEC Népegészségügyi Iskola
MAGYAR MINÕSÉGA Magyar Minõség Társaság havi folyóirata.
SZERKESZTÕBIZOTTSÁGVezetõje: dr. Róth András. Tagjai: dr. Ányos Éva, Füredi László, Gombkötõ Judit, dr. Helm László, Pákh Miklós,
Pónyai György, dr. Ring Rózsa, Szõdi Sándor.Technikai szerkesztõ: Herr Györgyi.
Felelõs kiadó: Takáts Albert.Szerkesztõség: 1091 Budapest, Üllõi út 25. III. emelet.
Tel.: (36-1) 456-6956. Fax: 456-6954. E-mail: [email protected], www.quality-mmt.hu.A folyóirat címlapját és a Magyar Minõség Társaság új arculatát a Marketing Management Service tervezte.
1132 Budapest, Victor Hugo u. 35. Tel.: 339-5339, 20/915-6203.E-mail: [email protected].
Nyomda: Grafika Press Nyomdaipari Rt., 1101 Budapest, Monori út 1–3. Felelõs vezetõ: Farkas Tamás vezérigazgató.Egy szám ára: 750 Ft. Éves elõfizetés tagoknak 6500, nem tagoknak 9000 Ft.
Megrendelés, publikáció- és hirdetésfelvétel a szerkesztõségben.Engedélyezõ szerv: Mûvelõdési és Közoktatási Minisztérium. NYTSZ: B/SZI/1687/1993. HU ISSN-szám: 1416-9576.
MAGYAR MINÕSÉG 37
Az MMT Jogi Szakbizottsága 2005. május 19-énszekcióülést tartott, melynek tárgya a mediációsismeretek bõvítése, gyakorlati alkalmazásánakerõsítése és a mediációval kapcsolatos információ-csere volt.
A Szakbizottság ülését az Elsõ Magyar Gazda-sági Mediációs Közhasznú Alapítvány a HAJDINAGazdasági Mediációs Rutin Klubjának alakulóülésével közösen tartotta. Az ülésen részt vettek aMagyarországon folyamatos gazdasági mediációsképzést tartó Steinbeis Hochschule Berlin, vala-mint a Német–Magyar Képzõközpont képviselõi sa Klub alapító tagjaiként a képzés hallgatói is.
A mediáció lényegérõl a Magyar Minõség 2005. évi2. számában már beszámoltunk: ez olyan vita-rendezõ eljárás, amelyben a szembenálló felek egyfüggetlen személy – a mediátor (közvetítõ) –közremûködésével oldják meg konfliktusukat. Azeljárás a Conflict Management Design alapjainlehetõvé teszi mind a vállalatközi, mind a cégekenbelüli vitás helyzetek elemzését és a jövõreirányuló, optimális stratégia kialakítását, ide-értve a folyamatok evaluációját és a konfliktus-elõrejelzõ rendszer kialakítását is. Módszereivel aképzett és empatikus közvetítõ felszabadítja azinformációáramlást a felek között, az ügytõlfüggetlen indítékokat, értékeket és érdekeket isfeltárja, segít az egyezségi alternatívák felis-merésében és a kölcsönösen kedvezõ megoldáskidolgozásában. Mivel – a bírósági eljárástóleltérõen – nem annak eldöntése a cél, hogy kinekvan igaza, az eljárás gyors és költségkímélõ,legtöbbször néhány óra alatt elvezeti a feleket a„harmadik úthoz”, a bizalom helyreállításához.Magyarországon a 2002. évi LV. törvény szabá-lyozza a közvetítési eljárást.
A viszonylag nagy létszámú, elsõsorban gaz-dasági és mûszaki vezetõkbõl, valamint jogászok-ból álló hallgatóság a mediáció németországieredményeirõl és az interkulturális mediációmódszereirõl hallott elõadásokat.
Az ülést a Magyar Minõség Társaság képvise-letében Takáts Albert ügyvezetõ igazgató nyi-totta meg, aki kiemelte a viták békés rendezé-sének jelentõségét a minõségbiztosítási rendszer-ben, különösen a projekttervezés, a változás-kezelés és a biztonságmenedzsment területén.
Az elsõ elõadást „Marketing a mediációért” cím-mel dr. Fazekas Éva ügyvéd (Fazekas & Társai
Ügyvédi Iroda) tartotta a Német Ügyvédi KamaraMediációs Tagozata által e technika elterjeszté-sének eszközrendszerérõl tartott nagy volumenûkutatásról.
A vizsgált körben 160 mediátor 2868 ügyetlátott el. A mediátorok 11%-ának több mint 50ügye volt, míg 60%-ának kevesebb volt, mint 10.Megállapították, hogy a gyakran foglalkoztatottmediátorok intenzív és sokrétû marketingtevé-kenységet fejtettek ki. A mediáció azért magyará-zatigényes, mert a sikere különösen függ a részt-vevõk konfliktusmegoldó készségétõl és képessé-gétõl. Sok közvetítõi eljárás megindítása a felekvagy jogi képviselõik hibás elképzelései miatt hiú-sul meg. A megkérdezettek azért választották amediációs eljárást a bírósági eljárás helyett, mertolcsóbb, gyorsabb, és megmenti a személyes kap-csolatokat.
A mediációs szervezetek elsõsorban a mediá-torok közötti belsõ kommunikációt és a képzéstszorgalmazzák, a mediáció marketingértékû külsõbemutatására ritkán kerül sor. A mediátoroknakezért maguknak kell gondoskodniuk a lehetõségekmegismertetésérõl. Hatékony elõadások és szemi-náriumok tartása, megjelenés a médiában, de leg-fontosabb a tanácsadókból, ill. az elégedett meg-bízókból álló ajánlóhálózat. A jogászok intenzívkapcsolatban állnak a felekkel, központi jelentõ-ségû ezért, hogy a mediáció a körükben elfogadottés aktívan ajánlott legyen. A legtöbb mediátor arraa következtetésre jutott, hogy a kiválasztáskor az õkompetenciája és ismertsége volt a döntõ, így csakakkor lesz valódi bizalom a mediáció iránt, ha amediátorok minõsítése képzettségi alapon megkö-vetelhetõ standardhoz igazodik.
A második elõadást „Kultúrák találkozása – Be-illeszkedés egy guatemalai halászfalu közössé-gébe” címmel Láng Olivér közgazdász tartotta akulturális különbségekbõl adódó konfliktusokértelmezésérõl.
Az elõadó több hónapot töltött magánszemély-ként Guatemalában, a közép-amerikai latin kul-túra egyik meghatározó országában. Az õslakókmayák, õket követték garifunák, afrikai beván-dorló fekete lakosok. Az ország – hasonlóan másközép- és dél-amerikai országokhoz – évszázadosharcot folytat a latin kultúrára ránehezedõ USA-behatással szemben, s ez nemcsak a helyi kultúrafennmaradásáért folytatott állandó küzdelem-ben, hanem a mindenkori kormány elleni poli-tikai lázongásokban is megnyilvánul.
SZAKBIZOTTSÁGOK
Minõségi konfliktuskezelésBeszámoló a Magyar Minõség Társaság Jogi Szakbizottságának
rendezvényérõl
38 MAGYAR MINÕSÉG
Guatemalában a fehér ember egy másik kultú-rát képvisel, és fõként történelmi és gazdaságiokok miatt számolni kell a helyi lakosok ellen-szenvével. Úgy kell „megnyerni” a másik kultúraképviselõit, hogy ne szövetkezzünk velük a sajátkultúránk ellenében, de a saját kultúránkat seakarjuk rájuk erõltetni.
Az elhangzott tapasztalatok bármilyen helyzet-re vonatkoztathatók, ahol számunkra ismeretlenmagatartásmintákat, jelképrendszert, gondolko-dást hordozó (pl. külföldi) partnerekkel van dol-gunk, így jól használhatók a mediációs eljárásbanvagy a vállalati belsõ kommunikációban is.
A spontán konfliktuskezelés fõbb területei: – Megjelenés – ruházatunk minél kevesebb jel-
legzetes elemet tartalmazzon, ne helyezzükmagunkat elõtérbe. Az is agresszivitást válthatki viszont, ha a saját kultúrájuk jelvényeivelpróbáljuk mintegy „megvesztegetni” a partne-reket.
– Nyelv – használható nyelvtudást szerezni precíznyelvtan helyett.
– Belsõ meggyõzõdés – nem célravezetõ, ha kizá-rólag saját világunk érvényesül, ha viszont csaka másik félre koncentrálunk, megfosztjuk attól,hogy õ is gazdagodjon a találkozásból.
– Rugalmasság, alkalmazkodóképesség – a külön-bözõ élethelyzetek felismerése és a gyors rea-gálás életmentõ vagy döntõ jelentõségû lehet.Idõvel az ember helyzetfelismerõ képességecsiszolódik, a gyakorlat meggyorsítja a váratlanesemények kezelését.
– Pártatlanság – a mediáció szempontjából elen-gedhetetlen, nem reális lehetõség azonbanennek a tökéletes megvalósulása. Másfajta kul-turális közeg viszont másképp reagálhat a véle-ményünkre.
– Munka – segíthet az elõítéletek leküzdésében asegítõkészség és a jóakarat, az, hogy igazánérdekel, mi történik.
– Család – a családi gondokhoz megfelelõ távol-ságtartással, kitartó, de tartózkodó érdeklõdés-sel kerülhetünk közelebb.
– Hétköznapi élet – kell egy kis közjáték is, sok-szor egy-két kötetlen szó, szemjáték vagymosoly többet elárul, mint a hivatalos felelet.
Az eredmény akkor ideális, ha mindkét fél, sõtmaga a mediátor is gazdagodik a kialakult inter-akcióból.
Az elõadó a fenti következtetéseit érdekesélménybeszámolóval és átvitt értelemben isszínes saját fotóival illusztrálta. Közelebb vitt egymerõben más civilizációhoz s annak megértésé-hez, hogy mindennapjainkban lépten-nyomonkisebb, vagy nagyobb interkulturális konfrontá-cióba kerülünk.
A hallgatóság nagy érdeklõdéssel hallgatta mind-két elõadást, elsõsorban azok praktikus, szak-mailag és a hétköznapokban is használható tar-talmát értékelve.
Dr. Fazekas Éva
Jogi tagok
Fõvárosi Önkormányzat Heim Pál Gyermekkórház, 1089 Budapest, Üllõi út 86.Vezetõ: Smrcz Ervin vezérigazgató (459-9191)
Megbízott: Mikó Zsuzsanna informatikai osztályvezetõ (459-9189)
Ria 96 Bt., 4031 Debrecen, Tõzsér út 11.Vezetõ: Rákó István ügyvezetõ (30/963-4320)
Egyéni tagok
Bene Eszter, BudapestBlaskó Ágnes, Pécs
Fábián Gyula, BudapestFésûs Judit, KecskemétIván Orsolya, Debrecen
Molnár János, PécsMózsáné Papp Katalin, Debrecen
Dr. Vigh Judit, Budapest
A TÁRSASÁG ÚJ TAGJAI