Deprecated: Methods with the same name as their class will not be constructors in a future version of PHP; plgContentJComments has a deprecated constructor in /www/doc/www.prokopskeudoli.org/www/plugins/content/jcomments/jcomments.php on line 25
Neaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnoceníNeaktivní hodnocení
 

 Znak MCP5 heraldikaMěstská část Praha 5

Úřad městské části Praha 5

Příručka integrovaného systému řízení kvality a bezpečnosti informací

SRPEN 2012

Obsah


Revize dokumentu

Poř.

číslo:

Datum

Výsledek revize:

Revizi provedl

Výsledek revize schválil/dne

Platnost dokumentu

Ověřil:

Dne

Podpis:

Schválil:

Dne

Podpis:

Účinnost  od:

Vydal:

Počet stran:

Počet příloh:

Vydání:

první – verze 1.0

Dokument

INTERNÍ


1. Úvod

Hlavním cílem městské části Praha 5 je v souladu se zákonnými normami a schválenou Koncepcí jakosti: „Pečovat o všestranný rozvoj svého území, o potřeby svých občanů a při plnění svých úkolů chránit veřejný zájem vyjádřený v právních normách“. Předpokladem pro zajištění tohoto cíle je orientace na občana a zefektivnění vlastní činnosti při správě městské části Praha 5 trvalým zlepšováním Systému managementu jakosti.

. 1.1 Zkratky, symboly

Úřad           -     Úřad městské části Praha 5

STA           -      Starosta Úřadu městské části Praha 5;

TAJ            -      Tajemník Úřadu městské části Praha 5;

RMČ        -        Rada městské části Praha 5;

ZMČ         -       Zastupitelstvo městské části Praha 5;

Vrcholové vedení  - STA, zástupci STA;

Vedení úřadu         - STA, radní, TAJ, zástupce TAJ;

SČR           -      Sekretariát členů rady;                     

KST           -      Kancelář starosty;                 

KTA           -      Kancelář tajemníka;

OEK           -      Odbor ekonomický;              

OST           -      Odbor stavební;

OŽP           -      Odbor ochrany životního prostředí;                                     

ODP           -      Odbor dopravy

OVS           -      Odbor vnitřní správy;            

OVV           -      Odbor vnějších vztahů;                                            

ORO           -     Odbor rozvoje městské části Praha 5;

OSK           -      Odbor sociální problematiky a prevence kriminality;                                 

OSV           -      Odbor smluvních vztahů;                 

OBP           -      Odbor bytů a privatizace;                 

OMI            -      Odbor majetku a investic;                                        

OŠKS        -      Odbor školství, kultury a sportu;

OSS           -      Odbor servisních služeb;                  

OSP           -      Odbor správy veřejného prostranství;                                             

OOŽ           -      Odbor občansko-správní a živnostenský;    

INF             -      Zvláštní organizační jednotka infrastruktura

RIK             -     Zvláštní organizační jednotka řízení rizik a kontrola 

IS                -      Informační středisko;

IMS            -      integrovaný systém řízení kvality a bezpečnosti informací 

AUD           -      Interní auditor;           

VOP           -      Vnitřní organizační předpis

Příkaz        -      Příkaz starosty;

Nařízení   -       Nařízení tajemníka;

Řád          -        Řád (organizační norma);

SMJ         -        Systém managementu jakosti;

PMJ         -        Představitel ÚMČ P5 pro jakost;

ON           -        Organizační norma (obecný pojem)

Za            -        Záznam;

PM           -        Pracovní místo;

PJ             -        Příručka jakosti;

PoA          -        Prohlášení o aplikovatelnosti, ISO 27001

VZ            -        Vedoucí zaměstnanec (zaměstnanec pověřený řízením činností a osob);

VO            -        Vedoucí odboru;

Vod          -        Vedoucí oddělení;

NřP          -        Nadřízený zaměstnanec;

. 1.2 Představení Úřadu městské části Praha 5

Oficiální název

Městská část Praha 5

Nadřízený orgán veřejné zprávy

Magistrát hl.m. Prahy

Adresa

Nám. 14. října č. 4, 150 22 Praha 5

Telefon

234 378 111, 257 000 111

Bezplatná telefonní linka pro občany

800 800 005

Fax

257 325 132

Oficiální WWW

www.praha5.cz

Podatelna elektronické pošty

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Podatelna elektronické pošty (s elektronickým podpisem)

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

IČO

063631

DIČ

CZ 00063631

Počet obyvatel

80 040

Počet zaměstnanců ÚMČ P5

290

Počet řízených organizací ÚMČ P5

31

          

 Logo Městské části Praha 5 :        Logo MC Praha 5                                  

 

  

2.0 Organizační struktura Úřadu městské části Praha 5

Organizační struktura Úřad městské části Praha 5 je popsána a rozpracována v „Organizačním řádu Úřadu městské části Praha 5“ (https://intranet.praha5.cz/priloha/2136). Systém managementu jakosti zahrnuje všechny organizační prvky struktury ÚMČ P5 mimo nakupované služby.

 

3.0 Systém managementu jakosti

3.1. Aplikace a použití

Předmět činnosti:

Výkon státní správy v přenesené působnosti hl. m. Prahy. Výkon samostatné působnosti.

Rozsah platnosti systému řízení:

Výkon státní správy v přenesené působnosti hl. m. Prahy. Výkon samostatné působnosti.

3.2 Vyloučení požadavků norma ČSN EN ISO 9001:2009:

Odstavec 7.3 - Návrh a vývoj

Odstavec 7.5.2 – Validace procesů výroby a poskytování služeb

Odstavec 7.6 – Řízení monitorovacích a měřících zařízení

Zdůvodnění vyloučení:

Vzhledem k činnosti organizace a jejímu primárnímu zaměření není prováděn návrh a vývoj, Není prováděna validace procesů výroby a nejsou potřeba měřící a monitorovací zařízení

Rámec ISMS:

Systém managementu informační bezpečnosti organizace zahrnuje všechny aktivity Úřadu vztahující se k příjmu, tvorbě, zpracování, uchovávání, archivování a přenášení informací. Systém ISMS zahrnuje činnosti Úřadu společnosti v rámci prostor organizace, stejně jako vztahy s externími společnostmi. Vedení se prostřednictvím definování a managementu systému zaměřuje na zachování všech informačních aktiv a na procesy vedoucí k zachování kontinuity podnikatelských činností.

3.3 Normativní požadavky

Organizace vybudovala, udržuje a neustále zlepšuje systém řízení kvality a bezpečnosti informací dle norem ČSN EN ISO 9001:2009 a ČSN ISO/IEC 27001:2006.

Využívá i ustanovení norem ISO 9004:2000, ISO/IEC 27002:2007, ISO/IEC 17799:2005 a ISO 19011:2002

3.4 Termíny a definice

Termíny a definice používané v dokumentaci systému řízení kvality a bezpečnosti informací jsou shodné s termíny a definicemi uvedenými v normách ČSN EN ISO 9001:2009, ČSN ISO/IEC 27001:2006 a ČSN EN ISO 19011:2003.

Integrovaný systém řízení (IMS)

Celkový systém řízení, který zahrnuje dva dílčí systémy, a to systém managementu kvality a systém managementu informační bezpečnosti.

Systém managementu kvality (QMS)

Ta součást celkového systému managementu, která zahrnuje organizační strukturu, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje k vyvíjení, zavádění, dosahování, přezkoumávání a udržování politiky kvality.

Systém managementu bezpečnosti informací (ISMS)

Ta součást celkového systému managementu, která zahrnuje organizační strukturu, plánovací činnosti, odpovědnosti, praktiky, postupy, procesy a zdroje k vyvíjení, zavádění, dosahování, přezkoumávání a udržování bezpečnostní politiky.

4. Integrovaný systém managementu kvality a bezpečnosti informací

4.1. Všeobecné požadavky

4.1.1. Popis systému

Systém integrovaného managementu kvality, který je v Úřadu vytvořen, používán, dokumentován, uplatňován a udržován za současného neustálého zlepšování jeho efektivity, je dokumentován v této Příručce.

Tato příručka bud' sama popisuje činnosti systému managementu kvality a bezpečnosti informací nebo adresně odkazuje na používané dokumentované postupy, čímž naplňuje všeobecné požadavky kladené na Úřad v souladu s normou ČSN EN ISO 9001:2009.

Organizace identifikovala hlavní procesy potřebné pro Systém managementu jakosti, včetně jejich použití v Úřadu.

Klíčové procesy                                                               

  • Krizové řízení                                      
  • Správa místních poplatků
  • Matriční činnost
  • Přestupková a správní činnost
  • Osobní doklady a evidence obyvatel
  • Ověřovací činnost a Czech Point
  • Volební činnost a referenda
  • Zabezpečení sociálně-právní ochrany dětí a mládeže
  • Zajištění sociální prevence
  • Výkon funkce veřejného opatrovníka
  • Výkon silničního správního úřadu na úseku silničního hospodářství
  • Výkon činnosti orgánu obce s rozšířenou působností na úseku dopravy
  • Vedení přestupkových řízení
  • Vydávání, změny a rušení živnostenských oprávnění
  • Vedení a správa živnostenského rejstříku
  • Kontrola dodržování živnostenského zákona
  • Výkon stavebního úřadu
  • Příprava a realizace staveb
  • Provádění investičního dohledu
  • Územní plánování a rozvoj
  • Posuzování stavebních záměrů
  • Správa válečných hrobů
  • Výběr místních poplatků ze vstupného
  • Metodicko-organizační řízení MŠ a ZŠ
  • Správa školských objektů
  • Výkon státní správy v oblasti ochrany přírody a krajiny
  • Výkon státní správy v oblasti vodního hospodářství
  • Údržba zeleně a přistavování kontejnerů a svoz tříděného odpadu
  • Výkon samostatné působnosti v oblasti ochrany přírody a krajiny
  • Správa bytového fondu
  • Technická údržba majetku
  • Správa a evidence nemovitostí
  • Zajištění čistoty a údržby veřejných prostranství
  • Pronájmy nebytových prostor

Podpůrné procesy                                                              

  • Administrativní zajištění fungování kanceláře starosty
  • Právní servis Úřadu
  • Interní audit
  • Koordinace a řízení projektů
  • Vnitřní kontrola
  • Personální řízení
  • Zabezpečení přípravy rozpočtu a sledování jeho plnění
  • Vedení účetnictví
  • Zajištění hospodářské činnosti a daňové agendy
  • Provoz a správa budov Úřadu
  • Informační a komunikační služby
  • Poskytování informací občanům
  • Spolupráce s médii a zajištění publicity Prahy 5
  • Organizace kulturních, společenských a dalších aktivit
  • Organizace veřejných zakázek
  • Řízení rizik

Procesy  ISMS

  • Zvládání rizika
  • Identifikace slabého místa

V rámci přezkoumání integrovaného systému řízení vedení organizace rozhoduje, zda není zapotřebí vytvořit nový proces, případně změnit nebo zrušit stávající. V případě, že ano, manažer integrovaného systému vytvoří popis nového procesu v samostatném dokumentu a začlení jej do výše uvedeného seznamu a procesní mapy. V procesní mapě provede rovněž úpravu, pokud by vedení rozhodlo o vypuštění některého ze stávajících procesů. V popisech procesů jsou zahrnuty i případné činnosti vykonávány externími spolupracovníky a subdodavateli.

4.1.2. Metody pro zajištění efektivního fungování systému

Manažer integrovaného systému řízení po projednání s vedením Úřadu navrhuje kritéria pro řízení procesů a kritéria efektivnosti zvolených opatření. Pro každý proces vytvoří minimálně 1 výkonnostní parametr, který musí být měřitelný a musí vypovídat o efektivitě daného procesu.

Manažer integrovaného systému řízení po projednání s vedením organizace plánuje na 1 kalendářní rok hodnoty, kterých mají jednotlivé výkonnostní parametry dosáhnout. Tyto plánované hodnoty výkonnostních parametrů lze uvést jako jednotlivé cíle. Manažer integrovaného systému řízení 1x ročně v rámci analýzy údajů zjišťuje konkrétní hodnoty výkonnostních parametrů a zaznamenává je do Zprávy z analýzy údajů.

4.1.3.Monitorování a měření procesů

Manažer integrovaného systému řízení monitoruje a měří výkonnostní parametry jednotlivých procesů minimálně 1x ročně v rámci analýzy údajů. Spolupracuje přitom s osobami, které mají přístup k daným údajům. Výsledek měření a monitorování zaznamená do Zprávy z analýzy údajů. S vlastníkem procesu rovněž analyzuje dosažené hodnoty výkonnostních parametrů. V případě, že nebylo dosaženo plánovaných hodnot výkonnostních parametrů, zaznamená identifikované nebo pravděpodobné příčiny do Zprávy z analýzy údajů.

Monitorování a přezkoumání postupů, pomocí kterých se:

  • včas detekují chyby ve výsledcích zpracování
  • včas identifikují úspěšné i neúspěšné bezpečnostní incidenty a narušení bezpečnosti
  • zda bezpečnostní aktivity, které byly implementovány, fungují podle očekávání
  • detekují bezpečnostní události, aby se zabránilo bezpečnostním incidentům
  • zda přijaté postupy byly efektivní

Manažer integrovaného systému řízení pravidelně (minimálně 1x ročně) hodnotí efektivitu celého systému řízení s ohledem na výsledky auditů, incidentů, výsledků měření, návrhů a podnětů všech zainteresovaných stran.

4.1.4. Uplatňování opatření nezbytných pro dosažení plánovaných výsledků

Vedení společnosti na základě Zápisu z analýzy údajů v rámci ISO porady provádí přezkoumání integrovaného systému řízení. Zavádí identifikované možnosti vylepšení IMS. V případě, že nebylo dosaženo plánovaných hodnot výkonnostních parametrů a v rámci analýzy bylo zjištěno, že to nebylo způsobeno vnějšími (organizací neovlivnitelnými) vlivy, vydá vedení organizace rozhodnutí, které by mělo zajistit, aby příští kalendářní rok bylo dosaženo shody s plánovanými hodnotami výkonnostních parametrů.

Vedení společnosti v rámci přezkoumání integrovaného systému řízení zjišťuje možnosti na zlepšování procesů. Záznam o rozhodnutích je v Zápisu z porady.

 4.1.5. Analýza a hodnocení informačních rizik

    Úřad má vytvořen a udržován postup pro identifikaci a hodnocení informačních rizik, které řídí a na které má vliv, tak, aby byla určena ta rizika, která mají nebo mohou mít významný dopad na informační bezpečnost. Významnost identifikovaných rizik a jejich dopadů je stanovena pomocí stanovené metodiky hodnocení. Identifikovaná rizika a bezpečnostní hrozby jsou zpracovány v Analýze rizik a na základě analýzy rizik byly vybrány z přílohy A normy ČSN ISO/IEC 27001:2006 opatření, která jsou obsažena v Prohlášení o Aplikovatelnosti (PoA), které je průběžně přezkoumáváno a aktualizováno. Na základě výsledků analýzy rizik jsou přijata bezpečnostní opatření, jejich monitorování a měření a výcvik zaměstnanců.

Identifikovaná významná bezpečnostní rizika jsou brána v úvahu při stanovení bezpečnostních cílů, cílových hodnot a programů. Veškeré související dokumenty s ISMS jsou uvedeny v příručce informační bezpečnosti, která je nedílnou součástí tohoto dokumentu.

4.1.6. Outsourcing služeb

Úřad zajišťuje služby spojené s provozováním informačních technologií formou outsourcingu. Vzhledem k jednoznačné důležitosti tohoto procesu na kvalitu produktu Úřadu a vzhledem ke klíčovému vlivu na bezpečnost informací bude podrobně popsán postup kontroly a řízení těchto služeb.

4.2. Požadavky na dokumentaci

4.2.1. Obecně

Dokumentace systému managementu kvality a bezpečnosti informací, která je vytvořená, používaná a uplatňována  v Úřadu městské části Praha 5, umožňuje uvést do souladu činnosti Úřadu se záměry za současného zajištění konzistence těchto činností. 

Dokumentace integrovaného systému řízení (IMS) obsahuje záznamy všech manažerských rozhodnutí a skládá ze 4 vrstev:

  • 1. vrstva dokumentace integrovaného systému řízení zahrnuje:
    • příručku integrovaného systému managementu kvality a bezpečnosti informací.
    • příručku informační bezpečnosti
    • politiku kvality a bezpečnosti informací
    • cíle kvality a bezpečnosti informací
    • katalog pracovních pozic
    • prohlášení o aplikovatelnosti

Tato vrstva dokumentace obsahuje strategické dokumenty systému řízení. Tyto dokumenty stanovují strategii organizace a základní povinnosti a pravomoci zaměstnanců ve vztahu k integrovanému systému řízení. Tato dokumentace je schvalována RMČ P-5.

  • 2. vrstva dokumentace integrovaného systému řízení zahrnuje:
    • popisy realizačních procesů, postupy, směrnice,
    • zápisy z porad vedení, záznamy o přezkoumání
    • analýzy a zápisy

Druhá vrstva dokumentace specifikuje povinnosti zaměstnanců pro jednotlivá pracoviště a je schvalována: Směrnice a Řády schvaluje RMČ, Nařízení schvaluje TAJ a Příkazy schvaluje STA.  

  • 3. vrstva dokumentace integrovaného systému řízení zahrnuje:
    • dokumenty potřebné pro zajištění elementárních činností v organizaci,
    • dokumentace od dodavatelů a zákazníků, plány, záznamy, nabídky

Tuto vrstvu dokumentace není třeba schvalovat. Je třeba pouze identifikovat tvůrce dokumentu a klasifikaci s ohledem na bezpečnost informací. Účelem 3. vrstvy dokumentace je poskytnout podpůrné dokumenty pro výkon jednotlivých činností v organizaci a záznamy poskytují důkazy o plnění požadavků integrovaného systému řízení.

  • 4. vrstva dokumentace integrovaného systému řízení zahrnuje:
    • dokumentaci externího původu (právní předpisy, technické normy, návody k obsluze, dodací listy apod.).

4.2.2. Příručka integrovaného systému řízení

Tato Příručka jakosti popisuje integrovaný systém řízení, který je vytvořen, používán a udržován v Úřadu a je připraven v souladu s rozhodnutím vedení Úřadu. Příručka jakosti je vypracována podle normy ČSN EN ISO 9001:2009 tak, aby v návaznosti na ni bylo možné vytvářet další dokumentované postupy pro zvyšování kvality poskytovaných služeb.

Oblast použití integrovaného systému řízení a vyloučené požadavky normy jsou uvedeny v kapitole 3.1 – Aplikace a použití.

Povinně dokumentované postupy vytvořené pro systém řízení kvality a bezpečnosti informací jsou uvedeny v kapitolách:

4.2.3    Řízení dokumentů

4.2.4    Řízení záznamů

8.2.2    Interní audit

8.3       Řízení neshodného produktu a neshod

8.5.2    Nápravná opatření

8.5.3    Preventivní opatření

Vzájemné působení mezi procesy IMS je uvedeno v kapitole 4.1- Všeobecné požadavky.

Příručka IMS podléhá režimu řízené dokumentace a je trvale udržována v aktuálním stavu dle kap. 4.2.

Správcem příručky je Představitel Úřadu pro kvalitu a bezpečnost informací, který bez ohledu na jiné povinnosti musí zajišťovat procesy potřebné pro systém IMS.

Představitel Úřadu pro kvalitu a bezpečnost informací předkládá zprávy vrcholovému vedení Úřadu o dosažené výkonnosti systému IMS a o jakékoli potřebě zlepšování. Zároveň je odpovědný za zvyšování vědomí závažnosti požadavků zákazníka (občana) a za zvyšování povědomí o bezpečnostních opatřeních a vlivech na informační bezpečnost u zaměstnanců Úřadu.

Zpracování a používání Příručky IMS a veškeré další dokumentace v 1. a 2. vrstvě je v platném znění výhradně v elektronické podobě, která je umístěna na Intranetu Úřadu. Vytištěné dokumenty jsou použitelné jen jako informativní (označeno v zápatí dokumentu) a používají se i k archivaci.

4.2.3. Řízení dokumentů

Obecné zásady tvorby, rozsah působnosti, strukturu a evidenci vnitřních organizačních předpisů, vydávaných a řízených v Úřadu a určení pravomocí k jejich navrhová­ní, vydávání, řízení, aktualizaci apod., jsou řešeny formou Směrnice č. 5/2012.

Seznamování zaměstnanců s dokumenty integrovaného systému řízení:     

Manažer integrovaného systému řízení seznamuje zaměstnance s novými dokumenty a jejich novými verzemi. Seznamování může probíhat formou školení, ze kterého manažer integrovaného systému řízení pořídí zápis, nebo rozešle elektronickou poštou zaměstnancům Úřadu informaci o nové verzi dokumentace a uvede její odkaz na Intranetu Úřadu.

V případě školení zaměstnanci svým podpisem zápisu ze školení potvrdí seznámení s potřebnými dokumenty systému řízení. 

Zaměstnanec si kdykoliv může potřebnou aktuální dokumentaci prostudovat na Intranetu Úřadu.

Přezkoumání dokumentace:

Vedení Úřadu v rámci přezkoumání integrovaného systému řízení na ISO poradě přezkoumává vhodnost dokumentace integrovaného systému řízení.

Manažer integrovaného systému řízení v rámci analýzy dává návrhy na přijetí nového dokumentu, jeho změnu nebo zrušení. Vedení organizace v rámci přezkoumání systému řízení rozhoduje o změnách dokumentace. Své rozhodnutí se zdůvodněním uvede do Zápisu z  porady. V případě, že všechnu dokumentaci shledá aktuální, pak o tom také provede záznam do Zápisu z porady.

Klasifikace dokumentů s ohledem na informační bezpečnost:

Všechny řízené dokumenty v organizaci musí být identifikovány s ohledem na stupeň bezpečnosti a ochrany a každý externí dokument při příchodu do firmy musí být také identifikován a oklasifikován.

Stupně klasifikace:

  1. diskrétní
  2. interní
  3. veřejné
  • Stupeň 1. „diskrétní“ - musí být určen tzv. vlastník informačního aktiva, který odpovídá za ochranu aktiva po celou dobu jeho životnosti, stanovuje okruh oprávněných osob, které mají přístup k informačnímu aktivu a odpovídá za jeho likvidaci (skartaci), po skončení životnosti. Jedná se o důležité materiály, které jsou určeny např. pouze vedení Úřadu a nejsou obecně přístupné všem zaměstnancům.
  • Stupeň 2. „interní“ - musí být taktéž určen tzv. vlastník informačního aktiva, který odpovídá za ochranu aktiva po celou dobu jeho životnosti, ale nestanovuje se okruh oprávněných osob – k tomuto aktivu mají přístup všichni zaměstnanci a spolupracující firmy ve smluvním vztahu, jejichž smlouva obsahuje doložku o mlčenlivosti. Vlastník informačního aktiva odpovídá za jeho likvidaci (skartaci), po skončení životnosti.
  • Stupeň 3. „veřejné“ -  není určen vlastník a jedná se o dokumenty (informační aktiva) které nevyžadují žádnou zvláštní ochranu. Dokumenty nemusí být tímto příznakem označeny a nemusí mít charakteristiku řízeného dokumentu. Jedná se o obecně známé skutečnosti, které Úřad např. zveřejňuje na svých webových stránkách.  

Řízení externích dokumentů

Organizace za řízené externí dokumenty považuje:

  • obecně závazné právní předpisy
  • technické normy

 

Manažer integrovaného systému řízení ve spolupráci se zaměstnanci organizace uvádí všechny řízené externí dokumenty do tabulky externí dokumenty. Aktuální znění zákonů zjišťují v pravidelných intervalech pracovníci právního oddělení ze sbírky listin ČR a na internetu – na oficiálních stránkách Ministerstva spravedlnosti a v programu Aspi.  Manažer integrovaného systému řízení sleduje případné aktualizace technických norem 1x měsíčně na www stránkách ČNI. Aktuální verze norem jsou k dispozici pouze v elektronické podobě. 

4.2.4. Řízení záznamů

Záznamy poskytují důkaz o shodě s požadavky normy a o efektivním fungování integrovaného systému řízení.

Manažer integrovaného systému řízení stanovuje, jaké záznamy jsou z pohledu systému řízení nezbytné pro prokázání shody s požadavky normy a jejího efektivního fungování. Tyto záznamy uvádí do tabulky Seznam záznamů integrovaného systému řízení.

V tabulce Seznam záznamů integrovaného systému řízení minimálně uvede:

  • název záznamu
  • formu záznamu (elektronická, písemná...)
  • oprávněná osoba pro provedení záznamu
  • umístění pro ukládání záznamů
  • dobu archivace

V rámci přezkoumání integrovaného systému řízení ve spolupráci s vedením organizace tuto tabulku aktualizuje minimálně jednou ročně.

Identifikace záznamů:

Každý záznam integrovaného systému řízení je identifikován:

  • názvem záznamu
  • datem pořízení
  • číslováním stran

Ukládání a ochrana záznamů:

Záznamy Úřadu jsou uchovávány v elektronické podobě v informačních systémech Úřadu (GINIS, atd.). V těchto systémech jsou předem nastaveny parametry pro přístup k těmto záznamům a k jejich archivaci. Záznamy, které nejsou v elektronické podobě uloženy v informačních systémech Úřadu, se řídí Spisovým a skartačním řádem Úřadu.

5.0 Odpovědnost managementu

Stanovení odpovědnosti a pravomoci předcházela identifikace procesů systému managementu kvality a bezpečnosti informací, určení jejich vzájemných vazeb a posloupností a souvislostí se zabezpečením potřebných zdrojů. Vedení Úřadu podporuje důvěru zaměstnanců a využívá veškeré nástroje k naplnění politiky kvality a bezpečnosti informací.

5.1. Osobní angažovanost a aktivita

Vedení Úřadu sděluje důležitost požadavků zákazníka a legislativy prostřednictvím Politiky kvality a Politiky informační bezpečnosti na pravidelných školeních integrovaného systému řízení a v rámci pravidelných porad s podřízenými pracovníky Úřadu.

Vedení Úřadu stanovuje Politiku integrovaného systému řízení, kterou min. 1x ročně v rámci porady přezkoumává, zda je aktuální a zda odpovídá zaměření Úřadu.

Politiku kvality a Politiku bezpečnosti informací schvaluje RMČ.

Vedení Úřadu navrhuje a stanovuje cíle kvality a cíle bezpečnosti informací. Alespoň 1x ročně jednotlivé cíle vyhodnocuje a aktualizuje. Cíle a jejich aktualizaci schvaluje RMČ.

Vedení Úřadu minimálně 1x ročně na základě analýzy údajů od manažera integrovaného systému řízení přezkoumává systém řízení podle zprávy podané představitelem vedení pro integrovaný systém řízení. Výsledek přezkoumání je zaznamenán v Zápisu z porady.

Vedení Úřadu plánuje a zajišťuje dostupnost zdrojů. Potřeba strategických zdrojů je výstupem přezkoumání integrovaného systému řízení a je uvedena v Zápisu z porady.

5.2. Zaměření na zákazníka (občana)

Zákazníky služeb, které poskytuje Úřad, jsou občané městské části Praha 5, fyzické a právnické osoby, návštěvníci a další zainteresované strany. Pod pojmem zákazník je chápáno i životní prostředí.

Požadavky zákazníka jsou definovány jako soulad individuálních potřeb a veřejného zájmu, vyjádřeného v obecně závazných právních předpisech.

K naplnění a zajištění plné spokojenosti a všech oprávněných požadavků zákazníků (občanů) vrcholové vedení Úřadu specifikovalo následující:

  • pro zajištění požadavků zákazníka provádí v souladu s kapitolou Příručky integrovaného systému řízení 8.2.1 Monitorování a měření zákazníkovi spokojenosti.
  • Úřad rovněž provádí přezkoumání požadavků jednotlivých zákazníků v souladu s kapitolou 7.2.1 Příručky integrovaného systému řízení.
  • klíčové požadavky zákazníka uvádí do Politiky integrovaného systému řízení, aby všichni zaměstnanci Úřadu a externí spolupracovníci vyvíjeli úsilí pro jejich dosažení a naplnění.

5.3. Politika kvality a bezpečnosti informací

Vrcholové vedení Úřadu navrhuje a minimálně 1x ročně přezkoumává Politiku integrovaného systému řízení. Politiku integrovaného systému řízení schvaluje RMČ. Politika integrovaného systému řízení musí být stanovena a aktualizována tak aby:

  • odpovídala záměrům a určení Úřadu
  • zahrnovala osobní angažovanost a aktivitu všech pracovníků při plnění požadavků
  • obsahovala závazek pro neustálé zlepšování efektivity systému řízení kvality a bezpečnosti informací
  • poskytovala rámec pro stanovení cílů kvality a bezpečnosti informací

Seznamování zaměstnanců organizace s Politikou integrovaného systému řízení probíhá podle Směrnice č. 5/2012.

5.4. Plánování

5.4.1. Cíle jakosti

Vrcholové vedení Úřadu na základě Politiky IMS stanovuje cíle. Cíle kvality a bezpečnosti informací jsou stanoveny na 1 kalendářní rok, ale je možné je stanovit i na delší období. V rámci přezkoumání integrovaného systému řízení se vyhodnocuje plnění cílů a stanovují se cíle na další kalendářní rok.

Cíle zaznamenává manažer integrovaného systému řízení do samostatného dokumentu, který schvaluje RMČ.

Každý cíl musí obsahovat:

  • název a popis cíle
  • zodpovědnou osobu za splnění cíle
  • termín, do kdy musí být cíl splněn
  • skutečný termín splnění cíle
  • důkaz o splnění cíle

Každý cíl musí být měřitelný. Jednotlivé cíle mohou vycházet z:

  • vymezení poslání Úřadu ve vztahu k zainteresovaným stranám
  • dodržování právních požadavků
  • důrazu na aktuálnost PoA a aktuálnost bezpečnostních hrozeb
  • hodnocení námětů zákazníků tj. shromažďování informací od zákazníků o požadavcích na produkt a jejich analýza
  • vypracování plánu zavedení služby

5.4.2. Plánování systému managementu jakosti

  • manažer integrovaného systému řízení po projednání s vedením Úřadu navrhuje kritéria pro řízení procesů. Pro každý proces se vytvoří minimálně 1 výkonnostní parametr, který musí být měřitelný a musí vypovídat o efektivitě daného procesu.
  • manažer integrovaného systému řízení po projednání s vedením Úřadu plánuje na jeden kalendářní rok hodnoty, kterých mají jednotlivé výkonnostní parametry dosáhnout. Tyto plánované hodnoty výkonnostních parametrů uvede jako jednotlivé cíle. U některých výkonnostních parametrů nemá povinnost plánovat jejich úroveň. Dodržuje ale zásadu, že alespoň z jednoho výkonnostního parametru pro každý proces vytvoří cíl integrovaného systému řízení.
  • manažer integrovaného systému řízení 1x ročně v rámci analýzy dat zjišťuje konkrétní hodnoty výkonnostních parametrů a zaznamenává je do Zprávy z analýzy údajů

Manažer integrovaného systému řízení pro plánování podpůrných činností souvisejících se systémem řízení využívá plán, kam plánuje termíny:

  • interních, certifikačních a dozorových auditů
  • školení
  • další činnosti související s integrovaným systémem řízení.

5.5. Odpovědnost, pravomoc, komunikace

5.5.1. Odpovědnost a pravomoc

 Odpovědnosti a pravomoci jsou řešeny systematizací pracovních míst a popisem pracovní náplně, které jsou přílohou pracovní smlouvy. V pracovní smlouvě je uvedena pracovní pozice a její specifikace je uvedena v pracovní náplni vč. odpovědností a pravomocí.

Systemizace pracovních míst doplňuje a schvaluje TAJ.

Na základě naplánovaných potřebných lidských, finančních a materiálních zdrojů jsou v Úřadu stanoveny a dokumentovány odpovědnosti, pravomoci a vzájemné vztahy všech zaměstnanců, a to v „Organizačním řádu Úřadu městské části Praha 5“.

5.5.2. Představitel managementu

RMČ jmenuje představitele vedení pro integrovaný systém řízení. Ten musí být členem vedení Úřadu. Jeho základní odpovědnosti a pravomoci jsou uvedeny na jmenovacím listu, všechny jeho odpovědnosti a pravomoci jsou uvedeny u jeho profese v Systemizaci pracovních míst.

 5.5.3. Interní komunikace

Na základě organizační struktury Úřadu a stanovených odpovědností a pravomocí, jsou vrcholovým vedením Úřadu stanoveny tyto základní způsoby vnitřní komunikace:

  • Porady tajemníka s vedoucími odborů
  • Porady vedoucích odborů – dle potřeby
  • Každodenní komunikace na jednotlivých pracovištích, které uplatňují vedoucí odborů
  • Používání elektronických nosičů (E-mail)
  • Používání vnitřní elektronické sítě a v ní zapojené informační a výpočetní technologie
  • Používání technických prostředků – pevné telefonní linky, mobilní telefony.

Vedení Úřadu na základě analýzy dat vytvořené manažerem integrovaného systému řízení provede přezkoumání integrovaného systému řízení a na jeho základě navrhne a schválí konkrétní kroky vedoucí ke zvýšení efektivnosti integrovaného systému řízení. Zaměstnanci jsou o výsledcích přezkoumání vedením a s konkrétními úkoly seznámeni prostřednictvím školení integrovaného systému řízení.

5.6. Přezkoumání systému managementu

5.6.1. Všeobecně

Vzhledem k tomu, že vrcholové vedení Úřadu je odpovědné za uplatňování a rozvíjení IMS a neustálé zlepšování jeho efektivnosti se v Úřadu vytváří aktuální soubor informací o stavu celého systému i prostřednictvím přezkoumání vedením.

5.6.2. Vstupy pro přezkoumání

Vstupem pro přezkoumání je analýza údajů, kterou provede manažer integrovaného systému řízení před poradou vedení, na které bude provedeno přezkoumání. Během analýzy shromažduje údaje, které slouží jako vstupy pro tuto analýzu. Jsou to:

  • výsledky auditů a předchozích přezkoumání
  • zpětné vazby od zákazníka
  • zpětné vazby od zainteresovaných stran
  • techniky, produkty nebo postupy, které by mohly být použity v organizaci ke zlepšení dosažené úrovně a efektivnosti
  • výkonnosti procesů
  • významné bezpečnostní aspekty a dopady, vyhodnocení bezpečnostních incidentů viz PoA
  • monitorování a měření produktu a procesu
  • stavu preventivních opatření a stavu opatření k nápravě
  • následných opatření z předchozích přezkoumání integrovaného systému řízení
  • změny, které by mohli ovlivnit integrovaný systém řízení
  • zranitelnosti nebo hrozby, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost
  • efektivnost výsledků opatření
  • opatření z předchozích přezkoumání managementu
  • změny, které by mohly ovlivnit integrovaný systém řízení
  • doporučení pro zlepšení

Výsledky analýzy zaznamená do Zápisu z analýzy údajů a ten slouží jako podklad k přezkoumání integrovaného systému řízení na poradě vedení Úřadu.

5.6.3. Výstupy z přezkoumání

Vedení Úřadu v rámci porady vedení provede přezkoumání integrovaného systému řízení. Výsledek přezkoumání zaznamená do Zápisu z porady. V rámci přezkoumání integrovaného systému řízení se posoudí příležitosti pro zlepšování a potřebu změn v integrovaném systému řízení. Provede se rovněž přezkoumání aktuálnosti Politiky IMS a aktualizace Cílů integrovaného systému řízení. Výstupem z přezkoumání musí vždy být rozhodnutí a opatření vztahující se:

  • ke zlepšování efektivnosti integrovaného systému řízení a jeho procesů
  • ke zlepšování produktu ve vztahu k požadavkům zákazníka
  • k aktualizaci hodnocení rizik a plánu zvládání rizik
  • ke změnám postupů
  • k potřebám zdrojů
  • ke zlepšování efektivnosti opatření, která byla provedena

6.0 Management zdrojů

6.1. Poskytování zdrojů

Plánování zdrojů vychází z cílů kvality a bezpečnosti informací, z výstupů z přezkoumání vrcholovým vedením Úřadu a ze schváleného rozpočtu. Organizace poskytuje potřebné zdroje pro vybudování, zavedení, provoz, monitorování, udržování a zlepšování integrovaného systému řízení. V rámci přezkoumání integrovaného systému řízení vedení organizace určuje a poskytuje zdroje pro uplatňování a udržování integrovaného systému řízení a neustálé zlepšování jeho efektivnosti. Rovněž v rámci přezkoumání integrovaného systému řízení určuje zdroje pro zvyšování spokojenosti zákazníka plněním jeho požadavků. O určení a poskytnutí zdrojů je proveden záznam v Zápisu z porady vedení. Zásady pro efektivní, hospodárné a účelné nakládání se zdroji a jejich kontrolu stanovuje příslušná; legislativa a vnitřní organizační předpisy.

6.2 Lidské zdroje

6.2.1 Všeobecně

Úřad stanovuje kompetence zaměstnanců určováním minimálních požadavků na vzdělání, výcvik, dovednosti a zkušenosti. Tyto minimální požadavky stanovuje na základě legislativních požadavků a po konzultaci s vedoucím odboru personalistiky případně s vedoucím odboru, ve kterém je pracovní pozice realizována.

6.2.2 Odborná způsobilost, vědomí závažnosti a výcviku

Pro zabezpečení procesu řízení lidských zdrojů jsou v Úřadu identifikovány, plánovány, realizovány a vyhodnoceny následující činnosti:

  • Stanovení požadavků odborné způsobilosti pracovníků v rámci jejich pracovního zařazení
  • Stanovení potřeb pracovníků pro zajištění existujících požadavků i požadavků budoucích, týkajících se strategie Úřadu, cílů a plánů
  • Získávání potřebných lidských zdrojů
  • Zabezpečování vzdělávání a výcviku pracovníků
  • Hodnocení odborné způsobilosti pracovníků vykonávat stanovenou činnost

Úřad poskytuje výcvik a školení pro získání a udržování této odborné způsobilosti. Školení a výcvik plánuje personální oddělení, které je odpovědné za tuto činnost.

Vedení organizace v rámci přezkoumání systému hodnotí i efektivnost provedených školení. Záznam o tomto hodnocení je součástí Zápisu z porady vedení a přezkoumání vedením.

Jednotliví vedoucí oddělení a odborů zajišťují a zodpovídají za informování zaměstnanců o závažnosti a důležitosti jejich činností a toho, jak přispívají k plnění jednotlivých cílů integrovaného systému řízení. Zaměstnance nadřízený pracovník informuje minimálně 1x ročně v rámci Školení integrovaného systému řízení. Zaměstnanci účast na školení potvrdí podpisem zápisu ze školení.

Personální oddělení Úřadu udržuje záznamy o vzdělání, výcviku, dovednostech a zkušenostech.

Úřad zajistí informovanost příslušného zaměstnanců o závažnosti a významu jejich činností v rámci bezpečnosti informací a jejich přínosu k dosažení cílů ISMS.

O vzdělávání a získaných znalostech jsou vedeny záznamy, uložené v osobním spise každého úředníka nebo zaměstnance.

6.3 Infrastruktura

Úřad plánuje investice pro zajišťování potřeb a očekávání všech zainteresovaných stran a na zajištění bezpečnostních požadavků na základě Směrnice č. 2/2010. Plán investic schvaluje ZMČ. Investice se realizují podle následujícího postupu:

  • Úřad převede zjištěné potřeby a požadavky do návrhu rozpočtu, vč. plánu investic.
  • Optimalizuje rozpočet, vč. plánu investic, popřípadě naplánuje tvorbu rezerv pro náročnější investice na delší časové období.
  • Realizace investic tj. výběr a hodnocení dodavatelů investic dle stanovených kritérií, zajištění dokumentace, ověření připravenosti k realizaci investic, dohled na realizaci. Zkoušky – kapacitní, zátěžové a funkční, včetně předepsaných revizí pro uvedení do provozu.
  • Předání a převzetí zařízení do provozu.
  • Vyhodnocení investiční akce z hlediska ekonomického, dodržení termínu, splnění požadovaných parametrů investice a vyhodnocení plánu investic.

Vedení organizace určuje a poskytuje infrastrukturu potřebnou pro dosažení shody s požadavky na produkt a bezpečnost informací v rámci přezkoumání integrovaného systému. Záznam o potřebě rozšíření infrastruktury je v Zápisu z porady vedení Úřadu.

Údržbu infrastruktury plánuje manažer integrovaného systému řízení ve spolupráci s vedením společnosti do plánu údržby.

6.4 Pracovní prostředí

Vrcholové vedení Úřadu určilo a řídí pracovní prostředí potřebné pro dosažení shody s požadavky na produkt.

BOZP a pracovní hygiena je v kompetenci KTA, požární ochrana je realizována externí nakupovanou službou, kdy je vždy ze strany vedení Úřadu prověřována odborná způsobilost pracovníků těchto služeb a je průběžně sledována kvality prováděných služeb.

7.0 Realizace produktu - výkon státní správy a samosprávy

7.1 Plánování realizace produktu

  • Úřad plánuje a rozvíjí procesy potřebné pro realizaci produktu. Plánování a realizace produktu je prováděno v souladu s požadavky ostatních procesů IMS a s ohledem na jakost produktu a bezpečnostní rizika. Plánování a realizace produktu je popsáno v popisech procesů a cílech integrovaného systému řízení.
  • Při plánování realizace produktu Úřad identifikuje:
  • požadavky na produkt včetně posouzení bezpečnostních rizik, požadavků právních předpisů a jiných požadavků
  • potřebu vytvořit procesy a dokumenty včetně poskytnutí zdrojů specifických pro produkt
  • požadované činnosti při ověřování, validaci, monitorování a kontrole, které jsou specifické pro produkt, a kritéria pro přijetí produktu
  • záznamy potřebné pro poskytnutí důkazu, že realizační procesy a výsledný produkt splňují požadavky.

7.2 Procesy týkající se zákazníka (občana)

7.2.1 Určování požadavků týkajících se produktu

Požadavky na výkon státní správy v přenesené působnosti jsou definovány jako soulad individuálních požadavků zákazníků (občanů) a jiných zainteresovaných stran a platných obecně závazných právních předpisů, podle nichž Úřad vykonává svou přenesenou působnost. Požadavky na výkon samostatné působnosti při plnění úkolů samosprávy jsou definovány především v žádostech občanů, jiných zainteresovaných stran a v usneseních Úřadu.

7.2.2 Přezkoumání požadavků týkajících se produktu

Přezkoumání požadavků na výkon státní správy v přenesené působnosti se provádí podle postupů definovaných v zákonech a v příslušných vnitřních organizačních předpisech. Základním požadavkem při plnění úkolů samosprávy je tvorba a zdokonalování podpůrných procesů sloužících ke kvalitnímu zajištění požadavků na výkon státní správy, jako je tvorba rozpočtu a následné hospodaření v průběhu rozpočtového období, zajištění provozu Úřadu, komplexní správa nemovitého majetku svěřeného Městské části P-5,údržba a správa veřejné zeleně a veřejných prostranství včetně dětských hřišť a sportovišť na území Městské části P-5.

7.2.3 Komunikace se zákazníkem (občanem)

Pro informování občanů a dalších zainteresovaných stran jsou vytvořeny aktivity, které umožňují přiblížení Úřadu a jeho činností směrem k občanovi. Jedná se především o úřední desku ÚMČ P5 v klasické podobě nebo na internetových stránkách ÚMČ P5 : www.Praha5.cz .

Pro další usnadnění styku občanů s Úřadem jsou v provozu informační kanceláře.

7.3 Návrh a vývoj

V souvislosti s identifikací předmětu certifikace a identifikací rozhodujících, řídících a podpůrných procesů IMS není v Úřadu uplatňován prvek 7.3 – Návrh a vývoj ve smyslu normy ČSN EN ISO 9001:2009 .

7.4 Nakupování

7.4.1 Proces nakupování

Proces nakupování je zdokumentován ve Směrnici č. 3/2010 Pro vystavování smluv a uzavírání objednávek, Směrnici č. 1/2011 O provozu budov Úřadu, Nařízení č. 7/2012 – závazný postup při zveřejnění dokumentu pro veřejné zakázky, Nařízení č. 11/2012 – interní postup pro zadávání veřejných zakázek Úřadu městské části Praha 5 tak, aby nakupovaný produkt vyhovoval specifikovaným požadavkům, včetně případných environmentálních požadavků a požadavků bezpečnosti informací. Typ a rozsah kontroly uplatněné na dodavatele a nakupovaný produkt je závislý na vlivu nakupované služby nebo výrobku na následnou realizaci produktu v Úřadu nebo konečný produkt.

V rámci procesu nakupování je stanoven a udržován postup pro identifikování rizika pro zboží, zařízení a nakupované služby používané v Úřadu a tento postup a požadavky jsou sdělovány dodavatelům a smluvním partnerům.

Dodavatelé jsou vybíráni a hodnoceni podle schopnosti dodávat svoje produkty v souladu s požadavky Úřadu. Výběr a hodnocení dodavatelů je řízen v souladu s postupem hodnocení dodavatelů.

7.4.2 Informace pro nakupování

Informace pro nakupování musí popisovat produkt, který se má nakoupit včetně:

  • požadavků na schvalování produktu, postupů, procesů a zařízení,
  • požadavků na kvalifikaci zaměstnanců,
  • požadavků na IMS,
  • požadavků právních předpisů a požadavků bezpečnosti.

Přiměřenost specifikovaných požadavků pro nakupování je zjištěna předtím, než jsou sděleny dodavateli.  Informace pro nakupování jsou vstupy pro popis procesu Nakupování.

7.4.3 Ověřování nakupovaného produktu

Ověřování nakupovaného produktu je popsáno ve Směrnici č. 2/2010 o hospodaření s finančními prostředky.

7.5 Poskytování služeb - výkon státní správy a samosprávy

7.5.1 Řízení a poskytování služeb

Řízení poskytování služeb je popsáno v popisech jednotlivých procesů identifikovaných v úřadu. Jednotlivé procesy jsou řízeny s ohledem na kvalitu výstupů, identifikovaná rizika tak, aby byly ve shodě s vyhlášenou Politikou IMS, cíli a cílovými hodnotami Úřadu.

V rámci řízení poskytování služeb jsou stanoveny takové postupy, aby veškeré činnosti probíhaly v souladu s příslušnými právními požadavky a požadavky informační bezpečnosti.

Procesy a činnosti jsou plánovány a zajišťovány s ohledem na:

  • dostupnost informací, které popisují znaky produktu
  • dostupnost provozních předpisů, technické a jiné dokumentace
  • použití vhodného zařízení
  • uplatňování monitorování a měření
  • uskutečnění činností spojených s dodávkou služeb
  • stanovená rizika.

7.5.2 Validace procesů řízení a poskytování služeb

Tento prvek je vyloučen. Důvodem vyloučení je charakter činnosti organizace.

7.5.3 Identifikace a sledovatelnost

Identifikace a sledovatelnost jednotlivých úkonů je zajištěna jednoznačným identifikačním znakem. K identifikaci slouží číslo jednací, číslo spisu/záznamu, číslo akce, identifikace občana, apod. Úkoly ZMČ a RMČ jsou identifikovatelné a sledovatelné číslem usnesení a úkoly z porad vedoucích odborů jsou identifikovatelné číslem úkolu.

7.5.4 Majetek zákazníka (občana)

Majetek občana, který Úřad dočasně obhospodařuje, je:

  • Projektová dokumentace k podaným žádostem
  • Finanční kauce

Zaměstnanci s majetkem zákazníka pracují a nakládají tak, aby nedošlo k jeho poškození nebo znehodnocení popřípadě porušení důvěrnosti, dostupnosti a integrity informací. V případě, že dojde k závažnému poškození nebo zničení majetku zákazníka, musí to pověřený zaměstnanec ohlásit zákazníkovi a vzniklá situace se řeší jako neshoda (včetně pořízení záznamu o této situaci).

7.5.5 Ochrana produktu

 Ochrana produktu je v rámci Úřadu chápana jako:

  • Přesné dodržování zákonů, vnitřních organizačních předpisů, instrukcí a postupů
  • kontrola shody zadání úkolů a poskytnuté služby
  • dodržování Kodexu etiky zaměstnanců úřadu  městské části Praha 5 (Nařízení č. 4/2011)

7.6 Řízení monitorovacích a měřících zařízení

Tento článek je vyloučen s ohledem na činnost a charakter organizace

7.7 Řízení bezpečnosti informací

Úřad identifikuje jednotlivá bezpečnostní rizika.  Na základě vyhodnocení rizik jsou přijata opatření vedoucí k odstranění, případně snížení rizik, nebo přenesení rizik na jiné subjekty (např. pojišťovny, dodavatelé).

Podrobné hodnocení rizik je popsáno v příloze Analýza rizik.

Na základě analýzy rizik je zpracována zpráva o vyhodnocení rizik a následně vypracován plán řízení rizik.

Výběr cílů:

  • na základě výsledků vyhodnocení rizik jsou z Přílohy A normy ČSN ISO/IEC 27001:2006 vybrány kontrolní cíle a opatření (viz Příloha Prohlášení o aplikovatelnosti (PoA).
  • Zlepšování:
  • neustálé zlepšování bezpečnostního profilu organizace zavedením plánu zvládání rizik.
  • Výstupem procesu je aktuální Prohlášení o aplikovatelnosti (PoA).
  • Odpovědný pracovník za celý proces: manažer IMS

8.0 Měření, analýza, zlepšování

8.1 Všeobecně

Úřad se snaží o neustálé zlepšování efektivnosti integrovaného systému řízení. Plánuje a uplatňuje procesy analýzy, monitorování, opatření k nápravě, měření a zlepšování, zejména:

  • získávání informací o spokojenosti zákazníka a zainteresovaných stran
  • údaje o způsobilosti dodavatelů
  • pro prokázání shody produktu
  • identifikaci neshod
  • určení příčin neshod
  • pro zajištění shody integrovaného systému řízení
  • vyhodnocení potřeby opatření, kterým se zajistí, že neshody se znovu nevyskytnou
  • určení a zavedení potřebných opatření k nápravě
  • zaznamenání výsledků zavedených opatření
  • přezkoumání provedených opatření k nápravě
  • neustálé zlepšování efektivnosti integrovaného systému řízení

8.2 Monitorování a měření

8.2.1 Spokojenost zákazníka (občana)

Pro získávání informací od občanů jsou stanoveny postupy, které jsou orientovány zejména na:

  • Internetové stránky Úřadu
  • diskusní fórum
  • návštěvní knihu
  • účelové ankety
  • veřejná telefonní linka
  • příspěvky občanů do novin „Pětka pro vás“
  • aktivní účast občanů na zasedání zastupitelstva
  • pravidelné neformální jednání starosty s občany
  • podávání osobních, telefonických i písemných podnětů do všech odborů Úřadu

8.2.2 Interní audit ISO

Úřad provádí minimálně 1x ročně interní audit ISO. Kromě plánovaného interního auditu ISO může navíc proběhnout mimořádný interní audit. Mimořádný interní audit se provede, pokud dojde k:

  • zásadním organizačním změnám
  • zjištění a odstranění kritické neshody na plánovaném interním auditu
  • dramatickému růstu počtu neshodných produktů
  • podnětu k mimořádnému auditu od člena vrcholného vedení úřadu

Je nezbytné, aby během ročního období, prošly interním auditem ISO veškeré procesy a činnosti Úřadu.

Interní audit ISO je zajišťován externími pracovníky nebo vlastními zaměstnanci. Při provádění interních auditů se auditor řídí normou ČSN EN ISO 19011 a nesmí být zainteresován na auditovaných procesech. Tím je zajištěna nestrannost auditora.

Požadavky na odbornou způsobilost auditora:

  • vysokoškolské vzdělání, 3 roky praxe
  • středoškolské vzdělání, 5 let praxe
  • absolvované odborné kurzy pro audit jednotlivých norem a zkušenosti s aplikací norem ČSN EN/ISO 9001:2009, ČSN ISO/IEC 27001:2006 a ČSN EN/ISO 19011:2003.
  • znalosti a dovednosti v oblasti auditu, řízení programu auditu, provádění auditu.
  • pozitivní přístup, schopnost přesvědčit, organizační schopnosti, orientační schopnosti v různých oborech činnosti, schopnost naslouchat.

Plánování interního auditu ISO:

Manažer integrovaného systému řízení dojednává s interním auditorem termíny interních auditů ISO a zaznamenává je do programu auditů.

Interní auditor ve spolupráci s manažerem integrovaného systému řízení vytváří obsahový plán interních auditů ISO, který zaznamená do Plánu interního auditu. Při plánování interního auditu ISO se zohledňuje důležitost jednotlivých procesů a oblastí v organizaci tím, že se u každé činnosti plánu auditu uvede předpokládanou dobu ověřování a výsledky předchozích auditů.

Plán auditu zahrnuje:

  • Časový harmonogram dle míst, kde má být audit prováděn s uvedením názvu organizační jednotky, jmen osob, termínů konání, auditorů, technických expertů.
  • Cíle auditu
  • Kritéria auditu tj. postupy, požadavky norem a předpisů
  • Předmět auditu – vymezení auditu z hlediska kritérií auditu včetně časového rozsahu auditu

Manažer integrovaného systému řízení připraví v organizaci podmínky pro provedení interního auditu ISO dle pokynů interního auditora.

Interní auditor v rámci přípravy na audit stanoví předmět a metodu auditu a zaznamená ji do Zápisu z interního auditu. V rámci přípravy vypracuje kontrolní seznam (checklist) pro interní audit.

Program auditu schvaluje představitel vedení pro IMS.

Průběh auditu:

Interní auditor provede audit v organizaci dle Plánu auditu a checklistu. Jednotlivé části procesů a činností organizace hodnotí do Zápisu z interního auditu dle následujících kritérií:

S - silná stránka systému řízení kvality

D – doporučení interního auditora ke zlepšení stávajícího funkčního stavu – odchylka - pouze drobné nebo formální chyby, které neovlivňují zkoumanou oblast. Doporučení je názorem interního auditora a Úřad k tomuto názoru zaujme stanovisko.

N – neshoda  - je odchylkou od požadavků aplikované normy či platné legislativy nebo nejsou dodržovány postupy ve směrnicích Úřadu a/nebo nejsou vedeny požadované záznamy. Interní auditor na závěr auditu celý audit zhodnotí a provede o tom záznam do Zápisu z interního auditu. V závěru rovněž uvede způsoby a termíny odstranění případných doporučení a poznámek.

Povinnosti zaměstnanců organizace po ukončení interního auditu ISO:

Zodpovědný zaměstnanec je povinen v nejkratším možném termínu odstranit zjištění interního auditora, která jsou zaprotokolována jako odchylky a potvrdí podpisem zjištění auditora ve své oblasti do Zápisu z interního auditu.

Manažer integrovaného systému řízení po ukončení auditu předkládá Zprávu z interního auditu vedení Úřadu. Manažer výsledky interního auditu ISO analyzuje, provede o nich záznam do Zprávy z analýzy dat, kterou vedení na příští poradě přezkoumá.

Vedení Úřadu v případě většího počtu odchylek nebo jedné neshody může stanovit datum mimořádného auditu, který ověří, zda opatření k nápravě jsou účinná.

Zápis z interního auditu má manažer kvality uložen ve svém šanonu a musí jej archivovat minimálně po dobu určenou v tabulce Seznam záznamů.

8.2.3 Monitorování a měření procesů

Monitorování procesů výkonu státní správy a plnění úkolů samosprávy je zajištěno zejména:

  • Přezkoumáním vrcholovým vedení
  • Interními audity SMJ
  • Veřejnoprávní kontrolou
  • Finanční kontrolou
  • Pravidelným hodnocením hospodaření městské části

Vedení Úřadu:

  • Stanovuje výkonnostní parametry pro jednotlivé procesy.
  • Konkrétní úroveň výkonnostních parametrů plánuje na jím stanovené období do Cílů jakosti a informační bezpečnosti.

Manažer IMS

  • V rámci analýzy údajů vyhodnotí skutečné úrovně výkonnostních parametrů za analyzované období. Výsledek zaznamená do Zprávy z analýzy údajů.
  • Porovná skutečné hodnoty výkonnostních parametrů procesů s hodnotami naplánovanými v cílech jakosti a informační bezpečnosti.

Vedení Úřadu

  • Na základě Zprávy z analýzy údajů projednává na příští poradě příčiny nedosažení plánovaných hodnot výkonnostních parametrů a, je-li to možné, stanovuje opatření k nápravě.

Manažer IMS

  • Eviduje nesplnění plánovaných hodnot výkonnostních parametrů jako neshody do tabulky Evidence neshod.

8.2.4 Monitorování a měření produktu

Monitorování a měření výsledného produktu - služby zákazníkům (občanům) je zajišťováno systémem průběžných kontrol v průběhu všech činností a postupů. Tyto činnosti a postupy jsou dokumentovány v Kontrolním řádu (příloha č. 5 Organizačního řádu) příslušných vnitřních organizačních předpisech. Jsou stanoveny pravomoci a odpovědnosti vedoucích úředníků při uvolňování produktu – realizaci úkolů státní správy a plnění úkolů samosprávy ve prospěch zákazníka (občana).

8.3 Řízení neshodného produktu

V průběhu procesů může dojít k tomu, že požadavek na produkt nebude splněn. Proces nebo produkt, který nesplňuje požadavky, potřeby a očekávání zainteresovaných stran je definován jako neshoda – neshodný produkt (případně bezpečnostní incident).

Za účelem zajištění plynulosti procesů jsou přijímána opatření, aby negativní vlivy byly včas odhaleny, systematicky zmírňovány a eliminovány tj. aby bylo zajištěno trvalé zlepšování procesů. Zásady pro řízení neshod a přijímání opatření k nápravě a preventivní opatření v rámci procesů a realizace produktů stanoví tento postup.

Je povinností každého zaměstnance Úřadu předkládat informace o neshodách v jakékoli etapě procesu neprodleně svému nadřízenému.

Při zjišťování neshod se musí vycházet z pracovních postupů, zákonných požadavků, předpisů, z kriterií pro produkt a z volby monitorovacích a kontrolních míst, kde lze předpokládat výskyt příčin neshod a neshod samých.

Manažer integrovaného systému řízení rozhoduje o způsobu naložení s neshodným produktem po poradě s vedoucím oddělení, kde k neshodě došlo.

Manažer IMS výskyt neshodného produktu zaznamená do tabulky Evidence neshod. Úřad musí s neshodným produktem naložit jedním ze tří uvedených způsobů:

  • přijetím opatření pro odstranění neshody
  • schválením a akceptováním neshodného produktu zákazníkem

Vedoucí oddělení, kde došlo k neshodě, pověří některého zaměstnance vyřešením neshody. Pověřený zaměstnanec ústně instruuje všechny zaměstnance, kteří se budou podílet na řešení neshody. Po odstranění neshody informuje manažera integrovaného systému řízení o způsobu odstranění neshody a ten do tabulky Evidence neshod zaznamená způsob odstranění neshody a datum vyřešení neshody.

Šetření neshod (bezpečnostních incidentů):

Spočívá ve zjištění příčin vzniku neshod, určení do jaké míry tyto příčiny přispívají ke vzniku neshody a zda ve výskytu neshod existuje pravidelnost a určité trendy.

Za přezkoumání neshody a přijetí rozhodnutí o potřebě přijetí opatření je odpovědný tajemník Úřadu. Rozhodnutí o tom, zda bude provedena pouze náprava neshody, nebo bude přijato opatření k nápravě nebo preventivní opatření, musí být zaznamenáno.

Evidence neshody:

Účelem evidence je zakládání záznamů o neshodách a sledování, zda se identifikované neshody opakují i v případě, že příčiny byly odstraněny. Evidence neshod poskytuje údaje pro analýzy neshod:

  • četnost neshod,
  • jejich trend, charakter, příčiny
  • míru vlivu na bezpečnost informací apod.

Charakteristika přijímaných opatření:

  • Opatření k nápravě je opatření přijaté s cílem odstranit příčiny neshody nebo jiné nežádoucí situace a zabránit jejich opakovanému výskytu.
  • Preventivní opatření je opatření přijaté s cílem zabránit výskytu potenciálních neshod.
  • Optimalizace je vytvoření prostředí, které aktivně motivuje k hledání příležitostí pro zlepšování výkonnosti procesu, jeho plynulosti a k zlepšování činnosti a produktu, zlepšování bezpečnostního profilu.

8.4 Analýza údajů

Za účelem stanovení postupů pro identifikaci, shromažďování a analyzování vhodných údajů pro neustálé zlepšování efektivnosti IMS a v souvislosti s charakterem a identifikovanými hlavními procesy IMS, jsou znaky a trendy procesů a produktů analyzovány v následujících oblastech:

  • Podněty a spokojenost zákazníků (občanů)
  • Shody s požadavky na produkt
  • Plnění cílů jakosti a bezpečnosti informací
  • Ekonomika a finance
  • Rozvoj území
  • Majetek svěřený do správy Úřadu  
  • Znaky a trendy procesů a produktů, včetně příležitosti pro preventivní opatření
  • Hodnocení dodavatelů

8.5 Zlepšování

8.5.1 Neustálé zlepšování

Každý úředník a zaměstnanec Úřadu je povinen podle svých možností a schopností usilovat o trvalé zlepšování výkonu státní správy a zabezpečování úkolů samosprávy na svém úseku. Každý vedoucí úředník je odpovědný za plnění strategických cílů městské části realizací jejich každoročních etap v útvaru, který řídí. Dále je odpovědný za realizaci parametrů zlepšování v procesu, jehož je jím řízený útvar majitelem. Metodou zlepšování je trvalé porovnávání systému s příslušným ustanovením normy.

8.5.2 Opatření k nápravě

Úřad provádí opatření k nápravě proto, aby se zabránilo opakovanému výskytu neshod a bezpečnostních incidentů. Opatření k nápravě jsou stanovována přiměřeně ke zjištěným důsledkům zjištěných neshod.

Manažer integrovaného systému řízení na základě tabulky Evidence neshod přezkoumává jednotlivé neshody v nejkratším možném termínu po jejich vzniku. Při přezkoumání spolupracuje s vedoucím oddělení, kde k neshodě došlo nebo s pověřeným zaměstnancem pro řešení daného typu neshody, případně i se zaměstnancem, který neshodu identifikoval.

Manažer integrovaného systému řízení ve spolupráci s pověřeným zaměstnancem a případně zaměstnancem, který neshodu identifikoval, stanoví příčinu neshody. Příčinu neshody a datum stanovení příčiny zaznamená do tabulky Evidence neshod do kolonek „datum stanovení příčiny“ a „stanovená příčina“.

Manažer integrovaného systému řízení po poradě s vedoucím oddělení, kde k neshodě došlo, rozhoduje o potřebě přijetí opatření k nápravě. Manažer integrovaného systému řízení musí přijmout opatření k nápravě v případě, že shledá důsledek neshody závažný. U neshod, jejichž důsledek neshledá závažný, musí opatření k nápravě přijmout pouze v případě, že docházelo k opakovanému výskytu stejných nebo podobných neshod. Rozhodnutí o přijetí nebo nepřijetí opatření k nápravě zaznamená do tabulky Evidence neshod do kolonky „nutnost přijetí opatření k nápravě“.

Manažer integrovaného systému řízení ve spolupráci s pověřeným zaměstnancem stanoví potřebné opatření k nápravě. Manažer integrovaného systému řízení přijaté opatření k nápravě a datum jeho přijetí zaznamená do tabulky Evidence neshod do kolonek „datum přijetí opatření k nápravě“ a „přijaté opatření k nápravě“. Manažer integrovaného systému řízení do tabulky Evidence neshod rovněž naplánuje termín kontroly výsledků opatření k nápravě do kolonky „termín kontroly“. Pověřený zaměstnanec zodpovídá za realizaci opatření k nápravě. Při realizaci opatření k nápravě spolupracuje s podřízenými zaměstnanci, případně dalšími zaměstnanci, které určí manažer integrovaného systému řízení.

Manažer integrovaného systému řízení v termínu uvedeném v Evidenci neshod ve spolupráci s pověřeným zaměstnancem provede kontrolu výsledku opatření k nápravě. Výsledek kontroly zaznamená do tabulky Evidence neshod do kolonky „výsledek opatření“.

Interní auditor ve spolupráci s manažerem integrovaného systému řízení provede v rámci interního auditu přezkoumání provedených opatření k nápravě. Interní auditor výsledek přezkoumání provedených opatření zaznamená do Zápisu z interního auditu. V případě, že se při interním auditu dojde ke zjištění, že opatření k nápravě není účinné, jedná se o neshodu. Manažer integrovaného systému řízení tuto neshodu musí zaevidovat do tabulky „Evidence neshod“ a dle výše uvedeného postupu přijmout nové opatření k nápravě.

8.6 Preventivní opatření

Vedení Úřadu v rámci porady určuje potenciální neshody a jejich příčiny.  Manažer integrovaného systému řízení potenciální neshodu zaznamená do tabulky Preventivní opatření do kolonky „popis potenciální neshody“. Datum identifikování potenciální neshody zaznamená do kolonky „datum zjištění potenciální neshody“. S pověřeným pracovníkem tuto potenciální neshodu přezkoumá a určí její příčinu. Příčinu neshody manažer kvality zaznamená do tabulky Preventivní opatření do kolonky „příčina potenciální neshody“.

Manažer integrovaného systému řízení rozhoduje o potřebě přijetí opatření k zabránění výskytu potenciální neshody. Při rozhodování o přijetí preventivního opatření zvažuje:

  • riziko výskytu potenciální neshody
  • závažnost následků potenciální neshody
  • ekonomickou efektivitu přijetí preventivního opatření

Rozhodnutí o přijetí nebo nepřijetí preventivního opatření zaznamená do tabulky Preventivní opatření do kolonky „přijetí preventivního opatření“.

Manažer integrovaného systému řízení ve spolupráci s pověřeným zaměstnancem stanoví potřebné preventivní opatření. Manažer integrovaného systému řízení přijaté preventivní opatření a datum jeho přijetí zaznamená do tabulky Preventivní opatření do kolonek „datum přijetí preventivního opatření“ a „přijaté preventivní opatření“. Do tabulky Preventivní opatření rovněž naplánuje termín kontroly výsledků preventivního opatření do kolonky „termín kontroly“. Pověřený zaměstnanec zodpovídá za realizaci preventivního opatření. Při realizaci preventivního opatření spolupracuje s podřízenými zaměstnanci, případně dalšími zaměstnanci, které určí manažer IMS.

V termínu uvedeném v tabulce Preventivní opatření ve spolupráci s pověřeným zaměstnancem provede kontrolu výsledku opatření k nápravě. Výsledek kontroly zaznamená do tabulky Preventivní opatření do kolonky „výsledek opatření“.

Interní auditor ve spolupráci s manažerem integrovaného systému řízení provede v rámci interního auditu přezkoumání provedeného preventivního opatření. Interní auditor výsledek přezkoumání provedeného opatření zaznamená do Zápisu z interního auditu. V případě, že při interním auditu dojde ke zjištění, že preventivní opatření není účinné, manažer integrovaného systému řízení přezkoumá, zda je ekonomicky vhodné přijmout jiné preventivní opatření. Pokud manažer integrovaného systému řízení rozhodne o potřebě přijetí nového preventivního opatření k potenciální neshodě, provede o tom nový záznam do tabulky Preventivní opatření.

………………….………..

JUDr. Jan Dufek

pověřený výkonem funkce tajemníka ÚMČ Praha 5


Perla zHELPkontaktySS FacebookTato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.sponzorFio banka Domu