Zarządzanie bezpieczeństwem to termin dość powszechnie używany, choć nie do końca rozumiany. Podejmijmy zatem w pierwszej kolejności kwestię tego, co oznacza w nieco bardziej praktyczny sposób. Zarówno w podręcznikach, jak i standardach związanych z zarządzaniem bezpieczeństwem możemy znaleźć kilka różnych definicji określających poruszane przez nas zagadnienie. Istotą nie są jednak teoretyczne rozważania, a wskazanie praktycznej strony, stosunkowo trudnego procesu. Przejdźmy więc do strony praktycznej.
Bezpieczeństwo jako proces?
Kilka lat temu pojawiła się kontrowersyjna teoria, w której bezpieczeństwo rozumiane jest jako proces. Trudno się z tym zgodzić, jako że bezpieczeństwo praktycznie od zawsze traktowane jest jako stan. Stan wolny od zagrożeń. Mając ściśle sprecyzowane parametry, czyli w uproszczeniu: “co oznacza stan wolny od zagrożeń?”, możemy dążyć do niego stosując różne środki ochrony.
To jest właśnie istota zarządzania bezpieczeństwem, które to zarządzanie jest dopiero procesem. Składa się z pewnych działań, etapów, podprocesów.
Od czego zacząć?
Istotne jest zrozumienie, iż istnienie procesu zależne jest od początku czegoś. Dość odważnie można stwierdzić, że proces zarządzania bezpieczeństwem zaczyna się od projektu. Takiego projektu, którego celem jest określenie systemowego podejścia do bezpieczeństwa, wskazania jego aktorów, audytorium, narzędzi organizacyjnych i technicznych. Osoby, które na co dzień korzystają z norm ISO mogą nieco prościej wyobrazić sobie złożoność procesu. A wszystko dlatego, że struktura HLS (high level strucutre), według której są wydawane obecne normy, zawiera już w sobie pewien “przewodnik” po podejściu systemowym. Z tego powodu w dalszej części artykułu i kolejnych publikacjach znajdą się odniesienia do konkretnych części norm ISO.
Projekt opracowania i wdrożenia systemu zarządzania bezpieczeństwem można podzielić na cztery etapy:
- Wiedza,
- Pomysł,
- Realizacja,
- “Sprawdzenie”.
Cztery, stosunkowo proste etapy. Każdy z nich zawiera nieco inne wymagania dla zespołu, narzędzi. Posiadają też różne mierniki i wskaźniki.
Po pierwsze: wiedza.
Pod tym hasłem kryje się wiedza o organizacji i jej dalszym lub bliższym otoczeniu. W zarządzaniu organizacjami jest to makrootoczenie i mikrootoczenie. W normach ISO, od pierwszej normy poświęconej zarządzaniu ryzykiem używa się określeń:
- Kontekst zewnętrzny – dotyczy makro i mikrootoczenia,
- Kontekst wewnętrzny – dotyczy tego, co dzieje się w organizacji.
Wiedza ta materializuje się w postaci różnego rodzaju analiz, często kończonych w formie analizy SWOT.
Po drugie: pomysł.
Każda organizacja “ma na siebie pomysł”, pewne koncepcje (nie zawsze spisane), które mówią, jak organizacja będzie działać w obszarze bezpieczeństwa oraz jakimi wartościami będzie się kierować. W niektórych organizacjach pojawia się spisana polityka bezpieczeństwa; ta o charakterze deklaratywnym, podająca to podejście do wiadomości stron. Często bywa wymuszona poprzez wdrożony system zarządzania zgodny z konkretną normą ISO.
Po trzecie: realizacja.
Mając pomysł trzeba go zrealizować. W innym wypadku, polityka pozostanie w sferze życzeń i marzeń. Planowanie postępowania z ryzykiem, (jak to jest nazwane w normach dedykowanych ryzyku), czy zarządzania bezpieczeństwem, (jak pojawia się w pozostałych standardach lub nauce o zarządzaniu), jest kluczowym działaniem. Bierze pod uwagę dwa poprzednie kroki, w których wynik analiz zestawiany jest z pewnym wyobrażeniem opisanym w polityce bezpieczeństwa.
Co ciekawe, wyniki analiz z kroku pierwszego potrafią czasem potrząsnąć organizacją. Często okazuje się, że działania departamentów bezpieczeństwa, działów ochrony i pełnomocników oparte są o wyobrażenia, które nie mają odzwierciedlenia w rzeczywistości. Bywa, że jest to przeniesienie obrazu z innej organizacji, ze szkolenia czy konferencji. Warto pamiętać o tym, że każda organizacja jest inna, a strategia bezpieczeństwa wynikać powinna nie tylko z życzeń kierujących organizacją, ale również powinna brać pod uwagę m.in. typ organizacji, charakter działalności i jej otoczenie. Właśnie to planuje realizację – strategia. Plan alokacji sił i środków, w celu uzyskania określonych celów zawartych w polityce.
Po czwarte: “sprawdzenie”.
Każda wdrożona koncepcja, pomysł czy założenie trzeba sprawdzić, również w bezpieczeństwie. Inaczej będzie nadal w fazie koncepcji, a nie działającego systemu. W tym kroku mówimy o audycie i jego kilku odmianach:
- Audyt wdrożeniowy, oparty o audyt zgodności, ze wskazaniem stopnia wdrożenia (procentowo);
- Audyt skuteczności systemu, realizowany dopiero po uzyskaniu co najmniej 75%, a nawet więcej wdrożenia założeń.
Jeśli obie odmiany audytu dostarczą nam informacji o tym, że system jest wdrożony, funkcjonuje i jest skuteczny, można zakończyć projekt i przejść do działającego systemu zarządzania bezpieczeństwem. Zgodnie z podejściem Deminga, który zwany jest “ojcem jakości”, warto w tym momencie przyjąć cykl PDCA jako wiodący w zarządzaniu bezpieczeństwem.
Cykl artykułów poświęconych zarządzaniu bezpieczeństwem będzie zawierał odpowiedzi na pytania jakie to etapy, procesy i działania należy podjąć, by zrozumieć istotę terminu.