Opis funkcjonalności modułów Qasystent SZBI i ODO (systemu zarządzania bezpieczeństwem informacji i ochroną danych osobowych):
Kontekst organizacji
Celem modułu jest dokumentowanie okresowych analiz czynników mających wpływ na zdolność organizacji do osiągania zamierzonych celów, opisanie zakresu i wyłączeń systemu oraz potrzeb i oczekiwań stron zainteresowanych. Po wejściu w moduł każdy pracownik ma możliwość zapoznać się z aktualną analizą czynników mających wpływ na zdolność organizacji do osiągania zamierzonych celów, zakresem oraz wyłączeniami danego systemu zarządzania oraz potrzebami i oczekiwaniami stron zainteresowanych. Uprawniony użytkownik ma możliwość sporządzenia analizy otoczenia organizacji za pomocą różnych metod. Program pozwala dokonać opisu w postaci nieusystematyzowanej lub zgodnie z metodyką SWOT (Strengths, Weaknesses, Opportunities, Threats) lub PEST (Political, Economic, Social, Technological). Analizy można dokonywać okresowo np. raz do roku przy okazji przeglądów zarządzania. W przypadku gdy w systemie zaewidencjonowano więcej niż jedną analizę, w module pojawia się dodatkowy filtr pozwalający przeglądać analizy archiwalne. Każdą z dokonanych analiz można uzupełnić uwagami lub podsumować wnioskami.
Polityka i cele SZBI
Podobnie jak w systemach zarządzania jakością również podstawą systemowego zarządzania bezpieczeństwem informacji jest ustanowienie jasnej deklaracji polityki w tym zakresie przez kierownictwo organizacji. Za pośrednictwem systemu Qasystent pracownicy mają szybki dostęp do Polityki BI jak i spójnych z nią celów powiązanych jednocześnie z procesami oraz wskaźnikami ich pomiarów. Moduł ewidencjonuje wszystkie zmiany Polityki Bezpieczeństwa Informacji z możliwością wglądu do archiwalnych jej wersji.
Wymagania SZBI i ODO
Celem modułu jest przedstawienie wszystkim pracownikom w przejrzystej formie wymagań systemu zarządzania bezpieczeństwem informacji i ochrony danych osobowych określonych w dokumentacji organizacyjnej i aktach normatywnych powszechnie obowiązujących. Każdy pracownik organizacji po otworzeniu modułu ma dostęp do dokumentów określających wymagania systemu. Jeżeli w ustawieniach modułu zdefiniowano prezentację wymagań w formie wykazu wówczas dokumenty określające wymagania wyświetlane są w formie rejestru. Wykaz dokumentacji jest wówczas przedstawiony w podziale na dwie kategorie: dokumenty organizacyjne, akta normatywne powszechnie obowiązujące. Jeżeli w ustawieniach modułu zdefiniowano, że wymagania są prezentowane w formie schematu graficznego dokumentacji wówczas dokumenty określające wymagania mogą są prezentowane w formie graficznego schematu odzwierciedlającego m.in. ich hierarchię i wzajemne powiązania dokumentów. Schemat graficzny przygotowywany jest przez uprawnionego użytkownika za pomocą wbudowanego w program edytora graficznego.
Sprzęt komputerowy
Celem modułu jest usprawnienie zarządzenia infrastrukturą informatyczną w urzędzie. Za pomocą modułu można ewidencjonować wszystkie urządzenia informatyczne oraz zainstalowane na nich oprogramowanie. Administrator ewidencjonując sprzęt ma możliwość pogrupowania go w zestawy oraz oznaczenia obowiązku okresowym przeglądom stanu technicznego (w module SZBHP→przeglądy obiektów i urządzeń). Oprócz kontroli stanu technicznego wymaganych przez przepisy prawa, program umożliwia także ewidencjonowanie bieżących przeglądów realizowanych przez informatyka lub inne wyspecjalizowane podmioty. Przeglądy tego typu często wynikają z wewnętrznych regulacji i dotyczą całości sprzętu lub tylko części np. serwerów, a ich celem jest zapewnienie ciągłości pracy urządzeń. Każdy zaewidencjonowany sprzęt można też przypisać do użytkownika. Założenie i aktualizowanie ewidencji jest ułatwione poprzez automatyczne pobieranie danych o parametrach komputera i zainstalowanym na nim oprogramowaniu bez konieczności fizycznego dostępu do włączonego i podłączonego do sieci komputera z zainstalowanym systemem Windows 2000 lub nowszym. Oprócz odczytu parametrów sprzętowych odczytywane jest również zainstalowane na komputerach oprogramowanie. Qasystent przy sczytywaniu oprogramowania automatycznie wiąże je z licencjami (w module SZBI i ODO→licencje na oprogramowanie). Moduł umożliwia także szczegółowe ewidencjonowanie wszelkiego rodzaju umów serwisowych i ich zmian. Oprócz powyższego system obsługuje zgłoszenia problemów sprzętowych oraz prowadzenie gospodarki magazynowej materiałów eksploatacyjnych dedykowanych dla sprzętu komputerowego. Użytkownicy uprawnieni w karcie sprzętu posiadają także dostęp do dziennika urządzenia. W dzienniku tym administrator może ewidencjonować wszystkie istotne czynności podejmowane na serwerze lub innym komputerze. Część czynności np. instalacje oprogramowania, wydanie materiałów eksploatacyjnych, czy zgłoszone i usunięte awarie ewidencjonują się automatycznie.
Licencje na oprogramowanie
Celem modułu jest usprawnienie zarządzenia licencjami w urzędzie. Moduł umożliwia nadzór nad zakupionymi licencjami na oprogramowanie poprzez ich automatyczne zliczanie zarówno po stronie zakupów jak i instalacji. Po wejściu w moduł uprawniony użytkownik ma możliwość szybkiego wglądu w wykaz posiadanych licencji oraz przefiltrowania go po kategorii, typie licencji oraz statusie. W karcie programu oprócz informacji o aktualnym stanie ilościowym, dostępne są też informacje o zakupach płatnych licencji Instalacje danego programu są zaś automatycznie sczytywane z modułu SZBI i ODO→sprzęt komputerowy. Oprócz ewidencji posiadanych przez urząd programów moduł umożliwia także prowadzenie rejestru umów licencyjnych ze szczegółowym opisem każdej umowy oraz wszystkich dokonanych w ramach umowy zmian.
Certyfikaty bezpieczeństwa
Celem modułu jest wspomaganie organizacji w prowadzeniu rejestru certyfikatów bezpieczeństwa i nadzorze nad terminami ich ważności. Moduł umożliwia wnioskowanie o wydanie certyfikatu i/lub ewidencjonowanie dowolnych certyfikatów bezpieczeństwa. Zakres prowadzonej w programie ewidencji zawiera m.in. określenie rodzaju certyfikatu, numeru, dostawcy, właściciela (podmiotu certyfikatu: pracownika lub innego podmiotu) oraz jego ważności. Po zaewidencjonowaniu certyfikatu wymusza też na jego właścicielu potwierdzenie jego posiadania. Moduł informuje też osoby odpowiedzialne o zbliżających się terminach wygaśnięcia certyfikatów oraz umożliwia w związku z tym sporządzanie stosownych zestawień.
Centrum pomocy IT
Celem modułu jest dostarczenie użytkownikom kanału komunikacji do zgłaszania problemów z obszaru IT, dokumentowanie obsługi zgłoszeń oraz nadzorowanie terminowości ich realizacji. Za pomocą modułu można zgłaszać problemy sprzętowe oraz inne problemy informatyczne. Każdy urząd może indywidualnie kształtować słownik klasyfikacji zgłoszeń. Zgłoszenia w zależności od ich klasyfikacji mogą być obsługiwane przez różne osoby i w różnych zadanych w konfiguracji modułu terminach. Moduł udostępnia także graficzną analizę terminowości realizacji zgłoszeń.
Przetwarzanie danych osobowych
Celem modułu jest wspomaganie administratora, inspektora ochrony danych i/lub podmiot przetwarzający w prowadzeniu rejestru czynności przetwarzania i/ub rejestru kategorii czynności przetwarzania zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Za pomocą modułu rejestruje się czynności przetwarzania danych osobowych oraz kategorie czynności przetwarzania z możliwością oznaczenia obszaru przetwarzania tych danych. W zaewidencjonowanych pozycjach rejestru można też w dowolnym czasie dokonywać zmian z zachowaniem pełnej historii aktualizacji rejestrów. Poza tym nadzorujący ma bieżący wgląd w rejestr osób upoważnionych do danej czynności przetwarzania danych osobowych (z bezpośrednim dostępem do upoważnień tych osób), aplikacji wspomagających dany proces przetwarzania danych osobowych, czy naruszeń ochrony danych osobowych dotyczących danej czynności przetwarzania. Oprócz tego w module można szczegółowo ewidencjonować umowy powierzenia przetwarzania danych osobowych.
Klauzule informacyjne
Celem modułu jest wspomaganie organizacji w zarządzaniu klauzulami informacyjnymi oraz dystrybucji klauzul informacyjnych kierowanych do pracowników w ramach organizacji. Moduł umożliwia przygotowywanie i ewidencjonowanie przez uprawnionych pracowników klauzul informacyjnych zgodnie z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Program umożliwia odnotowanie klauzuli informacyjnej wraz z plikiem zawierającym jej treść lub ewidencję klauzuli bezpośrednio w edytorze tekstu wbudowanym w system. Ewidencjonując treść klauzuli w systemie można skorzystać z wbudowanego słownika typowych klauzul zdefiniowanych w programie, które można edytować i dostosowywać do własnych potrzeb. Poza prowadzeniem ewidencji klauzul informacyjnych, program dla klauzul kierowanych do pracowników automatycznie informuje o nich osoby zainteresowane i wymusza potwierdzenie zapoznania się z nimi.
Upoważnienia do przetwarzania
Celem modułu jest wspomaganie organizacji w przygotowywaniu, ewidencjonowaniu oraz nadzorowaniu upoważnień do przetwarzania danych osobowych. System Qasystent pozwala na przygotowanie i nadzorowanie tworzenia wszystkich upoważnień do przetwarzania danych osobowych wydanych w urzędzie, których rodzaje definiuje się w ustawieniach modułu. Upoważnienie może być wydane w następstwie złożonego przez przełożonego w systemie wniosku lub bezpośrednio zainicjowane w systemie przez osobę uprawnioną. Program umożliwia też grupowe wydawanie upoważnień oraz wycofanie upoważnień.
Uprawnienia w aplikacjach
Modułu uprawnienia w aplikacjach wspomaga urząd w nadzorze nad użytkowanymi w organizacji aplikacjami oraz nadawaniem użytkownikom uprawnień do nich. System prowadzi rejestr użytkowanych w organizacji aplikacji komputerowych, ich użytkowników oraz historii aktualizacji. W ramach każdej z aplikacji jest możliwość zdefiniowania uprawnień/ról wraz ze wskazaniem ich do poziomu dostępu (podstawowy - rola typowego użytkownika, rozszerzony - rola użytkownika funkcyjnego, uprzywilejowany - rola administratora). W przypadku aplikacji zewnętrznej istnieje też możliwość wskazania pliku ze wzorem wniosku o nadanie/odebranie uprawnień, jeżeli został on określony przez właściciela danej aplikacji. Aktualni użytkownicy aplikacji wewnętrznych lub zewnętrznych oprócz wysyłanych automatycznie informacji o nowych aktualizacjach programu mogą otrzymywać dowolne informacje wysyłane z programu przez administratora aplikacji np. informacje o czasowych wyłączeniach systemu. Istotą i główną funkcjonalnością modułu jest natomiast rozbudowany i elastyczny system wnioskowania o nadanie lub odebranie uprawnień pracownikom. Za pomocą modułu przełożony może elektronicznie zawnioskować o nadanie/odebranie uprawnień i w dalszej kolejności wszystkie zaangażowane w proces osoby mogą potwierdzać kolejne etapy realizacji nadawania uprawnień. Przygotowujący wniosek wskazuje nadawane lub odbierane uprawnienia w poszczególnych aplikacjach. Użytkownik ma też możliwość skopiowania uprawnień z aktualnych uprawnień innego pracownika lub z zapisanego wcześniej szablonu uprawnień. Jeżeli aplikacje wyszczególnione we wniosku przetwarzają dane osobowe a pracownik nie posiada w systemie zarejestrowanego upoważnienia do przetwarzania danych osobowych w tych zbiorach lub czynnościach przetwarzania, wówczas w zależności od ustawień program blokuje kończenie tworzenia wniosku lub tylko informuje o tym pracownika lub nie podejmuje żadnej akcji. Jeżeli we wniosku wskazane są aplikacje zewnętrze, dla których w karcie aplikacji został załączony indywidualny wzór wniosku o nadanie uprawnień, wówczas pracownik wnioskujący o nadanie uprawnień informowany jest o powyższym stosownym komunikatem z załączonym wzorem wniosku. Przygotowując wniosek przełożony ma również możliwość podglądnięcia jak będą wyglądały uprawnienia pracownika po zatwierdzeniu tworzonego wniosku (dodaniu bądź odebraniu części posiadanych przez niego uprawnień). Po utworzeniu wniosku może on też trafić do zaopiniowanie przez koordynatorów merytorycznych poszczególnych aplikacji ujętych we wniosku lub od razu trafić do akceptacji i/lub zatwierdzenia. Oprócz obsługi wniosków system ewidencjonuje również pełną historię zmian uprawnień pracownika, pozwalając w szybki sposób uzyskać informacje o uprawnieniach pracownika na dany dzień.
Udostępnienia danych osobowych
Moduł Udostępnianie danych osobowych umożliwia prowadzenie elektronicznego rejestru udostępnionych danych osobowych i zawiera informacje o wnioskującym, dacie wniosku, podstawie prawnej upoważniającej do udostępnienia danych, zakresie udostępnionej informacji oraz terminie i osobie udostępniającej. W poprzednim stanie prawnym prowadzenie ewidencji udostępnień danych osobowych było obowiązkiem administratora danych osobowych. W aktualnych przepisach nie ma już tak jednoznacznie określonego obowiązku w tym zakresie. RODO nie zawiera szczegółowych wymogów dotyczących środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. W związku z powyższym i mając na względzie fakt, że administrator musi posiadać nadzór nad tak kluczowym elementem przetwarzania danych osobowych jakim jest udostępnianie, należy rozważyć czy powyższe mechanizmy, przynajmniej w jakimś ograniczonym zakresie, nie powinny stanowić elementów polityki ochrony danych osobowych w organizacji. Pomocnym do tego może być niniejszy moduł. Każdy pracownik udostępniający informacje ma możliwość odnotowania powyższego faktu w prowadzonym w programie rejestrze. Ewidencjonowanie udostępnienia danych osobowych polega na wskazaniu informacje o wnioskującym, dacie wniosku i dacie jego wpływu, podstawie prawnej upoważniającej do udostępnienia danych, zakresie udostępnianej informacji oraz dacie udostępnienia oraz danych osoby udostępniającej.
Prawa podmiotów danych
Celem modułu jest wspomaganie organizacji w rozpatrywaniu oraz nadzorowaniu terminowości realizacji żądań podmiotów, których dane osobowe są przetwarzane. Moduł pozwala ewidencjonować i prowadzić obsługę wniosków:
- o dostęp do danych osobowych (art. 15 RODO),
- o sprostowanie danych osobowych (art. 16 RODO),
- o usunięcie danych osobowych (art. 17 RODO),
- o ograniczenie przetwarzania danych osobowych (art. 18 RODO),
- o przeniesienie danych osobowych (art. 20 RODO),
- sprzeciwu wobec przetwarzania danych osobowych (art. 21 RODO).
Po wyborze modułu domyślnie wyświetla się rejestr wniosków podmiotów, których dane osobowe są przetwarzane. Wnioski pogrupowane są wg rodzajów żądań określonych w RODO. Użytkownicy uprawnieni posiadają nieograniczony wgląd w żądania podmiotów. Pozostali pracownicy posiadają dostęp ograniczony do rejestru żądań, dla których dany pracownik jest wskazany jako osoba odpowiedzialna za wykonanie zadania. W ramach obsługi wniosku dokonuje się jego analizy oraz ustala czy tożsamość wnioskodawcy jest bezsporna. Jeżeli forma wniosku i jego sposób dostarczenia nie daje pewności co do tożsamości wnioskodawcy wówczas można podjąć dodatkowe działania celem potwierdzenia jego tożsamości. Można też wstępnie ustalić czy dane wnioskodawcy są przetwarzane przez administratora i określić aktywa informacyjne potencjalnie objęte żądaniem. Po wybraniu aktywów objętych zgłoszeniem program automatycznie prezentuje ich właścicieli oraz wszystkie systemy informatyczne, w których przetwarzane są dane osobowe wraz z ich właścicielami. Jeżeli do uznania żądania bądź jego nie uznania wymagane jest podjęcie dodatkowych działań np. zaciągnięcie opinii właścicieli aktywów itp. można zlecić działanie w systemie, określić osobę odpowiedzialną za nie oraz termin jego realizacji. Zarówno analiza jak i dodatkowe działania przed ustosunkowaniem się do żądania nie są wymagane, jeżeli pracownik prowadzący ma niezbędną do tego wiedzę czy odrzucić czy zaakceptować żądanie i przekazać do dalszej realizacji. Po zaakceptowaniu żądania użytkownik uprawniony w dalszym ciągu ma możliwość dokonywania lub uzupełnienia analizy aktywów potencjalnie objętych żądaniem oraz zlecania prac koniecznych do zakończenia obsługi wniosku.
Aktywa informacyjne
Celem modułu jest wspomaganie zarządzania informacją wykorzystywaną w organizacji. W systemach bezpieczeństwa informacji m.in. zgodnych z normą ISO 27001, kluczowym aktywem podlegającym ochronie jest informacja, która musi zostać zidentyfikowana, opisana oraz sklasyfikowana. Moduł umożliwia prowadzenie rejestru zidentyfikowanych informacji zgodnie z powyższymi zaleceniami. Opisując informacje, jej właściciel ma możliwość wskazania procesów ją przetwarzających oraz istotności informacji dla realizacji danego procesu, wskazuje również zasoby wykorzystywane przy przetwarzaniu informacji oraz określa poziom istotności zasobu dla informacji. W ostatnim etapie właściciel aktywu informacyjnego dokonuje jego zwartościowania ustalając poziom podstawowych oraz dodatkowych atrybutów informacji i adekwatnie do tego klasyfikuje informacje. Qasystent ma zaimplementowane kategorie informacji: informację publiczną, informację do użytku wewnętrznego, informację prawnie chronioną. Kategorie te można rozszerzać lub dowolnie modyfikować. Z każdą kategorią określony jest jej opis, minimalne poziomy atrybutów informacji, oraz wzorcowe procedury bezpieczeństwa. W momencie wskazania kategorii informacji wzorcowe procedury bezpieczeństwa przepisują się do procedur bezpieczeństwa informacji i można je wówczas doprecyzować. Jeżeli kategoria informacji ma zdefiniowane wyższe poziomy atrybutów informacji wówczas komunikat ostrzegawczy jest wyświetlany w metryce informacji.
Incydenty i słabości systemu
Celem modułu jest obsługa zgłoszeń pracowników o zdarzeniach związanych z bezpieczeństwem informacji w tym incydentach naruszeń ochrony danych osobowych oraz słabościach systemu. Moduł dostarcza pracownikom elektroniczny kanał komunikacji do zgłaszania przedmiotowych zdarzeń i słabości systemu oraz nadzór nad szybką i skuteczną reakcją na incydenty bezpieczeństwa informacji. Moduł umożliwia również obsługę naruszeń ochrony danych osobowych w tym nadzór nad terminowym zgłaszaniem ich do Prezesa Urzędu Ochrony Danych Osobowych, administratora czy powiadamianiem podmiotów danych, dla których istnieje ryzyko naruszenia ich ochrony (art. 33 i art. 34 RODO). Każdy pracownik organizacji ma możliwość zgłoszenia zdarzenia związanego z bezpieczeństwem informacji w tym naruszeń ochrony danych osobowych lub słabości systemu. Użytkownik uprawniony ma możliwość odnotowania zgłoszeń, które pozyskał w innej formie np. poza programem Qasystent. Po otrzymaniu zgłoszenia osoba odpowiedzialna dokonuje analizy i kwalifikacji zdarzenia ujętego w zgłoszeniu. W ramach analizy wskazuje aktywa podstawowe oraz pozostałe aktywa wspomagające (zasoby) objęte zdarzeniem, opisuje okoliczności oraz zasięgu zdarzenia, ustala wpływ zdarzenia na atrybuty bezpieczeństwa informacji oraz ostatecznie kwalifikuje zdarzenie. Jeżeli zdarzenie jest incydentem związanym z bezpieczeństwem informacji wówczas wskazuje operatora incydentu oraz termin na zamknięcie incydentu. Dalsza obsługa incydentu realizowana jest w systemie przez wskazaną osobę odpowiedzialną, która dokumentuje działania związane z ograniczeniem wpływu incydentu, usunięciem skutków incydentu, zabezpieczeniem dowodów, reakcją na incydent, decyzją o zawiadomieniu innego organu czy samym wysłaniem zawiadomienia do innego organu. Kończąc obsługę incydentu opisuje wniosku i zalecenia w ramach których ustalane są ewentualne osoby odpowiedzialne, opisywane są działania w tym postępowania dyscyplinarne w stosunku do osób odpowiedzialnych oraz zalecenia w celu zapobieżenia podobnym zdarzeniom w przyszłości.
Zarządzanie ryzykiem BI i ODO
Celem modułu jest wspomaganie organizacji w efektywnym zarządzaniu ryzykiem bezpieczeństwa informacji. Zarządzanie ryzykiem w urzędach administracji publicznej jest procesem wymaganym przez przepisy prawa powszechnego m.in. w zakresie kontroli zarządczej, ale także bezpieczeństwa informacji. Qasystent proponuje spójny i efektywny system zarządzania ryzykiem. Zarządzanie ryzykiem w Qasystent w przypadku obszaru zarządzania ryzykiem jakim jest bezpieczeństwo informacji dotyczy zdarzeń na aktywach skutkujących naruszeniami bezpieczeństwa informacji. Proces zarządzania ryzykiem jest podzielony na etapy: identyfikacji ryzyk / zagrożeń, identyfikacji czynników ryzyka (źródeł zagrożeń) oraz podatności na zagrożenia, opisania skutków ryzyka, estymację i ocenę ryzyka, ustalenia reakcji na ryzyko oraz monitorowania i raportowania ryzyka.
Wewnętrzne audity
Jednym z podstawowych narzędzi i procesów normy ISO 9001, ISO 27001 czy PN-N-18001 jest audit. Przez wewnętrzny audit rozumie się systematyczny, niezależny i udokumentowany proces badania zgodności i efektywności systemu zarządzania w zakresie spełnienia wymagań. W wewnętrznym audicie istotne jest, żeby wyniki auditów były poddawane analizie i podejmowane były działania doskonalące.
Celem modułu jest usprawnienie procesu auditów wewnętrznych przeprowadzanych w urzędzie, weryfikujących m.in. czy funkcjonujący system zarządzania jakością, zarządzania bezpieczeństwem informacji oraz zarządzania BHP jest zgodny z zaplanowanymi założeniami. Moduł umożliwia ewidencjonowanie spraw wszystkich przeprowadzonych w instytucji auditów wewnętrznych, tworzenie programów auditów wewnętrznych, planowanie auditu oraz dokumentowanie jego realizacji. Aplikacja prowadzi użytkownika przez proces auditu wewnętrznego, wszystkie niezbędne akceptacje, zatwierdzania są dokonywane w systemie przez uprawnione osoby. Moduł pobiera również dane z innych modułów systemu tj. procesów, komórek organizacyjnych, pracowników, dokumentacji przez co proces ten jest szybki do udokumentowania i mocno zintegrowany z innymi procesami. Po przeprowadzonym audicie, auditorzy mogą zarejestrować niezgodności / potencjalne niezgodności, które automatycznie są odnotowywane na rejestrze niezgodności, lub potencjalnych niezgodności.
Działania doskonalące
Celem modułu jest usprawnienie procesów doskonalących przez wskazanie obszarów do doskonalenia, określanie działań doskonalących oraz nadzór nad ich realizacją. Jest to istotnie działanie gdyż w systemach zarządzania jakością dążenie do doskonałości powinno stanowić główne przesłanie organizacji. Jednym z podstawowych narzędzi służących realizacji tego celu jest ciągłe doskonalenie organizacji, które realizowane jest m.in. poprzez działania korygujące i zapobiegawcze. W tym przypadku punktem wejścia w proces działań korygujących jest stwierdzenie wystąpienia niezgodności (potencjalnej niezgodności dla działań zapobiegawczych). Oprócz naturalnych stosowanych w każdej organizacji działań związanych z niezwłocznym usunięciem niezgodności lub minimalizacją jej skutków dla organizacji i klienta, systemowe zarządzanie jakością nakazuje podjęcie działań korygujących polegających na wprowadzeniu w procesie zmian, które wyeliminują powtórne wystąpienie tych samych niezgodności. Prawidłowe doskonalenie procesu w tym przypadku musi być poprzedzone dokładną analizą niezgodności ze szczególnym zwróceniem uwagi na jej przyczyny. Innym równie istotnym działaniem również wspomaganym przez program jest ciągłe wdrażanie drobnych usprawnień zgłaszanych przez samych pracowników realizujących poszczególne etapy procesu. Ten model zarządzania jakością jest istotą tzw. filozofii KAIZEN, w której każdy pracownik jest zainteresowany i czynnie zaangażowany w doskonalenie swojej pracy. Usprawnienia KAIZEN zgłaszane przez pracowników z założenia są drobne i nie wymagają radykalnej reorganizacji procesu, czy angażowania dużych środków finansowych. Podlegają one analizie i ocenie przez osoby decyzyjne i każdorazowo w przypadku potwierdzenia ich zasadności są wdrażane. Jednocześnie w celu promowania odpowiednich postaw pracowniczych, nastawionych na doskonalenie organizacji, wdrożenie pomysłu, poza korzyściami dla organizacji, często niesie za sobą uznanie, czy nawet dodatkowe gratyfikacje, dla ich pomysłodawców. Moduł umożliwia obsługę wszystkich powyższych zgłoszeń, ich ewidencję oraz nadzorowanie realizacji działań doskonalących od momentu zadeklarowania tych działań do ich wdrożenia.
Przegląd zarządzania
Istotnym procesem normy ISO 27001 jest przegląd zarządzania. Celem modułu jest dokumentowanie oraz pomoc w przygotowaniu raportu do przeglądu zarządzania poprzez automatyczne sczytanie danych z modułów programu oraz ich graficzną prezentacje. Uprawniony użytkownik określa w programie za jaki okres przygotowywany jest przegląd i wskazuje jakich systemów zarządzania dotyczy. Poza tym ustala miejsce i czas oraz osobę bądź osoby prowadzące przegląd (opcjonalnie protokolanta). Oprócz podstawowych danych o przeglądzie użytkownik przygotowuje plan przeglądu oraz wskazuje jego uczestników. Istotnym elementem przygotowania w systemie przeglądu jest dokonanie analizy różnych obszarów zarządzania w badanych okresie. Każdy opisywany obszar możne też opatrzyć generowanym automatycznie wykresem słupkowym lub kołowym prezentującym analizowane i wprowadzone wcześniej dane.
Słownik pojęć
Słownik pojęć jest prostym modułem dostępnym w każdym z systemów zarządzania programu Qasystent pozwalającym zdefiniować i upowszechnić w organizacji podstawowe pojęcia związane z danym systemem zarządzania. Program pozwala użytkownikom szybko wyszukiwać interesujące ich zagadnienia.