MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY
Systém pro řízení lidských zdrojů a dokumentace v certifikačním orgánu DIPLOMOVÁ PRÁCE
Michal Severin
Brno, jaro 2008
Prohlášení Prohlašují, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením plného odkazu na psaný zdroj
Vedoucí práce: prof. RNDr. Jiří Hřebíček, CSc.
ii
Poděkování Na tomto místě bych chtěl poděkovat především svému vedoucímu panu prof. RNDr. Jiřímu Hřebíčkovi, CSc. za vedení při diplomové práci. Také bych chtěl poděkovat všem, kteří mě během práce podporovali a měli se mnou trpělivost.
iii
Shrnutí V této práci jsem shrnul analýzu, návrh a implementaci informačního systému certifikačního orgánu, zaměřeného na řízení dokumentace a záznamů a řízení lidských zdrojů.
iv
Klíčová slova certifikační orgán, řízení dokumentace a záznamů, řízení lidských zdrojů, audit, systém jakosti, informační systém, sharepoint
v
Obsah KAPITOLA 1
ÚVOD ....................................................................................................... 1
KAPITOLA 2
STANDARDIZACE ................................................................................ 2
STANDARDIZAČNÍ ORGÁNY A INSTITUCE ............................................................ 2 ISO – Mezinárodní organizace pro standardizaci ..................................................... 2 CEN – Evropský výbor pro normalizaci ..................................................................... 3 ČNI – Český normalizační institut ............................................................................ 4 KAPITOLA 3
STANDARDY.......................................................................................... 5
STANDARDY ISO 9001 A 14001 ......................................................................... 5 ISO 9001....................................................................................................................... 5 ČSN EN ISO 14001 ..................................................................................................... 6 KAPITOLA 4
NORMA ČSN EN ISO 19011 ................................................................ 8
TERMINOLOGIE ................................................................................................. 8 POSTUPY PROGRAMU AUDITŮ ............................................................................ 9 UPLATŇOVÁNÍ PROGRAMU AUDITŮ.................................................................... 9 ZÁZNAMY Z PROGRAMU AUDITŮ ........................................................................10 ČINNOSTI PŘI AUDITU.......................................................................................10 Jmenování vedoucího týmu auditorů ....................................................................... 10 Stanovení cílů, předmětu a kritérií auditu .............................................................. 10 Výběr týmu auditorů ................................................................................................. 10 Příprava zprávy z auditu .......................................................................................... 11 KAPITOLA 5
NORMA ČSN EN ISO/IEC 17021...................................................... 12
NESTRANNOST..................................................................................................12 ODBORNÁ ZPŮSOBILOST ...................................................................................13 ODPOVĚDNOST .................................................................................................14 POŽADAVKY NA PROCESY ..................................................................................14 PRVOTNÍ AUDIT A CERTIFIKACE ........................................................................15 Přezkoumání žádosti ................................................................................................. 16 Prvotní certifikační audit .......................................................................................... 16 Závěr z prvotního certifikačního auditu .................................................................. 17
DOZOROVÉ ČINNOSTI ........................................................................................17 Dozorový audit ........................................................................................................... 18
AUDIT OPAKOVANÉ CERTIFIKACE (RECERTIFIKAČNÍ AUDIT) ............................18 SPECIÁLNÍ AUDITY ...........................................................................................19 Rozšíření/zúžení rozsahu .......................................................................................... 19 Narychlo oznámené audity ....................................................................................... 19
POŽADAVKY NA SYSTÉM MANAGEMENTU CERTIFIKAČNÍHO ORGÁNU ................19 Požadavky na systém managementu podle ISO 9001 ............................................ 19
vi
Obecné požadavky na systém managementu .......................................................... 20 KAPITOLA 6
WINDOWS SHAREPOINT SERVICES .......................................... 22
ARCHITEKTURA TECHNOLOGIE SHAREPOINT ...................................................22 Webový server IIS ..................................................................................................... 22 ASP.NET .................................................................................................................... 23 Základní komponenty technologie Sharepoint ........................................................ 26
PODPORA PRÁCE S DOKUMENTY VE WSS .........................................................27 Knihovny dokumentů služby Sharepoint ................................................................ 28 KAPITOLA 7
VÝVOJ NAD TECHNOLOGII SHAREPOINT ............................... 31
VÝVOJ APLIKACÍ VYUŽITÍM VESTAVĚNÝCH NÁSTROJŮ ......................................31 Seznamy služby Sharepoint...................................................................................... 31 Pracovní postupy – Workflow ................................................................................... 32 Microsoft Office Sharepoint Designer ...................................................................... 33
VÝVOJ PROSTŘEDNICTVÍM WEBOVÝCH ČÁSTÍ ...................................................33 Propojené webové části ............................................................................................. 34 Webová část SmartPart ............................................................................................ 34 KAPITOLA 8
ANALÝZA CERTIFIKAČNÍHO PROCESU .................................... 36
ŘÍZENÍ LIDSKÝCH ZDROJŮ ................................................................................36 Odborná způsobilost zaměstnanců ........................................................................... 38 Tvorba plánu auditu a vytvoření týmu auditorů .................................................... 41
ŘÍZENÍ DOKUMENTACE A ZÁZNAMŮ ..................................................................41 REALIZACE AUDITU ..........................................................................................42 První stupeň auditu .................................................................................................. 42 Druhý stupeň auditu ................................................................................................. 43 KAPITOLA 9
DATOVÝ MODEL SYSTÉMU CERTIS ........................................... 44
JMENNÉ KONVENCE .........................................................................................44 Názvy tabulek ............................................................................................................ 44 Názvy atributů........................................................................................................... 45
POPIS DATOVÉHO MODELU ...............................................................................46 POPIS DATABÁZOVÝCH STRUKTUR ....................................................................47 Organizace ................................................................................................................. 47 Číselníky norem ......................................................................................................... 47 Činnosti OKEČ a odborná způsobilost ..................................................................... 48 Číselník zaměstnanců ............................................................................................... 49 Číselník auditů .......................................................................................................... 49 KAPITOLA 10
IMPLEMENTACE ............................................................................. 51
NASTAVENÍ VÝVOJOVÉHO PROSTŘEDÍ ..............................................................51 WEBOVÉ OVLÁDACÍ PRVKY SLUŽBY SHAREPOINT .............................................51 DateTimeControl ....................................................................................................... 52
vii
SPGridView ............................................................................................................... 52 SPView ....................................................................................................................... 53 KAPITOLA 11
DATOVÁ VRSTVA SYSTÉMU CERTIS. ....................................... 54
MICROSOFT SQL SERVER 2005 ........................................................................54 ULOŽENÉ PROCEDURY SQL SERVERU ..............................................................56 SQL SERVER A .NET – ADO.NET....................................................................56 Architektura ADO.NET ............................................................................................ 57
FILOSOFIE PŘÍSTUPU K DATŮM APLIKACE CERTIS............................................58 KAPITOLA 12
DOKUMENTACE CERTIFIKAČNÍHO PROCESU .................... 61
ŠABLONY DOKUMENTŮ .....................................................................................61 Verzování dokumentů ............................................................................................... 62 Schvalování dokumentů ............................................................................................ 62
ZAKÁZKOVÁ DOKUMENTACE .............................................................................63 Služba Reporting Services ........................................................................................ 63 KAPITOLA 13
UŽIVATELSKÉ ROZHRANÍ SYSTÉMU CERTIS ...................... 66
VSTUPNÍ STRÁNKA PORTÁLU ............................................................................66 ČÍSELNÍK ZAMĚSTNANCŮ .................................................................................68 ČÍSELNÍK ORGANIZACÍ ......................................................................................69 PŘEHLED AUDITŮ .............................................................................................69 KAPITOLA 14
ZÁVĚR ................................................................................................. 71
viii
Kapitola 1 Úvod Současný trend neustále zrychlujícího a měnícího se obchodního prostředí sebou nese nutnost na tyto změny dostatečně rychle reagovat a udržovat na přijatelné hladině míru konkurenceschopnosti. Jedním z mnoha prostředků pro udržení kroku s dnešní dynamickou dobou, vyvarování se již známých chyb a podporu interoperability mezi nejrůznějšími systémy je právě standardizace. Standardizace by postrádala smysl, kdyby nebylo nezávislých subjektů, které standardy vydávají a kontrolních orgánů, které shodu se standardy ověřují. Subjekty jsou v tomto případě standardizační organizace a jejich členové, kteří standardy uplatňují v konkrétních oborech či lokalitách. O kontrolu shody s těmito standardy se pak starají certifikačními orgány. Tato práce si klade za cíl analýzu, návrh a implementaci jednotného informačního systému pro certifikační orgány se zaměřením na řízení dokumentace a záznamů vzniklých při výkonu certifikačního procesu a řízení lidských zdrojů.
1
Kapitola 2 Standardizace Důležitými měřítky kvality společností i jejich produktů a služeb mohou být různá potvrzení o shodě se standardy a normami (např. atesty či certifikáty). V některých oborech lidské činnosti je dokonce certifikace či kvalifikace firem nařízena zákonem, zejména pak u organizací, ucházejících se o veřejné zakázky.
Standardizační orgány a instituce Při certifikaci se ve většině případů vychází z norem a směrnic, které za tímto účelem vydávají organizace a instituce zaobírající se standardizací. Vlastní certifikační proces pak spočívá v systematickém posuzovaní shody s požadavky těchto norem. Organizací zabývajících se těmito činnostmi je několik a dohromady tvoří hierarchickou strukturu. Nejvyšším a nejznámějším představitelem organizací vydávajících standardy je bezpochyby ISO – International Organization for standardization. (Mezinárodní organizace pro standardizaci) Na nižší úrovni vydané ISO normy dohleduje a schvaluje organizace CEN – the European Committee for Standardization. (Evropský výbor pro normalizaci). Členové organizace CEN, mezi které patří i Česká republika s Českým normalizačním institutem (ČNI), v další úrovni zajišťují překlady norem schválených od CEN a dávají normám status Národních norem. ISO – Mezinárodní organizace pro standardizaci Značka ISO ve skutečnosti není zkratkou názvu instituce. Pochází z řeckého slova isos, které znamená stejný. Odkazuje tak na zaměření organizace – na standardizaci.
2
Mezinárodní organizace pro normalizaci se zabývá tvorbou mezinárodních norem ISO a jiných druhů dokumentů ve všech oblastech normalizace kromě elektrotechniky. Jsou to např.: • technické specifikace • technické zprávy • veřejně dostupné specifikace • dohody o technických trendech • dohody z pracovní konference průmyslu • pokyny ISO V současnosti existuje více než 13 000 norem ISO. K 31. 12. 2003 bylo vydáno 13 362 norem ISO, 494 technických zpráv (TR), 2 dohody IWA, 9 PAS, 118 TS, 4 dohody TTA a 39 pokynů ISO. Mezinárodní organizace pro normalizaci má v současnosti 1 486 členů, z toho 974 řádných členů, 367 korespondenčních členů a 15 kandidátů na členství. [6] CEN – Evropský výbor pro normalizaci Posláním CEN je podporovat dobrovolnou technickou harmonizaci v Evropě ve shodě s celosvětovými orgány a jejich partnery v Evropě. Harmonizace ztenčuje obchodní bariéry, zvyšuje bezpečnost, umožňuje výměnu zboží, systémů a služeb a zvyšuje základní technické porozumění. CEN pracuje podle zásad, které zaručují respekt k následujícímu: • otevřenost a průhlednost zastoupení je chráněno především národními normalizačními orgány, které mají povinnost posílat vyvážené zprávy politickým orgánům a technickým výborům.
• konsensus evropské normy jsou vytvořeny na základě svobodného souhlasu mezi všemi zainteresovanými členy • technická soudržnost na národní a evropské úrovni normy tvoří soubor, který zajišťuje vlastní kontinuitu pro dobro uživatelů, jak na národní úrovni, tak na evropské úrovních. Tvorbu norem provádí technické komise a subkomise a koordinaci technických činností zajišťuje Technický výbor (Technical Board) CEN. Ročně se vypracuje v CEN zhruba 1000 evropských norem. Členy CEN jsou národní normalizační organizace zemí Evropské unie a Evropského sdružení volného obchodu. [5]
3
ČNI – Český normalizační institut Český normalizační institut se zabývá tvorbou a vydáváním českých technických norem. Zodpovídá za jednotnost norem a soulad norem s českou legislativou. Český normalizační institut je jako národní normalizační organizace plnoprávným členem následujících organizací: • Mezinárodní organizace pro normalizaci (ISO) • Mezinárodní elektrotechnické komise (IEC) • Evropského výboru pro normalizaci (CEN) • Evropského výboru pro normalizaci v elektrotechnice (CENELEC). Hlavním cílem těchto organizací je přispívat tvorbou mezinárodních nebo evropských norem, které jsou dobrovolné, k odstraňování technických překážek obchodu. Prostřednictvím Českého normalizačního institutu se čeští odborníci podílejí v pracovních orgánech těchto organizací na tvorbě mezinárodních a evropských norem. [7]
4
Kapitola 3 Standardy Standardy ISO 9001 a 14001 ISO 9001 a ISO 14001 jsou ve skutečnosti celé rodiny norem, které se pod tato rodová jména shrnují pouze z důvodu větší přehlednosti. Obě rodiny se skládají z norem a směrnic, které souvisejí s řídicími systémy, a příbuzných norem upravujících terminologii a specifické nástroje, jako je audit (proces kontroly, zda systém řízení odpovídá normě). ISO 9001 ISO 9000 je primárně zaměřen na „řízení kvality“, nebo jak zní oficiální překlad — management jakosti. Představa „kvality“ je značně relativní, proto standardizovaná definice kvality v ISO 9001 (poprvé byla vydána v roce 1987) shrnuje všechny ty znaky produktu, které požaduje zákazník. Management jakosti znamená, že organizace ručí za to, že její produkty odpovídají požadavkům jejích zákazníků. Zatímco dříve se na normy ISO 9001, ISO 9002 a ISO 9003 pohlíželo především jako na nástroje určené pro výrobní sektor, další normy z této řady se orientují na potřeby sektoru služeb, výrobce softwaru, malé a střední podniky apod. Správná aplikace norem z rodiny ISO 9000 může kterékoliv firmě nebo podniku pomoci zvýšit efektivnost a ziskovost, produkovat lepší výrobky a služby, uspokojit své zákazníky, zvýšit svůj podíl na trhu, zkvalitnit komunikaci a morálku v organizaci, snížit náklady a závislost na dodavatelích nebo účastnit se určitých výběrových řízení. [9] Do rodiny ISO 9000 patří celkem 20 dílčích norem (čísla ISO 9000 až 9004, některé však vícedílné), z nich jako ČSN byly zavedeny: • ČSN EN ISO 9000-1 Normy pro management jakosti a zabezpečování jakosti. Část 1: Směrnice pro jejich volbu a použití (ISO 9000-1:1994)
5
•
•
•
•
•
•
•
•
•
ČSN ISO 9000-2 Normy pro management jakosti a zabezpečování jakosti - Část 2: Kmenová směrnice pro používání ISO 9001, ISO 9002 a ISO 9003 ČSN EN ISO 9000-3 Normy pro management jakosti a zabezpečování jakosti - Část 3: Směrnice pro použití ISO 9001: 1994 při vývoji, dodávce, instalaci a údržbě počítačového softwaru ČSN ISO 9000-4/ČSN IEC 300-1 NORMY PRO ŘÍZENÍ A ZABEZPEČOVÁNÍ JAKOSTI. Část 4: Pokyny pro řízení programu spolehlivosti / ŘÍZENÍ SPOLEHLIVOSTI. Část 1: Řízení programu spolehlivosti ČSN EN ISO 9001 Systémy jakosti. Model zabezpečování jakosti při návrhu, vývoji, výrobě, instalaci a servisu (ISO 9001:1994) ČSN EN ISO 9002 Systémy jakosti. Model zabezpečování jakosti při výrobě, instalaci a servisu (ISO 9002:1994) ČSN EN ISO 9003 Systémy jakosti. Model zabezpečování jakosti při výstupní kontrole a zkoušení (ISO 9003:1994) ČSN EN ISO 9004-1 Management jakosti a prvky systému jakosti. Část 1: Směrnice (ISO 9004-1:1994) ČSN ISO 9004-3 Management jakosti a prvky systému jakosti. Část 3: Směrnice pro zpracované materiály ČSN ISO 9004-4 Management jakosti a prvky systému jakosti. Část 4: Směrnice pro zlepšování jakosti
ČSN EN ISO 14001 ČSN EN ISO 14001 Norma ISO 14001:2004 je první revizí normy ISO 14001 z roku 1996. Systémy environmentálního managementu dosáhly od publikování první ISO normy v roce 1996 značného rozšíření ve světě (přes 70 000 certifikací) i v České republice (přes 1000 certifikací) a masivního uplatnění v organizacích různých velikostí a oborů, samostatně nebo v souběhu, kombinaci
6
resp. integraci s dalšími systémy managementu (především systémem managementu jakosti a systémem managementu bezpečnosti a ochrany zdraví při práci). Norma specifikuje požadavky na systém environmentálního managementu tak, aby organizaci umožnila vytvořit a zavést politiku a stanovit cíle, které zahrnou požadavky právních předpisů a jiné požadavky, které se na organizaci vztahují a informace o významných environmentálních aspektech. Týká se těch environmentálních aspektů, které organizace identifikovala a které může řídit, a těch, na které může mít vliv. Norma sama o sobě nestanovuje specifická kritéria environmentálního profilu. Norma organizacím umožňuje: a) vytvořit, zavést, udržovat a zlepšovat systém environmentálního managementu b) ujistit se o shodě s environmentální politikou, kterou vyhlásily c) prokázat shodu s touto mezinárodní normou
7
Kapitola 4 Norma ČSN EN ISO 19011 Norma ČSN EN ISO 19011 je směrnicí pro auditování systému managementu jakosti – ISO 9000 a/nebo systému environmentálního managementu – ISO 14000. Byla schválena Evropskou komisí pro normalizaci CEN jako EN ISO 19011:2002 bez jakýchkoliv modifikací. Mezinárodní normy řady ISO 9000 a ISO 14000 zdůrazňují význam auditu jako nástroje managementu pro monitorování a ověření efektivního uplatňování politiky jakosti a/nebo environmentální politiky organizace. Audity jsou nedílnou součástí činností posuzování shody jak při externí certifikaci, tak i při hodnocení dodavatelského řetězce a dozoru nad ním. Mezinárodní norma ČSN EN ISO 19011 poskytuje návod na řízení programů auditu, provádění interních nebo externích auditů systému managementu jakosti a/nebo environmentálního managementu a rovněž pro odbornou způsobilost a hodnocení auditorů.
Terminologie Terminologie normy ČSN EN ISO 19011 vychází z termínů a definicí uvedených v normách ISO 9000 a ISO 14050. Dále tyto pojmy doplňuje o některé speciální termíny související přímo s normou ISO 19011. Jsou to: Kritéria auditu – soubor politik, postupů nebo požadavků Důkaz z auditu – záznamy, konstatování skutečností nebo jiné informace, které souvisejí s kritérii auditu a jsou ověřitelné. Důkaz z auditu smí být kvalitativní nebo kvantitativní. Zjištění z auditu – výsledek hodnocení shromážděných důkazů z auditu podle kritérií auditu. Zjištění z auditu mohou označovat buď shodu, nebo neshodu s kritérii auditu, nebo příležitost ke zlepšování. Závěr auditu – výstup z auditu poskytnutý týmem auditorů po zvážení cílu auditu a všech zjištění z auditu. Auditor – osoba s odbornou způsobilostí k provádění auditu
8
Tým auditorů – jeden nebo více auditorů, kteří provádějí audit, a jsou podpoření v případě nutnosti technickými experty. Jeden auditor z týmu auditorů je jmenován vedoucím týmu auditorů. Technický expert – osoba, která poskytuje týmu auditorů specifické znalosti nebo odborné posudky. Technický expert nejedná v týmu auditorů jako auditor. Norma ISO 19011 je rozdělena do následujících hlavních kapitol: 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Zásady auditování 5. Řízení programu auditů 6. Činnosti při auditech 7. Odborná způsobilost a hodnocení auditorů
Postupy programu auditů Postupy programu auditů by měly obsahovat následující: a) plánování a časové rozvržení auditů b) zajišťování odborné způsobilosti auditorů a vedoucích týmů auditorů c) výběr vhodných týmů auditorů a přiřazení jejich role a odpovědností d) provádění auditů e) provádění následných auditů, pokud se mají aplikovat f) udržování záznamů programu auditů g) monitorování dosahované úrovně a efektivnosti programu auditů h) podávání zpráv o celkovém výsledku programu auditů vrcholovému vedení Malé organizace mohou mít činnosti uvedené výše v jednom postupu.
Uplatňování programu auditů Uplatňování programu auditů by mělo zahrnovat: a) oznámení programu auditů příslušným stranám b) koordinaci a časové naplánování auditů a jiných činností příslušejících programu auditů c) zajištění výběru týmů auditorů d) zajištění řízení záznamu o činnostech při auditu e) zajištění přezkoumání a schválení zpráv z auditu a zajištění jejich rozeslání klientům auditu a jiným určeným stranám f) zajištění následných auditů, jsou-li zapotřebí
9
Záznamy z programu auditů Záznamy by měly být udržovány, aby dokazovaly uplatňování programu auditů a měly by obsahovat: a) záznamy vztahující se k jednotlivým auditům, například: - plány auditů - zprávy z auditů - zprávy o neshodách b) výsledky přezkoumání programu auditů c) personální záznamy o auditorech, například: - hodnocení odborné způsobilosti a dosahované úrovně auditora - výběr týmu auditorů Záznamy by měly být uchovávány a vhodně ochráněny.
Činnosti při auditu Jmenování vedoucího týmu auditorů Osoby odpovědné za řízení programu auditu mají jmenovat vedoucího týmu auditorů pro konkrétní audit. Stanovení cílů, předmětu a kritérií auditu V celkových cílech programu auditu by jednotlivý audit měl být založen na dokumentovaných cílech, předmětu a kritériích. Předmět auditu popisuje rozsah a vymezení auditu, jako fyzické umístění, organizační jednotky, činnosti a procesy, které mají být auditovány a vymezuje časový úsek vztahující se k auditu. Předmět a kritéria auditu by měly být vymezeny klientem auditu a vedoucím týmu auditorů podle postupů programu auditů. Výběr týmu auditorů Je-li audit prohlášen za proveditelný, má být vybrán tým auditorů s ohledem na odbornou způsobilost potřebnou k dosažení cílů auditu. Je-li auditor pouze jeden, má vykonávat všechny příslušné povinnosti vedoucího týmu auditorů. při rozhodování o velikosti a složení týmu auditorů se doporučuje věnovat pozornost: a) cílům, předmětům a kritériím auditu a odhadnuté době trvání auditu b) celkové odborné způsobilosti týmu auditorů potřebné k dosažení cílů auditu
10
c) potřebě zjistit nezávislost týmu auditorů na činnostech, které jsou předmětem auditu, a předejít střetu zájmu Proces zajištění celkové odborné způsobilosti týmu auditorů by měl zahrnovat následující kroky: - identifikace znalostí a zkušeností potřebných k dosažení cílů auditu - výběr členů týmu auditorů tak, aby v něm byly zastoupeny všechny znalosti a zkušenosti Nejsou-li požadavky na znalosti a odbornou způsobilost plně pokryty auditory v týmu auditorů, lze je splnit začleněním technických expertů. Techničtí experti mají pracovat pod vedením auditora. Příprava zprávy z auditu Za přípravu a obsah zprávy z auditu by měl dopovídat vedoucí týmu auditorů. Zpráva z auditu má podávat kompletní, přesný, stručný a jasný záznam o auditu a měla by zahrnovat nebo odkazovat na následující: a) cíle auditu b) předmět auditu, zejména identifikaci organizačních a funkčních jednotek nebo procesů auditovaných ve stanoveném časovém úseku c) identifikaci klienta auditu d) identifikaci vedoucího a členů týmu auditorů e) zjištění z auditu f) závěry z auditu Pokud je to vhodné, zpráva z auditu smí také obsahovat nebo odkazovat na následující: g) seznam představitelů auditované organizace h) přehled procesu auditu včetně nejistot anebo překážek, které vyvstaly a které mohou snížit spolehlivost závěrů z auditu i) doporučení o zlepšení, pokud jsou specifikována v cílech auditu [2]
11
Kapitola 5 Norma ČSN EN ISO/IEC 17021 Norma ISO 17021 je mezinárodní norma, která specifikuje požadavky na certifikační orgány certifikující výrobky a certifikační orgány certifikující systémy managementu. Cílem dodržování této normy je zajištění, aby certifikační orgány provozovaly certifikaci způsobilým, konzistentním a nestranným způsobem. Kapitoly normy ISO 17021 popisují zásady a postupy, na nichž je založena důvěryhodná certifikace. Norma stanovuje všeobecné požadavky na ty certifikační orgány, které vykonávají audit a certifikaci v oblasti certifikace systému managementu (ISO 9000), certifikace systému enviromentálního managementu (ISO 14000) a dalších forem systému managementu. Samotná norma je rozdělena do deseti kapitol. Jsou to: 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Zásady 5. Obecné požadavky 6. Požadavky na strukturu 7. Požadavky na zdroje 8. Požadavky na informace 9. Požadavky na procesy 10. Požadavky na systém managementu certifikačního orgánu Základní pilíře normy spočívají v dodržení nestrannosti, způsobilosti a odpovědnosti.
Nestrannost Nestrannost je definována jako skutečná a vnímatelná přítomnost objektivity. Objektivita zde znamená, že konflikty zájmů buď neexistují, nebo jsou řešeny tak, aby nepříznivě neovlivňovaly následné činnosti certifikačního orgánu. K provádění certifikace poskytující důvěru je pro certifikační orgán nezbytné, aby byl nestranný a byl za nestranný považován. Za tímto účelem cer-
12
tifikační orgán zpracovává dokument ‚Management nestrannosti“, podle kterého se řídí a zajišťuje nestrannost certifikačního orgánu ve všech fázích certifikačního procesu. Certifikační orgán musí identifikovat, analyzovat a dokumentovat potencionální konflikty zájmů vyplývajících z provádění certifikace, včetně jakýchkoliv konfliktů zájmů odvíjejících se z jeho vztahů. Existence vztahů přímo neznamená konflikt zájmů, ale pokud nějaké vztahy představují riziko pro nestrannost, certifikační orgán pak musí dokumentovat, jak toto riziko vyloučit, případně minimalizovat. Certifikační orgán a ani žádná část téže právně identifikované osoby nesmí nabízet nebo poskytovat poradenství v oblasti systému managementu, zejména je pak nepřístupné, aby certifikační orgán certifikoval organizaci, které rovněž poskytuje poradenské služby. To samé platí pro interní audity. Poznámka: Norma ISO 17021 povoluje provádět certifikaci minimálně s dvouletou prodlevou od poskytování poradenství, pro omezení ohrožení nestrannosti na přijatelnou úroveň. Další prevencí před možným konfliktem zájmů je fakt, že certifikační orgán k výkonu auditu nebo jiných certifikačních činností nepoužívá osoby, které poskytovali poradenství nebo měli jiný pracovní poměr s certifikovanou organizací. Poznámka: Dvouletá prodleva mezi těmito konfliktními činnostmi se opět považuje za přijatelnou.
Odborná způsobilost Odborná způsobilost je prokázanou schopností použít znalosti a dovednosti. Certifikační orgán musí mít systém managementu zajišťující odbornou způsobilost pracovníků certifikačního orgánu pro všechny technické a odborné oblasti certifikačních činností a rovněž tento systém musí uplatňovat v řízení lidských zdrojů. Požadavky na odbornou způsobilost musí být stanoveny pro všechny funkce (pracovníci zabezpečující audity, vedení certifikačního orgánu i administrativní pracovníci). Musí být zabezpečena dostupnost technických a odborných znalostí vztahujících se k certifikaci v technických nebo odborných oblastech a ke všem typům systému managementu,ve kterých certifikační orgán působí. Vlastní pracovníci certifikačního orgánu musí mít dostatečnou odbornou způsobilost pro řízení programů auditu všech nabízených typů certifikace
13
a všech souvisejících prací spojených s certifikací. Certifikační orgán musí mít zajištěn dostatečnou kapacitu kompetentních pracovníků pro plánování a realizaci auditů ve všech oblastech prováděných činností. Musí být stanoveny procesy pro výběr,výcvik a formální pověření auditorů a technických expertů pro všechny technické a odborné oblasti certifikačních činností. Auditoři a techničtí experti musí znát proces certifikace a mít přístup k aktuálním postupům souvisejících s certifikačními činnostmi. Auditory a technické experty lze použít pouze pro činnosti, ve kterých je prokázána jejich odborná způsobilost. Certifikační orgán musí zajistit dostatečnou výkonnost všech pracovníků. Dokumentované postupy musí definovat kritéria pro sledování a měření výkonu pracovníků, včetně přezkoumání odborné způsobilosti ve vztahu k výkonu s cílem stanovení potřeb výcviku. Certifikační orgán musí periodicky pozorovat výkonnost každého auditora na místě auditu a tato pozorovaní vyhodnocovat. Certifikační orgán musí udržovat aktualizované osobní záznamy včetně odpovídajících kvalifikací, školení, zkušeností a profesionálního postavení. Tento požadavek se netýká pouze zaměstnanců účastnících se certifikačního procesu, ale rovněž zaměstnanců spadajících do managementu a administrativy.
Odpovědnost Odpovědnost za shodu s požadavky normy po výkonu certifikace nenese certifikační orgán, ale certifikovaná organizace. Certifikační orgán je odpovědný za posouzení dostatečného množství důkazu, které nasvědčují dodržování požadavků certifikovaných norem. Certifikační orgán si musí být vědom odpovědnosti za sběr a posouzení objektivních důkazů, na nichž zakládá doporučení k certifikaci a musí mít popsány přesně vymezené postupy pro jednotlivé role pracovníku zasahujících do certifikačního procesu. Žádný audit není zárukou stoprocentní shody s požadavky normy. Audit se vždy provádí vzorkováním a posuzován je vždy pouze výčet požadavků.
Požadavky na procesy Norma ISO 17021 přesně definuje postupy pro řízení průběhu auditu. Certifikační orgán musí mít k dispozici aktuální seznam auditů. Program auditu musí zahrnovat dvoustupňový prvotní certifikační audit, dozorové audity
14
v prvním a druhém roce po udělení certifikátu a recertifikační audit při opakované certifikaci ve třetím roce, před ukončením platnosti certifikátů. Tříletý cyklus certifikace začíná rozhodnutím o certifikaci nebo o opakované certifikaci. V mimořádných případech se provádí ještě tzv. mimořádný audit, ke kterému dochází např. z důvodu stížnosti nebo změny rozsahu certifikace organizace. Stanovení programu musí vzít v úvahu velikost organizace, rozsah a složitost systému managementu, efektivnost systému managementu a výsledky předchozích auditů. Pro každý audit musí být stanoven plán auditu založený na dokumentovaných požadavcích certifikačního orgánu, vytvořený v souladu se standardní metodikou auditování dle normy ISO 19011 – Směrnice pro auditování systému managementu jakosti a /nebo systému environmentálního managementu. Certifikační orgán musí mít dokumentovaný postup pro stanovení délky auditu; stanovená doba auditu a její zdůvodnění musí být zaznamenány. Při stanovení doby trvání auditu musí certifikační orgán zvážit mezi jinými následující hlediska: a) Požadavky odpovídajících norem systému managementu b) Velikost a složitost c) Technologické a právní souvislosti d) Veškerý outsourcing všech činností zahrnutých do rozsahu systému managementu e) Výsledky všech předchozích auditů f) Počty pracovišť a úvahy s nimi související Certifikační orgán musí poskytnout organizaci zákazníka jména a základní informace o každém členu týmu auditorů. Plán auditu musí být sdělen organizaci zákazníka spolu s termíny auditu. Certifikační orgán musí vydat ke každému auditu písemnou zprávu v souladu s ISO 19011.
Prvotní audit a certifikace Certifikační orgán musí požadovat od oprávněného zástupce nezbytné informace umožňující provést posouzení. Tyto informace musí umožnit stanovit: a) Požadovaný rozsah certifikace. b) Obecné informace žádající organizace, zahrnující název organizace, adresu, pracoviště, významné aspekty jejich procesů a činnosti.
15
c) Obecné informace podstatné pro oblast požadované certifikace. To mohou být vykonávané činnosti, lidské a technické zdroje, atd. d) Informace týkající se všech outsourcovaných procesů, které můžou ovlivnit shodu s požadavky posuzovaných norem. e) Výčet norem nebo jiných požadavků, podle kterých chce být organizace certifikována. f) Informace týkající se využití poradenství vztahujícího se k systému managementu. Přezkoumání žádosti Před provedením auditu musí certifikační orgán provést přezkoumání žádosti a doplňkových informací týkajících se certifikace, aby zajistil, že: a) firemní údaje organizace odpovídají realitě a jsou dostatečné b) veškeré požadavky certifikace jsou jasně stanoveny c) certifikační orgán je odborně způsobilý a je schopen vykonávat certifikační činnost. To zahrnuje jak odbornou způsobilost zaměstnanců orgánu, tak rozsah akreditovaných činností. Na základě tohoto přezkoumání musí certifikační orgán stanovit odbornou způsobilost, kterou musí mít jeho tým auditorů a kterou potřebuje pro rozhodování ve věci certifikace. Musí jmenovat tým auditorů dle jasně definovaného a dokumentovaného postupu. Tým auditorů musí být sestaven z odpovídajícího množství auditorů a případně technických expertů, kteří by při nedostatečné odborné způsobilosti auditorů poskytovali garanci technické odbornosti. Prvotní certifikační audit Certifikační orgán plánuje prvotní certifikační audity ve dvou stupních. První stupeň auditu je vykonáván za účelem : a) auditu dokumentace systému managementu zákazníka b) vyhodnocení působiště a specifických podmínek zákazníka a pohovorů s pracovníky c) přezkoumání požadavků normy s ohledem na stanovení klíčových procesů, cílů a uplatňování systému managementu d) získání informací o rozsahu systému managementu, procesů a umístění pracovišť, o souvisejících předpisech nebo právních hledisek e) vyhodnocení interních auditů a přezkoumání managementu z důvodu připravenosti na druhý stupeň auditu f) plánování druhého stupně auditu g) výstupem jsou zjištění v Záznamu o zjištění typu B, C h) postup pro vedení prvního stupně auditu je uveden v dokumentovaném postupu „Postupy pro auditora“ a „Základní informace o certifikaci“
16
Druhý stupeň auditu je vykonáván za účelem vyhodnocení uplatňování systému managementu zákazníka. Zahrnuje zejména: a) informace a důkazy shody se všemi požadavky kriteriální normy b) monitorování výkonnosti, měření a přezkoumání dle cílů a úkolů c) důkazy o systému managamentu zákazníka a výkonnost s ohledem na shodu s právními předpisy d) důkazy o řízení procesů zákazníka e) důkazy o provedených interních auditech a přezkoumání managementu f) důkazy o definovaných odpovědnostech managementu za dílčí politiky zákazníka g) důkazy o spojení mezi požadavky kriteriální normy, politikou, cíli a úkoly, s veškerými právními požadavky, odpovědnostmi, odbornou způsobilostí pracovníků, činnostmi, postupy, údaji o výkonech a nálezech interních auditů a závěrů Závěr z prvotního certifikačního auditu Tým auditoru nebo vedoucí týmu auditorů musí analyzovat všechny informace a důkazy z provedeného auditu, které byly nashromážděny v průběhu prvního a druhého stupně auditu. Informace poskytované certifikačnímu orgánu týmem auditorů pro udělení prvotní certifikace musí obsahovat: a) souhrnné zprávy o auditu b) poznámky o neshodách, připomínkách a doporučení c) doporučení, zda udělit či neudělit certifikaci společně s podmínkami nebo poznámkami z pozorování. Certifikační organ na základě informací z auditu a vyhodnocení případných zjištění a nálezů musí rozhodnout o certifikaci.
Dozorové činnosti Certifikační orgán musí uspořádat dozorové činnosti tak, aby průběžně monitoroval oblasti a funkce pokryté rozsahem certifikace systému managementu a mohl tak brát v úvahu veškeré změny v systému řízení u zákazníka. Dozorové činnosti spočívají v provádění auditu na místě, které posuzují plnění specifických požadavků kriteriálních norem, podle kterých je certifikace udělena. Druhy dozoru mohou být následující : a) Pravidelný dozorový audit b) Mimořádný dozorový audit
17
Dozorový audit Dozorové audity jsou zaměřeny zejména na změny v systému managementu zákazníka a důkazech o trvalém zlepšování. U dozorových auditů obvykle nejde o audit celého systému, ale pouze vybraného vzorku. Musí být plánovány společně s ostatními dozorovými činnostmi tak, aby certifikační orgán mohl udržovat důvěru shody požadavků norem se systémem řízení mezi jednotlivými audity. Program dozorového auditu musí přinejmenším zahrnovat: a) Interní audity a přezkoumání managementu b) Přezkoumání opatření přijatých pro vypořádání nekritických neshod identifikovaných v průběhu předchozího auditu c) Vyšetření stížností d) Účinnost systému s ohledem na dosahování cílů certifikované organizace e) Postup plánovaných činností, jejichž cílem je trvalé zlepšování f) Trvalé provozní řízení g) Přezkoumání všech změn h) Používání značek a jiných odkazů na certifikaci Dozorové audity musí být prováděny minimálně jednou za dvanáct měsíců. Datum prvního dozorového auditu nesmí být stanoveno později, než dvanáct měsíců od posledního dne druhého stupně předcházejícího auditu.
Audit opakované certifikace (Recertifikační audit) Audit opakované certifikace musí být naplánován a proveden s cílem vyhodnotit trvalé plnění všech požadavků příslušné normy týkající se systému managementu nebo jiného normativního dokumentu. Účelem auditu týkajícího se opakované certifikace je potvrdit trvalou shodu a účinnost systému managementu jako celku a jeho trvalou platnost a vhodnost pro daný rozsah certifikace. Při provádění recertifikačního auditu může nastat nutnost provedení auditu prvního stupně, zejména pokud došlo v systému managementu k výrazným změnám nebo např. z legislativních důvodů. Audit opakované certifikace musí zahrnovat audit na místě zabývající se následujícím: a) Celkovou účinností systému managementu z pohledu interních a externích změn. b) Ověřením ochoty udržovat efektivnost a neustálé zlepšování systému managementu c) Zda činnost certifikovaného systému managementu přispívá k dosahování politiky a cílů organizace.
18
V případě nalezení neshody u požadavků norem certifikační orgán musí stanovit datum, do kterého organizace fatální neshody musí odstranit.
Speciální audity V některých speciálních případech dochází k nutnosti provedení mimořádného auditu. Buď z důvodu změny rozsahu certifikace organizace nebo z některých dalších nestandardních důvodů. Rozšíření/zúžení rozsahu Certifikační orgán musí reagovat, na základě žádosti zákazníka, na požadavek o změnu – rozšíření rozsahu certifikátu obdobně jako u podání žádosti na novou certifikaci. Rozšíření rozsahu certifikace lze provést buď jako nový dozorový audit (mimořádný dozorový audit) mimo termín pravidelného dozorového auditu nebo v rámci pravidelného dozorového auditu. Veškeré záznamy a postupy jsou obdobné jako u certifikačního auditu. Narychlo oznámené audity Certifikační orgán musí rovněž reagovat na potřebu provést operativní audity a to buď na základě žádosti zákazníka (potřeba reakce na změny v organizaci), nebo na základě prošetření stížnosti na systém managementu držitele certifikátu, či na základě následného posouzení po pozastavení platnosti certifikátu. V těchto případech certifikační orgán může postupovat obdobně jako u dozorových auditů.
Požadavky na systém managementu certifikačního orgánu Certifikační orgán musí mít zaveden a udržován systém managementu jakosti, který je schopen podporovat a prokazovat trvalé dosažení požadavků normy ČSN EN ISO /IEC 17021. Způsoby vedení systému managementu jakosti certifikačního orgánu jsou možné dva: Požadavky na systém managementu podle ISO 9001 Certifikační orgán musí zavést a udržovat systém řízení jakosti podle požadavků normy ISO 9001, který je schopen podporovat a prokazovat trvalé dosažení požadavků této mezinárodní normy. Shoda s požadavky normy ISO 9001 musí být dodrženy zejména v těchto aspektech:
19
• Rozsah Předmětem řízení jakosti musí být zaměření se na vývoj požadavků na certifikační služby. • Zaměření na zákazníka Certifikační orgán musí při řízení jakosti zvažovat důvěryhodnost certifikace a musí respektovat potřeby všech zúčastněných stran. Obecné požadavky na systém managementu Vrcholové vedení certifikačního orgánu musí pro své činnosti stanovit a dokumentovat dílčí politiky a cíle. Vrcholové vedení společnosti musí zajistit, že dílčí politiky jsou pochopeny, uplatňovány a udržovány ve všech úrovních organizace certifikačního orgánu. Příručka systému managementu Všechny aplikovatelné požadavky normy ČSN EN ISO/IEC 17021 musí být zmíněny buď v příručce jakosti, nebo v souvisejících dokumentech. Certifikační orgán musí zajistit, aby příručka jakosti a veškerá další odpovídající dokumentace byla dostupná v libovolné formě všem odpovídajícím osobám. Řízení dokumentace Certifikační orgán musí mít zavedený a udržovaný systém pro řízení dokumentace. Musí mít postupy pro řízení dokumentů interních i externích, které se vztahují k plnění normy ISO 17021. Řízení dokumentace musí stanovit postupy nezbytné pro: a) Schvalování přiměřenosti dokumentů ještě před vydáním b) Přezkoumávání a aktualizaci, pokud je to nezbytné, a schválení aktualizovaných dokumentů c) Zajištění dostupnosti odpovídajících verzí použitelných dokumentů na místech jejich používání d) Zajištění, aby dokumenty zůstali čitelné a jasně a přehledně identifikovatelné e) Zamezení nezamýšlenému použití zastaralých dokumentů Řízení záznamů Certifikační orgán musí mít zavedený a udržovaný postup pro řízení záznamů. Toto řízení musí pokrýt potřeby pro identifikaci, ukládání, ochranu, výběr a dobu uchovávání a odstraňování svých záznamů.
20
Certifikační orgán musí rovněž zavést postupy pro uchování záznamu po dobu, která odpovídá smluvním a právním závazkům. Záznamy o žadatelích a zákaznících Certifikační orgán musí udržovat záznamy o auditech a dalších certifikačních činnostech pro všechny své zákazníky. [3]
21
Kapitola 6 Windows Sharepoint Services Služba Microsoft Windows SharePoint Services v systému Windows Server 2003, která je nyní k dispozici ke stažení bez dalších poplatků, napomáhá týmům organizaci všech velikostí sdílet informace, spolupracovat na dokumentech a shromažďovat týmové znalosti přes Internet nebo podnikovou síť. Služba je primárně určena pro budování intranetových portálů organizace. Je založena na tvorbě webových stránek s podporou sdílených informací a spolupráce nad dokumenty. Technologie Sharepoint je plně integrována s kancelářským balíkem MS Office a představuje tak velice komfortní prostředí pro práci s různými typy informací a dokumentů. MS Office představuje k technologii Sharepoint tzv. tlustého klienta.
Architektura technologie Sharepoint Technologie Sharepoint je postavena na .NET Frameworku společnosti Microsoft. Konkrétně na verzi 3.0, která oproti verzi 2.0 obsahuje mimo jiné navíc tzv. Windows Workflow Foundation, což je soubor tříd pro podporu práce s pracovními postupy workflow. Vlastní Sharepoint je tvořen rozsáhlým objektovým modelem (Sharepoint Object Model), který je plně zdokumentován a zveřejněn na webových stránkách Microsoft. Není tak problém pomocí tohoto modelu vytvářet nové funkcionality Sharepointu a využívat tím již existující pokročilé vývojové prostředky. Běh Sharepointu je založen na webovém serveru IIS a technologii ASP.NET. Webový server IIS IIS (Internet Information Server) je řešení webového serveru společnosti Microsoft. Tento aplikační server je standardně součástí jak klasických desktopových Windows, tak serverového operačního systému Windows Server.
22
Webový server IIS běží nad síťovým subsystémem operačního systému HTTP.sys, který běží přímo v jádru systému Windows. Mezi základní činnosti tohoto subsystému patří: • Naslouchání na jednotlivých portech a řazení příchozích požadavku do front odpovídajících virtuálních webových serverů • Textové logování • Zajišťuje správnou funkci SSL šifrování Webové aplikace včetně všech ISAPI filtrů jsou pak spuštěny v rámci tzv. fondu aplikace (Application Pool). Primární význam fondu aplikací je možnost spouštět jednotlivé webové aplikace pod samostatnými procesy a stoprocentně je tak vůči sobě izolovat. Každý fond aplikací pak může mít libovolnou identitu, která odpovídá uživatelskému nebo systémovému účtu ve Windows a rovněž se řídí všemi pravidly přístupu k prostředkům. Je tak možné přesně vymezit např. oprávnění k souborům na disku. V rámci virtuálního serveru může existovat několik webových aplikací. Každá webová aplikace může být spuštěna v různých verzích .NET Frameworku, ale musí mít za tímto účelem různé fondy aplikací. Jinými slovy nelze spustit dvě webové aplikace v kontextu různých verzí .NET Framworku v rámci jednoho fondu aplikací.
Obrázek 1 Architektura IIS a HTTP
ASP.NET ASP.NET je technologie, která dynamicky generuje obsah, závisle na procesech běžících na serveru. Funkce ASP.NET svoji funkcionalitu začne projevovat v okamžiku, kdy ISAPI filtr webového serveru IIS zavolá knihovnu asp-
23
net_isapi.dll, která je ve skutečnosti zaregistrována jako handler pro soubory typu aspx, asmx atd. Každá ASP.NET webová aplikace má svojí zavedenou souborovou a adresářovou strukturu. Obsahuje několik povinných souborů, jako např. web.config, který standardně obsahuje veškerou konfiguraci webové aplikace. Prostřednictvím tohoto souboru lze zadávat do aplikace globální proměnné, do kterých lze ukládat například nastavení připojení k databázi či čehokoliv jiného. Mezi zajímavé adresáře patří bezpochyby adresář s názvem Bin. Ten obsahuje zkompilované třídy nebo jejich seskupení do tzv. Assemblies. Objekty z těchto tříd jsou pak dostupné kdekoliv ve webové aplikaci. Pro zdrojové soubory nezkompilovaných definic tříd zase slouží adresář App_Code. Díky těmto ustáleným konvencím je možně se rychle a správně zorientovat i v cizích aplikacích. Událostmi řízené programování Vedle mnoha výhod trpí webové rozhraní samo o sobě jednou podstatnou nevýhodou. Mezi jednotlivými přechody na stránkách se neudržuje stavová informace. V praxi se tento nedostatek obchází mnoha způsoby. Většinou se na straně serveru zakládá tzv. session, která veškeré stavové informace ukládá pod jednoznačným identifikátorem. Při přechodu mezi stránkami se pak mezi serverem a klientem předává pouze tento identifikátor. Událostně řízené programování je zásadní změnou při tvorbě ASP.NET stránek oproti ASP stránkám. ASP.NET pro tento účel zavádí tzv. Postback. Vedle obrovské nevýhody z hlediska přístupnosti a SEO (optimalizace www stránek pro vyhledávače) je postback velice užitečná věc. Právě z důvodu zmíněných nevýhod se ASP.NET jako takové příliš nehodí pro vývoj veřejných webových stránek. Při vývoji intranetových aplikací tento nedostatek zaniká. POSTBACK Jak už název napoví, postback je založen na formulářové metodě POST, která veškeré data předává na standardní vstup aplikace. ASP.NET si prostřednictvím formulářových skrytých vstupů (Hidden input) předává stavové informace. Jedním z těchto vstupu je Viewstate. Tento pro mnohé nepřípustný obsah html kódu stránky zajišťuje jednorázový obraz stavu ovládacích prvku v ASP.NET stránce.
24
Životní cyklus ASP.NET stránky Od přijetí požadavku od klienta po odeslání výsledku zpět je na straně serveru prostřednictvím událostí vyvoláno mnoho metod, které ovlivňují generování výsledné HTML stránky. V jakém pořadí jsou události generovány a kdy dochází jejich zpracování popisuje následující obrázek:
Obrázek 2 Životní cyklus ASP.NET stránky
• Init Při požadavku na stránku dochází k inicializaci stránky. Je vyvolána událost Init a je zpracována metoda OnInit(). Při této události dochází k inicializaci objektů uvnitř stránky a inicializaci nastavení pro zpracování příchozího požadavku. • LoadViewState V tomto okamžiku dochází ke zpracování proměnné ViewState, která v sobě zahrnuje veškeré stavové informace ovládacích prvků umístěných ve stránce. • Load Událost Load je vstupním místem pro zpracování všech požadavků, tato událost je zpracována v metodě OnLoad(). Všechny objekty na stránce jsou uspořádány do stromu a inicializovány, formulářové prvky odpovídají předaným datům od klienta. V tento
25
okamžik je již možné s jednotlivými prvky manipulovat a nastavovat jim vlastnosti. • PreRender V události PreRender je poslední možnost pro změnu vlastností prvků stránky nebo stránky samotné a uchování těchto hodnot ve vlastnosti ViewState. Tato událost je vyvolána pouze u těch prvků, které se budou zobrazovat na stránce.[8] Základní komponenty technologie Sharepoint Databázový server Jako úložiště konfiguračních i obsahových dat Sharepoint používá databázové stroje Microsoft. Jedná se o SQL Server, jak v komerční edici plného serveru, tak v omezené edici volně dostupného SQL Server express edition. Volně dostupná verze SQL Serveru má několik omezení. Zejména pak omezení počtu současně připojených uživatelů nebo celkového prostoru pro databáze. V souvislosti s nasazením technologie Sharepoint je k dispozici tzv. Windows Microsoft Databes Engine (WMSDE), které již výše uvedené omezení nemá, ale lze ho použít pouze ve spojení se Sharepointem. Komerční verze SQL Serveru disponuje samozřejmě robustnější podporou pro Sharepoint. Jako příklad uveďme funkci fulltextového vyhledávání, kterou express edice nemá. Pro svůj chod Sharepoint využívá dvou základních typů databází: Konfigurační databáze V této databázi jsou uloženy informace o systému, jednotlivých virtuálních serverech v rámci fyzického serveru, jednotlivých serverech webové farmy atd. Pro fyzický server, resp. Webovou farmu existuje vždy pouze jedna konfigurační databáze. Konfigurační databáze má jednu z klíčových funkcí ve funkcionalitě technologie Sharepoint. Tou je mapování URL adres na obsah zvoleného webu nebo portálu. Tato funkcionalita je klíčová především v případě serverových farem. Více viz kapitola Zveřejnění Sharepointu na internetu a technologie Alternate Access Mapping. Obsahová databáze Obsahová databáze je databáze, v níž jsou ukládány veškeré informace spojené s obsahem portálu Sharepoint. Jsou to např.:
26
• • • • •
Informace a dokumenty publikované v rámci webu nebo portálu. Informace o uživatelských skupinách, právech a uživatelích. Nastavení týkající se grafického vzhledu a rozložení. Informace související s jazykovým nastavením webu nebo portálu. Virtuální souborový systém, obsahující všechny podstránky webu nebo portálu.
Pro každý virtuální server existuje jedna nebo více obsahových databází a dva či více virtuálních serverů mohou sdílet jednu obsahovou databázi. Centrální administrace Po samotné instalaci technologie Sharepoint na serveru ještě neexistuje žádna obsahová databáze. Instalační program pouze vytvoří tzv. centrální administraci (správu), což je webová aplikace určena k základním konfiguračním úkonům nad celým řešením Sharepoint. Fyzicky je centrální administrace řešena virtuálním serverem na webovém serveru IIS. Tato aplikace nepodporuje jazykové nastavení, takže je dostupná pouze v angličtině. Webová aplikace Pomocí centrální administrace je možné vytvořit jednu nebo více webových aplikací. Tyto webové aplikace pak představují front-end Sharepointu. Při vytváření nové aplikace se dle nastavení na webovém serveru vytvoří nový virtuální server s novou adresářovou strukturou standardní ASP.NET webové aplikace. Obsahuje několik virtuálních adresářů, které směřují do sdíleného programového vybavení sharepointu.
Podpora práce s dokumenty ve WSS Jedním z nejčastějších požadavků na informační technologie je práce s dokumenty a jejich sdílení. Většina informací, se kterými uživatelé pracují, je řešena formou dokumentů a následně distribuována k dalším uživatelům. V souvislosti s narůstajícími požadavky na zacházení s dokumenty dnes již jistě nedostačuje využívání standardních služeb pro sdílení dokumentů formou sdílených složek. Při práci s dokumenty dochází neustále k připomínkování a vytváření nových verzí dokumentů, přičemž je aktuální potřeba mít vždy dostupné jak staré verze dokumentů, tak neúplné koncepty dokumentů.
27
Knihovny dokumentů služby Sharepoint Knihovna dokumentů je místo v portálu, kde je možné shromažďovat dokumenty a sdílet je. Knihovna dokumentů je zcela nezávislá na typu dokumentu. Knihovnu dokumentů je možné si představit jako obdobu Složky souborů na lokálním disku vašeho počítače. Důležité ale je, že dokumenty, které se vloží do knihovny dokumentů, jsou ukládány na server a je tím umožněno jejich sdílení. Knihovna dokumentů však přináší ještě několik dalších funkcí, které jsou pro uživatele velmi praktické. Dokumenty uložené do knihovny dokumentů se automaticky verzují, je možné je rezervovat nebo požádat o zasílání upozornění na změny. Knihovna dokumentů nabízí zobrazení podrobností o dokumentech, které jsou v ní vloženy. Zároveň má oprávněný uživatel možnost rozšířit podrobnosti dokumentů o další položky určené k následnému zpracovávání (více informací v sekci Metadata knihovny dokumentů). Veškerá funkcionalita knihovny dokumentů je velmi úzce integrována s aplikacemi MS Office. Tím je zabezpečena snadná práce uživatelů při takto zásadní změně datového úložiště. Šablony dokumentů Každá knihovna dokumentů má svou šablonu dokumentu. Většinou se jedná o prázdný dokument zvoleného typu. Pokud tedy zvolíte knihovnu dokumentů se šablonou MS Word, bude při žádosti o nový dokument automaticky otevírána šablona prázdného dokumentu v MS Wordu. Zabezpečení knihoven dokumentů Ověřování v SharePointu je závislé na ověřování systému Windows. Totéž se týká ověřování na úrovni knihovny dokumentů. Z pohledu knihovny je možné přiřazovat práva na úrovni skupin webu nebo přímo jednotlivým uživatelům. Po přidání oprávnění uživatelům průvodce odesílá informační mail právě přidaným uživatelům. Práce s dokumenty v knihovně dokumentů Hlavní funkcí knihovny dokumentů je poskytovat jednoduše ovladatelné úložiště pro dokumenty jakéhokoliv typu. Existuje několik cest jak dokument do knihovny dokumentů uložit. Na úvod této sekce je třeba říct, že uživatelsky nejpřívětivější je využití sady MS Office. Je to dáno především tím, že MS Office a Windows SharePoint Services jsou produkty velmi úzce spjaty.
28
Vkládání dokumentů do dokumentové knihovny • Nový dokument Stisknutí tlačítka Nový dokument v prostředí knihovny dokumentů. Dojte k otevření šablony dokumentu přímo v textovém editoru. Při stisku tlačítka Uložit dojde k uložení dokumentu zpět přímo do knihovny dokumentů. • Uložit dokument Funkce Uložit dokument je možnost jak do knihovny dokumentů vložit již existující dokument na vašem lokálním počítači. Vyberete dokument, který je uložen na vašem lokálním disku. Po stisknutí tlačítka Uložit dojde k přenosu a uložení souboru do knihovny dokumentů. • Rozhraní WebDAV Rozhraní WebDAV umožňuje přistupovat ke knihovně dokumentů pomocí klasického Windows průzkumníka. Máte tak možnost vkládat informace přímo do knihovny dokumentů i z aplikací, které s Sharepointem vůbec nepočítali. • MS Office MS Office podporují ukládání dokumentů přímo do knihovny dokumentů. Pokud se zvolí uložit dokument a jako cílovou složka se uvede URL knihovny dokumentů dojde k automatickému uložení dokumentu přímo do knihovny dokumentů. Všechny informace, které jsou do knihovny dokumentů vkládány jsou ukládány do databáze. Obsah knihovny dokumentů je možné třídit do složek, podobně jako na pevném disku počítače. Z pohledu knihovny dokumentů se však nejedná ani tolik o adresáře jako spíše o filtry, které rozdělují jednotlivé dokumenty do vámi definované struktury. Verzování a schvalování dokumentu Knihovna dokumentů služby Sharepoint nativně podporuje funkci verzování a schvalování dokumentů. Tato volba je volitelná a provádí se v nastavení knihovny dokumentu. Po zvoleni této funkcionality je při každé změně dokumentu vytvořena nová verze, přičemž je možné se kdykoliv vrátit k verzi předchozí. Sharepoint umožňuje definovat způsob verzování a publikování dokumentů. Např. umožňuje automatické číslování verzí jako desetinné číslo, kde celá část čísla vyjadřuje schválenou verzi dokumentu a desetinná část pak ver-
29
ze jednotlivých konceptů. Rovněž je možné nastavit, aby neschválené dokumenty, tedy koncepty, byli přístupné pouze autorům dokumentů a vybrané skupině uživatelů, která se stará o jejich schvalování. Všichni ostatní uživatelé pak mají přístup pouze ke schváleným verzím dokumentů. Je třeba si uvědomit, že verzování může přinášet rovněž potíže, jelikož každá verze je v knihovně fyzicky uložena a může se tak stát, že u často se měnících dokumentů se můžou podstatným způsobem navyšovat požadavky na diskový prostor úložiště dokumentu – obsahové databáze služby Sharepoint. Při náročnějších požadavcích na schvalování dokumentů, např. z důvodu připomínkování nebo vícestupňovým schvalováním více uživateli lze schvalovací proces implementovat pomocí workflow. Zde je pak k dispozici robustní podpora pro modelování pracovního postupu.
30
Kapitola 7 Vývoj nad technologii Sharepoint Vývoj vlastních aplikací postavených na technologii Sharepoint je velmi různorodý a nabízí mnoho úrovní složitosti. Od uživatelsky přívětivého vytváření Sharepoint seznamů a knihoven až po klasické programování v ASP.NET. Ihned po instalaci služby Sharepoint je možné prostřednictvím webového rozhraní vytvářet vlastní seznamy založené buď na předzpracovaných šablonách nebo si vytvářet svoje vlastní. Velký potenciál při vývoji nad technologií Sharepoint je ukryt ve vytváření dynamického obsahu pomocí webových částí (WebParts). Tato aplikační podokna se dají následně umisťovat do libovolných částí webových stránek a vytvářet mezi nimi vzájemné propojení. Další variantou je vytvoření kompletní webové aplikace běžící v kontextu Sharepointu. Zde se vývoj neliší od standardního vývoje ASP.NET aplikací s tím rozdílem, že Sharepoint dává k dispozici nepřeberné množství vlastních funkcionalit. Autentizací uživatelů počínaje a veškerých uživatelských ovládacích prvků konče.
Vývoj aplikací využitím vestavěných nástrojů Jak bylo zmíněno v úvodu této kapitoly, pro vytvoření jednoduché databázové aplikace postačuje čistá instalace Sharepointu na serveru, webový prohlížeč a pár minut času věnovaného klikání na portálu. Nutno ale dodat, že potenciál tohoto způsobu je výrazně omezen. K dispozici je tvorba seznamů a jednoduchých relací mezi nimi. Seznamy služby Sharepoint Seznam není ničím jiným, než obdobou databázové tabulky uložené v SQL Serveru. Při definici nového seznamu je po uživateli požadováno zadání množství sloupců a jejich datových typů. Datové typy jsou v tomto případě založeny na malinko lidštějším přístupu než v databázi. Je na výběr ze standardních datových typů jako jsou text, číslo, datum, volba atd. Přičemž každý typ má své
31
další individuální specifikace. Na základě definice sloupců seznamu Sharepoint vygeneruje formuláře pro zadávání a editaci obsahu, včetně základního pohledu (View) na všechny položky. Tento pohled na data lze pak přizpůsobovat přidáním nebo naopak skrytím jednotlivých sloupců, filtrováním dle zadaných kritérií, seskupováním podle určitého sloupce, atd. Tvorba standardních seznamů je proveditelná prostřednictvím předdefinovaných šablon. Mimo jiné to jsou: • Odkazy Představuje seznam url adres s názvem a popisem. Jedná se o jeden z nejjednodušších seznamů. • Oznámení Tento seznam plní funkci aktualit, které se v čase mění. Umožňuje zobrazení posledních několika aktualit s odkazem na zobrazení archívu všech aktualit. • Problémy Seznam problémů se vytváří za účelem sledování sady problémů nebo potíží. K jednotlivým problémům je možné přiřadit řešitele problému, prioritu, aktuální stav problému, termín pro dokončení nebo další související problémy. • Kalendář U tohoto seznamu je podstatné zobrazení přehledu položek (View). Umožňuje totiž zobrazení kalendáře s pohledy na rok, měsíc, týden či den. Kalendářové zobrazení je k dispozici u libovolného seznamu. Při definici stačí určit sloupec datového typu datum, podle kterého se položky seznamu budou do kalendáře zobrazovat. Dalším možným zobrazením je i Ganttův diagram. • Knihovna dokumentů Knihovna dokumentu je řešena rovněž speciálním typem seznamu se souborovou přílohou. Díky faktu, že knihovna je seznam, lze do knihovny přidávat libovolné množství nový sloupců, tzv. metadat. Pracovní postupy – Workflow Workflow je schéma provádění nějaké komplexnější činnosti, rozepsané na jednodušší činnosti a jejich vazby. Obvykle se tímto pojmem popisuje technologie řízení podniků, projektů, či zpracování dokumentů.[6]
32
Windows Sharepoint Services poskytují robustní a přizpůsobivé pracovní prostředí pro modelování obchodních procesů a následnou implementaci do funkčního řešení. Služba Sharepoint je jednou z prvních větších implementací technologie Windows Workflow Foundation, která je součástí .NET Frameworku verze 3.0. Modelování pracovních postupů je možné na různých úrovních s různou mírou flexibility. Nejjednoduší je využití předdefinovaných pracovních postupů a jejich implementace prostřednictvím webového prohlížeče. U služby Sharepoint se jedna o jednoduchý třístavový pracovní postup. O něco flexibilnější je tvorba pracovních postupů pomocí aplikace Sharepoint Designer, která už umožňuje tvorbu složitějšího větvení pracovního postupu a definování širokého spektra podmínek. Nejkomplexnější nástroj pro tvorbu pracovních postupů je integrované vývojové prostředí Visual Studio, které poskytuje grafické rozhraní pro tvorbu pracovního postupů, které se neliší od pokročilých pouze modelovacích nástrojů pro tvorbu pracovních postupů. Microsoft Office Sharepoint Designer Aplikace Sharepoint Designer představuje pokročilý a zároveň uživatelsky přívětivý vývojový nástroj pro přizpůsobování webových stránek služby Sharepoint. Vychází z programu FrontPage, který v kancelářském balíku Microsoft Office představoval řešení pro editaci html stránek a rovněž poskytoval již základní podporu pro editace obsahu služby Shrepoint. Sharepoint Designer se oproti svému předchůdci FrontPage orientuje čistě na práci s portálem Sharepoint a umožňuje vedle editace ASPX stránek rovněž práci s datovými zdroji seznamů, definice pracovních postupů, nebo vytváření nových a úpravy existujících seznamů.
Vývoj prostřednictvím webových částí Každá webová stránka služby Sharepoint může obsahovat oblasti, které dokáží pojmout webové části (WebParts). Při vytvoření seznamu Sharepoint automaticky vytvoří rovněž webové části, které představují uživatelské rozhraní k seznamům. Tyto webové časti pak lze umísťovat kamkoliv v rámci daného webu. Jsou to tak základní stavební kameny celého portálu. Webové části lze samozřejmě samostatně vyvíjet a integrovat tak do webu Sharepoint požadované funkcionality.
33
Propojené webové části Mezi jednotlivými webovými částmi umístěnými na jedné stránce lze definovat propojení a umožnit tak různým částím vzájemnou komunikaci. V této situaci jedna webová část vystupuje jako poskytovatel dat (Data provider) a druhá webová část jako konzument dat (Data consumer). Například webová část se seznamem zákazníků bude fungovat jako poskytovatel dat a webová část se seznamem zakázek daného zákazníka naopak jako konzument dat. Při volbě určitého zákazníka webová část se seznamem zákazníků předá například identifikační číslo zvoleného záznamu a dle tohoto čísla se nastaví webová část se seznamem zakázek na odpovídající hodnoty. Technicky je propojení webové části řešeno předem definovaného rozhraní (interface), takže není problém propojovat webové části různých výrobců a to standardním způsobem stejným pro všechny webové části. Pokud má příslušná webová část fungovat jako poskytovatel resp. konzument dat, musíme za tímto účelem implementovat patřičná rozhraní. Rozhraní jsou následující: • ICellProvider, ICellConcumer Rozhraní pro poskytování resp. konzumaci jednoho údaje. • IRowProvider, IRowConsumer Rozhraní pro výměnu dat uspořádaných do pole (řádku nebo několika řádků) • IListProvider, IListConsumer Rozhraní sloužící k výměně celých seznamů • IFilterProvider, IFilterConsumer Rozhraní implementuje předávání tzv. filtrů. Každá webová část vygenerovaná službou Sharepoint, náležící k rozhraní určitého seznamu automaticky obsahuje implementace rozhraní IListProvider, IRowProvider a IFilterConsumer. Je tak možné např. z vlastní webové části pomocí IFilterConsumer filtrovat záznamy dle vlastních kriterií. Webová část SmartPart Jak praví Jan Tielens, autor této webové částí, jedná se o webovou část, která umožňuje zobrazení uživatelských webových ovládacích prvků (Web User Control) v prostředí služby Sharepoint. Na první pohled možná není patrný obrovský potenciál této miniaturní webové části (veškeré zdrojové kódy mají pouze 42 KB). Ale při vývoji nad Sharepointem a klasickém psaní webových částí není možné využít vizuálního mó-
34
du ve Visual Studio. Absolutně všechny aspekty vývoje jsou řešeny prostřednictvím přetěžováním metod potomka základní třídy webové části a tvorbou vlastních. To se týká jak definice prvků webové části, tak jejich generování výsledného html obsahu. Závratným způsobem tak u složitějších obrazovek aplikace narůstá množství psaného kódu. Díky webové části SmartPart je možné celou funkcionalitu napsat a případně odladit coby webový uživatelský ovládací prvek (Web User Control) a využít tak v plné míře komfort vizuálního vývoje aplikací ve Visual Studiu a již hotové dílo pak prostřednictvím SmartPart vložit do stránky Sharepointu. Nutno podotknout, že autor webové části SmartPart myslel i na standardní funkcionality této technologie, takže není problém Web User Control implementovat jako poskytovatele resp. konzumenta dat a takto vytvořené webové části mezi sebou propojovat.
35
Kapitola 8 Analýza certifikačního procesu V této kapitole se budeme zabývat analýzou postupu certifikačního orgánu při výkonu certifikace. Postupy musí být v souladu s normou ISO 19011 a 17021. V této kapitole bude zmíněna ovšem pouze určitá podmnožina procesu a jejich návaznost na výše zmíněné normy. Celý certifikační proces dle těchto norem je svým rozsahem nad rámcem této práce. Předmětem této práce jsou tyto klíčová témata, odpovídající vybraným požadavkům norem souvisejících s výkonem certifikace: • Řízení lidských zdrojů • Řízení dokumentů a záznamů • Management nestrannosti Celá kapitola vychází z terminologie uvedené v normě ISO 19011, která je citována v předešlé kapitole této práce.
Řízení lidských zdrojů Při řízení lidských zdrojů u výkonu certifikačního procesu dbá manažer jakosti certifikačního orgánu zejména na počet a potřebnou odbornou způsobilost zaměstnanců vykonávajících proces certifikace. V této práci se budeme zabývat zejména odbornou způsobilostí auditorů a technických expertů, účastnících se auditu. V tomto procesu vystupují následující role uživatelů: • Manažer jakosti certifikačního orgánu Tato role spravuje seznam všech auditů a jednotlivé audity přiřazuje vedoucím týmu auditorů. Je zodpovědný za včasné zvolení vedoucího týmu auditorů. • Vedoucí týmu auditorů Po zvolení vedoucího týmu auditorů tato osoba musí audit naplánovat. To spočívá ve výběru odpovídajícího množství a odborně způsobilého týmu auditorů a doby trvání auditu.
36
• Ředitel příslušného odboru certifikačního orgánu Ředitel odboru certifikace musí před zahájením auditu časový plán i složení týmu auditorů posoudit a schválit. Postup tvorby plánu auditu zachycuje následující schéma:
Manažer jakosti zaregistruje požadavky na certifikaci
MJ dle požadavků na certifikaci určí vedoucího týmu auditorů Vedoucí týmu auditorů dle předmětu certifikace volí jednotlivé dny auditu a složení týmu auditorů a technických expertů s potřebnou odbornou způsobilostí Ředitel odboru certifikace posoudí složení týmu auditorů
Ne
Tým auditorů je vyhovující
Ano Zahájení auditu
Obrázek 3 Plánování auditu
37
Odborná způsobilost zaměstnanců Z hlediska odborné způsobilosti účastníků auditu vstupují do procesu dvě kritéria. • Způsobilost pro auditování určitého systému • Technická odborná způsobilost Odborná způsobilost pro auditování určitého systému Člen týmu auditorů může vystupovat při auditu jako auditor až po dosažení odborné způsobilosti. Odborná způsobilost pro auditování je u zaměstnanců definována pro jednotlivé systémy příznakem Ano/Ne. Dle tohoto údaje jsou členové týmu auditorů hodnocení z hlediska pokrývání auditodnů daného auditu. Počet auditodnů vyjadřuje odbornou náročnost auditu. Závisí primárně na posuzovaném systému a množství zaměstnanců certifikované organizace. Dále pak na zkušenostech vedoucího týmu auditorů a úrovni integrace jednotlivých posuzovaných systémů. Toto je z důvodu prolínání se některých kapitol jednotlivých norem v případě, že jsou systémy posuzovány integrovaně. Technická odborná způsobilost Odvětvová klasifikace ekonomických činností (OKEČ) Jednou ze základních ekonomických klasifikací je Odvětvová klasifikace ekonomických činností (OKEČ). Je vypracována pro kategorizaci údajů, které souvisí s organizační jednotkou – ekonomickým subjektem. Poskytuje základnu pro přípravu statistických údajů o různých vstupech, výstupech, tvorbě kapitálu a finančních transakcích ekonomických subjektů. Klasifikace ekonomických činností CZ-NACE Od 1. ledna 2008 dle nařízení ČSÚ vstoupila v platnost klasifikace ekonomických činností CZ-NACE. Klasifikace CZ-NACE byla vypracována podle mezinárodní statistické klasifikace ekonomických činností, v souladu s nařízením Evropského parlamentu a Rady (ES). Klasifikace CZ-NACE zohledňuje technologický rozvoj a strukturální změny hospodářství za posledních 15 let, je relevantnější s ohledem na hospodářskou realitu a lépe srovnatelná s jinými mezinárodními klasifikacemi. Číselník činností OKEČ / CZ NACE Číselník ekonomických činností OKEČ resp. CZ NACE je hierarchický seznam oborů a činností. Při certifikaci určitého systému (samotného nebo integrova-
38
ného) je daná norma u zákazníka posuzována v rámci přiřazených činností OKEČ resp. CZ NACE. To znamená, že každá norma (systém) má u konkrétního zákazníka přiřazenu podmnožinu činností OKEČ/NACE. Závisle na tomto požadavku musí odpovídat technická odborná způsobilost týmu auditorů. Pokud tým auditorů nesplňuje požadovanou odbornou způsobilost, musí být doplněn technickými experty, kteří pokryjí všechny požadované činnosti.
39
Schéma evidence a schvalování technické odborné způsobilosti zaměstnanců Přijetí zaměstnance
Manažer jakosti posoudí odbornou způsobilost zaměstnance a pro každý systém zaeviduje činnosti OKEČ
První stupeň posouzení odborné způsobilosti zaměstnance hodnotící komisí
Ne
Je způsobilý
Ano Druhý stupeň posouzení odborné způsobilosti zaměstnance hodnotící komisí
Ne
Je způsobilý Ano Zaměstnanec se může účastnit auditu jako technický expert
Obrázek 4 Schvalování odborné způsobilosti zaměstnanců
40
Tvorba plánu auditu a vytvoření týmu auditorů Tímto úkonem se již plně zabývá pouze vedoucí týmu auditorů. V procesu tvorby plánu musí vzít v úvahu jak časové dispozice certifikované organizace, tak vlastních zaměstnanců certifikačního orgánu. Za tímto účelem je veden kalendář auditů (Program auditů pro daný rok) se seznamy aktuálně vytížených auditorů. Dalším hlavním předpokladem pro naplánování auditu je pokrytí veškeré odborné náročnosti auditu. K tomu slouží seznam zaměstnanců s aktuálně schválenou a platnou odbornou způsobilostí, dle kterého vedoucí auditorů sestavuje tým auditorů. Plánování auditu je rozděleno na plánování data auditu prvního i druhého stupně a týmu auditorů, popř. technických expertů. Při volbě jednotlivých členu týmu auditoru musí vedoucí auditor kontrolovat, zda jsou v daný den k dispozici, míru naplnění požadovaných auditodnů, které jsou pro audit závazné a míru naplnění požadované odborné způsobilosti. Nabídka auditorů a technických expertů nemůže být nahodilá, ale musí umožňovat pokrytí požadavků jak systémových, tak odborných pro konkrétní audit. Na základě jejich odborných znalostí, které jsou schváleny Hodnotící komisí, jsou pokrývány jednotlivé činnosti žadatele o posouzení, které uvedl v žádosti o posouzení. Vedoucí auditor musí naplánovat audit tak, aby u počtu zbývajících auditodnů zbylo maximálně 20% z celkového počtu a u technické expertízy jednotlivých kriteriálních norem dle OKEČ byly pokryty všechny činnosti u všech systémů. Účastníci auditu (auditoři i techničtí experti) jsou vybíráni i na základě dodržení nestrannosti vůči posuzované organizaci. V okamžiku, kdy je ukončeno plánování, ředitel certifikačního orgánu schválí návrh časového plánu auditu a složení týmu auditorů. Po tomto schválení je plán auditu vložen do kalendáře auditu, který slouží k plánování dalších auditů a je vyhotovena zpráva s plánem auditu a složením týmu auditorů a odeslána žadateli o posouzení e-mailem.
Řízení dokumentace a záznamů Certifikační orgán musí mít vypracovaný a udržovaný systém pro řízení dokumentace postupů, které slouží jako příručky při vykonávání všech fází procesů certifikace. Tyto příručky musí být vždy dostupné v odpovídajících verzích
41
v tištěné nebo elektronické podobě v místech jejich používání. Zároveň tato dokumentace musí podléhat procesu posuzování a schvalování ještě před vydáním, a pokud je to nutné, musí být pravidelně přezkoumávána a aktualizována a tyto aktualizované dokumenty musí opět podléhat schvalovacímu procesu.
Realizace auditu Audit systému managementu žadatele o certifikaci je dle požadavku normy ISO 19011 prováděn ve dvou stupních. První stupeň auditu Na základě schváleného plánu auditu a časového harmonogramu je zahájen první stupeň auditu. V první fázi vedoucí týmu auditorů, případně s dalšími auditory přezkoumá úplnost, formální a věcnou správnost dokumentace systému managementu převzatou od žadatele o posouzení a posoudí zda je dokumentace v souladu s požadavky kriteriální normou popř. norem (u integrovaného systému managementu). Přezkoumání zahrnuje soustavu řídících dokumentů (příručky, organizační řád, organizační směrnice, aj.), přičemž členové týmu auditorů zjišťují, zda jsou všechny procesy a vazby systému managementu náležitě identifikovány a zdokumentovány, jednotlivé dokumenty podléhají systému řízení dokumentů, tj. jsou podepsány osobou odpovědnou za přezkoumání a schválení dokumentu. Auditoři prověřují provozuschopnost a funkčnost dokumentovaného systému managementu. Kontrolují, zda na všech pracovištích je k dispozici aktuální dokumentace, která tam náleží. Prověřují, zda všechny prováděné úkony jsou skutečně v souladu s touto dokumentací. Audit provádí auditoři formou volné rozpravy s pracovníky na jednotlivých úrovních hierarchie řízení, demonstrací postupů procesů, sledováním záznamů apod. Svá zjištění k jednotlivým požadavkům auditoři zaznamenávají. Každé zjištění obsahuje text zaznamenání důkazů a hodnocení. Hodnocení provádí auditoři následujícím způsobem : • A – shoda Bez anebo s příležitostí ke zlepšení • B – připomínka Zjištění typu B nebrání provozování systému managementu nebo nenarušuje jeho znaky.
42
• C – neshoda Zjištění typu C – neshoda bránící provozování systému managementu nebo absence plnění jeho požadavků. Druhý stupeň auditu Druhý stupeň auditu se realizuje vždy návazně po provedení prvního stupně auditu a probíhá ve vybraných objektech organizace. Průběh druhého stupně auditu je obdobný jako první stupeň. Auditoři zjišťují, jak je systém managementu dodržován v jednotlivých organizačních a výrobních jednotkách žadatele. Zároveň kontrolují, zda na všech pracovištích je k dispozici aktuální dokumentace systému managementu, která tam náleží. Posuzují, zda všechny prováděné úkony jsou v souladu s touto dokumentací. Svá zjištění k jednotlivým požadavkům auditoři zaznamenávají. Každé zjištění obsahuje text zaznamenání důkazů a hodnocení obdobně jakou u prvního stupně auditu. Výstupem z prvotního certifikačního auditu je Zpráva z posouzení systému managementu, která obsahuje, na základě jednotlivých zjištění, doporučení vedoucího auditora pro udělení či neudělení certifikátu, u dozorových auditů o potvrzení platnosti certifikátu. Zpráva z posouzení systému managementu je vyhotovena ve dvou vyhotoveních a je podepsána vedoucím týmu auditorů a odpovědným pracovníkem žadatele o certifikaci.
43
Kapitola 9 Datový model systému Certis V této kapitole se v souvislosti s analýzou uvedenou v předchozí kapitole budeme zabývat tvorbou datového modelu systému Certis. Pro modelování entit a vztahů mezi nimi byl zvolen nástroj SQL Server Management Studio, který je standardní součásti SQL Serveru 2005. Tento nástroj vedle bohaté podpory pro správu a vývoj databází založených na platformě SQL Serveru poskytuje i silné modelovací možnosti. Hlavní výhodou tohoto řešení je okamžitá aktualizace vymodelovaných vztahů do samotné databáze v podobě vytváření cizích klíčů, definicí pro referenční integritu dat, nebo způsob aktualizace závislých dat při změnách. Další výhodou je fakt, že v každé databázi je možné vytvářet libovolné množství diagramů, obsahující pouze určitou podskupinu databázových tabulek. Nově vzniklé vztahy mezi relačními tabulkami se pak automaticky promítají do dalších, již existujících diagramů. Lze tak tímto způsobem velmi efektivně a přehledně složitější databázové struktury dekomponovat a provádět úpravy nad databázi z různých pohledů a vždy pouze jen s využitím nezbytně nutného počtu tabulek. Nástroj SQL Server Management Studio je řešen prostřednictvím integrovaného vývojového prostředí Visual Studio a poskytuje tak maximální komfort ovládání ve známém prostředí.
Jmenné konvence Názvy tabulek Veškeré databázové tabulky systému Certis ve svém názvu obsahují prefix „cert“. Tato konvence vychází z nutnosti odlišit jednotným způsobem tabulky systému Certis od systémových tabulek SQL Serveru. U SQL Serveru verze 2005 je již v SQL Server Management Studiu tento problém vyřešen podsložkou, do které jsou automaticky systémové tabulky řazeny, ale u verze 2000 tomu tak není a ve výsledném přehledu tabulek, seřazeném podle abecedy, dochází k míchání všech tabulek dohromady.
44
Názvy tabulek jsou v případě, kdy slovo nepřesáhne deset znaků tvořeny celým názvem entity. Pokud je dopředu známé budoucí použití názvu tabulky v jiných souvisejících tabulkách, použije se pouze zkratka slova. Pokud se jedná o samostatnou jednoduchou tabulku nebo jednoduchý číselník a dodržení názvu má smysl z hlediska přehlednosti, může být název tabulky i delší než deset znaků. Vazební tabulky, jejichž úlohou je řešit vazbu s kardinalitou m:n jsou vždy řešeny zřetězením obou názvu tabulek. Pokud by výsledný název byl příliš dlouhý, použijí se zkratky původních tabulek. Názvy atributů • Primární klíč Každý primární klíč začíná přesným názvem databázové tabulky, následuje oddělovač podtržítko „_“, pak označení id jako definice primárního klíče • Cizí klíč Cizí klíč má vždy stejný název jako primární klíč, na který odkazuje. Pokud je obsažen ve stejné tabulce jako primární klíč (u relace sama na sebe – stromová struktura), místo příznaku id obsahuje označení parentid. Pokud by z důvodu duplicitního názvu v rámci jedné tabulky nebylo možné použít vždy stejný název pro cizí klíč, je možné použití libovolného názvu, vystihující význam daného sloupce.
45
Popis datového modelu
Obrázek 5 ERD systému Certis
Stručný popis vybraných databázových tabulek cert_org Číselník organizací cert_orgdata Verzované základní údaje organizace cert_kontakt Kontaktní osoby organizace cert_cert Číselník certifikátů organizace cert_dnorm Číselník dílčích norem cert_vnorm Číselník výsledných norem cert_orgvnorm Instance výsledné normy přiřazené organizaci cert_orgvnormaudit Číselník auditů nad danou normou a organizací cert_orgdoc Dokumentace SM poskytnuta organizací cert_sod Smlouva o dílo organizace v rámci auditu cert_normreq Číselník požadavků výsledných norem cert_hodnoceni Hodnocení požadavků vedoucím týmu auditorů
46
Stručný popis vybraných databázových tabulek cert_zjisteni Zjištění k požadavku evidované auditorem cert_auditdny Číselník dnů jednotlivých auditů cert_employee Číselník zaměstnanců cert_auditemp Přiřazení zaměstnanců v rámci dne auditu cert_emppredzam Předchozí a současné zaměstnání zaměstnanců / externích pracovníků cert_okec_dev Číselník ekonomických činnosti OKEČ cert_empokecver Instance verzované odborné způsobilosti zaměstnance v rámci dílčí normy cert_emp_okec Seznam činností OKEČ náležejících jedné instanci verzované odborné způsobilosti zaměstnance. cert_orgvnormaudit- Předmět certifikace v rámci auditu (činnosti) cinnost cert_ovac_okec
Seznam činnosti OKEČ, přiřazených činnosti z předmětu certifikace
Popis databázových struktur V této sekci se budeme věnovat detailnějšímu popisu jednotlivých databázových tabulek a struktur, z kterého bude patrný jejich pravý význam. Organizace Číselník organizací je standardním seznamem zákazníků certifikačního orgánu. Obsahuje základní informace o zákaznících jako je název, adresa, ič, dič, registrace u soudu, atd. Základní údaje podléhají verzování, proto je struktura rozdělena do dvou tabulek cert_org a cert_orgdata. Dále je na organizaci navázán číselník kontaktních osob a číselník certifikátů. Ten může obsahovat vedle certifikátu zavedených přímo vlastním certifikačním orgánem i certifikáty bez vazby na něj, zavedené cizími certifikačními orgány. Číselníky norem Z důvodu možných způsobů posuzování integrovaných a neintegrovaných systému jakosti bylo nutné zavést dvě úrovně norem. Jedná se o normu dílčí a normu výslednou. Dílčí normy jsou základní normy jako např. ISO 9001, ISO 14001 atd.
47
Tyto základní normy jsou v další úrovni seskupeny do tzv. výsledných norem. Přičemž pokud se jedná o certifikaci neintegrovanou, vytváří se pro každý systém jedna výsledná norma, obsahující pouze jednu dílčí normu. Při integrovaných certifikacích výsledná norma obsahuje více dílčích norem. Je to z důvodu prolínání se některých kapitol požadavků různých systémů. Proto je nutné vést seznam požadavků pro každou kombinaci norem zvlášť. Až na požadavky systému je zbytek procesu posuzování a certifikace veden paralelně. Činnosti OKEČ a odborná způsobilost
Obrázek 6 ERD odborné způsobilosti zaměstnanců
48
Při přijetí objednávky certifikace zákazník předává certifikačnímu orgánu vyplněný formulář s předmětem certifikace. Jedná se o seznam činnosti vedených na živnostenském úřadě. U integrovaného posuzování se eviduje seznam činností pro každou dílčí normu. Každé činnosti je poté přidělen odpovídající seznam činností OKEČ. Dle činností OKEČ je u zaměstnanců evidována technická odborná způsobilost. Prostřednictvím tohoto údaje se při plánování volí odborně způsobilý tým auditorů případně doplněný technickými experty. Číselník zaměstnanců Číselník zaměstnanců představuje kartotéku všech pracovníků, účastnících se procesu posuzování a certifikace. Interních i externích. Vedle základních údajů jako jméno, příjmení atd. obsahuje seznam předchozích a současných zaměstnání. Na základě těchto údajů jsou kontrolována možná ohrožení nestrannosti. Při tvorbě týmu auditorů je kontrolováno identifikační číslo (ič) organizace žádající certifikaci s ič předchozími a současnými zaměstnavateli voleného zaměstnance. Jestliže je zjištěna shoda a prodleva mezi ukončením pracovního poměru zaměstnance v dané organizaci a datem zahájení auditu nepřekračuje dva roky, systém daného zaměstnance nedovolí přidat to týmu auditorů a technických expertů. Číselník auditů Jádrem celého systému Certis je databázová tabulka seznamu auditů cert_orgvnormaudit. Představuje záznamy o jednotlivých auditech, prováděných v rámci výsledných norem u dané organizace. Každý audit má jednoznačně přiřazenou množinu činností (db tabulka cert_orgvnormauditcinnost). Při neintegrovaném auditu jde o jedinou množinu činností, při integrovaném auditu vždy skupinu činnosti pro každou dílčí normu zvlášť. Ke každé činnosti je poté přiřazena jemnější klasifikace OKEČ, dle které jsou posuzovány požadavky na technickou odbornou způsobilost týmu auditorů (Tabulky cert_ovac_okec a cert_okec_dev). Úložiště hodnocení vedoucím týmu auditorů a zjištění pořízených týmem auditoru představují tabulky cert_hodnoceni a cert_zjisteni. Hodnocení odpovídá v rámci jednoho požadavku a jednoho auditu právě jeden záznam. Proto jako primární klíč obsahuje identifikační číslo auditu a identifikační číslo požadavku. Zjištění může být v rámci jednoho požadavku a jednoho auditu nao-
49
pak více, tabulka cert_zjisteni proto obsahuje i vlastní identifikátor, primární klíč zjisteni_id.
Obrázek 7 ERD struktury číselníku auditů
50
Kapitola 10 Implementace Jako platforma pro vývoj systému Certis byl zvolen .NET Framework v prostředí služby Sharepoint s využitím webové části Smartpart. Vlastní vývoj jednotlivých komponent tak spočíval ve vývoji uživatelských ovládacích prvků (User Controls) v plném komfortu poskytovaném integrovaným vývojovým nástrojem Visual Studio. Uživatelské rozhraní je realizováno buď vestavěnými komponentami ASP.NET 2.0 nebo přímo využitím propracovaných webových ovládacích prvků (Web Controls) dostupných v objektovém modelu služby Sharepoint. Celé řešení pak úzce spolupracuje s vestavěnými aplikačními komponentami Sharepointu. Zejména pak s knihovnami dokumentů a kalendáři. Komunikace s nimi je realizována prostřednictvím objektového modelu služby Sharepoint.
Nastavení vývojového prostředí Po instalaci služby Sharepoint a vytvoření webové aplikace je automaticky vytvořena složka webové stránky, kterou je možné otevřít ve Visual Studiu. Automaticky jsou do vývojového prostředí přidány všechny potřebné reference pro použití objektového modelu služby Sharepoint a je tak možné v plné míře u všech objektů využívat doplňování syntaxe psaného kódu, nebo vizuální režim návrhu aplikace.
Webové ovládací prvky služby Sharepoint Pro lepší integraci webové aplikace do služby Sharepoint je možné využít webových ovládacích prvku, kterými je realizováno celé uživatelské rozhraní Sharepointu. Objektový model Sharepoint tyto prvky zapouzdřuje ve jmenném prostoru Microsoft.Sharepoint.WebControls. V systému Certis byly využity následující:
51
DateTimeControl Tato komponenta slouží jako formulářový ovládací prvek pro zadávání data a času. Lze ji použít pouze pro zadávání času, pouze pro zdávání data nebo obojí. Funguje jako standardní pole pro zadávání textového řetězce. Navíc má po pravé straně ikonu kalendáře, po jejímž kliknutí se zobrazí malý kalendář zobrazující aktuální měsíc s možností listování mezi dalšími měsíci a roky.
Obrázek 8 DateTimeControl Integrace kalendáře do uživatelského ovládacího prvku (User Control) je realizována standardním zápisem v ASPX soubor: <sharepoint:datetimecontrol id="dtc_CasOd" runat="server" TimeOnly="true" localeid="1029" HoursMode24="true">
Poznámka: sharepoint je prefix pro v ASPX souboru zaregistrovanou assembly Microsoft.Sharepoint a jmenný prostor Microsoft.SharePoint.WebControls SPGridView Velmi užitečným pomocník u vývoje datových mřížek je SPGridView. Je to potomek třídy GridView, která je standardní součástí ASP.NET 2.0. Dědí tak od
52
této třídy všechny základní vlastnosti a navíc je rozšiřuje o nové funkcionality a vzhled charakteristický pro Sharepoint. Jelikož je konfigurace tohoto prvku netriviální, bylo nutné napsat pomocnou třídu SPGridViewHelper, která do jisté míry automatizuje některé základní činnosti při práci s mřížkou. Vlastní započetí práce s třídou SPGridView začíná jejím umístěním do ASPX stránky, vytvořením datového zdroje typu SQLDataSource a v přetížené metodě Page_Load provedením inicializace třídy SPGridViewHelper následujícím způsobem: gvh_Audity = new SPGridViewHelper(spgv_Audity, sqlds_Audity, ViewState);
Další manipulace s objektem tohoto typu je již jednoduchá. Seznam vybraných metod pro automatizaci častých operaci: • SPGridViewHelper.AddColumn Jak název napovídá, metoda přidá sloupec do mřížky. Parametry je možné ovlivnit název sloupce, název umístěný v záhlaví nebo formát zobrazované informace (nejčastější použití u data) • SPGridViewHelper.AddSelectCommand Pomocí této metody lze do mřížky přidat volbu pro označení řádku. Při stisknutí vygenerovaného odkazu je vyvolána událost SelectedIndexChanged
• SPGridViewHelper.AddDeleteCommand Přidá volbu pro smazání řádku • SPGridViewHelper.AddFilter Pomocí této metody je možné v datové mřížce nastavit kritéria pro filtrování. SPView Třída SPView představuje reprezentaci dat uložených v seznamu služby Sharepoint. Její pomocí můžeme programově zobrazovat položky seznamů, dokumentových knihoven, kalendářů apod. umístěných na stránce Sharepointu.
53
Kapitola 11 Datová vrstva systému Certis. Jako datové úložiště aplikace Certis byl zvolen databázový server Microsoft SQL Server ve verzi 2005. Tento databázový stroj je součástí serverového balíku Small Business Server, takže je pro malé a střední podniky cenově dostupný a kvalitou se řadí mezi špičky databázových serverů.
Microsoft SQL Server 2005 SQL Server se řadí mezi plnohodnotné, hojně nasazované relační databázové řešení. SQL Server zdokonaluje infrastrukturu dat z několika pohledů. Jednak ze samotné správy dat, jejich ukládání a manipulaci s nimi. Další pohled je pohled vývojáře, kterému nabízí množství vývojových nástrojů usnadňujících návrh a tvorbu datového modelu aplikace, definování integritních omezení. Dalším podstatným hlediskem je správa databázového serveru, který nabízí množství monitorovacích nástrojů, export/import prostředků atd. Prostřednictvím rozsáhlé sady funkcí, vzájemné funkční spolupráce se stávajícími systémy a automatizace rutinních úloh nabízí SQL Server 2005 organizacím všech velikostí úplné datové řešení. Obrázek znázorňuje rozložení datové platformy serveru SQL Server 2005.
54
Obrázek 9 Služby SQL Serveru
Datová platforma serveru SQL Server zahrnuje následující nástroje: Relační databáze Zabezpečený, spolehlivý, škálovatelný a vysoce dostupný relační databázový stroj se zvýšeným výkonem a podporou strukturovaných a nestrukturovaných dat (XML). Služba Replication Services Replikace dat pro aplikace zpracovávající distribuovaná či mobilní data, vysoká dostupnost systémů, škálovatelný souběh se sekundárními úložišti dat pro řešení vytváření podnikových sestav a integrace s heterogenními systémy, včetně stávajících databází Oracle. Služba Notification Services Pokročilé funkce zasílání upozornění pro vývoj a nasazení škálovatelných aplikací, které mohou na nejrůznější připojená i mobilní zařízení zasílat individuálním požadavkům přizpůsobené aktuální informace. Služba Integration Services Funkce extrakce, transformace a načítání dat (ETL) pro datové sklady a integraci dat v celém podniku. Služba Analysis Services Funkce OLAP (Online Analytical Processing) pro rychlou a pokročilou analýzu velkých a složitých datových sad s využitím vícedimenzionálních úlo-
55
žišť. Služba Reporting Services Komplexní řešení pro vytváření, správu a zasílání tradičních papírových i interaktivních webových sestav. Nástroje pro správu SQL Server zahrnuje integrované nástroje pro pokročilou správu a ladění databází a umožňuje úzkou integraci s nástroji, jako jsou například Microsoft Operations Manager (MOM) a Microsoft Systems Management Server (SMS) Standardní protokoly pro přístup k datům výrazně zkracují dobu potřebnou k integraci dat serveru SQL Server se stávajícími systémy. SQL Server dále zahrnuje integrovanou podporu webových služeb zajišťující vzájemnou funkční spolupráci s dalšími aplikacemi a platformami. Nástroje pro vývojáře SQL Server nabízí integrované nástroje pro vývojáře určené pro databázový stroj, extrakci, transformaci a načítání dat (ETL), dolování dat, funkce OLAP a vytváření sestav, které jsou úzce integrovány se sadou Microsoft Visual Studio a poskytují komplexní funkce pro vývoj aplikací. Každý hlavní subsystém serveru SQL Server je dodáván s vlastním objektovým modelem a sadou aplikačních programovacích rozhraní (API), která rozšiřují datový systém libovolným směrem podle jedinečných požadavků vaší společnosti.
Uložené procedury SQL Serveru SQL Server pro spouštění složitějších operací nabízí vytváření uložených procedur. Standardně se pro tyto procedury používá jazyk T-SQL (Transakční SQL), který vychází ze standardního jazyka SQL. Je doplněno o řídící příkazy, kurzory pro procházení jednotlivých záznamu určitého dotazu, cykly apod. Vedle T-SQL je u SQL Serveru 2005 možné použít naprosto libovolný programovací jazyk, který je kompilovatelný do CLR (Common Language Runtime). CLR je virtuální stroj technologie Microsoft .NET. Do tohoto mezikódu je možné zkompilovat veškeré jazyky, pro které existují kompilátory.
SQL Server a .NET – ADO.NET Platforma .NET nabízí robustní podporu pro práci s databázemi. Soubor softwarových komponent určených pro tyto účely se nazývá ADO.NET.
56
Je to soubor tříd, které se obecně používají pro přístup a modifikaci dat uložených v relačních databázových systémech. Architektura ADO.NET ADO.NET se skládá z dvou základních komponent: • Data Provider (Datový poskytovatel) • Datasets (Datové sady) Datový poskytovatelé (Data Providers) Obsahuje třídy pro přístup k datovým zdrojům. Těmi mohou být databáze SQL Server, Oracle a další, nebo obecné datové zdroje jako např. OLEDB. Rozhraní OLE DB je rozhraní na úrovni systému, které pro přístup k různým datovým zdrojům (relačním i nerelačním) využívá technologie COM. Je možné psát kód, který přímo využívá vrstvu OLE DB, ale je to složitější a ve většině případů to není ani nezbytně nutné. Mnoho zprostředkovatelů OLE DB je vlastně implementací rozhraní OLE DB pro přístup ke specifickým datům daného dodavatele. Každý datový zdroj má svojí skupinu datových poskytovatelů, ale všichni mají určitou společnou skupinu tříd. Jsou to: Connection: Slouží jako připojení pro komunikaci s datovým zdrojem. Command: Slouží pro provádění jednotlivých operací nad daty datového zdroje. Jsou to operace jako přidávání, mazání a úpravy jednotlivých záznamů, spouštění uložených procedur, atd. Parametr: Představuje obecný parametr užívaný při spouštění příkazu Command. Typický příklad je parametr uložené procedury Pro přístup k datům uloženým na SQL Serveru jsou používány následující dále implementované třídy: SQLConnection – Představuje jediné unikátní připojení k SQL Serveru. Je založeno na modelu klient-server a je ekvivalentní síťovému připojení k serveru. Po použití SQL Connection je nutné toto připojení ručně zavřít. Slouží k tomu metoda SQLConnection.Close(). V konstruktoru SQLConnection se používá proměnná ConnectionString. Jedná se o textový řetězec, který v sobě obsahuje všechny potřebné informace pro vytvoření sql spojení. Jedná se hlavně o název serveru a databáze, typ autentizace a případné autentizací údaje.
57
SQL Server Connection Pooling Jelikož u databázových aplikací je pro každou databázovou operaci nutné vytvořit nové připojení a to po provedení operace zavřít, dochází k mnoha operacím zbytečně několikrát po sobě. Jde o operace vytvoření fyzického propojení jako např. socket spojení, inicializační handshake, parsování připojovacího řetězce (ConnectionString) a autentizace. Vzhledem k tomu, že většina aplikací používá pouze jednu konfiguraci pro připojení, je možné tyto operace provést pouze jednou a aplikaci tím výrazně zrychlit. Tato technika se nazývá Connection Pooling. Pooling funguje tak, že při vytváření nového připojení si Pooler ověří, zda stejné připojení již neexistuje a v případě nalezení jej vrátí místo nově vytvářeného. Při zavírání připojení aplikaci Pooler nechá připojení otevřené. Poolovat je možné pouze připojení se stejnou konfiguraci, přičemž konfigurace se zde míní obsah připojovacího řetězce (ConnectionString) a uživatelský účet v případě použití Windows Autentizace. Datové sady (DataSets) Dataset je objekt, který může reprezentovat celou databázi v paměti. Několik tabulek a relační vztahy mezi nimi. Zapouzdřuje v sobě několik dalších objektů, které obsahují jednotlivé prvky databáze. Jsou to: DataTable Představuje jednoduchou tabulku databáze. Obsahuje sloupce a řádky. DataRelation Tento objekt zachycuje vztah mezi jednotlivými tabulkami. Obsahuje např. primární a cizí klíče. Constraint Jak název napovídá, tento objekt obsahuje pravidla pro dodržování integritních omezení. Např. definice automatického číslování, unikátních polí nebo postupu při aktualizací závislých objektů. Dataset je naplněn daty prostřednictvím dataadapteru, který je definován určitým připojením (Connection) a příkazem (Command).
Filosofie přístupu k datům aplikace Certis Přístup k datům je v aplikaci Certis realizován prostřednictvím uložených procedur. Tato strategie sebou vedle trochy pracnosti přináší několik výhod. Po-
58
máhá od sebe oddělit jazyk SQL a C# aplikační kód. Další nespornou výhodou je, že na jednotlivé uložené procedury je možné aplikovat různá oprávnění. Pro práci s daty je určena pomocná veřejná třída DB. Hlavní metoda pro operace s daty se nazývá ExecSP:
public static void ExecSP(string SProc, SqlParameter[] Params)
Metoda má dva argumenty. Prvním je řetězec SProc, představující název uložené procedury. Druhým je pole parametrů Params, typu SqlParameter, které jsou při spuštění předány procedůře. U objektu typu SqlParemeter nutno zmínit, že obsahuje vlatnost Direction, která představuje směr parametru. Nabývá hodnot vstupní nebo výstupní, závisle na způsobu zpracování parametru uvnitř uložené procedury. Lze tak např. dobře implementovat parametr ID při vytváření nového řádku tabulky, s definovaným automatickým číslováním primárního klíče. Po provedení procedury jej lze pak v aplikaci snadno získat. Volání metody ExecSP a přiřazení pole parametrů se provádí následovně:
SqlParameter[] param = new SqlParameter[3]; param[0] = new SqlParameter("Nazev", SqlDbType.NVarChar); param[0].Value = "Ukázková, s.r.o."; param[1] = new SqlParameter("Adresa", SqlDbType.NVarChar); param[1].Value = "Ukázková 12, 602 00 Brno"; param[2] = new SqlParameter("OrganizaceId", SqlDbType.BigInt); param[2].Direction = ParameterDirection.Output; DB.ExecSP("spSaveOrganizace", param); OrganizaceId = ((SqlInt64)param[3].Value).Value;
Další metodou pro získávání dat z databáze je metoda ExecSPGetDataSet. Obsahuje stejné argumenty jako metoda ExecSP. Jediný rozdíl je v návratové hodnotě, která má datový typ DataSet a vrací dataset naplněný zvolenou uloženou procedurou. Tato metoda se používa při volbě datového zdroje různých webových ovládacích prvku (WebControls)
59
Příklad zvolení datového zdroje ovládacího prvku gvOrganizace typu GridView: gvOrganizace.DataSource = DB.ExecSPGetDataSet("spGetSeznamOrganizaci", new SqlParameter[0]); gvOrganizace.DataBind();
60
Kapitola 12 Dokumentace certifikačního procesu Jak udává norma ISO 17021, jedním ze základních požadavků na provádění certifikační činnosti je evidence dokumentace vznikající během výkonu certifikace a její dostupnost a možnost předání zákazníkovi. Jednou z obrovských konkurenčních výhod certifikačního orgánu při využití systému Certis je maximálně zkrácená doba nutná pro vytvoření všech dokumentů souvisejích s certifikaci. Např. pro vypracování závěrečné zprávy z auditu je běžná čekací doba jeden až dva týdny. S využitím systému Certis je tato zpráva vygenerována ihned po provedeném auditu. Všechny potřebné dokumenty jsou totiž generovány automatizovaně z dat, pořízených během plánování, posuzování a rozhodování ve věci udělení certifikace.
Šablony dokumentů Prostřednictvím dokumentových knihoven služby Sharepoint lze provádět řízenou tvorbu a údržbu dokumentových šablon, z kterých jsou následně vytvářeny předlohy pro generování výsledných tištěných a elektronických výstupů z jednotlivých etap průběhu certifikace. Využitím integrovaných funkcí dokumentové knihovny služby Sharepoint je možné řídit a udržovat dokumentaci způsobem, odpovídajícím požadavkům kladeným na certifikační orgány. Základní požadavky na řízení dokumentace jsou: • Evidence změn v dokumentech • Schvalování dokumentů před vydáním • Zamezení používání neaktuálních verzí dokumentů Všechny tyto požadavky jsou v dokumentové knihovně realizovány prostřednictvím: • Verzování dokumentů • Vestavěnou funkcí schvalování dokumentů • Omezením zobrazení neaktuálních a neschválených dokumentů
61
Verzování dokumentů Dokumentové knihovny služby Sharepoint umožňují aktivovat funkci verzování dokumentů, která při aktualizaci nějakého dokumentu původní verzi zachová a ponechá dostupnou. Novou verzi do knihovny uloží pod novým číslem verze. Vlastní číslování lze nastavit. V kombinaci s funkcí schvalování dokumentů je vhodné nastavit číslování verzí pomocí desetinného čísla. Celá část určuje pořadí schválené verze dokumentu, desetinná část pak koncepty.
Obrázek 10 Verzování dokumentace
Ve spojení s aplikaci MS Word z kancelářského balíku MS Office 2007 lze dokonce přímo z prostředí textového editoru vyvolat předešlé verze dokumentů a aktivovat funkci porovnání obsahu s předchozí verzí. Aplikace pak porovnávané verze barevně odliší v rozdílných pasážích. Je tak k dispozici silný nástroj na provádění aktualizací dokumentů a před schválením jinou osobou nemůže dojít k opomenutí určité části textu či jediného slova. Schvalování dokumentů Sharepoint ve své základní verzi nabízí vestavěné schvalování obsahu dokumentů. Jedná se o funkci integrovanou do jádra systému, nastavení možností schvalování je tak součástí základního modelu přiřazování opravnění v rámci objektů Sharepointu. Není tak problém odlišit skupiny uživatelů s opravněním vytvářet nové a aktualizovat stávající dokumenty a samostatnou skupinu schvalujcí dokumenty.
62
Další požadovaná funkcionalita dokumentové knihovny je publikace dokumentu až po řádném schválení kompetetní osobou. Neschválené dokumenty jsou pak přístupné pouze autorovi dokumentů, vyhrazené skupině uživatelů určené k editaci dokumentů a skupině s oprávněním schvalovat dokumenty. Každý další uživatel má přístup pouze k poslední schválené verzi daného dokumentu, což předchází nezáměrnému použití neaktuální dokumentace. Autoři či editoři dokumentů před vlastním schválením musí dokument označit jako dokončený koncept a předat jej tak ke schválení. Schvalovatelé pak dokument vidí v seznamu dokumentů, čekajících vyřízení.
Obrázek 11 Schvalování dokumentace
Stejným procesem řízení dokumentace jako šablony dokumentů probíhá i firemní dokumentace systému jakostí. Veškeré příručky, postupy a směrnice jsou verzovány a schvalovány identicky.
Zakázková dokumentace Na základě všech údajů, pořízených během plánování, posuzování a rozhodování ve věci udělování certifikace jsou dle zadaných šablon dokumentů vyhotovovány jednotlivé zprávy a protokoly. Jeden z požadavků je generování výstupu v needitovatelném formátu, proto byl zvolen formát PDF. Vzhledem k technologické infrastruktuře celého řešení se jako nejvhodnější technologie pro generování výstupu ukázala služba Reporting Services, která je standardní součástí Microsoft SQL Serveru. Služba Reporting Services Služba SQL Server Reporting Services je všestranné serverové řešení pro vytváření sestav navržené pro usnadnění vytváření, správy a zasílání papírových i interaktivních webových sestav.
63
Architektura služby Reporting Services Služba Reporting Services podporuje široké spektrum datových zdrojů. Výjimku netvoří vstupní zdroje jako OLE DB nebo ODBC stejně jako mnohé výstupní formáty služby. Sestavy lze generovat prostřednictvím interaktivního webového rozhraní, formátu MS Office, PDF, XML, které lze navíc doplnit XSLT transformačními šablonami, takže interoperabilitě zde nejsou kladena téměř žádná omezení.
Obrázek 12 Architektura služby Reporting Services
Pro vývoj předloh generovaných dokumentů slouží opět integrované vývojové prostředí Visual Studio. Konkrétně modul Visual Studia SQL Server Business Intelligence Development Studio. Tento nástroj poskytuje tři základní rozhraní: • Datová vrstva Slouží pro definici datových zdrojů. Těmi můžou být buď sql dotazy nebo uložené procedury. • Prezentační vrstva Umožňuje vysázení textů, proměnných a tabulek do stránky.
64
• Náhled výstupu Poskytuje reálné zobrazení prezentační vrství svázané s datovou vrstvou
65
Kapitola 13 Uživatelské rozhraní systému Certis Ovládání systému Certis vychází z uživatelského rozhraní služby Sharepoint, která respektuje uživatelské požadavky na ovládání aplikací kacelářského balíku MS Office. Většina uživatelů je na toto rozhraní navyklá a pokud ne, díky intuitivnímu způsobu ovládání si většina lidí způsob práce se systémem rychle osvojí.
Vstupní stránka portálu
Obrázek 13 Vstupní stránka portálu Certis
Navigace v systému certis je shodna s navigaci služby Sharepoint. V prvním řádku vlevo je odkaz na aktuální kořenový web. Vpravo je pak pole pro vyhledávání. Hlavní nabídka je řešena ve druhém řádku, horizontalním směrem. Aktuálně vybrané položky jsou zvýrazněny tmavě modrým podbarvením. V levé části webu je umístěno okno pro snadné spuštění. Jedná se o standardní část webové stránky Sharepoint a lze ji editovat prostřednictvím nastavení webu. Stejně tak jde ovlivnit horní panel odkazů (Hlavní menu). Při vytváření nového obsahu (stránky, seznamy, …) Sharepoint nabízí automatické umístění odkazů do těchto sekcí.
66
Vlastní obsah titulní stránky portálu obsahuje v nejvyšší úrovni seznam přehledů auditu. Jedná se o přehledy: • pro vedoucího týmu auditorů tento pohled zobrazuje seznam auditu, ve kterých přihlášený uživatel vystupuje v roli vedoucího auditora • pro auditora v tomto pohledu jsou zahrnuty všechny audity, ve kterých je přihlášený uživatel obsažen v týmu auditorů • pro ředitele tento pohled složí k zobrazení auditů čekajících buď schválení prvního nebo druhého stupně plánu auditu nebo přímo schválení závěru auditu, uvedeného vedoucím týmu auditorů Dále je na titulní straně uvedena diskuzní vývěska sloužící pro diskuzi nad certifikační činností, určená pro zachytávání podnětů, které jsou následně řešeny souhrnně na poradách. Poslední sekcí obsahu na titulní straně jsou aktuální oznámení a nových funcionalitách a opravách informačního systému.
Obrázek 14 Hlavní menu
Hlavní menu obsahuje po řadě tyto položky: • Domovská stránka Odkaz směřuje na titulní stránku portálu • Číselníky Sekce věnovaná správě číselníku jako jsou číselníky zaměstnanců, číselníky norem, jejich požadavků, atd. • Kalendář Je seznamem služby Sharepoint, do kterého jsou exportovány všechny schválené audity • Firemní dokumentace Sekce věnovaná řízené dokumentaci formulářů, postupů, příruček a směrnic • Certifikace Tato sekce obsahuje přehledy auditů a jejich detaily. Slouží pro zadávání veškerých dat
67
Číselník zaměstnanců Číselník zaměstnanců poskytuje prostředí pro přidávání nových a editaci již existujích zaměstnanců.
Obrázek 15 Číselník zaměstnanců
Obrázek demonstruje evidenci odborné způsobilosti zaměstnance. Aktuálně je na obrazovce zvolena klasifikace CZ-NACE, která je platná od 1.1.2008. V levé horní části je volba normy, pro kterou je odborná způsobilost určena. Každá norma má tak u zaměstnance seznam činností. V právé části na stejném řádku je volba verze odborné způsobilosti. Každá verze podléhá dvoustupňovému schvalování, kterému odpovídají dvě tlačítka s textem „Schválit“, umístěné pod volbou verze. Na obrázku je vidět tipické zobrazení detailu položky, které je dodrženo ve všech agendách systému. V záhlaví jsou základní informace o vybrané položce. Pod tímto textem jsou umístěny záložky na jednotlivé podformuláře.
68
Číselník organizací
Obrázek 16 Detail organizace
Obrázek představuje pohled na verzované údaje detailu organizace. Opět je zde dodržena konvence rozmístění ovládacích prvků, stejně jako v číselníku zaměstnanců. Za zmíňku stojí modré nástrojové lišty s funkčními tlačítky. V nejvýšší úrovní jsou v liště vždy funkce odpovídající celému seznamu. Např. tlačítko pro vytvoření nového záznamu. U detailního pohledu je zde tlačítko pro návrat na celý seznam. V další úrovni, jsou funkční tláčítka odpovídající zvolné záložce. V obrazovce jsou umístěny hned pod řádkem se všemi záložkami. Zde tomu odpovídají tlačítka „upravit“, které přejde do editace aktuální verze firmeních údajů a tlačítko „nová verze“, které vytvoří novou verzi firmeních údajů. Existuje zde konvence, že přepínání verzí nebo pohledů se provádí výsuvným seznamem umístěným vpravo.
Přehled auditů
Obrázek 17 Přehled auditů - audity vedoucího auditora
69
Seznam všech auditů je dostupný pod záložkou „Certifikace“. Obsahuje vyhledávání dle názvu organizace nebo čísla auditu. Dále obsahuje volbu filtru auditů dle role přihlášeného uživatele.
Obrázek 18 Plán auditu
Plán auditu poskytuje rozhraní pro vedoucího týmu auditorů. Umožňuje přídávání nového dne auditu a obsazení týmu auditorů ve zvoleném dnu. Přičemž nabídka potencionálních členů týmu auditorů je setříděna dle nepokryté odborné způsobilosti, která je uvedena ve spodní části obrazovky. Přidáváním zaměstnanců s příznakem TE (Texchnický expert) postupně vyprazdňuje seznam nepokrytých činností až do okamžiku zajištění dostatečné odborností týmu auditorů. Příznak „Auditor“ v tabulce potencionálních členů týmu auditorů (Zaměstnanci) vyjadřuje fakt, že daný zaměstnanec je schopen provádět audit požadovaného systému managementu a ovlivňuje tak množství zbývajících auditodnů (Na obrazovce umístěno pod formulářem pro vložení/úpravu dne auditu.
70
Kapitola 14 Závěr Systém Certis vznikl přibližně po roční analýze, návrhu a vývoji v prostředí certifikačního orgánu jako reakce na nutnost změny systému řízení dle nově vydaných ISO norem. Samotná technologie Sharepoint se ukázala jako velmi vhodně zvolená a svůj pravý potenciál odkrývá až během užívání tohoto systému. Z hlediska budoucího rozvoje je ještě mnoho aspektu, na které je nutné se zaměřit. U řízení dokumentace bude vhodné pečlivě vytvořit pracovní postupy pro připomínkování k dokumentům. Samotný systém bude vhodné rozšířit o podporu řízené fotodokumentace zjištění. Líbivou hudbou budoucnosti je audit na místě, prováděny pomocí mobilního zařízení, které bude schopné pomoci vestavěného fotoaparátu, mikrofonu a textového vstupního zařízení shromažďovat a odesílat na server veškeré informace vzniklé při posuzování. Nutno ale dodat, že k tomuto průběhu prozatím nenasvědčují ani současné služby poskytovatelů mobilního připojení k internetu. Audity na místě jsou totiž obecně vykonávány v nejrůznějších částech republiky a prozatím není dostupné mobilní připojení k internetu s totálním pokrytím a odpovídající datovou propustností. Přílohou diplomové práce je CD-ROM s kompletními zdrojovými kódy systému a zálohou celé databáze s demo údaji. Zároveň CD obsahuje elektronickou verzi této diplomové práce ve formátu PDF.
71
Literatura [1]
Hřebíček, J., Kubásek, M.: Enviromentální informační systémy I — učební text, Fakulta informatiky.
[2] [3] [4] [5] [6] [7] [8] [9]
ČSN EN ISO 17021 ČSN EN ISO 19011 ISO 9001 Elektrika.cz cs.wikipedia.org www.cni.cz (Český normalizační institut) Jaroslav Jirava, článek pro interval.cz Čadilová, K. Norma ISO 9000 a ISO 14000, Národní knihovna.
72
