Testni centri ECDL
ECDL (European Computer Driving License), ki ga v Sloveniji imenujemo evropsko računalniško spričevalo, je standardni program usposabljanja uporabnikov, ki da zaposlenim potrebno znanje za delo s standardnimi računalniškimi programi na informatiziranem delovnem mestu, delodajalcem pa pomeni dokazilo o usposobljenosti, V Evropi je za uvajanje, usposabljanje in nadzor izvajanja ECDL pooblaščena ustanova ECDL Foundation, v Sloveniji pa je kot član CEPIŠ (Council of European Professional Informatics Societies) to pravico pridobilo Slovensko društvo INFORMATIKA. V državah Evropske unije so pri uvajanju ECDL močno angažirane srednje in visoke šole, aktivni pa so tudi različni vladni resorji. Posebej pomembno je, da velja spričevalo v več kot osemdesetih državah, ki so vključene v program ECDL. Doslej je bilo v svetu izdanih že štiri milijone indeksov, v Sloveniji okoli SODO in podeljenih 2000 spričeval. Za testne centre ECDL so se v Sloveniji usposobile organizacije, katerih logotipi so natisnjeni na tej strani.
UNIVERZA V LJUBLJANI Fakulteta za pomorstvo in promet
INFORMACIJSKE
TEHNOLOGIJE
> rv
S\
KOPA
LJUDSKA UNIVERZA KOPER UNIVERSITA POPOLARE CAPODISTRIA
I LJUDSKO UMIVCHZnl
Mtm-.KH so im rit
^Micro Team
.sp"i:
SR
sistemske integracije
UPI LJUDSKA UNIVERZA ŽALEC
tjT	^
VSEBINA
UPORABNA
INFORMATIKA
2005 ŠTEVILKA 1 JAN/FEB/MAR LETNIK XIII ISSN 1318-1882
0 Uvodnik	
0 Razprave	
Marko Štrukelj, Marko Bajec: Primerjava tehnologij AD0.NET in Hibernate	5
Boštjan Keber, Marjan Krisper, Tomaž Gornik: Ogrodje poslovnih sistemov ponudnikov storitev	17
Tone Vidmar: Upliv razvoja komunikacij na integracijo informacijskih storitev	25
Aleš Groznik, Dejan Vičič: Pomen informatike pri prevzemih in združevanju podjetij	32
0 Rešitve
Lucija Zupan:
Zahteve za uspešno vpeljavo standarda BS7799-2 za področje informacijske varnosti	37
0 Obvestila	
Vabilo k udeležbi	51
Informacija o DSI 2005	52
0 Koledar prireditev	55
UPORABNA
INFORMATIKA
ISSN 1318-1B82
Ustanovitelj in izdajatelj:
Slovensko društvo INFORMATIKA Vožarski pot 12 1000 Ljubljana
Predstavnik
Niko Schlamberger
Odgovorni nrednik:
Andrej Kovačič
Uredniški odbor:
Marko Bajec, Vesna Bosilj Vukšič, Dušan Caf, Aljoša Domijan, Janez Grad, Jurij Jaklič, Milton Jenkins, Andrej Kovačič, Tomaž Mohorič, Katarina Puc, Vladislav Rajkovič, Heinrich Reinermann, Ivan Rozman, Niko Schlamberger, John Taylor, Ivan Vezočnik, Mirko Vintar, Tatjana VVelzer - Družovec
Recenzenti prispevkov za objavo v reviji Uporabna informatika:
Marko Bajec, Tomaž Banovec, Vladimir Batagelj, Marko Bohanec, Vesna Bosilj Vukšič, Dušan Caf, Srečko Devjak, Aljoša Domijan, Tomaž Erjavec, Matjaž Gams, Tomaž Gornik, Janez Grad, Miro Gradišar, Jože Gričar, Joszef Gyorkos, Marjan Fleričko, Jurij Jaklič, Milton Jenkins, Andrej Kovačič, Iztok Lajovic, Tomaž Mohorič, Katarina Puc, Vladislav Rajkovič, Fleinrich Reinermann, Ivan Rozman, Niko Schlamberger, Ivan Vezočnik, Mirko Vintar, Tatjana VVelzer - Družovec, Franc Žerdin
Tehnična urednica
Mira Turk Škraba
Oblikovanje
Bons
Prelom
Dušan VVeiss, Ada Poklač
Tisk
Prograf
Naklada
700 izvodov
Naslov uredništva
Slovensko društvo INFORMATIKA Uredništvo revije Uporabna informatika Vožarski pot 12,1000 Ljubljana www.drustvo-informatika.si/posta
Revija izhaja četrtletno. Cena posamezne številke je 5.000 SIT. Letna naročnina za podjetja 20.000 SIT, za vsak nadaljnji izvod 14.000 SIT, za posameznike 8.000 SIT, za študente 3.500 SIT.
Revijo sofinancira Ministrstvo za šolstvo, znanost in šport.
Revija Uporabna informatika je od številke 4/VII vključena v mednarodno bazo INSPEC.
Revija Uporabna informatika je pod zaporedno številko BB6 vpisana v razvid medijev, ki ga vodi Ministrstvo za kulturo RS.
© Slovensko društvo INFORMATIKA
Navodila avtorjem
Revija Uporabna informatika objavlja izvirne prispevke domačih in tujih avtorjev na znanstveni, strokovni in informativni ravni. Namenjena je najširši strokovni javnosti, zato je zaželeno, da so tudi znanstveni prispevki napisani čim bolj poljudno.
Članke objavljamo praviloma v slovenščini, prispevke tujih avtorjev v angleščini.
Prispevki so obojestransko anonimno recenzirani. Vsak članek za rubriko Razprave mora za objavo prejeti dve pozitivni recenziji. O objavi samostojno odloča uredniški odbor.
Prispevki naj bodo lektorirani, v uredništvu opravljamo samo korekturo. Po presoji se bomo posvetovali z avtorjem in članek tudi lektorirali. Prispevki za rubriko Razprave naj imajo dolžino do 40.000, prispevki za rubrike Rešitve, Poročila do 30.000, Obvestila pa do 8.000 znakov.
Naslovu prispevka naj sledi ime in priimek avtorja, ustanova, kjer je zaposlen, in elektronski naslov. Članek naj ima v začetku do 10 vrstic dolg izvleček v slovenščini in angleščini, v katerem avtor opiše vsebino prispevka, dosežene rezultate raziskave. Abstract se začne s prevodom naslova v angleščino. Članku dodajte kratek avtorjev življenjepis (do 8 vrstic), v katerem poudarite predvsem delovne dosežke.
Pišite v razmaku ene vrstice, brez posebnih ali poudarjenih črk, za ločilom na koncu stavka napravite samo en prazen prostor, ne uporabljajte zamika pri odstavkih.
Revijo tiskamo v črno-beli tehniki s folije, zato barvne slike ali fotografije kot originali niso primerne. Objavljali tudi ne bomo slik zaslonov, razen če niso nujno potrebne za razumevanje besedila. Slike, grafikoni, organizacijske sheme ipd. naj imajo belo podlago. Po možnosti jih pošiljajte posebej, ne v datoteki z besedilom članka. Disketi z besedom priložite izpis na papirju.
Prispevke pošiljajte po elektronski ali navadni pošti na naslov uredništva revije: ui@drustvo-informatika.si, Slovensko društvo INFORMATIKA, Vožarski pot 12, 1000 Ljubljana. Za dodatne informacije se obračajte na tehnično urednico Miro Turk Škraba.
Po odločitvi uredniškega odbora o objavi članka bo avtor prejel pogodbo, s katero bo prenesel vse materialne avtorske pravice na Slovensko društvo INFORMATIKA. Po izidu revije pa bo prejel nakazilo avtorskega honorarja po veljavnem ceniku ali po predlogu odgovornega urednika.
UVODNIK
Spoštovane bralke in spoštovani bralci,
informatika postaja pomembna pri povezovanju podjetij in drugih organizacij pri e-poslovanju. Za to je potrebna sprememba in prilagoditev poslovne strategije in poslovnega modela, prenova in integracija poslovnih procesov ter prilagoditev in uvedba novih (celovitih) programskih rešitev ter spremenjena vloga službe za informatiko.
Poslovna strategija kot povezovalni proces med upravljanjem z notranjimi viri podjetja s kupci in dobavitelji, s katerimi tvori skupno vrednostno verigo, ter zunanjo interakcijo s konkurenco in ekonomskim ter socialnim okoljem. Razvijanje in spreminjanje oz. prilagajanje poslovne strategije je trajna in najpomembnejša naloga vodstva organizacije. Poslovna strategija opredeljuje delovanje organizacije v poslovnem okolju in vpliva na njeno konkurenčnost. Spremembe poslovne strategije se udejanjajo in kažejo v spremembah poslovnega modela in poslovnih procesov organizacije.
Poslovni mode! je strateško orožje za razločevanje podjetij na trgu. V preteklosti so se neprestano pojavljali novi uspešnejši poslovni modeli in zamirali tisti, ki so bili neuspešni. Priložnost in močno zahtevo po spreminjanju poslovnih modelov je v zadnjem obdobju povzročil nage! razvoj informacijske in telekomunikacijske tehnologije. Internet daje podjetjem možnost dinamičnega in globalnega povezovanja s poslovnimi partnerji, omogoča oblikovanje novih vrednostnih verig ter s tem daje možnosti za uspešno preživetje v boju s konkurenco. Tak poslovni model imenujemo generični model elektronskega poslovanja ali kar e-poslovni model. E-poslovni model spodbuja podjetje k osredotočanju na njegove ključne prednosti in procese in predpostavlja prenovo obstoječih poslovnih procesov v inovativne, prilagodljive in povezljive, uporabo informacijske in telekomunikacijske tehnologije in prilagodljivih ter povezljivih programskih (aplikativnih) rešitev. Poslovni procesi v večini organizacij niso pregledni in prilagodljivi, neustrezni so v poslovnem in informacijskem pogledu in tudi v povezovanju z drugimi organizacijami. Prenova poslovanja v obdobju e-poslovanja mora razreševati zlasti problematiko dinamičnega opredeljevanja in vzpostavljanja skupnih poslovnih procesov verige podjetij ter koordinacijo pri sodelovanju s poslovnimi partnerji v njih. Internetna tehnologija in infrastruktura omogočata nove tehnološke možnosti pri prenovi obstoječega informacijskega sistema, ki v večini organizacij temelji na integriranem in celovitem, vendar togem konceptu načrtovanja virov (ERP - Enterprise Resource Planning), ter integracijo z možnostmi oziroma programskimi rešitvami s področja elektronskega trgovanja (E-commerce), oskrbovalnih verig (Supply Chain) in odnosov s poslovnimi partnerji (Customer Relationship).
V organizacijah obstajajo različni pogledi in pričakovanja posameznih skupin sodelujočih (deležnikov) na strateški pomen in vlogo informatike ter na vplivnost informatike na poslovno uspešnost in konkurenčnost. Vloga informatike je pogojena z informacijskimi potrebami in percepcijo menedžmenta o odvisnosti od informacij ter o vplivu informatike in z vplivom, ki ga ima na poslovanje, oziroma prispevkom v dodani vrednosti poslovanja. Cilj službe za informatiko je torej ustvariti partnerstvo med mancigementom in informatiko in s tem transformacijo službe za informatiko v storitveni center. Informatika mora izhajati in vplivati na poslovno strategijo. Povezava med poslovno strategijo in delovanjem informatike mora biti močna, hkrati pa dovolj agilna za hitre spremembe in prilagoditve. Informacijsko infrastrukturo moramo snovati in prilagajati tako, da bo omogočala sprotno, učinkovito in poslovno ustrezno prilagajanje poslovnim procesom organizacije in njihovo povezljivost s poslovnim okoljem.
Bližnje posvetovanje Dnevi slovenske informatike 2005je po besedah organizatorja Slovenskega društva Informatika namenjeno srečanju informatikov, uporabnikov in raziskovalcev in obravnava informatiko kot temelj povezovanja organizacij. Temelj, ki je pomemben za izmenjavo izkušenj in spoznanj ter za povezovanje na področju pretoka znanja, kapitala, dela in blaga. Nedvomno bodo v tem uvodniku predstavljeni vidiki sprememb na posvetovanju podrobno in celovito obravnavani.
Andrej Kovačič, odgovorni urednik
Povabilo k pripravi prispevkov za tematsko številko revije Uporabna informatika
Naslov:
Partnerstvo med informatiko in menedžmentom kot temelj za učinkovito upravljanje informatike Vsebinska izhodišča
Partnerski odnos z menedžmentom je gotovo želja vsakega vodstva informatike. Raziskave kažejo, da se menedžment sicer vse bolj zaveda pomena informatike za doseganje ciljev poslovnega sistema, vendar pa pri tem ne želi prevzemati aktivnejše vloge. Razlogi so predvsem tehnična vsebina področja (za potrebe razumevanja, kako informatika podpira cilje poslovnega sistema ter s čim predstavlja tveganja in priložnosti, je potrebnega več tehničnega vpogleda kot za večino drugih področij), tradicija (informatika je že tradicionalno obravnavana kot ločena entiteta), negotovost o učinkih vlaganj v informacijsko tehnologijo ipd. Pasivna vloga menedžmenta pri usmerjanju informatike pa ne daje pravih rezultatov, saj med njim in informatiko ni pravega sodelovanja. Zato je potrebna preobrazba, ki bo informatiko spremenila iz tradicionalno podporne funkcije, ki poteka v ozadju brez pravih usmeritev menedžmenta, v mehanizem, ki ga menedžment jemlje kot sredstvo za doseganje ciljev poslovnega sistema. Takšna preobrazba je seveda dolgotrajen in zahteven proces, ki zahteva med drugim tudi kulturološke spremembe na vseh ravneh organizacije.
Tokratno posebno številko Uporabne informatike posvečamo temam, ki so povezane z omenjeno problematiko. Posebej so vabljeni avtorji prispevkov, ki obravnavajo praktične izkušnje z naslednjih področij:
. Kako izvesti preobrazbo informatike iz tradicionalno ločene entitete v orodje menedžmenta za doseganje ciljev poslovnega sistema?
. Kako ugotavljati, kakšna je poslovna vrednost informatike? Kako meriti učinke naložb v informacijsko tehnologijo?
. Kakšna je vloga standardov in modelov, kot so COBIT, ITI L idr., za doseganje partnerstva med informatiko in menedžmentom ter za obvladovanje informatike?
• Kakšen je pomen strateškega planiranja informatike pri zagotavljanju partnerstva med informatiko in menedžmentom?
. Kakšna naj bo vloga sodobnega vodje informatike?
Rok za pripravo in oddajo prispevkov: 15. september 2005 Recenzija in potrditev: 15. oktober 2005 Predvidena objava: december 2005
Prispevki morajo biti pripravljeni skladno s sprejetimi navodili Uporabne informatike, v slovenščini z angleškim povzetkom ali angleščini (tuji avtorji).
Gostujoči urednik in kontaktna oseba: dr. Marko Bajec, e-pošta: marko.bajec@fri.uni-lj.si
RAZPRAVE
0 Primerjava tehnologij AD0.NET in Hibernate
Marko Štrukelj
lxtlan Team, d. o. o., Ravbarjeva ulica 13, 1000 Ljubljana http://www.ixtlan-team.si/
marko.strukelj@ixtlan-team.si (marko.strukelj@nevtron.si)
Marko Bajec
Univerza v Ljubljani, Fakulteta za računalništvo in informatiko, Tržaška 25, 1000 Ljubljana marko.bajec@fri.uni-lj.si
Povzetek
Hibernate in A00.NET sodita med najbolj popularne programske rešitve za dostop do relacijskih podatkovnih baz. Hibernate deluje v okolju java. Omogoča objektno-relacijsko preslikavo, kar pomeni, da podatke iz relacijske podatkovne baze preslika v objekte. To mu omogoča tudi poizvedovanje z objektnim poizvedovalnim jezikom HOL ter predpomnenje. Hibernate je neodvisen od podatkovne baze. Tehnologija ADO.NET pa je del ogrodja .NET. V nasprotju z rešitvijo Hibernate ne ponuja objektno relacijske preslikave. Podatkovni model je še vedno relacijski. Kljub temu gre za sodobno rešitev, saj prinaša številne prednosti v primerjavi s starejšimi tehnologijami. V prispevku predstavljamo izbrane rezultate raziskave, v kateri smo primerjali tehnologiji ADO.NET in Hibernate.
Abstract
Comparison of Technologies ADO.NET and Hibernate
Hibernate and ADO.NET are the most popular technologies for accessing relational databases. Hibernate works in java environment. It supports object/relational mapping, which transforms data from relational databases to objects. Hibernate includes interesting features like querying with object-oriented query language HOL, caching and database independence. ADO.NET, on the other hand, is a part of .NET framework and does not support object/relational mapping. The data model is stili relational. Nevertheless, it brings contemporary Solutions with many new futures comparing to older technologies. In this paper we present some of the results from the research in which we have compared ADO.NET and Hibernate technology.
1	Uvod
Pri razvoju informacijskih sistemov se danes večinoma uporablja objektne programske jezike v kombinaciji z relacijskimi podatkovnimi bazami. Veliko bolj naravna povezava bi seveda bila objektni jezik z objektno podatkovno bazo, vendar se slednje v praksi žal niso uveljavile. Pri uporabi objektnega programskega jezika programer navadno ne uporablja podatkov neposredno iz podatkovne baze, temveč dela z objekti, ki se predhodno kreirajo in napolnijo s podatki iz podatkovne baze. Podobno se objekti preslikajo v relacije oziroma zapise v tabelah relacijske podatkovne baze, ko jih želimo shraniti. Da to lahko storimo, potrebujemo za vsak objekt štiri poizvedbe: za branje, spreminjanje, dodajanje in brisanje. Pisanje takšnih enostavnih poizvedb in pretvorba podatkov v objekte ter nazaj je sicer rutinsko delo, vendar zelo potratno in zato zajema sorazmerno velik del časa razvoja informacijskega sistema. Kljub omenjenim razlikam med predstavitvijo podatkov v objektih in relacijskih tabelah je možna avtomatska pretvorba iz ene oblike v drugo. Takšno pretvorbo imenujemo objektno-relacijska preslikava. Ta avtomatsko generira vse potrebne poizvedbe in objekte v času izvajanja.
Programerju se (načeloma) ni več treba ukvarjati s tem, na kakšen način se podatki berejo in shranjujejo.
Objektno-relacijska preslikava je postala popularna, ko je Sun skupaj z J2EE predstavil tehnologijo poslovnih javanskih zrn (Enterprise JavaBeans - EJB). Tehnologija je bila revolucionarna novost, zato so ji napovedovali svetlo prihodnost. Žal pa je bila za praktično uporabo veliko prekompleksna in je, namesto da bi pospeševala razvoj, le-tega zavirala (3). Zaradi kompleksnosti tehnologije entitetnih zrn in njenih slabosti se je pojavilo veliko novih tehnologij, ki pa so obdržale osnovno zamisel - pretvorbo relacijske podatkovne sheme v objektno. Tako je Sun predstavil JDO, Oracle Top Link itd. Pojavilo se je tudi veliko število odprtokodnih rešitev. Med njimi glavno vlogo igra Hibernate. Mesečno ga s spleta prenese kar 15.000 uporabnikov (5). Tako je postal najbolj popularna rešitev za dostop do podatkov v okolju java.
V okolju .NET-a se objektno-relacijska preslikava ni prijela tako dobro kot v javi. Najbolj razširjen način
dostopa do podatkov je tehnologija ADO.NET, ki je bila predstavljena v okviru .NET-a. ADO.NET ne uporablja objektno-relacijske preslikave, zato je podatkovni model še vedno relacijski.
V članku opisujemo rezultate primerjave tehnologij ADO.NET in Hibernate. Najprej sta okvirno predstavljeni obe tehnologiji. Sledi teoretična primerjava po posameznih funkcionalnostih, za tem pa še analiza zmogljivosti. Na koncu podajamo nekaj smernic, ki povedo, kdaj uporabljati eno in kdaj drugo tehnologijo. Prispevek predstavlja povzetek širše raziskovalne naloge.
2	Predstavitev tehnologij
2.1	flDO.NET
ADO.NET je del ogrodja .NET. Ne omogoča preslikave v objekte. Podatkovni model je še vedno relacijski. Njegova pomembna lastnost je tesna integracija z XML zapisom podatkov.
Osnovna arhitektura ADO.NET-a je predstavljena na sliki 1. Razrede ADO.NET lahko v grobem razdelimo v dve skupini. Prva so tako imenovani povezani razredi (Connected), ki skrbijo za dostop do podatkovne baze. Drugo skupino sestavljajo odklopljeni razredi (Disconnected), ki jih uporabljamo za delo s podatki. Vmesnik med njima predstavlja DataAdap-ter, ki napolni objekte odklopljenih razredov s pomočjo objektov povezanih razredov. DataAdapter v ta namen vsebuje poizvedbe za branje, spominjanje, vstavljanje in brisanje. Logika branja in shranjevanja je tako ločena od podatkov. Poleg tega takšna arhitektura ne zahteva stalno aktivne povezave s podatkovno bazo. Omogočen je odklopljen način dela - povezava z bazo se vzpostavi le v času branja in shranjevanja.
ADO.NET v primerjavi s svojim prednikom ADO in ostalimi tehnologijami prejšnjega rodu (JDBC, BDE) omogoča povezave med tabelami. S tem lahko povezani tabeli obravnavamo kot celoto. Če je tabela A povezana s tabelo B, lahko iz zapisa tabele A dostopamo do povezanih zapisov v tabeli B in obratno.
2.2	Hibernate
Hibernate je objektno-relacijski preslikovalni mehanizem za javo, kar pomeni, da podatke, zapisane v relacijski podatkovni bazi pretvori v javanske objekte. To so popolnoma običajni javanski objekti (POJO -Plniii Old Java Objeds oz. Plain Ordinarij Java Objeds) in zato ne vsebujejo mehanizma, ki bi skrbel za shranjevanje. Ne zavedajo se, na kakšen način se preberejo iz baze ali se vanjo shranijo, podobno kot objekti odklopljenih razredov pri ADO.NET-u. Za to skrbi Hibernate, ki v času izvajanja generira vse potrebne poizvedbe. Cilj Hibernata je, da tako rešimo 95 % dela s podatkovno bazo. Za ostalo še vedno napišemo klasične poizvedbe SQL.
Aplikacija
Podatkovni objekti
Hibernate
XML preslikava
		
	JDBC & SQL	
		
Relacijska podatkovna baza
Slika 2: Arhitektura Hibernata
Odklopljeni razredi
DataSet
DataTable
DataRelation
DataColumn
Contraint
DataRovv
DataAdapter
Connection
Command
DataReader
Slika 1: Arhitektura ADO.NET-a
Osnovna arhitektura Hibernata je predstavljena na sliki 2. Objektno-relacijska preslikava ustvarja poseben sloj, ki se programerju predstavlja kot objektna podatkovna baza. Ne dela več s tabelami, stolpci, vrsticami, povezavami - elementi, ki sestavljajo relacijsko bazo. Podatki so predstavljeni kot objekti s svojimi metodami, atributi in povezavami z drugimi objekti. Do atributov objekta lahko dostopamo s pomočjo "set" in "get" metod.
Poseben sloj Hibernatu omogoča poizvedovanje s posebnim poizvedovalnim jezikom HQL, ki spominja na SQL, vendar je popolnoma objekten. Da Hibernate
lahko prebere podatke, generira klasične stavke SQL. Do podatkovne baze dostopa s pomočjo javanske tehnologije JDBC. Hibernate lahko prebrane objekte shranjuje v predpomnilnik, kar zelo pospeši delovanje pri pogostem dostopu do istih podatkov.
Poseben nivo objektov in jezik HQL Hibernatu omogočata, da je neodvisen od podatkovne baze. Določimo mu različico SQL jezika, ki naj jo uporablja, ter poskrbimo za ustrezen gonilnik JDBC. Ob menjavi podatkovne baze samo zamenjamo nastavitve za vrsto podatkovne baze in gonilnik JDBC. Takšen način pa deloma omejuje zmogljivost Hibernata, saj lahko podpira samo skupno podmnožico zmogljivosti vseh podatkovnih baz. Do baze pa lahko dostopamo tudi s klasičnimi SQL stavki, kar omogoča izkoriščanje večine zmogljivosti podatkovne baze in optimizacijo poizvedb.
Programer mora za objektno-relacijsko preslikovanje izdelati XML datoteko, ki vsebuje podatke za preslikavo. Iz nje se lahko avtomatično ali ročno izdela javanske razrede. Možna je tudi izdelava XML datoteke iz javanskih razredov, če vanje dopišemo potrebne parametre v zapisu JavaDoc.
Primer zapisa objektno-relacijske preslikave v XML zapisu:
<class name="Racun" table="RACUN">
<id name="id" column-”ID">
<generator class="native"/>
</id>
<property name="stRacuna" column="st_racuna" type="string" length="30"/>
<property name="datum" type="date" />
<many-to-one name="partner" class="Partner" column="partnerID" not-null="true"/>
<set name="postavke" cascade="all" >
<key column="prej_racID"/>
<one-to-many class="Postavke"/>
</set>
</class>
Hibernate zna iz preslikave sam tvoriti tabele, stolpce in omejitve v podatkovni bazi. To lahko izvede celo sam ob zagonu programa.
Poizvedbe, napisane v jeziku HQL, Hibernate prevede v SQL poizvedbe. Prevajanje ni vedno optimalno. Po trditvah iz uradne dokumentacije (7) naj bi to povzročilo manj kot 10 % dodatnih JDBC klicev.
Zaradi predpomnjenja je število klicev lahko manjše, kot bi jih bilo sicer, pri nepravilnem delu pa tudi bistveno večje.
Hibernate je, tako kot tudi ostale tehnologije za objektno-relacijsko preslikavo, nastal po vzoru poslovnih javanskih zrn. Poslovna javanska zrna sestavljajo trije tipi poslovnih objektov (zrn):
. sejni (session beatis), kjer se nahaja poslovna logika, • entitetni (entity beans), ki predstavljajo podatke,
■	sporočilni (message driven beans), za procesiranje Messaging Service (]MS) sporočil.
Hibernate nadomešča le entitetna zrna (entity beans). Njegova pomembna prednost v primerjavi z entitetnimi zrni je, da ga lahko uporabljamo tudi zunaj programskega strežnika. Ko ga uporabljamo v programskem strežniku, sejna in sporočilna zrna še vedno uporabljajo svojo funkcijo.
3	Primerjava
V nadaljevanju sledi podrobnejša primerjava tehnologij Hibernate in ADO.NET. V primerjavo smo vključili vse kriterije, ki so se nam zdeli pomembni za tovrstno tehnologijo. Ti so:
■	preslikava v objekte in tipizacija atributov,
■	predpomnjenje,
. odklopljen način dela s podatki,
. poizvedovanje po podatkih,
. generiranje enostavnih poizvedb, e branje podatkov po potrebi, e prenos prek omrežja, e poizvedovanje po podatkih v pomnilniku, e vezava na komponente uporabniškega vmesnika, e sočasno spreminjanje podatkov,
. podpora podatkovnih baz, e čas učenja,
. podpora in dokumentacija,
. licenčne pravice, e razvoj v prihodnosti.
3.1	Preslikava v objekte in tipizacija atributov
Atributi objekta (oz. v relacijskem modelu stolpci tabele) so lahko glede na način, kako se do njih dostopa, tipizirani ali netipizirani. Do tipiziranih atributov dostopamo prek "set" in "get" metod, kar imenujemo močna tipizacija atributov. Primer (v javi):
String nazivPartnerja = partner.getNazivf); partner.setNaziv(nazivPartnerja);
Takšen način znatno olajša programiranje, saj sodobna razvojna orodja s pomočjo dokončevanja kode pomagajo programerju. S tovrstno tipizacijo razvojnemu orodju omogočimo opozarjanje na napake v kodi. Ne more se npr. zgoditi, da bi uporabili atribui/stolpec, ki ne obstaja. Na koncu pa se takšen program tudi ne prevede, kar je bistveno boljše kot pri netipiziranih atributih, kjer napake odkrijemo šele pri izvajanju programa.
Nasprotno do neptipiziranih atributov ne dostopamo s pomočjo metod, temveč prek njihovega imena ali številke. Primer (v C#):
string nazivPartnerja = rov/[ "Naziv" ]; row["Naziv"] = nazivPartnerja;
Hibernate podatke preslika v objekte, tako da so atributi tipizirani, kar je njegova prednost. Včasih pa želimo do atributov dostopati s pomočjo niza, ki predstavlja njihovo ime. To je pri Hibernatu oteženo. Ena od rešitev je uporaba "reflekcije". "Reflekcija" je zmožnost programskega jezika, da bere podatke o svoji strukturi, kot so objekti, metode, atributi.
V ADO.NET atributi/stolpci niso tipizirani. Kljub temu razvojno orodje Visual Studio omogoča generi-ranje razredov, ki imajo močno tipizirane atribute. To mu omogoča podobno funkcionalnost, kot jo ima Hibernate. Takšna rešitev je sicer dobra, a slabša kot pri Hibernatu, ki že v osnovi ponuja takšne razrede brez generiranja kode. Poleg tega pri ADO.NET-u ne moremo izkoriščati dedovanja, polimorfizma ipd. V same objekte pa tudi težko vgradimo dodatno logiko.
3.2	Predpomnjenje
Možnost predpomnjenja podatkov pride do izraza pri pogostem dostopu do istih podatkov. Tak primer so sodobne spletne aplikacije, kjer lahko večje število uporabnikov dostopa do istih podatkov. Predstavljajmo si npr. spletno stran z novicami. Vsi uporabniki dostopajo do novic. Če te niso dostopne v pomnilniku, mora aplikacija za vsakega uporabnika prebrati novice iz podatkovne baze.
Hibernate uporablja vmesni nivo preslikave v objekte, kar mu omogoča predpomnjenje. Sledenje je rešeno popolnoma transparentno s stališča programerja. Programerju ni treba vedeti, od kod se bodo brali podatki. Hibernate uporablja dva tipa predpomnilnika: sejni in drugonivojski. Sejni deluje samo v času Hibernatove seje, kar v praksi običajno predstavlja eno uporabnikovo akcijo ali eno transakcijo podat-
kovne baze. Ni ga mogoče izključiti. Drugi, uporabnejši, pa je drugonivojski pomnilnik, ki je skupen za celoten Hibernate. Če uporabljamo Hibernatov predpomnilnik, moramo zagotoviti, da le ena instanca Hibernata dostopa do podatkov. V nasprotnem primeru v predpomnilniku nimamo zadnje verzije podatkov.
ADO.NET ne omogoča predpomnjenja. Hiberna-tovo predpomnjenje predstavlja eno večjih prednosti v primerjavi z ADO.NET-om.
3.3	Odklopljen način dela s podatki
Pri velikem številu dostopov do podatkovne baze je pomembno, da je vsak dostop čim krajši. Dostop do podatkovne baze je potreben le pri branju in shranjevanju. Stalna povezava ni potrebna, kar je bil problem pri starejših tehnologijah. S tem se bistveno povečuje zmogljivost in razširljivost, saj uporablja veliko manj strežniških virov v primerjavi z rešitvijo, ki uporablja trajno aktivno povezavo.
Tako ADO.NET kot Hibernate omogočata polno funkcionalnost brez stalne povezave z bazo. Pravzaprav se pri obeh podatkovni objekti sploh ne zavedajo, na kakšen način se podatki preberejo ali shranijo. Pri ADO.NET-u se za shranjevanje uporablja objekt DataAdapter. Ta vsebuje ukaze SQL, ki skrbijo za branje, shranjevanje, vstavljanje, brisanje. Način zapisa podatkov v bazo pri Hibernatu pa je določen v objek-tno-relacijski preslikavi v XML zapisu, kjer je navedeno, kateri atributi objektov se preslikajo v katere atribute v relacijski bazi. Pri obeh tehnologijah se povezava odpre le v času branja in pisanja. Za optimalno uporabo povezave skrbi mehanizem izmenjave povezave (connection pooling).
3.4	Poizvedovanje po podatkih
Podatke iz podatkovnega strežnika relacijske podatkovne baze pridobivamo s pomočjo poizvedovalnega jezika SQL. Dobljeni rezultat je tabela podatkov. S pomočjo SQL poizvedb dostopajo do podatkov tudi tehnologije, ki uporabljajo objektno-relacijsko preslikavo, s to razliko, da se poizvedbe generirajo avtomatsko. Objektno-relacijska preslikava pretvori rezultate v objekte. Poseben nivo preslikanih objektov, ki jih ponuja objektno-relacijska preslikava, pa omogoča poizvedovanje na objekten način, torej z objektnim poizvedovalnim jezikom, ki namesto tabele podatkov vrača objekte.
Pri Hibernatu po podatkih poizvedujemo s pomočjo posebnega poizvedovalnega jezika HQL (Hibernate
Query Language), ki je popolnoma objekten in zato omogoča funkcionalnosti, ki jih pri klasičnem jeziku nismo vajeni. Poizvedbe vračajo objekte in ne tabele s podatki, kot to stori klasični SQL. Pisanje poizvedb je bistveno lažje in hitrejše. Pri združevanju (join) ni več potrebno navajati atributov oz. ključev, po katerih združujemo, saj Hibernate ve za ključe posameznih objektov in povezave med njimi. Napisane poizvedbe so bistveno krajše in preglednejše. Hibernate v času izvajanja pretvori HQL poizvedbo v eno ali več poizvedb SQL. Poizvedbe HQL so tako neodvisne od podatkovne baze.
Preprosta SQL poizvedba
Branje vseh partnerjev:
SELECT * FROM partner
Enakovredna HOL poizvedba:
from Partner
Zahtevnejša poizvedba SOL:
Seznam dobaviteljev, ki nam dobavljajo material granulat:
SELECT partner.naziv AS partner_naziv FROM prejeti_racun INNER JOIN
postavka_prej_rac ON prejeti_racun.ID -postavka_prej_rac.prej_racID INNER JOIN material material
ON postavka_prej_rac.materialID = material.ID INNER JOIN partner ON prejeti_racun.partnerID = partner.ID
WHERE (material.naziv = 'granulat')
Enakovredna HOL poizvedba:
select dobavnica.partner.naziv from PrejetiRacun dobavnica
inner join dobavnica.postavke postavka where postavka.material.naziv = 'granulat'
Poizvedbe lahko gradimo tudi dinamično s pomočjo kriterijskega poizvedovanja:
Criteria crit = session.createCriterla(Partner.class); crit.add(Expression.eq("naziv", "Podjetje d.o.o.")); List partnerji = crit.list();
Huda pomanjkljivost HQL-a je, da podpira operacije le v loherc delu poizvedbe. To je velika ovira, saj operacije velikokrat potrebujemo tudi v select delu poizvedbe (npr. želimo napisati poizvedbo, ki poleg stolpca a in b vrne tudi njun zmnožek).
Možna je tudi uporaba vgnezdenih poizvedb, vendar le v zvhere delu poizvedbe. Če podatkovni strežnik podpira vgnezdene poizvedbe, zna Hibernate to izkoristiti. V nasprotnem primeru pa generira več klasičnih poizvedb. Pogrešamo pa uporabo vgnezdenih poizvedb v from delu poizvedbe, saj so te najbolj uporabne in performančno ugodnejše.
HQL jezik je zmogljivejši od večine konkurenčnih tehnologij za objektno-relacijsko preslikavo. Kljub temu moramo zaradi nekaterih pomembnejših omejitev jezika HQL veliko zahtevnejših poizvedb še vedno napisati v SQL-u. V poizvedbi SQL navedemo, v katere atribute na objektih naj se rezultati preslikajo, tako da je delo s podatki še vedno objektno.
Pri ADO.NET-u do baze dostopamo neposredno s pomočjo stavkov SQL, ki so specifični za uporabljeno podatkovno bazo.
3.5	Generiranje enostavnih poizvedb
Pri izdelavi informacijskega sistema je za dostop do podatkovne baze treba napisati veliko poizvedb. Velik del teh je enostavnih, saj gre navadno za branje ali pisanje v eno tabelo. Dobre tehnologije za dostop do podatkov to rutinsko delo olajšajo z generiranjem enostavnejših poizvedb.
Kot smo že omenili, so podatki v Hibernatu predstavljeni kot objekti. Hibernate sam skrbi za polnjenje objektov s podatki iz podatkovne baze in tudi za zapisovanje spremenjenih podatkov nazaj vanjo. To pomeni, da sam generira poizvedbe za branje in shranjevanje. Pri tem zna biti kar se da optimalen. Bere le podatke, ki jih nima v predpomnilniku. Shranjuje le podatke, ki so bili spremenjeni. Omogoča branje podatkov po potrebi, torej šele ko in če jih potrebujemo. Generirati zna tudi poizvedbe za branje podatkov povezanih objektov.
Napreden mehanizem generiranja poizvedb pa ne pomeni, da so generirane poizvedbe vedno optimalne. Programer mora dobro poznati delovanje Hiber-nata, da vedno uporabi najustreznejši mehanizem. V nasprotnem primeru lahko pride do zelo neoptimal-nih poizvedb, kot npr. generiranje poizvedb za branje vsakega zapisa tabele posebej, namesto branja vseh zapisov z eno poizvedbo.
ADO.NET ne pozna tako naprednega mehanizma generiranja poizvedb, kot ga omogoča Hibernate. Poizvedbo moramo napisati sami. Kadar za branje uporabljamo zelo enostavno poizvedbo, lahko s pomočjo objekta razreda CommandBuilder generiramo poizvedbe za
vstavljanje, spreminjanje in brisanje. Generirane poizvedbe so neoptimizirane, zato se njihova uporaba ne priporoča. Več od generiranja poizvedb za osnovno branje in pisanje pa CommandBuilder ne omogoča.
ADO.NET za branje in shranjevanje podatkov vedno uporablja poizvedbe iz objekta DataAdapter. Torej poizvedbe ne optimizira za vsako branje ali shranjevanje.
3.6	Branje podatkov po potrebi
Pri programiranju velikokrat preberemo več podatkov, kot je potrebno, ker ne vemo, katere bomo potrebovali. Rešitev je mehanizem, imenovan branje po potrebi (lazy loading), ki avtomatsko poskrbi za branje podatkov, ko jih potrebujemo.
Takšen način omogoča Hibernate. Če uporabimo ta mehanizem, nam kot rezultat poizvedbe vrne posredniške objekte (proxy). Ti delujejo kot običajni objekti, a ne vsebujejo podatkov. Sami poskrbijo za njihovo branje, ko do njih prvič dostopamo.
Se bolj uporabna pa je možnost branja po potrebi pri branju povezanih objektov. Ko že imamo na voljo objekt, želimo dostopati do objektov, s katerimi je ta povezan. Ti se lahko nalagajo takoj ob branju izhodiščnega objekta ali pa se naložijo po potrebi, ko do objektov dostopamo. Npr. če iz baze preberemo artikel in želimo prek njega dostopati do vseh dobaviteljev, se le-ti, ko jih potrebujemo, avtomatsko preberejo iz baze. To se zgodi brez posebne zahteve programerja. Slednji dela s podatki, kot da bi imel vse na voljo v pomnilniku.
ADO.NET branja po potrebi ne omogoča.
3.7	Prenos prek omrežja
Sodobni informacijski sistemi so z vidika arhitekture sestavljeni večnivojsko. Med posameznimi nivoji je pomembna optimizacija prenosa podatkov. Pomembni so naslednji vidiki:
. združevanje zahtevanih podatkov: Če npr. dostopamo do podatkov partnerjev, mora strežnik vrniti vse podatke vseh partnerjev, ki jih odjemalec potrebuje. V nasprotnem primeru bi moral odjemalec zahtevati vsak podatek posebej; npr. naziv, naslov, telefonsko posebej in tako naprej za vsakega partnerja posebej.
. pošiljanje povezanih podatkov: Npr. objekt partnerja je lahko povezan s kontaktnimi osebami. Če odjemalec potrebuje kontaktne osebe, mu jih mora strežnik posredovati skupaj s podatki partnerja.
■ vračanje sprememb: Če popravimo naziv enega od partnerjev, moramo nazaj poslati samo nov naziv, ne pa vseh podatkov tega partnerja, še manj pa podatke o vseh partnerjih. Obstajati mora mehanizem, ki skrbi za sledenje spremembam, ki so bile narejene na podatkovnih objektih.
Opisani problemi se pojavljajo pri uporabi tehnologije entitetnih zrn (Entity Beans). Najustreznejša rešitev je, da podatke zapakiramo v enoten objekt. Načrtovalski vzorec, ki rešuje vse naštete probleme, imenujemo prenosni objekt (Transfer Object) (4). Eden od glavnih problemov J2EE je, da ni ustreznega standarda za implementacijo prenosnih objektov. Najbolj resno je zastavljena arhitektura SDO (Service Data Objects), katere predlog sta uskladila IBM in BEA, ki za zdaj v glavnem ostaja le pri dokumentaciji.
Pri uporabi prenosnega objekta odjemalec sproži le eno zahtevo. Strežnik v ta namen kreira prenosni objekt, skopira podatke vanj in ga vrne odjemalcu. Na prejetem objektu odjemalec lokalno dostopa do posameznih atributov. Pri spreminjanju atributov je avtomatično označeno, kateri atributi so bili popravljeni. Ko odjemalec vrne spremenjeni prenosni objekt, se pošljejo samo spremembe. Pri tem se pojavlja problem, da se prenosni objekt ne zaveda sprememb, ki so jih medtem naredili drugi odjemalci. Zato je potrebno slediti verzijam podatkov, kjer je to pomembno.
Pri uporabi Hibernata se lahko izognemo uporabi prenosnih objektov. Hibernate namreč omogoča, da lahko objekte, ki jih preberemo v eni seji/transakciji, uporabimo v drugi. Objekte, ki niso več povezani s sejo, pri Hibernatu imenujejo ločeni objekti (detaclied objects). Lahko jih posredujemo na druge nivoje in vračamo spremenjene nazaj. Vrnjene objekte nato normalno uporabljamo naprej. Problem združevanja podatkov je tako rešen. Rešen je tudi problem povezanih objektov. Povezani podatki, ki so prebrani iz baze, se posredujejo skupaj z osnovnim objektom. Globino grafa objektov, ki ga posredujemo na drugi nivo, določimo, ko podatke beremo iz podatkovne baze. Edini problem, ki pri tem ostaja nerešen, je, da se vračajo vsi podatki in ne samo spremenjeni.
Precej enostavnejša je rešitev pri ADO.NET-u, saj je podatkovni model relacijski. Podatki se nahajajo v tabelah. Nimamo opraviti s hierarhijo objektov, kar problem močno poenostavi. ADO.NET poleg spremenjenih podatkov hrani tudi originalne. Pri posredovanju čez omrežje se tako lahko enostavno pošljejo samo razlike.
3.8	Poizvedovanje po podatkih v pomnilniku
Pomembna lastnost podatkovne baze je, da lahko po podatkih poizvedujemo. Če nas zanimajo seštevki, želimo podatke urediti, filtrirati ipd., napišemo poizvedbo SQL. To pa ni tako enostavno pri podatkih, ki jih je uporabnik pravkar vnesel in jih še nismo shranili v podatkovno bazo, jih mogoče tudi ne želimo ali pa zanje v bazi ni ustrezne strukture. Želimo si, da bi lahko poizvedovali tudi po teh podatkih.
ADO.NET omogoča enostavno poizvedovanje po podatkih v pomnilniku. Podpira seštevanje in preštevanje stolpcev tabele, filtriranje in sortiranje. Hibernate tega ne omogoča.
3.9	Vezava na komponente uporabniškega vmesnika
S pomočjo komponent uporabniškega vmesnika, ki omogočajo vezavo na podatke, lahko podatke prikažemo in spreminjamo, ne da bi bilo treba napisati veliko kode.
Skupaj z ogrodjem .NET dobimo komponente uporabniškega vmesnika, ki omogočajo vezavo na podatke ADO.NET-a. Oblikoval se je tudi velik trg tovrstnih komponent. Sestavljanje že narejenih komponent precej skrajša čas razvoja in hkrati omogoča dodajanje funkcionalnosti, ki si jih sicer verjetno ne bi privoščili. Najučinkovitejša je vezava na komponente pri klasičnih aplikacijah. Pri spletnih aplikacijah so zaradi drugačne arhitekture takšne komponente manj zmogljive.
Pri Hibernatu ne obstajajo komponente uporabniškega vmesnika, ki bi omogočale vezavo.
3.10	Sočasno spreminjanje podatkov
Večina informacijskih sistemov je večuporabniških. Problem nastane, ko več uporabnikov spreminja iste podatke. Na takšne dogodke reagiramo z zaklepanjem podatkov, ki je lahko pesimistično ali optimistično.
Pri pesimističnem zaklepanju se podatki, ki jih uporabnik spreminja, zaklenjejo in tako postanejo nedostopni drugim uporabnikom. Ta način je za sodobne aplikacije z velikim številom uporabnikov večinoma nesprejemljiv. Pri optimističnem zaklepanju pa domnevamo, da samo en uporabnik spreminja podatke in jih zato ne zaklepamo. V primeru, da drug uporabnik spremeni podatke, imamo dve možnosti. Lahko spremembe drugega uporabnika enostavno shranimo in s tem izbrišemo spremembe prvega. Druga možnost je, da pred shranjevanjem preverimo, ali so se podatki od zadnjega branja spremenili. Če so
se, uporabnika obvestimo, da shranjevanje ni uspelo. Če naš problem zahteva tovrstno preverjanje, je treba za to zagotoviti ustrezen mehanizem. Obstajata dve alternativi:
. preverjanje verzije. Vsak zapis v bazi razširimo s stolpcem, ki hrani verzijo zapisa. Verzija je lahko v obliki številke verzije ali časa zadnjega shranjevanja. Pred shranjevanjem preverimo, če se je od zadnjega branja verzija oz. čas spremenil.
. preverjanje sprememb podatkov. Pred shranjevanjem preverimo, če se je spremenil katerikoli podatek v zapisu.
Hibernatov prevzeti mehanizem je optimistično zaklepanje brez preverjanja sprememb. V kolikor potrebujemo preverjanje, nam Hibernate omogoča oba našteta načina. Priporočeno je preverjanje verzije podatkov. Preverjanje sprememb podatkov je možno samo v okviru iste Hibernatove seje, saj slednja hrani stare podatke, ki so potrebni za primerjavo. Oba mehanizma sta s stališča programerja transparentna. Določiti mora samo, kateri tip preverjanja naj se uporablja.
Pri ADO.NET-u praviloma sami napišemo poizvedbe za shranjevanje, zato moramo tudi sami poskrbeti za način zaklepanja podatkov oz. morebitno preverjanje sprememb podatkov. V kolikor za generiran-je poizvedb uporabljamo v poglavju 3.5 omenjen CommandBuilder, nam ta generira poizvedbe, ki pred shranjevanjem preverijo spremembe podatkov.
3.11	Podpora podatkovnih baz
Hibernate podpira večino podatkovnih baz, ki so danes v uporabi. Do baze dostopa prek vmesnika JDBC, za kar potrebujemo ustrezen gonilnik. Poleg tega mora Hibernate podpirati različico jezika SQL, ki je specifična za podatkovno bazo. V kolikor različica SQL jezika, ki ga podatkovna baza uporablja, v okviru Hibernata ni podprta, lahko brez večjih težav dodamo podporo zanjo.
ADO.NET je na trgu že veliko časa, zato so tudi zanj na voljo gonilniki za vse pomembnejše podatkovne baze. Poleg tega ADO.NET že v osnovi podpira dostop do baze prek vmesnikov ODBC in OLE DB.
3.12	Čas učenja
Čas, ki ga potrebujemo za usvojitev osnovnega znanja za delo s Hibematom, bi lahko ocenili kot trikrat daljši od učenja ADO.NET-a. Potrebno je namreč natančno poznavanje njegovega kompleksnega načina delovanja. V
nasprotnem primeru lahko pridemo do neoptimalnih rešitev (poglavje 3.5).
3.13	Podpora in dokumentacija
Uspešnost uvajanja nove tehnologije je precej pogojena z ustreznostjo dokumentacije in kvaliteto podpore.
Za odprtokodne projekte je značilna slaba dokumentacija. Kljub temu lahko rečemo, da je Hibernate dobro dokumentiran. Poleg brezplačne literature je na voljo nekaj komercialnih knjig. Nekomercialna podpora za Hibernate je na voljo prek njihovega foruma. Komercialna podpora pa je možna prek podjetja JBoss, Inc.
Ker je trenutno .NET in z njim ADO.NET ena najbolj popularnih tehnologij, zanj obstaja na kupe zelo dobrih knjig. Uradno komercialno in nekomercialno podporo seveda nudi Microsoft.
- Možno bo uporabljati shranjene procedure.
■	Več možnosti bo pri izdelavi preslikave, med drugim preslikava enega razreda v več tabel.
• Možno bo filtriranje podatkov na nivoju seje.
■	Na voljo bo zmogljivejši poizvedovalni jezik HQL.
■	Integrirane bodo funkcionalnosti, ki jih prinaša java 5.
■	Branje podatkov po potrebi bo možno tudi na nivoju stolpcev.
Številne novosti bo prinesel tudi novi ADO.NET 2.0 (1), ki bo izšel leta 2005 z novim .NET ogrodjem, Visual Študijem 2005 in SQL Serverjem 2005. Veliko večje novosti bo prinesla nova verzija operacijskega sistema VVinodvvs, imenovana Longhorn. Ta bo vsebovala tehnologijo za objektno-relacijsko preslikavo, imenovano ObjectSpaces.
3.14	Licenčne pravice
Hibernate je odprtokodni projekt, izdan pod licenco LGPL (Lesser General Public License), ki omogoča brezplačno uporabo tudi v komercialne namene.
ADO.NET je razvil Microsoft, kar pomeni, da njemu pripadajo vse licenčne pravice. To predstavlja delno tveganje, saj se lahko Microsoft kadarkoli odloči, da tehnologije ne bo več razvijal ali pa jo spremeni v tolikšni meri, da naša že napisana koda ne bo več združljiva. Tako se je npr. že zgodilo pri Visual Bašiču. Novi Visual Basic.NET je namreč skoraj popolnoma nezdružljiv s starim. Enako velja tudi za ADO in ADO.NET.
3.15	Razvoj v prihodnosti
Odločitev za uporabo določene tehnologije temelji tudi na pričakovanjih o njenem prihodnjem razvoju in spreminjanju. Pred spremembami in vgrajevanjem nove funkcionalnosti ima praviloma prednost združljivost s starimi različicami, saj želimo, da naše rešitve tudi po prehodu na novejšo verzijo nemoteno delujejo.
V času pisanja prispevka je bila na Hibernatovi strani dostopna alfa različica Hibernata 3. Prinaša številne novosti, ki bodo prišle prav predvsem v primerih, kjer smo s sedanjo verzijo naleteli na omejitve. Naj naštejemo nekaj novosti:
• Vse generirane poizvedbe bo moč nadomestiti z ročno napisanimi. Tako bomo imeli možnost, da dostop do baze sami poljubno optimiziramo, kjer je to potrebno. Realizirati bo mogoče funkcionalnosti, ki smo jih do sedaj zelo težko.
4	Analiza zmogljivosti
V tem razdelku podajamo rezultate analize zmogljivosti tehnologij ADO.NET in Hibernate. Namen analize je prikazati, kako konceptualne razlike vplivajo na hitrost. Pri tem nismo želeli ovrednotiti, katera od rešitev je hitrejša. Za to bi bilo treba natančno določiti problemsko domeno - namen uporabe aplikacije, število uporabnikov, strojno podlago itd.
Glavne razlike v hitrosti med ADO.NET in Hibernate izhajajo iz dejstva, da Hibernate omogoča pred-pomnjenje podatkov. To pomeni, da je prvo branje nekoliko počasnejše, saj je potreben čas za inicializacijo predpomnilnika, drugo branje pa je občutno hitrejše. Pri analizi smo se zato osredotočili samo na branje podatkov. Primerjave hitrosti shranjevanja nismo vključili, ker med tehnologijama ni večjih konceptualnih razlik.
Ne java ne .NET ne omogočata natančnega merjenja časa. Zato smo morali v obeh primerih klicati sistemske klice operacijskega sistema.
Podatki o merjenju
Konfiguracija računalnika, na katerem smo izvajali teste:
Procesor:	AMD Athlon 2,6 GHz
Pomnilnik:	516 MB
Krmilnik diska:	SATA
Disk:	WD 120 GB, 7200 obratov/s.
Operacijski sistem:	VVindovvs XP
Konfiguracija računalnika, na katerem je delovala podatkovna baza:
Intel Pentium II 350 MHz 384 MB ATA 66
IBM 40 GB, 7200 obratov/s. VVindovvs 2000 Microsoft SQL Server 2000
Procesor:
Pomnilnik:
Krmilnik diska:
Disk:
Operacijski sistem:
Podatkovna baza:
Nastavitve Hibernata:
JDBC gonilnik:	JTurbo
Uporabljen sekundarni predpomnilnik: EH CacheMehanizem za izmenjavo povezave: C3P0 Število maksimalnih sočasnih izmenljivih povezav: 5 Velikost "prepared statement" predpomnilnika: 100
4.1	Branje v odvisnosti od količine podatkov
Za merjenje hitrosti branja smo kreirali tabelo, jo postopoma polnili s podatki in jih nato prebrali. Pri tem smo merili čas različnih načinov branja.
Glavna razlika med tehnologijama izhaja iz možnosti predpomnenja, ki ga ponuja Hibernate. Kadar so podat-
ki v predpomnilniku, je branje občutno hitrejše. Kljub temu pa branje v našem primeru ni možno brez dostopa do baze. Hibernate najprej prebere vse ključe tabele, nato pa pogleda, če se posamezen zapis že nahaja v predpomnilniku. Če se, mu celotnega zapisa ni treba prebrati.
Pri načinu drugega branju pri Hibernatu je treba omeniti, da smo klicali drugo metodo kot pri prvem branju. Ta omogoča izkoriščanje podatkov v predpomnilniku, vendar je neoptimalna, če v predpomnilniku ni dovolj velikega deleža podatkov.
Rezultati
Rezultati meritev so prikazani na grafu 1. Čas prvega branja pri Hibernatu je skoraj še enkrat daljši od branja pri ADO.NET-u. Razlog je deloma hkratno shranjevanje podatkov v sejni in drugonivojski predpomnilnik. Drugonivojski predpomnilnik lahko izklopimo in s tem prvo branje nekoliko pospešimo, kar je razvidno iz grafa.
čas (ms)
1750
1000
250
6000
8000
10000
12000
14000
16000
število zapisov v tabeli
—e— prvo branje - ADO.NET —B— drugo branje - ADO.NET
-	- -X- - - prvo branje (izključen drugoniv. predpom.) - Hibernate
------- drugo branje z uporabo sejnega predpom. (izključen drugoniv. predpom.) - Hibernate
-	- k - - prvo branje (vključen drugoniv. predpom.) - Hibernate
-	• ■ • - drugo branje z uporabo drugoniv. predpom. (izpraznjen sejni, predpom.) - Hibernate
Graf 1: Čas branja v odvisnosti od količine podatkov
Drugo branje pri Hibernatu je zaradi uporabe predpomnilnika bistveno hitrejše od branja pri ADO.NET-u. Tu se pokaže prava moč Hibernata. Če bi za testiranje uporabili zahtevnejšo poizvedbo ali če bi bazo bolj obremenili in s tem dosegli daljši odzivni čas, bi bila razlika še veliko večja, pravzaprav poljubno večja.
4.2	Branje zapisa tabele z znanim ključem
Ponovno smo brali podatke iz tabele, v tem primeru le en zapis. Do njega smo dostopali s pomočjo njegovega ključa. To je najhitrejši način dostopa pri Hibernatu v primeru, da so podatki dostopni v predpomnilniku. Zato v nasprotju s prejšnjo primerjavo pri drugem branju ne potrebujemo dostopa do baze.
Rezultati
Rezultati meritev so prikazani na grafu 2. Čas prvega in drugega branja z ADO.NET-om je po pričakovanju skoraj identičen. Pri Hibernatu je prvo branje daljše in drugo zaradi predpomnilnika občutno krajše. Če bi bazo pri tem močno obremenili in s tem podaljšali odzivni čas, bi bil vpliv predpomnjenja še očitnejši.
5	Interpretacija rezultatov
Strnimo glavne dobre in slabe lastnosti obeh tehnologij.
čas (ms)
|	| prvobranje-ADO.NET
[	| drugobranje-ADO.NET
prvo branje - Hibernate
DZ1 ponovno branje (iz sejnega predpom.) - Hibernate M ponovno branje (iz drugoniv. predpom.) - Hibernate
Graf 2: Branje zapisa tabele z znanim ključem
Dobre lastnosti Hibernata:
■	pravi objektni model, kar bistveno poenostavlja programiranje in kar je bil tudi vzrok nastanka Hibernata,
■	ločenost podatkovnih objektov od mehanizma za branje in shranjevanje,
■	odklopljen način dela, ki ne zahteva stalne povezave s podatkovno bazo,
■	predpomnjenje,
. avtomatsko generiranje poizvedb za branje in shranjevanje,
■	branje po potrebi,
■	prenosljivost med podatkovnimi bazami.
Slabe lastnosti Hibernata:
. premalo zmogljiv poizvedovalni jezik HQL,
. onemogočeno ali oteženo izkoriščanje vseh funkcionalnosti podatkovne baze,
• zahteva veliko znanja.
Dobre lastnosti ADO.NET-a:
. ločenost podatkovnih objektov od mehanizma za branje in shranjevanje,
. odklopljen način dela, ki ne zahteva stalne povezave s podatkovno bazo,
. poizvedovanje po podatkih v pomnilniku,
. vezava na komponente uporabniškega vmesnika. Slabe lastnosti ADO.NET-a:
■	relacijski model.
Prednosti in slabosti primerjanih tehnologij je treba ovrednotiti tudi s stališča arhitekture sistema, ki ga želimo razviti. Poslovne informacijske sisteme lahko v grobem razdelimo v dve skupini: sisteme z lahkim spletnim odjemalcem in sisteme z bogatim ali debelim odjemalcem. Z ekspanzijo spletnih rešitev in elektronskega poslovanja so danes seveda zelo popularne rešitve z lahkim spletnim odjemalcem. Takšne rešitve imajo tri zelo pomembne značilnosti (slika 3):
1.	Spletni strežnik ne sme hraniti večje količine podatkov, vezanih na enega uporabnika. Strežnik namreč ne ve zanesljivo, kdaj je odjemalec z njim povezan. Povezava se praviloma konča s časovnim pretekom seje.
2.	Odjemalec ne zna učinkovito hraniti podatkov, saj le prikazuje HTML kodo, ki jo generira strežnik.
3.	Odjemalec ne zna učinkovito manipulirati s podatki, saj so jeziki za programiranje odjemalca (v okviru spletne rešitve) relativno omejeni.
Posledica vsega naštetega je, da skoraj vsak klik
uporabnika predstavlja dostop do spletnega strežnika. Ker pa uporabnikovih podatkov praviloma ne
Odjemalec
veliko zahtev
veliko zahtev
>
Spletni programski strežnik
Podatkovna baza
Slika 3: Generiranje zahtev pri spletnih odjemalcih
smemo hraniti ne na odjemalcu in ne na spletnem strežniku, moramo dostopati do podatkovne baze. Prihaja torej do pogostega dostopa do podatkovne baze. Sistem predpomnenja je pri tem skoraj nujen. Za takšne rešitve je zelo primeren Hibernate. Na drugi strani pa prednosti, ki smo jih omenili pri tehnologiji ADO.NET, pri spletnih aplikacijah skoraj ne pridejo do izraza. Poizvedovanje po podatkih v pomnilniku je manj pomembno, saj podatke v glavnem beremo iz podatkovne baze ob vsakem dostopu uporabnika. Omejena je tudi vezava na komponente uporabniškega vmesnika.
Pri sistemih drugega tipa, torej sistemih z bogatim ali debelim odjemalcem, predpomnjenje ni tako pomembno (slika 4). V ospredje pridejo vse prednosti ADO.NET-a. Za takšne sisteme je zato ADO.NET primernejši.
Pri tehnoloških odločitvah navadno nastopajo številni kriteriji in omejitve, zato je nehvaležno govoriti o tem, katera tehnologija je primernejša. Objekt-no-relacijska preslikava prinaša korenite spremembe pri dostopu do podatkov, kar zelo poenostavi in pohitri programiranje. Upoštevati pa moramo, da dodatni nivo preslikave poveča kompleksnost sistema. Če upoštevamo še dejstvo, da se Hibernate uporablja v
okolju java, ki velja za kompleksno okolje, lahko ocenimo, da pridejo Hibernatove prednosti do izraza predvsem pri večjih projektih. ADO.NET je bistveno bolj primeren za manjše projekte, kjer bi vpeljava posebnega nivoja objektno-relacijske preslikave ter učenje Hibernata vzela preveč časa.
Hibernate ponuja funkcionalnosti, ki naj bi jih ponudile objektne podatkovne baze. Te se napovedujejo že vrsto let, vendar nič ne kaže, da bi se kmalu uveljavile v praksi. Večina relacijskih podatkovnih baz pa ponuja le osnovno delo z objekti. Ponuditi bi morale to, kar ponuja Hibernate - delo z objekti ter objektni poizvedovalni jezik, ki vrača prave objekte v jeziku, s katerim programiramo. Poizvedovalni jezik bi moral biti zmogljivejši od Hibernatovega HQL-la, torej na nivoju zmogljivosti SQL-a, a seveda objekten. Hibernate in njemu sorodne rešitve mogoče predstavljajo korak na prehodu v objektne podatkovne baze.
6	Sklep
V prispevku smo primerjali dve izmed najbolj popularnih tehnologij za dostop do relacijskih podatkovnih baz: Hibernate in ADO.NET. Posebno mesto zavzema Hibernate, saj omogoča objektno-relacijsko preslikavo, kar predstavlja konceptualno drugačen pristop v
Aplikacijski strežnik
Podatkovna baza
Slika 4: Generiranje zahtev pri bogatih odjemalcih

primerjavi s starejšimi tehnologijami. Objektno-rela-cijska preslikava pretvori podatke iz relacijske podatkovne baze v objekte. Ti se programerju predstavljajo kot objektna podatkovna baza. To znatno olajša programiranje, hkrati pa Hibernatu omogoča dodatne funkcionalnosti, kot so poizvedovanje z objektnim poizvedovalnim jezikom, predpomnenje ter neodvisnost od podatkovne baze. Treba pa je poudariti, da gre za kompleksno tehnologijo, ki od programerja zahteva polno poznavanje njenega delovanja.
ADO.NET je bil narejen skupaj z ogrodjem .NET in razvojnim orodjem Visual Studio.NET. Zato je tesno integriran tako v ogrodje .NET kot v razvojno okolje. Ker je podatkovni model še vedno relacijski, ne moremo izkoriščati vseh prednosti, ki jih ponujajo objektni jeziki. Njegova slabost je tudi nezmožnost predpomnjenja. Kljub temu pa z odklopljenim načinom dela, povezavami med tabelami, avtomatskim generiranjem osnovnih poizvedb in možnostjo generiranje kode z močno tipiziranimi atributi omogoča podobno funkcionalnost kot objektni model. Ponuja tudi številne funkcionalnosti, ki poenostavljajo programiranje.
7	Literatura
1.	B. Beauchemin, ADO.NET 2.0 Feature Matrix, julij 2004 http://msdn.microsoft.com/library/default.asp?url=/ Iibrary/en-us/dnvs05/html/ado2featurematrix.asp
2.	C. Bauer, G. King, Hibernate in Action, Manning Publications, 2004, ISBN l-932394-15-X
3.	C. Mathevvs, A Čase Against EJB, 10. 10. 2004 http://www.javaranch.com/newsletter/200401/ ACaseAgainstEJB.html
4.	Gore J2EE Patterns - Transfer Object, Sun Microsystems, Inc., 10. 10. 2004
http://java.sun.com/blueprints/corej2eepatterns/Patterns/
TransferObject.html
5.	G. King, C. Bauer, Object/Relational Persistence for idiomatic Java, 10. 10. 2004 http://www.hibernate.org/hib_docs/online/ atljug04_presentation/hibernate_atljug2004.pdf
6.	G. King, The Scope of Hibernate Three, 2. 4. 2004 http://blog.hibernate.org/cgi-bin/blosxom.cgi/2004/04/02/
7.	Hibernate2 Reference Documentation, Version: 2.1.4 http://www.hibernate.org/hib_docs/reference/en/pdf/ hibernate_reference.pdf
8.	M. MacDonald, B. Hamilton, AD0.NET in a Nutshell, 0’Reilly, 2003, ISBN 0-596-00361-7
Marko Štrukelj je leta 2004 diplomiral na Fakulteti za računalništvo in informatiko. Zaposlen je v podjetju lxtlan Team, d. o. o. kot razvojni inženir.
Marko Bajec je docent na Fakulteti za računalništvo in informatiko, Univerza v Ljubljani, kjer predava predmete s področja informacijskih sistemov. Raziskovalno in v praksi se ukvarja predvsem s področji, kot so načrtovanje in uvajanje metodologij razvoja informacijskih sistemov (poudarek na uporabi sodobnih pristopov ter najboljših praks), strateško planiranje informatike, poslovno modeliranje, elektronsko poslovanje ipd. Je član več strokovnih in znanstvenih združenj. Svoje prispevke objavlja v domačem in mednarodnem prostoru.
RAZPRAVE
0 Ogrodje poslovnih procesov ponudnikov storitev
Boštjan Keber, Marand, d. o. o. bostjan.keber@marand.si
Marjan Krisper, Fakulteta za računalništvo in informatiko, Univerza v Ljubljani marjan ,krisper@fri. uni-lj .si Tomaž Gornik, Marand, d. o. o. tomaz.gornik@marand.si
Povzetek
Članek opisuje ogrodje poslovnih procesov eTOM in možnosti njegove uporabe tako za ponudnike IKT storitev kot tudi za ponudnike komunalnih storitev. eTOM je nastal IKT panogi, a je zasnovan splošno in ga zato lahko uporabimo tudi za druge ponudnike. Motiv za uporabo istega ogrodja v različnih panogah je zniževanje stroškov, ki ga dosežemo s prenosom znanja iz ene panoge v drugo in v poenotenju visokonivojskih procesov ponudnikov različnih storitev, ki lahko (zaradi zlivanja tehnologij) nastopajo v istih vrednostnih verigah.
Abstract
Business Process Frameuvork far Service Providers
The paper describes the eTOM business process framevvork and its application to ICT providers as well as public Utilities. eTOM has been developed in the ICT industry, hovvever, due to its generic design, it is also applicable to non-ICT enterprises. Motives to apply the same process framevvork to different industries are reducing costs (achieved vvith knovvledge transfer) and harmonization of high-level business processes in enterprises that can cooperate in same value chains (due to technology convergence).
1	Uuod
Projekti informatizacije poslovnih procesov danes po vsebini niso več »izdelava informacijskega sistema«, temveč »prenova informacijskega sistema«, saj vsak poslovni sistem (v pričujočem besedilu se bomo usmerili zlasti na ponudnike storitev) že ima informacijsko podporo svojim poslovnim procesom. Pri informacijskih projektih se zato srečujemo z dvema izzivoma: tehnološkim (integracija nove informacijske rešitve v obstoječe okolje) in poslovnim (spremembe in optimizacija poslovnega procesa zaradi možnosti nove informacijske rešitve).
Če se (brez škode za splošnost) za trenutek omejimo na področje upravljanja odnosov s kupci (angl. Cu-stomer Relationship Management, CRM), bo po napovedi Gartner Group do leta 2006 prek 50 % postavitev CRM videti kot napaka zaradi (med drugim) pomanjkljive prenove poslovnih procesov (Gartner Group strategic planning assumption, verjetnost 0,8) [4].
Mednarodno združenje ponudnikov informacij-sko-komunikacijskih (IKT) storitev TeleManagement Forum (TMF) je v okviru pobude NGOSS (angl. Nezu Generation Operations Support Si/stem) oblikovalo ogrodje poslovnih procesov ponudnika storitev, imenovano eTOM (angl. enhanced Telecom Operations Map). Ogrodje se uporablja pri prenovi poslovnih procesov (angl. Business Process reengineering, BPR) po-
nudnikov internetnih storitev, storitev stacionarnih in mobilnih govornih in podatkovnih komunikacij itd. Pričujoče besedilo predstavlja ogrodje eTOM in njegovo uporabo pri informatizaciji in prenovi poslovnih procesov ponudnikov storitev. Pri tem se ne omejuje zgolj na ponudnike IKT storitev, temveč razlaga tudi možnost uporabe pri ponudnikih komunalnih storitev (to so ponudniki oskrbe s plinom, daljinskim ogrevanjem, električno energijo in pitno vodo).
2	Ogrodje poslovnih procesov eTOM
2.1	Procesni model
V nadaljevanju je predstavljeno ogrodje poslovnih procesov eTOM, to je model, ki določa poslovne procese ponudnikov storitev. Ne gre ga razumeti kot poslovni model ponudnika storitev. Model ne ponuja odgovorov na strateška vprašanja, denimo kdo naj bodo ciljni kupci poslovnega sistema, katere tržne segmente naj pokriva, kakšna naj bosta poslanstvo in vizija poslovnega sistema itd.
Slika 1 prikazuje najvišji pogled na model poslovnih procesov. Ogrodje eTOM določa tri ravni procesov, slika 1 prikazuje prvo (najvišjo) raven. Ker uporabnike na različnih ravneh odločanja zanimajo procesi na različnih
2005-številka 1 - letnikXIII
UPORABNA
NFORMATIKA 17
ravneh podrobnosti, imenujemo pogled, ki ga predstavlja slika 1, pogled vrhovnega manedžmenta. eTOM določa le tri ravni procesov zaradi splošnosti: izvedba ravni 4 in naprej je odvisna od vsakega posameznega ponudnika storitev (to je del znanja posameznega podjetja).
Ogrodje eTOM razdeli poslovni sistem na strateške, organizacijske in operativne (izvedbene) skupine procesov. Osrednja točka modela so operativni procesi, ki zadevajo kupce: ti procesi se imenujejo »FAB« (angl. Fulfillment, Assurance, Billing). Gre torej za procese izpolnitve zahteve kupca (dodelitev produkta), zagotavljanja dogovorjene ravni storitve in obračunavanja (u)porabljenih produktov. Operativna podpora in pripravljenost (prvi steber operativnega dela modela) sta ločeni od »FAB« procesov, da bi poudarili, da ti procesi zagotavljajo podporo in avtomatizacijo »FAB«
procesov. Levi del modela predstavlja strategijo in upravljanje življenjskega cikla (infrastrukture in produktov). Procesi, opisani v tem delu, ne omogočajo neposredne podpore kupcem in so bistveno drugačni od operativnih procesov desnega dela. Levi in desni del modela se razlikujeta tudi po življenjskih ciklih procesov: dolžina življenjskih ciklov pada od leve proti desni.
2.2	Konceptualni model
Konceptualni podatkovni model vsebuje določena standardna poimenovanja, denimo produkt, naprava, storitev itd. Pomen in vloga teh entitet ter njihove medsebojne relacije so prikazani na konceptualnem modelu (slika 2). Relacije so usmerjene; smer relacije je na diagramu prikazana s puščicami.
Za razumevanje modela poglejmo definicije nekaterih (najpomembnejših) entitet [8].
PROCESI STRATEGIJE, INFRASTRUKTURE IN PRODUKTOV
OPERATIVNI (IZVEDBENI) PROCESI
OPERATIVNA PODPORA IN PRIPRAVLJENOST
INFRA-
STRUKTURA
OBRAČUN
PRODUKT
ZAGOTAVLJANJE
STRATEGIJA
IZPOLNITEV
RAZVOJ IN UPRAVLJANJE STORITEV
TRŽENJE IN UPRAVLJANJE PONUDB
RAZVOJ IN UPRAVLJANJE NAPRAV (Aplikacije, omrežni in računski viri)
RAZVOJ IN UPRAVLJANJE OSKRBOVALNIH VERIG
dobavitelji/partnerji
UPRAVLJANJE ODNOSOV S KUPCI
UPRAVLJANJE IN OPERATIVA STORITEV
UPRAVLJANJE ODNOSOV Z DOBAVITELJI/PARTNERJI
UPRAVLJANJE IN OPERATIVA NAPRAV (Aplikacije, omrežni in računski viri)
ORGANIZACIJSKI PROCESI
zaposleni		delničarji		ostali udeleženci
Slika 1 Ogrodje eTOM na ravni 1 [5]
Kupec kupuje (ali prejema brezplačne) storitve od ponudnika storitev na osnovi pogodbenega razmerja. Poslovni partner je lahko fizična ali pravna oseba. Poslovni partner je lahko tudi podjetje, ki ponuja storitve svojim poslovnim partnerjem.
Produkt je tisto, kar ena stranka (ponudnik) ponuja drugi stranki (poslovnemu partnerju). Produkt lahko vključuje storitve, material, programsko opremo, strojno opremo ali njihovo poljubno kombinacijo. Produkt je lahko oprijemljiv, neoprijemljiv ali kombinacija obojega.
Storitve so razvite pri ponudniku storitev in ponujene trgu v okviru produktov oziroma paketov. Ista storitev je lahko vključena v več paketov (na različne načine, z različnimi cenami).
Storitev je množica neodvisnih funkcij, ki so integralni del enega ali več poslovnih procesov. Storitev je sestavljena iz strojnih in programskih komponent ter pripadajočega komunikacijskega ali distribucijskega medija. Poslovni partner vidi vse te komponente kot eno združeno enoto.
Naprave so fizične in logične komponente, ki zagotavljajo storitve. K napravam štejemo tehnološke komponente, informacijsko tehnologijo, programsko opremo, mrežno opremo itd.
Dogodek in politika nastopata v povezavi z vsemi entitetami modela. Dogodki predstavljajo pojavitev
zahteve ponudniku storitve in prožijo akcije. Politike pa predstavljajo množico pravil, potrebnih za poslovanje (npr. poslovna pravila).
2.3	Opis procesov
2.3.1	Operativni procesi (navpične skupine)
Procesno področje operativnih procesov vsebuje procese izpolnitve zahtev kupcev (dodelitev produkta), zagotavljanja dogovorjene ravni storitve, obračunavanja in procese operativne podpore in pripravljenosti.
Izpolnitev (angl. fulfillment) je proces, ki kupcem pravočasno dodeli zahtevane produkte. Proces prevaja kupčeve poslovne ali osebne potrebe v rešitev, ki jo lahko poslovni sistem ponudi kot svoj produkt. Proces obvešča kupce o statusu njihovega naročniškega zahtevka in zagotavlja pravočasno dodelitev produkta in zadovoljstvo kupca.
Zagotavljanje (angl. assurance) je proces, zadolžen za izvajanje preventivnih in popravljalnih ukrepov vzdrževanja, ki zagotavljajo stalno dobavo storitev na (pogodbeno) dogovorjeni ravni kakovosti (angl. Service Lcvel Agreement, SLA, in Quality of Service, QoS). Proces izvaja stalen nadzor naprav in spremlja zmogljivosti. Zbira podatke o zmogljivosti, jih analizira in poskuša prepoznati možne težave in jih rešiti, še preden bi jih zaznal kupec. Proces prejema prijavo napak
P lahko ponuja
lahko ponuja —
je lahko
lahko ponuja---
vsebuje
se nahaja na
lahko opravlja
je lahko
dostavi
— je lahko-
je lahko
omogoči dostop
uporablja
generira prihodek
razvoj, vzdrževanje
ustvari porabo
omogoči
omogoči
se nahajajo na-----
POLITIKA
DOGODEK
VIDIK
KUPCA
VIDIK
NAPRAVE
PARTIJA
TRG/
PRODAJA
DELO
LOGIČNE
NAPRAVE
LOGIČNE
NAPRAVE
LOKACIJA
KUPEC
DOBAVITELJ
NAROČILO
FINANCE,
RAČUN
UPORABNIK
PRODUKT
POSLOVNI
STIK
NAPRAVE IN ZMOGLJIVOSTI
omogoča/realizira
STORITEV
Slika 2: konceptualni model [9]
od kupcev, obvešča kupce o statusih težav in zagotavlja njihovo rešitev.
Obračunavanje (angl. billing) je proces, zadolžen za pravočasno in natančno izdelavo računov, obveščanje o porabi pred izdajo računa in za obdelavo plačil. Proces skrbi tudi za reševanje težav pri obračunavanju in podpira predplačniške storitve.
Operativna podpora in pripravljenost (angl. opera-tions support & readiness) je proces, zadolžen za izvajanje podpore in operativne pripravljenosti »FAB« procesom. Aktivnosti tega procesa ne potekajo v realnem času (za razliko od FAB procesov) in se ne ukvarjajo z dodeljenimi produkti, temveč le z njihovimi razredi. Proces odraža potrebo nekaterih poslovnih sistemov po ločitvi takojšnjih operacij do kupca v realnem času od ostalih operativnih procesov (t. i. »second line« procesov). Procesi operativne podpore zagotavljajo pravočasno razpoložljivost vseh prvin procesom »FAB«.
2.3.2	Operativni procesi (vodoravne skupine)
Področje operativnih procesov eTOM vsebuje štiri vodoravne funkcionalne skupine procesov: upravljanje odnosov s kupci, upravljanje in operativa storitev, upravljanje in operativa naprav in upravljanje odnosov z dobavitelji/partnerji.
Upravljanje odnosov s kupci (angl. Customer Rela-tionship Management, CRM) je skupina procesov, ki se ukvarja s poznavanjem osnovnih potreb kupcev in pokriva funkcije za prepoznavanje, izboljševanje in zadržanje odnosa s kupcem. CRM vsebuje zbirko podatkov o kupcu in uporabo teh podatkov za poosebitev, prilagoditev in integracijo storitev kupcu. CRM prepoznava priložnosti, ki povečujejo vrednost kupca za poslovni sistem.
CRM pokriva tako običajno maloprodajo končnim kupcem kot tudi veleprodajo (ko poslovni sistem prodaja drugemu poslovnemu sistemu in ta prodaja naprej).
Upravljanje in operativa storitev (angl. Service Management & Operations, SM&O) je skupina procesov, ki se osredinjajo na poznavanje storitev (dostop, povezljivost, vsebina itd.) in vključuje funkcije za upravljanje komunikacijskih in informacijskih storitev, ki jih zahteva kupec ali ki so kupcu predlagani. Poudarek je na dobavi in upravljanju storitve, kot nasprotje upravljanja spodaj-ležeče omrežne in informacijske tehnologije. Nekatere funkcije vključujejo kratkoročno planiranje kapacitet, načrtovanje storitev za specifične kupce in upravljanje pobud za izboljšave storitev.
Upravljanje in operativa naprav (angl. Resource Management & Operation, RM&O) je skupina procesov, ki vzdržujejo znanje o napravah (aplikacijah, računskih in omrežnih virih) in ki skrbijo za upravljanje teh naprav, da nudijo storitve kupcem. Naloga teh procesov je zagotavljanje, da infrastruktura opravlja svoje delo tekoče, da je dostopna storitvam in zaposlenim, da je vzdrževana in da odgovarja potrebam kupcev, zaposlenih in storitev. RM&O ima tudi nalogo zbiranja podatkov o napravah in kasneje povezovanja, ko-reliranja in sumiranja zbranih podatkov in posredovanje le-teh storitvenim upravljalskim sistemom ali izvedbo akcij na ustrezni napravi.
Upravljanje odnosov z dobavitelji/partnerji (angl. Supplier/Partner Relationship Management, S/PRM) je skupina procesov, ki so tesno povezani z dobaviteljevimi procesi S/PRM. Procesi vključujejo upravljanje z naročili, spremljanje naročil do dobave, reševanje težav, potrjevanje računov in plačil in upravljanje podatkov o kakovosti dobaviteljev.
Kadar poslovni sistem prodaja storitve svojim dobaviteljem, te procese obravnavamo znotraj CRM procesov.
2.3.3	Procesi strategije, infrastrukture in produktov (navpične skupine)
Skupina procesov strategije in dve skupini procesov življenjskega cikla (infrastrukture in produktov) so prikazani kot trije stebri procesnih skupin na levi strani ogrodja eTOM. Procesi strategije omogočijo osre-dinjanje znotraj poslovnega sistema za izbiro prave poslovne strategije. Procesi upravljanja življenjskega cikla infrastrukture in produktov pa vodijo in podpirajo pripravo novih infrastruktur in novih produktov za kupce. Usmerjeni so na zadovoljevanje pričakovanj kupcev skozi tržne ponudbe, infrastrukturo za zagotavljanje produktov in skozi vpletenost dobaviteljev v ponudbe, ki jih poslovni sistem ponuja kupcem.
2.3.4	Procesi strategije, infrastrukture in produktov (vodoravne skupine)
Skladno z operativnimi vodoravnimi skupinami procesov ima tudi del za strategijo, infrastrukturo in produkte štiri vodoravne skupine procesov. Ti procesi podpirajo navpične procese (opisani so zgoraj) in upravljajo izvedbo trženja ter ponudb, storitev, naprav in oskrbovalnih verig.
Trženje in upravljanje ponudb je skupina procesov, ki se osredinja na poznavanje poslovanja in raz-
voja poslovnega sistema. Vključuje funkcije, potrebne za določanje strategij, določanje novih produktov, upravljanje obstoječih produktov in trženje.
Razvoj in upravljanje storitev je skupina procesov, ki se ukvarja s planiranjem, razvijanjem in dobavljanjem storitev operativni domeni. Vključuje funkcije za definicijo strategij za izdelavo nove storitve in za načrtovanje, upravljanje in ocenjevanje obstoječih storitev in za zagotavljanje potrebnih zmogljivosti za zadovoljevanje zahtev v prihodnosti.
Razvoj in upravljanje naprav je skupina procesov, ki se osredinjajo na planiranje, razvijanje in dobavljanje naprav, ki so potrebne za zagotavljanje storitev in produktov operativni domeni.
Razvoj in upravljanje oskrbovalnih verig je skupina procesov za sodelovanje med poslovnim sistemom in dobavitelji, ki so vključeni v oskrbovalno verigo. Ti procesi zagotavljajo, da je izbran najboljši dobavitelj, pomagajo pri odločanju in omogočajo sodelovanje med poslovnim sistemom in njegovimi dobavitelji (partnerji).
3	Procesi na drugi ravni in ponudniki neinfor-macijsko-komunikacijskih storitev
3.1	Zakaj uporabiti eTOM za ponudnike komunalnih storitev?
Ogrodje poslovnih procesov eTOM je zasnovano splošno. To pomeni, da ogrodje določa le prve tri ravni, izvedba nadaljnjih ravni pa je odvisna od vsakega posameznega ponudnika storitev (to je del znanja posameznega podjetja). V podjetju Marand, d. o. o. smo si z ogrodjem eTOM pomagali pri izvedbi projekta prenove informacijskega sistema v Javnem podjetju Energetika Ljubljana (ki sodi med ponudnike komunalnih storitev) [ 1 ]. Uveljavljeni modeli poslovnih procesov komunalnih ponudnikov so last svetovalnih podjetij ali njihovih naročnikov (komunalnih podjetij) in zato niso prosto dostopni. Nasprotno je eTOM dostopen širši javnosti, zato se je pojavilo vprašanje, ali je dovolj splošen, da ga je moč uporabiti tudi za ponudnike komunalnih storitev. V nadaljevanju bomo (zgoraj opisane) operativne procese razgradili do druge ravni in predstavili njihovo vsebino pri IKT in komunalnih ponudnikih.
3.2	Upravljanje odnosov s kupci (CRM)
Upravljanje odnosov s kupci je najvišja vodoravna skupina operativnih procesov (poglavje 2.3.2). Po
ogrodju eTOM lahko CRM razgradimo na spodaj opisane drugonivojske procese.
Podpora in pripravljenost CRM predstavlja presečišče navpične skupine »operativna podpora in pripravljenost« (poglavje 2.3.1) in vodoravne skupine »upravljanje odnosov s kupci« (poglavje 2.3.2). Zajema procese, ki zagotavljajo razpoložljivost informacijske tehnologije in komunikacijskih sistemov za izvedbo upravljanja odnosov s kupci. Razlika med IKT in komunalnimi ponudniki, ki predvsem vpliva na informacijski sistem, je v kategorijah kupcev, ki stopajo v stik s poslovnim sistemom. Ponudnike komunalnih storitev zanimajo (poleg fizičnih in pravnih oseb, ki zanimajo tudi IKT ponudnike) upravniki (večstanovanjskih stavb) in skupnosti stanovalcev. V primeru upravnikov gre za pravne osebe, ki zastopajo več fizičnih in/ali pravnih oseb in (včasih) posredujejo plačila le-teh poslovnemu sistemu. Pri skupnostih stanovalcev pa gre za združevanje fizičnih in pravnih oseb v skupine.
Upravljanje vmesnikov s kupcem (angl. customer interface management) se razteza skozi vse FAB navpične skupine procesov (poglavje 2.3.1). Zajema procese, ki upravljajo vse vmesnike med poslovnim sistemom in njegovimi obstoječimi in potencialnimi kupci. Ponudniki komunalnih storitev vsebujejo vse procese upravljanja vmesnikov s kupcem kot ponudniki IKT storitev. Posebnost IKT ponudnikov je samoad-ministracija kupcev (kupec si lahko sam dodeli storitev, denimo prenos večpredstavne vsebine, naročilo bujenja po telefonu, preusmeritev na drug telefon itd.), medtem ko je nabor komunalnih storitev, ki si jih lahko dodeli kupec sam, precej omejen. Lahko pa odda kupec komunalnemu podjetju naročilo za storitev prek vmesnika za samoadministracijo (značilno gre za spletni vmesnik, npr. portal), kar poteka enako kot pri IKT ponudnikih.
Proces prodaje sodi v navpično skupino procesov izpolnitve (poglavje 2.3.1). Zadolžen je za upravljanje stikov s potencialnimi kupci, za razumevanje in prepoznavanje želja in potreb kupca ter povezavo potreb z izdelki in storitvami, ki jih lahko ponudi poslovni sistem. Pri ponudnikih komunalnih storitev sodijo v ta proces obravnavanje »prednaročniških« kupcev, predstavitev storitev oskrbe z energijo, sklepanje pogodb in aneksov itd. Pri komunalnih ponudnikih so pogodbe večkrat večpartitne: sklepajo se med ponudnikom storitve in skupnostmi stanovalcev (več fizičnih in pravnih oseb v skupini). Delež obveznosti
plačila posameznega člana skupine določa »delilnik«, to je koncept, ki porabo storitve razdeli med več uporabnikov oziroma plačnikov.
Upravljanje težav je proces, ki sodi v navpično skupino procesov zagotavljanja (poglavje 2.3.1). Zadolžen je za sprejemanje prijav napak s strani kupca, za razrešitev prijavljenih težav in za spremljanje statusov prijav (zagotavljanje sledljivosti težave od prijave do razrešitve). Pri ponudnikih komunalnih storitev sodijo v ta proces prijave okvar merilnih naprav (npr. pli-nomerov, toplotnih števcev itd.), prijave izpadov toplotnih postaj, obveščanje o izpadih zaradi vzdrževalnih del na infrastrukturi (plinovodu, vročevodu) itd.
Tudi upravljanje kakovosti storitve (angl. QoS) in pogodbeno dogovorjene ravni storitve (angl. SLA) sodi v navpično skupino procesov zagotavljanja (poglavje 2.3.1). Proces zajema spremljanje, upravljanje in poročanje o razlikah med dobavljenimi storitvami in specifikacijami storitev v pogodbah ali (tehničnem ali komercialnem) gradivu poslovnega sistema. Procesi zajemajo podatke (med drugim) neposredno iz naprav. Ugotovljena neskladnost med dogovorjeno in dobavljeno storitvijo ima lahko posledice v procesih obračunavanja (denimo od dogovorjene nižja cena zaradi nižje ravni dobavljene storitve). Procesi potekajo tako pri IKT ponudnikih kot tudi pri ponudnikih komunalnih storitev. IKT panoga ima številne tehnične možnosti spremljanja pogodbeno dogovorjenih parametrov storitve, ki jih panoga komunalnih storitev nima (na primer spremljanje pasovne širine ADSL dostopa, trajanje prekinitev, število neželenih odklopov itd.). Ponudniki komunalnih storitev poznajo pojem SLA (denimo temperatura vode v omrežju daljinskega ogrevanja, temperatura in pritisk plina v plinovodu itd.), zato morajo spremljati morebitna odstopanja med dogovorjeno in dobavljeno storitvijo.
Proces obračuna uvrščamo v navpično skupino procesov obračuna (poglavje 2.3.1). Proces obračuna zajema izdelavo in vzdrževanje kupčevega naročniškega računa, izdelavo in razpošiljanje računov, obdelavo plačil, zbiranje in korelacijo plačil, vzdrževanje stanja na kupčevem naročniškem računu (dobropisi, bremepisi) in obravnavanje izjem ter napak, povezanih z obračunom. Obračun poteka pri obeh vrstah ponudnikov storitev, pri čemer imajo tako eni kot drugi nekaj posebnosti.
■ Posebnosti ponudnikov komunalnih storitev so na
primer akontacijsko plačevanje storitev na podlagi ocenjene ali s kupcem dogovorjene predvidene
porabe storitve. Pri IKT ponudnikih se zaračuna le porabljena storitev v danem obračunskem ciklu, pri ponudnikih komunalnih storitev pa je obračunski cikel lahko daljši (npr. 1 leto), kar pomeni, da poslovni sistem pridobi informacijo o porabi storitve le enkrat letno. V vmesnem času kupec prejema (na primer) mesečne račune, ki temeljijo na dogovorjenih zneskih ali na značilnostih tarifne skupine. Akontacije so lahko stalne ali pa dinamične (to pomeni, da upoštevajo, npr. zunanje dejavnike, denimo mesečni temperaturni primanjkljaj). Za določanje dinamičnih akontacij se uporabljajo algoritmi za računanje predvidene porabe, ki se uporabljajo tudi v primeru, ko ponudnik storitve ne more pridobiti realnega števčnega stanja merilne naprave ob spremembi cene.
. Obe vrsti ponudnikov poznata t. i. »predplačniške storitve« (angl. prc-paid Services)-, razlika je v zagotavljanju oziroma ukrepanju (angl. provisiotiing) -spremljanje dobroimetja in izvajanje akcij poteka pri IKT ponudnikih na strani ponudnika (npr. telefonske centrale), pri komunalnih ponudnikih pa na strani kupca, to je neposredno na odjemnem mestu (merilna naprava mora imeti tarifno enoto, ki prekine dobavo storitve, ko kupec porabi do-broimetje na svojem naročniškem računu).
. Posebnost komunalnih ponudnikov so tudi pogodbene količine odjema: z večjimi odjemalci se ponudnik lahko dogovori za časovno porazdelitev dobave storitve (npr. po mesecih, po delih dneva itd.). Obračun mora biti temu prilagojen: spremljati mora dogovorjene in dobavljene parametre storitve glede na posamezno pogodbo.
- Ponudniki IKT ne poznajo »delilnikov«. Delilnik je koncept, ki obveznost plačila za dobavljeno storitev razdeli med več kupcev - plačnikov (po deležih). Pri komunalnih ponudnikih se koncept uporablja pogosto (primer: stolpnica s 60 stanovalci in enim odjemnim mestom, toplotnim števcem, ki meri porabo storitev centralnega ogrevanja in oskrbe s sanitarno toplo vodo). Delilnik lahko vključuje delitev več produktov, ki temeljijo na isti storitvi; storitev distribucije toplote po vročevodu lahko obstaja v produktih »stanovanjsko centralno ogrevanje« in »poslovno centralno ogrevanje« (za vsak produkt velja svoja cena in svoji pogoji uporabe). Delilnik, ki opredeljuje delitev porabe storitve, ki jo prikaže merilna naprava, torej storitev deli med produkte (ki so dodeljeni uporabnikom in plačnikom).
3.3	Upravljanje in operativa storitev
Upravljanje in operativa storitev je vodoravna skupina procesov (poglavje 2.3.2), ki jo na drugi ravni sestavljajo spodaj opisani procesi.
Procesi podpore in pripravljenosti upravljanja in operative storitev sodijo v navpično skupino operativne podpore in pripravljenosti (poglavje 2.3.1). Zajemajo pravočasno zagotavljanje podatkov ostalim procesom upravljanja in operative storitev. Storitve komunalnih ponudnikov so precej različne od IKT storitev, zato je pričakovati na plasti storitev precej vsebinskih razlik med IKT in komunalnimi ponudniki storitev. Kljub vsemu pa lahko trdimo, da vsi našteti procesi potekajo tako pri enih kot tudi pri drugih ponudnikih.
Procesi nastavitev in vklopa storitve spadajo v navpično skupino procesov izpolnitve (poglavje 2.3.1). Procesi zajemajo namestitev in nastavitev storitev za kupce, vključno z namestitvijo naprav v prostorih kupca (kadar je to potrebno). Podpirajo tudi spremembe nastavitev (na zahtevo kupca ali zaradi težav) po vzpostavitvi začetnih nastavitev. Procesi potekajo pri obeh vrstah ponudnikov. Pri komunalnih ponudnikih sodijo sem procesi izvedbe študij izvedljivosti (tehnični načrt priključitve na omrežje), nameščanja naprav v prostore kupca, izvajanje testov (npr. preizkus tesnosti plinske napeljave), vklop naprav, nastavljanje parametrov (npr. pretokov na toplotnih postajah) itd.
Upravljanje kakovosti storitev je proces, ki ga uvrščamo v navpično skupino procesov zagotavljanja (poglavje 2.3.1). Proces zajema spremljanje, analiziranje in nadziranje zmogljivosti storitev, dobavljenih kupcem. Procesi potekajo pri obeh vrstah ponudnikov, le da imajo ponudniki IKT storitev številne napredne možnosti spremljanja kakovosti storitev in ukrepanja na podlagi rezultatov (denimo spremljanje pasovne širine ADSL priključka in posledično samodejno spremembo nastavitev v centrali, če naprava ugotovi, da je pasovna širina nižja od dogovorjene). Komunalni ponudniki teh možnosti nimajo, še vedno pa izvajajo opisane procese.
Procesi specifičnega ovrednotenja in obračuna storitev sodijo v navpično skupino procesov obračuna (poglavje 2.3.1). Procesi se ukvarjajo z dogodki, ki nastanejo v povezavi s porabo storitev (zbiranje, pretvorba, koreliranje in preoblikovanje dogodkov). Procesi ovrednotijo porabo storitev, ukvarjajo pa se tudi z obračunskimi težavami na ravni storitev. Ti procesi so pri IKT ponudnikih večinoma avtomatizirani: modul za zbiranje dogodkov (angl. mediation engine) zbira in
povezuje podatke iz naprav (npr. telefonskih central), modul za ovrednotenje (angl. rating engine) pa povezane elementarne dogodke ovrednoti s tarifnimi podatki. Pri komunalnih ponudnikih lahko govorimo o avtomatskem zajemu podatkov v zelo omejenem obsegu (to je na tistih odjemnih mestih, ki so opremljena z daljinskim zajemom števčnih stanj). Zajem podatkov je večinoma ročen. Stevčna stanja merilnih naprav (ki praviloma določajo porabo storitve) se pri komunalnih ponudnikih ne obračunajo vedno neposredno; na primer merilne naprave v nekaterih primerih merijo porabo storitve na sekundarnem omrežju (za glavno merilno napravo) in v tem primeru odvisne merilne naprave določajo le spremenljivi (mesečni) delilnik, ki deli porabo, izmerjeno na glavni merilni napravi. Spremenljivi (mesečni) delilnik se v nekaterih primerih oblikuje tudi na podlagi več virov, na primer na podlagi odvisnih merilnih naprav in na podlagi stanovanjske površine.
3.4	Upravljanje in operativa naprav
Upravljanje in operativa naprav je vodoravna skupina procesov (poglavje 2.3.2), ki jo na drugi ravni sestavljajo spodaj opisani procesi.
Procesi podpore in pripravljenosti sodijo v navpično skupino procesov operativne podpore in pripravljenosti (poglavje 2.3.1). Ti procesi zagotavljajo pravočasno razpoložljivost podatkov o napravah procesom izpolnitve, zagotavljanja in obračunavanja. Ponudniki IKT storitev lahko naštete procese deloma ali povsem avtomatizirajo (primer je regletna knjiga). V povezavi s procesom upravljanja naprav velja izpostaviti, da poznajo komunalni ponudniki (v grobem) dve vrsti naprav: naprave za zagotavljanje storitev (npr. toplotna postaja) in merilne naprave (npr. toplotni števec, vodomer, plinomer).
Procesi zbiranja podatkov iz naprav se raztezajo čez vodoravni skupini procesov zagotavljanja in obračuna (poglavje 2.3.1). Procesi zbirajo podatke o porabi, o omrežju itd. iz naprav in jih posredujejo ostalim procesom (na primer procesom specifičnega ovrednotenja in obračuna storitev na storitveni ravni). Sem spada tudi filtriranje in združevanje grobih podatkov iz naprav, zagotavljanje zbranih podatkov drugim procesom in odkrivanje napak in anomalij. Ti procesi lahko tudi pri ponudnikih komunalnih storitev potekajo samodejno; merilne naprave lahko spremljajo različne parametre skozi čas (porabo storitve, fizikalne parametre itd.) in jih daljinsko posredujejo ponudniku storitev. Omenili smo že primer, ko merilna naprava
meri porabo storitve posredno: odvisne merilne naprave krmilijo le delitev porabe storitve, ki jo zabeleži glavna merilna naprava po deležih (delilnik), česar v IKT panogi ne zasledimo.
3.5	Primernost uporabe eTOM za ponudnike komunalnih storitev
Splošna zasnova ogrodja eTOM pomeni, da ogrodje določa le procese do tretje ravni. Procesi na četrti ravni in globlje so del znanja ponudnika, ki uresniči eTOM, njihova izvedba pa se med različnimi ponudniki (tudi iste panoge) razlikuje. Tretja raven procesov je dovolj abstraktna, da je ogrodje eTOM mogoče uporabiti za ponudnike komunalnih storitev. Tako pri IKT ponudnikih kot tudi pri komunalnih ponudnikih gre za podjetja, ki ponujajo storitve, čeprav se le-te po svoji vsebini precej razlikujejo.
Pri informatizaciji in avtomatizaciji procesov obstajajo med obema vrstama ponudnikov razlike. Pri procesih upravljanja odnosov s kupci pomembnih razlik ni, pri nižje ležečih skupinah procesov (predvsem pri upravljanju in operativi naprav) pa nastopijo večje razlike. IKT ponudniki uporabljajo informacijsko tehnologijo za izvedbo in zagotavljanje storitev, komunalni ponudniki pa storitve izvajajo in zagotavljajo drugače. Zato se avtomatizacija teh procesov med obema vrstama storitvenih ponudnikov razlikuje. Vendar spoznanje, da obe vrsti ponudnikov izvajata eTOM procese do ravni 3, velja.
Prednosti uporabe istega ogrodja poslovnih procesov v različnih panogah sta zmanjšanje stroškov prenove poslovnih procesov in poenostavitev B2B povezovanj zaradi usklajenosti visokonivojskih procesov. Pri izvedbi storitev povezanega doma namreč lahko sodelujejo IKT in komunalni ponudniki. Primeri uporabe storitev, ki jih omogoča tovrstno sodelovanje, so vključitev nadzora nad komunalnimi storitvami (centralno ogrevanje, priprava sanitarne tople
vode itd.) na uporabniški portal povezanega doma in daljinsko pridobivanje podatkov o porabljeni energiji.
4	Sklep
Ogrodje poslovnih procesov eTOM predstavlja (po ITU-T) standardno ogrodje za izvedbo prenove poslovnih procesov ponudnikov telekomunikacijskih storitev. Prednost njegove uporabe ni le v nižjih stroških izvedbe projektov (zaradi že obstoječe baze znanja) in v določitvi okvirov za informacijsko podporo procesom, temveč tudi v poenostavitvi povezovanja B2B (angl. Business to Business). Ponudniki storitev, ki so uresničili eTOM, ustvarjajo vrednostne verige na precej bolj učinkovit in enostaven način. Kot smo ugotovili v članku, pa eTOM (zaradi svoje splošnosti) ni omejen le na uporabo v IKT panogi. Uporabiti ga je moč tudi pri ponudnikih komunalnih storitev.
5	Viri in literatura
[1]	Dokument o posnetku stanja, Projekt prenove IS Javnega podjetja Energetika Ljubljana, projektna dokumentacija, Marand, 2003
[2]	Keber, B.: Poslovni in tehnološki opis IS za informatizacijo ponudnika storitev, Marand, 2004
[3]	Meše, P: Telekomunikacijske storitve, Elektrotehniška zveza Slovenije, 2004
[4]	Reaping Business Revvards Prom GRM, Gartner, 2004
[5]	TeleManagement Forum Enhanced Telecom Operations Map (eTOM), The Business Process Framevvork (GB 921), www. tmforum.orč. 2003
[6]	TeleManagement Forum Enhanced Telecom Operations Map (eTOM), The Business Process Framevvork, addendum D (GB 921D), www.tmforum.org. 2003
[7]	TeleManagement Forum Enhanced Telecom Operations Map (eTOM), The Business Process Framework, addendum F (GB 921F), www.tmforum.org. 2003
[8]	TeleManagement Forum Glossary (TMF044 v2), www.tmforum.org. 2003
[9]	TeleManagement Forum Shared Information / Data Model, addendum 0 - SID Primer (GB 922 addendum 0), www. tmforum.orč. 2004
Boštjan Keber je diplomiral na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. Zaposlen je v podjetju Marand inženiring, d. o. o., kjer opravlja delo projektnega vodje in svetovalca za metodologijo razvoja informacijskih sistemov. Sodeluje pri projektih razvoja OSS sistemov za ponudnike telekomunikacijskih in komunalnih storitev.
Marjan Krisper je docent na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. Vodi številne projekte razvoja informacijskih sistemov, elektronskega poslovanja in metodologij razvoja informacijskih sistemov v največjih sistemih v gospodarstvu, državni upravi in javnem sektorju. Je ustanovni član mednarodnega združenja za informacijske sisteme AIS (Association of Information Systems), član izvršnega odbora Slovenskega društva Informatika in član Slovenskega društva za umetno inteligenco.
Tomaž Gornik je diplomiral na Fakulteti za računalništvo in informatiko Univerze v Ljubljani. V podjetju Marand inženiring, d. o. o., je direktor razvoja. Vodi informacijske projekte v zdravstvu, telekomunikacijah in komunalnih storitvah. Je član programskega odbora Slovenskega društva Informatika.
RAZPRAVE
0 Vpliv razvoja komunikacij na integracijo informacijskih storitev
Tone Vidmar
Univerza v Ljubljani, Fakulteta za računalništvo in informatiko, Tržaška 25, Ljubljana tone.vidmar@fri.uni-lj.si
Povzetek
V bistvu gre za paradoks. Najprej so računalniške komunikacije povzročile razprševanje informacijskih virov, nato pa so informatiki morali vložiti veliko energije, da so na primer razpršene podatke ponovno »združili« v enovito podatkovno shemo in ponovno je uspeh tega prizadevanja pogojen z razvojem komunikacijskih storitev. V članku se ne bomo dotikali problemov integriranja informacijskih aplikacij, v domeni čisto informacijskih tehnologij, kar je seveda tudi aktualen problem. Informatiki ga bolj ali manj uspešno rešujejo že od samega začetka obstoja te vede. Taka integracija lahko poteka iz različnih razlogov, kot so generacijske razlike, tehnološka heterogenost, vsebinske zahteve končnih uporabnikov, ali pa kakršne koli druge narave. Integracija je pogojena predvsem z logično zasnovo in problemi določene storitve, ki poteka v okviru enega računalnika. Za razliko od teh, recimo jim kar informacijski problemi, pa bomo v članku posvetili veliko pozornost ključnim dogodkom in razlogom, ki so s stališča razvoja komunikacijskih sistemov bistveno vplivali na razvoj porazdeljene (distribuirane) informatike. Ta tip informatike je neposredno povezan z začetki »računalniškega« komuniciranja, ki pa nima prav dolge tradicije - 1969, kar pa je istočasno tudi splošna lastnost računalniške tehnologije in znanosti. Posebej bomo poudarili, da so minili časi, ko so se informatiki izmikali zahtevam uporabnikov z opravičilom, da določenih problemov ni moč rešiti zaradi (ne)zmogljivosti komunikacijskega sistema.
Ključne besede: informacijske storitve, distribuirane storitve, porazdeljene storitve, integracija informacijskih sistemov
Abstract
The Effect of Communication Develapment on Information Services Integration
Actually we have a paradox. In the beginning Computer Communications had caused decentralization of Computer resources and later a lot of effort had to be invested into, for instance, gathering decentralized data according to data logical scheme. The article doesnt deal with the integration of information Services from the pure informatics point of view vvhich is no doubt important. Information Science deals more or less successfully vvith those problema from the beginnings of the “information systems" history. This kind of integration is needed because of various reasons for instance technology generation differences, heterogeneous technology, various end users' demands, or any other reasons. The so called informatics problems are conditioned mainly by the logical architecture of a particular information Service in the frame of one Computer. In the article special čare vvill be given to main events and reasons from the communication systems point of view, vvhich had key influence on the development of distributed informatics. Distribution of the information resources is of course closely related to the Computer communication development and it does not have a very long tradition - 1969. Of course, this is true for the entire Computer technologies and Science. We vvill emphasize that the time has passed when informatics vvere able to skip the end users' demands blaming Computer communication systems as a main reason why the ir demands can't be fulfilled.
Key vuords: Information Services, Distributed Services, Information Systems Integration
Uvod
Nekako v kri nam je prešlo, da lastne težave, ki nam jih povzročajo kakršne koli aplikacije oziroma informacijski sistemi, radi prevalimo na druge; pisci aplikacij na sistemske inženirje in različne skrbnike aplikacij, še najraje pa kar na končne uporabnike. V primeru, ko tudi to ni dovolj, vsi skupaj začno kriviti strojno opremo, ki je za njihove produkte »neprimerna«. Podobno velja seveda tudi za sistemske inženirje, ki aplikacijskih inženirjev tako ali tako ne jemljejo preveč resno, da o v nebo vpijoči krivdi serviserjev in vzdrževalcev niti ne govorimo. Usi skupaj pa so si enotni, da
v primeru, ko zmanjkuje izgovorov, enostavno pokažejo na slabosti omrežja, ki da je za njihove zahteve prepočasno. Pogosto radi prezrejo, da so prav njihove aplikacije enostavno preveč požrešne. Problem, ki ga želimo v članku izpostaviti, je, da je minilo že kar nekaj let od časov, ko je bilo omrežje resna težava pri razvoju informacijskih sistemov, seveda pa bomo ponudili tudi nekaj možnih rešitev in predlogov. Jasno je tudi, da je prav razvoj računalniških komunikacij povzročil razprševanje računalniških virov, kot so na primer podatki ali procesiranje. Prav gotovo so tudi informatiki nekoliko preveč
pogumno prispevali k temu, dejstvo pa je, da so morali kasneje vložiti veliko napora, ko je bilo potrebno razpršene vire ponovno združiti v logično enovit sistem, pri tem pa so ključno vlogo zopet igrale komunikacije in njihove zmogljivosti. V bistvu gre za paradoks, saj so komunikacije »povzročile« izvirni greh razprševanja, danes pa so ključne za »reševanje« enovitosti porazdeljenega informacijskega sistema.
V članku se ne bomo dotikali problemov integriranja aplikacij z vidika čistih informacijskih tehnologij, kar je seveda tudi aktualen problem. Morda celo nepričakovano pereč, če upoštevamo, da ga informatiki rešujejo že od samega začetka obstoja te vede. Ta, recimo ji kar klasična integracija, rešuje probleme v okviru logične arhitekturne zasnove določene storitve, ki poteka v okviru enega računalnika. Razlogi so lahko različni: tehnološke generacijske razlike, tehnološka heterogenost, vsebinske zahteve končnih uporabnikov in drugo. Nasprotno bomo v našem prispevku posvetili veliko pozornost ključnim dogodkom in razlogom, ki so s stališča razvoja komunikacijskih sistemov bistveno vplivali na razvoj informatike, oziroma tako imenovane porazdeljene (distribuirane) informatike. Razprševanje virov, oziroma distribuirani informacijski sistemi so seveda neposredno povezani z začetki »računalniškega« komuniciranja, ki nima prav dolge tradicije - od leta 1969, kar pa je istočasno tudi splošna lastnost računalniške tehnologije in znanosti. Posebej bomo poudarili, da so minili časi, ko so se informatiki izmaknili zahtevam uporabnikov z opravičilom, da določenih problemov ni moč rešiti zaradi nezmogljivosti komunikacijskega sistema.
Ključni »decentralizacijski« dogodki
Porazdeljen informacijski sistem potrebuje komunikacijskega, ko mora najti, shraniti, procesirati ali posredovati podatek zunaj svojega lokalnega okolja. V začetkih uporabe računalnikov je bila količina takih podatkov majhna, saj informatiki še niso poznali, oziroma vključevali v svoje aplikacije storitev prenosa podatkov v realnem času, kot so na primer govor, zvok in video. Danes seveda govorimo o multimedij-skih aplikacijah. Največ, kar se je dogajalo, je bil prenos, po možnosti tekstovnih datotek od enega do drugega »računalnika« - informacijskega okolja. Navsezadnje se je pojavila prva tehnološka razpršenost računalniških virov (procesiranje, podatki, nadzor) prvič v sedemdesetih letih s pojavom tako imenovanih »mini računalnikov«, najbolj znan predstavnik
je znameniti Digitalov PDP, in drugič 1981, ko začno svojo pot osebni računalniki in tehnologija zasnovana na njih, ki je do danes poplavila svet z različnimi sistemskimi zasnovami.
Ugotovitev 1:
Resni pogoji za razpršitev (decentralizacijo) računalniških virov oziroma snovanje porazdeljenih (distribuiranih) informacijskih sistemov, pogojeni z razvojem informacijske znanosti, nastopijo v osemdesetih letih prejšnjega stoletja.
Informatiki se s temi problemi torej srečujejo 25 let, težko pa je na hitro oceniti, zakaj stanje leta 2005 ni boljše. Poglejmo, kaj se je v tem času dogajalo s telekomunikacijskimi sistemi in tako imenovanimi računalniškimi omrežji. Informatiki so lahko svoja omrežja vzpostavljali le tako, da so od telekomunikacijskih podjetij najemali prenosne sisteme - žice, na konec katerih so nato priključili svojo informacijsko komunikacijsko tehnologijo. Nekaj svobode so jim konec osemdesetih let v omejenih razmerah kampusov in zgradb omogočila tako imenovana lokalna omrežja LAN. Danes je pojem informacijsko komunikacijskega sistema že uveljavljen. Včasih ga imenujemo tudi »sistem X«.
V	sedemdesetih in praktično tudi do sredine osemdesetih let so prevladovali informacijski sistemi, ki so končnim uporabnikom nudili terminalski dostop do centralnega stroja. Prvo komercialno omrežje tipa X25 seje pojavilo šele 1976 v Franciji (Transpac). Pri nas je Yupack zaživel šele konec osemdesetih let.
V	času po letu 1985 so se računalnikarji počasi začeli dušiti na povezavah 9600 bit/s, bili pa so zelo ponosni na redke povezave s kapaciteto 64 Kbit/s (1X1 projekt 1989/90), pri čemer govorimo o razprostrtih (WAN) omrežjih. Zelo pomemben dogodek na področju računalniških omrežji je leta 1987 pojav tako imenovanih LAN omrežij (Local Area Netivorks) s kapaciteto 10 Mbit/s, pa četudi samo na oddaljenosti nekaj sto metrov.
V	začetku 1991 ima telekomunikacijska srenja odgovor na že premalo zmogljiv ISDN iz 1984, ki ga preimenuje v (Naroivband ISDN) N-ISDN in ustoliči B-ISDN (Broadband ISDN), kateremu za osnovo priredi sinhroni digitalni kanal (SONET, SDH) 155 Mbit/s, sredi devetdesetih let 1995 pa ustoliči protokol ATM (Asyn-hronous Transfer Mode), ki naj bi postal prvo telekomunikacijsko (ne računalniško) omrežje s paketno komutacijo.
Ugotovitev 2:
Prve resnejše poskuse logične integracije razpršenih sistemskih virov komunikacijski sistemi omogočijo koncem osemdesetih let, ko se pojavi 10 Mbitna LAN tehnologija.
Leta 1995 so imeli računalnikarji na razpolago 100 Mbit/s FDDI WAN tehnologijo, danes pa so komercialno dostopna omrežja z kapaciteto 10 Gbit/s. Praktično je to povzročilo, da so računalnikarji prvi začeli uporabljati eno omrežje za prenos različnih oblik podatkov, namreč binarnih, tekstovnih, slikovnih, zvočnih in vidca. Računalnikarji so s stališča različnih oblik podatkov prvi »naredili« pravo integrirano omrežje oziroma so v kontekstu računalniških omrežij začeli z razvojem tako imenovanih multimedijskih aplikacij. Danes je zelo pomembna storitev telekomunikacijskih sistemov in v omejenem obsegu tudi računalniških omrežji (hot spot tehnologija) tudi mobilnost. Kombinacija mobilnosti »terminalov« s transparentnim in zmogljivim komunikacijskim sistemom je to, kar imajo danes na razpolago moderne informacijske storitve, vprašanje pa je, ali so sposobne vso to tehnologijo uspešno izkoristiti.
Zdi se, da so vse te zmogljivosti komunikacijskih sistemov nekoliko preveč za trenutno stanje razvoja informacijskih storitev in do neke mere tudi tako imenovanih »računalniških omrežij«. Samo spomnimo se vseh težav, ki jih imamo z IP protokolom, ki trenutno še ne omogoča virtualnega povezovanja in kako težko čakamo na njegovo šesto verzijo, katere splošna uporaba pa še ni prav blizu in od katere pričakujemo, da bodo rešeni problemi QoS. Glede na povedano lahko ugotovimo:
■ Telekomunikacijska omrežja v bistvu omogočajo prenos govora, zvoka in videa (storitve v realnem času). Njihovi celični in satelitski mobilni sistemi so že globalni. Tera hitrosti niso več laboratorijska skrivnost. Ubadajo se s problemom paketne komutacije na nivoju vozlišč.
. Informacijska tehnologija vse bolj uspešno rešuje probleme nadzora razpršenih podatkov in razpršenega procesiranja (klasterska - gruče in grid tehnologija). Vedno bliže smo »nadzorniku«, ki bo uspešno obvladal več kot en računalnik.
Seveda se postavlja vprašanje, kje se informacijska in komunikacijska tehnologija srečata. Naj nam pomaga stari dobri ISO OSI model? Spomnimo se definicije sejne plasti, ki pravi, da le-ta skrbi za logično povezovanje aplikacijskih procesov. Dobro se je spomniti, da je prav to tudi ena od osnovnih funkcij vsakega lokalnega OS.
Ugotovitev 3:
Sejna plast je po definiciji OSI namenjena podpornim storitvam, ki omogočajo isto, kar zagotavlja lokalni operacijski sistem v okviru enega računalnika - logično povezuje aplikacijske procese.
Praktično to pomeni, da bo treba sejno plast napolniti z ustreznimi storitvami, ki bodo podpirale porazdeljene multimedijske storitve oziroma aplikacije. Informacijska domena naj rešuje probleme aplikacijske, predstavitvene in sejne plasti, telekomunikacijam pa se prepusti transportna, omrežna in nižje plasti, v katerih naj se uspešno reši probleme prenosa podatkov za storitve v realnem času na osnovi paketne komutacije. V nadaljevanju naše obravnave bomo predpostavili, da imajo informatiki s strani telekomunikacijskih sistemov na razpolago tehnologijo, ki zagotavlja ustrezno povezljivost dveh ali več informacijskih okolij, kar pomeni, da je zagotovljena ustrezna prepustnost in zanesljivost, prav tako pa tudi QoS. Seveda se v okviru transportnega sistema prenašajo, in usmerjajo tako imenovana sporočila in ne podatki. Sporočila so tako »predelani« podatki, da jih transportni sistem lahko prenaša. V današnjih tehnologijah so različni formati paketov. Segmentacijo podatkov na pakete in združevanje paketov v podatke opravlja transportna plast (4) po OSI arhitekturi. Na nivoju prenosnih sistemov (druga in prva fizična plast) se iz sporočil tvori niz bitov in signali, ki se širijo po prenosnem mediju (bakrena žica, optična povezava, radijska zveza, infrardeča povezava ...).
Ugotovitev 4:
V kontekstu komunikacijskega sistema govorimo o prenosu sporočil znotraj tako imenovanega transportnega sistema (3., 4. plast) in o prenosu signalov v okviru prenosnih sistemov (2,,1. plast), če za osnovo privzamemo arhitekturo OSI.
Sejna plast kot nadzorni sistem
Pojem povezljivosti razumemo kot storitev, ki zagotavlja izmenjavo podatkov med dvema ali več informacijskimi okolji. Podatki pa so lahko v različnih sintaktičnih oblikah, odvisno od aplikacije v okviru katere nastopajo. Podatek je konkretna vrednost lastnosti določenega objekta res zgolj v primeru, ko so podatki urejeni v »klasično« bazo podatkov. Seveda pa pri tem ne smemo pozabiti na podatke v govorni, zvočni ali video obliki. V splošnem bomo podatke razumeli kot vsebino, ki jo obravnava informacijska
aplikacija (binarni, tekstovni niz, binarna ali tekstovna datoteka, baza podatkov, poljubne podatkovne strukture ...).
Ugotovitev 5:
V kontekstu porazdeljenega informacijskega sistema se med posameznimi lokacijami (računalniki) izmenjujejo podatki, ki se lokalno shranjujejo, procesirajo, berejo, (predvajajo) ali brišejo.
Ker za pretvorbo podatkov v sporočila na strani oddajnika in pretvorbo sporočila v podatke poskrbi transportna (4) plast in ker s komunikacijskimi sistemi informatiki nimajo preveč radi opravka, se za njih težave logičnega integriranja razpršenih informacijskih virov začnejo na sejni (5) plasti, če za osnovo vzamemo OSI arhitekturo informacijsko komunikacijskega sistema.
Ko govorimo o razpršitvi (decentralizaciji) sistemskih virov, mislimo predvsem na podatke in procesorje oziroma procesiranje. Seveda vsi ti razpršeni elementi potrebujejo nekakšno »lepilo«, ki jih združuje v logično enovit informacijski sistem, ki se izvaja na več računalnikih. Da to lepilo lažje opredelimo, se je smiselno zateči k osnovam. Kar velja za lokalni stroj, velja tudi za množico med seboj povezanih računalnikov - računalnik nadzorovano procesira podatke. Na lokalnem stroju je nadzor sestavljen iz storitev lokalnega operacijskega sistema (OS), lokalnega sistema za upravljanje z bazami podatkov (SUBP) in seveda lokalne aplikacije (A) in prav nobenih nejasnosti ni okrog te trditve. Nekoliko pa se zaplete, ko govorimo o nadzoru razpršenih informacijskih virov, četudi lahko privzamemo, da je vsak lokalni »informacijski« sistem logično enovit. Najprej poglejmo, kako lahko z vsebinskega zornega kota opredelimo pojem nadzora:
. Lahko ugotovimo, da se nadzor deli na dva tipa: sistemski nadzor (OS, SUBP ...) in aplikacijski nadzor, ki ga predstavlja aplikacijska programska oprema. Seveda si želimo čim več sistemskega nadzora.
. Bistveni elementi nadzora (ne glede na tip) so kooperativnost, konkurenčnost in transparentnost sistemskih virov.
. Na nivoju infrastrukture v okvir nadzora sodijo problemi povezljivosti, skalabilnosti, redundantnosti, razširljivosti, ki pa morajo biti zaviti v dovolj visoko stopnjo uporabniške transparentnosti.
. Na nivoju procesiranja je bistven problem nadzora tako imenovana sinhronizacija procesiranja, v katere okvir sodijo naslednji problemi: paralelno/
serijska segmentacija procesiranja, identifikacija razpoložljivih in primernih procesorjev, optimizacija zasedanja procesorjev in seveda časovna sinhronizacija paralelno/serijskih procesov.
■ Z vidika podatkov nas zanima poleg lokalne konsistentnosti predvsem vzajemna konsistentnost. Sem sodijo protokoli za sočasno dostopanje, usklajevanje in obnovljivost kopij. Širok spekter protokolov za potrjevanje porazdeljenih transakcij (commit, rollback) pa rešuje povezane probleme razpršenega procesiranja in podatkov.
Seveda bi o podrobnostih nadzora lahko še veliko razpravljali, konec koncev ta segment porazdeljenih sistemov še vedno ni zadovoljivo rešen (raziskave v smeri gruč in grid sistemov). Za naš namen je dovolj, da nadzor natančno opredelimo na osnovni ravni, kajti zgoraj naštete vsebine predstavljajo storitve, ki jih potrebuje moderna sejna plast, če naj bi uspešno reševala probleme porazdeljenega informacijskega sistema.
Ugotovitev 6:
Sejna plast vsebuje podporne storitve, ki nadzorujejo kooperativnost in konkurenčnost razpršenih podatkov in procesorjev. Bistvena naloga sejne plasti je tudi nadzor porazdeljenih transakcij in zagotavljanje ustrezne stopnje uporabniške transparentnosti porazdeljenega informacijskega sistema. Sejna plast predstavlja sistemski nadzorni segment.
Kdor razume problematiko operacijskih sistemov in sistemske storitve, ki jih od sejne plasti pričakujemo, se bo strinjal z ugotovitvijo, da za učinkovito izvedbo nadzora porazdeljenega informacijskega sistema potrebujemo komunikacijski sistem, ki po zmogljivostih (prepustnosti) ne zaostaja za zmogljivostmi lokalnega procesiranja v okviru posameznega računalnika.
Če privzamemo, da danes večina komercialno dostopnih računalnikov tako ali drugače »prežveči« kakšnih deset milijonov bitov na sekundo (trdi diski so izrazito ozko grlo), so današnji komunikacijski sistemi (tako klasični telekomunikacijski sistemi kot računalniška omrežja) dosegli kapacitete, ki so dovolj visoke (1-10 Gbit/s je komercialno dosegljiva tehnologija), da zagotavljajo minimalno zakasnitev in prepustnost, primerljivo z računalniki. Upamo si trditi, da je glavni razlog, da imamo danes še vedno probleme s porazdeljenimi informacijskimi sistemi v tem, da informatiki še vedno niso uspešno rešili problemov, ki jih nakazujemo v tem poglavju.
Večina današnjih aplikacij še vedno daje prednost veliki lokalni avtonomnosti podatkov in se po možnosti izogiba rešitvam, ki bi vsebovale enovit logični pogled na razpršeno bazo podatkov. Shemo takega sistema prikazuje spodnja slika.
Sporočilni sistem - izmenjevanje aplikacijskih podatkov
BP1	BP2	BPn
Slika 1 Velika avtonomnost lokalnih podatkov glede na sistem za izmenjavo sporočil
Sistem na sliki 1 prestavlja množico lokalnih informacijskih sistemov (aplikacij), kjer so podatki med različnimi lokacijami popolnoma avtonomni oziroma njihova lokalna obravnava ni povezana z nobeno logično in/ali časovno odvisnostjo s podatki na drugih lokacijah (računalnikih). Podatki se lokalno obravnavajo neodvisno in izmenjujejo med posameznimi lokacijami v poljubnih formatih brez upoštevanja logičnih shem nedomicilnih lokacij.
Namen »manjkajoče« sejne plasti, kot smo si jo zamislili, pa naj omogoči implementacije sistemov, kot je prikazan na sliki 2. V tem primeru vse aplikacije »vidijo« razpršene podatke enovito in v skladu z »globalno« logično shemo. Tak pristop omogoča upoštevanje in izvedbo vseh logičnih in konsistentnih pogojev, ki veljajo za enovito logično shemo, ne glede na to, kako so podatki razpršeni. V tem primeru seveda ne moremo več govoriti o avtonomnosti lokalnih podatkov, temveč so podatki neavtonomni, saj je vsak lokalni dogodek nad njimi odvisen od globalne sheme in zato vpliva na globalno stanje razpršenih podatkov.
Na sliki je sejna plast, o kateri govorimo, predstavljena z oblačkom »enovit SUBP«, vendar pa je glede na povedano jasno, da gre za funkcionalnost v širšem smislu, kot je opisana v tem poglavju.
(^APLIKACIJA?^)	('''aPUKACIJAZ^)	((aP L1KAC1J An j					
▲ ▼				▲ ▼	
C	ENOVIT SUBP				)
I (^subpT ^rektorT i-	(	X SUBP2 ^gon£ P	(	X SUBPn p	)
BP1	BP2	BPn
Slika 2: Neavtonomni razpršeni podatki, ki so aplikacijam dostopni kot enovita baza podatkov
Predlog arhitekture sejne plasti
Predlog je zasnovan na dejstvu, da današnji komunikacijski sistemi obvladajo storitveno integrirana (prenos teksta, slike, govora, zvoka in videa) omrežja in da so njihovi celularni in satelitski mobilni sistemi že globalni. Tera hitrosti niso več laboratorijska domena, hitrosti 1-10 Gbit/s pa so komercialno dostopne na optičnih omrežjih.
Po drugem tiru se informatiki bolj ali manj uspešnemu bližajo nadzornemu sistemu, ki bo nadziral (integriral) vire več kot enega računalnika. Vsa ta dogajanja pa so vezana na produkte posameznih firm in žal na tem področju ne moremo govoriti o standardizaciji v pravem smislu.
Kot tretje lahko ugotovimo, da imamo na razpolago kar nekaj uspešnih »lokalnih« OS in SUBP, ki omogočajo izvedbo kompleksnih informacijskih sistemov.
Naš predlog predstavlja koncept sejne plasti, ki bo nudila podporo porazdeljenim informacijskim sistemom. Osnovna izhodišča, ki jih moramo upoštevati pri predlogu, so:
. Obstoječi lokalni operacijski sistemi se v osnovi ne bodo spremenili - kontinuiteta.
• Bodoča sejna plast mora funkcionalno integrirati obstoječe operacijske sisteme. Zagotavljati mora lokalni in globalni dostop do informacijskih virov. . Vsi mehanizmi/protokoli, ki nadzirajo konkurenčnost in kooperativnost posameznih virov sistema, so iz aplikacij izvzeti oziroma niso prepuščeni tako imenovanemu aplikacijskemu nadzoru, ki naj se
ukvarja izključno s funkcionalno vsebino uporabniških zahtev.
• Sejna plast mora zagotavljati tako imenovano kooperativno avtonomijo. Ta predpostavlja, da med viri bodočega sistema ni trajnih hierarhičnih odnosov (dinamični master/slave). Bistveno je, da sistemsko reši vse probleme kooperativnosti in konkurenčnosti.
Slika 3: 0S3 in OSn zagotavljata lokalni dostop, ostale aplikacije do porazdeljenega sistema dostopajo »globalno«.
■	Lokalni viri se dodeljujejo poslom glede na zahtevnost, kar pomeni, da so funkcije, ki zagotovijo optimalnost izkoriščanja/zasedanja virov sistema, vgrajene v sistemski del nadzora.
■	Zagotoviti mora vsaj tako prijazno uporabniško okolje kot lokalni sistemi, kar pomeni, da je uporabniška transparentnost bistvena lastnost, ki jo mora plast zagotoviti.
Na sliki 4 povzemamo ugotovitve in odnose med informacijskimi aplikacijami in sejno plastjo v kontekstu arhitekture OSI. Očitno je, da se informacijski sistem, ki mu pripisujemo tudi sejno plast, in komunikacijski sistem združujeta prek vmesnika TSPT (transportna storitvena pristopna točka).
Lokalni informacijski sistem v smislu uporabniške funkcionalnosti je predstavljen z elementi (lokalni aplikacijski procesi) (Aa, Ab,...}, (lokalni Sistemi za upravljanje z bazami podatkov) {SUBPa, SUBPb,...} ter (lokalnimi operacijskimi sistemi {OSa, OSb,...}. Inhe-rentno je v ta del privzeta tudi predstavitvena plast, ki pa v kontekstu obravnave nima pomembne vloge, po definiciji pa vsebuje tako imenovane podporne storitve, podobno kot velja za sejno plast (združljivost
kodnih strani, združljivost binarnih tipov, algoritmi stiskanja in kodiranja ...).
S predstavitveno plastjo razširjena aplikacijska plast dostopa do storitev sejne plasti prek vmesnika SSPT (sejna storitvena pristopna točka), pri čemer si predstavljamo sejno plast tako, kot smo jo opredelili zgoraj.
Zaključek
V zaključku sejno plast poimenujemo s pojmi, ki so značilni za nadzornike lokalnega sistema, kajti znano je, da se v informacijski tehnologiji stare pojme in nerešene probleme kaj rado poimenuje z novimi termini, katerih rok trajanja je spet zelo omejen.
V prispevku smo vseskozi govorili o sejni plasti, ki povezuje aplikacijske procese v neodvisnih računalnikih, to je namreč tudi OSI-jeva definicija sejne plasti.
	m		f
	▼ US PT		juspt
OSa " "	Aa	4 informacijska ^ storitev	Ab .
SUBPa *	- SUBPb
.SSPT	.SSPT
si
A. SOP . B
„ P/OS P/SUBP
:TSPT ;:TSPT
		▲
▼		T
trarepcrt	^	tratpcma	tnrepcrt
pocUto,	amfcv	potttkcv
Slika 4: Sejna plast je porazdeljen operacijski sistem.
Procese pa povezuje tudi vsak operacijski sistem OS, le da v okviru enega računalnika. Seveda bi zato bilo umestno govoriti o porazdeljenem operacijskem sistemu POS, ko imamo v mislih povezovanje procesov, ki »živijo« v različnih računalnikih. Glede na to, da se tu srečata informacijski in komunikacijski sistem, se nam zdi kot kompromis sprejemljivo, da govorimo o sejnem operacijskem sistemu SOP. Važno pa je, da se zavemo, da SOP ni problem komunikacijske sfere, temveč informatikov oziroma računalniške znanosti.
Iliri
1.	Enslovv, R H., Jr.: What is a “Distributed" Data Processing System?, Computer January 1978, 13-21.
2.	Tone Vidmar, Informacijsko komunikacijski sistem, ISBN 961-6361-24-4, Pasadena 2002.
3.	Halsall, F.: Data Communications, Computer Systems and Open Systems, Addison-Wesley 1993.
4.	Tannenbaum, A. S.: Computer Netvvorks, 4. izdaja, Prentice-Hall 1996.
5.	D. S. Milojičič et al.: Peer-to-Peer Computing, Tech.Rep. HPL-2002-57, HP Labs Palo Alto 02.
6.	Ozsu, M. T., Valduriez, R: Distributed Database Systems: Where Are We Now?, IEEE Computer, August 1991, 68-78.
7.	Spletna stran Grid Computing Info Center, 2004, http:// www.gridcomputing.com.
8.	Baker M., Buyya R., D. Laforenza, Grids and Grid technologies for wide-area distributed computing, Intl. J. Software: Practice and Experience (SPE), Vol. 32, No. 15, str. 1437-1466, Wiley Press, USA, dec. 2002.
9.	Chetty M., Buyya R., VVeaving computational Grids: How analogous are they with electrical grids?, Computing in Science and Engineering (OSE), Vol. 4, No. 4, str. 61-71, IEEE CS Press and American Institute of Physics USA, jul. 2002.
Tone Vidmar je 1987 doktoriral s področja računalniških komunikacij s temo Formalne specifikacije in verifikacije kompleksnih komunikacijskih protokolov. 1990 študijsko leto preživel na projektu COSINE-IXI v agenciji Rese-aux Associes pour la Recherche Europeenne v Amsterdamu. Bil član projekta EUREKA 8 COSINE, član IXI Project Team in član delovne skupine RARE WG4 za nižje OSI nivoje ter koordinator za področje nadzora in upravljanje računalniških omrežij. Mesto docenta na Fakulteti za elektrotehniko in računalništvo je zasedel 1989. Leta 1990 je ustanovil Laboratorij za računalniške komunikacije, katerega predstojnik je. Vodil več projektov in svetoval v različnih podjetjih in organizacijah. Trenutno je nosilec projekta VIKING za Ministrstvo za obrambo ter vodja Informacijske službe na Univerzi v Ljubljani.
RAZPRAVE
0	Pomen informatike pri prevzemih in združevanjih podjetij
Aleš Groznik, Dejan Vičič
Ekonomska fakulteta, Inštitut za poslovno informatiko, Kardeljeva ploščad 17, 1000 Ljubljana ales.groznik@ef.uni-lj.si; dejan.vicic@ef.uni-lj.si
Povzetek
Razprave o vrednosti in pomenu informatike v podjetju se pojavljajo že dlje časa. Vidik vloge informatike v poslovanju postane izrazito pereč v podjetjih, ki se znajdejo pred prelomnimi poslovnimi odločitvami, kot je prevzem oziroma združevanje podjetij. V teh razmerah je potrebno poleg poslovnih, najpogosteje finančno naravnanih vidikov upoštevati tudi vpliv informatike na poslovanje podjetja v prihodnje. Pogled na informatiko moramo usmeriti v prikazovanje koristi, ki jih prinaša podjetju in sicer z uporabo različnih sodil, ki zajemajo tako otipljive kot neotipljive segmente poslovanja. Kot izhodišče lahko izpostavimo strateško načrtovanje informatike, ki po definiciji vpliva na konkurenčnost poslovanja in s tem povečuje vrednost podjetja. Pomen informatike mora temeljiti na poslovnih procesih, ljudeh oziroma znanju in informacijski tehnologiji, ki so glavni nosilci vrednosti poslovanja podjetja.
Abstract
The Role of linformatics at Mergers and flcguisitions
The business value and meaning of IT has been debated for number of years. The role of informatics becomes crucial vvhen companies face critical business decisions like mergers or acguisitions. In this business situation companies have to tackle not only financial aspects, but also the role and impact of informatics. A company has to be aware of benefits that results from strategic role of informatics. The core problem is that business value of IT can not be easily and directly indicated. The issue expands vvhen business starts asking for IT value. The paper indicates a portfolio of most important areas of IT contribution: strategic information system planning, processes, knovvledge and technology. Portfolio management is the key to business value of IT.
1	Uvod
Povečevanje vrednosti enote premoženja in s tem povečevanje vrednosti podjetja kot celote mora biti osnovni cilj podjetja (Brigham in Daves, 2004). Za doseganje tega temeljnega cilja se podjetja poslužujejo različnih strategij poslovanja, kot so na primer maksimiranje prodaje, povečevanje tržnega deleža itd. Z vidika rasti ločimo strategijo notranje rasti, kjer poskušajo povečati obseg poslovanja z dodatnimi investicijami v okviru trenutnih zmogljivosti in strategijo zunanje rasti, kjer gre za prevzeme ali združevanja podjetij. Vsebina članka se osredotoča na strategijo prevzemov ali združevanj podjetij s posebnim poudarkom na vlogi in pomenu informatike.
Pri prevzemih ali združevanjih podjetij so praviloma v ospredju obravnav finančni vidiki. Izkušnje (Andol, 2004; Popovich, 2001; Shearer et al., 2004; Chris-tianson, 2000) kažejo, da se pojavijo nepremostljive težave, ko je potrebno združiti tudi nefinančni (transakcijski) nivo poslovanja. Ali bo prevzem oziroma združitev uspešna tudi s tega vidika je na podlagi analiz poslovnih primerov v veliki meri odvisno tudi od stanja informatike vpletenih podjetij.
Kljub temu, da so neuspešni primeri prevzemov in združitev znani (Andel, 2004; Popovich, 2001; Shear-
er et al., 2004; Christianson, 2000), analize vloge in pomena informatike v teh podjetjih kažejo na zapostavljeno vlogo informatike. Podjetja namreč še vedno izhajajo iz informatike kot podporne dejavnosti poslovanju. Poleg tega se pojavlja vrsta raziskav (Brynjolf-sson, 1993; VVilson, 1993; Hitt in Brynjolfsson, 1994; Kraemer in Dedrick, 1994; Brendt in Morrison, 1995; Tam, 1998; Deva raj in Kohli, 2000), ki ugotavljajo, da informatika in vlaganja vanjo nimajo želenega oziroma pričakovanega učinka na poslovanje podjetja. Z vidika poslovanja podjetja ima zato vodja informatike ključno vlogo pri ozaveščanju vodstva podjetja o dejanski vrednosti, vlogi in zmožnostih informatike.
Članek obravnava osnovne tipe prevzemov in združitev podjetij ter temeljne vzvode, ki podjetja privedejo do takšne poslovne odločitve. Predstavljen bo pomen in vloga informatike, ki se kažeta v strateškem načrtovanju poslovnih procesov, kadrov in znanj, informacijske tehnologije in organiziranosti. Poudarek pri določanju vrednosti informatike bo v vključevanju neotipljivih (angl. intangible) vplivov na poslovanje k že znanim otipljivim (angl. tangible) finančno-računovodskim metodam določanja vrednosti infor-
matike (količnik donosnosti investicij, sredstev, prihodkov; angl. ROI, ROE, ROS).
2	Opredelitev prevzemov in združitev
V literaturi (Gaughan, 1999; Reed in Layoux, 1995; Da-modaran, 2002) se pojavljajo različne opredelitve prevzemov in združitev podjetij. V angloameriški literaturi se pojavljajo trije izrazi. To so »mergers«, ki je v slovenskem prevodu najbliže izrazu združitev in »takeover« ter »acquisition«, ki ponujata v slovenskem prevodu e-nak pomen in sicer prevzem. Razmejitev med omenjenimi izrazi je nerazločna, tako daje težko potegniti črto med njimi. Kljub temu pa velja izraz »takeover« za bolj splošen oziroma manj natančen izraz, »mergers« in »acquisitions« pa sta le dve obliki le-tega (Bešter, 1996).
Motivov za prevzeme in združevanja podjetij je veliko. Bešter (2000) jih v grobem deli na podcenjenost ciljnega podjetja (tržna neučinkovitost, notranje informacije, superiorna analiza, zamenjava nesposobnega menedžementa), menedžerske motive (potreba po velikosti, moči, rasti, nadomestila menedžerjev, trgovanje na osnovi notranjih informacij, zmanjševanje tveganja človeškega kapitala) in na sinergije, ki jih nadalje razdeli na neoklasične motive (kratkoročne finančne sinergije, razmerje med ceno delnice in dobičkom na delnico, izboljšana plačilna sposobnost, davčni učinki), dolgoročne finančne sinergije (povečana zmogljivost zadolževanja, učinkovito prerazporejanje kapitala, zmanjšanje stroškov dolga in tveganja stečaja, večja stabilnost letnega dobička) in sinergije v poslovanju (ekonomija obsega, omejene možnosti rasti v panogi podjetja, omejevanje konkurence, pridobitev tehnoloških ali managerskih znanj, programska in tržna diverzifikacija, zmanjšanje tveganja poslovanja). Poleg omenjene delitve obstaja še vrsta drugih možnosti razdelitve motivov za prevzeme in združevanja, kot je na primer razdelitev na finančne in strateške motive za prevzeme (Bowman in Faulkner, 1997), razdelitev na učinkovite in neučinkovite motive (VValters, 1993), Gar-ten (1999) pa vidi glavni motiv za kapitalske povezave v zniževanju stroškov in doseganju ekonomije obsega.
Ne glede na to, kakšen je motiv za prevzem ali združitev, obstajajo različni tipi povezovanja, ki se razlikujejo med seboj glede na smer oziroma panogo vpletenih podjetij. Tako ločimo tri tipe prevzemov in združevanj (Gaughan, 1999):
- vodoravne (podjetja, ki poslujejo v isti panogi, glavni motiv prevzema ali združitve pa je izkoriščanje ekonomije obsega),
. navpične (najpogosteje v relaciji dobavitelj kupec), . koncentrične (značilno za podjetja z med seboj povezano osnovno tehnologijo, s proizvodnim procesom ali prek trga, običajno gre za podjetja iz sorodnih trgov).
K navedenemu naboru tipov prevzemov in združevanj so Rock, Rock in Sikora (1994) dodali še četrti tip in sicer konglomeraten prevzem oziroma združitev, ki zajema podjetja iz različnih panog, ki si ne konkurirajo in nimajo skupnih poslovnih procesov.
Proces prevzemanja ali povezovanja podjetij je zelo zahteven. Podjetja so soočena s številnimi potencialnimi nevarnostmi, ki bi lahko ogrozile zastavljeni projekt. Z drugimi besedami to pomeni, da obstaja nabor ključnih dejavnikov uspeha, ki morajo biti uspešno izpeljani, če želijo podjetja doseči načrtovanje pozitivne učinke. Takšni ključni dejavniki uspeha so na primer (Habech, Kroger in Tram, 2000):
. jasna vizija,
■	sposobno vodstvo,
. jasno zastavljeni cilji poslovanja,
• upoštevanje kulture podjetij,
■	komunikacija z interesnimi skupinami in e upravljanje s tveganjem.
Poleg omenjenih ključnih dejavnikov uspeha zasledimo v poslovni praksi in strokovni literaturi (An-del, 2004; Popovich, 2001; Shearer et al., 2004; Chri-stianson, 2000) kot ključni dejavnik uspeha tudi vlogo in pomen informatike.
3	Pomen informatike pri prevzemih in združevanjih podjetij
Pri prevzemih oziroma združevanjih podjetij je največkrat v ospredju pozornosti finančni del združitve, nefinančni (transakcijski) del pa ostaja »pozabljen« v ozadju. Z vidika povečevanja vrednosti premoženja je večina združitev podjetij neuspešna (Andel, 2004). Različni avtorji (Andel, 2004; Popovich, 2001; Shearer et al., 2004; Christianson, 2000) postavljajo kot ključni dejavnik uspeha združitev pravočasno vključenost informatike. V prvi fazi najprej preverimo poslovne procese in ugotavljamo razlike v poslovanju ter možnosti za integracijo tako s procesnega kot tudi s tehnološkega vidika. Drugi ključni dejavnik pa je ohranitev vseh ključnih kadrov, ki poznajo poslovanje podjetja in so sposobni vse potrebne spremembe hitro in učinkovito implementirati.
V svetu je poznanih veliko primerov projektov združevanja podjetij (USA Waste Inc. - VVaste Ma-
nagement Corp., 1998; BP PLCs - Amoco Inc., 1998; Union Pacific Corp. - Southern Pacific Rail Corp., 1996; VVells Fargo & Co. - First Interstate Bancorp, 1996; First Union Corp. - CoreStates Financial Corp., 1998), ki niso bili izpeljani ali pa niso upravičili pričakovanj. Posledice so bile vidne v povečanih stroških, izgubljenih poslovnih priložnostih, ugledu itd., kar so občutili tudi lastniki z znižanjem vrednosti podjetij (Popovich, 2001; Shearer et ah, 2004). Veliko podobnih primerov neuspelih združitev bi lahko našli tudi v Sloveniji, o katerih pa se zaradi bolečih posledic in izkušenj javno ne govori.
V slovenskem poslovnem okolju lahko po vzoru tuje poslovne prakse pričakujemo povečanje števila prevzemov in združitev podjetij. V nadaljevanju so predstavljeni ključni segmenti, ki jih morajo podjetja upoštevati v primeru prevzemov ali združitev podjetij in dejavniki, ki jih je potrebno meriti za ugotavljanje učinkovitosti naložb v informatiko.
4	Področja ustvarjanja vrednosti
Investicije v informatiko same po sebi ne prinašajo poslovne vrednosti. Postavlja se vprašanje, kje iskati potencialno vrednost informatike oziroma na katera področja investirati razpoložljiva sredstva. Osnova za dolgoročen uspeh je prav gotovo strateško načrtovanje informatike, ki izhaja neposredno iz strateškega načrta podjetja. Ključni dejavniki strateškega načrtovanja informatike in tudi glavni nosilci vrednosti informatike pa so poslovni procesi, kadri in znanje, informacijska tehnologija ter povezave med njimi vključno z vsemi posledicami potrebnih organizacijskih sprememb v smeri procesne organiziranosti in položaja informatike v podjetju. Ustvarjanje vrednosti informatike je torej kompleksen proces, odvisen od številnih spremenljivk, zaradi česar je enostavno vzročno-posledično odvisnost nemogoče najti.
4.1	Poslovni procesi
Poslovanje podjetja sestavljajo poslovni procesi. Poslovni procesi v podjetju se skladajo s poslovnimi dejavnostmi, vendar so pogosto razdrobljeni in skriti za organizacijskimi strukturami (Hammer in Champy, 1995) zaradi obremenjenosti podjetij s funkcionalno naravnanim načinom poslovanja. Zaradi tega prihaja do tako imenovanih funkcijskih silosov, skozi katere potekajo poslovni procesi. Posledično se v praksi dogaja, da poskuša posamezna organizacijska enota doseči čim večjo poslovno uspešnost. Vodje posamez-
nih organizacijskih enot zasledujejo lokalni optimum izvajanja poslovnega procesa, kar pa največkrat ne predstavlja optimuma poslovanja celotnega podjetja (Kovačič, 1998).
Rešitev opisanega problema se skriva v prenovi poslovnih procesov. To je temeljit vnovični premislek o poslovnih procesih in njihovo korenito preoblikovanje, da bi dosegli velike izboljšave kritičnih kazalcev učinkovitosti, kot so stroški, kakovost storitev in hitrost (Hammer in Champy, 1995). Naloga prenove poslovnih procesov je izbrati, usposobiti ali izumiti poslovni proces, da bi z njim zadovoljili potrebe zaposlenih v podjetju in zunanje partnerje (Jackson in Tvvaddle, 1997).
Vsakemu prenovljenemu poslovnemu procesu je ob implementaciji dodeljen skrbnik, kar posledično pomeni reorganizacijo podjetja v smeri procesne organiziranosti. Glavne prednosti, ki se kažejo pri procesni organizacijski strukturi, so prenos popolnega nadzora in odgovornosti za izvajanje programa na vodstvo programa. Obstoječe poslovne funkcije skrbijo za izvajanje globalne politike in poslovnega načrta podjetja. Procesna organiziranost podjetja vodi v zmanjšanje števila vmesnih vodij in v večini primerov tudi števila nivojev vodenja (Kovačič, 1998).
4.2	Kadri in znanje
Kljub temu, da je potrebno imeti na področju informatike kadre z ustreznimi znanji na različnih področjih, se v tem prispevku osredotočamo zgolj na vodstvo informatike in njegovo povezavo z vodstvom podjetja.
Informatika kot ena izmed gonilnih sil zagotavljanja konkurenčne prednosti podjetja potrebuje tudi temu ustrezen položaj v podjetju. Vodja informatike mora biti v tesni povezavi z vodstvom podjetja, saj lahko le na ta način izpolni svojo vlogo, ki je vodenje (povezava med poslovanjem in tehnologijo), spremljanje okolja (zaznavanje ključnih trendov), pripravljanje strategije (spremljanje povpraševanja in usklajevanje), organiziranje (organiziranje informatike), dostavljanje (zagotavljanje stroškovno in časovno ugodne storitve), merjenje (merjenje, kje se informatika/podjetje nahaja, in vedeti, zakaj se tam nahaja) (Kitzis, 2003).
Za opravljanje take naloge mora podjetje razpolagati z ustreznim kadrom. Zahteve za vodenje informatike se s časom spreminjajo. Danes mora imeti informatik poleg tehničnih tudi vodstvena, finančna in organizacijska znanja. Na ta način postane vodja informatike ustrezen sogovornik vodstvu podjetja in
posrednik med poslovnimi cilji in potrebami ter možnostmi, ki jih ponuja informatika (Kitzis, 2003).
4.3	Informacijska tehnologija
Informacijska tehnologija ponuja veliko možnosti vpliva na poslovanje. Vpeljava informacijske tehnologije zaradi nje same ni pravilna rešitev. Informacijska tehnologija je sredstvo za uresničevanje poslovnih izzivov. Pokrivati mora ključne poslovne procese podjetja in se usmeriti v povezave s poslovnimi partnerji. V letu 2003 so bila v zvezi z informacijsko tehnologijo ključna naslednja področja (Kitzis, 2003):
. orodja za povečanje stopnje varnosti,
. integracija aplikacij/vmesniki/obveščanje,
. vzpostavitev portala podjetja,
. omrežna infrastruktura/upravljalska orodja,
. razvijanje infrastrukture za notranje e-poslovanje.
5	Merjenje vrednosti informatike
Za vrednotenje investicij v informatiko se najpogosteje uporabljajo običajne računovodsko-finančne metode (količnik donosnosti investicij, sredstev, prihodkov; angl. ROI, ROE, ROS) čeprav so nekoliko prilagojene in niso uporabne na vseh področjih. Pogoj za realno oceno informacijskih investicij je obravnavanje stroškov kot tudi koristi (Kovačič in Groznik, 2005). Če je za podjetja ugotavljanje stroškov precej enostavna naloga, pa tega ne moremo trditi za ugotavljanje koristi. Delimo jih lahko na dva načina in sicer na neposredne in posredne ter na otipljive in neotipljive (Kovačič in Groznik, 2005). Pri prvi delitvi ugotavljamo, ali korist izhaja neposredno iz same informacijske investicije ali iz neke skupne organizacijske rešitve. Bolj kot je točka investicije oddaljena od mesta pridobivanja finančnih sredstev ali pridobivanja neke druge poslovne vrednosti, teže je le-te razporediti na investicijo (Apfel, 2003).
Po drugem načinu razdelimo koristi na otipljive (merljive), ki jih lahko izračunamo in izrazimo s številkami, in na neotipljive, ki jih, čeprav vemo, da obstajajo, lahko kvečjemu ocenimo (Kovačič in Groznik, 2005). Na področju otipljivih koristi je bilo izvedenih več raziskav, ki so poskušale ugotoviti, kakšen je dejanski vpliv informatike na uspešnost poslovanja po različnih kriterijih (dobiček, produktivnost, dodana vrednost itd.) (Tam, 1998; VVeill, 1992; Hoffman, 1997; Groznik in Kovačič, 2003), medtem ko je področje neotipljivih koristi precej manj raziskano, vendar pa z vidika upravičenosti informacijskih in-
vesticij vse bolj pomembno. V tabeli 1 je naštetih nekaj primerov otipljivih in neotipljivih učinkov informacijskih investicij (Miller, 2005).
OTIPLJIVE KORISTI	NEOTIPLJIVE KORISTI
Višja produktivnost	Višje zadovoljstvo strank
Nižji operativni stroški	Povečana prilagodljivost poslovanja
Sprememba strukture zaposlenih	Višja kakovost informacij
Višja dodana vrednost	Izboljšanje kontrole virov
Nižji prodajni stroški	Izboljšanje procesa načrtovanja
Nižji stroški administracije	Zvišanje naklonjenosti zaposlenih
Znižanje rasti izdatkov	Izboljšano upravljanje premoženja
Znižani stroški delovne opreme	Boljši poslovni izgled podjetja
Tabela 1: Otipljive in neotipljive koristi
Z vidika višine investicij v informatiko je pred službo za informatiko zahtevna naloga. Vodstvo službe za informatiko bo v prihodnosti vsekakor moralo prikazati pozitivne rezultate in upravičiti investicije ter svoj obstoj v podjetju. Za ocenjevanje celotne informatike se pogosto uporablja primerjalna analiza (angl. Bench-marking), kjer se primerja višino operativnih stroškov informatike med podjetji s podobnimi poslovnimi procesi in podobno ponudbo produktov na trgu. Na ta način podjetja dobijo odgovor na vprašanje, ali višina vlaganj v informatiko ustreza velikosti podjetja ter njeni učinkovitosti (Apfel, 2003).
Drugi, naprednejši način, ki po trditvah Apfelove (2003) predstavlja možnost za dolgoročen obstoj informatike v podjetju, je reorganizacija informatike v smeri notranjega ponudnika storitev. V tem primeru se je treba soočiti s celo vrsto novih izzivov, ki pa jih je z voljo, znanjem in izkušnjami mogoče premostiti. Z novim, poslovno usmerjenim (tekmovalnim) poslovnim modelom, postane informatika partner podjetja, ki prinaša dodano vrednost (Apfel, 2003).
B ZAKLJUČEK
Primeri neuspelih projektov združevanj ali drugih projektov, ki niso upravičili pričakovanj zaradi neustrezne informatike, bi morala podjetja vzeti kot opomin in poceni učenje ter začeti s strateškim načrtovanjem informatike in se tako izogniti zamujanju ponujenih poslovnih priložnosti.
Osredotočiti se je treba na ključna področja, kjer informatika ustvarja vrednost, in sicer na poslovne procese, kadre z ustreznim znanjem in inovativno uporabo
informacijske tehnologije. Učinke informatike je treba meriti z ustreznimi parametri, ki se nanašajo na otipljive oziroma merljive in neotipljive segmente poslovanja. Podjetja, ki merijo vrednost in pomen informatike zgolj s finančnimi kazalniki, bodo najpogosteje razočarana.
Kljub temu, da vemo kje iskati vrednost informatike, jo je zelo težko izraziti v številkah. Eden redkih primerov, kjer je to mogoče, so neuspešne združitve podjetij, ki so nastale zaradi nepreglednega poslovanja na nefinančnem (transakcijskem) nivoju, pomanjkljivega poslovnega znanja in prepozne integracije poslovanja tako na procesnem kot tudi na tehnološkem področju. Vpliv informatike se kaže v nerealiziranih predvidenih prihrankih in celi vrsti dodatnih stroškov, ki so nastali ob poskusu združitve.
7. Viri in Literatura
[1]	Andel T. (2004) Make the Most of Mergers, Material Handling Management, 59 (10), 20-24.
[2]	Apfel A. (2003) Demonstrating the business value of IT,
Gartner Symposium ITXR0, Lake Buena Vista, Florida 20-24 okt.
[3]	Bešter J. (1996) Prevzemi podjetij in njihovi učinki na delničarje, managerje, zaposlene, upnike in državo, Gospodarski vestnik, Ljubljana.
[4]	Bešter J. (2000) Prevzemi podjetij in njihovi motivi - empirična analiza na primeru Slovenije: Doktorska disertacija, Ekonomska fakulteta, Ljubljana.
[5]	Bovvman C. in Faulkner D. (2000) Competitive and Corporate Strategy, Irvvin, London.
[6]	Brigham E. F. in Daves P R. (2004) Intermediate Financial Management (8th ed.), South-Western, New York.
[7]	Brynjolfsson E. (1993) The Productivity Paradox of Information Technology, Association for Computing Machinery, Communications of the ACM, New York.
[8]	Christianson R. (2000) After the Mergers: Negotiating IT integration. Public, Public Utilities Fortnightly, 44-55.
[9]	Damodaran A. (2002) Investment valuation - 2nd edition,
John Wiley & Sons, New York.
[10]	Devaraj S. in Kohli R. (2000) Information Technology Payoff in the Health-Care lndustry: A Longitudinal Study, Journal of Management Information Systems, 6 (4), 2000, 41-67.
[11]	Garten E. J. (1999) Megamergers Are Clear and Present Danger, BusinessVVeek, New York.
[12]	Gaughan R A. (1999) Mergers, acquisitions and corporate restructurings - 2nd edition, John Wiley & Sons, New York.
[13]	Groznik A. in Kovačič A. (2003) The real business value of it, Econ. bus. rev, 5 (1/2), 137-146.
[14]	Flabech M. M. Kroger F. in Tram R. M. (2000) Čas združitev, DZS, Ljubljana.
[15]	Hammer M. in Champy J. (1995) Preurejanje podjetja: Manifest revolucije v poslovanju, Gospodarski vestnik, Ljubljana.
[16]	Hitt L. in Brynjolfsson E. (1994) The Three Faces of IT Value: Theory and Evidence, Proceedings of the 15,h International Conference on Information Systems.
[17]	Floffman T. (1997) Feds Link IT, productivity but hard evidence lacking, Computervvorld, 31 (34).
[18]	Jackson M. in Tvvaddle G. (1997) Business Process Implemen-tation: Building Workflow Systems, Addison-Wesley, Flarlovv.
[19]	Kitzis E. (2003) CIO Agenda 2003-2004: Drive Enterprise Effectiveness, Gartner Symposium ITXPO, Lake Buena Vista, Florida 20-24 okt.
[20]	Kovačič A. (1998) Informatizacija poslovanja, Ekonomska fakulteta, Ljubljana.
[21]	Kovačič A. in Groznik A. (2005) Prosojnice predavanj pri predmetu Strategija informatizacije poslovanja, Šhttp:// www.ef.uni-lj.si/predmeti/_struktura/
izpis.asp?vrsta=gradivo&id=70210], 3. 1. 2005.
[22]	Kraemer K. in Dedrick J. (1994) Payoffs from Investment in Information Technology-Leasons from the Asia-Pacific Region, VVorld Development, 22 (12), 1921-1931.
[23]	Miller L. (2005) Prosojnice predavanj, poglavje 11, [http:// myphlip.pearsoncmg.com/].
[24]	Popovich G. S. (2001) Meeting the pressures to accelerate IT integration, Mergers & Acquisitions, 36 (12), 30.
[25]	Reed S. F. in Layoux A. R. (1995) The art of M&A: A Merger Acquisition Buyout Guide - Second Edition, lrwin Proffesional Publishing, New York.
[26]	Rock M. L., Rock R. Fl. in Sikora M. (1994) The Mergers & Acquisitions Flandbook. McGravv-Hill, New York.
[27]	Shearer B. et al. (2004) Avoiding the IT Integration Blues, Mergers & Acquisitions, 39 (11), 10-15.
[28]	Tam K. Y. (1998) The Impact of Information Technology investments on Firm Performance and Evaluation: Evidence from Newly Industrialized Economies, Information Systems Research, 9 (1), 85-98.
[29]	Walters J. S. (1993) Enterprise, Government, and The Public. McGravv-FHill, New York.
[30]	Weill P. (1992) The relationship Between Investments in Information Technology and Firm Performance, Information Systems Research, 3 (4), 307-333.
[31]	VVilson D. (1993) Assessingthe Impact of Information Technology on Organizational Performance, Strategic Information Technology Management, Idea Group.
Aleš Groznik je docent s področja poslovne informatike na Ekonomski fakulteti v Ljubljani. Področje njegovega strokovnega in raziskovalnega dela je vloga sodobnega informacijskega sistema v poslovnem okolju. Ukvarja se s področji elektronskega poslovanja, strateškim načrtovanjem informacijskih sistemov ter prenovo poslovanja. Raziskuje možnosti in vlogo informacijskih sistemov z vidika zagotavljanja poslovnih informacij za uspešno vodenje organizacij. S svojim delom na Inštitutu za poslovno informatiko Ekonomske fakultete v Ljubljani skuša prek poslovnih primerov in projektov teoretična dognanja oplemenititi in preveriti v poslovnem svetu.
Dejan Vičič je leta 2004 diplomiral na Ekonomski fakulteti v Ljubljani, kjer nadaljuje tudi podiplomski študij na smeri Informacijsko upravljavske vede. Od leta 2002 sodeluje kot član projektne skupine Inštituta za poslovno informatiko na projektih s področja prenove poslovanja podjetij.
36
UPORABNA
NFORMATIKA
2005- številka 1 - letnikXIII
REŠITVE
0 Zahteve za uspešno vpeljavo standarda BS7799-2 za področje
informacijske varnosti
Lucija Zupan,
Hermes SoftLab, d. d., Litijska 51, Ljubljana lucija.zupan@hermes.si
Povzetek
Večina podjetij je danes stoodstotno odvisnih od informacijske tehnologije. Tesna povezanost informacijske tehnologije in poslovnih procesov prinaša tudi nekatere nove zahteve za varno, zanesljivo in dolgoročno uspešno poslovanje. Podjetja so vse bolj izpostavljena varnostnim tveganjem, iz česar izhaja neobhodna potreba po vzpostavitvi sistema upravljanja informacijske varnosti (v nadaljevanju SUIV). Iniciative uvajanja SUIV v podjetjih se pogosto končajo neuspešno, saj so zanemarjeni ključni vidiki uspešne vpeljave sistema. Pri vpeljavi SUIV se je zato priporočljivo opreti na dobre prakse in standarde, kot je standard BS 7799-2:2002, ki določa vse potrebne korake in postopke za vzpostavitev, implementacijo, nadzor ter stalno izboljševanje sistema. Ker pri implementaciji SUIV upravljamo z obsežno dokumentacijo, se izkaže uporaba orodij za upravljanje dokumentacije SUIV zelo koristna. Na trgu je na voljo več orodij, vendar so namenjeni različnim stvarem. Praktiki ugotavljamo, da je razumevanje namena in obsega varnostne politike zelo različno razumljena. Njen izgled, vsebina in struktura jo prepuščena posameznikom. Pomembno je, da je zastavljena praktično in da je zagotovljena njena razumljivost. Pri vpeljavi SUIV se pogostokrat srečamo tudi z visokimi stroški, kar pri vodstvu povzroči odpor. V takem primeru se mora upravljavec informacijske varnosti posluževati dobrih metrik, da lahko prikaže pozitivne učinke naložbe. V praksi pa se izbira dobrih metrik in zagotavljanje ustreznih vhodnih podatkov pogosto lahko izkaže kot problem.
Ključne besede: informacijska varnost, sistem za upravljanje varnosti informacij, BS7799, certificiranje, orodja za podporo upravljanja SUIV, informacijska varnostna politika, praksa
Abstract
How and why implementing the most integritive Information Securitg standard BS7799-2 in ali sort of organizations
Nowadays, a majority of organizations are onehundred percent dependant on technology. The tight connection betvveen information technology and business procesess also brings new demands for doing (being a) secure, reliable, and long-term sucessful business. Exposure to security threats is becoming an increasingly important issue for businesses. To ansvver the threats, businesses must implement an information security management system (ISMS). The first attempt at introducing ISMS in a business often results in failure, as they neglect key aspects of a sucessful implementation of ISMS. It is highly recommended to base ISMS implementation on the BS 7799-2:2002 standard, vvhich specifies ali the reguired steps and procedures for specifying, implementing, controlling and continuously improving the system. Because of the extensive documentation, that we must manage during a ISMS implementation, ISMS documentation tools often prove to be very useful. Several such tools exist on the market, vvith specific purposes. Practitioners are coming to the conclusion, that understanding the purpose and scope of a security policy can be interpreted in different ways. Its outlook, content and structure is up to the individual. Its important hovvever, that it is designed and formulated in a practical and easy to understand way. ISMS implementation is often associated vvith high costs, vvhich may cause resistance vvithin the businesses' leadership. The information security manager must use quality metricts to convince the leadership, vvhich often prave s difficult in practice.
Key vvords: information secuity, Information Security Management System (ISMS), BS7799, certification, ISMS management tools, information security policy, practice
1 UUOD
Varnost informacijskih sistemov je danes za mnoge organizacije prioriteta številka ena. Do leta 2010 se pričakuje porast računalniških naprav na 14 milijard, kar bo predstavljalo dvakrat več naprav kot prebivalcev (leta 2010 bo po ocenah 7 milijard prebivalcev). Do I. 2005 bo v svetu obstajalo že 35
milijonov oddaljenih uporabnikov (neuslužbenci, ki dostopijo do omrežij; pogodbeniki, prodajalci). V zadnjem času je vse bolj prisoten porast spletnih storitev, t. i. storitev, ki se medsebojno pogovarjajo neodvisno od uporabnikov. Z nenehno rastjo števila računalniških naprav se eksponencialno povečuje tudi
število groženj, s tem pa raste tudi potreba po boljši informacijski varnosti. Pojav elektronskega poslovanja nujno zahteva ne samo vpeljavo varnih elektronskih povezav, temveč tudi številnih organizacijskih pravil ter nenehno usposabljanje zaposlenih, ki so ključni člen pri zagotavljanju varnega elektronskega poslovanja. Varnost informacijskih sistemov bo kmalu na prvem mestu pri izvajanju vseh dejavnosti podjetja. Tega poslanstva pa ne moremo izpolnjevati mimo izpolnitve nekaterih osnovnih pogojev. Z varnostjo informacij se je treba spoprijeti na vseh ravneh poslovanja in se ji posvetiti na dnevni ravni. Ključnega pomena so stalni pregledi sistema in njegovo izboljševanje.
Zagotavljanje informacijske varnosti je odgovorna naloga. Zahteva dobro poznavanje poslovnega okolja, poslovnih zahtev, informacijskega sistema ter varnostnih standardov. Pri zagotavljanju informacijske varnosti je treba vzpostaviti delujoč, živ sistem, ki bo omogočal zagotavljanje ustreznega nivoja varnosti in se ustrezno odzival na spremembe. Standard BS7799 nam omogoča postavitev ogrodja takega sistema in upoštevanje le-tega nam zagotavlja, da smo vključili vse elementarne sestavine, ki se zahtevajo pri zagotavljanju informacijske varnosti. Standard je zelo ohlapen in pušča implementacijsko plat popolnoma odprto. To je tudi eden glavnih razlogov za zmedo, ki nastaja pri definicijah področja, kot tudi pri vzpostavitvi sistemov, ki se medsebojno razlikujejo po obsegu, vsebini, strukturi itn.
Zaradi hitrih tehnoloških, gospodarskih in političnih sprememb je standard v nekaterih svojih delih zastarel. Obetajo se spremembe standarda, vendar strokovna javnost zaenkrat večinoma molči, premiki se dogajajo počasi. V vsakem primeru je potrebno zasnovati SUIV na ta način, da bo preživel mnoge spremembe skozi čas. Zato je še posebej pomembno, da pri tem upoštevamo napotila in najboljšo prakso.
Vsak sistem je unikat, ki mu je treba prilagoditi stopnjo varovanja. Vsak novo izgrajeni sistem zahteva tudi, da ga sprejmejo njihovi zaposleni in se s tem čimbolj vključi v poslovno okolje.
2	ZAHTEVE ZA VARNOST IN ZAŠČITO INFORMACIJ BODO V PRIHODNOSTI VSE VEČJE
Živimo v svetu nenehnega prilagajanja, kjer morajo organizacije dnevno spreminjati svoje poslovanje v skladu z zahtevami poslovnih partnerjev. Zahteve se vse bolj pogosto nanašajo tudi na urejenost področja varnosti in zaščite informacij, saj ni več dovolj, da podjetja ustrezno varujejo samo svoj informacijski
sistem, temveč potrebujemo zagotovilo, da ga ustrezno varuje tudi njihov poslovni partner. V tem primeru se podjetja znajdejo pred odločitvijo glede vpeljave ustreznega sistema varovanja, ki lahko vpliva na pridobitev potencialnega posla. Znajdejo se tudi pred mnogimi drugimi izzivi, ki jih predstavlja vpeljava učinkovitega sistema varovanja in zaščite podatkov.
Pri vzpostavitvi sistema za upravljanje informacijske varnosti seje smotrno opreti na standarde. Trenutno so na voljo številni standardi, samo za informacijsko varnost bi jih lahko našteli več kot petdeset. Strokovnjaki so si enotni, da je najbolj celovit standard na področju informacijske varnosti še vedno IS017799/BS 7799, ki določa upravljavski sistem za področje informacijske varnosti. Drugi del standarda, BS 7799-2:2002 predstavlja specifikacijo oziroma zbirko lastnosti, katerim mora sistem upravljanja ustrezati, če želimo, da je skladen s standardom in da sistem lahko certificiramo.
Poleg tega obstaja več različnih standardov za sisteme vodenja: družina ISO 9000 (sistem kakovosti), družina ISO 14000 (sistem ravnanja z okoljem), družina OHSAS 18000 (sistem varnosti in zdravja pri delu), družina BS 7799 (sistem informacijske varnosti).
Ti sistemi imajo veliko skupnih lastnosti, med katere sodijo:
• temeljijo na načelu neprestanega izboljševanja kakovosti in izboljševanja na področjih, kjer ni mogoče doseči absolutno najvišje vrednosti (oziroma 100 % varnosti),
. pokrivajo področja, kjer so potrebni stalni odzivi na spremenjene zahteve okolja,
. procesi, postopki in nadzorstva upravljavskih sistemov morajo biti dokumentirani, saj nam to zagotavlja, da se res izvajajo in da jih je mogoče nadzirati,
. upravljavski sistemi oziroma sistemi vodenja predstavljajo model organiziranosti, ki teži k zmanjševanju in preprečevanju pomanjkljivosti v poslovanju.
Zakonske zahteve za skladnost z BS7799-2 v Sloveniji so trenutno najbolj zavezujoče za banke. Julija 2004 je Banka Slovenije objavila, da mora banka pri svojem poslovanju upoštevati slovenska standarda SIST BS7799-2:2003 in SISTISO/IEC 17799:2003 (Ur. L. RS št. 83/04 z dne 29. 07. 2004). Poleg tega za banke velja tudi mednarodni standard Basel II, ki banke tesneje kot standard BS 7799-2:2002 zavezuje k ureditvi področja informacijske varnosti prek zagotavljanja ustreznega nivoja tveganj in zmanjšanja operativnih tveganj 118]. Za ostale panoge posebna zakonska določila
glede skladnosti s standardom ne obstajajo, vendar pa podjetja sama opažajo veliko potrebo po varnem in zaupanja vrednem poslovanju. Na področju zakonske ureditve se pričakujejo ostrejše zahteve ter bolj celovito pokritje področja predvsem za banke in zdravstvene institucije. Zdravstvene institucije uvajajo elektronski zdravstveni zapis, ki bo vseboval kritične podatke o pacientih, v naslednjem koraku pa se bodo ti podatki pretakali med zdravstvenimi organizacijami. Neizogibno bo treba temu področju posvetiti večjo skrb in prilagoditi tudi regulativo [15].
Pomemben vidik pri varovanju informacij predstavlja veljavna zakonodaja, vendar je upoštevanje samo zakonskih določil premalo za doseganje ustreznega nivoja varnosti [19]. Upoštevati je treba tudi zahteve poslovnih partnerjev, odjemalcev in zaposlenih. Ob vstopu Slovenije v Evropsko unijo se bo brez dvoma tudi na področju informacijske varnosti in poslovanja med organizacijami začelo obdobje prilagajanja in sprememb. Pri sklepanju partnerstev v tujini bo treba upoštevati tudi poslovne zahteve in zakonodajo v državi, iz katere partner izhaja. Pri tem bo treba upoštevati predvsem sledeča zakonska področja: zakonodaja v zvezi z šifriranjem podatkov, zakonodaja v zvezi z varovanjem kritične (informacijske) infrastrukture, politika digitalnega podpisovanja in mednarodni sodni postopki za kriminaliteto na spletu. Organizacije morajo v skladu s tem razširiti obseg pri načrtovanju svoje strategije, kar pomeni, da morajo upoštevati številne mednarodne in državne zakone in pravila. Tako bodo lahko zagotovile usklajenost s pravno-zakonodajnimi načeli, pravili in smernicami v tujih državah.
3	KORISTI UVEDBE STANDARDA BS7799-2 U ORGANIZACIJO
Danes je podjetjem več ali manj že jasno, da se je pri vpeljavi sistema informacijske varnosti smiselno opreti na standard BS 7799-2:2002. Bistvene prednosti opiranja na standard, pred uporabo neformalnih pristopov k zagotavljanju informacijske varnosti so predvsem:
. Standard omogoča osnovo za vpeljavo najboljših praks.
. Je upravljalsko, tehnološko in organizacijsko neodvisno orodje ter dovolj splošen, da je primeren za vse vrste organizacij.
• S standardom zagotovimo celovito pokrivanje področja informacijske varnosti (zmanjšamo možnost, da bi spregledali pomembna področja).
. Standard BS7799 omogoča sistematičen in konsistenten pristop ne samo pri vpeljavi, temveč tudi pri vzdrževanju SUIV.
. Uporaba standarda za varovanje informacij omogoča osnovo za ugotavljanje odstopanj in predvideva tudi vire za varovanje.
• Opiranje zgolj na izkušnje posameznikov ni več potrebno, saj se pri zapisovanju politike in nadzorstev, ki zagotavljajo ustrezen nivo varnosti, lahko naslonimo na standard.
Se dva praktična nasveta, kako pridobiti čimveč koristi od standarda [17]:
. Priporočljivo je graditi na tem, kar imamo v podjetju že vzpostavljeno. Če imamo vzpostavljen npr. sistem za vodenje kakovosti IS09000, ga lahko uporabimo kot ogrodje. Najmanj kar bo pomagal odkriti, je, ali nadzor dokumentov obstoječega standarda zadostuje za certificiranje.
. Certificirajte se. Mnogo organizacij se odloči samo za skladnost s standardom. Ampak to je sivo, nejasno področje. Zakaj bi šli čez vse težave, ki jih prinaša vzpostavitev SUIV, ne da bi svoj uspeh ovekovečili pred zunanjim svetom (našim strankam, poslovnim partnerjem)? Certificiranje pomeni boljši fokus, večjo osredotočenost na cilje in zato tudi večjo možnost uspeha. Čeprav lastni stroški certificiranja za dobo treh let znašajo okrog 3000 EUR (BSQVI poročilo), se certificiranje lahko obrestuje.
Opisali smo koristi opiranja na standard. V nadaljevanju navajamo tudi koristi uvedbe standarda BS7799-2 za varovanje in zaščito informacij. Notranje koristi so predvsem:
. povečanje produktivnosti (ljudje delajo bolj učinkovito, v bolj urejenih in strukturiranih okvirih, kar tudi zmanjšuje možnost za odkrivanje »na novo« in podvajanje dela ter olajšuje izmenjavanje in formacij);
■ revizije omogočajo nepristranski zunanji pogled na poslovanje, odkrivanje priložnosti za izboljšanje;
. standard vpeljuje discipline, kot so ocenjevanje tveganja in hranjenje zapisov, ki jih lahko izkoristimo za povečanje urejenosti poslovanja nasploh; . povečanje zanesljivosti delovanja celotnega informacijskega sistema;
. omogoča hitro in učinkovito uvajanje novih sodelavcev.
Med zunanje koristi štejemo:
. povečanje zaupanja poslovnih partnerjev in drugih interesnih skupin,
. povečanje ugleda,
. povečanje prednosti pred tekmeci,
. izboljšanje osnov za marketing in trženje storitev, . izpolnjevanje zakonskih zahtev,
. izpolnjevanje zahtev poslovnih partnerjev in odjemalcev.
Vse več podjetij v svetu se odloča za certificiranje. V zadnjih 12 mesecih je število držav z certificiranimi podjetji po BS7799-2 naraslo na 37 (med njimi tudi Slovenija). Rast števila certificiranih podjetij v svetu ponazarja slika 1 [13].
600
-- 500
-- 400
- 300
- 200
XI-02
- 100
I I Evropa	I I Azija	Bil Ostali svet
Slika 1 Rast števila certificiranih po BS7799-2 v svetu
(Vir: Gammassl, 20051
4	PRIHODNOST STANDARDA
Standard mora biti, če hoče biti uporaben, pragmatičen in koristen, prilagodljiv ter mora upoštevati spremembe, ki jih prinašajo tehnološki napredek in drugi trendi v poslovnem svetu. Obetajo se spremembe standarda, s tem pa tudi potrebe po spremembi in dopolnjevanju že vzpostavljenih sistemov varovanja. Kaj pravijo strokovnjaki, ki zasledujejo spreminjanje standarda o njegovi prihodnosti, si lahko preberete v nadaljevanju [13].
Revizija standarda ISO/IEC17799
ISO/IEC 17799:2000 je trenutno v postopku pregledovanja, ki bo predvidoma sredi leta 2005. Največja
sprememba, ki se pričakuje, je v ureditvi, načrtovanju nadzorstev za jasnejšo razlikovanje med zahtevami, smernicami za vzpostavitev in nadaljnje informacije. Pričakuje se tudi racionalizacija standarda z dodajanjem nekaj novih nadzorstev in boljšo obrazložitvijo obstoječih.
Razvoj tretjega dela standarda
Mnogi se sprašujejo, če bo obstajal tudi tretji del standarda. Junija/julija 2002 se je začelo razmišljati o razvoju tretjega dela standarda. Iniciativa je bila osnovana na dejstvu, da je ISO 9001 sestavljen iz štirih delov, standard BS7799-2:2002 pa je zelo soroden ISO 9001:2000. Novi tretj del standarda bi potemtakem skrbel za proces neprestanega izboljševanja SUIV (podoben namen je imel ISO 9004). Drugi razlog za smiselnost vpeljave tretjega dela standarda so strokovnjaki videli v potrebi po integraciji SUIV z ostalimi sistemi vodenja.
Nadgradnja 697799-2:2002
Tehnologija nezadržno napreduje in se spreminja, zaradi tega je pričakovati, da obstoječi standard v prihodnosti ne bo pokrival vseh potreb in zahtev v praksi. Praktiki že ugotavljajo določene pomanjkljivosti standarda ter tudi nekoherentnosti med posameznimi nadzorstvi znotraj njega. Iz tega razloga lahko pričakujemo, da se bo tudi standard BS7799-2 v prihodnjih letih dopolnil in nadgradil.
5	VPELJAVA SISTEMA ZA UPRAVLJANJE VAROVANJA IN ZAŠČITO INFORMACIJ
Ko govorimo o varovanju in zaščiti informacij, imamo v mislih predvsem tri lastnosti, ki jih je treba zagotoviti:
• Zagotavljanje zaupnosti pomeni zaščito informacij v kakršnikoli obliki (pisni, ustni, elektronski in neelektronski) pred vsakršnim nepooblaščenim vpogledom med njenim shranjevanjem, obdelavo ali prenašanjem. To lahko dosežemo npr. z implementacijo mehanizmov za preverjanje gesel, uporabo pametnih kartic, vgradnjo biometričnih kontrol ali čisto običajnih ključavnic.
. Zagotavljanje celovitosti pomeni zagotavljanje točnosti in popolnosti informacij med njenim shranjevanjem, prenašanjem in obdelovanjem. Informacije ne smejo biti nepooblaščeno spremenjene, kar zagotavljamo z mehanizmi za preverjanje vhodno/izhodnih podatkov, uporabo preverjalnih vsot itd.
. Zagotavljanje razpoložljivosti pomeni zagotavljanje dostopnosti informacij in storitev pooblaščenim uporabnikom, kadar jih ti potrebujejo in kjer jih potrebujejo. To lahko zagotovimo z uporabo hladne/vroče lokacije, varnostnimi kopijami, zagotovljenimi redundantnimi podatkovnimi kapacitetami na rezervnih lokacijah, postopki okrevanja po nesreči, načrtovanjem neprekinjenega poslovanja.
Za potrebe varnega poslovanja v sodobnem poslovnem okolju morajo podjetja vzpostaviti in implementirati sistem za upravljanje varnosti informacij, ki ga je treba nadalje stalno nadzorovati ter izboljševati. Opisani pristop je edino zagotovilo, da sistem resnično zmanjšuje tveganja. Varnost informacij je treba zgraditi z uporabo različnih upravnih, procesnih in poslovnih nadzornih postopkov [8]. Varnost informacijskih sistemov je treba zagotoviti na začetku izgradnje novega sistema. Izkazalo se je, da so stroški implementacije na začetku projekta do trikrat nižji od stroškov implementacije v zreli fazi delovanja sistema. Tak sistem mora temeljiti na ciljih varovanja ter ustrezni izbiri strategije v odvisnosti od načina in obsega poslovanja, velikosti podjetja, razpoložljivih resursih, organizacijski strukturi in kulturi ter zrelosti organizacije. Bistvo vpeljave sistema upravljanja varnosti informacij je vpeljava sistema za upravljanje tveganj.
NAČRTUJ
načrtovanje in vzpostavitev
sistem za upravljanje varovanja in zaščite informacij - ISMS
spremljanje in preverjanje
PREVERI
Slika 2: Model PDCfl za upravljanje informacijskih tveganj
(Vir: 657799-2:2002)
Standard BS7799-2 vpeljuje pomemben princip, imenovan PDCA (Plan - Načrtuj, Do - Izvedi, Check -Preveri, Act - Ukrepaj), ki zagotavlja učinkovito obvladovanje tveganj (slika 2).
Opisani princip pokriva vse faze delovanja SUIV, od njegove vzpostavitve do zrele faze delovanja. V nadaljevanju so naštete zahtevane aktivnosti, ki se morajo izvajati v vsaki od posameznih faz.
5.1	Načrtovanje in vzpostavitev SUIV
V	okviru faze načrtovanja in vzpostavitve SUIV je treba določiti obseg SUIV in varnostno politiko. Nadalje je potrebno določiti pristop k ocenjevanju tveganja, poiskati relevantna tveganja in izvesti oceno tveganj. Na podlagi ocene tveganj je treba poiskati in ovrednotiti možna ravnanja s tveganji ter izbrati ustrezna nadzorstva za zmanjševanje tveganj. Izbrana nadzorstva z obstoječimi nadzorstvi tvorijo izjavo o primernosti nadzorstev (angl. Statement of Applicnbility).
V	fazi vzpostavitve je treba pridobiti tudi odobritev vodstva. Standard opredeljuje zahteve za odgovornost vodstva organizacije, pregled upravljavskega sistema SUIV s strani vodstva in odgovornost za njegovo izboljševanje.
5.2	Vpeljaua in izvajanje SUIV
V	fazi vpeljave najprej oblikujemo načrt ravnanja s tveganji, ki vključuje prednostno listo za upravljanje varnostnih tveganj vključno s terminskim planom uvedbe (v priporočilu se navede čas, v katerem je treba nadzorstva implementirati), seznam priporočenih nadzorstev, ki evidentirana tveganja zmanjša na sprejemljiv nivo. Načrt za ravnanje s tveganji izvedemo tako, da seznam priporočenih nadzorstev predamo poslovnim lastnikom, ki odločijo, katera nadzorstva se bodo implementirala in kdaj [9]. Razlog za potrebo po vpletenosti poslovnih lastnikov je v tem, da je implementacija nadzorstev povezana s finančnimi sredstvi in ostalimi resursi. Če so določena nadzorstva povezana z visokimi finančnimi sredstvi, je priporočljivo podati tudi alternativna nadzorstva, saj tako zagotovimo, da bodo implementirane vsaj alternativne, čeprav tveganje ne bo popolnoma odpravljeno [15]. Pomembno se je zavedati predvsem dejstva, da je odločitev o implementaciji priporočenih nadzorstev v rokah poslovnih lastnikov in ne informatikov [9].
Po vpeljavi sistema izvedemo usposabljanja za ozaveščanje zaposlenih. Ko sistem pride v polno de-
lovanje, ga moramo ustrezno voditi in izvajati ustrezne postopke.
5.3	Spremljanje in preverjanje SUIV
Faza spremljanja in preverjanja vključuje izvajanje nadzorovalnih postopkov (postopki za hitro ugotavljanje napak obdelave podatkov, varnostnih pomanjkljivosti in incidentov), redno pregledovanje učinkovitosti SUIV, pregledovanje preostalih in sprejemljivih tveganj, redno izvajanje notranjih presoj SUIV, izvajanje vodstvenih pregledov (vodstvo se mora prepričati o tem, ali je izvajanje procesov v skladu s pričakovanim in je zapisano ter če se odpravljanje varnostnih pomanjkljivosti izvaja v skladu z opredeljenimi prioritetami), beleženje dejanj in dogodkov, ki lahko vplivajo na SUIV.
5.4	Vzdrževanje in izboljševanje SUIV
Faza vzdrževanja in izboljševanja vključuje uvedbo prepoznanih možnih izboljšav, vpeljavo korektivnih in preventivnih ukrepov (medtem, ko korektivni ukrepi izničujejo vzroke neskladja s standardom, ki so se pojavili pri delovanju sistema SUIV, preventivni ukrepi skušajo odpravljati bodoča neskladja), prek komuniciranja in posvetovanje doseči potrebni nivo strinjanja vseh vpletenih, skrb za to, da izboljšave dosežejo zadane cilje SUIV.
5.5	Dokumentacija SUIV
V okviru vzpostavitve SUIV je treba pripraviti dokumentacijo. V grobem dokumentacija SUIV sestoji iz:
. krovnih varnostnih politik in ciljev,
. definicije obsega SUIV,
. poročila o ocenah tveganj in načrta ravnanja s tveganji,
. izjave o primernosti nadzorstev,
. področnih varnostnih politik,
. dokumentiranih postopkov in delovnih navodil, e zapisov in dnevnikov, ki se ustvarjajo pri delovanju SUIV.
Dokumentacijo mora pred izdajo pregledati in potrditi pristojno osebje. Dokumentacija mora biti zapisana zgoščeno, razumljivo in mora biti enolično označena, da je mogoče spremljati različne različice dokumentacije. Dostop do dokumentacije mora imeti vedno samo osebje kateremu je namenjena. Dokumentacijo je treba stalno pregledovati in vzdrževati v skladu z zaznanimi potrebami po spremembah, ki so osnovane na analizi tveganja.
B UPORABA ORODIJ ZA PODPORO SISTEMU INFORMACIJSKE UARNOSTIISO/IEC17799 IN BS 7799-2
Dokumentacija, ki se zahteva v okviru standarda BS7799-2 je lahko v katerikoli obliki, vendar je vzdrževanje in ustrezno menjavanje papirnih različic zahtevna in zamudna naloga, saj moramo zagotavljati, da zaposleni uporabljajo zadnje veljavne različice. Pogosto dostopanje do dokumentacije zahteva urejeno in jasno zapisano dokumentacijo in konsistenten pristop k izvedbi zagotavljanja dostopa do nje. Vzpostavitev in upravljanje takšnega sistema za varovanje informacij v skladu s standardom BS 7799 je bistveno lažje, hitrejše in cenejše z uporabo orodij, ki omogočajo upravljanje dokumentacije v zvezi z varovanjem informacij v skladu z zahtevami standarda ter olajšajo postopek morebitnega certificiranja [14].
Na tržišču se pojavlja kopica orodij, ki omogočajo podporo vzpostavitve SUIV. V grobem jih delimo na dve skupini: orodja za izdelavo ocene tveganja in izbor nadzorstev ter orodja za upravljanje dokumentacije SUIV in celotnega upravljavskega procesa. V prvo skupino orodij spadajo analitična orodja, kot je CRAMM, RA Softvvare, Cobra in mnogo drugih. Načeloma je za uporabo teh specializiranih orodij v organizaciji treba zaposliti strokovnjaka, ki se bo usposobil za uporabo tovrstnega orodja, saj zahteva dobro poznavanje orodja in izgradnjo kompleksnih modelov tveganja. V drugo skupino spadajo orodja, ki imajo tudi že vgrajene sisteme za analizo odstopanj od priporočil standarda, njihova glavna namembnost pa je upravljanje celotnega življenjskega cikla SUIV. Omenjenih orodij je na tržišču manj, eno prvih pa je bilo razvito na slovenskem tržišču v Hermes SoftLab. Orodje z imenom Poslovni ŠČIT omogoča vpeljavo in vodenje upravljavskega sistema za informacijsko varnost po BS 7799. Tudi orodja za izdelavo ocene tveganja so zelo koristna v fazi delovanja SUIV in bi jih lahko učinkovito kombinirali s sistemi za upravljanje SUIV. Ker pa so orodja za oceno tveganj navadno draga in je mogoče kvalitativno oceno tveganja dovolj hitro in kakovostno izdelati ročno, uporabnikom ni nujno potreben nakup teh orodij.
V nadaljevanju se bomo osredotočili predvsem na lastnosti orodja Poslovni ŠČIT, saj precej olajša delo pri upravljanju SUIV. Orodje Poslovni ŠČIT je primerno za vse vrste organizacij in oblike informacij, je popolnoma usklajeno z zahtevami standarda BS7799 (nadzor dokumentacije in upravljanje sprememb, upravljanje
korektivnih in preventivnih ukrepov) ter podpira vse faze pri vzpostavitvi in delovanju upravljavskega sistema. Vsebuje ogrodje za enostavnejšo vzpostavitev in upravljanje SUIV dokumentacije, orodja za analizo odstopanj ter tabele za analizo in upravljanje tveganja, smernice pri analizi tveganja in vzpostavitvi ustreznih nadzorstev. Lahko služi tudi kot osnova za dvig varnostne zavesti zaposlenih ter kot osnova za izobraževanje in usposabljanje zaposlenih s področja informacijske varnosti [12].
B.1 Zgradba in druge lastnosti orodja Poslovni ŠČIT
Poslovni ŠČIT sestavljata dva osnovna sklopa. Prvi omogoča izvedbo analize odstopanj od standarda, drugi pa je namenjen upravljanju dokumentov kot pomoč pri vzpostavitvi upravljavskega sistema za varovanje informacij.
Poslovni ŠČIT vsebuje že nekatere vnaprej pripravljene SUIV dokumente oziroma predloge, ki se nanašajo na informacijska sredstva in ocenjevanje tveganja, klasifikacijo zaupnosti dokumentov in sklop, ki se nanaša na upravljanje SUIV dokumentacije. Klasifikacija zaupnosti dokumentov je skladna z oznakami britanskega ministrstva za trgovino in industrijo (DTI). V praksi se je kot koristen pokazal vgrajen katalog z opredeljenimi grožnjami in ranljivostmi informacijski varnosti, s katerim si lahko bistveno pomagamo pri izdelavi ocene tveganja. Katalog so pripravili BSI strokovnjaki [10].
Glavne lastnosti orodja so:
. vnos in prikaz dokumentov SUIV ter njihove vsebine s pomočjo drevesno organiziranih kazal,
. upravljanje z dokumenti SUIV in njihovimi različicami
. digitalno podpisovanje in potrjevanje dokumentov s strani vodstva in vpletenih,
. upravljanje varnostnih incidentov (prijava, obravnava, korektivni ukrepi),
. upravljanje preventivnih in korektivnih ukrepov, . ugotavljanje stopnje odstopanja organizacije od standarda BS 7799 (angl. gap ana!ysis) s pomočjo vgrajenih vprašalnikov,
. grafični prikaz odstopanja.
. določanje pravic dostopa do dokumentacije za različne profile uporabnikov do različnih poslovnih področij in različnih nivojev zaupnosti . poslovni ŠČIT je dostopen prek medmrežja ali intraneta (odjemalec za dostop potrebuje internet brskalnik).
Prednosti uporabe orodja:
. olajša proces vzpostavitve SUIV v podjetju,
. olajša proces certificiranja,
. s pomočjo uporabe orodja lahko zmanjšamo stroške implementacije SUIV,
•	s pomočjo uporabe orodja lahko zmanjšamo časovno obdobje, potrebno za certificiranje po BS7799,
■ omogoča sledenje incidentov in ustvarjanje zapisov glede incidentov,
•	rezultati, ki jih pridobimo s pomočjo orodja za analizo odstopanja, omogočajo osnovo za hitre izboljšave,
. olajša proces vzdrževanja vzpostavljenega SUIV, nadgradnje in stalnega procesa izboljšav.
6.2	Analiza stopnje odstopanja organizacije od standarda IS017799 (angl. Gap Analysis) s pomočjo pametnih vprašalnikov
Analiza odstopanj je sestavljena iz desetih vprašalnikov, ki pokrivajo naslednja področja: politiko informacijske varnosti, organiziranost varovanja, razvrstitev in nadzor sredstev, varovanje v zvezi z osebjem, fizično in okolno varovanje, upravljanje s komunikacijami in obratovanjem, obvladovanje dostopa, razvijanje in vzdrževanje sistema, ravnanje z neprekinjenim poslovanjem, usklajenost [3].
Grafični prikaz rezultatov analize odstopanj omogoča uporabnikom Poslovnega ŠČITA celovit pregled nad varnostjo informacij in podlago za analizo ter ukrepanje.
Grafični prikaz (slika 3) rezultatov analize odstopanj je zasnovan tako, da barva stolpca (rdeča, zelena in različni odtenki oranžne barve) določa odstopanje od standarda, višina pa predstavlja pomembnost posameznega vprašanja.
Z rezultati analize odstopanja na nivoju celotne organizacije ali njenih delov pridobimo nazorno sliko stanja na področju informacijske varnosti in so v prvi vrsti namenjeni vodstvu organizacije. Rezultati so v pomoč tudi pri opredelitvi izboljšav obstoječega sistema in kot vodilo pri opredelitvi najbolj pomanjkljivih področij.
7 NAPAKE IN TEŽAVE PRI VPELJAVI SISTEMA UPRAVLJANJA VAROVANJA V ORGANIZACIJO
Najpogostejša napake pri implementaciji SUIV so nezadostno in sprotno izobraževanje na področju varnosti [9]. Treba se je zavedati, da je varnost neprekinjena dejavnost, za katero morajo biti odgovorni vsi zaposleni. Po besedah Humpreysa (soavtorja BS 7799
Slika 3: Prikaz zaslonske maske orodja Poslovni ŠČIT (graf z opredelitvijo odstopanj od IS017799)
standarda) je druga pogosta napaka, ki jo delajo podjetja, da varnost podatkov prepuščajo oddelku za informatiko. Za varnost nikakor ne more biti odgovorna le določena tehnična funkcija ali oddelek, saj gre za sistematičen proces, ki zadeva celotno organizacijo. Vzroki za delegiranje tako pomembne naloge izvirajo iz prepričanja, da informacijska tehnologija lahko reši vse težave, zato se je treba zavedati, da je tehnologijo mogoče uporabiti le za podporo tem postopkom, ter da tehnologija sama pa še ne pomeni varnosti informacij in ni primarni vir nadzora. V praksi se pogosto srečamo tudi z ovirami, kot so nezadostna zavzetost vodstva, neformalni pristopi k organiziranju varovanja, razkorakom med dodelitvijo virov in pričakovanji ter odsotnostjo funkcije neodvisnega preverjanja delovanja in urejanja varnosti v organizacijah.
Z varnostjo informacij se je treba spoprijeti na vseh ravneh poslovanja in se ji posvetiti na dnevni ravni. Ključnega pomena so stalni pregledi sistema in njegovo izboljševanje. Le na ta način lahko zagotavljamo varnost informacijskega sistema v vsakem trenutku, ne glede na spremembe, ki se odvijajo v procesih in sredstvih.
Ključni dejavnik uspeha vpeljave SUIV so zaposleni, ki morajo varnostno politiko sprejeti, vključno z upravo in vodstvom, ki morata še posebej z zgledi in
lastnim upoštevanjem napisanih pravil pokazati, da izdelana politika varovanja velja za vse.
Dostikrat se kot težava izkaže tudi preobsežna in neobvladljiva dokumentacija. Zelo hitro se lahko zgodi, da upravljamo z goro papirja, v katerem se težko znajdejo že njegovi avtorji, kaj šele ciljni zaposleni. Težave so tudi pri razdeljevanju dokumentacije med zaposlene. Rešitev omenjenih težav predstavlja uporaba referenčnega orodja pod točko 3.1.
8. IZDELAVA OCENE TVEGANJA JE ZA
MNOGE NAJTEŽJI DEL PRI VZPOSTAVITVI UPRAVLJAVSKEGA SISTEMA ZA VARNOST INFORMACIJ
Standard BS7799-2 predvideva 127 nadzorstev, ki so razvrščena v deset poglavij in namenjena doseganju 36 ciljev. Očitno je, da standard ni namenjen temu, da bi ga vzeli v roke in v svoje politike neposredno prepisali vsa nadzorstva. V ta namen standard zahteva izvedbo formalne ocene tveganja, ki je temeljna osnova za izbiro ustreznih nadzorstev ter za izdelavo varnostne politike, notranjih standardov in postopkov. Mnogim je ravno ta del najtežji del uvajanja standarda.
Standard ne predpisuje metodologije in načina ocenjevanja, izbira je prepuščena izvajalcu, vendar mora biti formalizirana, kar pomeni opredeljena,
zapisana, učinkovita, ponovljiva, izvajana in pregledana.
Cilj analize tveganja so racionalna in gospodarna poraba sredstva za varovanje informacij ter uvedba mehanizmov za zmanjševanje tveganja, s katerimi zmanjšamo možnosti pojava groženj ter nadziramo velikost izgube sredstev.
V praksi se pogosto pojavlja miselnost, da lahko tudi brez predhodno izvedene analize tveganja uspešno vpeljemo sistem varovanja. Na trgu se pojavljajo celo podjetja, ki ponujajo izdelavo krovne varnostne politike in treh elementarnih politik za zelo nizko ceno. Slednje lahko povzroči napačno razumevanje problematike nepoznavalcev in tistih, ki se področja lotevajo na novo. Opisani pristop nam lahko le navidezno prinese manjše stroške, zelo vprašljiva pa je učinkovitost in sploh smiselnost vpeljave takega sistema varovanja.
Mnogi se znajdejo pred vprašanjem, kako pravzaprav vpeljati sistem varovanja, kje se lotiti. Smiselno je pristopiti sistematično in uporabiti fazni pristop. Najprej izvedemo analizo trenutnega stanja, s katero pregledamo, katera od nadzorstev, ki jih priporoča standard, imamo implementirana v našem infor-
macijskem sistemu (to omogoča tudi referenčno orodje pod točko 6, ki z vgrajenimi posebnimi pametnimi vprašalniki omogoča izvedbo analize odstopanj). V drugem koraku se lotimo izvedbe analize tveganja, ki pove, ali je treba implementirati dodatna nadzorstva. Opisani pristop pomeni tudi smotrno ravnanje z viri, saj vemo, da varnostne rešitve lahko zahtevajo izdatna finančna sredstva. Tudi pri varovanju informacij je smiselno upoštevati princip 80/20. To pomeni, da najprej implementiramo tista nadzorstva, ki prinašajo 80 % koristi oziroma predstavljajo 20 % investicije. Začeti je treba pri preprostih in učinkovitih rešitvah. Ta nadzorstva pogosto zahtevajo izboljšanje ali spremembo postopkov, kar ne zahteva velikih finančnih sredstev, temveč predvsem čas, trud in vztrajnost. Zanimivo je, da META Group ocenjuje, da je ravno potreba po spremembi organiziranosti naj pogostejši vzrok, zakaj se podjetja ne odločajo za vpeljavo informacijske varnosti (slika 4) [6].
Odstotek, ki ponazarja organizacijske težave (63 %) bi bilo smotrno podrobneje analizirati in razdeliti v podskupine, kjer bi podrobneje ugotavljali vzrok težav (zaposleni, organiziranost podjetja, poslovna vizija organizacije, plačilna politika in drugo). Načeloma tudi
%
organizacijske težave
omejenost z viri
tehnologija v zasebni lasti (zaposleni, partnerji, stranke)
nezmožnost upravičiti naložbo
predgara podpora
kritičnost obstoječih aplikacij glede tveganj
ostalo
ni zahtevano s strani zakonodaje
samostoječe
63%
44%
22%
Slika 4: Razlogi za nezadostno vpeljavo infrastrukturnih rešitev informacijske varnosti (Vir: META Group 2003)
na področju uvajanja informacijske varnosti velik zaviralni dejavnik predstavljajo ljudje, ki so predvsem v togih organizacijskih strukturah nenaklonjeni spremembam in je zato uvajanje nove discipline in organizacijskih pravil lahko težavno.
9 VPELJAVA INFORMACIJSKE VARNOSTNE POLITIKE
Da bi razumeli poslanstvo varnostne politike, moramo najprej razumeti razliko med varnostno politiko, internimi varnostnimi standardi in varnostnimi postopki ter delovnimi navodili.
Varnostna politika daje odgovor na temeljno vprašanje »Zakaj naša organizacija sploh varuje svoje podatke?« Običajno imamo samo eno visokonivojsko varnostno politiko, kjer so zajeti cilji in strategija informacijske varnosti. Poleg krovne politike obstajajo še področne varnostne politike, ki se lahko nanašajo na različna poslovna področja, različne vire ali kritične procese. Varnostna politika navaja, kaj mora biti narejeno, kdo mora to narediti in zakaj.
Standardi organizacije dokumentirajo, kaj organizacija namerava narediti, da bi se varnost informacijskih sistemov implementirala in vzdrževala. Standardi določajo, kaj mora biti narejeno in kakšna varnostna nadzorstva so zahtevana, da se zaščiti informacijska varnost.
Postopki in delovna navodila natanko dokumentirajo, kako bo organizacija zahteve, določene v standardih in politikah, dosegla. Postopki določajo, kako morajo biti stvari narejene, kje, kdaj in kako je potreb-
politike
standardi
koliko
postopki
Slika 5 Relacije med varnostnimi politikami, varnostnimi standardi in varnostnimi postopki (Vir: Broderick S., 2003)
no politiko vpeljati v prakso. Postopki so hkrati tudi osnova za napisane nadzorne sezname (angl. Clieck-lists).
Slika 5 prikazuje razmerje med politikami, standardi in postopki.
9.1 Lastnosti in zgradba informacijske varnostne politike
Informacijska varnostna politika je nabor izbranih ukrepov za zaščito informacije. Uvedeni ukrepi morajo biti rezultat ocene tveganja, ki je določena na podlagi ranljivosti virov. Varnostna politika obsega strateške usmeritve varovanja in zaščite informacij, ne opisuje pa podrobnosti o izvajanju nadzorstev. V okviru vzpostavitve SUIV se predvideva pristop od zgoraj navzdol. Najprej izdelamo visokonivojsko varnostno politiko, kjer določimo obseg varovanja, na podlagi ocene tveganja pripravimo izjavo o primernosti nadzorstev, varnostne politike in šele nato definiramo ustrezna delovna navodila, standarde in postopke.
Shematsko zgradbo SUIV prikazuje slika 6.
Varnostna politika ščiti ljudi in informacije. Postavlja pravila za pričakovano obnašanje ljudi, sistemskih administratorjev, vodstva in varnostnega osebja. Varnostno osebje pooblašča za nadzor, raziskovanje, preiskovanje na način, ki je lahko zelo podoben početju hekerjev. Definira in avtorizira akcije, ki so posledica vdorov. Učinkovita politika vsebuje zadostno definicijo o tem, kaj mora biti narejeno, kako jo lahko definiramo ter merimo in vrednotimo.
visokonivojska\
<9 /---------------------------\%
^ / ocena tveganja \
upravljanje tveganja
področne varnostne politike
dokazi, informacijske varnostne politike in podporni dokumenti
Slika 6: Organiziranost SUIU (Vir: Thorp, 2004)
Varnostna politika mora iskati ravnotežje med nivojem dostopnosti do sistema in varnostjo. Nivo dostopnosti vključuje zmogljivost in enostavnost uporabe, varnost pa vključuje celovitost, razpoložljivost in zaupnost. Ti koncepti se ne nanašajo samo na računalnike in omrežje, temveč na celotno organiziranost.
V kolikor politika ni direktno povezana z realnimi potrebami in zahtevami organizacije, bo organizacija še nadalje izpostavljena tveganjem, kot da politike sploh ne bi bilo. Varnostna politika mora po obsegu biti sorazmerna z dejansko izmerjenimi tveganji. Politika predstavlja smernice, ki nakazujejo zavestno odločitev v zvezi s sprejetimi cilji. Politika mora biti učinkovita in realna glede želenih ciljev. Učinkovita in realna varnostna politika je ključ do učinkovite in dosegljive varnosti. Na praktično vsakem z varnostjo povezanem seminarju je dobra varnostna politika omenjena kot nujna osnova za ukrepe in procedure. Moramo razumeti, kaj pomeni politika, ker se v zvezi s tem pojavlja veliko nasprotujočih si definicij.
Varnostna politika bi morala vsebovati prepričanje vodstva o tem, kakšen vpliv imajo informacije na poslovanje podjetja. Politika bi morala tudi jasno povedati:
. Zakaj je informacija strateškega pomena za organizacijo?
. Kakšne so poslovne zahteve za informacijsko varnost organizacije?
. Kakšne so pogodbene obveznosti v zvezi z varnostjo informacij, ki se nanaša na poslovne procese, informacije, ki jih zbiramo od svojih zaposlenih, kupcev?
. Katere korake bo organizacija ubrala, da se zagotovi informacijska varnost?
9.2	Vsebina in struktura informacijske varnostne politike
Menja o tem, kako najbolj pravilno napisati varnostno politiko, se med strokovnjaki za informacijsko varnost precej razlikujejo. Razlike gredo vse od tega, koliko strani naj politika obsega, katere točke mora vsebovati, do tega, kako obsežna in celo kako podrobna naj bo. BSI je na temo strukture in obsega informacijske varnostne politike podal skromne okvire. Na zadnjem sestanku presojevalcev in izvedencev BS7799 je bila tematika informacijske varnostne politike resno obravnavana. Izkazalo se je, da različna podjetja različno prakticirajo število in dolžino politik (koliko strani obsega). Številke so se gibale od 1-20.
Iz navedenih razlogov je bistvenega pomena, da se strokovna javnost zedini in posvetuje glede odprtih vprašanj na tem področju in osnuje najboljšo prakso. Slovenija ima zaradi svoje majhnosti še posebno veliko specifik in se teže opira na prakso razvitih držav, kjer majhno podjetje šteje 100-200 zaposlenih.
Pri pisanju varnostne politike se je koristno in smotrno opreti na najboljšo prakso. Zato navajam priporočila SANS Institute, ki so hkrati tudi priporočila mnogih drugih institucij, po katerih naj varnostna politika vključuje naslednje tipične elemente [7J:
1.	Namen: pojasnjuje razloge, zaradi katerih je bila politika ustvarjena.
2.	Povezani dokumenti: našteva vse dokumente (ali druge politike), ki vplivajo na vsebino te politike.
3.	Preklic: identificira katerokoli obstoječo politiko, ki je bila preklicana z nastankom te politike.
4.	Ozadje: zagotavlja obsežno informacijo o tem, zakaj je politika potrebna, poudari pomen informacijske varnosti.
5.	Obseg: pojasnjuje, katera področja politika pokriva (celotna organizacija ali njeni deli).
6.	Izjava: določa dejanske principe oziroma kaj mora biti narejeno, da se zagotovi želeni nivo varnosti.
7.	Akcije: navaja, katere akcije so potrebne in kdaj morajo biti izvršene.
8.	Odgovornost: navaja, kdo je odgovoren za kaj.
9.	Lastništvo: navaja, kdo je sponzor politike in od koga dobiva pooblastila, prav tako navaja, kdo lahko spreminja politiko.
K temu bi lahko dodali še:
Opredelitev pojmov: opredeljuje osnovne pojme v zvezi z informacijsko varnostjo.
Definicija informacijske varnosti: opredeljuje, kaj za podjetje pomeni varnost informacijskih sistemov. Cilji: opredeljuje cilje varovanja.
Postopki poročanja: opredeljuje, komu se poroča v zvezi z varovanjem informacij.
Sankcije: opredeljuje, kakšne so sankcije neupoštevanja politike.
Viri: nahajališče politike in zadnje verzije.
Nekateri strokovnjaki zagovarjajo tudi izdelavo visokonivojske varnostne politike, kot ga predlaga BS7799-2:2002 standard v točki: 4.2.1 a in b. Vendar se ta pristop v praksi redkeje uporablja.
Obstajajo štiri pravila, po katerih preverite ustreznost vaše obstoječe politike. Preveriti morate [7|: e Ali je konsistentna in usklajena z visokonivojsko varnostno politiko in smernicami?
« Ali je dolgoročno perspektivna in s tem neobčutljiva na spremembe?
■ Ali ima določen terminski načrt za pregled in je trenutno veljavna?
b Ali je hitro in brez težav dostopna vsem, ki jim je namenjena?
Pri preverjanju ustreznosti obstoječe politike ali
snovanju nove politike se lahko poslužujete sledečih
devetih korakov.
Korak 1: Preverite, da varnostne politike vsebujejo najbolj splošne elemente. Preglejte zgoraj predlagane elemente in preverite, kaj manjka v vaši politiki. Različne organizacije imajo različno vsebino politik in uporabljajo različno terminologijo za opis specifičnih področij. V praksi ni smiselno vključiti vseh postavk, temveč predvsem tiste, ki so za organizacijo relevantne in omogočajo organizaciji učinkovite smernice. Npr. vsi v organizaciji morajo vedeti, katero politiko morajo upoštevati.
Korak 2: Preglejte, če je varnostna politika jasno in zgoščeno napisana. Najlažji način, da preverimo jasnost politike je, da intervjuvamo odgovorno osebje o tem, ali razume in se strinja z vlogami, opredeljenimi v politiki.
Korak 3: Preglejte, če je zgoščena in jedrnata. Področna varnostna politika ne bi smela preseči dveh strani. Mnogo organizacij jo omeji na eno stran. Zalo pogosto bo politika vključno z izjavo obsegala en stavek. Ne smemo pozabiti, da je to politika, ne delovno navodilo. Mora biti opisano, kaj je zaželeno o neki določeni stvari, ne pa kako naj bo to izvedeno.
Korak 4: Preglejte, če je realistična. Politika od ljudi ne bi smela zahtevati, da izvršijo nekaj, kar ni možno ali se ne sme izvršiti. To se zlahka zgodi, kadar politika presega svoje okvire in se spušča globlje od smernic in napotkov ter začenja razlagati izvedbene podrobnosti.
Korak 5: Preglejte, če zagotavlja zadostna navodila o tem, katere procedure se morajo na podlagi politike definirati. Preverite, če politike omogočajo zadostno osnovo za razvoj specifičnih postopkov. Če imate politiko povezave do medmrežja, morate biti na podlagi te sposobni razviti postopke, ki vam omogočajo napotke za nastavitve požarnega zidu. Postopki so tudi osnova za nadzorne liste. Pisanje politik in nadzornih list predstavlja dodatno delo, zato je včasih to za mnoge tudi nadležna naloga. Mnogo organizacij ima enega ali dva zaposlena, ki
sta sposobna konfigurirati sisteme, požarne zidove in usmerjevalnike. Ampak kaj se zgodi, ko to osebje ni dostopno ali ko je minilo že več mesecev, odkar so nastavili določen sistem? Če je pomembno, da stvari izvedemo prav, je pomembno tudi, da za to obstaja in se upošteva določen nadzorni seznam. Korak 6: Preglejte, ali je konsistentna in usklajena z visokonivojsko varnostno politiko in smernicami? Če ugotovite neskladje med področno politiko in visokonivojsko varnostno politiko, si to zabeležite, ko boste morali spremeniti tako, da bo politika imela pomen. Politika mora biti usklajena tudi z veljavno zakonodajo. Vse ugotovljena odstopanja se morajo nemudoma popraviti.
Korak 7: Preglejte, ali je pripravljena na dolgi rok in je neobčutljiva na spremembe. Vse politike, vključno z varnostno, morajo biti relativno stabilne, tako da so njene spremembe potrebne le izjemoma. Posledica tega je, da so usmerjene v prihodnost. Varnostna politika ne bi smela biti vezana na tehnologijo ali ljudi, celo ne na trenutno organiziranost in poslovne procese. Npr. odgovornosti politike morajo biti vezane na vloge in ne na posameznike. Ne sme biti specifična za programsko, strojno in drugo tehnološko opremo.
Korak 8: Preglejte, ali se politika redno pregleduje, da se zagotovi ažurnost. Politika bi morala biti redno pregledovana. Pregledi in uvajanje morajo odsevati izkušnje, ki so bile pridobljene v okviru realiziranih incidentov in novih groženj, ki pretijo informacijski varnosti. Postopki, izvedeni iz politike, so posebno odporni na spremembe, medtem ko se tehnologija in področje varnosti hitro spreminjata. Korak 9: Preglejte, ali je hitro in brez težav dostopna vsem, ki jim je namenjena? Varnostna politika mora biti vgrajena v priročnike zaposlenih in objavljena za referenco. Morala bi biti zahtevana kot obvezno branje za novo zaposlene. Da bi bili skladni s politiko, morajo biti tisti, ki jo morajo poznati, z njo seznanjeni, jo razumeti in biti seznanjeni tudi s tem, kako ukrepati v primeru nejasnosti in biti zavezani k njenemu izvajanju. Če ne morete meriti skladnosti, je politika neizvedljiva.
9.3	Informacijska varnost zahteva dobro trženje znotraj podjetja
O potrebi po konsistentnem izvajanju zaščitnih ukrepov, postopkov in standardov je potrebno stalno osveščati vse ravni podjetja. Če varnostne politike ne
bodo sprejeli zaposleni, ne bo nikoli zaživela v praksi. Zato je interni marketing informacijske varnosti pri uspešni vpeljavi SUIV ključnega pomena. Vpeljava varnostne politike zahteva spremembo organizacijske kulture, kar je še posebej zahtevna naloga. Učinkovite organizacije se pri uvajanju informacijske varnosti poslužujejo tudi marketinga - hodnike organizacije in oglasne deske polepijo s posterji in brošurami ter organizirajo kratke tečaje tipa "how to" npr. kako izbrati dobro geslo, ter "why" - zakaj je dobro geslo pomembno. Marketing se lahko izvaja tudi z drugimi mehanizmi, ki so npr. vzpostavitev varnostnega foruma, novic na intranetu, e-izobraževanje in uporaba elektronske pošte za obveščanje. Informacijska varnost mora postati stalna točka dnevnega reda na kolegijih in zborovanjih uprave. Poleg tega je v podjetju priporočljivo vzpostaviti tudi varnostni forum, ki redno obravnava tekoče probleme v zvezi z varnostno tematiko. Strokovnjaki priporočajo, da se izobraževanje o informacijski varnosti in varnostni forum vzpostavita v čimbolj zgodnji fazi življenjskega cikla projekta. Ko je SUIV vzpostavljen, postaneta marketing in ozaveščenost zaposlenih kritična za sodelovanje zaposlenih. Zaposleni bodo veliko bolje sprejeli sistem, če bodo vanj vpleteni že od začetka, saj bodo nanj lahko vplivali, podali predloge in morebitno nestrinjanje, kar bo povzročilo večji občutek povezanosti z novim sistemom.
Poleg tega podjetja v svetu ugotavljajo, da učinkovit marketing prispeva k večjim investicijam vodstva v informacijsko varnost, kar je predvsem pomembno v primeru zamenjave vodstva [11]. Pri vpeljavi kateregakoli ukrepa ali rešitve za informacijsko varnost se soočimo s potrebo po strinjanju vodstva (finančna in moralna podpora), kar pa se dostikrat izkaže kot izjemno zahtevna naloga. Vodstvo govori poslovni jezik in na področje informatike gleda predvsem s poslovnega vidika. Enako velja za področje varnosti in zaščito informacij. Iz tega izhaja potreba po vpeljavi učinkovitih pristopov k trženju informacijske varnosti znotraj podjetja. Od vodje informacijske varnosti (ali od pristojnega osebja, ki je zadolžen za projekt vpeljave varnosti informacij) se zahtevajo dobre komunikacijske veščine in sposobnosti opredelitve koristi in ne nazadnje tudi opredelitve ROI (angl. Re-turn On hmestmcnt). Bistveno se je usmeriti na poslovni učinek ter se izogniti pretirano kompliciranim in tehnično obarvanim razlagam. Področje informacijske varnosti je področje, kjer se najteže izkazuje donos-
nost investicij ali celo povečanje dobička [18]. Le ob pravilnih metrikah lahko ocenimo bistvene prednosti, ki jih prinaša, urejen, zanesljiv in varen informacijski sistem.
Veliko vodij informacijske varnosti v okviru internih marketinških pristopov skuša kot mehanizem za prepričevanje vodstva uporabiti številke o vdorih v organizacijah iste dejavnosti [11]. Vendar pa bi se morali pri prepričevanju vodstva in predstavitvi upravičenosti v naložbo usmerjati predvsem na analizo tveganja lastnega poslovnega sistema in analizo lastnih stroškovnih koristi ter svojo bazo preteklih incidentov. V praksi se izkaže, da mnogo podjetij ne zbira podatkov o svojih incidentih in tako tudi nima ustrezne osnove za postavitev metrik. Tako zelo težko izračunamo ROI. Naj to prikažemo na primeru. Ena izmed od možnih formul za izračun ROI informacijske varnosti je sestavljena iz dveh delov pri kateri najprej izračunamo letno pričakovano izgubo [5]:
ALE = (R-E) + T
T - vrednost nakupa sistema za preprečevanje vdorov - IPS (angl. tntrusion Prevention Systeml E - vrednost, ki jo prihranimo s preprečitvijo vdorov na podlagi implementiranega IPS
R - stroški, ki jih imamo na leto v primeru realiziranega vdora oziroma stroški okrevanja
ALE - (angl. Annual Lost Expectancyl - Pričakovana letna izguba
Iz tega nadalje izračunamo donosnost investicij sistema za preprečevanje vdorov - (ali kako drugo implementirano kontrolo).
R - ALE = ROSI
Če v podjetju ne zbiramo podatkov o tem, koliko vdorov je v enem letu nastopilo in koliko smo jih uspeli preprečiti, je jasno, da po tej formuli vrednosti ROSI ne bomo uspeli izračunati. Zato se mnogi poslužujejo zunanjih raziskav o vdorih, vendar tudi to ne kaže, da bi bila prava pot. Na splošno je uporaba raziskav zunanjih institucij kot osnove pri določanju vrednosti investicij v varnost IS lahko le dopolnilo notranjim kazalcem. Potrebno se je zavedati, da so statistike dostikrat lahko zelo zavajajoče, saj običajno nimamo podatka o tem, katere organizacije so bile vanje zajete (velikost organizacij, struktura anketiranih, položaj anketiranih v podjetju) [4). Potrebno je
upoštevati tudi dejstvo, da večina organizacij, ki zbira podatke o vdorih in stanju varnosti le-te tudi skrbno skriva in so zato statistike lahko izkrivljene.
10 SKLEPNA MISEL
Informacijska varnost je pomembna, saj je od nje lahko odvisna prihodnost našega poslovanja. Pri vzpostavitvi sistema varovanja in zaščite informacij se je smiselno in koristno opreti na veljavne standarde kot je BS7799. Standard med drugim vpeljuje uporabo konsistentnih principov, ki omogočajo sistematičen in celovit pristop k vpeljavi sistema varovanja v podjetje. Pri vpeljavi sistema varovanja v organizacijo so lahko v veliko pomoč računalniško podprti sistemi za vzpostavitev in upravljanje SUIV. Ključni dejavnik uspeha pri vzpostavitvi SUIV so zaposleni, ki so še vedno največji kritični dejavnik vsakega informacijskega sistema. Zato je posebej pomembno, da uspemo razviti tehnike in pristope za zagotavljanje osveščenosti vseh zaposlenih. Bistvo vzpostavitve sistema varovanja ni certificiranje, temveč njegovo delovanje, redno vzdrževanje, spremljanje in izboljševanje. Opisani pristop je edino zagotovilo, da bo sistem dolgoročno zagotavljal učinkovito in uspešno obrambo pred številnimi grožnjami ter ustrezno prilagodljivost v svetu nenehnih sprememb poslovnega, informacijskega in zakonodajnega okolja.
LITERATURA IN UIRI
[1]	Broderick S., PhD Symantec Security Services,
Information Security Policies, Standards and Procedures -Part 1, 2003.
[2]	BS 7799-2:2002: Information Security Management Systems - Specifications with guidance for use.
[3]	BS ISO/l EC 17799:2000: Information technology - Gode of practice for information security managementBroderick S., Information Security Policies, Standards and Procedures - Part 1., PhD Symantec Security Services, 2004.
[4]	Carsten C., Damage Statistics: More damage than statistics?, Security and Risk strategies, Delta 2982,
META Group, julij 2004.
[5]	CISM REvviev Manual, 2003, ISACA.
[6]	Enterprise Security Desk Reference, METAGroup, 2003.
[7]	Establishing a 7799 Information Security Management System , SANS Institute, 2004.
[8]	Humphreys T., Zmanjšati tveganje, SRC info, 2002.
[9]	HumpreysT., Angelika R, Information Security Management Systems; Information Security Risk Management VVorkshop, Bled 2003.
[10]	Interno gradivo Hermes SoftLab d.d., © 2002-2004.
[11]	Kosanovich M., Best Practices in Enterprise Security: Staffing, Marketing, and Justification, Global Networking Strategies, Delta 707, METAGroup 1999.
[12]	Predstavitev orodja za vzpostavitev SUIV v podjetju po BS7799:2002:2,
http://www.business-shield.com.. 12. 2. 2005].
[13]	Prihodnost BS7799, http://www.eammassl.co.uk/bs7799/ future.html. [1. 2. 2005].
[14]	Računalniško podprt upravljavski sistem za varovanje informacij, Rado Ključevšek, Marko Zebec Koren, INDO 2001.
[15]	Rudel D., Varovanje informacij v slovenskem zdravstvu, Varnostni Forum, 1.1, julij/avgust 2004.
[16]	Šalej A., Kako vzpostaviti sistem za uspešno in učinkovito varovanje in zaščito informacij?, INFO SRC.Sl, Letnik 35, 2003.
[17]	Thorp, C., Implementing IS017799: Pleasure or Pain?, Control Journal, Volume 4, ISACA; 2004.
[18]	Zupan L., Informacijska varnost - prestiž ali nujnost? SISTEM, 2004.
[19]	Zupan L., Slovenija skozi prizmo informacijske varnosti, Zbornik DSI 2004.
Lucija Zupan je zaposlena v Hermes SoftLab, d. d. kot svetovalka za informacijsko varnost. Na Fakulteti za organizacijske vede Univerze v Mariboru je leta 2000 diplomirala na smeri organizacijska informatika s področja informacijske varnosti, leta 2004 pa je magistrirala s področja analize in načrtovanja informacijskih sistemov leta 2004. Ključne delovne naloge in projekti, katerim se je v preteklem obdobju posvečala, so varovanje podatkov in informacijskih sistemov, analiza in načrtovanje informacijskih rešitev, strateško načrtovanje informatike v profitnih in neprofitnih organizacijah, e-izobraževanje s področja informacijske varnosti. Opravljen ima izpit za vodilnega presojevalca po BS7799 in je članica skupine presojevalcev in izvedencev s področja BS7799, ki deluje v Sloveniji pod okriljem SIGI. Obenem je članica mednarodnega združenja revizorjev informacijskih sistemov (ISACA - Information Systems Audit and Control Association) in redno spremlja dogajanje na področju informacijske varnosti.
Vabilo k udeležbi na
12. posvetovanju Dnevi slovenske informatike 2005 Kongresni center Grand hotel Bernardin, Portorož, 13.-15. aprila 2005
http://www.dsi-2005.org
dsi@drustvo-informatika.si
Spoštovani,
vabimo vas, da se nam pridružite na dvanajstem posvetovanju Dnevi slovenske informatike 2005, ki bo potekalo 13. do 15. aprila 2005 v prijetnem ambientu kongresnega centra Grand hotela Bernardin v Portorožu. Za vas pripravljamo zanimiv program pod sloganom Informatika kot temelj povezovanja, v okviru katerega bodo potekale okrogle mize, delavnice, študentski forum ter zanimivi prispevki domačih in tujih strokovnjakov s področij:
. integracije, prenove in informatizacije poslovnih procesov,
. metodologij in pristopov,
. podatkovnih tehnologij,
. informacijske podpore odločanju,
. strateških vidikov informatizacije,
. informacijskih rešitev,
. infrastrukture e-poslovanja,
. informacijske družbe,
. uporabe operacijskih raziskav in . informatike v javni upravi.
Na okroglih mizah bomo obravnavali povezovalno vlogo informatike pri prehodu na e-poslovanje, ugotavljali, kako postati uspešni v tujini, razmišljali o študiju informatike po bolonjskih načelih in se pogovarjali o uvedbi evra. V sklopu posvetovanja bo potekala tudi delavnica o strokovnem jeziku, študenti dodiplomskega študija informatike pa bodo svoje prispevke predstavili na študentskem forumu. Ne smemo pa pozabiti na že tradicionalno dobro obiskane večerne družabne dogodke.
Preliminarni program, ažurne informacije in možnost prijave poiščite na spletni strani http://www.dsi-2005.org/, za vse dodatne informacije pa nam pišite na dsi@drustvo-informatika.si.
Nasvidenje v Portorožu!
Organizatorji:
Slovensko društvo INFORMATIKA IPMIT Ljubljana
GZS - Združenje za informatiko in telekomunikacije INFOS, d. o. o.
Okrogle mize
na posvetovanju Dnevi slovenske informatike 2005
Vsebinska izhodišča
V okviru posvetovanja, katerega osnovna tema bo informatika kot temelj povezovanja, bodo potekale štiri okrogle mize, katerih vsebino in paneliste predstavljamo v nadaljevanju. Namen predstavitve je vnaprej informirati in spodbuditi bralce, potencialne udeležence, k pripravi in posredovanju vprašanj panelistom okroglih miz.
1.	Povezovalna vloga informatike pri prehodu na e-poslovanje
Vodi: prof. dr. Andrej Kovačič, Univerza v Ljubljani, Ekonomska fakulteta
Informatika postaja pomembna pri povezovanju podjetij in drugih organizacij (predvsem uprave) pri e-poslovanju. Za to je potrebna sprememba in prilagoditev poslovne strategije in poslovnega modela, prenova in integracija poslovnih procesov ter prilagoditev in uvedba novih (celovitih) programskih rešitev. Spreminja se tudi vloga službe za informatiko.
Nekaj vprašanj za razpravo:
1.	Uspešnost zagotavljanja povezljivosti v poslovnem okolju. Vloga države (npr. e-uprava), GZS (npr. e-slog) ... Kako daleč smo, morebitne težave?
2.	Možnosti e-uprave na področju neposrednega zagotavljanja storitev občanom in povezovanja s podjetji. Kako zagotoviti dejansko, na poslovnih transakcijah temelječo e-upravo?
3.	Kako daleč smo na področju neposrednega povezovanja s kupci in dobavitelji v proizvodnih podjetjih, v trgovini... Kakšno je stanje pri nas in kako razvijati koncepte oskrbovalnih verig (SCM) in upravljanja odnosov s partnerji (CRM, SRM ...)? Dilema: EDI ali internet? Standardizacija šifrantov, e-dokumentov ...
4.	Kakšna je dejanska vloga informatike pri prenovi poslovnih procesov podjetja, ki jo narekuje povezovanje in prehod na e-poslovanje?
Panelisti:
. dr. Andrej Kovačič, profesor in predstojnik Inštituta za poslovno informatiko, Univerza v Ljubljani, Ekonomska fakulteta . Franc Kodela, direktor informatike, Mercator, d. d.
. Andja Komšo, vodja sektorja za informatiko, Davčna uprava RS . Gorazd Perenič, državni sekretar, Ministrstvo za javno upravo . Tomaž Poznič, direktor službe za organizacijo in informatiko, BSH, Nazarje . Dušan Zupančič, GZS
. Edo Zukanovič, direktor službe za organizacijo in informatiko, Iskra ISD
2.	Uvedba evra
Uodi: mag. Andreja luartnik Kanduč, Združenje za informatiko in telekomunikacije pri Gospodarski zbornici Slovenije
Z odločitvijo za vstop Slovenije v EU je bila sprejeta tudi odločitev za prevzem evra. Slovenija je 28. junija 2004 vstopila v sistem menjalnih tečajev ERM2, ki predstavlja enega izmed petih konvergenčnih kriterijev za prevzem evra. Centralni tečaj tolarja je fiksiran in znaša 239,640 SIT/EUR, z možnostjo nihanja +/-15 %. Predvstopno obdobje se začne z odpravo dero-gacije in objavo tečaja, po katerem se bo tolar zamenjal z evrom in traja do uvedbe evra. Banka Slovenije pričakuje, da bo odločitev o prevzemu evra stopila v veljavo 1.1. 2007.
Uvedba evra zadeva podjetja v tehničnem smislu prilagoditve, evro pa bo vplival tudi na strateške funkcije podjetja. Tako bodo podjetja iskala odgovore na naslednja vprašanja:
. Enotni trg
-	nove tržne možnosti (novi produkti, novi konkurenti)
-	spremembe v bazi kupcev spremembe v bazi dobaviteljev
-	e-trgovina (internet)
-	infrastruktura
. Poslovna vprašanja
-	cenovna politika
-	preglednost cen
-	dvojne cene
-	obveščanje kupcev
-	obveščanje dobaviteljev
-	poslovno izobraževanje
•	Operativna vprašanja
-	računovodstvo
-	pravo
-	davki
-	zakladništvo
-	nabava
-	notranja revizija
-	upravljanje človeških virov
To je velik izziv, pred katerega so postavljena informacijska podjetja, ki bodo sodelovala pri uvajanju evra v slovensko gospodarstvo.
Panelisti:
•	mag. Andreja Ivartnik Kanduč, Združenje za informatiko in telekomunikacije pri GZS, vodja panela . Maja Ferlinc, Gospodarska zbornica Slovenije
. Darko Bobneč, viceguverner, Banka Slovenije
•	Jože Kranjc, direktor oddelka Informacijska tehnologija, Banka Slovenije
•	Zoran Jurij Tomsits, inšpektor IT v oddelku za Nadzor bančnega poslovanja, Banka Slovenije
3.	Kako postati uspešni v tujini
Kodi: mag. Andreja Ivartnik Kanduč, Združenje za informatiko in telekomunikacije pri Gospodarski zbornici Slovenije
Ali lahko slovenska podjetja s področja IT postanejo uspešni izvozniki svojih rešitev in storitev? Glede na to, da je slovenski IT že v letu 2003 ustvaril približno 16,3 % vseh prihodkov v tujini, je odgovor verjetno DA. Vprašanje je seveda, kako in v kolikšni meri se bodo slovenska podjetja IKT usmerila v izvoz. Na okrogli mizi bomo poskusili osvetliti uspehe nekaterih naših podjetij, ki jim je na tujih trgih že uspelo. Preverili bomo, kakšno vlogo lahko odigrajo multinacionalke pri prodoru na tuje trge. Podjetja združena v sekciji KODA si bodo povedala, kako so združila sile in kakšne načrte imajo za prodor na tuje trge. Predstavnike države pa bomo povprašali, kaj načrtuje država za spodbujanje visokotehnološkega izvoza.
Namen okrogle mize je osvetliti obstoječe možnosti izvoza IT. Pri tem bomo dali glavni poudarek na primere dobrih praks in poskusili odgovoriti na vprašanja, ki se ob tem porajajo. Zakaj jih ni več? Kaj narediti, da bo prišlo do preboja? Kaj lahko naredimo sami in kako lahko okolje pripomore k temu, da postane slovenski IT izvozno pomembna veja gospodarstva.
Panelisti:
. mag. Andreja Ivartnik Kanduč, Združenje za informatiko in telekomunikacije pri GZS, vodja panela . Vasja Herbst, ORACLE Softvvare, d. o. o.
•	Franci Mugerle, MAOP računalniški inženiring, d. o. o. Ljubljana . Rudi Bric, Hermes SoftLab
. Andrej Mertelj, DATALAB Tehnologije, d. d.
•	Tomaž Pečar, Euro Plus, d. o. o.
. Matej Kranjc, Agencija RS za gospodarsko promocijo Slovenije in tuje investicije
4.	Bolonjski študij informatike in potrebe delodajalcev
Uodi: prof. dr. Dušan Lesjak, Fakulteta za management, Univerza na Primorskem
Bolonjski proces ne pomeni zgolj formalnega prilaganja obstoječih študijskih programov bolonjskemu modelu 3+2 oz. 4+1, ampak je to predvsem priložnost za njihovo vsebinsko prenovo oz. razvoj, ki mora imeti pred očmi kompetence diplomantov in njihove zaposlitvene možnosti. Zaradi tega morajo snovalci študijski programov upoštevati dosežke razvoja informacijske in komunikacijske tehnologije, vpliv teh dosežkov na trg dela oz. potrebe delodajalcev. Vsi skupaj, snovalci študijskih programov, diplomanti kot tudi delodajalci pa so med drugim izpostavljeni tudi procesom globalizacije.
Nekaj vprašanj za razpravo:
1.	Kako vpliva razvoj in dosežki informacijske in komunikacijske tehnologije na dela, za katera so odgovorni informatiki?
2.	Kako vpliva proces globalizacije in vključevanja Slovenije v EU na dela, za katera so odgovorni informatiki?
3.	Kakšne znanja, izkušnje, spretnosti, kompetence morajo imeti diplomanti študijskih programov informatike, da bodo čim bolj zaposljivi?
4.	Kako »daleč« ste glede razvoja študijskih programov z vidika bolonjskega procesa? Kakšne izkušnje ste si pridobili?
5.	Kako ste v razvoj študijskih programov po Bologni vključili zahteve trga dela?
6.	Ali je mogoče na področju informatike slediti naslednji usmeritvi bolonjskega procesa: »Nacionalne sredine naj bi ob enotnih vsebinah ohranjale (vsebinske) posebnosti«?
7.	Kakšna bo prepoznavnost diplomantov 1. stopnje na trgu dela (3- oz. 4-letni študijski programi informatike s področja družboslovja, tehnologije) in njihova zaposljivost?
Panelisti:
•	dr. Dušan Lesjak, profesor, Univerza na Primorskem, Fakulteta za management, vodja panela
•	dr. Jurij Jaklič, profesor, Univerza v Ljubljani, Ekonomska fakulteta
•	dr. Janez Bešter, profesor, Univerza v Ljubljani, Fakulteta za elektrotehniko
. dr. Vladislav Rajkovič, profesor, Univerza v Mariboru, Fakulteta za organizacijske vede
•	mag. Mark Štemberger, samostojni poslovni svetovalec
> Franci Mugerle, direktor, MAOP računalniški inženiring, d. o. o.
Prosimo vas, da vprašanja z oznako zaporedne številke okrogle mize pošljete na e-naslov jasna.Dozenel@ipmit.si. Lahko navedete tudi ime in primek panelista, od katerega pričakujete odgovor.
KOLEDAR PRIREDITEV
DSI 2005 - Dnevi slovenske informatike	13.-15. apr. 2005	Portorož, Slovenija	htto://www.dsi-2005.ora dsi@drustvo-informatika.si
MCCSIS 2005 - Virtual Multi Conference on Computer Science and Information Systems	11.-29. apr. 2005		htto://www.iadis.oro/multi2005
IPSI-2005 France	23.-26. apr. 2005	Carcassonne, Francija	
IPSI-2005 Spain	28. apr,—1. maj 2005	Costa Brava, Španija	
2005 ACM International Conference on Computing Frontiers	4.-6. maj 2005	Ischia, Italija	httD://www.comoutinafrontiers.ora/
ISCA 2005 - 32nd International Symposium on Computer Architecture	4.-8. jun. 2005	Madison, VVisconsin, ZDA	htto://www4.ncsu.edu/~efa/wca2005.html
2nd International Symposium on Remote Engineering and Virtual Instrumentation	30. jun-1. jul. 2005	Brasov, Romunija	htto://www.online-lab.net/rev
VVCCE 2005 - VVorld Conference on Computers in Education	4.-7. jul. 2005	Južna Afrika	htto://www.wcce2005.ora.za
IPSI-2005 USA	7.-10. jul. 2005	Cambridge, Massachusetts, ZDA	
VVMSCI 2005 - 9th VVorld Multi-Conference on Systemics, Cybernetics and Informatics	10.-13. jul. 2005	Orlando, Florida, ZDA	htto://www. iiisci ,ora/sci2005
IPSI-2005 ltaly	27. jul.-1. avg. 2005	Loreto Aprutino, Italija	
EURO-PAR 2005 - TOPIČ 7 - Parallel Computer Architecture and ILP	30. avg.-2. sep. 2005	Lizbona, Portugalska	htto://euroDar05.di.fct.unl.nt/ eurooar05@di.fct.unl.nt
AADEBUG 2005 - Bth International Symposium on Automated and Analysis-Driven Debugging	19.-21. sep. 2005	Monterey, Kalifornija, ZDA	htto://www.cs.nmsu.edu/aariehiia/
PACT 2005 - 14th International Conference on parallel Architectures and Compilation Technigues	17.-21. sep. 2005	Saint Louis, Missouri, ZDA	htto ://oactconf. ora/oact05
International Conference on Compilers, Architecture and Synthesis for Embedded Systems	24.-27. sep. 2005	San Francisco, Kalifornija, ZDA	httn://www.casesr,onference.nra
Včlanite se v Slovensko društvo INFORMATIKA
Pristopna izjava
Želim postati član Slovenskega društva INFORMATIKA
Prosim, da mi pošljete položnico za plačilo članarine 8.040 SIT (kot študentu 3.480 SIT) in me sproti obveščate o aktivnostih v društvu. V članarini je upoštevan DDV v višini 20 %.
time in priimek, s tiskanimi črkami)
(poklic)
(domači naslov in telefon)
(službeni naslov in telefon)
Ielektronska pošta1
Datum:	Podpis:
Članarina 8.040 SIT vključuje revijo Uporabna informatika. Študenti imajo posebno ugodnost: plačujejo članarino 3.480 SIT - in za to prejemajo tudi revijo.
Izpolnjeno naročilnico ali pristopno izjavo pošljite na naslov:
Slovensko društvo INFORMATIKA, Vožarski pot 12, 1000 Ljubljana.
Lahko pa izpolnite obrazec na domači strani društva: http://www.drustvo-informatika.si
Naročilnica na revijo UPORABNA INFORMATIKA
Revijo naročam(o) EU s plačilom letne naročnine 8.000 SIT
I I izvodov po pogojih za podjetja 20.000 SIT za eno letno naročnino in 14.000 SIT za vsako nadaljnjo naročnino n po pogojih za študente letno 3.500 SIT V cenah je upoštevan DDV v višini 8,5 %.
(ime in priimek, s tiskanimi črkami)
(podjetje)
(davčna številka)
(ulica, hišna številka)
(pošta)
Datum
Podpis
Naročnino bomo poravnali najkasneje v roku 8 dni po prejemu računa.
INTERNET
Vse bralce revije obveščamo, da lahko najdete domačo stran društva na naslovu: http://www.drustvo-informatika.si
Obiščite tudi spletne strani mednarodnih organizacij, v katere je včlanjeno naše društvo: IFIP www.ifip.or.at, ECDL: www.ecdl.com, CEPIŠ www.cepis.com

Popoln
E-Business Suite
Trženje
Projekti
Prodaja
Finance in
računovodstvo	Ena
baza
Kadri	podatkov
Naročanje
Nabava
Storitve
Oskrbovalne verige
Proizvodnja
Vse aplikacije zasnovane enotno. Vse informacije na enem mestu.
ORACLE"
www.oracle.si
NARODNA IN UNIVERZITETNA KNJIŽNICA
920064729,1
COBISS O
B Razprave
Marko Štrukelj, Marko Bajec
Primerjava tehnologij ADO.NET in Hibernate
Boštjan Keber, Marjan Krisper, Tomaž Gornik
Ogrodje poslovnih sistemov ponudnikov storitev
Tone Vidmar
Vpliv razvoja komunikacij na integracijo informacijskih storitev
Aleš Groznik, Dejan Vičič
Pomen informatike pri prevzemih in združevanju podjetij
B Rešitve
Lucija Zupan
Zahteve za uspešno vpeljavo standarda BS7799-2 za področje informacijske varnosti
B Obvestila | Koledar prireditev
ISSN 1316-1685