Upload
gergely-horvath
View
684
Download
1
Embed Size (px)
DESCRIPTION
hungarian introduction to it controls, maturity model
Citation preview
ISACA ISACA ®®
The recognized globalThe recognized global
leaders in IT governance,leaders in IT governance,
control and assurancecontrol and assurance
ISACA szabványok, tanúsítványokISACA szabványok, tanúsítványok
és a hazai gyakorlat és a hazai gyakorlat
Horváth Gergely Krisztián, CISA
Elnökségi tag
Információrendszer Ellenőrök Egyesülete
(ISACA)
Miről lesz szó?
• ISACA és a szakértői tanúsítványok
• Kontroll fogalma
• COBIT
• Érettségi modell az önértékelésben
• További módszertani anyagok
ISACA Nemzetközileg
• 1969-ben alapították: EDP Auditors Association,
• 1978-ban elindul a CISA (nemzetközi IT audit szakember vizsga),
• Több, mint 86,000 tag világszerte 160 országban,
• Több, mint 175 tagozat 70 országban.
ISACA Magyarországon
• 1991-ben alakult, mint Információ-
rendszer Ellenőrök Egyesülete
• 300-nál több tag:
– 60 CISM
– 240 CISA
– 20 CGEIT
CISA, CISM és CGEIT
vizsgák
• A CISA és a CISM vizsga 200 feleletválasztós (teszt) kérdés, 4 óra,
• A CGEIT vizsga 120 feleletválasztós (teszt) kérdésből, 4 óra,
• Gyakorlati tudást, és tapasztalatot tesztelik a kérdések.
• Mindig 1 legjobb választ kell 4 közül kiválasztani.
• Nemzetközileg elismert, keresett „papírok”
Kontroll - Definíció
A kontroll (COBIT):
mindazon szabályok, eljárások, gyakorlati
módszerek és szervezeti struktúrák,
amelyeket arra a célra terveztek, hogy kellő
megerősítést nyújtsanak arra vonatkozóan, hogy
az üzleti célkitűzéseket megvalósítják, és a nem
kívánatos eseményeket megelőzik, vagy
felderítik és korrigálják.
Kontrollok csoportosítása
Szervezeti kontrollok (tevékenységek)
Az IT szervezet tevékenységeibe vannak beépítve, a napi működés részei (pl. szoftver fejlesztési életciklus irányelvek)
Vezetői kontrollok (folyamatok)
Külön folyamatok az IT környezet menedzselésére (pl. Szolgáltatási megállapodás)
Technikai kontrollok (eljárások)
Számos különböző kontroll eljárás tartozik ide, melyek biztosítják az erőforrások titkosságát, sértetlenségét, és rendelkezésre állását. (pl. megfelelő erősségű jelszavak).
Megelőző (preventív)
A hibák, visszaélések megelőzését szolgálja
Feltáró (detektív)
A hibák, visszaélések felfedését szolgálja
Javító (korrektív)
A hibák, visszaélések következményeinek helyreállítását szolgálja
Kontrollok csoportosítása
• Informatikai kontroll típusok
– Általános kontrollok
– Folyamat kontrollok
– Alkalmazás kontrollok
• Megvalósításuk
– Automatizált vs. manuális kontrollok
– Adminisztratív kontrollok
– Szervezeti kontrollok
– Vezetői kontrollok
Kontrollok csoportosítása
Kontrollok elhatárolása
Kontroll keretrendszerek
Szabályozási és kontrollmodellek:
COSO:
Kontroll keretrendszerek alapja, Kockázat alapú ellenőrzések
A SOX, G8 által is hivatkozott kontroll keretrendszer a szervezet egésze számára
COBIT:
Nemzetközi (ISACA) IT irányítási és ellenőrzési legjobb gyakorlat, COSO-n alapul
IT specifikus modell (Érettségi szintek, Célmutatók, Teljesítménymutatók, Sikertényezők)
Szabályozások főbb területei:
Tervezés és szervezés, Beszerzés, fejlesztés és implementálás
Üzemeltetés, szolgáltatások, biztonság, Monitorozás, ellenőrzés
IT Balanced Scorecard – Kiegyensúlyozott Stratégiai Mutatószámrendszer:
Kulcsfolyamatok mérésén alapuló kontroll modell
Négy nézőpont egyensúlyára törekszik (működési kiválóság, felhasználó centrikusság, hivatali folyamatok támogatása, előrelátás)
COBIT: Control
Objectives for
Information and
related Technology –
Az információ és az
érintett műszaki
megoldásokra
vonatkozó kontroll
célkitűzések
IT Processes IT Processes
IT Management Processes IT Management Processes
IT Governance Processes IT Governance Processes
CobiT CobiT best practices repository for
IT Folyamatok
IT Menedzsment Folyamatok
IT Irányítási Folyamatok
COBIT COBIT Bevált gyakorlatok
gyűjteménye
CobiT
A vonatkozó jelentősebb nemzetközi szabványokra épít
Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa
Az üzleti / hivatali igényekből indul ki
Folyamat szemléletű
Segít megérteni, és kezelni az informatikai kockázatokat
Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez
CobiT
IT ERŐFORRÁSOK
IT ERŐFORRÁSOK
• Adat • Alkalmazások • Technológia • Létesítmények • Emberek
• Adat • Alkalmazások • Technológia • Létesítmények • Emberek
TERVEZÉS ÉS
SZERVEZET
TERVEZÉS ÉS
SZERVEZET
BESZERZÉS ÉS
RENDSZER
MEGVALÓSITÁS
BESZERZÉS ÉS
RENDSZER
MEGVALÓSITÁS
SZOLGÁLTATÁS
ÉS TÁMOGATÁS
SZOLGÁLTATÁS
ÉS TÁMOGATÁS
• Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre
állás • Megfelelés • Megbízhatóság
• Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre
állás • Megfelelés • Megbízhatóság
Kritériumok
MONITOROZÁS
CobiT
Kiknek szánták a COBIT-ot:
Vezetők: Segíti a kockázatok és a szükséges
mennyiségű kontrollok közötti egyensúly megtalálását
IT Szakemberek: Információt biztosítani egy kontroll
keretrendszerből
Felhasználók: Bizonyosságot szerezni a belső és külső
felek által nyújtott IT szolgáltatások biztonságáról és
szabályozottságáról
Információrendszer Ellenőrök: Megalapozni a
véleményüket, és/vagy tanácsokat adni a vezetés
számára a belső kontrollokról
CobiT
A módszertan felépítése:
Vezetői Összefoglaló – Felső vezetőket tájékoztatja a
fontos fogalmakról
Keretrendszer – Bemutatja a 34 magas szintű kontroll
célkitűzést
Kontroll Célkitűzések – A 318 kontroll célkitűzés
megvalósítása esetén elvárt eredmények leírása
Auditálási Útmutató – Javasolt ellenőrzési lépések
Implementációs Eszköztár – Sikeres alkalmazási
példák
Vezetői Útmutató – Önértékelés és teljesítmény mérés
CobiT felépítése
IT Folyamat érettség
önértékelés
• Önértékelés
– Mit mérünk? – Hol tartunk
– Hogyan mérjük? – COBIT érettségi modell
– Miért jó?
• Közös értelmezés, párbeszéd
• Kommunikáció (vezetők között, üzlet felé)
• Elvárt érettség, fontosság aktualizálása
0 1 2 3 4 5
Nincs Kezdetleges Ismételhető Szabályozott Irányított Optimalizált
Az intézmény jelenlegi státusza
Rövid távú terv
Iparági átlag
Stratégiai terv
A használt szimbólumok A fejlettségi szintek
0 - A menedzsment folyamat nem mindenre terjed ki
1 – A folyamatok véletlenszerűek, nem szervezettek
2 – A folyamatok mintákat követnek
3 – A folyamatok dokumentáltak és kommunikáltak
4 – A folyamatok mértek és monitorizáltak
5 – Automatizáltak és a bevált gyakorlatot követik
COBIT érettségi modell:COBIT érettségi modell:
Érettségi modell felépítése
0 – Nem létező A szervezet nem ismerte fel, hogy foglalkozni kell az IT
irányítással
1 – Kezdeti / Ad hoc jellegű A szervezet felismerte az IT irányítás szükségességét, de
reagáló jellegű
Hiányoznak a szabványos folyamatok
2 – Ismételhető, de ösztönös Az IT irányítással kapcsolatos kérdések tudatosultak
Tevékenység és teljesítménymutatókat használnak
Felső vezetői támogatás megvan
Egyes folyamatok már formalizáltak
Érettségi modell felépítése
3 – Szabályozott folyamat
Az IT irányítással kapcsolatos cselekvés szükségességét felismerték és elfogadták
Meghatározták az IT irányítás alap mutatószámait, és az eredmény és teljesítmény mutatók közötti összefüggéseket,
Az eljárásokat szabványosították, dokumentálták és bevezették
Adaptálták a kiegyensúlyozott informatikai stratégiai mutatószámrendszert a szervezetre
Érettségi modell felépítése
4 – Irányított és mérhető
Szervezet minden szintjén pontos ismeretekkel rendelkeznek az IT irányítás alapvető kérdéseiről (formális képzés)
Kötelezettségek világosak, vannak folyamatgazdák
IT folyamatok összhangban vannak a hivatali stratégiával, azokat fejlesztik
A folyamatokat alkalomszerűen fejlesztik
Érettségi modell felépítése
5 – Optimalizált
Az IT irányításra vonatkozó kérdések és megoldások korszerű és előremutató alkalmazása jellemző a szervezetre.
A folyamatokat a bevált gyakorlatok szintjére fejlesztették,
Elemzik az összes probléma és eltérések alapvető okát, meghatározzák és kezdeményezik a szükséges intézkedéseket,
Az IT kockázatokat meghatározták, kezelik és erről tájékoztatják a szervezet tagjait,
Bevonnak külső szakértőket, felhasználják az új eljárásokat,
Az IT stratégiai szinten kapcsolódik a szervezet vezetéséhez.
Érettségi modell felépítése
További ISACA kiadványok
• Igazgatótanácsi tájékoztató anyagok
• CobiT – Keretrendszer (Érettségi modell, RACI,
Kontroll eljárások)
• Informatikai irányítási útmutatók
• Quickstart – Kisvállalatok számára
• Alapvető biztonság, Biztonság üzleti modellje
• Auditálási Kézikönyv
• ISACA Szabványok, ajánlások, eljárásrendek
• ValIT
• COBIT összehasonlítások
1.5
Melléklet: Hivatkozások
• www.isaca.hu – Tudásbázis/Letöltés
• www.isaca.org - Downloads
• www.ffiec.gov
• www.aicpa.org
• www.theiia.org/guidance/technology/gtag/
• www.bemsz.hu
• www.pszaf.hu
• www.mszt.hu
• www.itsmf.hu
• info.cmmi.hu
Köszönöm a figyelmet!
Elérhetőségünk:
Horváth Gergely Krisztián, CISA
(30-555-1333)
Információrendszer Ellenőrök
Egyesülete
1024 Lövőház u. 20/a
Tel: 06-1-630-2042
• Drótposta: [email protected]
• Honlap: www.isaca.hu
• www.isaca.org