43
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku www.efzg.hr/mspremic [email protected]

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

  • Upload
    kendra

  • View
    64

  • Download
    0

Embed Size (px)

DESCRIPTION

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku www.efzg.hr/mspremic [email protected]. Teme. Računalni programi u provedbi revizije (CAAT alati) - PowerPoint PPT Presentation

Citation preview

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT

Ekonomski fakultet Zagreb

Katedra za informatiku

www.efzg.hr/mspremic

[email protected]

Teme

• Računalni programi u provedbi revizije (CAAT alati)• Primjena računalne podrške pri provedbi analitičkih testova• Provedba revizije informacijskih sustava• Metodologije i regulativa revizije informacijskih sustava (CobiT, ISO 27001, Sarbanes-Oxley, Basel II, ..)

Informacijske tehnologije (alati i tehnike) koje pomažu u pojedinim fazama provedbe revizije

• CAATTs – (Computer Assisted Audit Tools and Techniques) – računalom podržane tehnike i alati revizije

• CAATTs – (Computer Assisted Audit Tools and Techniques) – skup alata i tehnika koji se koriste u postupcima (bilo koje) revizije s ciljem efikasnijeg rada revizora i poboljšanja rezultata njihova rada o Softver kojega revizori koriste kako bi njihov rad bio brži, točniji i

efikasniji (analize podataka, provedba testova)o Alati koje revizori koriste kako bi postupci revizije bili učinkovitiji i

efikasniji - CAATs – (Computer Assisted Audit Tools)

• Računalni programi (računalno podržani alati i procedure) koji se koriste u reviziji pri provedbi analitičkih testova

Alati koji pomažu u revizijskim postupcima (CAA Tools)

•Alati za unaprjeđenje produktivnosti o e-dokumentacija, osustavi za komunikaciju, groupware, o suradnički sustavi, intranet, o referentne datoteke, o upravljanje dokumentacijom, osoftver za upravljanje projektima, osoftver za upravljanje vremenom

• Opći (generalizirani) revizijski softvero ACLo Komercijalni softvero Revizorski ekspertni sustavio Pomoćni softvero Statistički softver

Specijalizirani revizijski softver (pojedine djelatnosti, revizija informacijskih sustava, provjera sigurnosti, procjena sigurnosti mreže, forenzične revizije, itd.)

Tehnike koji pomažu u revizijskim postupcima (CAA Techniques)

• Tehnike za provjeru integriteta aplikacija o Sustavi za testiranje točnosti o Paralelne simulacijeo Testiranje cjelovitosti obradeo Ugrađeni revizijski moduli (embedded audit modules)o Analiza algoritma i programskog koda…

• Tehnike za provjeru integriteta podatakao Tehnike izdvajanja podatakao Test podacio Tehnike otkrivanja pogrešakao Tehnike provedbe neprekidne revizije (continuous auditing techniques)

Ciljevi korištenja CAAT-a za rad s aplikacijama

• Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)?

• Jesu li su evidencije korektno obrađene (konta)? • Jesu li su u transakcijskim bazama vidljivi učinci provedbe

transakcija (promjene nastale izvršavanjem aplikacija – poslovnih procesa)?

• Jesu li isti podaci na početku poslovanja i na početku programa?

• Kakav je pristup sustavu/aplikaciji?• Je li aplikacija / program bio mijenjan? • Je su li ulazni podaci potvrđeni i ispravni? • Postoji li ugrađeni revizijski modul?

Ciljevi korištenja CAAT-a za rad s podacima

• Jesu li podaci cjeloviti?• Uzorkovanje, analiza podataka, izvješćivanje•Sortiranje kontrola – traženje propusta u sortiranju (matični broj kupca, broj računa, ..), traženje ‘rupa’ u sekvencijalnim podacima• Evidencija duplikata (‘duplicate key’ test)• ‘gap detection’ kontrola – traženje ‘rupa’ u nizovima brojeva • Usporedba podataka• Ispitivanje i kontrola sadržaja podataka

o Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje iznimki (praznina, duplikata, ..), uzorkovanje, ..

• Potvrđivanje ispravnosti i cjelovitosti podataka

CAATT – koraci primjene

• Postaviti ciljeve revizije

•Odrediti koji CAAT alati i tehnike mogu pomoći ostvarenju ciljeva revizije

• Odrediti koje podatke i datoteke trebamo od klijenta

• Odrediti format podataka primitka podataka

• Zatražiti podatke od klijenta

• Ubaciti podatke (‘import’) u revizijski softver (npr. ACL, IDEA)

• Koristiti CAAT za provjeru cjelovitosti prijenosa podataka

• Obaviti specifične CAAT obrade kojima se postižu ciljevi revizije

• Istražiti iznimke

• Dokumentirati rezultate

Opći revizijski softver

• Najčešće korišten•Osnovna funkcija –pristup svim vrstama i bazama podataka (uz prethodno pisano odobrenje klijenta!) odabir podataka obzirom na ciljeve testiranja, stvaranje privremenih datoteka, statističke analize odabranih podataka i izvještavanje o rezultatima•Osnovna svrha - prikupljanje dokaza vezanih uz djelotvornost izvršavanja postupka kontrole ali i dokaza o težini grešaka u bilancama i o vrstama transakcija • Upiti nad podacima • Nepovredivost izvornih podataka• Omogućuju provedbu samo naknadne, a ne i tekuće revizije

Primjena CAA alata i tehnika

• Samostalno testiranje (točnost i ispravnost transakcija – aplikacija i podataka)•Metode (append, count, summarize, join, index/sort, duplication detection, selection, gaps, stratification, horizontal analysis, trend analysis, regression, corelation, rounded values, pivoting, sampling, BL)• Odabir uzorka

o Nasumično uzorkovanjeo Intervalno uzorkovanjeo Slojevito nasumično uzorkovanjeo Monetarno jedinično uzorkovanje

• Ispitivanje regulatorne podudarnostioStratifikacija – slojevi podataka temeljeni na nekom pre-definiranom pravilu (count, sum, partial sum, percentage, najmanji, najveći….)

• Metode provjere (revizije) podatakao Provjera duplikatao Provjere zaokruživanjem (multiplikatori broja 5 ili 10)

Primjena CAA alata i tehnika – Benford law

• Benfordov zakon – vodeća znamenka x (x e [1..b − 1] ) baza b (b ≥ 2) se pojavljuje s vjerojatnošću

P(x)=logb(x + 1) − logbx = logb((x + 1)/x)

• P(z1)=log10(1+1/z1), z1e [1..9] Znamenka

(z1)Vjerojatnost

p(z1)

1 0,30103

2 0,17609

3 0,12494

4 0,09691

5 0,07918

6 0,06695

7 0,05799

8 0,05115

9 0,04576

Primjena CAA alata i tehnika – Benford law

Benfordov zakon – vjerojatnost pojavljivanja 2. znamenke

P(z2) =

9

1122110 9..0z ),z1/z(1log

z

Znamenka (z2)

Vjerojatnost p(z2)

0 0,11968

1 0,11389

2 0,10882

3 0,10433

4 0,10031

5 0,09668

6 0,09337

7 0,09035

8 0,08757

9 0,08500

Col. Title 1 2 3 4 5 6 7 8 9 samples

A Rivers, Area 31.0 16.4 10.7 11.3 7.2 8.6 5.5 4.2 5.1 335

B Population 33.9 20.4 14.2 8.1 7.2 6.2 4.1 3.7 2.2 3259

C Constants 41.3 14.4 4.8 8.6 10.6 5.8 1.0 2.9 10.6 104

D Newspapers 30.0 18.0 12.0 10.0 8.0 6.0 6.0 5.0 5.0 100

E Specific Heat 24.0 18.4 16.2 14.6 10.6 4.1 3.2 4.8 4.1 1389

F Pressure 29.6 18.3 12.8 9.8 8.3 6.4 5.7 4.4 4.7 703

G H.P. Lost 30.0 18.4 11.9 10.8 8.1 7.0 5.1 5.1 3.6 690

H Mol. Wgt. 26.7 25.2 15.4 10.8 6.7 5.1 4.1 2.8 3.2 1800

I Drainage 27.1 23.9 13.8 12.6 8.2 5.0 5.0 2.5 1.9 159

J Atomic Wgt. 47.2 18.7 5.5 4.4 6.6 4.4 3.3 4.4 5.5 91

K 25.7 20.3 9.7 6.8 6.6 6.8 7.2 8.0 8.9 5000

L Design 26.8 14.8 14.3 7.5 8.3 8.4 7.0 7.3 5.6 560

M Reader's Digest 33.4 18.5 12.4 7.5 7.1 6.5 5.5 4.9 4.2 308

N Cost Data 32.4 18.8 10.1 10.1 9.8 5.5 4.7 5.5 3.1 741

O X-Ray Volts 27.9 17.5 14.4 9.0 8.1 7.4 5.1 5.8 4.8 707

P Am. League 32.7 17.6 12.6 9.8 7.4 6.4 4.9 5.6 3.0 1458

Q Blackbody 31.0 17.3 14.1 8.7 6.6 7.0 5.2 4.7 5.4 1165

R Addresses 28.9 19.2 12.6 8.8 8.5 6.4 5.6 5.0 5.0 342

S 25.3 16.0 12.0 10.0 8.5 8.8 6.8 7.1 5.5 900

T Death Rate 27.0 18.6 15.7 9.4 6.7 6.5 7.2 4.8 4.1 418

Average 30.6 18.5 12.4 9.4 8.0 6.4 5.1 4.9 4.7 1011

Pravila primjene Benfordovog zakona

• Brojevi se trebaju odnositi na isti ili sličan uzorak•Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna ograničenja•Brojevi bi trebali nastati prirodnim slijedom, odnosno ne bi trebali biti dodjeljivani prema nekom algoritmu (‘assigned numbers’)•Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem

1. Praktični primjer primjene ACL-a 1/4

Podaci glavne knjige – ukupno 41.564 zapisa

1. Provjera podataka (Verify)

2. Benfordova analiza

1. Praktični primjer primjene ACL-a .. 2/4

Podaci glavne knjige – ukupno 41.564 zapisa

3. Ravnoteža bruto bilance (‘total field’)

4. Izdvajanje slogova

1. Praktični primjer primjene ACL-a .. 3/4

5. Klasificiranje

1. Praktični primjer primjene ACL-a .. 4/4

6. Stratificiranje (broj transakcija)

2. Praktični primjer primjene ACL-a

Pronalaženje duplikata (JMBG)

3. Praktični primjer primjene ACL-a

Pronalaženje praznina

(računi, automatske transakcije, itd.)

Primjeri korištenja CAAT (ACL) – broj transakcija u glavnoj knjizi

Primjeri korištenja CAAT (ACL) – provjera kontrola kod obračuna plaća

Definicije pojma revizija IS-a

• Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti

• Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje

Objekt revizije IS-a

• Objekt revizije IS-a je sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadatak procijeniti njegovo trenutno stanje (zrelost, razinu kvalitete), otkriti rizična područja, procijeniti razinu rizika i dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja.

• Izvještaj revizora informacijskog sustava se sastoji od sljedećih koraka: 

o opis kompanije, poslovnog okruženja i poslovnih procesao opis metodologije provedbe revizije IS-a o analiza stanja (zrelosti) primjene informacijskih sustava u

poslovanju prema promatranim područjimao procjena poslovnih rizika koji proizlazi iz zatečenog stanjao preporuke menadžmentu za poboljšanjem toga stanjao odgovor Uprave

Područja provedbe revizije IS-a

• Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima

• Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike ili ostale 'uključene' strane nekom riziku

• Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje

• Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja

• Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om

• Provjera usklađenosti uporabe IS-a s važećom regulativom, standardima i međunarodno priznatim okvirima – jeli uporaba IS-a i svih njegovih dijelova u skladu s važećim propisima, međunarodnim okvirima, normama i stručnim standardima

Koraci provedbe revizije IS-a

• Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije)

• Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole)

• Detaljan pregled objekta revizije IS-a i testiranje kontrola• Prikupljanje dokaza i procjena poslovnih rizika • Preporuke i izvještaj revizora IS-a

Primjeri provedbe analitičkih testova pri revizijama IS-a

• Provjera zapisanih podataka u ‘audit log-u’• Testiranje ovlasti i prava pristupa programima i podacima • Testiranje sigurnosnih postavki računalne mreže• Testiranje procedura promjena u aplikacijama•Testiranje korisnika sustava i procedura dodjele korisničkih računa• Testiranje postavki lozinki

• Analitički testovi ‘log tests’ ‘ORACLE DBlog’

Sigurnost IS-a

• Provjera log datotekao korištenje sustava izvan radnog vremena; vikendi,

praznici; dopustio pristupi/vrijeme korištenja od strane administratora o analiza učestalosti korištenja sustavao stupanj korištenja resursa/korisniko usporedba IP adresa i korisnika koji pristupaju (identif.

korisnika na “neuobičajenim” PC-ima)

Sigurnost IS-a

• Provjera pristupnih pravao korisnički računi (accounts) bez lozinkeo korisnički računi s lozinkama kraćim od npr. 6 mjestao korisnički računi neupotrebljeni u posljednjih x mjesecio dinamika promjene lozinkiokorisnički računi s pristupom do ključnih sistemskih direktorija/tablicao admin korisnički računio korisničke grupe i pripadnost grupama

Područja revizije IS-a u HR (HNB – Zakon o bankama)

• Upravljanje sigurnošću IS-a• Upravljanje rizikom koji vezan uz IS• Logičke kontrole pristupa• Upravljanje imovinom IS-a• Upravljanje operativnim i sistemskim

zapisima• Upravljanje pričuvnom pohranom• Upravljanje odnosima s pružateljima

usluga• Upravljanje odnosa s dobavljačima

opreme• Upravljanje razvojem IS-a• Upravljanje fizičkom sigurnošću

• Upravljanje lozinkama• Upravljanje promjenama• Upravljanje kontinuitetom

poslovanja• Upravljanje incidentima i

problemima• Primjena internih akata vezanih uz

IS

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom (HNB)

• Uprava banke dužna jeo odrediti člana uprave zaduženog za upravljanje i nadzor

IS-ao uspostaviti primjerenu org. strukturu, odbore i funkcije

(01.07.2008)o donijeti strategiju IS-a (01.07.2008)o strategiju IS-a razraditi strateškim i operativnim

planovima (01.01.2009)o donijeti interne akte kojima se uređuje upravljanje IS-om,

definirati odgovornosti za nadzor (01.01.2009)

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

• Uprava banke dužna jeo uspostaviti funkciju voditelja sigurnosti IS-a (01.01.2009)o imenovati odbor za upravljanje IS-om (01.07.2008)o usvojiti metodologiju upravljanja projektima (01.01.2009)

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

• Banka je dužnao uspostaviti proces upravljanja rizikom IS-a (01.01.2009)o Metodologiju upravljanja rizikom IS-a (01.01.2009)o Dokumentirati rezultate procjene rizika IS-a (01.07.2009)oProcijeniti i na prihvatljivu razinu svesti rizike IS-a (01.07.2009)oKlasificirati i zaštititi informacije prema razini osjetljivosti (01.10.2009)oUprava banke odgovorna je za donošenje prihvatljive razine rizika kojima je izložen IS (01.01.2009)

Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom

• Unutarnja revizijao Dužna je obavljati reviziju IS-a banke (01.01.2009)oUsvojiti metodologiju za provođenje revizije IS-a zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije IS-a banke (01.01.2009)

Krovne metode i okviri korporativnog upravljanja informatikom

• COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a

• COSO – krovni okvir pri procjeni kvalitete internih kontrola• ISO 38500:2008 – krovna norma korporativnog upravljanja

informatikom

1. Odgovornosti i ovlasti upravljanja

2. Strategija IT-a

3. Stjecanje IT-a

4. Upravljanje performansama IT-a

5. Sukladnost propisima i regulativi

6. ‘Human behaviour’

COBIT metodologija

• Svjetski priznati standardi upravljanja IT-om (‘IT best practices’)

• Svjetski priznati standardi i ciljevi kontrole i revizije IS

•COBIT 4.1 – Control Objective for Information and related Technology

• Smjernice za analizu, mjerenje i kontrolu primjene IS i IT

• 34 IT procesa (cilja kontrole ili vođenja IT) svrstana u 4 područjaoPlaniranje i organizacija (PO)oAkvizicija i implementacija (AI)oIsporuka i podrška (DS)oNadzor i procjena (ME)

•34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (www.isaca.org)

CobiT - 34 ključna IT procesa (.pdf)

PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS)PO1 Strateško planiranje IS DS1 Definiranje i upravljanje razinama uslugaPO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugamaPO3 Određivanje tehnoloških smjernica DS3 Upravljanje perfomansama i kapacitetomPO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta uslugaPO5 Upravljanje IT investicijama i troškovima (.pdf) DS5 Sigurnost sustavaPO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškovaPO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnikaPO8 Upravljanje kvalitetom DS8 Podrška korisnicimaPO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijomPO10 Upravljanje projektima (.pdf) DS10 Upravljanje problemima i incidentima

DS11 Upravljanje podacimaAKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremomAI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom)AI2 Nabava i održavanje aplikacijskih programaAI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME)AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansiAI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrolaAI6 Upravljanje promjenama (.pdf) ME3 Sukladnost s zakonskim i drugim normamaAI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om

Izvedene metode i okviri revizije IS-a

• Prema područjima provjere razlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om:o upravljanje razvojem poslovnih informacijskih sustava

(CMMI, TickIT,...),o upravljanje informatičkim uslugama (ITIL)o upravljanje ulaganjima u informatiku (Val IT)o upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI

DSS, Basel II, ISO 27005)o upravljanje sigurnošću poslovnih informacijskih sustava

(obitelj ISO 27000 normi, NIST, SANS, IS3)o upravljanje projektima (Prince 2, PMBOK)o upravljanje kontinuitetom poslovanja (BS 25999)

Izvedene metode i okviri revizije IS-a

• Val IT inicijativa (www.isaca.org/valtit) - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa)

• ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informatičkim uslugama (5 područja, 20-ak procesa)

• Risk IT metodologija (www.isaca.org/riskit) - upravljanje informatičkim rizicima (3 područja, 20-ak procesa)

• Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO 27001 11 područja i 40-ak procesa)

• Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja)

• Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima• PMBOK – poboljšanje prakse upravljanja projektima• PCI DSS (engl. Payment Card Industry Data Security System) –

regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. (primjer primjene .ppt)

COBIT metodologija

• CobiT menadžmentu predočava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na način da:o jasno određuje i detaljno opisuje ključne informatičke procese (34

procesa svrstana u 4 područja), o jasno određuje obveze i područja odgovornosti (RACI tablica za svaki

od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije donošenja odluke, odnosno informirati nakon),

o jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), o određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli

zrelosti):• KPI – ključni indikatori performansi (engl. Key Performance Indicators), • KGI – pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), • KRI – ključni pokazatelji rizika (engl. Key Risk Indicators),• pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals)• model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i•čitav sustav kojima se mogu mjeriti performanse informatičkih procesa i procijeniti njihovu učinkovitost u odnosu na poslovne ciljeve.

ISO 27001:2005

1. Informacijska sigurnosna politika

2. Organizacija informacijske sigurnosti 2.1. Unutarnja informacijska sigurnost

2.2. Vanjski suradnici

3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija

3.1. Odgovornost za informacijske resurse (imovinu)

3.2. Klasifikacija informacija

4. Informacijska sigurnost i privatnost zaposlenika

4.1. Sigurnost i privatnost prije zaposlenja

4.2. Sigurnost i privatnost tijekom zaposlenja

4.3. Prekid ili promjena zaposlenja

5. Fizička sigurnost i sigurna područja

5.1. Sigurna područja

5.2. Fizička sigurnost opreme

6. Upravljanje komunikacijama i operacijama 6.1. Radne upute i odgovornosti

6.2. Upravljanje pružanjem usluga treće strane

6.3. Planiranje i prihvaćanje sustava

6.4. Zaštita od zloćudnog i prenosivog koda

6.5. Sigurnosne kopije

6.6. Upravljanje sigurnošću računalnih mreža

6.7. Rukovanje medijima (nositeljima podataka)

6.8. Razmjena informacija

6.9. Usluge elektroničke trgovine

6.10. Nadzor

7. Kontrola pristupa 7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisničkim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa računalnoj mreži 7.5. Kontrola pristupa operacijskom sustavu računala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu

8. Nabava, razvoj i održavanje poslovnog informacijskog sustava 8.1. Sigurnosni zahtjevi informacijskih sustava 8.2. Ispravna obrada u aplikacijama 8.3. Kriptografske kontrole 8.4. Sigurnost sistemskih datoteka 8.5. Sigurnost u procesima razvoja i podrške 8.6. Upravljanje tehničkom ranjivošću

9. Upravljanje sigurnosnim incidentom 9.1. Izvješćivanje o sigurnosnim događajima i slabostima 9.2. Upravljanje sigurnosnim incidentima i poboljšanjima

10. Upravljanje kontinuitetom poslovanja11. Sukladnost 11.1. Sukladnost sa zakonskim propisima 11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička

sukladnost 11.3. Razmatranja revizije informacijskih sustava

ISO 27001:2005

• ISO 27001 sadrži 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena:

1.Sigurnosna politika (Zahtjevi uprave za unaprjeđivanjem infromacijske sigurnosti) 2.Organizacijska sigurnost (Omogućavanje upravljanja informacijskom sigurnošću

unutar organizacije) 3.Klasifikacija i kontrola resursa (Provođenje inventara informacijskih resursa i njihove

zaštite) 4.Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogućnosti ljudske

pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu)5.Fizička sigurnost i zaštita od utjecaja okoline (Sprječavanje uništavanja, propadanja i

prekida funkcioniranja sredstava i podataka) 6.Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti

(Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija) 7.Kontrola pristupa (Kontrola pristupa informacijama i resursima)8.Razvoj sustava i njihovo održavanje (Osiguravanje ugrađenosti sigurnosti u

informacijske sustave) 9.Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na

prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti) 10.Sukladnost s pravnom legislativom (Sprečavanje mogućnosti kršenja zakona,

statutornih ili ugovornih obveza i sigurnosnih zahtjeva)

Hvala na pozornosti

Pitanja, komentari, prijedlozi, sugestije

[email protected]

www.efzg.hr/mspremic