SZAKDOLGOZAT Farkas Imre László 2011.

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "SZAKDOLGOZAT Farkas Imre László 2011."

Átírás

1 SZAKDOLGOZAT Farkas Imre László 2011.

2 Budapesti Kommunikációs és Üzleti Főiskola SZAKDOLGOZAT Az információbiztonság szervezésének kihívásai és lehetséges válaszok az informatikán túl Belső konzulens neve: Dr. Kiss Ferenc Farkas Imre László Gazdálkodási és menedzsment szak Budapest 2011.

3 1. Bevezetés Témaválasztás, a szakdolgozat célja Hipotézis Módszertani alapok Az információbiztonság menedzselése Fontos kifejezések értelmezése Kísérlet az információvagyon meghatározására A kontroll fogalmának definíciója Az információbiztonság jelenlegi kihívásai és azok lehetséges okainak elemzése Áttekintés Szervezeti széttagoltság Erőforráshiány Reaktív működés Széttagolt jelentési rendszerek Papírgyár Tudásciklusok A veszélyérzet hiánya Elefántcsonttorony Másodlagos kontroll hiánya Analógiák kutatása: más szakterületeken elterjedten alkalmazott eljárások feltérképezése Áttekintés Közgazdasági vonatkozások Analógiák a pénzügyi controlling területéről A Balanced Scorecard relevanciája A folyamatszervezés fontossága Tudásmenedzsment... 29

4 4.7. Tömeges együttműködés A rendszerelmélet alkalmazása Marketing és PR, mint a biztonság építői Az ügyfélközpontúság kritikussága Szociológiai szempontok Pszichológiai vonatkozások Szintézis: az információbiztonság új megközelítési lehetőségeinek elemzése A problémák kiváltó okainak és lehetséges válaszoknak együttes elemzése Az információbiztonság stratégiai megközelítése A biztonság, mint üzleti funkció A biztonság, mint szolgáltatás Hogyan adjuk el a biztonságot? Hogyan (és miért) mérjük a biztonságot? Az eredeti Balanced Scorecard alkalmazása Biztonsági szempontokból definiált mutatószámrendszer Összefoglalás Irodalomjegyzék Mellékletek Az információbiztonsági szervezet eredményességének és elismertségének felmérésére összeállított kérdőív COBIT érettségi modell A BMIS modell elemeinek és azok kapcsolatának összefoglaló leírása... 71

5 Mottó: Nem fedezhetünk fel új irányokat oly módon, hogy még jobban meresztjük szemünket a korábbi irányba. Edward De Bono 1. Bevezetés 1.1. Témaválasztás, a szakdolgozat célja A Budapesti Kommunikációs és Üzleti Főiskola Gazdálkodási és Menedzsment szakán Üzleti Kommunikáció szakirányon végzett tanulmányaimra nézve jelen dolgozat relevanciáját a BKF-en tanultak és tízéves informatikai és biztonság-szervezési tapasztalataim szintézise adja. A dolgozat fő célja kettős: kifejezetten annak elemzése, miként alkalmazhatóak a BKF-es tanulmányaim során megismertek jövőbeli szakmai munkám során és ennek fordítottja: az informatikai ismeretekkel nem rendelkező kollégák és érdeklődők számára gondolati kapcsolatot teremteni saját szakterületükkel. Abban azonban biztos vagyok, hogy bármilyen előnyt csak sablonoktól mentes és nyitott gondolkodással kovácsolhatunk e gondolatmenetből, a feltárt módszerek sikeres alkalmazása pedig minden bizonnyal egyfajta kombinációt tesz szükségessé a bevett és az új módszerek között. Ez teszi számomra e témát a jelen szakdolgozatban való kifejtésre érdemesnek. Az információbiztonság (Information Security, IS) mint szakterület, alapvetően informatikai gyökerekkel rendelkezik, ám hatóköre az ezredforduló tájékán folyamatosan bővülni kezdett. Ahogy a technika egyre komplexebbé vált (és válik), illetve mára az informatikától való függés gyakorlatilag totális, a teljes rendszer egyéb összetevőinek menedzselése egyre fontosabbá vált. Ezen szakterületek például az információk osztályozása és átfogó védelme, a humán biztonság, az üzletmenet átfogó értelmezése és folytonosságának biztosítása, a biztonsági incidensek és katasztrófahelyzetek kezelése, illetve biztonsági rendszerünk folyamatos fejlesztése. A dolgozat kimondottan nem informatikai háttérrel közelíti meg az információbiztonság területét. Szakdolgozatom célja azon módszerek, diszciplínák feltérképezése, amelyek nem képezik a szűken vett informatikai vagy biztonságtechnikai terület részeit, és amelyeket a napi gyakorlatban nem, vagy csak érintőlegesen alkalmaznak az IS szakemberek. Célom e közeli vagy épp távolabbi társterületek illetve módszerek áttekintése, illetve azoknak az 5

6 információbiztonság szervezése során történő hasznosítási módjainak elemzése. Mindebből egy előremutató képet kívánok festeni az információbiztonság szervezési feladatairól az általánosnál sokkal tágabb kontextusban és izgalmasabb felfogásban! Jelen dolgozatnak nem célja kimerítő módszertani elemzést adni az információbiztonsági szakterületről, különösen nem az informatika, fizikai biztonság illetve vagyonvédelem témakörére. Mindazonáltal a feltárt módszerek és összefüggések szándékom szerint a vagyonvédelem, humán erőforrás menedzsment, sőt egyéb üzleti illetve támogató terület szervezésében is hasznosnak bizonyulhatnak. E gondolatmenet végig vitele mindenképpen sablonoktól mentes gondolkodást igényel. Ezért jelen dolgozatban az információbiztonság szűkebben vett módszertani arzenálján túlmutató módszerek felderítésére alapvető módszerként alkalmazom az analógiák módszerét. E módszer lényege, hogy alapvetően múltbeli, vagy éppen más szakmabeli tapasztalatokra építve hasonlóságokat, párhuzamokat keresek az információbiztonság és egyéb szakterületek között. (Kiss, 2001.) A rugalmas gondolkodás elősegítése érdekében kutakodásom célját tehát a következő módon határoztam meg: Olyan, más területeken alkalmazott megoldások keresése, amelyek választ adnak az információbiztonság területén felmerülő problémákra, méghozzá a problémák és megoldások analóg volta miatt és ezek segítségével az információbiztonsági szakterület hatékonyabbá és eredményesebbé tétele Hipotézis Mint sok más szakterület képviselői, az információbiztonsági terület szakemberei sokszor nem ismerik fel az egyéb diszciplínák által kínált módszerek jelentőségét, ezért azokat nem is alkalmazzák tevékenységük hatékonyabbá és eredményesebbé tételére. Ennek káros hatásai visszafogják az információbiztonsági és informatikai szervezetet, ennél fogva az üzleti folyamatoknak az informatika fejlődése által indukált optimalizálását, végső soron pedig magát az üzletet nem beszélve a legalapvetőbb cél teljesüléséről: a biztonság elfogadható szintjének megteremtéséről. Meggyőződésem, hogy az információbiztonság szakterülete rengeteget tanulhat például az üzleti stratégiai tervezés, a rendszerelmélet, a folyamatszervezés, a pénzügyi controlling, a 6

7 pszichológia, a szociológia, a tudásmenedzsment és csoportmunka vagy a marketing és pr módszertani területeitől. 7

8 2. Módszertani alapok 2.1. Az információbiztonság menedzselése Az Információbiztonsági irányítási rendszer (Information Security Management System, ISMS) az átfogó irányítási rendszernek az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. [ ] Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. (MSZ ISO/IEC 27001:2006:22.) Az információbiztonság menedzselésének módja tehát egy adott szervezet stratégiai döntései közé tartozik, figyelembe véve a szervezet méretét, tevékenységét, szervezeti és technikai adottságait és nem utolsó sorban: céljait. Az IS, társterületekkel együttműködve, ám önmagában autonóm menedzsmenttel kell, hogy rendelkezzen, saját magára vonatkozó küldetéssel (mission), a jövőről alkotott elképzelésekkel (vision), stratégiai tervekkel, illetve a stratégia végrehajtását lehetővé tevő operatív tervekkel, illetve a stratégiához való folyamatos visszamérést lehetővé tevő mutatószám-rendszerrel. Az ISO szabvány által előírtak megvalósításához az ISO nyújt segítséget, amelyet a Közigazgatási Informatikai Bizottság is feldolgozott 25. sz. ajánlása keretein belül. Az alábbi felsorolás az MSZ ISO/IEC 27001:2006 szabvány alapján bemutatja az információbiztonság, mint szakterület felépítését. (A felsorolásban a szabvány angol verziójának saját fordítását használom fel.) Az információbiztonsági terület belső szabályozási, folyamat- és felelősségrendszerének kialakítása, a kockázatokkal arányos védelem biztosítása Külső felekkel kapcsolatos kockázatok kezelése Információs vagyon osztályozása és kezelése (adat, szoftver, hardver, hálózat, stb.) Humán biztonság (intézkedések felvételkor és a munkaviszony megszűntetésekor, illetve folyamatos biztonsági tudatosítás) Fizikai biztonság 8

9 Az informatikai üzemeltetés és a telekommunikáció biztonsága (technikai biztonsági intézkedések) Jogosultságok kezelése (rendszerekhez, helyiségekhez, eszközökhöz, hálózathoz, stb. való hozzáférés) Alkalmazás-fejlesztés és rendszer-beszerzés biztonsági követelményei Biztonsági incidensek kezelése (feltárás, jelentés, eseményekből való tanulás) Üzletmenet-folytonosság menedzselése (kiesések kezelése, helyettesítő eljárások kidolgozása, katasztrófa-elhárítás) A jogszabályoknak, illetve belső utasításoknak való megfelelés biztosítása és auditálás (MSZ ISO/IEC 27001:2006) Mindezen témakörök átfogó kezelése nem egyszerű feladat, ám az ISO szabvány egy olyan rendszert vázol fel, amelyben a terület komplex menedzselése kezelhetővé válik. Az információbiztonság, de maga az informatika is viszonylag fiatal iparágnak számítanak. Ennek egyik hátrányos folyománya, hogy a szakmai terminológia nem teljesen letisztult. Sőt, ahogy a terület érik, úgy lesznek komplexebbek mind saját magán belüli, mind az egyéb szakmákkal való kapcsolatrendszerei fogalmi keretei tágulnak. Az e fejlődést lehetővé tevő terminológia is egyre bővül. Bár a témakörben az elmúlt tizenöt évben kiadott ISO szabványok és egyéb nemzetközi publikációk, ajánlások sokat javítottak ezen a hiányosságon, a (főleg) angolról magyarra történő fordítások során, az angol nyelven egészen egyértelmű jelentéssel bíró fogalmak és kifejezések ködössé váltak, sőt, egyes esetekben jelentésük is torzult. Emiatt a magyar szóhasználat esetenként nem egyértelmű, amely szakmai körökben tapasztalatom szerint rendszeres, kisebb-nagyobb vitákat eredményez, melyek a lényegi problémáktól eltávolodva, félreértésektől nehezített elméleti, értelmezésbeli fejtegetésekbe torkollanak. E probléma okán, bevezetésként, néhány alapkifejezés közti összefüggést, illetve különbséget emelek ki, olyan formában értelmezve azokat, ahogy jelen dolgozatban azokat alkalmazom. 9

10 2.2. Fontos kifejezések értelmezése A pontos fogalmazás érdekében fontos rendet tenni a következő alapfogalmak között. Alább néhány fontos fogalom jelen dolgozatban alkalmazott értelmezést adom meg. 1. Adat: Az információ megjelenési formája, azaz a tények, elképzelések nem értelmezett, de értelmezhető közlési formája. (ITB, 1996:188.) 2. Információ: Jelentéssel bíró szimbólumok összessége, amelyek jelentést hordozó adatokat tartalmaznak és olyan új ismeretet szolgáltatnak a megismerő számára, hogy ezáltal annak valamilyen bizonytalanságát megszűntetik és célirányos cselekvését kiváltják. (ITB, 1996:197.) 3. Információrendszer: Információk meghatározott célú, módszeres gyűjtésére, tárolására, feldolgozására (bevitelére, módosítására, rendszerezésére, aggregálására) továbbítására, fogadására, megjelenítésére, megsemmisítésére stb. alkalmas rendszer. Ha ez a rendszer számítógéppel támogatott, akkor számítógépes információrendszerről (informatikai rendszerről) beszélünk. (ITB, 1996:196:198.) 4. Informatikai rendszer: A hardverek és szoftverek olyan kombinációjából álló rendszer, amit az adat-, illetve információ-feldolgozás különböző feladatainak teljesítésére alkalmazunk. Az informatikai rendszerek különleges tulajdonsága a szabad programozhatóság. Az informatikai rendszerek közé soroljuk tipikusan a»célszámítógépeket«és az»általános célú számítógépeket«. (ITB, 1996:196.) 5. Információs rendszer: Az információrendszerek megjelölésére sokszor helytelenül alkalmazott kifejezés. Információs rendszernek nevezzük azokat a rendszereket, amelyek valamely témában tájékoztatást, eligazítást nyújtanak. Az informatika térnyerésével megjelentek a vezetői információs rendszerek, döntéstámogató rendszerek, áttekintő grafikus képernyők (dashboard-ok) is az információs rendszer tehát az információ-rendszerek egy speciális fajtája. (Vasvári, 2009.). 6. Adatvédelem: Az Avtv. 1 jogi keretek között határozza meg az adatvédelem fogalmát. Ennek értelmében az adatvédelem jogi fogalom, amely a személyes adatok kezelésének és védelmének körülményeit szabályozza. Ezért ez a fogalom évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 10

11 az információbiztonság fogalmának megjelölésére illetve annak szinonimájaként semmiképp nem alkalmazható. (Vasvári, 2006: 36.) 7. Informatikai biztonság, IT biztonság: Az informatikai rendszerekben kezelt adatok, és az azt kezelő rendszer védelmét jelenti. (Muha, 2010:139.) Az informatikai biztonság az informatikai rendszer olyan az érintett számára kielégítő mértékű állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. (Muha, 2010: 145.) 8. Információbiztonság: A 2.1. fejezetben részletesen ismertetett szakterület, amely az informatikai rendszereken felülemelkedve, tágabb kontextusban vizsgálja az információk bizalmasságát, sértetlenségét és rendelkezésre állását fenyegető tényezőket és az azokkal szemben hozható védelmi intézkedéseket. Mivel angolul általában az információvédelemre, illetve az informatikai védelemre, sőt néha a kommunikációs, információs és más elektronikus rendszerek védelmére is az information security kifejezést használják, az egyes fordítások még inkább zavarossá teszik a képet. (A védelem és biztonság kifejezést egymás szinonimájaként használjuk, bár nem azonos a jelentésük.) (Muha, 2010: 139.) Általánosan fogalmazva a biztonság a védelmi intézkedések (védelem) eredményeként előálló állapot, ahogy az informatikai biztonság meghatározásánál is szerepel. 9. Egyenszilárdság: egy teljes körű, zárt, folyamatos és kockázatokkal arányos védelmi rendszert egyenszilárdságúnak tekinthetünk, mert az intézkedések minden rendszerelemre nézve pontosan a kockázatokkal arányosak lesznek úgy, hogy közben minden releváns fenyegetés figyelembevételre került. (ITB, 1996:17.) Kritikus biztonságszervezési alapelv, hiszen nincs értelme annak, hogy egy ponton aránytalanul erős védelmet alakítsunk ki, míg más ponton védelmi rendszerünk könnyebben áttörhető vagy egyszerűen megkerülhető! 11

12 2.3. Kísérlet az információvagyon meghatározására A Hpt. 2 előírja, hogy a pénzügyi intézménynél mindenkor rendelkezésre kell állnia: az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak vagyis adatgazdát kell kinevezni. A vezetésnek ki kell dolgoznia egy eljárást az adatok tulajdonosainak (adatgazda) és kezelőinek hivatalos kijelölésére vonatkozóan és gondoskodnia kell arról, hogy minden informatikai eszköznek (adatok és rendszerek) legyen egy kijelölt tulajdonosa (adatgazda), aki dönt az osztályozásról és hozzáférési jogosultsági szintekről. (PSZÁF, 2007:9) Értelmezésem szerint kölcsönvéve az Avtv. terminológiáját az adatgazda az adatfeldolgozó (mint szervezet) megbízottja, aki annak nevében az adatfeldolgozással kapcsolatos tevékenységekért felel. E kitétel értelmezése és gyakorlati alkalmazása azonban a komplexebb szervezetek esetében gondot okoz. Ez valójában nem meglepő, hiszen a támadás, illetve a védelem alapvető tárgya az adat, amely az információkat hordozza. A támadások azonban nem közvetlenül érik az adatokat, hanem az azokat "körülvevő" rendszerelemeken (pl. a hardver és/vagy szoftver elemeken, a környezeti infrastruktúrán) keresztül. [ ] Az adatot, mint a támadások alapvető célját a következő rendszerelemek veszik körül: az informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek adathordozók, dokumentumok és dokumentáció, személyi környezet (külső és belső). (ITB 12, 1996:15) Ennél fogva magának az adatnak lehetséges bár gazdát kinevezni, ám akit egy ilyen okirattal a fenti sajátosság figyelmen kívül hagyásával egyszemélyes felelőssé tesznek az adat, ennél fogva az összes fent említett, kapcsolódó rendszerelem biztonságáért, szinte biztosan nem fogja tudni, hol kezdjen hozzá. A fenti rendszerelemek mindegyikének biztonsága egy-egy külön szakma! évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról 12

13 Vegyük azonban sorban azokat a területeket, ahol a gyakorlati szempontokat figyelembe véve érdemes lehet külön-külön gazdát keresni! Termékek, szolgáltatások Folyamatok (elsődleges üzleti vagy támogató folyamatok is) Szervezeti egységek Alkalmazások Hardverek és operációs rendszerek (rendszerek) Informatikai és kommunikációs infrastruktúra Jogosultságok (informatikai szerepkörök) Adathordozók (elektronikus és papír) Helyiség (létesítmény) A jogszabályokban foglalt adatvédelmi és biztonsági követelmények komplex értelmezése elengedhetetlen a biztonság szervezése során, hiszen azonosítanunk kell a védelem tárgyát. Az egymást átfedő jogi fogalmak és adatkörök megnehezítik az átfogó szervezést, miután szinte minden, ide vágó jogszabály betartásáért más-más szervezet felel. A bankok, vagy akár a telekommunikációs cégek esetében is, a komplex jogi környezet az adatkörök meghatározásánál is érzékelhető. További, alapvető információbiztonsági feladatunk, ebből kiindulva, az adatok osztályozási rendszerének kialakítása, és ennek alapján a minimum védelmi szintek meghatározása osztályonként ez a kockázatarányos védelem alapeleme! Az információbiztonság más területeihez hasonlóan adatok osztályozására és védelmére vonatkozóan például a korábban említett ISO és szabványok illetve a KIB. 25. sz. ajánlása 3 ad útmutatást. Értelmezésem szerint az adatosztályozás egyfajta kockázatelemzés, így a strukturált kockázatelemzési módszerek, mint a CRAMM 4, módszertanilag kiválóan alkalmazhatóak az adatosztályozás keretrendszerének kialakításakor. 3 A Közigazgatási Informatikai Bizottság 25. számú Ajánlása, amely az ISO szabványon alapszik (KIB, 2008.) 4 CRAMM (CCTA Risk Analysis and Management Method) - Az Egyesült Királyság Központi Informatikai és Telekommunuikációs Ügynöksége által alkalmazott kockázatelemzési módszertan (CCTA - Central Computing and Telecommunications Agency) (CCTA, 1992, idézi ITB, 1994.) 13

14 2.4. A kontroll fogalmának definíciója A nem kívánt események bekövetkezése ellen védelmi intézkedéseket vezetünk be. Szakterületenként más-más kifejezést preferálnak; a gyakorlatban biztonsággal foglalkozó szakemberek védelmi intézkedésnek, a kockázatkezelők ellenintézkedésnek, az auditorok kontrollnak nevezik ugyanazt a tevékenységet, melynek lényege nem más, mint a nem kívánt események ellenében hatni. Jelen dolgozatban a kontroll kifejezés alatt nem ellenőrzést értek, hanem biztonsági intézkedést! Bárki, aki egy munkafolyamat során annak érdekében cselekszik, hogy ne történjen nem kívánt esemény, e terminológia szerint kontrollt hajt végre. Az Information Systems Audit and Control Association (ISACA) a kontroll fogalmát a következő módon határozta meg: Az olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők illetve felismerhetők, és helyesbíthetők. (ISACA, 2007.) Alább a kontroll-intézkedéseknek kétfajta, legelterjedtebben alkalmazott, és véleményem szerint legcélravezetőbb taxonómiáját fejtem ki. A kontrollok legalapvetőbb megkülönböztetése azoknak a nem kívánt eseményekhez való viszonyán, illetve a kontrollcélnak magának a megfogalmazásán alapszik. Alapvetően háromféle csoportot különböztetünk meg: megelőző, észlelő és helyesbítő, vagyis preventív, detektív és korrektív, ám ezeket a különböző módszertanok továbbiakra bontották. Az alábbiakban a kontrolltevékenységek öt szintjét mutatom be. A kontrolltevékenységek efféle osztályozása segít azok priorizálásában. A káros eseményeket leginkább megelőzni akarjuk, ha ez nem kifizetődő, akkor legalább értesülni szeretnénk azok bekövetkeztéről, illetve, ha az esemény megtörtént és értesültünk róla, akkor az okozott kárt csökkenteni, illetve helyreállítani igyekszünk. Az információbiztonsági kontrollok hatásmechanizmus szerinti tipizálását a legátfogóbban a COBIT 4.1 illetve a MEHARI 2010 módszertanok írják le. E források elemzésének és ötvözésének eredményeképpen az alábbi taxonómiát állítottam fel: Megelőző (preventív): az esemény bekövetkeztének teljes mértékben való megakadályozását célzó intézkedés, amennyiben kifizetődő lenne, minden esetben megelőző kontrollt használnánk. Pl.: a jelszavas védelem célja megelőzni, hogy illetéktelen személyek érjék el az adott rendszert. 14

15 Elriasztó (deterrent, dissuasive): Bár nem biztosítja a megelőzést, a nem kívánt esemény bekövetkezésének valószínűségét csökkenti azáltal, hogy a támadó motivációját csökkenti. Pl.: Ha kihirdetjük, hogy minden számítógépes aktivitást monitorozunk, akkor magának az intézkedés bejelentésének tényével, bár meg nem előzzük a visszaéléseket, de jó eséllyel csökkenthetjük azok számát. Felismerő (detective): Lehetővé teszi, hogy megfelelő gyorsasággal értesüljünk a nem kívánt eseményről, annak érdekében, hogy annak hatását csökkentsük és helyreállítsuk a működést. Pl.: egy ellenőrző összeg egy pénzügyi lista elektronikus átvitele során lehetővé teszi, hogy annak megérkezésekor az esetleges hamisítást vagy rendszerhibát észleljük. Hatáscsökkentő (mitigating, palliative): Az esemény bekövetkeztekor fellépő negatív hatást csökkenti. Pl.: a biztonsági mentések csökkentik egy bekövetkezett rendszerhiba hatását azzal, hogy rendelkezésünkre áll az adatnak egy korábbi verziója. Javító, helyreállító (corrective, recuperative): Az eredeti állapot visszaállítását célzó intézkedések. Ezeket is előre meg kell tervezni, sőt erre különös figyelmet kell fordítani, hiszen ahogy az 5.5. fejezetben tárgyalom, a veszteségesemények bekövetkeztének valószínűségét illetve káros hatását hajlamosak vagyunk alábecsülni. Fontos azonban, hogy maguk a helyreállító intézkedések ettől még nem lesznek preventív jellegűek, hiszen az eseményeket nem előzik meg. (IT Governance Institute, 2007.), (Club de la Sécurité de l Information Français, 2010.) A kontrolltevékenység szintjét tekintve azon intézkedések, melyek közvetlenül csökkentik egy-egy veszélyforrás kockázatát első szintű kontrollnak számítanak. Ezek gyakorlatilag magának a termelő vagy támogató illetve biztonsági folyamatnak a lépései, és végrehajtásukért célszerűen az adott folyamat szereplői felelnek. Annak érdekében, hogy biztonsági folyamataink és eljárásaink működéséről folyamatosan megbizonyosodhassunk, monitorozásra, felülvizsgálatra van szükség; ezt az ún. második szintű kontrollokkal érjük el. A második szintű kontroll elvégzésével bizonyosodunk meg az első szintű, közvetlen kontrollok (kontroll tevékenységek) működéséről és eredményességéről. Például első szintű kontrollnak számít, amikor egy tevékenységet jegyzőkönyveznek, vagy egy vezető jóváhagyja beosztottja hozzáférését egy adott informatikai rendszerhez. Amikor viszont megbizonyosodunk arról, hogy a dolgozó 15

16 jogosultsága élesítés előtt valóban jóváhagyásra került a megfelelő személy(ek) által, vagy arról, hogy jelen pillanatban is valós üzleti igényen alapszik, ezeket definiáljuk második szintű kontrollnak. Tipikusan a második szintű kontrollok során gyűjtött, a működést és eredményességet relevánsan jellemző és számszerűsíthető információk képezik az alapját a későbbiekben is tárgyalt metrikák és stratégiai mérőszámok rendszerének. Mindemellett definiálhatunk harmadik szintű kontrollt is, amely általában (ha a szervezetben létezik ilyen) a belső ellenőrzés, illetve a SOX 5 és hasonló kontrollkeretrendszereknek való megfelelésért felelős szervezet feladata. A harmadik szintű kontroll lényege mind az első, mind a második szintű kontrollok létezésének, helyénvalóságának, dokumentáltságának és nem utolsó sorban valós végrehajtásának, működésének biztosítása. A SOX és egyéb audit terminológia alapján a létezés, helyénvalóság és dokumentáltság biztosítása (vizsgálata) az ún. test of design (TOD). A valós működés és végrehajtás vizsgálata a test of effectiveness (TOE). (IT Governance Institute, 2006.) 5 Sarbanes Oxley Act of 2002 Az amerikai tőzsdén jelen lévő vállalatok belső kontrollkörnyezetének megerősítését célzó törvény 16

17 3. Az információbiztonság jelenlegi kihívásai és azok lehetséges okainak elemzése 3.1. Áttekintés Az információbiztonság, mint szakma az ezredforduló után, az informatika fejlődésével párhuzamosan rohamos fejlődésen ment keresztül. Mindazonáltal elérve egy bizonyos érettségi szintet, szembekerült a szervezet más területeivel való együttműködés kihívásaival. Az IT és az információbiztonság már nem az alagsorban rejtőző, teljes titokban működő részleg, ellenkezőleg: a cég folyamatainak integráns része. Az üzleti döntéshozók mindennapjait kitöltő problémák szignifikáns hányada valamilyen formában informatikai és információbiztonsági témákat érint az üzleti környezet változásainak követése IT változást tesz szükségessé, és fordítva: IT fejlesztéssel üzleti előnyökre tehetünk szert. Ugyanez igaz az információbiztonságra is! A fenti folyamat következményeként az információbiztonsági szakember újfajta kihívásokkal találja magát szembe: nem elég a tűzfal konfigurációját beállítani, és ismerni az egyes informatikai platformok legújabb sérülékenységeit, hanem érteni kell például a kockázatelemzés és menedzsment módszereihez, a megtérülési számításokhoz vagy a jogszabályi megfelelés témaköréhez is, ismerni kell a szervezet alapvető értékeit, céljait és működését, és nem utolsó sorban képesnek kell lenni a vezetők nyelvén kommunikálni! Sok esetben, amikor az információbiztonság eléri a fenti állapotot, a területért felelő szakember annak ellenére, hogy ő legjobb tudomása szerint mindent megtett azt veszi észre, hogy például a felhasználók továbbra is felírják jelszavaikat a billentyű alatt elrejtett cetlire. Emellett az alkalmazás-fejlesztők elfogadhatatlan minőségű és biztonsági szintű kódot szállítanak, szervezeti vezetők nincsenek biztonsági felelősségük tudatában, a felső vezetés pedig egész egyszerűen nem érzi, hogy az információbiztonság bármilyen értéket adna hozzá a szervezet működéséhez. A következőkben e problémák mögött megbújó okokat próbálom feltárni, amelyek hátráltatják vagy meggátolják az információbiztonsági szakterületnek, illetve 17

18 szakembereknek a szervezet folyamataiban, illetve a vezetőkkel folytatott párbeszédben való érvényesülését adott esetben magának a párbeszédnek a kialakulását. A problémák általam vélt fő okainak felsorolásával célom azok megoldásának első lépése: a felismerés Szervezeti széttagoltság Az Információbiztonsági csoport ideális esetben szervezetileg független azon területektől, amelyek számára követelményeket definiál, illetve amelyek fölött kontrollfunkciót lát el. Ez a gyakorlatban azt jelenti, hogy az információbiztonsági vezető vagy közvetlenül a szervezet első emberének (vezérigazgató, stb.), vagy legalábbis az egyik olyan felsővezetőnek jelent, aki viszonylag jól elkülönül magától a szervezettől, mint például a jogi igazgató, vagy biztonsági igazgató, ha ilyen a szervezetben van. A fentiek az információbiztonsági vezető feladataiból és felelősségi köréből adódnak. (Muha, 2008:56.) Azonban sok esetben az információbiztonságért felelős vezető, vagy szakember egy másik szervezetnek része, mint például az Informatika (IT). Ez nem szerencsés, mivel érdekellentét léphet fel, amikor az IT-n belüli biztonsági problémákról van szó. A védelmi intézkedések rendeltetésszerű ellátása ütközhet az informatikai, vagy egyéb vállalati érdekekkel, és ebben az esetben nem érhető el a biztonsági cél. (Vasvári, 2005.) Egy másik ilyenfajta probléma, amikor az információbiztonság, a fizikai biztonság, a jogszabályi megfelelésért felelős osztály, illetve a bankok esetében a csalások kivizsgálásáért felelős osztály más-más szervezeti egységek részei ilyenkor a közös célok elérése érdekében szükséges kommunikáció és koordináció igen nehézkes, illetve a szervezeti silókban való gondolkodás és működés miatt nem is valósul meg. Sőt, egyes esetekben az egymásra konkurensként tekintő biztonsági szervezetekben a szándék sincs meg az együttműködésre. (Vasvári, 2005.) (Collette Gentile Gentile, 2009:144.) A stratégiai információbiztonság egyik legfontosabb alapköve a holisztikus és rendszerben való gondolkodás. A silókban működő és gondolkodó kontrollszervezetek valójában saját magukat korlátozzák ennek elérésében. Ez a természetes evolúcióval kifejlődött, különböző folyamatok egyvelegében és az ad-hoc problémákra adott, szétszórt megoldásokban mutatkozik meg. (Harries-Harrison, 2008.) 18

19 3.3. Erőforráshiány Egy jól felépített információbiztonsági rendszer kialakítása megfelelő számú, jól képzett és motivált szakember közreműködését teszi szükségessé. Abban az esetben, ha valamilyen oknál fogva nem áll rendelkezésünkre elegendő idő, illetve elegendő számú szakember, szinte belekényszerülünk a következő fejezetben tárgyalt reaktív működésbe. Ez a probléma nem különbözik attól a kihívástól, amellyel bármely más szakterület képviselői küzdenek az erőforráshiányt valójában adottságként könyvelhetjük el, így annál fontosabb, hogy rendszeresen kitekintsünk a mindennapi munka során tényleges megoldások helyett alkalmazott gyorssegélyek és köréből! Jól ismert szervezeti sérülékenység a kulcsember esete, amikor egy kritikus szakmai területért vagy munkafolyamatért egyetlen ember felel, ráadásul a releváns szakmai tudás az illető fejében van, nincs kodifikálva. A kulcsszakértők kiesése a rendszer kiemelt megbízható működési szintű üzemeltetésében komoly gondot tud okozni, pótlásuk külső forrásból általában nehezen megoldható. (ITB 12, 1996: 94.) Ennek a helyzetnek a valódi kockázata általában akkor érződik, amikor a kulcsember valóban kiesik és pótlására van szükség, illetve amikor csalás történik, amelynek elkövetője vagy résztvevője belső ember Reaktív működés A vélt vagy valós erőforráshiány, és az azzal járó motivációcsökkenés folyamatos tűzoltáshoz vezet csak arra jut időnk, ami már a körmünkre ég. Ez ellehetetleníti bármilyen stratégia kidolgozását. Ennek az állapotnak tipikus tünete, amikor szinte csak az auditokra és az anyavállalat (ha létezik) jelentéskészítési követelményeire reagálunk, saját kezdeményezésekre nem futja erőnkből Széttagolt jelentési rendszerek Egy nagy cégnél, különösen, ha multinacionális cégről, vagy annak leányvállalatáról beszélünk, az információbiztonságért felelős szervezet többfelé kényszerül jelentéseket adni: az anyacég informatikai, biztonsági, kockázatkezelési szervezete, a helyi jogszabályi megfelelésért felelős szervezet, a helyi kockázatkezelésért felelős szervezet mind a saját formátumában és időzítésével igényli a számára releváns kontrollok állapotának 19

20 lejelentését. Emellett válaszolnunk kell a különböző audit megkeresésekre, és nem utolsó sorban saját működésünket is össze kell hangolni a társszervezetekével. Ez gyakorlatilag felesleges plusz munkának tűnik, ráadásul ugyanazt az információt akár többször is át kell adnunk a különböző igényekre válaszul ez többszörös munkát jelent. Ebben az állapotban a jelentések csak azért készülnek, hogy kielégítsük azok igénylőit, és ritkán használjuk fel ezeket konszolidáltan az információbiztonsági terület működésének stratégiai tervezéséhez Papírgyár Tipikus eset, amikor egy adott pillanatban, az akkori legjobb gyakorlat szerint megalkotott utasítás, illetve folyamat vagy sablon eleinte használatban van, ám ahogy az idők során tudásunk a témáról növekszik, és esetleg a felelős személyek is lecserélődnek, az utasítás, eredeti formájában már nem olyan jól használható. Ekkor, annak revíziója helyett kialakulnak a gyakorlatban jobban használható, dokumentált és jóváhagyott folyamattól eltérő módszerek, és eszközök. Ha egy-két évig nem vagyunk figyelemmel folyamataink és utasításaink frissítésére, egyszerűen elavulnak, és a gyakorlat eltávolodik tőlük. Ennek, azon túl, hogy egy audit során magas labdának számítanak, további hátránya, hogy amennyiben valóban személycserék vannak, a gyakorlati tapasztalat, amelyet ideális esetben a dokumentált folyamatunk tartalmaz, elveszhet, hiszen csak a fejekben van jelen. Ennek következménye, többek között, a következő fejezetben tárgyalt tudásciklusok kialakulása Tudásciklusok Az általam tapasztalt problémát a következőképpen írnám le. Az éppen aktuális kihívásokra tekintve sokáig hajlamos voltam azt hinni, hogy az adott szervezet egész egyszerűen itt tart fejlődésének útján. Vagyis, ha hiányzott például egy incidenskezelési folyamat, vagy a jogosultság-kezelésben voltak alapvető hiányosságok, akkor azt gondoltam, hogy ezek a problémák az adott szervezetben akkor merülnek fel először ami jogos feltételezésnek tűnt. A probléma kiváltó okát akkor ismertem fel, amikor lehetőségem nyílt átnézni adott vállalatok több, egymást követő IS vezetőjének azon terveit és első lépéseit, amelyeket akkor készítettek, amikor átvették a terület vezetését. Ekkor ugyanis gőzerővel készülnek 20

Információbiztonság irányítása

Információbiztonság irányítása Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság

Részletesebben

Az ISO 27001-es tanúsításunk tapasztalatai

Az ISO 27001-es tanúsításunk tapasztalatai Az ISO 27001-es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft. 2012. május 11. Az ISO 27000-es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő

Részletesebben

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában Előadó: Ivanyos János Trusted Business Partners Kft. ügyvezetője Magyar Közgazdasági Társaság Felelős Vállalatirányítás szakosztályának

Részletesebben

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015. Óbudai Egyetem Neumann János Informatikai Kar Tóth Béla 2015. Név: Tóth Béla Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma Főállásban: Pénzügyi szektor IT Infrastruktúra

Részletesebben

Bevezetés az Informatikai biztonsághoz

Bevezetés az Informatikai biztonsághoz AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Bevezetés az Informatikai biztonsághoz 2012 Szeptember 12. Mi a helyzet manapság az informatikával? Tévedni emberi dolog,

Részletesebben

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági

Részletesebben

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?) Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?) Év indító IT szakmai nap - PSZÁF Budapest, 2007.01.18 Honnan indultunk? - Architektúra EBH IT

Részletesebben

Projektmenedzsment sikertényezők Információ biztonsági projektek

Projektmenedzsment sikertényezők Információ biztonsági projektek Projektmenedzsment sikertényezők Információ biztonsági projektek A Project Management Institute (PMI, www.pmi.org) részletesen kidolgozott és folyamatosan fejlesztett metodológiával rendelkezik projektmenedzsment

Részletesebben

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

Kockázatok az új minőségirányítási rendszerszabvány tervezetében Kockázatok az új minőségirányítási rendszerszabvány tervezetében Dr. Horváth Zsolt 2014 A kockázat az új ISO 9001-ben MSZ/T ISO/DIS 9001:2014 (ISO/DIS 9001:2014): Bevezetés 05. Kockázatalapú gondolkodás

Részletesebben

IT biztonsági törvény hatása

IT biztonsági törvény hatása IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek

Részletesebben

Üzletmenet folytonosság menedzsment [BCM]

Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment Megfelelőség, kényszer? Felügyeleti előírások Belső előírások Külföldi tulajdonos előírásai Szabványok, sztenderdek, stb Tudatos

Részletesebben

Pécsi Tudományegyetem Közgazdaságtudományi Kar

Pécsi Tudományegyetem Közgazdaságtudományi Kar Pécsi Tudományegyetem Közgazdaságtudományi Kar ÜZLETI TANÁCSADÓ szakirányú továbbképzési szak Az üzleti tanácsadás napjaink egyik kulcsfontosságú ágazata az üzleti szférában. A tercier szektor egyik elemeként

Részletesebben

Az ITIL hazai alkalmazhatóságának kérdései

Az ITIL hazai alkalmazhatóságának kérdései Az ITIL hazai alkalmazhatóságának kérdései Szabó Zoltán Ph.D Budapesti Corvinus Egyetem Információrendszerek Tanszék Az IT szervezet, mint szolgáltató Milyen az IT hazai elismertsége? Az IT Innovációs

Részletesebben

Az informatikai biztonsági kockázatok elemzése

Az informatikai biztonsági kockázatok elemzése ROBOTHADVISELÉS S 2009 Az informatikai biztonsági kockázatok elemzése Muha Lajos PhD, CISM főiskolai tanár, mb. tanszékvezet kvezető ZMNE BJKMK IHI Informatikai Tanszék 1 Az informatikai biztonság Az informatikai

Részletesebben

2013.09.19. Master of Arts. International Hotel Management and Hotel Companies management. Stratégiai gondolkodás fejlődése

2013.09.19. Master of Arts. International Hotel Management and Hotel Companies management. Stratégiai gondolkodás fejlődése Master of Arts International Hotel Management and Hotel Companies management Stratégiai gondolkodás fejlődése Szükség van-e stratégiai menedzsmentre? Peter Lorange kritikus alapkérdései Gyorsan változó

Részletesebben

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője 1 Az előadás témái Emlékeztetőül: összefoglaló a változásokról Alkalmazási

Részletesebben

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel TÁMOP-6.2.5.A-12/1-2012-0001 Egységes külső felülvizsgálati rendszer kialakítása a járó- és fekvőbeteg szakellátásban, valamint a gyógyszertári ellátásban Az akkreditáció és a klinikai audit kapcsolata

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE AZ INFORMATIKAI BIZTONSÁG MÉRÉSE Muha Lajos tanszékvezető főiskolai tanár ZMNE Bolyai János Katonai Műszaki Kar Informatikai Tanszék E-mail: muha.lajos@zmne.hu Összefoglalás: A biztonság mérése az informatikai

Részletesebben

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA Témavezető: Dr. Juhász István egyetemi adjunktus Készítette: Lőrincz Tímea gazdaságinformatikus (BSc) szak

Részletesebben

SZOLGÁLTATÁS MENEDZSMENT

SZOLGÁLTATÁS MENEDZSMENT 1. óra SZOLGÁLTATÁS MENEDZSMENT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének 2014. december 15-én megtartott ülésének jegyzőkönyvéből Bocskaikert Községi Önkormányzat Képviselő-testületének 131/2014. (XII.15.) KT.

Részletesebben

INFORMÁCI CIÓS ERŐFORRÁSOK ÉS RENDSZEREK

INFORMÁCI CIÓS ERŐFORRÁSOK ÉS RENDSZEREK INFORMÁCI CIÓS ERŐFORRÁSOK ÉS INFORMÁCI CIÓS RENDSZEREK Milyen ismereteket sajátítunk tunk el e téma keretében? Adat Információ Tudás Az információ mint stratégiai erőforrás A vállalat információs rendszere

Részletesebben

The Leader for Exceptional Client Service. szolgáltatások

The Leader for Exceptional Client Service. szolgáltatások The Leader for Exceptional Client Service IT biztonsági szolgáltatások ACE + L A BDO VILÁGSZERTE A BDO a világ ötödik legnagyobb könyvelő, könyvvizsgáló, profeszszionális tanácsadó hálózata. A világ több

Részletesebben

Információ menedzsment

Információ menedzsment Információ menedzsment Szendrői Etelka Rendszer- és Szoftvertechnológiai Tanszék szendroi@witch.pmmf.hu Infrastruktúra-menedzsment Informatikai szolgáltatások menedzsmentje Konfigurációkezelés Gyorssegélyszolgálat

Részletesebben

Fókuszban az információbiztonság

Fókuszban az információbiztonság Belső kontrollok és integritás az önkormányzatoknál konferencia Fejér Megyei Kormányhivatal Székesfehérvár, 2013.11.7. Fókuszban az információbiztonság A 2013. évi L. tv-nek való megfeleléshez szükséges

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1 A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi

Részletesebben

Az Agrármérnöki MSc szak tananyagfejlesztése TÁMOP-4.1.2-08/1/A-2009-0010 A NÖVÉNYTERMESZTÉSI ÁGAZATOK ÖKONÓMIÁJA

Az Agrármérnöki MSc szak tananyagfejlesztése TÁMOP-4.1.2-08/1/A-2009-0010 A NÖVÉNYTERMESZTÉSI ÁGAZATOK ÖKONÓMIÁJA Az Agrármérnöki MSc szak tananyagfejlesztése TÁMOP-4.1.2-08/1/A-2009-0010 A NÖVÉNYTERMESZTÉSI ÁGAZATOK ÖKONÓMIÁJA 11. Előadás Az üzleti terv tartalmi követelményei Az üzleti terv tartalmi követelményei

Részletesebben

Az információbiztonság új utakon

Az információbiztonság új utakon Az információbiztonság új utakon Előadó: Kmetty József vezérigazgató Jozsef.Kmetty@kurt.hu Az információs társadalom jelentősége Nincs olyan eszköz, amelyhez az ember ne folyamodna, hogy megmeneküljön

Részletesebben

A könyvvizsgálat módszertana

A könyvvizsgálat módszertana A könyvvizsgálat módszertana Belső ellenőrzés és a könyvvizsgálat 2011 Deloitte Magyarország Tematika A belső ellenőrzési rendszer célja és típusai A belső ellenőrzési rendszer szerepe a könyvvizsgálat

Részletesebben

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

ISO 9001 kockázat értékelés és integrált irányítási rendszerek BUSINESS ASSURANCE ISO 9001 kockázat értékelés és integrált irányítási rendszerek XXII. Nemzeti Minőségügyi Konferencia jzr SAFER, SMARTER, GREENER DNV GL A jövőre összpontosít A holnap sikeres vállalkozásai

Részletesebben

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet Konfiguráció menedzsment bevezetési tapasztalatok Vinczellér Gábor AAM Technologies Kft. Tartalom 2 Bevezetés Tipikus konfigurációs adatbázis kialakítási projekt Adatbázis szerkezet Adatbázis feltöltés

Részletesebben

Információ menedzsment

Információ menedzsment Információ menedzsment Szendrői Etelka Rendszer- és Szoftvertechnológiai Tanszék szendroi@witch.pmmf.hu Infrastruktúra-menedzsment Informatikai szolgáltatások menedzsmentje Konfigurációkezelés Gyorssegélyszolgálat

Részletesebben

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből Dr. Fekete István Budapesti Corvinus Egyetem tudományos munkatárs SzigmaSzervíz Kft. ügyvezető XXIII. Magyar

Részletesebben

SCORECARD ALAPÚ SZERVEZETIRÁNYÍTÁSI MÓDSZEREK BEMUTATÁSA

SCORECARD ALAPÚ SZERVEZETIRÁNYÍTÁSI MÓDSZEREK BEMUTATÁSA Budapesti Gazdasági Főiskola KÜLKERESKEDELMI FŐISKOLAI KAR Nemzetközi marketing és teljes körű minőségirányítás szak Nappali tagozat Minőségirányítási menedzser szakirány SCORECARD ALAPÚ SZERVEZETIRÁNYÍTÁSI

Részletesebben

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1 A biztonságérzet a veszély érzékelésének hiánya 2 Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység

Részletesebben

Projektmenedzsment státusz autóipari beszállító cégeknél tréning tapasztalatok alapján herczeg.ivan@pmakademia.hu mobil: +36-20-485-02-80

Projektmenedzsment státusz autóipari beszállító cégeknél tréning tapasztalatok alapján herczeg.ivan@pmakademia.hu mobil: +36-20-485-02-80 Projektmenedzsment státusz autóipari beszállító cégeknél tréning tapasztalatok alapján herczeg.ivan@pmakademia.hu mobil: +36-20-485-02-80 Herczeg Iván Mesteroktató Semmelweis Egyetem. Szervező mérnök First

Részletesebben

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) 2-8/2014 KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) Jóváhagyom: Karcag, 2014. július Oldal: 1 / 9 1. IBS dokumentum karbantartás Dokumentum változások története Verzió Dátum

Részletesebben

a) Jellemezze a divizionális szervezetet! Mik a divíziók alapfeladatai? b) Mi a különbség költséghely és költségközpont (cost center) között?

a) Jellemezze a divizionális szervezetet! Mik a divíziók alapfeladatai? b) Mi a különbség költséghely és költségközpont (cost center) között? a) Jellemezze a divizionális szervezetet! Mik a divíziók alapfeladatai? b) Mi a különbség költséghely és költségközpont (cost center) között? c) Mutassa be a jövedelmezőség mérésére használt fontosabb

Részletesebben

Értékesítések (összes, geográfiai -, ügyfelenkénti-, termékenkénti megoszlás)

Értékesítések (összes, geográfiai -, ügyfelenkénti-, termékenkénti megoszlás) Saját vállalkozás Értékesítések (összes, geográfiai -, ügyfelenkénti-, termékenkénti megoszlás) Piaci részesedés Haszonkulcs Marketing folyamatok Marketing szervezet Értékesítési/marketing kontrol adatok

Részletesebben

Üzleti folyamatok. Vezetői összefoglaló. Az ADAPTO megoldásról. Pro-CLR Kft.

Üzleti folyamatok. Vezetői összefoglaló. Az ADAPTO megoldásról. Pro-CLR Kft. Üzleti folyamatok Tranzakciók Telekommunikáció Informatika Vezetői összefoglaló Az ADAPTO megoldásról Pro-CLR Kft. Tartalom 1 Az Adapto rendszer bemutatása... 2 1.1 Bevezetés... 2 1.2 Mi az ADAPTO... 2

Részletesebben

Vezetői információs rendszerek

Vezetői információs rendszerek Vezetői információs rendszerek Kiadott anyag: Vállalat és információk Elekes Edit, 2015. E-mail: elekes.edit@eng.unideb.hu Anyagok: eng.unideb.hu/userdir/vezetoi_inf_rd 1 A vállalat, mint információs rendszer

Részletesebben

Vezetői számvitel / Controlling II. előadás. Controlling rendszer kialakítása Controlling részrendszerek A controller

Vezetői számvitel / Controlling II. előadás. Controlling rendszer kialakítása Controlling részrendszerek A controller Vezetői számvitel / Controlling II. előadás Controlling rendszer kialakítása Controlling részrendszerek A controller I. A controlling rendszer kialakítását befolyásoló tényezők A controlling rendszer kialakítását

Részletesebben

ÉLELMISZERLÁNC-BIZTONSÁGI STRATÉGIA

ÉLELMISZERLÁNC-BIZTONSÁGI STRATÉGIA ÉLELMISZERLÁNC-BIZTONSÁGI STRATÉGIA Jordán László elnökhelyettes 2015. január 5. A növényvédelem helye az élelmiszerláncban Élelmiszer-biztonság egészség Élelmiszerlánc-biztonság Egészség gazdaság - környezet

Részletesebben

Informatikai prevalidációs módszertan

Informatikai prevalidációs módszertan Informatikai prevalidációs módszertan Zsakó Enikő, CISA főosztályvezető PSZÁF IT szakmai nap 2007. január 18. Bankinformatika Ellenőrzési Főosztály Tartalom CRD előírások banki megvalósítása Belső ellenőrzés

Részletesebben

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30.

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30. A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt 2013. május 30. aegon.com Védelmi vonalak Kockázat 1. védelmi vonal Mindenki (Aktuáriusok) 2. védelmi vonal Kockázatkezelés, Compliance 3.

Részletesebben

STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE

STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE Mi az üzleti tervezés A józan ész diadala az önámítás felett A tervezés tisztán matematika Nagy számok törvénye Egy egész szám felírható néhány

Részletesebben

STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE

STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE STRATÉGIAALKOTÁS, ÜZLETI TERVEZÉS A VÁLLALKOZÁS KREATÍV RÉSZE MI AZ ÜZLETI TERVEZÉS A józan ész diadala az önámítás felett A józan ész diadala az önámítás felett A TERVEZÉS TISZTÁN MATEMATIKA Nagy számok

Részletesebben

EURÓPA BRÓKERHÁZ ZRT. Összeférhetetlenségi politika

EURÓPA BRÓKERHÁZ ZRT. Összeférhetetlenségi politika Összeférhetetlenségi politika Az igazgatói utasítás hatályba léptető határozatának száma: 2012/12/1. 2014/03/31. A hatályba lépés dátuma: Módosítást hatályba léptető határozat száma: Módosítás hatályba

Részletesebben

Üzletmenet folytonosság Üzletmenet? folytonosság?

Üzletmenet folytonosság Üzletmenet? folytonosság? Üzletmenet folytonosság Üzletmenet? folytonosság? avagy "mit is ér a hogyishívják" Léstyán Ákos vezető auditor ISO 9001, 27001, 22000, 22301 BCP - Hétpecsét 1 Hétfőn sok ügyfelet érintett egyszerűen nem

Részletesebben

Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére

Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére Ikt.sz: 13-14/2015/221 Heves Megyei Közgyűlés Helyben Tisztelt Közgyűlés! Javaslat a Heves Megyei Önkormányzat és intézményei 2016. évi Ellenőrzési Tervére A Heves Megyei Közgyűlés 2015. évi munkatervének

Részletesebben

Informatikai biztonsági ellenőrzés

Informatikai biztonsági ellenőrzés Informatikai biztonsági ellenőrzés { - az ellenőrzés részletes feladatai Budai László IT Biztonságtechnikai üzletágvezető Informatikai biztonsági ellenőrzés { - Bemutatkozás www.nador.hu I Tel.: + 36 1

Részletesebben

Az ITIL egyszeruen. avagy. híd

Az ITIL egyszeruen. avagy. híd Az ITIL egyszeruen avagy híd 1 A piaci megatrend millió USD 300 Üzemeltetés (outsourcing) Üzembeállítás és támogatás 200 Alkalmazáskészítés Rendszer- és hálózatintegrálás 100 Informatikai tanácsadás és

Részletesebben

Andrews Kft. A technológia megoldás szállító.

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu> Andrews Kft. A technológia megoldás szállító. Az Andrews bemutatása. 1999 derekán alakult az ALF tűzfal fejlesztésére. Csak magyar tulajdonosok. Tulajdonosok zömében mérnökök

Részletesebben

Indoklás (a hiányosan teljesülő eredmények megjelölésével) Rangsorolás (N/P/L/F)

Indoklás (a hiányosan teljesülő eredmények megjelölésével) Rangsorolás (N/P/L/F) 1. szint Végrehajtott folyamat PA 1.1 Folyamat-végrehajtás Rangsorolás (N/P/L/F) Indoklás (a hiányosan teljesülő eredmények megjelölésével) Célmeghatározás: A vizsgálati eljárás a felelős vállalkozás irányítási

Részletesebben

ISO 9001 revízió Dokumentált információ

ISO 9001 revízió Dokumentált információ ISO 9001 revízió Dokumentált információ Dokumentumkezelés manapság dokumentált eljárás Minőségi kézikönyv DokumentUM feljegyzés Dokumentált eljárás feljegyzések kezeléséhez Dokumentált eljárás dokumentumok

Részletesebben

IT üzemeltetés és IT biztonság a Takarékbankban

IT üzemeltetés és IT biztonság a Takarékbankban IT üzemeltetés és IT biztonság a Takarékbankban Előadó: Rabatin József Üzleti stratégia igények Cél? IT és IT biztonsági stratégia Mit? Felmérés, Feladatok, Felelősség Minőségbiztosítás Mennyiért? Hogyan?

Részletesebben

A stratégiai tervezés módszertana. Koplányi Emil. elearning Igazgatóság Educatio KHT.

A stratégiai tervezés módszertana. Koplányi Emil. elearning Igazgatóság Educatio KHT. A stratégiai tervezés módszertana Koplányi Emil elearning Igazgatóság Educatio KHT. 1 Tartalom 1. A stratégiai tervezés szerepe a szaktanácsadói munkában 2. Stratégiai tervezés alapjai 3. Küldetés (misszió),

Részletesebben

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Nincs informatika-mentes folyamat! Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos Az elıadás témái 2 Miért, mit, hogyan? Az IT ellenırzés

Részletesebben

2651. 1. Tételsor 1. tétel

2651. 1. Tételsor 1. tétel 2651. 1. Tételsor 1. tétel Ön egy kft. logisztikai alkalmazottja. Ez a cég új logisztikai ügyviteli fogalmakat kíván bevezetni az operatív és stratégiai működésben. A munkafolyamat célja a hatékony készletgazdálkodás

Részletesebben

SLA RÉSZLETESEN. 14. óra

SLA RÉSZLETESEN. 14. óra 14. óra SLA RÉSZLETESEN Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)

Részletesebben

Változásmenedzsment.

Változásmenedzsment. Változásmenedzsment. A változásmenedzsment a változások kezelésére használt folyamatok, eszközök és technikák összessége, annak érdekében, hogy a lehető legjobb eredményt érhessük el. Felhasznált eredmények,

Részletesebben

Minőségügyi rendszerek szakmérnök szakirányú továbbképzés

Minőségügyi rendszerek szakmérnök szakirányú továbbképzés Minőségügyi rendszerek szakmérnök szakirányú továbbképzés (Szakirányú továbbképzési (szakmérnöki) szak) Munkarend: Levelező Finanszírozási forma: Költségtérítéses Költségtérítés (összesen): 375 000 Ft

Részletesebben

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT 10. óra BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés:

Részletesebben

A 9001:2015 a kockázatközpontú megközelítést követi

A 9001:2015 a kockázatközpontú megközelítést követi A 9001:2015 a kockázatközpontú megközelítést követi Tartalom n Kockázat vs. megelőzés n A kockázat fogalma n Hol található a kockázat az új szabványban? n Kritikus megjegyzések n Körlevél n Megvalósítás

Részletesebben

Jogalkotási előzmények

Jogalkotási előzmények Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes

Részletesebben

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató Informatikai adatvédelem a gyakorlatban Dr. Kőrös Zsolt ügyvezető igazgató Az informatika térhódításának következményei Megnőtt az informatikától való függőség Az informatikai kockázat üzleti kockázattá

Részletesebben

Szolgáltatás Orientált Architektúra a MAVIR-nál

Szolgáltatás Orientált Architektúra a MAVIR-nál Szolgáltatás Orientált Architektúra a MAVIR-nál Sajner Zsuzsanna Accenture Sztráda Gyula MAVIR ZRt. FIO 2009. szeptember 10. Tartalomjegyzék 2 Mi a Szolgáltatás Orientált Architektúra? A SOA bevezetés

Részletesebben

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17.

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17. AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE 2015. Szeptember 17. SGS BEMUTATÁSA Alapítás: 1878 Központ: Genf, Svájc Tevékenység: Ellenőrzés, vizsgálat és tanúsítás Szervezet: 80.000

Részletesebben

Az informatikai katasztrófa elhárítás menete

Az informatikai katasztrófa elhárítás menete Az informatikai katasztrófa elhárítás menete A katasztrófa elhárításáért felelős személyek meghatározása Cég vezetője (ügyvezető): A Cég vezetője a katasztrófa elhárítás első számú vezetője. Feladata:

Részletesebben

Krasznay Csaba ZMNE doktorandusz

Krasznay Csaba ZMNE doktorandusz Krasznay Csaba ZMNE doktorandusz Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal? Válasz: mert e-közigazgatási rendszerek esetén nemzeti

Részletesebben

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus

Részletesebben

A könyvvizsgálati standardok változásai

A könyvvizsgálati standardok változásai XXIII. Országos Könyvvizsgálói Konferencia Visegrád 2015. Szeptember 4-5. A könyvvizsgálati standardok változásai dr. Ladó Judit Alelnök Magyar Könyvvizsgálói Kamara Előzmény 1 Nemzetközi Könyvvizsgálati

Részletesebben

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai Dr. Szádeczky Tamás Irányítási rendszerek ISO megközelítés Irányítási rendszer - Rendszer politika és célok megfogalmazásához,

Részletesebben

Vidék Akadémia a vidék jövőjéért 2012. október 16-18., Mezőtúr. Közösségi tervezés

Vidék Akadémia a vidék jövőjéért 2012. október 16-18., Mezőtúr. Közösségi tervezés Vidék Akadémia a vidék jövőjéért 2012. október 16-18., Mezőtúr Közösségi tervezés Sain Mátyás VÁTI Nonprofit Kft. Területi Információszolgáltatási és Tervezési Igazgatóság Területfejlesztési és Urbanisztikai

Részletesebben

A HORIZONT 2020 ÁLTALÁNOS JELLEMZŐI

A HORIZONT 2020 ÁLTALÁNOS JELLEMZŐI A HORIZONT 2020 ÁLTALÁNOS JELLEMZŐI Ki pályázhat? A kedvezményezett lehet: Konzorcium Önálló jogi entitás Országokra vonatkozó szabályok Kutatók Kutatói csoportok Együttműködés Párhuzamos finanszírozások

Részletesebben

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június

A BorsodChem Csoport Etikai Vonal Szabályzata. 2009. június A BorsodChem Csoport Etikai Vonal Szabályzata 2009. június 1. A SZABÁLYZAT CÉLJA Az Etikai Vonal működésének részletes leírása, a felelősség és hatáskörök egyértelmű rögzítése, a bejelentett panaszok

Részletesebben

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata Balatonalmádi, 2015. 09. 17. Dr. Horváth Zsolt, egyetemi adjunktus Óbudai Egyetem, Kandó Kálmán Villamosmérnöki Kar AZ

Részletesebben

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon Szabó Katalin Csilla felügyelő Tőkepiaci felügyeleti főosztály Tőkepiaci és piacfelügyeleti igazgatóság 2015. november 27. 1 A

Részletesebben

Informatikai biztonsági elvárások

Informatikai biztonsági elvárások Informatikai biztonsági elvárások dr. Dedinszky Ferenc kormány-fıtanácsadó informatikai biztonsági felügyelı 2008. július 2. Tartalom Átfogó helyzetkép Jogszabályi alapok és elıírások Ajánlások, a MIBA

Részletesebben

Szervezeti működésfejlesztés komplexitása CMC minősítő előadás

Szervezeti működésfejlesztés komplexitása CMC minősítő előadás Szervezeti működésfejlesztés komplexitása CMC minősítő előadás Sarlósi Tibor 2012. február 28. Érintett területek 1 Diagnózis 2 Stratégiamenedzsment 3 Folyamatmenedzsment 4 Projektmenedzsment 6 rendszerek

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

2015-2018. Község Önkormányzata

2015-2018. Község Önkormányzata Ikt.szám:../2015 BELSŐ ELLENŐRZÉSI STRATÉGIAI TERV 2015-2018. Község Önkormányzata A belső ellenőrzési feladat végrehajtására különböző szintű előírások vonatkoznak. Törvényi szinten az Államháztartási

Részletesebben

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT 7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT Az államháztartás működési rendjéről szóló - többször módosított - 292/2009. (XII. 19.) Korm. rendelet 157..

Részletesebben

Technológia az adatszivárgás ellen

Technológia az adatszivárgás ellen 2008.12.15. Technológia az adatszivárgás ellen 2008. november 17. Fazekas Éva, Processorg Software 82 Kft. Áttekintés 1 A probléma 1. blé 2. Az elvárt eredmény 3. Megoldási lehetőségek 4. A technológia

Részletesebben

JOGI, MEGFELELŐSÉGI ELEMZÉS

JOGI, MEGFELELŐSÉGI ELEMZÉS JOGI, MEGFELELŐSÉGI ELEMZÉS A compliance szerepe az Állami Számvevőszék tevékenységében Előadó: Dr. Farkasinszki Ildikó szervezési vezető, Állami Számvevőszék Compliance szervezeti integritás A compliance

Részletesebben

Az építészeti öregedéskezelés rendszere és alkalmazása

Az építészeti öregedéskezelés rendszere és alkalmazása DR. MÓGA ISTVÁN -DR. GŐSI PÉTER Az építészeti öregedéskezelés rendszere és alkalmazása Magyar Energetika, 2007. 5. sz. A Paksi Atomerőmű üzemidő hosszabbítása előkészítésének fontos feladata annak biztosítása

Részletesebben

Változások folyamata

Változások folyamata ISO 9001:2008 Változások az új szabványban Változások folyamata A változtatások nem csak a rendszer dokumentumait előállítókra vonatkozik, hanem: az ellenőrzéseket végzőkre, a belső auditot végzőkre, és

Részletesebben

dr. Belicza Éva minőségügyi programok szakmai vezetője dr. Török Krisztina főigazgató Mihalicza Péter főosztályvezető

dr. Belicza Éva minőségügyi programok szakmai vezetője dr. Török Krisztina főigazgató Mihalicza Péter főosztályvezető A Nemzeti Egészségügyi Minőségfejlesztési és Betegbiztonsági Stratégia (MIBES 2011) koncepciója és a megvalósítás feladatai a GYEMSZI Minőségügyi Főosztályán dr. Belicza Éva minőségügyi programok szakmai

Részletesebben

Települési ÉRtékközpont

Települési ÉRtékközpont TÉR Települési ÉRtékközpont Lajosmizse Város Önkormányzata településüzemeltetési és -fejlesztési program kidolgozása KÉPZÉS Stratégiák szerepe 2009. A közpolitika fogalma Közpolitika: az aktuálpolitika

Részletesebben

XXIII. MAGYAR MINŐSÉG HÉT

XXIII. MAGYAR MINŐSÉG HÉT XXIII. MAGYAR MINŐSÉG HÉT MŰHELYMUNKA MINŐSÉGIRÁNYÍTÁSI RENDSZEREK ÁTALAKÍTÁSA AZ ISO 9001:2015 SZERINT GYAKORLATI FOGÁSOK. TOHL ANDRÁS TECHNIKAI VEZETŐ SGS HUNGÁRIA KFT. NAPIREND Bevezetés, problémák,

Részletesebben

Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység Az 50001-es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység Qualidat Kft. Együttműködésben az ÉMI TÜV SÜD-del Tartalomjegyzék Bevezetés A feladatok Projektmenedzsment

Részletesebben