ALKALMAZÁSI MÓDSZEREK 3. kiadás

Átírás

1 ALKALMAZÁSI MÓDSZEREK 3. kiadás MTA Információtechnológiai Alapítvány 2003

2 COBIT AZ INFORMÁCIÓ TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ HOZ ÉS ELLEN RZÉSÉHEZ IT GOVERNANCE INSTITUTE 1

3 IT GOVERNANCE INSTITUTE COBIT 3. kiadás Alkalmazási módszerek július A COBIT Irányító Bizottsága és az IT Governance Institute TM gondozásában A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény, általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az üzletemberek, ellen rök és könyvvizsgálók 2

4 3

5 4

6 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket. Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: Szakképesítési programja (Okleveles információs rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét. Az Information Systems Audit and Control Association 1969 ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével egy olyan ágazatban, ahol nano szekundumokban mérik az el relépéseket. További információk További felvilágosításért hívja a ös telefonszámot, írjon e mail címünkre (research@isaca.org), vagy keressen fel minket az Internet-en az alábbi oldalakon: 5

7 TARTALOMJEGYZÉK Köszönetnyilvánítás Vezet i összefoglaló A COBIT keretrendszer A keretrendszer alapelvei COBIT történelem és el zmények Kontroll irányelvek Összefoglaló táblázat Alkalmazási útmutató Hogyan vezessük be a COBIT-ot szervezetünknél Hogyan alkalmazzuk a COBIT-ot szervezetünknél Vezet i tájékozottság diagnosztizálása Informatikai kontroll diagnosztizálása COBIT esettanulmányok A COBIT-tal kapcsolatos leggyakoribb kérdések és a válaszok I. Melléklet II. Melléklet III. Melléklet IV. Melléklet Informatikai irányításhoz kapcsolódó vezet i útmutató COBIT projekt ismertetés Els dleges COBIT hivatkozási források Szójegyzék 6

8 A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a Termék ), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében. Közzététel és szerz i jog Copyright 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön elektronikus, mechanikus, hangfelvétel, vagy más keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: Copyright 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével. Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels, nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL USA Telefon: Fax: E mail: Internet: research@isaca.org ISBN ISBN (Összefoglaló áttekintés) X (a 6 teljes könyv CD ROM-mal együtt) Készült az Amerikai Egyesült Államokban. 7

9 KÖSZÖNETNYILVÁNÍTÁS PROJEKT CSOPORT Erik Guldentops. S.W.I.F.T. sc. Belgium Eddy Schuermans, PricewaterhouseCoopers, Belgium COBIT IRÁNYÍTÓ BIZOTTSÁG Erik Guldentops. S.W.I.F.T. sc. Belgium John Beveridge, State Auditor s Office, Massachusetts, USA Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels, Elnök BRT, Belgium Gary Hardy, Arthur Andersen, Egyesült Királyság John Lainhart, PricewaterhouseCoopers, USA Akira Matsuo, Chuo Audit Corporation, Japán Eddy Schuermans, PricewaterhouseCoopers, Belgium Paul Williams, Arthur Andersen, Egyesült Királyság KUTATÓK Prof. Ulric J. Gelinas Bentley College, Watham, MA SZAKÉRT I ÁTTEKINTÉS Bostoni Egyesület National Capital Area Egyesület KÜLÖN KÖSZÖNET az Information Systems Audit and Control Association Igazgatóságának tagjainak és az Information Systems Audit and Control Foundation vagyonkezel inek, élükön Paul Williams Nemzetközi Elnökkel, a COBIT iránti elkötelezettségükért és folyamatos támogatásukért. 8

10 BEVEZET AZ ALKALMAZÁSI MÓDSZEREKHEZ Az Információ-technológiai Kontroll Irányelvek (COBIT) 1996-ban történt, mérföldk nek számító bevezetése olyan eszközt adott az informatikusok kezébe, amely általánosan alkalmazható az információ-technológiához/informatikához kapcsolódó irányítás és kontroll területén. A COBIT els dleges célja az, hogy világos irányelveket és megfelel gyakorlati útmutatást adjon az informatikai irányításhoz a szervezetek számára hogy segítsen a fels vezetésnek az informatikához kapcsolódó kockázatok megértésében és kezelésében. A COBIT ennek a célnak a megvalósítása érdekében egy informatikai irányítási keretrendszert és egy részletes kontroll irányelveket tartalmazó útmutatót kínál a fels vezetés, az üzleti folyamatokért felel s vezet k, a felhasználók és az ellen rök számára. A COBIT abból az egyszer és pragmatikus alaptételb l indul ki, hogy: a szervezet célkit zéseinek teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni. A COBIT egyszer, üzlet-orientált hierarchikus rend szerint csoportosítja ezeket az eljárásokat. Minden egyes eljárásnál kitér az informatikai er források kérdésére, valamint az információkra vonatkozó min ségi, kezelési és biztonsági követelményekre is. Mivel a COBIT üzlet-orientált módszertan, segítségével könnyen megérthet ek az informatikai kontroll irányelvek, amelyek segítenek az informatkához kapcsolódó kockázatok kezelésében: els lépésként ki kell jelölni az üzleti célkit zést a Keretrendszerben, azután ki kell választani az ahhoz kapcsolódó megfelel informatikai eljárásokat és kontroll m veleteket a Kontroll Irányelvek közül; meg kell vizsgálni azok m ködését az üzleti terv alapján; és fel kell mérni az eljárásokat és az eredményeket az Auditálási útmutató segítségével. A COBIT Irányító Bizottsága a COBIT kiadását követ en azonnal hozzáfogott annak a kérdésnek az elemzéséhez, hogy a globális követend normákat hogyan lehet alkalmazni. Ennek a munkának az eredményeként született meg ez az Alkalmazási módszerek cím rész, amely a COBIT-ot már sikeresen alkalmazó szervezetek tapasztalatai alapján levont tanulságokat fogalmazza meg mások számára is hasznosítható formában. Az újonnan kidolgozott Vezet i útmutató olyan új koncepciókat és eszközöket vezet be, amelyek új perspektívákat nyitnak meg a COBIT bevezetéséhez és könnyen hozzáigazíthatóak az egyes szervezetek konkrét igényeihez. A fentebb említett tanulságok illetve tanácsok közé tartozhat például a fels vezetés kell id ben történ bevonása a megbeszélésekbe; a keretrendszer ismertetésére való felkészülés (mind általános mind részletes szinten); és más szervezetek sikertörténeteinek idézése. Emellett a COBIT Irányító Bizottság felkérést kapott a legfontosabb pontok részletesebb kifejtésére és egy olyan optimális bevezetési eljárás kidolgozására, amely lépésr l-lépésre 9

11 nyomon követi a szükséges teend ket, példákkal kiegészítve. Az Alkalmazási módszerek tartalma így az alábbi részekb l áll össze: Bevezet összefoglalás Alkalmazási útmutató, dokumentum-mintákkal és ábrákkal Vezet i Tájékozottság Diagnosztizálása és Informatikai Kontroll Diagnosztizálása A COBIT alkalmazását bemutató esettanulmányok Gyakran feltett kérdések és a megfelel válaszok Írásvetít fóliák a COBIT alkalmazásához/eladásához. 10

12 VEZET I ÖSSZEFOGLALÓ A szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában ahol az információ id -, távolsági- és sebesség-korlátok nélkül száguld a kibertérben az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása: a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; egyre nagyobb mérték a szervezetek sebezhet sége és veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket. Sok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet legértékesebb vagyontárgyait. Mindezek mellett napjaink verseny-centrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani. Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat. Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra. A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalatirányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás 11

13 integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásokra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona esetében, figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani. A COBIT immár harmadik kiadásában az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó szakadékok áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott követend gyakorlatok olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem. A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg. 12

14 Az üzleti szemléletmód a COBIT egyik f jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is. A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki: A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni. A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan. A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat. A Vezet i útmutató a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg, javaslatokat ad a vállalat-vezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások 13

15 teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye. A COBIT ún. Érettségi Modelleket kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen hol tart a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. Kritikus sikertényez ket kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. Kritikus cél indexeket kínál, amelyek meghatározzák azokat a mér számokat, amelyek - a megvalósítást követ en - megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. Kritikus teljesítmény indexeket is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez. A COBIT Vezet i útmutató -jában szerepl ajánlások tevékenység-központúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokoljáke a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével? A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez. Az elkövetkez évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti szakadékok áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed, világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az információ technológiához kapcsolódó kockázatok és el nyök megértéséhez és kezeléséhez nyújt segítséget. 14

16 A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA F1 folyamatok felügyelete F2 bels ellen rzés megfelel ségének felmérése F3 független értékelés szerzése F4 független ellen rzés (audit) biztosítása ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS COBIT INFORMÁCIÓ eredményesség hatékonyság bizalmas jelleg sértetlenség hozzáférhet ség szabályosság megbízhatóság TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése FELÜGYELET INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS IT1 szolgáltatási szintek meghatározása és kezelése IT2 küls szolgálttaások kezelése IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése IT13 m ködés irányítása IT ER FORRÁSOK emberek alkalmazási rendsz. k technológia technikai környezet adatok TERVEZÉS ÉS SZERVEZET BESZERZÉS ÉS BEVEZETÉS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése 15

17 A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat. A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz. Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket. Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontrollfunkciók kialakítását, legyen szó akár üzleti, non profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést. Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket. AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szerkezet-átalakítás, a karcsúsítás, a küls szolgáltatók alkalmazása (outsourcing), a részlegek önállósítása és a megosztott feldolgozás 16

18 mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el és fognak még el idézni a szervezetek irányítási struktúrájában és m ködésének ellen rzésében. A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontrollmechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan bakugrás jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia. Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével. A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalat-irányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket. (ábra) 17

19 COBIT ALKALMAZÁSI MÓDSZEREK Vállalatirányítás befolyás és hatás Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson. (ábra) Vállalati tevékenységek információ igény Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalatirányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust. (ábra) Célok KONTROLL Vállalat-irányítás KÖZVETLEN Vállalati tevékenységek Er források JELENTÉS FELHASZNÁLÁS Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz 18

20 COBIT ALKALMAZÁSI MÓDSZEREK kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra. (ábra) Informatikai irányítás Célok Közvetlen Informatikai tevékenységek Szükséges igazodik és támo- TERV Tervezés és szerv. gatja az üzleti cé- CSELEKVÉS Beszerz. és bevez. lokat és maxima- ELLEN RZÉS M ködt. és támog. lizálja az el nyö- KORREKCIÓ Felügyelet ket - Az informatikai Kockázater forrásokat KONTROL kezelés El nyök elérése L hatékonyan hasz- biztonság Automatizá- Költségek nálják fel megbízhatóság ció növelése - csökkentése - Az informatiká- szabályosság eredményesség - hatékonyság hoz kapcsolódó kockázatokat megfelel en Jelentés kezelik Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet! i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en. AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információ-technológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén. 19

21 Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO * az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy betömje ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál. (A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrust TM Rendszer-megbízhatósági alapelvek és kritériumok csomag. A SysTrust-ot, amely részben a COBIT Kontroll irányelveire épül, egyaránt mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.) Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához. A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki. A CÉLKÖZÖNSÉG: VEZETÉS, * Committe of Sponsoring Organizations of the Treadway Commission Internal Control Integrated Framework,

22 FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT: VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg. FELHASZNÁLÓK: a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás. INFORMÁCIÓS RENDSZER ELLEN" RÖK: az ellen ri vélemények alátámasztása és a bels ellen rzéssel kapcsolatos tanácsadás segítése. AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezet-átalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához. A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk. ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A kontroll kifejezés jelentését a COSO Jelentésb l (Internal Control Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az Informatikai (IT) Kontroll Irányelv kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994) A kontroll definíciója Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák. Az informatikai Azon kívánt eredmények illetve célok meghatározása, amelyek 21

23 Kontroll Irányelv definíciója valamely konkrét informatikai területen a kontroll-eljárások alkalmazása révén megvalósíthatóak. Az informatikai irányítás definíciója A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. 22

24 A KERETRENDSZER ALAPELVEI Két különböz kategóriába lehet besorolni a napjainkban alkalmazott ellen rzési vagy kontroll modelleket: az ún. üzleti kontroll modellek osztályába (ilyen pl. a COSO) és a koncentráltabb irányú informatikai kontroll modellek osztályába (ilyen például a DTI). A COBIT a kett közötti szakadékot kívánja áthidalni. A COBIT tehát egyrészt általánosabb jelleg a fenti informatikai kontroll modelleknél, másrészt többet jelent az informatikai rendszerekért felel s vezet k számára, mint puszta technológiai szabványcsomag. A COBIT az informatikai irányítás modellje! A COBIT Keretrendszere arra az alapkoncepcióra épül, hogy az informatika területén a kontroll kérdését az üzleti célkit zések illetve követelmények teljesítéséhez szükséges információkon keresztül kell megközelíteni, és az információkra úgy kell tekinteni, mint az informatikai eljárások által kezelt er források együttes alkalmazásának eredményére. ábra ÜZLETI KÖVETELMÉNYEK INFORMATIKAI ELJÁRÁSOK INFORMATIKAI ER FORRÁSOK Az üzleti célok teljesítése érdekében az információknak meg kell felelniük bizonyos kritériumoknak, amelyekre a COBIT az információkra vonatkozó üzleti követelményekként hivatkozik. A követelmények meghatározásakor a COBIT ötvözi a meglév és ismert hivatkozási modellek alapelveit: Min ségi követelmények Fiduciáris követelmények Biztonsági követelmények Min ség Költség Informatikai szolgáltatás M ködés eredményessége és hatékonysága Információk megbízhatósága Törvényeknek és jogszabályoknak való megfelelés Bizalmas jelleg Sértetlenség Hozzáférhet ség, rendelkezésre állás A min ség kapcsán els sorban annak negatív aspektusaira koncentráltunk (hibamentesség, megbízhatóság, stb.), amelyek nagy részével a sértetlenségi kritérium is foglalkozik. A min ség pozitív, de kevésbé kézzelfogható oldalait (stílus, vonzó tulajdonságok, elvárásokat meghaladó teljesítmény, stb.) egyel re nem vizsgáltuk meg az informatikai kontroll irányelvek szempontjából. Abból az alapkoncepcióból indultunk ki, hogy a legfontosabb 23

25 prioritás a kockázatok, nem pedig a lehet ségek megfelel kezelése. A min ség használhatósági aspektusával az eredményességi kritérium foglalkozik. A min ség informatikai szolgáltatási aspektusa átfedéseket mutat a biztonsági követelmények hozzáférhet ségi aspektusával és bizonyos mértékben az eredményességgel és a hatékonysággal is. Végül a költség kritériummal a hatékonyság is foglalkozik. A fiduciáris követelmények kapcsán a COBIT nem akarta újra feltalálni a kereket átvettük a m ködés eredményességére és hatékonyságára, az információk megbízhatóságára és a jogszabályoknak való megfelelésre vonatkozó COSO definíciókat, azzal a különbséggel, hogy az információk megbízhatósági kritériumát kiterjesztettük minden információra nemcsak a pénzügyiekre. A biztonsági követelmények kapcsán a COBIT a bizalmas jelleget, a sértetlenséget és a hozzáférhet séget, rendelkezésre állást kezeli a legfontosabb kritériumokként ezt a három szempontot használják világszerte az informatikai biztonsági követelmények leírásához. Az átfogóbb tartalmú min ségi, fiduciáris és biztonsági követelményekb l kiindulva hét különböz, bizonyos esetekben egymást átfed, kategória került meghatározásra. Ezeknek a kategóriáknak a tartalmát az alábbiak szerint definiálja a COBIT: Eredményesség Hatékonyság ahhoz kapcsolódik, hogy az információk relevánsak-e az üzleti folyamatok szempontjából illetve, hogy a megfelel id ben, pontos, egységes, ellentmondásmentes és felhasználható formában állnak e rendelkezésre ahhoz kapcsolódik, hogy az információk az er források optimális (a lehet leghatékonyabb és leggazdaságosabb) felhasználása révén lettek-e el állítva Bizalmasság a bizalmas és titkos információk engedély nélküli közzétételének megel zéséhez kapcsolódik Sértetlenség, összhang Hozzáférhet ség. rendelkezésre állás Szabályszer ség, megfelel ség Megbízhatóság az információk pontosságához és teljességéhez, valamint az üzleti értékekkel és elvárásokkal összefügg érvényességéhez kapcsolódik ahhoz kapcsolódik, hogy az információk rendelkezésre állnak-e az üzleti folyamatok által megkívánt szükséges id ben. A szükséges er források és az azokhoz kapcsolódó kapacitások védelmére is kiterjed. az üzleti folyamatokra vonatkozó illetve a kapcsolódó törvényeknek, jogszabályoknak és szerz déses kötelezettségeknek való megfeleléshez kapcsolódik, amelyek alanya az adott szervezet és tevékenysége, úm. a szervezettel szemben kívülr l megszabott üzleti feltételek. ahhoz kapcsolódik, hogy megfelel információkat kap-e a 24

26 vezetés a szervezet m ködtetéséhez és a pénzügyi és egyéb kötelez jelentések elkészítéséhez A COBIT keretében meghatározott informatikai er források az alábbiak szerint definiálhatók: Adatok Alkalmazási rendszerek Technológia Technikai környezet Emberek A legszélesebb értelemben vett (úm. küls és bels ) strukturált és nem strukturált, grafikus, audio, stb. információk. A manuális és programozott eljárások összessége. A hardver, az operációs rendszerek, az adatbázis kezel rendszerek, a hálózatok, a multimédia eszközök, stb. Mindazok az er források, fizikai környezet, amelyek lehet vé teszik és segítik az információs rendszerek m ködését. Az információs rendszerek és szolgáltatások tervezéséhez, szervezéséhez, beszerzéséhez, üzemeltetéséhez és felügyeletéhez szükséges munkaer és annak képzettsége, ismeretei és képességei tartoznak ide. A pénzt illetve t két nem soroltuk az informatikai er források közé a kontroll irányelvek besorolása kapcsán, mivel azt a fenti er források bármelyikének biztosításához fel lehet használni. Meg kell azt is jegyezni, hogy a Keretrendszer nem hivatkozik külön az egyes informatikai eljárásokhoz kapcsolódó összes lényeges kérdés dokumentációjára. A megfelel kontrollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen leírások hiánya további ellen rzések és elemzések elvégzését teszi szükségessé minden egyes konkrét vizsgálati területen. Az informatikai er források és a szolgáltatások biztosítása közötti kapcsolatot egy más szemszögb l világítja meg az alábbi ábra: (ábra) ESEMÉNYEK Üzleti célok Üzleti lehet# ségek Küls# követelmények El# írások Kockázatok üzenet input Adatok Alkalmazási rendszerek TECHNOLÓGIA KÖRNYEZET EMBEREK szolgáltatás output INFORMÁCIÓK Eredményesség Hatékonyság Bizalmasság Sértetlenség Hozzáférhet# ség Szabályosság Megbízhatóság Az információkhoz kapcsolódó üzleti követelmények teljesítése érdekében megfelel kontroll intézkedéseket kell kialakítani, bevezetni és fenntartani a fenti er források kapcsán. De vajon hogyan tudják megállapítani a szervezetek azt, hogy a kapott információk rendelkeznek e a 25

27 szükséges tulajdonságokkal? Ehhez szükséges a Kontroll Irányelvek keretrendszere. A következ ábra ezt a koncepciót illusztrálja. Ami megvan INFORMÁCIÓ ÜZLETI FOLYAMATOK IT ER% FORRÁSOK emberek alkalmazási rendszerek technológia technikai környezet adatok Amire szükség van Információs kritériumok: eredményesség hatékonyság bizalmasság sértetlenség, összhang hozzáférhet# ség szabályszer$ ség megbízhatóság? Megegyeznek A COBIT Keretrendszer egy átfogó struktúra szerint csoportosítja az általános Kontroll Irányelveket. A csoportosítás arra az alapkoncepcióra épül, hogy az informatikai er források felhasználása kapcsán három szintr l lehet beszélni. Alul helyezkednek el azok a tevékenységek és feladatok, amelyek a mérhet eredmények eléréséhez szükségesek. A tevékenységeknek van bizonyos életciklusa, míg a feladatok sokkal különállóbb jelleg ek. Az életciklussal bíró tevékenységekhez más kontroll követelmények kapcsolódnak, mint a körülhatárolt feladatokhoz. Középen helyezkednek el a folyamatok, amelyek olyan összekapcsolódó tevékenységek és feladatok sorozatából állnak, amelyekbe természetes ellen rézési pontok vannak beépítve. A legfels szinten a folyamatok bizonyos területekre csoportosulnak össze. Ez a természetes alapú csoportosítás gyakran felel sségi területként ölt formát a szervezeti struktúrán belül és összhangban áll az informatikai eljárásokhoz kapcsolódó irányítási ciklussal illetve életciklussal. (ábra) Területek Folyamatok Tevékenységek/ feladatok A fogalmi keretrendszert tehát három oldalról lehet megközelíteni: (1) az információs kritériumok, (2) az informatikai er források és (3) az informatikai eljárások oldaláról. Ezt a három megközelítési oldalt szemlélteti az ún. COBIT Kocka: (ábra) Informatikai eljárások Területek Folyamatok Információs kritériumok Min& ségi Fiduciáris 26 IT er' források Emberek Alkalmazási rendszerek