A SOX törvény alapjai és informatikai vonatkozásai

Hasonló dokumentumok
A SOX törvény alapjai és informatikai vonatkozásai

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Szabványok, ajánlások

Hát én immár mit válasszak?

Járműinformatika A járműinformatikai fejlesztés

Vizin Eszter 1 : A könyvvizsgálat minőségellenőrzésének nemzetközi gyakorlata

A CMMI alapú szoftverfejlesztési folyamat

CMMI modell v1.2 verziójának bemutatása. Tartalom. Dr. Balla Katalin A CMMI v1.2 bemutatása

A CMMI MODELL RÖVID TÁJÉKOZTATÓ LEÍRÁS

BIZTONSÁGI AUDIT. 13. óra

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Mi a folyamat? Folyamatokkal kapcsolatos teendőink. Folyamatok azonosítása Folyamatok szabályozása Folyamatok folyamatos fejlesztése

30 MB INFORMATIKAI PROJEKTELLENŐR

A Bankok Bázel II megfelelésének informatikai validációja

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

A vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég.

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Bevezetés az Informatikai biztonsághoz

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Információbiztonság fejlesztése önértékeléssel

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

2013 L. - tapasztalatok Antidotum 2015

XXIII. MAGYAR MINŐSÉG HÉT

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

A QMIM Quality Organizer szoftver bemutatása

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

A szoftverfejlesztési folyamatok képességének mérése. Kuzma Éva Budapest,

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

VÁLLALATI INFORMÁCIÓS RENDSZEREK. Debrenti Attila Sándor

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Információbiztonság irányítása

Minőségbiztosítás dr. Petőcz Mária

Vezetői információs rendszerek

Bemutatkozik az SQI Kelemen Zádor Z kelemen.daniel@sqi.hu. Az ISO 9001:2000 szabvány. modell összehasonlítása 1.

Információ menedzsment

Minőségirányítási Kézikönyv

A könyvvizsgálat módszertana

Védelmi Vonalak - Compliance

MINDSOFT A MindSoft története

Az ISO es tanúsításunk tapasztalatai

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.


Mi köze a minőséghez?

Képzés leírása. Képzés megnevezése: Integrált belső auditor (MSZ EN ISO 9001, MSZ EN ISO 14001) Jelentkezés

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

NetIQ Novell SUSE újdonságok

A közfelügyelet és a minőségellenőrzés aktuális kérdései

BMEVIHIM134 Hálózati architektúrák NGN menedzsment vonatkozások: II. Üzemeltetés-támogatás és üzemeltetési folyamatok

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

Dr. Topár József (BME)

Projekt siker és felelősség

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A megújult NAH tevékenységének tapasztalatai, eredményei

System Center Service Manager 2012 áttekintése. Ker-Soft Kft. Kaszás Orsolya - tanácsadó Nagy Dániel - rendszermérnök

irányításban Teljesítménymérés

Tervezet: A BIZOTTSÁG HATÁROZATA

mi ez a CISA, CISM, CGEIT, CISSP?

Képzés leírása. Képzés megnevezése: Integrált belső auditor (MSZ EN ISO 9001, MSZ EN ISO 14001, OHSAS 18001) Jelentkezés

Headline Verdana Bold

TOGAF elemei a gyakorlatban

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Minőségtanúsítás a gyártási folyamatban

Vállalati adatvédelem

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Oracle adatkezelési megoldások helye az EA világában. Előadó: Tar Zoltán

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

A CRD prevalidáció informatika felügyelési vonatkozásai

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

Az informatikai biztonsági kockázatok elemzése

Informatika-irányítás új keretek között. PSZÁF projekt

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Ipari hálózatok biztonságának speciális szempontjai és szabványai

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

A CMMI alapú szoftverfejlesztési si folyamat

INFORMATIKAI PROJEKTELLENŐR

A könyvvizsgálat számítógépes támogatása

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

ISO HOGYAN ÉPÜL FEL A MIR RENDELÉSRE KÉSZÜLT ESZKÖZÖK GYÁRTÓI ESETÉN? előadó Juhász Attila SAASCO Kft.

2011. ÓE BGK Galla Jánosné,

evosoft Hungary Kft.

IT üzemeltetés és IT biztonság a Takarékbankban

IT biztonság és szerepe az információbiztonság területén

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

A USER Kft - mint Open Text partner - bemutatása

INFORMÁCI CIÓS ERŐFORRÁSOK ÉS RENDSZEREK

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

ISO 14001:2004. Környezetközpontú irányítási rendszer (KIR) és EMAS. A Földet nem apáinktól örököltük, hanem unokáinktól kaptuk kölcsön.

TIGÁZ-DSO Kft. Szervezeti, Ügyviteli és Ellenőrzési Modell

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Átírás:

A SOX törvény alapjai és informatikai vonatkozásai Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO 08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 2 / 30

Bevezetés Bemutatkozás Tapasztalatok szoftverfejlesztő cégek körében ismert szoftverminőségi megközelítésekről Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP ) Termék alapú megközelítések (ISO 9126, CC ) Tanúsítások A SOX megjelent a szoftverminőségi szabványok között, kapcsolódni látszik ezekhez Érdemes megvizsgálni a kapcsolódást! 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 3 / 30

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 4 / 30

Mi is a SOX? Sarbanes-Oxley Act of 2002 An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő http://www.pcaob.org/about_the_pcaob/sarbanes_oxley_act_of_2002.pdf A befektetők érdekében született Szigorú előírásokat ad: A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 5 / 30

Mi is a SOX? Cél A testületi vezetés erősítése és a befektetők bizalmának visszaállítása Előzmények A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc. Securities Act of 1933 Securities Exchange Act of 1943 Kire vonatkozik Az USA tőzsdén jelen levő cégekre Különbséget tesz nagy és kis cég között Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 6 / 30

Mi is a SOX? Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban Új felelősségek az Igazgatótanács számára Új felelősségek a tőzsdén jelen levő cégek vezetősége számára Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága) Ellenőrzi és támogatja a SOX betartását Honlap, adatokkal : http://www.sec.gov/ Electronic Data Gathering, Analysis and Retrieval system http://www.sec.gov/edgar.shtml A SOX értelmében létrehozták a PCAOB-t az Rt.-k és auditoraik felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács) http://www.pcaob.org/ Szigorú büntető intézkedések a törvény előírásait be nem tartóknak 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 7 / 30

Mi is a SOX? Struktúra (Short title, Table of contents) I. Public company oversight board (101.-109. szakasz) II. Auditor independence (201.-209. szakasz) III. Corporate responsibility (301.-308. szakasz) IV. Enhanced financial disclosures (401.-409. szakasz) V. Analyst conflict of interest (501. szakasz) VI. Commission resources and authority (601.-604. szakasz) VII. Studies and reports (701.-705. szakasz) VIII. Corporate and criminal fault accountability (801.-807. szakasz) IX. White-collar crime penalty enhancements (901.-906. szakasz) X. Corporate tax returns (1001. szakasz) XI. Corporate fraud and accountability (1101.-1107. szakasz) 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 8 / 30

Mi is a SOX? Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott hitelesítés Ellenőrzések és folyamatok Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók Menedzsment és auditorok 404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 9 / 30

Mi is a SOX? Pontosan mit ír elő a SOX? A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások a teljes ellenőrzési rendszer megfelelését Feladatuk az ellenőrzési rendszer megtervezése, kialakítása, karbantartása A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok Rögzítését Feldolgozását Összegzését Jelentését 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 10 / 30

Mi is a SOX? Pontosan mit ír elő a SOX? Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat A feljegyzések, dokumentumok védelme 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 11 / 30

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 12 / 30

A SOX informatikai vonatkozásai Az amerikai tőzsdén jelenlevő informatikai cégeknek önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával A cégek informatikai részlegei, tanácsadók, szoftvergyártók és forgalmazók támogathatják a SOX-ot alkalmazó cégeket Folyamatok kialakítása, dokumentálása Belső ellenőrzési rendszer kialakítása Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása Dokumentumkezelő rendszerek Informatikai biztonsági megfontolások A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek Minden szempontból vizsgált megbízható működés 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 13 / 30

A SOX informatikai vonatkozásai Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények (Adatok létrehozásának algoritmusai és feldolgozási módszereik helyessége: a pénzügyi szakértők felelőssége, az IT itt nem tud segíteni.) Algoritmusok futtatása, adatfeldolgozás: IT feladata A pénzügyi jelentések előállításában részt vevő informatikai folyamatokat olyan, mérhető teljesítményű ellenőrző rendszerbe kell foglalni, amely biztosítja: A folyamatok működését (igény szerint, a követelmények alapján), akár fejlesztett, akár vásárolt szoftverről van szó A folyamatok minden lépésének történeti visszakeresését A lépések okával, végrehajtójával, engedélyezőjével, időpontokkal együtt Védelmet a pénzügyi adatok szándékos vagy véletlen manipulációjával szemben. Vagyis, fontos (és vizsgálandó): Az információ rendelkezésre állása Az információ biztonsága Az információ integritása / sértetlensége Ezek ISO /IEC 17799 ill. ISO 27000 (27001, 27002 ) és COBIT követelményekben szerepelnek 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 14 / 30

A SOX informatikai vonatkozásai Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények (folyt.) A pénzügyi adatok teljes életciklusának követése (keletkezés, feldolgozás, továbbítás, tárolás) Elektronikus kommunikáció (e-mail, feljegyzések ) eredményeinek, nyomainak, bizonyítékainak kezelése Naplózás, biztonságos tárolás, spam- és vírusvédelem, jogosultságok beállítása és változásuk követése Elektronikus formában tárolt dokumentumok kezelése Adathozzáférés, biztonságos tárolás, mentések, konfigurációkezelés Fontos, hogy az informatikai támogatás megfeleljen a vállalkozás üzleti céljainak (lásd COBIT - információ kritériumok) Információ bizalmas kezelése 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 15 / 30

A SOX informatikai vonatkozásai Követelmények a cég dokumentációs rendszerére és az auditorok dokumentumkezelésére vonatkozóan Mindenfajta információ megőrzésének fokozott igénye Megőrzendő dokumentumok (pl. felső vezetők 302. szakaszban előírt nyilatkozatai, pénzügyi jelentés, alkalmazottak sípjelei, auditorok dokumentumai ) Megőrzési idők, büntetések az információ megsemmisítőinek, módosítóinak ( fehérgalléros bűnözés ) Érdemes (jó) dokumentumkezelő rendszert alkalmazni Változások követése Skálázhatóság, robosztusság (a dokumentumkezelő alkalmazásra és az őt ellátó adatbázis-kezelőre, operációs rendszerre, hardverre ) Hiszen: az összes pénzügyi adat megőrzése kötelező érdemes ezt a követelményt minden kritikus információt tartalmazó kommunikációra is kiterjeszteni 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 16 / 30

A SOX informatikai vonatkozásai Informatikai cégek esetében szükség van Jó folyamatokra Megfelelő ellenőrzésre Ezek kialakítására és működtetésére tulajdonképpen bármilyen, belső minőségügyi rendszert, szoftverfejlesztési, irányítási, támogató folyamatokat, valamint biztonsági elemeket leíró szabvány vagy megközelítés (kombinált) alkalmazása megfelelő Pl: ISO 9001:2000, CMMI, SPICE, COBIT, ISO 27001, EFQM, ITIL Ha a cég SOX alkalmazását támogató terméket gyárt Jó termékekre! Termék megfelelőségét szavatolós szabványok / megközelítések kellenek, kiemelten figyelve a biztonsági követelményekre ISO 27002 / ISO 17799, CC (ISO 15408), ISO 9126 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 17 / 30

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszerek Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 18 / 30

Hozzáférhető ellenőrzési keretrendszerek A 404. szakasz követelményeinek kielégítésére (Management assessment of internal controls) támogatást nyújt: COSO (http://www.coso.org/) 1985-ben alakult, a pénzügyi jelentések minőségének fejlesztésére, a könyvszakértők, pénzügyi és számviteli szakértők szervezetei támogatásával, a National Commission on Fraudulent Financial Reporting tevékenységének támogatására 1992: COSO Framework : Internal Control 2004: COSO Framework: Integrated Enterprise COSO anyagok beszerezhetők: http://www.aicpa.org/ (American Institute of Certified Public Accountants) ISACA (http://www.isaca.org/, http://www.isaca.hu/ ) COBIT Information Systems Audit and Control Association Certified Information Systems Auditor (CISA) certification Certified Information Security Manager (CISM) certification ITGI - 2006: IT Control Objectives for Sarbanes-Oxley (ISACA segédlet) A SOX követelményeinek informatikai oldali kezelésére 2006-ban ( http://www.itgi.org/ ) 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 19 / 30

Hozzáférhető ellenőrzési keretrendszerek COBIT Control OBjectives for Information Technology Az informatikai folyamat-üzleti cél együttest vizsgálja, a vállalkozás informatikai rendszerét 34 folyamatra / 4 szakterületre bontja (tervezés és szervezet, beszerzés és rendszermegvalósítás, szolgáltatás és támogatás, monitorozás és kiértékelés) ITIL - Information Technology Infrastructure Library Az információtechnológiai infrastruktúra, fejlesztés és üzemeltetés menedzselését támogató fogalmak és technikák rendszere ISO 27701 : Information Technology Security techniques Information security management systems Requirements CMMI Capability Maturity Model Integration Szoftverfejlesztő / szoftvert beszerző / szoftvert szolgáltató cégek számára, 22 folyamat, 4 csoportban (szervezeti, projektirányítási, támogató, fejlesztési / ill. beszerzési) 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 20 / 30

Hozzáférhető ellenőrzési keretrendszerek A COSO célja Belső ellenőrzési keretrendszer leírása, amely Közös definíciókészletet ad Szabvány a szervezeti kiértékelésre és a javítási lehetőségek azonosítására Biztosítja az eredményes és a vállalkozási céloknak megfelelő működést Lehetővé teszi és megkönnyíti a megbízható pénzügyi jelentések készítését Lehetővé teszi és megkönnyíti a vállalkozásra vonatkozó törvények betartását A vállalati belső ellenőrzési rendszer a COSO értelmezésében a következő részekből áll: Ellenőrzési környezet Kockázatbecslés Ellenőrzési tevékenységek Információ és kommunikáció Felügyelet 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 21 / 30

Hozzáférhető ellenőrzési keretrendszerek COSO & Integrated Framework Forrás: Sarbanes-Oxley & CMMI. Mazars. Komponensek Stratégiai Műveletek Jelentés Belső környezet Célok meghatározása Esemény azonosítása Kockázatbecslés Kockázatot elhárító intézkedések Ellenőrzési tevékenységek Információ és kommunikáció Felügyelet Célok Megfelelőség Entitás-szint Divízió Üzleti egység Leányvállalat Szervezet 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 22 / 30

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszer Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 23 / 30

Hogyan támogatja a CMMI a SOX-ot? Integrált modell A felsővezetés közvetlen bevonása Folyamatfejlesztési modell A szervezetet nagy arányban lefedi A képesség, képességi szint fogalmának bevezetése Intézményesítés fontossága Megfelelőség: egyértelmű A megközelítés a szervezet igényei szerint testreszabható Pl. folytonos / lépcsős megközelítés 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 24 / 30

Hogyan támogatja a CMMI a SOX-ot? Nagyon erős a konfigurációkezelés, mérési, minőségbiztosítási, szervezeti folyamatok meghatározására és szervezeti szintű folyamatszemlélet bevezetésére, valamint az oksági elemzésre vonatkozó követelményrendszere CM GP 2.6, MA GP 2.8, PPQA- GP 2.9, CAR GP5.2, OPF, OPD folyamata ill. beépülésük az általános gyakorlatokba) Ezeket a SOX felhasználja / megköveteli Világos követelmények, mérhető megközelítésben Általános gyakorlatok miatt egyes követelmények (pl. mérések végzése, konfigurációkezelés és minőségbiztosítás) minden folyamat esetében megjelennek Világos felmérési módszertan (SCAMPI A, B, C) Nemzetközi auditor-hálózat www.sei.cmu.edu, www.sqi.hu CMMI-felmérés: Bizalom megalapozója, útmutató a továbbiakra 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 25 / 30

Hogyan támogatja a CMMI a SOX-ot? COSO & Integrated Framework Forrás: Sarbanes-Oxley & CMMI. Mazars. Komponensek Stratégiai Műveletek Jelentés Belső környezet (CM,SAM, OT, Célok meghatározása Esemény azonosítása (OPD, OPF) Kockázatbecslés (PP, RSKM) Kock. elhárító intézkedések (PP, PMC, RSKM) Ellenőrzési tevékenységek (MA, PPQA) Információ és kommunikáció (OT, OID) Célok Megfelelőség Entitás-szint Fejlesztési részleg Üzemeltetés Leányvállalat Felügyelet (MA, PPQA, DAR, OPP, QPM, CAR, OID ) Szervezet 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 26 / 30

Tartalom Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai Hozzáférhető ellenőrzési keretrendszer Hogyan támogatja a CMMI a SOX-ot? Következtetések 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 27 / 30

Következtetések A SOX megjelent a szoftverminőségi szabványok között, kapcsolódik ezekhez bár nem szoftverminőségi szabvány! Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 28 / 30

Felhasznált irodalom Sarbanes-Oxley Act of 2002. http://www.pcaob.org/about_the_pcaob/sarbanes_oxley_act_of_2002.pdf Dr. Szenes Katalin: Informatikai biztonsági megfontolások a Sarbanes-Oxley törvény ürügyén. Az informatikai biztonság kézikönyve. Verlag Dashöfer Szakkiadó, 2007 március. 2.2. fejezet. Szerkesztő: Dr. Szenes Katalin, Muha Lajos Sarbanes-Oxley & CMMI. Mazars, Conference of European Software Engineering Process Group (ESPEG), June 2005., London 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 29 / 30

balla@iit.bme.hu balla.katalin@sqi.hu 2008.04.17-18 A SOX alapjai és informatikai vonatkozásai 30 / 30

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés