COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Hasonló dokumentumok
FÖLDÜGYI INFORMATIKAI RENDSZEREK A BIZTONSÁGI SZABVÁNYOK TÜKRÉBEN

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

Információbiztonság irányítása

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A., ALAPELVEK VÁLTOZÁSAI

Szabványok, ajánlások

Az ISO es tanúsításunk tapasztalatai

A vezetőség felelősségi köre (ISO 9001 és pont)

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

A képzett szakemberekért. SZFP II. Hazai Peer Review 2009

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Stratégia felülvizsgálat, szennyvíziszap hasznosítási és elhelyezési projektfejlesztési koncepció készítés című, KEOP- 7.9.

ISO 9001:2015 Változások Fókuszban a kockázatelemzés

Minőségügyi Eljárásleírás Vezetőségi átvizsgálás

XXIII. MAGYAR MINŐSÉG HÉT

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

30 MB INFORMATIKAI PROJEKTELLENŐR

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Üzletmenet folytonosság Üzletmenet? folytonosság?

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Aktualitások a minőségirányításban

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

5. Témakör TARTALOMJEGYZÉK

JOGI, MEGFELELŐSÉGI ELEMZÉS

Minőség és minőségirányítás. 3. ISO 9000:2015 és ISO 9001:2015

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

Nemzetközi jogszabályi háttér I.

MEGHÍVÓ. hely: PKI Konferenciaterem, Bp. VI. Andrássy út 3. I. em. időpont: február 18., hétfő, 17 30

Fókuszban az információbiztonság

Község Önkormányzata

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

Akkreditáció szerepe és lehetőségei a hazai egészségügyi ellátás szakmai minőségfejlesztésében

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

MSZ ISO 9004:2010 ISO 9004:2009

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

Az új ISO 14001: 2015 szabvány változásai

MELLÉKLET. a következőhöz:

Muha Lajos. Az információbiztonsági törvény értelmezése

A fenntartható sikeresség irányítását szolgáló szervezeti önértékelési szoftver alkalmazása Katonai Zsolt (Q-Master Trust Tanácsadó Kft)

Schindler Útmutató A cél meghatározása. Az út kijelölése. Stratégiai iránymutatás a felvonó és mozgólépcső piacon való siker eléréséhez.

Outsourcing az optimalizálás lehetőségének egyik eszköze

A minőség és a kockázat alapú gondolkodás kapcsolata

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A Kar FEUVE rendszere

A Magyar Nemzeti Bank 5/2018. (II.19.) számú ajánlása

TÁMOP : ÁTFOGÓ MINŐSÉGFEJLESZTÉS A KÖZOKTATÁSBAN

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Létesítménygazdálkodási szabványok a klubmenedzsmentben

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

A folyamatszemlélet és PDCA elvek érvényesülése az új ISO 9001:2015 rendszerben. Bujtás Gyula. Elvárások és javaslatok a külső tanúsító szemszögéből

Beszállítók integrálása és szolgáltatások optimalizálása ITIL szemüvegen keresztül

Tájékoztató az MSZ EN ISO 9004:2010 szabvány szerinti Szervezeti Önértékelésről

Az elektronikus közigazgatás fejlesztése - különös tekintettel az önkormányzatokra

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

A BELSŐ ELLENŐRZÉS ALAPJAI A BELSŐ ELLENŐZÉS GYAKORLATA

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Tapasztalatok és teendők a szabvány változások kapcsán

IRÁNYELVFEJLESZTÉS ÉS KLINIKAI AUDIT

A könyvvizsgálat módszertana

MemoLuX Kft. MINİSÉGÜGYI KÉZIKÖNYV. Jelen példány sorszáma: 0. Verzió: Lapszám: Fájlnév: 4/0 1/30 MMKv4.doc


Hidak építése a minőségügy és az egészségügy között

ÁTÁLLÁS AZ OHSAS ÉS AZ ISO KÖZÖTTI HIÁNYELEMZÉS ÚTMUTATÓ.

2013. évi L. törvény ismertetése. Péter Szabolcs

IFRS Lehetőség vagy kockázat?

ÁTÁLLÁS AZ OHSAS ÉS AZ ISO KÖZÖTTI HIÁNYELEMZÉS ÚTMUTATÓ.

Etikai Kódex. Bevezetés Az Intézet Etikai Kódexének célja, hogy el segítse a bels ellen ri szakmában az etikai kultúra kialakulását.

Minőségcélok és tevékenységek Magyarországon, a GYEMSZI Minőségügyi Főosztály tevékenysége. Dr. Kárpáti Edit

Gyöngyös Körzete Kistérség Többcélú Társulása. 37/2016. (XII.14.) határozata

INNOVÁCIÓ ÉS KÖZBESZERZÉS

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

ISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez

IT üzemeltetés és IT biztonság a Takarékbankban

Mi a folyamat? Folyamatokkal kapcsolatos teendőink. Folyamatok azonosítása Folyamatok szabályozása Folyamatok folyamatos fejlesztése

ITIL alapú IT környezet kialakítás és IT szolgáltatás menedzsment megvalósítás az FHB-ban

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Rendezvény helyszíne Kecskemét Békési László vezető-főtanácsos, GKM

Tapasztalatok az intézményi belső ellenőrzés munkájáról - javaslatok a belső ellenőrzési munka minőségének javítására.

dr. Belicza Éva minőségügyi programok szakmai vezetője dr. Török Krisztina főigazgató Mihalicza Péter főosztályvezető

Végső változat, 2010 Szeptember Integrált Irányítási Rendszer (IIR) a helyi és regionális szintű fenntartható fejlődésért

LOGISZTIKAI KONTROLLING

Stratégia felülvizsgálat, szennyvíziszap hasznosítási és elhelyezési projektfejlesztési koncepció készítés című, KEOP- 7.9.

Felelős vállalatirányítás és köztulajdon

Tracon Budapest Kft ISO 9001 szerinti minőségbiztosítási rendszere

ÉMI-TÜV SÜD Kft. Hogyan készítsük el az új MIR dokumentációt, hogyan készüljünk fel a külső fél általi auditra? Gyöngy István

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

Az ITIL egyszeruen. avagy. híd

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA

(EGT-vonatkozású szöveg)

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

Projektkövetés a 148/2002 (VII.1.) Kormány rendelet alapján

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Mi köze a minőséghez?

Átírás:

COBIT Keretrendszer I Szikora Zsolt, DE 2008

Tartalom 1. Bevezetés 2. Alap kérdések (Miért? Ki? Mit? ) + Hogyan? 3. Információ-kritériumok 4. Üzleti és Informatikai célok, EF mngmnt 5. Szakterületek(PO, AI, DS, ME) 6. Folyamat Kontroll Modell 7. Kontrollok, általános kontroll célkitűzések (Pcn) 8. Üzleti, informatikai, általános, alkalmazás) 9. Felelősség 10.Alkalmazás kontroll célkitűzések (ACn) 11.Mérések [ Érettségi modellek Dévai Vince mesterjelölt társamtól] 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 2

Bevezetés - COBIT Küldetése Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek, és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 3

Alap kérdések Az informatikai irányítást szolgáló kontroll keretrendszer meghatározza azokat az okokat, amiért szükség van az informatikai irányításra, kik az érdekelt felek, és mit kell elérnie. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 4

Alap kérdések Miért kell ez? A felső vezetés felismeri, h az információ egyre inkább hat a vállalati sikerességre A sikeres vállalatok tisztában vannak az informatika kockázataival, és hasznosítják annak előnyeit Alapvető az IT rendszer átfogó és számszerűsíthető(!) minősíthetősége 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 5

Alap kérdések Kik az érdekeltek? Belső IT értékteremtők beruházási döntéshozók követelménymeghatározók IT szolgáltatás felhasználói Belső & Külső szolgáltatásnyújtók IT szerv és szolg-mngmnt szolg képességfejlesztők szolg-üzemeltetők Belső & Külső kontroll-/kockázatfelelősök biztonság/védelem-felelősök, megfelelőségbiztosítók, bizonyosság nyújtási szolgáltatások megrendelői és nyújtói 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 6

Alap kérdések Mit ad a rendszer? Üzleti és Informatikai célkitűzések illeszthetők általa üzletközpontúságot biztosít Érthető szerkezetű folyamat-központú leírást használ az informatikai irányítás kiterjedésének és hatókörének megadásakor Általánosan elfogadható konzisztens az elfogadott informatikai bevált gyakorlatokkal és szabványokkal, technológia-független. Érthető közös nyelvet biztosít az összes érdekelt fél számára (fogalomkészlet és definíciók) Segíti a szabályozási követelmények teljesítését következetesen megfelel az általánosan elf ogadott vállalatirányítási szabványoknak (például a COSO-nak) és a hatóságok és a külső auditorok által elvárt informatikai kontrolloknak. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 7

Hogyan működik a COBIT? ALAPELVEK 1.Üzlet-központú 2.Folyamatközpontú 3.Kontroll-alapú 4.Mérték-alapú 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 8

COBIT információ-kritériumai Az üzleti célok eléréséhez az információknak ki kell elégíteniük bizonyos kontroll kritériumokat (információkra vonatkozó üzleti követelményeket) 1.Eredményesség 2.Hatékonyság 3.Bizalmasság 4.Sértetlenség 5.Rendelkezésre állás 6.Megfelelőség 7.Megbízhatóság 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 9

Üzleti célok és Informatikai célok viszonya Lásd: CobiT 4.1 leírás I. melléklete, ami valójában három táblázatból áll. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 10

Az inf. célok és a vállalati inf. architektúra meghatározása 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 11

Az inf. EFok menedzselése (az inf. célok teljesítése érdekében!) 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 12

A COBIT négy szakterülete A COBIT az informatikai tevékenységeket négy szakterületbe csoportosítva, egy általános folyamat modell keretében határozza meg. Plan and Organise Tervezés és Szervezés (PO) A megoldásszállításra (AI) és a szolgáltatásnyújtásra (DS) vonatkozóan megadja az irányvonalat Acquire and Implement Beszerzés és megvalósítás (AI) Gondoskodik a megoldásokról és továbbadja azokat, hogy szolgáltatások váljanak belőlük Szolgáltatás és támogatás (DS) Megkapja a megoldásokat, és használhatóvá teszi azokat a végfelhasználók számára Deliver and Support Monitor and Evaluate Figyelemmel kísérés és értékelés (ME) Figyelemmel kíséri az összes folyamatot, hogy gondoskodjon a kijelölt irány követéséről. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 13

A szakterületek kapcsolata 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 14

Folyamat és cél-kontroll A négy szakterületen belül a COBIT 34 általánosan használt informatikai folyamatot rögzített. A COBIT a folyamatok teljes listáját biztosítja, amely felhasználható a tevékenységek és a felelősségek teljességének ellenőrzésére; azonban nem mindegyiket kell alkalmazni minden egyes vállalatnál. A folyamatok mindegyikét 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 15

Kontroll modell KONTROLL Olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők, illetve felismerhetők, és helyesbíthetők. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 16

Folyamatok, kontroll célkitűzések és általános kontroll követelmények A COBIT minden egyes informatikai folyamata rendelkezik egy folyamat leírással, és néhány kontroll célkitűzéssel. Egy jólmenedzselt folyamatnak általánosságban rendelkeznie kell ezekkel. A kontroll célkitűzések azonosítása kétkarakteres szakterület hivatkozással (PO, AI, DS ME), valamint a folyamat számával és egy kontroll célkitűzési számmal történik. A kontroll célkitűzések mellett minden egyes COBIT folyamat rendelkezik általános kontroll követelményekkel, amelyeket a folyamat kontroll számát j elölő (PCn) szám azonosít be. Ezeket együtt kell figyelembe venni a folyamat kontroll célkitűzésekkel annak érdekében, hogy a kontroll követelményekről teljes képet kapjunk. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 17

Általános kontroll követelmények PC1 Folyamat céljai és célkitűzései PC2 Folyamat felelősség PC3 Folyamat megismételhetőség PC4 Szerepkörök és felelősségek PC5 Irányelv, tervek és eljárások PC6 Folyamat teljesítményének javítása 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 18

Amit még kapunk a folyamatokhoz A COBIT az alábbiakra vonatkozóan olyan példákat biztosít minden egyes folyamatra vonatkozóan, amelyek szemléletesek, de nem előíró, illetve kimerítő felsorolás jellegűek. Általános bemenetek és kimenetek A szerepkörökre és felelősségekre vonatkozó tevékenységek és útmutatás a tevékenység-felelős hozzárendelési mátrix (RACI mátrix: Responsible, Accountable, Consulted, Informed) segítségével Kulcsfontosságú tevékenység célok (a legfontosabb teendők) Metrikák 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 19

Üzleti és Informatikai kontrollok A vállalat belső irányítási és ellenőrzési rendszere három szinten van hatással az informatikára Felső vezetői szinten Üzleti folyamat szinten Az üzleti folyamatok támogatása érdekében 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 20

Általános kontrollok Az általános kontrollok az informatikai folyamatokba és szolgáltatásokba beágyazott kontrollok. Az általános kontrollokra példák az alábbiak: Rendszerek fejlesztése Változáskezelés Biztonság Számítógép üzemeltetés 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 21

Alkalmazás Kontrollok Az üzleti folyamat alkalmazásokba beágyazott kontrolljaira általában alkalmazás kontrollokként hivatkoznak. A példák közé tartoznak az alábbiak: Teljesség Pontosság Érvényesség Engedélyezés A felelősségek elhatárolása 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 22

Felelősségi területek 1. A COBIT feltételezi, hogy az automatizált alkalmazás kontrollok megtervezése és megvalósítsa az informatika felelőssége, amelyet a Beszerzés és megvalósítás szakterület fed le, a COBIT információ-kritériumainak felhasználásával meghatározott üzleti követelmények alapján Az alkalmazás kontrollok üzemeltetésének menedzselése és kontrollja nem az informatika felelősségi körébe tartozik, hanem az üzleti folyamat felelősökébe. Következésképpen az alkalmazás kontrollokért való felelősség az üzleti területek és az informatika közös felelőssége, de a felelősségek jellege az alábbiak szerint változik. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 23

Felelősségi területek 2. Az üzleti területek a felelősek... A funkcionális és kontroll követelmények meghatározásáért Az automatizált szolgáltatások használata Az informatika a felelős... az üzleti funkcionális és kontroll követelmények automatizálásáért és megvalósításáért kontrollok létrehozásáért az alkalmazás kontrollok sértetlenségének fenntartása érdekében Ezért a COBIT informatikai folyamatai lefedik az általános informatikai kontrollokat, de az alkalmazás kontrolloknak csak a fejlesztési szempontjait; a kontrollok meghatározásának és napi alkalmazásának felelőssége az üzleti területeket terheli. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 24

Felelősségi területek 3. 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 25

Alkalmazás kontroll célkitűzések AC1 Forrásadatok előkészítése és engedélyezése AC2 Forrásadatok összegyűjtése és bevitele AC3 Pontossági, teljességi és hitelességi ellenőrzések AC4 Feldolgozás sértetlensége és érvényessége AC5 Kimenet felülvizsgálat, egyeztetés és hibakezelés AC6 Tranzakció hitelesítése és sértetlensége 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 26

Mit kellene mérni és hogyan? A vállalkozásoknak mérniük kell azt, hogy hol tartanak, és hol van szükség fejlesztésre, és be kell vezetniük egy vezetési eszköztárt ezen fejlesztések figyelemmel kíséréséhez. A COBIT e kérdésekkel foglalkozik oly módon, hogy az alábbiakat nyújtja: Érettségi modelleket, amelyek lehetővé teszik az összehasonlító értékelést és a szükséges képesség fejlesztések meghatározását. Az informatikai folyamatokhoz kapcsolódó teljesítmény célokat és metrikákat, amelyek szemléltetik, hogy a folyamatok hogyan teljesítik az üzleti és az informatikai célokat és segítségükkel mérhető a belső folyamat teljesítmény a kiegyensúlyozott stratégiai mutatószámrendszer alapelvei alapján. Tevékenységi célokat, az eredményes folyamat teljesítmény megvalósítása érdekében 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 27

Érettségi modellek Erről már Dévai Vince fog szólni... KÖSZÖNÖM A FIGYELMET 2008-10-16 Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 28

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés