Dr. Beinschróth József IT Releváns módszertanok, szabványok, jogszabályok

Hasonló dokumentumok
30 MB INFORMATIKAI PROJEKTELLENŐR IT RELEVÁNS MÓDSZERTANOK, SZABVÁNYOK, JOGSZABÁLYOK DR. BEINSCHRÓTH JÓZSEF

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

XXIII. MAGYAR MINŐSÉG HÉT

Minőség és minőségirányítás. 3. ISO 9000:2015 és ISO 9001:2015

Információbiztonság irányítása

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Az ISO es tanúsításunk tapasztalatai

Szabványok, ajánlások

Az ITIL egyszeruen. avagy. híd

COBIT Keretrendszer I. Szikora Zsolt, DE 2008

A., ALAPELVEK VÁLTOZÁSAI

Muha Lajos. Az információbiztonsági törvény értelmezése

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

ITIL alapú IT környezet kialakítás és IT szolgáltatás menedzsment megvalósítás az FHB-ban

SZOLGÁLTATÁS BIZTOSÍTÁS

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

SZOLGÁLTATÁS MENEDZSMENT

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

ÉMI TÜV SÜD. ISO feldolgozása, elvárások. Kakas István KIR-MIR-MEBIR vezető auditor

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Információ menedzsment

Integrált ISO 9001 ISO ISO Vezető auditor képzés

Kríziskezelés. 3.rész. 2013/2014.tanév Dr. Beinschróth József

FÖLDÜGYI INFORMATIKAI RENDSZEREK A BIZTONSÁGI SZABVÁNYOK TÜKRÉBEN

ISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

evosoft Hungary Kft.

Szolgáltatás mérés/riportolás magas fokon Egy valós megoldás Pepsi berkekben

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

MEGHÍVÓ. hely: PKI Konferenciaterem, Bp. VI. Andrássy út 3. I. em. időpont: február 18., hétfő, 17 30

30 MB INFORMATIKAI PROJEKTELLENŐR

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Integrált irányítási rendszerek tanúsítási tapasztalatai

itsmf Magyarország Szeminárium november 6. ITIL, Wiki és Pareto találkozása a request fullfillment fejlesztése érdekében

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Bevezetés az Informatikai biztonsághoz

INFORMATIKAI BIZTONSÁG ALAPJAI

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

Üzletmenet folytonosság Üzletmenet? folytonosság?

Jogalkotási előzmények

Vállalati adatvédelem

A SPORTKÁRTYA Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATVÉDELMI SZABÁLYZATA

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Hálózati szolgáltatások biztosításának felügyeleti elemei

ISO 9001:2015 Változások Fókuszban a kockázatelemzés

2013. évi L. törvény ismertetése. Péter Szabolcs

Nemzetközi jogszabályi háttér I.

INFORMATIKAI PROJEKTELLENŐR

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

Aktualitások a minőségirányításban

A KÖZÉRDEKŰ ADATOK MEGISMERÉSÉRE IRÁNYULÓ KÉRELMEK INTÉZÉSÉNEK RENDJÉRŐL. Tartalomjegyzék

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Minőségbiztosítás dr. Petőcz Mária

IT üzemeltetés és IT biztonság a Takarékbankban

MSZ ISO 9004:2010 ISO 9004:2009

ISO 14001:2004. Környezetközpontú irányítási rendszer (KIR) és EMAS. A Földet nem apáinktól örököltük, hanem unokáinktól kaptuk kölcsön.

Képzés leírása. Képzés megnevezése: IRIS szabványismertető Jelentkezés

Dr. Topár József (BME)

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

A minőségirányítási rendszer auditálása laboratóriumunkban. Nagy Erzsébet Budai Irgalmasrendi Kórház Központi Laboratórium

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Fókuszban az információbiztonság

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

Képzés leírása. Képzés megnevezése: Integrált belső auditor (MSZ EN ISO 9001, MSZ EN ISO 14001) Jelentkezés

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Innermetrix Szervezeti Egészség Felmérés. Vezető János

Működő ITSM Ne ágyúval verébre

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Klinikai audit-rendszer helye a szervezetek irányításában, stratégiájában és a menedzsmenti tevékenységekben

SZERETETTEL ÜDVÖZÖLJÜK AZ ISOFÓRUM TAVASZ KONFERENCIA RÉSZTVEVŐIT!

Út az ITIL-en át az ISO/IEC ig

XXVII. Magyar Minőség Hét Konferencia

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Információ menedzsment

Környezeti elemek védelme II. Talajvédelem

IT Factory. Kiss László

ESZKÖZTÁMOGATÁS A TESZTELÉSBEN

Projektmenedzsment státusz autóipari beszállító cégeknél tréning tapasztalatok alapján mobil:

Megszületett a digitális minőségügyi szakember? XXIV. Nemzeti Minőségügyi Konferencia

Dr. Muha Lajos. Az L. törvény és következményei

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

ITIL alapú folyamat optimalizációs tapasztalatok

A MŰKÖDÉSFOLYTONOSSÁG KÉRDÉSE AZ INFORMATIKAI RENDSZEREK ÜZEMELTETÉSÉRE VONATKOZÓ AJÁNLÁSOKBAN

Átírás:

2017.09.15. Dr. Beinschróth József IT Releváns módszertanok, szabványok, jogszabályok 1

Bevezetés: Iránymutatások szükségessége Iránymutatások Törvény, szabvány - kötelező Ajánlások, módszertanok követendők a saját jól felfogott érdek szerint Szabvány típusok De facto : konkrét megoldások, amelyeket igen elterjedten használnak. Alkalmazásuk nem kötelező, de célszerű De jure : Szabványosítási szervezetek által kiadott, dokumentált szabvány 2

Tartalom ITIL Best practice Komponensek Modellek Szolgáltatás biztosítás/támogatás Érettségi modell COBIT ISO27000 szabványcsalád 2013. évi L. törvény 2011. évi CXII. Törvény GDPR Activity 3

ITIL Best practice ITIL: Az IT üzemeltetés bevált gyakorlata best practice Library: dokumentációsorozat (IT Infrastructure Library) Egységes szerkezetben dokumentálja az informatikai üzemeltetés bevált gyakorlatát Nyilvános, gyártófüggetlen keretrendszer Az informatikai szolgáltatás-irányításra vonatkozik. A szervezet üzleti tevékenységének eredményes működését teszik lehetővé. Konzisztens, integrált megközelítést és terminológiát vezet be, amelyek értékes hozzájárulások a szolgáltatás-irányítás területén. Szempontrendszert: gondoltunk-e mindenre? Rendező elv: folyamatok (nem rendszerek) 4

ITIL Komponensek Milyen komponensekre terjed ki az ITIL? Technológia (Nem kizárólag technológiai, kérdés!) Eszközök (Eseménykezelő rendszerek, üzleti folyamatok határértékei. Probléma és változáskezelő rendszerek ) Szervezet (Eszkalációs utak, értesítési mechanizmusok, egyeztetési fórumok, tulajdonos (szolgáltatási tulajdonos, üzleti tulajdonos)) Emberek (Milyen tudás, mennyi ember, szakember szükséges a megbízható üzemeltetéshez?) 5

ITIL Modellek ITILv2 modell S Z E R V E Z E T I M Ű K Ö D É S Szervezeti célok Szolgáltatás menedzsment A szolgáltatás-irányítás tervezése Szolgáltatás biztosítás Szolgáltatás támogatás Szolgáltatás-irányítás IT biztonság IT erőforrások Infokommunikációs infrastrukrúra üzemeltetése Alkalmazás menedzsment Kapcsolat a szervezeti működés és a technológia között T E C H N O L Ó G I A 6

ITIL Modellek ITILv3 modell Piac figyelés Kínálat fejlesztés A stratégiai erőforrások fejlesztése Felkészülés a végrehajtásra Pénzügyi irányítás Megtérülés (ROI - Return of Investment) stratégiai szint Szolgáltatás potfolió mgmt Követelés mgmt (beszállítók) Eseménykezelés Incidenskezelés Problémakezelés Igények kezelése Hozzáférés mgmt Üzleti igények Fejlesztés a PDCA ciklus alapján Riportálás Mérés Megtérülés (ROI Return of Investment) szolg. fejl. szint Szolgáltatás működtetés Szolgáltatás tervezés IT stratégia Szolgáltatás bevezetés Folyamatos szolgáltatás fejlesztés Szolgáltatás katalógus mgmt Kapacitáskezelés Rendelkezésre állás biztosítás Informatika-szolgáltatás folytonosság-biztosítás IT biztonság mgmt Beszállító menedzsment Szolgáltatásszint biztosítás Bevezetés tervezés és támogatás Változáskezelés Erőforrás és konfiguráció kezelés Kiadáskezelés Tesztelés Kiértékelés Tudásmenedzsment 7

ITIL Szolgáltatás biztosítás/támogatás ITIL - Szolgáltatás támogatás Ügyfélszolgálat (Szervezeti egység: Service Desk) Incidenskezelés (Incident Management) Problémakezelés (Problem Management) Változáskezelés (Change Management) Konfigurációkezelés (Configuration Management) Kiadáskezelés (Release Management) A felhasználók számára szükség esetén azonnali segítséget nyújtó szervezete és elérhetőségét lehetővé tevő kommunikációs csatorna A működési zavarok, hibák lehető legrövidebb időn belül történő elhárítása előre definiált sémák alapján. A működési zavarok, hibák okainak felderítése és elhárításukhoz sémák kialakítása, a működési zavarok ismételt előfordulásának megakadályozása A változások befogadása anélkül, hogy az negatív hatással lenne a működésre. Az összes informatikai (üzemeltetési) komponens rögzítése és felügyelete Döntés egy-egy új kiadási egység használatba vételéről, a használatba vétel kezdeményezéséről, indokoltságáról. A használatba vételt megelőző tesztelés és a használatba vétel konkrét lépéseinek és ütemezésének meghatározása 8

ITIL Szolgáltatás biztosítás/támogatás ITIL - Szolgáltatás biztosítás Szolgáltatásszint biztosítás (Service Level Management - SLM) Az informatikai rendszer üzemeltetésének minőségét meghatározó megállapodás Rendelkezésre állás biztosítás (Availability Management - AM) Az elvárt rendelkezésre állás eléréséhez szükséges preventív intézkedések a technológia, a szervezet és az irányítás területén. Informatika-szolgáltatás folytonosság-biztosítás (IT Service Continuity Management - ITSCM) Az esetleges katasztrófák következtében bekövetkező kiesések utáni visszaállás a normál szolgáltatásra reaktív intézkedések alkalmazásával Kapacitásbiztosítás (Capacity Management CM) A várható kapacitás igények, terhelések felmérése, ezek összevetése a jelenlegi kapacitásokkal, hosszú távon elegendő informatikai kapacitások biztosítása Informatikaszolgáltatás pénzügyi irányítása (Financial Management FM) Az igényeknek megfelelő technikai színvonal és szolgáltatási minőség elfogadható szintű költségek mellett. Számviteli rend, ami hitelesen tükrözi a szervezet számára az informatikára fordított költségeket, azok megoszlásá 9

ITIL Érettségi modell Az ITIL v3-ban az érettségi modellnek nagy jelentősége van! (Mérés) 10

ITIL Érettségi modell Az ITIL v3-ban az érettségi modellnek nagy jelentősége van! Érettségi modell: A fejlettségre vonatkozó mérőszámok előállítására használható. Hol tartunk? Milyen a pozíciónk a versenytársainkhoz képest? Hová kívánunk eljutni? Hol állunk ezekhez a bevált gyakorlatokhoz képest? Milyen módon érhetjük el a célt? Hogyan érhetjük el a megfelelő irányítást és kontrollt? 11

ITIL Érettségi modell Általános érettségi modell n 0 - Nem létező: Egyáltalán semmilyen felismerhető folyamat sincsen. A vállalkozás még fel sem ismerte azt, hogy létezik egy olyan terület, amellyel foglalkoznia kell. n 1 - Kezdeti/Ad Hoc jellegű: Vannak jelek arra vonatkozóan, hogy a vállalkozás felismerte, hogy létezik egy olyan terület, amellyel foglakoznia kell. Azonban nincsenek szabványosított folyamatok, helyettük ad hoc jellegű megoldásokat alkalmaznak, egyedileg, illetve eseti alapon. Az általános vezetési módszer rendszertelen. n 2 - Ismétlődő, de ösztönös: A folyamatok eljutottak arra a szintre, amikor hasonló eljárásokat követnek a különböző, azonos feladatokat végző emberek. A szabványos eljárásoknak nincsen formális oktatása, nincs rendszeres ismertetés és tájékoztatás róluk, és betartásuk az egyének felelőssége. Nagy mértékben hagyatkoznak az egyének tudására, és ezért hibák valószínűek. n 3 - Szabályozott folyamat: Az eljárások szabványosítottak és dokumentáltak, a megismertetésük képzésen keresztül történik. Előírták, hogy a ezeket a folyamatokat követni kell, azonban nem valószínű, hogy az eltéréseket felismerik. Az eljárások maguk nem kifinomultak, hanem a létező gyakorlat formalizált változatai. n 4 - Irányított és mérhető: A vezetés figyelemmel kíséri, és méri az eljárásoknak történő megfelelőséget, és intézkedik, amennyiben úgy tűnik, hogy a folyamatok nem működnek eredményesen. A folyamatokat állandóan javítják, és azok bevált gyakorlatot testesítenek meg. Az automatizálás, és az eszközök használata korlátozott, vagy a folyamat egyes elemeire terjed csak ki. n 5 - Optimalizált: A folyamatokat tökéletesítették a bevált gyakorlat szintjéig, a folyamatos javítás és a többi vállalathoz viszonyított érettségi modellezés eredményei alapján. Az informatikát integrált módon alkalmazzák a munkafolyamat automatizálására, és eszközöket adnak a minőség, és az eredményesség javításához, mellyel a vállalkozást képessé teszik arra, hogy gyorsan alkalmazkodjék. 12

ITIL Érettségi modell Példa: Az informatikai stratégiai tervezés érettségi modellje n n n n n n 0 - Nem létező: Az informatikai stratégiai tervezést nem végeznek. A vezetés nincs tudatában annak, hogy szükség van informatikai stratégiai tervezésre az üzleti célok támogatásához. 1 - Kezdeti/Ad Hoc jellegű: Az informatikai vezetés tudja, hogy szükség van informatikai stratégiai tervezésre. Az informatikai tervezést szükség esetén végzik el, válaszul egy-egy konkrét üzleti követelményre. Az informatikai stratégiai tervezést esetenként megvitatják az informatikai vezetői értekezleteken. Az üzleti követelmények, alkalmazások és a technológia összehangolása inkább utólagosan történik és nem egy szervezetet lefedő stratégia részeként. A stratégiai kockázatosságát informálisan állapítják meg projektenként külön. 2 Ismételhető, de ösztönös: Az informatikai stratégiai tervezést közösen végzik az üzleti területek vezetésével akkor, amikor arra szükség van. Az informatikai tervek aktualizálása a vezetés kérésére történik. A stratégiai döntéseket a projektek külön-külön vezérlik anélkül, hogy azok következetesen követnének egy általános szervezeti stratégiát. A jelentős stratégiai döntések kockázatait és felhasználói előnyeit ösztönösen ismerik fel. 3 Szabályozott folyamat: Irányelv határozza meg, hogy mikor és hogyan kell informatikai stratégiai tervezést végezni. Az informatikai stratégiai tervezés egy strukturált módszert követ, amely dokumentálva van, és amelyet minden munkatárs ismer. Az informatikai tervezési folyama t ésszerűen megalapozott és a helyzetnek megfelelő tervezés végrehajtását valószínűsíti. Azonban az egyes vezetők saját belátásuk szerint járhatnak el a folyamat kivitelezését illetően, és a folyamat vizsgálatára nem léteznek eljárások. Az átfogó informatikai stratégia tartalmazza a kockázat vállalási hajlandóság következetes meghatározását abban a tekintetben, hogy vajon a technológiai élenjáró, vagy a követő stratégiát választották. Az informatika pénzügyi, műszaki és humán erőforrás stratégiája egyre inkább befolyásolja az új termékek és technológiák beszerzését. A vállalati vezetői értekezleteken napirenden van az informatikai stratégiai tervezés. 4 Irányított és mérhető:az informatikai stratégiai tervezés szabványos gyakorlat és a z anomáliákra a vezetés felfigyelne. Az informatikai stratégiai tervezés egy meghatározott vezetési funkció, amely egy felső vezetőhöz van rendelve. A vezetés figyelemmel tudja kísérni az informatikai stratégiai tervezés folyamatát, kellő információk birtokában döntések et tud hozni annak alapján, és mérni tudja eredményességét. Mind rövid távú, mind hosszú távú informatikai tervezés folyik, és az lefele végig fut a szervezeten, a aktualizálások pedig szükség szerint történnek. Az informatikai stratégia és a szervezet i stratégia egyre jobban illeszkedik annak köszönhetően, hogy foglalkozik az üzleti folyamatokkal és az érték-növelő képességekkel, valamint az alkalmazások, és technológiák használatának üzleti folyamatok átszervezésével történő kiaknázásával. A rendszerfejlesztéshez és az üzemeltetéshez szükséges belső és külső erőforrások felhasználásának meghatározását egy jól szabályozott folyamat szolgálja. 5 Optimalizált: Az informatikai stratégiai tervezés egy dokumentált élő folyamat, és az üzleti célok kitűzésekor folyamatosan figyelem be veszik azt, és olyan észlelhető üzleti értéket eredményez, amely az informatikába történő befektetésen keresztül valósul meg. A kockázati és érték-növelési szempontokat folyamatosan naprakészen tartják az informatikai stratégiai tervezési folyamat keretében. Reális, hosszú távú informatikai terveket dolgoznak ki, és azokat folyamatosan aktualizálják, hogy azok tükrözzék a változó technológiát, és az üzleti tevékenységgel kapcsolatos fejleményeket. Jól ismert és megbízható iparági no rmák alapján összehasonlító értékelést végeznek, és azt integrálják a stratégia kialakításának folyamatába. A stratégiai terv kitér arra, hogy az új technológiai fejlemények hogyan idézhetik elő új üzleti képességek kialakítását, és hogyan javíthatják a szervezet versenyelőnyét. 13

ITIL Szolgáltatás biztosítás/támogatás ACTIVITY Készítsünk érettségi modellt (tetszőleges) IT folyamathoz n 0 - Nem létező: n 1 - Kezdeti/Ad Hoc jellegű: n 2 - Ismétlődő, de ösztönös: n 3 - Szabályozott folyamat: n 4 - Irányított és mérhető: n 5 - Optimalizált: 1. Az informatikai beruházások irányításának érettségi modellje 2. Az informatikai humán erőforrások kezelésének érettségi modellje 3. Az informatikai kockázatok felmérésének és kezelésének érettségi modellje 4. Az informatikai projektek irányításának érettségi modellje 5. Az alkalmazási szoftverek beszerzésének és karbantartása érettségi modellje 6. A technológiai infrastruktúra beszerzésének és karbantartásának érettségi modellje 7. A megoldások és változtatások üzembe helyezése és bevizsgálásának érettségi modellje 8. Külső szolgáltatások igénybevételének irányításának érettségi modellje 9. A működés folyamatosságának biztosításának érettségi modellje 10. A bizalmasság biztosításának érettségi modellje 11. A felhasználók oktatásának és képzésének érettségi modellje 12. A rendkívüli események kezelésének érettségi modellje 13. A fizikai környezet biztosításának érettségi modellje 14. Az informatika teljesítményének figyelemmel kísérésének és értékelésének érettségi modellje. 15. Külső követelményeknek való megfelelőség biztosításának érettségi modellje 16. 14

COBIT A COBIT (Control Objectives for IT and Releated Technology) kialakulása, szemlélete ISACA (Information Systems Audit and Control Association) konferenciák, oktatás, CISA, CISM Információ rendszerek átvilágítási/auditálási szempontjai A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze Kontroll kialakítási irányelveket dolgoztakki. (Kontroll: Az üzleti célkitűzések megvalósítása és a nemkívánatos események megelőzése, felderítése és korrigálása céljából kialakított szabályok, eljárások normák, és szervezeti struktúrák. ) Preventív Detektív Korrektív De Pre Co www.isaca.hu www.isaca.org 15

COBIT A COBIT alapelvei Az információtechnológiát az üzleti célok elérése érdekében alkalmazzuk, ennek során az IT erőforrások IT folyamatokat hajtanak végre, ezek eredményei hozzájárulnak az üzleti célok eléréséhez. Közben veszélyforrások keletkeznek, ezek különböző kockázatokat jelentenek. Kontrollok alkalmazásával ezek elfogadható szintre csökkenthetők. Egy-egy szervezet különböző beosztású menedzserei más-más szempontok alapján értékelik az alkalmazott információtechnológiát. Így a felsővezetők az informatikához kapcsolódó üzleti követelményeket, az informatikai vezetők az általuk menedzselt IT erőforrásokat, a felhasználók pedig az IT folyamatokat helyezik előtérbe. RACI mátrix 16

COBIT A COBIT szerkezete Tervezés és szervezés Beszerzés és megvalósítás Szolgáltatás és támogatás Figyelemmel kísérés és értékelés 17

COBIT Tervezés és szervezés Beszerzés és megvalósítás A COBIT szerkezete Szolgáltatás és támogatás Figyelemmel kísérés és értékelés PO1 Az informatikai stratégiai terv meghatározása PO2 Az információ-architektúra meghatározása PO3 A technológiai irány kijelölése PO4 Az informatikai folyamatok, szervezet és a kapcsolatok meghatározása PO5 Az informatikai beruházások irányítása PO6 Tájékoztatás a vezetői célokról és irányról PO7 Az informatikai humán erőforrások kezelése PO8 Minőségirányítás PO9 Az informatikai kockázatok felmérése és kezelése PO10 A projektek irányítása 18

COBIT Tervezés és szervezés Beszerzés és megvalósítás A COBIT szerkezete Szolgáltatás és támogatás Figyelemmel kísérés és értékelés AI1 Az automatizált megoldások meghatározása AI2 Az alkalmazási szoftverek beszerzése és karbantartása AI3 A technológiai infrastruktúra beszerzése és karbantartása AI4 Az üzemeltetés és a használat támogatása AI5 Az informatikai erőforrások beszerzése AI6 A változtatások kezelése AI7 A megoldások és változtatások üzembe helyezése és bevizsgálása 19

COBIT Tervezés és szervezés Beszerzés és megvalósítás A COBIT szerkezete Szolgáltatás és támogatás DS1 A szolgáltatási szintek meghatározása és betartása DS2 Külső szolgáltatások igénybevételének irányítása DS3 Teljesítmény- és kapacitáskezelés DS4 A szolgáltatás folyamatosságának biztosítása DS5 A rendszerek biztonságának megvalósítása DS6 A költségek azonosítása és felosztása DS7 A felhasználók oktatása és képzése DS8 A rendkívüli események kezelése és a felhasználói támogatás működtetése DS9 Konfigurációkezelés DS10 Problémakezelés DS11 Az adatok kezelése DS12 A fizikai környezet biztosítása DS13 Az üzemeltetés irányítása Figyelemmel kísérés és értékelés 20

COBIT Tervezés és szervezés Beszerzés és megvalósítás A COBIT szerkezete Szolgáltatás és támogatás Figyelemmel kísérés és értékelés ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése ME3 Külső követelményeknek való megfelelőség biztosítása ME4 Az informatikai irányítás megteremtése 21

COBIT Input ACTIVITY készítsünk RACI mátrixot (tetszőleges) informatikai folyamathoz Folyamat lépés Output Felelős Végrehajtó Közreműködik Információt kap Megjegyzés 22

COBIT Input ACTIVITY készítsünk RACI mátrixot informatikai folyamathoz - Példa Folyamat lépés Output Felelős Végrehajtó Közreműködik Információt kap Megjegyzés Éves költségvetési terv és a munkatársak igényei írásban vagy emailben (de nem szóban) Összegyűjtött és rögzített igények Aggregált, konszoridált igények Beszerzési igények időszakos és eseti gyűjtése Az igények aggregálása, konszolidálása Előzetes kalkulációk, árajánlatok bekérése, döntéselőkészítés Összegyűjtött és rögzített igények Aggregált, konszoridált igények Beszerzési árakat és konkrét eszközöket tartalmazó priorizált lista Intézeti mérnök Intézeti mérnök Intézeti mérnök Érintett munkatársak Gazdasági ügyintéző Érintett munkatárs emailben Intézetigazgató Műszaki, tudományos igazgatóhelyettes A félévek elején az igények benyújtásának kezdeményezése Kis értékű fogyóeszközök esetén az Intézeti mérnök további jóváhagyás nélkül beszerzést kezdeményezhet. Szükség esetén egyeztetések az igénylőkkel. A tervezett beszerzések prioritást élveznek! A rendelkezésre álló keretek és címkék (témaszámok) 23

ISO27000 szabványcsalád ISO27000 szabványcsalád Az ISO/IEC 27000-es szabványcsalád az információbiztonsági irányítási rendszerekkel kapcsolatos szabványokat tartalmazza, melyek egy része előkészítés, illetve korszerűsítés alatt áll, többségük azonban már megjelent és folyamatos korszerűsítés alatt áll. Az egyes szabványok többsége magyar szabványként, magyar nyelven nem létezik. A szabványcsaládon belül központi helyet foglal el az ISO/IEC 27000 ill. ISO/IEC 27001 szabvány. ISO2700: A szabványcsalád áttekintését és a valamennyi szabványra érvényes fogalomtárat tartalmazza ISO27001: Általános követelmények A többiek speciális ágazatok számára készültek (pl. ISO/IEC 27099 Health Informatics ), speciális biztonsági területekhez tartoznak (pl. ISO/IEC 27031), az auditálást támogatják (pl. ISO/IEC 27006) ill. útmutatóként szolgálnak (pl. ISO/IEC 27003). 24

ISO27000 szabványcsalád Az ISO27001területei Bevezetés Alkalmazási terület Rendelkező hivatkozások Szakkifejezések és meghatározásuk A szervezet és környezete Vezetés Tervezés Támogatás Működés Teljesítmény értékelés Fejlesztés Melléklet: intézkedési célok és intézkedések 25

ISO27000 szabványcsalád Bevezetés Alkalmazási terület Rendelkező hivatkozások Szakkife je zé se k és meghatározásuk Az ISO27001fejezetei A szervezet és környe ze te Működé s Vezetés Te rve zés Támogatás Te lje sítmé ny értékelés Fe jle szté s Me llé kle t: intézkedési célok és intézkedések Szervezet és környezete Vezetés Tervezés Támogatás A szervezet és környezetésnek megértése Az érdekelt felek igényeinek és elvárásainak megértése Az alkalmazási terület meghatározása Információbiztonság irányítási rendszer Vezetői képesség és elkötelezettség Politika Szervezeti szerepek, felelősségek és hatáskörök A kockázatokkal és lehetőségekkel kapcsolatos tevékenységek Információbiztonsági célok és elérésük megtervezése Erőforrások Felkészültség Tudatosság Kommunikáció Dokumentált információ 26

ISO27000 szabványcsalád Bevezetés Alkalmazási terület Rendelkező hivatkozások Szakkife je zé se k és meghatározásuk Az ISO27001fejezetei A szervezet és környe ze te Működé s Vezetés Te rve zés Támogatás Te lje sítmé ny értékelés Fe jle szté s Me llé kle t: intézkedési célok és intézkedések Működés Működéstervezés és felügyelet Az információbiztonsági kockázatok felmérése Az információbiztonsági kockázatok kezelése Teljesítményértékelés Megfigyelés, mérés, elemzés és értékelés Belső audit Vezetőségi átvizsgálás Fejlesztés Nemmegfelelőség és helyesbítő tevékenységek Folyamatos fejlesztés 27

2013. évi L. törvény 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról Alapgondolat: A nemzeti vagyon része a nemzeti elektronikus adatvagyon. Ezt információs rendszereken keresztül kezeljük, így mind a nemzeti elektronikus adatvagyon mind az információs rendszerek biztonsága kiemelkedő fontosságú. Követelmények Cél: Az állami és önkormányzati szervek elektronikus információs rendszereiben kezelt adatok és információk n zárt; n bizalmasságának; n teljeskörű; n sértetlenségének; n folytonos; n és rendelkezésre állásának biztosítása. n kockázatokkal arányos. Rendszerek: A kezelt adatokra vonatkozó követelmények alapján Szervezeti egységek: Fejlesztésért, üzemeltetéséért, információbiztonságért felelős 1-5 skála, bizalmasság, sértetlenség, rendelkezésre állás kategóriákban osztály/ szint Akcióterv: A követelmények teljesítésre osztályonként és szintenként 2-2 év áll rendelkezésre 28

2011. évi CXII. törvény 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról CXII=112 Személyes adat Különleges adat Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik. 2015-ben módosult: 2015. évi XCVI. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény és a ko zadatok újrahasznosításáról szóló 2012. évi LXIII. törvény módosításáról Minden, valamely természetes személlyel kapcsolatba hozható információ A faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat 29

GDPR GDPR General Data Protection Rules GDPR Nagyon a sok hasonlóság a 2011. évi CXII. Törvénnyel http://www.adatvedelmirendelet.hu/wpcontent/uploads/2016/07/celex3a32016r06793ahu3at XT.pdf Az Európai Unió adatvédelmének az átfogó szabályozása 2018. május 25-től közvetlenül alkalmazandó Adatkezelő, adatfeldolgozó Adatkezelési célok: adatkezelés csak célhoz kötötten végezhető Adathordozhatóság; elfeledtetéshez való jog ; incidens jelentési mechanizmus Szervezet: Adatvédelmi tisztségviselő, belső szabályozások Be nem tartása jelentős bírságot okozhat Felügyelet: NAIH 30

Köszönöm a figyelmet! 31

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés