Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz?

KiadtaKristóf Balázs Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz?"— Előadás másolata:

1 ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz?
Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP

2 Nem „melyikre”, hanem MIÉRT van szükség az IT szabályozására?
Jogszabályok Ellenőrzések (külső/belső) EU-s pályázatok, előírások Projektek Saját, jól felfogott, ÜZLETI érdek!

3 Hogyan? Két megközelítés
ITIL COBIT MSZ 27001 ISO Ellopták a notebook-o(ka)t ! Kilépett a rendszergazda Csalódott a projektvezető VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba Lecserélnénk a pénzügyi rendszert Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre

4 Két megoldás - ITIL IT Infrastructure Library Service Strategy
Service Design Service Transition Service Operation Continual Service Improvement

5 Két megoldás - ITIL Service Operation (példa)
„Timescales must be agreed for all incident-handling stages (these will differ depending upon the priority level of the incident) – based upon the overall incident response and resolution targets within SLAs – and captured as targets within OLAs and Underpinning Contracts (UCs). All support groups should be made fully aware of these timescales. Service Management tools should be used to automate timescales and escalate the incident as required based on predefined rules.”

6 Két megoldás – COBIT (HUN!)
Control Objectives for Information and Related Technology Tervezés és Szervezés Beszerzés és Megvalósítás Szolgáltatás és Támogatás Figyelemmel kísérés és Értékelés ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése ME3 Külső követelményeknek való megfelelőség biztosítása ME4 Az informatikai irányítás megteremtése

7 Két megoldás – COBIT (HUN!)
ME3 Külső követelményeknek való megfelelőség biztosítása ME3.1 A külső jogi, szabályozói és szerződéses megfelelőségi követelmények azonosítása Az olyan helyi és nemzetközi törvényeket, rendeleteket és egyéb külső követelményeket folyamatosan be kell azonosítása, amelyeknek meg kell felelni, és amelyeknek be kell épülnie a szervezet informatikai irányelveibe, szabványaiba, eljárásaiba és módszertanaiba. ME3.2 Külső követelményekre adott válaszok optimalizálása Az informatikai irányelveket, szabványokat, eljárásokat és módszertanokat felül kell vizsgálni és ki kell igazítani annak biztosítása érdekében, hogy a jogi, szabályozási és szerződési követelményeknek megfeleljenek, és erről tájékoztatást adjanak. ME3.3 A külső követelményeknek való megfelelőség értékelése Meg kell győződni arról, hogy az informatikai irányelvek, szabványok, eljárások és módszertanok megfelelnek a jogi és szabályozási követelményeknek. ME3.4 Bizonyosság nyújtása a megfelelőségről A megfelelőséget, és a belső utasításokból, illetve külső jogi, szabályozási, illetve szerződéses követelményekből származtatott összes belső irányelv betartását igazoló bizonyosságot kell beszerezni és azt jelenteni kell; meg kell győződni arról, hogy az esetleges megfelelőségi hiányosságokat rendezték, a helyesbítő intézkedéseket az azokért felelős folyamat felelős időben megtette. ME3.5 Integrált jelentéskészítés A jogi, szabályozási és szerződéses követelményekre vonatkozó informatikai jelentést integrálni kell az egyéb üzleti funkciók hasonló jelentéseivel.

8 Két megoldás - MSZ MSZ ISO/IEC 27001:2006
4.2. Az ISMS kialakítása és irányítása Az ISMS kialakítása A szervezetnek a következőket kell elvégeznie: a) Meg kell határoznia az ISMS alkalmazási területét és annak határait a működési tevékenység jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, beleértve az alkalmazási területből történő bárminemű kizárás részleteit és azok indoklását (lásd az 1.2. szakaszt). b) Meg kell határoznia ISMS szabályzatát a működés jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, ami keretet ad a célok kitűzéséhez, valamint kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban; figyelembe veszi a működési és a jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket; igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az ISMS létrehozása és fenntartása, történni fog; kialakítja azokat az ismérveket, amelyek szerint a kockázatot majd értékelik (lásd a szakasz c) pontját); és jóváhagyásra került a vezetés által.

9 Azaz: kevés a konkrétum…
Következtetés? Keretrendszerek! Azaz: kevés a konkrétum…

10 JPÉ megközelítés Ellopták a notebook-o(ka)t !
VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba Adatkezelési szabályzat, Üzemeltetési szabályzat, Távoli hozzáférés szabályai Kilépett a rendszergazda Csalódott a projektvezető SZMSZ, IT Biztonsági szabályzat Lecserélnénk a pénzügyi rendszert SZMSZ, Fejlesztési szabályzat, Projekttervek Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre Katasztrófaelhárítási terv (DR), Üzletfolytonossági terv (BCP)

11 Ez összesen hányféle szabályzat???

12 Ne tévesszük szem elől a célt!
Az üzleti folyamatok támogatása!

13 JPÉ megközelítés/2 Mekkora a cég/szervezet? Van-e anyavállalat?
Mi és hogyan van szabályozva jelenleg? Mekkora az IT? Mik a kritikus üzleti folyamatok? (NEM a számítógépek vagy felhasználók!) Mik az elsődleges szempontok? Van-e „apropó”, sürgető tényező? Milyen erőforrásokat tudnak biztosítani? (NEM pénz!)

14 Példák - mikro Informatikai szabályzat Üzemeltetés Jogosultságok
Üzemkimaradás Adatkezelés (weblap!)

15 Példák – nagy(obb)

16 Fontos! Nem keverendő fogalmak/célok a:
Folyamatok javítása, optimalizálás, racionalizálás Dokumentáltság

17 DR tartalomjegyzék - részlet
5.1 KRITIKUS ÜZLETI FOLYAMATOK, ALKALMAZÁSOK ÉS ESZKÖZÖK MEGHATÁROZÁSA 5.1.1 Kritikus üzleti tevékenységek 5.1.2 Kritikus infrastruktúra elemek 5.1.3 Az érintett rendszerek rendelkezésre állási szintjeinek meghatározása 5.2 EMBERI ERŐFORRÁSOK 5.2.1 Riadólánc 5.2.2 Helyreállító csapat és válságstáb 5.2.3 A csapat felelőssége 5.2.4 A csapat feladata 6 HELYREÁLLÍTÁSI FOLYAMATOK 6.1 LÉPÉSEK MUNKAIDŐBEN BEKÖVETKEZŐ VÉSZHELYZETRE 6.2 LÉPÉSEK MUNKAIDŐN KÍVÜL BEKÖVETKEZŐ VÉSZHELYZETRE 6.3 REAGÁLÁS 6.4 KÁRÉRTÉKELÉS 6.5 MENTÉS 6.6 BESZERZÉS 6.7 ALTERNATÍV HELYSZÍN ELŐKÉSZÍTÉSE 6.8 INFRASTRUKTÚRA ELEMEK ÖSSZEKÉSZÍTÉSE 6.9 INFRASTRUKTÚRA REKONSTRUKCIÓ 6.10 VISSZAÁLLÍTANDÓ ÜZLETI FOLYAMATOK 6.11 SZERVEREK TELEPÍTÉSE Adatbázis szerver installálása Internet szerver installálása 6.12 MENTÉS VISSZATÖLTÉS (RESTORE) 6.13 ALKALMAZÁSOK TELEPÍTÉSE 6.14 ELLENŐRZÉS

18 Üzemeltetési szabályzat tartalomjegyzék - részlet
2 SZOLGÁLTATÁSI SZINTEK 2.1 A FELHASZNÁLÓKNAK MUNKAIDŐBEN BIZTOSÍTOTT SZOLGÁLTATÁSOK 2.2 SZOLGÁLTATÁSI IDŐSZAK, SZOLGÁLTATÁSOK ELÉRHETŐSÉGE 2.3 SZOLGÁLTATÁSTÁMOGATÁS - ÜGYFÉLSZOLGÁLAT 2.4 AZ ÜZEMELTETÉS MÉRÉSE 2.5 JOGOSULTSÁGI MÁTRIX A SZOLGÁLTATÁSI SZINTEK ALAKÍTÁSÁHOZ 3 IT ÜZEMELTETÉS 3.1 ESEMÉNYKEZELÉS 3.2 INCIDENSKEZELÉS 3.3 PROBLÉMAKEZELÉS 3.4 HOZZÁFÉRÉSKEZELÉS 3.5 VÁLTOZÁSKEZELÉS 3.6 KONFIGURÁCIÓKEZELÉS 3.7 MONITORING ÉS ELLENŐRZÉS 3.8 MENTÉS ÉS HELYREÁLLÍTÁS 3.9 SZERVEREK ÜZEMELTETÉSE 3.10 HÁLÓZATMENEDZSMENT 3.11 ALKALMAZÁS- ÉS ADATBÁZIS ADMINISZTRÁCIÓ 3.12 CÍMTÁRSZOLGÁLTATÁS 3.13 INTERNET/INTRANET MENEDZSMENT 3.14 INFORMÁCIÓBIZTONSÁG 3.15 FELELŐSSÉGI MÁTRIX AZ IT ÜZEMELTETÉSHEZ

19 Kérdés? zoltan.tozser@tmsi.hu

Letölteni ppt "ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz?"

Hasonló előadás

Laboratóriumi munka szerepe a minőségbiztosításban

Laboratóriumi munka szerepe a minőségbiztosításban
Információbiztonság irányítása

Információbiztonság irányítása
Humán rendszerek, közszféra

Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
RENDSZERINTEGRÁLÁS B_IN012_1

RENDSZERINTEGRÁLÁS B_IN012_1
A tervezés mint menedzsment funkció

A tervezés mint menedzsment funkció
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK

ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.

MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban

Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
DOKUMENTUMKEZELÉS.

DOKUMENTUMKEZELÉS.
Szervezeti szintű folyamatszemlélet OPF. Célja: Az OPF célja, megtervezni és végrehajtani a szervezeti folyamatok fejlesztését, mindezt arra alapozva,

Szervezeti szintű folyamatszemlélet OPF. Célja: Az OPF célja, megtervezni és végrehajtani a szervezeti folyamatok fejlesztését, mindezt arra alapozva,
ESZA Nonprofit Kft. Nagy Balázs– uniós programigazgató.

ESZA Nonprofit Kft. Nagy Balázs– uniós programigazgató.
Szoftverfejlesztés és szolgáltatás kiszervezés Folyamatjavítási mérföldkövek a világon és Magyaroszágon Bevezető gondolatok Dr. Biró Miklós.

Szoftverfejlesztés és szolgáltatás kiszervezés Folyamatjavítási mérföldkövek a világon és Magyaroszágon Bevezető gondolatok Dr. Biró Miklós.
MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához

MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához
Minőségirányítás a felsőoktatásban

Minőségirányítás a felsőoktatásban
Az EU-pályázati rendszer gyakorlata Magyarországon

Az EU-pályázati rendszer gyakorlata Magyarországon
Munkavédelmi előírások rendszere

Munkavédelmi előírások rendszere
Szoftverminőség biztosítása

Szoftverminőség biztosítása
Szervezetfejlesztési Program

Szervezetfejlesztési Program

Hasonló előadás

Google Hirdetések