Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz? Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP.

Hasonló előadás


Az előadások a következő témára: "ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz? Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP."— Előadás másolata:

1 ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz? Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP

2 Nem „melyikre”, hanem MIÉRT van szükség az IT szabályozására? -Jogszabályok -Ellenőrzések (külső/belső) -EU-s pályázatok, előírások -Projektek -…

3 Hogyan? Két megközelítés ITIL COBIT MSZ ISO … Ellopták a notebook-o(ka)t ! Kilépett a rendszergazda Csalódott a projektvezető VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba Lecserélnénk a pénzügyi rendszert Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre …

4 Két megoldás - ITIL IT Infrastructure Library Service Strategy Service Design Service Transition Service Operation Continual Service Improvement

5 Két megoldás - ITIL Service Operation (példa) –„Timescales must be agreed for all incident-handling stages (these will differ depending upon the priority level of the incident) – based upon the overall incident response and resolution targets within SLAs – and captured as targets within OLAs and Underpinning Contracts (UCs). All support groups should be made fully aware of these timescales. Service Management tools should be used to automate timescales and escalate the incident as required based on predefined rules.”

6 Két megoldás – COBIT (HUN!) Tervezés és Szervezés Beszerzés és Megvalósítás Szolgáltatás és Támogatás Figyelemmel kísérés és Értékelés –ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése –ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése –ME3 Külső követelményeknek való megfelelőség biztosítása –ME4 Az informatikai irányítás megteremtése Control Objectives for Information and Related Technology

7 Két megoldás – COBIT (HUN!) –ME3 Külső követelményeknek való megfelelőség biztosítása ME3.1 A külső jogi, szabályozói és szerződéses megfelelőségi követelmények azonosítása Az olyan helyi és nemzetközi törvényeket, rendeleteket és egyéb külső követelményeket folyamatosan be kell azonosítása, amelyeknek meg kell felelni, és amelyeknek be kell épülnie a szervezet informatikai irányelveibe, szabványaiba, eljárásaiba és módszertanaiba. ME3.2 Külső követelményekre adott válaszok optimalizálása Az informatikai irányelveket, szabványokat, eljárásokat és módszertanokat felül kell vizsgálni és ki kell igazítani annak biztosítása érdekében, hogy a jogi, szabályozási és szerződési követelményeknek megfeleljenek, és erről tájékoztatást adjanak. ME3.3 A külső követelményeknek való megfelelőség értékelése Meg kell győződni arról, hogy az informatikai irányelvek, szabványok, eljárások és módszertanok megfelelnek a jogi és szabályozási követelményeknek. ME3.4 Bizonyosság nyújtása a megfelelőségről A megfelelőséget, és a belső utasításokból, illetve külső jogi, szabályozási, illetve szerződéses követelményekből származtatott összes belső irányelv betartását igazoló bizonyosságot kell beszerezni és azt jelenteni kell; meg kell győződni arról, hogy az esetleges megfelelőségi hiányosságokat rendezték, a helyesbítő intézkedéseket az azokért felelős folyamat felelős időben megtette. ME3.5 Integrált jelentéskészítés A jogi, szabályozási és szerződéses követelményekre vonatkozó informatikai jelentést integrálni kell az egyéb üzleti funkciók hasonló jelentéseivel.

8 Két megoldás - MSZ MSZ ISO/IEC 27001: Az ISMS kialakítása és irányítása Az ISMS kialakítása A szervezetnek a következőket kell elvégeznie: a) Meg kell határoznia az ISMS alkalmazási területét és annak határait a működési tevékenység jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, beleértve az alkalmazási területből történő bárminemű kizárás részleteit és azok indoklását (lásd az 1.2. szakaszt). b) Meg kell határoznia ISMS szabályzatát a működés jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, ami 1.keretet ad a célok kitűzéséhez, valamint kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban; 2.figyelembe veszi a működési és a jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket; 3.igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az ISMS létrehozása és fenntartása, történni fog; 4.kialakítja azokat az ismérveket, amelyek szerint a kockázatot majd értékelik (lásd a szakasz c) pontját); és 5.jóváhagyásra került a vezetés által.

9 Következtetés? Keretrendszerek! Azaz: kevés a konkrétum…

10 JPÉ megközelítés Ellopták a notebook-o(ka)t ! VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba –Adatkezelési szabályzat, Üzemeltetési szabályzat, Távoli hozzáférés szabályai Kilépett a rendszergazda Csalódott a projektvezető –SZMSZ, IT Biztonsági szabályzat Lecserélnénk a pénzügyi rendszert –SZMSZ, Fejlesztési szabályzat, Projekttervek Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre –Katasztrófaelhárítási terv (DR), Üzletfolytonossági terv (BCP) …

11 Ez összesen hányféle szabályzat???

12 Ne tévesszük szem elől a célt! Az üzleti folyamatok támogatása!

13 JPÉ megközelítés/2 Mekkora a cég/szervezet? Van-e anyavállalat? Mi és hogyan van szabályozva jelenleg? Mekkora az IT? Mik a kritikus üzleti folyamatok? (NEM a számítógépek vagy felhasználók!) Mik az elsődleges szempontok? Van-e „apropó”, sürgető tényező? Milyen erőforrásokat tudnak biztosítani? (NEM pénz!) …

14 Példák - mikro Informatikai szabályzat –Üzemeltetés –Jogosultságok –Üzemkimaradás –Adatkezelés (weblap!)

15 Példák – nagy(obb)

16 Fontos! Nem keverendő fogalmak/célok a: –Folyamatok javítása, optimalizálás, racionalizálás –Dokumentáltság

17 DR tartalomjegyzék - részlet 5.1 KRITIKUS ÜZLETI FOLYAMATOK, ALKALMAZÁSOK ÉS ESZKÖZÖK MEGHATÁROZÁSA 5.1.1Kritikus üzleti tevékenységek 5.1.2Kritikus infrastruktúra elemek 5.1.3Az érintett rendszerek rendelkezésre állási szintjeinek meghatározása 5.2 EMBERI ERŐFORRÁSOK 5.2.1Riadólánc 5.2.2Helyreállító csapat és válságstáb 5.2.3A csapat felelőssége 5.2.4A csapat feladata 6 HELYREÁLLÍTÁSI FOLYAMATOK 6.1LÉPÉSEK MUNKAIDŐBEN BEKÖVETKEZŐ VÉSZHELYZETRE 6.2LÉPÉSEK MUNKAIDŐN KÍVÜL BEKÖVETKEZŐ VÉSZHELYZETRE 6.3REAGÁLÁS 6.4KÁRÉRTÉKELÉS 6.5MENTÉS 6.6BESZERZÉS 6.7ALTERNATÍV HELYSZÍN ELŐKÉSZÍTÉSE 6.8INFRASTRUKTÚRA ELEMEK ÖSSZEKÉSZÍTÉSE 6.9INFRASTRUKTÚRA REKONSTRUKCIÓ 6.10VISSZAÁLLÍTANDÓ ÜZLETI FOLYAMATOK 6.11SZERVEREK TELEPÍTÉSE Adatbázis szerver installálása Internet szerver installálása 6.12MENTÉS VISSZATÖLTÉS (RESTORE) 6.13ALKALMAZÁSOK TELEPÍTÉSE 6.14ELLENŐRZÉS

18 Üzemeltetési szabályzat tartalomjegyzék - részlet 2 SZOLGÁLTATÁSI SZINTEK 2.1A FELHASZNÁLÓKNAK MUNKAIDŐBEN BIZTOSÍTOTT SZOLGÁLTATÁSOK 2.2SZOLGÁLTATÁSI IDŐSZAK, SZOLGÁLTATÁSOK ELÉRHETŐSÉGE 2.3SZOLGÁLTATÁSTÁMOGATÁS - ÜGYFÉLSZOLGÁLAT 2.4AZ ÜZEMELTETÉS MÉRÉSE 2.5JOGOSULTSÁGI MÁTRIX A SZOLGÁLTATÁSI SZINTEK ALAKÍTÁSÁHOZ 3 IT ÜZEMELTETÉS 3.1ESEMÉNYKEZELÉS 3.2INCIDENSKEZELÉS 3.3PROBLÉMAKEZELÉS 3.4HOZZÁFÉRÉSKEZELÉS 3.5VÁLTOZÁSKEZELÉS 3.6KONFIGURÁCIÓKEZELÉS 3.7MONITORING ÉS ELLENŐRZÉS 3.8MENTÉS ÉS HELYREÁLLÍTÁS 3.9SZERVEREK ÜZEMELTETÉSE 3.10HÁLÓZATMENEDZSMENT 3.11ALKALMAZÁS- ÉS ADATBÁZIS ADMINISZTRÁCIÓ 3.12CÍMTÁRSZOLGÁLTATÁS 3.13INTERNET/INTRANET MENEDZSMENT 3.14INFORMÁCIÓBIZTONSÁG 3.15FELELŐSSÉGI MÁTRIX AZ IT ÜZEMELTETÉSHEZ

19 Kérdés?


Letölteni ppt "ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz? Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP."

Hasonló előadás


Google Hirdetések