A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)

2 Informatikai Szolgáltatás Vizsgálata, Értékelése Informatika = Szolgáltatás, a tevékenység támogatására Vizsgálat = Mennyiben felel meg az intézmény informatikai szolgáltatása a tevékenység támogatásának? Értékelés = Hol tart a szervezet az informatika hatékony alkalmazásában?

3 Informatikai Szolgáltatás Vizsgálata, Értékelése Informatika = Szolgáltatás, a tevékenység támogatására Alapvetően az intézmény feladata, tevékenysége által megfogalmazott követelmények szerint kell az informatikai szolgáltatásokat kialakítani és fenntartani!

4 INFORMATIKAI STRATÉGIA = kommunikációs interface Miért? Az informatika az üzleti célokat szolgálja, ezért az üzleti stratégiához igazított informatikai stratégia az a dokumentum, amely meghatározza az üzleti tevékenységhez szükséges informatikai szolgáltatások tartalmi és minőségi követelményeit! Példa: Stratégiai tervezés az informatikában! Miért nem elég az informatika vizsgálata önmagában?

5 Mi van, ha nincs? Hiánya a problémák eseti kezelését eredményezi Akár hardver, akár szoftver fejlesztés látszik szükségesnek, nincs viszonyítási alap Az üzleti vezetés nem látja át, mit is akar az informatikai vezető Az informatikai vezető védtelen az ad hoc igényekkel szemben … Stratégiai tervezés az informatikában

6 Mi ez konkrétabban? Stratégiai tervezés az informatikában Egy írásmű, amelyben összefoglalják, majd elfogadja az ‘üzleti’ vezetés és az informatikát szolgáltató együtt, hogy  milyen informatikai üzemet vezetnek,  milyen rendelkezésre állást, sértetlenséget, bizalmasságot tartanak szükségesnek,  mindehhez milyen –belső erőforrásokra építenek, –külső segítséget vesznek igénybe, –erősségek, gyengeségek állapíthatók meg, mik a fejlődési lehetőségek, mik és milyenek a kockázatok.

7 Stratégiai tervezés az informatikában Lássunk példát az üzleti és informatikai politikára! Biztosító!  Üzleti politika: üzletszerzés, kárrendezés, hibamentesség, díjak beszedése, felügyeletnek való megfelelés  Informatikai politika: biztos üzemű infrastruktúra, külső üzletszerzők kapcsolata, megbízható szoftver, törlés- archiválás, hardver/szoftver támogatás

8 Stratégiai tervezés az informatikában Lássunk példát az üzleti és informatikai stratégiára! Biztosító!  Üzleti stratégia: az üzleti politika részletezése, üzleti szervezet, munkamegosztás, üzleti tervezés  Informatikai stratégia: informatikai szervezet, belső- külső munkamegosztás, az infrastruktúra fenntartása, építése,tárolóhely-figyelés és rugalmas bővítés a képek miatt, a szoftver-alkalmazások fejlesztése, külső szerződések, integráció, biztonság, ellenőrzés

9 Informatikai Szolgáltatás Vizsgálata, Értékelése Vizsgálat = Mennyiben felel meg az intézmény informatikai szolgáltatása a tevékenység támogatásának? Az intézmény elsőrendű érdeke, hogy rendszeresen vizsgálja az általa az őt kiszolgáló informatikával szemben felállított követelményeket. Rendelkezésreállás Sértetlenség Bizalmasság

10 Mire alapozva lehet véleményt mondani? COBIT Control OBjectives for Information and Related Technology Információra és a kapcsolatos technológiára vonatkozó kontroll célkitűzések Elméleti megfontolások és gyakorlati tapasztalatok (bevált gyakorlat) alapján kidolgozott szabályrendszer, amely az informatika felhasználásának minden részletére kiterjed, a kiszolgálandó tevékenység követelményei szerint!!!

11 Hogyan végezzük a felmérést? Támogatót (szponzort) jelöl ki a vizsgálandó intézmény A szponzorral véglegesítjük a projektet Interjúkat folytatunk (intézmény-vezető, részlegvezetők, pénzügyi felelős, humánpolitikai felelős, informatikai felelős, informatikai munkatársak, belső ellenőr) Átvizsgáljuk a létező szabályzatokat, az érintett dokumentációt Összesítünk és az eredményt összevetjük a COBIT útmutatásával A COBIT szerint értékelést végzünk

12 Milyen témakörökben végezzük a felmérést? Az üzleti tevékenység, szervezet, üzleti stratégia, az üzleti tevékenység informatikai támogatásának pontjai, az informatikai stratégia Az informatika szolgáltató szervezete, feladatmegosztás a szervezeten belül, hardver, alapszoftver leltár, felhasználói rendszerek leltára, az informatikai tevékenység szabályozottsága, hardver, szoftver beszerzések, az informatikához kapcsolódó szolgáltatási szerződések Hozzáférési jogok, mentések, informatikai rendszerek használatának ellenőrzése Az informatikai veszélyforrások és kezelésük, az üzleti tevékenységhez kapcsolódó informatikai kockázatok felmérése, a rendkívüli események kezelése Informatikai oktatás, az emberi erőforrások Külső, belső ellenőrzés

13 Informatikai Szolgáltatás Vizsgálata, Értékelése Értékelés = Hol tart a szervezet az informatika hatékony alkalmazásában? Nem értékítélet, hanem a további fejlesztési irányok igazolása, kiigazítása. Fokozza az intézmény közvetlen szerepvállalását az informatika irányításában (követelmények és számonkérések).

14 Miért éri meg egy ilyen felmérés? A ‘külső szem’ többet és mást vesz észre A COBIT szabályrendszer elmélete jó ‘sorvezető’ a vizsgálathoz és az értékeléshez Az interjúk közben a vizsgált intézmény képviselői is más szemmel tekintik át folyamataikat, körülményeiket ‘Fájdalommentesen’ derülnek ki hiányosságok, kockázatok A felmérés eredményei alapján az intézmény szabadon dönt a fejlesztésekről, változtatásokról Javulhat a belső együttműködés, erősödhet a kommunikáció, így jobb döntések hozhatók és fejlődhet a szervezet A fentiek révén jobban kézben tarthatók az informatikai költségek, optimalizált működés érhető el

15 Miért az SGS-t válassza partneréül? A legelső a nagy nemzetközi, audit szolgáltatásokat nyújtó cégek között Az ügyfél igényei szerint értelmezett audit szolgáltatásokat nyújtunk a teljes szállítási lánc számára Rendszertanúsítási szolgáltatásaink az összes akkreditációs rendszerben elérhetőek Egyedülálló lefedettség – azonos színvonalú szolgáltatások világszerte Képzett és tapasztalt auditoraink eredmény centrikus auditokat folytatnak le Megfelelően képesített auditor csapat áll fel bármilyen projekt esetén Hatékony projekt vezetés helyi és nemzetközi szinten Elismert függetlenség és pártatlanság

Köszönöm a figyelmüket! Nevelős Géza SGS COBIT vezető auditor t (06-1) m f (06-1) e Az a baj a számítógépekkel, hogy azt teszik, amit mondanak nekik, nem azt, amit elvárnak tőlük!