ALKALMAZÁSI MÓDSZEREK
3. kiadás
MTA Információtechnológiai Alapítvány 2003
COBIT AZ INFORMÁCIÓ–TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ– HOZ ÉS ELLEN RZÉSÉHEZ
1
IT
GOVERNANCE INSTITUTE
IT
GOVERNANCE INSTITUTE
COBIT 3. kiadás
Alkalmazási módszerek 2000. július
A COBIT Irányító Bizottsága és az IT Governance InstituteTM gondozásában
A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény , általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az üzletemberek, ellen rök és könyvvizsgálók
2
3
4
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén
Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén – fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket.
Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: • Szakképesítési programja (Okleveles információs–rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. • Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. • Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. • Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét.
Az Information Systems Audit and Control Association 1969–ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével – egy olyan ágazatban, ahol nano–szekundumokban mérik az el relépéseket.
További információk További felvilágosításért hívja a +1.847.253.1545–ös telefonszámot, írjon e–mail címünkre (
[email protected]), vagy keressen fel minket az Internet-en az alábbi oldalakon: www.Itgovernance.org www.isaca.org
5
COBIT – ALKALMAZÁSI MÓDSZEREK
TARTALOMJEGYZÉK Köszönetnyilvánítás Vezet i összefoglaló
A COBIT keretrendszer A keretrendszer alapelvei COBIT történelem és el zmények
Kontroll irányelvek – Összefoglaló táblázat Alkalmazási útmutató Hogyan vezessük be a COBIT-ot szervezetünknél Hogyan alkalmazzuk a COBIT-ot szervezetünknél Vezet i tájékozottság diagnosztizálása Informatikai kontroll diagnosztizálása
COBIT esettanulmányok A COBIT-tal kapcsolatos leggyakoribb kérdések és a válaszok I. Melléklet Informatikai irányításhoz kapcsolódó vezet i útmutató
II. Melléklet COBIT projekt ismertetés III. Melléklet Els dleges COBIT hivatkozási források
IV. Melléklet Szójegyzék
6
COBIT – ALKALMAZÁSI MÓDSZEREK A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ–technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a ’’Termék”), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében.
Közzététel és szerz i jog Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön – elektronikus, mechanikus, hangfelvétel, vagy más – keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: ”Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével.”
Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels , nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva.
Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Fax: +1.847.253.1443 E–mail:
[email protected] Internet: www.ITgovernance.org www.isaca.org ISBN ISBN
1–893209–15–6 (Összefoglaló áttekintés) 1–893209–13–X (a 6 teljes könyv CD ROM-mal együtt)
Készült az Amerikai Egyesült Államokban.
7
COBIT – ALKALMAZÁSI MÓDSZEREK
KÖSZÖNETNYILVÁNÍTÁS PROJEKT CSOPORT Erik Guldentops. S.W.I.F.T. sc. Belgium Eddy Schuermans, PricewaterhouseCoopers, Belgium
COBIT IRÁNYÍTÓ BIZOTTSÁG Erik Guldentops. S.W.I.F.T. sc. Belgium John Beveridge, State Auditor’s Office, Massachusetts, USA Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels, Elnök BRT, Belgium Gary Hardy, Arthur Andersen, Egyesült Királyság John Lainhart, PricewaterhouseCoopers, USA Akira Matsuo, Chuo Audit Corporation, Japán Eddy Schuermans, PricewaterhouseCoopers, Belgium Paul Williams, Arthur Andersen, Egyesült Királyság
KUTATÓK Prof. Ulric J. Gelinas Bentley College, Watham, MA
SZAKÉRT I ÁTTEKINTÉS
Bostoni Egyesület National Capital Area Egyesület
KÜLÖN KÖSZÖNET az Information Systems Audit and Control Association Igazgatóságának tagjainak és az Information Systems Audit and Control Foundation vagyonkezel inek, élükön Paul Williams Nemzetközi Elnökkel, a COBIT iránti elkötelezettségükért és folyamatos támogatásukért.
8
COBIT – ALKALMAZÁSI MÓDSZEREK
BEVEZET
AZ ALKALMAZÁSI MÓDSZEREKHEZ
Az Információ-technológiai Kontroll Irányelvek (COBIT) 1996-ban történt, mérföldk nek számító bevezetése olyan eszközt adott az informatikusok kezébe, amely általánosan alkalmazható az információ-technológiához/informatikához kapcsolódó irányítás és kontroll területén.
A COBIT els dleges célja az, hogy világos irányelveket és megfelel gyakorlati útmutatást adjon az informatikai irányításhoz a szervezetek számára – hogy segítsen a fels vezetésnek az informatikához kapcsolódó kockázatok megértésében és kezelésében. A COBIT ennek a célnak a megvalósítása érdekében egy informatikai irányítási keretrendszert és egy részletes kontroll irányelveket tartalmazó útmutatót kínál a fels vezetés, az üzleti folyamatokért felel s vezet k, a felhasználók és az ellen rök számára.
A COBIT abból az egyszer és pragmatikus alaptételb l indul ki, hogy: a szervezet célkit zéseinek teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni. A COBIT egyszer , üzlet-orientált hierarchikus rend szerint csoportosítja ezeket az eljárásokat. Minden egyes eljárásnál kitér az informatikai er források kérdésére, valamint az információkra vonatkozó min ségi, kezelési és biztonsági követelményekre is.
Mivel a COBIT üzlet-orientált módszertan, segítségével könnyen megérthet ek az informatikai kontroll irányelvek, amelyek segítenek az informatkához kapcsolódó kockázatok kezelésében:
• •
els lépésként ki kell jelölni az üzleti célkit zést a Keretrendszerben, azután ki kell választani az ahhoz kapcsolódó megfelel informatikai eljárásokat és kontroll m veleteket a Kontroll Irányelvek közül; meg kell vizsgálni azok m ködését az üzleti terv alapján; és fel kell mérni az eljárásokat és az eredményeket az Auditálási útmutató segítségével.
• •
A COBIT Irányító Bizottsága a COBIT kiadását követ en azonnal hozzáfogott annak a kérdésnek az elemzéséhez, hogy a “globális követend normákat” hogyan lehet alkalmazni. Ennek a munkának az eredményeként született meg ez az Alkalmazási módszerek cím rész, amely a COBIT-ot már sikeresen alkalmazó szervezetek tapasztalatai alapján levont tanulságokat fogalmazza meg mások számára is hasznosítható formában. Az újonnan kidolgozott Vezet i útmutató olyan új koncepciókat és eszközöket vezet be, amelyek új perspektívákat nyitnak meg a COBIT bevezetéséhez és könnyen hozzáigazíthatóak az egyes szervezetek konkrét igényeihez.
A fentebb említett tanulságok illetve tanácsok közé tartozhat például a fels vezetés kell id ben történ bevonása a megbeszélésekbe; a keretrendszer ismertetésére való felkészülés (mind általános mind részletes szinten); és más szervezetek sikertörténeteinek idézése. Emellett a COBIT Irányító Bizottság felkérést kapott a legfontosabb pontok részletesebb kifejtésére és egy olyan optimális bevezetési eljárás kidolgozására, amely lépésr l-lépésre
9
COBIT – ALKALMAZÁSI MÓDSZEREK nyomon követi a szükséges teend ket, példákkal kiegészítve. Az Alkalmazási módszerek tartalma így az alábbi részekb l áll össze:
• • • • • •
Bevezet összefoglalás Alkalmazási útmutató, dokumentum-mintákkal és ábrákkal Vezet i Tájékozottság Diagnosztizálása és Informatikai Kontroll Diagnosztizálása A COBIT alkalmazását bemutató esettanulmányok Gyakran feltett kérdések és a megfelel válaszok Írásvetít fóliák a COBIT alkalmazásához/eladásához.
10
COBIT – ALKALMAZÁSI MÓDSZEREK
VEZET I ÖSSZEFOGLALÓ
A szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az
ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában – ahol az információ id -, távolsági- és sebesség-korlátok nélkül száguld a kibertérben – az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása:
•
a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; egyre nagyobb mérték a szervezetek sebezhet sége és veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket.
•
•
•
Sok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet
legértékesebb vagyontárgyait. Mindezek mellett napjaink verseny-centrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani.
Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat.
Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.
A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalatirányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás
11
COBIT – ALKALMAZÁSI MÓDSZEREK integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásokra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.
A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona esetében,
figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források – ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat – optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani.
A COBIT – immár harmadik kiadásában – az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó “szakadékok” áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott “követend gyakorlatok” olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem.
A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg.
12
COBIT – ALKALMAZÁSI MÓDSZEREK
Az üzleti szemléletmód a COBIT egyik f
jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is.
A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki:
A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni.
A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan.
A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek–e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat.
A ”Vezet i útmutató” a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg , javaslatokat ad a vállalat-vezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások
13
COBIT – ALKALMAZÁSI MÓDSZEREK teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye.
A COBIT ún. ”Érettségi Modelleket” kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen ”hol tart” a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. ”Kritikus sikertényez ket” kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. ”Kritikus cél indexeket” kínál, amelyek meghatározzák azokat a mér számokat, amelyek - a megvalósítást követ en megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. ”Kritikus teljesítmény indexeket” is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez.
A COBIT ”Vezet i útmutató”-jában szerepl ajánlások tevékenység-központúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokoljáke a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével?
A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál – Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása – a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez.
Az elkövetkez
évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti “szakadékok” áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed , világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az információ–technológiához kapcsolódó kockázatok és el nyök megértéséhez és kezeléséhez nyújt segítséget.
14
COBIT – ALKALMAZÁSI MÓDSZEREK
A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS
COBIT
TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése
F1 folyamatok felügyelete
F2 bels ellen rzés megfelel ségének
felmérése
F3 független értékelés szerzése F4 független ellen rzés (audit)
biztosítása
INFORMÁCIÓ
• eredményesség • hatékonyság • bizalmas jelleg • sértetlenség • hozzáférhet ség • szabályosság • megbízhatóság
FELÜGYELET
IT ER FORRÁSOK
TERVEZÉS ÉS SZERVEZET
INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS
• emberek • alkalmazási rendsz.–k • technológia • technikai környezet • adatok
IT1 szolgáltatási szintek meghatározása
BESZERZÉS ÉS BEVEZETÉS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése
és kezelése IT2 küls szolgálttaások kezelése
IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása
IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése IT13 m ködés irányítása
15
COBIT – ALKALMAZÁSI MÓDSZEREK
A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ–TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat.
A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz . Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket.
Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontrollfunkciók kialakítását, legyen szó akár üzleti, non–profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést.
Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket.
AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szerkezet-átalakítás, a karcsúsítás, a küls szolgáltatók alkalmazása (outsourcing), a részlegek önállósítása és a megosztott feldolgozás
16
COBIT – ALKALMAZÁSI MÓDSZEREK mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el – és fognak még el idézni – a szervezetek irányítási struktúrájában és m ködésének ellen rzésében.
A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontrollmechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver–, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan “bakugrás” jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia.
Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével.
A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalat-irányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált.
Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket.
(ábra) 17
COBIT – ALKALMAZÁSI MÓDSZEREK Vállalatirányítás
befolyás és hatás
Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.
(ábra) Vállalati tevékenységek
információ igény
Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait – ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalatirányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust.
(ábra)
Vállalat-irányítás KÖZVETLEN
Célok
Vállalati tevékenységek
KONTROLL
⇐
JELENTÉS
Er források
⇐
FELHASZNÁLÁS
Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz
18
COBIT – ALKALMAZÁSI MÓDSZEREK kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra.
(ábra)
Informatikai irányítás Közvetlen
Célok
igazodik és támogatja az üzleti célokat és maximalizálja az el nyöket - Az informatikai er forrásokat hatékonyan használják fel - Az informatikához kapcsolódó kockázatokat megfelel en kezelik
Informatikai tevékenységek Tervezés és szerv. Beszerz. és bevez. M ködt. és támog. Felügyelet
Szükséges TERV CSELEKVÉS ELLEN RZÉS KORREKCIÓ
Kockázatkezelés
KONTROL L
El nyök elérése
biztonság megbízhatóság szabályosság
Automatizáció növelése eredményesség
Költségek csökkentése - hatékonyság
⇐ Jelentés
Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en.
!
AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információ-technológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén.
19
COBIT – ALKALMAZÁSI MÓDSZEREK Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO* az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari– Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy “betömje” ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál.
(A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrustTM Rendszer-megbízhatósági alapelvek és kritériumok csomag. A SysTrust-ot, amely részben a COBIT Kontroll irányelveire épül, egyaránt mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.)
Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához.
A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki.
A CÉLKÖZÖNSÉG: VEZETÉS, *
Committe of Sponsoring Organizations of the Treadway Commission – Internal Control Integrated Framework, 1992
20
COBIT – ALKALMAZÁSI MÓDSZEREK FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT:
VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg. FELHASZNÁLÓK: a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás.
INFORMÁCIÓS RENDSZER ELLEN RÖK: az ellen ri vélemények alátámasztása és a bels ellen rzéssel kapcsolatos tanácsadás segítése. "
AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezet-átalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához.
A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk.
ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A “kontroll” kifejezés jelentését a COSO Jelentésb l (Internal Control – Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az “Informatikai (IT) Kontroll Irányelv” kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994)
A kontroll definíciója
Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák.
Az informatikai
Azon kívánt eredmények illetve célok meghatározása, amelyek
21
COBIT – ALKALMAZÁSI MÓDSZEREK Kontroll Irányelv definíciója
valamely konkrét informatikai területen a kontroll-eljárások alkalmazása révén megvalósíthatóak.
Az informatikai irányítás definíciója
A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.
22
COBIT – ALKALMAZÁSI MÓDSZEREK
A KERETRENDSZER ALAPELVEI Két különböz kategóriába lehet besorolni a napjainkban alkalmazott ellen rzési vagy kontroll modelleket: az ún. “üzleti kontroll modellek” osztályába (ilyen pl. a COSO) és a “koncentráltabb irányú informatikai kontroll modellek” osztályába (ilyen például a DTI). A COBIT a kett közötti szakadékot kívánja áthidalni. A COBIT tehát egyrészt általánosabb jelleg a fenti informatikai kontroll modelleknél, másrészt többet jelent az informatikai rendszerekért felel s vezet k számára, mint puszta technológiai szabványcsomag. A COBIT az informatikai irányítás modellje!
A COBIT Keretrendszere arra az alapkoncepcióra épül, hogy az informatika területén a kontroll kérdését az üzleti célkit zések illetve követelmények teljesítéséhez szükséges információkon keresztül kell megközelíteni, és az információkra úgy kell tekinteni, mint az informatikai eljárások által kezelt er források együttes alkalmazásának eredményére.
ábra
ÜZLETI KÖVETELMÉNYEK
INFORMATIKAI ELJÁRÁSOK
INFORMATIKAI ER FORRÁSOK
Az üzleti célok teljesítése érdekében az információknak meg kell felelniük bizonyos kritériumoknak, amelyekre a COBIT az információkra vonatkozó üzleti követelményekként hivatkozik. A követelmények meghatározásakor a COBIT ötvözi a meglév és ismert hivatkozási modellek alapelveit:
Min ségi követelmények
Min ség Költség Informatikai szolgáltatás
Fiduciáris követelmények
M ködés eredményessége és hatékonysága Információk megbízhatósága Törvényeknek és jogszabályoknak való megfelelés
Biztonsági követelmények
Bizalmas jelleg Sértetlenség Hozzáférhet ség, rendelkezésre állás
A min ség kapcsán els sorban annak “negatív” aspektusaira koncentráltunk (hibamentesség, megbízhatóság, stb.), amelyek nagy részével a sértetlenségi kritérium is foglalkozik. A min ség pozitív, de kevésbé kézzelfogható oldalait (stílus, vonzó tulajdonságok, elvárásokat meghaladó teljesítmény, stb.) egyel re nem vizsgáltuk meg az informatikai kontroll irányelvek szempontjából. Abból az alapkoncepcióból indultunk ki, hogy a legfontosabb
23
COBIT – ALKALMAZÁSI MÓDSZEREK prioritás a kockázatok, nem pedig a lehet ségek megfelel kezelése. A min ség használhatósági aspektusával az eredményességi kritérium foglalkozik. A min ség informatikai szolgáltatási aspektusa átfedéseket mutat a biztonsági követelmények hozzáférhet ségi aspektusával és bizonyos mértékben az eredményességgel és a hatékonysággal is. Végül a költség kritériummal a hatékonyság is foglalkozik.
A fiduciáris követelmények kapcsán a COBIT nem akarta újra feltalálni a kereket – átvettük a m ködés eredményességére és hatékonyságára, az információk megbízhatóságára és a jogszabályoknak való megfelelésre vonatkozó COSO definíciókat, azzal a különbséggel, hogy az információk megbízhatósági kritériumát kiterjesztettük minden információra – nemcsak a pénzügyiekre.
A biztonsági követelmények kapcsán a COBIT a bizalmas jelleget, a sértetlenséget és a hozzáférhet séget, rendelkezésre állást kezeli a legfontosabb kritériumokként – ezt a három szempontot használják világszerte az informatikai biztonsági követelmények leírásához.
Az átfogóbb tartalmú min ségi, fiduciáris és biztonsági követelményekb l kiindulva hét különböz , bizonyos esetekben egymást átfed , kategória került meghatározásra. Ezeknek a kategóriáknak a tartalmát az alábbiak szerint definiálja a COBIT:
Eredményesség
ahhoz kapcsolódik, hogy az információk relevánsak-e az üzleti folyamatok szempontjából illetve, hogy a megfelel id ben, pontos, egységes, ellentmondásmentes és felhasználható formában állnak–e rendelkezésre
Hatékonyság
ahhoz kapcsolódik, hogy az információk az er források optimális (a lehet leghatékonyabb és leggazdaságosabb) felhasználása révén lettek-e el állítva
Bizalmasság
a bizalmas és titkos információk engedély közzétételének megel zéséhez kapcsolódik
nélküli
Sértetlenség, összhang
az információk pontosságához és teljességéhez, valamint az üzleti értékekkel és elvárásokkal összefügg érvényességéhez kapcsolódik
Hozzáférhet ség. ahhoz kapcsolódik, hogy az információk rendelkezésre állnak-e az üzleti folyamatok által megkívánt szükséges id ben. rendelkezésre A szükséges er források és az azokhoz kapcsolódó kapaciállás tások védelmére is kiterjed.
Szabályszer ség, megfelel ség
az üzleti folyamatokra vonatkozó illetve a kapcsolódó törvényeknek, jogszabályoknak és szerz déses kötelezettségeknek való megfeleléshez kapcsolódik, amelyek alanya az adott szervezet és tevékenysége, úm. a szervezettel szemben kívülr l megszabott üzleti feltételek.
Megbízhatóság
ahhoz kapcsolódik, hogy megfelel 24
információkat kap-e a
COBIT – ALKALMAZÁSI MÓDSZEREK vezetés a szervezet m ködtetéséhez és a pénzügyi és egyéb kötelez jelentések elkészítéséhez
A COBIT keretében meghatározott informatikai er források az alábbiak szerint definiálhatók:
Adatok
A legszélesebb értelemben vett (úm. küls és bels ) strukturált és nem–strukturált, grafikus, audio–, stb. információk.
Alkalmazási rendszerek
A manuális és programozott eljárások összessége.
Technológia
A hardver, az operációs rendszerek, az adatbázis–kezel rendszerek, a hálózatok, a multimédia eszközök, stb.
Technikai környezet
Mindazok az er források, fizikai környezet, amelyek lehet vé teszik és segítik az információs rendszerek m ködését.
Emberek
Az információs rendszerek és szolgáltatások tervezéséhez, szervezéséhez, beszerzéséhez, üzemeltetéséhez és felügyeletéhez szükséges munkaer és annak képzettsége, ismeretei és képességei tartoznak ide.
A pénzt illetve t két nem soroltuk az informatikai er források közé a kontroll irányelvek besorolása kapcsán, mivel azt a fenti er források bármelyikének biztosításához fel lehet használni. Meg kell azt is jegyezni, hogy a Keretrendszer nem hivatkozik külön az egyes informatikai eljárásokhoz kapcsolódó összes lényeges kérdés dokumentációjára. A megfelel kontrollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen leírások hiánya további ellen rzések és elemzések elvégzését teszi szükségessé minden egyes konkrét vizsgálati területen.
Az informatikai er források és a szolgáltatások biztosítása közötti kapcsolatot egy más szemszögb l világítja meg az alábbi ábra:
(ábra)
Adatok Alkalmazási rendszerek
ESEMÉNYEK
Üzleti célok Üzleti lehet ségek Küls követelmények El írások Kockázatok
INFORMÁCIÓK
Eredményesség Hatékonyság Bizalmasság Sértetlenség Hozzáférhet ség Szabályosság Megbízhatóság
#
TECHNOLÓGIA
#
#
üzenet input
KÖRNYEZET
szolgáltatás output
EMBEREK
#
Az információkhoz kapcsolódó üzleti követelmények teljesítése érdekében megfelel kontroll intézkedéseket kell kialakítani, bevezetni és fenntartani a fenti er források kapcsán. De vajon hogyan tudják megállapítani a szervezetek azt, hogy a kapott információk rendelkeznek–e a
25
COBIT – ALKALMAZÁSI MÓDSZEREK szükséges tulajdonságokkal? Ehhez szükséges a Kontroll Irányelvek keretrendszere. A következ ábra ezt a koncepciót illusztrálja.
Ami megvan
Amire szükség van
ÜZLETI FOLYAMATOK
Információs kritériumok: • eredményesség • hatékonyság • bizalmasság • sértetlenség, összhang • hozzáférhet ség • szabályszer ség • megbízhatóság
INFORMÁCIÓ
#
$
IT ER FORRÁSOK • emberek • alkalmazási rendszerek • technológia • technikai környezet • adatok %
?
Megegyeznek
A COBIT Keretrendszer egy átfogó struktúra szerint csoportosítja az általános Kontroll Irányelveket. A csoportosítás arra az alapkoncepcióra épül, hogy az informatikai er források felhasználása kapcsán három szintr l lehet beszélni. Alul helyezkednek el azok a tevékenységek és feladatok, amelyek a mérhet eredmények eléréséhez szükségesek. A tevékenységeknek van bizonyos életciklusa, míg a feladatok sokkal különállóbb jelleg ek. Az életciklussal bíró tevékenységekhez más kontroll követelmények kapcsolódnak, mint a körülhatárolt feladatokhoz. Középen helyezkednek el a folyamatok, amelyek olyan összekapcsolódó tevékenységek és feladatok sorozatából állnak, amelyekbe természetes ellen rézési pontok vannak beépítve. A legfels szinten a folyamatok bizonyos területekre csoportosulnak össze. Ez a természetes alapú csoportosítás gyakran felel sségi területként ölt formát a szervezeti struktúrán belül és összhangban áll az informatikai eljárásokhoz kapcsolódó irányítási ciklussal illetve életciklussal.
(ábra)
Területek Folyamatok
Tevékenységek/ feladatok A fogalmi keretrendszert tehát három oldalról lehet megközelíteni: (1) az információs kritériumok, (2) az informatikai er források és (3) az informatikai eljárások oldaláról. Ezt a három megközelítési oldalt szemlélteti az ún. COBIT Kocka:
(ábra)
Informatikai eljárások Területek Folyamatok
Információs kritériumok Min ségi Fiduciáris &
26
IT er források Emberek Alkalmazási rendszerek '
COBIT – ALKALMAZÁSI MÓDSZEREK Tevékenységek
Biztonsági
Technológia Technikai környezet Adatok
A fenti keretrendszerben szerepl területek meghatározásakor olyan kifejezéseket igyekeztünk keresni, amelyeket nap mint nap használnak a vezet k – nem ellen ri zsargont. Négy általános területet határoztunk meg, nevezetesen az alábbiakat: tervezés és szervezet; beszerzés és bevezetés; informatikai szolgáltatás és támogatás; továbbá felügyelet.
A fenti négy általános jelleg eljárási terület tartalma az alábbiak szerint definiálható:
Tervezés és szervezet
Ide tartozik a stratégia és a taktika, valamint azoknak a lehet ségeknek a feltárása, amelyek révén az informatika a a leghatékonyabban képes hozzájárulni az üzleti célok teljesítéséhez. Emellett a stratégiai célkit zések megvalósításának módját különböz szempontok szerint kell megtervezni, kommunikálni és irányítani. Végezetül gondoskodni kell a megfelel szervezeti és technológiai infrastruktúráról.
Beszerzés és bevezetés
Az információs stratégia megvalósításához informatikai megoldásokat kell kidolgozni vagy beszerezni, majd be kell azokat vezetni, üzembe kell állítani és be kell építeni az üzleti folyamatokba. Emellett ehhez a területhez tartozik a meglév rendszerek karbantartása és további m ködésük érdekében szükséges módosítása is.
Informatikai szolgáltatás és támogatás
Ez a terület a szükséges szolgáltatások tényleges biztosításához kapcsolódik, amely a hagyományos üzemeltetést l a biztonsági és üzleti folyamatossági szempontokon át egészen a képzésig terjed. A megfelel informatikai szolgáltatás biztosítása érdekében ki kell építeni a szükséges segédfolyamatokat is. Ehhez a területhez tartozik az adatok tényleges feldolgozása alkalmazási rendszerek révén , amelyet gyakran az alkalmazási kontroll funkciók közé sorolnak be.
Felügyelet
Rendszeres id közönként meg kell vizsgálni, hogy az egyes informatikai eljárások megfelelnek–e a min ségi– és kontroll követelményeknek. Ehhez a területhez tartozik tehát a szervezet ellen rzési eljárásainak vezet i felügyelete valamint független vizsgálata, amely utóbbi a bels ellen rzés és a könyvvizsgálat révén, vagy más alternatív forrásból valósítható meg.
Meg kell jegyezni, hogy ezeket az eljárásokat különböz szinteken lehet alkalmazni a szervezeteken belül. Például bizonyos eljárásokat vállalati szinten szükséges alkalmazni, másokat az információ-szolgáltatás funkcionális szintjén, megint másokat az üzleti folyamatokért felel s vezet k szintjén, stb.
27
COBIT – ALKALMAZÁSI MÓDSZEREK
Azt is meg kell jegyezni, hogy az üzleti követelményeknek megfelel megoldások kidolgozásához kapcsolódó eljárások eredményességi kritériuma néha lefedi a hozzáférhet ségi, a sértetlenségi és a bizalmassági kritériumokat is – a gyakorlatban ezek üzleti követelményekként jelennek meg. Például a “megoldások keresése” eljárás során figyelembe kell venni a hozzáférhet ségi, a sértetlenségi és a bizalmassági követelményeket is.
Nyilvánvaló, hogy a különböz kontroll intézkedések nem ugyanolyan mértékben járulnak hozzá az információkhoz kapcsolódó különböz üzleti követelmények teljesítéséhez.
•
els dlegesek
azok a kontroll irányelvek, amelyek közvetlenül befolyásolják az érintett információs követelmény kielégítését.
•
másodlagosak
azok a kontroll irányelvek, amelyek csak kisebb mértékben vagy közvetve befolyásolják az érintett információs követelmény kielégítését.
•
“üresek”
azok a kontroll irányelvek, amelyek alkalmazhatóak ugyan, de a követelmények teljesítését hatékonyabban tudják biztosítani az adott eljáráson belüli más kritériumok vagy más eljárások.
Hasonlóképpen, a különböz kontroll intézkedések nem ugyanolyan mértékben hatnak a különböz IT er forrásokra. A COBIT Keretrendszer éppen ezért konkrétan megjelöli, hogy melyek azok az IT er források, amelyekre a vizsgált eljárások kihatnak (nem azokat, amelyek pusztán részt vesznek az eljárásban). Ez az osztályozás kutatók és szakért k munkája és közrem ködése alapján, a korábban jelzett szigorú definíciók figyelembe vételével került kidolgozásra.
Összefoglalva, a szervezet célkit zéseinek teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni, amelyr l az informatikai irányításnak kell gondoskodnia. A következ ábra ezt a koncepciót illusztrálja:
(ábra → lásd a 7. oldalon lév ábrát –megj.) (
28
COBIT – ALKALMAZÁSI MÓDSZEREK
COBIT TÖRTÉNELEM ÉS EL ZMÉNYEK )
A COBIT harmadik kiadása az információkhoz és az informatikához kapcsolódó Kontroll Irányelvek legújabb változata, amely els alkalommal 1996-ban jelent meg az Information Systems Audit and Control Foundation (ISACF) kiadásában. Az 1998-ban megjelent második kiadás, a forrás-dokumentumok számának b vülése nyomán, felülvizsgálta az általános és részletes szint kontroll irányelveket és kiegészült az Alkalmazási módszerek résszel. A COBIT harmadik kiadása új f kiadó, az IT Governance Institute gondozásában jelent meg.
Az IT Governance Institute-ot 1998-ban hozta létre az Information Systems Audit and Control Association (ISACA) és a hozzá tartozó Alapítvány azzal a céllal, hogy támogassa és segítse az informatikai irányítás alapelveinek megértését és alkalmazását. A COBIT harmadik kiadása kiegészült a Vezet i útmutató cím résszel és fokozott hangsúlyt helyez az informatikai irányítás kérdésére, amely jelzi, hogy az IT Governance Institute vezet szerepet vállalt az új kiadás elkészítésében.
A COBIT eredetileg az ISACF által meghatározott Kontroll Irányelvekre épült, és együtt fejl dött meglév és újonnan kidolgozott nemzetközi technikai, szakmai, szabályozási és ágazat–specifikus szabványokkal. Az így meghatározott kontroll irányelvek a szervezetek egészére kiterjed információs rendszerek vonatkozásában alkalmazhatóak. Az “általánosan alkalmazható és elfogadott” kifejezést ugyanúgy kell értelmezni, ahogy az Általánosan Elfogadott Számviteli Alapelvek (GAAP) esetében.
A COBIT, terjedelmét tekintve, viszonylag rövid és megpróbál pragmatikus lenni és alkalmazkodni az üzleti igényekhez, ugyanakkor független az egyes szervezeteknél alkalmazott informatikai platformoktól. A kutatás során az információs rendszerek ellen rzéséhez kapcsolódó alábbi legfontosabb szabványokra és normákra támaszkodtunk, nem állítva ezzel azt, hogy nem léteznek más elfogadott szabványok és normák ezen a területen:
M szaki szabványok – ISO, EDIFACT, stb. Magatartási kódexek – az Európa Tanács, az OECD. az ISACA, stb. által kiadott kódexek Min sítési kritériumok informatikai rendszerekhez és eljárásokhoz – ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Közös Kritériumok, stb. Bels ellen rzési és audit szabványok – COSO jelentés, IFAC, AICPA, ISACA, IIA, PCIE, GAO szabványok, stb. Ágazati normák és követelmények – ágazati fórumok (ESF, I4), kormány–támogatású platformok (IBAG, NIST, DTI), stb.; továbbá Újonnan megfogalmazott ágazat–specifikus követelmények – a banki üzletág, az elektronikus kereskedelem és az informatikai gyártás területér l.
Lásd: II. Melléklet: COBIT projekt ismertetés; III. Melléklet: Els dleges COBIT hivatkozási források; és IV. Melléklet: Szójegyzék
COBIT TERMÉK–FEJLESZTÉS 29
COBIT – ALKALMAZÁSI MÓDSZEREK
A COBIT tovább fog fejl dni az elkövetkez évek során és alapul fog szolgálni további kutatásokhoz. Újabb termékekkel fog b vülni a COBIT termékcsalád és ennek során tovább fogjuk finomítani az informatikai kontroll irányelvek meghatározásakor alapul vett informatikai feladatokat és tevékenységeket, és az ágazat “változó arculatának” fényében felül fogjuk vizsgálni az egyes területek és eljárások egyensúlyát.
A kutatási munkához és a kiadványok elkészítéséhez nagymértékben hozzájárultak a PricewaterhouseCoopers és az ISACA szervezeteit l kapott b kez adományok. Az European Security Forum (ESF) kutatási anyagok átadásával segítette a projekt munkáját. A Gartner Group is részt vett a munkálatokban és min ségbiztosítási szempontból is áttekintette a Vezet i útmutatót.
COBIT termékcsalád ÖSSZEFOGLALÓ ÁTTEKINTÉS
KERETRENDSZER Általános Kontroll Irányelvek VEZET I ÚTMUTATÓ *
RÉSZLETES KONTROLL IRÁNYELVEK
AUDITÁLÁSI ÚTMUTATÓ
ALKALMAZÁSI MÓDSZEREK – Összefoglaló áttekintés – Esettanulmányok – Leggyakrabban feltett kérdések – Power Point ábrák – Alkalmazási útmutató - Vezet i ismeretek diagnosztizálása - IT ellen rzés diagnosztizálása +
+
Érettségi modellek
Kritikus sikertényez k ,
Kritikus cél mutatók
30
Kritikus teljesítmény– mutatók
COBIT – ALKALMAZÁSI MÓDSZEREK
KONTROLL IRÁNYELVEK ÖSSZEFOGLALÓ TÁBLÁZAT
Az alábbi táblázatból kiolvasható, hogy az általános szint kontroll irányelvek milyen információs kritériumokat érintenek, informatikai eljárásonként és területenként, és milyen informatikai er források szükségesek hozzájuk.
Információs kritériumok TERÜLET Tervezés és szervezet
Beszerzés, bevezetés
Informatikai szolgáltatás és támogatás
Felügyelet
ELJÁRÁS
1
2
3
4
5
6
IT er források -
7
TSZ1
Informatikai stratégiai terv kidolgozása
E
M
TSZ2
Információ architektúra meghatározása
E
M
TSZ3
Technológiai irány meghatározása
E
M
TSZ4
E
M
TSZ5
Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése
E
E
TSZ6
Vezet i célok és irányvonal közlése
E
TSZ7
Emberi er források kezelése
E
TSZ8
Küls követelmények betartásának biztosítása
E
TSZ9
Kockázatok értékelés
M
M
TSZ10
Projektek irányítása
E
E
TSZ11
Min ségirányítás
E
E
BB1
Automatizált megoldások meghatározása
E
M
BB2
Alkamazési szoftverek beszerzése és karbant.–a
E
E
M
BB3
E
E
M
BB4
Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása
E
E
BB5
Rendszerek installálása és jóváhagyása
E
BB6
Változások kezelése
E
E
IT1
Szolgáltatási szintek meghatározása és kezelése
E
E
IT2
Küls szolgáltatások kezelése
E
E
IT3
Teljesítmény és kapacitás kezelése
E
E
IT4
Folyamatos m ködés biztosítsa
E
M
IT5
Rendszer biztonságának biztosítása
IT6
Költségek megállapítása és felosztása
IT7
Felhasználók oktatása és képzése
E
IT8
Informatikai felhasnzálók segítése
E
IT9
Konfiguráció kezelése
E
IT10
Problémák és rendkívüli események kezelése
E
IT11
Adatok kezelése
E
IT12
Létesítmény kezelése
E
E
IT13
Informatikai üzemeletés irányítása
E
E
M
M
F1
Eljárások felügyelete
E
M
M
M
M
M
M
F2
Bels ellen rzés megfelel ségének felmérése
E
E
M
M
M
M
M
F3
Független értékelés végeztetése
E
E
M
M
M
M
M
F4
Független ellen rz vizsgálat végeztetése
E
E
M
M
M
M
M
/
/
/
/
/
0
/
/
/
/
M
.
.
.
.
.
E .
.
.
M .
.
M .
E .
E
E
E
E
M
M
M
E
.
.
.
.
.
.
.
.
.
.
.
.
.
.
M
.
.
M
M
M
M
.
M
M
M
E
E
M
M
M
M
M
M
M
M
M
M
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
M
.
M E E
.
.
M
M
M E
M .
.
M E
.
M
M .
.
E .
.
-
A=Emberek B=Alkalmazások C=Technológia D=Technikai környezet E=Adatok
31
D
.
.
E = els dleges M = másodlagos
-
C
.
M
E
1=Eredményesség 2=Hatékonyság 3=Bizalmasság 4. Sértetlenség 5=Hozzáférhet ség 6=Szabályosság 7=Megbízhatóság
B
.
E
/
A
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
COBIT – ALKALMAZÁSI MÓDSZEREK
HOGYAN VEZESSÜK BE A COBIT-OT SZERVEZETÜNKNÉL BEVEZETÉS A COBIT általánosan alkalmazható módszereket kínál az informatikai er források kezeléséhez és kontrolljához. A COBIT célközönsége három részb l áll, ezek: a vezetés, a felhasználók és az ellen rök (illetve az értékeléseket és felméréséket végz személyek):
•
A vezetés számára – a COBIT segít “ellensúlyozni a kockázatokat és kontrollálni a befektetéseket egy olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz .” A felhasználók számára – a COBIT segítséget nyújt a bels és küls felek által nyújtott informatikai szolgáltatások biztonságának és megfelel kontrolljának ellen rzéséhez.” Az ellen rök (auditorok) számára – a COBIT segítséget nyújt “az informatikai bels ellen rzési eljárásokra vonatkozó auditori vélemények alátámasztásához és a megel z jelleg üzleti tanácsadáshoz.”
•
•
Ezenkívül mind a három fenti “fogyasztói” kör felhasználhatja a COBIT-ot az önértékelések elvégzéséhez is. A szervezet minden egyes funkcionális területén el nyös lehet a COBIT használata. A vezet k segítségül hívhatják a COBIT-ot az informatikai befektetési döntéseknél valamint annak érdekében, hogy informatikai er forrásaik optimális eredményeket biztosítsanak. A felhasználók a COBIT segítségével megbizonyosodhatnak arról, hogy üzleti folyamataikat megfelel en támogatják az igénybe vett informatikai szolgáltatások. Ugyanakkor a COBIT rendkívül értékes eszköz az ellen rök számára is, egyrészt azért, mert meghatározza az ellen rzés és az értékelés kritériumait, másrészt azért, mert a keretrendszer révén segítséget nyújt az ellen rzések hatékonyságának és eredményességének javításához. Mindezeken túl az újonnan kidolgozott Vezet i útmutató érettségi modellt, kritikus sikertényez ket, kritikus célmutatókat és kritikus teljesítmény-mutatókat is kínál az összes felhasználó számára, a COBIT által meghatározott valamennyi informatikai eljárásra vonatkozóan. A végs fázisban azonban nem célszer a COBIT-ot felülr l lefelé irányuló (top-down) eljárásként alkalmazni – célszer bb alulról felfelé (bottom-up) irányuló kezdeményezésként bevezetni. Függetlenül attól, hogy hogyan jutottunk el a COBIT-hoz, akkor tudunk maximális el nyökre szert tenni, ha a COBIT bevezetésében teljes konszenzusra jut a fenti három felhasználói csoport.
1
Általában van a szervezeteknél egy olyan személy illetve csoport, a COBIT “pártfogó”, aki illetve amely “bábáskodik” a COBIT szervezeten belüli hivatalos bevezetése fölött. Az ezzel kapcsolatos konszenzus elérése érdekében a COBIT pártfogónak meg kell határoznia azt, hogy kit kell meggy zni illetve kire kell befolyást gyakorolni és hogyan lehet ezt a leghatékonyabb módon véghezvinni. A meggy zés legjobb módszerének meghatározásához a “pártfogónak” tisztában kell lennie azzal, hogy kik a felel s döntéshozók a szervezetnél, milyen szervezeti kapcsolatrendszer áll fenn és mik a f szervezeti célkit zések. A legnagyobb feladatot ezzel kapcsolatban az jelenti, hogy a COBIT-ot a szervezet orientációjához igazodva kell bevezetni és úgy kell kiépíteni, hogy stratégiai perspektívából is legyen értelme a COBIT-nak. Ennek az alkalmazási útmutatónak az a célja, hogy segítsen a COBIT pártfogónak a COBIT teljes kör szervezeti bevezetésében.
32
COBIT – ALKALMAZÁSI MÓDSZEREK KIT KELL MEGGY ZNI A COBIT ELFOGADÁSA ÉRDEKÉBEN? A COBIT mindenekel tt a szervezetnél alkalmazott információ-technológia és az ahhoz kapcsolódó technológiák irányításához kínál megfelel keretrendszert. A vezetés, különösen az informatikai döntéshozók, tehát kiemelked szerepet játszanak a COBIT bevezetésének el készítésében. Ebbe a döntéshozói körbe tartozik például a vezérigazgató, az informatikai igazgató ill. f osztályvezet valamint az informatikai irányító bizottság. Ezt a csoportot mindenképpen meg kell gy zni arról, hogy a COBIT fontos szerepet tud betölteni abban, hogy az informatikai er források valóban a szervezeti célkit zések teljesítésének legyenek alárendelve és azt segítsék.
Az informatikai felhasználók általában nem olyan széles perspektívából közelítik meg az információ-technológiával kapcsolatos kérdéseket, mint az informatikai döntéshozók. Inkább azzal foglalkoznak, hogy az informatika milyen segítséget tud nyújtani számukra a napi feladatok elvégzésében. A felhasználók emellett azt is tudni akarják, hogy az informatikai er forrásokat okosan használják-e fel és segítik-e azok a szervezeti célok megvalósítását. A legfontosabb személyek, akiket ebben a körben meg kell gy zni, az üzemeltetési igazgató, az üzleti folyamatokért felel s vezet k és a “front-line” menedzserek.
Számos olyan funkció létezhet a szervezeten belül, amely felel s az információ-technológia értékeléséért. El ször is az auditorok, akik független félként meger sítik, hogy az információtechnológia biztonságos, megfelel a szervezet igényeinek és egyúttal kontrollált módon m ködik. Másodszor ide tartoznak maguk a felhasználók, akik rendszeres id közönként ellen rizhetik, hogy azokat az informatikai er forrásokat kapják meg, amelyekre szükségük van és, hogy megfelel en használják-e fel azokat. Végzetül az informatikai részleg is végezhet önértékelést annak vizsgálata céljából, hogy hatékony és eredményes informatikai er forrásokat biztosítanak-e a szervezet részére, vagy sem. Ebben a körben a legfontosabb befolyásolandó csoportok az auditorok/ellen rök, az ellen rz bizottság, az üzleti folyamatokért felel s vezet k valamint az informatikai részleg szakemberei és vezetése.
A szervezeten belüli formális és személyes kapcsolatok is befolyásolhatják azt, hogy a “pártfogó” kivel léphet szövetségre és, hogy milyen módon célszer a bevezetést megvalósítani. Ezzel összefüggésben az alábbi tényez ket kell figyelembe venni:
1. Mekkora az informatikai részleg és milyen a szervezeti felépítése? A nagy, központosított, “magas” szervezetek esetében formális bevezetési eljárásra van szükség, a fels vezetés irányítása mellett. A “laposabb” szervezeteknél nagyobb az esély olyan konszenzusos megállapodás elérésére, amelynek keretében minden érintett fél egyetért a teljesítend célokban és együtt tud m ködni a COBIT bevezetésében. 2. Mekkora az ellen rz /auditáló szervezet és milyen a felépítése? Nagy auditorcégek esetén az információs ellen rzési egységnél lehet megkezdeni a COBIT bevezetését, majd ki lehet terjeszteni azt a megfelel informatikai csoportokra illetve azok vezetésére. Ez a módszer segíthet a konszenzus kialakításában. 3. Milyen kapcsolat van az informatikai részleg és az információs ellen rzési egység valamint az auditorcég és a vezetés között? Milyen filozófiát követ az auditorcég? Azok az auditorcégek, amelyek megel z (proaktív) jelleg üzleti tanácsadási gyakorlatot folytatnak, könnyen konszenzusra juthatnak a COBIT bevezetését illet en. S t, a COBIT keretrendszer, amely az üzleti folyamatokra, az informatikai er források kezelésére és az üzleti célkit zések teljesítésére helyezi a f hangsúlyt, további útmutatást kínál a már meglév megel z jelleg , menedzsment-orientált audit filozófia számára. Az utólagos
33
COBIT – ALKALMAZÁSI MÓDSZEREK ellen rzést végz auditorcégek valamint azok, amelyek nincsenek “szoros” kapcsolatban ügyfeleikkel, csak akkor alkalmazhatják a COBIT-ot, ha az ügyfél megbízza ket erre. Ez a megbízás a vezérigazgatótól vagy az ellen rz bizottságtól is érkezhet. 4. Az informatikai szolgáltatások mekkora részét teljesítik küls partnerek? Mennyire jó a kapcsolat az ilyen küls partnerekkel? Ha a küls partnerekkel meglév kapcsolatok megfelel en vannak kezelve vagy az informatikai szolgáltatásoknak csak kis részét teljesítik küls partnerek, könnyebben megvalósítható a COBIT bevezetése, mivel a szükséges döntéseket a szervezeten belül meg lehet hozni. Ellenkez esetben a változtatások bevezetése el tt szükség lehet a küls partnerekkel és auditorcégekkel megkötött szerz dések módosítására. 5. Milyen mértékben alakította át üzleti eljárásait a szervezet? Mi történik a szervezetnél az üzleti folyamatok átalakítása kapcsán? A COBIT hasznos segítséget tud nyújtani azoknak a szervezeteknek, amelyek át szeretnék alakítani üzleti folyamataikat illetve javítani szeretnék azok hatékonyságát. A COBIT fontos hangsúlyt helyez az információs rendszerek és a hozzájuk kapcsolódó technológiák fejlesztésére és ezáltal hasznos gyakorlati tanácsokat kínál az üzleti folyamatok racionalizálásához.
MIÉRT ÉRDEMES EGY SZERVEZETNEK BEVEZETNIE A COBIT-OT? Milyen érveket lehet felhozni annak érdekében, hogy konszenzusra jussanak a kulcsfontosságú döntéshozók a COBIT bevezetését illet en? 1. A szervezeteknél tapasztalt bizonyos problémák az utóbbi id ben a vállalat-irányítás kérdéskörére irányították a figyelmet. Ennek eredményeként egyre nagyobb nyomás nehezedik a vezetésre – hatékony bels ellen rzési rendszert követelve. Vannak jogi el írások, vagyonkezel i feladatok, szerz déses követelmények és társadalmi elvárások. A COBIT olyan megfelel eszközt kínál, amely révén gondoskodni lehet az üzleti célkit zések teljesítésér l valamint az informatikai kockázatok feltárásáról és megfelel kezelésér l. 2. A vezetésnek el kell számolnia azzal, hogy hogyan gazdálkodott a szervezet er forrásaival. Honnan tudhatja a vezetés, hogy az informatikai beruházások optimálisake? Az informatikai eljárások eredményességének COBIT-alapú áttekintése segíthet ennek a kérdésnek a megválaszolásában. Például, a COBIT javasolja, hogy megfelel informatikai eljárások keretében gondoskodjon a szervezet vezetése a komplex technológiák irányításáról és a technológia gyors erkölcsi elévüléséhez kapcsolódó tervek elkészítésér l. 3. A fentiek mellett az alábbi négy tényez motiválhatja a vezetést a COBIT támogatására: a) Az informatikai er források kontrollálása révén csökkenteni lehet az informatikai szolgáltatások költségét. A COBIT részét képez Vezet i útmutató olyan eszközt ad a vezetés kezébe, amelynek segítségével értékelhet az ellen rzési eljárások megfelel sége és megítélhet , hogy mely területeken van szükség azok javítására. Az útmutatóban megadott irányelvek segítenek annak megvalósításában, hogy az informatikai részleg tevékenysége igazodjon a szervezeti szint célokhoz, ugyanakkor a teljesítmény mérésének módját is bemutatja annak érdekében, hogy ezeket a célokat valóban sikerüljön megvalósítani. b) A COBIT csökkenti a vezetés azzal kapcsolatos félelmeit, bizonytalanságát és kétségeit, hogy az informatikai er források kapcsán nagyok a kockázatok és nem sikerül teljesíteni az üzleti célkit zéseket. c) A COBIT bevezetése segít annak elérésében, hogy a szervezet betartsa a rá vonatkozó szabályokat, el írásokat és szerz déses kötelezettségeit.
1
34
COBIT – ALKALMAZÁSI MÓDSZEREK d) A “COBIT-izált” szervezet meg tudja magát különböztetni versenytársaitól, akárcsak az ISO 9000-es igazolással rendelkez szervezetek, annak demonstrálásával, hogy informatikai eljárásai megfelel en irányítottak és ellen rzöttek. 4. Ha valamely szervezet már bevezette vagy be kívánja vezetni a COSO-t (Bels ellen rzési keretrendszer), lehet sége van arra, hogy ezzel egyid ben a COBIT-ot is bevezesse. Sok szervezet számolt be arról, hogy a COSO és a COBIT egyszerre történ bevezetése zökken mentesen végrehajtható, mivel a két rendszer nagyon jól kiegészíti egymást – a COSO a bels ellen rzéssel kapcsolatos minden kérdésre kiterjed, míg a COBIT az információ-technológiához kapcsolódó konkrét kérdésekkel foglalkozik. (Hasonló érvek hozhatóak fel a CoCo (Kanada), a Cadbury (Egyesült Királyság) és a King (Dél-Afrika) bevezetése kapcsán is.) 5. Emellett a COBIT és a SysTrustTM összehangolt alkalmazása lehet vé teszi, hogy a szervezetek a SysTrustTM vizsgálatok megkezdése el tt a COBIT alapján saját maguk felmérjék informatikai eljárásaik megfelel ségét. Ilyen módon a szervezet még a küls , független vizsgálat megkezdése el tt fel tudja tárni ellen rzési rendszerének hiányosságait és korrigálni tudja a hibákat. 6. A COBIT keretrendszer specifikus jellege sok szervezetet gy zött meg a bevezetés helyességér l. A 318 kontroll irányelv kidolgozása 41 különböz informatikai biztonsági, ellen rzési és kontroll-szabvány és követend norma alapján került kidolgozásra. 7. Néhány szervezetnél olyan problémák merülnek fel, amelyekre úgy t nik, a COBIT megoldást kínál. Például volt egy olyan szervezet, amely arra a következtetésre jutott, hogy informatikai megoldásai nem felelnek meg üzleti igényeinek. Bár megfelel projektirányítási eljárással rendelkeztek, nem volt megfelel rendszer-fejlesztési eljárásuk. A megfelel rendszer-fejlesztési eljárás bevezetéséhez a COBIT segítségére támaszkodtak. 8. Azoknak a szervezeteknek a dolgozói, ahol már bevezették a COBIT-ot, gyakran számolnak be arról, hogy javult a vezetés, a felhasználók és az ellen rök közötti kommunikáció. A COBIT segítségével elkészített auditálási tervek és audit jelentések a vezetés által alkalmazott kategóriákat használják (pl. folyamat-orientáltság, Totális Min ség-irányítás) és a vezetéshez kapcsolódó kérdésekkel foglalkoznak (pl. felel sségrevonhatóság, üzleti célkit zések teljesítése). 9. A szervezeti leépítések nyomán korlátozottabbá válnak az irányításhoz és a kontrollhoz rendelkezésre álló er források. A COBIT megfelel keretet kínál a kockázatok felméréséhez és az informatikához kapcsolódó kockázati veszélyek kezeléséhez. 10. Számos vállalati bels ellen rzési részleg és auditorcég számolt be arról, hogy a COBIT segítségével jobban össze tudják hangolni a különböz audit-munkákat. Az informatikai és nem-informatikai ellen rök az ellen rzési célok összehangolásához és az ellen rzések során feltárt észrevételek kommunikációjában is sikeresen fel tudták használni a COBITot. 11. A COBIT Vezet i útmutatója új eszközt kínál az informatikai és a vállalati szint vezetésnek az informatikai kontroll olyan megfelel szintjének meghatározásához, amely segíti a vállalti célok megvalósítását. Az érettségi modellek, kritikus sikertényez k, kritikus célmutatók és kriktikus teljesítmény-mutatók meghatározása révén az útmutatóban szerepl irányelvek segítséget nyújtanak a stratégiai szervezeti állapot értékeléséhez, az informatikai eljárások javításához szükséges intézkedések meghatározásához és a szóban forgó informatikai eljárások teljesítményének figyelemmel kíséréséhez.
1
1
1
Röviden összefoglalva, a vezetés biztos akar lenni abban, hogy az informatika hozzájárul az üzleti célkit zések teljesítéséhez és megfelel viszonyítási pontokat keres, amelyek alapján
35
COBIT – ALKALMAZÁSI MÓDSZEREK meg tud gy z dni arról, hogy az informatikai eljárások kielégít ek és igazodnak az aktuális trendekhez. A COBIT segíteni tud ennek a “biztonságnak” a megteremtésében.
MIT KÍNÁL A COBIT ÉS MILYEN KORLÁTOK KÖZÖTT A sikeres bevezetéshez minden érintettnek tisztában kell lennie azzal, hogy mi a COBIT, mire vonatkozik, mire használható, mi nem a COBIT, és mire nem használható. Ezzel összefüggésben számos dolgot érdemes megjegyezni: 1. El ször is, a COBIT egyfajta gondolkodásmód – némelyek számára újszer gondolkodásmód. A sikeres bevezetéshez elkötelezettség, nevelés és képzés szükséges. Számos ellen r számolt be arról, hogy több mint 40 órát töltött el az “ismerkedéssel”. 2. A COBIT egy olyan keretrendszer, amelyet az adott szervezethez kell igazítani. Például, a COBIT-ban szerepl informatikai eljárásokat össze kell hasonlítani a szervezetnél alkalmazott eljárásokkal, át kell tekinteni a szervezet kockázatait és meg kell határozni, hogy milyen felel sség kapcsolódik az egyes informatikai eljárásokhoz. 3. Mint irányítási-, ellen rzési- és audit hivatkozási forrás, a COBIT-ot más forrásokkal együtt kell alkalmazni, ideértve a különböz ágazati auditálási útmutatásokat, amilyeneket például az Okleveles Könyvvizsgálók Amerikai Intézete (AICPA) vagy a Szövetségi Pénzintézeteket Vizsgáló Tanácsa (FFIEC – Federal Financial Institutions Examination Council) is kiad, az általános jelleg ellen rzési és auditálási útmutatásokat, ilyen például az Információs Rendszer Auditálási- és Kontroll Alapítvány (Information Systems Audit and Control Foundation) által kiadott Számítógépes információs rendszer auditálási kézikönyv, az AICPA/CICA SysTrustTM által kínált Rendszer megbízhatóság igazolási szolgáltatások, vagy a Bels Ellen rök Intézete (Institute of Internal Auditors) által kiadott Rendszer auditálási és ellen rzési kézikönyv, valamint a platform-specifikus útmutatásokat (ú.m. a hardverekre vonatkozó normákat, például az IBM és a Sun kapcsán, és a szoftverekre vonatkozó normákat, például a Novell, a VMS és a Top Secret kapcsán). 4. A COBIT-ot nem szabad úgy kezelni, mint az informatikai kontroll eljárások és az audit programok összességét. A COBIT olyan informatikai kontroll irányelveket tartalmaz, amelyek a szervezetek többsége esetében aktuálisak, és olyan auditálási irányelveket, amelyek alapján értékelni lehet az egyes informatikai kontroll irányelvek m ködésének megfelel ségét. Az általános szint informatikai kontroll irányelvek alkotják azt a keretrendszert, amely kiinduló alapként szolgál a bels ellen rzéshez, valamint a meghatározott informatikai kontroll irányelveknek megfelel bels ellen rzési eljárások kiválasztásához, bevezetéséhez és alkalmazásához. A COBIT emellett közvetett módon lehet séget nyújt a felhasználóknak arra, hogy megvizsgálják azokat a kiemelt kockázatokat, amelyek veszélyeztetik az informatikai kontroll irányelvek megvalósítását. Mivel a COBIT olyan informatikai kontroll irányelvekre épül, amelyek a legtöbb szervezet szempontjából relevánsak, használata segít a hatékonyság értékelésében is. Hogy hogyan? Úgy, hogy a tapasztalatok szerint, ha egy szervezetnél pusztán ellen rzési “kérdéslisták” alapján közelítenek meg valamilyen eljárást, akkor általában egy sor szükségtelen kontroll eljárást is bevezetnek illetve olyan eljárásokat is, amelyek semmilyen kockázatot nem csökkentnek. Mindezek alapján tehát érdemes olyan értékelési módszert alkalmazni, amely egyrészt az informatikai kontroll irányelvekre támaszkodik, másrészt figyelembe veszi a releváns és jelent s nagyságú kockázatokat, harmadszor pedig a releváns és hatékony informatikai kontroll eljárásokra épül. 5. A COBIT Vezet i útmutatója általános jelleg és általánosan alkalmazható irányelveket tartalmaz, nem ágazat-specifikus mér számokat. A szervezeteknek sok esetben saját
1
1
1
1
36
COBIT – ALKALMAZÁSI MÓDSZEREK konkrét informatikai környezetükhöz kell igazítaniuk az útmutatóban szerepl általános irányelveket. 6. Ahogy azt a kés bbiekben, a Hogyan alkalmazzuk a COBIT-ot szervezetünknél cím részben részletesebben is kifejtjük, a COBIT sikeres alkalmazásához a COBIT pártfogónak tisztában kell lennie azzal, hogy kik a kulcsfontosságú szerepl k a szervezetnél, fel kell hívnia azok figyelmét a COBIT-ra, megfelel információkat kell megosztania velük és megfelel képzést kell biztosítania a COBIT felhasználói részére.
COBIT: EGY TERMÉK, AMELY TÖBB FELHASZNÁLÓI KÖRHÖZ SZÓL Az 1. Függelék betekintést ad arról, hogy a különböz felhasználói körök hogyan használhatják és alkalmazhatják hatékonyan a COBIT-ot.
COBIT: A VEZET I TÁJÉKOZOTTSÁG DIAGNOSZTIZÁLÁSÁNAK ESZKÖZE Az alkalmazási útmutató segítséget nyújt a COBIT ”eladásához”, használatához és bevezetéséhez. Az egyik legnagyobb kihívást jelent feladat ezzel kapcsolatban a fels vezetés érdekl désének felkeltése. Az útmutatót ennek érdekében kiegészítettük két olyan általános jelleg eszközzel, amelyek segítenek a vezetés érdekl désének felkeltésében és a vezet i tájékozottság b vítésében: • Informatikai irányítás értékelése • A vezetés informatikával kapcsolatos kérdéseinek diagnosztizálása Ezek az eszközök segítséget nyújtanak a szervezet informatikai kontroll környezetének és az informatikai kontroll eljárásokkal kapcsolatos kérdések elemzéséhez, megértéséhez és kommunikációjához.
INFORMATIKAI IRÁNYÍTÁS ÉRTÉKELÉSE Az Informatikai irányítás értékelési kérdéslista, amely a Vezet i tájékozottság diagnosztizálása cím részben található meg, arra kéri a vezetést, hogy minden egyes COBIT eljárásra vonatkozóan határozza meg, hogy: • mennyire fontos az adott eljárás a szervezet üzleti célkit zései szempontjából; • megfelel en m ködik-e az adott eljárás a szervezetnél (a fontosság és a m ködés együttes megléte esetén nagy a valószín sége a kockázatnak); • ki m ködteti az adott eljárást és ki a felel s az eljárásért a szervezetnél (továbbá a felel sség egyértelm és elfogadott-e); • formalizált-e az eljárás és az ahhoz kapcsolódó kontroll, ú.m. megfelel szerz dés szabályozza, ha az adott tevékenységet küls partner végzi illetve világos eljárási dokumentáció áll rendelkezésre bels eljárások esetén; és • auditált-e az eljárás. 1
Ezt követ en tovább lehet b víteni a vezet i ismereti szintet a kockázat-indikátorok, a formalizáltság mértéke valamint a felel sség egyértelm ségének kombinálásával. Ha a magas kockázati veszélyhez “nem tudom” válaszok kapcsolódnak, az fontos üzenetet hordoz.
(Lásd a Vezet i tájékozottság diagnosztizálása c. részt – Informatikai irányítás önértékelése) 2
A VEZETÉS INFORMATIKÁVAL KAPCSOLATOS KÉRDÉSEINEK DIAGNOSZTIZÁLÁSA A második eszköz, a Vezetés informatikával kapcsolatos kérdéseinek diagnosztizálása, szintén hatékony irányítási eszköz, mivel számos olyan, az informatikával kapcsolatos konkrét vezet i kérdést fogalmaz meg (pl. összekapcsolhatóság, szerver/fogadó gép,
37
COBIT – ALKALMAZÁSI MÓDSZEREK groupware, stb.), amely eljárásokat fontos megfelel kérdések megoldása érdekében.
ellen rzés alatt tartani a felvetett
Minden egyes szervezetnél egy sor tényez együttesen határozza meg a COBIT Kontroll irányelvek között szerepl egyes kontroll eljárások jelent ségét és fontosságát. Ezek közé a tényez k közé tartoznak többek között az adott szervezet üzleti tevékenységéhez és informatikai környezetéhez kapcsolódó sajátos kockázati tényez k, az alkalmazott kontroll eljárások megfelel ségének mértéke, valamint azok a területek is, ahol szeretné a hatékonyságot javítani illetve a költségeket lecsökkenteni a vezetés. A szervezeten belüli ismert kockázati feltételek illetve a kiemelt fontosságú kérdések COBIT segítségével történ feltérképezésével pontosan meg lehet határozni azokat az eljárásokat, amelyek különösen fontosak a szervezet esetében. A Vezetés informatikával kapcsolatos kérdéseinek diagnosztizálásához kapcsolódó mátrix, amely Vezet i tájékozottság diagnosztizálása cím részben található meg, bemutatja, hogy hogyan lehet ezt a feladatot elvégezni a Gartner Group 1997-es megállapításainak felhasználásával, amelyek a vezetés informatikával kapcsolatos kérdéseire vonatkoznak. A fenti megállapítások, amelyek alapján az ISACA kockázati tényez ket határozott meg, hozzá lettek rendelve a COBIT-hoz tartozó 34 általános szint kontroll irányelvhez, és megmutatják, hogy milyen esetekben relevánsak az egyes kontroll eljárások. Ezzel a technikával a COBIT-ot hozzá lehet igazítani az adott szervezethez és a kontroll prioritásokat vissza lehet egyeztetni az üzleti kockázatokhoz.
1
Emellett a COBIT Vezet i útmutató segítségével a vezetés fel tudja mérni saját szervezetének aktuális állapotát. Az útmutató olyan általános folyamat-irányítási és informatikai irányítási irányelveket tartalmaz, amelyek az informatikai funkció egészére érvényesek, és emellett érettségi modelleket, kritikus sikertényez ket, kritikus célmutatókat és kritikus teljesítménymutatókat is meghatároznak minden egyes informatikai eljáráshoz kapocsolódóan, amely hasznos segítséget nyújt a szervezet továbblépési stratégiájának meghatározásához. 1
(Lásd a Vezet i tájékozottság diagnosztizálása c. részt – A vezetés infromatikával kapcoslatos kérdései) 2
KULCSSZAVAK
ÖSSZEHANGOLT IRÁNYÍTÁS VERSENYKÉPES KONSZOLIDÁLT TULAJDONOSI KÖLTSÉG SZÜKSÉGES KÉPZETTSÉG
HÁLÓZATI HOZZÁFÉRÉS BIZALMAS ÜZENETEK TRANZAKCIÓK INTEGRITÁSA BIZALMAS ADATOK RENDELKEZÉSRE ÁLLÁS VÍRUSOK
FELHASZNÁLÓI IGÉNYEK INTEGRÁLT KOMPATIBILIS TÁMOGATÁS
A VEZETÉS INFORMATIKAI KÉRDÉSEI Vezetés Az üzleti stratégiával összhangban álló informatikai kezdeményezések Informatikai irányelvek és vállalat-irányítás Informatika kihasználása versenyel ny céljából Informatikai infrastruktúra konszolidálása Tulajdonosi költségek csökkentése Képzettség szerzése és fejlesztése 3
Internet/Intranet Engedély nélküli hozzáférés a vállalati hálózathoz Engedély nélküli hozzáférés bizalmas üzenetekhez Integritás elvesztése – vállalati tranzakciók Bizalmas adatok kiszivárgása Szolgáltatás elérhet ségének megszakadása Vírus-fert zés 3
3
Vállalati megoldás-csomagok Nem felel meg a felhasználói követelményeknek Nem integrált Nem kompatibilis a technikai infrastruktúrával Szállítói támogatással kapcsolatos problémák
38
COBIT – ALKALMAZÁSI MÓDSZEREK KÖLTSÉG/KOMPLEXITÁS
Költséges/komplex bevezetés
39
COBIT – ALKALMAZÁSI MÓDSZEREK
KULCSSZAVAK
ÖSSZEHANGOLT HOZZÁFÉRÉS KONTROLLJA KOMPATIBILIS VÉGFELHASZNÁLÓ VERZIÓK KONTROLLJA TULAJDONOSI KÖLTSÉGEK
MIN SÉG-ELLEN RZÉS 4
4
HOZZÁFÉRÉS KONTROLLJA ELJÁRÁSOK ADATOK INTEGRITÁSA KONFIGURÁCIÓ KONTROLL
RENDELKEZÉSRE ÁLLÁS BIZTONSÁG KONFIGURÁCIÓ KONTROLL
“BALESETEK” KEZELÉSE KÖLTSÉGEK TÁMOGATÁS/KARBANTARTÁS
A VEZETÉS INFORMATIKAI KÉRDÉSEI Szerver/fogadó gép architektúrája Követelmények összehangolásának elmulasztása Hozzáférés kontrolállási problémák Nem kompatibilis a technikai infrastruktúrával Végfelhasználó kezelési problémák Szoftver-verziók kontrollja Magas tulajdonosi költségek Munkacsoportok és groupware Min ség-ellen rzés Hozzáférés kontrollja Informális eljárások Adatok integritása Konfiguráció kontroll 3
3
Hálózat-irányítás Rendelkeézsre állás/elérhet ség Biztonság Konfiguráció kontroll “Balesetek” kezelése Költségek Támogatás/karbantartás 3
40
COBIT – ALKALMAZÁSI MÓDSZEREK
1. FÜGGELÉK HA ÖN... Ügyvezet igazgató 5
A COBIT-OT AZ ALÁBBI CÉLOKRA TUDJA FELHASZNÁLNI...
NÉHÁNY KONKRÉT JÓTANÁCS A COBIT HASZNÁLATÁT ILLET EN... "
Fogadja el és támogassa a COBIT-ot, mint a vállalkozás egészére kiterjed általános informatikai irányítási modellt. 5
Használja a COBIT-ot a meglév bels ellen rzési rendszer (pl. COSO) kiegészítéseként az informatikához kapcsolódó kérdések kapcsán. 5
5
5
Használja a COBIT-ot a szervezet általánosan elfogadott nemzetközi szabványok alapján történ értékeléséhez és hozza meg az informatikai eljárások javítása érdekében szükséges intézkedéseket. 5
Használja COBIT eljárás modellt az üzleti és az informatikai funkció közötti közös nyelv megteremté-séhez és a felel sségi körök világos felosztásához. Használja a COBIT kontroll irányelveit úgy, mint az információtechnológia kezelésére vonatkozó követend gyakorlati normákat. 5
Üzleti menedzser
Használja a COBIT-ot egy az egész szervezetre kiterjed kontroll-modell kidolgozásához, amely révén kezelni és ellen rizni lehet, hogy az informatika hogyan járul hozzá az üzleti célok teljesítéséhez. 5
5
5
Használja a COBIT kontroll irányelveit annak meghatározásá-hoz, hogy az informatikai funkcióval (akár bels akár küls ) megkötött Szolgáltatási Szint Megállapodásban milyen különböz kérdésekre kell kitérni. Használja a COBIT kontroll modellt a Szolgáltatási Szint Megállapodások kidolgozásához és az üzleti funkciókkal történ kommunikációhoz. 5
5
5
Informatikai menedzser
A COBIT eljárás modell és a részletes kontroll irányelvek alapján alakítson ki olyan informatikai szolgáltatási funkciót, amely irányítható és ellen rizhet eljárásokból áll, és amely az üzleti célokra koncentrál. Utóbbi esetében a min ség, a biztonság és az eredményesség a legfontosabb. 5
5
5
5
Használja a COBIT kontroll modellt az egyes eljárások teljesítményének méréséhez. Használja a COBIT kontroll modellt az informatikai irányelvek és normák kidolgozásához. Használja a COBIT-ot alapmodellként az általánosan elfogadott kontroll irányelvek megfelel szintjének meghatározásához és a küls tanúsítványokhoz (pl. SysTrustTM, SAS 70) 5
5
41
COBIT – ALKALMAZÁSI MÓDSZEREK I. FÜGGELÉK – folytatás HA ÖN...
A COBIT-OT AZ ALÁBBI CÉLOKRA TUDJA FELHASZNÁLNI...
Projekt-menedzser
"
Általános keretrendszerként a minimális projekt- és min ségbiztosítási normák meghatározásához. 5
Fejleszt 5
5
Használja a COBIT-ot annak érdekében, hogy a projekt-tervek figyelembe vegyék az informatikai tervezés, beszerzés és fejlesztés, a szolgáltatás-nyújtás valamint a projekt-irányítás és értékelés kapcsán általánosan elfogadott szakaszokat.
A fejlesztési eljárás során alkalmazandó kontroll eljárásokra valamint az információs rendszerekbe beépítend bels ellen rzési eljárásokra vonatkozó minimális útmutatásként.
Használja a COBIT-ot annak ellen rzéséhez, hogy a fejlesztési projektben meghatározott minden informatikai kontroll irányelv megfelel módon figyelembe lett véve.
Általános keretrendszerként a szolgáltatásokba és a kapcsolódó eljárásokba beépítend minimális kontroll eljárások meghatározásá-hoz, az ügyfelek céljait szem el tt tartva.
A COBIT segítségével gondoskodhat arról, hogy az üzemeltetési irányelvek és eljárások minden szükséges területre kiterjedjenek.
A m ködésben lév illetve fejlesztés alatt álló információs rendszerekbe beépítend bels ellen rzési eljárásokra vonatkozó minimális útmutatóként.
Használja a COBIT-ot a szolgáltatási szint megállapodások értelmezéséhez.
Összehangoló keretrendszerként, amely lehet séget ad az információk biztonságára vonatkozó célok és az egyéb informatikai célkit zések integrálására.
Használja a COBIT-ot az információs biztonsági irányelvek, eljárások és programok kidolgozásához.
Alapként az informatikai ellen rz vizsgálatok kidolgozásához és informatiukai ellenr zési referenciaként.
Használja a COBIT-ot az ellen rzési és vizsgálati szempontok meghatározásához és az informatikai ellen rz vizsgálatok kidolgozásához.
5
Üzemeltet
NÉHÁNY KONKRÉT JÓTANÁCS A COBIT HASZNÁLATÁT ILLET EN...
5
5
5
5
5
5
Felhasználó
6
5
5
Informatikai biztonsági felel s 5
5
5
5
6
Auditor/ellen r 5
5
5
42
5
5
5
5
COBIT – ALKALMAZÁSI MÓDSZEREK
HOGYAN ALKALMAZZUK A COBIT-OT SZERVEZETÜNKNÉL A COBIT BEMUTATÁSA A KULCSFONTOSSÁGÚ SZEMÉLYEKNEK Tehát Ön a COBIT pártfogó. Szót emelt a COBIT bevezetése mellett, meghatározta a kulcsfontosságú személyeket és tisztában van a szervezeten belül meglév formális és informális kapcsolatokkal. Eljött az ideje, hogy a COBIT nagykövetévé váljon, aki azt a hivatalos megbízást kapta, hogy vezesse be a COBIT-ot a szervezetnél. A COBIT sikeres bevezetéséhez megfelel orientációs, információs és képzési célú összejöveteleket kell tartani. Az alábbiakban bemutatjuk a nagykövet általános teend it. (Ezt hozzá lehet igazítani a kiválasztott alkalmazási módszerhez).
A fels vezetés tagjai számára egy egy-órás orientációs összejövetelt kell tartani. Az ISACA által biztosított írásvetít s el adási anyag segítségével az alábbi kérdésekre lehet ennek keretében kitérni:
1. A bels ellen rzési rendszer célja az, hogy (i) “a szervezet megfelel úton haladjon célkit zéseinek teljesítése felé úgy, hogy eközben minimális meglepetések érjék” és (ii) “alkalmazkodni tudjon a gyorsan változó gazdasági és piaci körülményekhez, a vev i igények és prioritások változásához, és készen álljon a jöv beni növekedéshez szükséges struktúraváltásra” (COSO, Összefoglaló áttekintés, 1. oldal). A tapasztalatok alapján azok a szervezetek, amelyeknél olyan kontroll keretrendszert vezettek be, amellyel minden dolgozó azonosulni tudott, jobb teljesítményt értek el versenytársaiknál a nyereségesség, a piacszerzés, az ügyfélszolgálat és a termékértékesítés terén. 2. A bels ellen rzés általános definícióját az alábbiak szerint határozta meg a COSO: “az adott szervezet igazgató tanácsa, vezetése és más dolgozói által elrendelt olyan eljárás, amelynek célja az, hogy biztosítsa a célkit zések teljesítését az alábbi területeken: m ködés hatékonysága és eredményessége, pénzügyi beszámolók megbízhatósága, valamint a vonatkozó jogszabályok és el írások betartása” (COSO, Összefoglaló áttekintés, 1. oldal). A COSO definíciója szerint a bels ellen rzés “célokra épül” és a szervezetnél dolgozó emberek befolyásolják azt els sorban. Ebb l ered en a szervezet minden dolgozója felel s a kontroll eljárások értékelésének min ségéért. A COSO felismeri, hogy a kontroll mindenki közös feladata. 3. A kontroll fogalmát a COBIT úgy definiálja, mint az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák összessége. [A fenti három pont összefoglalásaként el lehet mondani, hogy a bels ellen rzés tehát egy olyan eljárás, amely révén a vezetés egyrészt növeli a szervezeti célkit zések teljesítésének valószín ségét, másrészt minimalizálja annak a kockázatát, hogy rossz dolgok fognak történni menet közben. A COBIT és a COSO egymást kiegészít rendszerek, amelyek az informatikához kapcsolódó (COBIT) illetve az azon kívül es (COSO) kontroll kérdésekkel foglalkoznak. (Hasonló összefoglalást lehet tenni a CoCo (Kanada) és a Cadbury (Egyesült Királyság) kapcsán is.)] 4. Át lehet tekinteni, hogy a technológia fejl dése hogyan hatott ki az ellen rzésre. Igaz ugyan, hogy az operatív és a kontroll irányelvek nem sokat változtak (néhány technológiaspecifikus kontroll irányelvt l eltekintve), az ellen rzés módszereire azonban jelent s hatást gyakorolt a technológiai fejl dés. Ezt követ en ki lehet emelni azt, hogy a COBIT, amely kiemelt hangsúlyt helyez a kontroll irányelvekre, egy olyan általános keretrendszert
43
COBIT – ALKALMAZÁSI MÓDSZEREK kínál, amely útmutatást és segítséget ad a kontroll eljárások megtervezéséért, bevezetéséért és alkalmazásáért felel s személyeknek. 5. A COBIT-ban meghatározott technológiai jelleg kontroll irányelvek és módszerek 41 általánosan elfogadott nemzetközi biztonsági-, auditálási- és ellen rzési referencia-forrás normáira támaszkodnak. [A fenti két pont (4. és 5.) összefoglalásaként el lehet mondani, hogy a COBIT informatikai irányítási és ellen rzési szabványként történ bevezetésével a szervezet gondoskodni tud arról, hogy az informatikai er források a kapcsolódó szervezeti célkit zések teljesítése érdekében kerüljenek felhasználásra.] 6. Az orientációs összejövetel zárásaként át lehet tekinteni a COBIT tartalmát. a. A COBIT Keretrendszere kapcsán fel lehet vázolni, hogy a COBIT hogyan dokumentálja az információs kritériumok, az informatikai er források és az informatikai eljárások között meglév kapcsolatokat. b. A COBIT Kontroll irányelvek cím része kapcsán be lehet mutatni a 34 általános szint kontroll irányelv és a 318 részletes kontroll irányelv között meglév összefüggéseket. c. A COBIT Auditálási útmutató cím része kapcsán át lehet tekinteni az általános auditálási irányelveket és az auditálás eljárásának felépítését. Ezeknek az irányelveknek a segítségével közvetlenül értékelni lehet az informatikai eljárások m ködését. d. A COBIT Vezet i útmutató cím része kapcsán fel lehet vázolni, hogy az érettségi modelleket, a kritikus sikertényez ket, a kritikus célmutatókat és a kritikus teljesítmény-mutatókat hogyan használhatja fel a vezetés az informatikai eljárások értékeléséhez (a COBIT-ban meghatározott 34 általános szint informatikai eljárás alapján) és a szerevzet informatikai irányítási környezetének felméréséhez.
7
A többi kulcsfontosságú szerepl számára egy vagy kétnapos felvilágosító összejövetelt célszer szervezni. A ISACA részletes el adási anyagának segítségével a résztvev k megismerkedhetnek a COBIT termékek tartalmával és belekóstolhatnak azok alkalmazásába. (MEGJEGYZÉS: Az ISACA Szakmai Szemináriumi Sorozatához tartozó COBIT tanfolyam esettanulmányokat is tartalmaz, amelyek kiegészítik az írásvetít s el adási anyagot.) Ezzel kapcsolatban gyakran alkalmazzák az alábbi forgatókönyvet. Els lépéséként egy vagy több személy (egy-két napos) bevezet COBIT tanfolyamon vesz részt valamelyik helyi vagy nemzetközi ISACA központban. Ezt követ en ezek a személyek maguk tartanak tanfolyamokat saját szervezetüknél, illetve másokat is megbízhatnak ezzel. Ezeken a tanfolyamokon részt vehetnek az informatikai ellen rök, más ellen rök, a vezetés (általános, ellen rzési és informatikai), a felhasználók és az informatikai részleg dolgozói is.
Végezetül meg kell jegyezni, hogy azoknak, akik ténylegesen használni fogják a COBIT-ot, alaposabb képzésre is szükségük lehet a COBIT hatékony alkalmazása érdekében. A következ részben (“A COBIT használatának megkezdése”) bemutatjuk, hogy a COBIT-ot hogyan lehet sikeresen bevezetni. Ennek keretében arra is kitérünk, hogy hogyan lehet ún. “munkaasztal melletti” képzést biztosítani a felhasználók számára a COBIT használatáról.
A COBIT HASZNÁLATÁNAK MEGKEZDÉSE Miután döntött arról a szervezet, hogy be kívánja vezetni a COBIT-ot, az alábbiak révén formalizálható a COBIT használata: 1. Az ellen rzési/auditálási irányelveket tartalmazó szervezeti kézikönyvben rögzíteni kell, hogy a COBIT világos irányelveket és gyakorlati útmutatást tartalmaz az informatikai
44
COBIT – ALKALMAZÁSI MÓDSZEREK kontroll-eljárásokra és ellen rz vizsgálatokra vonatkozóan, amelyeket figyelembe kell venni a szervezeten belüli ellen rz vizsgálatok végrehajtása során. A szervezet ellen rzési/auditálási eljárásokat tartalmazó kézikönyvébe bele kell foglalni a COBIT Auditálási útmutató részében megtalálható “Általános auditálási útmutatót”. Ahogy azt kés bb, a “Kockázat-becslés és az ellen rzés megtervezése a COBIT segítségével” cím részben részletesen is kifejtjük, a COBIT Keretrendszerét fel lehet használni a kockázat-becslések elvégzéséhez és az auditálási tervek kidolgozásához is. Ahogy azt kés bb, az “Ellen rz vizsgálatok végrehajtása a COBIT segítségével” cím részben részletesen is kifejtjük, a COBIT Keretrendszerét és a Kontroll irányelveket fel lehet használni az egyes konkrét ellen rzési/auditálási munkák megtervezéséhez. Ahogy azt kés bb, az “Ellen rz vizsgálatok végrehajtása a COBIT segítségével” cím részben részletesen is kifejtjük, az egyes konkrét ellen rzési/auditálási munkák programjának kialakításakor fel lehet használni a COBIT Auditálási útmutató részében meghatározott ellen rzési lépéseket.
2. 3.
4.
5.
Az alábbiakban bemutatunk néhány olyan módszert, dokumentumot és ötletet, amelyeket a COBIT-ot már korábban sikeresen bevezet szervezetek használtak. Ezek közül sok olyan van, amely minden szervezet esetében megvalósítható.
A 2. Függelékben egy olyan bevezetési cselekvési terv található meg, amelyet egy bank informatikai auditortcége dolgozott ki. Figyelemreméltó, hogy a terv a konkrét teend k mellett az eljárás céljait is megfogalmazza. Bár ezt a tervet egy informatikai auditorcég dolgozta ki, ugyanúgy megtehette volna egy olyan COBIT bevezetési csoport is, amely a fels vezetés és a többi kulcsfontosságú érdekelt fél képvisel ib l áll.
Akadtak olyan szervezetek, amelyek nem akarták illetve nem álltak készen a COBIT teljeskör bevezetésére, ezért kezdeti lépésként csak néhány kiválasztott ellen rzési munka kapcsán használták a COBIT-ot. Az ilyen kísérleti alkalmazások alapján azután meghatározták a COBIT által kínált el nyöket. A kísérleti bevezetést minden esetben a COBIT teljes kör alkalmazása követte. Ezzel kapcsolatban is bemutatunk néhány példát a “COBIT auditálási útmutatójának használata” cím részben.
A COBIT Vezet i útmutatója olyan új koncepciókat és eszközöket vezet be, amelyek novelni fogják a COBIT elfogadottságát és eredményességét. Ezek új perspektívákat és lehet ségeket nyitnak meg a COBIT bevezetéséhez. A COBIT Vezet i útmutató cím kötetének I. Mellékletében megtalálható egy ”Használati útmutató”. Ez az útmutató csupán a kiindulási pontot jelenti, amelyet a jöv ben tovább fogunk b víteni az újonnan kidolgozott irányelveket alkalmazó biztonsági és ellen rzési szakemberek visszajelzései alapján. A jelen Alkalmazási módszerek kötet jöv beni kiadásaiban figyelembe fogjuk venni a COBIT pártfogók új tapasztalatait is. 7
7
45
COBIT – ALKALMAZÁSI MÓDSZEREK
2. FÜGGELÉK – COBIT BEVEZETÉSI CSELEKVÉSI TERV CÉLKIT ZÉS A COBIT koncepcióinak elfogadása és integrálása az informatikai részlegnél, beleértve az ellen rzési, az üzemeltetési és az informatikai funkciót valamint a küls partnerekt l megrendelt szolgáltatásokat is. 8
CÉLOK 1. A szükséges auditálási és ellen rzési tanácsadási szolgáltatások további nyújtása, kib vítve azokkal, amelyek a banki ágazathoz kapcsolódó COBIT üzleti folyamatok lefedéséhez szükségesek. 2. A bank információs igényeinek kielégítése a COBIT-ban meghatározott információs kritériumokkal összhangban. 3. A COBIT-ban meghatározott lényeges tervezési és szervezeti tevékenységek integrálása a bank technológiai struktúrájába. 4. A COBIT-ban meghatározott lényeges beszerzési és bevezetési tevékenységek alkalmazása a Számítógépes Szolgáltatási osztálynál és beépítése a banknál használt projekt-irányítási metodikába. 5. A COBIT-ban meghatározott lényeges informatikai szolgáltatási és támogatási tevékenységek biztosítása a bels banki ügyfeleknek a Hálózati Szolgáltatási osztályon és a küls szolgáltató partnereken keresztül. 6. A COBIT-ban meghatározott lényeges felügyeleti eljárások alkalmazása a bank technológiai és ellen rzési részlegeinél.
MEGOLDÁSI MÓDSZER • Megismerkedés • Felvilágosítás SORREND • Ellen rz részleg • Informatikai részleg
• • • •
Elkötelezettség Elfogadás Küls szolgáltató partnerek Fels vezetés
•
Alkalmazás
•
Elen rz bizottság
ELJÁRÁS 1. A COBIT Összefoglaló áttekintésének kiosztása az érintett vezet knek és el zetes felmérés készítése (lásd a 3. Függeléket) a meglév struktúráról és az azzal kapcsolatos véleményekr l. 2. A felmérés eredményeinek összesítése és el adás kidolgozása a COBIT felmérés eredményeivel kapcsolatban. 3. El adás az üzemeltetési és az informatikai részleg vezet inek. 4. El adás az üzemeltetési és az informatikai részleg dolgozóinak. 5. El adás a küls szolgáltatócégek vezet inek és kulcsfontosságú dolgozóinak. 6. Segítségnyújtás az érintett vezet knek egy olyan cselekvési terv kidolgozásához, amely beintegrálja a COBIT alapkoncepcióit a bank üzleti folyamataiba. 7. A fels vezetés tájékoztatása a COBIT koncepciókról és az elért el relépésekr l a fels vezetés támogatásának megszerzése érdekében. 8. Ellen rzési/auditálási eljárások átalakítása a COBIT eljárás-orientációjának megfelel en.
46
COBIT – ALKALMAZÁSI MÓDSZEREK II. FÜGGELÉK – folytatás 9. Ellen rzési programok kidolgozása illetve módosítása a COBIT auditálási irányelveinek megfelel en. 10. COBIT “felvilágosító” összejövetelek szervezése a szervezeti igényeknek megfelel en. 11. A szükséges COBIT képzési programok megtartása. 12. Az informatikai cselekvési tervek végrehajtásának figyelemmel kísérése. 13. Az Ellen rz Bizottság tájékoztatása a COBIT koncepciókról, az elért el relépésekr l és az eredményekr l.
HATÁRID K 1. Május – felmérés és cselekvési tervek elkészítése 2. Július – a COBIT ismertetése a fels vezetéssel 3. Augusztus – a COBIT ismertetése az Ellen rz Bizottsággal
KOCKÁZAT-BECSLÉS ÉS AZ ELLEN RZÉS/AUDIT MEGTERVEZÉSE A COBIT SEGÍTSÉGÉVEL Az alábbiakban ismertetésre kerül COBIT-alapú mátrixokat a potenciális ellen rizend területek illetve vezet i tanácsadási szolgáltatási feladatok meghatározásához használhatják fel az ellen rz csoportok az auditáláshoz kapcsolódó el készületi munkák során. Néhány mátrix esetében hasznos lehet, ha a vizsgált szervezet vezetése illetve a vizsgált üzleti folyamatokért felel s vezet k töltik ki azt. Jelent sen megkönnyítheti a vizsgálat el tti meghallgatások lebonyolítását, ha úgy dönt az ellen rz csoport, hogy az auditált szervezettel közösen tölti ki az értékelési táblázatokat. Ezek a beszélgetések már a munka megkezdésekor támpontot adhatnak a vezetésnek arra vonatkozóan, hogy melyek azok az informatikai funkciókat ellátó m ködési területek, amelyek lehet, hogy nem felelnek meg a rájuk vonatkozó m ködési normáknak illetve amelyekre nem terjednek ki megfelel kontroll eljárások. Az informatikai eljárásokhoz kapcsolódó felel sségi körök szétválasztásához valamint annak meghatározásához is segítséget nyújthatnak a beszélgetések a vezetésnek, hogy az ellen rz csoportnak kit érdemes meghallgatnia illetve kit l kell információkat szereznie. A mátrixok segíthetnek az ellen rnek a bels ellen rzési dokumentáció általános szint értékelésében is. Az ellen rz csoportnak meg kell vizsgálnia, hogy a bels ellen rzési dokumentációt áttekintette és jóváhagyta-e a vezetés. Ha bármelyik informatikai eljárásra vonatkozóan nem áll rendelkezésre a vonatkozó kontroll eljárások dokumentációja, az komoly ellen rzési hiányosságokra utal és egyben lehet séget ad a megfelel tanácsadási szolgáltatások felkínálására.
KORÁBBI ELLEN RZÉSI MUNKÁKHOZ KAPCSOLÓDÓ TÁBLÁZAT Cél: Annak megállapítása, hogy a korábbi ellen rzési munkák részeként az informatikai eljárásokhoz kapcsolódó ellen rzések is végre lettek-e hajtva. Ha igen, akkor a táblázatban az ellen rnek fel kell tüntetnie a korábbi munkák alapján levont konklúzió(ka)t. Ez a táblázat csak akkor tölthet ki, ha már a korábbi megbízások esetében is használták a COBIT-ot. 9
Kitöltés: Az ellen rz csoportnak kell kitöltenie az auditált szervezeti helyszíni ellen rzésének végrehajtása el tt.
47
COBIT – ALKALMAZÁSI MÓDSZEREK Felhasználás: Ha a korábbi ellen rzési munka alapján “tiszta” véleményt adott az ellen r, akkor nem lesz olyan ellen ri észrevétel, amelyet meg kell oldani. Mivel az is el fordulhat, hogy egy adott informatikai eljáráshoz több észrevétel is kapcsolódók, a táblázatban az ellen rnek jeleznie kell az észrevételek számát és azok státuszát is. Amennyiben valamely eljáráshoz több észrevétel is kapcsolódik, az ellen rnek numerikus értékeket kell beírnia a státusz-oszlopokba.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Korábbi ellen rzési munkákhoz kapcsolódó táblázat) :
RÖVID MIN SÍTÉSI TÁBLÁZAT Cél: Annak megállapítása, hogy mely informatikai eljárások a legfontosabbak és a vezetés megítélése szerint mennyire jól m ködnek ezek az eljárások. 9
Kitöltés: 1.a A vizsgált szervezet vezetésének (informatikai vagy nem informatikai) vagy az üzleti folyamatokért felel s vezet knek kell kitölteniük a helyszíni ellen rzési szakasz el tt. Ha különböz osztályok illetve részlegek vezet it kérik fel a mátrix kitöltésére, akkor meg lehet határozni az egyes informatikai eljárások relatív fontosságát és teljesítményi szintjét. b. Ha bizonyos informatikai eljárásokról küls szolgáltatók gondoskodnak, a mátrixot fel lehet használni annak megállapításához, hogy a vezetés illetve az üzleti folyamatok irányítói mennyire elégedettek a küls partnerek által nyújtott szolgáltatásokkal. Abban az esetben, a fentebb elmondottakhoz hasonlóan, ha különböz osztályok illetve részlegek vezet i is kitöltik a mátrixot, betekintést kaphat az ellen r a kapott szolgáltatások színvonalának eltér megítélésér l. 2. Az ellen rz csoportnak is ki kell töltenie a mátrixot a helyszíni vizsgálatok el tt, amelyben rögzíteniük kell, hogy megítélésük szerint mennyire fontosak az egyes informatikai eljárások és hogyan m ködnek azok. Az utóbbi kapcsán a felhasználói elégedettségr l készített felmérésekre illetve a vezetés által készített teljesítményértékelésekre is támaszkodhat az ellen r. (A “formálisan értékelt” oszlopba “I”(igen) vagy “N” (nem) megjelölés írható be, amely azt jelzi, hogy a vezetés kialakított-e valamilyen formális eljárást a teljesítmény értékelésére, vagy sem.)
Felhasználás: El lehet küldeni a vezet knek és az üzleti folyamatok irányítóinak. Ha ezt a módszert alkalmazzák, a táblázathoz csatolni kell az egyes informatikai eljárások leírását is, ahogy azok a COBIT Keretrendszerében szerepelnek. (Közvetlen meghallgatások keretében történ információ-szerzés esetén a “Részletes (vagy hosszú) min sítési táblázatot” kell használni.)
Ez a mátrix felhasználható a kockázatok értékeléséhez is a “mi a fontos a számunkra?” és a “hogyan csináljuk a dolgokat?” kérdések megválaszolásához. Volt olyan eset, hogy ezt a táblázatot használták a vezetés, az ellen r és az informatikai részleg közötti megbeszélések során. Alternatív megoldásként az egyes csoportoktól külön-külön történ információ-szerzéshez is fel lehet használni a mátrixot és az eredmények összehasonlítása alapján meg lehet állapítani, hogy hol mutatkoznak eltérések az egyes eljárások fontosságának és m ködésének megítélésében. Minden esetben hasznos megbeszéléseket indukálhat ez a mátrix. Például, ha valamelyik csoport nem tudja eldönteni azt, hogy egy
48
COBIT – ALKALMAZÁSI MÓDSZEREK adott eljárás mennyire fontos, jelezni lehet, hogy némi felvilágosításra van szükség. És ahol nem lehet értékelni valamilyen eljárás teljesítményét, további vizsgálatokra lehet szükség. Egymást követ en ismételten is fel lehet használni ezt a mátrixot. Például úgy, hogy el ször csak a fontosságra vonatkozó oszlopokat töltjük ki, majd egy kis id elteltével (mondjuk egy héttel kés bb) újra el vesszük a táblázatot, és kitöltjük a teljesítmény értékelésére vonatkozó oszlopokat is. Mivel bizonyos esetekben nehéz felmérni a fontos funkciók gyenge teljesítményét, ez a kétlépcs s módszer hasznosabb teljesítményértékelést eredményezhet.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Rövid min sítési táblázat) :
RÉSZLETES (HOSSZÚ) MIN SÍTÉSI TÁBLÁZAT Cél: Annak dokumentálása, hogy a vezetés és az üzleti folyamatok irányítóinak értékelése szerint mely informatikai eljárások a legfontosabbak és megítélésük szerint mennyire jól m ködnek ezek az eljárások. A táblázatban jelezni kell azt is, hogy mely informatikai eljárások vonatkozásában vannak érvényben dokumentált bels ellen rzési eljárások. 9
Kitöltés: Az elen rz csoportnak kell kitöltenie a helyszíni ellen rzési munka végrehajtása el tt. A mátrixot vagy a vezetéssel és az üzleti folyamatok irányítóival közösen kell kitölteni az ellen ri meghallgatás során, vagy önállóan kell kitöltenie az ellen rz csoportnak.
Felhasználás: Az ellen r információkat szerezhet arra vonatkozóan, hogy a vezetés megítélése szerint az egyes informatikai eljárásokhoz kapcsolódó bels ellen rzési eljárások milyen mértékben vannak dokumentálva. Mivel az ellen rz csoport el fogja kérni ezeknek a dokumentumoknak a másolatát, kereszt-referenciázással jelezni kell a bels ellen rzési eljárások dokumentációit (kontroll kézikönyvek, eljárási szabályok, szabványok, stb.) illetve az elvégzett el zetes ellen rzések eredményeit tartalmazó munkalapokat.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Részletes (v. hosszú) min sítési táblázat) :
KOCKÁZAT-ÉRTÉKELÉSI TÁBLÁZAT Cél: A táblázat segítséget nyújt az ellen rz csoportnak annak meghatározásához, hogy melyek azok az informatikai eljárások, amelyek kapcsán a kockázatok értékelése alapján bizonyos ellen rzési munkák elvégzésére (illetve vezet i tanácsadási szolgáltatásokra) lehet szükség.
Kitöltés: Vagy az ellen rz csoportnak, vagy a vezetésnek, vagy kett jüknek közösen kell kitöltenie a helyszíni ellen rzési munka végrehajtása el tt.
Felhasználás: A “Rövid min sítési táblázat” és a “Részletes min sítési táblázat” kitöltése után kell az ellen rz csoportnak kitöltenie ezt a mátrixot, miután megfelel ismereteket szereztek a szervezet stratégiai céljairól, legfontosabb üzleti célkit zéseir l, a kulcsfontosságú sikertényez kr l, a szabályozási illetve jogi követelményekr l (beleértve
49
COBIT – ALKALMAZÁSI MÓDSZEREK a szerz déses kötelezettségeket is) és az ellen rzési struktúráról. Ezzel egyid ben bizonyos analitikus elemzéseket is elvégezhet az ellen rz csoport.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Kockázat-értékelési táblázat)
FELEL S FÉL RÖGZÍTÉSÉRE SZOLGÁLÓ TÁBLÁZAT Cél: Annak megállapítása, hogy kik hajtják végre az egyes informatikai eljárásokat és kik a végs felel sök az egyes eljárásokért. 9
Kitöltés: Az ellen rz csoportnak kell kitöltenie a táblázatot, az auditált szervezet vezetésével közösen, a helyszíni ellen rzési munka megkezdése el tt.
El lehet küldeni a vezet knek és az üzleti folyamatok irányítóinak. Ha ezt a módszert alkalmazzák, a táblázathoz csatolni kell az egyes informatikai eljárások leírását is, ahogy azok a COBIT Keretrendszerében szerepelnek. Példaként lásd a 3. Függeléket (COBIT felmérés).
Felhasználás: Célszer ezt a táblázatot a szerz déses szolgáltatásokra illetve a szolgáltatási szint megállapodásokra vonatkozó táblázatokkal együtt kitölteni (ezekkel a következ pontban foglalkozunk) annak érdekében, hogy pontosan meg lehessen határozni, hogy melyek azok az informatikai szolgáltatások, amelyeket az informatikai részleg biztosít, amelyeket a szervezethez tartozó más részleg nyújt illetve amelyeket küls szolgáltató teljesít.
Az informatika szerteágazó jellege miatt valószín , hogy több olyan eljárás is lesz, amelyek végrehajtásában az informatikai részleg és más részlegek dolgozói közösen vesznek részt. Ennek fényében, ha a fels vezetéssel közösen történik a táblázat kitöltése, az ellen rz csoport információkat szerezhet arra vonatkozóan, hogy a vezetés megítélése szerint mely részlegek felel sek az egyes eljárásokért. Emellett arra is választ kaphatnak, hogy az informatikai felel sség hogyan terjed szét a szervezeten belül.
Jóllehet az egyes informatikai eljárások és az általuk lefedett területek bizonyos mértékig maguktól értet d ek, az ellen rz csoportnak fel kell készülnie arra, hogy amennyiben szükséges, összefoglaló formában tájékoztatja a vezetést arról, hogy az egyes eljárások milyen területeket fednek le. Emellett a táblázat felhasználható a szervezet különböz osztályain illetve részlegeinél dolgozó vezet k meghallgatása során is annak meghatározásához, hogy az egyes vezet k milyen mértékben vannak tisztában azzal, hogy mely funkcionális egységek (akár bels , akár küls ) felelnek az egyes informatikai eljárásokért.
Bár a táblázatban az ellen rz csoportnak meg kell neveznie az els dleges felel söket, ezt inkább kiindulási pontként kell kezelni a kijelölt feladatkörök, a felel sségi pontok, illetve amennyiben decentralizáltak az informatikai eljárások, a szükséges szabványosítás mértékének meghatározásához, amelyet még a helyszíni ellen rzés megkezdése el tt meg kell tenni. Az utóbbi esetben például, ha az adott szervezeten belül az informatikai eljárások kapcsán eltolódás figyelhet meg az informatikai részlegt l az egyes osztályok irányába, az még nem jelenti azt, hogy érvényüket vesztik az informatikai szolgáltatásokra vonatkozó adatbiztonsági és rendszer-elérhet ségi követelményekhez kapcsolódó kontroll irányelvek. A kontroll irányelveket ebben az esetben is be kell tartaniuk a különböz
50
COBIT – ALKALMAZÁSI MÓDSZEREK szervezeti egységeknek, annak ellenére is, hogy általában eltér kontroll stratégiákkal rendelkeznek.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Felel s fél rögzítésére szolgáló táblázat) :
SZERZ DÉSES SZOLGÁLTATÁSI/SZOLGÁLTATÁSI SZINT MEGÁLLAPODÁSI TÁBLÁZAT Cél: Amennyiben a “Felel s fél rögzítésére szolgáló táblázatban” van olyan informatikai eljárás, amelynek biztosításáért NEM az informatikai részleg felel, ebben a táblázatban rögzíteni lehet, hogy léteznek-e formális szerz dések illetve szolgáltatási szint megállapodások és, hogy dokumentálva vannak-e a kontroll eljárások minden egyes ilyen “szerz déses” informatikai eljárásra vonatkozóan. Az alábbi szolgáltatások tartoznak a szerz déses szolgáltatások/szolgáltatási szint megállapodások körébe: megbízási szerz dés keretében teljesített ún. kihelyezett szolgáltatások, házon belül kötött szerz dések keretében teljesített szolgáltatások (amelyeket nem az informatikai részleg biztosít) és azok a szolgáltatások, amelyekre vonatkozóan bels szolgáltatási szint megállapodás van érvényben. A táblázat segítséget nyújthat az ellen rnek annak megállapításához, hogy melyek azok a szolgáltatások, amelyek valójában “szerz déses” szolgáltatások, bár nem született semmilyen formális szerz dés illetve megállapodás erre vonatkozóan. Ezzel összefüggésben a táblázat segíthet annak meghatározásában is, hogy melyek azok a “szerz déses” szolgáltatások, amelyekre célszer kiterjeszteni az ellen rzés körét. 9
Kitöltés: Az ellen rz csoportnak kell kitöltenie a táblázatot a helyszíni ellen rzési munka megkezdése el tt.
Felhasználás: A Szerz déses szolgáltatási ill. Szolgáltatási szint megállapodási táblázat segít az ellen rnek a bels ellen rzési eljárások értékelésében. A meghatározott kontroll eljárások megfelel ségének értékelése el tt az ellen rnek meg kell vizsgálnia, hogy az egyes kontroll eljárások milyen mértékben vannak dokumentálva.
(Lásd: Informatikai kontroll diagnosztizálása c. rész – Szerz déses szolgáltatási/Szolgáltatási szint megállapodási táblázat) :
PÉLDÁK A TERVEZÉSI MÁTRIXOK HASZNÁLATÁRA A COBIT bevezetésének els lépéseként egy informatikai ellen r felmérést végzett egy banknál. A felmérés, amelynek ismertetése a 3. Függelékben található meg, a “Felel s fél rögzítésére szolgáló táblázatra” épült. A kérd ívet azok a személyek kapták meg, akik közvetlenül a bank üzemeltetési és technológiai kérdésekért felel s alelnökének tartoztak beszámolási kötelezettséggel. A kérdéseket tartalmazó négy oldalt egy olyan adatbázisból nyomtatta ki az ellen r, amelyet saját maga dolgozott ki a COBIT csomagban megtalálható szöveg-fájlok alapján. A kérdésekre adott válaszokból az derült ki, hogy a COBIT eljárások többsége kapcsán mindenki felel snek érezte magát! Az informatikai ellen r a világosan meghatározott felel sségi körök hiányának okát abban látta, hogy az alelnök nem határozott meg egyértelm utasításokat ezen a területem. A felmérés eredményeként, és egy kés bb végrehajtott hatósági ellen rzés során feltárt észrevételek nyomán, egy új technológiai irányítási funkcióval b vítették ki az Üzemeltetési és Technológiai részleget. Ezt a funkciót tették felel ssé a COBIT-ban szerepl Tervezési és Szervezeti eljárások többségének biztosításáért.
51
COBIT – ALKALMAZÁSI MÓDSZEREK
3. FÜGGELÉK – COBIT FELMÉRÉS FELJEGYZÉS
Kapják:
Hálózati Szolgáltatási Menedzser, Távközlési Menedzser, Programozási Felügyel , Adatközpont Üzemeltetési Menedzser, Bizalmas Adatok Központjának Menedzsere
Másolatot kap: Feladó: Kelt: Tárgy:
Üzemeltetési és technológiai kérdésekért felel s Alelnök, Küls számlák Menedzsere Informatikai Ellen rzési Menedzser 20xx, március 19. Informatikai üzleti eljárások és kontroll irányelvek
forrás
Szeretném megragadni az alkalmat arra, hogy bemutassak Önöknek egy olyan új szemléletmódot, amely a korábbiaktól eltér módon közelíti meg az információtechnológiához kapcsolódó bels ellen rzés kérdését; és egyúttal segítséget szeretnék kérni Önökt l annak érdekében, hogy ellen rökként hatékonyabb segítséget tudjunk nyújtani Önöknek. A kontroll eljárásokkal és az informatikai ellen rzésekkel kapcsolatos korábbi szemléletmódunk a technikai jelleg kérdésekre helyezte a f hangsúlyt. Az Information Systems Audit and Control Foundation (ISACF) nemrégen adta közre, az IT Governance Institute révén, a kontroll irányelvekkel foglalkozó kiadványának 3. kiadását, amely az információs kritériumok és az üzleti folyamatok szemszögéb l közelíti meg az ellen rzés kérdését.
Ez a dokumentum, amely az Információ–technológiai Kontroll Irányelvek (COBIT – Control Objectives for Information and Related Technology) címet kapta, 34 általános szint informatikai üzleti eljárást határoz meg az alábbi négy területen: Tervezés és Szervezet (TSZ), Beszerzés és Bevezetés (BB), Informatikai szolgáltatás és Támogatás (IT) és Felügyelet (F). A COBIT ezt követ en 318 különböz feladatot és tevékenységet kapcsol a fenti 34 eljáráshoz. Minden egyes feladat, tevékenység és eljárás esetében meghatározza a kapcsolódó kontroll elemeket, amelyekre az audit-ellen rzés koncentrálhat.
Mindebb l következ en a COBIT nagyszer lehet séget kínál az informatikai ellen röknek arra, hogy újratervezzék az informatikai üzleti folyamatokhoz kapcsolódó ellen rzéseket. Emellett a COBIT az informatikai részlegnek is lehet séget kínál az önértékelésre, amely segít annak biztosításában, hogy az összes szükséges szolgáltatás a bank rendelkezésére álljon. Levelemhez csatoltam a COBIT-hoz tartozó Összefoglaló áttekintés másolatát is (azoknak, akiknek még nincs birtokukban ez a dokumentum).
Az ellen rzési funkció átalakításának megkezdése el tt szeretném tudni azt, hogy Önök hogyan vélekednek arról, milyen mértékben felel sek az egyes informatikai üzleti eljárásokért illetve mennyire érzik azokat a magukénak. Levelemhez csatoltam egy el zetes kérd ívet, amely felsorolja a 34 eljárást és amelyben azt kell jelezniük a válaszadóknak, hogy megítélésük szerint felel sek-e az egyes eljárásokért, vagy sem. Nagyon sokat segítenének azzal, ha március 28-ig kitöltenék a kérd ívet és kifejtenék a COBIT–tal kapcsolatos esetleges gondolataikat. Számítok arra, hogy lesznek átfedések és “szakadékok” is. A kérd ív
52
COBIT – ALKALMAZÁSI MÓDSZEREK kitöltésekor gondoljanak arra, hogy ennek a felmérésnek az a célja, hogy képet alkossunk arról, hol tartunk jelenleg. Az eredményekr l tájékoztatni fogom Önöket, így mindenki megtudhatja majd, hogy a többiek hogyan gondolkodnak saját felel sségükr l és szerepükr l az informatikai részlegnél.
Izgalommal várom ezt a szemléletmódváltást, mivel ez segíteni fog abban, hogy az informatikai ellen rzéseket az informatikai szolgáltatások m ködéséhez igazodva tudjuk elvégezni. A “termék” ellen rzések mellett ezentúl “eljárási” ellen rzéseket is végre tudunk hajtani, így az eljárások folyamatos javítására tudunk koncentrálni. Könnyebben tudjuk majd kezelni az informatikához kapcsolódó kockázatokat és kritériumokat, amelyek körébe a bizalmasság, az integritás, az elérhet ség, a hatékonyság, az eredményesség, a megfelel ség és a megbízhatóság egyaránt beletartozik. Emellett az adatainkhoz, alkalmazási rendszereinkhez, technológiánkhoz, dolgozóinkhoz és eszközeinkhez kapcsolódó kontroll eljárások vonatkozásában is alkalmazni lehet az új módszert. Röviden, az ellen rzés hatékonyabb er forrássá válhat, ha a COBIT-ot hasnzáljuk eszközként és útmutatóként.
Ha véleményük szerint vannak más olyan vezet k is, akiknek célszer lenne kitölteniük a kérd ívet, vagy ha bármilyen észrevételük illetve kérdésük merül fel a felméréssel illetve a COBIT általános tartalmával kapcsolatban, forduljanak hozzám bizalommal, a xxxx telefonszámon vagy e-mail-en keresztül. Megkérem Önöket, hogy legkés bb március 28-ig juttassák vissza hozzám a kitöltött kérd íveket. El re is köszönöm.
53
COBIT – ALKALMAZÁSI MÓDSZEREK 3. FÜGGELÉK, folytatás El zetes felmérés – Informatikai eljárások felel sei
Részleg:
Kelt:
Válaszadó:
Ellen r:
TERÜLET ÉS ELJÁRÁS
TSZ
1
FELEL S-E A RÉSZLEG AZ ALÁBBI IT ELJÁRÁSÉRT:
AMELYRE AZ ALÁBBI ÜZLETI KÖVETELMÉNYEK VONATKOZNAK:
informatikai stratégiai terv kidolgozása
az információ-technológiában rejl lehet ségek és az informatikával szemben támasztott üzleti követelmények optimális egyensúlyának megtalálása valamint az egyensúly kés bbi megvalósításának biztosítása
;
<
<
<
2
információ-architektúra meghatározása
információs rendszerek optimális kialakítása
3
technológiai irány meghatározása
a rendelkezésre álló és az újonnan kifejlesztett technológiák által kínált el nyök kihasználása az üzleti stratégia megvalósítása érdekében
4
informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása
a megfelel informatikai szolgáltatások biztosítása
5
informatikai beruházások kezelése
finanszírozás biztosítása és a finanszírozási források felhasználásának ellen rzése
6
vezet i célok és irányvonal közlése
a felhasználók tájékoztatása a fenti célokról, és a célok megértetése
7
emberi er források kezelése
olyan szakmailag jól képzett és siker-orientált munkaer alkalmazása, amely képességeivel maximálisan hozzájárul az informatikai folyamatokhoz
<
<
<
<
<
<
8
küls követelmények betartásának biztosítása
jogi, jogszabályi és szerz déses kötelezettségek betartása
9
kockázatok értékelése
a vezetés döntéseinek támogatása az informatikai célkit zések teljesítése révén és reagálás az informatikai szolgáltatások ellátását fenyeget veszélyekre a komplexitás csökkentése, az objektivitás növelése és a fontos döntési tényez k meghatározása révén
<
<
=
<
<
10
projektek irányítása
prioritások meghatározása és a projektek megfelel id ben és költségkereten belüli végrehajtása <
<
11
min ségirányítás <
az informatikai felhasználók igényeinek kielégítése
Megjegyzések és észrevételek:
54
(IGEN/NEM/ ISMERETLEN)
COBIT – ALKALMAZÁSI MÓDSZEREK 3. FÜGGELÉK, folytatás TERÜLET ÉS
FELEL S-E A RÉSZLEG AZ ALÁBBI IT ELJÁRÁSÉRT:
AMELYRE AZ ALÁBBI ÜZLETI KÖVETELMÉNYEK VONATKOZNAK:
automatizált megoldások meghatározása
olyan módszer kialakítása, amely révén hatékonyan és eredményesen kielégíthet ek az informatikai felhasználók igényei
2
alkalmazási szoftverek beszerzése és karbantartása
az üzleti folyamatokat eredményesen támogató automatizált funkciók biztosítása
3
technológiai infrastruktúra beszerzése és karbantartása
az üzleti alkalmazási rendszerekhez szükséges megfelel platformok (hardver és szoftver környezet) biztosítása
informatikai területtel összefügg eljárások kifejlesztése és karbantartása
az (informatikai) alkalmazási rendszerek és az alkalmazott technológiai megoldások megfelel használatának biztosítása
rendszerek installálása (üzembe helyezése) és jóváhagyása
az alkalmazott informatikai megoldás kívánt céloknak való megfelel ségének ellen rzése és meger sítése
változások kezelése
az üzemzavarok, engedély nélküli módosítások és hibák valószín ségének minimalizálása
ELJÁRÁS
BB
1
4
;
<
5
6
<
<
<
=
<
Megjegyzések és észrevételek:
55
<
<
(IGEN/NEM/ ISMERETLEN)
COBIT – ALKALMAZÁSI MÓDSZEREK 3. FÜGGELÉK, folytatás TERÜLET ÉS ELJÁRÁS
IT
1 2
FELEL S-E A RÉSZLEG AZ ALÁBBI IT ELJÁRÁSÉRT:
AMELYRE AZ ALÁBBI ÜZLETI KÖVETELMÉNYEK VONATKOZNAK:
szolgáltatási szintek meghatározása és kezelése küls szolgáltatások kezelése
a szükséges szolgáltatási szint közös meghatározása
;
<
küls szolgáltatók feladatainak és felel sségi köreinek világos meghatározása, továbbá azok betartásának és a követelmények folyamatos teljesítésének biztosítása <
<
3
teljesítmény és kapacitás kezelése
megfelel nagyságú kapacitás kialakítása és annak biztosítása, hogy a rendelkezésre álló kapacitás a leghatékonyabb és legoptimálisabb módon kerül kihasználásra a szükséges teljesítményi igények biztosításához
4
folyamatos m ködés biztosítása
az informatikai szolgáltatások rendelkezésre állásának valamint annak biztosítása, hogy az esetleges jelent sebb rendszerhibák csak minimális üzleti következményekkel járjanak
=
<
<
5
rendszer biztonságának biztosítása
az információk engedély nélküli felhasználásának, közzétételének, módosításának, károsodásának illetve elvesztésének megel zése <
6
költségek megállapítása és felosztása
az informatikai szolgáltatásokhoz kapcsolódó költségek pontos ismerete
7
felhasználók oktatása és képzése
gondoskodni kell arról, hogy a felhasználók hatékonyan tudják használni az informatikai technológiát és tisztában legyenek az ahhoz kapcsolódó kockázatokkal és felel sséggel <
8
informatikai felhasználók segítése
a felhasználók által tapasztalt problémák megfelel megoldása
9
konfiguráció kezelése
az összes informatikai alkotóelem számbavétele, engedély nélküli változtatások megakadályozása, eszközök meglétének ellen rzése és megfelel kiindulópont biztosítása a változáskezeléshez <
10
problémák és rendkívüli események kezelése
<
<
a problémák és rendkívüli események megoldása, továbbá az okok feltárása az ismételt el fordulás megel zése érdekében <
<
11
adatok kezelése
az adatok teljességének, pontosságának és érvényességének meg rzése a rögzítés, az aktualizálás és a tárolás során <
12
létesítmény kezelése
megfelel fizikai környezet biztosítása, amely megvédi az informatikai eszközöket és a dolgozókat az emberi eredet és a természeti veszélyekt l <
=
13
informatikai üzemeltetés irányítása
<
az informatikai részleg által nyújtott fontos támogató szolgáltatások megfelel és rendszeres teljesítésének biztosítása. <
Megjegyzések és észrevételek:
56
(IGEN/NEM/ ISMERETLEN)
COBIT – ALKALMAZÁSI MÓDSZEREK 3. FÜGGELÉK, folytatás TERÜLET ÉS
FELEL S-E A RÉSZLEG AZ ALÁBBI IT ELJÁRÁSÉRT:
AMELYRE AZ ALÁBBI ÜZLETI KÖVETELMÉNYEK VONATKOZNAK:
eljárások felügyelete (monitoring)
az informatikai folymatokra vonatkozóan meghatározott teljesítményi célkit zések teljesítésének biztosítása
bels ellen rzés megfelel ségének felmérése
az informatikai eljárásokra vonatkozóan meghatározott bels ellen rzési irányelvek megvalósításának biztosítása
3
független értékelés végeztetése
a szervezet, a felhasználók és a küls szolgáltatók közötti kölcsönös bizalom növelése
4
független ellen rz vizsgálat (audit) végeztetése
a bizalom szintjének és a legjobb gyakorlat követéséb l származó el nyök növelése
ELJÁRÁS
F
1
2
;
<
<
<
<
<
=
<
<
<
<
Megjegyzések és észrevételek:
57
<
(IGEN/NEM/ ISMERETLEN)
COBIT – ALKALMAZÁSI MÓDSZEREK Egy másik informatikai ellen r egy másik szervezetnél a 4. Függelékben bemutatott mátrix segítségével összehasonlította a COBIT-ban megtalálható 34 általános szint kontroll irányelvet a szervezetnél alkalmazott informatikai irányelvekkel, eljárásokkal és normákkal. Ez egy ismétl d eljárás volt, mivel az ellen r csak fokozatosan tudta feltárni a dokumentált irányelveket. Az eljárás, amely eredetileg mennyiségi felmérésként indult, a meglév irányelvek, eljárások és normák min ségének és megfelel ségének értékelésével folytatódott a szervezetnél. Tulajdonképpen a “Részletes (v. hosszú) min sítési táblázat” alkalmazásáról van itt szó, azon belül is azt az oszlopot bontja ki a mátrix, amelyik a meglév dokumentált kontroll eljárásokra vonatkozó hivatkozások jelölésére szolgál.
4. FÜGGELÉK: IRÁNYELVEK, ELJÁRÁSOK ÉS NORMÁK ÁTTEKINTÉSE 34 COBIT eljárás TSZ1 TSZ2 . . . F4
Informatikai irányelvek és eljárások A B C D E F – – – A = Megfelel a COBIT irányelveknek C = Képes a megfelel kontroll biztosítani E = Értékelés (megfelel ség tesztelése) R = Jelentés • Pozitív konklúzió • Megállapítás
Egy másik informatikai ellen r, egy másik szervezetnél, a COBIT segítségével értékelte a kockázatokat és meghatározta azt, hogy melyek azok a területek, amelyeket célszer ellen rizni. Az 5. Függelék az általa használt mátrixot mutatja be. Megfigyelhet , hogy a COBIT-ban meghatározott információs kritériumok és informatikai er források dönt szerepet játszottak az értékelésben. Ez a mátrix a “Korábbi audit munkákhoz kapcsolódó táblázat” és a “Kockázat-értékelési táblázat” elemeit ötvözi.
5. FÜGGELÉK: A COBIT FELHASZNÁLÁSA A KOCKÁZATOK ÉRTÉKELÉSÉHEZ Ellen rzési terület
Tényez k: legutolsó ellen rzés id pontja, információs kritériumok, informatikai er források, panasz/kérés, pénzügyi vonzat :
:
:
:
Kockázatok osztályozása: –10-t l +10-ig
Összesítés eljárásonként majd ellen rzési területenként
58
COBIT – ALKALMAZÁSI MÓDSZEREK Egy másik szervezetnél egy informatikai ellen r és egy ott dolgozó informatikai munkatárs közösen dolgozták ki a 6. Függelékben bemutatott mátrixot, amelynek segítségével azokat a területeket próbálták meg feltárni, ahol további irányelvekre, szabályozásra, normákra illetve évközi ellen rzésre van szükség. Ez a mátrix a “Kockázat-értékelési táblázat” egyfajta alkalmazása.
6. FÜGGELÉK: KOCKÁZAT-ÉRTÉKELÉS 34 COBIT eljárás
Magas
Becsült kockázat szintje Közepes Alacsony
Megjegyzések
TSZ1 TSZ2 . . . F4
Egy auditorcégnél az informatikai auditorok a COBIT-ban meghatározott 34 eljárás alapján értékelik a meglév és a tervezett ellen rzési lefedettséget (lásd: 7. Függelék). Tudni akarják, hogy milyen ellen rzési er forrásokat fordítanak az egyes informatikai eljárások ellen rzésére és, hogy vannak-e olyan informatikai eljárások, amelyek problematikusak. Ezenkívül azt is tudni akarják, hogy milyen egységeket ellen riztek/auditáltak már illetve fognak auditálni és milyen jelleg ellen rzéseket (ú.m. milyen informatikai eljárásokat) hajtottak végre illetve fognak végrehajtani.
7. FÜGGELÉK: ELLEN >
RZÉS/AUDIT MEGTERVEZÉSE
34 COBIT eljárás Ellen rzések (illetve ellen rz egységek) A B C D E F– – –
TSZ1 TSZ2 . . . F4
S = Ellen rzés el tti felmérés A = Ellen rzés R = Jelentés • Pozitív konklúzió • Megállapítás
Összefoglalva, a fenti viszonyítási/értékelési/tervezési módszerek mindegyike további információkat ad a szervezeteknek, nevezetesen, hogy:
59
COBIT – ALKALMAZÁSI MÓDSZEREK • • •
További (illetve dokumentált) irányelvekre, szabályozásokra illetve normákra van szükség. További informatikai eljárásokra (illetve kontroll eljárásokra) van szükség illetve bizonyos eljárások szükségtelenek. Az informatikai eljárások kapcsán ki kell jelölni illetve újra meg kell határozni a felel sségi köröket. Vannak olyan kockázatok, amelyekkel foglalkozni kell. Vannak olyan bels illetve “kihelyezett” funkciók, amelyeket jobban kellene irányítani. Vannak bizonyos ellen rzések, amelyeket el kell végezni.
• • •
ELLEN RZ
VIZSGÁLAT (AUDIT) VÉGREHAJTÁSA A COBIT SEGÍTSÉGÉVEL
Az alábbiakban vázlatos formában bemutatjuk, hogy a COBIT különböz részeit és a fentebb ismertetett kockázat-értékelési és tervezési mátrixokat hogyan lehet felhasználni egy “tipikus” auditálási eljárás során. 1. Egy választható lépés. Amennyiben szükséges, meg kell határozni a vizsgálandó szervezet esetében szükséges ellen rzés típusát. Az alábbi típusú ellen rz vizsgálatok végezhet ek el: pénzügyi, teljesítményi, megfelel ségi, informatikai (ezen belül: eszközök, fejlesztés alatt álló rendszerek, bevezetést követ ellen rzés, tervezés és szervezés, vezet i tanácsadási szolgáltatások), integrált audit, egyeztetett eljárások ellen rzése, stb. A fentiekben felsorolt ellen rzési típusok nem zárják ki egymást. A kockázatok értékelése, a COBIT Keretrendszere valamint a fentiekben ismertetett mátrixokhoz (“Rövid min sítési táblázat”, “Felel s fél rögzítésére szolgáló táblázat”, stb.) hasonló eszközök segítségével, megkönnyítheti a szükséges ellen rzési munka típusának kiválasztását. 2. Ellen rzési kör pontosítása és az ellen rzési célkit zések meghatározása. Az ellen rzés jellegének meghatározását követ en ideje el venni a COBIT részletes kontroll irányelveit (lásd: a COBIT Kontroll irányelvek c. részében) az ellen rzésre kijelölt informatikai eljárások alaposabb elemzése céljából. Az ellen rzési kör pontosítását követ en a COBIT Kontroll irányelvek alapján meg kell határozni az ellen rzési célkit zéseket. Az ellen rzés körét és célkit zéseit még a munka megkezdése el tt meg kell vitatni az ügyféllel. MEGJEGYZÉS: Ez a lépés megismételhet az ellen rzés során többször is, amennyiben szükséges. 3. Az ellen rzési/audit munka-program kidolgozása. a. Ha már van valamilyen kidolgozott munka-program: i. Össze kell hasonlítani az abban megfogalmazott ellen rzési célkit zéseket a COBIT Kontroll irányelveivel. ii. Össze kell hasonlítani az ellen rzési programban szerepl lépéseket a COBIT Kontroll irányelveiben megfogalmazott teend kkel. iii. Ki kell egészíteni a programot a platform-specifikus (pl. biztonsági csomagok, LAN-ok, stb.), a szervezeti, a jogi és szabályozói útmutatásokban illetve kézikönyvekben javasolt ellen rzési lépésekkel. b. Ha nem ál rendelkezésre kidolgozott audit munka-program: a fenti lépések szerint kell eljárni, de a COBIT alapján kell kidolgozni a munkaprogramot.
7
60
COBIT – ALKALMAZÁSI MÓDSZEREK 4. Az ellen rzés elvégzése. A nyitó megbeszélésen, az ellen rzés típusának, körének és céljainak megvitatását követ en fel kell vázolni, hogy a COBIT milyen szerepet játszott ezek meghatározásában és hogyan lesz felhasználva az ellen rzés végrehajtása során. 5. Az audit jelentés megírása. A konklúziókat a teljesített illetve a nem-teljesített célokból kiindulva kell megfogalmazni. A COBIT segítségével alá kell támasztani az eredményeket. Hivatkozni lehet a COBIT-ra azokban a részekben, ahol a kritériumokat felhasználtuk illetve ahol ismertetésre kerül az ellen rzés során alkalmazott módszertan.
A COBIT AUDITÁLÁSI ÚTMUTATÓJÁNAK HASZNÁLATA Ahogy azt már korábban kifejtettük, a COBIT-hoz tartozó Auditálási útmutató két esetben is felhasználható: ha az ellen rnek van már ellen rzési munka-programja illetve ha az ellen rnek nincsen kidolgozott ellen rzési munka-programja.
HA NINCSEN KIDOLGOZOTT ELLEN RZÉSI PROGRAM Az alábbi ábra azt illusztrálja, hogy milyen lépéseket kell követni abban az esetben, ha auditálni kell valamilyen informatikai eljárást, de nem áll rendelkezésre kidolgozott ellen rzési munka-program. A példában használt informatikai eljárás egy adott rendszerfejlesztési metodika (RFM). 9
2. lépés: Melyik a legfontosabb?
RFM
3. lépés: Ellen rzési program kidolgozása 5
COBIT részletes kontroll irányelvek 1. lépés: Elégedett az ellen r az RFM-mel? 5
COBIT auditálási útmutató
RFM auditprogram
4. lépés: Az ellen rzési program mely része a legfontosabb? 5
1. lépésként az ellen rnek azt kell meghatároznia, a meglév rendszer-fejlesztési metodika és a COBIT-ban meghatározott erre vonatkozó részletes kontroll irányelvek összehasonlítása alapján, hogy a rendszer-fejlesztési metodika megfelel kontrollt biztosít-e a rendszerfejlesztéshez.
Amennyiben az ellen r elégedett az alkalmazott rendszer-fejlesztési metodikával, 2. lépésként meg kell határoznia, hogy az adott informatikai eljáráshoz (jelen esetben a rendszer-fejlesztési metodikához) kapcsolódó irányelvek és kockázatok értékelése alapján melyek a legfontosabb részletes kontroll irányelvek. A COBIT segít az ellen rnek ennek megállapításában, mivel az informatikai er források kontrolljával foglalkozik és figyelembe veszi azt a hét meghatározott információs kritériumot, amelyek a szervezeti célkit zések teljesítéséhez szükségesek.
3. lépésként az ellen rnek ki kell dolgoznia az ellen rzéi munka-programot a COBIT Auditálási útmutatójának segítségével. Felhívjuk a figyelmet, hogy a fenti lépésben a
61
COBIT – ALKALMAZÁSI MÓDSZEREK legfontosabb részletes kontroll irányelveket határoztuk meg, ugyanakkor a COBIT Auditálási útmutatója az általános szint kontroll irányelvek szerint van csoportosítva (ú.m. informatikai eljárásokként). A 3. lépés keretében elvégzend egyeztetési eljárásra még kitérünk a kés bbiekben. ?
4. lépésként az ellen rnek meg kell határoznia, hogy az ellen rzési programon belül mely lépésekre kell a legjobban odafigyelni. A legfontosabb részletes kontroll irányelvek kiválasztását követ en (amely a 2. lépésben történt meg) ez a lépés nem szorul különösebb magyarázatra.
Egy társaságnál a COBIT alkalmazásával végezték el a változások kezelésének ellen rzését, amelynek eredményeként felgyorsult az ellen rzési tervezési eljárás és további területeken is alkalmazni kezdték a COBIT-ot. A 8. Függelék a változások kezelésére vonatkozóan kidolgozott ellen rzési program egy részét tartalmazza. Az “Üzleti célkit zéseket” a COBIT Keretrendszeréb l vették át (amely az általános szint kontroll irányelveket tartalmazza). A “Hatások” azok a kockázatok, amelyekkel a szervezet szerint számolni kell. A “Kontroll irányelvek” a COBIT Kontroll irányelveib l lettek átvéve. Az “Ellen rizend tételek – tesztek” részben leírtak a COBIT Auditálási útmutatójából származnak. Az alábbi általános eljárás azt mutatja be, hogy a COBIT segítségével hogyan lehet kidolgozni egy ellen rzési programot: a. Át kell tekinteni a COBIT-ban meghatározott 34 általános szint kontroll irányelvet és ki kell választani közülük azokat, amelyek relevánsak az ellen rzés vonatkozásában. b. Meg kell határozni azokat a kockázatokat (vagy “veszélyeket” illetve “hatásokat”), amelyek a fenti a) pontban kiválasztott kontroll irányelvek teljesítésének elmulasztásához kapcsolódnak. c. A COBIT Kontroll Irányelvei közül ki kell választani azokat a részletes kontroll irányelveket, amelyek relevánsak az ellen rzés kapcsán. Általában csak a fenti a) pontban meghatározott általános szint kontroll irányelvekhez kapcsolódó részletes kontroll irányelveket kell ebben a lépésben áttekinteni. d. A COBIT Auditálási útmutatójának segítségével számba kell venni, hogy milyen ellen rzések elvégzésére van szükség. Ebben a lépésben az ellen rnek meg kell határoznia, hogy milyen ellen rzési eljárások kapcsolódnak a fenti c) pontban meghatározott részletes kontroll irányelvekhez. Ha a c) pontban az ellen r csak olyan részletes kontroll irányelveket választott ki, amelyek az a) pontban meghatározott általános szint kontroll irányelvekhez kapcsolódnak, akkor csak az érintett általános szint kontroll irányelvekhez kapcsolódó auditálási irányelveket kell áttekinteni. e. El fordulhat, hogy az ellen rnek további olyan ellen rzési tesztekkel is ki kell egészítenie az ellen rzési programot, amelyek a vizsgált platformhoz kapcsolódnak. Például el fordulhat, hogy a már említett rendszer-fejlesztési eljárás kapcsán az ellen rnek hivatkoznia kell a kapcsolódó adatbázis-kezel rendszerek kézikönyvére is.
7
7
62
COBIT – ALKALMAZÁSI MÓDSZEREK
8. FÜGGELÉK – KIVONAT AZ ELLEN ÜZLETI
HATÁS
RZÉSI/AUDIT PROGRAMBÓL >
KONTROLL
ELLEN RIZEND TÉTELEK – A
CÉLKIT ZÉSEK
IRÁNYELVEK
VÁLTOZÁSOK KEZELÉSE
Változtatás kérésének kezdeményezése és kezelése
@
A
TESZTEK
BB6
Gondoskodni kell arról, hogy az automatizált megoldások a felhasználói követelményeknek megfelel lehetséges alternatívák elemzése alapján kerüljenek meghatározásra 5
A változtások kezeléséhez kapcsolódó kontroll eljárások álásának elmulasztása rendszer-leállásokat, hamis adatokat és fájlokat, késedelmes feldolgozást, megnövekedett költségeket és a rendszer igények figyelmen kívül hagyását okozhatja. Vészhelyzetekben fokozottabb kockázattal kell számolni.
A vezetésnek el kell írnia, hogy a változtatásokra vonatkozó kéréseket egységes formában kell benyújtani és a változtatásokra vonatkozó formális szabályoknak megfelel en kell kezelni. A változtatási kéréseket kategorizálni kell majd meg kell határozni prioritási fokukat. A sürg s esetekre vonatkozóan külön szabályozást kell kidolgozni. A változtatások kérelez it tájékoztatni kell kéréseik státuszáról. 5
5
5
Ellen rizni kell, hogy a rendszerváltoztatási eljárásokhoz megfelel bels ellen rzési eljárások, stb. kapcsolódnak-e. Tesztelni kell, hogy a rendszerváltoztatási eljárások hatékonyak-e és betartják-e azokat még vészhelyzetekben is. 5
5
5
5
5
A konfigurációkezel rendszerhez történ integrálás hiánya illetve elégtelensége más platformokra is kihatással lehet 5
5
Változtatások kontrollja Az informatikai vezeésnek gondoskodnia kell arról, hogy a változások kezelése és a szoftverek ellen rzése és kiosztása megfelel en igazodjon az átfogó konfiguráció– kezelési rendszerhez. Az alkalmazási rendszerek változtatásainak figyeléséhez használt rendszer esetében automatizálni kell a nagy, komplex információs rendszerek kapcsán történt változtatások rögzítését és visszakereshet ségét 5
5
5
63
Ellen rizni és tesztelni kell a megfelel dokumentációkat és meg kell vizsgálni az általános vezetési rendszer-hez való igazodást. 5
5
REF.
COBIT – ALKALMAZÁSI MÓDSZEREK HA RENDELKEZÉSRE ÁLL KIDOLGOZOTT ELLEN RZÉSI PROGRAM Az alábbi ábra azt illusztrálja, hogy milyen lépéseket kell követni abban az esetben, ha egy olyan informatikai eljárást kell ellen rizni, amelyre vonatkozóan rendelkezésre áll egy olyan korábban kidolgozott ellen rzési munka-program, amelyet értékelni kívánunk a COBIT Auditálási útmutatója alapján. A példában használt informatikai eljárás ismét egy adott rendszer-fejlesztési metodika (RFM). 9
Az 1. lépés, a 2. lépés és a 4. lépés ugyanazok, mint abban az esetben, ha nem áll rendelkezésre ellen rzési program.
3. lépésként az ellen rnek össze kell hasonlítania saját ellen rzési programját a COBIT Auditálási Útmutatójával és meg kell vizsgálnia, hogy a COBIT nem javasol-e olyan ellen rzéseket, amelyekkel célszer kiegészíteni a meglév ellen rzési programot.
RFM
2. lépés: Melyik a legfontosabb?
3. lépés: Ellen rzési program összehasonlítása
COBIT részletes kontroll irányelvek
COBIT auditálási útmutató
1. lépés: Elégedett az ellen r az RFM-mel? 5
5
RFM auditprogram
4. lépés: Az ellen rzési program mely része a legfontosabb? 5
AZ AUDITÁLÁSI ÚTMUTATÓ HOZZÁIGAZÍTÁSA A COBIT-BAN MEGHATÁROZOTT RÉSZLETES KONTROLL IRÁNYELVEKHEZ
Ahogy azt már korábban megemlítettük, a COBIT Auditálási útmutatója a 34 általános szint kontroll irányelvhez kapcsolódóan fogalmaz meg ellen rzési javaslatokat. Mivel az ellen rök általában az egyes részletes kontroll irányelvek betartásának értékelése céljából dolgoznak ki munka-programokat, az Auditálási útmutatóból ki kell választani az adott részletes kontroll irányelvhez kapcsolódó ellen rzési eljárásokat. Például, tegyük fel, hogy az ellen rnek egyetlen egy részletes kontroll irányelvet kell ellen riznie (bár ez meglehet sen abszurd feltételezés), mégpedig a COBIT-ban BB1.18-as hivatkozási számmal megjelölt irányelvet (“Technológia átvétele” – lásd a Kontroll irányelvek részben). Az Auditálási útmutatóból az alábbi olyan ellen rzési teend ket lehet kiválasztani, amelyek a BB1.18-as részletes kontroll irányelvhez kapcsolódnak:
64
COBIT – ALKALMAZÁSI MÓDSZEREK
A helyzet megértése és adatgy jtés:
B
Interhjú készítés: Projekt tulajdonosok /finanszírozók Szerz déses partner vezetése 5
B
Adatgy jtés: A rendszerfejlesztés életciklusára és a szoftverek beszerzésére vonatkozó irányelvek és eljárások Informatikai célkit zések és hosszú- ill. rövid távú tervek Bizonyos kiválasztott projektek-dokumentumok, amelyek az alábbi kérdésekkel foglalkoznak: követelmények meghatározása, alternatívák elemzése, technológiai megvalósíthatósági tanulmányok, gazdasági megvalósíthatósági tanulmányok, információ-architektúra/vállalati adatmodell elemzések, kockázat-elemzések, bels ellen rzési/biztonsági eljárások, költségtakarékosság elemzése, ellen rzési, visszakeresési naplók elemzése, ergonómiai tanulmányok, informatikai szolgáltatások, berendezések és konkrét technológiák elfogadási tervei és tesztelési eredményei Szoftver beszerzéshez, fejlesztéshez illetve karbantartáshoz kapcsolódó szerz dések C
6
5
5
5
5
Ellen rzési és irányítási eljárások értékelése:
B
Megvizsgálandó kérdések: Megfelel irányelvek és eljárások vannak érvényben, amelyek el írják, hogy: • meg kell felelni az alkalmazott megoldással szemben támasztott funkcionális és üzemeltetési követelményeknek, beleértve a teljesítményi, munkavédelmi, megbízhatósági, kompatibilitási, biztonsági és jogszabályi követelményeket egyaránt • a megvásárolt termékeket megfelel en le kell tesztelni vételáruk kifizetése el tt • a programkészítésre adott szerz déses megbízás alapján elvégzett munka végtermékét a megfelel szabványok alapján le kell tesztelnie az informatikai részleg min ségbiztosítási csoportjának és a többi érintett félnek, miel tt kifizetnék a munkát illetve jóváhagynák a végterméket • a szállítóval kötött szerz désben meg kell állapodni a technológia átvételére vonatkozó tervben, amelyben meg kell határozni az átvétel eljárását és szempontjait A szerz désekben meghatározott tesztelési rendelkezések magukban foglalják-e az alábbi teszteket: rendszer-tesztelés, integráció teszt, hardver- és alkatrész-tesztelés, (adatfeldolgozó)eljárás-tesztelés, terhelés és t rés teszt, hangolás és teljesítmény teszt, regresszió teszt, felhasználói elfogadási teszt és végezetül a teljes rendszer kísérleti tesztelése a váratlan rendszer-hibák elkerülése érdekében A technológiára átvételéhez kapcsolódó tesztek tartalmaznak-e ellen rz vizsgálatokat, funkcionalitási teszteket és munkaterhelés-próbákat 5
5
5
5
5
5
5
5
5
5
6
5
5
Megfelel m ködés felmérése:
B
Tesztelés: A megvásárolt termékeket megfelel en letesztelik-e üzembe állításuk és vételáruk kifizetése el tt A szóban forgó technológia átvételét megfelel és teljes kör terv szabályozza-e, amely ellen rz vizsgálatokról, funkcionalitási tesztekr l és terhelés-próbákról is rendelkezik 5
5
5
6
5
5
5
A kontroll irányelvek nem-teljesítéséhez kapcsolódó kockázatok meghatározása: B
Elvégzend feladatok: Az automatizált megoldásokhoz kapcsolódó felhasználói követelmények meghatározási módjának összehasonlítása hasonló szervezetek hasonló eljárásaival illetve megfelel nemzetközi/ágazati normákkal A konkrét technológia átvételére vonatkozó eljárás részletes áttekintése annak ellen rzése céljából, hogy az ellen rz vizsgálatok, funkcionalitási tesztek és terhelés-próbák megfelelnek-e a szerz désben meghatározott követelményeknek :
5
5
5
5
5
65
COBIT – ALKALMAZÁSI MÓDSZEREK B
Kockázatok feltárása: Hibák és hiányosságok a szervezet rendszerfejlesztési metodikájában Megoldások, amelyek nem felelnek meg a felhasználói követelményeknek Megoldások, amelyek kapcsán nem tartották be a szervezeti beszerzésekre vonatkozó szabályokat, amely miatt szükségtelen többletköltségeket kell viselnie a szervezetnek A technológia átvételekor nem hajtották végre a megfelel ellen rzéseket, funkcionalitási teszteket és terhelés-próbákat, így a technológia nem felel meg a felhasználói követelményeknek illetve a szerz désben foglalt el írásoknak Bármilyen rendszerhiba 5
5
5
66
5
COBIT – ALKALMAZÁSI MÓDSZEREK
VEZET D
I TÁJÉKOZOTTSÁG DIAGNOSZTIZÁLÁSA
67
COBIT – ALKALMAZÁSI MÓDSZEREK I TÁJÉKOZOTTSÁG DIAGNOSZTIZÁLÁSA
I N FOR M A T I KA I
TSZ1- Informatikai stratégiai terv kidolgozása TSZ2 - Információ architektúra meghatározása TSZ3 - Technológiai irány meghatározása TSZ4 - Informatikai részleg szervezeti felép.-ének és kapcsolatainak meghatározása TSZ5 - Informatikai befektetések kezelése TSZ6 - Vezet i célok és irányvonal közlése TSZ7 - Emberi er források kezelése TSZ8 - Küls követelmények betartásának biztosítása TSZ9 - Kockázatok értékelés TSZ10 - Projektek irányítása TSZ11 - Min ségirányítás F
F
F
F
Beszerzés és bevezetés BB1 - Automatizált megoldások meghatározása BB2 - Alkamazási szoftverek beszerzése és karbantartása BB3 - Technológiai infrastruktúra beszerzése és karbantartása BB4 - Informatikai eljárások kifejlesztése és karbantartása BB5 -Rendszerek installálása és jóváhagyása BB6 -Változások kezelése
Informatikai szolgáltatás és támogatás IT1 - Szolgáltatási szintek meghatározása és kezelése IT2 - Küls szolgáltatások kezelése IT3 - Teljesítmény és kapacitás kezelése IT4 - Folyamatos m ködés biztosítsa IT5 - Rendszer biztonságának biztosítása IT6 - Költségek megállapítása és felosztása IT7 - Felhasználók oktatása és képzése IT8 - Informatikai felhasnzálók segítése IT9 - Konfiguráció kezelése IT10 - Problémák és rendkívüli események kezelése IT11 - Adatok kezelése IT11 - Létesítmény kezelése IT13 - Informatikai üzemeletés irányítása F
I
Felügyelet F1 - Eljárások felügyelete F2 - Bels ellen rzés megfelel ségének felmérése F3 - Független értékelés végeztetése F4 - Független ellen rz vizsgálat végeztetése F
F
F
F
F
68
Formalizáltság
G
COBIT területek és eljárások Tervezés és szervezet
H
Auditált-e
F
Ki csinálja? Nem tudom
Fontosság: Mennyire fontos a szervezet számára? (1-5-ig) Teljesítmény: Milyen jól csinálják ((1-5ig) Auditált-e: Igen vagy Nem Formalizáltság: Van-e szerz dés, szolgáltatási szint megállapodás, vagy világosan leírt eljárásrend? Felel sség: Név vagy ”nem tudom”.
Küls
Teljesítmény
Fontosság
Kockázat
I R Á N Y Í T Á S É R T É KE L É S E
Egyéb
E
Informatika
V EZET
Ki a felel s?
COBIT – ALKALMAZÁSI MÓDSZEREK
69
COBIT – ALKALMAZÁSI MÓDSZEREK
A VEZETÉS INFORMATIKÁVAL KAPCSOLATOS KÉRDÉSEI
70
COBIT – ALKALMAZÁSI MÓDSZEREK
Támogatás és karbantartás
•
Költségek
•
Események kezelése
•
Konfiguráció menedzsment
•
Biztonság
•
L
•
Hálózat menedzsment
Rendelkezésre állás
•
Konfiguráció ellen rzés
•
támogató
Adat integritás, ellenmondásmentesség, összehangoltság
• • •
és
Informális, nem hivatalos eljárások
• • •
L
• • •
Hozzáférési jogosultságok ellen rzése
• • •
L
• • • •
L
• • • •
Min ség ellen rzés
• • • •
Csoportmunka szoftver
Az informatikai vagyon birtoklásának magas költségei
• • • •
Szoftver verzió követés
• •
Végfelhasználók kezelésének problémái
•
Nem kompatíbilis a rendelkezésre álló infrastruktúrával
•
Hozzáférési jogosultságok kezelésének problémái
•
Bonyolult és költséges megvalósítás
•
Kliens / szerver architektúra
L
•
A szállító termék követése nem kielégít
•
A felhasználói követelményeknek nem felel meg
•
L
Bizalmas információk kiszivárogtatása
•
Vírus fert zés
A szervezeti tranzakciók integritásának elvesztése
•
A szolgáltatás megszakadása
A bizalmas üzentekhez illetéktelen hozzáférés
• •
A szakértelem kifejlesztése, meg-, beszerzése
Az informatikai architektúra konszolidálása
• • • •
A szervezet hálózatához illetéktelen hozzáférések
Informatika kiaknázása versenyel nyökre
• • •
Az informatika birtoklása költségeinek csökkentése
Informatikai politikák és a szervezet irányítása
• • • •
L
Informatikai javaslatok és az üzleti tervek összhangja
K
Kockázati tényez k
Nem kompatíbilis a rendelkezésre álló infrastruktúrával
Csomag vállalati információrendszerek, szoftverek
J
Internet / Intranet
Az összehangolás nem sikerül, integrálni
Menedzsment
A vezetést foglalkoztató informatikai kérdések (Gartner Group)
A követelmények összehangolása sikertelem
A VEZETÉS INFORMATIKÁVAL KAPCSOLATOS KÉRDÉSEI
• • •
• •
TERVEZÉS ÉS SZERVEZET
• •
•
M
M
M
TSZ1- Informatikai stratégiai terv kidolgozása TSZ2 - Információ architektúra meghatározása TSZ3 - Technológiai irány meghatározása TSZ4 - Informatikai részleg szervezeti felép1tésének és kapcsolatainak meghatározása TSZ5 - Informatikai befektetések kezelése TSZ6 - Vezet i célok és irányvonal közlése TSZ7 - Emberi er források kezelése TSZ8 - Küls követelmények betartásának biztosítása TSZ9 - Kockázatok értékelés TSZ10 - Projektek irányítása TSZ11 – Min ségirányítás
•
• •
•
• • •
• • •
•
•
• •
•
•
•
• •
• •
•
•
•
•
• •
M
•
• •
•
• • •
• • •
• •
•
• •
•
• •
• •
•
•
•
• • • •
•
•
•
•
•
• •
•
• •
•
• •
•
•
• • •
•
•
•
• •
•
• • • •
• •
BESZERZÉS ÉS BEVEZETÉS BB1 - Automatizált megoldások meghatározása BB2 - Alkamazási szoftverek beszerzése és karbantartása BB3 - Technológiai infrastruktúra beszerzése és karbantartása BB4 - Informatikai eljárások kifejlesztése és karbantartása BB5 -Rendszerek installálása és jóváhagyása BB6 -Változások kezelése
•
• •
• • • • •
•
•
• •
•
•
•
• • •
• •
•
• •
• • •
•
• • •
•
•
•
•
•
•
• • •
• • • • •
• • •
• •
• •
• •
• •
• •
•
•
•
•
• •
INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS •
•
M
IT1 - Szolgáltatási szintek meghatározása és kezelése IT2 - Küls szolgáltatások kezelése IT3 - Teljesítmény és kapacitás kezelése IT4 - Folyamatos m ködés biztosítsa IT5 - Rendszer biztonságának biztosítása IT6 - Költségek megállapítása és felosztása IT7 - Felhasználók oktatása és képzése IT8 - Informatikai felhasnzálók segítése IT9 - Konfiguráció kezelése IT10 - Problémák és rendkívüli események kezelése IT11 - Adatok kezelése IT11 - Létesítmény kezelése IT13 - Informatikai üzemeletés irányítása N
• • • •
•
•
•
• • •
•
•
• • • • •
•
•
• •
•
•
• •
• •
• •
•
• •
• • •
•
• •
•
•
FELÜGYELET
71
• •
• •
• • •
• • •
•
•
• • • • •
• • • •
•
• •
•
• •
• • •
•
•
•
•
•
•
•
•
• • • • •
•
• • •
• •
• • •
•
• • • •
• •
•
COBIT – ALKALMAZÁSI MÓDSZEREK •
M
M
M
M
M
F1 - Eljárások felügyelete F2 - Bels ellen rzés megfelel ségének felmérése F3 - Független értékelés végeztetése F4 - Független ellen rz vizsgálat végeztetése
•
• • • •
•
•
•
•
• • • •
• • • •
• • • •
• • • •
• • •
• • •
• • •
•
•
72
•
• •
• •
• • • •
• •
•
• • •
•
• • • •
• • • •
•
• • •
• • •
• • • •
• • • •
•
• • • •
•
• • • •
COBIT – ALKALMAZÁSI MÓDSZEREK
INFORMATIKAI KONTROLL DIAGNOSZTIZÁLÁSA
73
COBIT – ALKALMAZÁSI MÓDSZEREK
INFORMATIKAI KONTROLL DIAGNOSZTIZÁLÁSA KORÁBBI ELLEN El z évi ellen. köre Igen Nem P
O
RZÉSI/AUDIT MUNKÁKHOZ KAPCSOLÓDÓ TÁBLÁZAT El z ellen rzés Vélemény
P
P
TSZ1 TSZ2 TSZ3 TSZ4 TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11 BB1 BB2 BB3 BB4 BB5 BB6 IT1 IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13 F1 F2 F3 F4
Informatikai eljárás Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
1
2
P
3
Észrevételek státusza
P
4
5
6
7
8
9
10
Q
Q
Q
Q
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása Q
R
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése Amennyiben az egyes eljárások esetében egynél több jelent s hiányosság illetve megállapítás van, akkor ezek számát kell beírni a megfelel helyre. Q
Q
Q
Q
Q
Q
Q
1 = Min sítés nélküli 2 = Min sített 3 = Kedvez tlen 4 = Megtagadás 5 = Jelent s hiányosságok 6 = Észrevételek Q
Q
Q
Q
74
7 = Megoldott 8 = Megoldatlan 9 = N/A 10 = Meghatározatlan
COBIT – ALKALMAZÁSI MÓDSZEREK
RÖVID MIN S
SÍTÉSI TÁBLÁZAT
Fontosság
A
B
C
D
M ködés T
E
TSZ1 TSZ2 TSZ3 TSZ4 TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11 BB1 BB2 BB3 BB4 BB5 BB6 IT1 IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13 F1 F2 F3 F4
Informatikai eljárás Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
1
2
3
4
Q
Q
Q
Q
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása Q
R
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése Q
Q
Q
Q
Q
A = Nagyon fontos B = Némileg fontos C = Nem fontos D = Nem tudom E = Nem releváns
1 = Kiváló 2 = Nagyon jó 3 = Kielégít 4 = Gyenge 5 = Nem tudom 6 = Formálisan értékelve 7 = Nincs értékelve 8 = Nem releváns Q
75
5
6
7
8
COBIT – ALKALMAZÁSI MÓDSZEREK
RÉSZLETES (HOSSZÚ) MIN S
SÍTÉSI TÁBLÁZAT
Fontosság
A
B
C
D
E
Bels kontroll
T
TSZ1 TSZ2 TSZ3 TSZ4 TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11 BB1 BB2 BB3 BB4 BB5 BB6 IT1 IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13 F1 F2 F3 F4
A = Nagyon fontos B = Némileg fontos C = Nem fontos D = Nem tudom E = Nem releváns
M ködés
Informatikai eljárás Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
1
2
3
4
5
6
7
8
Q
Q
Q
Q
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása Q
R
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése Q
Q
Q
Q
Q
1 = Kiváló 2 = Nagyon jó 3 = Kielégít 4 = Gyenge 5 = Nem tudom 6 = Formálisan értékelve 7 = Nincs értékelve 8 = Nem releváns Q
76
*
P
X = Dokumentált Y = Nem dokumentált Z = Nem tudom * = Munka-program referencia
X
Y
Z
COBIT – ALKALMAZÁSI MÓDSZEREK
KOCKÁZAT-ÉRTÉKELÉSI TÁBLÁZAT Fontosság
A
B
C
D
TSZ1 TSZ2 TSZ3 TSZ4 TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11 BB1 BB2 BB3 BB4 BB5 BB6 IT1
A = Nagyon fontos B = Némileg fontos C = Nem fontos D = Nem tudom
Kockázat
Informatikai eljárás Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
1
Q
Q
Q
Q
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése
IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13
Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása
F1 F2 F3 F4
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése
Q
R
Q
Q
Q
Q
Q
1 = Magas 2 = Közepes 3 = Alacsony 4 = Nem lényeges 5 = Nem tudom 6 = Dokumentált 7 = Nem dokumentált 8 = Nem tudom
77
2
3
Bels kontroll
Munka-prog. referencia
P
4
5
6
7
8
COBIT – ALKALMAZÁSI MÓDSZEREK
FELEL
S FÉL RÖGZÍTÉSÉRE SZOLGÁLÓ TÁBLÁZAT S
M ködtet (1) T
Informatikai eljárás
P
TSZ1 TSZ2 TSZ3 TSZ4
Els dleges felel s fél P
TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11
Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
BB1 BB2 BB3 BB4 BB5 BB6
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése
IT1 IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13
Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása
F1 F2 F3 F4
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése
P
Q
Q
Q
Q
Q
R
Q
Q
Q
Q
Q
(1) Azt a szervezeti egységet kell beírni (Informatikai osztály, szervezeten belüli más egység, küls szolgáltató illetve nem tudom), amely az adott informatikai eljáráshoz tartozó feladatokat ellátja. Q
78
COBIT – ALKALMAZÁSI MÓDSZEREK
SZERZ S
DÉSES SZOLGÁLTATÁSI/SZOLGÁLTATÁSI SZINT MEGÁLLAPODÁSI TÁBLÁZAT
M ködtet T
A
B
C
Bels kontroll P
Érvényben van formális szerz dés/szolgáltatási szint megállapodás
P
D
TSZ1 TSZ2 TSZ3 TSZ4 TSZ5 TSZ6 TSZ7 TSZ8 TSZ9 TSZ10 TSZ11 BB1 BB2 BB3 BB4 BB5 BB6 IT1
Informatikai eljárás Informatikai stratégiai terv kidolgozásÍa Információ architektúra meghatározása Technológiai irány meghatározása Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése Vezet i célok és irányvonal közlése Emberi er források kezelése Küls követelmények betartásának biztosítása Kockázatok értékelés Projektek irányítása Min ségirányítás
1
2
P
3
4
5
Q
Q
Q
Q
Automatizált megoldások meghatározása Alkamazési szoftverek beszerzése és karbant.–a Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása Változások kezelése
IT2 IT3 IT4 IT5 IT6 IT7 IT8 IT9 IT10 IT11 IT12 IT13
Szolgáltatási szintek meghatározása és kezelése Küls szolgáltatások kezelése Teljesítmény és kapacitás kezelése Folyamatos m ködés biztosítsa Rendszer biztonságának biztosítása Költségek megállapítása és felosztása Felhasználók oktatása és képzése Informatikai felhasnzálók segítése Konfiguráció kezelése Problémák és rendkívüli események kezelése Adatok kezelése Létesítmény kezelése Informatikai üzemeletés irányítása
F1 F2 F3 F4
Eljárások felügyelete Bels ellen rzés megfelel ségének felmérése Független értékelés végeztetése Független ellen rz vizsgálat végeztetése
Q
R
Q
Q
Q
Q
Q
A = Informatikai részleg B = Szervezeten belüli más részleg C = Küls szolgáltató D = Nem tudom
1 = Dokumentált 2 = Nem dokumentált 3 = Nem tudom 4 = Igen 5 = Nem 6 = Nem releváns 7 = Nem tudom
Q
79
6
7
Munka-prog. referencia
COBIT – KERETRENDSZER
COBIT ESETTANULMÁNYOK MICHAEL P. RAS, CISA, VEZET INFORMATIKAI ELLEN R CEDEL GROUP LUXEMBURG U
U
ÖSSZEFOGLALÁS A Cedel Group-nál történt üzleti szemléletváltás nyomán szükségessé vált a kontroll eljárások és a vállalati irányelvek felülvizsgálata. A COBIT sikeres bevezetése a fels vezetés, az informatikai részleg és a felhasználók közös er feszítésének köszönhet . Az üzleti célkit zéseket szorosan összekapcsolták az audit- és kontroll irányelvekkel, mivel az üzleti vezet k számára hasznosak és értéket hordoznak az informatikai ellen rzési és kontroll tevékenységek. V
V
V
W
V
V
EL ZMÉNYEK A Cedel Group, amelyet a világ 66 jelent s pénzintézete alapított 1970-ben klíringszervezetként, a nemzetközi értékpapír-ügyletek kockázatainak minimalizálásával foglalkozik, els sorban az egyre növekv eurokötvény piacon. A cég több mint 800 alkalmazottat foglalkoztat Luxemburgban, Dubaiban, Hong Kongban, Londonban, New Yorkban és Tokióban, és több mint 30 ország értékpapír-piacaival alakított ki kapcsolatokat. Az elszámolási forgalom 1997-ben meghaladta a 15 billió US$-t és a Cedel Banknál 1,4 billió US$ érték ügyféli értékpapír van meg rzésre elhelyezve. A nemzetközi üzleti forgalom növekedésének eredményeként az átlagos nap elszámolási forgalom elérte a 100 milliárd US$-t. X
V
V
V
W
V
Bár a korábbi információs rendszerünk stabil és megbízható volt és megfelelt az üzleti igényeknek, változtatásra volt szükség a kezelhet ség és a kontroll meg rzése érdekében. Az 1980-as évek végén jelent s új üzleti lehet ségek nyíltak meg, ugyanakkor egyre speciálisabbá váltak az informatikai igények, új kliens/szerver applikációk jelentek meg és drámai fej désnek lehettünk szemtanúi a PC-k és a telekommunikációs hálózatok terén. V
V
V
V
V
Bár a Cedel Group Rendszerpolitikai Irányelvei alkalmazhatóak és érvényesíthet ek maradtak, egyre gyakrabban adódtak olyan szituációk, amikor a kontroll követelmények teljesítése érdekében kidolgozott módszerek nem voltak megfelel ek az új környezetben. Például, a korábbi DOS/Novell környezet esetében követelmény volt az, hogy megfelel eljárással kontrollálni kell, hogy a felhasználók ugyanazon id ben ne tudjanak egynél többször bejelentkezni a rendszerbe. Ez megakadályozta a felhasználókat abban, hogy más helyr l is be tudjanak lépni a rendszerbe, ha valamilyen ok miatt képtelenek voltak szokásos munka-állomásukon kilépni a rendszerb l. Egyre gyakoribbá váltak a rendszer-követelmények eltörlését és megváltoztatását szorgalmazó kérések. V
V
V
V
V
V
ELJÁRÁS
COBIT – ALKALMAZÁSI MÓDSZEREK
Olyan kontroll irányelvek kidolgozására és bevezetésére volt szükség, amelyek igazodnak a jelent s technológiai, környezeti és eljárási változásokhoz, ezért úgy határoztunk, felülvizsgáljuk az informatikai ellen rz vizsgálatokra vonatkozó elveket. Számos alternatív módszertant áttekintettünk, és végül a COBIT-ot találtuk a legmegfelel bbnek. V
V
V
V
1996-ban kezdtük meg a COBIT bevezetését. Els lépésként a COBIT keretrendszere alapján dolgoztuk ki az egyik ellen rz vizsgálat programját, amely kés bb sikeresen végre is lett hajtva. V
V
V
V
Az ellen rz vizsgálat eredményein felbuzdulva Informatikai Osztályunk megvizsgálta, hogy a COBIT alkalmazható-e egyfajta keretrendszerként a Cedel Group új Rendszerpolitikai Irányelveinek kidolgozásához. A feldolgozási és kommunikációs igazgató, aki a fenti munkát irányította, így fogalmazott: “A COBIT olyan újszer és logikus formában határozza meg a kontroll irányelveket, amely a gyakorlatban is könnyen alkalmazható.” V
V
W
Az informatikai irányelvek COBIT alapján történt teljeskör felülvizsgálata bíztató eredményeket hozott. A kidolgozott új irányelvek minden technikai platformra érvényesek. Emellett a fels vezetés érzékenyebbé vált a kockázatokra és a kontrollra. Az üzleti célkit zések teljesítése és a kontroll követelmények kezelése között meghúzódó tradicionális konfliktus fokozatosan lekerül a napirendr l, ahogy a vezet k egyre inkább felismerik a kontroll eljárások üzleti el nyeit. W
V
W
V
V
V
KONKLÚZIÓ Az üzleti és hatékonysági prioritások újszer , fókuszált megközelítése volt a legszembet n bb változás, amit a COBIT bevezetése hozott. A COBIT alapelveire támaszkodva most már a vizsgálandó egységek üzleti és m ködési célkit zései alapján dolgozzuk ki az ellen rz vizsgálatokat. Az ellen rz vizsgálatokat felülr l, nem pedig középr l lefelé közelítjük meg. A COBIT bevezetése rendkívül hatékony auditálási módszernek bizonyult és ennek köszönhet en a fels vezetés úgy tekint az auditálásra, mint üzleti szempontból hasznos és értékteremt tevékenységre. W
W
V
W
V
V
V
V
W
V
V
V
V
V
A COBIT nálunk történt sikeres bevezetése alapján arra bátorítom szakmabeli kollégáimat, hogy szervezetük informatikai vezet ivel közösen alaposan vizsgálják meg a COBIT-ot. A COBIT rendkívül rugalmas és hatékony megoldást kínál a megfelel en kontrollált informatikai környezet kialakításához és fenntartásához, amely az ágazat minden szerepl je számára hasznos és el nyös. V
V
V
V
81
COBIT – ALKALMAZÁSI MÓDSZEREK
JOHN BEVERIDGE, CISA MASSACHUSETTS ÁLLAM SZÁMVEV SZÉKI HIVATALA AMERIKAI EGYESÜLT ÁLLAMOK U
ÖSSZEFOGLALÁS Az Állami Számvev széki Hivatal a legf bb kormányzati ellen rz testület Massachusetts államban. Kiterjedten alkalmazzuk a COBIT-ot a vizsgálandó egységek kiválasztása során, az egyes munkák esetében és az eredmények értékelése kapcsán is. A COBIT segítséget nyújt munka-csoportjainknak az informatikai ellen rzések és a vizsgálandó területek illetve kontroll irányelvek körének meghatározásához. V
V
V
V
V
EL ZMÉNYEK Ellen rz vizsgálataink keretében az állami funkciók és tevékenységek független értékelését végezzük el a kormányzó, a törvényhozó testület, a vizsgált szervezetek, a felügyel hatóságok és a nyilvánosság részére. Informatikai ellen rz részlegünk integrált, pénzügyi jelleg , operációs és informatikai ellen rzéseket végez multiplatform környezetben, amely 20 nagy adatközpontot és több mint 150 kis és közepes egységet foglal magában több mint 600 ellen rz részlegnél. X
V
V
V
V
W
V
V
V
V
ELJÁRÁS Informatikai irányítási csoportunk a szakaszos bevezetés mellett döntött és ennek részeként az informatikai részleg néhány munkatársa megismerkedett a Keretrendszerrel, a Kontroll Irányelvekkel és az Auditálási Útmutatóval és megkértük ket, hogy használják fel ezeket az ismereteket az általuk végrehajtott ellen rzések során. A csoport olyan vizsgálatokat választott ki, amelyeknél az informatikai eljárásokat is be lehetett vonni az ellen rz vizsgálat körébe. V
V
V
V
Miután az irányítási csoport tagjai és a kiválasztott vezet revizorok kell képpen megismerkedtek a COBIT-tal ahhoz, hogy másoknak is segíteni tudjanak annak alkalmazásával kapcsolatban, egy kétnapos tanfolyamot szerveztünk a teljes informatikai ellen rzési részleg számára a kontroll modellr l és az ahhoz kapcsolódó termékekr l. A COBIT kísérleti jelleg alkalmazása alapján megfelel tapasztalatokat szereztünk a módszertan m ködésér l, amelyeket figyelembe vettünk a tanfolyam anyagának kidolgozásakor is. V
V
V
V
V
W
V
W
V
Az ellen rzést megel z munkában a COBIT segítséget nyújt a magas kockázatú informatikai eljárások meghatározásához és az informatikai kontroll környezet értékeléséhez. A szervezeti és informatikai politika áttekintése és a COBIT általános szint és részletes kontroll irányelveivel történ összehasonlítása alapján a munkacsoportok gyorsan meg tudják határozni azt, hogy mely területeket érdemes bevonni az ellen rzés körébe illetve hol lehet szükség vezet i tanácsadási munkára. Az ellen rzés el tti szakaszban munka-csoportjaink az interjúk és beszélgetések el készítéséhez is felhasználják a COBIT keretrendszerét és kontroll irányelveit. Az információs követelményeket és forrásokat összevetik a COBIT-ban meghatározott V
V
V
W
V
V
V
V
V
V
82
COBIT – ALKALMAZÁSI MÓDSZEREK
információs kritériumokkal. Ez hasznos segítséget nyújt az ellen rz csoportoknak és a vizsgált szervezeteknek a kontroll irányelvek és célkit zések, a kontroll eljárások és az ellen rzési normák megvitatásához. V
V
W
V
A COBIT, amely a kontroll irányelvekre és az egyes kontroll irányelvek által kielégített üzleti követelményekre összpontosít, segített a kérdéslistákon alapuló vizsgálati módszer elhagyásában. A COBIT alapelveinek alkalmazásával tovább kívánjuk javítani tervezési eljárásunkat és tovább kívánjuk mélyíteni az alapvet kontroll irányelvekre vonatkozó ismereteinket. V
KONKLÚZIÓ A munkák megkezdésekor – a bevezet megbeszéléseken – az ellen rz csoportok a COBIT-ot mint az egyik els számú ellen rzési módszert szokták megemlíteni. A COBIT olyan mértékadó forrás, amely alátámasztja az ellen rzési kritériumok megalapozottságát és a vizsgált szervezettel megosztva kivételes lehet séget kínál a konstruktív együttm ködéshez. Ennek segítségével a vizsgált szervezet már kezdett l fogva tisztán tudja látni az ellen rzés alapjait. Ezenkívül csoportunk megítélése szerint a COBIT jól kiegészíti a COSO bels ellen rzési normáit és az auditálási szabványok legújabb módosításait (pl. SAS 70 és 78 alkalmazása). A COBIT auditálási útmutatója ellen rzési programok kidolgozásához is felhasználható. V
V
V
V
V
V
V
W
V
V
V
V
V
A COBIT hasznos segítséget nyújt a vizsgált szervezetek számára is a bels ellen rzési eljárások értékeléséhez és meger sítéséhez. Rengeteg el nyük származik abból, ha jobban felkészülnek az ellen rz vizsgálatokra. Az ellen rzési kritériumok ismeretében a vizsgált szervezetek azzal is tisztában vannak, hogy milyen kontroll m veletek javasoltak az egyes informatikai eljárások esetében. A COBIT felépítése segít a vizsgált szervezeteknek az ellen r kéréseinek és kés bbi javaslatainak összekapcsolásában és értelmezésében. V
V
V
V
V
V
V
W
V
V
A COBIT-tal kapcsolatos tapasztalataink segítettek pénzügyi ellen reinknek is az informatikai eljárások és a részletes kontroll irányelvek jobb megértésében, illetve azok elhelyezésében a vizsgált szervezeten és az informatikai környezeten belül. A COBIT bevezetését követ en rájöttünk arra, hogy módosítanunk kell általános ellen rzési irányelveinket, az ellen rzési eljárásokat tartalmazó kézikönyvünket és a min ség-biztosítási ellen rzéseket is. V
V
V
V
V
V
Az igazgató tanácsban következetesebb és megalapozottabb vitákat tudunk folytatni az informatikai területekr l, a kontroll irányelvekr l és az informatikai kontroll eljárásokról. V
V
83
COBIT – ALKALMAZÁSI MÓDSZEREK
AD VAN NUNATTEN, PARTNER, EDP AUDIT, HOLLANDIA EDDY SCHUERMANS, CISA, PARTNER, ASSURANCE SERVICES, BELGIUM RENE BARLAGE, EDP AUDITOR PRICEWATERHOUSECOOPERS ÖSSZEFOGLALÁS A PricewaterhouseCoopers-nél Hollandiában 100 EDP (elektronikus adatfeldolgozási) auditor dolgozik a számítógépes ellen rzési részlegnél, és közülük sokan már jól ismerik a COBIT-ot és ajánlják is annak használatát ügyfeleiknek. Sok ügyfél esetében az alábbi szakaszos megoldást alkalmazzuk: • Fókusz. Az informatika alkalmazása mellett szóló üzleti érdekek meghatározása és az informatika használatához kapcsolódó üzleti kockázatok szintjének felmérése. • Értékelés. Veszélyek és sebezhet pontok felmérése, hiányzó illetve nem megfelel kontroll intézkedések azonosítása és ennek okainak meghatározása. • Kontroll hiányosságok kezelése. Cselekvési terv egyeztetése és a bels ellen rzés javítása. • Figyelés. Folyamatos korrigálás biztosítása az alkalmazott bels ellen rzési eljárások m ködésének figyelemmel kísérése révén. V
V
V
V
V
V
V
W
EL ZMÉNYEK A PricewaterhouseCoopers számos ügyfelénél bevezettük a COBIT-ot és nagyon hasznosnak tartjuk a keretrendszert. Dolgozóink ennek segítségével dolgozzák ki az ügyfelek informatikai osztályainak szóló hatékonyság-javítási programokat. A részletes kontroll irányelvek segítenek az ügyfelek rendszer-kezelési eljárásainak értékelésében. X
ELJÁRÁS Néhány példa arra, hogy a COBIT-ot hogyan tudtuk sikeresen alkalmazni különböz üzleti szituációkban: Légitársaság: Az ügyfél megkért minket, hogy értékeljük informatikai osztályának eredményességét és hatékonyságát. El ször a felhasználói elégedettséget vizsgáltuk meg, majd az észrevételek elemzését követ en részletesen áttekintettük az alkalmazott informatikai eljárásokat a COBIT segítségével. Mindezek eredményeként jelent sen sikerült javítani az informatikai eljárások hatékonyságát. V
V
V
V
Hálózati szolgáltatócég: Egy hálózati szolgáltatócég ITIL alapú rendszerirányítást vezetett be. Ügyfelünk felkért minket egy független ellen rzés elvégzésére és arra, hogy az eredményekr l tájékoztassuk ügyfeleit. Az ellen rzést a COBIT keretrendszere alapján hajtották végre munkatársaink. V
V
V
Non-profit szervezet. A COBIT és az ITIL irányelvei alapján hatékonyságjavítási programot dogoztunk ki az informatikai osztály részére.
84
COBIT – ALKALMAZÁSI MÓDSZEREK
Kereskedelmi Kamara: Számos fúzió és üzleti változás befolyásolta a szervezet informatikai környezetét. A COBIT keretrendszerének segítségével kidolgoztunk egy megfelel hatékonyság-javítási programot. V
Bank: Egy holland bank megkért minket, hogy dokumentáljuk különböz platformok (RS/6000, Windows NT és különböz hálózati komponensek) alapkontrolljait. Az alap-kontrollok rendszer-kezelési részét a COBIT részletes irányelvei alapján dolgoztuk ki. V
V
KONKLÚZIÓ A COBIT egyik egyedülálló el nye az, hogy az Információ-technológiai Infrastruktúra Könyvtár (ITIL) is azok közé a globális szabványok közé tartozik, amelyekre a COBIT épül. Az ITIL, amelyet az Egyesült Királyságban dolgoztak ki, sok országban ismert. Hollandiában az ITIMF.EDP-hez tartozó auditorokat gyakran kérik fel olyan informatikai eljárások auditálására, amelyeket ITIL normák alapján alakítottak ki. A COBIT kiváló segédeszközt kínál az ilyen ellen rz vizsgálatok elvégzéséhez. V
V
85
V
COBIT – ALKALMAZÁSI MÓDSZEREK
PRATAP OAK, VEZET INFORMATIKAI AUDITOR JAY SCOTT, ALELNÖK, INFORMATIKAI AUDIT FIDELITY INVESTMENTS BOSTON, MASSACHUSETTS, USA U
ÖSSZEFOGLALÁS Amióta a bostoni székhely Fidelity Investments befektetési tanácsadó cég bevezette a COBIT-ot, az ellen rzési munka konzisztensebbé vált és a kontroll eljárások önértékelése is megvalósítható lett. W
V
EL ZMÉNYEK A Fidelity 24.000 dolgozót foglalkoztat az Egyesült Államok, Kanada, Európa, Ausztrália és Ázsia 70 városában. A cég vev i eszközeinek összesített értéke mintegy 905 milliárd US$-t tesz ki. X
V
A COBIT keretrendszere lehet vé teszi a kontroll környezet megel z (proaktív) javítását és értékteremt szolgáltatásokat kínál. Közvetlenül azokkal a kérdésekkel foglalkozik, amelyekkel cégünk Informatikai Igazgatójának és más vezet inek szembe kell nézniük, nevezetesen, hogy az információs rendszerek folyamatos javításával hogyan lehet segíteni az üzleti célkit zések teljesítését. Miután a fels vezetés elkötelezte magát a folyamatos hatékonyság-javítás támogatása mellett, viszonylag rövid id n belül sikerült “COBIT-izálni” ellen rzési eljárásainkat. V
V
V
V
V
W
V
V
V
Több ellen rz vizsgálatot tudtunk végrehajtani kevesebb er forrás mellett és el relépéseket értünk el a más ellen rz csoportokkal történ koordináció, a kockázat-értékelés, a tervezés, az ellen rzési kör meghatározása és az ellen rzési kérdések kommunikációja terén. Az egyik legfontosabb el ny, amit a COBIT használata nyújtott számunka, a min ségi munka által nyújtott elégedettség volt. V
V
V
V
V
V
V
V
V
V
V
ELJÁRÁS Korábban a rendelkezésre álló ágazati normák és az azokhoz kapcsolódó metodikák segítségével kezeltük az informatikai kockázatokat. Vezet ink szilárdan elkötelezték magukat a folyamatos hatékonyság-javítás mellett és gyorsan felismerték, hogy a COBIT általánosan alkalmazható normákat határoz meg az informatikai eljárások kontrolljára vonatkozóan. A COBIT egy lépéssel el re ment és olyan informatikai kontroll eljárásokat kínál, amelyek közvetlenül kapcsolódnak az üzleti célkit zésekhez, beleértve a Fidelity üzleti célkit zéseit is. V
V
W
W
1996-ban felülvizsgáltuk informatikai rendszereinket a COBIT keretrendszere alapján és az eredmények meger sítették a COBIT hasznosságát. 1997-ben kialakítottunk egy a COBIT területeit, eljárásait és kontroll irányelveit/elemeit tartalmazó adatbázist. Ezt követ en összevetettük a COBIT adatbázist és az általunk végrehajtott különböz ellen rzéseket. V
V
V
V
86
COBIT – ALKALMAZÁSI MÓDSZEREK
Sok pozitív eredményt hozott ez a kezdeményezés. A keretrendszer alapján aktualizáltuk az audit-programokat és a munka-papírok dokumentációját. A COBITot beépítettük általános céljainkat megfogalmazó “küldetés-meghatározásunkba” is. Az ellen rzésre kerül részlegeknek elmagyarázzuk, hogyan használjuk a keretrendszert és másolatot adunk nekik a keretrendszerb l, hogy jobban fel tudjanak készülni a vizsgálatra és tisztában legyenek annak el nyeivel. V
V
V
V
KONKLÚZIÓ A COBIT bevezetésével a kontroll eljárásokra vonatkozó széles kör ismeretanyagot sikerült beépíteni ellen rz vizsgálatainkba. A COBIT mértékadó normákat fogalmaz meg az informatikai kontroll eljárásokra vonatkozóan és segít az informatikai kontroll környezet teljes, hatékony és következetes vizsgálati lefedésének biztosításában. W
V
V
Ami a jöv t illeti, a terveink között szerepel, hogy a kontroll eljárások önértékeléséhez és a kontroll környezet további szigorításához is felhasználjuk a COBIT-ot. Segítségével jobban fel tudjuk térképezni az informatikai kontroll környezet állapotát és elég rugalmas ahhoz, hogy az el ttünk álló változások közepette is segíteni tudjon üzleti célkit zéseink megvalósításában. V
V
W
87
COBIT – ALKALMAZÁSI MÓDSZEREK
CHRISTIAN HENDRICKS VÉDELMI MINISZTÉRIUM AMERIKAI EGYESÜLT ÁLLAMOK ÖSSZEFOGLALÁS Az Egyesült Államok Védelmi Minisztériumának Ellen rz Irodája a COBIT alapján határozza meg az ellen rizend informatikai területek körét. A COBIT úgy lett megírva, hogy azt értelmezni és követni tudják az informatikai szakemberek is. Olyan stratégiai terveket tudunk ezáltal készíteni, amelyek hatékony ellen rzési lefedettséget biztosítanak. Ez az esettanulmány arról szól, hogy a COBIT-ot hogyan használtuk fel az informatikai stratégiai tervek elkészítéséhez, az ellen rök tudásszintjének értékeléséhez és a legmegfelel bb informatikai képzési programok kiválasztásához. V
V
V
V
V
V
V
EL ZMÉNYEK A COBIT keretrendszere kezelhet és definiálható struktúrában mutatja be a kontroll tevékenységeket. A kontroll irányelveket mind a négy eljárási terület esetében értékeljük az Ellen rz Hivatal stratégiai tervében meghatározott ütemezés alapján. Hosszú távon az a célunk, hogy az egyes területekhez tartozó összes kontroll irányelvet lefedjük. X
V
V
V
ELJÁRÁS Az ellen rz vizsgálatok megtervezésekor a kontroll irányelvek a f kritériumok. A részletes ellen rzési feladatok kidolgozásakor több tényez t is figyelembe kell venni, beleértve a kormányzati el írásokat és a számítógépes ellen rzési technikák alkalmazásának lehet ségét is. Mivel az informatikai területen dolgozó auditoroknak speciális szaktudásra van szükségük, a COBIT segítségével értékeljük az auditorok szaktudásának szintjét és ezáltal gondoskodunk arról, hogy az ellen rzés sikeresen végrehajtható legyen. Az auditorok osztályozzák, hogy a COBIT-ban szerepl négy terület közül melyikben mennyire jártasak és értékelik azt, hogy képesek-e a szükséges ellen rz vizsgálatokat végrehajtani az általános szint kontroll irányelvek segítségével. Minden egyes auditor informatikai tudását, képzettségét és tapasztaltságát “besoroljuk” az alábbi három szempont alapján: V
V
V
V
V
V
V
V
V
V
V
V
W
Általános tudás: Informatikai eljárások, célok, irányelvek és célkit zések általános ismerete. W
Munkában hasznosítható szaktudás: Valamely informatikai területhez kapcsolódó bels ellen rzési eljárások er sségeinek és hiányosságainak feltárására való képesség. V
V
V
Szakért i tudás: Számítógépes ellen rzési technikák kidolgozására és használatára való képesség a bels ellen rzési hiányosságok feltárása, értékelése és korrigálása céljából. Y
V
V
V
88
COBIT – ALKALMAZÁSI MÓDSZEREK
A képzési lehet ségek értékeléséhez kialakítottunk egy tanfolyami adatbázist az alapján, hogy az egyes képzési programok milyen ismereteket tudnak átadni a COBIT-hoz tartozó egyes területek és kontroll irányelvek kapcsán. Természetesen más tényez ket, például a tanfolyami költségeket, az ütemezést és a teljesítést is figyelembe veszünk. A COBIT segítségével ki tudjuk választani, hogy az adott id ben melyik tanfolyamra van a legnagyobb szükség. V
V
V
KONKLÚZIÓ A COBIT olyan keretrendszert kínál, amelyet értelmezni és követni tudnak az informatikai szakemberek. Olyan stratégiai terveket tudunk ezáltal készíteni, amelyek hatékony ellen rzési lefedettséget biztosítanak. Emellett annak köszönhet en, hogy az informatikai ellen rzési feladatokat és az ellen rök szükséges szaktudását a COBIT kontroll irányelvei alapján értékeljük, hatékony és id szer képzési programokat tudunk ellen reinknek nyújtani, amely biztosítja az ellen rzések sikeres végrehajthatóságát. V
V
V
V
W
V
V
89
V
COBIT – ALKALMAZÁSI MÓDSZEREK
JOHN BEVERIDGE, CISA A BOSTON GAS COMPANY NEVÉBEN AMERIKAI EGYESÜLT ÁLLAMOK ÖSSZEFOGLALÁS Gondosan megvizsgáltuk, hogy a COBIT milyen el nyöket kínálhat a Boston Gas számára és hogyan lehetne azt a leghatékonyabb módon alkalmazni. A Bels Ellen rzési osztály stratégiájával összhangban, amely értékteremt ellen rzési szolgáltatások nyújtását fogalmazta meg célként, a COBIT viszonyítási normaként szolgált az optimális kontroll eljárások és az ellen rzési kritériumok meghatározásához. V
V
V
V
V
V
EL ZMÉNYEK A Boston Gas Company közm -vállalat 1.400 dolgozót foglalkoztat és éves árbevétele eléri a 700 millió US$-t. A társaság 74 települést lát el energiával Boston (MA) környékén. Informatikai rendszere els sorban IBM Mainframe, UNIX, Novell és NT platformokra és hálózatokra épül. X
W
V
ELJÁRÁS A cég Bels Ellen rzési Menedzsere és egyik informatikai ellen re megszerezték a COBIT-ot, amikor 1996-ban el ször kiadásra került, majd ezt követ en részt vettek egy COBIT el adáson, amelyet az ISACA new england-i egyesülete szervezett. V
V
V
V
V
V
Miután meggy z dtek arról, hogy a COBIT hasznos lehet a Boston Gas számára is az informatikához kapcsolódó irányelvek és eljárási szabályok kidolgozásában és az informatikai ellen rzések végrehajtásában, a két menedzser bemutatta a COBIT-ot a cég informatikai kérdésekért felel s Alelnökének és az Információs osztály dolgozóinak. Az el adás eredményeként számos olyan területet sikerült meghatározni, ahol sikeresen alkalmazni lehet a COBIT-ot, többek között az alábbiakat: • A Bels Ellen rzési Igazgató jelezte, hogy az osztály alkalmazni fogja a COBITot az ellen rizend területek meghatározásához és kommunikációjához. • Az Információs osztály az informatikai funkciók és projektek viszonyítási normájaként alkalmazza a COBIT-ot és az abban meghatározott kontroll irányelveket. V
V
V
V
V
V
V
V
V
KONKLÚZIÓ A COBIT bevezetésének sikere és elfogadtatása a Bels Ellen rzési és az Információs osztállyal az ellen rzési keretrendszer megismerésének, a megfelel képzésnek és az alapelvek bevezetésére szánt megfelel id nek köszönhet . A COBIT új értéket kínál a vállalatnak azáltal, hogy az általános üzleti célkit zésekre koncentrál és ezzel együtt az informatikai kontroll eljárások hatékonyságának meger sítését szolgálja. V
V
V
V
V
V
V
W
V
90
COBIT – ALKALMAZÁSI MÓDSZEREK
DAVID ABTS, ÜGYVEZET ALELNÖK, VEZET I INFORMÁCIÓS RENDSZERÉRT ÉS M KÖDÉSÉRT FELEL S IGAZGATÓ SANTA BARBARA BANK AND TRUST SANTA BARBARA, KALIFORNIA, USA U
U
Z
U
ÖSSZEFOGLALÁS A Santa Barbara Bank and Trust azzal a céllal vezette be a COBIT-ot, hogy olyan hatékony informatikai kontroll eljárásokat alakítsanak ki, amelyek segítik az általános üzleti célkit zéseinek teljesítését. W
EL ZMÉNYEK Azért döntöttünk a COBIT mellett, mert az üzleti igényekb l indul ki. És mi mindenekel tt egy üzleti vállalkozást m ködtetünk. A COBIT alapelveinek bevezetése révén az ellen rzött informatikai környezet kialakításához szükséges lépések megtétele mellett is képesek vagyunk megtartani üzleti célkit zéseink irányát. X
V
V
W
V
W
ELJÁRÁS Informatikai ellen reink korábban a számítógépes rendszerek illetve kódok ellen rzésére koncentrálták munkájukat. A COBIT alapelveinek bevezetését követ en az ellen rzési munkák köre az egyes üzleti folyamatok alapján kerül meghatározásra, amelyet könnyebben át tudnak tekinteni és hajlandóak támogatni az üzleti vezet k. Amíg korábban például az “NT kontrolljára” irányult egy ellen rzés, addig most az ellen rzési célterület a “hitelkérelmek el zetes feldolgozása.” V
V
V
V
V
V
V
V
Az egyes osztályok vezet i már nem úgy tekintenek az informatikai ellen rzésekre, mint üzleti fennakadást okozó tényez re, hanem értéket és védelmet jelent tevékenységként kezelik az ellen rök munkáját. V
V
V
V
V
Volt egy eset, amikor a vezet k meg voltak gy z dve arról, hogy nemkívánatos küls személyek nem tudnak hozzáférni a bels számítógépes rendszerhez a cég internetes web-lapján keresztül. Az ellen rök azonban felhívták a figyelmet arra, hogy az e-mail rendszert is megfelel módon kontrollálni kell annak érdekében, hogy ne kerüljenek be olyan üzenetek, amelyek összezavarhatják a szerver-gépet. V
V
V
V
V
V
V
KONKLÚZIÓ A COBIT bevezetésének eredményeképpen javult az együttm ködés és a kommunikáció az üzleti menedzserek és az informatikai ellen rök között. A COBIT keretrendszere és más elemei segítettek a vezet knek megérteni azt, hogy a kontroll eljárások és a biztonsági intézkedések hogyan szolgálják saját részlegeik érdekeit. W
V
V
Ha az osztályvezet k és az informatikai auditorok ugyanazt az üzleti nyelvet beszélik, az ellen rzési tevékenység olyan munkává válik, amely a bank egészének hasznára van. V
V
91
COBIT – ALKALMAZÁSI MÓDSZEREK
PETER DE KONICK, VEZET AUDITOR, BRÜSSZEL, BELGIUM ERIK GULDENTOPS, IGAZGATÓ, GLOBÁLIS INFORMÁCIÓ-VÉDELEM NEMZETKÖZI BANKKÖZI PÉNZÜGYI TELEKOMMUNIKÁCIÓS TÁRSASÁG (S.W.I.F.T) U
ÖSSZEFOGLALÁS A Nemzetközi Bankközi Pénzügyi Telekommunikációs Társaság (S.W.I.F.T) hollandiai, szingapúri és egyesült államokbeli ügyfél-támogatási központjainak egyik ellen rzése során használta fel a COBIT-ot. Az ellen rzési munkában 16 személy vett részt egy héten keresztül. V
V
EL ZMÉNYEK A S.W.I.F.T. egy belgiumi központú egyesület, amelyet 2.645 bank alapított a bankközi pénzügyi üzenettovábbítások és interfész szoftverek védelme érdekében. A S.W.I.F.T. globális hálózata naponta átlagosan 2,5 millió üzenetet továbbít és a tranzakciók napi átlagos nagysága eléri a 2,3 billió US$-t. X
A S.W.I.F.T. ügyfél-támogatási funkcióját nemrégen szervezték át, amelynek keretében új eszközöket és eljárásokat léptettek életbe. Az ellen rzési terv ezeknek az eszközöknek és eljárásoknak az ellen rzésére is kiterjedt. A COBIT segítségével végezték el az eljárások ellen rzését. V
V
V
ELJÁRÁS A vezetés el ször meglehet sen negatívan reagált a COBIT informatikai irányítási és kontroll modelljére az id zítés miatt. Az ellen rzésre kerül egységek azonban gyakran gondolják úgy, hogy a vizsgálat rosszkor történik. Az ellen rzés során azonban ez a hozzáállás az ellenkez jére fordult és jól fogadták az érintettek az új módszert. Ezt a változást a fels vezetés is meger sítette, miután megkapták az ellen rz vizsgálatról készített jelentés tervezetét. V
V
V
V
V
V
V
V
V
V
V
A vezet kre különösen mély benyomást gyakorolt a COBIT eljárás-orientációjú megközelítése, amely mer ben más volt, mint a korábban alkalmazott bizalmassági/ integritási/elérhet ségi ellen rzési szempontok. A COBIT alkalmazásának egyik legszembet n bb eredménye az interjúk logikus felépítése és sorrendje volt, amely hatékonyabbá tette az ellen rzést, mivel az ellen rök a megfelel sorrendben szerezték meg a szükséges információkat. V
V
V
W
V
V
V
V
V
A fels vezetés és a szakági vezet k csak hosszú viták után hagyták jóvá az ellen rzés végrehajtását, mivel az ellen rzési tervben olyan területek vizsgálata is szerepelt, amelyek korábban “érintetlen” voltak. A vezet k megkérd jelezték azt, hogy az ellen rzési csoport képes lesz-e objektív ellen rzést végezni ezeken az új területeken. Az osztály korábban csak az informatikához kapcsolódó biztonsági kérdésekkel foglalkozott, a szélesebb értelemben definiált biztonsággal. A COBIT módszere a folyamatok és eljárások irányítására és az azokhoz kapcsolódó kontroll kérdésekre koncentrált. V
V
V
V
V
V
V
92
V
COBIT – ALKALMAZÁSI MÓDSZEREK
Kidolgoztunk egy mátrixot a COBIT kontroll irányelvei alapján. A kockázatok értékelése segített annak meghatározásában, hogy mely irányelvek megvalósítását érdemes ellen rizni. Ezt követ en az ellen rzésre kiválasztott kontroll irányelveket egyeztettük (a) a korábbi ellen rzések körével, (b) az ágazati normákkal és (c) a cég küls könyvvizsgálójától kapott ellen rz kérdéslistával. V
V
V
V
V
V
V
A mátrix alapján kidolgoztuk az ellen rzés munka-programját. A COBIT keretrendszerének segítségével – a COBIT-ban szerepl els dleges/másodlagos besorolási rendszer alapján – meghatároztuk az ellen rzési feladatok és a vizsgálandó területek prioritási sorrendjét V
V
V
V
KONKLÚZIÓ A COBIT keretrendszerének alkalmazása ebben a kiterjedt ellen rz vizsgálatban újdonság volt az ellen rök és a vezetés számára egyaránt. Bár igaz, hogy a változtatásokat gyakran kísérik negatív következmények és bírálatok, a COBIT eljárás-orientációját gyorsan elfogadta a vezetés és az ellen rök a kés bbiekben is támaszkodni kívánnak erre. V
V
V
V
V
A COBIT-ot egyre gyakrabban fogjuk használni a jöv beni ellen rzésekhez, különösen azután, hogy az Audit Bizottság informatikai ellen rzési referenciaként jelölte meg. A COBIT megfelel kiindulási alapként szolgál a SAS-70 típusú ellen rzésekhez. Ezzel párhuzamosan a COBIT felkeltette a szervezet informatikai részlegének érdekl dését is. Miután az Informatikai Igazgatónak véletlenül a kezébe került a Keretrendszer és elolvasta azt, megrendelte az osztályon dolgozó összes menedzsernek. A Keretrendszer alapján arra a meggy z désre jutott az igazgató, hogy célszer lenne átalakítani az informatikai részleget az eljárások jobb mérhet sége és m ködése érdekében. V
V
V
V
V
V
V
V
W
V
W
A COBIT emellett azonnal hasznosítható a gyakorlatban. Amikor azon gondolkoztunk, hogy mi alapján határozzuk meg az egyik új rendszer-tervezési csoport küldetését és célkit zéseit, az Informatikai Igazgató így fordult hozzám: “Add ide a COBIT Részletes Kontroll Irányelveit, hadd nézzem meg mi van bennük!” Elég volt a TSZ1-t l a TSZ5 részig megmutatnom neki. Már korábban megkért, hogy határozzuk meg ennek a csoportnak a céljait – hogy ez nekem miért nem jutott eddig az eszembe magamtól? W
V
93
COBIT – ALKALMAZÁSI MÓDSZEREK
A COBIT-TAL KAPCSOLATOS LEGGYAKORIBB KÉRDÉSEK 1. MI A COBIT CÉLJA?
A COBIT olyan informatikai irányítási modellt kínál a vezetésnek és az üzleti folyamatok gazdáinak, amely segítséget nyújt az információ-technológiához kapcsolódó kockázatok megértéséhez és kezeléséhez. A COBIT segít az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között meghúzódó “szakadékok” áthidalásában. Olyan kontroll modell, amely az informatikai irányítás igényeib l indul ki és gondoskodik az információk és az információs rendszerek integritásáról. V
W
V
2. KI HASZNÁLJA A COBIT-OT?
A COBIT-ot azok használják, akik els dlegesen felel sek az üzleti folyamatokért és a technológiai kérdésekért, akik rá vannak szorulva a technológiára a releváns és megbízható információk megszerzése érdekében, és azok, akiknek az a feladata, hogy gondoskodjanak az információ-technológia min ségér l, megbízhatóságáról és kontrolljáról. V
V
V
V
3. KIK AZ ÜZLETI FOLYAMATOK GAZDÁI?
A COBIT az üzleti folyamatokból indul ki, ezért el ször is az üzleti folyamatokért felel s vezet khöz szól. A Porter által kidolgozott Általános Üzleti Modell alapján beszélhetünk alapfolyamatokról (beszerzés, üzemeltetés, marketing, értékesítés, stb.) és kisegít funkciókról (emberi er források kezelése, igazgatás, információtechnológia, stb.). Következésképpen a COBIT-ot nem csupán az informatikai osztály tudja alkalmazni, hanem a vállalkozás egésze. A fenti megközelítés abból a tényb l indul ki, hogy napjaink vállalkozásaiban az üzleti folyamatok gazdái felel sek az irányításuk alá tartozó folyamatok m ködéséért, amelyhez elválaszthatatlanul hozzátartozik az információ-technológia is. Más szavakkal, ezek a vezet k fel vannak hatalmazva, de felel sségre is vonhatóak. Következésképpen az üzleti folyamatok gazdái felel sek végs soron az irányításuk alá tartozó üzleti folyamatokhoz kapcsolódó informatikai eljárások m ködéséért is. Természetesen küls szakemberek – hagyományosan az informatikai osztály illetve küls szolgáltatók – szolgáltatásait is igénybe veszik ezzel kapcsolatban. A COBIT egy olyan keretrendszert kínál az üzleti folyamatokért felel s vezet knek, amelynek segítségével kontrollálni tudják az információ-technológia alkalmazásához kapcsolódó összes tevékenységet. Ennek eredményeként megalapozott bizonyosságuk lehet afel l, hogy az információ-technológia hozzájárul üzleti célkit zéseik teljesítéséhez. Emellett a 3. kiadásban bemutatott Vezet i útmutató olyan eszközt ad a vezetés kezébe, amelynek segítségével fel lehet mérni, hogy mely területeken van szükség a kontroll eljárások javítására és az infromatikai eljárások fejlesztésére, ugyanakkor mérhet a célok megvalósításának mértéke és az informatikai eljárások teljesítménye is. A Vezet i útmutató érettségi modelleket, kritikus sikertényez ket, valamint V
V
V
V
V
V
V
W
V
V
V
W
V
V
V
V
V
V
W
[
V
V
V
94
COBIT – ALKALMAZÁSI MÓDSZEREK
kritikus cél- és teljesítmény-mutatókat is kínál, ezzel is segítve a vezet i döntéshozatalt. V
4. MIÉRT AZ ÜZLETI FOLYAMATOKRA KONCENTRÁL A COBIT, NEM PEDIG A KÜLÖNBÖZ FUNKCIÓKRA ILLETVE ALKALMAZÁSI RENDSZEREKRE? \
A COBIT keretrendszere 34 informatikai eljárást határoz meg és egymáshoz kapcsolódó tevékenységekre illetve konkrét feladatokra csoportosítja azokat. Az eljárásokra épül modell preferálásának számos oka van. El ször is, egy eljárás, jellegéb l adódóan, eredmény-orientált abban az értelemben, hogy a végs eredményre és egyúttal az er források felhasználásának optimalizálására koncentrál. Ezeknek az er forrásoknak a fizikai strukturáltsága, pl. az egyes osztályokon dolgozó emberek száma/képzettsége, ebb l a perspektívából nézve kevésbé fontos. Másodszor, egy eljárás, és különösen az ahhoz kapcsolódó célkit zések, tartósabb jelleg és ritkábban kerül megváltoztatásra, mint egy szervezeti egység. Harmadszor, az információ-technológia felhasználása nem korlátozható egy adott osztályra, hiszen a felhasználók, a vezetés és az informatikai szakemberek is részesei annak. Ezzel összefüggésben az informatikai eljárás marad az egyetlen közös nevez . Ami az alkalmazási rendszereket illeti, ezek az öt er forrás-kategória egyikeként szerepelnek a COBIT keretrendszerében. Úgy kell tehát kezelni és kontrollálni ket, hogy gondoskodjanak az üzleti folyamatok szintjén szükség információk el állításáról. Ilyen módon az alkalmazási rendszerek elválaszthatatlan részét képezik a COBIT keretrendszerének és külön is meg lehet vizsgálni ket az er források oldaláról kiindulva. Más szavakkal, ha szigorúan csak az er forrásokkal akar valaki foglalkozni, az alkalmazási rendszerek oldaláról is meg tudja közelíteni a COBIT irányelveit. V
V
V
V
V
V
V
W
W
V
V
V
V
V
V
V
5. MENNYIRE SZERTEÁGAZÓAK AZ ÜZLETI KÖVETELMÉNYEK?
A COBIT el zetes felülvizsgálata során a fels vezet k és informatikai vezet k egyaránt pozitívan fogadták az információkra vonatkozó üzleti követelmények meghatározását és támogatták azt, hogy választani kell abban, hogy az egyes eljárások esetében mely követelmények a legfontosabbak. Természetesen komoly vitákat folytattak a szakért k a projekt során arról, hogy mely követelmények a legfontosabbak az egyes eljárások esetében. Ezek során azonban mindig ugyanazokra az alapelvekre támaszkodtunk: Mi az ami valóban alapvet fontosságú az adott eljárásra vonatkozó Kontroll Irányelv kapcsán? Milyen er források igényelnek speciális kontrollt? Melyek azok az információs követelmények, amelyekre kiemelt figyelmet kell fordítani? V
V
V
V
V
V
V
6. MILYEN ÁLTALÁNOS MIN SÉGET KÉPVISEL A COBIT ÉS RÉSZT VETTEK-E ÜZLETI VEZET K IS A SZAKÉRT I FELÜLVIZSGÁLATBAN? \
\
\
A COBIT megfelel végs min ségének biztosítása érdekében számos intézkedést tettünk. Ezek közül a legfontosabbak az alábbiak: V
V
V
95
COBIT – ALKALMAZÁSI MÓDSZEREK
i. A teljes kutatási eljárás a COBIT Irányító Bizottságának (CSC) vezetése mellett folyt. A céltermékek el zetes meghatározása mellett a CSC felel ezeknek a céltermékeknek a végs min ségéért is. ii. A részletes kutatási eredmények min ség-ellen rzési eljárásnak lettek alávetve. iii. Az el zetes kutatási eredményeket és a keretrendszert két szakért i csoport is felülvizsgálta, amelyekben üzleti vezet k is helyet kaptak. iv. A szöveg végleges kiadása el tt számos szakért nek elküldtük az anyagot véleményezés céljából. V
V
V
V
V
V
V
V
V
V
A Vezet i Útmutató kidolgozásában egy 40 szakért b l álló nemzetközi panel vett részt, amelynek tagjai az ipar, a tudomány, a kormányzatok valamint az informatikai biztonsági és ellen rzési szakma képvisl i közül kerültek ki. Ezek a szakemberek részt vettek egy speciális workshop-öszejövetelen, ahol a COBIT Irányító Bizottsága által meghatározott irányelvek szerint folyt a munka. A munka eredményét min ség-biztosítási szempontok szerint értékelték és szakért kkel véleményeztették. Meg kell ezzel kapcsolatban jegyezni, hogy az Útmutatóban szerepl irányelvek általános jelleg ek és általánosan alkalmazhatóak, tehát nem ágazat-specifikus normák. Az esetek nagy részében a szervezeteknek saját környezetükhöz kell igazítniuk ezeket az irányelveket. Összefoglalva, a tapasztalatok alapján megállapítható, hogy a COBIT modellt az üzleti vezetés egésze kedvez en fogadta és elismerték, hogy az informatikai kontroll eljárások hatékonyságának javítása révén a COBIT új értéket kínál. Ezzel kapcsolatban biztosak vagyunk abban, hogy sikerült elérni a szükséges min ségi szintet, az ügyféli elégedettségen túl. [
V
V
V
V
V
V
V
W
V
V
7. HOGYAN FOG MÓDOSULNI A COBIT A JÖV BEN? \
Ahogy az bármely más kiterjedt kör és innovatív kutatás esetén is lenni szokott, a COBIT-ot is felül kell vizsgálni három évente. Csak így gondoskodhatunk arról, hogy a modell és a keretrendszer “teljeskör ” és érvényes maradjon. A felülvizsgálat keretében azt is meg fogjuk vizsgálni, hogy a 41 els dleges referencia-forrás tartalma nem változott-e meg, és ha igen, akkor a COBIT-ban is megjelennek ezek a változások. W
W
V
8. HOGYAN HATÁROZTA MEG AZ ISACF/A AZ ELS DLEGES REFERENCIA FORRÁSOK KÖRÉT? \
Az els dleges referencia-források listáját konszenzus alapján alakítottuk ki a COBIT Irányító Bizottság kutatási, szakért i véleményezési és min ség-biztosítási munkájában részt vett szakemberek tapasztalatai alapján. V
V
V
9. HASZNÁLHATOM A COBIT-OT AZ EGYES KONKRÉT AUDIT KÖVETKEZTETÉSEK KRITÉRIUMAIT MEGHATÁROZÓ DOKUMENTUMKÉNT?
Igen, hiszen azáltal, hogy az auditálásra vonatkozó irányelveket közvetlenül a kontroll irányelvek alapján határozza meg, a COBIT “kiveszi” az ellen r/auditor véleményét az audit konklúzióból és irányadó kritériumokkal helyettesíti azt. A V
96
COBIT – ALKALMAZÁSI MÓDSZEREK
COBIT 41 különböz informatikai szabványokat és magatartási normákat tartalmazó dokumentumra épül, amelyeket a világ különböz részein m köd szabályozó szervezetek (magán és állami) dolgoztak ki. Ezek között vannak európai, kanadai, ausztráliai, japán és egyesült államokbeli dokumentumok is. Mivel a COBIT az adott területre vonatkozóan jelenleg érvényben lév összes szabványt figyelembe veszi, az informatikai kontroll eljárásokra vonatkozó összes normát magában foglalja. Ennek köszönhet en a COBIT irányadó hivatkozási forrás-dokumentumként is felhasználható, amely meghatározza az ellen rz vizsgálatokhoz kapcsolódó informatikai kontroll kritériumokat is. V
V
W
V
V
V
V
V
10. A KONTROLL IRÁNYELVEK MINIMÁLIS SZINT KONTROLL KÖVETELMÉNYEKET VAGY KÖVETEND MAGATARTÁSI NORMÁKAT TESTESÍTENEK MEG? ]
\
Minimális követelmények és követend normák egyaránt, mivel még csak a kontroll irányelvek, nem pedig a kontroll alapelvek illetve gyakorlati normák szintjénél tartunk. Ezekkel a kérdésekkel a COBIT projekt kés bbi szakaszában fogunk foglalkozni, amikor is a vállalkozás környezete, a konkrét üzleti célkit zések, az elérni kívánt biztonsági szint, az elfogadható kockázat mértéke, stb. mind befolyásolni fogják azt, hogy az egyes eljárásokra vonatkozó kontroll irányelvek hogyan valósíthatóak meg megfelel szint kontroll eljárások formájában. Mivel ezek a választási lehet ségek nem maguktól értet d ek és mivel a megfelel kontroll eljárások kiválasztása fáradságos és id igényes munka lehet, nagy valószín séggel szükség lesz bizonyos minimális szint biztonsági és kontroll normák kidolgozására és támogatására. V
V
W
V
W
V
V
V
V
V
W
W
11. MIÉRT HIÁNYOZNAK A PLATFORM-SPECIFIKUS KONTROLL IRÁNYELVEK?
A COBIT kontroll irányelvei általános jelleg ek és mint ilyenek, az egyes informatikai eljárásokhoz kapcsolódó tevékenységekkel és feladatokhoz kapcsolódnak. Ilyen módon tehát egyrészr l platform-függetlenek, másrészr l viszont olyan általános struktúrát kínálnak, amelyen belül konkrétabb jelleg , platform-specifikus kontroll eljárásokat is meg lehet határozni. Az általános kontroll irányelvek érvényesek maradnak függetlenül attól, hogy mondjuk egy mainframeplatformra vagy egy irodai automatizációs platformra vonatkozóan kívánjuk alkalmazni ket. Nyilvánvaló, hogy az adott körülmények függvényében bizonyos aspektusokat nagyobb súllyal kell figyelembe venni. W
V
V
W
V
12. HOL VANNAK AZ ALKALMAZÁSI RENDSZEREKHEZ TARTOZÓ KONTROLL ELJÁRÁSOK?
Az alkalmazási rendszerekhez tartozó kontroll eljárásokat teljes mértékben magában foglalja a COBIT modell. Mivel a COBIT az üzleti folyamatokból indul ki, ezen a szinten az alkalmazási rendszerekhez tartozó kontroll eljárások csupán az általános kontroll eljárások azon részeként jelennek meg, amelyeket az információs rendszerekre és a kapcsolódó technológiára vonatkozóan kell érvényesíteni. Az esetek nagy részében azonban ez a rész nem adható ki küls szolgáltatóknak. Ebb l V
97
V
COBIT – ALKALMAZÁSI MÓDSZEREK
fakadóan tehát els rend fontosságú a kérdés, hogy “ Hol vannak az alkalmazási rendszerekhez tartozó kontroll eljárások?” Az alkalmazási rendszereket és az adatokat az öt er forrás-kategória között kezeli a COBIT. Az er források azt a célt szolgálják, hogy a szükséges információk rendelkezésre álljanak az üzleti folyamatok szintjén. Ilyen módon az alkalmazási rendszerek és az adatok elválaszthatatlanul hozzátartoznak a COBIT keretrendszeréhez és külön is meg lehet vizsgálni ket az er források oldaláról kiindulva. Ha valaki ezt megteszi, meg fogja látni, hogy a COBIT-ban meghatározott eljárások közül sok foglalkozik az alkalmazási rendszerekhez tartozó kontroll eljárásokkal, végigkísérve azokat teljes életciklusukon keresztül, a megtervezésükt l egészen a m ködtetésükig. Az er források oldaláról történ általános megközelítés mellett, van egy eljárás – “ Adatok kezelése” – ahol megtalálhatóak a tranzakciókhoz és fájlokhoz kapcsolódó hagyományos kontroll eljárások. Mindazonáltal figyelembe kell venni azt, hogy ezek a kontroll eljárások önmagukban nem biztosítják az alkalmazási rendszerek és az adatok szükséges kontrollját. A COBIT alkalmazásakor a fenti tényez ket is figyelembe kell venni. Ezzel összefüggésben az általános kontroll irányelvek mellett platform-specifikus kontroll eljárásokat is meg kell határozni. A platformokat tágabb értelemben kell itt venni (pl. irodai automatizáció, telekommunikáció, adatraktár, stb.). Ezzel kapcsolatban azokat a COBIT eljárásokat kell újra áttekinteni, amelyek a “ technológiához” , mint er forrás-kategóriához kapcsolódnak. ^
_
^
^
^
^
^
_
^
^
^
^
13. MIÉRT VANNAK ÁTFEDÉSEK A KONTROLL IRÁNYELVEK KÖZÖTT?
Az egyes kontroll irányelvek közötti átfedések, bár nem gyakran fordulnak el , szándékosak. Bizonyos kontroll irányelvek több informatikai területre és eljárásra is átnyúlnak, ezért meg kell ket ismételni minden egyes olyan eljárásnál, ahol m ködniük kell. Bizonyos kontroll irányelvek valamely másik kontroll ellen rzésére szolgálnak, ezért minden szükséges informatikai eljárásnál meg kell ismételni ket konzisztens alkalmazásuk biztosítása érdekében. Tehát bár els látásra úgy t nik, átfedések vannak, szándékosan ismétel meg a COBIT bizonyos kontroll irányelveket több informatikai eljárásnál is az adott kontroll eljárások megfelel lefedettségének biztosítása érdekében. ^
^
_
^
^
^
_
^
14. KAPCSOLÓDNAK A KONTROLL IRÁNYELVEK AZ AUDITÁLÁSRA VONATKOZÓ ELVEKHEZ – ÉS MILYEN MÉRTÉKBEN?
A kontroll irányelveket az üzleti folyamatokból kiindulva kerültek kidolgozásra, mivel a vezetésnek megel z (proaktív) tanácsokra van szüksége arra vonatkozóan, hogy az informatikai eljárásokat hogyan tudja “ kézben tartani” . A költségek és a kockázatok egyensúlyba állítása a következ kérdés (ú.m. tudatos döntéshozatal arról, hogy hogyan kívánják végrehajtani a kontroll irányelveket és mindegyiket végre kívánják-e hajtani). A jöv beni COBIT termékekben alaposan meg fogjuk vizsgálni ezt a kérdést is, de a megel zést szolgáló alapelveket sem toljuk félre – els lépésként mindenképpen megfelel kontroll irányelveket kell ^
^
^
^
^
^
^
98
COBIT – ALKALMAZÁSI MÓDSZEREK
alkalmazni az információkra vonatkozó kontroll kritériumok (eredményesség, hatékonyság, bizalmasság, hozzáférhet ség, sértetlenség, szabályosság és megbízhatóság) megvalósítása érdekében. A kapcsolódási pont az eljárás. A kontroll irányelvek segítséget nyújtanak a vezetésnek az egyes informatikai eljárásokhoz kapcsolódó kontroll m veletek kialakításában, az audit irányelvek pedig segítenek az auditoroknak illetve az ellen röknek annak megállapításában, hogy az adott informatikai eljárás valóban olyan mértékben és módon kontrollálva van, hogy teljesülnek az üzleti célkit zések megvalósításához szükséges információs követelmények. A “ vízesés-modellel” szimbolizált kontroll keretrendszerben elhelyezve az audit irányelvek egyfajta visszacsatolásként szolgálnak a kontroll eljárásoktól az üzleti célkit zések felé. A kontroll irányelvek gondoskodnak arról, hogy az informatikai eljárások megfelel kontroll alatt m ködjenek, míg az audit irányelvek visszafelé teszik fel a kérdést: “ Biztosítva van az üzleti célkit zések teljesítése?” Az audit irányelvek néha szó szerint vannak átvéve a kontroll irányelvek szövegéb l; az esetek többségében azonban bizonyítékot keresnek arra, hogy az adott informatikai eljárás megfelel kontroll alatt m ködik. ^
_
^
_
_
^
_
_
^
^
_
15. MIÉRT NINCSENEK MEGHATÁROZVA AZ EGYES KONTROLL IRÁNYELVEKHEZ KAPCSOLÓDÓ KOCKÁZATOK?
A kezdeti COBIT projekt kutatási és felülvizsgálati szakaszában alaposan megvizsgáltuk azt, hogy a kontroll irányelvekhez kapcsolódó kockázatokat is közöljük-e, de végül nem tartottuk meg ezeket, mivel a vezetés a megel z (proaktív) megközelítési módszert (teljesítend célok) preferálta a reaktív módszer (kockázatok csökkentése) helyett. A kockázatok mérlegelésével az egyes kontroll irányelvekhez kapcsolódó auditálási irányelvek foglalkoznak ‘A kontroll irányelvek nem-teljesítéséhez kapcsolódó kockázatok meghatározása’ címszó alatt. A COBIT alkalmazása kapcsán nyilvánvalóan hasznos a kockázat alapú megközelítés olyan helyzetekben, amikor a vezetés dönteni akar arról, hogy mely kontroll eljárásokat szükséges végrehajtani illetve amikor az ellen r meg akarja határozni, hogy mely kontroll irányelveket szükséges ellen rizni. Mindkét fenti döntés teljes egészében a kockázati környezet függvénye. ^
^
^
^
^
16. MILYEN KÉPZÉSI PROGRAMOK ÁLLNAK RENDELKEZÉSRE A COBIT HASZNÁLATÁRA VONATKOZÓAN?
Az ISACA Nemzetközi Központjai egy- illetve kétnapos tanfolyamokkal állnak az érdekl d k rendelkezésére, amelyek keretében a résztvev k megismerkedhetnek a COBIT-tal kapcsolatos legfontosabb alapismeretekkel és azzal, hogy a vezetés, az auditorok és az ellen rök hogyan használhatják a COBIT-ot. A tanfolyamok anyaga lefedi a COBIT keretrendszerét, a definíciókat, a kontroll irányelveket, az auditálási útmutatót, az esettanulmányokat és a sikeres bevezetés módszereit is. A tanfolyam anyagát szükség szerint hozzá lehet igazítani a fels vezet k, felhasználók illetve ellen rök speciális igényeihez. Ezenkívül az ISACA egy írásvetít s el adási anyagot is kidolgozott (amely ebben a csomagban is ^
^
^
^
^
^
^
^
^
99
COBIT – ALKALMAZÁSI MÓDSZEREK
megtalálható) a COBIT, a keretrendszer, a definíciók, a kontroll irányelvek és az auditálási útmutató ismertetéséhez. Az ISACA emellett kétnapos COBIT tanfolyamokat tart az Egyesült Államok Számvev széki Hivatalának Oktatási Intézetében az év egésze során. Az ISACA vállalja azt is, hogy az el adások anyagát és részletességét hozzáigazítja a jelentkez szervezetek igényeihez. ^
^
^
17. KINEK KELL TANFOLYAMI KÉPZÉSEN RÉSZT VENNIE A MI SZERVEZETÜNKT L? `
A COBIT tanfolyamok a fels vezet knek, az informatikai és audit menedzsereknek, az informatikai szakembereknek, az üzleti folyamokért felel s vezet knek, a min ségbiztosítási szakembereknek és az ellen röknek szólnak. ^
^
^
^
^
^
18. MILYEN SZINT KÉPZÉSRE VAN SZÜKSÉG? a
A szükséges képzés terjedelme és szintje attól függ, hogy az érintettek mennyire érzik magukat otthonosan a COBIT-ot illet en. Azoknál a szervezeteknél, amelyek az átlagosnál “ proaktívabb” jelleg ek és ahol jól meg van határozva az informatikai osztály és a többi osztály kapcsolata, elégséges lehet csupán a COBIT Alkalmazási Módszereit áttekinteni. Az olyan szervezetek esetében azonban, ahol a dolgok nincsenek ilyen jól definiálva, célszer a fels vezetés valamint az informatikai részleg és az ellen rzési részleg megfelel tagjainak részt vennie egy egynapos ISACA tanfolyamon. Ezekre a tanfolyamokra Nemzetközi Irodán illetve a helyi egyesületeknél lehet jelentkezni. ^
_
_
^
^
^
19. MIÉRT VANNAK ELTÉRÉSEK A RÉSZLETES KONTROLL IRÁNYELVEK ÉS A KONTROLL MEGFONTOLÁSOK KÖZÖTT?
A kontroll irányelvek az egyes informatikai eljárásokhoz kapcsolódó konkrét, részletes kontroll célkit zésekre koncentrálnak. Ezek meghatározása különböz források alapján történik, beleértve az informatika kontrolljához kapcsolódó de facto és de jure nemzetközi szabványokat is. A kontroll megfontolások, a 3. kiadásban foglaltaknak megfelel en, a vezetés véleményét tükrözik és a kontrollhoz kapcsolódó kritikus sikertényez khöz igazodnak, amelyek a Vezet i útmutatóban találhatóak meg. _
^
^
^
b
20. HOGYAN JAVASOLJAM AZ INFORMATIKAI VEZETÉSNEK, HOGY HASZNÁLJÁK A COBIT-OT?
Mivel a COBIT üzleti szemléletmódú, nyilvánvalóan felhasználható az informatikai kontroll irányelvek meghatározásához az infrmratikához kapcsolódó üzleti kockázatok kezelése céljából: 1. Kiindulási pontként használhatja a Keretrendszerben található üzleti célkit zéseket 2. A Kontroll irányelvek között bemutatott informatikai eljárások és kontroll irányelvek közül kiválaszthatja azokat, amelyek relevánsak szervezete szempontjából 3. Használhatja a szervezet üzleti tervét _
100
COBIT – ALKALMAZÁSI MÓDSZEREK
4.
Az Auditálási irányelvek alapján értékelheti az eljárásokat és az eredményeket A Vezet i útmutató segítségével felmérheti szervezete státuszát, meghatározhatja, hogy melyek azok a tevékenységek, amelyek a sikerhez szükségesek és lemérheti, hogy milyen mértékben sikerült teljesíteni a vállalati célokat.
5.
b
21. A COBIT KERETRENDSZER MAGASABB REND A TÖBBI ELFOGADOTT ELLEN RZÉSI MODELLNÉL? a
`
A fels vezet k többsége tisztában van az általános kontroll keretrendszerek – mint amilyen a COSO, a Cadbury, a COCO vagy a King – fontosságával saját felel sségi területét illet en; nem szükséges azonban, hogy ezek minden részletét ismerjék. Emellett a vezet k körében egyre ismertebbek az olyan, inkább technikai jelleg biztonsági irányelvek, mint az OECD és az IFAC általános szint informatikai szabványai, vagy a DTI részletes Magatartási Kódexe. Jóllehet a fenti modellek fontos hangsúlyt helyeznek az üzleti kontrollra és az informatikai biztonsági kérdésekre, egyedül a COBIT próbálja meg üzleti perspektívából megközelíteni az információ-technológiához kapcsolódó kontroll kérdéseket. Meg kell jegyezni, hogy a COSO is szerepel azok között a forrás-anyagok között, amelyekre a COBIT üzleti modelljének kidolgozásakor támaszkodtunk. Végezetül el kell mondani, hogy a COBIT nem kívánja helyettesíteni a fenti kontroll modellek egyikét sem. Arra törekszik, hogy részletesebb képet adjon az informatikai környezetr l, de ehhez a fenti kontroll modellek meglátásait is felhasználja. ^
^
^
^
^
_
_
^
22. HOGYAN LEHET A LEGGYORSABBAN ÉS A LEGJOBBAN ELADNI A COBIT-OT A VEZET KNEK? `
Ahogy azzal mindannyian tisztában vagyunk, nem számíthatunk semmilyen felment seregre ezzel kapcsolatban. Ahogy azt már korábban többször is kifejtettük, a szervezeti kultúra dönt fontosságú. A megel z magatartásra törekv szervezetek könnyebben elfogadják a COBIT-ot, mint azok, amelyekre ez nem jellemz . Mindenesetre ki lehet emelni az üzleti aspektusokat és azt, hogy a COBIT nem “ fullad bele” a technológiai terminológiákba. Emellett fel lehet hívni a figyelmet arra is, hogy a COBIT az informatikai menedzserek gondolkodásmódja szerint lett kidolgozva és, hogy az egyik legnagyobb el nye az, hogy mindent egy helyen dokumentál. Emellett az újonnan bevezetett Vezet i útmutató új lehet séget kínál a vezetésnek arra, hogy felmérje a szervezet státuszát és teljesítményének alakulását (ágazati viszonyítási normák alapján), a vállalati célok megvalósításának mértékét, a döntéshozatali eljárást és a teljesítmény figyelését. A Vezet i útmutatóban meghatározott érettségi modellek, kritikus sikertényez k, kritikus célmutatók és kritikus teljesítmény-mutatók segíthetnek a vezetésnek abban, hogy az informatikai eljárások jobban igazodjanak az általános vállalati stratégiához, amely révén biztosítható az, hogy az informatika hozzájáruljon a vállalati célok teljesítéséhez. ^
^
^
^
^
^
^
b
^
b
^
101
COBIT – ALKALMAZÁSI MÓDSZEREK
23. MIVEL A COBIT JELENLEG NEM FOGLALKOZIK A KAPCSOLÓDÓ ÜZLETI KOCKÁZATOKKAL, INKÁBB A MEGEL Z CÉLÚ KONTROLL IRÁNYELVEKRE HELYEZI A HANGSÚLYT, TERVEZIK-E AZT, HOGY A KÉS BBIEKBEN A KOCKÁZATOK MEGHATÁROZÁSÁNAK KÉRDÉSÉRE IS KITÉRNEK, AMELYRE NAGY IGÉNY VAN? `
`
`
A kockázatok kérdésével mélyrehatóan foglalkozik a COBIT egésze, és ez különösen igaz a 3. kiadásban újonnan bevezetett Vezet i útmutató-ra. Az ellen rzési és kontroll eljárások egyik f meghatározó alapja az informatikai irányítás modellje, amellyel részletesen foglalkozik a COBIT és a Vezet i útmutató. Az informatikai irányítás az el nyök méréséhez és a kockázatok kezeléséhez kapcsolódó általános vállalati célkit zésekb l indul ki. Ezt a koncepciót, úm. a kockázat-kezelést, mint vállalati célt, már korábban is figyelembe vette a COBIT, amely úgy fogalmaz, hogy az informatikának a szükséges ismérvekkel rendelkez információkat kell biztosítania a vállalat/szervezet számára ahhoz, hogy hozzájáruljon a vállalati célkit zések teljesítéséhez. Bár a biztonsághoz kapcsolódó integritási és bizalmassági kritériumok könnyebben elérhet ségi, hozzákapcsolhatóak a kockázathoz, a vállalati célok teljesítésének elmulasztása illetve a szükséges kritériumok figyelmen kívül hagyása olyan kockázati tényez knek min sülnek, amelyeket kontrollálnia kell a vállalatnak. Konkrét példák is találhatóak az Auditálási útmutató ’ kockázatokat meghatározó’ részében. Ez a rész dokumentálja a vezetés számára, hogy mi történhet akkor, ha nem m ködnek megfelel kontroll eljárások. Emellett van egy konkrét eljárás, amely kizárólag a kockázatok értékelésével foglalkozik (Lásd: TSZ9 – Kockázatok értékelése). Összefoglalva elmondható, hogy a Keretrendszer proaktív módon foglalkozik a kockázatok kérdésével, ú.m. a célokra összpontosít, mivel a legfontosabb kockázat, amit kezelni kell, az, hogy a szervezet nem teljesíti az üzleti célkit zéseket. Másodszor, az Auditálási útmutató ’ kockázatokat meghatározó’ része konkrét példákat mutat be az egyes eljárásokhoz kapcsolódó kockázatokra vonatkozóan. Itt megtalálhatóak a kockázatokkal kapcsolatos azon információk, amelyekre az ellen rzési szakemberek kíváncsiak. Végezetül egy külön informatikai eljárás foglalkozik a kockázatok kezelésével az általános informatikai irányelveken belül. b
^
^
b
^
_
^
^
_
^
^
^
_
^
_
^
25. ELFOGADTÁK A COBIT-OT ÉS AZ AHHOZ TARTOZÓ KERETRENDSZERT AZ INFORMATIKAI VEZET K? `
Igen, számos szervezetnél elfogadták, a világ különböz részein, és egyre több helyen teszik ezt ma is. Nem meglep azonban az, hogy azoknál a szervezeteknél, ahol az informatikai vezet elfogadta a COBIT-ot, mint használható informatikai keretmodellt, nagy szerepet játszottak ebben az Ellen rzési illetve az Informatikai osztályon dolgozó COBIT “ pártfogók” . Az újonnan kidolgozott Vezet i útmutató ugyancsak növelte a COBIT elfogadottságát, mind a vállalati szint , mind az informatikai vezetés körében. Az ^
^
^
^
b
_
102
COBIT – ALKALMAZÁSI MÓDSZEREK
informatikai eljárások vállalati célokhoz történ igazítása, az önértékelés és a teljesítmény mérésének lehet sége biztosítják azt, hogy a vezetés a COBIT-ot ne pusztán ellen rzési keretrendszernek tekintse, hanem olyan eszköznek, amely segítségével javítható az információk és az informatika er források hatékonysága. A COBIT Keretrendszerhez és a Kontroll irányelvekhez kapcsolódó Vezet i útmutató újabb meggy z eszközt kínál a vezetés felé arról, hogy a COBIT–ot mértékadó és naprakész informatikai ellen rzési és irányítási modellként használhatják. ^
^
^
^
b
^
^
^
24. HOGYAN KAPCSOLÓDIK AZ ÚJ VEZET I ÚTMUTATÓ A COBIT KERETRENDSZERÉHEZ? c
A COBIT Keretrendszeréb l kiindulva nemzetközi szabványok és normák alkalmazása révén valamint a követend gyakorlatokra vonatkozó kutatási munkák eredményeként születettek meg a Kontroll irányelvek. Ezt követ en került sor az Auditálási útmutató kidolgozására, amely azt vizsgálja, hogy a meghatározott Kontroll irányelvek megfelel módon végre lettek-e hajtva, vagy sem. A vezetésnek is szüksége van azonban arra, hogy hasonló módon alkalmazni tudja a Keretrendszert, és ennek alapján fel tudja mérni az ellen rzési eljárások megfelel ségét és azt, hogy mely területeken van szükség javításra. A Vezet i útmutató megfelel eszközt kínál ehhez. A Vezet i útmutató folyamat-irányítási és teljesítmény-mérési szempontból fogalmaz meg követend irányelveket a 34 általános kontroll irányelvhez kapcsolódóan. A meghatározott érettségi modellek, kritikus sikertényez k, kritikus célmutatók és kritikus teljesítmény-mutatók hasznos segítséget nyújtanak a vezet i döntések meghozatalához. Az általános szint kontroll irányelvekhez kapcsolódó kockázati megfontolások igazodnak az egyes kontroll irányelvekhez kapcsolódó kritikus sikertényez khöz. A Vezet i útmutató kidolgozásakor az alábbi felhasználók követelményeit és elvárásait vettük figyelembe: Vállalati szint és informatikai vezetés, akik számára olyan új folyamatirányítási eszközt kínál a Vezet i útmutató, amely egyúttal felhasználja a COBIT, mint mértékadó és naprakész ellen rzési keretrendszer által kínált el nyöket is. Biztonsági és ellen rzési szakemberek, akik számára a Vezet i útmutató megfelel alapot kínál a meglév kontroll-orientált eljárások javításához és a vállalati célkit zések teljesítését segít új szolgáltatások nyújtásához. b
^
^
^
^
^
b
^
b
^
^
^
_
^
b
d
_
b
^
^
d
^
^
b
^
_
^
A Vezet i útmutató használatához nem kell szakért ként ismerni az ellen rzési keretrendszert és magát a COBIT-ot, jóllehet a biztonsági és ellen rzési szakemberek igényeib l kiindulva ugyanazt a struktúrát követi, mint a Kontroll irányelvek és az Auditálási útmutató. Mind a tartalom, mind a forma vonatkozásában vannak bizonyos eltérések, ennek ellenére szervesen igazodnak egymáshoz a COBIT 3. kiadásában szerepl különböz részek, a fenti célközönség igényeihez igazodva. b
^
^
^
^
^
^
103
COBIT – ALKALMAZÁSI MÓDSZEREK
M ELLÉKLETEK
104
COBIT – ALKALMAZÁSI MÓDSZEREK
I. MELLÉKLET INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ e
Az alábbiakban közölt Vezet i Útmutató és Érettségi Modell példa meghatározza az informatikai irányításhoz kapcsolódó Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és Érettségi Modelleket. El ször meghatározásra kerül az informatikai irányítás, a vonatkozó üzleti igények megfogalmazása révén. Ezt követ en kerül sor az informatikai irányításhoz kapcsolódó információs kritériumok azonosítására. Az üzleti igény a Kritikus Cél Mutatók alapján mérhet , amelynek megvalósítását a megadott kontroll eljárás teszi lehet vé, a jelzett informatikai er források felhasználásával. A megadott kontroll eljárás teljesítménye a Kritikus Teljesítmény Mutatók segítségével mérhet , amely figyelembe veszi a Kritikus Sikertényez ket. Az Érettségi Modell segítségével értékelni lehet azt, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást – a ’ Nem-létez ’ (legalacsonyabb) szintt l kiindulva a ’ Kezdeti/ad hoc jelleg ’ , az ’ Ismétl d de intuitív jelleg ’ , a ’ Meghatározott eljárás’ és az ’ Irányított és mérhet ’ szinten át az ’ Optimális’ (legmagasabb) szintig. Az Optimális érettségi szint informatikai irányítás eléréséhez a szervezetnek ’ Optimális’ szinten kell állnia a Felügyelet területen és legalább ’ Irányított és mérhet ’ szintet kell elérnie az összes többi tevékenységi területen. ^
^
^
^
^
^
^
^
^
b
f
b
^
b
f
b
_
^
(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezet i útmutatójában.) b
105
COBIT – ALKALMAZÁSI MÓDSZEREK Az INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ
VEZET I ÚTMUTATÓ g
Az információ-technológia és az ahhoz kapcsolódó eljárások irányítása, az értékteremtés üzleti célját szem el tt tartva, a kapcsolódó kockázatok és el nyök figyelembe vétele mellett, ^
^
amely a szükséges Információs Kritériumoknak megfelel vállalkozás részére és a Kritikus Cél Mutatókkal mérhet ,
információkat biztosít a ^
^
amely egy olyan, a vállalkozás számára megfelel , az informatikai tevékenységek által nyújtott értékteremtést irányító és felügyel eljárási és kontroll rendszer kialakítása és fenntartása révén valósítható meg, b
b
amely figyelembe veszi a Kritikus Sikertényez ket, az összes Informatikai Er forrást felhasználja és m ködése a Kritikus Teljesítmény Mutatókkal mérhet . ^
^
_
^
Kritikus Sikertényez k h
• •
Az informatikai irányítás tevékenységei szerves részét képezik a vállalatirányítási folyamatnak és a vezetési magatartásformáknak. Az informatikai irányítás a vállalati célokra, a stratégiai kezdeményezésekre, a vállalkozás fejlesztését segít technológiák használatára és a változó üzleti igényeknek megfelel er források és kapacitások elérhet ségére koncentrál. Az informatikai irányítás tevékenységei világos célok mentén lettek meghatározva, megfelel en dokumentálva vannak és a vállalkozás igényei alapján kerülnek végrehajtásra, a felel sségi körök egyértelm meghatározása mellett. Megfelel vezet i gyakorlatokat alkalmaznak az er források hatékony és optimális kihasználásának biztosítása és az informatikai eljárások eredményességének növelése céljából. Megfelel szervezeti gyakorlatokat alkalmaznak, amelyek lehet vé teszik az alábbiak megvalósítását: megbízható vezet i felügyelet; ellen rzési környezet/kultúra kialakítása; a kockázat-elemzés általános gyakorlatként történ alkalmazása; a kialakított normák megfelel mérték betartása; kontroll hiányosságok és kockázatok figyelemmel kísérése és megfelel korrekciós intézkedések megtétele (follow up). Megfelel ellen rzési gyakorlatokat határoztak meg a bels ellen rzés és a vezet i felügyelet ” cs djeinek” elkerülése céljából. Össze vannak kapcsolva és zökken mentesen képesek együttm ködni az olyan komplexebb informatikai eljárások, mint a probléma-, a változás és a konfiguráció-kezelés. Audit bizottság m ködik a szervezetnél, amely: felel s a független könyvvizsgáló kinevezéséért és munkájának felügyeletéért; az informatikai kérdésekre koncentrál az auditálási tervek kidolgozásakor; áttekinti az ellen rz vizsgálatok és a küls felek által végzett ellen rzések eredményeit. ^
^
•
^
^
^
^
• •
^
_
^
^
^
^
^
^
^
^
_
^
•
^
^
^
^
• •
^
^
^
_
_
^
^
^
^
106
^
COBIT – ALKALMAZÁSI MÓDSZEREK
Információs kritériumok
Informatikai er források i
eredményesség hatékonyság bizalmasság sértetlenség hozzáférhet ség szabályosság megbízhatóság
emberek alkalmazások technológia technikai környezet adatok
j
Kritikus Cél Mutatók • • • • • • •
Teljesítmény és költség-gazdálkodás javulása Jelent s informatikai beruházások ” hozamának” javulása Piaci reagálási id javulása Min ség, innováció és kockázat-kezelés javulása Megfelel en integrált és szabványosított üzleti eljárások alkalmazása Új ügyfelek szerzése és meglév ügyfelek kielégítése Megfelel sávszélesség, számítógép-teljesítmény és informatikai m ködési mechanizmusok elérhet sége Az egyes eljárások eredményeit felhasználó felek követelményeinek és elvárásainak megfelel id ben és a költségkeretek túllépése nélkül történ kielégítése Törvények, jogszabályi rendelkezések, ágazati normák és szerz déses kötelezettségek betartása Kockázat-vállalás átláthatósága és a meghatározott szervezeti kockázati profilok betartása Informatikai irányítás érettségre vonatkozó összehasonlító értékelések végzése Új szolgáltatás-nyújtási csatornák kialakítása ^
^
^
^
^
^
_
^
•
^
• • • •
^
^
^
Kritikus Teljesítmény Mutatók • • • • • • • •
Informatikai eljárások költség-hatékonyságának (költségek vs. szolgáltatások) javulása Eljárások fejlesztéséhez kapcsolódó informatikai cselekvési tervek számának növekedése Informatikai infrastruktúra kihasználtságának növekedése Érdekelt felek elégedettségének javulása (felmérés ill. panaszok száma alapján) Munkaer hatékonyságának (szolgáltatások száma alapján) és moráljának (felmérés alapján) javulása A vállalat-irányításhoz szükséges ismeretek és információk elérhet ségének javulása Az informatikai irányítás és a vállalat-irányítás egymáshoz kapcsolódásának fokozódása Teljesítmény javulása az informatikai eredménymutatók alapján. ^
^
107
COBIT – ALKALMAZÁSI MÓDSZEREK Informatikai irányítás Érettségi Modellje Az információ-technológia és az ahhoz kapcsolódó eljárások olyan jelleg irányítása, amely az értékteremtés üzleti célját tartja szem el tt és figyelembe veszi a kapcsolódó kockázatokat és el nyöket _
^
^
0
Nem létez Teljesen hiányzik az informatikai irányítás m ködésére utaló bármilyen eljárás. A szervezet nem ismerte fel még azt sem, hogy foglalkozni kellene ezzel a kérdéssel, ezért nincs is napirenden a kérdés.
1
Kezdeti/Ad hoc jelleg Bizonyítható, hogy a szervezet felismerte az informatikai irányításhoz kapcsolódó kérdések létezését és kezelésének szükségességét. Mindazonáltal nem alkalmaznak egységes eljárásokat, csupán ad hoc jelleg megoldásokat, egyedi illetve eseti alapon. A vezetés hozzáállása a kérdéshez kaotikus és csak elvétve és alkalmanként kerülnek szóba az ilyen jelleg kérdések és a kezelésükhöz szükséges módszerek. El fordul, hogy a vezetés bizonyos mértékig tisztában van azzal, hogy az informatika milyen értékekkel járul hozzá a kapcsolódó vállalati eljárások teljesítményéhez. Nem m ködik egységes értékelési eljárás. Az informatikai eljárások ellen rzésére csupán utólagos jelleggel kerül sor olyan esetek kapcsán, amelyek nyomán veszteségek keletkeztek illetve amelyek zavart okoztak a szervezet m ködésében.
i
_
k
_
_
^
_
^
_
2
A szervezet általános szinten tisztában van az Ismétl d de intuitív jelleg informatikai kérdések fontosságával. Folyamatban van az informatikai irányításhoz kapcsolódó tevékenységek és teljesítmény-mutatók kidolgozása, ideértve a informatikai tervezést valamint az eljárások m ködtetését és felügyeletét is. Ezen kezdeményezések részeként az informatikai irányítási tevékenységeket formálisan is integrálják a szervezet változás-kezelési eljárásába a fels vezetés aktív közrem ködése és felügyeletet mellett. A vállalati alapfolyamatok hatékonyságának javítása illetve kontrollálása céljából kiválasztanak bizonyos informatikai eljárásokat, amelyeket megfelel en megterveznek és felügyelnek, mint beruházásokat, és a meghatározott informatikai architektúra keretrendszer alapján alakítanak ki. A vezetés meghatározta informatikai irányításra vonatkozó alapvet mérési és értékelési módszereket és technikákat, az eljárást azonban nem alkalmazzák a szervezet egészére kiterjed en. Nincsen az irányítási normákra vonatkozó formális képzés és tájékoztatás, és a felel sségi körök egyénekre vannak bízva. Bizonyos egyének határozzák meg az irányítás módját a különböz informatikai projekteken és eljárásokon belül. Irányítási eszközöket csak korlátozott mértékben alkalmaznak az irányításhoz kapcsolódó mérési mutatók összegy jtésére, de el fordul, hogy ezeket sem használják fel a lehetséges maximális mértékben a funkcionalitásukra vonatkozó szakértelem hiánya miatt. i
i
k
_
^
_
^
^
^
^
^
_
3
^
Meghatározott eljárás Az informatikai irányításhoz kapcsolódó tevékenységek szükségessége tudott és elfogadott a szervezetnél. Kidolgoztak az informatikai irányításhoz kapcsolódó bizonyos alap-mutatókat, amelyek kapcsán meghatározták, dokumentálták és beépítették a stratégiai és operatív tervezés és felügyelet folyamataiba az eredmény-mutatók és a teljesítményt meghatározó tényez k közötti összefüggéseket. A bevezetett eljárásokat szabványosították és dokumentálták. A vezetés megfelel módon kommunikálta a szervezet felé a szabványosított eljárásokat és informális képzési formákat alakított ki. Az informatikai irányítás tevékenységeihez kapcsolódó teljesítmény-mutatókat nyilvántartják és elemzik, amely vállalati szint javulásokat ^
^
_
108
COBIT – ALKALMAZÁSI MÓDSZEREK eredményez. Bár az eljárások mérhet ek, nem túlzottan kifinomultak, csupán a meglév gyakorlatok formalizációi. Az eszközök szabványosak és az aktuálisan rendelkezésre álló technikákra épülnek. A szervezet ún. ’ Egyensúlyi Üzleti Eredménymutató’ -kat (’ Balanced Business Scorecards’) alkalmaz. A képzettség megszerzése és a szabványok követése és alkalmazása azonban az egyénre van bízva. Kiváltó okokra irányuló elemzésére csak ritkán kerül sor. Az eljárások többségének m ködését bizonyos (alapvet ) mérési mutatók alapján kísérik figyelemmel, de az esetleges eltéréseket, amelyek többségére bizonyos egyének kezdeményezése nyomán kerül sor, nem valószín , hogy fel tudja deríteni a vezetés. Mindazonáltal a kulcsfontosságú eljárásokhoz kapcsolódó általános felel sségi körök világosak és a vezetés díjazása a kritikus teljesítményi mutatók alapján történik. ^
^
_
^
_
^
4
A szervezet minden szintjén teljes mértékben tisztában vannak Irányított és mérhet az informatikai irányításhoz kapcsolódó kérdések fontosságával, amelyet formális jelleg képzés is támogat. Világosan látják, hogy ki az informatikai eljárások ” vev je” és a felel sségi köröket szolgáltatási szintekre vonatkozó megállapodásokon keresztül határozzák meg és felügyelik. A felel sségi körök világosak és minden eljárásnak meg van a maga ” gazdája” . Az informatikai eljárások igazodnak az üzleti és az informatikai stratégiához. Az informatikai eljárások fejlesztése els sorban kvantitatív megértésre alapul és lehetséges az eljárásokra vonatkozó mérési mutatók szerinti mérés. Az eljárásokban érintett felek tisztában vannak a kockázatokkal, az informatika fontosságával és az általa kínált lehet ségekkel. A vezetés meghatározott bizonyos tolerancia-határokat az eljárások m ködésére vonatkozóan. Megfelel válaszlépéseket eszközölnek az olyan esetek többségében, de nem minden esetben, ahol az eljárások láthatóan nem m ködnek hatékonysággal illetve eredményességgel. Az eljárások fejlesztése megfelel alkalomszer és a legjobb bels gyakorlatok alkalmazását szorgalmazzák. A kiváltó okokra irányuló elemzések szabványos jelleg ek. A szervezet elkezdett foglalkozni a folyamatos fejlesztés kérdésével. A technológia használata korlátozott, els sorban taktikai jelleg , amely érett technikákra és szabványos eszközökre épül. Az összes érintett bels szakért közrem ködik az informatikai irányításban. Az informatikai irányítás vállalati szint eljárássá fejl dik. Az informatikai irányításhoz kapcsolódó tevékenységek fokozatosan beintegrálódnak a vállalat-irányítási eljárásba. i
_
^
^
^
^
^
_
^
_
^
_
^
_
^
_
^
^
_
_
5
^
Optimális Az informatikai irányításhoz kapcsolódó kérdések és megoldások megértése és ismerete el rehaladott és el retekint jelleg . A képzést és a kommunikációt innovatív koncepciókkal és technikákkal támogatják. Az eljárásokat küls normák alapján alakítják, a folyamatos fejlesztések és a más szervezetekhez viszonyított érettségi modellek eredményei alapján. Az alkalmazott vállalat-politika eredményeként a szervezet, az ott dolgozó emberek és az eljárások gyorsan tudnak alkalmazkodni az informatikai irányításhoz kapcsolódó követelményekhez és teljes mértékben támogatják azokat. Minden probléma és eltérés esetén megvizsgálják a kiváltó okokat és az elemzés eredménye alapján megfelel intézkedéseket kezdeményeznek. Az informatikát kiterjedt, integrált és optimalizált módon használják fel a munkafolyamatok automatizálása és a min ség és az eredményesség javítása céljából. Meg vannak határozva az informatikai eljárások kockázatai és el nyei és a vállalkozás egésze tájékoztatást kapott azokról. Küls szakért ket is igénybe vesznek és viszonyítási normákat használnak útmutatásként. Az ellen rzés, az önértékelés és az irányításra vonatkozó elvárások kommunikációja általános jelleg a szervezeten belül és optimálisan használják fel a technológiát a mérések, az elemzések, a kommunikáció és a képzés támogatásához. A vállalat-irányítás és az informatikai irányítás stratégiai szinten kapcsolódnak egymáshoz, úgy, hogy a ^
^
^
_
^
^
^
^
^
^
^
_
109
COBIT – ALKALMAZÁSI MÓDSZEREK rendelkezésre álló technológiát, emberi er forrásokat és anyagi er forrásokat a vállalkozás versenyképességének javítását szem el tt tartva hasznosítják. ^
^
^
110
COBIT – ALKALMAZÁSI MÓDSZEREK
II. MELLÉKLET COBIT PROJEKT LEÍRÁS A projektet továbbra is egy ipari, tudományos, kormányzati és ellen rzési szakemberekb l álló nemzetközi "Projekt Irányító Bizottság" felügyeli. A Projekt Irányító Bizottság részt vett a COBIT Keretrendszer kidolgozásában és a kutatási eredmények alkalmazásában. A projekt keretében végzett kutatások és fejlesztések min ség-biztosítási és szakért i elemzési feladatainak elvégzésére nemzetközi munka-csoport lett felállítva. A projekt általános irányításáért az IT Governance Institute felel. ^
^
^
^
KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A KORÁBBI KIADÁSOKNÁL Az 1. kiadásban meghatározott COBIT Keretrendszeb l kiindulva, nemzetközi szabványok és irányelvek akalmazása és a legjobb gyakorlatok felkutatása révén, megszülettek a kontroll irányelvek. A következ lépés az auditálási útmutató kidolgozása volt, amely azt értékeli, hogy a fenti kontroll irányelvek megfelel en vannak-e végrehajtva. b
^
^
Az 1. és 2. kiadáshoz kapcsolódó kutatási munka részeként összegy jtöttük és elemeztük a meghatározott forrásokat, amelyet európai (Free University of Amsterdam), amerikai (California Polytechnik University) és ausztráliai (University of New South Wales) kutatócsoportok végeztek. A kutatók azt a feladatot kapták, hogy gy jtsék össze, vizsgálják át, értékeljék és rendezzék össze a Keretrendszerhez és az egyes kontroll irányelvekhez kapcsolódó nemzetközi m szaki szabványokat, magatartási kódexeket, min ségi szabványokat, ellen rzési szakmai normákat és ágazati követelményeket. Az adatok összegy jtését és elemzését követ en a kutatók minden egyes informatikai területet és eljárást alaposan megvizsgáltak, majd javaslatokat tettek az egyes informatikai eljárások esetében alkalmazandó kontroll irányelvekre. Az eredményeket a COBIT Irányító Bizottsága és az ISACF Kutatási Igazgatója összesítették. _
_
_
^
^
_
^
KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A 3. KIADÁSNÁL A COBIT 3. kiadásához kapcsolódó projekt keretében kidolgozásra került a Vezet i útmutató és felül lett vizsgálva a COBIT 2. kiadása a legújabb nemzetközi hivatkozási források és normák alapján. b
Emellett, a vezet i kontroll hatékonyabb segítése, a teljesítmény kezelésének bevezetése és az informatikai irányítás tartalmának további részletezése érdekében sor került a COBIT Keretrendszer felülvizsgálatára és kib vítésére is. Annak érdekében, hogy a vezetés a Keretrendszer alapján fel tudja mérni az informatikához kapcsolódó kontroll eljárások megfelel végrehajtását, hogy választani tudjon azok közül illetve, hogy mérni tudja az eljárások teljesítményét, az egyes Kontroll Irányelvekhez kapcsolódóan Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók is bekerültek a Vezet i Útmutatóba. ^
^
^
^
b
A Vezet i Útmutató kidolgozásában egy 40 szakért b l álló nemzetközi panel vett részt, amelynek tagjai az ipar, a tudomány, a kormányzatok valamint az informatikai biztonsági és ellen rzési szakma képvisl i közül kerültek ki. Ezek a szakemberek részt vettek egy speciális ^
b
^
^
111
^
COBIT – ALKALMAZÁSI MÓDSZEREK workshop-öszejövetelen, ahol a COBIT Irányító Bizottsága által meghatározott irányelvek szerint folyt a munka. Az összejövetelhez jelent s támogatást nyújtott a Gartner Group és a PricewaterhouseCoopers, akik a munkaérkezlet menetének irányítása mellett saját ellen rzési, teljesítmény-kezelési és informatikai biztonsági szakért iket is elküldték. Az értekezlet munkájának eredményeként a COBIT mind a 34 általános szint kontroll irányelvéhez kapcsolódóan kidolgozásra kerültek az Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók tervezetei. A COBIT Irányító Bizottsága min ségbiztosítási szempontból áttekintette a kidolgozott tervezeteket, majd az így kapott eredményeket közzétették nyilvános vitára az ISACA web-oldalán. Mindezek alapján elkészült a Vezet i útmutató elnevezés új rész, amely igazodik a COBIT Keretrendszerhez és hasznos eszközt kínál a vezetés számára. ^
^
^
_
^
^
b
_
A Kontoll irányelvek legújabb nemzetközi hivatkozási források és normák alapján történ aktualizálását az ISACA-hoz tartozó egyesületek tagsága végezte el, a COBIT Irányító Bizottságának irányítása mellett. A munka során nem kívántuk globálisan elemezni az összes anyagot vagy átírni a Kontroll irányelveket, hanem egyfajta fokozatos aktualizálási eljárásra törekedtünk. ^
A kidolgozott Vezet i útmutató alapján felülvizsgáltuk magát a COBIT Keretrendszert is, els sorban az általános kontroll irányelvekhez kapcsolódóan a mérlegelend kérdésekre, a célokra és a megvalósítás módjára vonatkozó megállapításokat. b
^
^
112
COBIT – ALKALMAZÁSI MÓDSZEREK
III. MELLÉKLET ELS DLEGES COBIT HIVATKOZÁSI FORRÁSOK e
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control — Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. An Introduction to Computer Security: The NIST Handbook: NIST Special Publication 800-12, National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission), Brussels, 1994. NSW Premier's Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. Premier' s Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (President's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the President' s Council on Management Improvement and the President' s Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992. CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study," Rolling Meadows, IL, 1994. IFAC International Information Technology Guidelines—Managing Security of Information: International Federation of Accountants, New York, 1998. IFAC International Guidelines on Information Technology Management—Managing Information Technology Planning for Business Impact: International Federation of Accountants, New York, 1999.
113
COBIT – ALKALMAZÁSI MÓDSZEREK Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NIST Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: US General Accounting Office, Washington, DC, 1999. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Auditability and Control: Institute of Internal Auditors Research Foundation, Systems Auditability and Control Report, Altamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Altamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, 1997. ISO IEC JTC1/SC27 Information Technology — Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997. Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI (France), BSI (Germany), NLNCSA (Netherlands), CESG (United Kingdom), NIST (USA) and NSA (USA), 1999. Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994 ESF Baseline Control-Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994. ESF Baseline Control-Microcomputers: European Microcomputers Attached to Network, June 1990.
Security
Forum,
London.
Baseline
Controls
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992. Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): US General Accounting Office, Washington, DC 1999. Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National Institute for Standards and Technology, US Department of Commerce, Washington, DC, 1998.
114
COBIT – ALKALMAZÁSI MÓDSZEREK Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999. BS7799-Information Security Management: British Standards Institute, London, 1999. CICA Information Technology Control Guidelines, 3rd Edition: Canadian Institute of Chartered Accountants, Toronto, 1998. ISO/IEC TR 13335-n Guidelines for the Management of IT Security (GMITS), Parts 1-5: International Organisation for Standardisation, Switzerland, 1998. AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
115
COBIT – ALKALMAZÁSI MÓDSZEREK
IV. MELLÉKLET SZÓJEGYZÉK AICPA
American Institute of Certified Public Accountants – Okleveles Könyvvizsgálók Amerikai Egyesülete Canadian Institute of Chartered Accountants – Okleveles Könyvvizsgálók kanadadai CICA Egyesülete Certified Information Systems Auditor – Okleveles Információs Rendszer Auditor CISA Common Criteria for Information Technology Security – Informatika biztonság közös CCEB kritériumai Azok az irányelvek, eljárások, gyakorlatok és szervezeti struktúrák, amelyek célja az, Kontroll hogy gondoskodjanak az üzleti célkit zések teljesítésér l és a nemkívánatos események megel zésér l, felderítésér l és korrekciójáról. Committee of Sponsoring Organisations of the Treadway Commission – Treadway COSO Bizottságot Szponzorálós Szervezetek Bizottsága Disaster Recovery Institute International – Nemzetközi Katasztrófa-helyreállítási DRI Intézet Department of Trade and Industry of the United Kingdom – Az Egyesült Királyság DTI Ipari és Keresedelmi Minisztériuma Electronic Data Interchange for Administration, Commerce and Trade – EDIFACT Adminisztrációs, kereskedelmi és üzleti célú elektronikus adatcsere Electronic Data Processing Auditors Foundation (now ISACF) – Elektronikus EDPAF Adatfeldolgozási Auditorok Alapítványa (mai neve ISACF) European Security Forum – Európai Biztonsági Fórum, 70-nél több, els sorban ESF multinacionális társaság kutatási együttm ködési fúruma az informatikai biztonság és ellen rzés területén U.S. General Accounting Office – Az Egyesült Államok Legf bb Számvev széke GAO I4 International Information Integrity Institute (Az információk sértetlenségével és összhangjával foglalkozó nemzetközi intézet) az ESF-hez hasonló szervezet, hasonló célokkal, de els sorban amerikai székhely és a Stanford Kutató Intézet irányítja. Az Infosec Bizottságnak tanácsokat adó ágazati szakért k csoportja. A fenti Bizottság IBAG az Európai Közösség kormányzati tisztségvisel ib l áll és maga is ad tanácsokat az Európai Bizottságnak informatikai biztonsági kérdésekben. International Federation of Accountants – Nemzetközi Könyvvizsgálói Szövetség IFAC Institute of Internal Auditors – Bels Ellen rök Intézete IIA Advisory Committee for IT Security Matters to the European Commission – Az INFOSEC Európai Bizottság Informatikai Biztonségi kérdésekkel foglalkozó Tanácsadó Bizottsága ga Information Systems Audit and Control Association – Információs RendszerISACA ellen rök Egyesülete Information Systems Audit and Control Foundation - Információs RendszerISACF ellen rzési Alapítvány International Organisation for Standardization - Nemzetközi Szabványügyi ISO Szervezet Az ISO által meghatározott min ségirányítási és min ségbiztosítási szabványok. IS09000 Informatikai A kontroll eljárások végrehajtása révén elérni kívánt eredmény illetve cél kontroll meghatározása irányelv l
j
j
j
j
j
l
j
j
j
l
j
j
j
j
j
j
j
j
j
116
j
COBIT – ALKALMAZÁSI MÓDSZEREK
ITIL ITSEC NBS NIST korábban NBS) NSW OECD
Information Technology Infrastructure Library - Információtechnológiai infrastruktúra könyvtár Információ-technológiai biztonság kiértékelésének kritérium rendszere. Franciaország, Németország, Hollandia és az Egyesült Királyság egységes kritériumai, amelyeket támogat az Európai Bizottság is (lásd még: TCSEC) National Bureau of Standards of the U.S. – USA Szabvánügyi Iroda National Institute of Standards and Technology – Nemzeti Szabványügyi és Technológiai Intézet (székhelye: Washington. D.C.) Új-Dél Wales, Ausztrália Organisation for Economic Cooperation and Development – Gazdasági Együtt ködési és Fejlesztési Szervezet Open Software Foundation – Nyitott Szoftver Alapítvány President’s Council on Integrity and Efficiency – Az infromációk sértetlenséggel és hatékonyságával foglalkozó Elnöki hivatal Software Process Improvement and Capability Determination – szoftver-fejlesztés és kapacitás meghatározás – a szoftverfejlesztésre vonatkozó szabvány Megbízható számítógéprenszerek kiértékelésének kritérium rendszere más néven Orange Book: számítógépes rendszerek biztonságának érékelési kritériumai, amelyet eredetileg az Egyesült Államok Védelmi Minisztériuma dolgozott ki. Európai megfelel jét lásd az ITSEC-nél. Szoftverek min ség-kezelési rendszerének kiépésére és hitelesítésére vonatkozó útmutató l
OSF PCIE SPICE TCSEC
j
TickIT
j
117