KERETRENDSZER. 3. kiadás

KERETRENDSZER 3. kiadás

MTA Információtechnológiai Alapítvány 2003

COBIT AZ INFORMÁCIÓ–TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ– HOZ ÉS ELLEN RZÉSÉHEZ

1

IT

GOVERNANCE INSTITUTE

COBIT – KERETRENDSZER

IT

GOVERNANCE INSTITUTE

COBIT 3. kiadás

Keretrendszer 2000. július

A COBIT Irányító Bizottsága és az IT Governance InstituteTM gondozásában

A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény , általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az

2


üzletemberek, ellen rök és könyvvizsgálók

3

COBIT – KERETRENDSZER INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén

Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén – fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket.

Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: • Szakképesítési programja (Okleveles információs–rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. • Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. • Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. • Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét.

Az Information Systems Audit and Control Association 1969–ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével – egy olyan ágazatban, ahol nano– szekundumokban mérik az el relépéseket.

További információk További felvilágosításért hívja a +1.847.253.1545–ös telefonszámot, írjon e–mail címünkre ([email protected]), vagy keressen fel minket az Internet-en az alábbi oldalakon: www.Itgovernance.org www.isaca.org

4


TARTALOMJEGYZÉK Köszönetnyilvánítás Vezet i összefoglaló

A COBIT keretrendszer A keretrendszer alapelvei COBIT történelem és el zmények

Általános szint kontroll irányelvek – Összefoglaló táblázat

Keretrendszer navigációs áttekintés Általános szint kontroll irányelvek

I. Melléklet Informatikai irányításhoz kapcsolódó vezet i útmutató

II. Melléklet COBIT projekt ismertetés III. Melléklet Els dleges COBIT hivatkozási források

IV. Melléklet Szójegyzék

5

COBIT – KERETRENDSZER A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ–technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a ’’Termék”), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében.

Közzététel és szerz i jog Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön – elektronikus, mechanikus, hangfelvétel, vagy más – keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: ”Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével.”

Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels , nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva.

Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Fax: +1.847.253.1443 E–mail: [email protected] Internet: www.ITgovernance.org www.isaca.org ISBN ISBN

1–893209–15–6 (Összefoglaló áttekintés) 1–893209–13–X (a 6 teljes könyv CD ROM-mal együtt)

Készült az Amerikai Egyesült Államokban.

6


KÖSZÖNETNYILVÁNÍTÁS COBIT IRÁNYÍTÓ BIZOTTSÁG Erik Guldentops. S.W.I.F.T. sc. Belgium John Lainhart, PricewaterhouseCoopers, USA Eddy Schuermans, PricewaterhouseCoopers, Belgium John Beveridge, State Auditor’s Office, Massachusetts, USA Michael Donahue, PricewaterhouseCoopers, USA Gary Hardy, Arthur Andersen, Egyesült Királyság Ronald Saull, Great-West Life Assurance, London Life And Investors Group, Kanada Mark Stanley, Sun America Inc., USA

KÜLÖN KÖSZÖNET az Information Systems Audit and Control Association Igazgatóságának tagjainak és az Information Systems Audit and Control Foundation vagyonkezel inek, élükön Paul Williams Nemzetközi Elnökkel, a COBIT iránti elkötelezettségükért és folyamatos támogatásukért.

7


VEZET I ÖSSZEFOGLALÓ

A

szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában – ahol az információ id -, távolsági- és sebesség-korlátok nélkül száguld a kibertérben – az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása:

• a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; • egyre nagyobb mérték a szervezetek sebezhet sége és veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; • az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá • bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket.

Sok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet legértékesebb vagyontárgyait. Mindezek mellett napjaink versenycentrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani.

Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat.

Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus

8

COBIT – KERETRENDSZER csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.

A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásokra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.

A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona esetében, figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források – ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat – optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani.

9

COBIT – KERETRENDSZER A COBIT – immár harmadik kiadásában – az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó “szakadékok” áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott “követend gyakorlatok” olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem.

A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg.

Az üzleti szemléletmód a COBIT egyik f

jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is.

A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki:

10

COBIT – KERETRENDSZER A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni.

A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan.

A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek–e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat.

A ”Vezet i útmutató” a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg , javaslatokat ad a vállalat-vezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye.

11

COBIT – KERETRENDSZER A COBIT ún. ”Érettségi Modelleket” kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen ”hol tart” a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. ”Kritikus sikertényez ket” kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. ”Kritikus cél indexeket” kínál, amelyek meghatározzák azokat a mér számokat, amelyek a megvalósítást követ en megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. ”Kritikus teljesítmény indexeket” is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez.

A COBIT ”Vezet i útmutató”-jában szerepl ajánlások tevékenységközpontúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokolják-e a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével?

A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál – Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása – a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez.

Az

elkövetkez évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti “szakadékok” áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed , világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az információ–technológiához kapcsolódó kockázatok és el nyök megértéséhez és kezeléséhez nyújt segítséget.

12


A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS

COBIT

F1 folyamatok felügyelete

F2 bels ellen rzés megfelel ségének

TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése

felmérése

F3 független értékelés szerzése F4 független ellen rzés (audit)

biztosítása

INFORMÁCIÓ

• eredményesség • hatékonyság • bizalmas jelleg • sértetlenség • hozzáférhet ség • szabályosság • megbízhatóság

FELÜGYELET

IT ER FORRÁSO K

TERVEZÉS ÉS SZERVEZET

INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS

• emberek • alkalmazási rendsz.–k • technológia • technikai környezet • adatok

IT1 szolgáltatási szintek meghatározása

BESZERZÉS ÉS BEVEZETÉS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése

és kezelése IT2 küls szolgálttaások kezelése

IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása

IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése IT13 m ködés irányítása

13


A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ–TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat.

A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz . Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket.

Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontrollfunkciók kialakítását, legyen szó akár üzleti, non–profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést.

Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos

14

COBIT – KERETRENDSZER véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket.

AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szolgáltatók alkalmazása szerkezet-átalakítás, a karcsúsítás, a küls (outsourcing), a részlegek önállósítása és a megosztott feldolgozás mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el – és fognak még el idézni – a szervezetek irányítási struktúrájában és m ködésének ellen rzésében.

A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontroll-mechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver–, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan “bakugrás” jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia.

Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével.

A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalatirányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a 15

COBIT – KERETRENDSZER teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált.

Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket.

(ábra) Vállalatirányítás

befolyás és hatás

Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

16

COBIT – KERETRENDSZER (ábra) Vállalati tevékenységek

információ igény

Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait – ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalat-irányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust.

(ábra)

Vállalat-irányítás KÖZVETLEN

Célok

Vállalati tevékenységek

KONTROLL

⇐

Er források

⇐

JELENTÉS

FELHASZNÁLÁS

Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra.

17


(ábra)

Informatikai irányítás Közvetlen

Célok igazodik és támo-

Szükséges TERV

gatja az üzleti cé-

CSELEKVÉS

lokat és maxima-

ELLEN RZÉS

lizálja az el nyöket - Az informatikai er forrásokat

KORREKCIÓ

hatékonyan használják fel - Az informatikához kapcsolódó kockázatokat megfelel en kezelik

Tervezés szerv. Beszerz. bevez. M ködt. támog. Felügyelet

Informatikai tevékenységek

KONTROL L

Kockázatkezelés biztonság megbízhatóság szabályosság

⇐ Jelentés

18

El nyök elérése

Automatizáció növelése eredményesség

Költségek csökkentése - hatékonyság

és és és


Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en.

AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információtechnológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén.

Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO* az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari– Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy “betömje” ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál.

(A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrustTM Rendszer-megbízhatósági alapelvek és kritériumok csomag. A SysTrust-ot, amely részben a COBIT Kontroll irányelveire épül, egyaránt *

Committe of Sponsoring Organizations of the Treadway Commission – Internal Control Integrated Framework, 1992

19

COBIT – KERETRENDSZER mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.)

Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához.

A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki.

A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT:

VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg. FELHASZNÁLÓK:

20

COBIT – KERETRENDSZER a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás.

INFORMÁCIÓS RENDSZER ELLEN RÖK: az ellen ri vélemények alátámasztása és a bels ellen rzéssel kapcsolatos tanácsadás segítése.

AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezet-átalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához.

A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk.

ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A “kontroll” kifejezés jelentését a COSO Jelentésb l (Internal Control – Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az “Informatikai (IT) Kontroll Irányelv” kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994)

A kontroll definíciója

Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák.

Az informatikai Azon kívánt eredmények illetve célok meghatározása, 21

COBIT – KERETRENDSZER Kontroll Irányelv definíciója

amelyek valamely konkrét informatikai területen a kontroll-eljárások alkalmazása révén megvalósíthatóak.

Az informatikai A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, irányítás definíciója ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.

22


A KERETRENDSZER ALAPELVEI Két különböz kategóriába lehet besorolni a napjainkban alkalmazott ellen rzési vagy kontroll modelleket: az ún. “üzleti kontroll modellek” osztályába (ilyen pl. a COSO) és a “koncentráltabb irányú informatikai kontroll modellek” osztályába (ilyen például a DTI). A COBIT a kett közötti szakadékot kívánja áthidalni. A COBIT tehát egyrészt általánosabb jelleg a fenti informatikai kontroll modelleknél, másrészt többet jelent az informatikai rendszerekért felel s vezet k számára, mint puszta technológiai szabványcsomag. A COBIT az informatikai irányítás modellje!

A COBIT Keretrendszere arra az alapkoncepcióra épül, hogy az informatika területén a kontroll kérdését az üzleti célkit zések illetve követelmények teljesítéséhez szükséges információkon keresztül kell megközelíteni, és az információkra úgy kell tekinteni, mint az informatikai eljárások által kezelt er források együttes alkalmazásának eredményére.

ábra

ÜZLETI KÖVETELMÉNYEK

INFORMATIKAI ELJÁRÁSOK

INFORMATIKAI ER FORRÁSOK

Az üzleti célok teljesítése érdekében az információknak meg kell felelniük bizonyos kritériumoknak, amelyekre a COBIT az információkra vonatkozó üzleti követelményekként hivatkozik. A követelmények meghatározásakor a COBIT ötvözi a meglév és ismert hivatkozási modellek alapelveit:

Min ségi követelmények

Min ség Költség Informatikai szolgáltatás

Fiduciáris követelmények

M ködés eredményessége és hatékonysága Információk megbízhatósága Törvényeknek és jogszabályoknak való megfelelés

Biztonsági követelmények

Bizalmas jelleg Sértetlenség

23

COBIT – KERETRENDSZER Hozzáférhet ség, rendelkezésre állás

A min ség kapcsán els sorban annak “negatív” aspektusaira koncentráltunk (hibamentesség, megbízhatóság, stb.), amelyek nagy részével a sértetlenségi kritérium is foglalkozik. A min ség pozitív, de kevésbé kézzelfogható oldalait (stílus, vonzó tulajdonságok, elvárásokat meghaladó teljesítmény, stb.) egyel re nem vizsgáltuk meg az informatikai kontroll irányelvek szempontjából. Abból az alapkoncepcióból indultunk ki, hogy a legfontosabb prioritás a kockázatok, nem pedig a lehet ségek megfelel kezelése. A min ség használhatósági aspektusával az eredményességi kritérium foglalkozik. A min ség informatikai szolgáltatási aspektusa átfedéseket mutat a biztonsági követelmények hozzáférhet ségi aspektusával és bizonyos mértékben az eredményességgel és a hatékonysággal is. Végül a költség kritériummal a hatékonyság is foglalkozik.

A fiduciáris követelmények kapcsán a COBIT nem akarta újra feltalálni a kereket – átvettük a m ködés eredményességére és hatékonyságára, az információk megbízhatóságára és a jogszabályoknak való megfelelésre vonatkozó COSO definíciókat, azzal a különbséggel, hogy az információk megbízhatósági kritériumát kiterjesztettük minden információra – nemcsak a pénzügyiekre.

A biztonsági követelmények kapcsán a COBIT a bizalmas jelleget, a sértetlenséget és a hozzáférhet séget, rendelkezésre állást kezeli a legfontosabb kritériumokként – ezt a három szempontot használják világszerte az informatikai biztonsági követelmények leírásához.

Az átfogóbb tartalmú min ségi, fiduciáris és biztonsági követelményekb l kiindulva hét különböz , bizonyos esetekben egymást átfed , kategória került meghatározásra. Ezeknek a kategóriáknak a tartalmát az alábbiak szerint definiálja a COBIT:

Eredményesség ahhoz kapcsolódik, hogy az információk relevánsak-e az üzleti folyamatok szempontjából illetve, hogy a megfelel id ben, pontos, egységes, ellentmondásmentes és felhasználható formában állnak–e rendelkezésre

Hatékonyság

ahhoz kapcsolódik, hogy az információk az er források optimális (a lehet leghatékonyabb és leggazdaságosabb) felhasználása révén lettek-e el állítva

Bizalmasság

a bizalmas és titkos információk engedély nélküli közzétételének megel zéséhez kapcsolódik

24


Sértetlenség, összhang

az információk pontosságához és teljességéhez, valamint az üzleti értékekkel és elvárásokkal összefügg érvényességéhez kapcsolódik

25


Hozzáférhet sé g. rendelkezésre állás

ahhoz kapcsolódik, hogy az információk rendelkezésre állnak-e az üzleti folyamatok által megkívánt szükséges id ben. A szükséges er források és az azokhoz kapcsolódó kapacitások védelmére is kiterjed.

Szabályszer sé g, megfelel ség

az üzleti folyamatokra vonatkozó illetve a kapcsolódó törvényeknek, jogszabályoknak és szerz déses kötelezettségeknek való megfeleléshez kapcsolódik, amelyek alanya az adott szervezet és tevékenysége, úm. a szervezettel szemben kívülr l megszabott üzleti feltételek.

Megbízhatóság

ahhoz kapcsolódik, hogy megfelel információkat kap-e a vezetés a szervezet m ködtetéséhez és a pénzügyi és egyéb kötelez jelentések elkészítéséhez

A COBIT keretében meghatározott informatikai er források az alábbiak szerint definiálhatók:

Adatok

A legszélesebb értelemben vett (úm. küls és bels ) strukturált és nem–strukturált, grafikus, audio–, stb. információk.

Alkalmazási rendszerek

A manuális és programozott eljárások összessége.

Technológia

A hardver, az operációs rendszerek, az adatbázis–kezel rendszerek, a hálózatok, a multimédia eszközök, stb.

Technikai környezet

Mindazok az er források, fizikai környezet, amelyek lehet vé teszik és segítik az információs rendszerek m ködését.

Emberek

Az információs rendszerek és szolgáltatások tervezéséhez, szervezéséhez, beszerzéséhez, üzemeltetéséhez és felügyeletéhez szükséges munkaer és annak képzettsége, ismeretei és képességei tartoznak ide.

26

COBIT – KERETRENDSZER A pénzt illetve t két nem soroltuk az informatikai er források közé a kontroll irányelvek besorolása kapcsán, mivel azt a fenti er források bármelyikének biztosításához fel lehet használni. Meg kell azt is jegyezni, hogy a Keretrendszer nem hivatkozik külön az egyes informatikai eljárásokhoz kapcsolódó összes lényeges kérdés dokumentációjára. A megfelel kontrollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen leírások hiánya további ellen rzések és elemzések elvégzését teszi szükségessé minden egyes konkrét vizsgálati területen.

Az informatikai er források és a szolgáltatások biztosítása közötti kapcsolatot egy más szemszögb l világítja meg az alábbi ábra:

(ábra)

Adatok Alkalmazási rendszerek

ESEMÉNYEK

Üzleti célok Üzleti lehet ségek Küls követelmények El írások Kockázatok

INFORMÁCIÓK

TECHNOLÓGIA üzenet input

KÖRNYEZET

szolgáltatás output

EMBEREK

Eredményesség Hatékonyság Bizalmasság Sértetlenség Hozzáférhet ség Szabályosság Megbízhatóság

Az információkhoz kapcsolódó üzleti követelmények teljesítése érdekében megfelel kontroll intézkedéseket kell kialakítani, bevezetni és fenntartani a fenti er források kapcsán. De vajon hogyan tudják megállapítani a szervezetek azt, hogy a kapott információk rendelkeznek–e a szükséges tulajdonságokkal? Ehhez szükséges a Kontroll Irányelvek keretrendszere. A következ ábra ezt a koncepciót illusztrálja.

Ami megvan

ÜZLETI FOLYAMATOK

INFORMÁCIÓ

Amire szükség van Információs kritériumok: • eredményesség • hatékonyság • bizalmasság • sértetlenség, összhang • hozzáférhet ség • szabályszer ség • megbízhatóság !

IT ER FORRÁSOK • emberek • alkalmazási rendszerek • technológia • technikai környezet "

27

?

Megegyeznek

COBIT – KERETRENDSZER • adatok

A COBIT Keretrendszer egy átfogó struktúra szerint csoportosítja az általános Kontroll Irányelveket. A csoportosítás arra az alapkoncepcióra épül, hogy az informatikai er források felhasználása kapcsán három szintr l lehet beszélni. Alul helyezkednek el azok a tevékenységek és feladatok, amelyek a mérhet eredmények eléréséhez szükségesek. A tevékenységeknek van bizonyos életciklusa, míg a feladatok sokkal különállóbb jelleg ek. Az életciklussal bíró tevékenységekhez más kontroll követelmények kapcsolódnak, mint a körülhatárolt feladatokhoz. Középen helyezkednek el a folyamatok, amelyek olyan összekapcsolódó tevékenységek és feladatok sorozatából állnak, amelyekbe természetes ellen rézési pontok vannak beépítve. A legfels szinten a folyamatok bizonyos területekre csoportosulnak össze. Ez a természetes alapú csoportosítás gyakran felel sségi területként ölt formát a szervezeti struktúrán belül és összhangban áll az informatikai eljárásokhoz kapcsolódó irányítási ciklussal illetve életciklussal.

(ábra)

Területek Folyamatok

Tevékenységek/ feladatok A fogalmi keretrendszert tehát három oldalról lehet megközelíteni: (1) az információs kritériumok, (2) az informatikai er források és (3) az informatikai eljárások oldaláról. Ezt a három megközelítési oldalt szemlélteti az ún. COBIT Kocka:

(ábra)

Informatikai eljárások Területek Folyamatok Tevékenységek

Információs kritériumok Min ségi Fiduciáris Biztonsági #

IT er források Emberek Alkalmazási rendszerek Technológia Technikai környezet Adatok $

A fenti keretrendszerben szerepl területek meghatározásakor olyan kifejezéseket igyekeztünk keresni, amelyeket nap mint nap használnak a vezet k – nem ellen ri zsargont. Négy általános területet határoztunk meg,

28

COBIT – KERETRENDSZER nevezetesen az alábbiakat: tervezés és szervezet; beszerzés és bevezetés; informatikai szolgáltatás és támogatás; továbbá felügyelet. A fenti négy általános jelleg definiálható: Tervezés és szervezet

eljárási terület tartalma az alábbiak szerint

Ide tartozik a stratégia és a taktika, valamint azoknak a lehet ségeknek a feltárása, amelyek révén az informatika a a leghatékonyabban képes hozzájárulni az üzleti célok teljesítéséhez. Emellett a stratégiai célkit zések megvalósításának módját különböz szempontok szerint kell megtervezni, kommunikálni és irányítani. Végezetül gondoskodni kell a megfelel szervezeti és technológiai infrastruktúráról.

29


Beszerzés és bevezetés

Az információs stratégia megvalósításához informatikai megoldásokat kell kidolgozni vagy beszerezni, majd be kell azokat vezetni, üzembe kell állítani és be kell építeni az üzleti folyamatokba. Emellett ehhez a területhez tartozik a meglév rendszerek karbantartása és további m ködésük érdekében szükséges módosítása is.

Informatikai szolgáltatás és támogatás

Ez a terület a szükséges szolgáltatások tényleges biztosításához kapcsolódik, amely a hagyományos üzemeltetést l a biztonsági és üzleti folyamatossági szempontokon át egészen a képzésig terjed. A megfelel informatikai szolgáltatás biztosítása érdekében ki kell építeni a szükséges segédfolyamatokat is. Ehhez a területhez tartozik az adatok tényleges feldolgozása alkalmazási rendszerek révén , amelyet gyakran az alkalmazási kontroll funkciók közé sorolnak be.

Felügyelet

Rendszeres id közönként meg kell vizsgálni, hogy az egyes informatikai eljárások megfelelnek–e a min ségi– és kontroll követelményeknek. Ehhez a területhez tartozik tehát a szervezet ellen rzési eljárásainak vezet i felügyelete valamint független vizsgálata, amely utóbbi a bels ellen rzés és a könyvvizsgálat révén, vagy más alternatív forrásból valósítható meg.

Meg kell jegyezni, hogy ezeket az eljárásokat különböz szinteken lehet alkalmazni a szervezeteken belül. Például bizonyos eljárásokat vállalati szinten szükséges alkalmazni, másokat az információ-szolgáltatás funkcionális szintjén, megint másokat az üzleti folyamatokért felel s vezet k szintjén, stb.

Azt is meg kell jegyezni, hogy az üzleti követelményeknek megfelel megoldások kidolgozásához kapcsolódó eljárások eredményességi kritériuma néha lefedi a hozzáférhet ségi, a sértetlenségi és a bizalmassági kritériumokat is – a gyakorlatban ezek üzleti követelményekként jelennek meg. Például a “megoldások keresése” eljárás során figyelembe kell venni a hozzáférhet ségi, a sértetlenségi és a bizalmassági követelményeket is.

30

COBIT – KERETRENDSZER Nyilvánvaló, hogy a különböz kontroll intézkedések nem ugyanolyan mértékben járulnak hozzá az információkhoz kapcsolódó különböz üzleti követelmények teljesítéséhez.

• els dlegesek

azok a kontroll irányelvek, amelyek közvetlenül befolyásolják az érintett információs követelmény kielégítését.

%

• másodlagosak azok a kontroll irányelvek, amelyek csak kisebb mértékben vagy közvetve befolyásolják az érintett információs követelmény kielégítését. • “üresek”

azok a kontroll irányelvek, amelyek alkalmazhatóak ugyan, de a követelmények teljesítését hatékonyabban tudják biztosítani az adott eljáráson belüli más kritériumok vagy más eljárások.

Hasonlóképpen, a különböz kontroll intézkedések nem ugyanolyan mértékben hatnak a különböz IT er forrásokra. A COBIT Keretrendszer éppen ezért konkrétan megjelöli, hogy melyek azok az IT er források, amelyekre a vizsgált eljárások kihatnak (nem azokat, amelyek pusztán részt vesznek az eljárásban). Ez az osztályozás kutatók és szakért k munkája és közrem ködése alapján, a korábban jelzett szigorú definíciók figyelembe vételével került kidolgozásra.

Összefoglalva, a szervezet célkit zéseinek teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni, amelyr l az informatikai irányításnak kell gondoskodnia. A következ ábra ezt a koncepciót illusztrálja:

(ábra → lásd a 7. oldalon lév ábrát –megj.) &

31


COBIT TÖRTÉNELEM ÉS EL ZMÉNYEK

A COBIT harmadik kiadása az információkhoz és az informatikához kapcsolódó Kontroll Irányelvek legújabb változata, amely els alkalommal 1996-ban jelent meg az Information Systems Audit and Control Foundation (ISACF) kiadásában. Az 1998-ban megjelent második kiadás, a forrásdokumentumok számának b vülése nyomán, felülvizsgálta az általános és részletes szint kontroll irányelveket és kiegészült az Alkalmazási módszerek résszel. A COBIT harmadik kiadása új f kiadó, az IT Governance Institute gondozásában jelent meg.

Az IT Governance Institute-ot 1998-ban hozta létre az Information Systems Audit and Control Association (ISACA) és a hozzá tartozó Alapítvány azzal a céllal, hogy támogassa és segítse az informatikai irányítás alapelveinek megértését és alkalmazását. A COBIT harmadik kiadása kiegészült a Vezet i útmutató cím résszel és fokozott hangsúlyt helyez az informatikai irányítás kérdésére, amely jelzi, hogy az IT Governance Institute vezet szerepet vállalt az új kiadás elkészítésében.

A COBIT eredetileg az ISACF által meghatározott Kontroll Irányelvekre épült, és együtt fejl dött meglév és újonnan kidolgozott nemzetközi technikai, szakmai, szabályozási és ágazat–specifikus szabványokkal. Az így meghatározott kontroll irányelvek a szervezetek egészére kiterjed információs rendszerek vonatkozásában alkalmazhatóak. Az “általánosan alkalmazható és elfogadott” kifejezést ugyanúgy kell értelmezni, ahogy az Általánosan Elfogadott Számviteli Alapelvek (GAAP) esetében.

A COBIT, terjedelmét tekintve, viszonylag rövid és megpróbál pragmatikus lenni és alkalmazkodni az üzleti igényekhez, ugyanakkor független az egyes szervezeteknél alkalmazott informatikai platformoktól. A kutatás során az információs rendszerek ellen rzéséhez kapcsolódó alábbi legfontosabb szabványokra és normákra támaszkodtunk, nem állítva ezzel azt, hogy nem léteznek más elfogadott szabványok és normák ezen a területen:

M szaki szabványok – ISO, EDIFACT, stb. Magatartási kódexek – az Európa Tanács, az OECD. az ISACA, stb. által kiadott kódexek Min sítési kritériumok informatikai rendszerekhez és eljárásokhoz – ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Közös Kritériumok, stb. Bels ellen rzési és audit szabványok – COSO jelentés, IFAC, AICPA, ISACA, IIA, PCIE, GAO szabványok, stb. Ágazati normák és követelmények – '

%

%

%

32

COBIT – KERETRENDSZER ágazati fórumok (ESF, I4), kormány–támogatású platformok (IBAG, NIST, DTI), stb.; továbbá Újonnan megfogalmazott ágazat–specifikus követelmények – a banki üzletág, az elektronikus kereskedelem és az informatikai gyártás területér l.

Lásd: II. Melléklet: COBIT projekt ismertetés; III. Melléklet: Els dleges COBIT hivatkozási források; és IV. Melléklet: Szójegyzék %

COBIT TERMÉK–FEJLESZTÉS A COBIT tovább fog fejl dni az elkövetkez évek során és alapul fog szolgálni további kutatásokhoz. Újabb termékekkel fog b vülni a COBIT termékcsalád és ennek során tovább fogjuk finomítani az informatikai kontroll irányelvek meghatározásakor alapul vett informatikai feladatokat és tevékenységeket, és az ágazat “változó arculatának” fényében felül fogjuk vizsgálni az egyes területek és eljárások egyensúlyát.

A kutatási munkához és a kiadványok elkészítéséhez nagymértékben hozzájárultak a PricewaterhouseCoopers és az ISACA szervezeteit l kapott b kez adományok. Az European Security Forum (ESF) kutatási anyagok átadásával segítette a projekt munkáját. A Gartner Group is részt vett a munkálatokban és min ségbiztosítási szempontból is áttekintette a Vezet i útmutatót.

COBIT termékcsalád ÖSSZEFOGLALÓ ÁTTEKINTÉS

KERETRENDSZER Általános Kontroll Irányelvek VEZET I ÚTMUTATÓ (

RÉSZLETES KONTROLL IRÁNYELVEK

AUDITÁLÁSI ÚTMUTATÓ

ALKALMAZÁSI MÓDSZEREK – Összefoglaló áttekintés – Esettanulmányok – Leggyakrabban feltett kérdések – Power Point ábrák – Alkalmazási útmutató - Vezet i ismeretek diagnosztizálása - IT ellen rzés diagnosztizálása )

)

Érettségi modellek

Kritikus sikertényez k

Kritikus cél mutatók

*

33

Kritikus teljesítmény– mutatók


34


KONTROLL IRÁNYELVEK ÖSSZEFOGLALÓ TÁBLÁZAT

Az alábbi táblázatból kiolvasható, hogy az általános szint kontroll irányelvek milyen információs kritériumokat érintenek, informatikai eljárásonként és területenként, és milyen informatikai er források szükségesek hozzájuk.

Információs kritériumok TERÜLET Tervezés és szervezet

Beszerzés, bevezetés

Informatikai szolgáltatás és támogatás

Felügyelet

ELJÁRÁS

1

2

3

4

5

6

IT er források +

7

TSZ1

Informatikai stratégiai terv kidolgozása

E

M

TSZ2

Információ architektúra meghatározása

E

M

TSZ3

Technológiai irány meghatározása

E

M

TSZ4

E

M

TSZ5

Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése

E

E

TSZ6

Vezet i célok és irányvonal közlése

E

TSZ7

Emberi er források kezelése

E

TSZ8

Küls követelmények betartásának biztosítása

E

TSZ9

Kockázatok értékelés

M

M

TSZ10

Projektek irányítása

E

E

TSZ11

Min ségirányítás

E

E

BB1

Automatizált megoldások meghatározása

E

M

BB2

Alkamazási szoftverek beszerzése és karbant.–a

E

E

M

BB3

E

E

M

BB4

Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása

E

E

M

BB5

Rendszerek installálása és jóváhagyása

E

BB6

Változások kezelése

E

E

IT1

Szolgáltatási szintek meghatározása és kezelése

E

E

IT2

Küls szolgáltatások kezelése

E

E

IT3

Teljesítmény és kapacitás kezelése

E

E

IT4

Folyamatos m ködés biztosítsa

E

M

IT5

Rendszer biztonságának biztosítása

IT6

Költségek megállapítása és felosztása

IT7

Felhasználók oktatása és képzése

E

IT8

Informatikai felhasnzálók segítése

E

IT9

Konfiguráció kezelése

E

IT10

Problémák és rendkívüli események kezelése

E

IT11

Adatok kezelése

E

IT12

Létesítmény kezelése

E

E

IT13

Informatikai üzemeletés irányítása

E

E

M

M

F1

Eljárások felügyelete

E

M

M

M

M

M

M

F2

Bels ellen rzés megfelel ségének felmérése

E

E

M

M

M

M

M

F3

Független értékelés végeztetése

E

E

M

M

M

M

M

F4

Független ellen rz vizsgálat végeztetése

E

E

M

M

M

M

M

-

-

-

-

-

.

-

-

-

M

35

,

,

,

,

,

E ,

,

,

M ,

,

M ,

E ,

E

E

E

E

M

M

M

E

,

,

,

,

,

,

,

,

,

,

,

,

,

,

M

,

,

M

M

M

M

M

M

E

E

M

M

M

M

M

M

M

M

M

M

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

M

,

M E E

,

,

M

M

M E

M ,

,

M E

,

M

M ,

,

E ,

,

+

+

D

,

,

E = els dleges M = másodlagos 1=Eredményesség 2=Hatékonyság 3=Bizalmasság 4. Sértetlenség 5=Hozzáférhet ség 6=Szabályosság 7=Megbízhatóság

C

,

M

E

-

B

,

E

-

A

A=Emberek B=Alkalmazások C=Technológia D=Technikai környezet E=Adatok

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,


KERETRENDSZER NAVIGÁCIÓS ÁTTEKINTÉS Az Általános szint Kontroll Irányelvekkel foglalkozó rész a COBIT mind a 34 informatikai eljárására vonatkozóan meghatározza a vonatkozó kontroll normát, üzleti követelményeket, feltételeket és mérlegelend kérdéseket. Az informatikai terület jelzése (TSZ – Tervezés és szervezet, BB – Beszerzés és bevezetés, IT – Informatikai szolgáltatás és támogatás, és F – Felügyelet) bal oldalt felül található. A vonatkozó infomációs kritériumok és a szükséges informatikai er források jelzése a következ oldalon bemutatott minimátrixokban szerepel.

A COBIT Keretrendszer csak az általános kontroll irányelvekre korlátozódik, amelyek az egyes informatikai eljárásokhoz kapcsolódó üzleti követelmények alapján kerültek megfogalmazásra. Az egyes kontroll irányelvek megvalósítását a vonatkozó kontroll norma teszi lehet vé, amelyek kapcsán figyelembe kell venni a potenciálisan alkalmazható kontroll eljárásokat.

Az általános informatikai kontroll irányelvek eljárások/tevékenységek szerint lettek csoportosítva, de az eligazodást segít navigációs ábrákat is tartalmaznak, amelyek nemcsak a fenti megközelítési oldalak bármelyikéb l történ kiindulást könnyítik meg, de segítik a kombinált illetve globális megközelítési módszereket is, például egy eljárás kiépítésekor/bevezetésekor, valamely folyamathoz kapcsolódó globális irányítási feladatok meghatározásakor illetve valamely folyamat informatikai er forrás-igényeinek meghatározásakor.

Azt is meg kell jegyezni, hogy az informatikai kontroll irányelvek általános formában kerültek meghatározásra, ú.m. függetlenül az alkalmazott technikai platformtól, de elfogadva azt a tényt, hogy bizonyos konkrét technológiai környezetek esetében külön kontroll irányelvekre lehet szükség. Informatikai eljárások kontrollja,

amely eljárások kielégítenek bizonyos Üzleti követelményeket,

amelyek megvalósítását a Kontroll normák teszik lehet vé, /

figyelembe véve a kontroll gyakorlatokat

36

NAVIGÁCIÓS ÁBRÁK A kontroll irányelvek hatékony alkalmazásának segítése érde-kében ún. navigációs ábrákat is mellékeltünk az általános infor-matikai kontroll irányelvek mellé. Mind a három dimen-zióhoz kapcsolódóan – amely mentén a COBIT Keretrendszer megközelíthet , úm. eljárások, er források és információs kritériumok – tartalmaznak ilyen navigációs ábrákat az egyes általános kontroll irányelvek.

Er ed mé ny e Ha ték sség on ysá Biz g alm ass ág Ho zzá fé Sz rhetõ ab ség á Me lyoss ág gb ízh ató ság


S Tervezés és szervezés

Információs kritériumok

Informatikai területek

P


Informatikai er források

M ködés és támogatás

4

2

Felügyelet

Három megközelítés 3

3

Ad ato k

Em ber Al kal ek ma zá Te chn sok oló gia

Navigációs ábrák

Az egyes informatikai területeket a Kontroll Irányelveket tartalmazó oldalak JOBB FELS SARKÁBAN megtalálható ikon (lásd jobbra) jelzi, amelyben ki van emelve (nagyobb mérettel) az éppen vizsgált terület.

Tervezés és szervezés

0

Beszerzés és bevezetés M ködés és támogatás 1

Felügyelet

37

Er e dm é Ha nyess té k ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g á gbí zha g tós ág

Az információs kritériumok emlékeztet

E M

COBIT – KERETRENDSZER ábrája a Kontroll Irányelveket tartalmazó oldalak bal fels sarkában található meg egy mini-mátrix formájában (lásd jobbra), amely megmutatja, hogy mely kritériumokra irányulnak az egyes általános Kontroll Irányelvek és milyen mértékben (els dleges vagy másodlagos).

38


39

5

5

5

Ad ato k

5

Em be r Al kal ek ma zá Te chn sok oló gia

Egy másik mini-mátrix is megtalálható a Kontroll Irányelveket tartalmazó oldalak BAL ALSÓ SARKÁBAN, amely megmutatja, hogy a vizsgált eljárás milyen informatikai er forrásokra hat ki – nem csupán azt, hogy mely er források vesznek részt a folyamatban. Például az “adatkezelés” eljárás els sorban az adatforrás sértetlenségére és megbízhatóságára koncentrál.

5


ÁLTALÁNOS SZINT KONTROLL IRÁNYELVEK 6

40


TSZ1

Tervezés és szervezet

Informatikai stratégiai terv kidolgozása

ÁLTALÁNOS KONTROLL IRÁNYELV

Er e dm é Ha nyess té k ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g á gbí zha g tós ág

Tervezés és szervezés Beszerzés és bevezetés

E M

M ködés és támogatás :

Felügyelet

Informatikai eljárás: informatikai stratégiai terv kidolgozása Az eljárással szemben támasztott üzleti követelmény:

az információ-technológiában rejl lehet ségek és az informatikával szemben támasztott üzleti követelmények optimális egyensúlyának megtalálása valamint az egyensúly kés bbi megvalósításának biztosítása 7

7

7

A megvalósítás módja: rendszeres jelleg stratégiai tervezési munka és ennek alapján hosszú távú tervek kidolgozása: a hosszú távú terveket le kell bontani olyan id szaki operatív tervekre, amelyek világos és konkrét rövid távú célokat határoznak meg 8

7

•

Mérlegelend kérdések: 9

• • • • • • •

szervezeti/vállalati üzleti stratégia annak a meghatározása, hogy a szervezeti célkit zéseket hogyan támogatja az informatika technológia megoldások és a jelenlegi infrastruktúra feltérképezése technológiai piacok figyelése id szer megvalósíthatósági tanulmányok és ellen rzések meglév rendszerek értékelése vállalkozás viszonyulása a kockázat, a piaci reagálási id és a min ség kérdéséhez fels vezet i tulajdonszerzés, támogatás és kritikus átvilágítás szükségessége 8

7

8

7

7

7

7

7

;

41

;

;

;

Ad ato k

7


•

;


TSZ2


Információ-architektúra meghatározása


Er e dm é Ha nyess té k ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g ág gbí zha tós ág

Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás >

E M M M

Felügyelet

Informatikai eljárás: információ-architektúra meghatározása Az eljárással szemben támasztott üzleti követelmény: információs rendszerek optimális kialakítása A megvalósítás módja:

szervezeti/üzleti információs modell kidolgozása és alkalmazása valamint olyan megfelel rendszerek létrehozása, amelyek biztosítják az információk optimális felhasználását <


• • • •

dokumentáció automatizált adatszótár és repozitórium adat-szintaktika adatok birtoklása tulajdonjoga és az adatok osztályozása fontosság és biztonság szempontjából. információ• szervezeti szint modell • szervezeti szint információ-architektúra szabványok és el írások =

=

<

42

?

Ad ato k


?


TSZ3


Technológiai irány meghatározása



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás @

E M

Felügyelet

Informatikai eljárás: technológiai irány meghatározása Az eljárással szemben támasztott üzleti követelmény:

a rendelkezésre álló és az újonnan kifejlesztett technológiák által kínált el nyök kihasználása az üzleti stratégia megvalósítása érdekében <

A megvalósítás módja: olyan technológiai infrastruktúra terv kidolgozása és alkalmazása, amely világosan és reálisan meghatározza és kezeli a technológiával szemben támasztott elvárásokat termékek, szolgáltatások és szolgálttaásnyújtási mechanizmusok formájában Mérlegelend kérdések: 9

<

<

<

<

<

A

43

A

Ad ato k

• • • • • • •

a meglév infrastruktúra kapacitása a technológiai fejl dés figyelemmel kísérése megbízható források alapján új elképzelések, ötletek életképességének bizonyítása kockázatok, korlátok és a lehet ségek beszerzési tervek új technológiára történ áttérés stratégiája és ütemterve beszállítókkal, parnerekkel kialakított kapcsolatok technológiai lehet ségek független értékelése hardver és szoftver árak/teljesítmény változása.


• •


TSZ4


Informatikai részleg szervezeti kapcsolatainak meghatározása

felépítésének

és



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás D

E M

Felügyelet

Informatikai eljárás: informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Az eljárással szemben támasztott üzleti követelmény: a megfelel informatikai szolgáltatások biztosítása B

A megvalósítás módja: megfelel számú és képzettség személyb l álló részleg felállítása valamint a feladatok és felel sségi körök meghatározása és ismertetése, amely igazodik a vállalkozás igényeihez, segíti a stratégia végrehajtását és emellett hatékony irányítást és megfelel ellen rzést tesz lehet vé B

C

B

B

B

B

B


• • • • • • • • • • •

igazgatósági szint felel sség az informatikai területért az informatika irányítása és felügyelete fels vezet i szinten az informatika és az üzleti folyamatok összehangolása az informatika bevonása a kulcsfontosságú döntési folyamatokba szervezeti rugalmasság világosan meghatározott feladat- és felel sségi körök optimális egyensúly megtalálása a felel sségi körök átruházása és irányítási jogkörök megtartása között munkaköri leírások munkakörök betöltöttségi szintje és kulcsfontosságú dolgozók a biztonsági, min ségbiztosítási és bels ellen rzési funkciók elhelyezkedése a szervezeten belül hatáskörök különválasztása C

B

B

B

B

B

B

44

B

B


TSZ5


Informatikai beruházások kezelése



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás D

E E

M

Felügyelet

Informatikai eljárás: informatikai beruházások kezelése Az eljárással szemben támasztott üzleti követelmény: finanszírozás biztosítása és a finanszírozási források felhasználásának ellen rzése B

A megvalósítás módja: az üzleti igényeknek megfelel rendszeres beruházási és m ködési költségvetés kidolgozása és jóváhagyatása a szervezet vezetésével B

C


• • • •

alternatívák finanszírozása költségvetési felel sség pontos rögzítése tényleges kiadások ellen rzése (informatikai) költségek indokoltsága és a eszközök birtoklásából ered teljes költségek ismerete el nyök indoklása és realizálódásának számonkérhet sége az alkalmazási szoftverek és technológiák életciklusa igazodás a vállalkozás üzelti stratégiájához hatáselemzés eszközgazdákodás B

B

B

B

E

E

45

E

E

Ad ato k

B


• • • • •


TSZ6


Vezet i célok és irányvonal közlése F



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás H

E

M

Felügyelet

Informatikai eljárás: vezet i célok és irányvonal közlése

Az eljárással szemben támasztott üzleti követelmény: a felhasználók tájékoztatása a fenti célokról, és a célok megértetése A megvalósítás módja: a felhasználók tájékoztatása az elfogadott irányelvekr l; ezenfelül olyan normák kidolgozása szükséges, amelyek a stratégiai választási lehet ségeket átültetik a gyakorlatban alkalmazható felhasználói szabályokba

Mérlegelend kérdések: • világosan megfogalmazott szervezeti cél • magatartási/etikai kódex • üzleti célokhoz kapcsolt technológiai el írások/direktívák • irányelvek és el írások betartása • min ség iránti elkötelezettség • biztonságiés bels ellen rzési politika • biztonsági és bels ellen rzési gyakorlat • vezetés példák mutatásával • folyamatos tájékoztatási programok G

46

I

I

Ad Ad ato ato k k

Em Em b b Al Al erek erek kal kal ma ma Te Te záso záso chn chn k k oló oló gia gia

COBIT – KERETRENDSZER •

útmutatás nyújtása és azok betartásának ellen rzése

47


TSZ7


Emberi er források kezelése J



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás M

E E

Felügyelet

Informatikai eljárás: emberi er források kezelése K

Az eljárással szemben támasztott üzleti követelmény: olyan szakmailag jól képzett és siker-orientált munkaer alkalmazása, amely képességeivel maximálisan hozzájárul az informatikai folyamatokhoz K

A megvalósítás módja: egységes, méltányos ás jól áttekinthet munkaer -gazdálkodási gyakorlat alkalmazása a dolgozók felvétele, egészségügyi ellen rzése, díjazása, képzése, értékelése és elbocsátása.terén K

K

K

Mérlegelend kérdések: L

•

K

K

K

K

N

K

K

K

K

48

Ad ato k

• • •

felvétel és el léptetés szakképzettségi követelmények tudatosság er sítése kereszt-képzés és munkakörök cserélése (rotáció) munkaer -felvételre, egészségügyi ellen rzésre és elbocsátásra vonatkozó szabályok teljesítmények objektív mérése és értékelése technikai és piaci változásokra való reagálás bels és küls er források megfelel egyensúlya kulcspozíciók betöltésére vonatkozó terv Em be r Al kal ek ma zá Te chn sok oló gia

• • • • •


TSZ8


Küls követelmények betartásának biztosítása O

ÁLTALÁNOS KONTROLL IRÁNYELV Tervezés és szervezés



E

E

M ködés és támogatás Q

M

Felügyelet

Informatikai eljárás: küls követelmények betartásának biztosítása P

Az eljárással szemben támasztott üzleti követelmény: jogi, jogszabályi és szerz déses kötelezettségek betartása P

A megvalósítás módja: a küls követelmények informatikai kihatásainak feltárása és elemzése valamint az azoknak való megfelelést biztosító intézkedések meghozatala P

Mérlegelend kérdések: L

P

R

R

49

R

Ad ato k

• • • •

törvények, jogszabályok és szerz dések jogi és szabályozási környezet változásának figyelemmel kísérése változások és módosítások rendszeres áttekintése balesetvédelem és ergonómia személyiségi jogok szellemi tulajdon


• •


TSZ9

Tervezés és szervezet Kockázatok értékelése

ÁLTALÁNOS KONTROLL IRÁNYELV Tervezés és szervezés Er e dm é Ha nyess té k ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g ág gbí zha tós ág

Beszerzés és bevezetés M ködés és támogatás U

E M E E E M M Felügyelet

Informatikai eljárás: kockázatok értékelése Az eljárással szemben támasztott üzleti követelmény: a vezetés döntéseinek támogatása az informatikai célkit zések teljesítése révén és reagálás az informatikai szolgáltatások ellátását fenyeget veszélyekre a komplexitás csökkentése, az objektivitás növelése és a fontos döntési tényez k meghatározása révén S

T

T

A megvalósítás módja: az informatikai kockázatok feltárása és azok hatásainak elemzése, több szakmai területet átfogó analízis és a kockázatok csökkentését szolgáló költségtakarékos intézkedések révén Mérlegelend kérdések: L

•

Kockázat kezeléséért viselt felel sség és annak számonkérhet sége különböz fajta informatikai kockázatok (technológiai, biztonsági, üzletvitel-folytonossági, szabályozási, stb.) kockázat-tolerancia profilok meghatározása és kommunikációja ok-okozati elemzések és ’brainstorming’ megbeszélések kockázatok mennyiségi illetve min ségi mérése kockázat-becslési módszertan kockázati cselekvési terv kockázat-becslés aktualizálása T

T

T

V

50

V

V

V

Ad ato k

• • • • • •

T


•

V


TSZ10 Tervezés és szervezet Projektek irányítása



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás Y

E E

Felügyelet

Informatikai eljárás: projektek irányítása Az eljárással szemben támasztott üzleti követelmény: a projekt prioritások meghatározása és a projektek megfelel költségkereten belüli végrehajtása

id ben és W

W

A megvalósítás módja: projektek meghatározása és azok prioritási sorrendjének megállapítása a minden egyes projektre m ködési tervvel összhangban, továbbá vonatkozóan megfelel projekt-irányítási technika kidolgozása és alkalmazása X

W

Mérlegelend kérdések: • projektek támogatása a szervezet fels vezetése részér l • program irányítás • projektirányítási képességek, szakmai felkészültség • felhasználók bevonása • feladatok lebontása, projekt ’mérföldkövek’ meghatározása és szakaszok jóváhagyása • felel sök kijelölése • a ’mérföldkövek’ és a leszállítandó termékek teljesítésének szigorú nyomonkövetése • költségkeret és emberi er forrás szükséglet, bels és küls er források kiegyensúlyozása • min ségbiztosítási tervek és módszerek • programok és projektek kockázatainak értékelése • fejlesztési eredmények üzembe állítása L

W

W

W

W

W

W

W

W

51

Z

Z

Ad ato k

Z


Z


52


TSZ11 Tervezés és szervezet Min ségirányítás [



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás ]

E E

E

M

Felügyelet

Informatikai eljárás: min ségírányítás \

Az eljárással szemben támasztott üzleti követelmény: az informatikai felhasználók igényeinek kielégítése A megvalósítás módja: olyan min ségirányítási normák és rendszerek tervezése, alkalmazása és aktualizálása, amelyek világosan meghatározzák az egyes fejlesztési szakaszokat, a leszállítandó termékeket és a felel sségi köröket \

\

Mérlegelend kérdések: • min séghez kapcsolódó vállalati kultúra kialakítása • a min ségi tervek • min ségbiztosítási felel sség • min ségellen rzési gyakorlat • ’rendszerfejlesztési életciklus’ módszertan • programok és rendszerek tesztelése és dokumentálása • min ség-biztosítási áttekintések és jelentések • felhasználók és min ség-biztosítási dolgozók képzése és bevonása • min ség-biztosítási ismereti alapok kialakítása • ágazati normák szerinti összehasonlítás L

\

\

\

\

\

\

\

^

^

^

^

\

53

Ad ato k


\


BB1 Beszerzés és bevezetés

Automatizált megoldások meghatározása




Beszerzés és bevezetés M ködés és támogatás c

E M

Felügyelet

Informatikai eljárás: automatizált megoldások meghatározása Az eljárással szemben támasztott üzleti követelmény: olyan módszer kialakítása, amely révén hatékonyan és eredményesen kielégíthet ek az informatikai felhasználók igényei _

A megvalósítás módja: az alternatív lehet ségek objektív és egyértelm felhasználói igények alapján _

azonosítása és elemzése a

`

Mérlegelend kérdések: a

• • •

_

_

_

_

b

54

b

b

Ad ato k

•

a piacon beszerezhet megoldások ismerete beszerzési és bevezetési/megvalósítási módszerek felhasználók részvétele a döntésekben és a vásárlásokban igazodás a szervezeti és informatikai stratégiához információs követelmények meghatározása megvalósíthatósági tanulmányok (költségek, el nyök, alternatívák, stb.) funkcionális, üzemeltetési, elfogadhatósági és fenntarthatósági követelmények összhang a szervezet információ-architektúrájával költségtakarékos biztonsági és ellen rzési mechanizmusok a szállítók, beszállítók felel ssége Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • •


55



Alkalmazási szoftverek beszerzése és karbantartása




E E

M


M M

M ködés és támogatás e

Felügyelet

Informatikai eljárás: alkalmazási szoftverek beszerzése és karbantartása Az eljárással szemben támasztott üzleti követelmény: az üzleti folyamatokat eredményesen támogató automatizált funkciók biztosítása A megvalósítás módja: funkcionális és üzemeltetési követelmények pontos meghatározása és szakaszokra bontott megvalósítás pontosan meghatározott végtermékekkel. Mérlegelend kérdések: • funkcionális tesztelés és elfogadás/átvétel • alkalmazási rendszerekbe épített ellen rzések és biztonsági követelmények • dokumentációval szemben támasztott követelmények • alkalmazási szoftver életciklusa • vállalati szint információ-architektúra • ’ rendszerfejlesztési életciklus’ módszertan • ember-gép kapcsolat, felhasználói interfész • alkalmazási rendszer-csomagok beállítása a felhasználói igényeknek megfelel en a

_

`

_

56

Ad ato k


d


57



Technológiai infrastruktúra beszerzése és karbantartása




E E

Beszerzés és bevezetés M ködés és támogatás g

M

Felügyelet

Informatikai eljárás: technológiai infrastruktúra beszerzése és karbantartása Az eljárással szemben támasztott üzleti követelmény: az üzleti alkalmazási rendszerekhez szükséges megfelel platformok (hardver és szoftver környezet) biztosítása _

A megvalósítás módja: hardver és szoftver beszerzés gondos el készítése, az alkalmazott szoftverek szabványosítása, hardverek és szoftverek teljesítményének mérése és egységes rendszer-adminisztráció. _

Mérlegelend kérdések: • technológiai infrastruktúrára vonatkozó irányelvek és normák betartása • technológia értékelése • üzembehelyezés, karbantartás és a változás-kezelés kontrollja • rendszer-frissítési, áttérési és migrációs tervek • bels és küls infrastruktúra illetve er források alkalmazása • szállítói felel sség és szállítói kapcsolatok • változás-kezelés • tulajdonlással járó teljes költség • rendszer-szoftverek biztonsága _

_

_

58

Ad ato k

f


_

a



Informatikai eljárások kifejlesztése és karbantartása




E E

M

Beszerzés és bevezetés M ködés és támogatás i

M M

Felügyelet

Informatikai eljárás: informatikai területtel összefügg eljárások kifejlesztése és karbantartása _

Az eljárással szemben támasztott üzleti követelmény: az (informatikai) alkalmazási rendszerek és az alkalmazott technológiai megoldások megfelel használatának biztosítása _

A megvalósítás módja: a felhasználói és üzemeltetési kézikönyvek, a szolgáltatási követelmények és az oktatási anyagok kidolgozásának strukturált megközelítése és kezelése Mérlegelend kérdések: • üzleti folyamatok átszervezése/átalakítása • szervezeti eljárások más technológiai termékekkel azonos kezelése • fejlesztések megfelel id ben történ végrehajtása • felhasználói eljárások és ellen rzések • üzemeltetési eljárások és ellen rzések • oktatási anyagok • változás-kezelés a

_

_

_

_

_

59

h

h

Ad ato k

h


h



Rendszerek installálása és jóváhagyása




E

Beszerzés és bevezetés M ködés és támogatás i

M M

Felügyelet

Informatikai eljárás: rendszerek installálása (üzembe helyezése) és jóváhagyása Az eljárással szemben támasztott üzleti követelmény: az alkalmazott informatikai megoldás kívánt céloknak való megfelel ségének ellen rzése és meger sítése _

_

A megvalósítás módja: jól kidolgozott üzembe helyezési (installációs), migrációs, áttérési és átvételi tervek végrehajtása Mérlegelend kérdések: • felhasználók és informatikai dolgozók képzése • adatátalakítás (konverzió) • valós környezetet tükröz teszt-környezet • jóváhagyás (akkreditáció) • bevezetést követ ellen rzések és visszacsatolás • végfelhasználók bevonása a tesztelésbe • folyamatos min ség-javítási tervek • folyamatos üzemelés követelményei • kapacitás és átereszt képesség mérése • egyeztetett átvételi kritériumok a

_

_

_

_

_

j

60

j

j

Ad ato k

j


_

j


BB6 Beszerzés és bevezetés Változások kezelése




E E

E E

Beszerzés és bevezetés M ködés és támogatás l

M

Felügyelet

Informatikai eljárás: változások kezelése Az eljárással szemben támasztott üzleti követelmény: az üzemzavarok, engedély nélküli módosítások és hibák valószín ségének minimalizálása `

A megvalósítás módja: a meglév informatikai infrastruktúra megváltoztatására irányuló kérések elemzésére, megvalósítására és az azokhoz kapcsolódó utólagos teend kre kiterjed irányítási rendszer _

_

_

Mérlegelend kérdések: • a változtatások azonosítása, pontosítása • kategorizálás, rangsorolás, vészhelyzet forgatókönyvek • hatás-elemzés • változtatás engedélyezése • szoftverek kibocsátásának, szabályozása • szoftverek kiosztása, terítése • automatozált eszközök használata • konfigurációkezelés • üzleti folyamatok újraszervezése a

61

k

k

Ad ato k

k


k

k


IT1 Informatikai szolgáltatás és támogatás

Szolgáltatási szintek meghatározása és kezelése




M ködés és támogatás `

E E M M M M M

Felügyelet

Informatikai eljárás: szolgáltatási szintek meghatározása és kezelése Az eljárással szemben támasztott üzleti követelmény: a szükséges szolgáltatási szint közös meghatározása A megvalósítás módja: szolgáltatási-szint megállapodások kidolgozása, amelyek meghatározzák, hogy a szolgáltatások mennyiségének és min ségének mérése milyen teljesítményi kritériumok alapján történik _


_

_

m

m

62

m

m

Ad ato k

•

formális megállapodások felel sségi körök meghatározása reagálási id k és adatfeldolgozási volumenek, mennyiségek (rendszer-üzemeltetési) költségek felosztása integritás garantálása titoktartási megállapodások felhasználók elégedettségének kritériumai az igényelt szolgáltási szintek költséghaszon elemzése megfigyelés (monitoring) és jelentés Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • • • •

m


IT2 Informatikai szolgáltatás és támogatás Küls szolgáltatások kezelése n





E E M M M M M

Felügyelet

Informatikai eljárás: küls szolgáltatások kezelése _

Az eljárással szemben támasztott üzleti követelmény: küls szolgáltatók feladatainak és felel sségi köreinek világos meghatározása, továbbá azok betartásának és a követelmények folyamatos teljesítésének biztosítása _

_

A megvalósítás módja: kontroll intézkedések, amelyek annak ellen rzésére és felülvizsgálatára irányulnak, hogy a meglév szerz dések és eljárások megfelel eredményt kínálnak-e és igazodnak-e a szervezeti célkit zésekhez _

_

_

_

`


_

_

_

_

_

o

o

63

o

o

Ad ato k

• • • •

küls felekkel kötött szolgáltatási megállapodások szerz dések kezelése titoktartási megállapodások jogi és szabályozási követelmények szolgáltatások teljesítésének figyelemmel kísérése és jelentéskészítés vállalati és informatikai kockázatok elemzése teljesítés jutalmazása illetve nem-teljesítés büntetése a küls és bels szervezeti számonkérhet ség költség- és szolgáltatási szintek megengedett eltérése


• • • • •

o


64


IT3 Informatikai szolgáltatás és támogatás Teljesítmény és kapacitás kezelése





E E M M M M M

Felügyelet

Informatikai eljárás: teljesítmény és kapacitás kezelése Az eljárással szemben támasztott üzleti követelmény: megfelel nagyságú kapacitás kialakítása és annak biztosítása, hogy a rendelkezésre álló kapacitás a leghatékonyabb és legoptimálisabb módon kerül kihasználásra a szükséges teljesítményi igények biztosításához _

A megvalósítás módja: az informatikai er források teljesítményére, az alkalmazások méretezésére és a munkaterhelési igényekre vonatkozó adatgy jtés, elemzés és jelentéskészítés _

`


rendelkezésre állás és teljesítményi követelmények automatizált megfigyelés (monitoring) és jelentéskészítés modellez eszközök kapacitás-kezelés er források rendelkezésre állása hardver és szoftver ár/teljesítmény _

_

változások

65

p

p

Ad ato k

p


• • • • • •


IT4 Informatikai szolgáltatás és támogatás Folyamatos m ködés biztosítása q




E M



M

Felügyelet

Informatikai eljárás: folyamatos m ködés biztosítása `

Az eljárással szemben támasztott üzleti követelmény: az informatikai szolgáltatások rendelkezésre állásának valamint annak biztosítása, hogy az esetleges jelent sebb rendszerhibák csak minimális üzleti következményekkel járjanak _

A megvalósítás módja: a folyamatos m ködés fenntarthatóságára vonatkozó általános tervvel és az ahhoz kapcsolódó üzleti/szervezeti követelményekkel összhangban álló informatikai m ködési fentarthatósági terv kidolgozása és alkalmazása `

`


_

_

_

r

r

66

r

r

Ad ato k

• • •

a rendelkezésre állási feltételek kritikusságának osztályozása alternatív eljárások adatállományok mentése (back-up) és helyreállítása szisztematikus és rendszeres tesztelés és képzés figyelési és a helyzet romlásának kezelésére szolgáló eljárások bels és küls szervezeti felel sség- és hatáskörök az üzletvitel folyamatosságának fenntartására vonatkozó terv aktiválása, visszaállási- és újrakezdési tervek kockázat-kezelési tevékenységek rendszerhibát okozó események értékelése probléma-kezelés Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • • •

r


IT5 Informatikai szolgáltatás és támogatás Rendszer biztonságának biztosítása





E E M M M

Felügyelet

Informatikai eljárás: rendszer biztonságának biztosítása Az eljárással szemben támasztott üzleti követelmény: az információk engedély nélküli felhasználásának, közzétételének, módosításának, károsodásának illetve elvesztésének megel zése _

A megvalósítás módja: hozzáférés logikai szint (informatikai) ellen rzése, amely csak az arra felhatalmazott felhasználók számára teszi lehet vé a rendszerekhez, adatokhoz és programokhoz történ hozzáférést `

_

_

_

Mérlegelend kérdések: • bizalmasság és személyiségi jogok védelme • engedélyezés, hitelesítés és hozzáférési jogosultságok ellen rzése • felhasználó azonosítása és a jogosultsági profilok • ’ csak amire szükség van’ és ’ csak amit tudni kell’ elvek • kriptográfiai kulcsok kezelése • rendkívüli események kezelése, lejelentése és további teend k • vírusvédelem és felderítés • “ t zfalak” • központi biztonsági felügyelet • felhasználók kiképzése • események figyelésére, a szabályok betartásának ellen rzésére, a behatolások észlelésére és a

_

_

s

s

s

s

_

67

Ad ato k


`

s

COBIT – KERETRENDSZER jelentéskészítésre szolgáló eszközök

IT6 Informatikai szolgáltatás és támogatás Költségek megállapítása és felosztása




E


E Felügyelet

Informatikai eljárás: költségek megállapítása és felosztása Az eljárással szemben támasztott üzleti követelmény: az informatikai szolgáltatásokhoz kapcsolódó költségek pontos ismerete A megvalósítás módja: olyan költség-elszámolási rendszer alkalmazása, amely gondoskodik a költségek megfelel részletesség nyilvántartásáról, kalkulációjáról és felosztásáról az egyes szolgáltatások szintjére lebontva _

`


azonosítható és mérhet er források költségfelosztási elvek, szabályok és eljárások szolgáltatási norma díjak és visszaterhelési eljárás kapcsolódás a szolgáltatási szint megállapodáshoz automatizált jelentéskészítés az el nyök/hasznok megvalósulásának ellen rzése küls szervezetekhez viszonyított normatív összehasonlítás _

_

_

_

_

68

t

t

t

Ad ato k

t


• • • • • • •

t


69


IT7 Informatikai szolgáltatás és támogatás Felhasználók oktatása és képzése





E M

Felügyelet

Informatikai eljárás: felhasználók oktatása és képzése Az eljárással szemben támasztott üzleti követelmény: gondoskodni kell arról, hogy a felhasználók hatékonyan tudják használni az informatikai technológiát és tisztában legyenek az ahhoz kapcsolódó kockázatokkal és felel sséggel _

A megvalósítás módja: átfogó képzési és továbbképzési terv Mérlegelend kérdések: • oktatási tematikák • szükséges szakképzettségek • ismertet kampány • új képzési és oktatási módszerek használata • alkalmazottak termelékenysége • ismeretbázis kialakítása a

_

70

Ad ato k


u


IT8 Informatikai szolgáltatás és támogatás Informatikai felhasználók segítése





E E

Felügyelet

Informatikai eljárás: informatikai felhasználók segítése Az eljárással szemben támasztott üzleti követelmény: a felhasználók által tapasztalt problémák megfelel megoldása _

A megvalósítás módja: azonnali segítséget és tanácsot nyújtó “ ügyfélszolgálati” funkció Mérlegelend kérdések: a

reagálás a felhasználói kérdésekre és problémákra kérdések nyilvántartása és tisztázása trendek elemzése és jelentéskészítés ismeretbázis kialakítása problémák gyökerének feltárása problémák nyomon követése és kérdések továbbítása v

71

Ad ato k

v


• • • • • •


IT9 Informatikai szolgáltatás és támogatás Konfiguráció kezelése




E

M



M

Felügyelet

Informatikai eljárás: konfiguráció kezelése Az eljárással szemben támasztott üzleti követelmény: az összes informatikai alkotóelem számbavétele, engedély nélküli változtatások megakadályozása, eszközök meglétének ellen rzése és megfelel kiindulópont biztosítása a változáskezeléshez _

_

A megvalósítás módja: ellen rzési mechanizmusok, amelyek nyilvántartják az összes informatikai eszközt és azok feltalálási helyét, és rendszeres ellen rzési program, amely meger síti az eszközök meglétét _

_

_


_

w

72

w

w

Ad ato k

•

eszközök nyilvántartása konfiguráció-változtás kezelés engedély nélküli szoftverek ellen rzése szoftver tárolás kontrollálása szoftverek és hardverek közötti összefüggések és kapcsolódások automatizált eszközök (tool-ok) alkalmazása a konfiguráció kezelés céljából


• • • • •


IT10 Informatikai szolgáltatás és támogatás Problémák és rendkívüli események kezelése




E E



M

Felügyelet

Informatikai eljárás: problémák és rendkívüli események kezelése Az eljárással szemben támasztott üzleti követelmény: a problémák és rendkívüli események megoldása, továbbá az okok feltárása az ismételt el fordulás megel zése érdekében _

_

A megvalósítás módja: probléma-kezel rendszer alkalmazása, amely nyilvántartja a rendkívüli eseményeket és követi az azokkal kapcsolatos fejleményeket _


_

_

_

_

_

_

_

_

_

x

x

73

x

x

Ad ato k

• • • •

problémák és megoldások megfelel ellen rzési naplója feltárt problémák megfelel id ben történ rendezése a problémák (illetékesekhez történ ) továbbításával kapcsolatos eljárások jelentés rendkívüli eseményekr l konfigurációra vonatkozó információk hozzáférhet sége szállító felel sségei összehangolás a változás-kezeléssel Em be r Al kal ek ma zá Te chn sok oló gia

• • •

x


IT11 Informatikai szolgáltatás és támogatás Adatok kezelése





E


E

Felügyelet

Informatikai eljárás: adatok kezelése Az eljárással szemben támasztott üzleti követelmény: az adatok teljességének, pontosságának és érvényességének meg rzése a rögzítés, az aktualizálás és a tárolás során _

A megvalósítás módja: az informatikai eljárásokhoz kapcsolódó általános illetve alkalmazási rendszerekbe épített ellen rzések hatékony kombinációja _


• • • • • • • • •

rlapok, formanyomtatványok megtervezése forrás-dokumentumok ellen rzése rögzítés (input), feldolgozás és kimenet (output) ellen rzése adathordozók azonosítása, mozgatása és könyvtári kezelése adatok mentése és visszatöltése hitelesség és sértetlenség adat-tulajdonos adat-adminisztrációs elvek, szabályzatok adatmodellek és adateleírásra vonatkozó szabványok integráció és konzisztencia különböz informatikai környezetek (platformok) között törvényi és jogszabályi el írások `

_

_

y

_

74

Ad ato k

•

_


•


IT12 Informatikai szolgáltatás és támogatás Létesítmény kezelése





E E

Felügyelet

Informatikai eljárás: létesítmény kezelése Az eljárással szemben támasztott üzleti követelmény: megfelel fizikai környezet biztosítása, amely megvédi az informatikai eszközöket és a dolgozókat az emberi eredet és a természeti veszélyekt l _

`

_

A megvalósítás módja: környezetre és fizikai védelemre vonatkozó szabályozások és eljárások bevezetése és azok megfelel m ködésének rendszeres felülvizsgálata _

`


hozzáférés az eszközökhöz telephely azonosítása fizikai biztonság vizsgálati és felterjesztési, jelentési szabályok üzemvitel folytonosságának tervezése és válságkezelés dolgozói egészség- és munka-védelem megel z karbantartási eljárások környezeti veszélyekkel szembeni védelem automatikus felügyelet (monitoring) _

z

75

Ad ato k

_


• • • • • • • • •


IT13 Informatikai szolgáltatás és támogatás Informatikai üzemeltetés irányítása




E E



M M

Felügyelet

Informatikai eljárás: informatikai üzemeltetés irányítása Az eljárással szemben támasztott üzleti követelmény:

az informatikai részleg által nyújtott fontos támogató szolgáltatások megfelel és rendszeres teljesítésének biztosítása. _

A megvalósítás módja: támogatási tevékenységek listája, amely az elvégzett tevékenységek rögzítésére és végrehajtásának ellen rzésére szolgál. _


• • • • • • •

üzemeltetési kézikönyv rendszer indítási eljárás dokumentációja hálózati szolgáltatások kezelése üzemi terhelés és alkalmazottak beosztása m szakváltásra, átadásra vonatkozó szabályok rendszer-események nyilvántartása változáskezeléssel, rendelkezésre állás biztosításával és az folyamatos üzemvitel fenntartásával történ koordináció megel z karbantartás szolgáltatási szint megállapodások automatizált, emberi felügyelet nélküli müködés rendkivüli események naplónyilvántartása, nyomonkövetése és felterjesztése `

_

_

{

{

76

{

Ad ato k

_


• • • •

{


77


F1Felügyelet

Eljárások felügyelete



Beszerzés és bevezetés M ködés és támogatás

E M M M M M M

Felügyelet Informatikai eljárás: eljárások felügyelete (monitoring) Az eljárással szemben támasztott üzleti követelmény: az informatikai folymatokra vonatkozóan meghatározott teljesítményi célkit zések teljesítésének biztosítása |

A megvalósítás módja: vonatkozó teljesítmény-mutatók meghatározása, teljesítmény-adatok rendszeres és szisztematikus jelentése, továbbá azonnali lépések kezdeményezése eltérések észlelése esetén. Mérlegelend kérdések: }

teljesítmény-mutató táblázatok, amelyek tartalmazzák a teljesítmény el állításáért felel s elemeket valamint a kimeneti eredmények mérését felhasználók elégedettségének értékelése vezet i jelentések múltbeli teljesítmény-adatok ismereti bázisának összeállítása más szervezetekhez történ viszonyítás (benchmarking) ~

~

~


• • • •

~

78

Ad ato k

•


F2Felügyelet

Bels ellen rzés megfelel ségének felmérése




E E M M M E M

Felügyelet Informatikai eljárás: bels ellen rzés megfelel ségének felmérése ~

~

Az eljárással szemben támasztott üzleti követelmény: az informatikai eljárásokra vonatkozóan meghatározott bels ellen rzési irányelvek megvalósításának biztosítása ~

~

A megvalósítás módja: bels ellen rzési eljárások m ködésének vezet i felügyelete és eredményességének értékelése, továbbá rendszeres jelentéskészítés a fentiekr l ~

~

|

~

~

Mérlegelend kérdések: }

bels ellen rzési felel sségi körök kijelölése bels ellen rzés folyamatos felügyelete viszonyítási normák jelentéskészítés hibákról és rendkívüli esetekr l önértékelés vezet i jelentések törvényi, jogszabályi és egyéb szabályozási követelményeknek való megfelelés ~

~

~

~

~

~

~

79

Ad ato k

• • • • • • •


~


F3Felügyelet

Független értékelés végeztetése




E E M M M M M

Felügyelet Informatikai eljárás: független értékelés végeztetése Az eljárással szemben támasztott üzleti követelmény: a szervezet, a felhasználók és a küls növelése

szolgáltatók közötti kölcsönös bizalom ~

A megvalósítás módja: független értékelések végrehajtása rendszeres id közönként ~


•

~

~

~

~

~

~

~

~

|

~

80

Ad ato k

• • •

független tanúsítványok / hitelesítések független eredményességi értékelések a törvények és jogszabályi el írások betartásának független értékelése a szerz déses kötelezettségek betartásának független értékelése küls szolgáltatók értékelése értékel ellen rzések végrehajtása megfelel képzettség dolgozók révén megel z audit-ellen rzések


• • •


F4Felügyelet

Független ellen rz vizsgálat végeztetése




E E M M M M M

Felügyelet Informatikai eljárás: független ellen rz vizsgálat (audit) végeztetése ~

~

Az eljárással szemben támasztott üzleti követelmény: a bizalom szintjének és a legjobb gyakorlat követéséb l származó el nyök növelése ~

~

A megvalósítás módja: független vizsgálat (audit) végrehajtása rendszeres id közönként ~


• •

~

~

~

~

~

|

81

Ad ato k

•

audit, ellen rzési részleg függetlensége megel z ellen rzések, vizsgálatok auditálás, vizsgálat végrehajtása megfelel képzettség dolgozók révén észrevételek és javaslatok hivatalos jóváhagyása, a végrehajtásuk engedélyezése utómunkálatok (az audit, vizsgálat után) az audit alapján megfogalmazott ajánlások megvalósítási hatásának elemzése (költségek, hasznok és kockázatok)


• • •


82


M ELLÉKLETEK

83


I. MELLÉKLET INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ

Az alábbiakban közölt Vezet i Útmutató és Érettségi Modell példa meghatározza az informatikai irányításhoz kapcsolódó Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és Érettségi Modelleket. El ször meghatározásra kerül az informatikai irányítás, a vonatkozó üzleti igények megfogalmazása révén. Ezt követ en kerül sor az informatikai irányításhoz kapcsolódó információs kritériumok azonosítására. Az üzleti igény a Kritikus Cél Mutatók alapján mérhet , amelynek megvalósítását a megadott kontroll eljárás teszi lehet vé, a jelzett informatikai er források felhasználásával. A megadott kontroll eljárás teljesítménye a Kritikus Teljesítmény Mutatók segítségével mérhet , amely figyelembe veszi a Kritikus Sikertényez ket. Az Érettségi Modell segítségével értékelni lehet azt, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást – a ’ Nem-létez ’ (legalacsonyabb) szintt l kiindulva a ’ Kezdeti/ad hoc jelleg ’ , az ’ Ismétl d de intuitív jelleg ’ , a ’ Meghatározott eljárás’ és az ’ Irányított és mérhet ’ szinten át az ’ Optimális’ (legmagasabb) szintig. Az Optimális érettségi szint informatikai irányítás eléréséhez a szervezetnek ’ Optimális’ szinten kell állnia a Felügyelet területen és legalább ’ Irányított és mérhet ’ szintet kell elérnie az összes többi tevékenységi területen.

(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezet i útmutatójában.)

84


Az INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ

Az információ-technológia és az ahhoz kapcsolódó eljárások irányítása, az értékteremtés üzleti célját szem el tt tartva, a kapcsolódó kockázatok és el nyök figyelembe vétele mellett,

amely a szükséges Információs Kritériumoknak megfelel információkat biztosít a vállalkozás részére és a Kritikus Cél Mutatókkal mérhet ,

amely egy olyan, a vállalkozás számára megfelel , az informatikai tevékenységek által nyújtott értékteremtést irányító és felügyel eljárási és kontroll rendszer kialakítása és fenntartása révén valósítható meg,

amely figyelembe veszi a Kritikus Sikertényez ket, az összes Informatikai Er forrást felhasználja és m ködése a Kritikus Teljesítmény Mutatókkal mérhet .

Kritikus Sikertényez k

• Az informatikai irányítás tevékenységei szerves részét képezik a vállalatirányítási folyamatnak és a vezetési magatartásformáknak. • Az informatikai irányítás a vállalati célokra, a stratégiai kezdeményezésekre, a vállalkozás fejlesztését segít technológiák használatára és a változó üzleti igényeknek megfelel er források és kapacitások elérhet ségére koncentrál. • Az informatikai irányítás tevékenységei világos célok mentén lettek meghatározva, megfelel en dokumentálva vannak és a vállalkozás igényei alapján kerülnek végrehajtásra, a felel sségi körök egyértelm meghatározása mellett. • Megfelel vezet i gyakorlatokat alkalmaznak az er források hatékony és optimális kihasználásának biztosítása és az informatikai eljárások eredményességének növelése céljából. • Megfelel szervezeti gyakorlatokat alkalmaznak, amelyek lehet vé teszik az alábbiak megvalósítását: megbízható vezet i felügyelet; ellen rzési környezet/kultúra kialakítása; a kockázat-elemzés általános gyakorlatként történ alkalmazása; a kialakított normák megfelel mérték betartása; kontroll hiányosságok és kockázatok figyelemmel kísérése és megfelel korrekciós intézkedések megtétele (follow up). • Megfelel ellen rzési gyakorlatokat határoztak meg a bels ellen rzés és a vezet i felügyelet ” cs djeinek” elkerülése céljából. • Össze vannak kapcsolva és zökken mentesen képesek együttm ködni az olyan komplexebb informatikai eljárások, mint a probléma-, a változás és a

85

COBIT – KERETRENDSZER konfiguráció-kezelés. • Audit bizottság m ködik a szervezetnél, amely: felel s a független könyvvizsgáló kinevezéséért és munkájának felügyeletéért; az informatikai kérdésekre koncentrál az auditálási tervek kidolgozásakor; áttekinti az ellen rz vizsgálatok és a küls felek által végzett ellen rzések eredményeit.

86


Információs kritériumok

Informatikai er források

eredményesség hatékonyság bizalmasság sértetlenség hozzáférhet ség szabályosság megbízhatóság

emberek alkalmazások technológia technikai környezet adatok

Kritikus Cél Mutatók • • • • • • •

Teljesítmény és költség-gazdálkodás javulása Jelent s informatikai beruházások ” hozamának” javulása Piaci reagálási id javulása Min ség, innováció és kockázat-kezelés javulása Megfelel en integrált és szabványosított üzleti eljárások alkalmazása Új ügyfelek szerzése és meglév ügyfelek kielégítése Megfelel sávszélesség, számítógép-teljesítmény és informatikai m ködési mechanizmusok elérhet sége Az egyes eljárások eredményeit felhasználó felek követelményeinek és elvárásainak megfelel id ben és a költségkeretek túllépése nélkül történ kielégítése Törvények, jogszabályi rendelkezések, ágazati normák és szerz déses kötelezettségek betartása Kockázat-vállalás átláthatósága és a meghatározott szervezeti kockázati profilok betartása Informatikai irányítás érettségre vonatkozó összehasonlító értékelések végzése Új szolgáltatás-nyújtási csatornák kialakítása

•

• • • •

Kritikus Teljesítmény Mutatók

• Informatikai eljárások költség-hatékonyságának (költségek vs. szolgáltatások) javulása • Eljárások fejlesztéséhez kapcsolódó informatikai cselekvési tervek számának növekedése • Informatikai infrastruktúra kihasználtságának növekedése • Érdekelt felek elégedettségének javulása (felmérés ill. panaszok száma alapján) • Munkaer hatékonyságának (szolgáltatások száma alapján) és moráljának (felmérés alapján) javulása • A vállalat-irányításhoz szükséges ismeretek és információk elérhet ségének javulása

87

COBIT – KERETRENDSZER • Az informatikai irányítás és a vállalat-irányítás egymáshoz kapcsolódásának fokozódása • Teljesítmény javulása az informatikai eredménymutatók alapján.

88

COBIT – KERETRENDSZER Informatikai irányítás Érettségi Modellje Az információ-technológia és az ahhoz kapcsolódó eljárások olyan jelleg irányítása, amely az értékteremtés üzleti célját tartja szem el tt és figyelembe veszi a kapcsolódó kockázatokat és el nyöket

Teljesen hiányzik az informatikai irányítás m ködésére 0 Nem létez utaló bármilyen eljárás. A szervezet nem ismerte fel még azt sem, hogy foglalkozni kellene ezzel a kérdéssel, ezért nincs is napirenden a kérdés.

1 Kezdeti/Ad hoc jelleg Bizonyítható, hogy a szervezet felismerte az informatikai irányításhoz kapcsolódó kérdések létezését és kezelésének szükségességét. Mindazonáltal nem alkalmaznak egységes eljárásokat, csupán ad hoc jelleg megoldásokat, egyedi illetve eseti alapon. A vezetés hozzáállása a kérdéshez kaotikus és csak elvétve és alkalmanként kerülnek szóba az ilyen jelleg kérdések és a kezelésükhöz szükséges módszerek. El fordul, hogy a vezetés bizonyos mértékig tisztában van azzal, hogy az informatika milyen értékekkel járul hozzá a kapcsolódó vállalati eljárások teljesítményéhez. Nem m ködik egységes értékelési eljárás. Az informatikai eljárások ellen rzésére csupán utólagos jelleggel kerül sor olyan esetek kapcsán, amelyek nyomán veszteségek keletkeztek illetve amelyek zavart okoztak a szervezet m ködésében.

2 Ismétl d de intuitív jelleg A szervezet általános szinten tisztában van az informatikai kérdések fontosságával. Folyamatban van az informatikai irányításhoz kapcsolódó tevékenységek és teljesítmény-mutatók kidolgozása, ideértve a informatikai tervezést valamint az eljárások m ködtetését és felügyeletét is. Ezen kezdeményezések részeként az informatikai irányítási tevékenységeket formálisan is integrálják a szervezet változás-kezelési eljárásába a fels vezetés aktív közrem ködése és felügyeletet mellett. A vállalati alapfolyamatok hatékonyságának javítása illetve kontrollálása céljából kiválasztanak bizonyos informatikai eljárásokat, amelyeket megfelel en megterveznek és felügyelnek, mint beruházásokat, és a meghatározott informatikai architektúra keretrendszer alapján alakítanak ki. A vezetés meghatározta informatikai irányításra vonatkozó alapvet mérési és értékelési módszereket és technikákat, az eljárást azonban nem alkalmazzák a szervezet egészére kiterjed en. Nincsen az irányítási normákra vonatkozó formális képzés és tájékoztatás, és a felel sségi körök egyénekre vannak bízva. Bizonyos egyének határozzák meg az irányítás módját a különböz informatikai projekteken és eljárásokon belül. Irányítási eszközöket csak korlátozott mértékben alkalmaznak az irányításhoz kapcsolódó mérési mutatók összegy jtésére,

89

COBIT – KERETRENDSZER de el fordul, hogy ezeket sem használják fel a lehetséges maximális mértékben a funkcionalitásukra vonatkozó szakértelem hiánya miatt.

3 Meghatározott eljárás Az informatikai irányításhoz kapcsolódó tevékenységek szükségessége tudott és elfogadott a szervezetnél. Kidolgoztak az informatikai irányításhoz kapcsolódó bizonyos alapmutatókat, amelyek kapcsán meghatározták, dokumentálták és beépítették a stratégiai és operatív tervezés és felügyelet folyamataiba az eredménymutatók és a teljesítményt meghatározó tényez k közötti összefüggéseket. A bevezetett eljárásokat szabványosították és dokumentálták. A vezetés megfelel módon kommunikálta a szervezet felé a szabványosított eljárásokat és informális képzési formákat alakított ki. Az informatikai irányítás tevékenységeihez kapcsolódó teljesítmény-mutatókat nyilvántartják és elemzik, amely vállalati szint javulásokat eredményez. Bár az eljárások mérhet ek, nem túlzottan kifinomultak, csupán a meglév gyakorlatok formalizációi. Az eszközök szabványosak és az aktuálisan rendelkezésre álló technikákra épülnek. A szervezet ún. ’ Egyensúlyi Üzleti Eredménymutató’ -kat (’ Balanced Business Scorecards’) alkalmaz. A képzettség megszerzése és a szabványok követése és alkalmazása azonban az egyénre van bízva. Kiváltó okokra irányuló elemzésére csak ritkán kerül sor. Az eljárások többségének m ködését bizonyos (alapvet ) mérési mutatók alapján kísérik figyelemmel, de az esetleges eltéréseket, amelyek többségére bizonyos egyének kezdeményezése nyomán kerül sor, nem valószín , hogy fel tudja deríteni a vezetés. Mindazonáltal a kulcsfontosságú eljárásokhoz kapcsolódó általános felel sségi körök világosak és a vezetés díjazása a kritikus teljesítményi mutatók alapján történik.

4 Irányított és mérhet A szervezet minden szintjén teljes mértékben tisztában vannak az informatikai irányításhoz kapcsolódó kérdések fontosságával, amelyet formális jelleg képzés is támogat. Világosan látják, hogy ki az informatikai eljárások ” vev je” és a felel sségi köröket szolgáltatási szintekre vonatkozó megállapodásokon keresztül határozzák meg és felügyelik. A felel sségi körök világosak és minden eljárásnak meg van a maga ” gazdája” . Az informatikai eljárások igazodnak az üzleti és az informatikai stratégiához. Az informatikai eljárások fejlesztése els sorban kvantitatív megértésre alapul és lehetséges az eljárásokra vonatkozó mérési mutatók szerinti mérés. Az eljárásokban érintett felek tisztában vannak a kockázatokkal, az informatika fontosságával és az általa kínált lehet ségekkel. A vezetés meghatározott bizonyos tolerancia-határokat az válaszlépéseket eljárások m ködésére vonatkozóan. Megfelel eszközölnek az olyan esetek többségében, de nem minden esetben, ahol az eljárások láthatóan nem m ködnek megfelel hatékonysággal illetve

90

COBIT – KERETRENDSZER eredményességgel. Az eljárások fejlesztése alkalomszer és a legjobb bels gyakorlatok alkalmazását szorgalmazzák. A kiváltó okokra irányuló elemzések szabványos jelleg ek. A szervezet elkezdett foglalkozni a folyamatos fejlesztés kérdésével. A technológia használata korlátozott, els sorban taktikai jelleg , amely érett technikákra és szabványos eszközökre épül. Az összes érintett bels szakért közrem ködik az informatikai irányításban. Az informatikai irányítás vállalati szint eljárássá fejl dik. Az informatikai irányításhoz kapcsolódó tevékenységek fokozatosan beintegrálódnak a vállalat-irányítási eljárásba.

5 Optimális Az informatikai irányításhoz kapcsolódó kérdések és megoldások megértése és ismerete el rehaladott és el retekint jelleg . A képzést és a kommunikációt innovatív koncepciókkal és technikákkal támogatják. Az eljárásokat küls normák alapján alakítják, a folyamatos fejlesztések és a más szervezetekhez viszonyított érettségi modellek eredményei alapján. Az alkalmazott vállalat-politika eredményeként a szervezet, az ott dolgozó emberek és az eljárások gyorsan tudnak alkalmazkodni az informatikai irányításhoz kapcsolódó követelményekhez és teljes mértékben támogatják azokat. Minden probléma és eltérés esetén megvizsgálják a kiváltó okokat és az elemzés eredménye alapján megfelel intézkedéseket kezdeményeznek. Az informatikát kiterjedt, integrált és optimalizált módon használják fel a munkafolyamatok automatizálása és a min ség és az eredményesség javítása céljából. Meg vannak határozva az informatikai eljárások kockázatai és el nyei és a vállalkozás egésze tájékoztatást kapott azokról. Küls szakért ket is igénybe vesznek és viszonyítási normákat használnak útmutatásként. Az ellen rzés, az önértékelés és az irányításra vonatkozó elvárások kommunikációja általános jelleg a szervezeten belül és optimálisan használják fel a technológiát a mérések, az elemzések, a kommunikáció és a képzés támogatásához. A vállalat-irányítás és az informatikai irányítás stratégiai szinten kapcsolódnak egymáshoz, úgy, hogy a rendelkezésre álló technológiát, emberi er forrásokat és anyagi er forrásokat a vállalkozás versenyképességének javítását szem el tt tartva hasznosítják.

91


II. MELLÉKLET COBIT PROJEKT LEÍRÁS A projektet továbbra is egy ipari, tudományos, kormányzati és ellen rzési szakemberekb l álló nemzetközi "Projekt Irányító Bizottság" felügyeli. A Projekt Irányító Bizottság részt vett a COBIT Keretrendszer kidolgozásában és a kutatási eredmények alkalmazásában. A projekt keretében végzett kutatások és fejlesztések min ség-biztosítási és szakért i elemzési feladatainak elvégzésére nemzetközi munka-csoport lett felállítva. A projekt általános irányításáért az IT Governance Institute felel.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A KORÁBBI KIADÁSOKNÁL Az 1. kiadásban meghatározott COBIT Keretrendszeb l kiindulva, nemzetközi szabványok és irányelvek akalmazása és a legjobb gyakorlatok felkutatása révén, megszülettek a kontroll irányelvek. A következ lépés az auditálási útmutató kidolgozása volt, amely azt értékeli, hogy a fenti kontroll irányelvek megfelel en vannak-e végrehajtva.

Az 1. és 2. kiadáshoz kapcsolódó kutatási munka részeként összegy jtöttük és elemeztük a meghatározott forrásokat, amelyet európai (Free University of Amsterdam), amerikai (California Polytechnik University) és ausztráliai (University of New South Wales) kutató-csoportok végeztek. A kutatók azt a feladatot kapták, hogy gy jtsék össze, vizsgálják át, értékeljék és rendezzék össze a Keretrendszerhez és az egyes kontroll irányelvekhez kapcsolódó nemzetközi m szaki szabványokat, magatartási kódexeket, min ségi szabványokat, ellen rzési szakmai normákat és ágazati követelményeket. Az adatok összegy jtését és elemzését követ en a kutatók minden egyes informatikai területet és eljárást alaposan megvizsgáltak, majd javaslatokat tettek az egyes informatikai eljárások esetében alkalmazandó kontroll irányelvekre. Az eredményeket a COBIT Irányító Bizottsága és az ISACF Kutatási Igazgatója összesítették.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A 3. KIADÁSNÁL A COBIT 3. kiadásához kapcsolódó projekt keretében kidolgozásra került a Vezet i útmutató és felül lett vizsgálva a COBIT 2. kiadása a legújabb nemzetközi hivatkozási források és normák alapján.

92

COBIT – KERETRENDSZER Emellett, a vezet i kontroll hatékonyabb segítése, a teljesítmény kezelésének bevezetése és az informatikai irányítás tartalmának további részletezése érdekében sor került a COBIT Keretrendszer felülvizsgálatára és kib vítésére is. Annak érdekében, hogy a vezetés a Keretrendszer alapján fel tudja mérni az informatikához kapcsolódó kontroll eljárások megfelel végrehajtását, hogy választani tudjon azok közül illetve, hogy mérni tudja az eljárások teljesítményét, az egyes Kontroll Irányelvekhez kapcsolódóan Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók is bekerültek a Vezet i Útmutatóba.

A Vezet i Útmutató kidolgozásában egy 40 szakért b l álló nemzetközi panel vett részt, amelynek tagjai az ipar, a tudomány, a kormányzatok valamint az informatikai biztonsági és ellen rzési szakma képvisl i közül kerültek ki. Ezek a szakemberek részt vettek egy speciális workshop-öszejövetelen, ahol a COBIT Irányító Bizottsága által meghatározott irányelvek szerint folyt a munka. Az összejövetelhez jelent s támogatást nyújtott a Gartner Group és a PricewaterhouseCoopers, akik a munkaérkezlet menetének irányítása mellett saját ellen rzési, teljesítmény-kezelési és informatikai biztonsági szakért iket is elküldték. Az értekezlet munkájának eredményeként a COBIT mind a 34 általános szint kontroll irányelvéhez kapcsolódóan kidolgozásra kerültek az Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók tervezetei. A COBIT Irányító Bizottsága min ségbiztosítási szempontból áttekintette a kidolgozott tervezeteket, majd az így kapott eredményeket közzétették nyilvános vitára az ISACA web-oldalán. Mindezek alapján elkészült a Vezet i útmutató elnevezés új rész, amely igazodik a COBIT Keretrendszerhez és hasznos eszközt kínál a vezetés számára.

A Kontoll irányelvek legújabb nemzetközi hivatkozási források és normák alapján történ aktualizálását az ISACA-hoz tartozó egyesületek tagsága végezte el, a COBIT Irányító Bizottságának irányítása mellett. A munka során nem kívántuk globálisan elemezni az összes anyagot vagy átírni a Kontroll irányelveket, hanem egyfajta fokozatos aktualizálási eljárásra törekedtünk.

A kidolgozott Vezet i útmutató alapján felülvizsgáltuk magát a COBIT Keretrendszert is, els sorban az általános kontroll irányelvekhez kapcsolódóan a mérlegelend kérdésekre, a célokra és a megvalósítás módjára vonatkozó megállapításokat.

93


III. MELLÉKLET ELS DLEGES COBIT HIVATKOZÁSI FORRÁSOK

COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control — Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. An Introduction to Computer Security: The NIST Handbook: NIST Special Publication 800-12, National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission), Brussels, 1994. NSW Premier's Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. Premier' s Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (President's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the President' s Council on Management Improvement and the President' s Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992.

94

COBIT – KERETRENDSZER CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study," Rolling Meadows, IL, 1994. IFAC International Information Technology Guidelines—Managing Security of Information: International Federation of Accountants, New York, 1998. IFAC International Guidelines on Information Technology Management—Managing Information Technology Planning for Business Impact: International Federation of Accountants, New York, 1999. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NIST Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: US General Accounting Office, Washington, DC, 1999. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Auditability and Control: Institute of Internal Auditors Research Foundation, Systems Auditability and Control Report, Altamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Altamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, 1997. ISO IEC JTC1/SC27 Information Technology — Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997. Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI (France), BSI (Germany), NLNCSA (Netherlands), CESG (United Kingdom), NIST (USA) and NSA (USA), 1999. Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994

95


ESF Baseline Control-Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994. ESF Baseline Control-Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990. Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992. Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): US General Accounting Office, Washington, DC 1999. Guide for Developing Security Plans for Information Technology: NIST Special Publication 80018, National Institute for Standards and Technology, US Department of Commerce, Washington, DC, 1998. Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999. BS7799-Information Security Management: British Standards Institute, London, 1999. CICA Information Technology Control Guidelines, 3rd Edition: Canadian Institute of Chartered Accountants, Toronto, 1998. ISO/IEC TR 13335-n Guidelines for the Management of IT Security (GMITS), Parts 1-5: International Organisation for Standardisation, Switzerland, 1998. AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.

96


IV. MELLÉKLET SZÓJEGYZÉK AICPA

American Institute of Certified Public Accountants – Okleveles Könyvvizsgálók Amerikai Egyesülete Canadian Institute of Chartered Accountants – Okleveles Könyvvizsgálók kanadadai CICA Egyesülete Certified Information Systems Auditor – Okleveles Információs Rendszer Auditor CISA Common Criteria for Information Technology Security – Informatika biztonság közös CCEB kritériumai Azok az irányelvek, eljárások, gyakorlatok és szervezeti struktúrák, amelyek célja az, Kontroll hogy gondoskodjanak az üzleti célkit zések teljesítésér l és a nemkívánatos események megel zésér l, felderítésér l és korrekciójáról. Committee of Sponsoring Organisations of the Treadway Commission – Treadway COSO Bizottságot Szponzorálós Szervezetek Bizottsága Disaster Recovery Institute International – Nemzetközi Katasztrófa-helyreállítási DRI Intézet Department of Trade and Industry of the United Kingdom – Az Egyesült Királyság DTI Ipari és Keresedelmi Minisztériuma Electronic Data Interchange for Administration, Commerce and Trade – EDIFACT Adminisztrációs, kereskedelmi és üzleti célú elektronikus adatcsere Electronic Data Processing Auditors Foundation (now ISACF) – Elektronikus EDPAF Adatfeldolgozási Auditorok Alapítványa (mai neve ISACF) European Security Forum – Európai Biztonsági Fórum, 70-nél több, els sorban ESF multinacionális társaság kutatási együttm ködési fúruma az informatikai biztonság és ellen rzés területén U.S. General Accounting Office – Az Egyesült Államok Legf bb Számvev széke GAO I4 International Information Integrity Institute (Az információk sértetlenségével és összhangjával foglalkozó nemzetközi intézet) az ESF-hez hasonló szervezet, hasonló célokkal, de els sorban amerikai székhely és a Stanford Kutató Intézet irányítja. Az Infosec Bizottságnak tanácsokat adó ágazati szakért k csoportja. A fenti Bizottság IBAG az Európai Közösség kormányzati tisztségvisel ib l áll és maga is ad tanácsokat az Európai Bizottságnak informatikai biztonsági kérdésekben. International Federation of Accountants – Nemzetközi Könyvvizsgálói Szövetség IFAC Institute of Internal Auditors – Bels Ellen rök Intézete IIA Advisory Committee for IT Security Matters to the European Commission – Az INFOSEC Európai Bizottság Informatikai Biztonségi kérdésekkel foglalkozó Tanácsadó Bizottsága ga Information Systems Audit and Control Association – Információs RendszerISACA ellen rök Egyesülete Information Systems Audit and Control Foundation - Információs RendszerISACF ellen rzési Alapítvány International Organisation for Standardization - Nemzetközi Szabványügyi ISO Szervezet Az ISO által meghatározott min ségirányítási és min ségbiztosítási szabványok. IS09000 Informatikai A kontroll eljárások végrehajtása révén elérni kívánt eredmény illetve cél kontroll meghatározása irányelv

97


ITIL ITSEC NBS NIST korábban NBS) NSW OECD

Information Technology Infrastructure Library - Információtechnológiai infrastruktúra könyvtár Információ-technológiai biztonság kiértékelésének kritérium rendszere. Franciaország, Németország, Hollandia és az Egyesült Királyság egységes kritériumai, amelyeket támogat az Európai Bizottság is (lásd még: TCSEC) National Bureau of Standards of the U.S. – USA Szabvánügyi Iroda National Institute of Standards and Technology – Nemzeti Szabványügyi és Technológiai Intézet (székhelye: Washington. D.C.) Új-Dél Wales, Ausztrália Organisation for Economic Cooperation and Development – Gazdasági Együtt ködési és Fejlesztési Szervezet Open Software Foundation – Nyitott Szoftver Alapítvány President’s Council on Integrity and Efficiency – Az infromációk sértetlenséggel és hatékonyságával foglalkozó Elnöki hivatal Software Process Improvement and Capability Determination – szoftver-fejlesztés és kapacitás meghatározás – a szoftverfejlesztésre vonatkozó szabvány Megbízható számítógéprenszerek kiértékelésének kritérium rendszere más néven Orange Book: számítógépes rendszerek biztonságának érékelési kritériumai, amelyet eredetileg az Egyesült Államok Védelmi Minisztériuma dolgozott ki. Európai megfelel jét lásd az ITSEC-nél. Szoftverek min ség-kezelési rendszerének kiépésére és hitelesítésére vonatkozó útmutató

OSF PCIE SPICE TCSEC

TickIT

98

KERETRENDSZER. 3. kiadás

Recommend Documents