KONTROLL IRÁNYELVEK 3. kiadás. MTA Információtechnológiai Alapítvány 2003

KONTROLL IRÁNYELVEK

3. kiadás

MTA Információtechnológiai Alapítvány 2003

COBIT AZ INFORMÁCIÓ–TECHNOLÓGIA IRÁNYÍTÁSÁHOZ, KONTROLLJÁ– HOZ ÉS ELLEN RZÉSÉHEZ

IT

GOVERNANCE INSTITUTE

IT

GOVERNANCE INSTITUTE

COBIT 3. kiadás

Kontroll irányelvek 2000. július A COBIT Irányító Bizottsága és az IT Governance InstituteTM gondozásában

A COBIT küldetése: Mértékadó, naprakész és nemzetközi érvény , általánosan elfogadott informatikai kontroll irányelvek kutatása, kidolgozása, publikálása és támogatása, amelyeket napi munkájuk során tudnak használni az üzletemberek, ellen rök és könyvvizsgálók

3

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Egyedülálló nemzetközi forrás az informatikai ellen rzés területén

Az Information Systems Audit and Control Association (Információs Rendszer Ellen rzési és Kontroll Egyesület) olyan meghatározó jelent ség nemzetközi szakmai szervezet, amely több mint 100 ország szakembereit tömöríti, az információ-technológia minden szintjén – fels - és közép-vezet ket valamint gyakorló felhasználókat egyaránt. Az Egyesület pozíciójából ered en egyedülálló szerepet tölt be az informatikai ellen rzési szabványok harmonizációjában. Más pénzügyi, számviteli, ellen rzési és informatikai csoportokkal kialakított stratégiai együttm ködésének köszönhet en egyedülálló módon képes összefogni az üzleti folyamatok irányításában érdekelt feleket.

Az Egyesület programjai és szolgáltatásai Az Egyesület magas színvonalú programokat és szolgáltatásokat kínál a nemzetközi szakképesítés, a szabványok, a továbbképzés és a szakmai kiadványok terén: • Szakképesítési programja (Okleveles információs–rendszer ellen r képzés) az egyetlen olyan, amely nemzetközi képesítést nyújt az informatikai kontroll és ellen rzés területén. • Az Egyesület által kidolgozott nemzetközi szabványok az informatika területéhez kapcsolódó ellen rzési és kontroll eljárások min ségi mércéjeként szolgálnak. • Továbbképz programjai keretében szakmai és vezet i konferenciákat és szemináriumokat szervez a világ öt földrészén, így segítve azt, hogy az ellen rzési szakemberek a világ minden részén magas szint továbbképzésben részesüljenek. • Szakmai kiadványai hivatkozási forrásként és kutatási anyagként szolgálnak, tovább növelve a különböz programok és szolgáltatások értékét.

Az Information Systems Audit and Control Association 1969–ben alakult meg azzal a céllal, hogy kielégítse az akkor még gyerekcip ben járó informatikai ágazat egyedi, sokrét és magas szint technológiai igényeit. Az ISACA lépést tart a nemzetközi üzleti közösség és az informatikai szakma igényeinek fejl désével – egy olyan ágazatban, ahol nano– szekundumokban mérik az el relépéseket.

További információk További felvilágosításért hívja a +1.847.253.1545–ös telefonszámot, írjon e–mail címünkre ([email protected]), vagy keressen fel minket az Internet-en az alábbi oldalakon: www.Itgovernance.org www.isaca.org


TARTALOMJEGYZÉK Köszönetnyilvánítás Vezet i összefoglaló

A COBIT keretrendszer A keretrendszer alapelvei COBIT történelem és el zmények

Kontroll irányelvek – Összefoglaló táblázat A kontroll irányelvek alapelvei Kontroll irányelvek navigációs áttekintése Kontroll irányelvek közötti kapcsolat: Terület, eljárások és kontroll irányelvek Kontroll irányelvek Tervezés és szervezet Beszerzés és bevezetés Informatikai szolgáltatás és támogatás Felügyelet I. Melléklet Informatikai irányításhoz kapcsolódó vezet i útmutató

II. Melléklet COBIT projekt ismertetés III. Melléklet Els dleges COBIT hivatkozási források

IV. Melléklet Szójegyzék Index

5


A kiadók megjegyzése Az Information Systems Audit and Control Foundation (Információs Rendszerek Ellen rzésével és Vizsgálatával foglalkozó Alapítvány), az IT Governance Institute és a COBIT: Control Objectives for Information and Related Technology (Információ–technológiai Kontroll Irányelvek) támogatói els sorban azzal a céllal dolgozták ki az Összefoglaló áttekintés, a Keretrendszer, az Ellen rzési irányelvek, a Vezet i útmutató, az Auditálási útmutató és az Alkalmazási módszerek elnevezés kiadványokat (együttesen a ’’Termék”), hogy forrásanyagot biztosítnak az ellen rzési szakemberek számára. Az Information Systems Audit and Control Foundation, az IT Governance Institute és a támogatók nem állítják azt, hogy a jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre. A kiadók nem állítják azt, hogy a jelen Termék minden megfelel eljárást és tesztet tartalmaz illetve azt, hogy a benne szerepl eljárásokon és teszteken kívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Az egyes konkrét eljárások illetve tesztek megfelel ségének meghatározásakor az ellen rzési szakembereknek saját szakmai megítélésük alapján kell dönteniük, a konkrét rendszerek illetve ellen rzési környezet függvényében.

Közzététel és szerz i jog Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation (ISACF). A termék kereskedelmi célú kiadásához az ISACF el zetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek c. részek nem üzleti célú, bels használatra történ másolása, beleértve azok adatkeres rendszerben történ tárolását és bármilyen eszközön – elektronikus, mechanikus, hangfelvétel, vagy más – keresztül történ továbbítását, engedélyezett. Az Összefoglaló áttekintés, a Keretrendszer, a Kontroll irányelvek, a Vezet i útmutató és az Alkalmazási módszerek részekr l készített másolatokban az alábbi szerz i jogi nyilatkozatot kell feltüntetni: ”Copyright © 1996, 1998, 2000 by Information Systems Audit and Control Foundation. Az Information Systems Audit and Control Foundation és az IT Governance Institute engedélyével.”

Az Auditálási útmutató cím rész felhasználása, másolása, reprodukálása, módosítása, terjesztése, adatkeres rendszerben történ tárolása és bármilyen formában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt, hangfelvétel, vagy más) keresztül történ továbbítása nem engedélyezett az ISACF el zetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy az Auditálási útmutató kizárólag bels , nem-kereskedelmi célú felhasználása engedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetve engedély nem került átadásra a jelen termékkel kapcsolatban. A termékkel kapcsolatos minden jog fenntartva.

Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Telefon: +1.847.253.1545 Fax: +1.847.253.1443 E–mail: [email protected] Internet: www.ITgovernance.org www.isaca.org ISBN ISBN

1–893209–15–6 (Összefoglaló áttekintés) 1–893209–13–X (a 6 teljes könyv CD ROM-mal együtt)

Készült az Amerikai Egyesült Államokban.

6


KÖSZÖNETNYILVÁNÍTÁS COBIT IRÁNYÍTÓ BIZOTTSÁG Erik Guldentops. S.W.I.F.T. sc. Belgium John Lainhart, PricewaterhouseCoopers, USA Eddy Schuermans, PricewaterhouseCoopers, Belgium John Beveridge, State Auditor’s Office, Massachusetts, USA Michael Donahue, PricewaterhouseCoopers, USA Gary Hardy, Arthur Andersen, Egyesült Királyság Ronald Saull, Great-West Life Assurance, London Life And Investors Group, Kanada Mark Stanley, Sun America Inc., USA

KÜLÖN KÖSZÖNET az ISACA Bostoni és Nemzeti F városi részlegeinek a COBIT Kontroll irányelvek elkészítésében történt közrem ködésükért.

KÜLÖN KÖSZÖNET az Information Systems Audit and Control Association Igazgatóságának tagjainak és az Information Systems Audit and Control Foundation vagyonkezel inek, élükön Paul Williams Nemzetközi Elnökkel, a COBIT iránti elkötelezettségükért és folyamatos támogatásukért.

7


VEZET I ÖSSZEFOGLALÓ

A

szervezetek sikere és továbbélése szempontjából kritikus fontosságú az információk és az ahhoz kapcsolódó információ-technológia (IT) eredményes alkalmazása. Napjaink globális információs társadalmában – ahol az információ id , távolsági- és sebesség-korlátok nélkül száguld a kibertérben – az alábbi tényez k miatt vált rendkívül fontossá az információk hatékony feldolgozása:

•

a szervezetek egyre nagyobb mértékben függnek az információktól és az azokat feldolgozó és továbbító rendszerekt l; egyre nagyobb mérték a szervezetek sebezhet sége és veszélyeztetettsége, a világhálón keresztül megjelen veszélyek és az információs hadviselés következtében; az informatikai beruházások volumene és költségei jelent s mértékben növekedtek és fognak növekedni a jöv ben; továbbá bizonyos új technológiák radikálisan képesek befolyásolni a szervezeti m ködést és az üzleti gyakorlatot, új lehet ségeket teremtenek és csökkentik a költségeket.

•

•

•

S

ok szervezet esetében az információ és az azt feldolgozó technológia jelenti a szervezet legértékesebb vagyontárgyait. Mindezek mellett napjaink versenycentrikus és gyorsan változó üzleti környezetében az üzletemberek egyre fokozottabb elvárásokat fogalmaznak meg az információ-technológiával szemben: a vezetés magasabb min séget, funkcionalitást és könnyen használható szolgáltatásokat, egyre gyorsabb kiszolgálást és folyamatosan javuló szolgáltatási színvonalat igényel, ugyanakkor ezeket a célokat sokkal alacsonyabb költségek mellett kívánja megvalósítani.

Sok szervezet felismerte, hogy milyen potenciális el nyöket kínál a technológiai fejlesztés. A sikeres szervezetek azonban azzal is tisztában vannak, hogy milyen kockázatok kapcsolódnak az új technológiák bevezetéséhez és hogyan lehet kezelni azokat.

Számos olyan változás történt az informatikában és annak m ködési környezetében, amelyek szükségessé teszik az informatikával kapcsolatos kockázatok hatékonyabb kezelését. Az elektronikus információk és az informatikai rendszerek jelent s szerepet játszanak a kulcsfontosságú üzleti folyamatok támogatásában. Emellett a szabályozási környezet egyre szigorúbb el írásokat fogalmaz meg az információk ellen rzésére vonatkozóan. Ezt a folyamatot a napvilágra kerül informatikai katasztrófák és elektronikus csalások csak meger sítik. Az informatikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.

A vállalat-irányításon belül egyre jelent sebbé válik az ún. informatikai irányítás. Az informatikai irányítás a vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrájaként határozható meg, amely új érték hozzáadásával, ugyanakkor a

8


kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Emellett az informatikai irányítás integrálja és intézményesíti a tervezésre és szervezetre, a beszerzésre és üzembe állításra, az informatikai szolgáltatásokra és támogatásra valamint az informatikai teljesítmény felügyeletére vonatkozó követend (vagy legjobb) gyakorlatokat annak érdekében, hogy a vállalkozás információs- és kapcsolódó technológiái segítsék a szervezet üzleti célkit zéseinek megvalósítását. Az informatikai irányítás tehát lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Informatikai irányítás A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.

A szervezeteknek az információk kapcsán is, akárcsak a szervezet minden vagyona

esetében, figyelembe kell venniük bizonyos min ségi, fiduciáris és biztonsági követelményeket. A vezetésnek emellett gondoskodnia kell a rendelkezésre álló er források – ideértve az adatokat, az alkalmazási rendszereket, a technológiát, a berendezéseket és az emberi er forrásokat – optimális kihasználásáról. A fenti feladatok teljesítése valamint kit zött céljai megvalósítása érdekében a vezetésnek tisztában kell lennie saját informatikai rendszereinek státuszával és döntenie kell arról, hogy milyen biztonsági és ellen rzési mechanizmusokat kíván kialakítani.

A COBIT – immár harmadik kiadásában – az üzleti kockázatok, az ellen rzési igények és a technikai jelleg kérdések között húzódó “szakadékok” áthidalása révén segítséget nyújt a vezetés sokrét igényeinek kielégítéséhez. Megfelel gyakorlati megoldásokat kínál, ugyanakkor kezelhet és logikus struktúrában mutatja be a szükséges teend ket. A COBIT által megfogalmazott “követend gyakorlatok” olyan eljárásokat jelentenek, amelyek kapcsán konszenzusra jutottak a szakért k abban, hogy ezek az eljárások segítik az informatikai beruházások optimalizálását és támpontot kínálnak annak eldöntéséhez, hogy jól mennek-e a dolgok, vagy sem.

A vezetésnek egy olyan bels ellen rzési rendszert kell kialakítania, amely támogatja az üzleti folyamatokat, világosan meghatározza, hogy az egyes ellen rzési tevékenységek hogyan járulnak hozzá az információkra vonatkozó követelmények teljesítéséhez és kihatnak az informatikai er forrásokra is. Az informatikai

9


rendszerek er forrás-igényeivel valamint az információk eredményességével, hatékonyságával, bizalmas jellegével, sértetlenségével, hozzáférhet ségével, megfelel ségével és megbízhatóságával kapcsolatos üzleti követelményekkel a COBIT Keretrendszer része foglalkozik részletesebben. Az ellen rzés, amely magában foglalja az irányelveket, a szervezeti struktúrát és a gyakorlati eljárásokat is, a vezetés felel sségi körébe tartozik. A vezetésnek kell gondoskodnia arról, a vállalat-irányítás keretében, hogy az információs rendszerek irányításában, használatában, tervezésében, fejlesztésében, karbantartásában és üzemeltetésében részt vev személyek felel sségteljes magatartást tanúsítsanak. Az informatikai kontroll irányelvek azt fogalmazzák meg, hogy az egyes konkrét informatikai területeken a kontroll-eljárások alkalmazása révén milyen kívánt eredmények illetve célok valósíthatóak meg.

A

z üzleti szemléletmód a COBIT egyik f jellemz je. A COBIT nemcsak a felhasználók és az ellen rök számára készült, hanem, ami talán még ennél is fontosabb, átfogó hivatkozási forrásként szolgál az üzleti folyamatokért felel s vezet k és a vállalati menedzsment számára. Napjainkban egyre elterjedtebb az a szemléletmód, hogy az üzletpolitika részeként az egyes üzleti folyamatokért felel s vezet k teljes felhatalmazást kapnak, tehát teljes felel sséggel tartoznak az adott üzleti terület m ködéséért, annak minden aspektusát beleértve. Ehhez hozzátartozik a megfelel kontroll-funkciók, ellen rzési mechanizmusok kialakítása is.

A COBIT Keretrendszer segítséget nyújt az üzleti folyamatokért felel s vezet knek fentebb említett feladataik teljesítéséhez. A Keretrendszer egy egyszer és pragmatikus alaptételb l indul ki:

A szervezeti célkit zések teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni.

A Keretrendszerben bemutatásra kerül 34 ún. általános Kontroll Irányelv, az egyes informatikai folyamatokhoz kapcsolódóan, amelyek négy területre csoportosíthatóak: tervezés és szervezet; beszerzés és üzembe állítás; informatikai szolgáltatás és támogatás valamint felügyelet. Ez a struktúra az információk és az azok feldolgozásához kapcsolódó technológia minden aspektusát lefedi. A fenti 34 általános Kontroll Irányelv segítségével az üzleti folyamatokért felel s vezet k megfelel ellen rzési rendszert alakíthatnak ki az informatikai környezetre vonatkozóan.

A COBIT Keretrendszer ugyanakkor informatikai irányítási útmutatót is kínál. Az informatikai irányítás biztosítja azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk által kínált el nyöket és ezáltal maximális

10


hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Mindezek mellett mind a 34 általános Kontroll Irányelvhez kapcsolódóan kidolgozásra került egy Auditálási útmutató is, amelynek segítségével ellen rizni lehet, hogy az informatikai eljárások megfelelnek–e a COBIT által javasolt 318 részletes kontroll követelménynek, amelyek egyúttal az esetleges javításokra vonatkozóan is tartalmaznak tanácsokat.

A ”Vezet i útmutató” a COBIT termék-család legújabb tagja, további segítséget és újabb eszközt kínál a vállalat-vezetés részére az informatikai irányításhoz kapcsolódó igények és követelmények még hatékonyabb kezeléséhez. Az útmutató, amely tevékenység-központú és általános jelleg , javaslatokat ad a vállalatvezetésnek arra vonatkozóan, hogy hogyan alakíthatóak ki megfelel ellen rzési eljárások a vállalkozás információs rendszereire és az azokhoz kapcsolódó eljárásokra vonatkozóan, hogyan kísérhet figyelemmel a szervezeti célok teljesítésének alakulása, hogyan kísérhet figyelemmel az egyes informatikai eljárások teljesítményének alakulása és hogyan mérhet küls összehasonlítások alapján a szervezet teljesítménye.

A COBIT ún. ”Érettségi Modelleket” kínál az informatikai folyamatok kontrolljához, amelyek alapján a vezetés meg tudja határozni azt, hogy éppen ”hol tart” a szervezet az iparág legjobbjaihoz képest, a nemzetközi szabványokhoz viszonyítva, illetve ahhoz képest, ahol szeretne tartani; ún. ”Kritikus sikertényez ket” kínál, amelyek meghatározzák a vezetés számára az informatikai folyamatok fölötti és azokon belüli kontroll megvalósításához szükséges legfontosabb végrehajtási irányelveket; ún. ”Kritikus cél indexeket” kínál, amelyek meghatározzák azokat a mér számokat, amelyek - a megvalósítást követ en megmondják a vezetésnek, hogy vajon megfelelnek-e az egyes informatikai eljárások az üzleti követelményeknek; továbbá ún. ”Kritikus teljesítmény indexeket” is meghatároz, amelyek a legfontosabb mutatók azoknak a mér számoknak a meghatározásához, amelyek alapján megválaszolható az a kérdés, hogy az egyes informatikai eljárások milyen mértékben járulnak hozzá a célok teljesítéséhez.

A COBIT ”Vezet i útmutató”-jában szerepl ajánlások tevékenység-központúak és általános jelleg ek, amelyek a vezetésnél felmerül alábbi típusú kérdések megválaszolásához nyújtanak segítséget: Meddig érdemes elmennünk és indokoljáke a költségeket az el nyök? Melyek a jó teljesítmény mutatói? Melyek a kulcsfontosságú sikertényez k? Milyen kockázatokkal jár az, ha nem sikerül teljesíteni a célkit zéseket? Mit csinálnak mások? Hogyan mérjük a teljesítményünket és hogyan hasonlítsuk azt össze mások teljesítményével?

A COBIT csomaghoz hozzátartozik egy Alkalmazási módszereket ismertet rész is, amely összefoglalja a COBIT-ot már sikeresen alkalmazó szervezeteknél összegy lt tapasztalatok tanulságait. Az alkalmazási útmutató két hasznos módszert kínál –

11


Vezet i ismeretek diagnosztizálása és Informatikai kontroll diagnosztizálása – a szervezetek informatikai kontroll környezetének felméréséhez és elemzéséhez.

Az elkövetkez

évek során a vállalatok és szervezetek magasabb szint biztonság és kontroll kialakítására fognak kényszerülni. A COBIT olyan eszköz, amely lehet vé teszi a vezet k számára az ellen rzési követelmények, a technikai jelleg kérdések és az üzleti kockázatok közötti “szakadékok” áthidalását, továbbá azt, hogy igazolják az adott szint kontroll m ködését a döntéshozók felé. A COBIT a szervezet egészére kiterjed , világos informatikai kontroll irányelvek és eljárások kidolgozását teszi lehet vé, a világ minden részén. A COBIT tehát egy olyan úttör jelent ség informatikai irányítási eszköz, amely az információkhoz és az információ–technológiához kapcsolódó kockázatok és el nyök megértéséhez és kezeléséhez nyújt segítséget.

12


A COBIT ÁLTAL MEGHATÁROZOTT INFORMATIKAI ELJÁRÁSOK NÉGY TERÜLETRE BONTVA ÜZLETI CÉLOK INFORMATIKAI IRÁNYÍTÁS

COBIT

F1 folyamatok felügyelete F2 bels ellen rzés megfelel ségének felmérése F3 független értékelés szerzése F4 független ellen rzés (audit) biztosítása

TSZ1 informatikai stratégiai terv kidolgozása TSZ2 információs struktúra meghatározása TSZ3 technológiai irány meghatározása TSZ4 IT szervezet és kapcsolatok meghat. TSZ5 IT befektetések kezelése TSZ6 vezet i célok és irányvonal kommunikációja TSZ7 emberi er források kezelése TSZ8 küls követelmények betartásának biztosítása TSZ9 kockázat-becslés TSZ10 projekt-irányítás TSZ11 min ség kezelése

INFORMÁCIÓ

• eredményesség • hatékonyság • bizalmas jelleg • sértetlenség • hozzáférhet ség • szabályosság • megbízhatóság

FELÜGYELET

IT ER FORRÁSOK

TERVEZÉS ÉS SZERVEZET

INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS

• emberek • alkalmazási rendsz.–k • technológia • technikai környezet • adatok

IT1 szolgáltatási szintek meghatározása és kezelése IT2 küls szolgálttaások kezelése IT3 teljesítmény és kapacitás kezelése IT4 folyamatos m ködés biztosítása IT5 rendszer biztonságának biztosítása IT6 költségek felmérése és felosztása IT7 felhasználók képzése IT8 IT ügyfelek segítése IT9 konfiguráció kezelése IT10 problémák kezelése IT11 adatok kezelése IT12 technikai környezet kezelése IT13 m ködés irányítása

BESZERZÉS ÉS BEVEZETÉS BB1 automatizált megoldások keresése BB2 alkalmazási szoftverek beszerzése és karbantartása BB3 technológiai infrastruktúra beszerzése és karbantartása BB4 IT eljárások kialakítása és karbantartása BB5 rendszerek kiépítése és jóváhagyása BB6 változások kezelése

13


A COBIT KERETRENDSZER A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ–TECHNOLÓGIÁBAN Az utóbbi években egyre nyilvánvalóbbá vált, hogy szükség van valamilyen hivatkozási keretrendszerre az informatikához kapcsolódó biztonsági és ellen rzési kérdések terén. A szervezet sikeressége szempontjából elengedhetetlenül szükséges az, hogy a vállalkozáson belül minden szinten tisztában legyenek az informatikához kapcsolódó kockázatokkal és korlátokkal, mert csak így lehet megfelel en és hatékonyan teljesíteni az irányítási és ellen rzési feladatokat.

A VEZETÉSNEK kell döntenie arról, hogy milyen befektetéseket érdemes eszközölni az információs rendszerek biztonsága és kontrollja érdekében és arról, hogy hogyan lehet ellensúlyozni a kockázatokat és kontrollálni a befektetéseket olyan informatikai környezetben, amelyre gyakran a kiszámíthatatlanság jellemz . Bár igaz, hogy az információs rendszerek védelme és kontrollja segít a kockázatok kezelésében, nem tudja kiküszöbölni azokat. Mindemellett a kockázatok pontos szintjét soha nem lehet tudni, mivel mindig van bizonyos mérték bizonytalanság. Tehát végs soron a vezetésnek arról kell döntenie, hogy milyen kockázati szintet hajlandó elfogadni. Az elviselhet kockázati szint megítélése, különösen ha mérlegelni kell a kapcsolódó költségeket is, nehéz döntési helyzet elé állíthatja a vezetést. Szükségük van tehát egy olyan, az információ-technológiához kapcsolódó általánosan elfogadott biztonsági és kontroll irányelveket meghatározó keretrendszerre, amelynek segítségével értékelni tudják meglév és tervezett információs rendszereiket.

Az informatikai szolgáltatások FELHASZNÁLÓI számára is egyre fontosabb szempont az, hogy megfelel biztonsági és kontroll eljárások legyenek életben, amely a bels illetve küls felek által nyújtott informatikai szolgáltatások akkreditálásán és auditálásán keresztül biztosítható. Jelenleg azonban az információs rendszerekhez kapcsolódó megfelel kontroll-funkciók kialakítását, legyen szó akár üzleti, non–profit vagy kormányzati szervezetekr l, gyakran akadályozza az ezen a területen megfigyelhet z rzavar. Ez a z rzavar a különböz értékelési módszerekb l ered: ITSEC, TCSEC, ISO 9000 értékelések, COSO bels ellen rzési normák, stb.. A felhasználóknak tehát szükségük van egy olyan általános alapra, amelyr l kiindulva megtehetik az els lépést.

Gyakran maguk az ELLEN RÖK és KÖNYVVIZSGÁLÓK állnak a nemzetközi szabványosítás folyamatának élére, mivel k nap mint nap szembesülnek azzal az igénnyel, hogy a bels ellen rzéssel kapcsolatos véleményüket alá kell támasztaniuk valamilyen norma-rendszerre hivatkozva a vezetés felé. Egy megfelel keretrendszer hiányában ez rendkívül nehéz feladat. Emellett egyre gyakrabban el fordul, hogy a vezetés az információs rendszerek biztonsági és ellen rzési kérdéseivel kapcsolatban el zetes konzultációra és tanácsadásra kéri fel a könyvvizsgálókat és ellen röket.

14


AZ ÜZLETI KÖRNYEZET: VERSENY, VÁLTOZÁS ÉS KÖLTSÉG A globális verseny korszakába léptünk. A szervezetek folyamatosan racionalizálják m ködésüket, ugyanakkor megpróbálják kihasználni az informatika által kínált el nyöket versenypozíciójuk javítása érdekében. A szerkezet-átalakítás, a karcsúsítás, a küls szolgáltatók alkalmazása (outsourcing), a részlegek önállósítása és a megosztott feldolgozás mind olyan változások, amelyek befolyásolják az üzleti és a kormányzati szervezetek m ködésének módját. Ezek a fejlemények alapvet változásokat idéztek el – és fognak még el idézni – a szervezetek irányítási struktúrájában és m ködésének ellen rzésében.

A költséghatékonyság és a versenyel nyök kihasználásának el térbe kerülése nyomán a legtöbb szervezet stratégiájában egyre fontosabb szerepet kap a technológia. A szervezeti funkciók automatizálása, természetéb l adódóan, megköveteli, hogy hatékonyabb kontroll-mechanizmusok kerüljenek beépítésre a számítógépekbe és hálózatokba, mind hardver–, mind szoftver szinten. Mindemellett az ilyen kontroll-mechanizmusok alapvet strukturális jellemz i ugyanolyan ütemben és ugyanolyan “bakugrás” jelleggel változnak és fejl dnek, ahogy maga a számítógépes és hálózati technológia.

Ebben a gyorsuló változással jellemezhet környezetben a vezet k, az információs rendszer szakért k és az ellen rök csak akkor tudják hatékonyan ellátni feladataikat, ha képességeiket és ismereteiket állandóan fejlesztve lépést tartanak a technológia fejl désével és a környezet változásaival. Aki megalapozott és józan értékelést akar készíteni az üzleti illetve kormányzati szervezeteknél alkalmazott ellen rzési eljárásokról, annak tisztában kell lennie az ellen rzési eljárások technológiájával és azok változó jellegével.

A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATA Napjaink ún. információs gazdaságában a sikeres vállalatok már nem kezelhetik különálló és egymástól különválasztható területekként a vállalat-irányítást és az informatikai irányítást. A hatékony vállalat-irányítás arra a területre koncentrálja az egyéni és csoportos szaktudást és tapasztalatokat, ahol azok a leghatékonyabban hasznosíthatóak, figyelemmel kíséri és méri a teljesítményt és állást foglal a kritikus kérdésekkel kapcsolatban. Az informatika, amelyet régebben a vállalati stratégia megvalósítását segít eszközként kezeltek, mára a stratégia elválaszthatatlan részévé vált.

Az informatikai irányítás jelenti azt a struktúrát, amely összekapcsolja az informatikai folyamatokat, az informatikai er forrásokat és az információkat a szervezet stratégiájával és célkit zéseivel. Az informatikai irányítás összehangolja a tervezés és szervezet, a beszerzés és üzembe állítás, az informatikai szolgáltatás és támogatás valamint az informatikai teljesítmény felügyeletének optimális módjait. Az informatikai irányítás meghatározó szerepet játszik a vállalat-irányítás sikerességében azáltal, hogy hatékony, eredményes és mérhet javulást biztosít a kapcsolódó vállalati folyamatokban. Az informatikai irányítás lehet vé teszi a vállalat számára, hogy teljes mértékben kihasználja a birtokában lév információk

15


által kínált el nyöket és ezáltal maximális hasznot érjen el, megragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

Ha közelebbr l megvizsgáljuk a vállalat-irányítás és az informatikai irányítás egymáshoz való viszonyát, kiderül, hogy a vállalat-irányítás, vagyis az a rendszer, amely az egyes egységeket irányítja és kontrollálja, befolyással és hatással van az informatikai irányításra. Ugyanakkor az informatika kritikus inputokat biztosít és fontos alkotóeleme a stratégiai terveknek. A gyakorlatban az informatika befolyásolhatja a vállalkozás által meghatározott stratégiai lehet ségeket.

(ábra)

Vállalatirányítás

befolyás és hatás

Informatikai irányítás Az üzleti célkit zések teljesítéséhez a vállalati tevékenységek során szükség van az informatikai tevékenységekb l származó információkra. A sikeres szervezetek olyan rendszert alakítanak ki, amely biztosítja a stratégiai tervezés és az informatikai tevékenységek egymástól való függetlenségét. Az informatikai rendszert úgy kell kialakítani, hogy annak segítségével a vállalkozás teljes mértékben ki tudja használni a birtokában lév információk által kínált el nyöket és ezáltal maximális hasznot tudjon elérni, meg tudja ragadja a kínálkozó üzleti lehet ségeket és piaci versenyel nyhöz jusson.

(ábra)

Vállalati tevékenységek

információ igény

Informatikai tevékenységek A vállalat-irányításra vonatkozóan érvényben vannak olyan általánosan elfogadott, ún. követend (vagy legjobb) gyakorlatok, amelyek gondoskodnak arról, hogy a vállalkozás teljesítse céljait – ezek megvalósítását bizonyos kontroll eljárások garantálják. A vállalat-irányítás ezekb l a célokból kiindulva határozza meg a szükséges vállalati tevékenységeket, a vállalat er forrásainak felhasználásával. A vállalati tevékenységek eredményeit mérik és értékelik, amelynek alapján folyamatosan módosítják és korrigálják a kontroll eljárásokat, újra kezdve ezzel a ciklust.

16


(ábra)

Vállalat-irányítás KÖZVETLEN

Célok

Vállalati tevékenységek

KONTROLL

⇐

Er források

⇐

JELENTÉS

FELHASZNÁLÁS

Az informatikára vonatkozóan is érvényben vannak olyan ún. követend (vagy legjobb) gyakorlatok, amelyek biztosítják azt, hogy a vállalkozás információi és az azokhoz kapcsolódó technológia támogassák az üzleti célkit zéseket, az er források hatékony felhasználását és a kockázatok megfelel kezelését. Ezek a gyakorlatok illetve normák szolgálnak az informatikai tevékenységek irányításának alapjául, amely tevékenységek az alábbi területekre bonthatóak a kockázatok kezelése (úm. a biztonság, megbízhatóság és szabályosság megvalósítása) és az el nyök elérése (úm. a hatékonyság és eredményesség növelése) szempontjából: tervezés és szervezet, beszerzés és bevezetés/üzembe állítás, informatikai szolgáltatás és támogatás, és felügyelet. Az informatikai tevékenységek eredményeir l jelentéseket készítenek, amelyeket összevetnek a különböz gyakorlatokkal, normákkal és kontroll eljárásokkal, és a ciklus elölr l kezd dik újra.

(ábra)

Informatikai irányítás

Célok

Közvetlen

igazodik és támo-

Szükséges TERV

gatja az üzleti cé-

CSELEKVÉS

lokat és maxima-

ELLEN RZÉS

lizálja az el nyöket - Az informatikai er forrásokat hatékonyan használják fel - Az informatiká-

KORREKCIÓ

hoz kapcsolódó kockázatokat megfelel en kezelik

Tervezés szerv. Beszerz. bevez. M ködt. támog. Felügyelet

Informatikai tevékenységek

KONTROLL

Kockázatkezelés biztonság megbízhatóság szabályosság

⇐ Jelentés

17

El nyök elérése

Automatizáció növelése eredményesség

Költségek csökkentése hatékonyság

és és és


Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkit zéseit, informatikai tevékenységeket kell irányítania, megfelel egyensúlyt kialakítva a kockázatok kezelése és az el nyök elérése között. Ennek érdekében a vezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítése irányában történt el relépéseket és értékelnie kell azt, hogy az informatikai eljárások teljesítménye mennyire jó. Mindezek mellett a vezetésnek értékelnie kell azt is, hogy a szervezet milyen érettségi szinten áll a követend ágazati normák és a nemzetközi szabványok alapján. A fenti vezet i feladatok végrehajtásához a COBIT Vezet i útmutatója konkrét Kritikus Sikertényez ket, Kritikus Cél Mutatókat és Kritikus Teljesítmény Mutatókat határoz meg és bemutat egy az informatikai irányításhoz kapcsolódó ún. Érettségi Modellt, az I. Mellékletben foglaltaknak megfelel en.

AZ IGÉNYEK FIGYELEMBE VÉTELE A fentiekben felvázolt állandó változások közepette az információ-technológiához kapcsolódó ellen rzési irányelveket összefogó COBIT keretrendszer, és az erre épül folyamatos kutatás, alappillérként szolgálnak a folyamatos el relépéshez az információk és az azokhoz kapcsolódó technológiák ellen rzése területén.

Egyrészr l tanúi lehettünk olyan általános üzleti kontroll modellek kifejlesztésének és megjelenésének, mint amilyen a COSO* az Amerikai Egyesült Államokban, a Cadbury az Egyesült Királyságban, a CoCo Kanadában vagy a King Dél-Afrikában. Másrészr l viszont jó néhány koncentráltabb irányú ellen rzési modell is kidolgozásra került az informatika területén. Jó példa erre a Brit Ipari– Kereskedelmi Minisztérium (rövidítve DTI) Biztonsági Kódexe, a CICA (Bejegyzett Könyvvizsgálók Kanadai Intézete) által kidolgozott Informatikai Kontroll Irányelvek és a NIST (National Institute of Standards and Technology, USA) által kiadott Biztonsági Kézikönyv. Ezek az ellen rzési modellek azonban nem kínálnak teljeskör és használható ellen rzési modellt az üzleti folyamatokhoz kapcsolódó informatikai eljárásokhoz. A COBIT célja az, hogy “betömje” ezt a rést azáltal, hogy egy olyan keretrendszert és alapot biztosít, amely szorosan kapcsolódik az üzleti célkit zésekhez, ugyanakkor az informatikára koncentrál.

(A COBIT-hoz leginkább hasonlító modell az AICPA/CICA által nemrégen kiadott SysTrustTM Rendszer-megbízhatósági alapelvek és kritériumok csomag. A SysTrustot, amely részben a COBIT Kontroll irányelveire épül, egyaránt mérvadó modellként kezeli az egyesült államokbeli Assurance Services Executive Committe és a kanadai Assurance Services Development Board. A SysTrust célja az, hogy a vezetés, az ügyfelek és az üzleti partnerek könnyebben boldoguljanak az üzleti folyamatokat illetve az egyes konkrét tevékenységeket támogató rendszerekkel. A SysTrust segítségével a könyvvizsgálók értékelhetik és véleményezhetik azt, hogy egy adott rendszer megbízhatónak min sül-e négy alapvet kritérium alapján: elérhet ség, biztonság, sértetlenség és fenntarthatóság.)

*

Committe of Sponsoring Organizations of the Treadway Commission – Internal Control Integrated Framework, 1992

18


Az információs rendszerek kontrolljával szemben támasztott üzleti követelményekb l kiindulva, az újonnan kidolgozott ellen rzési modellek és nemzetközi szabványok alkalmazása révén, az ellen rök munkáját segít Kontroll Irányelvekb l megszületett a COBIT, amely egy vezetési eszköz. Ezt követ en az informatikai irányításhoz kapcsolódó Vezet i útmutató kidolgozása révén újabb lépést tett el re a COBIT. A Vezet i útmutató Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és ún. Érettségi Modelleket kínál a vezetésnek, amelyek segítséget nyújtanak a szervezet informatikai környezetének értékeléséhez és a megfelel informatikai kontroll eljárások kiválasztásához illetve azok javításához.

A COBIT projekt f célja tehát az, hogy világos irányelveket és követend gyakorlati eljárásokat határozzon meg az információs rendszerek biztonságához és kontrolljához kapcsolódóan, és elfogadtassa azokat az üzleti, kormányzati és szakmai érdekképviseleti szervezetekkel a világ minden részén. Az is fontos célja a projektnek, hogy a fenti kontroll irányelveket az üzleti célkit zésekb l és igényekb l kiindulva határozza meg. (Ez igazodik a COSO szemléletmódjához, amely mindenekel tt egy a bels ellen rzéshez kapcsolódó irányítási keretrendszer). Ezt követ en az ellen rzési követelményekb l (pénzügyi információk hitelességének igazolása, bels ellen rzési eljárások hatékonyságának és eredményességének igazolása, stb.) kontroll irányelveket dolgoztunk ki.

A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS ELLEN RÖK A rendszer kidolgozása során három célfelhasználói kör került meghatározásra, amelyek számára az alábbi támogatást kínálja a COBIT:

VEZETÉS: a kockázatok ellensúlyozása és a befektetések kontrollálásának segítése, amely gyakran kiszámíthatatlan informatikai környezetben történik meg. FELHASZNÁLÓK: a bels illetve küls felek által nyújtott informatikai szolgáltatások biztonságáról és megfelel kontrolljáról történ megbizonyosodás.

INFORMÁCIÓS RENDSZER ELLEN RÖK: az ellen ri vélemények alátámasztása és a bels tanácsadás segítése.

ellen rzéssel kapcsolatos

AZ ÜZLETI CÉLOK EL TÉRBE ÁLLÍTÁSA A COBIT az üzleti célkit zésekkel foglalkozik. A kidolgozott Kontroll Irányelvek egyértelm en hozzárendelhet k különböz üzleti célokhoz, így azokat az ellen rökön kívül más felhasználói körök is használhatják. Az egyes Kontroll Irányelvek meghatározása folyamat-orientált módon történt meg, az üzleti szerkezetátalakítás alapelvét követve. A meghatározott eljárásokhoz és területekhez kapcsolódóan általános kontroll irányelveket fogalmaztunk meg, és kifejtjük azt is, hogy ezek hogyan kapcsolódnak a különböz üzleti célokhoz. Emellett

19


magyarázatot és útmutatást adunk a Kontroll Irányelvek definiálásához és alkalmazásához. A COBIT által kialakított Keretrendszer az általános kontroll irányelvek alkalmazási területeinek (területek és eljárások) osztályozásából, az információkhoz kapcsolódó üzleti követelmények ismertetéséb l valamint az egyes ellen rzési irányelvek által közvetlenül érintett IT er források bemutatásából áll össze. A Keretrendszer kidolgozása során 34 általános kontroll irányelv és 318 részletes ellen rzési követelmény került meghatározásra. A Keretrendszer végleges tartalmának kialakításába az informatikai ágazat és az ellen rzési szakma képvisel it is bevontuk.

ÁLTALÁNOS DEFINÍCIÓK A projekt során az alábbi definíciók kerültek meghatározásra. A “kontroll” kifejezés jelentését a COSO Jelentésb l (Internal Control – Integrated Framework, Committe of Sponsoring Organizations of the Treadway Commission, 1992), az “Informatikai (IT) Kontroll Irányelv” kifejezés jelentését pedig a SAC jelentésb l vettük át (System Audibility and Control Report - Internal Auditors Research Foundation, 1991 és 1994)

A kontroll definíciója

Az üzleti célkit zések megvalósítása és a nem-kívánatos események megel zése, felderítése és korrigálása céljából kialakított szabályok, eljárások, normák és szervezeti struktúrák.

Az informatikai Kontroll Irányelv definíciója

Azon kívánt eredmények illetve célok meghatározása, amelyek valamely konkrét informatikai területen a kontroll-eljárások alkalmazása révén megvalósíthatóak.

Az informatikai irányítás definíciója

A vállalat-irányítási és ellen rzési kapcsolatok és eljárások olyan struktúrája, amely új érték hozzáadásával, ugyanakkor a kockázatok és az informatika által kínált el nyök együttes mérlegelésével kívánja megvalósítani a vállalkozás célkit zéseit.

20


A KERETRENDSZER ALAPELVEI Két különböz kategóriába lehet besorolni a napjainkban alkalmazott ellen rzési vagy kontroll modelleket: az ún. “üzleti kontroll modellek” osztályába (ilyen pl. a COSO) és a “koncentráltabb irányú informatikai kontroll modellek” osztályába (ilyen például a DTI). A COBIT a kett közötti szakadékot kívánja áthidalni. A COBIT tehát egyrészt általánosabb jelleg a fenti informatikai kontroll modelleknél, másrészt többet jelent az informatikai rendszerekért felel s vezet k számára, mint puszta technológiai szabványcsomag. A COBIT az informatikai irányítás modellje!

A COBIT Keretrendszere arra az alapkoncepcióra épül, területén a kontroll kérdését az üzleti célkit zések teljesítéséhez szükséges információkon keresztül kell információkra úgy kell tekinteni, mint az informatikai er források együttes alkalmazásának eredményére.

hogy az informatika illetve követelmények megközelíteni, és az eljárások által kezelt

ábra

ÜZLETI KÖVETELMÉNYEK

INFORMATIKAI ELJÁRÁSOK

INFORMATIKAI ER FORRÁSOK

Az üzleti célok teljesítése érdekében az információknak meg kell felelniük bizonyos kritériumoknak, amelyekre a COBIT az információkra vonatkozó üzleti követelményekként hivatkozik. A követelmények meghatározásakor a COBIT ötvözi a meglév és ismert hivatkozási modellek alapelveit:

Min ségi követelmények

Min ség Költség Informatikai szolgáltatás

Fiduciáris követelmények

M ködés eredményessége és hatékonysága Információk megbízhatósága Törvényeknek és jogszabályoknak való megfelelés

Biztonsági követelmények

Bizalmas jelleg Sértetlenség Hozzáférhet ség, rendelkezésre állás

A min ség kapcsán els sorban annak “negatív” aspektusaira koncentráltunk (hibamentesség, megbízhatóság, stb.), amelyek nagy részével a sértetlenségi

21


kritérium is foglalkozik. A min ség pozitív, de kevésbé kézzelfogható oldalait (stílus, vonzó tulajdonságok, elvárásokat meghaladó teljesítmény, stb.) egyel re nem vizsgáltuk meg az informatikai kontroll irányelvek szempontjából. Abból az alapkoncepcióból indultunk ki, hogy a legfontosabb prioritás a kockázatok, nem pedig a lehet ségek megfelel kezelése. A min ség használhatósági aspektusával az eredményességi kritérium foglalkozik. A min ség informatikai szolgáltatási aspektusa átfedéseket mutat a biztonsági követelmények hozzáférhet ségi aspektusával és bizonyos mértékben az eredményességgel és a hatékonysággal is. Végül a költség kritériummal a hatékonyság is foglalkozik.

A fiduciáris követelmények kapcsán a COBIT nem akarta újra feltalálni a kereket – átvettük a m ködés eredményességére és hatékonyságára, az információk megbízhatóságára és a jogszabályoknak való megfelelésre vonatkozó COSO definíciókat, azzal a különbséggel, hogy az információk megbízhatósági kritériumát kiterjesztettük minden információra – nemcsak a pénzügyiekre.

A biztonsági követelmények kapcsán a COBIT a bizalmas jelleget, a sértetlenséget és a hozzáférhet séget, rendelkezésre állást kezeli a legfontosabb kritériumokként – ezt a három szempontot használják világszerte az informatikai biztonsági követelmények leírásához.

Az átfogóbb tartalmú min ségi, fiduciáris és biztonsági követelményekb l kiindulva hét különböz , bizonyos esetekben egymást átfed , kategória került meghatározásra. Ezeknek a kategóriáknak a tartalmát az alábbiak szerint definiálja a COBIT:

Eredményesség

ahhoz kapcsolódik, hogy az információk relevánsak-e az üzleti folyamatok szempontjából illetve, hogy a megfelel id ben, pontos, egységes, ellentmondásmentes és felhasználható formában állnak–e rendelkezésre

Hatékonyság

ahhoz kapcsolódik, hogy az információk az er források optimális (a lehet leghatékonyabb és leggazdaságosabb) felhasználása révén lettek-e el állítva

Bizalmasság

a bizalmas és titkos információk engedély nélküli közzétételének megel zéséhez kapcsolódik

Sértetlenség, összhang

az információk pontosságához és teljességéhez, valamint az üzleti értékekkel és elvárásokkal összefügg érvényességéhez kapcsolódik

22


Hozzáférhet ség. ahhoz kapcsolódik, hogy az információk rendelkezésre állnak-e az üzleti folyamatok által megkívánt szükséges id ben. rendelkezésre A szükséges er források és az azokhoz kapcsolódó kapaciállás tások védelmére is kiterjed.

Szabályszer ség, megfelel ség

az üzleti folyamatokra vonatkozó illetve a kapcsolódó törvényeknek, jogszabályoknak és szerz déses kötelezettségeknek való megfeleléshez kapcsolódik, amelyek alanya az adott szervezet és tevékenysége, úm. a szervezettel szemben kívülr l megszabott üzleti feltételek.

Megbízhatóság

ahhoz kapcsolódik, hogy megfelel információkat kap-e a vezetés a szervezet m ködtetéséhez és a pénzügyi és egyéb kötelez jelentések elkészítéséhez

A COBIT keretében meghatározott informatikai er források az alábbiak szerint definiálhatók:

Adatok

A legszélesebb értelemben vett (úm. küls és bels ) strukturált és nem–strukturált, grafikus, audio–, stb. információk.

Alkalmazási rendszerek

A manuális és programozott eljárások összessége.

Technológia

A hardver, az operációs rendszerek, az adatbázis–kezel rendszerek, a hálózatok, a multimédia eszközök, stb.

Technikai környezet

Mindazok az er források, fizikai környezet, amelyek lehet vé teszik és segítik az információs rendszerek m ködését.

Emberek

Az információs rendszerek és szolgáltatások tervezéséhez, szervezéséhez, beszerzéséhez, üzemeltetéséhez és felügyeletéhez szükséges munkaer és annak képzettsége, ismeretei és képességei tartoznak ide.

A pénzt illetve t két nem soroltuk az informatikai er források közé a kontroll irányelvek besorolása kapcsán, mivel azt a fenti er források bármelyikének biztosításához fel lehet használni. Meg kell azt is jegyezni, hogy a Keretrendszer nem hivatkozik külön az egyes informatikai eljárásokhoz kapcsolódó összes lényeges kérdés dokumentációjára. A megfelel kontrollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen leírások hiánya további ellen rzések és elemzések elvégzését teszi szükségessé minden egyes konkrét vizsgálati területen.

Az informatikai er források és a szolgáltatások biztosítása közötti kapcsolatot egy más szemszögb l világítja meg az alábbi ábra:

23


(ábra)

Adatok Alkalmazási rendszerek

ESEMÉNYEK

Üzleti célok Üzleti lehet ségek Küls követelmények El írások Kockázatok

INFORMÁCIÓK

!

TECHNOLÓGIA

!

!

üzenet input

KÖRNYEZET

szolgáltatás output

EMBEREK

Eredményesség Hatékonyság Bizalmasság Sértetlenség Hozzáférhet ség Szabályosság Megbízhatóság !

Az információkhoz kapcsolódó üzleti követelmények teljesítése érdekében megfelel kontroll intézkedéseket kell kialakítani, bevezetni és fenntartani a fenti er források kapcsán. De vajon hogyan tudják megállapítani a szervezetek azt, hogy a kapott információk rendelkeznek–e a szükséges tulajdonságokkal? Ehhez szükséges a Kontroll Irányelvek keretrendszere. A következ ábra ezt a koncepciót illusztrálja.

Ami megvan

Amire szükség van

ÜZLETI FOLYAMATOK

INFORMÁCIÓ

Információs kritériumok: • eredményesség • hatékonyság • bizalmasság • sértetlenség, összhang • hozzáférhet ség • szabályszer ség • megbízhatóság !

"

IT ER FORRÁSOK • emberek • alkalmazási rendszerek • technológia • technikai környezet • adatok #

?

Megegyeznek

A COBIT Keretrendszer egy átfogó struktúra szerint csoportosítja az általános Kontroll Irányelveket. A csoportosítás arra az alapkoncepcióra épül, hogy az informatikai er források felhasználása kapcsán három szintr l lehet beszélni. Alul helyezkednek el azok a tevékenységek és feladatok, amelyek a mérhet eredmények eléréséhez szükségesek. A tevékenységeknek van bizonyos életciklusa, míg a feladatok sokkal különállóbb jelleg ek. Az életciklussal bíró tevékenységekhez más kontroll követelmények kapcsolódnak, mint a körülhatárolt feladatokhoz. Középen helyezkednek el a folyamatok, amelyek olyan összekapcsolódó tevékenységek és feladatok sorozatából állnak, amelyekbe természetes ellen rézési pontok vannak beépítve. A legfels szinten a folyamatok bizonyos területekre csoportosulnak össze. Ez a természetes alapú csoportosítás gyakran felel sségi területként ölt formát a

24


szervezeti struktúrán belül és összhangban áll az informatikai eljárásokhoz kapcsolódó irányítási ciklussal illetve életciklussal. (ábra)

Területek Folyamatok

Tevékenységek/ feladatok A fogalmi keretrendszert tehát három oldalról lehet megközelíteni: (1) az információs kritériumok, (2) az informatikai er források és (3) az informatikai eljárások oldaláról. Ezt a három megközelítési oldalt szemlélteti az ún. COBIT Kocka:

(ábra)

Informatikai eljárások Területek Folyamatok Tevékenységek

Információs kritériumok Min ségi Fiduciáris Biztonsági

IT er források Emberek Alkalmazási rendszerek Technológia Technikai környezet Adatok %

$

A fenti keretrendszerben szerepl területek meghatározásakor olyan kifejezéseket igyekeztünk keresni, amelyeket nap mint nap használnak a vezet k – nem ellen ri zsargont. Négy általános területet határoztunk meg, nevezetesen az alábbiakat: tervezés és szervezet; beszerzés és bevezetés; informatikai szolgáltatás és támogatás; továbbá felügyelet.

A fenti négy általános jelleg definiálható:

Tervezés és szervezet

eljárási terület tartalma az alábbiak szerint

Ide tartozik a stratégia és a taktika, valamint azoknak a lehet ségeknek a feltárása, amelyek révén az informatika a a leghatékonyabban képes hozzájárulni az üzleti célok teljesítéséhez. Emellett a stratégiai célkit zések megvalósításának módját különböz szempontok szerint kell megtervezni, kommunikálni és irányítani. Végezetül gondoskodni kell a megfelel szervezeti és technológiai infrastruktúráról.

25


Beszerzés és bevezetés

Az információs stratégia megvalósításához informatikai megoldásokat kell kidolgozni vagy beszerezni, majd be kell azokat vezetni, üzembe kell állítani és be kell építeni az üzleti folyamatokba. Emellett ehhez a területhez tartozik a meglév rendszerek karbantartása és további m ködésük érdekében szükséges módosítása is.

Informatikai szolgáltatás és támogatás

Ez a terület a szükséges szolgáltatások tényleges biztosításához kapcsolódik, amely a hagyományos üzemeltetést l a biztonsági és üzleti folyamatossági szempontokon át egészen a képzésig terjed. A megfelel informatikai szolgáltatás biztosítása érdekében ki kell építeni a szükséges segédfolyamatokat is. Ehhez a területhez tartozik az adatok tényleges feldolgozása alkalmazási rendszerek révén , amelyet gyakran az alkalmazási kontroll funkciók közé sorolnak be.

Felügyelet

Rendszeres id közönként meg kell vizsgálni, hogy az egyes informatikai eljárások megfelelnek–e a min ségi– és kontroll követelményeknek. Ehhez a területhez tartozik tehát a szervezet ellen rzési eljárásainak vezet i felügyelete valamint független vizsgálata, amely utóbbi a bels ellen rzés és a könyvvizsgálat révén, vagy más alternatív forrásból valósítható meg.

Meg kell jegyezni, hogy ezeket az eljárásokat különböz szinteken lehet alkalmazni a szervezeteken belül. Például bizonyos eljárásokat vállalati szinten szükséges alkalmazni, másokat az információ-szolgáltatás funkcionális szintjén, megint másokat az üzleti folyamatokért felel s vezet k szintjén, stb.

Azt is meg kell jegyezni, hogy az üzleti követelményeknek megfelel megoldások kidolgozásához kapcsolódó eljárások eredményességi kritériuma néha lefedi a hozzáférhet ségi, a sértetlenségi és a bizalmassági kritériumokat is – a gyakorlatban ezek üzleti követelményekként jelennek meg. Például a “megoldások keresése” eljárás során figyelembe kell venni a hozzáférhet ségi, a sértetlenségi és a bizalmassági követelményeket is.

Nyilvánvaló, hogy a különböz kontroll intézkedések nem ugyanolyan mértékben járulnak hozzá az információkhoz kapcsolódó különböz üzleti követelmények teljesítéséhez.

•

els dlegesek

azok a kontroll irányelvek, amelyek közvetlenül befolyásolják az érintett információs követelmény kielégítését.

•

másodlagosak

azok a kontroll irányelvek, amelyek csak kisebb mértékben vagy közvetve befolyásolják az érintett információs követelmény kielégítését.

26


•

“üresek”

azok a kontroll irányelvek, amelyek alkalmazhatóak ugyan, de a követelmények teljesítését hatékonyabban tudják biztosítani az adott eljáráson belüli más kritériumok vagy más eljárások.

Hasonlóképpen, a különböz kontroll intézkedések nem ugyanolyan mértékben hatnak a különböz IT er forrásokra. A COBIT Keretrendszer éppen ezért konkrétan megjelöli, hogy melyek azok az IT er források, amelyekre a vizsgált eljárások kihatnak (nem azokat, amelyek pusztán részt vesznek az eljárásban). Ez az osztályozás kutatók és szakért k munkája és közrem ködése alapján, a korábban jelzett szigorú definíciók figyelembe vételével került kidolgozásra.

Összefoglalva, a szervezet célkit zéseinek teljesítéséhez szükséges információk biztosítása érdekében az informatikai er forrásokat bizonyos természetszer leg összetartozó eljárások keretében kell kezelni, amelyr l az informatikai irányításnak kell gondoskodnia. A következ ábra ezt a koncepciót illusztrálja:

(ábra → lásd a 7. oldalon lév ábrát –megj.) &

27


COBIT TÖRTÉNELEM ÉS EL ZMÉNYEK '

A COBIT harmadik kiadása az információkhoz és az informatikához kapcsolódó Kontroll Irányelvek legújabb változata, amely els alkalommal 1996-ban jelent meg az Information Systems Audit and Control Foundation (ISACF) kiadásában. Az 1998-ban megjelent második kiadás, a forrás-dokumentumok számának b vülése nyomán, felülvizsgálta az általános és részletes szint kontroll irányelveket és kiegészült az Alkalmazási módszerek résszel. A COBIT harmadik kiadása új f kiadó, az IT Governance Institute gondozásában jelent meg.

Az IT Governance Institute-ot 1998-ban hozta létre az Information Systems Audit and Control Association (ISACA) és a hozzá tartozó Alapítvány azzal a céllal, hogy támogassa és segítse az informatikai irányítás alapelveinek megértését és alkalmazását. A COBIT harmadik kiadása kiegészült a Vezet i útmutató cím résszel és fokozott hangsúlyt helyez az informatikai irányítás kérdésére, amely jelzi, hogy az IT Governance Institute vezet szerepet vállalt az új kiadás elkészítésében.

A COBIT eredetileg az ISACF által meghatározott Kontroll Irányelvekre épült, és együtt fejl dött meglév és újonnan kidolgozott nemzetközi technikai, szakmai, szabályozási és ágazat–specifikus szabványokkal. Az így meghatározott kontroll irányelvek a szervezetek egészére kiterjed információs rendszerek vonatkozásában alkalmazhatóak. Az “általánosan alkalmazható és elfogadott” kifejezést ugyanúgy kell értelmezni, ahogy az Általánosan Elfogadott Számviteli Alapelvek (GAAP) esetében.

A COBIT, terjedelmét tekintve, viszonylag rövid és megpróbál pragmatikus lenni és alkalmazkodni az üzleti igényekhez, ugyanakkor független az egyes szervezeteknél alkalmazott informatikai platformoktól. A kutatás során az információs rendszerek ellen rzéséhez kapcsolódó alábbi legfontosabb szabványokra és normákra támaszkodtunk, nem állítva ezzel azt, hogy nem léteznek más elfogadott szabványok és normák ezen a területen:

M szaki szabványok – ISO, EDIFACT, stb. Magatartási kódexek – az Európa Tanács, az OECD. az ISACA, stb. által kiadott kódexek Min sítési kritériumok informatikai rendszerekhez és eljárásokhoz – ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Közös Kritériumok, stb. Bels ellen rzési és audit szabványok – COSO jelentés, IFAC, AICPA, ISACA, IIA, PCIE, GAO szabványok, stb. Ágazati normák és követelmények – ágazati fórumok (ESF, I4), kormány–támogatású platformok (IBAG, NIST, DTI), stb.; továbbá Újonnan megfogalmazott ágazat–specifikus követelmények – a banki üzletág, az elektronikus kereskedelem és az informatikai gyártás területér l.

28


Lásd: II. Melléklet: COBIT projekt ismertetés; III. Melléklet: Els dleges COBIT hivatkozási források; és IV. Melléklet: Szójegyzék

COBIT TERMÉK–FEJLESZTÉS A COBIT tovább fog fejl dni az elkövetkez évek során és alapul fog szolgálni további kutatásokhoz. Újabb termékekkel fog b vülni a COBIT termékcsalád és ennek során tovább fogjuk finomítani az informatikai kontroll irányelvek meghatározásakor alapul vett informatikai feladatokat és tevékenységeket, és az ágazat “változó arculatának” fényében felül fogjuk vizsgálni az egyes területek és eljárások egyensúlyát.

A kutatási munkához és a kiadványok elkészítéséhez nagymértékben hozzájárultak a PricewaterhouseCoopers és az ISACA szervezeteit l kapott b kez adományok. Az European Security Forum (ESF) kutatási anyagok átadásával segítette a projekt munkáját. A Gartner Group is részt vett a munkálatokban és min ségbiztosítási szempontból is áttekintette a Vezet i útmutatót.

COBIT termékcsalád ÖSSZEFOGLALÓ ÁTTEKINTÉS

KERETRENDSZER Általános Kontroll Irányelvek VEZET I ÚTMUTATÓ (

RÉSZLETES KONTROLL IRÁNYELVEK

AUDITÁLÁSI ÚTMUTATÓ

ALKALMAZÁSI MÓDSZEREK – Összefoglaló áttekintés – Esettanulmányok – Leggyakrabban feltett kérdések – Power Point ábrák – Alkalmazási útmutató - Vezet i ismeretek diagnosztizálása - IT ellen rzés diagnosztizálása )

)

Érettségi modellek

Kritikus sikertényez k

Kritikus cél mutatók

*

29

Kritikus teljesítmény– mutatók


KONTROLL IRÁNYELVEK ÖSSZEFOGLALÓ TÁBLÁZAT

Az alábbi táblázatból kiolvasható, hogy az általános szint kontroll irányelvek milyen információs kritériumokat érintenek, informatikai eljárásonként és területenként, és milyen informatikai er források szükségesek hozzájuk.

TERÜLET Tervezés és szervezet

Beszerzés, bevezetés

Felügyelet

1

2

3

4

5

6

IT er források +

7

TSZ1

Informatikai stratégiai terv kidolgozása

E

M

TSZ2

Információ architektúra meghatározása

E

M

TSZ3

Technológiai irány meghatározása

E

M

TSZ4

E

M

TSZ5

Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Informatikai befektetések kezelése

E

E

TSZ6

Vezet i célok és irányvonal közlése

E

TSZ7

Emberi er források kezelése

E

TSZ8

Küls követelmények betartásának biztosítása

E

TSZ9

Kockázatok értékelés

M

M

TSZ10

Projektek irányítása

E

E

TSZ11

Min ségirányítás

E

E

BB1

Automatizált megoldások meghatározása

E

M

BB2

Alkamazési szoftverek beszerzése és karbant.–a

E

E

M

BB3

E

E

M

E

E

M

BB5

Technológiai infrastruktúra beszerzése és karbantartása Informatikai eljárások kifejlesztése és karbantartása Rendszerek installálása és jóváhagyása

BB6

Változások kezelése

E

E

IT1

Szolgáltatási szintek meghatározása és kezelése

E

E

IT2

Küls szolgáltatások kezelése

E

E

IT3

Teljesítmény és kapacitás kezelése

E

E

IT4

Folyamatos m ködés biztosítsa

E

M

IT5

Rendszer biztonságának biztosítása

IT6

Költségek megállapítása és felosztása

IT7

Felhasználók oktatása és képzése

E

IT8

Informatikai felhasnzálók segítése

E

IT9

Konfiguráció kezelése

E

IT10

Problémák és rendkívüli események kezelése

E

IT11

Adatok kezelése

E

IT12

Létesítmény kezelése

E

E

IT13

Informatikai üzemeletés irányítása

E

E

M

M

F1

Eljárások felügyelete

E

M

M

M

M

M

M

F2

Bels ellen rzés megfelel ségének felmérése

E

E

M

M

M

M

M

F3

Független értékelés végeztetése

E

E

M

M

M

M

M

F4

Független ellen rz vizsgálat végeztetése

E

E

M

M

M

M

M

BB4

Informatikai szolgáltatás és támogatás

Információs kritériumok

ELJÁRÁS

-

-

-

-

-

.

-

-

-

M

30

,

,

,

,

,

E ,

,

,

M ,

,

M ,

E ,

E

E

E

E

M

M

M

E

,

,

,

,

,

,

,

,

,

,

,

,

,

,

M

,

,

E

M

M

M

M

M

M

E

E

M

M

M

M

M

M

M

M

M

M

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

M

,

M E E

,

,

M

M

M E

M ,

,

M E

,

M

M ,

,

E ,

,

+

+

D

,

,

E = els dleges M = másodlagos 1=Eredményesség 2=Hatékonyság 3=Bizalmasság 4. Sértetlenség 5=Hozzáférhet ség 6=Szabályosság 7=Megbízhatóság

C

,

M

E

-

B

,

E

-

A

A=Emberek B=Alkalmazások C=Technológia D=Technikai környezet E=Adatok

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,

,


A KONTROLL IRÁNYELVEK ALAPELVEI A COBIT legújabb kiadása is bizonyítja és meger síti azt, hogy az ISACA elkötelezte magát az információs rendszer-ellen rzési szakma fejl déséhez és továbbéléséhez szükséges ismeretek gyarapítása és aktualizálása mellett.

A COBIT Keretrendszer az általános kontroll irányelvekre korlátozódik, amelyek az egyes informatikai eljárásokhoz kapcsolódó üzleti követelmények alapján kerültek megfogalmazásra. Az egyes kontroll irányelvek megvalósítását a vonatkozó kontroll norma teszi lehet vé, amelyek kapcsán figyelembe kell venni a potenciálisan alkalmazható kontroll eljárásokat.

(ábra) Az általános informatikai kontroll irányelvek eljárások/tevékenységek szerint lettek csoportosítva, de az eligazodást segít navigációs ábrákat is tartalmaznak, amelyek nemcsak a fenti megközelítési oldalak bármelyikéb l történ kiindulást könnyítik meg, de segítik a kombinált illetve globális megközelítési módszereket is, például egy eljárás kiépítésekor/bevezetésekor, valamely folyamathoz kapcsolódó globális irányítási feladatok meghatározásakor illetve valamely folyamat informatikai er forrásigényeinek meghatározásakor.

Azt is meg kell jegyezni, hogy az informatikai kontroll irányelvek általános formában kerültek

meghatározásra, ú.m. függetlenül az alkalmazott technikai platformtól, de elfogadva azt a tényt, hogy bizonyos konkrét technológiai környezetek esetében külön kontroll irányelvekre lehet szükség. Amíg a COBIT Keretrendszer az egyes folyamatokhoz kapcsolódó általános kontroll irányelvekre koncentrál, addig a Kontroll Irányelvek rész az egyes informatikai eljárásokhoz kapcsolódó konkrét, részletes kontroll irányelveket határozza meg. A Keretrendszerben megtalálható 34 informatikai eljárás mindegyikéhez több – háromtól harmincig terjed – részletes kontroll irányelv kapcsolódik, összesen 318.

A Kontroll Irányelvek rész 41 els dleges forrásból sorakoztat fel részletes kontroll irányelveket a Keretrendszerhez kapcsolódóan, többek között a de facto és de jure nemzetközi szabványok valamint az informatikához kapcsolódó jogszabályi el írások köréb l. A részletes kontroll irányelvek meghatározzák az egyes informatikai tevékenységekhez tartozó konkrét kontroll eljárások végrehajtásával elérend célokat illetve eredményeket, ezáltal világos irányelveket és követend gyakorlati normákat állítanak fel az informatikai kontroll területén az ágazat egésze számára.

A Kontroll Irányelvek rész az informatikai-, ellen rz - és auditáló részlegek vezet ihez és munkatársaihoz – de mindenekel tt az üzleti folyamatok irányításáért felel s vezet khöz – szól. A Kontroll Irányelvek rész hasznos és könnyen kezelhet hivatkozási forrásként szolgál a fenti felhasználók számára. Pontosan és világosan

31


meghatározza az eredményesség, a hatékonyság és az er források gazdaságos kihasználásának biztosításához szükséges minimális kontroll-eljárásokat. Minden egyes informatikai eljárás kapcsán meghatározza a minimálisan szükséges kontroll eljárásokat – azokat a kontroll

eljárásokat, amelyeket az ellen rzést végz szakembereknek értékelniük kell. A Kontroll Irányelvek segítségével a Keretrendszerben bemutatott koncepciókhoz hozzá lehet rendelni az egyes informatikai eljárások kapcsán alkalmazandó konkrét kontroll eljárásokat.

32


KONTROLL IRÁNYELVEK NAVIGÁCIÓS ÁTTEKINTÉSE A Kontroll irányelvek rész részletes kontroll irányelveket tartalmaz mind a 34 informatikai eljárásra vonatkozóan. A részletes kontroll irányelvek bemutatása a vonatkozó általános szint kontroll irányelv ismertetésével kezd dik (bal oldali lap). Az informatikai terület jelzése (TSZ – Tervezés és szervezet, BB – Beszerzés és bevezetés, IT – Informatikai szolgáltatás és támogatás, és F – Felügyelet) bal oldalt felül található. A vonatkozó infomációs kritériumok és a szükséges informatikai er források jelzése az alábbiakban bemutatott mini-mátrixokban szerepel. A jobb oldali lapon kezd dik az adott informatikai eljáráshoz kapcsolódó részletes kontroll irányelvek leírása.

S Tervezés és szervezés


Informatikai területek

P

Beszerzés és bevezetés Informatikai er források

M ködés és támogatás

+

1

Felügyelet

Három megközelítés Em ber Al kal ek ma zá Te chn sok oló gia

2

2

Ad ato k

A kontroll irányelvek hatékony alkalmazásának segítése érdekében ún. navigációs ábrákat is mellékeltünk az általános informatikai kontroll irányelvek mellé. Mind a három dimenzióhoz kapcsolódóan – amely mentén a COBIT Keretrendszer megközelíthet , úm. eljárások, er források és információs kritériumok – tartalmaznak ilyen navigációs ábrákat az egyes általános kontroll irányelvek.

Er ed mé ny e Ha ték sség on ysá Biz g alm ass ág Ho zzá fé Sz rhetõ ab ség á Me lyoss ág gb ízh ató ság

Navigációs ábrák

Az egyes informatikai területeket a Kontroll Irányelveket tartalmazó oldalak JOBB FELS SARKÁBAN megtalálható ikon (lásd jobbra) jelzi, amelyben ki van emelve (nagyobb mérettel) az éppen vizsgált terület. /

Tervezés és szervezés

Beszerzés és bevezetés M ködés és támogatás 0

Felügyelet

33


Az információs kritériumok emlékeztet ábrája a Kontroll Irányelveket tartalmazó oldalak bal fels sarkában található meg egy mini-mátrix formájában (lásd jobbra), amely megmutatja, hogy mely kritériumokra irányulnak az egyes általános Kontroll Irányelvek és milyen mértékben (els dleges vagy másodlagos).

Egy másik mini-mátrix is megtalálható a Kontroll Irányelveket tartalmazó oldalak BAL ALSÓ SARKÁBAN, amely megmutatja, hogy a vizsgált eljárás milyen informatikai er forrásokra hat ki – nem csupán azt, hogy mely er források vesznek részt a folyamatban. Például az “adatkezelés” eljárás els sorban az adatforrás sértetlenségére és megbízhatóságára koncentrál.

Er e dm é Ha nyess ték ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g á gbí z ha g tó s ág

E M

3

3

3

3

34

Ad ato k

Em be r Al kal ek ma zá Te chn sok oló gia

3


A KONTROLL IRÁNYELVEK KÖZÖTTI KAPCSOLAT TERÜLETEK, ELJÁRÁSOK ÉS KONTROLL IRÁNYELVEK TERVEZÉS ÉS SZERVEZET

4

1.0 Informatikai stratégiai terv kidolgozása 1.1 Az információ-technológia mint a szervezet hosszú- és rövid távú terveinek része 1.2 Hosszú távú informatikai terv 1.3 Hosszú távú informatikai tervezés – Módszer és struktúra 1.4 A hosszú távú informatikai terv módosítása 1.5 Rövid távú tervezés az informatikai részlegnél 1.6 Informatikai tervek kommunikációja 1.7. Informatikai tervek ellen rzése és értékelése 1.8 Meglév rendszerek értékelése 2.0 Információ-architektúra meghatározása 2.1 Információ-architektúra modell 2.2 Vállalati adatszótár és adatszintaktika 2.3 Adatosztályozási rendszer 2.4 Biztonsági szintek 3.0 Technológiai irány meghatározása 3.1 Technológiai infrastruktúra tervezés 3.2 A jöv beni trendek és jogszabályok figyelemmel kísérése 3.3 A technológiai infrastruktúra katasztrófa t r képessége 3.4 Hardver és szoftver beszerzési tervek 3.5 Technológiai szabványok 4.0 Az informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása 4.1 Informatikai Tervezési vagy Irányító Bizottság 4.2 Az informatikai részleg szervezeti elhelyezkedése 4.3 Szervezeti eredmények áttekintése 4.4 Feladatok és felel sségi körök 4.5 Min ségbiztosítási felel sség 4.6 Logikai és fizikai biztonsági felel sség 4.7 Adatok tulajdonosai és kezel i 4.8 Adat- és rendszer tulajdonosok 4.9 Felügyelet 4.10 Feladatkörök szétválasztása 4.11 Informatikai dolgozói létszám 4.12 Az informatikai részleg dolgozóinak munkaköri leírása 4.13 Kulcsfontosságú informatikai dolgozók 4.14 Szerz déses munkatársak 4.15 Kapcsolatok 5.0 Informatikai beruházások kezelése 5.1 Éves informatikai m ködési költségvetés 5.2 Költségek és el nyök figyelemmel kísérése 5.3 Költségek és hasznosság indokoltsága 6.0 Vezet i célok és irányvonal közlése 6.1 Pozitív informatikai kontroll környezet 4

4

4

5

4

4

6.2 A vezetés felel ssége az irányelvek kidolgozásával kapcsolatban 6.3 Szervezeti irányelvek közlése 6.4 A célkit zések végrehajtásához szükséges er források 6.5 Az irányelvek aktualizálása 6.6 Az irányelvek, eljárások és normák betartása 6.7 Min ség iránti elkötelezettség 6.8 A biztonságra és a bels ellen rzésre vonatkozó irányelvek 6.9 Szellemi tulajdonjogok 6.10 Konkrét kérdésekhez kapcsolódó irányelvek 6.11 Az informatikához kapcsolódó biztonsági szabályok ismertetése 7.0 Emberi er források kezelése 7.1 Dolgozók felvétele és el léptetése 7.2 Szükséges képzettség 7.3 Feladatok és felel sségi körök 7.4 Dolgozók képzése 7.5 Átképzés vagy helyettesít dolgozók 7.6 Személyes “átvilágítás” 7.7 Dolgozói teljesítmény értékelése 7.8 Munkakörök változása és megsz nése 8.0 Küls követelmények betartásának biztosítása 8.1 Küls követelmények áttekintése 8.2 A küls követelmények betartásához kapcsolódó szabályok és eljárások 8.3 Balesetvédelmi és ergonómiai el írások betartása 8.4 Személyiségi jogok, szellemi tulajdon, és adatáramlás 8.5 Elektronikus kereskedelem 8.6 Biztosítási szerz dések betartása 9.0 Kockázatok értékelése 9.1 Üzleti kockázatok értékelés 9.2 Kockázat-becslési stratégia 9.3 Kockázatok feltárása 9.4 Kockázatok mérése 9.5 Kockázati cselekvési terv 9.6 Kockázatviselési képesség 9.7 Védelem kiválasztása 9.8 Kockázat-értékelés melletti elkötelezettség 10.0 Projektek irányítása 10.1 Projekt-irányítási keretrendszer 10.2 Felhasználó osztály részvétele a projekt kezdeményezésében 10.3 A projekt-csoport tagjai és feladatai 10.4 Projekt meghatározás 10.5 Projekt jóváhagyás 10.6 Projekt szakaszainak jóváhagyása 10.7 Fels szint projekt-terv

4

4

4

4

5

4

6

4

5

4

4

4

6

4

4

4

5

6

4

4

4

4

4

35

4

5


TERVEZÉS ÉS SZERVEZET (folytatás)

10.8 Rendszermin ség-biztosítási terv 10.9 Min ségbiztosítási módszerek tervezése 10.10 Projekt-kockázatok kezelése 10.11 Tesztelési terv 10.12 Képzési terv 10.13 Utólagos értékelési terv 11.0 Min ségirányítás 11.1 Általános min ségi terv 11.2 Min ségbiztosítási stratégia 11.3 Min ségbiztosítás tervezése 11.4 Az informatikai részleg normáinak és el írásainak betartására vonatkozó min ségbiztosítási felülvizsgálat 11.5 ’Rendszerfejlesztési életciklus’ módszertan 11.6 ’Rendszerfejlesztési életciklus’ módszertan az alkalmazott technológia jelent s megváltoztatása esetén 11.7 A ’rendszerfejlesztési életciklus’ módszertan aktualizálása 11.8 Koordináció és kommunikáció 11.9. Technológiai infrastruktúra beszerzésére és karbantartására vonatkozó stratégia 11.10 Kapcsolattartás küls szakemberekkel/ fejleszt kkel 11.11 Program dokumentációs szabványok 11.12 Program tesztelési szabványok 11.13 Rendszer tesztelési szabványok 11.14 Párhuzamos futtatás/kísérleti tesztelés 11.15 Rendszer-tesztelés dokumentációja 11.16 Fejlesztési szabványok betartását ellen rz min ségbiztosítási értékelés 11.17 Az informatika részleg által kit zött célok teljesítésére vonatkozó min ségbiztosítási ellen rzés 11.18 Min ség mérése 11.19 Jelentéskészítés a min ségbiztosítási ellen rzésekr l 4

4

6

4

4

4

4

4

4

4

4

4

4

4

5

4

4

4

4

4

4

BESZERZÉS ÉS BEVEZETÉS 1.0 Automatizált megoldások meghatározása 1.1 Információs követelmények meghatározása 1.2 Alternatív megoldások kidolgozása 1.3 Beszerzési stratégia kidolgozása 1.4 Küls szolgáltatókra vonatkozó követelmények 1.5 Technológiai megvalósíthatósági tanulmány 4

1.6 Gazdasági megvalósíthatósági tanulmány

1.7 Információ-architektúra 1.8 Kockázat-elemzési jelentés 1.9 Költséghatékony biztonsági eljárások 1.10 Ellen rzési napló kialakítása 1.11 Ergonómia 1.12 Rendszer-szoftver kiválasztása 1.13 Beszerzés szabályozása 4

36

1.14 Szoftverek beszerzése 1.15 Küls fél által végzett szoftverkarbantartás 1.16 Alkalmazási programok készítésére adott megbízás 1.17 Eszközök átvétele 1.18 Technológia átvétele 2.0 Alkalmazási szoftverek beszerzése és karbantartása 2.1 Tervezési módszerek 2.2 A meglév rendszerek jelent sebb módosítása 2.3 Tervezés jóváhagyása 2.4 Az adatállományokra vonatkozó követelmények meghatározása és dokumentálása 2.5 Program specifikáció 2.6 Forrás-adatok összegy jtése 2.7 Inputokra vonatkozó követelmények meghatározása és dokumentálása 2.8 Kapcsolódási pontok (interfész) meghatározása 2.9 Felhasználó és számítógép közötti kapcsolat (interfész) 2.10 Adatfeldolgozási követelmények meghatározása és dokumentálása 2.11 Outputokra vonatkozó követelmények meghatározása és dokumentálása 2.12 Kontrollálhatóság 2.13 Rendelkezésre állás, mint kulcsfontosságú tervezési faktor 2.14 Az adatok sértetlenségét biztosító funkciók a felhasználói program-szoftverekben 2.15 Alkalmazási rendszerek szoftvereinek tesztelése 2.16 Felhasználókat segít kézikönyvek és egyéb anyagok 2.17 A rendszertervezés felülvizsgálata 3.0 Technológiai infrastruktúra beszerzése és karbantartása 3.1 Új hardverek és szoftverek értékelése 3.2 Preventív hardver-karbantartás 3.3 Rendszer-szoftverek biztonsága 3.4 Rendszer-szoftverek installációja 3.5 Rendszer-szoftverek karbantartása 3.6 Rendszer-szoftverek megváltoztatásának kontrollálása 3.7 Rendszer-segédprogramok hasnzálata és figyelése 4.0 Informatikai eljárások kifejlesztése és karbantartása 4.1 Üzemeltetési követelmények és szolgáltatási szintek 4.2 Felhasználói kézikönyvek 4.3 Üzemeltetési leírás 4.4 Oktatási anyagok 4

4

4

4

5


BESZERZÉS ÉS BEVEZETÉS (folytatás)

5.0 Rendszerek installálása és jóváhagyása 5.1 Képzés 5.2 Felhasználói szoftverek teljesítményének optimalizálása 5.3 Megvalósítási terv 5.4 Új rendszerre történ átállás 5.5 Adatátalakítás (konverzió) 5.6 Tesztelési stratégiák és tervek 5.7 Változtatások tesztelése 5.8 Párhuzamos/kísérleti tesztelés kritériumai és végrehajtása 5.9 Végleges elfogadás 5.10 Biztonsági tesztelés és jóváhagyás 5.11 M ködés tesztelése 5.12 Üzemi átadás 5.13 Felhasználói igényeknek való megfelelés értékelése 5.14 Utólagos vezet i ellen rzés 6.0 Változások kezelése 6.1 Változtatás kérésének kezdeményezése és szabályozása 6.2 Hatás-elemzés 6.3 Változáskezelés 6.4 Vészhelyzet változtatások 6.5 Dokumentáció és eljárások 6.6 Engedélyezett karbantartás 6.7 Szoftver-kibocsátásra vonatkozó szabályok 6.8 Szoftverek kiosztása 4

5

4

4

INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS 1.0 Szolgáltatási szintek meghatározása 1.1 Szolgáltatási-szint megállapodási keretrendszer 1.2 A szolgáltatási-szint megállapodásokban szabályozott kérdések 1.3 Szolgáltatások számonkérhet sége 1.4 Felügyelet és jelentéskészítés 1.5 A szolgáltatási-szint megállapodások és szerz dések felülvizsgálata 1.6 Felszámítható szolgáltatási költségek 1.7 Szolgáltatás-javítási program 2.0 Küls szolgáltatások kezelése 2.1 Szállítói kapcsolatok 2.2 Kapcsolattartási felel s 2.3 Szerz déskötés küls felekkel 2.4 Küls szolgáltatók megfelel ségének értékelése 2.5 Szolgáltatás-kihelyezési szerz dések 2.6 Folyamatos szolgáltatás 2.7 Biztonsági megállapodások 2.8 Folyamatos ellen rzés 3.0 Teljesítmény és kapacitás kezelése 3.1 Rendelkezésre állás és teljesítményi követelmények 4

4

6

4

4

4

4

4

4

4

37

3.2 Rendelkezésre állási terv 3.3 Figyelés és jelentéskészítés 3.4 Modellezési eszközök 3.5 Proaktív teljesítmény-kezelés 3.6 Üzemi terhelés el rejelzése 3.7 Er források kapacitás-kezelése 3.8 Er források rendelkezésre állása 3.9 Er források ütemezése 4.0 Folyamatos m ködés biztosítása 4.1 Informatikai folyamatossági keretrendszer 4.2 Informatikai folyamatossági terv, stratégia és filozófia 4.3 Informatikai folyamatossági terv tartalma 4.4 Az informatikai folyamatossági követelmények minimalizálása 4.5 Az informatikai folyamatossági terv aktualizálása 4.6 Az informatikai folyamatossági terv tesztelése 4.7 Az informatikai folyamatossági tervhez kapcsolódó képzés 4.8 Az informatikai folyamatossági terv szétosztása 4.9 A felhasználó osztály által kialakított alternatív munkafolyamatok, helyettesít eljárások 4.10 Kritikus fontosságú informatikai er források 4.11 Tartalék telephely és hardverek 4.12 Küls (off-site) tartalék adattárolás 4.13 Tervmódosítási eljárás 5.0 Rendszer biztonságának biztosítása 5.1 Biztonsági intézkedések kezelése 5.2 Azonosítás, hitelesítés és hozzáférési jogosultság 5.3 Adatok on-line hozzáférésének biztonsága 5.4 Felhasználói nyilvántartások kezelése 5.5 Felhasználói nyilvántartások vezet i áttekintése 5.6 Felhasználói nyilvántartások felhasználói kontrollja 5.7 Biztonsági eljárások felügyelete 5.8 Adatok osztályozása 5.9 Azonosítás és hozzáférési jogok központi szabályozása 5.10 Jelentéskészítés a biztonsági el írások megsértésér l és a biztonsági rendszer m ködésér l 5.11 Rendkívüli események kezelése 5.12 Újrahitelesítés 5.13 Másik fél megbízhatósága 5.14 Tranzakciók engedélyezése 5.15 Letagadhatatlanság 5.16 Megbízható csatorna 5.17 Biztonsági funkciók védelme 5.18 Kriptográfiai kulcsok kezelése 4

4

4

4

7

4

4

4

4

4

5

4

4


INFORMATIKAI SZOLGÁLTATÁS ÉS TÁMOGATÁS (folytatás)

5.19 Rossz szándékú szoftverek hatásának megel zése, felderítése és elhárítása 5.20 T zfal architektúrák és kapcsolódás nyilvános hálózatokhoz 5.21 Elektronikus értékek megvédése 6.0 Költségek megállapítása és felosztása 6.1 Felszámításra kerül szolgáltatási költségek 6.2 Költségszámítási eljárások 6.3 Felhasználói (bels ) kiszámlázási és jóváírási eljárások 7.0 Felhasználók képzése 7.1 Oktatási igények meghatározása 7.2 Képzés megszervezése 7.3 Biztonsági alapelvek és tájékoztató képzés 8.0 Informatikai felhasználók segítése 8.1 “Ügyfélszolgálat” 8.2 Felhasználói kérdések nyilvántartása 8.3 Felhasználói kérdések továbbítása 8.4 Felhasználói kérdések megoldásának figyelemmel kísérése 8.5 Trendek elemzése és jelentéskészítés 9.0 Konfiguráció kezelése 9.1 Konfiguráció nyilvántartása 9.2 Konfiguráció ’bázisvonal’ 4

5

4

4

9.3 Státusz nyilvántartása

9.4 Konfiguráció kontrollja 9.5 Engedély nélküli szoftverek 9.6 Szoftverek tárolása 9.7 Konfiguráció-kezelési eljárások 9.8 Szoftver elszámoltathatóság 10.0 Problémák és rendkívüli események kezelése 10.1 Probléma-kezel rendszer 10.2 Problémák eszkalációja 10.3 Probléma nyomon követése és ellen rzési napló 10.4 Hozzáférés ideiglenes engedélyezése vészhelyzetekben 10.5 M veletek prioritási sorrendje vészhelyzet esetén 11.0 Adatok kezelése 11.1 Adat el készítési eljárások 11.2 Forrás-dokumentum engedélyezési eljárás 11.3 Forrás-dokumentumok adatainak összegy jtése 11.4 Forrás-dokumentumok hibáinak kezelése 11.5 Forrás-dokumentumok meg rzése 11.6 Adatbevitel engedélyezése 11.7 Pontosság, teljesség és érvényesség ellen rzése 11.8 Adatbeviteli hibák kezelése 11.9 Adatfeldolgozás sértetlensége 11.10 Adatfeldolgozás helyességének ellen rzése és szerkesztése 11.11 Adatfeldolgozási hibák kezelése 4

4

5

4

5

4

4

4

38

11.12 11.13 11.14 11.15 11.16

Kimen adatok kezelése és meg rzése Kimen adatok kiosztása Kimen adatok egyeztetése Kimen adatok átvizsgálása és hibakezelés A kimen adatokról készült jelentésekre vonatkozó biztonsági el írások 11.17 Bizalmas információk védelme adattovábbítás és szállítás közben 11.18 A megsemmisítésre ítélt bizalmas információk védelme 11.19 Adattárolás szabályozása 11.20 Meg rzési id és tárolási feltételek 11.21 Adathordozó-könyvtár kezel rendszer 11.22 Az adathordozó könyvtár kezeléséhez kapcsolódó felel sség 11.23 Mentés (back-up) és helyreállítás 11.24 Mentési munkafolyamatok 11.25 Mentések tárolása 11.26 Archiválás 11.27 Bizalmas üzenetek védelme 11.28 Hitelesség és sértetlenség 11.29 Elektronikus tranzakciók sértetlensége 11.30 A tárolt adatok sértetlenségének folyamatos fenntartása 12.0 Létesítmény kezelése 12.1 Fizikai védelem 12.2 Informatikai eszközök “elrejtése” 12.3 Látogatók kísérése 12.4 Dolgozók egészsége és munkavédelem 12.5 Környezeti tényez kkel szembeni védelem 12.6 Folyamatos üzem tápegység 13.0 Üzemeltetés irányítása 13.1 Üzemeltetési leírást és utasításokat tartalmazó kézikönyv 13.2 Indítási eljárás és egyéb üzemeltetési szabályok dokumentációja 13.3 Munkaszervezés 13.4 Eltérések a munkafolyamatok el írt ütemezését l 13.5 Feldolgozás folyamatossága 13.6 Üzemeltetési napló 13.7 Speciális nyomtatványok és output eszközök védelme 13.8 Távm ködtetés 4

4

4

4

4

4

4

4

4

4

4

4

5

4

4

5

FELÜGYELET 1.0 Eljárások felügyelete 1.1 Ellen rzési adatok összegy jtése 1.2 Teljesítmény értékelése 1.3 Felhasználói elégedettség értékelése 1.4 Vezet i jelentések 2.0 Bels ellen rzés megfelel ségének felmérése 2.1 Bels ellen rzés felügyelete 2.2 Bels ellen rzési eljárások kell id ben történ alkalmazása 2.3 Jelentés a bels ellen rzés szintjér l 4

5

4

6

6

6

4

4

4

4

4

4

4

4

4

4


FELÜGYELET (folytatás)

2.4 Üzemeltetés biztonsága és bels ellen rzés rendszeres felülvizsgálata 3.0 Független értékelés végeztetése 3.1 Informatikai szolgáltatásokra vonatkozó független biztonsági és bels ellen rzési tanúsítás/hitelesítés 3.2 Küls szolgáltatókra vonatkozó független biztonsági és bels ellen rzési tanúsítás/ hitelesítés 3.3 Az informatikai szolgáltatások eredményességének független értékelése 3.4 Küls szolgáltatók eredményességének független értékelése 3.5 A törvényi ill. jogszabályi el írások és a szerz déses kötelezettségek betartásának független ellen rzése 3.6 A törvényi ill. jogszabályi el írások és a szerz déses kötelezettségek küls szolgáltató általi betartásának független ellen rzése 3.7 A független értékel szervezet szakmai kompetenciája 3.8 Megel z audit-ellen rzések 4.0 Független ellen rz vizsgálat (audit) végeztetése 4.1 Auditásli, ellen rzési szabályzat 4.2 Függetlenség 4.3 Szakmai etika és normák 4.4 Szakmai hozzáértés 4.5 Tervezés 4.6 Az ellen rzés (audit) végrehajtása 4.7 Jelentéskészítés 4.8 További teend k, utómunkálatok 4

4

4

4

4

4

4

4

4

4

4

4

4

4

4

4

4

4

4

6

6

4

4

4

39



40


T ERVEZÉS ÉS S ZERVEZET

41


TSZ1 Tervezés és szervezet

Informatikai stratégiai terv kidolgozása

ÁLTALÁNOS KONTROLL IRÁNYELV Er e dm é Ha nyess ték ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g á gbí z ha g tó s ág

Tervezés és szervezés Beszerzés és bevezetés

E M

M ködés és támogatás ;

Informatikai eljárás: Felügyelet

informatikai stratégiai terv kidolgozása Az eljárással szemben támasztott üzleti követelmény:

az információ-technológiában rejl lehet ségek és az informatikávaé szemben támasztott üzleti követelmények optimális egyensúlyának megtalálása valamint az egyensúly kés bbi megvalósításának biztosítása 8

8

8

A megvalósítás módja: rendszeres jelleg stratégiai tervezési munka és ennek alapján hosszú távú tervek kidolgozása: a hosszú távú terveket le kell bontani olyan id szaki operatív tervekre, amelyek világos és konkrét rövid távú célokat határoznak meg 9

8

•

Mérlegelend kérdések: :

• • • • • • •

szervezeti/vállalati üzleti stratégia annak a meghatározása, hogy a szervezeti célkit zéseket hogyan támogatja az informatika technológia megoldások és a jelenlegi infrastruktúra feltérképezése technológiai piacok figyelése id szer megvalósíthatósági tanulmányok és ellen rzések meglév rendszerek értékelése vállalkozás viszonyulása a kockázat, a piaci reagálási id és a min ség kérdéséhez fels vezet i tulajdonszerzés, támogatás és kritikus átvilágítás szükségessége 9

8

9

8

8

8

8

8

<

<

42

<

<

Ad ato k

8


•

<


RÉSZLETES KONTROLL IRÁNYELVEK 1.

1.3

INFORMATIKAI STRATÉGIAI TERV KIDOLGOZÁSA

1.1

Az információ-technológia mint a szervezet hosszú- és rövid távú terveinek része KONTROLL IRÁNYELV A fels vezetés felel s azért, hogy olyan hosszú- és rövid távú tervek kerüljenek kidolgozásra és végrehajtásra, amelyek megfelelnek a szervezet hosszú távú célkit zéseinek és rövid távú céljainak. Ezzel összefüggésben a fels vezetésnek gondoskodnia kell az informatikához kapcsolódó kérdések és az abban rejl lehet ségek megfelel értékelésér l valamint arról, hogy azok megjelenjenek a szervezet hosszú- és rövid távú terveiben. Olyan hosszú- és rövid távú informatikai terveket kell kialakítani, amelyek gondoskodnak arról, hogy az informatika felhasználása igazodjon a szervezet általkános célkit zéseihez és üzleti startégiájához. 8

8

8

8

8

8

8

9

8

Hosszú távú informatikai tervezés - Módszer és struktúra KONTROLL IRÁNYELV Az informatikai részleg vezetésének és az egyes üzleti folyamatokért felel s vezet knek strukturált megközelítési módszert kell kilakítaniuk és alkalmazniuk a hosszú távú tervezési eljárás kapcsán. Ennek alapján el kell készíteni egy olyan ’min ségi’ tervet, amely választ ad a ki, mit, hogyan, mikor és miért alapkérdésekre. Az informatikai tervezési ejárásnak figyelembe kell vennie a kockázat-elemzések eredményeit, az üzelti, a környezeti, a technológiai és az emberi er forrásokhoz kapcsolódó kockázatokat egyaránt beleértve. A tervezési folyamat során az alábbi szempontokat kell figyelembe venni: szervezeti modell és annak változásai, földrajzi eloszlás, technológiai fejl dés, költségek, jogi- és szabályozási követelmények, harmadik felek illetve a piac követelményei, tervezési horizont, üzleti folyamatok átalakítása, munkaer -szükséglet, alvállalkozói megbízások, szolgáltatások kihelyezése illetve a cég saját hatáskörébe vonása, adatok, alkalmazási rendszerek és m szaki architektúra. A hosszú- és rövid távú informatikai terveknek teljesítmény-mutatókat és célszámokat is kell tartalmazniuk. A tervnek, magának, más tervekre is hivatkoznia kell, például a szervezet min ségi tervére vagy az információs kockázatok kezelésére vonatkozó tervre. 8

8

8

8

9

8

1.2

Hosszú távú informatikai terv KONTROLL IRÁNYELV Az informatikai vezetés és az egyes üzleti folyamatokért felel s vezet k felel sek azért, hogy rendszeresen olyan hosszú távú informatikai tervek kerüljenek kidolgozásra, amelyek segítik a szervezet általános célkit zéseinek és rövid távú céljainak teljesítését. A tervezési módszernek olyan mechanizmusokat kell tartalmaznia, amelyek révén a bels és küls érdekelt felekt l – akiket érint az informatikai stratégiai terv – megszerezhet k a szükséges információk. Ezzel összefüggésben a vezetésnek ki kell alakítania egy hosszú távú tervezési eljárást, megfelel strukturált megközelítési módszert kell alkalmaznia és ki kell dolgoznia egy egységes terv (dokumentum) struktúrát. 8

9

8

8

9

8

8

8

8

8

8

43

1.4

A hosszú távú informatikai terv módosítása KONTROLL IRÁNYELV Az informatikai vezetésének és az egyes üzleti folyamatokért felel s vezet knek ki kell alakítaniiuk egy olyan megfelel eljárást, amely lehet vé teszi a hosszú távú informatikai tervek id szer és 8

8

8

8

8

9


szükséges módosítását annak megfelel en, hogy a szervezet hosszú távú terveiben illetve az informatikai feltételekben milyen változások következtek be. A vezetésnek a vállalatirányítási politika keretében el kell írnia a hosszú- és rövid távú informatikai tervek kidolgozásának és követésének szükségességét.

1.7

8

Rövid távú tervezés az informatikai részlegnél KONTROLL IRÁNYELV Az informatikai részleg vezetésének és az egyes üzleti folyamatokért felel s vezet knek gondoskodniuk kell arról, hogy a hosszú távú informatikai terv alapján megfelel rövid távú informatikai tervek készüljenek. Az ilyen rövid távú tervekben gondoskodni kell arról, hogy az információs részleg er forrásai a hosszú távú tervben meghatározott elvekkel összhangban kerüljenek felhasználásra. A rövid távú terveket rendszeresen felül kell vizsgálni, és amennyiben szükséges, módosítani kell azokat az üzleti és az informatikai feltételekben bekövetkezett változások függvényében. A megvalósíthatósági tanulmányok id ben történ elkészítésével gondoskodni kell arról, hogy a rövid távú tervek végrehajtása megfelel en megkezd djön. 8

8

8

8

8

8

8

1.6

8

Informatikai tervek kommunikációja KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az üzleti folyamatokért felel s vezet k és a szervezeten belüli más érdekelt felek megfelel információükkal rendelkezzenek a hosszú- és rövid távú informatikai tervek tartalmát illet en. 8

8

8

8

44

:

9

8

1.5

Informatikai tervek ellen rzése és értékelése KONTROLL IRÁNYELV A vezetésnek olyan eljárásokat kell kialakítania, amelyek összegy jtik és beszámolnak az üzleti folyamatokért felel s vezet k és a felhasználók visszajelzéseit a hosszú- és rövid távú informatikai tervek min ségér l és hasznosságáról. Az így kapott visszajelzéseket értékelni kell és figyelembe kell venni a jöv beni informatikai tervek kidolgozásakor. 8

8

8

8

8

1.8

Meglév rendszerek értékelése KONTROLL IRÁNYELV A stratégiai vagy hosszú távú informatikai terv kidolgozása illetve módosítása el tt az informatikai részleg vezetésének értékelnie kell a meglév információs rendszereket az üzleti folyamatok automatizációjának mértéke, a funkcionalitás, a stabilitás, a komplexitás, a költségek valamint az er sségek és hiányosságok szempontjából annak megállapítása érdekében, hogy a meglév rendszerek milyen mértékben felelnek meg a szervezet üzleti követelményeinek. :

8

8

8

8


Ez az oldal szándékosan maradt üresen.

45



Információ-architektúra meghatározása

ÁLTALÁNOS KONTROLL IRÁNYELV

Er e dm é Ha nyess ték ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g ág gbí z ha tó s ág

Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás =

E M M M

Felügyelet

Informatikai eljárás: információ-architektúra meghatározása Az eljárással szemben támasztott üzleti követelmény: információs rendszerek optimális kialakítása A megvalósítás módja: szervezeti/üzleti információs modell kidolgozása és alkalmazása valamint olyan megfelel rendszerek létrehozása, amelyek biztosítják az információk optimális felhasználását 8


• • • •

dokumentáció automatizált adatszótár és repozitórium adat-szintaktika adatok birtoklása tulajdonjoga és az adatok osztályozása fontosság és biztonság szempontjából. • szervezeti szint információmodell • szervezeti szint információ-architektúra szabványok és el írások 9

9

8

46

>

Ad ato k


>


47



2.4

INFORMÁCIÓ-ARCHITEKTÚRA MEGHATÁROZÁSA

2.1

Információ-architektúra modell KONTROLL IRÁNYELV Az információkat az igényeknek megfelel en kell nyilvántartani és olyan formában kell meghatározni, összegy jteni, tárolni és továbbítani, amely lehet vé teszi, hogy az emberek hatékonyan és a megfelel id ben végezzék el feladataikat. Ezzel összefüggésben az informatikai részlegnek ki kell dolgoznia – és rendszeresen aktualizálnia kell – egy olyan információ-architektúra modellt, amely a vállalati adatmodellt és a kapcsolódó információs rendszereket egyaránt magában foglalja. Az információ-architektúra modellnek igazodnia kell a hosszú távú informatikai tervben lefektetett elvekhez. 8

9

8

8

8

2.2

Vállalati adatszótár és adatszintaktika KONTROLL IRÁNYELV Az informatikai részlegnek gondoskodnia kell egy olyan vállalati adatszótár kialakításáról és annak folyamatos aktualizálásáról, amely tartalmazza a szervezet adatszintaktikai szabályait is.

2.3

Adatosztályozási rendszer KONTROLL IRÁNYELV Ki kell dolgozni egy olyan általános osztályozási rendszert, amely osztályozza az adatokat (úm. biztonsági kategóriák szerint) és jelzi az adatok tulajdonosát is. Az egyes adatosztályok hozzáférési szabályait pontosan meg kell határozni.

48

Biztonsági szintek KONTROLL IRÁNYELV A vezetésnek meg kell határoznia minden olyan adat-kategória biztonsági szintjét, amely a “nincs szükség védelemre” kategória fölött helyezkedik el. Minden egyes ilyen biztonsági szint esetében meg kell határozni a megfelel (minimális) biztonsági és ellen rzési eljárásokat, amelyeket rendszeres id közönként felül kell vizsgálni és szükség esetén módosítani kell. Az elektronikus kereskedelem, a mobil számítógépek és a távközlési környezet fejl désére tekintettel meg kell határozni a tágabb értelemben vett ’szervezeten’ belüli különböz biztonsági szintekhez kapcsolódó kritériumokat. 8

8

8

8

8



Technológiai irány meghatározása



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás ?

E M Informatikai eljárás:

Felügyelet

technológiai irány meghatározása Az eljárással szemben támasztott üzleti követelmény: a rendelkezésre álló és az újonnan kifejlesztett technológiák által kínált el nyök kihasználása az üzleti stratégia megvalósítása érdekében 8

A megvalósítás módja: olyan technológiai infrastruktúra terv kidolgozása és alkalmazása, amely világosan és reálisan meghatározza és kezeli a technológiával szemben támasztott elvárásokat termékek, szolgáltatások és szolgálttaásnyújtási mechanizmusok formájában Mérlegelend kérdések: :

8

8

8

8

8

@

49

@

Ad ato k

• • • • • • •

a meglév infrastruktúra kapacitása a technológiai fejl dés figyelemmel kísérése megbízható források alapján új elképzelések, ötletek életképességének bizonyítása kockázatok, korlátok és a lehet ségek beszerzési tervek új technológiára történ áttérés stratégiája és ütemterve beszállítókkal, parnerekkel kialakított kapcsolatok technológiai lehet ségek független értékelése hardver és szoftver árak/teljesítmény változása.


• •



TECHNOLÓGIAI IRÁNY

3.4

Hardver és szoftver beszerzési tervek KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell olyan hardver- és szoftver beszerzési tervek kidolgozásáról, amelyek megfelelnek a technológiai infrastruktúra tervben meghatározott igényeknek.

3.5

Technológiai szabványok KONTROLL IRÁNYELV A technológiai infrastruktúra terv alapján a vezetésnek meg kell határoznia bizonyos technológiai normákat az infrastruktúra egységesítésének segítése érdekében.

MEGHATÁROZÁSA

3.1

3.2

Technológiai infrastruktúra tervezés KONTROLL IRÁNYELV Az informatikai részlegnek ki kell dolgoznia – és rendszeresen aktualizálnia kell – egy olyan technológiai infrastruktúra tervet, amely összhangban van a hosszú- és rövid távú informatikai tervekkel. Ennek a tervnek ki kell térnie olyan kérdésekre is, mint például a rendszer-architektúra, a technológiai irány és a migrációs stratégiák. A jöv beni trendek és jogszabályok figyelemmel kísérése KONTROLL IRÁNYELV Az információs részlegnek gondoskodnia kell a jöv beni trendek és a jogszabályi feltételek folyamatos figyelésér l annak érdekében, hogy ezeket a tényez ket is figyelembe lehessen venni a technológiai infrastruktúra terv kidolgozása és alkalmazása során. :

8

8

8

3.3

A technológiai infrastruktúra katasztrófa t r képessége KONTROLL IRÁNYELV A technológiai infrastruktúra tervet szisztematikusan értékelni kell a rendkívüli, váratlan események (úm. az infrastruktúra redundanciája, alkalmazkodási képessége és helyreállási képessége, megfelel sége és fejleszthet sége) szempontjából. A

:

8

8

50



Informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás B


Felügyelet

informatikai részleg szervezeti felépítésének és kapcsolatainak meghatározása Az eljárással szemben támasztott üzleti követelmény: a megfelel informatikai szolgáltatások biztosítása 8

A megvalósítás módja: megfelel számú és képzettség személyb l álló részleg felállítása valamint a feladatok és felel sségi körök meghatározása és ismertetése, amely igazodik a vállalkozás igényeihez, segíti a stratégia végrehajtását és emellett hatékony irányítást és megfelel ellen rzést tesz lehet vé 8

9

8

8

8

8

8


• • • • • • • • • • •

igazgatósági szint felel sség az informatikai területért az informatika irányítása és felügyelete fels vezet i szinten az informatika és az üzleti folyamatok összehangolása az informatika bevonása a kulcsfontosságú döntési folyamatokba szervezeti rugalmasság világosan meghatározott feladat- és felel sségi körök optimális egyensúly megtalálása a felel sségi körök átruházása és irányítási jogkörök megtartása között munkaköri leírások munkakörök betöltöttségi szintje és kulcsfontosságú dolgozók a biztonsági, min ségbiztosítási és bels ellen rzési funkciók elhelyezkedése a szervezeten belül hatáskörök különválasztása 9

8

8

8

8

8

8

51

8

8



4.1

céloknak és körülményeknek.

AZ INFORMATIKAI RÉSZLEG SZERVEZETI FELÉPÍTÉSÉNEK ÉS KAPCSOLATAINAK MEGHATÁROZÁSA

4.4

Informatikai Tervezési vagy Irányító Bizottság KONTROLL IRÁNYELV A szervezet fels vezetésének ki kell jelölnie egy tervezési ill. irányító bizottságot, amely felügyeli az informatikai részleg m ködését és tevékenységét. A bizottságban helyet kell kapnia a vállalati fels vezetés, a felhasználói részlegek és az informatikai részleg képvisel inek. A bizottságnak rendszeres id közönként össze kell ülnie és a fels vezetés felé kell jelentést készítenie. 8

8

8

9

8

8

8

4.5

Min ségbiztosítási felel sség KONTROLL IRÁNYELV A vezetésnek ki kell jelölnie, hogy mely személyek felel sek a min ség-biztosítási funkciók ellátásáért az informatikai részlegen belül és gondoskodnia kell arról, hogy az informatikai részleg min ségbiztosítási csoportja megfelel ismeretekkel rendelkezzen a min ségbiztosítás, a rendszerek, a min ség ellen rzési eljárások és a tájékoztatás területén. A min ségbiztosítási csoport szervezeten belüli elhelyezését, felel sségét és nagyságát a szervezet igényeinek megfelel en kell meghatározni. :

:

8

8

8

8

8

8

8

8

8

4.3

Szervezeti eredmények áttekintése KONTROLL IRÁNYELV Ki kell alakítani egy megfelel rendszert, amelynek keretében meg lehet vizsgálni, hogy a szervezeti struktúra megfelel-e a kit zött 8

9

52

8

8

8

8

9

8

8

8

:

8

8

8

Feladatok és felel sségi körök KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a szervezet minden alkalmazottja tisztában legyen az információs rendszerekkel kapcsolatos feladataival és felel sségével. Minden alkalmazottnak megfelel hatáskört kell biztosítani ahhoz, hogy végre tudja hajtani a rá bízott feladatokat. A feladatok kijelölésekor figyelemmel kell lenni a hatáskörök megfelel szint különválasztására. Nem állhat el olyan helyzet, hogy egyetlen személy kezébe kerül egy adott tranzakció illetve esemény összes fontos aspektusának ellen rzése. Mindenkit tájékoztatni kell arról, hogy milyen mérték bels ellen rzési és biztonsági tartozik. Ezzel felel sséggel összefüggésben rendszeres jelleggel akciókat kell szervezni a dolgozók tájékozottságának és fegyelmének javítása céljából. 8

9

Az informatikai részleg szervezeti elhelyezkedése KONTROLL IRÁNYELV Az informatikai részleg általános szervezeti struktúrán belüli elhelyezésekor a fels vezetésnek gondoskodnia kell arról, hogy a részleg megfelel hatáskörrel, súllyal rendelkezzen és a szervezeten belül független legyen a felhasználói részlegekt l, annak érdekében, hogy hatékony informatikai megoldásokat tudjon kínálni és megfelel módon végre is tudja hajtani azokat, továbbá, hogy partneri kapcsolat alakuljon ki az informatikai részleg és a fels vezetés között, ezzel is segítve azt, hogy a fels vezetés megismerkedjen és tisztában legyen az informatikai problémákkal és azok kezelésével.

változó

8

8

4.2

a

8


4.6

Logikai és fizikai biztonsági felel sség KONTROLL IRÁNYELV A vezetésnek ki kell neveznie egy információ védelmi felel st, aki a szervezet informatikai eszközeinek fizikai és logikai biztonságáért egyaránt felel s és közvetlenül a szervezet fels vezetése felé számol be munkájáról. A védelmi menedzser felel sségi körének, minimális követelményként, a szervezet egészét érint biztonsági kérdésekre kell kiterjednie. Amennyiben szükséges, további információ-védelmi felel sségi köröket is meg kell határozni, rendszer-specifikus szinten.

fel kell mérnie, hogy a dolgozók rendelkeznek-e a feladataik és felel sségi köreik ellátásához szükséges hatáskörrel és er forrásokkal, továbbá át kell tekintenie a legfontosabb teljesítmény–mutatókat.

:

8

8

8

8

8

4.10

8

8

8

8

8

8

4.7

8

Adatok tulajdonosai és kezel i KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy struktúrát az adatok tulajdonosainak és kezel inek hivatalos kijelölésére vonatkozóan. A fenti személyek feladatait és felel sségi köreit világosan meg kell határozni. :

8

8

4.8

Adat- és rendszer tulajdonosok KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy minden informatikai eszköznek (adatok és rendszerek) legyen egy kijelölt tulajdonosa, aki dönt az osztályozási és hozzáférési jogokról. A rendszer-tulajdonosok a napi m ködtetés feladatát általában a rendszer-üzemeltet csoportra, a biztonsági feladatok ellátását pedig a biztonsági felel sre bízzák. Mindazonáltal a tulajdonosok felel sek a megfelel biztonsági intézkedések alkalmazásáért.

Feladatkörök szétválasztása KONTROLL IRÁNYELV A fels vezetésnek szét kell választania a feladatokat és felel sségi köröket, olyan módon, hogy ne legyen lehet ség arra, hogy egyetlen személy kezében összpontosuljon valamely kritikus eljárás irányítása, amely visszaélésre ad lehet séget. Azt is biztosítania kell a vezetésnek, hogy a dolgozók csak a munkakörükhöz illetve beosztásukhoz tartozó feladatokat lássák el. Ezzel összefüggésben különösen fontos az alábbi funkciók szétválasztása: • információs rendszerek használata; • adatbevitel; • számítógép-üzemeltetés; • hálózat-kezelés; • rendszer-adminisztráció, rendszergazda; • rendszer-fejlesztés és karbantartás; • változás-kezelés; • biztonsági felügyelet; • biztonsági ellen rzés. 8

9

8

8

8

8

4.11

Informatikai dolgozói létszám KONTROLL IRÁNYELV A szükséges dolgozói létszámot rendszeres id közönként felül kell vizsgálni annak érdekében, hogy megfelel számú és képzettség dolgozóval rendelkezzen az informatikai részleg. A szükséges dolgozói létszámot legalább évente, vagy az üzleti, a m ködési illetve az informatikai környezetben történt jelent s változások esetén értékelni kell. Az értékelés eredményei alapján azonnal meg kell tenni a szükséges lépéseket a megfelel 8

8

4.9

Felügyelet KONTROLL IRÁNYELV A fels vezetésnek megfelel felügyeleti eljárások révén gondoskodnia kell az informatikai részlegre vonatkozóan meghatározott feladatok és felel sségi körök megfelel végrehajtásáról illetve gyakorlásáról, 8

8

8

8

9

9

8

8

53


dolgozói érdekében. 4.12

létszám

biztosítása

Az informatikai részleg dolgozóinak munkaköri leírása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell az informatikai munkaköri leírások kidolgozásáról és rendszeres aktualizálásáról. A munkaköri leírásokban világosan rögzíteni kell mind a hatásköröket, mind a felel sségi köröket, beleértve az adott munkakör ellátásához szükséges képzettség és gyakorlat meghatározását is, olyan módon, hogy az a teljesítmény értékelésére is alkalmas legyen. 8

4.13

Kulcsfontosságú informatikai dolgozók KONTROLL IRÁNYELV A vezetésnek meg kel határoznia, hogy melyek a kulcsfontosságú informatikai beosztások és munkakörök.

4.14

Szerz déses munkatársak KONTROLL IRÁNYELV A vezetésnek megfelel eljárásokat kell kidolgoznia és alkalmaznia az informatikai részlegnél dolgozó tanácsadók és más szerz déses munkatársak tevékenységének ellen rzésére a szervezet informatikai eszközeinek védelme érdekében. :

8

8

8

4.15

Kapcsolatok KONTROLL IRÁNYELV Az informatikai részleg vezetésének megfelel intézkedéseket kell tennie annak érdekében, hogy optimális együttm ködés, kommunikáció és kapcsolattartás alakuljon ki az informatikai részlegen belül illetve az informatikai részlegen kívüli más érdekcsoportokkal (úm. felhasználókkal, szállítókkal, biztonsági felel sökkel, kockázat-menedzserekkel, stb.). 8

9

8

54



Informatikai beruházások kezelése



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás C

E E

M

Felügyelet

Informatikai eljárás: informatikai beruházások kezelése Az eljárással szemben támasztott üzleti követelmény: finanszírozás biztosítása és a finanszírozási források felhasználásának ellen rzése 8

A megvalósítás módja: az üzleti igényeknek megfelel rendszeres beruházási és m ködési költségvetés kidolgozása és jóváhagyatása a szervezet vezetésével 8

9


• • • •

alternatívák finanszírozása költségvetési felel sség pontos rögzítése tényleges kiadások ellen rzése (informatikai) költségek indokoltsága és a eszközök birtoklásából ered teljes költségek ismerete el nyök indoklása és realizálódásának számonkérhet sége az alkalmazási szoftverek és technológiák életciklusa igazodás a vállalkozás üzelti stratégiájához hatáselemzés eszközgazdákodás 8

8

8

8

D

D

55

D

D

Ad ato k

8


• • • • •



5.3

INFORMATIKAI BERUHÁZÁSOK KEZELÉSE

5.1

Éves informatikai m ködési költségvetés KONTROLL IRÁNYELV A fels vezetésnek ki kell dolgoznia egy megfelel költségvetési eljárást annak érdekében, hogy az informatikai részleg éves m ködési költségvetése a hosszú- és rövid távú szervezeti illetve informatikai tervekkel összhangban kerüljön kidolgozásra és jóváhagyásra. A finanszírozási alternatívák lehet ségeit is meg kell vizsgálni. A

8

8

9

8

5.2

Költségek és el nyök figyelemmel kísérése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy megfelel rendszert a tervezett és a ténylegesen felmerült költségek összehasonlítására. Ezenfelül meg kell határozni az informatikai tevékenység által kínált lehetséges is. A költségek el nyöket alakulásának ellen rzéséhez a tényleges számadatokat a szervezet számviteli rendszeréb l kell venni, amely rendszernek nyilván kell tartania az informatikai tevékenységekhez kapcsolódó költségeket. Az el nyök méréséhez fels szint teljesítmény-mutatókat kell meghatározni, amelyek alakulásáról rendszeresen jelentést kell készíteni és amelyek megfelel ségét rendszeresen felül kell vizsgálni. :

8

8

8

8

8

8

9

8

56

Költségek és hasznosság indokoltsága KONTROLL IRÁNYELV Megfelel vezetési kontrollt kell kialakítani, amely garantálja, hogy az informatikai részleg szolgáltatásainak költségei indokoltak és megfelelnek az ágazati normáknak. Az informatikai tevékenységek által kínált el nyöket hasonlóképpen kell elemezni. 8

8



Vezet i célok és irányvonal közlése E



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás G

E

M

Felügyelet

Informatikai eljárás: vezet i célok és irányvonal közlése

Az eljárással szemben támasztott üzleti követelmény: a felhasználók tájékoztatása a fenti célokról, és a célok megértetése A megvalósítás módja: a felhasználók tájékoztatása az elfogadott irányelvekr l; ezenfelül olyan normák kidolgozása szükséges, amelyek a stratégiai választási lehet ségeket átültetik a gyakorlatban alkalmazható felhasználói szabályokba

Mérlegelend kérdések: • világosan megfogalmazott szervezeti cél • magatartási/etikai kódex • üzleti célokhoz kapcsolt technológiai el írások/direktívák • irányelvek és el írások betartása • min ség iránti elkötelezettség • biztonságiés bels ellen rzési politika • biztonsági és bels ellen rzési gyakorlat • vezetés példák mutatásával • folyamatos tájékoztatási programok • útmutatás nyújtása és azok betartásának ellen rzése F

H

57

Ad Ad ato ato k k

Em Em b b Al Al erekerek kal kal ma ma Te Te zásozáso chn chn k k oló oló gia gia

H


RÉSZLETES KONTROLL IRÁNYELVEK 6. 6.1

amely különböz kommunikációs használatáról szól.

VEZET I CÉLOK ÉS IRÁNYVONAL KÖZLÉSE I

Pozitív informatikai kontrollkörnyezet KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy megfelel rendszert és tájékoztató programot a szervezeten belüli olyan pozitív kontroll-környezet kialakítása érdekében, amely irányelveket ad a megfelel alkalmazotti magatartásra vonatkozón, megszünteti az etikátlan viselkedésre lehet séget adó közeget és megfelel munkafegyelmet biztosít. A fenti programban ki kell térni az integritás, az etikai értékek és az emberi kompetencia kérdéseire, a vezetési filozófiára, a m ködés módjára és az elszámoltathatóságra. Külön figyelmet kell fordítani a fenti kérdések informatikai aspektu-saira.

6.4

8

9

8

8

8

6.5

9

8

8

8

9

8

8

8

Szervezeti irányelvek közlése KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a szervezeti irányelvek közlésér l (nyilvánosságra hozataláról) és arról, hogy a szervezet minden szintjén tisztában legyenek azokkal. Ezt a kommunikációs eljárást egy olyan tervvel kell alátámasztani, 8

58

Az irányelvek aktualizálása KONTROLL IRÁNYELV Az irányelveket és célokat rendszeresen felül kell vizsgálnia a vezetésnek a megváltozott feltételek alapján. Évente legalább egyszer, vagy az üzleti illetve a m ködési környezetben történt jelent s változások esetén, felül kell vizsgálni az irányelvek és célok megfelel ségét, és szükség esetén módosítani kell azokat. A vezetésnek ki kell alakítania egy megfelel rendszert és eljárást a normák, alapelvek, célkit zések, irányelvek és eljárások id szakos felülvizsgálatára és jóváhagyására vonatkozóan. 8

9

6.3

9

9

:

9

A

8

8

A vezetés felel ssége az irányelvek kidolgozásával kapcsolatban KONTROLL IRÁNYELV A vezetésnek teljes kör felel sséget kell vállalnia az általános célokhoz és célkit zésekhez kapcsolódó irányelvek kidolgozásáért, megfogalmazásáért, dokumentálásáért, közléséért és ellen rzéséért. Az irányelvek megfelel ségét rendszeresen felül kell vizsgálni. Az írásban rögzített irányelvek és szabályok komplexitásának minden esetben igazodnia kell a szervezet nagyságához és a vezetési gyakorlathoz.

A célkit zések végrehajtásához szükséges er források KONTROLL IRÁNYELV Az irányelvek és célok közlésével kapcsolatban a vezetésnek gondoskodnia kell a arról, hogy megfelel er források álljanak rendelkezésre a célkit zések végrehajtásához, ugyanakkor biztosítaniuk kell azt, hogy ezek az alapelvek beépüljenek a szervezet napi müködésébe. A vezetésnek emellett figyelemmel kell kísérnie azt is, hogy id szer eke az alkalmazott irányelvek. :

8

6.2

fajta eszközök 8

6.6

Az irányelvek, eljárások és normákbetartása KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy olyan megfelel eljárást, amelynek segítségével meg lehet állapítani, hogy az alkalmazottak tisztában vannak-e a meghatározott irányelvekkel és eljárásokkal és követik-e azokat. Az etikai, biztonsági és bels ellen rzési normák betartására vonatkozó szabályokat a fels vezetésnek kell kidolgoznia és 8

8

8

8


magatartásával példát kell mutatnia ezen a területen. 6.7

Min ség iránti elkötelezettség KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dolgoznia valamint dokumentálnia és rendszeresen aktualizálnia kell egy olyan min ségi filozófiát, az ahhoz kapcsolódó irányelvekkel és célokkal együtt, amelyek igazodnak a vonatkozó vállalati filozófiához és irányelvekhez. A min ségi filozófiáról, irányelvekr l és célokról az informatikai részleg minden szintjét tájékoztatni kell és minden szinten végre kell hajtani azokat.

biztonsági és a bels ellen rzési szabályok elmulasztása milyen büntetéseket és fegyelmi eljárásokat von maga után. Ezenfelül meg kell határozni a fenti keretrendszer id szakos felülvizsgálatának kritérumait, amely során figyelembe kell venni a szervezeti, környezeti és technikai követelmények terén bekövetkez változásokat. 8

:

8

8

8

6.9

8

8

6.8

A biztonságra és a bels ellen rzésre vonatkozó irányelvek KONTROLL IRÁNYELV A vezetés feladata az, hogy kidolgozza és aktualizálja azokat az irányelveket, amelyek meghatározzák a szervezet általános biztonsági és bels ellen rzési stratégiáját az informatikai er források védelmének és az informatikai rendszerek integritásának biztosítása és javítása érdekében.A fenti politikának igazodnia kell az általános üzleti célokhoz és a kockázatok minimalizálását kell célul kit znie megel z intézkedések, a szabálytalanságok kell id ben feltárása, a veszteségek történ korlátozása és a megfelel id ben történ helyreállítás révén. A szükséges intézkedéseket és azok prioritási fokát költséghatékonysági elemzések alapján kell meghatározni. Ezenfelül a fels vezetésnek gondoskodnia kell arról, hogy a fenti fels szint biztonsági és bels ellen rzési politika minden egyes szervezeti szintre vonatkozóan meghatározza a célokat, az irányítási struktúrát, a szervezeten belüli hatáskört valamint a végrehajtási felel sséget, továbbá azt, hogy a :

8

6.10

8

9

8

8

8

8

8

8

8

8

8

9

8

8

59

Konkrét kérdésekhez kapcsolódó irányelvek KONTROLL IRÁNYELV Megfelel intézkedések révén gondoskodni kell arról, hogy a vezetés bizonyos konkrét tevékenységekkel, alkalmazásokkal, rendszerekkel illetve technológiákkal kapcsolatos döntései megfelel en dokumentálásra kerüljenek. 8

8

8

Szellemi tulajdonjogok KONTROLL IRÁNYELV A vezetésnek írott formában rögzítenie kell a szellemi tulajdonjogokra vonatkozó szabályokat, a házon belül és a megbízásra kifejlesztett szoftvereket illet en egyaránt.

:

8

8

8

8

6.11

Az informatikához kapcsolódó biztonsági szabályok ismertetése KONTROLL IRÁNYELV Egy ún. Informatikai biztonsági ismertet program keretében tájékoztatni kell minden informatikai felhasználót az informatikához kapcsolódó biztonsági szabályokról és gondoskodni kell arról, hogy minden felhasználó teljes mértékben megértse a biztonsági szabályok fontosságát. A programnak azt az üzenetet kell közvetítenie, hogy az informatika biztonsága a szervezet egészének, vagyis minden dolgozónak a közös érdeke, amelyért mindenki felel s. Az informatikai biztonsági felvilágosító programnak tükröznie kell a fels vezetés álláspontját és igazodnia kell ahhoz. J

8

8



60



Emberi er források kezelése K



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás L

E E Informatikai eljárás:

Felügyelet

emberi er források kezelése 8

Az eljárással szemben támasztott üzleti követelmény: olyan szakmailag jól képzett és siker-orientált munkaer alkalmazása, amely képességeivel maximálisan hozzájárul az informatikai folyamatokhoz 8

A megvalósítás módja: egységes, méltányos ás jól áttekinthet munkaer -gazdálkodási gyakorlat alkalmazása a dolgozók felvétele, egészségügyi ellen rzése, díjazása, képzése, értékelése és elbocsátása.terén 8

8

8


•

8

8

8

8

M

8

8

8

8

61

Ad ato k

• • •

felvétel és el léptetés szakképzettségi követelmények tudatosság er sítése kereszt-képzés és munkakörök cserélése (rotáció) munkaer -felvételre, egészségügyi ellen rzésre és elbocsátásra vonatkozó szabályok teljesítmények objektív mérése és értékelése technikai és piaci változásokra való reagálás bels és küls er források megfelel egyensúlya kulcspozíciók betöltésére vonatkozó terv Em be r Al kal ek ma zá Te chn sok oló gia

• • • • •



betartásának követelményét is. A munkaszerz désekben rögzíteni kell, hogy az alkalmazott felel s az információk biztonságáért és bels ellen rzésért. 8

7.

EMBERI ER FORRÁSOK KEZELÉSE

7.1

Dolgozók felvétele és el léptetése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia és rendszeresen felül kell vizsgálnia azokat a szabályokat, amelyek garantálják, hogy a munaker felvétel és az el léptetések objektív szempontok alapján, a képzettség, a tapasztalatok és a megbízhatóság mérlegelésével történnek meg. Ezeknek a szabályoknak összhangban kell állniuk a vonatokzó általános szervezeti irányelvekkel és szabályokkal, nevezetesen a munkaer -felvételre, az orientálásra, a képzésre, az értékelésre, a díjazásra és a fegyelmezésre vonatkozó irányelvekkel. A vezetésnek gondoskodnia kell a szükséges ismereti és képzettségi szint folyamatos értékelésér l és arról, hogy a szervezet képes legyen olyan új munkaer t szerezni, amelynek képességei megfelelnek a szervezeti célok teljhesítéséhez szükséges követelményeknek.

8

N

8

8

:

7.4

Dolgozók képzése KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a dolgozók megfelel orientációt kapjanak felvételükkor és folyamatos képzésben részesüljenek képességeik, szaktudásuk és biztonsági ismereteik kívánt szint , munkájuk eredményes ellátásához szükséges gyarapítása érdekében. A dolgozók szakmai és vezetési ismereteinek fejlesztését célzó oktatási és képzési programok tartalmát rendszeres id közönként felül kell vizsgálni. 8

8

8

9

8

8

7.5

8

8

Átképzés vagy helyettesít dolgozók KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy legyen kinek helyettesítenie a kulcsfontosságú pozícióban lév dolgozókat távollétük esetében. A vezetésnek megfelel tervet kell kidolgoznia a kulcsfontosságú funkciók és pozíciót folyamatos betöltésére vonatkozóan. A kulcsfontosságú pozíciókban lév dolgozókat meg kell kérni arra, hogy vegyenek ki kell hosszúságú megszakítás nélküli szabadságot, amely id alatt a szervezetnek képesnek kell lennie arra, hogy pótolja az érintett dolgozó távollétét és megakadályozza illetve feltárja az esetleges szabálytalanságokat. :

8

8

7.2

Szükséges képzettség KONTROLL IRÁNYELV Az informatikai részleg vezetésének rendszeresen ellen riznie kell azt, hogy az egyes konkrét feladatokat ellátó dolgozók rendelkeznek a szükséges iskolai végzettséggel, szaktudással és tapasztalatokkal. A vezetésnek ösztönöznie kell a dolgozókat arra, hogy legyenek tagjai a szakmai kamaráknak, egyesületeknek.

8

8

7.3

Feladatok és felel sségi körök KONTROLL IRÁNYELV A vezetésnek világosan meg kell határoznia az alkalmazottak feladatait és felel sségét, beleértve a a vezetés által meghatározott irányelvek és szabályok valamint az etikai és szakmai kódexek :

8

62

8

8

7.6

“Személyes átvilágítás” KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy a részleg dolgozói felvételük, áthelyezésük illetve el léptetésük el tt megfelel “átvilágításon” essenek át, a pozíció bizalmi fokának függvényében. Az a dolgozó, aki a 8

8

8


szervezetbe történt felvételekor nem esett át ilyen átvilágításon, nem helyezhet bizalmi pozícióba mindaddig, amíg nem esett át a megfelel biztonsági sz résen. 8

8

7.7

9

Dolgozói teljesítmény értékelése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy olyan eljárást a dolgozók teljesítményének értékelésére, megfelel díjazási rendszerrel alátámasztva, amely segít megérteni az alkalmazottaknak azt, hogy milyen kapcsolat van saját teljesítményük és a szervezet sikere között. Az értékelést az egyes munkakörökre vonatkozóan el re meghatározott normák alapján kell elvégezni, rendszeres jelleggel. A dolgozóknak, amennyiben szükséges, megfelel támogatást illetve segítséget kell nyújtani teljesítményük javításához. 8

8

8

7.8

Munkakörök változása és megsz nése KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a munkakörök változása és megsz nése esetén szükséges intézkedések id ben történ megtételér l annak érdekében, hogy a bels ellen rzési és a biztonsági el írások ne szenvedjenek csorbát ilyen esetekben sem. A

8

9

8

8

8

8

8

63



64



Küls követelmények betartásának biztosítása O

ÁLTALÁNOS KONTROLL IRÁNYELV Tervezés és szervezés



E

M ködés és támogatás P

M

E

Felügyelet

Informatikai eljárás: küls követelmények betartásának biztosítása 8

Az eljárással szemben támasztott üzleti követelmény: jogi, jogszabályi és szerz déses kötelezettségek betartása 8

A megvalósítás módja: a küls követelmények informatikai kihatásainak feltárása és elemzése valamint az azoknak való megfelelést biztosító intézkedések meghozatala 8


8

Q

Q

65

Q

Ad ato k

• • • •

törvények, jogszabályok és szerz dések jogi és szabályozási környezet változásának figyelemmel kísérése változások és módosítások rendszeres áttekintése balesetvédelem és ergonómia személyiségi jogok szellemi tulajdon


• •



8.3

KÜLS KÖVETELMÉNYEK R

BETARTÁSÁNAK BIZTOSÍTÁSA

8.1

:

Küls követelmények áttekintése KONTROLL IRÁNYELV A szervezetnek megfelel eljárást kell kidolgoznia a küls követelmények áttekintésére valamint az ilyen tevékenységek összehangolására. Folyamatosan figyelemmel kell kísérni, hogy melyek azok a küls követelmények, amelyek a szervezetre vonatkoznak. Át kell tekinteni az informatikai eljárásokhoz és ellen rzésekhez kapcsoló jogszabályi, kormányzati és egyéb küls követelményeket. A vezetésnek azt is fel kell mérnie, hogy a küls kapcsolatok hogyan befolyásolják a szervezet általános információs igényeit, beleértve annak meghatározását is, hogy az informatikai részleg stratégiájának milyen mértékben kell igazodnia bármely küls fél követelményeihez, illetve milyen mértékben kell támogatnia azokat. :

8

8

8

8.4

8

8

8

8

A küls követelmények betartásához kapcsolódó szabályok és eljárások KONTROLL IRÁNYELV Ki kell alakítani azokat a szervezeti szabályokat, amelyek biztosítják a küls követelmények betartása érdekében szükséges korrekciós intézkedések kell id ben történ végrehajtását. Ezenkívül a követelményeknek történ folyamatos megfelelést biztosító szabályokat is be kell vezetni. Ezzel összefüggésben a vezetésnek, amennyiben szükséges, jogi tanácsadást kell kérnie.

8.5

8

8

8

Elektronikus kereskedelem KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a kereskedelmi partnerekkel hivatalos szerz dések keretében rögzítsék azt, hogy milyen kommunikációs eljárásokat használnak és milyen szabványokat alkalmaznak az adat-üzenetek biztonságára és az adattárolásra vonatkozóan. Az Interneten keresztül folyó kereskedelem kapcsán a vezetésnek olyan ellen rzési eljárásokat és mechanizmusokat kell kialakítania, amelyek a helyi jogszabályoknak és a nemzetközi vámszabályoknak egyaránt megfelelnek. 8

:

8

Személyiségi jogok, szellemi tulajdon, és adatáramlás KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a szervezet informatikai tevékenységéhez kapcsolódó személyiségi, szellemi tulajdonjogi, nemzetközi adattovábbítási és kriptográfiai szabályok és el írások betartásáról. 8

8

8.2

Balesetvédelmi és ergonómiai el írások betartása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az informatikai felhasználók és az alkalmazottak betartsák a balesetvédelmi és ergonómiai el írásokat.

8

8

66

8.6

Biztosítási szerz dések betartása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a biztosítási szerz désekben foglalt követelmények megfelel értelmezésér l és folyamatos betartásáról. :

8

8

8


TSZ9 Tervezés és szervezet Kockázatok értékelése

ÁLTALÁNOS KONTROLL IRÁNYELV Tervezés és szervezés Er e dm é Ha nyess ték ég o Biz nyság alm ass ág Ho zzá fé Sza r hetõ sé bá Me lyoss g ág gbí z ha tó s ág

Beszerzés és bevezetés M ködés és támogatás S

E M E E E M M

Felügyelet

Informatikai eljárás: kockázatok értékelése Az eljárással szemben támasztott üzleti követelmény: a vezetés döntéseinek támogatása az informatikai célkit zések teljesítése révén és reagálás az informatikai szolgáltatások ellátását fenyeget veszélyekre a komplexitás csökkentése, az objektivitás növelése és a fontos döntési tényez k meghatározása révén 9

8

8

A megvalósítás módja: az informatikai kockázatok feltárása és azok hatásainak elemzése, több szakmai területet átfogó analízis és a kockázatok csökkentését szolgáló költségtakarékos intézkedések révén Mérlegelend kérdések: :

•

Kockázat kezeléséért viselt felel sség és annak számonkérhet sége különböz fajta informatikai kockázatok (technológiai, biztonsági, üzletvitel-folytonossági, szabályozási, stb.) kockázat-tolerancia profilok meghatározása és kommunikációja ok-okozati elemzések és ’brainstorming’ megbeszélések kockázatok mennyiségi illetve min ségi mérése kockázat-becslési módszertan kockázati cselekvési terv kockázat-becslés aktualizálása 8

8

8

T

T

67

T

T

Ad ato k

• • • • • •

8


•

T



megfelel en képzett személyek vegyenek részt az értékelésben. 8

9.

KOCKÁZATOK ÉRTÉKELÉSE

9.1

Üzleti kockázatok értékelése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy szisztematikus eljárást a kockázatok felmérésére. Ennek keretében rendszeresen értékelni kell az üzleti célkit zések teljesítéséhez kapcsolódó informatikai kockázatokat és meg kell határozni, hogy a kockázatokat hogyan kell kezelni és leszorítani egy elfogadható szintre. Az eljárásnak a globális és a rendszer-specifikus kockázatok becslésére egyaránt ki kell terjednie, az új projektekre vonatkozóan és ismétl d alapon, különböz szakmai területek bevonásával. A vezetésnek gondoskodnia kell a kockázat-értékelés rendszeres felülvizsgálatáról és arról, hogy az aktualizált kockázat-elemzési információk tartalmazzák az vizsgálatok és ellenr zések, megfigyelt incidensek eredményeit.

9.3

8

8

8

9

8

8

Kockázatok feltárása KONTROLL IRÁNYELV A kockázat-elemzési stratégiának az alapvet kockázati elemek vizsgálatára és a közöttük meglév ok-okozati összefüggésre kell koncentrálnia. Az alapvet kockázati elemek közé az alábbiak tartoznak: tárgyi és immateriális eszközök, eszközérték, veszélyek, sebezhet ség, védelem, veszélyek követekezményei és valószín sége. A kockázat-elemzési eljárás során min ségi, és amennyiben szükséges mennyiségi szempontból is rangsorolni kell a kockázatokat, figyelembe véve a vezet i brainstorming megbeszélések, a stratégiai tervezés, a korábbi vizsgálatok és egyéb ellen rz értékelések információit. A kockázat-értékelésnek az üzleti-, a szabályozási-, a jogi-, a technológiai, valamint a kereskedelmi partnerekhez és az emberi er forrásokhoz kapcsolódó kockázatokra egyaránt ki kell terjednie. 8

9

8

8

8

8

8

8

8

9.2

Kockázat-becslési stratégia KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy általános kockázat-becslési stratégiát, amely meghatározza a kockázat-elemzés körét és határait, a kockázatok értékelésének módszerét, a kapcsolódó felel sségi köröket és a szükséges képességeket. A vezetésnek kell irányítania a kockázatok csökkentését célzó megoldások keresését és részt kell vennie a sebezhet ségi pontok feltárásában. A szolgáltatások biztonságát fenyeget veszélyek feltárásának irányítását biztonsági szakemberekre, míg a a kontroll eljárások kiválasztásának irányítását informatikai szakemberekre kell bízni. A kockázat-becslés megfelel min sége érdekében ki kell dolgozni egy strukturált módszert és gondoskodni kell arról, hogy

9.4

Kockázatok mérése KONTROLL IRÁNYELV A kockázat-értékelési stratégiában gondoskodni kell arról, hogy a kockázati információk elemzése alapján mennyiségi illetve min ségi szempontból mérhet ek legyenek a vizsgált területhez kapcsolódó kockázati tényez k. A szervezet kockázat-viselési szintjét is fel kell mérni. 8

8

8

8

8

8

8

8

68

9.5

Kockázati cselekvési terv KONTROLL IRÁNYELV A kockázat-értékelési stratégiának tartalmaznia kell egy kockázati cselekvési terv kidolgozására alkalmas eljárást, amelynek célja az, hogy költség-takarékos ellen rzési és biztonsági intézkedésekkel folyamatosan alacsony szinten tartsa 8


a kockázati veszélyeket. A kockázati cselekvési tervben meg kell határozni a kockázati stratégiát, a kockázatok elkerülése, csökkentése illetve elviselése vonatkozásában.

9.8

Kockázat-értékelés melletti elkötelezettség KONTROLL IRÁNYELV A vezetésnek hangsúlyoznia kell, hogy a kockázat-értékelés fontos eszköz és információ-forrás a bels ellen rzési eljárások megtervezése és végrehajtása, az informatikai stratégiai terv meghatározása valamint az értékelési és figyelési (monitoring) mechanizmusok szempontjából. 8

9.6

Kockázatviselési képesség KONTROLL IRÁNYELV A kockázat-értékelési stratégia keretében a kockázatok feltárása és mérése, a szervezeti célkit zések, a kockázat-becslési eljárásban rejl bizonytalanságok valamint a biztonsági és ellen rzési intézkedések költségeinek függvényében meg kell határozni az elfogadható kockázat szintjét. Az elfogadható kockázatot megfelel biztosítással, szerz déses felel sségbiztosítással és önbiztosítással, kell ellensúlyozni. 9

8

8

8

8

9.7

8

Védelem kiválasztása KONTROLL IRÁNYELV A megfelel és arányos kontroll- és védelmi rendszer kialakítása során prioritást kell biztosítani azoknak a kontroll eljárásoknak, amelyek a legmagasabb befektetési hozamot és gyors megoldást kínálnak. A kontroll-rendszernek emellett megfelel hangsúlyt kell fektetnie a megel z , a feltáró, a korrekciós és a helyreállítási intézkedésekre. Ezenfelül a vezetésnek tájékoztatnia kell a szervezetet a kontroll intézkedések céljáról, kezelnie kell az egymással ellentétes intézkedéseket és folyamatosan figyelemmel kell kísérnie a kontroll intézkedések eredményességének alakulását. 8

8

8

8

69

8



70


TSZ10 Tervezés és szervezet Projektek irányítása



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás U


Felügyelet

projektek irányítása Az eljárással szemben támasztott üzleti követelmény: a projekt prioritások meghatározása és a projektek megfelel költségkereten belüli végrehajtása

id ben és 8

8

A megvalósítás módja: projektek meghatározása és azok prioritási sorrendjének megállapítása a m ködési tervvel összhangban, továbbá minden egyes projektre vonatkozóan megfelel projekt-irányítási technika kidolgozása és alkalmazása 9

8

Mérlegelend kérdések: • projektek támogatása a szervezet fels vezetése részér l • program irányítás • projektirányítási képességek, szakmai felkészültség • felhasználók bevonása • feladatok lebontása, projekt ’mérföldkövek’ meghatározása és szakaszok jóváhagyása • felel sök kijelölése • a ’mérföldkövek’ és a leszállítandó termékek teljesítésének szigorú nyomkövetése • költségkeret és emberi er forrás szükséglet, bels és küls er források kiegyensúlyozása • min ségbiztosítási tervek és módszerek • programok és projektek kockázatainak értékelése • fejlesztési eredmények üzembe állítása :

8

8

8

8

8

8

8

8

71

V

V

Ad ato k

V


V


RÉSZLETES KONTROLL IRÁNYELVEK 10.5

10.

PROJEKTEK IRÁNYÍTÁSA

10.1

Projekt-irányítási keretrendszer KONTROLL IRÁNYELV A vezetésnek fel kell állítania egy általános projekt-irányítási keretrendszert, amely meghatározza a projektirányítás kiterjedési körét és határait valamint az egyes projektek esetében alkalmazandó projektirányítási módszertant. A módszertannak legalább az alábbi kérdésekre ki kell térnie: felel sségi körök kijelölése, feladatok lebontása, id és er forrás-tervek, teljesítési ’mérföldkövek’, ellen rzési pontok és jóváhagyások. 8

8

10.6

8

8

8

10.2

10.3

Felhasználó osztály részvétele a projekt kezdeményezésében KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerét úgy kell kialakítani, hogy a fejlesztési, megvalósítási és módosítási projektek kidolgozásában és jóváhagyásában az érintett felhasználó osztály vezetése is részt vegyen. A projekt-csoport tagjai és feladatai KONTROLL IRÁNYELV A szervezet projektirányítási keretrendszerében meg kell határozni, hogy milyen alapon történik az egyes projektekben részt vev alkalmazottak kijelölése és milyen hatásköreik és feladataik vannak a projekt-csoport tagjainak. 8

10.4

Projekt meghatározás KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében rendelkezni kell arról, hogy minden egyes rendszer megvalósíti projekt esetében még a projekt munkáinak megkezdése el tt írásban meg kell határozni a projekt jellegét és kiterjedési körét. 8

72

Projekt jóváhagyás KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében biztosítani kell azt, hogy minden egyes javasolt projekt esetében a kapcsolódó megvalósíthatósági tanulmányokról készített jelentések áttekintése alapján dönthessen a szervezet fels vezetése arról, hogy végrehajtásra kerül-e az érintett projekt, vagy sem. Projekt szakaszainak jóváhagyása, az eredmények elfogadása KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében rögzíteni kell azt, hogy az informatikai és a felhasználó osztály kijelölt vezet inek jóvá kell hagyniuk a projekt egyes szakaszaiban elvégzett munkákat a következ szakasz megkezdése el tt. 8

8

8

10.7

Fels szint projekt-terv KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy minden egyes jóváhagyott projekt kapcsán kidolgozásra kerüljön egy ún. fels szint projekt-terv, amely megfelel alapot biztosít a projekt ellen rzéséhez annak teljes futamideje alatt és amely rendelkezik arról, hogy a végrehajtás ütemét és a költségek alakulását milyen módon kell figyelemmel kísérni a projekt teljes futamideje alatt. A projekt-tervben meg kell határozni a projekt kiterjedési körét, céljait, a szükséges er forrásokat és a felel sségi köröket, továbbá a projekt-tervnek olyan információkat kell bizotosítania, amelyek alapján a vezetés értékelni tudja az elért el relépéseket, :

A

8

9

8

8

8

8

8


10.8

Rendszermin ség-biztosítási terv KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy minden egyes új illetve módosított rendszer bevezetése kapcsán egy ún. min ségi terv is kidolgozásra kerüljön, amelyet kés bb hozzácsatolnak a projekt kerettervhez és amelyet formálisan is jóvá kell hagynia minden érintett félnek. :

10.12

8

8

8

10.9

Min ségbiztosítási módszerek tervezése KONTROLL IRÁNYELV A min ség-biztosítási feladatokat a projekt-irányítási keretrendszer tervezési szakaszában kell meghatározni, úgy, hogy segítsék az új illetve módosított rendszerek hitelesítését és gondoskodjanak arról, hogy a bels ellen rzési és a biztonsági eljárások megfeleljenek a vonatkozó követelményeknek. :

8

8

8

10.10

Projekt-kockázatok kezelése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy kockázat-kezelési programot, amely meghatározza az egyes projektekhez kapcsolódó kockázatok kiküszöbölésének illetve minimalizálásának módszereit (vagyis azt, hogy hogyan kell feltárni és kontrollálni azokat a területeket illetve eseményeket, amelyek nem kívánatos változásokat okozhatnak).

10.11

Tesztelési terv KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében el kell írni, hogy minden egyes fejlesztési, megvalósítási és módosítási projekthez kapcsolódóan tesztelési tervet kell készíteni. 8

73

Képzési terv KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében el kell írni, hogy minden egyes fejlesztési, bevezetési és módosítási projekthez kapcsolódóan képzési tervet kell készíteni.

10.13

Utólagos értékelési terv KONTROLL IRÁNYELV A szervezet projekt-irányítási keretrendszerében el kell írni, a projektcsoport feladataként, hogy minden egyes új illetve módosított rendszer esetében ki kell dolgozni egy ún. utólagos értékelési tervet, amelynek keretében meg kell vizsgálni, hogy a projekt meghozta-e a tervezett eredményeket, vagy sem. 8



74


TSZ11 Tervezés és szervezet Min ségirányítás W



Tervezés és szervezés Beszerzés és bevezetés M ködés és támogatás X

E E

E

M

Felügyelet

Informatikai eljárás: min ségírányítás 8

Az eljárással szemben támasztott üzleti követelmény: az informatikai felhasználók igényeinek kielégítése A megvalósítás módja: olyan min ségirányítási normák és rendszerek tervezése, alkalmazása és aktualizálása, amelyek világosan meghatározzák az egyes fejlesztési szakaszokat, a leszállítandó termékeket és a felel sségi köröket 8

8

Mérlegelend kérdések: • min séghez kapcsolódó vállalati kultúra kialakítása • a min ségi tervek • min ségbiztosítási felel sség • min ségellen rzési gyakorlat • ’rendszerfejlesztési életciklus’ módszertan • programok és rendszerek tesztelése és dokumentálása • min ség-biztosítási áttekintések és jelentések • felhasználók és min ség-biztosítási dolgozók képzése és bevonása • min ség-biztosítási ismereti alapok kialakítása • ágazati normák szerinti összehasonlítás :

8

8

8

8

8

8

8

Y

Y

Y

Y

8

75

Ad ato k


8


alkalmazottak feladatköre kiterjedjen az informatikai részleg normáinak és el írásainak betartására vonatkozó általános min ségbiztosítási ellen rzésekre is.


8

11.

MIN SÉGIRÁNYÍTÁS Z

8

11.1

Általános min ségi terv KONTROLL IRÁNYELV A fels vezetésnek ki kell dolgoznia egy általános min ségi tervet a hosszú távra szóló szervezeti és informatikai tervek alapján, amelyet kés bb rendszeresen aktualizálnia kell. A tervnek támogatnia kell a folyamatos min ségirányítás fejl désének filozófiáját és választ kell adnia a mit, ki és hogyan alapkérdésekre. :

11.5

8

8

8

8

8

Min ségbiztosítási stratégia KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy olyan egységes stratágiát a min ségbiztosításra vonatkozóan, amely az általános és a projekt-specifikus min ségbiztosítási kérdésekre egyaránt kiterjed. A stratégiában meg kell határozni azt, hogy milyen min ség-biztosítási eljárás(ok) (úm. felülvizsgálat, ellen rzés, stb.) végrehajtása szükséges az általános min ségi tervben kit zött célok eléréséhez. A stratégiában a konkrét, egyedi min ség-biztosítási felülvizsgálati eljárásokat is meg kell határozni. :

8

8

8

11.6

9

8

8

Min ségbiztosítás tervezése KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy min ségbiztosítás-tervezési eljárást, amely meghatározza a min ségbiztosítási feladatok körét és végrehajtásuk ütemezését. :

8

8

Rendszerfejlesztési életciklus módszertan az alkalmazott technológia jelent s megváltoztatása esetén KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az alkalmazott technológia jelent s megváltoztatása esetén ugyanúgy a rendszerfejlesztési életciklus módszertan szerint kelljen eljárni, mint ahogy új technológia beszerzése vagy kifejlesztése esetén is. :

8

11.3

11.7

A rendszerfejlesztési életciklus módszertan aktualizálása KONTROLL IRÁNYELV A fels vezetésnek rendszeres id közönként felül kell vizsgálnia a szervezet rendszerfejlesztési életciklus módszertanát és gondoskodnia kell arról, hogy az abban foglalt el írások megfeleljenek az adott id ben általánosan elfogadott módszereknek és eljárásoknak. 8

8

11.4

Az informatikai részleg normáinak és el írásainak betartására vonatkozó min ségbiztosítási felülvizsgálat KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a min ségbiztosítási funkció ellátásában részt vev :

:

8

8

76

8

8

8

8

’Rendszerfejlesztési életciklus’ módszertan KONTROLL IRÁNYELV A szervezet fels vezetésének meg kell határoznia az információs rendszerekre vonatkozó szabványokat és ki kell alakítania egy megfelel rendszer-fejlesztési életciklus módszertant a számítógépes információs rendszerek és az ahhoz kapcsolódó technológia fejlesztésére, beszerzésére, bevezetésére és karbantartására vonatkozóan. A választott rendszerfejlesztési életciklus módszertannnak igazodnia kell a kifejlesztend , beszerzend , és karbantartandó bevezetend rendszerekhez. 8

8

11.2

8

8

8


11.8

Koordináció és kommunikáció KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy olyan eljárást, amely biztosítja az informatikai szolgáltatások felhasználói és a rendszer-gazdák közötti szoros koordinációt és információcserét. Az eljárás keretében olyan strukturált módszereket kell meghatározni, a rendszerfejlesztési életciklus módszertan alapján, amelyek az üzleti igényeknek megfelel min ségi informatikai megoldások kidolgozását teszik lehet vé. A vezetésnek olyan szervezeti struktúra kialakítására kell törekednie, amely nagy hangsúlyt helyez a szoros együttm ködésre és kommunikációra a rendszerfejlesztési életciklus egésze során. 8

kritériumai, változtatások kezelése, fejlesztés során jelentkez problémák megoldása, felhasználói szerepek, technikai berendezések, m szaki környezet, fejleszt eszközök, szoftverek, szabványok és eljárások. 8

9

11.11

Program dokumentációs szabványok KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában meg kell határozni a programok dokumentációjára vonatkozó szabványokat, amelyeket meg kell ismertetni az érintett alkalmazottakkal és be kell tartatni. A módszertannak biztosítania kell azt, hogy az információ-rendszer fejlesztési illetve módosítási projektek során elkészített dokumentációk megfeleljenek a fenti szabványoknak.

11.12

Program tesztelési szabványok KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában meg kell határozni az információs rendszer fejlesztési illetve módosítási projektek részeként kifejlesztett egyedi szoftverek és összevont programok teszt-követelményeire valamint a tesztelés ellen rzésére, dokumentációjára és fenntartására vonatkozó szabványokat.

8

8

9

11.9.

Technológiai infrastruktúra beszerzésére és karbantartására vonatkozó stratégia KONTROLL IRÁNYELV Ki kell alakítani egy általános stratégiát a technológiai infrastruktúra beszerzésére és karbantartására vonatkozóan. A technológiai infrastruktúrához kapcsolódó különböz feladatokat (mint: beszerzés, programozás, dokumentálás és tesztelés, paraméter beállítás, karbantartás, hiba javítások stb.) a technológiai infrastruktúra beszerzésére és karbantartására vonatkozó stratégia alá kell rendelni és ahhoz kell igazítani. 8

11.10

Kapcsolattartás küls szakemberekkel/fejleszt kkel KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy megfelel eljárást a küls rendszerfejleszt kkel történ jó munkakapcsolat biztosítása érdekében. Az eljárásnak gondoskodnia kell arról, hogy a felhasználók és a rendszergazda megegyezésre jussanak az alábbi kérdéseket illet en: elfogadási, átadás/átvétel :

:

8

8

8

8

8

77

8

8

11.13

Rendszer tesztelési szabványok KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában meg kell határozni az információs rendszer fejlesztési illetve módosítási projektek részeként kifejlesztett ún. totális rendszerek teszt-követelményeire valamint a tesztelés ellen rzésére, dokumentációjára és fenntartására vonatkozó szabványokat. 8


11.14

11.15

Párhuzamos futtatás/kísérleti rendszer tesztelése KONTROLL IRÁNYELV A szervezet rendszerfejlesztési életciklus módszertanában meg kell határozni, hogy milyen esetekben szükséges a régi és új rendszerek párhuzamos futtatása illetve kísérleti rendszer tesztelése.

11.18

Rendszer-tesztelés dokumentációja KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában el kell írni azt, hogy minden információs rendszer fejlesztési, megvalósítási illetve módosítási projekt során meg kell rizni az elvégzett tesztek dokumentált eredményeit.

11.19

8

8

11.16

Fejlesztési szabványok betartását ellen rz min ségbiztosítási értékelés KONTROLL IRÁNYELV A szervezet min ségbiztosítási stratégiájában el kell írni, hogy a rendszerek esetében a m köd bevezetést követ en meg kell vizsgálni, hogy a projekt fejleszt csoportja betartotta a rendszerfejlesztési módszertanban el írt rendelkezéseket. :

:

:

8

8

9

8

8

8

8

11.17

Az informatika részleg által kit zött célok teljesítésére vonatkozó min ségbiztosítási ellen rzés KONTROLL IRÁNYELV A min ségbiztosítási stratégia keretében ellen rizni kell azt, hogy az egyes rendszer- és alkalmazási rendszer-fejlesztési tevékenységek milyen mértékben járultak hozzá az információ-szolgáltatási funkció teljesítéséhez. A

:

:

8

8

78

Min ség mérése KONTROLL IRÁNYELV A vezetésnek meg kell határoznia, hogy milyen módon, milyen mér számokkal, mennyiségekkel kívánja mérni a tevékenységek eredményét, amely által értékelni tudja, hogy sikerült-e teljesíteni a min ségi célokat. :

8

8

Jelentéskészítés a min ségbiztosítási ellen rzésekr l KONTROLL IRÁNYELV Az elvégzett min ségbiztosítási ellen rzésekr l jelentéseket kell készíteni, amelyekr l tájékozttani kell a felhasználói osztályokat és az informatikai részleget. :

:

:

8

8

8

8


B ESZERZÉS ÉS BEVEZETÉS

79


BB1 Beszerzés és bevezetés

Automatizált megoldások meghatározása




Beszerzés és bevezetés M ködés és támogatás \


Felügyelet

automatizált megoldások meghatározása Az eljárással szemben támasztott üzleti követelmény: olyan módszer kialakítása, amely révén hatékonyan és eredményesen kielégíthet ek az informatikai felhasználók igényei 8

A megvalósítás módja: az alternatív lehet ségek objektív és egyértelm felhasználói igények alapján 8

azonosítása és elemzése a

9


• • •

8

8

8

8

[

80

[

[

Ad ato k

•

a piacon beszerezhet megoldások ismerete beszerzési és bevezetési/megvalósítási módszerek felhasználók részvétele a döntésekben és a vásárlásokban igazodás a szervezeti és informatikai stratégiához információs követelmények meghatározása megvalósíthatósági tanulmányok (költségek, el nyök, alternatívák, stb.) funkcionális, üzemeltetési, elfogadhatósági és fenntarthatósági követelmények összhang a szervezet információ-architektúrájával költségtakarékos biztonsági és ellen rzési mechanizmusok a szállítók, beszállítók felel ssége Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • •



szoftvereket kész formában célszer megvásárolni, házon belül célszer kifejleszteni, szerz déses formában elkészíttetni vagy a célszer meglév rendszereket célszer továbbfejleszteni, illetve ezek bármelyikét kombinálva érdemes-e eljárni. 9

9

1.

AUTOMATIZÁLT MEGOLDÁSOK

8

MEGHATÁROZÁSA

9

8

1.1

Információs követelmények meghatározása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési életciklus módszertanában el kell írni, hogy a meglév rendszerek által kielégített illetve a javasolt új és módosított rendszerek (szoftver, adatok és infrastruktúra) által kielégítend üzleti követelményeket világosan meg kell határozni a fejlesztési, megvalósítási illetve módosítási projektek jóváhagyása el tt. A rendszerfejlesztési módszertanban el kell írni azt is, hogy meg kell határozni az informatikai megoldásokra vonatkozó funkcionális és üzemeltetési követelményeket, beleértve a teljesítménnyel, a munkavédelemmel .a megbízhatósággal, a kompatibilitással, a biztonsággal és a jogszabályokkal kapcsolatos követelményeket. 8

1.4

8

8

1.3

Beszerzési stratégia kidolgozása KONTROLL IRÁNYELV Az információs rendszerek beszerzését, fejlesztését és fenntartását a szervezet rövid- és hosszú távú informatikai terveiben rögzített irányelveknek megfelel en kell megvalósítani. A szervezet rendszerfejlesztési módszertanának keretében ki kell dolgozni egy szoftver beszerzési stratégiai tervet, amelyben meg kell határozni, hogy a 8

81

:

8

8

Alternatív megoldások kidolgozása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési életciklus módszertanának keretében elemezni kell azokat az alternatív megoldásokat, amelyek megfelelnek a javasolt új illetve módosított rendszerekkel szemben támasztott követelményeknek.

Küls szolgáltatókra vonatkozó követelmények KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában el kell írni, hogy küls szolgáltatók igénybevétele esetén az ajánlattételi felhívások (tender, beszerzési eljárások) kapcsán hogyan kell a rendszerre vonatkozó követelményeket kiértékelni és az ajánlattételi felhívásnak mit kell tartalmaznia, mi a specifikációja (formailag és tartalmilag). 8

8

1.2

9

1.5

Technológiai megvalósíthatósági tanulmány KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszertanában rendelkezni kell arról, hogy hogyan kell megvizsgálni az új illetve módosítandó információs rendszerek kifejlesztésére vonatkozóan meghatározott üzleti követelményeknek megfelel minden egyes alternatív megoldás technológiai megvalósíthatóságát. 8

1.6

Gazdasági megvalósíthatósági tanulmány KONTROLL IRÁNYELV A szervezet rendszerfejlesztési módszrtanában rendelkezni kell arról, hogy minden egyes javasolt információs rendszer fejlesztési, megvalósítási és módosítási projekt kapcsán elemezni kell az el re meghatározott üzleti követelményeknek megfelel alternatív megoldások költségeit és el nyeit. 8

8

8


1.7

1.8

Információ-architektúra KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az informatikai megoldások kidolgozásakor és megvalósíthatóságuk elemzésekor figyelembe vegyék a vállalati / szervezeti adatmodellt. Kockázat-elemzési jelentés KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában rendelkezni kell arról, hogy minden egyes javasolt információs rendszer fejlesztési, megvalósítási és módosítási projekt kapcsán elemezni és dokumentálni kell a biztonsági fenyegetettséget, a potenciális sebezhet ségi pontokat és azok kihatásait, valamint azt, hogy milyen ésszer en megvalósítható biztonsági és bels ellen rzési intézkedések alkalmazhatóak a feltárt kockázatok csökkentése és kiküszöbölése céljából. A fentieket az általános kockázat-értékelési stratégiával összhangban kell végrehajtani.

aktiválási, visszaállási és újrakezdési folyamatokat. 1.10

Ellen rzési napló kialakítása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy olyan mechanizmusokat kell kialakítani, amelyek biztosítják a szükséges ellen rzési naplók elérhet ségét illetve kialakíthatóságát az alkalmazott és kiválasztatott megoldásokra vonatkozóan. A fenti mechanizmusok keretében gondoskodni kell a bizalmas, titkos adatok (például felhasználói azonosítókódok) védelmér l is, nevezetesen azok nyilvánosságra kerülésének és jogtalan felhasználásának megakadályozásáról. :

8

8

8

8

8

9

8

1.9

8

Költséghatékony biztonsági eljárások KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a biztonsági intézkedések költségeinek és el nyeinek pénzügyi és nempénzügyi oldalról történ alapos felülvizsgálatáról annak érdekében, hogy az ellen rzés költségei ne haladják meg az el nyöket. A döntéshez a vezetés hivatalos jóváhagyása szükséges. Az összes biztonsági követelményt meg kell határozni és meg kell indokolni a projekt követelmény-elemzési szakaszában, majd egyeztetni és dokumentálni kell az információs rendszer egészére vonatkozó üzleti tanulmányban. Meg kell határozni a folyamatos üzemvitelhez kapcsolódó biztonsági követelményeket is annak érdekében, hogy a javasolt megoldás támogassa a tervezett

1.11

Ergonómia KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az informatikai részlegnél végrehajtott információs rendszer fejlesztési, megvalósítási és módosítási projektek során figyelembe vegyék az automatizált megoldások bevezetéséhez kapcsolódó ergonómiai kérdéseket.

1.12

Rendszer-szoftver kiválasztása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az informatikai részleg egységes eljárás alapján határozza meg azt, hogy melyek azok a lehetséges rendszer-szoftverek, amelyek megfelelnek az üzemeltetési követelményeknek.

1.13

Beszerzés szabályozása KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy központi beszerzési eljárási formát, amely meghatározza az informatikai hardverek-, szoftverek és szolgáltatások beszerzésére vonatkozó szabályokat és el írásokat. A megvásárolt termékeket meg kell vizsgálni és le kell tesztelni

8

8

8

8

82

8


üzembeállításuk kifizetése el tt.

és

vételáruk

hardverés alkatrész-tesztelés, eljárás-tesztelés, terhelés és kapacitás tesztelése, hangolás és teljesítmény tesztelése, regresszió tesztelése, elfogadhatóság tesztelése felhasználói szempontból, valamint a teljes rendszer kísérleti tesztelése a váratlan rendszer-hibák elkerülése érdekében.

8

1.14

Szoftverek beszerzése KONTROLL IRÁNYELV A szoftverek beszerzésekor a szervezet által meghatározott beszerzési szabályok szerint kell eljárni.

1.15

Küls fél által végzett szoftverkarbantartás KONTROLL IRÁNYELV A vezetésnek meg kell követelnie, hogy ha olyan szoftver beszerzésére kerül sor, amelyhez szoftver licensz jogok tartoznak, akkor az eladó félnek kell gondoskodnia a szoftverhez tartozó szerz i illetve licensz jogok megfelel kezelésér l, védelmér l és fenntartásáról. Célszer lehet külön karbantartási megállapodást kötni a leszállított termékekre vonatkozóan. :

1.17

8

8

8

8

8

8

9

1.16

Alkalmazási programok készítésére adott megbízás KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy program-készítésre vonatkozó szerz déseket az informatikai részlegnél erre kijelölt személynek írásban kell megindokolnia. A megbízási szerz désben ki kell kötni, hogy a megrendelt szoftverek, dokumentációk és egyéb termékek csak a megfelel el zetes vizsgálatot és tesztelést követ en kerülnek átvételre. Ezenkívül el kell írni azt is, hogy a program-készítésre vonatkozó szerz dés alapján elkészült végtermékeket az informatikai részleg min ségbiztosítási csoportjának és az érintett feleknek (úm. felhasználóknak, projekt menedzsereknek, stb.) is tesztelniük kell a vonatkozó szabványok szerint a munka kifizetése és a végtermék jóváhagyása el tt. A szerz désben az alábbi tesztek elvégzését kell rögzíteni: rendszertesztelés, integrációs tesztelés, 8

8

8

8

8

8

8

8

8

8

8

83

Eszközök átvétele KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a szállítóval megkötött szerz dés tartalmazzon egy ún. átvételi tervet is, amely meghatározza az eszközök átvételének módját és szempontjait. Ezenkívül ellen rzini kell azt is, hogy az eszközök elhelyezése és környezete megfelel-e a szerz dés-ben rögzített követelményeknek. 8

1.18

Technológia átvétele KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a szállítóval megkötött szerz dés tartalmazzon egy ún. technológia átvételi tervet, amely meghatározza a technológia átvételének módját és szempontjait. Ezenkívül ellen rzini kell azt is, hogy az eszközök elhelyezése és környezete megfelel-e a szerz désben rögzített követelményeknek. Ezenkívül a fenti tervben rendelkezett átvételi ellen rzések keretében funkcionalitási teszteket és terheléses próbát is el kell végezni. 8

8

8

8



Alkalmazási szoftverek beszerzése és karbantartása




E E

M


M M

M ködés és támogatás ^

Felügyelet

Informatikai eljárás: alkalmazási szoftverek beszerzése és karbantartása Az eljárással szemben támasztott üzleti követelmény: az üzleti folyamatokat eredményesen támogató automatizált funkciók biztosítása A megvalósítás módja: funkcionális és üzemeltetési követelmények pontos meghatározása és szakaszokra bontott megvalósítás pontosan meghatározott végtermékekkel. Mérlegelend kérdések: • funkcionális tesztelés és elfogadás/átvétel • alkalmazási rendszerekbe épített ellen rzések és biztonsági követelmények • dokumentációval szemben támasztott követelmények • alkalmazási szoftver életciklusa • vállalati szint információ-architektúra • ’rendszerfejlesztési életciklus’ módszertan • ember-gép kapcsolat, felhasználói interfész • alkalmazási rendszer-csomagok beállítása a felhasználói igényeknek megfelel en :

8

9

8

84

Ad ato k


]



szabályoknak rendelkezniük kell az adatszótárra vonatkozó el írások betartásáról. 8

2.

ALKALMAZÁSI SZOFTVEREK BESZERZÉSE ÉS KARBANTARTÁSA

2.1

2.5

Tervezési módszerek KONTROLL IRÁNYELV A szervezet rendszerfejlesztési életciklus módszertanában el kell írni, hogy megfelel eljárásokat és módszereket kell alkalmazni, a rendszer-felhasználók bevonásával, az egyes új információs rendszer fejlesztési projektek tervezési specifikációjának kidolgozásakor és a felhasználói igényekre vonatkozó tervezési specifikációk ellen rzésekor.

8

8

8

8

2.2

A meglév rendszerek jelent sebb módosítása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a meglév rendszerek jelent sebb módosítása esetén is az új rendszerek kifejlesztésére vonatkozó fejlesztési el írások szerint kelljen eljárni. :

Program specifikáció KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy részletes írott program-specifikációt kell készíteni minden egyes információs rendszer fejlesztési és módosítási projektre vonatkozóan. A módszertan keretében biztosítani kell azt, hogy a programspecifikációk összhangban legyenek a rendszertervezési specifikációkkal.

2.6

:

Forrás-adatok összegy jtése KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy minden egyes információs rendszer fejlesztési és módosítási projektre vonatkozóan ki kell dolgozni az adatok összegy jtésére és bevitelére vonatkozó megfelel mechanizmusokat. A

8

8

9

8

8

8

2.3

2.7

Tervezés jóváhagyása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy az információs rendszer fejlesztési és módosítási projektek tervezési specifikációját át kell tekintenie és jóvá kell hagynia a vezetésnek, az érintett felhasználói osztályoknak és a szervezet fels vezetésének is, amennyiben ez szükséges. 8

8

8

8

2.4

Az adatállományokra vonatkozó követelmények meghatározása és dokumentálása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy az információs rendszer fejlesztési és módosítási projektek adatállomány formátumának meghatározásakor és dokumentálásakor az erre vonatkozó szabályok szerint kell eljárni. A fenti 8

85

Inputokra vonatkozó követelmények meghatározása és dokumentálása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy mechanizmusokat kell megfelel kialakítani az információs rendszer fejlesztési és módosítási projektekhez kapcsolódó inputkövetelmények meghatározására és dokumentálására vonatkozóan.

2.8

Kapcsolódási pontok (interfész) meghatározása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy minden küls és bels kapcsolódási pontot (interfészt) megfelel en meg kell határozni, meg kell tervezni és dokumentálni kell. 8

8

8

8


2.9

Felhasználó és számítógép közötti kapcsolat (interfész) KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy olyan kapcsolódási pontokat (interfészt) kell kialakítani a felhasználó és a számítógép között, amelyek könnyen kezelhet ek és magyarázzák önmagukat (on-line segít funkció révén).

alkalmazási rendszer szint ellen rzési eljárások is beépítésre kerüljenek, amelyek garantálják a bemenetek, az adatfeldolgozás és a kimenetek pontosságát, teljességét, id szer ségét és jogosságát. A rendszer-fejlesztés illetve módosítás kezdeti szakaszában rendszerbiztonsági elemzést kell végezni. A fejlesztés illetve módosítás alatt álló rendszerek alapvet biztonsági és bels ellen rzési aspektusait a rendszer konceptuális szint megtervezésével egyid ben kell meghatározni annak érdekében, hogy a biztonsági szempontokat a tervezés lehet legkorábbi szakaszában be lehessen építeni. 9

8

8

8

8

8

9

8

8

2.10

Adatfeldolgozási követelmények meghatározása és dokumentálása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy megfelel mechanizmusokat kell kialakítani az információs rendszer fejlesztési és módosítási projektekhez kapcsolódó adatfeldolgozási követelmények meghatározására és dokumentálására vonatkozóan.

9

8

8

8

8

2.11

Outputokra vonatkozó követelmények meghatározása és dokumentálása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy megfelel mechanizmusokat kell kialakítani az információs rendszer fejlesztési és módosítási projektekhez kapcsolódó outputkövetelmények meghatározására és dokumentálására vonatkozóan.

2.13

:

:

8

8

8

8

86

:

8

8

8

Kontrollálhatóság, ellen rizhet ség KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy ki kell alakítani olyan mechanizmusokat, amelyek minden egyes információs rendszer fejlesztési és módosítási projekt kapcsán garantálják a megfelel bels ellen rzési és biztonsági követelmények meghatározását. A metodikában emellett gondoskodni kell arról, hogy az információs rendszerek tervezése során olyan

Rendelkezésre állás/elérhet ség, mint kulcsfontosságú tervezési szempont KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy a rendelkezésre állás/elérhet ség szempontját az új illetve módosított információ srendszerek tervezésének lehet legkorábbi szakaszában figyelembe kell venni. Elemezni kell a rendelkezésre állást, és amennyiben szükséges, a karbantarthatóság és a megbízhatóság növelésével javítani kell annak szintjét. 8

8

2.12

8

2.14

Az adatok sértetlenségét biztosító funkciók a felhasználói programszoftverekben KONTROLL IRÁNYELV A szervezetnek ki kell alakítania azokat a megfelel eljárásokat, amelyek biztosítják, ahol szükséges, hogy az alkalmazási programok olyan funkciókat is tartalmazzanak, amelyek rutinszer en ellen rzik a szoftver által elvégzett feladatokat, segítve ezzel az adatok sértetlenségének meg rzését, és amelyek gondoskodnak az adatok épségének helyreállításáról a tranzakciók visszagörgetése illetve más eszközök révén. 8

9

8

8


2.15

Alkalmazási rendszerek szoftvereinek tesztelése KONTROLL IRÁNYELV A szoftverek felhasználói jóváhagyása el tt az alábbi teszteket kell elvégezni a projekt- tesztelési tervben foglaltakkal és a tesztelési szabványokkal összhangban: programegység/elem tesztelés, alkalmazási rendszer tesztelése, integrációs teszt (az elemek összehangoltságának tesztelése), rendszer tesztelés, valamint kapacitás- és terhelés tesztelés. Megfelel intézkedéseket kell hozni annak érdekében, hogy a tesztelés során használt bizalmas információk ne kerüljenek nyilvánosságra. 8

8

2.16

Felhasználókat segít kézikönyvek és egyéb anyagok KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni azt, hogy megfelel felhasználói útmutató kézikönyveket kell készíteni (lehet leg elektronikus formában) minden információs rendszer fejlesztési illetve módosítási projekt esetében. :

8

8

8

2.17

A rendszertervezés felülvizsgálata KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában gondoskodni kell arról, hogy a rendszertervezést minden olyan esetben át kell vizsgálni amikor jelent s technikai és/vagy logikai eltérések jelennek meg (az elfogadott rendszertervhez képest) a rendszerfejlesztés illetve karbantartás során. 8

87



Technológiai infrastruktúra beszerzése és karbantartása




Beszerzés és bevezetés M ködés és támogatás `

E E

M

Felügyelet

Informatikai eljárás: technológiai infrastruktúra beszerzése és karbantartása Az eljárással szemben támasztott üzleti követelmény: az üzleti alkalmazási rendszerekhez szükséges megfelel platformok (hardver és szoftver környezet) biztosítása 8

A megvalósítás módja: hardver és szoftver beszerzés gondos el készítése, az alkalmazott szoftverek szabványosítása, hardverek és szoftverek teljesítményének mérése és egységes rendszer-adminisztráció. 8

Mérlegelend kérdések: • technológiai infrastruktúrára vonatkozó irányelvek és normák betartása • technológia értékelése • üzembehelyezés, karbantartás és a változás-kezelés kontrollja • rendszer-frissítési, áttérési és migrációs tervek • bels és küls infrastruktúra illetve er források alkalmazása • szállítói felel sség és szállítói kapcsolatok • változás-kezelés • tulajdonlással járó teljes költség • rendszer-szoftverek biztonsága 8

8

8

88

Ad ato k

_


8

:



rendszer-szoftvereket. Egy a felhasználóktól és a fejleszt kt l független csoportnak ellen riznie kell a programok és adatok könyvtárak közötti mozgását. 8

3.

TECHNOLÓGIAI INFRASTRUKTÚRA BESZERZÉSE ÉS KARBANTARTÁSA

3.1

Új hardverek és szoftverek értékelése KONTROLL IRÁNYELV A hardverek és szoftverek kiválasztásának kritériumait az új illetve módosított rendszerekre vonatkozó funkcionális specifikációk alapján kell kijelölni és ennek keretében meg kell határozni a kötelez és az opcionális jelleg követelményeket. Megfelel eljárásokat kell kialakítani annak értékelésére, hogy az új hardverek és szoftverek hogyan befolyásolják a rendszer egészének m ködését. 8

9

8

3.5

Preventív hardver-karbantartás KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dolgoznia egy hardverkarbantartási ütemtervet a meghibásodások gyakoriságának és hatásának csökkentése érdekében.

Rendszer-szoftverek karbantartása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a rendszerszoftverek karbantartása a technológiai infrastruktúra beszerzésére és karbantartására vonatkozó el írásoknak megfelel en történjen meg. 8

8

8

3.6

Rendszer-szoftverek megváltoztatásának kontrollálása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a rendszer-szoftverek módosításainak ellen rzése a szervezet változáskezelési szabályainak megfelel en történjen. 8

9

3.2

8

8

3.7

Rendszer-segédprogramok használata és figyelése KONTROLL IRÁNYELV irányelveket és Megfelelel technikákat kell kialakítani a rendszer-segédprogramok használatára, figyelésére és használatának értékelésére vonatkozóan. A fejlesztés során világosan meg kell határozni az érzékeny szoftverutility programok használatához és kapcsolódó felel sséget nyilvántartást kell vezetni az ilyen programok használatáról. 8

3.3

Rendszer-szoftverek biztonsága KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy az installálásra kerül rendszerszoftverek beállítása ne veszélyeztesse a rendszerben tárolt adatok és programok biztonságát. Figyelmet kell fordítani a rendszer-szoftverek paramétereinek megfelel beállítására és aktualizálására. 8

8

3.4

8

8

Rendszer-szoftverek installációja KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a rendszerszoftverek installációjára a technológiai infrastruktúra beszerzésére és karbantartására vonatkozó el írásoknak megfelel en kerüljön sor. Az “éles” üzemui bevezetés engedélyezése el tt tesztelni kell a 8

8

8

8

89

8



Informatikai eljárások kifejlesztése és karbantartása




Beszerzés és bevezetés M ködés és támogatás b

E E

M

M M

Felügyelet

Informatikai eljárás: informatikai területtel összefügg eljárások kifejlesztése és karbantartása 8

Az eljárással szemben támasztott üzleti követelmény: a (informatikai) alkalmazási rendszerek és az alkalmazott technológiai megoldások megfelel használatának biztosítása 8

A megvalósítás módja: a felhasználói és üzemeltetési kézikönyvek, a szolgáltatási követelmények és az oktatási anyagok kidolgozásának strukturált megközelítése és kezelése Mérlegelend kérdések: • üzleti folyamatok átszervezése/átalakítása • szervezeti eljárások más technológiai termékekkel azonos kezelése • fejlesztések megfelel id ben történ végrehajtása • felhasználói eljárások és ellen rzések • üzemeltetési eljárások és ellen rzések • oktatási anyagok • változás-kezelés :

8

8

8

8

8

90

a

a

Ad ato k

a


a



INFORMATIKAI TERÜLETTEL ÖSSZEFÜGG ELJÁRÁSOK KIFEJLESZTÉSE ÉS KARBANTARTÁSA c

4.1

Üzemeltetési követelmények és szolgáltatási szintek KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában gondoskodni kell arról, hogy megfelel id ben meghatározásra kerüljenek a üzemeltetési követelmények és szolgáltatási szintek. d

4.2

d

Felhasználói kézikönyvek KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy minden egyes információs rendszer fejlesztési, megvalósítási illetve módosítási projekt kapcsán megfelel felhasználói kézikönyveket kell készíteni illetve aktualizálni kell a meglév kézikönyveket. d

d

d

4.3

Üzemeltetési leírás KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy minden egyes információs rendszer fejlesztési, megvalósítási illetve módosítási projekt kapcsán megfelel üzemeltetési leírást kell készíteni illetve aktualizálni kell a meglév leírásokat. d

d

d

4.4

Oktatási anyagok KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy minden egyes információs rendszer fejlesztési, megvalósítási illetve módosítási projekt kapcsán megfelel oktatási anyagokat kell kidolgozni. Az oktatási anyagokban els sorban a rendszer mindennapi használatát kell ismertetni. d

d

d

91



Rendszerek installálása és jóváhagyása




Beszerzés és bevezetés M ködés és támogatás f

E

M M

Felügyelet

Informatikai eljárás: rendszerek installálása (üzembe helyezése) és jóváhagyása Az eljárással szemben támasztott üzleti követelmény: az alkalmazott informatikai megoldás kívánt céloknak való megfelel ségének ellen rzése és meger sítése d

d

A megvalósítás módja: jól kidolgozott üzembe helyezési (installációs), migrációs, áttérési és átvételi tervek végrehajtása Mérlegelend kérdések: • felhasználók és informatikai dolgozók képzése • adatátalakítás (konverzió) • valós környezetet tükröz teszt-környezet • jóváhagyás (akkreditáció) • bevezetést követ ellen rzések és visszacsatolás • végfelhasználók bevonása a tesztelésbe • folyamatos min ség-javítási tervek • folyamatos üzemelés követelményei • kapacitás és átereszt képesség mérése • egyeztetett átvételi kritériumok e

d

d

d

d

d

g

92

g

g

Ad ato k

g


d

g



emelni az új rendszerbe az erre vonatkozóan el re kidolgozott tervek szerint. d

5.

5.1

RENDSZEREK INSTALLÁLÁSA (ÜZEMBEHELYEZÉSE) ÉS JÓVÁHAGYÁSA

5.5

Képzés KONTROLL IRÁNYELV Az érintett felhasználói osztályok dolgozói és az informatikai részleg üzemeltetési csoportja számára minden egyes információs rendszer fejlesztési, megvalósítási illetve módosítási projekt kapcsán a kidolgozott oktatási tervben foglaltaknak megfelel képzést kell biztosítani.

Adatátalakítás (konverzió) KONTROLL IRÁNYELV A vezetésnek el kell írnia olyan adat-átalakítási terv elkészítését, amely meghatározza az átalakítandó adatok összegy jtésének és ellen rzésének módszereit és emellett feltárja és megoldja az átalakítás során talált hibákat. Ennek részeként az alábbi ellen rzéseket kell elvégezni: eredeti és átalakított adatállományok összehasonlítása, átalakított adatok kompatibilitásának ellen rzése az új rendszerben, törzsadatállományok ellen rzése az átalakítást követ en a törzsadatok pontosságának valamint annak biztosítása érdekében, hogy a törzsadatokat befolyásoló tranzakciók az új és a régi törzsadatfájlokat egyaránt aktualizálják az átalakítás megkezdése és a végleges megvalósítás közötti id szakban. A sikeres végrehajtás meger sítéseként részeltesen ellen rizni kell az új rendszer kezdeti m ködését. A vezetésnek el kell írnia, hogy az adatátalakítás sikerességéért a rendszer-gazdák felel sek. d

h

d

d

d

d

5.2

Felhasználói szoftverek teljesítményének optimalizálása KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájának részeként ki kell alakítani egy megfelel eljárást a felhasználói szoftverek teljesítményének méretezésére (optimalizálására) az új és jelent s mértékben módosított, megváltoztatott szoftverek üzemeltetéséhez szükséges er források el rejelzése érdekében.

d

d

d

d

d

d

d

d

h

d

d

5.3

Megvalósítási terv KONTROLL IRÁNYELV Az elért el rehaladás mérésére szolgáló, az érintett felek által jóváhagyott megvalósítási tervet kell kidolgozni. A végrehajtási tervnek az alábbi kérdésekre kell kitérnie: helyszín el készítése, eszközök beszerzése és telepítése, felhasználók képzése, operációs rendszer módosításainak telepítése, üzemelési eljárások bevezetése és áttérés. d

d

5.6

Tesztelési stratégiák és tervek KONTROLL IRÁNYELV A rendszer-gazdának és az informatikai részleg vezetésének tesztelési stratégiákat és terveket kell készíteniük.

5.7

Változtatások tesztelése KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a változtatásokat a valós környezetben történ üzembeállítás el tt külön környezetben tesztelje egy a (rendszer-épít kt l) független tesztelési csoport a hatás- és kapacitás-elemzésnek megfelel en. A üzembehelyezett rendszer visszavonására (back-out) is terveket

d

5.3

Új rendszerre történ átállás KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy a régi rendszer szükséges elemeit minden egyes információs rendszer fejlesztési, megvalósítási illetve módosítási projekt esetében át kell e

d

93

d

d

d

d

d


kell kidolgozni. Az átvételi tesztelést a jöv beni m ködési környezethez hasonló környezetben kell végrehajtani (úm. hasonló biztonsági intézkedések, bels ellen rzési eljárások, munkaterhelés, stb. mellett). d

szétválasztásához, a munkafelügyelethez és az ellen rzéshez kapcsolódó szempontokat is.

h

d

d

d

5.11

M ködés, üzemeltetés tesztelése KONTROLL IRÁNYELV A vezetésnek el kell írnia, hogy a rendszer üzembe helyezése el tt a felhasználónak illetve a kijelölt rendszer-üzemeltet nek (a felhasználó nevében a rendszer üzemeltetésével megbízott félnek) ellen riznie kell a rendszer, mint egész m ködését, az alkalmazási környezethez hasonló feltételek mellett és olyan formában, ahogy a rendszer a valós környezetben is üzemelni fog. i

d

d

5.8

Párhuzamos/kísérleti tesztelés kritériumai és végrehajtása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a párhuzamos illetve kísérleti tesztelés az erre vonatkozóan el re kidolgozott tervek szerint történjen, továbbá, hogy a tesztelési eljárás befejezésének kritériumai el re meg legyenek határozva.

d

d

d

h

d

d

5.9

Végleges elfogadás/átvétel KONTROLL IRÁNYELV Az új illetve módosított információs rendszerek végleges elfogadási/ átvételi illetve min ségbiztosítási tesztelési eljárásának részeként a tesztelési eredményeket formálisan is jóvá kell hagynia az érintett felhasználói osztály(ok) és az informatikai részleg vezetésének. A tesztelési eljárásnak az információs rendszer minden elemére (úm. az alkalmazási rendszer programjaira, az eszközökre, a technológiára, a felhasználói eljárásokra) ki kell terjednie.

5.12

d

5.10

Biztonsági tesztelés és jóváhagyás KONTROLL IRÁNYELV A vezetésnek el kell írnia, hogy az üzemeltetési részleg és a felhasználói osztályok vezet inek formálisan is el kell fogadniuk a teszt-eredményeket és a rendszerek biztonsági szintjét, az elfogadott kockázati szinttel együtt. Ennek keretében rögzíteni kell a végfelhasználói, a rendszerfejlesztési, a hálózat-kezelési és a rendszer-üzemeltetési dolgozók feladatait és felel sségeit, figyelembe véve a feladatkörök

Üzemi átadás KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia és végre kell hajtania azokat a formális eljárásokat, amelyek szabályozzák a rendszer átadását a rendszerfejlesztést l kezdve a tesztelésen keresztül az üzembehelyezésig. A vezetésnek el kell írnia, hogy az új rendszer csak a rendszer tulajdonosának engedélyével helyezhet üzembe, továbbá azt, hogy a régi rendszer csak azt követ en állítható le, ha az új rendszer bizonyította, hogy a napi, havi, és negyedéves üzemi ciklusokat sikeresen el tudja végezni. Az egyes környezeteket (fejlesztési, tesztelési, üzemeltetési) külön kell választani és gondoskodni kell azok korrekt védelmér l. d

d

d

d

d

d

d

d

94

5.13

Felhasználói igényeknek való megfelelés értékelése KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy a megvalósítást követ en az információs rendszerre vonatkozó üzemeltetési-követelmények (úm. kapacitás, átereszt képesség, stb.) megvizsgálása alapján értékelni kell, hogy a rendszer megfelel-e a felhasználói igényeknek, vagy sem. d

d

d


5.14

Utólagos vezet i ellen rzés KONTROLL IRÁNYELV A szervezet rendszerfejlesztési metodikájában el kell írni, hogy a megvalósítást követ en meg kell vizsgálni és jelentést kell készíteni arról, hogy a bevezetett információs rendszer meghozta-e a tervezett eredményeket, a lehet legalacsonyabb költségszint mellett. e

e

d

d

d

95



96


BB6 Beszerzés és bevezetés Változások kezelése




Beszerzés és bevezetés M ködés és támogatás k

E E

E E

M

Felügyelet

Informatikai eljárás: változások kezelés Az eljárással szemben támasztott üzleti követelmény: a üzemzavarok, engedély nélküli módosítások és hibák valószín ségének minimalizálása h

A megvalósítás módja: a meglév informatikai infrastruktúra megváltoztatására irányuló kérések elemzésére, megvalósítására és az azokhoz kapcsolódó utólagos teend kre kiterjed irányítási rendszer d

d

d

Mérlegelend kérdések: • a változtatások azonosítása, pontosítása • kategorizálás, rangsorolás, vészhelyzet forgatókönyvek • hatás-elemzés • változtatás engedélyezése • szoftverek kibocsátásának, szabályozása • szoftverek kiosztása, terítése • automatozált eszközök használata • konfigurációkezelés • üzleti folyamatok újraszervezése e

97

j

j

Ad ato k

j


j

j



6.

VÁLTOZÁSOK KEZELÉSE

6.1

Változtatás kérésének kezdeményezése és szabályozása KONTROLL IRÁNYELV A vezetésnek el kell írnia, hogy a változtatásokra, a rendszer-karbantartásokra és a szállítói (által végzend ) karbantartásokra vonatkozó kéréseket egységes formában kell benyújtani és a változás-kezelésre vonatkozó formális szabályoknak, hivatalos eljárásoknak megfelel en kell kezelni. A változtatási kéréseket kategorizálni kell majd meg kell határozni prioritási fokukat. A sürg s esetekre vonatkozóan külön szabályozást kell kidolgozni. A változtatások kérelmez it tájékoztatni kell kérelmük státuszáról. d

d

d

6.4

d

Hatás-elemzés KONTROLL IRÁNYELV Ki kell alakítani egy olyan eljárást, amely gondoskodik a változtatási kérelmek strukturált módon történ értékelésér l és figyelembe veszi az üzemben lév rendszert és annak összes funkcionalitását érint lehetséges következményt.

Dokumentáció és eljárások KONTROLL IRÁNYELV A változtatási eljárásra vonatkozó szabályokban el kell írni, hogy amennyiben végrehajtásra kerül valamilyen rendszer-változtatás, az ahhoz kapcsolódó dokumentációt és eljárásokat is aktualizálni kell. d

d

6.2

h

d

d

d

Vészhelyzet változtatások KONTROLL IRÁNYELV Az informatika vezetésnek meg kell határoznia az ún. vészhelyzet változtatások paramétereit és az ilyen változtatások szabályozásának menetét, amennyiben azok kivül esnek a bevezetés el tti m szaki, üzemelési és vezet i értékelés normál eljárásán. A vészhelyzet változtatásokat nyilván kell tartani és el zetesen jóvá kell hagynia az informatikai vezetésnek.

6.5

d

Engedélyezett karbantartás KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a karbantartó személyzet által elvégzend munkák kijelölésér l és megfelel felügyeletér l. Ezenfelül szabályozni kell hozzáférési jogaikat is az automatizált rendszerekhez történ jogosulatlan hozzáférés elkerülése érdekében. d

d

d

d

d

d

d

d

6.3

Változáskezelés KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a változáskezelés és a szoftver-kezelés és terítés megfelel en igazodjon az átfogó konfiguráció-kezelési rendszerhez. Az alkalmazási rendszerben végrehajtott változások megfigyelésére szolgáló rendszert automatizálni kell annak érdekében, hogy rögzítésre kerüljenek a nagy és bonyolult információs rendszereken elvégzett módosítások. d

98

6.6

Szoftver-kibocsátásra vonatkozó szabályok KONTROLL IRÁNYELV A vezetésnek olyan szabályokat kell kialakítania és bevezetnie a szoftverek kibocsátására vonatkozóan, amelyek a jováhagyásra/ elfogadásra, a szoftver csomag kialakítására, a regresszió-tesztelésre, az átadásra, stb. egyaránt kiterjednek.


6.7

Szoftverek kiosztása KONTROLL IRÁNYELV Megfelel bels ellen rzési intézkedéseket kell kialakítani annak érdekében, hogy az egyes szoftverelemek sértetlenül a megfelel helyre kerüljenek a megfelel id ben, és mindez megfelel en d

d

d

d

d

d

d

99

ellen rizhet legyen (az ellen rzési naplón keresztül). d

d

d


I NFORMATIKAI

SZOLGÁLTATÁS ÉS TÁMOGATÁS

100


IT1 Informatikai szolgáltatás és támogatás

Szolgáltatási szintek meghatározása és kezelése




M ködés és támogatás h

E E M M M M M

Felügyelet

Informatikai eljárás: szolgáltatási szintek meghatározása és kezelése Az eljárással szemben támasztott üzleti követelmény: a szükséges szolgáltatási szint közös meghatározása A megvalósítás módja: szolgáltatási-szint megállapodások kidolgozása, amelyek meghatározzák, hogy a szolgáltatások mennyiségének és min ségének mérése milyen teljesítményi kritériumok alapján történik d

Mérlegelend kérdések: e

d

d

l

l

101

l

l

Ad ato k

•

formális megállapodások felel sségi körök meghatározása reagálási id k és adatfeldolgozási volumenek, mennyiségek (rendszer-üzemeltetési) költségek felosztása integritás garantálása titoktartási megállapodások felhasználók elégedettségének kritériumai az igényelt szolgáltási szintek költséghaszon elemzése megfigyelés (monitoring) és jelentés Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • • • •

l



az alábbi kérdésekre ki kell térni: rendelkezésre állás, megbízhatóság, teljesítmény, teljesítmény-növelési felhasználóknak lehet ségek, nyújtott támogatás szintje, üzemvitel, folyamatos üzletvitel fenntarthatóságának tervezése, biztonság, minimálisan elfogadható kielégít rendszer-funkcionalitás, korlátozások (munka mennyiségére vonatkozó limitek), szolgáltatási díjak, központi nyomtató berendezések és szolgáltatások (rendelkezésre állás), központilag nyomtatott anyagok, jelentések bels postázása és változáskezelés.

SZOLGÁLTATÁSI SZINTEK MEGHATÁROZÁSA ÉS KEZELÉSE

1.1

d

Szolgáltatási-szint megállapodási keretrendszer KONTROLL IRÁNYELV A fels vezetésnek meg kell határoznia egy olyan megfelel keretrendszert, amely segíti a formális szolgáltatási-szint megállapodások kidolgozását és meghatározza azok alábbi minimális tartalmát: rendelkezésre állás, megbízhatóság, teljesítmény, kapacitás, teljesítmény-növelési lehet ségek, felhasználóknak nyújtott támogatás szintje, üzemvitel, folyamatos üzletvitel fenntarthatóságának tervezése, biztonság, minimálisan elfogadható kielégít rendszer-funkcionalitás, korlátozások (munka mennyiségére vonatkozó limitek), szolgáltatási díjak, központi nyomtató egység (rendelkezésre állás), központilag nyomtatott anyagok, jelentések bels postázása és változáskezelés. A felhasználóknak és az informatikai részlegnek írásbeli megállapodást kell kötniük, amelyben mennyiségi és min ségi vonatkozásban is meg kell határozniuk a szolgáltatási szintet. A megállapodásban mindkét fél felel sségét rögzíteni kell. Az informatikai részlegnek biztosítania kell a megállapodott min ség és mennyiség szolgáltatást, a felhasználóknak pedig a megállapodott limit alatt kell tartaniuk a szolgáltatások iránti igényeiket.

d

d

d

d

d

1.3

d

d

1.4

d

h

A szolgáltatási-szint megállapodásokban szabályozott kérdések KONTROLL IRÁNYELV Külön megállapodást kell kötni arról, hogy a szolgáltatási-szint megállapodásokban milyen kérdéseket kell szabályozni. A szolgáltatásiszint megállapodásokban legalább

Felügyelet és jelentéskészítés KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell neveznie egy szolgáltatási szint felel st, akinek figyelemmel kell kísérnie a meghatározott szolgáltatási kritériumok teljesítését és az üzmeltetés során jelentkez problémákat, és jelentést kell készítenie azokról. A figyelési adatokat rendszeres id közönként elemezni kell. Szükség esetén meg kell hozni a megfelel korrekciós intézkedéseket, a hibákat pedig ki kell vizsgálni. d

d

h

1.2

d

d

d

d

e

d

d

d

Szolgáltatások számonkérhet sége KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy az érintett felek közötti kapcsolatokból (pl. titoktartási megállapodásokból) ered kötelezettségek teljesítésének módja és felel ssége megfelel en meghatározásra kerüljön, koordinálva legyen és tájékoztatást kapjon arról minden érintett osztályt.

d

1.5

102

A szolgáltatási-szint megállapodások és szerz dések felülvizsgálata KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként felül kell vizsgálnia a szolgáltatási-szint megállapodásokat és meg kell újítania a küls e

d

d


szolgáltatókkal megkötött szerz déseket. d

1.6

Felszámítható szolgáltatási költségek KONTROLL IRÁNYELV A szolgáltatási-szint megállapodásokban meg kell határozni a felszámítható szolgáltatási költségeket, lehet séget adva ezzel a szolgáltatási szintek és a költségek közötti megfelel egyensúly kialakítására. d

d

1.7

Szolgáltatás-javítási program KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy megfelel eljárást, amely biztosítja, hogy a felhasználók és a szolgáltatási-szint felel sök rendszeres id közönként megállapodnak olyan ún. szolgáltatás-javítási programokban, amelyek a szolgáltatási szintek gazdaságosan megvalósítható javítását szorgalmazzák. d

d

d

103



104


IT2 Informatikai szolgáltatás és támogatás Küls szolgáltatások kezelése m





E E M M M M M Informatikai eljárás:

Felügyelet

küls szolgáltatások kezelése d

Az eljárással szemben támasztott üzleti követelmény: küls szolgáltatók feladatainak és felel sségi köreinek világos meghatározása, továbbá azok betartásának és a követelmények folyamatos teljesítésének biztosítása d

d

A megvalósítás módja: kontroll intézkedések, amelyek annak ellen rzésére és felülvizsgálatára irányulnak, hogy a meglév szerz dések és eljárások megfelel eredményt kínálnak-e és igazodnak-e a szervezeti célkit zésekhez d

d

d

d

h


d

d

d

d

d

n

n

105

n

n

Ad ato k

• • • •

küls felekkel kötött szolgáltatási megállapodások szerz dések kezelése titoktartási megállapodások jogi és szabályozási követelmények szolgáltatások teljesítésének figyelemmel kísérése és jelentéskészítés vállalati és informatikai kockázatok elemzése teljesítés jutalmazása illetve nem-teljesítés büntetése a küls és bels szervezeti számonkérhet ség költség- és szolgáltatási szintek megengedett eltérése


• • • • •

n



KÜLS SZOLGÁLTATÁSOK KEZELÉSE

2.1

Szállítói kapcsolatok KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a küls szolgáltatók által biztosított szolgáltatások köre pontosan meg legyen határozva és megfelel en dokumentálva legyenek a szállítókkal meglév technikai és szervezeti kapcsolatok.

szolgáltatási szintek valamint a biztonságra, a szolgáltatási szintek figyelésére és el re nem látott eseményekre vonatkozó követelmények, és az egyéb szükséges feltételek. d

o

2.6

d

Folyamatos szolgáltatás KONTROLL IRÁNYELV A szolgáltatás folyamatosságának biztosítása kapcsán a vezetésnek mérlegelnie kell a küls szolgáltatóhoz kapcsolódó üzleti kockázatokat a jogi bizonytalanságok és a nyereséges m ködés vonatkozásában, és amennyiben szükséges, kiegészít szerz déseket kell kötnie (szoftverekre, dokumentációra stb.). d

d

d

h

2.2

Kapcsolattartási felel s KONTROLL IRÁNYELV A megrendel szervezet vezetésének ki kell neveznie egy kapcsolattartási felel st, akinek gondoskodnia kell a küls felekkel történ kapcsolattartás megfelel min ségér l. e

d

d

d

d

d

d

d

2.3

2.7

d

d

d

Szerz déskötés küls felekkel KONTROLL IRÁNYELV A vezetésnek megfelel eljárások keretében gondoskodnia kell arról, szolgáltatókkal hogy a küls kialakított kapcsolatokat olyan írásbeli szerz dések szabályozzák, amelyeket még a munkák megkezdése elött hivatalosan megkötöttek. e

e

d

d

d

2.4

Küls szolgáltatók megfelel ségének értékelése KONTROLL IRÁNYELV A vezetésnek el kell írnia, hogy a küls szolgáltatók kiválasztása el tt megfelel módon értékelni kell, hogy a potenciális szolgáltatók képesek-e a kívánt szolgáltatás teljesítésére (kell gondosság). e

e

d

2.8

d

d

d

d

d

2.5

Szolgáltatás-kihelyezési szerz dések KONTROLL IRÁNYELV Az erre a célra kialakított szervezeti eljárások keretében gondoskodni kell arról, hogy a küls szolgáltató és a szervezet között megkötésre kerül szerz désben rögzítésre kerüljenek az igényelt informatikai e

d

d

Biztonsági megállapodások KONTROLL IRÁNYELV A küls szolgáltatói kapcsolatok tekintetében a vezetésnek gondoskodnia kell arról, hogy olyan biztonsági megállapodások (pl. titoktartási megállapodások) kerüljenek kidolgozásra és megkötésre, amelyek megfelelnek az általános üzleti normáknak valamint a jogi és szabályozási követelményeknek, az anyagi, pényügyi felel sségre vonatkozó követelményeket is beleértve.

d

106

Folyamatos ellen rzés KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a küls szolgáltatók által nyújtott szolgáltatások teljesítésének folyamatos figyelésér l a szerz désben foglaltak betartásának ellen rzése céljából. e

d

d

d

d


IT3 Informatikai szolgáltatás és támogatás Teljesítmény és kapacitás kezelése





E E M M M M M Informatikai eljárás:

Felügyelet

teljesítmény és kapacitás kezelése Az eljárással szemben támasztott üzleti követelmény: megfelel nagyságú kapacitás kialakítása és annak biztosítása, hogy a rendelkezésre álló kapacitás a leghatékonyabb és legoptimálisabb módon kerül kihasználásra a szükséges teljesítményi igények biztosításához d

A megvalósítás módja: az informatikai er források teljesítményére, az alkalmazások méretezésére és a munkaterhelési igényekre vonatkozó adatgy jtés, elemzés és jelentéskészítés d

h


rendelkezésre állás és teljesítményi követelmények automatizált megfigyelés (monitoring) és jelentéskészítés modellez eszközök kapacitás-kezelés er források rendelkezésre állása hardver és szoftver ár/teljesítmény d

d

változások

107

p

p

Ad ato k

p


• • • • • •



állásra vonatkozó követelményeket. A rendszer-hardverek esetében alapos technikai vizsgálatot kell végezni, amelynek tartalmaznia kell a jöv beni m szaki, technológiai megoldásokra vonatkozó el rejelzéseket.

TELJESÍTMÉNY ÉS KAPACITÁS KEZELÉSE

d

3.1

3.2

Rendelkezésre állás és teljesítményi követelmények KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy meghatározásra kerüljenek az információs rendszerek rendelkezésre állására és teljesítményére vonatkozó üzleti követelmények és azok alapján kidolgozásra kerüljenek a rendelkezésre állásra vonatkozó feltételek és követelmények.

d

3.5

3.6

Figyelés és jelentéskészítés KONTROLL IRÁNYELV A vezetésnek egy megfelel eljárás keretében gondoskodnia kell az informatikai er források teljesítményének folyamatos figyelésér l és arról, hogy a rendkívüli eseményekr l kell id ben megfelel részletesség jelentés készüljön.

3.7

d

3.3

Proaktív teljesítmény-kezelés KONTROLL IRÁNYELV A teljesítmény-kezelési eljárás keretében el re meg kell határozni, hogy milyen kapacitásokra van szükség ahhoz, hogy a problémák olyan stádiumban korrigálhatóak legyenek, amikor még nem befolyásolják a rendszer teljesítményét. Elemezni kell a rendszerleállások, meghíbásodások és hibák gyakoriságát, azok hatásának mértékét és az okozott károkat. d

Rendelkezésre állási terv KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell egy olyan megfelel rendelkezésre állási terv kidolgozásáról, amely biztosítja, figyelemmel kíséri és ellen rzi információs szolgáltatások rendelkezésre állását. d

h

Üzemi terhelés el rejelzése KONTROLL IRÁNYELV eljárásokat kell Megfelel kialakítani az üzemi terhelés el rejelzésére, amelynek keretében meg kell határozni a várható trendeket és információkat kell biztosítani a kapacitás-terv elkészítéséhez. e

d

d

d

d

d

d

d

d

d

h

Er források kapacitás-kezelése KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dolgoznia egy tervezési eljárást a hardverek teljesítményének és kapacitásának ellen rzésére annak biztosítása érdekében, hogy mindig rendelkezésre álljon a megállapodott üzemi terhelési szintekhez valamint a szolgáltatásiszint megállapodásokban el írt mennyiségi és min ségi követelmények teljesítéséhez szükséges megfelel és gazdaságos kapacitás. A kapacitás-tervnek több lehetséges forgatókönyvet is tartalmaznia kell. e

d

3.4

Modellezési eszközök KONTROLL IRÁNYELV Az informatikai vezetésnek gondoskodnia kell arról, hogy megfelel modellezési eszközök használatával olyan modell készüljön a m köd rendszerr l, amelyet a tényleges üzemi terhelésre állítottak beés amely pontos eredményeket ad az így kialakított terhelési szinteken belül.. Modellezési eszközök segítségével kell el re jelezni a kapacitásra, a konfiguráció megbízhatóságára, a teljesítményre és az rendelkezésre d

h

d

d

d

108

d

d

d


3.8

Er források rendelkezésre állása KONTROLL IRÁNYELV Azokban az esetekben, ahol alapkövetelmény a rendelkezésre állás, a vezetésnek megfelel hibat rési mechanizmusok alkalmazásával, a feladatok prioritási sorrendjének meghatározásával és az er források igazságos felosztását biztosító eljárásokkal meg kell akadályoznia azt, hogy az er fforások hozzáférhetetlenné váljanak. e

d

h

d

d

3.9

Er források ütemezése KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a szükséges kapacitások kell id ben történ beszerzésér l, amely kapcsán az alábbi tényez ket is figyelembe kell venni: alkalmazkodási képesség, el re nem látott események, üzemi terhelési szintek és adattárolási tervek. e

d

d

d

d

d

d

109



110


IT4 Informatikai szolgáltatás és támogatás Folyamatos m ködés biztosítása q




E M



M

Informatikai eljárás:

Felügyelet

folyamatos m ködés biztosítása h

Az eljárással szemben támasztott üzleti követelmény: az informatikai szolgáltatások rendelkezésre állásának valamint annak biztosítása, hogy az esetleges jelent sebb rendszerhibák csak minimális üzleti következményekkel járjanak d

A megvalósítás módja: a folyamatos m ködés fenntarthatóságára vonatkozó általános tervvel és az ahhoz kapcsolódó üzleti/szervezeti követelményekkel összhangban álló informatikai m ködési fentarthatósági terv kidolgozása és alkalmazása h

h


d

d

d

r

r

111

r

r

Ad ato k

• • •

a rendelkezésre állási feltételek kritikusságának osztályozása alternatív eljárások adatállományok mentése (back-up) és helyreállítása szisztematikus és rendszeres tesztelés és képzés figyelési és a helyzet romlásának kezelésére szolgáló eljárások bels és küls szervezeti felel sség- és hatáskörök az üzletvitel folyamatosságának fenntartására vonatkozó terv aktiválása, visszaállási- és újrakezdési tervek kockázat-kezelési tevékenységek rendszerhibát okozó események értékelése probléma-kezelés Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • • •

r



•

FOLYAMATOS M KÖDÉS BIZTOSÍTÁSA s

•

Központi gépterem/géptermek védelmét és helyreállítását szolgáló eljárások: Állami hatóságokkal történ vonatkozó együttm ködésre eljárások; Az érdekelt felek, a dolgozók, a legfontosabb vev k, a kritikus fontosságú szállítók, a tulajdonosok és a vezetés tájékoztatására vonatkozó eljárások; A folyamatosság fenntartásáért felel s csoportokat, az érintett dolgozókat, a vev ket, a szállítókat, az állami hatóságokat és a médiákat érint kritikus fontosságú információk. d

h

4.1

Informatikai folyamatossági keretrendszer KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dolgoznia egy informatikai folyamatossági keretrendszert, amely meghatározza a feladatokat és felel sségi köröket, az alkalmazandó kockázat-alapú megközelítési módszert valamint az informatikai folyamatossági terv dokumentálására és jóváhagyására vonatkozó szabályokat és struktúrákat.

•

d

•

d

4.2

4.3

Informatikai folyamatossági terv, stratégia és filozófia KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy az informatikai folyamatossági terv összhangban álljon az általános üzletviteli folyamatossági tervvel. Ezenkívül az informatikai folyamatossági terv kidolgozásakor figyelembe kell venni a hosszú- és közép-távú informatikai terveket is. Az informatikai folyamatossági terv tartalma KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dolgoznia írásban egy megfelel tervet, amelynek az alábbi elemeket kell tartalmaznia: • Útmutató a folyamatossági terv használatához; • Vészhelyzet esetén követend szabályok az érintett dolgozók védelme érdekében: • Válaszlépések az a rendkivüli esemény illetve katasztrófa el tti eredeti állapot visszaállítása érdekében; • Helyreállítási lépések az a rendkivüli esemény illetve katasztrófa el tti eredeti állapot visszaállítása érdekében;

d

d

d

4.4

Az informatikai folyamatossági követelmények minimalizálása KONTROLL IRÁNYELV Az informatikai részleg vezetésének megfelel eljárásokat és útmutatást kell kidolgoznia a folyamatossági követelmények minimalizálásra a személyzet, az eszközök, a hardver, a szoftver, a berendezések, a nyomtatványok, készletek és a bútorok vonatkozásában. d

4.5

Az informatikai folyamatossági terv aktualizálása KONTROLL IRÁNYELV Az informatikai részleg vezetésének megfelel eljárásokat kell kidolgoznia a változtatások szabályozására vonatkozóan annak érdekében, hogy a folyamatossági terv mindig naprakész legyen és igazodjon az üzleti/szervezeti követelményekhez. Ennek érdekében a folyamatossági terv aktualizálására vonatkozó szabályokat hozzá kell igazítani a változtatásokra és az emberi er források kezelésre vonatkozó szabályokhoz. d

d

d

d

d

4.6

d

Az informatikai folyamatossági terv tesztelése KONTROLL IRÁNYELV A folyamatossági terv eredményességének meg rzése érdekében a d

112


vezetésnek rendszeres id közönként értékelnie kell a terv megfelel ségét, illetve akkor, amikor jelent sebb változások történnek a szervezetben, az üzletvitelben vagy az informatikai infrastruktúrában. Ez gondos el készítést, dokumentálást, a tesztelés eredményeir l történ jelentéskészítést, és az eredmények függvényében megfelel cselekvési terv kidolgozását és annak végrehajtását igényli.

rendszert a bekövetkezett leállást illetve katasztrófát követ en.

d

d

d

d

4.10

e

d

d

d

d

4.7

Az informatikai folyamatossági tervhez kapcsolódó képzés KONTROLL IRÁNYELV A katasztrófa-elhárítási módszertan keretében gondoskodni kell arról, hogy minden érintett fél rendszeres id közönként megfelel képzést kapjon arra vonatkozóan, hogy rendkivüli esemény illetve katasztrófa esetén milyen szabályok szerint kell eljárni. d

4.8

d

d

h

d

d

Az informatikai folyamatossági terv szétosztása KONTROLL IRÁNYELV A folyamatossági tervben szerepl információk bizalmas jellege miatt a tervet csak az arra felhatalmazott személyeknek szabad kiosztani és meg kell akadályozni a terv engedély nélküli közzétételét. A terv egyes részeit ebb l következ en csak azokhoz kell eljuttatni, akiknek ismerniük kell az abban foglalt információkat.

4.9

d

h

4.11

d

d

Kritikus fontosságú informatikai er források KONTROLL IRÁNYELV A folyamatossági tervben meg kell határozni a katasztrófa-helyzet utáni helyreállításhoz szükséges kritikus fontosságú alkalmazási programokat, küls szolgáltatókat, operációs rendszereket, munkatársakat és készleteket, adatállományokat és a katasztrófa utáni visszaállításhoz szükséges id t. A kritikus adatok és m veletek meghatározásának, dokumentálásának, rangsorolásának és jóváhagyásának feladata az üzleti folyamatokért felel s vezet khöz tartozik, amelyben együtt kell m ködniük az informatikai vezetéssel. Tartalék telephely és hardverek KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a folyamatossági módszertan alternatív tartalék telephelyek és hardverek meghatározását is el írja és egy végleges alternatíva is ki legyen választva. Amennyiben szükséges, szerz dés keretében kell szabályozni az ilyen jelleg szolgáltatásokat. d

d

h

d

4.12

A felhasználó osztály által kialakított alternatív munkafolyamatok, helyettesít eljárások KONTROLL IRÁNYELV A folyamatossági módzsertanban gondoskodni kell arról, hogy a felhasználói osztályok megfelel alternatív feldolgozási eljárásokat alakítsanak ki, amelyeket használhatnak addig, amíg az informatikai részleg teljes mértékben helyre nem állítja a e

d

Küls (off-site) tartalék adattárolás KONTROLL IRÁNYELV A helyreállításra és folyamatos üzletvitelre vonatkozó tervek kapcsán gondoskokdni kell a kritikus back-up adathordozók, dokumentációk és egyéb informatikai er források küls tárolásáról. A küls helyen tárolandó back-up er források körének meghatározásába be kell vonni az üzeleti folyamatokért felel s vezet ket és az informatikai részleg dolgozóit is. A küls tárolási helyet úgy kell megválasztani, hogy az megfelel legyen a tárolt adate

d

d

d

d

d

d

113

d

d


hordozóknak és egyéb er forrásoknak és megfelel biztonsági szabályok kialakításával gondoskodni kell arról, hogy illetéktelen személyek ne férhessenek hozzá a back-up er forrásokhoz. Az informatikai vezetésnek rendszeres legalább évente id közönként, egyszer, felül kell vzisgálnia a küls tárolásra vonatkozó szabályok tartalmát, valamint azok környezetvédelmi és biztonsági vonatkozásait. d

4.12

d

d

d

d

114

Tervmódosítási eljárás KONTROLL IRÁNYELV A katasztrófa-helyzet utáni sikeres helyreállítást követ en az informatikai részleg vezetésének meg kell vizsgálnia a terv megfelel ségét és szükség esetén módosítania kell annak tartalmát. d

d


IT5 Informatikai szolgáltatás és támogatás Rendszer biztonságának biztosítása





E E M M M

Felügyelet

Informatikai eljárás: rendszer biztonságának biztosítása Az eljárással szemben támasztott üzleti követelmény: az információk engedély nélküli felhasználásának, közzétételének, módosításának, károsodásának illetve elvesztésének megel zése d

A megvalósítás módja: hozzáférés logikai szint (informatikai) ellen rzése, amely csak az arra felhatalmazott felhasználók számára teszi lehet vé a rendszerekhez, adatokhoz és programokhoz történ hozzáférést h

d

d

d

Mérlegelend kérdések: • bizalmasság és személyiségi jogok védelme • engedélyezés, hitelesítés és hozzáférési jogosultságok ellen rzése • felhasználó azonosítása és a jogosultsági profilok • ’ csak amire szükség van’ és ’ csak amit tudni kell’ elvek • kriptográfiai kulcsok kezelése • rendkívüli események kezelése, lejelentése és további teend k • vírusvédelem és felderítés • “ t zfalak” • központi biztonsági felügyelet • felhasználók kiképzése • események figyelésére, a szabályok betartásának ellen rzésére, a behatolások észlelésére és jelentéskészítésre szolgáló eszközök e

d

d

t

t

t

t

d

115

Ad ato k


h

t



bejelentkezniük. A felhasználó- hitelesítési és hozzáférés-jogosultsági ellen rzési mechanizmusok eredményességének meg rzése érdekében is megfelel eljárásokat kell kialakítani. (pl. a jelszavak rendszeres megváltoztatásával).

AZ (INFORMATIKAI) RENDSZER

d

BIZTONSÁGÁNAK MEGTEREMTÉSE

d

d

5.1

Biztonsági intézkedések kezelése KONTROLL IRÁNYELV Az informatikai rendszerek biztonsága kapcsán ügyelni kell arra, hogy a biztonsági intézkedések összhangban legyenek az üzleti/ szervezeti követelményekkel. Ez az alábbiakat foglalja magában: • kockázat-elemzési információk lefordítása informatikai fogalmakra az informatikai biztonsági tervekben; • az informatikai biztonsági terv végrehajtása; • az informatikai biztonsági terv aktualizálása az informatikai konfiguráció változásainak megfelel en; • a változtatási kérelmek hatásainak kiértékelése informatikai biztonsági szempontból • az informatikai biztonsági terv végrehajtásának felügyelete; és • az informatikai biztonsági eljárások hozzáigazítása a többi szabályhoz és eljáráshoz.

5.3

Adatok on-line (közvetlen) hozzáférésének biztonsága KONTROLL IRÁNYELV On-line jelleg informatikai környezet esetén az informatikai részleg vezetésének olyan biztonsági eljárásokat kell kialakítania, amelyek, a biztonsági politikával összhangban, csak abban az esetben engedélyezik a hozzáférést a felhasználó részére, ha az valamilyen meghatározott konkrét okból kifolyólag kívánja megtekinteni, kiegészíteni, megváltoztatni illetve kitörölni az adatokat. h

d

5.2

5.4

Azonosítás, hitelesítés és hozzáférési jogosultság KONTROLL IRÁNYELV Korlátozni kell az informatikai részleg számítástechnikai er forrásainak használatát és az er forrásokhoz történ hozzáférést megfelel azonosítási, hitelesítési és hozzáférési jogosultság ellen rzési eljárások révén. A fenti eljárásoknak meg kell akadályozniuk azt, hogy jogosulatlan felhasználók hozzáférjenek – akár közvetlenül, telefonvonalon vagy más rendszerb l (hálózaton keresztül) – a számítástechnikai er forrásokhoz, és minimalizálniuk kell annak szükségességét, hogy a jogosult felhasználóknak ismételten minden rendszerbe külön-külön kelljen d

d

d

d

d

d

d

116

Felhasználói nyilvántartások kezelése KONTROLL IRÁNYELV A vezetésnek ki kell alakítania olyan eljárásokat, amelyek gondoskodnak arról, hogy kell id ben megtörténjenek a szükséges intzékedések a felhasználói nyilvántartások kérésével, rögzítésével, kiadásával, felfüggesztésével és lezárásával kapcsolatban. Ezzel összefüggésben ki kell dolgozni egy hivatalos engedélyezési eljárást, amelynek keretében az adatok illetve a rendszer tulajdonosa engedélyezi a hozzáférést. A küls felek hozzáférésének biztonságát szerz dés szintjén kell meghatározni és ennek kapcsán ki kell térni az adminisztrációhoz és az adatok bizalmas kezeléséhez kapcsolódó követelményekre is. Szolgáltatáskihelyezési megállapodások esetén a felek között megkötött szerz désben ki kell térni a kockázatok és az információs rendszerekhez és hálózatokhoz kapcsolódó biztonsági ellen rzések és eljárások kérdésére. d

d

d

d

d

d


5.5

Felhasználói nyilvántartás vezet i áttekintése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként felül kell vizsgálnia és meg kell er sítenie a hozzáférési jogokat. Az er források használatát rögzít feljegyzéseket rendszeresen át kell vizsgálni a hibák, csalások, visszaélések és jogosulatlan változtatások kockázatának csökkentése érdekében

védelmet” . Az adatok felel s tulajdonosainak kell meghatározniuk az adatok besorolását és megosztását, valamint azt, hogy szükség van-e, és ha igen mikor, a programok és fájlok meg rzésére, archiválására illetve törlésére. Az adat-tulajdonos által megadott jóváhagyás és besorolás bizonyítékait meg kell rizni. Megfelel irányelveket kell meghatározni az információk átosztályozására vonatkozóan, az egyes adatok érzékenységének változása alapján. Az osztályozási rendszerben ki kell térni a szervezetek közötti információcsere kezelésének kritériumaira, mind biztonsági, mind a jogszabályi el írások vonatkozásában. d

e

d

d

d

d

d

5.6

Felhasználói nyilvántartások felhasználói kontrollja KONTROLL IRÁNYELV A felhasználóknak a rendszeresen ellen rizniük kell saját felhasználói nyilvántartásaik adatait. Emellett olyan információs mechanizmusokat is ki kell alakítani, amelyek lehet vé teszik a szokásos tevékenység áttekintését és egyúttal id ben figyelmeztetnek a szokatlan esetekre.

d

d

d

d

d

5.9

d

35.7

Biztonsági eljárások felügyelete KONTROLL IRÁNYELV Az informatikai részleg biztonsági osztályának gondoskodnia kell arról, hogy a biztonságot érint eseményekr l nyilvántartást vezessenek, továbbá arról, hogy a rendszer a biztonsági intézkedések megsértésére utaló jelzésekr l azonnal értesítse az összes, bels és küls , érintett felet és kell id ben megtegyék a szükséges válaszlépéseket.

d

d

d

d

d

5.10

d

d

5.8

d

Azonosítás és hozzáférési jogok központi szabályozása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a felhasználók azonosítását és hozzáférési jogait valamint a rendszerek és az adattulajdonosok azonosítását egyetlen, központi rendszer kezelje az átfogó hozzáférési jogosultság ellen rzés hatékony és egységes megvalósítása érdekében.

d

Adatok osztályozása KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy megfelel eljárást, amely elrendeli, hogy az adatok tulajdonosainak osztályozniuk kell az adatokat bizalmassági fokuk szerint, formális döntés keretében, az adatosztályozási rendszer el írásai alapján. Még az olyan adatok esetében is meg kell hozni ezt a döntést, amelyek “ nem igényelnek d

d

117

Jelentéskészítés a biztonsági el írások megsértésér l és a biztonsági rendszer m ködésér l KONTROLL IRÁNYELV Az informatikai részleg biztonsági osztályának gondoskodnia kell a biztonsági rendszer m ködéséhez és a biztonsági el írások megsértéséhez kapcsolódó esetek nyilvántartásáról, jelentésér l, átvizsgálásáról, és rendszeres id közönkénti megfelel szintre történ továbbításáról a jogosulatlan hozzáférések azonosítása és feltárása érdekében. A számítógépes er források használatáról készített nyilvántartásokban (biztonsági és egyéb nyilvántartások) szerepl e

e

i

e

h

d

d

d

d

d

d

d


információkhoz kapcsolódó logikai szint hozzáférési jogokat a különböz el jogok (pl. beosztás, hagyomány, stb.) mell zésével, illetve "csak ha szükséges tudni" alapon kell megadni.

alakítani olyan ellen rzési eljárásokat, amelyek segítségével ellen rizhet a tranzakciók hitelessége és a rendszerbe bejelentkez felhasználó személyének valódisága. Ehhez a tranzakciók aláírásához és ellen rzéséhez kriptográfiai technikák alkalmazására van szükség. d

h

d

d

d

d

d

d

d

5.11

Rendkívüli események kezelése KONTROLL IRÁNYELV A vezetésnek ki kell alakítania egy megfelel eljárást a rendkívüli biztonsági események kezelésére vonatkozóan, amelyhez olyan megfelel központi ügyeletet kell biztosítani, amely gyors és biztonságos kommunikációs eszközökkel van felszerelve és megfelel szakértelemmel rendelkezik. Ki kell dolgozni a rendkívüli biztonsági események kezeléséhez kapcsolódó azon felel sségi köröket és eljárásokat, amelyek gondoskodnak arról, hogy rendkívüli esemény esetén megfelel , eredményes és gyors válaszlépések történjenek. d

5.15

d

d

Letagadhatalanság KONTROLL IRÁNYELV A szervezeti politika keretében gondoskodni kell arról, ott ahol ez szükséges, hogy a tranzakciókat egyik fél se tagadhassa le, és olyan ellen rzési eljárások kerüljenek bevezetésre, amelyek biztosítják a tranzakciók kezdeményezésének, fogadásának, elindításának és végrehajtásának letagadhatatlanságát biztosítják. Ez digitális aláírással, id -bélyegz vel és megbízható küls felek kiválasztásával valósítható meg, a vonatkozó hatósági el íásokat is figyelembe vev politika alkalmazásával. d

d

d

d

d

d

d

5.12

Újrahitelesítés KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a biztonsági eljárások rendszeres id közönként történ újrahitelesítésér l (ún. “ akció csoportok” révén), a formálisan elfogadott biztonsági és kockázati szintek aktualizálása érdekében. d

d

5.16

d

d

5.13

Másik fél megbízhatósága KONTROLL IRÁNYELV A szervezeti politika keretében ki kell alakítani olyan biztonsági eljárásokat, amelyek ellen rzik az elektronikus utasításokat illetve tranzakciókat továbbító másik fél valódiságát, hitelességét. Ez jelszavak, intelligens kártyák, illetve kriptográfiai kulcsok megbízható kicserélésével valósítható meg. d

5.14

Tranzakciók engedélyezése KONTROLL IRÁNYELV A szervezeti politika keretében, amennyiben szükséges, ki kell

Megbízható csatorna KONTROLL IRÁNYELV A szervezeti politika keretében gondoskodni kell arról, hogy a bizalmas tranzakciók adatainak cseréje megbízható csatornákon keresztül történjen. A bizalmas információk közé tartoznak a biztonsági eljárásokhoz kapcsolódó információk, a bizalmas tranzakciók adatai, a jelszavak és a kriptográfiai kulcsok. Ezek továbbításához megbízható csatornák kialakítására lehet szükség, amely a különböz felhasználók, a felhasználók és a rendszerek, valamint a különböz rendszerek közötti rejtjelezéssel valósítható meg. d

d

5.17

118

Biztonsági funkciók védelme KONTROLL IRÁNYELV A biztonsági eljárásokhoz kapcsolódó összes hardvert és


szoftvert meg kell védeni a jogosulatlan hozzáférésekkel szemben sértetlenségük és titkos kódjaik meg rzése érdekében. Emellett a szervezetnek lehet leg titokban kell tartania a biztonsági rendszer felépítését, de nem szabad a biztonságot a rendszer-terv titkosságára építeni. d

kötelezettségekre egyaránt ki kell terjedniük. 5.20

d

“ T zfal” architektúrák és kapcsolódás nyilvános hálózatokhoz KONTROLL IRÁNYELV Az Internethez illetve más nyilvános hálózatokhoz történ kapcsolódás vonatkozásában megfelel “ t zfalakat” kell kialakítani a szolgáltatás megtagadása illetve a bels er forrásokhoz történ jogtalan hozzáférések megakadályozása érdekében. Minden alkalmazással illetve infrastruktúrával kapcsolatos tevékenységhez köt d információáramlást ellen rzés alatt kell tartani mindkét irányban, és meg kell védeni a "túlterheléses támadással szemben". i

d

d

5.18

Kriptográfiai kulcsok kezelése KONTROLL IRÁNYELV A vezetésnek megfelel eljárásokat és szabályokat kell kialakítania a kriptográfiai kulcsok el állítására, megváltoztatására, visszavonására, megsemmisítésére, kiosztására, hitelesítésére, tárolására, bevitelére, használatára és archiválására vonatkozóan a kulcsok jogtalan módosításának és megszerzésének megakadályozása érdekében. Amennyiben valamelyik kulccsal visszaéltek, a vezetésnek gondoskodnia kell arról, hogy minden érintett fél informálva legyen err l "Hivatalos visszavonási jegyz könyv" keretében illetve más hasonló eljárás révén.

d

d

d

5.21

d

Rossz szándékú szoftverek hatásának megel zése, felderítése és elhárítása KONTROLL IRÁNYELV A rossz szándékú szoftverek vonatkozásában, mint amilyenek a számítógépes vírusok vagy a “ trójai falovak” , a vezetésnek megfelel megel z , észlelési és korrekciós mechanizmusokat, válaszlépéseket és jelentési eljárásokat kell kidolgoznia. A vállalati szint és az informatikai vezetésnek gondoskodnia kell arról, hogy a szervezet egészére kiterjed en megfelel eljárások kerüljenek kialakításra a számítógépes vírusokkal szembeni védelem érdekében. A fenti eljárásoknak a vírus-védelemre, a vírusok felderítésére, a megfelel válaszlépésekre és a jelentési e

d

d

h

d

d

d

d

d

d

d

d

5.19

h

d

d

119

Elektronikus értékek megvédése KONTROLL IRÁNYELV A vezetésnek meg kell védenie a pénzügyi és más bizalmas információk hitelesítéséhez illetve tárolásához használt kártyák és hasonló fizikai berendezések sértetlenségét, figyelembe véve az azokhoz kapcsolódó eszközöket, berendezéseket, alkalmazottakat és érvényesség-ellen rzési módszereket is. d



120


IT6 Informatikai szolgáltatás és támogatás Költségek megállapítása és felosztása




E


E Felügyelet

Informatikai eljárás: költségek megállapítása és felosztása Az eljárással szemben támasztott üzleti követelmény: az informatikai szolgáltatásokhoz kapcsolódó költségek pontos ismerete A megvalósítás módja: olyan költség-elszámolási rendszer alkalmazása, amely gondoskodik a költségek megfelel részletesség nyilvántartásáról, kalkulációjáról és felosztásáról az egyes szolgáltatások szintjére lebontva d

h


azonosítható és mérhet er források költségfelosztási elvek, szabályok és eljárások szolgáltatási norma díjak és visszaterhelési eljárás kapcsolódás a szolgáltatási szint megállapodáshoz automatizált jelentéskészítés az el nyök/hasznok megvalósulásának ellen rzése küls szervezetekhez viszonyított normatív összehasonlítás d

d

d

d

d

u

121

u

u

Ad ato k

u


• • • • • • •

u



6.

KÖLTSÉGEK MEGÁLLAPÍTÁSA ÉS FELOSZTÁSA

6.1

Felszámításra kerül szolgáltatási költségek KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy a felhasználók azonosítani és mérni tudják illetve el re meg tudják becsülni a felszámításra kerül szolgáltatási költségeket. A felhasználóknak ellen rizniük kell az igénybe vett információs szolgáltatásokat és a kapcsolódó számla értékek nagyságát. e

d

d

d

6.2

Költségszámítási eljárások KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell alakítania olyan költségszámítási eljárásokat, amelyek megfelel vezet i információkat nyújtanak az információs szolgáltatások költségeir l, ugyanakkor költségtakarékosak. Az el rejelzések és a tényleges költségek közötti eltéréseket megfelel en elemezni kell a költségek figyelemmel kísérésének segítése érdekében. Ezenkívül a vezetésnek rendszeres fels id közönként értékelnie kell az informatikai részleg költségszámítási eljárásait a szervezetnél alkalmazott más pénzügyi elszámolási rendszerek tükrében. d

d

d

d

d

d

d

122

Felhasználói (bels ) kiszámlázási és jóváírási eljárások KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell dogoznia egy megfelel számlázási és jóváírási eljárást. A kiszámlázási és jóváírási eljárást úgy kell kialakítani, hogy az az informatikai er források megfelel felhasználására ösztönözzön és garantálja a felhasználói osztályok igényeinek méltányos kezelését. A kiterhelt díjaknak igazodniuk kell a kapcsolódó szolgáltatásnyújtás költségeihez. e

d

d

d


IT7 Informatikai szolgáltatás és támogatás Felhasználók oktatása és képzése






Felügyelet

felhasználók oktatása és képzése Az eljárással szemben támasztott üzleti követelmény: gondoskodni kell arról, hogy a felhasználók hatékonyan tudják használni az informatikai technológiát és tisztában legyenek az ahhoz kapcsolódó kockázatokkal és felel sséggel d

A megvalósítás módja: átfogó képzési és továbbképzési terv Mérlegelend kérdések: • oktatási tematikák • szükséges szakképzettségek • ismertet kampány • új képzési és oktatási módszerek használata • alkalmazottak termelékenysége • ismeretbázis kialakítása e

d

123

Ad ato k


v



FELHASZNÁLÓK OKTATÁSA ÉS KÉPZÉSE

7.1

Oktatási igények meghatározása KONTROLL IRÁNYELV A hosszú távú szervezeti tervvel összhangban a vezetésnek meg kell határoznia azokat a megfelel eljárásokat, amelyek segítenek az informatikai szolgáltatásokat használó dolgozók oktatási igényeinek meghatározásában és dokumentálásában. Minden egyes dolgozói csoport számára ki kell dolgozni egy képzési tematikát. d

7.2

Képzés megszervezése KONTROLL IRÁNYELV A meghatározott igények alapján a vezetésnek ki kell jelölnie a képzési célcsoportokat és az oktatókat, és meg kell szerveznie a rendszeres oktatási tanfolyamokat. A lehetséges képzési alternatívákat is mérlegelni kell (bels vagy küls helyszín, házon belüli oktatók vagy küls tanárok, stb.). d

d

d

7.3

Biztonsági alapelvek és tájékoztató képzés KONTROLL IRÁNYELV Minden dolgozónak részt kell vennie egy az informatikai biztonság alapelveit ismertet tanfolyamon, amelyet rendszeres jelleggel meg kell tartani és amelyen belül kiemelt figyelmet kell fordítani a biztonsági kérdések tudatosítására és a rendkivüli események kezelésére. A fels vezetésnek ki kell dolgoznia egy olyan oktatási programot, amely az alábbi elemeket tartalmazza: informatikai részlegre vonatkozó etikai szabályok, az információk elérhet ségét, bizalmasságát, sértetlenségét és a feladatok biztonságos teljesítését befolyásoló hibák elhárítását szolgáló biztonsági intézkedések. d

d

d

124


IT8 Informatikai szolgáltatás és támogatás Informatikai felhasználók segítése






Felügyelet

informatikai felhasználók segítése Az eljárással szemben támasztott üzleti követelmény: a felhasználók által tapasztalt problémák megfelel megoldása d

A megvalósítás módja: azonnali segítséget és tanácsot nyújtó “ ügyfélszolgálati” funkció Mérlegelend kérdések: e

reagálás a felhasználói kérdésekre és problémákra kérdések nyilvántartása és tisztázása trendek elemzése és jelentéskészítés ismeretbázis kialakítása problémák gyökerének feltárása problémák nyomon követése és kérdések továbbítása w

125

Ad ato k

w


• • • • • •



8.5

INFORMATIKAI FELHASZNÁLÓK SEGÍTÉSE

8.1

“ Ügyfélszolgálat” KONTROLL IRÁNYELV A felhasználók segítése céljából ki kell alakítani egy ún. “ Ügyfélszolgálat” funkciót. A funkció ellátásáért felel s személyeknek szorosan együtt kell m ködniük a probléma kezelésért felel s dolgozókkal. d

h

d

8.2

Felhasználói kérdések nyilvántartása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy az “ Ügyfélszolgálati” funkciónál minden felhasználói kérdést nyilvántartásba vegyenek. d

8.3

Felhasználói kérdések továbbítása KONTROLL IRÁNYELV Az “ Ügyfélszolgálati” funkció keretében gondoskodni kell arról, hogy továbbítsák az informatikai részlegen belüli megfelel helyre azokat a felhasználói kérdéseket, amelyeket nem lehet azonnal megoldani. d

8.4

Felhasználói kérdések megoldásának figyelemmel kísérése KONTROLL IRÁNYELV A vezetésnek ki kell alakítania olyan eljárásokat, amelyek figyelemmel kísérik a felhasználói kérdések megoldását. A régóta megoldatlan eseteket ki kell vizsgálni és meg kell tenni a szükséges lépéseket.

126

Trendek elemzése és jelentéskészítés KONTROLL IRÁNYELV Ki kell alakítani olyan eljárásokat, amelyek gondoskodnak arról, hogy megfelel jelentések készüljenek a felhasználói kérdésekr l és azok megoldásáról, valamint a megoldáshoz szükséges id kr l és a trendek alakulásáról. A jelentések elemzését követ en meg kell tenni a szükséges intézkedéseket. d

d

d

d

d


IT9 Informatikai szolgáltatás és támogatás Konfiguráció kezelése




E

M



M


Felügyelet

konfiguráció kezelése Az eljárással szemben támasztott üzleti követelmény: az összes informatikai alkotóelem számbavétele, engedély nélküli változtatások megakadályozása, eszközök meglétének ellen rzése és megfelel kiindulópont biztosítása a változáskezeléshez d

d

A megvalósítás módja: ellen rzési mechanizmusok, amelyek nyilvántartják az összes informatikai eszközt és azok feltalálási helyét, és rendszeres ellen rzési program, amely meger síti az eszközök meglétét d

d

d


d

x

127

x

x

Ad ato k

•

eszközök nyilvántartása konfiguráció-változtás kezelés engedély nélküli szoftverek ellen rzése szoftver tárolás kontrollálása szoftverek és hardverek közötti összefüggések és kapcsolódások automatizált eszközök (tool-ok) alkalmazása a konfiguráció kezelés céljából


• • • • •



9.

KONFIGURÁCIÓ KEZELÉSE

9.1

Konfiguráció nyilvántartása KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy csak engedélyezett és azonosítható konfiguráció-elemek kerüljenek be a beszerzéskor a (konfiguráció) leltárba. A konfiguráció-elemek leselejtezésekor illetve azt követ esetleges értékesítésekor a nyilvántartásra vonatkozó szabályok szerint kell eljárni. Ezenfelül nyomon kell követni a konfiguráció-elemek változásait is (pl. új elemek, ‘fejlesztés alatt’ státusz módosítása prototípusra, stb.). A konfigurációnyilvántartás szerves részét kell képeznie a napló-nyilvántartásnak és olyan ellen rzési mechanizmusoknak, amelyek lehet vé teszik a megváltoztatott bejegyzések kivizsgálását. d

d

d

d

d

9.6

d

9.3

9.4

Szoftverek tárolása KONTROLL IRÁNYELV Ki kell jelölni egy megfelel állomány tárolási területet (könyvtárt) a fejlesztési életciklus különböz fázisaiban lév minden egyes érvényes szoftverelem számára. Ezeket a területek el kell választani egymástól valamint a fejlesztési, tesztelési és az üzemelési adatokat tároló területekt l. d

d

Konfiguráció ’bázisvonal’ KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell a konfiguráció bázisvonal rögzítésér l, amelyhez a változások után vissza kell térni.

d

d

d

9.2

Engedély nélküli szoftverek KONTROLL IRÁNYELV Olyan szabályokat kell kilakítani és bevezetni, amelyek korátozzák a személyes és azengedély nélküli szoftverek használatát. A szervezetnek víruskeres és vírusírtó szoftvereket kell használnia. Az informatikai részleg vezetésének rendszeres id közönként ellen riznie kell, hogy a szervezet személyi számítógépeire nem lettek-e telepítve engedély nélküli szoftverek. Rendszeresen ellen rizni kell a szoftver- és hardver-licensz megállapodások el írásainak betartását.

d

d

d

9.7

Státusz nyilvántartása KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy a konfiguráció-nyilvántartás minden egyes tétel aktuális státuszát tartalmazza, a múltbeli változtatások jelzésével együtt. Konfiguráció kontrollja KONTROLL IRÁNYELV Megfelel eljárások keretében rendszeresen ellen rizni kell az informatikai részleg által vezetett konfiguráció- nyilvántartás meglétét és a bejegyzések konzisztenciáját. d

d

128

Konfiguráció-kezelési szabályok KONTROLL IRÁNYELV Olyan konfigiráció-kezelési szabályokat kell kialakítani, amelyek gondoskodnak arról, hogy azonosításra és megfelel en aktualizálásra kerüljenek a szervezet informatikai er forrásainak kritikus fontosságú alkotóelemei. Ki kell alakítani egy olyan integrált eljárást, amely felméri az aktuális és a jöv beni adat-feldolgozási igényeket és ezzel kiindulási alapot szolgáltat az informatikai er forrás-beszerzési eljárás számára. d

d

d

d


9.8

Szoftver elszámoltathatóság KONTROLL IRÁNYELV A szoftvereket meg kell jelölni, nyilvántartásba kell venni és megfelel engedéllyel kell rendelkezni használatukra vonatkozóan. Olyan könyvtár-kezel szoftvert kell használni, amelynek segítségével visszakereshet ek a korábbi program-módosítások és nyilvántarthatóak a program verziószámok, a létrehozás id pontjára vonatkozó információk és a korábbi változatokról készült másolatok. d

d

d

d

129


IT10 Informatikai szolgáltatás és támogatás Problémák és rendkívüli események kezelése




E E



M


Felügyelet

problémák és rendkívüli események kezelése Az eljárással szemben támasztott üzleti követelmény: a problémák és rendkívüli események megoldása, továbbá az okok feltárása az ismételt el fordulás megel zése érdekében d

d

A megvalósítás módja: probléma-kezel rendszer alkalmazása, amely nyilvántartja a rendkívüli eseményeket és követi az azokkal kapcsolatos fejleményeket d


d

d

d

d

d

d

d

d

d

y

y

130

y

y

Ad ato k

• • • •

problémák és megoldások megfelel ellen rzési naplója feltárt problémák megfelel id ben történ rendezése a problémák (illetékesekhez történ ) továbbításával kapcsolatos eljárások jelentés rendkívüli eseményekr l konfigurációra vonatkozó információk hozzáférhet sége szállító felel sségei összehangolás a változás-kezeléssel Em be r Al kal ek ma zá Te chn sok oló gia

• • •

y



Ezzel összefüggésben szorosan együtt kell m ködni a változtatások, az elérhet ség és a konfiguráció kezeléséért felel s részlegekkel. h

10.

PROBLÉMÁK ÉS RENDKÍVÜLI

d

ESEMÉNYEK KEZELÉSE

10.1

d

Probléma-kezel rendszer KONTROLL IRÁNYELV Az informatikai részleg vezetésének ki kell alakítania egy megfelel probléma-kezel rendszert, amely gondoskodik a m ködés során tapasztalt nem szokásos események (rendkívüli esetek, problémák, hibák, stb.) nyilvántartásáról, elemzésér l és megfelel id ben történ megoldásáról. A vészhelyzetekben alkalmazandó program eljárások megváltoztatását azonnal tesztelni kell, jóvá kell hagyatni és jelentést kell készíteni az esetr l. Jelent sebb probléma esetén ún. ’ rendkivüli eset jelentést’ kell készíteni. e

10.4

d

d

h

d

d

d

d

d

d

d

d

d

10.2

10.5

Problémák eszkalációja KONTROLL IRÁNYELV A vezetésnek ki kell alakítania megfelel probléma felterjesztési/ továbbítási eljárásokat (az illetékesek felé) a feltárt problémák lehet leghatékonyabb módon és megfelel id ben történ megoldása érdekében. A fenti eljárásokban meg kell határozni az ezzel kapcsolatos prioritásokat. Az eljárás kertében dokumentálni kell az informatikai folyamatossági terv m ködésbe lépésére vonatkozó döntésel készít eljárást is. d

d

d

d

d

h

d

10.3

Hozzáférés ideiglenes engedélyezése vészhelyzetekben KONTROLL IRÁNYELV Egységes formában dokumentálni kell és nyilván kell tartani a vészhelyzetekben megadott ideiglenes hozzáférési engedélyeket, amelyekhez az illetékes vezetk jóváhagyása szükséges. Az ideiglenes hozzáférési engedélyeket automatikusan meg kell szüntetni az erre vonatkozóan el re meghatározott id letelte után és az engedélyekr l biztonságos úton tájékoztatni kell a biztonsági részleget.

d

Probléma nyomon követése és ellen rzési napló KONTROLL IRÁNYELV A probléma-kezel rendszer keretében ki kell alakítani olyan megfelel ellen rzési naplókat, amelyek lehet vé teszik a problémák mögött meghúzódó okok (pl. program újabb változatainak kibocsátása vagy sürg s változtatás bevezetése) felderítését a rendkívüli eseményb l kiindulva az okokig, és vissza. e

d

d

d

d

d

d

131

M veletek prioritási sorrendje vészhelyzet esetén KONTROLL IRÁNYELV Meg kell határozni, dokumentálni kell és az illetékes program- és informatikai vezetésnek jóvá kell hagynia a m veletek vészhelyezetek esetén érvényes proioritási sorrendjét. i

h


IT11 Informatikai szolgáltatás és támogatás Adatok kezelése





E


E

Felügyelet

Informatikai eljárás: adatok kezelése Az eljárással szemben támasztott üzleti követelmény:

az adatok teljességének, pontosságának és érvényességének meg rzése a rögzítés, az aktualizálás és a tárolás során d

A megvalósítás módja: az informatikai eljárásokhoz kapcsolódó általános illetve alkalmazási rendszerekbe épített ellen rzések hatékony kombinációja d


•

h

d

d

d

d

132

Ad ato k

•

rlapok, formanyomtatványok megtervezése forrás-dokumentumok ellen rzése rögzítés (input), feldolgozás és kimenet (output) ellen rzése adathordozók azonosítása, mozgatása és könyvtári kezelése adatok mentése és visszatöltése hitelesség és sértetlenség adat-tulajdonos adat-adminisztrációs elvek, szabályzatok adatmodellek és adateleírásra vonatkozó szabványok integráció és konzisztencia különböz informatikai környezetek (platformok) között törvényi és jogszabályi el írások Em be r Al kal ek ma zá Te chn sok oló gia

• • • • • • • • •

z



ADATOK KEZELÉSE

11.5

11.1

Adat el készítési eljárások KONTROLL IRÁNYELV A vezetésnek meg kell határoznia, hogy a felhasználói osztályoknak milyen adat-el készítési szabályokat kell követniük. Ezzel összefüggésben a rögzítésre kerül adatformalapokat, képerny ket úgy kell megtervezni, hogy az minimalizálja a hibák és kihagyások lehet ségét. Olyan hibakezel eljárásokat kell kialakítani, amelyek az adatok rögzítésekor felderítik, jelzik és kijavítják a hibákat és szabálytalanságokat.

d

d

d

d

d

Forrás-dokumentum engedélyezési eljárás KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a forrás-dokumentumokat helyesen készítsék el az arra felhatalmazott dolgozók, továbbá, hogy a forrás-dokumentumok elkészítésének és engedélyezésének munkakörei megfelel en külön legyenek választva.

d

d

d

11.6

d

11.2

e

d

e

d

Forrás-dokumentumok meg rzése KONTROLL IRÁNYELV Megfelel eljárások keretében gondoskodni kell az eredeti forrásdokumentumok megfelel ideig meg rzésér l illetve történ reprodukálhatóságáról az adatok visszakeresésének illetve helyreállításának megkönnyítése és a jogi el írások betartása érdekében. Adatbevitel engedélyezése KONTROLL IRÁNYELV A szervezetnek megfelel eljárások keretében gondoskodnia kell arról, hogy adatokat csak az arra felhatalmazott személyek vihessenek be a számítógépes rendszerbe. d

11.7

Pontosság, teljesség és érvényesség ellen rzése KONTROLL IRÁNYELV Ellen rizni kell a feldolgozásra bevitt tranzakciós adatok (mind az emberek által el állított, a rendszer illetve az által el állított interfészeken keresztül bevitt adatok) pontosságát, teljességét és érvényességét. Arról is gondoskodni kell megfelel eljárások révén, hogy az input-adatok érvényesítése és szerkesztése az adatok el állítását követ en a lehet legrövidebb id n belül megtörténjen. e

d

d

d

d

d

11.3

Forrás-dokumentumok adatainak összegy jtése KONTROLL IRÁNYELV Megfelel szervezeti eljárások révén gondoskodni kell arról, hogy az engedélyezett forrás-dokumentumok teljesek és pontosak legyenek, pontosan számon tartsák azokat, és megfelel id ben kerüljenek továbbításra adatrögzítés céljára.

d

i

d

d

d

11.8

d

d

Adatbeviteli hibák kezelése KONTROLL IRÁNYELV A szervezetnek megfelel eljárások keretében gondoskodnia kell a hibásan bevitt adatok kijavításáról és ismételt bevitelér l. d

d

d

11.4

Forrás-dokumentumok hibáinak kezelése KONTROLL IRÁNYELV Ki kell alakítani olyan hibakezel eljárásokat, amelyek az adatok rögzítésekor felderítik, jelentik és kijavítják a hibákat és szabálytalanságokat.

11.9

d

Adatfeldolgozás sérthetetlensége KONTROLL IRÁNYELV A szervezetnek olyan adatfeldolgozási eljárásokat kell kialakítania, amelyek gondoskodnak a munka- és feladatkörök különválasztásáról és az elvégzett munka rutinszer ellen rzésér l. A fenti eljárások h

d

133

d


keretében gondoskodni kell az adatok és törzsállományok aktualizálásának illetve felfrissítésének megfelel ellen rzé-sér l is d

11.10

d

d

Adatfeldolgozás helyességének ellen rzése és szerkesztése KONTROLL IRÁNYELV Megfelel eljárások keretében gondoskodni kell arról, hogy az adatfeldolgozás helyességének ellen rzése, hitelesítése és a szerkesztés az adatok el állítását követ en a lehet legrövidebb id n belül megtörténjen. Mesterséges intelligencián alapuló rendszerek használata esetén ezeket a rendszereket olyan interaktív, ellen rzési mechanizmusokat tartalmazó környezetben kell kiépíteni, hogy az alapvet fontosságú döntések esetében emberi jóváhagyásra legyen szükség.

rendszerek által el állított kimen adatok kiosztására vonatkozóan. d

11.14

e

d

h

d

d

d

d

d

e

d

d

d

Kimen adatok egyeztetése KONTROLL IRÁNYELV A szervezetnek ki kell dolgoznia olyan eljárásokat, amelyek biztosítják a kimen adatok és a vonatkozó ellen rz összesítések rutinszer egyeztetését. Megfelel ellen rzési naplókat kell kialakítani a tranzakció-feldolgozás nyomon követésére valamint a megszakadt feldolgozás miatt sérült adatok egyeztetésének megkönnyítése érdekében. d

d

d

d

11.15

h

Kimen adatok átvizsgálása és hibakezelés KONTROLL IRÁNYELV A szervezet vezetésének el kell írnia, hogy a kimen adatokról készült jelentések pontosságát az adatok el állítójának és az érintett felhasználóknak is át kell vizsgálniuk. A kimen adatokban talált hibák ellen rzésére és kezelésére is megfelel eljárásokat kell kidolgozni. e

d

d

d

11.11

Adatfeldolgozási hibák kezelése KONTROLL IRÁNYELV A szervezetnek ki kell alakítania olyan adatfeldolgozási hibakezelési eljárásokat, amelyek lehet vé teszik a hibás tranzakciók feldolgozás el tti kisz rését, úgy, hogy azok ne akadályozzák a többi érvényes tranzakció feldolgozását.

d

d

d

d

d

11.12

h

Kimen adatok kezelése és meg rzése KONTROLL IRÁNYELV A szervezetnek megfelel eljárásokat kell kialakítania az informatikai alkalmazási programok kimen adatainak kezelésére és meg rzésére. Amennyiben átruházható eszközökre (pl. érték-kártyákra) kerülnek a kimeneti adatok, külön intézkedéseket kell kidolgozni a visszaélések megakadályozása érdekében.

11.16

A kimen adatokról készült jelentésekre vonatkozó biztonsági el írások KONTROLL IRÁNYELV A szervezetnek ki kell dolgoznia olyan eljárásokat, amelyek gondoskodnak a kimen adatokról készült és kiosztás el tt álló illetve a felhasználóknak már kiosztott jelentésekre vonatkozó biztonsági el írások betartásáról. e

e

e

e

d

d

d

d

d

d

11.17

Bizalmas információk védelme adattovábbítás és szállítás közben KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a bizalmas információk adattovábbítás és szállítás közben történ megvédésér l, a jogtalan hozzáférések, a módosítások és a téves kézbesítések megakadályozásáról. d

11.13

Kimen adatok kiosztása KONTROLL IRÁNYELV A szervezetnek írásbeli szabályzatot kell kidolgoznia az informatikai e

134

d


11.18

A megsemmisítésre ítélt bizalmas információk védelme KONTROLL IRÁNYELV A vezetésnek megfelel eljárásokat kell kialakítania a megsemmisítésre ítélt bizalmas információkhoz és számítógép-szoftverekhez, lemezekhez és egyéb berendezésekhez illetve adathordozókhoz való hozzáférés megakadályozása érdekében akkor, amikor ezeket leselejtezik vagy más célú felhasználásra adják át. Az eljárások keretében arról is gondoskodni kell, hogy a kitöröltnek illetve megsemmisítend nek megjelölt adatokat ne tudja visszakeresni egyetlen bels illetve küls fél sem. d

adathordozók sértetlenségének meg rzése érdekében. d

11.22

e

d

d

d

d

d

11.19

Adattárolás szabályozása KONTROLL IRÁNYELV Megfelel adattárolási szabályokat kell kialakí, figyelembe véve a visszakereshet séggel kapcsolatos követelményeket, a költséghatékonyságot és a biztonsági alapelveket is. d

d

d

11.20

Meg rzési id és tárolási feltételek KONTROLL IRÁNYELV Meg kell határozni a dokumentumok, adatok, programok, jelentések és üzenetek (bejöv és kimen ), valamint az ezek rejtjelezéséhez és hitelesítéséhez használt adatok (kulcsok, tanúsítványok) meg rzési idejét és tárolási feltételeit. e

e

Az adathordozó-könyvtár kezeléséhez kapcsolódó felel sség KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy létezzen egy olyan eljárásrend és szabályzat, amely az adathordozókönyvtár tartalmának védelmét szolgálja. Külön szabályokat és el írásokat kell kidolgozni a mágneses adathordozók külsején megjelen azonosító címkékre, az adthordozók tárolására és fizikai mozgatásuk nyomon követésére annak érdekében, hogy mindig el lehessen velük számolni. Ki kell jelölni az informatikai részleg dolgozói közül az adathordozó könyvtár (mágnesszalagok, cserélhet szalag kazetták illetve egyéb cserélhet adathordozó elemek, lemezek, hajlékony mágneses lemezek) kezeléséért felel s személyeket. d

d

11.23

Mentés (back-up) és helyreállítás KONTROLL IRÁNYELV A vezetésnek ki kell dolgoznia egy megfelel stratégiát az adatok mentésére és helyreállítására vonatkozóan, amely kitér az üzleti követelmények áttekintésére valamint a helyreállítási terv kidolgozására, megvalósítására, tesztelésére és dokumentálására is. eljárások keretében Megfelel gondoskodni kell arról, hogy a mentések megfeleljenek a fenti követelményeknek. d

d

d

d

d

11.21

Adathordozó-könyvtár kezel rendszer KONTROLL IRÁNYELV Az informatikai részlegnek megfelel eljárások keretében gondoskodnia kell az adatokat tartalmazó adat-hordozó könyvtár szisztematikus leltározásáról és arról, hogy a leltározás során talált eltérések id ben rendezésre kerüljenek, továbbá megfelel intézkedéseket kell hoznia a könyvtárban tárolt mágneses e

d

11.24

d

d

135

Mentési munkafolymatok KONTROLL IRÁNYELV Megfelel eljárások keretében gondoskodni kell arról, hogy a mentési m veletek a meghatározott mentési stratégiával összhangban kerüljenek végrehajtásra, továbbá rendszeres id közönként ellen rizni kell a mentések használhatóságát. d

h

d

d


11.25

Mentések tárolása KONTROLL IRÁNYELV Az informatikai adathordozókra vonatkozó mentési el írások keretében gondoskodni kell az adatállományok, a szoftverek és a kapcsolódó dokumentációk megfelel tárolásáról, mind a a szervezet telephelyén, mind azon kívül. A mentéseket biztonságos helyen kell rizni és rendszeres id közönként ellen rizni kell a tárolási hely fizikai valamint az hozzáférhet ségét adatállományok és egyéb elemek biztonságát.

11.29

d

d

d

d

d

d

d

d

11.26

Archiválás KONTROLL IRÁNYELV A vezetésnek megfelel szabályok és eljárások kialakításával gondoskodnia kell arról, hogy az adatok archiválására a jogi és üzleti követelményeknek megfelel en kerüljön sor, továbbá gondoskodni kell az archivált adatok megfelel védelmér l és nyilvántartásáról. d

d

d

d

d

11.27

Bizalmas üzenetek védelme KONTROLL IRÁNYELV Az Interneten illetve más nyilvános hálózatokon keresztül történ adattovábbítások kapcsán a vezetésnek ki kell alakítania olyan eljárásokat, szabályokat illetve számítástechnikai, hálózati protokollokat, amelyek gondoskodnak a bizalmas üzenetek sértetlenségének, bizalmasságának és letagadhatatlanságának meg rzésér l.

Elektronikus tranzakciók sértetlensége KONTROLL IRÁNYELV Figyelembe véve azt a tényt, hogy egyre kevésbé lehet támaszkodni a hagyományos értelemben vett földrajzi és id beli határokra, a vezetésnek megfelel eljárásokat és szabályokat kell kialakítania a bizalmas és kritikus elektronikus tranzakciók sértetlenségének és hitelességének biztosítása érdekében az alábbi szempontok alapján: • atomicitás (feloszthatatlan munka-egység; vagy minden sikerül, vagy semmi); • konzisztencia, ellentmondásmentesség (ha a tranzakció nem képes egy stabil végállapotot elérni, a rendszernek vissza kell térnie a kiinduló állapothoz); • elszigeteltség (a tranzakció magatartását nem befolyásolják más egyid ben futó tranzakciók); és • tartósság (a tranzakció hatásai tartósak, az adatváltozásnak meg kell maradnia rendszerösszeomlások után is).

11.30

d

d

d

A tárolt adatok sértetlenségének folyamatos fenntartása KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell az adatállományokban és más adathordozókon (pl. elektronikus kártyán) tárolt adatok sértetlenségének és pontosságának rendszeres id közönként történ ellen rzésér l. Külön figyelmet kell fordítani a pénzbeni értékre utaló információka, a hivatkozási fájlokra és a személyes adatokat tartalmazó állományokra. d

d

11.28

Hitelesség és sértetlenség KONTROLL IRÁNYELV A szervezethez kívülr l érkez (akár telefonon, hangpostán, papír formában, faxon vagy elektronikus postán keresztül eljuttatott) információk hitelességét és sértetlenségét megfelel módon ellen rizni kell, bármilyen kritikus fontosságú lépés megtétele el tt. d

d

d

d

d

136

d

d


IT12 Informatikai szolgáltatás és támogatás Létesítmény kezelése






Felügyelet

létesítmény kezelése Az eljárással szemben támasztott üzleti követelmény: megfelel fizikai környezet biztosítása, amely megvédi az informatikai eszközöket és a dolgozókat az emberi eredet és a természeti veszélyekt l d

h

d

A megvalósítás módja: környezetre és fizikai védelemre vonatkozó szabályozások és eljárások bevezetése és azok megfelel m ködésének rendszeres felülvizsgálata d

h


hozzáférés az eszközökhöz telephely azonosítása fizikai biztonság vizsgálati és felterjesztési, jelentési szabályok üzemvitel folytonosságának tervezése és válságkezelés dolgozói egészség- és munka-védelem megel z karbantartási eljárások környezeti veszélyekkel szembeni védelem automatikus felügyelet (monitoring) d

{

137

Ad ato k

d


• • • • • • • • •



léphessenek be a számítógépes helyiségekbe. A látogatásokról naplót kell vezetni, amelyet rendszeres id közönként ellen rizni kell.

LÉTESÍTMÉNY KEZELÉSE

d

12.1

Fizikai védelem KONTROLL IRÁNYELV Megfelel intézkedéseket kell hozni az informatikai eszközök fizikai védelme és az eszközökhöz történ hozzáférés ellen rzésee céljából, beleértve az informatikai eszközök küls szervezet telephelyén kivül történ felhasználását is, az általános biztonsági szabályokkal összhangban. A fizikai biztonság és hozzáférés ellen rzését a rendszerhardverek helyiségein kívül a rendszer elemeinek összekapcsolásához használt kábelezési egységekre, a segít szolgáltatásokra (például elektromos áramforrások), a mentésekhez használt adathordozókra és a rendszer m ködéséhez szükséges minden egyéb elemre ki kell terjeszteni. Hozzáférési jogot csak az arra felhatalmazott személyek kaphatnak. Amennyiben az informatikai eszközök nyilvános területeken vannak elhelyezve, gondoskodni kell azok megfelel védelmér l az esetleges rongálások illetve lopások megel zése érdekében. d

12.4

d

d

d

d

Dolgozók egészsége és munkavédelelm KONTROLL IRÁNYELV Olyan baleset- és egészségvédelmi szabályokat kell kidolgozni és alkalmazni, amelyek megfelelnek az érvényben lév nemzetközi, országos, regionális és helyi jogszabályoknak és el írásoknak. d

d

d

d

12.5

d

12.2

h

d

d

d

d

e

d

h

d

Környezeti tényez kkel szembeni védelem KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy megfelel védelmi intézkedések és eljárások legyenek érvényben a környezeti veszélyforrásokra (pl. t z, por, elektromosság, túlzott h mérséklet illetve páratartalom, stb.) vonatkozóan. Ezzel összefüggésben gondoskodni kell a környezeti paraméterek figyeléséhez szükséges eszközök és berendezések kiépítésér l.

12.6

Informatikai eszközök “ elrejtése” KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy az informatikai eszközök “ ne legyenek túlzottan szem el tt” és, hogy az informatikai üzemeltetési helyszínek fizikai azonosíthatósága korlátozott legyen. d

Folyamatos üzem (szünetmentes) tápegység KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként fel kell mérnie a szünetmentes tápegységek és generátorok iránti igényeket a kritikus programok biztonságos m ködése (áramkimaradások és áramingadozások kiküszöbölése) érdekében. Amennyiben indokolt, a legmegfelel bb berendezést kell üzembe állítani. i

d

d

h

12.3

Látogatók kísérése KONTROLL IRÁNYELV Megfelel eljárások keretében gondoskodni kell arról, hogy küls személyek, vagyis akik nem tagjai az informatikai részleg üzemeltetési csoportjának, csak a fenti csoport valamely tagjának kíséretében d

d

138


IT13 Informatikai szolgáltatás és támogatás Informatikai üzemeltetés irányítása




E E



M M

Informatikai eljárás: Felügyelet

informatikai üzemeltetés irányítása Az eljárással szemben támasztott üzleti követelmény:

az informatikai részleg által nyújtott fontos támogató szolgáltatások megfelel és rendszeres teljesítésének biztosítása. d

A megvalósítás módja: támogatási tevékenységek listája, amely az elvégzett tevékenységek rögzítésére és végrehajtásának ellen rzésére szolgál. d


• • • • • • •

üzemeltetési kézikönyv rendszer indítási eljárás dokumentációja hálózati szolgáltatások kezelése üzemi terhelés és alkalmazottak beosztása m szakváltásra, átadásra vonatkozó szabályok rendszer-események nyilvántartása változáskezeléssel, rendelkezésre állás biztosításával és az folyamatos üzemvitel fenntartásával történ koordináció megel z karbantartás szolgáltatási szint megállapodások automatizált, emberi felügyelet nélküli müködés rendkivüli események naplónyilvántartása, nyomonkövetése és felterjesztése h

d

d

|

|

139

|

Ad ato k

d


• • • •

|



13.4

ÜZEMELTETÉS IRÁNYÍTÁSA

Eltérések a munkafolyamatok el írt ütemezést l KONTROLL IRÁNYELV Megfelel eljárásokat kell kialakítani a munkafolyamatok el írt történ eltérések ütemezését l megállapítására, kivizsgálására és jóváhagyására vonatkozóan. e

13.1

Üzemeltetési leírást és utasításokat tartalmazó kézikönyv KONTROLL IRÁNYELV Az informatikai részlegnek egységes szabványos eljárásokat kell kialakítania az informatikai rendszerek üzemeltetésére vonatkozóan (a hálózati üzemeltetést is beleértve) és megfelel en dokumentálnia kell azokat. Minden alkalmazott informatikai megoldást és platformot a fenti eljárásoknak megfelel en kell m ködtetni. Az eljárások eredményességét és betartását rendszeres id közönként ellen rizni kell.

d

d

d

13.5

d

d

Indítási eljárás és egyéb üzemeltetési szabályok dokumentációja KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy az üzemeltet személyzet megfelel ismeretekkel és gyakorlottsággal rendelkezzen az indítási eljárás és a többi üzemeltetési feladat dokumentálása, rendszeres tesztelése és szükség szerinti módosítása terén. d

Feldolgozás folyamatossága KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy a feldolgozás a kezel i m szakváltás alatt is folyamatos legyen, és ennek érdekében meg kell határozni a munkafeladatok átadására, az állapot jelentésének aktualizálására és a feladatokért viselt felel sségr l szóló jelentésekre voantkozó szabályokat. d

h

13.2

d

d

d

d

e

h

d

13.6

d

d

Üzemeltetési napló KONTROLL IRÁNYELV Megfelel eljárások révén gondoskodni kell arról, hogy az üzemeltetési naplókban rögzítésre kerüljenek azok a szükséges kronológiai információk, amelyek lehet vé teszik a adatfeldolgozási folyamatok és a feldolgozáshoz kapcsolódó és azt segít egyéb tevékenységek id sorrendjének rekonstruálását, áttekintését és kivizsgálását. d

d

13.3

Munkaszevezés KONTROLL IRÁNYELV Az informatikai részleg vezetésének gondoskodnia kell arról, hogy a szolgáltatási szint megállapodásokban kit zött célok teljesítése érdekében a munkafolyamatok, eljárások és feladatok a lehet leghatékonyabb módon legyenek megszervezve, maximális átereszt képességet és kihasználtságot biztosítva. Az eredeti ütemezések és azok kés bbi módosításai engedélyezéshez kötöttek. h

d

d

13.7

d

d

d

Speciális nyomtatványok és output eszközök védelme KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell a speciális nyomtatványok, például az átruházható értékpapírok, és a bizalmas jellleg output eszközök, például az aláírási kazetták megfelel fizikai védelmér l, figyelembe véve a további védelmet és készlet-gazdálkodást igényl informatikai er források, nyomtatványok illetve tételek megfelel elszámolását. h

d

d

d

d

d

140


13.8

Távm ködtetés KONTROLL IRÁNYELV esetén külön Távm ködtetés eljárásokat kell kidolgozni a távm ködtet állomás(ok)hoz történ csatlakozás illetve leválás meghatározására és végrehajtására vonatkozóan. i

h

h

d

d

141


F ELÜGYELET

142


F1

Felügyelet

Eljárások felügyelete



Beszerzés és bevezetés M ködés és támogatás }

E M M M M M M

Felügyelet

Informatikai eljárás: eljárások felügyelete (monitoring) Az eljárással szemben támasztott üzleti követelmény:

az informatikai folymatokra vonatkozóan meghatározott teljesítményi célkit zések teljesítésének biztosítása h

A megvalósítás módja: vonatkozó teljesítmény-mutatók meghatározása, teljesítmény-adatok rendszeres és szisztematikus jelentése, továbbá azonnali lépések kezdeményezése eltérések észlelése esetén. Mérlegelend kérdések: e

teljesítmény-mutató táblázatok, amelyek tartalmazzák a teljesítmény el állításáért felel s elemeket valamint a kimeneti eredmények mérését felhasználók elégedettségének értékelése vezet i jelentések múltbeli teljesítmény-adatok ismereti bázisának összeállítása más szervezetekhez történ viszonyítás (benchmarking) d

d

d

~

~


• • • •

d

143

~

~

Ad ato k

•

~



1.

ELJÁRÁSOK FELÜGYELETE

1.1

Ellen rzési (monitoring) adatok összegy jtése KONTROLL IRÁNYELV Az informatikai és a bels ellen rzési eljárásokhoz kapcsolódóan a vezetésnek gondoskodnia kell megfelel , akár bels , akár küls forrásból ered teljesítménymutatók (pl. viszonyítási normák) kidolgozásáról valamint a fenti mutatókkal kapcsolatos vezet i információs jelentések és rendkívüli esetekr l szóló jelentések elkészítéséhez szükséges adatok összegy jtésér l. Emellett megfelel kontroll eljárásokat kell kialakítani a szervezeti és egyéni teljesítményi mér számok és mutatók megfel ségének és sértetlenségéek ellen rzésére is. e

i

d

d

d

d

d

d

d

d

h

d

d

d

d

d

1.2

Teljesítmény értékelése KONTROLL IRÁNYELV A vezetésnek mérnie kell (a meghatározott teljesítmény-mutatók illetve kritikus siker-tényez k alapján) az informatikai részleg által nyújtott szolgáltatásokat és össze kell hasonlítania azokat a tervezett szintekkel. Az informatikai részleg teljesítményét rendszeres jelleggel, folyamatosan értékelni kell. d

1.3

Felhasználói elégedettség értékelése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként meg kell vizsgálnia, hogy a felhasználók milyen mértékben elégedettek az informatikai részleg szolgáltatásaival. Az ilyen jelleg vizsgálatok segítenek a szolgáltatási hiányosságok feltárásában és az azok kiküszöbölésére irányuló célkit zések meghatározásában. d

h

h

144

Vezet i jelentések KONTROLL IRÁNYELV Vezet i jelentéseket kell készíteni a fels vezetés számára a kit zött szervezeti célok megvalósításának irányában történt el relépések áttekintéséhez. Az állapotjelentésekben jelezni kell azt, hogy a tervezett célokat és teljesítményi célkit zéseket milyen mértékben sikerült megvalósítani és a kockázatokat milyen mértékben sikerült csökkenteni. Az áttekintés alapján meg kell tenni a szükséges vezet i intézkedéseket és lépéseket. e

d

d

h

d

d

h


F2

Felügyelet

Bels ellen rzés megfelel ségének felmérése



Beszerzés és bevezetés M ködés és támogatás

E E M M M E M

Felügyelet

Informatikai eljárás: bels ellen rzés megfelel ségének felmérése d

d

Az eljárással szemben támasztott üzleti követelmény: az informatikai eljárásokra vonatkozóan meghatározott bels ellen rzési irányelvek megvalósításának biztosítása d

d

A megvalósítás módja: ellen rzési eljárások m ködésének vezet i felügyelete és bels eredményességének értékelése, továbbá rendszeres jelentéskészítés a fentiekr l d

d

h

d

d


bels ellen rzési felel sségi körök kijelölése bels ellen rzés folyamatos felügyelete viszonyítási normák jelentéskészítés hibákról és rendkívüli esetekr l önértékelés vezet i jelentések törvényi, jogszabályi és egyéb szabályozási követelményeknek való megfelelés d

d

d

d

d

d

d

145

Ad ato k

• • • • • • •


d



információkra van szükség az egyes döntési szinteken.

BELS ELLEN RZÉS MEGFELEL SÉGÉNEK FELMÉRÉSE

2.4

Üzemeltetés biztonsága és bels ellen rzés rendszeres felülvizsgálata KONTROLL IRÁNYELV Gondoskodni kell az üzemeltetési biztonság és a bels ellen rzés rendszeres felülvizsgálatáról, és ennek kapcsán önértékelés vagy független ellen rzés formájában meg kell vizsgálni, hogy a ellen rzési biztonsági és bels eljárások a meghatározott illetve alkalmazott biztonsági és bels ellen rzési követelményeknek megfelel en m ködnek-e, vagy sem. A vezetésnek, felügyeleti feladatai keretében, fel kell tárnia a sebezhet pontokat és a biztonsági problémákat. e

e

2.1

Bels ellen rzés felügyelete KONTROLL IRÁNYELV A vezetésnek irányítási és felügyeleti eljárások, összehasonlítások, egyeztetések és más jelleg rutin-intézkedések révén figyelemmel kell kísérnie azt, hogy a bels ellen rzési eljárások eredményesen m ködnek-e a szervezet szokásos eljárásrendjén belül. Hiányosságok esetén elemezni kell a helyzetet és meg kell hozni a szükséges korrekciós intézkedéseket. Emellett az észlelt hiányosságokról tájékoztatni kell az adott funkcióért felel s személyt valamint annak valamely felettesét. A súlyos hiányosságokat jelenteni kell a fels vezetés felé. e

e

h

d

d

h

d

d

2.2

Bels ellen rzési eljárások kell id ben történ alkalmazása KONTROLL IRÁNYELV A bels ellen rzési eljárások akkor m ködnek eredményesen, ha gyorsan felderítik és kijavítják a hibákat és ellentmondásokat, még miel tt befolyásolnák azok a rendszer üzemszer müködését illetve a szolgáltatásnyújtást. A hibákra, ellentmondásokra és kivételes esetekre vonatkozó információkat meg kell rizni és rendszeres jelentést kell készíteni azokról a vezetés részére. e

e

e

e

e

d

d

h

d

h

d

2.3

Jelentés a bels ellen rzés szintjér l KONTROLL IRÁNYELV A vezetésnek jelentést kell készítenie az érintett felek részére a bels ellen rzési szintekr l és a kivételes esetekr l azért, hogy a bels ellen rzési rendszer eredményességét folyamatosan meg lehessen rízni. Ezzel kapcsolatban meg kell határozni azt, hogy milyen e

e

e

d

d

d

d

d

d

d

146

d

d

d

d

d

d

d

d

h

d


F3

Felügyelet

Független értékelés végeztetése




E E M M M M M

Felügyelet

Informatikai eljárás: független értékelés végeztetése Az eljárással szemben támasztott üzleti követelmény: a szervezet, a felhasználók és a küls növelése

szolgáltatók közötti kölcsönös bizalom d

A megvalósítás módja: független értékelések végrehajtása rendszeres id közönként d


•

d

d

d

d

d

d

d

d

h

d

147

Ad ato k

• • •

független tanúsítványok / hitelesítések független eredményességi értékelések a törvények és jogszabályi el írások betartásának független értékelése a szerz déses kötelezettségek betartásának független értékelése küls szolgáltatók értékelése értékel ellen rzések végrehajtása megfelel képzettség dolgozók révén megel z audit-ellen rzések


• • •



kell szereznie a küls eredményességér l.

szolgáltatók d

d

3.

FÜGGETLEN ÉRTÉKELÉS VÉGEZTETÉSE

3.5

A törvényi ill. jogszabályi el írások és a szerz déses kötelezettségek betartásának független ellen rzése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként független szakért vel ellen riztetnie kell azt, hogy az informatikai részleg betartja-e a törvényi ill. jogszabályi el írásokat és szerz déses kötelezettségeit. e

3.1

Informatikai szolgáltatásokra vonatkozó független biztonsági és bels ellen rzési tanúsítás/ hitelesítés KONTROLL IRÁNYELV A kritikus fontosságú új informatikai szolgáltatások bevezetése el tt a vezetésnek független szakért i tanúsítást / hitelesítést kell szereznie az érintett rendszerek ellen rzési biztonsági és bels eljárásaira vonatkozóan. A szolgáltatás bevezetését követ en rendszeres id közönként meg kell újítani a korábban szerzett szakért i tanúsítást / hitelesítést. e

e

e

d

d

d

d

d

d

d

d

d

e

3.6

A törvényi ill. jogszabályi el írások és a szerz déses kötelezettségek küls szolgáltató általi betartásának független ellen rzése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként független szakért vel ellen riztetnie kell azt, hogy a küls szolgáltatók betartják-e a törvényi ill. jogszabályi el írásokat és szerz déses kötelezettségeiket. e

e

e

d

e

d

d

d

d

3.2

Küls szolgáltatókra vonatkozó független biztonsági és bels ellen rzési tanúsítás / hitelesítés KONTROLL IRÁNYELV Küls szolgáltatók szolgáltatásainak igénybe vétele el tt a vezetésnek független szakért i tanúsítást/ hitelesítést kell szereznie az adott szolgáltató biztonsági és bels eljárásairól. A ellen rzési szolgáltatás bevezetését követ en rendszeres id közönként meg kell újítani a korábban szerzett szakért i tanúsítást/hitelesítést.

d

e

e

d

e

d

d

d

d

3.7

d

d

A független értékel szervezet szakmai kompetenciája KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a független értékel szervezet alkalmazottai rendelkezzenek mindazokkal a szakmai, m szaki, technikai ismeretekkel, képességekkel és tapasztalatokkal, amelyek az ilyen jelleg feladatok hatékony, eredményes és gazdaságos ellátásához szükségesek. e

d

d

d

d

h

d

h

3.3

Az informatikai szolgáltatások eredményességének független értékelése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként független szakért i értékelést kell szereznie az informatikai szolgáltatások eredményességér l.

3.8

d

d

d

3.4

Küls szolgáltatók eredményességének független értékelése KONTROLL IRÁNYELV A vezetésnek rendszeres id közönként független szakért i értékelést e

d

d

148

Megel z audit-ellen rzések KONTROLL IRÁNYELV Az informatikai részleg vezetésének az ellen rzési részleg véleményét is ki kell kérnie az informatikai megoldások végleges jóváhhagyása el tt. e

d

d

e

e


F4

Felügyelet

Független ellen rz vizsgálat végeztetése




E E M M M M M

Felügyelet

Informatikai eljárás: független ellen rz vizsgálat (audit) végeztetése d

d

Az eljárással szemben támasztott üzleti követelmény: a bizalom szintjének és la egjobb gyakorlat követéséb l származó el nyök növelése d

d

A megvalósítás módja: független vizsgálat (audit) végrehajtása rendszeres id közönként d


• •

d

d

d

d

d

h

149

Ad ato k

•

audit, ellen rzési részleg függetlensége megel z ellen rzések, vizsgálatok auditálás, vizsgálat végrehajtása megfelel képzettség dolgozók révén észrevételek és javaslatok hivatalos jóváhagyása, a végrehajtásuk engedélyezése utómunkálatok (az audit, vizsgálat után) az audit alapján megfogalmazott ajánlások megvalósítási hatásának elemzése (költségek, hasznok és kockázatok)


• • •



d

4.

FÜGGETLEN ELLEN RZ VIZSGÁLAT (AUDIT) VÉGEZTETÉSE

4.1

Auditálási, ellen rzési szabályzat KONTROLL IRÁNYELV A szervezet fels vezetésének ki kell dolgoznia egy az ellen rzési részlegre, szervezeti egységre vonatkozó szabályzatot, amelyben fel kell vázolni az az ellen rzési részleg feladatait, hatáskörét, beszámolási kötelezettségét és a számonkérhet ség módját. A szabályzatot rendszeres id közönként felül kell vizsgálni az az ellen rzési részleg függetlenségének, hatáskörének és beszámolási kötelezettségének fenntartása érdekében.

zés minden területén megfelel szakmai gondossággal kell eljárni, beleértve a vonatkozó auditálási és informatikai szabványok betartását is.

e

4.4

d

d

d

d

d

d

Függetlenség KONTROLL IRÁNYELV Az ellen rnek függetlennek kell lennie az vizsgált részlegt l mind hozzáállás, mind megjelenés szempontjából (tényleges és érzékelt függetlenség). Az ellen r nem állhat szerz déses kapcsolatban a vizsgált részlegekkel illetve osztályokkal, és amennyire lehetséges, függetlennek kell lennie magától a vizsgált szervezett l is. Az ellen rzési funkciónak tehát kell mértékben függetlennek kell lennie a vizsgált területt l azért, hogy objektív ellen rzést tudjon végezni.

d

d

d

d

4.5

d

d

d

d

d

d

4.3

Szakmai etika és normák KONTROLL IRÁNYELV Az ellen rzési részlegnek minden esetben be kell tartania a rá vonatkozó szakmai etikai kódexek (pl. az Információs Rendszerek Ellen rzésének, Vizsgálatának és Irányításanak Egyesülete [ISACA] által kiadott "Szakmai etikai kódex") el írásait és a vizsgálat elvégzésére vonatkozó szabványokat (pl. az ISACA információs rendszer ellen rzési szabványait). Az ellen rd

d

d

d

d

d

d

d

d

d

d

4.2

Szakmai hozzáértés KONTROLL IRÁNYELV A vezetésnek gondoskodnia kell arról, hogy a szervezet informatikával kapcsolatos tevékenységeinek ellen rzéséért felel s ellen rök megfelel szakmai hozzáértéssel rendelkezzenek és együttesen birtokában legyenek mindazoknak a képességeknek és szakismereteknek (úm. CISA ismereteknek), amelyek szükségesek ahhoz, hogy a fenti ellen rzéseket hatékonyan, eredményesen és gazdaságosan tudják végrehajtani. A vezetésnek gondoskodnia kell arról, hogy az információs rendszerek ellen rzésével megbízott dolgozók megfelel szakmai továbbképzési programok révén meg rizzék szakmai hozzáértésüket.

d

150

Tervezés KONTROLL IRÁNYELV A fels vezetésnek ki kell dolgoznia egy tervet, amely rendelkezik a biztonsági és bels ellen rzési eljárások eredményességének, hatékonyságának és gazdaságosságának rendszeres id közönként történ független ellen rzésér l valamint olyan vizsgálatok elvégzésér l, amelyek arra irányulnak, hogy a vezetés képes-e megfelel en kontrollálni az informatikai részleg tevékenységét, vagy sem. A fenti terv keretében bizonyos prioritásokat is meg kell határoznia a fels vezetésnek a független ellen rzésekkel kapcsolatban. Az ellen röknek az információs rendszerek ellen rzését a kit zött vizsgálati célok alapján kell megtervezniük, a vonatkozó ellen rzési szabványok el írásait szem el tt tartva. d

d

d

d

d

d

d

d

d

d

d

d

d

h

d

d

d


4.6

Az ellen rzés (audit) végrehajtása KONTROLL IRÁNYELV Az ellen rzések során gondoskodni kell az ellen rzési célok teljesítésér l és a vonatkozó szakmai szabványok betartásáról. Az ellen röknek elégséges, megbízható, az érintett területre vonatkozó lényeges és hasznos bizonyítékokat kell összegy jteniük az ellen rzési célok eredményes teljesítése érdekében. Az ellen rzés alapján tett észrevételeket és ajánlásokat elemzésekkel és a bizonyítékok megfelel értelmezésével alá kell támasztani. e

4.8

d

d

d

d

h

d

d

d

4.7

Jelentéskészítés KONTROLL IRÁNYELV A szervezet ellen rzési részlegének az elvégzett ellen rzési munkáról megfelel formátumú jelentést kell készítenie az illetékesek számára. Az ellen rzési jelentésben ismertetni kell az ellen rzés kiterjedési körét és célját, a vizsgált id szakot, valamint az elvégzett munka jellegét és mélységét. A jelentésben közölni kell a jelentés címzettjeit és a kiosztásra vonatkozó esetleges korlátozásokat. Az ellen rzési jelentésben ismertetni kell az elvégzett munka alapján tett észrevételeket, konklúziókat és javaslatokat is, továbbá a vizsgálat eredményével kapcsolatos esetleges fenntartásokat és min sítéseket. d

d

d

d

d

d

d

d

151

További teend k, utómunkálatok KONTROLL IRÁNYELV Az ellen rzési részleg javaslatainak végrehajtásáért a vezetés felel. Az ellen röknek értékelniük kell, hogy vezetés a kell id ben megtette-e, vagy sem a korábbi észrevételekben, konklúziókban és javaslatokban leírt megfelel lépéseket és intézkedéseket. e

d

d

d

d

d


M ELLÉKLETEK

152


I. MELLÉKLET INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZET I ÚTMUTATÓ

Az alábbiakban közölt Vezet i Útmutató és Érettségi Modell példa meghatározza az informatikai irányításhoz kapcsolódó Kritikus Sikertényez ket, Kritikus Cél Mutatókat, Kritikus Teljesítmény Mutatókat és Érettségi Modelleket. El ször meghatározásra kerül az informatikai irányítás, a vonatkozó üzleti igények megfogalmazása révén. Ezt követ en kerül sor az informatikai irányításhoz kapcsolódó információs kritériumok azonosítására. Az üzleti igény a Kritikus Cél Mutatók alapján mérhet , amelynek megvalósítását a megadott kontroll eljárás teszi lehet vé, a jelzett informatikai er források felhasználásával. A megadott kontroll eljárás teljesítménye a Kritikus Teljesítmény Mutatók segítségével mérhet , amely figyelembe veszi a Kritikus Sikertényez ket. Az Érettségi Modell segítségével értékelni lehet azt, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást – a ’ Nem-létez ’ (legalacsonyabb) szintt l kiindulva a ’ Kezdeti/ad hoc jelleg ’ , az ’ Ismétl d de intuitív jelleg ’ , a ’ Meghatározott eljárás’ és az ’ Irányított és mérhet ’ szinten át az ’ Optimális’ (legmagasabb) szintig. Az Optimális érettségi szint informatikai irányítás eléréséhez a szervezetnek ’ Optimális’ szinten kell állnia a Felügyelet területen és legalább ’ Irányított és mérhet ’ szintet kell elérnie az összes többi tevékenységi területen.

(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezet i útmutatójában.)

153


Az INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ

VEZET I ÚTMUTATÓ

Az információ-technológia és az ahhoz kapcsolódó eljárások irányítása, az értékteremtés üzleti célját szem el tt tartva, a kapcsolódó kockázatok és el nyök figyelembe vétele mellett,

amely a szükséges Információs Kritériumoknak megfelel információkat biztosít a vállalkozás részére és a Kritikus Cél Mutatókkal mérhet ,

amely egy olyan, a vállalkozás számára megfelel , az informatikai tevékenységek által nyújtott értékteremtést irányító és felügyel eljárási és kontroll rendszer kialakítása és fenntartása révén valósítható meg,

amely figyelembe veszi a Kritikus Sikertényez ket, az összes Informatikai Er forrást felhasználja és m ködése a Kritikus Teljesítmény Mutatókkal mérhet .

Kritikus Sikertényez k

• •

Az informatikai irányítás tevékenységei szerves részét képezik a vállalatirányítási folyamatnak és a vezetési magatartásformáknak. Az informatikai irányítás a vállalati célokra, a stratégiai kezdeményezésekre, a vállalkozás fejlesztését segít technológiák használatára és a változó üzleti igényeknek megfelel er források és kapacitások elérhet ségére koncentrál. Az informatikai irányítás tevékenységei világos célok mentén lettek meghatározva, megfelel en dokumentálva vannak és a vállalkozás igényei alapján kerülnek végrehajtásra, a felel sségi körök egyértelm meghatározása mellett. Megfelel vezet i gyakorlatokat alkalmaznak az er források hatékony és optimális kihasználásának biztosítása és az informatikai eljárások eredményességének növelése céljából. Megfelel szervezeti gyakorlatokat alkalmaznak, amelyek lehet vé teszik az alábbiak megvalósítását: megbízható vezet i felügyelet; ellen rzési környezet/kultúra kialakítása; a kockázat-elemzés általános gyakorlatként történ alkalmazása; a kialakított normák megfelel mérték betartása; kontroll hiányosságok és kockázatok figyelemmel kísérése és megfelel korrekciós intézkedések megtétele (follow up). Megfelel ellen rzési gyakorlatokat határoztak meg a bels ellen rzés és a vezet i felügyelet ” cs djeinek” elkerülése céljából. Össze vannak kapcsolva és zökken mentesen képesek együttm ködni az olyan komplexebb informatikai eljárások, mint a probléma-, a változás és a konfiguráció-kezelés. Audit bizottság m ködik a szervezetnél, amely: felel s a független könyvvizsgáló kinevezéséért és munkájának felügyeletéért; az informatikai kérdésekre koncentrál az auditálási tervek kidolgozásakor; áttekinti az ellen rz vizsgálatok és a küls felek által végzett ellen rzések eredményeit.

•

• •

•

• •

154



Informatikai er források

eredményesség hatékonyság bizalmasság sértetlenség hozzáférhet ség szabályosság megbízhatóság

emberek alkalmazások technológia technikai környezet adatok

Kritikus Cél Mutatók • • • • • • •

Teljesítmény és költség-gazdálkodás javulása Jelent s informatikai beruházások ” hozamának” javulása Piaci reagálási id javulása Min ség, innováció és kockázat-kezelés javulása Megfelel en integrált és szabványosított üzleti eljárások alkalmazása Új ügyfelek szerzése és meglév ügyfelek kielégítése Megfelel sávszélesség, számítógép-teljesítmény és informatikai m ködési mechanizmusok elérhet sége Az egyes eljárások eredményeit felhasználó felek követelményeinek és elvárásainak megfelel id ben és a költségkeretek túllépése nélkül történ kielégítése Törvények, jogszabályi rendelkezések, ágazati normák és szerz déses kötelezettségek betartása Kockázat-vállalás átláthatósága és a meghatározott szervezeti kockázati profilok betartása Informatikai irányítás érettségre vonatkozó összehasonlító értékelések végzése Új szolgáltatás-nyújtási csatornák kialakítása

•

• • • •

Kritikus Teljesítmény Mutatók • • • • • • • •

Informatikai eljárások költség-hatékonyságának (költségek vs. szolgáltatások) javulása Eljárások fejlesztéséhez kapcsolódó informatikai cselekvési tervek számának növekedése Informatikai infrastruktúra kihasználtságának növekedése Érdekelt felek elégedettségének javulása (felmérés ill. panaszok száma alapján) Munkaer hatékonyságának (szolgáltatások száma alapján) és moráljának (felmérés alapján) javulása A vállalat-irányításhoz szükséges ismeretek és információk elérhet ségének javulása Az informatikai irányítás és a vállalat-irányítás egymáshoz kapcsolódásának fokozódása Teljesítmény javulása az informatikai eredménymutatók alapján.

155


Informatikai irányítás Érettségi Modellje Az információ-technológia és az ahhoz kapcsolódó eljárások olyan jelleg irányítása, amely az értékteremtés üzleti célját tartja szem el tt és figyelembe veszi a kapcsolódó kockázatokat és el nyöket

0

Nem létez Teljesen hiányzik az informatikai irányítás m ködésére utaló bármilyen eljárás. A szervezet nem ismerte fel még azt sem, hogy foglalkozni kellene ezzel a kérdéssel, ezért nincs is napirenden a kérdés.

1

Kezdeti/Ad hoc jelleg Bizonyítható, hogy a szervezet felismerte az informatikai irányításhoz kapcsolódó kérdések létezését és kezelésének szükségességét. Mindazonáltal nem alkalmaznak egységes eljárásokat, csupán ad hoc jelleg megoldásokat, egyedi illetve eseti alapon. A vezetés hozzáállása a kérdéshez kaotikus és csak elvétve és alkalmanként kerülnek szóba az ilyen jelleg kérdések és a kezelésükhöz szükséges módszerek. El fordul, hogy a vezetés bizonyos mértékig tisztában van azzal, hogy az informatika milyen értékekkel járul hozzá a kapcsolódó vállalati eljárások teljesítményéhez. Nem m ködik egységes értékelési eljárás. Az informatikai eljárások ellen rzésére csupán utólagos jelleggel kerül sor olyan esetek kapcsán, amelyek nyomán veszteségek keletkeztek illetve amelyek zavart okoztak a szervezet m ködésében.

2

Ismétl d de intuitív jelleg A szervezet általános szinten tisztában van az informatikai kérdések fontosságával. Folyamatban van az informatikai irányításhoz kapcsolódó tevékenységek és teljesítmény-mutatók kidolgozása, ideértve a informatikai tervezést valamint az eljárások m ködtetését és felügyeletét is. Ezen kezdeményezések részeként az informatikai irányítási tevékenységeket formálisan is integrálják a szervezet változás-kezelési eljárásába a fels vezetés aktív közrem ködése és felügyeletet mellett. A vállalati alapfolyamatok hatékonyságának javítása illetve kontrollálása céljából kiválasztanak bizonyos informatikai eljárásokat, amelyeket megfelel en megterveznek és felügyelnek, mint beruházásokat, és a meghatározott informatikai architektúra keretrendszer alapján alakítanak ki. A vezetés meghatározta informatikai irányításra vonatkozó alapvet mérési és értékelési módszereket és technikákat, az eljárást azonban nem alkalmazzák a szervezet egészére kiterjed en. Nincsen az irányítási normákra vonatkozó formális képzés és tájékoztatás, és a felel sségi körök egyénekre vannak bízva. Bizonyos egyének határozzák meg az irányítás módját a különböz informatikai projekteken és eljárásokon belül. Irányítási eszközöket csak korlátozott mértékben alkalmaznak az irányításhoz kapcsolódó mérési mutatók összegy jtésére, de el fordul, hogy ezeket sem használják fel a lehetséges maximális mértékben a funkcionalitásukra vonatkozó szakértelem hiánya miatt.

3

Meghatározott eljárás Az informatikai irányításhoz kapcsolódó tevékenységek szükségessége tudott és elfogadott a szervezetnél. Kidolgoztak az informatikai irányításhoz kapcsolódó bizonyos alap-mutatókat, amelyek kapcsán meghatározták, dokumentálták és beépítették a stratégiai és operatív 156


tervezés és felügyelet folyamataiba az eredmény-mutatók és a teljesítményt meghatározó tényez k közötti összefüggéseket. A bevezetett eljárásokat szabványosították és dokumentálták. A vezetés megfelel módon kommunikálta a szervezet felé a szabványosított eljárásokat és informális képzési formákat alakított ki. Az informatikai irányítás tevékenységeihez kapcsolódó teljesítménymutatókat nyilvántartják és elemzik, amely vállalati szint javulásokat eredményez. Bár az eljárások mérhet ek, nem túlzottan kifinomultak, csupán a meglév gyakorlatok formalizációi. Az eszközök szabványosak és az aktuálisan rendelkezésre álló technikákra épülnek. A szervezet ún. ’ Egyensúlyi Üzleti Eredménymutató’ -kat (’ Balanced Business Scorecards’) alkalmaz. A képzettség megszerzése és a szabványok követése és alkalmazása azonban az egyénre van bízva. Kiváltó okokra irányuló elemzésére csak ritkán kerül sor. Az eljárások többségének m ködését bizonyos (alapvet ) mérési mutatók alapján kísérik figyelemmel, de az esetleges eltéréseket, amelyek többségére bizonyos egyének kezdeményezése nyomán kerül sor, nem valószín , hogy fel tudja deríteni a vezetés. Mindazonáltal a kulcsfontosságú eljárásokhoz kapcsolódó általános felel sségi körök világosak és a vezetés díjazása a kritikus teljesítményi mutatók alapján történik.

4

Irányított és mérhet A szervezet minden szintjén teljes mértékben tisztában vannak az informatikai irányításhoz kapcsolódó kérdések fontosságával, amelyet formális jelleg képzés is támogat. Világosan látják, hogy ki az informatikai eljárások ” vev je” és a felel sségi köröket szolgáltatási szintekre vonatkozó megállapodásokon keresztül határozzák meg és felügyelik. A felel sségi körök világosak és minden eljárásnak meg van a maga ” gazdája” . Az informatikai eljárások igazodnak az üzleti és az informatikai stratégiához. Az informatikai eljárások fejlesztése els sorban kvantitatív megértésre alapul és lehetséges az eljárásokra vonatkozó mérési mutatók szerinti mérés. Az eljárásokban érintett felek tisztában vannak a kockázatokkal, az informatika fontosságával és az általa kínált lehet ségekkel. A vezetés meghatározott bizonyos tolerancia-határokat az eljárások m ködésére vonatkozóan. Megfelel válaszlépéseket eszközölnek az olyan esetek többségében, de nem minden esetben, ahol az eljárások láthatóan nem m ködnek megfelel hatékonysággal illetve eredményességgel. Az eljárások fejlesztése alkalomszer és a legjobb bels gyakorlatok alkalmazását szorgalmazzák. A kiváltó okokra irányuló elemzések szabványos jelleg ek. A szervezet elkezdett foglalkozni a folyamatos fejlesztés kérdésével. A technológia használata korlátozott, els sorban taktikai jelleg , amely érett technikákra és szabványos eszközökre épül. Az összes érintett bels szakért közrem ködik az informatikai irányításban. Az informatikai irányítás vállalati szint eljárássá fejl dik. Az informatikai irányításhoz kapcsolódó tevékenységek fokozatosan beintegrálódnak a vállalat-irányítási eljárásba.

5

Optimális megoldások képzést és támogatják. fejlesztések eredményei

Az informatikai irányításhoz kapcsolódó kérdések és megértése és ismerete el rehaladott és el retekint jelleg . A a kommunikációt innovatív koncepciókkal és technikákkal Az eljárásokat küls normák alapján alakítják, a folyamatos és a más szervezetekhez viszonyított érettségi modellek alapján. Az alkalmazott vállalat-politika eredményeként a

157


szervezet, az ott dolgozó emberek és az eljárások gyorsan tudnak alkalmazkodni az informatikai irányításhoz kapcsolódó követelményekhez és teljes mértékben támogatják azokat. Minden probléma és eltérés esetén megvizsgálják a kiváltó okokat és az elemzés eredménye alapján megfelel intézkedéseket kezdeményeznek. Az informatikát kiterjedt, integrált és optimalizált módon használják fel a munkafolyamatok automatizálása és a min ség és az eredményesség javítása céljából. Meg vannak határozva az informatikai eljárások kockázatai és el nyei és a vállalkozás egésze tájékoztatást kapott azokról. Küls szakért ket is igénybe vesznek és viszonyítási normákat használnak útmutatásként. Az ellen rzés, az önértékelés és az irányításra vonatkozó elvárások kommunikációja általános jelleg a szervezeten belül és optimálisan használják fel a technológiát a mérések, az elemzések, a kommunikáció és a képzés támogatásához. A vállalat-irányítás és az informatikai irányítás stratégiai szinten kapcsolódnak egymáshoz, úgy, hogy a rendelkezésre álló technológiát, emberi er forrásokat és anyagi er forrásokat a vállalkozás versenyképességének javítását szem el tt tartva hasznosítják.

158


II. MELLÉKLET COBIT PROJEKT LEÍRÁS A projektet továbbra is egy ipari, tudományos, kormányzati és ellen rzési szakemberekb l álló nemzetközi "Projekt Irányító Bizottság" felügyeli. A Projekt Irányító Bizottság részt vett a COBIT Keretrendszer kidolgozásában és a kutatási eredmények alkalmazásában. A projekt keretében végzett kutatások és fejlesztések min ség-biztosítási és szakért i elemzési feladatainak elvégzésére nemzetközi munka-csoport lett felállítva. A projekt általános irányításáért az IT Governance Institute felel.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A KORÁBBI KIADÁSOKNÁL Az 1. kiadásban meghatározott COBIT Keretrendszeb l kiindulva, nemzetközi szabványok és irányelvek akalmazása és a legjobb gyakorlatok felkutatása révén, megszülettek a kontroll irányelvek. A következ lépés az auditálási útmutató kidolgozása volt, amely azt értékeli, hogy a fenti kontroll irányelvek megfelel en vannak-e végrehajtva.

Az 1. és 2. kiadáshoz kapcsolódó kutatási munka részeként összegy jtöttük és elemeztük a meghatározott forrásokat, amelyet európai (Free University of Amsterdam), amerikai (California Polytechnik University) és ausztráliai (University of New South Wales) kutató-csoportok végeztek. A kutatók azt a feladatot kapták, hogy gy jtsék össze, vizsgálják át, értékeljék és rendezzék össze a Keretrendszerhez és az egyes kontroll irányelvekhez kapcsolódó nemzetközi m szaki szabványokat, magatartási kódexeket, min ségi szabványokat, ellen rzési szakmai normákat és ágazati követelményeket. Az adatok összegy jtését és elemzését követ en a kutatók minden egyes informatikai területet és eljárást alaposan megvizsgáltak, majd javaslatokat tettek az egyes informatikai eljárások esetében alkalmazandó kontroll irányelvekre. Az eredményeket a COBIT Irányító Bizottsága és az ISACF Kutatási Igazgatója összesítették.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A 3. KIADÁSNÁL A COBIT 3. kiadásához kapcsolódó projekt keretében kidolgozásra került a Vezet i útmutató és felül lett vizsgálva a COBIT 2. kiadása a legújabb nemzetközi hivatkozási források és normák alapján.

Emellett, a vezet i kontroll hatékonyabb segítése, a teljesítmény kezelésének bevezetése és az informatikai irányítás tartalmának további részletezése érdekében sor került a COBIT Keretrendszer felülvizsgálatára és kib vítésére is. Annak érdekében, hogy a vezetés a Keretrendszer alapján fel tudja mérni az informatikához kapcsolódó kontroll eljárások megfelel végrehajtását, hogy választani tudjon azok közül illetve, hogy mérni tudja az eljárások teljesítményét, az egyes Kontroll Irányelvekhez kapcsolódóan Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók is bekerültek a Vezet i Útmutatóba.

159


A Vezet i Útmutató kidolgozásában egy 40 szakért b l álló nemzetközi panel vett részt, amelynek tagjai az ipar, a tudomány, a kormányzatok valamint az informatikai biztonsági és ellen rzési szakma képvisl i közül kerültek ki. Ezek a szakemberek részt vettek egy speciális workshop-öszejövetelen, ahol a COBIT Irányító Bizottsága által meghatározott irányelvek szerint folyt a munka. Az összejövetelhez jelent s támogatást nyújtott a Gartner Group és a PricewaterhouseCoopers, akik a munkaérkezlet menetének irányítása mellett saját ellen rzési, teljesítmény-kezelési és informatikai biztonsági szakért iket is elküldték. Az értekezlet munkájának eredményeként a COBIT mind a 34 általános szint kontroll irányelvéhez kapcsolódóan kidolgozásra kerültek az Érettségi Modellek, Kritikus Sikertényez k, Kritikus Célmutatók és Kritikus Teljesítménymutatók tervezetei. A COBIT Irányító Bizottsága min ségbiztosítási szempontból áttekintette a kkidolgozott tervezeteket, majd az így kapott eredményeket közzétették nyilvános vitára az ISACA weboldalán. Mindezek alapján elkészült a Vezet i útmutató elnevezés új rész, amely igazodik a COBIT Keretrendszerhez és hasznos eszközt kínál a vezetés számára.

A Kontoll irányelvek legújabb nemzetközi hivatkozási források és normák alapján történ aktualizálását az ISACA-hoz tartozó egyesületek tagsága végezte el, a COBIT Irányító Bizottságának irányítása mellett. A munka során nem kívántuk globálisan elemezni az összes anyagot vagy átírni a Kontroll irányelveket, hanem egyfajta fokozatos aktualizálási eljárásra törekedtünk.

A kidolgozott Vezet i útmutató alapján felülvizsgáltuk magát a COBIT Keretrendszert is, els sorban az általános kontroll irányelvekhez kapcsolódóan a mérlegelend kérdésekre, a célokra és a megvalósítás módjára vonatkozó megállapításokat.

160


III. MELLÉKLET ELS DLEGES COBIT HIVATKOZÁSI FORRÁSOK

COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control — Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. An Introduction to Computer Security: The NIST Handbook: NIST Special Publication 800-12, National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission), Brussels, 1994. NSW Premier's Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. Premier' s Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (President's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the President' s Council on Management Improvement and the President' s Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992. CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study," Rolling Meadows, IL, 1994.

161


IFAC International Information Technology Guidelines—Managing Security of Information: International Federation of Accountants, New York, 1998. IFAC International Guidelines on Information Technology Management—Managing Information Technology Planning for Business Impact: International Federation of Accountants, New York, 1999. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NIST Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: US General Accounting Office, Washington, DC, 1999. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Auditability and Control: Institute of Internal Auditors Research Foundation, Systems Auditability and Control Report, Altamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Altamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, 1997. ISO IEC JTC1/SC27 Information Technology — Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997. Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI (France), BSI (Germany), NLNCSA (Netherlands), CESG (United Kingdom), NIST (USA) and NSA (USA), 1999. Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994 ESF Baseline Control-Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.

162


ESF Baseline Control-Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990. Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992. Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): US General Accounting Office, Washington, DC 1999. Guide for Developing Security Plans for Information Technology: NIST Special Publication 80018, National Institute for Standards and Technology, US Department of Commerce, Washington, DC, 1998. Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999. BS7799-Information Security Management: British Standards Institute, London, 1999. CICA Information Technology Control Guidelines, 3rd Edition: Canadian Institute of Chartered Accountants, Toronto, 1998. ISO/IEC TR 13335-n Guidelines for the Management of IT Security (GMITS), Parts 1-5: International Organisation for Standardisation, Switzerland, 1998. AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.

163


IV. MELLÉKLET SZÓJEGYZÉK AICPA

American Institute of Certified Public Accountants – Okleveles Könyvvizsgálók Amerikai Egyesülete Canadian Institute of Chartered Accountants – Okleveles Könyvvizsgálók kanadadai CICA Egyesülete Certified Information Systems Auditor – Okleveles Információs Rendszer Auditor CISA Common Criteria for Information Technology Security – Informatika biztonság közös CCEB kritériumai Kontroll Azok az irányelvek, eljárások, gyakorlatok és szervezeti struktúrák, amelyek célja az, hogy gondoskodjanak az üzleti célkit zések teljesítésér l és a nemkívánatos események megel zésér l, felderítésér l és korrekciójáról. Committee of Sponsoring Organisations of the Treadway Commission – Treadway COSO Bizottságot Szponzorálós Szervezetek Bizottsága Disaster Recovery Institute International – Nemzetközi Katasztrófa-helyreállítási DRI Intézet Department of Trade and Industry of the United Kingdom – Az Egyesült Királyság DTI Ipari és Keresedelmi Minisztériuma Electronic Data Interchange for Administration, Commerce and Trade – EDIFACT Adminisztrációs, kereskedelmi és üzleti célú elektronikus adatcsere Electronic Data Processing Auditors Foundation (now ISACF) – Elektronikus EDPAF Adatfeldolgozási Auditorok Alapítványa (mai neve ISACF) European Security Forum – Európai Biztonsági Fórum, 70-nél több, els sorban ESF multinacionális társaság kutatási együttm ködési fúruma az informatikai biztonság és ellen rzés területén U.S. General Accounting Office – Az Egyesült Államok Legf bb Számvev széke GAO International Information Integrity Institute (Az információk sértetlenségével és I4 összhangjával foglalkozó nemzetközi intézet) az ESF-hez hasonló szervezet, hasonló célokkal, de els sorban amerikai székhely és a Stanford Kutató Intézet irányítja. Az Infosec Bizottságnak tanácsokat adó ágazati szakért k csoportja. A fenti IBAG Bizottság az Európai Közösség kormányzati tisztségvisel ib l áll és maga is ad tanácsokat az Európai Bizottságnak informatikai biztonsági kérdésekben. International Federation of Accountants – Nemzetközi Könyvvizsgálói Szövetség IFAC Institute of Internal Auditors – Bels Ellen rök Intézete IIA Advisory Committee for IT Security Matters to the European Commission – Az INFOSEC Európai Bizottság Informatikai Biztonségi kérdésekkel foglalkozó Tanácsadó Bizottsága ga Information Systems Audit and Control Association – Információs RendszerISACA ellen rök Egyesülete Information Systems Audit and Control Foundation - Információs RendszerISACF ellen rzési Alapítvány International Organisation for Standardization - Nemzetközi Szabványügyi ISO Szervezet Az ISO által meghatározott min ségirányítási és min ségbiztosítási szabványok. IS09000 Informatikai A kontroll eljárások végrehajtása révén elérni kívánt eredmény illetve cél meghatározása kontroll irányelv Information Technology Infrastructure Library - Információtechnológiai ITIL infrastruktúra könyvtár

164


ITSEC NBS NIST korábban NBS) NSW OECD

Információ-technológiai biztonság kiértékelésének kritérium rendszere. Franciaország, Németország, Hollandia és az Egyesült Királyság egységes kritériumai, amelyeket támogat az Európai Bizottság is (lásd még: TCSEC) National Bureau of Standards of the U.S. – USA Szabvánügyi Iroda National Institute of Standards and Technology – Nemzeti Szabványügyi és Technológiai Intézet (székhelye: Washington. D.C.) Új-Dél Wales, Ausztrália Organisation for Economic Cooperation and Development – Gazdasági Együtt ködési és Fejlesztési Szervezet Open Software Foundation – Nyitott Szoftver Alapítvány President’s Council on Integrity and Efficiency – Az infromációk sértetlenséggel és hatékonyságával foglalkozó Elnöki hivatal Software Process Improvement and Capability Determination – szoftver-fejlesztés és kapacitás meghatározás – a szoftverfejlesztésre vonatkozó szabvány Megbízható számítógéprenszerek kiértékelésének kritérium rendszere más néven Orange Book: számítógépes rendszerek biztonságának érékelési kritériumai, amelyet eredetileg az Egyesült Államok Védelmi Minisztériuma dolgozott ki. Európai megfelel jét lásd az ITSEC-nél. Szoftverek min ség-kezelési rendszerének kiépésére és hitelesítésére vonatkozó útmutató

OSF PCIE SPICE TCSEC

TickIT

165


INDEX

166

KONTROLL IRÁNYELVEK 3. kiadás. MTA Információtechnológiai Alapítvány 2003

Recommend Documents