SlideShare a Scribd company logo

Isaca ivetar prezi 2009 horvath gergely

G
Gergely Horvath

hungarian introduction to it controls, maturity model

Business
1 of 27
Download to read offline
ISACA ® The recognized global leaders in IT governance, control and assurance
ISACA szabványok, tanúsítványok és a hazai gyakorlat Horváth Gergely Krisztián, CISA Elnökségi tag Információrendszer Ellenőrök Egyesülete (ISACA)
Miről lesz szó? • ISACA és a szakértői tanúsítványok • Kontroll fogalma • COBIT • Érettségi modell az önértékelésben • További módszertani anyagok
ISACA Nemzetközileg • 1969-ben alapították: EDP Auditors Association, • 1978-ban elindul a CISA (nemzetközi IT audit szakember vizsga), • Több, mint 86,000 tag világszerte 160 országban, • Több, mint 175 tagozat 70 országban.
ISACA Magyarországon • 1991-ben alakult, mint Információ- rendszer Ellenőrök Egyesülete • 300-nál több tag: – 60 CISM – 240 CISA – 20 CGEIT
CISA, CISM és CGEIT vizsgák • A CISA és a CISM vizsga 200 feleletválasztós (teszt) kérdés, 4 óra, • A CGEIT vizsga 120 feleletválasztós (teszt) kérdésből, 4 óra, • Gyakorlati tudást, és tapasztalatot tesztelik a kérdések. • Mindig 1 legjobb választ kell 4 közül kiválasztani. • Nemzetközileg elismert, keresett „papírok”
Kontroll - Definíció A kontroll (COBIT): mindazon szabályok, eljárások, gyakorlati módszerek és szervezeti struktúrák, amelyeket arra a célra terveztek, hogy kellő megerősítést nyújtsanak arra vonatkozóan, hogy az üzleti célkitűzéseket megvalósítják, és a nem kívánatos eseményeket megelőzik, vagy felderítik és korrigálják.
Kontrollok csoportosítása Szervezeti kontrollok (tevékenységek) Az IT szervezet tevékenységeibe vannak beépítve, a napi működés részei (pl. szoftver fejlesztési életciklus irányelvek) Vezetői kontrollok (folyamatok) Külön folyamatok az IT környezet menedzselésére (pl. Szolgáltatási megállapodás) Technikai kontrollok (eljárások) Számos különböző kontroll eljárás tartozik ide, melyek biztosítják az erőforrások titkosságát, sértetlenségét, és rendelkezésre állását. (pl. megfelelő erősségű jelszavak).
Kontrollok csoportosítása Megelőző (preventív) A hibák, visszaélések megelőzését szolgálja Feltáró (detektív) A hibák, visszaélések felfedését szolgálja Javító (korrektív) A hibák, visszaélések következményeinek helyreállítását szolgálja
Kontrollok csoportosítása • Informatikai kontroll típusok – Általános kontrollok – Folyamat kontrollok – Alkalmazás kontrollok • Megvalósításuk – Automatizált vs. manuális kontrollok – Adminisztratív kontrollok – Szervezeti kontrollok – Vezetői kontrollok
Kontrollok elhatárolása
Kontroll keretrendszerek Szabályozási és kontrollmodellek:  COSO:  Kontroll keretrendszerek alapja, Kockázat alapú ellenőrzések  A SOX, G8 által is hivatkozott kontroll keretrendszer a szervezet egésze számára  COBIT:  Nemzetközi (ISACA) IT irányítási és ellenőrzési legjobb gyakorlat, COSO-n alapul  IT specifikus modell (Érettségi szintek, Célmutatók, Teljesítménymutatók, Sikertényezők)  Szabályozások főbb területei:  Tervezés és szervezés, Beszerzés, fejlesztés és implementálás  Üzemeltetés, szolgáltatások, biztonság, Monitorozás, ellenőrzés  IT Balanced Scorecard – Kiegyensúlyozott Stratégiai Mutatószámrendszer:  Kulcsfolyamatok mérésén alapuló kontroll modell  Négy nézőpont egyensúlyára törekszik (működési kiválóság, felhasználó centrikusság, hivatali folyamatok támogatása, előrelátás)
CobiT  COBIT: Control Objectives for Information and COBIT CobiT COBIT related Technology – Bevált gyakorlatok best practices Az információ és az repository for gyűjteménye érintett műszaki megoldásokra IT Processes IT Folyamatok vonatkozó kontroll ITIT Management Processes Menedzsment Folyamatok célkitűzések IT Irányítási Folyamatok IT Governance Processes
CobiT A vonatkozó jelentősebb nemzetközi szabványokra épít Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa Az üzleti / hivatali igényekből indul ki Folyamat szemléletű Segít megérteni, és kezelni az informatikai kockázatokat Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez
CobiT Kritériumok • Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre IT állás ERŐFORRÁSOK • Megfelelés • Megbízhatóság • Adat • Alkalmazások • Technológia TERVEZÉS ÉS • Létesítmények • Emberek SZERVEZET MONITOROZÁS BESZERZÉS ÉS RENDSZER MEGVALÓSITÁS SZOLGÁLTATÁS ÉS TÁMOGATÁS
CobiT Kiknek szánták a COBIT-ot:  Vezetők: Segíti a kockázatok és a szükséges mennyiségű kontrollok közötti egyensúly megtalálását  IT Szakemberek: Információt biztosítani egy kontroll keretrendszerből  Felhasználók: Bizonyosságot szerezni a belső és külső felek által nyújtott IT szolgáltatások biztonságáról és szabályozottságáról  Információrendszer Ellenőrök: Megalapozni a véleményüket, és/vagy tanácsokat adni a vezetés számára a belső kontrollokról
CobiT felépítése A módszertan felépítése:  Vezetői Összefoglaló – Felső vezetőket tájékoztatja a fontos fogalmakról  Keretrendszer – Bemutatja a 34 magas szintű kontroll célkitűzést  Kontroll Célkitűzések – A 318 kontroll célkitűzés megvalósítása esetén elvárt eredmények leírása  Auditálási Útmutató – Javasolt ellenőrzési lépések  Implementációs Eszköztár – Sikeres alkalmazási példák  Vezetői Útmutató – Önértékelés és teljesítmény mérés
IT Folyamat érettség önértékelés • Önértékelés – Mit mérünk? – Hol tartunk – Hogyan mérjük? – COBIT érettségi modell – Miért jó? • Közös értelmezés, párbeszéd • Kommunikáció (vezetők között, üzlet felé) • Elvárt érettség, fontosság aktualizálása
Érettségi modell felépítése COBIT érettségi modell: Nincs Kezdetleges Ismételhető Szabályozott Irányított Optimalizált 0 1 2 3 4 5 A használt szimbólumok A fejlettségi szintek Az intézmény jelenlegi státusza 0 - A menedzsment folyamat nem mindenre terjed ki 1 – A folyamatok véletlenszerűek, nem szervezettek Rövid távú terv 2 – A folyamatok mintákat követnek 3 – A folyamatok dokumentáltak és kommunikáltak Iparági átlag 4 – A folyamatok mértek és monitorizáltak Stratégiai terv 5 – Automatizáltak és a bevált gyakorlatot követik
Érettségi modell felépítése  0 – Nem létező  A szervezet nem ismerte fel, hogy foglalkozni kell az IT irányítással  1 – Kezdeti / Ad hoc jellegű  A szervezet felismerte az IT irányítás szükségességét, de reagáló jellegű  Hiányoznak a szabványos folyamatok  2 – Ismételhető, de ösztönös  Az IT irányítással kapcsolatos kérdések tudatosultak  Tevékenység és teljesítménymutatókat használnak  Felső vezetői támogatás megvan  Egyes folyamatok már formalizáltak
Érettségi modell felépítése  3 – Szabályozott folyamat Az IT irányítással kapcsolatos cselekvés szükségességét felismerték és elfogadták Meghatározták az IT irányítás alap mutatószámait, és az eredmény és teljesítmény mutatók közötti összefüggéseket, Az eljárásokat szabványosították, dokumentálták és bevezették Adaptálták a kiegyensúlyozott informatikai stratégiai mutatószámrendszert a szervezetre
Érettségi modell felépítése  4 – Irányított és mérhető Szervezet minden szintjén pontos ismeretekkel rendelkeznek az IT irányítás alapvető kérdéseiről (formális képzés) Kötelezettségek világosak, vannak folyamatgazdák IT folyamatok összhangban vannak a hivatali stratégiával, azokat fejlesztik A folyamatokat alkalomszerűen fejlesztik
Érettségi modell felépítése  5 – Optimalizált Az IT irányításra vonatkozó kérdések és megoldások korszerű és előremutató alkalmazása jellemző a szervezetre. A folyamatokat a bevált gyakorlatok szintjére fejlesztették, Elemzik az összes probléma és eltérések alapvető okát, meghatározzák és kezdeményezik a szükséges intézkedéseket, Az IT kockázatokat meghatározták, kezelik és erről tájékoztatják a szervezet tagjait, Bevonnak külső szakértőket, felhasználják az új eljárásokat, Az IT stratégiai szinten kapcsolódik a szervezet vezetéséhez.
További ISACA kiadványok • Igazgatótanácsi tájékoztató anyagok • CobiT – Keretrendszer (Érettségi modell, RACI, Kontroll eljárások) • Informatikai irányítási útmutatók • Quickstart – Kisvállalatok számára • Alapvető biztonság, Biztonság üzleti modellje • Auditálási Kézikönyv • ISACA Szabványok, ajánlások, eljárásrendek • ValIT • COBIT összehasonlítások
1.5
Melléklet: Hivatkozások • www.isaca.hu – Tudásbázis/Letöltés • www.isaca.org - Downloads • www.ffiec.gov • www.aicpa.org • www.theiia.org/guidance/technology/gtag/ • www.bemsz.hu • www.pszaf.hu • www.mszt.hu • www.itsmf.hu • info.cmmi.hu
Köszönöm a figyelmet! Elérhetőségünk: Horváth Gergely Krisztián, CISA (30-555-1333) Információrendszer Ellenőrök Egyesülete 1024 Lövőház u. 20/a Tel: 06-1-630-2042 • Drótposta: office@isaca.hu • Honlap: www.isaca.hu • www.isaca.org

Recommended

Illyés Péter - Motivus Kft.
Illyés Péter - Motivus Kft.Illyés Péter - Motivus Kft.
Illyés Péter - Motivus Kft.László Tömpe
 
Lunch and Learn: Agilitás mindenáron?
Lunch and Learn: Agilitás mindenáron?Lunch and Learn: Agilitás mindenáron?
Lunch and Learn: Agilitás mindenáron?PMI Budapest, Hungarian Chapter
 
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...MKT Informatikai szakosztály
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...MagiCom-Budapest
 

Recommended

Illyés Péter - Motivus Kft.
Illyés Péter - Motivus Kft.Illyés Péter - Motivus Kft.
Illyés Péter - Motivus Kft.László Tömpe
 
Lunch and Learn: Agilitás mindenáron?
Lunch and Learn: Agilitás mindenáron?Lunch and Learn: Agilitás mindenáron?
Lunch and Learn: Agilitás mindenáron?PMI Budapest, Hungarian Chapter
 
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...
Hosznyák András - Sikerkritériumok az adattárház alapú üzleti intelligencia m...MKT Informatikai szakosztály
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...
A tanúsítási és auditálási gyakorlat változása nemzetközi tükörben (ISO 27001...MagiCom-Budapest
 
Minbizt
MinbiztMinbizt
MinbiztDomboróczky János
 
A.5 tudasbazisok
A.5 tudasbazisokA.5 tudasbazisok
A.5 tudasbazisokGyula Paksi-Tamás
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképpHZsolt
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 
Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1Tibor Gyulay
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelInformatikai Intézet
 
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?Gábor Mádi
 
Szabványok, módszertanok
Szabványok, módszertanokSzabványok, módszertanok
Szabványok, módszertanoksirpepe
 
Fejlesztés (BUILD) modul
Fejlesztés (BUILD) modulFejlesztés (BUILD) modul
Fejlesztés (BUILD) modulITStudy Ltd.
 
SENIOR JAVA FEJLESZTŐ
SENIOR JAVA FEJLESZTŐSENIOR JAVA FEJLESZTŐ
SENIOR JAVA FEJLESZTŐApertus Nonprofit Kft.
 
CMMI
CMMICMMI
CMMIHZsolt
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxSzabolcs Gulyás
 
Frontend fejlesztő
Frontend fejlesztőFrontend fejlesztő
Frontend fejlesztőApertus Nonprofit Kft.
 
Tömpe László - LeanCenter
Tömpe László - LeanCenterTömpe László - LeanCenter
Tömpe László - LeanCenterLászló Tömpe
 
Ügyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulásÜgyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulásAutSoft Ltd
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan Peter Buglavecz
 
Controlling: HFMS Szabadegyetem
Controlling: HFMS SzabadegyetemControlling: HFMS Szabadegyetem
Controlling: HFMS SzabadegyetemHungarian Facility Management Society
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanHZsolt
 
Internet of Things
Internet of ThingsInternet of Things
Internet of ThingsZoltán FÁBIÁN
 
It3 4 2 9 3
It3 4 2 9 3It3 4 2 9 3
It3 4 2 9 3Project IT3
 

More Related Content

Similar to Isaca ivetar prezi 2009 horvath gergely

ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképpHZsolt
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 
Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1Tibor Gyulay
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelInformatikai Intézet
 
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?Gábor Mádi
 
Szabványok, módszertanok
Szabványok, módszertanokSzabványok, módszertanok
Szabványok, módszertanoksirpepe
 
Fejlesztés (BUILD) modul
Fejlesztés (BUILD) modulFejlesztés (BUILD) modul
Fejlesztés (BUILD) modulITStudy Ltd.
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxSzabolcs Gulyás
 
Tömpe László - LeanCenter
Tömpe László - LeanCenterTömpe László - LeanCenter
Tömpe László - LeanCenterLászló Tömpe
 
Ügyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulásÜgyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulásAutSoft Ltd
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan Peter Buglavecz
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanHZsolt
 

Similar to Isaca ivetar prezi 2009 horvath gergely (20)

Minbizt
MinbiztMinbizt
Minbizt
 
A.5 tudasbazisok
A.5 tudasbazisokA.5 tudasbazisok
A.5 tudasbazisok
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképp
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
 
Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1Iso9001 2015 tm-20170615_handout_v1
Iso9001 2015 tm-20170615_handout_v1
 
Tóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésévelTóth Lajos - Személyes élmények az ITIL bevezetésével
Tóth Lajos - Személyes élmények az ITIL bevezetésével
 
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
Mádi Gábor: Miért kell DevOps stratégia a non-IT cégekben is?
 
Szabványok, módszertanok
Szabványok, módszertanokSzabványok, módszertanok
Szabványok, módszertanok
 
Fejlesztés (BUILD) modul
Fejlesztés (BUILD) modulFejlesztés (BUILD) modul
Fejlesztés (BUILD) modul
 
SENIOR JAVA FEJLESZTŐ
SENIOR JAVA FEJLESZTŐSENIOR JAVA FEJLESZTŐ
SENIOR JAVA FEJLESZTŐ
 
CMMI
CMMICMMI
CMMI
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
 
Frontend fejlesztő
Frontend fejlesztőFrontend fejlesztő
Frontend fejlesztő
 
Tömpe László - LeanCenter
Tömpe László - LeanCenterTömpe László - LeanCenter
Tömpe László - LeanCenter
 
Ügyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulásÜgyfélközpontú gondolkodás, csapatközpontú átalakulás
Ügyfélközpontú gondolkodás, csapatközpontú átalakulás
 
Tanácsadási módszertan
Tanácsadási módszertan Tanácsadási módszertan
Tanácsadási módszertan
 
Controlling: HFMS Szabadegyetem
Controlling: HFMS SzabadegyetemControlling: HFMS Szabadegyetem
Controlling: HFMS Szabadegyetem
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatban
 
Internet of Things
Internet of ThingsInternet of Things
Internet of Things
 
It3 4 2 9 3
It3 4 2 9 3It3 4 2 9 3
It3 4 2 9 3
 

Isaca ivetar prezi 2009 horvath gergely

  • 1. ISACA ® The recognized global leaders in IT governance, control and assurance
  • 2. ISACA szabványok, tanúsítványok és a hazai gyakorlat Horváth Gergely Krisztián, CISA Elnökségi tag Információrendszer Ellenőrök Egyesülete (ISACA)
  • 3. Miről lesz szó? • ISACA és a szakértői tanúsítványok • Kontroll fogalma • COBIT • Érettségi modell az önértékelésben • További módszertani anyagok
  • 4. ISACA Nemzetközileg • 1969-ben alapították: EDP Auditors Association, • 1978-ban elindul a CISA (nemzetközi IT audit szakember vizsga), • Több, mint 86,000 tag világszerte 160 országban, • Több, mint 175 tagozat 70 országban.
  • 5. ISACA Magyarországon • 1991-ben alakult, mint Információ- rendszer Ellenőrök Egyesülete • 300-nál több tag: – 60 CISM – 240 CISA – 20 CGEIT
  • 6. CISA, CISM és CGEIT vizsgák • A CISA és a CISM vizsga 200 feleletválasztós (teszt) kérdés, 4 óra, • A CGEIT vizsga 120 feleletválasztós (teszt) kérdésből, 4 óra, • Gyakorlati tudást, és tapasztalatot tesztelik a kérdések. • Mindig 1 legjobb választ kell 4 közül kiválasztani. • Nemzetközileg elismert, keresett „papírok”
  • 7. Kontroll - Definíció A kontroll (COBIT): mindazon szabályok, eljárások, gyakorlati módszerek és szervezeti struktúrák, amelyeket arra a célra terveztek, hogy kellő megerősítést nyújtsanak arra vonatkozóan, hogy az üzleti célkitűzéseket megvalósítják, és a nem kívánatos eseményeket megelőzik, vagy felderítik és korrigálják.
  • 8. Kontrollok csoportosítása Szervezeti kontrollok (tevékenységek) Az IT szervezet tevékenységeibe vannak beépítve, a napi működés részei (pl. szoftver fejlesztési életciklus irányelvek) Vezetői kontrollok (folyamatok) Külön folyamatok az IT környezet menedzselésére (pl. Szolgáltatási megállapodás) Technikai kontrollok (eljárások) Számos különböző kontroll eljárás tartozik ide, melyek biztosítják az erőforrások titkosságát, sértetlenségét, és rendelkezésre állását. (pl. megfelelő erősségű jelszavak).
  • 9. Kontrollok csoportosítása Megelőző (preventív) A hibák, visszaélések megelőzését szolgálja Feltáró (detektív) A hibák, visszaélések felfedését szolgálja Javító (korrektív) A hibák, visszaélések következményeinek helyreállítását szolgálja
  • 10. Kontrollok csoportosítása • Informatikai kontroll típusok – Általános kontrollok – Folyamat kontrollok – Alkalmazás kontrollok • Megvalósításuk – Automatizált vs. manuális kontrollok – Adminisztratív kontrollok – Szervezeti kontrollok – Vezetői kontrollok
  • 12. Kontroll keretrendszerek Szabályozási és kontrollmodellek:  COSO:  Kontroll keretrendszerek alapja, Kockázat alapú ellenőrzések  A SOX, G8 által is hivatkozott kontroll keretrendszer a szervezet egésze számára  COBIT:  Nemzetközi (ISACA) IT irányítási és ellenőrzési legjobb gyakorlat, COSO-n alapul  IT specifikus modell (Érettségi szintek, Célmutatók, Teljesítménymutatók, Sikertényezők)  Szabályozások főbb területei:  Tervezés és szervezés, Beszerzés, fejlesztés és implementálás  Üzemeltetés, szolgáltatások, biztonság, Monitorozás, ellenőrzés  IT Balanced Scorecard – Kiegyensúlyozott Stratégiai Mutatószámrendszer:  Kulcsfolyamatok mérésén alapuló kontroll modell  Négy nézőpont egyensúlyára törekszik (működési kiválóság, felhasználó centrikusság, hivatali folyamatok támogatása, előrelátás)
  • 13. CobiT  COBIT: Control Objectives for Information and COBIT CobiT COBIT related Technology – Bevált gyakorlatok best practices Az információ és az repository for gyűjteménye érintett műszaki megoldásokra IT Processes IT Folyamatok vonatkozó kontroll ITIT Management Processes Menedzsment Folyamatok célkitűzések IT Irányítási Folyamatok IT Governance Processes
  • 14. CobiT A vonatkozó jelentősebb nemzetközi szabványokra épít Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa Az üzleti / hivatali igényekből indul ki Folyamat szemléletű Segít megérteni, és kezelni az informatikai kockázatokat Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez
  • 15. CobiT Kritériumok • Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre IT állás ERŐFORRÁSOK • Megfelelés • Megbízhatóság • Adat • Alkalmazások • Technológia TERVEZÉS ÉS • Létesítmények • Emberek SZERVEZET MONITOROZÁS BESZERZÉS ÉS RENDSZER MEGVALÓSITÁS SZOLGÁLTATÁS ÉS TÁMOGATÁS
  • 16. CobiT Kiknek szánták a COBIT-ot:  Vezetők: Segíti a kockázatok és a szükséges mennyiségű kontrollok közötti egyensúly megtalálását  IT Szakemberek: Információt biztosítani egy kontroll keretrendszerből  Felhasználók: Bizonyosságot szerezni a belső és külső felek által nyújtott IT szolgáltatások biztonságáról és szabályozottságáról  Információrendszer Ellenőrök: Megalapozni a véleményüket, és/vagy tanácsokat adni a vezetés számára a belső kontrollokról
  • 17. CobiT felépítése A módszertan felépítése:  Vezetői Összefoglaló – Felső vezetőket tájékoztatja a fontos fogalmakról  Keretrendszer – Bemutatja a 34 magas szintű kontroll célkitűzést  Kontroll Célkitűzések – A 318 kontroll célkitűzés megvalósítása esetén elvárt eredmények leírása  Auditálási Útmutató – Javasolt ellenőrzési lépések  Implementációs Eszköztár – Sikeres alkalmazási példák  Vezetői Útmutató – Önértékelés és teljesítmény mérés
  • 18. IT Folyamat érettség önértékelés • Önértékelés – Mit mérünk? – Hol tartunk – Hogyan mérjük? – COBIT érettségi modell – Miért jó? • Közös értelmezés, párbeszéd • Kommunikáció (vezetők között, üzlet felé) • Elvárt érettség, fontosság aktualizálása
  • 19. Érettségi modell felépítése COBIT érettségi modell: Nincs Kezdetleges Ismételhető Szabályozott Irányított Optimalizált 0 1 2 3 4 5 A használt szimbólumok A fejlettségi szintek Az intézmény jelenlegi státusza 0 - A menedzsment folyamat nem mindenre terjed ki 1 – A folyamatok véletlenszerűek, nem szervezettek Rövid távú terv 2 – A folyamatok mintákat követnek 3 – A folyamatok dokumentáltak és kommunikáltak Iparági átlag 4 – A folyamatok mértek és monitorizáltak Stratégiai terv 5 – Automatizáltak és a bevált gyakorlatot követik
  • 20. Érettségi modell felépítése  0 – Nem létező  A szervezet nem ismerte fel, hogy foglalkozni kell az IT irányítással  1 – Kezdeti / Ad hoc jellegű  A szervezet felismerte az IT irányítás szükségességét, de reagáló jellegű  Hiányoznak a szabványos folyamatok  2 – Ismételhető, de ösztönös  Az IT irányítással kapcsolatos kérdések tudatosultak  Tevékenység és teljesítménymutatókat használnak  Felső vezetői támogatás megvan  Egyes folyamatok már formalizáltak
  • 21. Érettségi modell felépítése  3 – Szabályozott folyamat Az IT irányítással kapcsolatos cselekvés szükségességét felismerték és elfogadták Meghatározták az IT irányítás alap mutatószámait, és az eredmény és teljesítmény mutatók közötti összefüggéseket, Az eljárásokat szabványosították, dokumentálták és bevezették Adaptálták a kiegyensúlyozott informatikai stratégiai mutatószámrendszert a szervezetre
  • 22. Érettségi modell felépítése  4 – Irányított és mérhető Szervezet minden szintjén pontos ismeretekkel rendelkeznek az IT irányítás alapvető kérdéseiről (formális képzés) Kötelezettségek világosak, vannak folyamatgazdák IT folyamatok összhangban vannak a hivatali stratégiával, azokat fejlesztik A folyamatokat alkalomszerűen fejlesztik
  • 23. Érettségi modell felépítése  5 – Optimalizált Az IT irányításra vonatkozó kérdések és megoldások korszerű és előremutató alkalmazása jellemző a szervezetre. A folyamatokat a bevált gyakorlatok szintjére fejlesztették, Elemzik az összes probléma és eltérések alapvető okát, meghatározzák és kezdeményezik a szükséges intézkedéseket, Az IT kockázatokat meghatározták, kezelik és erről tájékoztatják a szervezet tagjait, Bevonnak külső szakértőket, felhasználják az új eljárásokat, Az IT stratégiai szinten kapcsolódik a szervezet vezetéséhez.
  • 24. További ISACA kiadványok • Igazgatótanácsi tájékoztató anyagok • CobiT – Keretrendszer (Érettségi modell, RACI, Kontroll eljárások) • Informatikai irányítási útmutatók • Quickstart – Kisvállalatok számára • Alapvető biztonság, Biztonság üzleti modellje • Auditálási Kézikönyv • ISACA Szabványok, ajánlások, eljárásrendek • ValIT • COBIT összehasonlítások
  • 25. 1.5
  • 26. Melléklet: Hivatkozások • www.isaca.hu – Tudásbázis/Letöltés • www.isaca.org - Downloads • www.ffiec.gov • www.aicpa.org • www.theiia.org/guidance/technology/gtag/ • www.bemsz.hu • www.pszaf.hu • www.mszt.hu • www.itsmf.hu • info.cmmi.hu
  • 27. Köszönöm a figyelmet! Elérhetőségünk: Horváth Gergely Krisztián, CISA (30-555-1333) Információrendszer Ellenőrök Egyesülete 1024 Lövőház u. 20/a Tel: 06-1-630-2042 • Drótposta: office@isaca.hu • Honlap: www.isaca.hu • www.isaca.org