1. ISACA ®
The recognized global
leaders in IT governance,
control and assurance
2. ISACA szabványok, tanúsítványok
és a hazai gyakorlat
Horváth Gergely Krisztián, CISA
Elnökségi tag
Információrendszer Ellenőrök Egyesülete
(ISACA)
3. Miről lesz szó?
• ISACA és a szakértői tanúsítványok
• Kontroll fogalma
• COBIT
• Érettségi modell az önértékelésben
• További módszertani anyagok
4. ISACA Nemzetközileg
• 1969-ben alapították: EDP Auditors
Association,
• 1978-ban elindul a CISA (nemzetközi IT audit
szakember vizsga),
• Több, mint 86,000 tag világszerte 160
országban,
• Több, mint 175 tagozat 70 országban.
5. ISACA Magyarországon
• 1991-ben alakult, mint Információ-
rendszer Ellenőrök Egyesülete
• 300-nál több tag:
– 60 CISM
– 240 CISA
– 20 CGEIT
6. CISA, CISM és CGEIT
vizsgák
• A CISA és a CISM vizsga 200 feleletválasztós
(teszt) kérdés, 4 óra,
• A CGEIT vizsga 120 feleletválasztós (teszt)
kérdésből, 4 óra,
• Gyakorlati tudást, és tapasztalatot tesztelik a
kérdések.
• Mindig 1 legjobb választ kell 4 közül
kiválasztani.
• Nemzetközileg elismert, keresett „papírok”
7. Kontroll - Definíció
A kontroll (COBIT):
mindazon szabályok, eljárások, gyakorlati
módszerek és szervezeti struktúrák,
amelyeket arra a célra terveztek, hogy kellő
megerősítést nyújtsanak arra vonatkozóan, hogy
az üzleti célkitűzéseket megvalósítják, és a nem
kívánatos eseményeket megelőzik, vagy
felderítik és korrigálják.
8. Kontrollok csoportosítása
Szervezeti kontrollok (tevékenységek)
Az IT szervezet tevékenységeibe vannak beépítve, a
napi működés részei (pl. szoftver fejlesztési életciklus
irányelvek)
Vezetői kontrollok (folyamatok)
Külön folyamatok az IT környezet menedzselésére
(pl. Szolgáltatási megállapodás)
Technikai kontrollok (eljárások)
Számos különböző kontroll eljárás tartozik ide,
melyek biztosítják az erőforrások titkosságát,
sértetlenségét, és rendelkezésre állását. (pl. megfelelő
erősségű jelszavak).
12. Kontroll keretrendszerek
Szabályozási és kontrollmodellek:
COSO:
Kontroll keretrendszerek alapja, Kockázat alapú ellenőrzések
A SOX, G8 által is hivatkozott kontroll keretrendszer a szervezet egésze
számára
COBIT:
Nemzetközi (ISACA) IT irányítási és ellenőrzési legjobb gyakorlat,
COSO-n alapul
IT specifikus modell (Érettségi szintek, Célmutatók, Teljesítménymutatók,
Sikertényezők)
Szabályozások főbb területei:
Tervezés és szervezés, Beszerzés, fejlesztés és implementálás
Üzemeltetés, szolgáltatások, biztonság, Monitorozás, ellenőrzés
IT Balanced Scorecard – Kiegyensúlyozott Stratégiai Mutatószámrendszer:
Kulcsfolyamatok mérésén alapuló kontroll modell
Négy nézőpont egyensúlyára törekszik (működési kiválóság, felhasználó
centrikusság, hivatali folyamatok támogatása, előrelátás)
13. CobiT
COBIT: Control
Objectives for
Information and COBIT
CobiT
COBIT
related Technology – Bevált gyakorlatok
best practices
Az információ és az repository for
gyűjteménye
érintett műszaki
megoldásokra IT Processes
IT Folyamatok
vonatkozó kontroll ITIT Management Processes
Menedzsment Folyamatok
célkitűzések IT Irányítási Folyamatok
IT Governance Processes
14. CobiT
A vonatkozó jelentősebb nemzetközi
szabványokra épít
Az informatikai irányítás és ellenőrzés de facto,
naprakész szabványa
Az üzleti / hivatali igényekből indul ki
Folyamat szemléletű
Segít megérteni, és kezelni az informatikai
kockázatokat
Egyértelmű irányelveket és bevált gyakorlatokat
ad az IT biztonsághoz és ellenőrzéshez
15. CobiT
Kritériumok
• Eredményesség
• Hatékonyság
• Bizalmasság
• Sértetlenség
• Rendelkezésre IT
állás ERŐFORRÁSOK
• Megfelelés
• Megbízhatóság
• Adat
• Alkalmazások
• Technológia TERVEZÉS ÉS
• Létesítmények
• Emberek SZERVEZET
MONITOROZÁS
BESZERZÉS ÉS
RENDSZER
MEGVALÓSITÁS
SZOLGÁLTATÁS
ÉS TÁMOGATÁS
16. CobiT
Kiknek szánták a COBIT-ot:
Vezetők: Segíti a kockázatok és a szükséges
mennyiségű kontrollok közötti egyensúly megtalálását
IT Szakemberek: Információt biztosítani egy kontroll
keretrendszerből
Felhasználók: Bizonyosságot szerezni a belső és külső
felek által nyújtott IT szolgáltatások biztonságáról és
szabályozottságáról
Információrendszer Ellenőrök: Megalapozni a
véleményüket, és/vagy tanácsokat adni a vezetés
számára a belső kontrollokról
17. CobiT felépítése
A módszertan felépítése:
Vezetői Összefoglaló – Felső vezetőket tájékoztatja a
fontos fogalmakról
Keretrendszer – Bemutatja a 34 magas szintű kontroll
célkitűzést
Kontroll Célkitűzések – A 318 kontroll célkitűzés
megvalósítása esetén elvárt eredmények leírása
Auditálási Útmutató – Javasolt ellenőrzési lépések
Implementációs Eszköztár – Sikeres alkalmazási
példák
Vezetői Útmutató – Önértékelés és teljesítmény mérés
18. IT Folyamat érettség
önértékelés
• Önértékelés
– Mit mérünk? – Hol tartunk
– Hogyan mérjük? – COBIT érettségi modell
– Miért jó?
• Közös értelmezés, párbeszéd
• Kommunikáció (vezetők között, üzlet felé)
• Elvárt érettség, fontosság aktualizálása
19. Érettségi modell felépítése
COBIT érettségi modell:
Nincs Kezdetleges Ismételhető Szabályozott Irányított Optimalizált
0 1 2 3 4 5
A használt szimbólumok A fejlettségi szintek
Az intézmény jelenlegi státusza 0 - A menedzsment folyamat nem mindenre terjed ki
1 – A folyamatok véletlenszerűek, nem szervezettek
Rövid távú terv
2 – A folyamatok mintákat követnek
3 – A folyamatok dokumentáltak és kommunikáltak
Iparági átlag
4 – A folyamatok mértek és monitorizáltak
Stratégiai terv 5 – Automatizáltak és a bevált gyakorlatot követik
20. Érettségi modell felépítése
0 – Nem létező
A szervezet nem ismerte fel, hogy foglalkozni kell az IT
irányítással
1 – Kezdeti / Ad hoc jellegű
A szervezet felismerte az IT irányítás szükségességét, de
reagáló jellegű
Hiányoznak a szabványos folyamatok
2 – Ismételhető, de ösztönös
Az IT irányítással kapcsolatos kérdések tudatosultak
Tevékenység és teljesítménymutatókat használnak
Felső vezetői támogatás megvan
Egyes folyamatok már formalizáltak
21. Érettségi modell felépítése
3 – Szabályozott folyamat
Az IT irányítással kapcsolatos cselekvés
szükségességét felismerték és elfogadták
Meghatározták az IT irányítás alap mutatószámait, és
az eredmény és teljesítmény mutatók közötti
összefüggéseket,
Az eljárásokat szabványosították, dokumentálták és
bevezették
Adaptálták a kiegyensúlyozott informatikai stratégiai
mutatószámrendszert a szervezetre
22. Érettségi modell felépítése
4 – Irányított és mérhető
Szervezet minden szintjén pontos ismeretekkel
rendelkeznek az IT irányítás alapvető kérdéseiről
(formális képzés)
Kötelezettségek világosak, vannak folyamatgazdák
IT folyamatok összhangban vannak a hivatali
stratégiával, azokat fejlesztik
A folyamatokat alkalomszerűen fejlesztik
23. Érettségi modell felépítése
5 – Optimalizált
Az IT irányításra vonatkozó kérdések és megoldások
korszerű és előremutató alkalmazása jellemző a szervezetre.
A folyamatokat a bevált gyakorlatok szintjére fejlesztették,
Elemzik az összes probléma és eltérések alapvető okát,
meghatározzák és kezdeményezik a szükséges
intézkedéseket,
Az IT kockázatokat meghatározták, kezelik és erről
tájékoztatják a szervezet tagjait,
Bevonnak külső szakértőket, felhasználják az új eljárásokat,
Az IT stratégiai szinten kapcsolódik a szervezet
vezetéséhez.
24. További ISACA kiadványok
• Igazgatótanácsi tájékoztató anyagok
• CobiT – Keretrendszer (Érettségi modell, RACI,
Kontroll eljárások)
• Informatikai irányítási útmutatók
• Quickstart – Kisvállalatok számára
• Alapvető biztonság, Biztonság üzleti modellje
• Auditálási Kézikönyv
• ISACA Szabványok, ajánlások, eljárásrendek
• ValIT
• COBIT összehasonlítások