isaca ivetar prezi 2009 horvath gergely
DESCRIPTION
hungarian introduction to it controls, maturity modelTRANSCRIPT
![Page 1: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/1.jpg)
ISACA ISACA ®®
The recognized globalThe recognized global
leaders in IT governance,leaders in IT governance,
control and assurancecontrol and assurance
![Page 2: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/2.jpg)
ISACA szabványok, tanúsítványokISACA szabványok, tanúsítványok
és a hazai gyakorlat és a hazai gyakorlat
Horváth Gergely Krisztián, CISA
Elnökségi tag
Információrendszer Ellenőrök Egyesülete
(ISACA)
![Page 3: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/3.jpg)
Miről lesz szó?
• ISACA és a szakértői tanúsítványok
• Kontroll fogalma
• COBIT
• Érettségi modell az önértékelésben
• További módszertani anyagok
![Page 4: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/4.jpg)
ISACA Nemzetközileg
• 1969-ben alapították: EDP Auditors Association,
• 1978-ban elindul a CISA (nemzetközi IT audit szakember vizsga),
• Több, mint 86,000 tag világszerte 160 országban,
• Több, mint 175 tagozat 70 országban.
![Page 5: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/5.jpg)
ISACA Magyarországon
• 1991-ben alakult, mint Információ-
rendszer Ellenőrök Egyesülete
• 300-nál több tag:
– 60 CISM
– 240 CISA
– 20 CGEIT
![Page 6: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/6.jpg)
CISA, CISM és CGEIT
vizsgák
• A CISA és a CISM vizsga 200 feleletválasztós (teszt) kérdés, 4 óra,
• A CGEIT vizsga 120 feleletválasztós (teszt) kérdésből, 4 óra,
• Gyakorlati tudást, és tapasztalatot tesztelik a kérdések.
• Mindig 1 legjobb választ kell 4 közül kiválasztani.
• Nemzetközileg elismert, keresett „papírok”
![Page 7: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/7.jpg)
Kontroll - Definíció
A kontroll (COBIT):
mindazon szabályok, eljárások, gyakorlati
módszerek és szervezeti struktúrák,
amelyeket arra a célra terveztek, hogy kellő
megerősítést nyújtsanak arra vonatkozóan, hogy
az üzleti célkitűzéseket megvalósítják, és a nem
kívánatos eseményeket megelőzik, vagy
felderítik és korrigálják.
![Page 8: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/8.jpg)
Kontrollok csoportosítása
Szervezeti kontrollok (tevékenységek)
Az IT szervezet tevékenységeibe vannak beépítve, a napi működés részei (pl. szoftver fejlesztési életciklus irányelvek)
Vezetői kontrollok (folyamatok)
Külön folyamatok az IT környezet menedzselésére (pl. Szolgáltatási megállapodás)
Technikai kontrollok (eljárások)
Számos különböző kontroll eljárás tartozik ide, melyek biztosítják az erőforrások titkosságát, sértetlenségét, és rendelkezésre állását. (pl. megfelelő erősségű jelszavak).
![Page 9: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/9.jpg)
Megelőző (preventív)
A hibák, visszaélések megelőzését szolgálja
Feltáró (detektív)
A hibák, visszaélések felfedését szolgálja
Javító (korrektív)
A hibák, visszaélések következményeinek helyreállítását szolgálja
Kontrollok csoportosítása
![Page 10: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/10.jpg)
• Informatikai kontroll típusok
– Általános kontrollok
– Folyamat kontrollok
– Alkalmazás kontrollok
• Megvalósításuk
– Automatizált vs. manuális kontrollok
– Adminisztratív kontrollok
– Szervezeti kontrollok
– Vezetői kontrollok
Kontrollok csoportosítása
![Page 11: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/11.jpg)
Kontrollok elhatárolása
![Page 12: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/12.jpg)
Kontroll keretrendszerek
Szabályozási és kontrollmodellek:
COSO:
Kontroll keretrendszerek alapja, Kockázat alapú ellenőrzések
A SOX, G8 által is hivatkozott kontroll keretrendszer a szervezet egésze számára
COBIT:
Nemzetközi (ISACA) IT irányítási és ellenőrzési legjobb gyakorlat, COSO-n alapul
IT specifikus modell (Érettségi szintek, Célmutatók, Teljesítménymutatók, Sikertényezők)
Szabályozások főbb területei:
Tervezés és szervezés, Beszerzés, fejlesztés és implementálás
Üzemeltetés, szolgáltatások, biztonság, Monitorozás, ellenőrzés
IT Balanced Scorecard – Kiegyensúlyozott Stratégiai Mutatószámrendszer:
Kulcsfolyamatok mérésén alapuló kontroll modell
Négy nézőpont egyensúlyára törekszik (működési kiválóság, felhasználó centrikusság, hivatali folyamatok támogatása, előrelátás)
![Page 13: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/13.jpg)
COBIT: Control
Objectives for
Information and
related Technology –
Az információ és az
érintett műszaki
megoldásokra
vonatkozó kontroll
célkitűzések
IT Processes IT Processes
IT Management Processes IT Management Processes
IT Governance Processes IT Governance Processes
CobiT CobiT best practices repository for
IT Folyamatok
IT Menedzsment Folyamatok
IT Irányítási Folyamatok
COBIT COBIT Bevált gyakorlatok
gyűjteménye
CobiT
![Page 14: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/14.jpg)
A vonatkozó jelentősebb nemzetközi szabványokra épít
Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa
Az üzleti / hivatali igényekből indul ki
Folyamat szemléletű
Segít megérteni, és kezelni az informatikai kockázatokat
Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez
CobiT
![Page 15: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/15.jpg)
IT ERŐFORRÁSOK
IT ERŐFORRÁSOK
• Adat • Alkalmazások • Technológia • Létesítmények • Emberek
• Adat • Alkalmazások • Technológia • Létesítmények • Emberek
TERVEZÉS ÉS
SZERVEZET
TERVEZÉS ÉS
SZERVEZET
BESZERZÉS ÉS
RENDSZER
MEGVALÓSITÁS
BESZERZÉS ÉS
RENDSZER
MEGVALÓSITÁS
SZOLGÁLTATÁS
ÉS TÁMOGATÁS
SZOLGÁLTATÁS
ÉS TÁMOGATÁS
• Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre
állás • Megfelelés • Megbízhatóság
• Eredményesség • Hatékonyság • Bizalmasság • Sértetlenség • Rendelkezésre
állás • Megfelelés • Megbízhatóság
Kritériumok
MONITOROZÁS
CobiT
![Page 16: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/16.jpg)
Kiknek szánták a COBIT-ot:
Vezetők: Segíti a kockázatok és a szükséges
mennyiségű kontrollok közötti egyensúly megtalálását
IT Szakemberek: Információt biztosítani egy kontroll
keretrendszerből
Felhasználók: Bizonyosságot szerezni a belső és külső
felek által nyújtott IT szolgáltatások biztonságáról és
szabályozottságáról
Információrendszer Ellenőrök: Megalapozni a
véleményüket, és/vagy tanácsokat adni a vezetés
számára a belső kontrollokról
CobiT
![Page 17: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/17.jpg)
A módszertan felépítése:
Vezetői Összefoglaló – Felső vezetőket tájékoztatja a
fontos fogalmakról
Keretrendszer – Bemutatja a 34 magas szintű kontroll
célkitűzést
Kontroll Célkitűzések – A 318 kontroll célkitűzés
megvalósítása esetén elvárt eredmények leírása
Auditálási Útmutató – Javasolt ellenőrzési lépések
Implementációs Eszköztár – Sikeres alkalmazási
példák
Vezetői Útmutató – Önértékelés és teljesítmény mérés
CobiT felépítése
![Page 18: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/18.jpg)
IT Folyamat érettség
önértékelés
• Önértékelés
– Mit mérünk? – Hol tartunk
– Hogyan mérjük? – COBIT érettségi modell
– Miért jó?
• Közös értelmezés, párbeszéd
• Kommunikáció (vezetők között, üzlet felé)
• Elvárt érettség, fontosság aktualizálása
![Page 19: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/19.jpg)
0 1 2 3 4 5
Nincs Kezdetleges Ismételhető Szabályozott Irányított Optimalizált
Az intézmény jelenlegi státusza
Rövid távú terv
Iparági átlag
Stratégiai terv
A használt szimbólumok A fejlettségi szintek
0 - A menedzsment folyamat nem mindenre terjed ki
1 – A folyamatok véletlenszerűek, nem szervezettek
2 – A folyamatok mintákat követnek
3 – A folyamatok dokumentáltak és kommunikáltak
4 – A folyamatok mértek és monitorizáltak
5 – Automatizáltak és a bevált gyakorlatot követik
COBIT érettségi modell:COBIT érettségi modell:
Érettségi modell felépítése
![Page 20: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/20.jpg)
0 – Nem létező A szervezet nem ismerte fel, hogy foglalkozni kell az IT
irányítással
1 – Kezdeti / Ad hoc jellegű A szervezet felismerte az IT irányítás szükségességét, de
reagáló jellegű
Hiányoznak a szabványos folyamatok
2 – Ismételhető, de ösztönös Az IT irányítással kapcsolatos kérdések tudatosultak
Tevékenység és teljesítménymutatókat használnak
Felső vezetői támogatás megvan
Egyes folyamatok már formalizáltak
Érettségi modell felépítése
![Page 21: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/21.jpg)
3 – Szabályozott folyamat
Az IT irányítással kapcsolatos cselekvés szükségességét felismerték és elfogadták
Meghatározták az IT irányítás alap mutatószámait, és az eredmény és teljesítmény mutatók közötti összefüggéseket,
Az eljárásokat szabványosították, dokumentálták és bevezették
Adaptálták a kiegyensúlyozott informatikai stratégiai mutatószámrendszert a szervezetre
Érettségi modell felépítése
![Page 22: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/22.jpg)
4 – Irányított és mérhető
Szervezet minden szintjén pontos ismeretekkel rendelkeznek az IT irányítás alapvető kérdéseiről (formális képzés)
Kötelezettségek világosak, vannak folyamatgazdák
IT folyamatok összhangban vannak a hivatali stratégiával, azokat fejlesztik
A folyamatokat alkalomszerűen fejlesztik
Érettségi modell felépítése
![Page 23: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/23.jpg)
5 – Optimalizált
Az IT irányításra vonatkozó kérdések és megoldások korszerű és előremutató alkalmazása jellemző a szervezetre.
A folyamatokat a bevált gyakorlatok szintjére fejlesztették,
Elemzik az összes probléma és eltérések alapvető okát, meghatározzák és kezdeményezik a szükséges intézkedéseket,
Az IT kockázatokat meghatározták, kezelik és erről tájékoztatják a szervezet tagjait,
Bevonnak külső szakértőket, felhasználják az új eljárásokat,
Az IT stratégiai szinten kapcsolódik a szervezet vezetéséhez.
Érettségi modell felépítése
![Page 24: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/24.jpg)
További ISACA kiadványok
• Igazgatótanácsi tájékoztató anyagok
• CobiT – Keretrendszer (Érettségi modell, RACI,
Kontroll eljárások)
• Informatikai irányítási útmutatók
• Quickstart – Kisvállalatok számára
• Alapvető biztonság, Biztonság üzleti modellje
• Auditálási Kézikönyv
• ISACA Szabványok, ajánlások, eljárásrendek
• ValIT
• COBIT összehasonlítások
![Page 25: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/25.jpg)
1.5
![Page 26: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/26.jpg)
Melléklet: Hivatkozások
• www.isaca.hu – Tudásbázis/Letöltés
• www.isaca.org - Downloads
• www.ffiec.gov
• www.aicpa.org
• www.theiia.org/guidance/technology/gtag/
• www.bemsz.hu
• www.pszaf.hu
• www.mszt.hu
• www.itsmf.hu
• info.cmmi.hu
![Page 27: Isaca ivetar prezi 2009 horvath gergely](https://reader033.vdocuments.pub/reader033/viewer/2022052620/5575a536d8b42aff598b4f71/html5/thumbnails/27.jpg)
Köszönöm a figyelmet!
Elérhetőségünk:
Horváth Gergely Krisztián, CISA
(30-555-1333)
Információrendszer Ellenőrök
Egyesülete
1024 Lövőház u. 20/a
Tel: 06-1-630-2042
• Drótposta: [email protected]
• Honlap: www.isaca.hu
• www.isaca.org