segora
DESCRIPTION
Primjer dijela prezentacije – za potpunu prezentaciju molim kontaktirajte nas putem e-pošte. Revizija informacijskog sustava. Segora. Poslovno savjetovanje i usluge Mario Sajko, R. Boškovića 12c 42000 Varaždin http://www.segora-sm.hr. Potreba i ciljevi revizije. Ispuniti zahtjeve HNB-a - PowerPoint PPT PresentationTRANSCRIPT
Primjer dijela prezentacije – za potpunu prezentaciju molim kontaktirajte nas putem e-pošte
Poslovno savjetovanje i usluge Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Revizija informacijskog sustava
Potreba i ciljevi revizije
• Ispuniti zahtjeve HNB-a– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije informacijskog sustava
• Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
• Uloga revizije informacijskog sustava je osigurati Upravi i vlasnicima Banke realan uvid u kvalitetu upravljanja rizicima koji proizlaze iz svakodnevne upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i stanje implementacije pojedinačnih kontrola upravljanja informacijskim sustavom) usklađena s preporukama Smjernica HNB-a i preporukama najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)– analizu zatečenog stanja – revizija– preporuke (periodična i završno izvješće)
Plan revizije
Registar rizika(ako postoji)
Procjena zrelosti upravljanja rizicima u
organizaciji
Apsolutnonezreli
Svjesnirizika
Rizici su tretirani
Rizicima se upravlja
Provesti identifikaciju rizika
Provesti provjeru rizika
Registar rizika sa
kategorizacijom
Izrada plana audita prema registru rizika
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći rizik za poslovanje
– ove bi sustave trebalo identificirati prilikom planiranja revizije – mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a– Određivanja primjenjivih standarda– Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)– Analizu rezultata procjene rizika (ako ne postoji)
Operativni planovi i izvođenje revizije• Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:– ciljeve i opseg revizije– popis područja koja će biti obuhvaćena revizijome– resurse potrebni za nesmetano izvođenje revizije– terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima– fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),– popis revizora i trajanje revizije
Primjenjivi standardi/norme
• Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,• HRN ISO/IEC 27001:2006 norma• HRN ISO/IEC 17799:2006 norma• CobiT• ITIL• Tehničkim i industrijskim standardi koji se odnose na tehnologije• Zakonske odredbe• Ugovorne odrede• Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije Upravljanje sigurnošću informacijskog sustava Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije Upravljanje logičkim i upravljačkim kontrolama pristupa Upravljanje imovinom informacijskog sustava Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosima s dobavljačima sklopovske i programske podrške Upravljanje razvojem informacijskog sustava Upravljanje fizičkom sigurnošću Upravljanje zaporkama Upravljanje konfiguracijama Upravljanje promjenama Planiranje kontinuiteta poslovanja Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja Planiranje odgovora na incidente Primjena zaštite od malicioznog koda Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
• Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora neizostavno sadržavati:
– Datum izrade/predaje– Ime, prezime i kontakt podatke odgovornog revizora– Popis revizora i kontakt osoblja– Odgovorne osobe za reviziju od strane Banke– Jasno definiran opseg i cilj revizije– Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)– Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
• Rezultat procjene rizika koji se odnose na područje iz opsega revizije• Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu. • Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka• Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema• Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.– Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije• Razgovor/intervju
– PROVJERA FORMALNIH ZADUŽENJA• Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)• Obaveze člana Uprave su propisane (DA/NE)
– RAZUMIJEVANJE• Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka• Testiranje• Provjera zapisa
– ZAPISI• Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.• Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije– PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije