SOX מצגת מערכות מידע
Download
Report
Transcript SOX מצגת מערכות מידע
1
תוכן ההרצאה
•
•
•
•
•
•
2
מערך המידע במקורות
ITכשותף בתהליך הטמעת SOXבחברת מקורות
השתלבות ביישום sox
- ITGCבקרות על ביחידת מערכות מידע
הערכות ליישום CobiT
התועלת בראיית מערכות המידע
יעוד יחידת מערכות מידע
ליזום ,להוביל ,לשפר
ולתמוך בתהליכים
ויעדים ארגוניים ועסקיים
תוך שילוב יכולות
טכנולוגיות המידע.
3
עיסוקי ליבה
•
•
•
•
•
4
לעצב את תפישת המיחשוב ,תקשורת הנתונים ואבטחת
המידע בחברה ולהתוות מדיניות וסטנדרטים בתחום.
לספק ,לפתח ולתחזק פתרונות מיחשוב ותקשורת נתונים
לקידום החברה ולתמיכה ביעדיה העסקיים.
לתפעל ולנטר את מערך המיחשוב המרכזי ,חוות
השרתים ורשת תקשורת הנתונים של החברה ולתמוך
במשתמשים ,בצורה יעילה ,תוך עמידה ביעדי הזמינות
ושיפור מתמיד.
להוות גורם מטה מקצועי בתחום המיחשוב ,המידע
ותקשורת הנתונים בחברה.
לקדם תהליך מיצוי המידע והפיכתו לידע ,בדגש על
מערכות מידע למנהלים ומערכות תומכות החלטה.
מאפייני פעילות היחידה
•
מערך מידע מרכזי
•
7מחלקות :כ 70-עובדים פנימיים וחיצוניים
•
מגוון מאפייני פעילות:
– פעילות מטה וקו,
– פעילות הנדסית
– פעילות טכנולוגית.
– ניתוח ועיצוב תהליכים ,ליווי פרויקטים ארגוניים,
– שירות פנימי ,הדרכות
– התקשרויות והפעלת ספקים ונותני שירות מקצועי.
5
•
ממשקי עבודה עם כל יחידות החברה ובכל הרמות הארגוניות.
•
אחריות לתקינות התפעוליות ולאבטחת המידע הממוחשב.
•
שיפורים ,תמיכה ותחזוקה ב 65-מערכות מידע שונות
מפת ממשקים ארגונית
6
השתלבות ביישום soxבחברת מקורות
•
•
•
•
7
שותפות בועדת היגוי ארגונית
השתלבות וסיוע למיפוי תהליכים תפעוליים המשפיעים
על הדיווח הכספי שבוצע ע"י משרד רו"ח פאהן -קנה
דוגמה
מיפוי בקרות חסרות ו/או לא מספקות במערכות המידע
הקיימות.
במקביל – ביצוע בדיקת – ITGCבקרות כלליות
במערכות המידע.
הערכות לתיקון ליקויים
•
•
•
•
8
תוצאות המיפוי השפיעו על מערכות המידע המרכזיות
בחברה.
בוצעה בחינת משמעויות הוספת הבקרות הממוחשבות
החסרות.
התקבלו החלטות לגבי בקרות מפצות במקרים של חוסר
יכולת ו/או כדאיות לשינוי במערכות המידע
הוכנה ובוצעה ת"ע מפורטת למימוש השינויים
הנדרשים.
תמיכה בתהליך הבקרה
•
•
•
•
•
9
בסקר אותרו 13תהליכים 100 ,תתי תהליכים ו1500-
בקרות.
מקורות מאורגנת במרחבים שצריכים להיות משולבים
בתהליך הבקרה.
ריבוי התהליכים והגורמים השותפים מחייב מערכת
שליטה ובקרה אחר מימוש הבקרות הנדרשות.
מקורות בחרה במערכת .securitiveהמערכת הופעלה
לראשונה בחודש מאי .2007
כיום פועלים כ 50-משתמשים הפרושים במטה
ובמרחבים.
– ITGCבקרת על ביחידת מערכות מידע
•
•
•
•
•
10
שאלונים וראיונות עם אנשי מערכות מידע
הוכן דו"ח פערים
בתאום עם מנהלת החשבונות הראשית ומשרד
פאהן קנה בוצע תעדוף טיפול.
הוכנה ת"ע לתיקון הליקויים
פער מרכזי – חוסר בנהלים תומכי CobiT
מודל CobiT
[1]CobiT הינו מסגרת עבודה לניהול ובקרה של מידע וטכנולוגית
מידע בארגון ,אשר פותחה על ידי ה – IT Governance Institute
מיסודו של האיגוד הבינלאומי לביקורת ואבטחת מערכות מידע
).(ISACA
CobiT מחלק את טכנולוגית המידע לארבעה תחומים :תכנון וארגון,
רכש ויישום ,תפעול ותחזוקה ,ניטור ,וקובע 34תהליכים תחת תחומים
אלו המשמשים כיעדי בקרה ()Control Objectives
[1] CobiT – Control Objectives for Information and related
Technology
11
איור – 1תהלי
IT Control
Objectives
for SOX
12
הערכות ליישום נהלים תומכי CobiT
• פורסמה בקשה לקבלת הצעות להטמעת
מתודולוגיית CobiTובכלל זה:
– כתיבת נהלים חדשים ושיכתוב קיימים
– הכנת רשימת בקרות נדרשות
– הגדרת הבקרות הנדרשות במערכת securitive
– הטמעת יישום הנהלים ודיווח רציף במערכת
securitive
13
תועלות תהליך SOXבראיית מערכות המידע
•
•
•
•
•
•
14
מיפוי מרכזי ועדכני של תהליכי עבודה.
הגדרה ברורה של גורם אחראי לתהליך עסקי.
הגדרה ברורה של בקרות נדרשות.
שיפור רמת בקרה ביישומים קיימים.
הצפת פערים בתחום בקרות כלליות ביחידה
לרמת ההנהלה.
הגברת מודעות ביחידה ומחוץ לה למחויבות
ואחריות הלקוח.
15