Primjer dijela prezentacije – za potpunu prezentaciju molim kontaktirajte nas putem e-pošte Revizija informacijskog sustava Poslovno savjetovanje i usluge Mario Sajko, R.
Download ReportTranscript Primjer dijela prezentacije – za potpunu prezentaciju molim kontaktirajte nas putem e-pošte Revizija informacijskog sustava Poslovno savjetovanje i usluge Mario Sajko, R.
Slide 1
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 2
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 3
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 4
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 5
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 6
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 7
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 8
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 9
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 2
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 3
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 4
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 5
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 6
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 7
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 8
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije
Slide 9
Primjer dijela prezentacije – za potpunu prezentaciju molim
kontaktirajte nas putem e-pošte
Revizija informacijskog
sustava
Poslovno savjetovanje i usluge
Mario Sajko, R. Boškovića 12c
42000 Varaždin
http://www.segora-sm.hr
Potreba i ciljevi revizije
•
Ispuniti zahtjeve HNB-a
– Zakon o bankama članci 106. – 110.
Banka mora organizirati unutarnju reviziju koja osim odredbi koje se odnose na
financijsku reviziju, između ostalog sadrži i stavak o provjeri načina upravljanja
resursima informacijske tehnologije i drugih pridruženih tehnologija
– Odluka o primjerenom upravljanju informacijskim sustavom članci 16. i 17.
Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te
usvajanje metodologije za provođenje revizije informacijskog sustava
•
Ustanoviti nedostatke informacijskog sustava Banke, upoznati Upravu i Nadzorni
odbor s posljedicama koje oni mogu prouzročiti i predložiti mjere za poboljšanje.
•
Uloga revizije informacijskog sustava je osigurati
Upravi i vlasnicima Banke realan uvid u kvalitetu
upravljanja rizicima koji proizlaze iz svakodnevne
upotrebe informacijskih tehnologija.
Naša usluga
• analiza trenutne usklađenost informacijskog sustava Naručitelja i
eventualnih nedostataka u odnosu na postojeću regulativu Hrvatske
Narodne Banke, najbolju prasku, druge norme i standarde te predlaganje
mjera za poboljšanje
• utvrđivanje u kojoj mjeri (procjena zrelosti) je trenutna poslovna praksa (i
stanje implementacije pojedinačnih kontrola upravljanja informacijskim
sustavom) usklađena s preporukama Smjernica HNB-a i preporukama
najbolje prakse (ISO 27002, Cobit)
• Konzultantske usluge obuhvaćaju :
– pripremu pisane dokumentacije o načinu sprovođenja usluge (godišnji i
operativni planovi, metodologija revizije)
– analizu zatečenog stanja – revizija
– preporuke (periodična i završno izvješće)
Plan revizije
• Plan revizije obuhvaća kritične dijelove informacijskog sustava; one od
čijeg rada ovise najznačajniji poslovni procesi i koji predstavljaju najveći
rizik za poslovanje
–
–
ove bi sustave trebalo identificirati prilikom planiranja revizije
mora se obratiti posebnu pažnju na sigurnosne rizike čiji će način identifikacije ovisiti o zrelosti
organizacije u upravljanju rizicima
• Plan obuhvaća i područja od interesa HNB-a
–
–
–
Određivanja primjenjivih standarda
Registar rizika
Definiranja posebnih zahtjeva (npr. zahtjeva Uprave, regulatornih i zakonskih tijela)
(ako postoji)
Analizu rezultata procjene rizika (ako ne postoji)
Apsolutno
nezreli
Procjena
zrelosti upravljanja rizicima u
organizaciji
Svjesni
rizika
Provesti
identifikaciju rizika
Rizici su tretirani
Rizicima se
upravlja
Registar rizika
sa
kategorizacijom
Izrada plana
audita
prema
registru
rizika
Provesti provjeru
rizika
Operativni planovi i izvođenje revizije
•
Na temelju godišnjeg plana revizije, potrebno je donijeti
operativne planove za pojedine revizije. Oni trebaju sadržavati:
–
–
–
–
–
ciljeve i opseg revizije
popis područja koja će biti obuhvaćena revizijome
resurse potrebni za nesmetano izvođenje revizije
terminski plan intervjua sa zaposlenicima i vanjskim dobavljačima
fizički obilazak lokacija unutar opsega te ostalu logističku potporu
(pratnja revizora, kartice za ulaz u osigurana područja, i sl.),
– popis revizora i trajanje revizije
Primjenjivi standardi/norme
•
•
•
•
•
•
•
•
•
Odluka HNB-a o primjerenom upravljanju informacijskim sustavom,
HRN ISO/IEC 27001:2006 norma
HRN ISO/IEC 17799:2006 norma
CobiT
ITIL
Tehničkim i industrijskim standardi koji se odnose na tehnologije
Zakonske odredbe
Ugovorne odrede
Karakteristični zahtjevi i smjernice vezanim uz vrstu organizacije
Područja revizije
Upravljanje sigurnošću informacijskog sustava
Upravljanje rizikom koji je vezan uz informacijsku i pridružene tehnologije
Upravljanje logičkim i upravljačkim kontrolama pristupa
Upravljanje imovinom informacijskog sustava
Upravljanje operativnim i sistemskim zapisima
Upravljanje pričuvnom pohranom
Upravljanje odnosima s pružateljima usluga
Upravljanje odnosima s dobavljačima sklopovske i programske podrške
Upravljanje razvojem informacijskog sustava
Upravljanje fizičkom sigurnošću
Upravljanje zaporkama
Upravljanje konfiguracijama
Upravljanje promjenama
Planiranje kontinuiteta poslovanja
Planiranje oporavka u slučaju havarije, neželjenih i nepredviđenih događaja
Planiranje odgovora na incidente
Primjena zaštite od malicioznog koda
Primjena internih i zakonskih akata vezanih uz informacijski sustav Banke
Izvještaj/nalaz revizije
•
Izvještaj revizije informacijskog sustava mora Upravi i vlasnicima pružati objektivan uvid u
kvalitetu upravljanja rizicima informacijskog sustava. U tu svrhu, ovaj dokument mora
neizostavno sadržavati:
–
–
–
–
–
–
–
Datum izrade/predaje
Ime, prezime i kontakt podatke odgovornog revizora
Popis revizora i kontakt osoblja
Odgovorne osobe za reviziju od strane Banke
Jasno definiran opseg i cilj revizije
Sažetak za Upravu (Kratko mišljenje revizora o općem stanju i najvažnije preporuke)
Detaljni izvještaj o svakom nalazu revizije s dokazima koji podupiru iskaz revizora
•
•
•
•
•
–
Rezultat procjene rizika koji se odnose na područje iz opsega revizije
Zapažanja o mjerama koje je banka poduzela u vezi nalaza prethodne interne i vanjske revizije kontrola u
informacijskom sustavu.
Rezultat ispitivanja kontrola u odnosu na COBIT 4.1 i druge ciljeve kontrola prema područjima koje je odredila
Hrvatska narodna banka
Dokumentiranje stupnja zrelosti za područja koja je odredila Hrvatska narodna banka prema
Dubinsku analizu dva područja koje je banka odredila od posebnog interesaTestiranje operativne efikasnosti
kontrola za dva odabrana područja.
Preporuke za poboljšanja sa naznačenim prioritetima u svakom pojedinom dijelu revidiranog opsega
Način izvođenja revizije
• Razgovor/intervju
–
PROVJERA FORMALNIH ZADUŽENJA
•
•
–
Postoji li član Uprave koji je nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom (DA/NE)
Obaveze člana Uprave su propisane (DA/NE)
RAZUMIJEVANJE
•
Članu Uprave jasna su njegova zaduženja i obaveze a svoje djelovanje pokušava uskaladiti s razvojnom strategijom IS-a banke (DA/NE)
• Samostalno uzimanje uzorka
• Testiranje
• Provjera zapisa
–
ZAPISI
•
•
Postoji dokumentirana korespodencija koja potvrđuje aktivnu ulogu člana Uprave u rješavanju svih pitanja iz područja funkcioniranja IS-a.
Član Uprave redovito izvješćuje Upravu o svim bitnim pitanjima o radu IS-a.
• Provjera dokumentacije
–
PROMATRANJE I ISPITIVANJE NA UZORKU
• Promatranje implementacije