Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

Σχετικά έγγραφα
Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Γενική Επισκόπηση Επισηµάνσεις Διάλεξη 9

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Κεφάλαιο 11 Σύστηµα εσωτερικών δικλίδων Θεµατολογία: Έννοια και δοµή

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Πρότυπα διαχείρισης Επιχειρηµατικών Κινδύνων Διάλεξη 5

Συνεργασία PRIORITY & INTERAMERICAN:

Ελεγχος, Αξιοπιστία και Διασφάλιση Ποιότητας Λογισµικού

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική. Ενότητα # 10: Δοκιμασία εσωτερικών δικλίδων

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας Γενική επισκόποηση και Επεκτάσεις- Διάλεξη 8

ΕΛΟΤ ΕΝ ISO 14001:2015

τεχνογνωσία στην πληροφορική

ISMS κατά ISO Δεκέμβριος 2016

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ

ΠΕΡΙΓΡΑΦΗ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΕΣΩΤΕΡΙΚΩΝ ΕΛΕΓΚΤΩΝ ΣΤΙΣ ΜΟΝΑΔΕΣ ΥΓΕΙΑΣ

REQUEST FOR PROPOSAL ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΚΤΗ

ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ ΠΡΟΣΤΑΣΙΑ ΓΙΑ ΤΟΝ ΕΠΕΝΔΥΤΗ. Μαρίζα Μέλλιου, CIA, CRMA, CISA, CCO, CAML Δεκεμβριος 2013

ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

Η συμβολή στην επιτυχία ενός οργανισμού, παρουσιάζοντας σχετικά δεδομένα με τη χρήση τεχνικών 2Δ ή 3Δ τεχνολογίας. Αρμοδιότητα

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

η PRIORITY από το 1995 ανάλυση και βελτίωση επιχειρησιακών διαδικασιών σύμφωνα με κανονιστικό πλαίσιο διεθνή πρότυπα και βέλτιστες πρακτικές

Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων

RISK BASED INTERNAL AUDIT ΚΑΙ ΝΕΟ ΠΛΑΙΣΙΟ ΕΠΟΠΤΕΙΑΣ ΑΠΟ ΤΗΝ ΤΡΑΠΕΖΑ ΕΛΛΑΔΟΣ (ΠΔΤΕ 2577/2006)

PwC. Νομοθετικό πλαίσιο και βέλτιστες πρακτικές Εσωτερικού Ελέγχου σε Ασφαλιστικές Εταιρείες

2.1 Επαγγελματικές υπηρεσίες και πρότυπα εργασίας. Ενότητα 2. Α. Υπηρεσίες Διασφάλισης (assurance) Έννοια επαγγελματικών υπηρεσιών:

Ενότητα 2 Υπηρεσίες που προσφέρουν οι Ορκωτοί Ελεγκτές Λογιστές. υπηρεσίες. 2.1 Επαγγελµατικές υπηρεσίες και πρότυπα εργασίας

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ISO 21500:2012. Σημασία. Αποφυγή λαθών Σημείο αναφοράς καλής πρακτικής Χρήση κοινής γλώσσας στα έργα του οργανισμού. Guidance on Project Management

Οργάνωση Γραφείου με τη χρήση της Τεχνολογίας

Διαχείριση Κινδύνων για Μικρές και Μεσαίες Επιχειρήσεις

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

Audit Committees November 1, 2006

COORDINATION of RISK, COMPLIANCE & INTERNAL AUDIT

Συστήματα Διαχείρισης Ποιότητας Το πρότυπο ISO9001:2015 και οι εφαρμογές του

Επικαιροποίηση των Προτύπων

ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΕΦΗΣ ΑΝΑΛΥΣΗ Επιχειρηματική Μοντελοποίηση. Ιωάννης Σταμέλος Βάιος Κολοφωτιάς Πληροφορική

GDPR: Η αντίστροφη μέτρηση έχει αρχίσει! Δ. Στασινόπουλος, MBA Manager IT Governance

Πλαίσιο Εργασιών. Στρατηγικές Ευκαιρίες

Εισαγωγή στη Διοίκηση Επιχειρήσεων Ενότητα 7: Έλεγχος - Ελεγκτική Επίκ. Καθηγητής Θεμιστοκλής Λαζαρίδης Τμήμα Διοίκηση Επιχειρήσεων (Γρεβενά)

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική

ΔΙΑΧΕΙΡΙΣΗ ΕΡΓΟΥ PROJECT MANAGEMENT

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας ISO Διάλεξη 2

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

Άρθρο 1. Αντικείμενο του Κανονισμού Λειτουργίας της Ελεγκτικής Επιτροπής της Εταιρείας. η σύνθεση, συγκρότηση και λειτουργία της Ελεγκτικής Επιτροπής,

ΠΡΟΣΑΡΤΗΜΑ Β ΠΟΙΟΤΙΚΕΣ ΔΕΞΙΟΤΗΤΕΣ ΥΠΟΨΗΦΙΩΝ ΝΟΜΙΜΩΝ ΕΛΕΓΚΤΩΝ

Κεφάλαιο 3 ΛΟΓΙΣΤΙΚΑ ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ

Ασφαλιστική Επιχείρηση και Κανονιστική Συμμόρφωση Ο ρόλος του εμμίσθου Δικηγόρου ως μέλους της Κανονιστικής Λειτουργίας

Διαχείριση Ρίσκου σε Επιχειρήσεις ISO 31000:2009

Χρηματοοικονομική Διοίκηση ΙΙ

Δύο συμπληρωματικοί ρόλοι, μια συμμαχία συνεργασίας

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική. Ενότητα # 8: Αναλυτικές διαδικασίες

Κανονισμός Λειτουργίας Επιτροπής Ελέγχου

Προκαταρκτική Φάση Ανάλυσης

Εξειδικευμένο λογισμικό για GRC

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

ΣΧΕ ΙΑΣΜΟΣ ΚΑΙ ΑΝΑΠΤΥΞΗ ΣΥΣΤΗΜΑΤΩΝ ΙΑΧΕΙΡΙΣΗΣ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΠΟΡΩΝ

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας ISO Διεργασιακή Προσέγγιση Διάλεξη 3

Οι βασικές αλλαγές που επιδρούν στο επιχειρηματικό περιβάλλον

ΟΡΟΛΟΓΙΑ. απαιτήσεις αξιοπιστίας, στις απαιτήσεις ασφάλειας, στις απαιτήσεις λειτουργίας κλπ.

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ. Εγκρίθηκε από το Διοικητικό Συμβούλιο την 12/9/2017

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

GLOBALGAP (EUREPGAP)

ΠΑΡΑΡΤΗΜΑ Ι ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΤΗΝ ΑΞΙΟΛΟΓΗΣΗ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΧΟΡΗΓΗΣΗΣ ΑΔΕΙΩΝ ΤΟΥ ΤΕΧΝΙΚΟΥ ΕΠΙΜΕΛΗΤΗΡΙΟΥ ΕΛΛΑΔΟΣ ΑΠΟ ΤΟ ΕΘΝΙΚΟ ΣΥΣΤΗΜΑ ΔΙΑΠΙΣΤΕΥΣΗΣ

Δ12 Διαδικασία Εσωτερικών Επιθεωρήσεων

ΟΡΓΑΝΩΤΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ για τα Τ.Ε.Α. που διαχειρίζονται τα ΙΔΙΑ τις επενδύσεις τους

Περίγραμμα ελεγκτικής διαδικασίας (audit process)

1.1. Πολιτική Ασφάλειας Πληροφοριών

Απαιτήσεις του ISO9001:2000

ΤΕΙ ΚΡΗΤΗΣ ΤΜΗΜΑ ΛΟΓΙΣΤΙΚΗΣ ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ ΣΥΣΤΗΜΑΤΑ ΠΟΙΟΤΗΤΑΣ

Κανονισμός Λειτουργίας της Επιτροπής Ελέγχου

Παρουσίαση Μεταπτυχιακής Εργασίας

ΙΑ ΙΚΑΣΙΑ ΥΓΙΕΙΝΗΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ ΤΡΟΦΙΜΩΝ

Σχεδιαστής Ιστοσελίδων

OHSAS 18001:2007 / ΕΛΟΤ 1801:2008

Εταιρική Διακυβέρνηση: Η πρόσφατη εμπειρία του Ν.4364/2016 για τις ασφαλιστικές επιχειρήσεις

Αναδιοργάνωση στους Οργανισμούς

Βασικές Αρχές Λειτουργίας

Κεφάλαιο 10 Αναλυτικές διαδικασίες

RISK BASED INTERNAL AUDIT

«Information Security in a Testing environment: Ο στόχος και οι λύσεις της IntelliSolutions µε την χρήση των προϊόντων Compuware»

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΛΕΓΚΤΙΚΗΣ ΕΠΙΤΡΟΠΗΣ ΕΙΣΑΓΩΓΗ

Πληροφοριακά Συστήματα Διοίκησης. Διοικητική Επιστήμη και Λήψη Αποφάσεων

ΟΛΟΚΛΗΡΩΜΕΝΟ ΠΡΟΓΡΑΜΜΑ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ

Συμμόρφωση: Εργαλείο Διοίκησης - πρακτικές γιααύξηση της αξίας

ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

ΚΑΤΟΛΟΓΟΣ ΣΗΜΕΙΩΝ ΑΞΙΟΛΟΓΗΣΗΣ ΥΠΟΨΗΦΙΟΥ ΕΝΔΙΑΜΕΣΟΥ ΦΟΡΕΑ:

Οργάνωση Συµβουλευτικής Υποστήριξης Ενδεικτική Agenda Συναντήσεων

Μέτρηση, Στάθμιση & Διαχείριση του Κινδύνου

Κων/νος Λαμπρινουδάκης Αναπληρωτής Καθηγητής Τμήμα Ψηφιακών Συστημάτων Εργαστήριο Ασφάλειας Συστημάτων Πανεπιστήμιο Πειραιώς

Πρώτες ύλες. Πιθανοί κίνδυνοι σε όλα τα στάδια της παραγωγής. Καθορισµός πιθανότητας επιβίωσης µικροοργανισµών. Εκτίµηση επικινδυνότητας

ΠΙΣΤΟΠΟΙΗΣΗ ISO. Διαχείριση της Ποιότητας των Υπηρεσιών Φύλαξης

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΤΟΥ ΤΕΑ-ΕΑΠΑΕ (ΠΑΡΑΡΤΗΜΑ ΙΧ)

ΡΑΣΤΗΡΙΟΤΗΤΕΣ. Ασφάλεια & Ηλεκτρονική ιακυβέρνηση

EIEE Εσωτερικός Έλεγχος - Προκλήσεις & Ευκαιρίες

2.1. Εισαγωγή στα Πρότυπα για την Επαγγελματική Εφαρμογή του Εσωτερικού Ελέγχου

Ανάθεση του ΥΠΟΙΟ στον ΕΛΟΤ τον Αύγ. 07 για την ανάπτυξη Ελληνικών Προτύπων ιαχείρισης Έργων µέχρι το τέλος του Τα πρότυπα & οι προδιαγραφές θα

Πιστοποίηση ποιότητας ISO σε σχολεία

Σύστηµα ιαχείρισης Ποιότητας σύµφωνα µε το πρότυπο ISO9001:2008 Εφαρµογή στο ΤΕΙ 2/2/2012

Transcript:

Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων -Διάλεξη 6 ΤΕΙ Δυτικής Ελλάδος Τµήµα Διοίκησης Επιχειρήσεων - Μεσολόγγι

Πληροφοριακά Συστήµατα (ΠΣ) ΠΣ: ένα οργανωµένο σύστηµα από 5 στοιχεία (Ανθρώπινο Δυναµικό, Υλικό, Λογισµικό, Δεδοµένα και Διαδικασίες) που αλληλεπιδρούν µεταξύ τους και µε το περιβάλλον, µε σκοπό την παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων στα πλαίσια του οργανισµού. 2

3 Κατηγορίες ΠΣ Μπορούµε να διακρίνουµε τα Π.Σ. σε κατηγορίες ανάλογα µε το ρόλο τους. Μια κατηγορία είναι τα Π.Σ. Διεξαγωγής Συναλλαγών. Τα συστήµατα αυτά διαχειρίζονται πληροφορίες που αφορούν δοσοληψίες: π.χ. διαχείριση αποθήκης, διαχείριση βιβλιοθήκης, διαχείριση λογαριασµών ΔΕΗ, διαχείριση πωλήσεων ενός καταστήµατος, διαχείριση τραπεζικών λογαριασµών, κλπ.

4 Κατηγορίες ΠΣ Μια δεύτερη κατηγορία είναι τα Π.Σ. Διοίκησης. Είναι συστήµατα που υποστηρίζουν τις δραστηριότητες της διοίκησης και τις διαδικασίες λήψης αποφάσεων παράγοντας πληροφορίες µε τη µορφή αναφορών και εκθέσεων χρήσιµων στη διοίκηση ενός οργανισµού για το στρατηγικό σχεδιασµό και τη λήψη αποφάσεων. Μια τρίτη κατηγορία είναι τα Π.Σ. Υποστήριξης Αποφάσεων. Τα συστήµατα αυτά αποτελούν εξειδίκευση των Π.Σ. Διοίκησης και είναι εφοδιασµένα µε ειδικό λογισµικό για την υποστήριξη αποφάσεων. Βασίζουν τη λειτουργία τους σε συνδυασµό δεδοµένων και κατάλληλων µοντέλων.

5 Δοµή και Λειτουργία ΠΣ Βασίζεται σε αιτιοκρατικές αρχές λειτουργίας Οι προδιαγραφές (requirements) και οι στόχοι (objectives) λειτουργίας του είναι προκαθορισµένοι Ø Εξ ορισµού ατελής σχεδίαση, υλοποίηση και λειτουργία Ø Αποκλίσεις ανάµεσα σε προβλεπόµενα και πραγµατικά αποτελέσµατα του ΠΣ

6 Ρόλος Ελεγκτικής ΠΣ Εντοπισµός των αποκλίσεων (αποδεκτών και µη) Εντοπισµός των αιτίων που προκαλούν τις αποκλίσεις Διατύπωση προτάσεων (recommendations) για λήψη µέτρων

7 Στάδια Ελέγχου ΠΣ Είσοδος συλλογή πληροφοριακών στοιχείων (evidence) που παράγονται από το ΠΣ Επεξεργασία Εύρηµα (finding) και Επίπτωση (impact) Έξοδος Πρόταση για βελτίωση (recommendation)

8 Αντικείµενο Ελεγκτικής ΠΣ Αξιοπιστία και αποτελεσµατικότητα ΠΣ Διαδικασίες λειτουργίας Διαχείριση ανάπτυξης Διαχείριση ανάπτυξης εφαρµογών λογισµικού Διαχείριση δεδοµένων

9 Ελεγκτική Ασφάλειας ΠΣ Προστασία των θεµελιωδών εννοιών Ακεραιότητα, Εµπιστευτικότητα Διαθεσιµότητα Ιδιωτικότητα Προσωπικών Δεδοµένων Συνδυασµός εννοιών από Πληροφορική Παραδοσιακή Ελεγκτική Διοίκηση Πληροφοριακών Συστηµάτων Επιστήµες της Ανθρώπινης Συµπεριφοράς

10 Βασικές Έννοιες Ελέγχου ΠΣ 1(3) Δοµές Ελέγχου (Control Structures) Τεκµηρίωση (Documentation) Έλεγχος (Control/Audit/Test/Check) Control Audit Test Check Ελεγκτική ΠΣ (IS Auditing)

11 Βασικές Έννοιες Ελέγχου ΠΣ 2(3) Εξωτερικός Έλεγχος (External Audit) Εσωτερικός Έλεγχος (Internal Audit) Νοµοθετικό πλαίσιο (Ν. 3016/2002) Επίπεδο Κινδύνου (Risk Level) Έκταση / Εύρος Ελέγχου (Scope of Audit)

12 Βασικές Έννοιες Ελέγχου ΠΣ 3(3) Πρότυπα (Standards) Πρότυπα Ελέγχου ΠΣ (IS Auditing Standards) Οδηγίες Εφαρµογής (Guidelines) Διαδικασίες (Procedures) Βέλτιστες Πρακτικές (Best Practices)

Πρότυπα 13

Οδηγίες και τεχνικές 14

15 Σηµασία του Ελέγχου ΠΣ Ανασφαλή λήψη αποφάσεων Απώλεια των δεδοµένων Αναποτελεσµατική χρήση του ΠΣ Κατάχρηση του ΠΣ Απώλεια Εµπιστευτικότητας και Ιδιωτικότητας Δεδοµένων Εσφαλµένη λειτουργία του ΠΣ

16 Χαρακτηριστικά του Ελέγχου ΠΣ Ατελή µέσα µέτρησης Απόδοσης ΠΣ Καταλληλότητας µέσων ελέγχου Εύλογο Επίπεδο Διασφάλισης (Reasonable Assurance Level) Ανάλυση Κόστους / Ωφέλειας (Cost/Benefit Analysis)

17 Οργάνωση του Ελέγχου ΠΣ Επιτροπή Ελέγχου (Audit Committee) Καταστατικός Χάρτης Ελέγχου ΠΣ (IS Audit Charter) Υπευθυνότητες και σκοποί της Διοίκησης Εξουσιοδοτήσεις προς άλλα τµήµατα του οργανισµού (delegation)

18 Σχεδιασµός Ελέγχου ΠΣ 1(5) Πλάνο Ελέγχου (ΠΕ) Απαιτούµενες ενέργειες ελέγχου Χρονοδιάγραµµα ενεργειών Οικονοµικά στοιχεία Επιπτώσεις στον οργανισµό από τον έλεγχο Εξαιρέσεις Αναδροµική δοµή

19 Σχεδιασµός Ελέγχου ΠΣ 2(5) Ανάπτυξη Πλάνου Ελέγχου Στόχοι ελέγχου Τεχνολογική υποδοµή Ρόλος και σηµασία του αντικειµένου του ελέγχου για τον Οργανισµό Ανάλυση Επικινδυνότητας Νοµικό και Κανονιστικό Πλαίσιο Χρονικές προθεσµίες για την υλοποίηση ΠΣ Τρέχουσες τεχνολογίες και τάσεις πληροφορικής Περιορισµοί των πληροφοριακών πόρων Γνώση του περιβάλλοντος ΠΣ και του τοµέα (industry)

20 Σχεδιασµός Ελέγχου ΠΣ 3(5) ΠΕ Κρίσιµοι Παράγοντες Επιτυχίας Σκοπός λειτουργίας του ΠΣ (IS business purpose) Λειτουργίες που υλοποιεί το ΠΣ Χρησιµοποιούµενες τεχνολογίες Ανάλυση επικινδυνότητας Επισκόπηση των µηχανισµών ελέγχου Καθορισµός εύρους και στόχων ελέγχου Διαµόρφωση στρατηγικής ελέγχου Κατανοµή των ελεγκτικών πόρων

21 Σχεδιασµός Ελέγχου ΠΣ 4(5) Έκταση και Χαρακτήρας Ελέγχου Κάθετος σε συγκεκριµένο αντικείµενο ελέγχου (επιχειρησιακή λειτουργία µισθοδοσίας) Οριζόντιος σύνολο αντικειµένων ελέγχου, µε συγκεκριµένο επίπεδο λεπτοµέρειας (έλεγχος των διαδικασιών ασφάλειας του οργανισµού)

22 Σχεδιασµός Ελέγχου ΠΣ 5(5) Νοµικά και Κανονιστικά θέµατα Εξωτερικές απαιτήσεις Πρακτικές και µηχανισµοί ελέγχου ΠΣ τρόπος αποθήκευσης υπολογιστών, λογισµικού και δεδοµένων Οργάνωση και δραστηριότητες του ΠΣ Νοµικό / Κανονιστικό πλαίσιο διαχείρισης εγγράφων Διερεύνηση βαθµού συµµόρφωσης του οργανισµού Διερεύνηση βαθµού αποτελεσµατικότητας των διαδικασιών κατά την καθηµερινή λειτουργία του ΠΣ

23 Κίνδυνοι και Ανάλυση Επικινδυνότητας Κίνδυνος (risk): διαφορετική έννοια σε διαφορετικά περιβάλλοντα Η δυνατότητα µιας δεδοµένης απειλής να εκµεταλλευτεί ευπάθειες σε ένα αγαθό ή οµάδα αυτών µε συνέπεια πρόκληση απώλειας ή ζηµιάς στα αγαθά. Η επίπτωση ή σχετική σοβαρότητα του κινδύνου είναι ανάλογη µε την επιχειρησιακή αξία της απώλειας / ζηµιάς και την εκτιµώµενη πιθανότητα εκδήλωσης της απειλής. [ISO /IEC TR 13335-1, 1996]

24 Διαχείριση Κινδύνων Άµβλυνση των κινδύνων µε την εφαρµογή των µηχανισµών ελέγχου (2) Αξιολόγηση του επιπέδου ασφάλειας (3) Ανάλυση επικινδυνότητας (1) Εντοπισµός των Αντικείµενων Ελέγχου Επιλογή Ελεγκτικών Στόχων Κατάρτιση Προγραµµάτων Ελέγχου

25 Ελεγκτική ΠΣ και Ανάλυση Επικινδυνότητας Αποτελεσµατική αποτύπωση του ΠΣ Αποτελεσµατική κατανοµή των περιορισµένων ελεγκτικών πόρων Σύνδεση του συγκεκριµένου αντικείµενου ελέγχου µε τον οργανισµό Αφετηρία για αποτελεσµατική διαχείριση του τµήµατος Εσωτερικού Ελέγχου

26 Μηχανισµοί Ελέγχου ΠΣ 1(2) Μέσα εύλογης διαβεβαίωσης επίτευξης των επιχειρησιακών στόχων Διακρίνονται σε: Πολιτικές Διαδικασίες Πρακτικές Οργανωσιακές Δοµές

27 Μηχανισµοί Ελέγχου ΠΣ 2(2) Ποιότητα των Μηχανισµών Ελέγχου Τύπος (Προληπτικοί, Διαγνωστικοί, Διορθωτικοί) Βαθµός αυτοµατοποίησης Βαθµός τεκµηρίωσης Τάσεις και εξέλιξη Εµπέδωση οργανωσιακής κουλτούρας ελέγχου Συνεχής Έλεγχος ΠΣ (IS Continuous Auditing)

28 Στόχοι των Μηχανισµών Ελέγχου Στόχοι ασφάλειας ΠΣ Λειτουργικοί στόχοι Στόχοι συµµόρφωσης Στόχοι ανάκτησης Στόχοι συνέχειας

Δοµικά στοιχεία των Μηχανισµών Ελέγχου ΠΣ Λογιστικοί έλεγχοι Ασφάλεια των αγαθών του ΠΣ Αξιοπιστία των οικονοµικών εγγραφών Λειτουργικοί έλεγχοι Καθηµερινές λειτουργίες και δραστηριότητες του ΠΣ Ευθυγράµµιση της λειτουργίας του ΠΣ µε τους σκοπούς του οργανισµού Διοικητικοί έλεγχοι συµµόρφωση µε τις πολιτικές της Διοίκησης Υποστήριξη των λειτουργικών ελέγχων 29

30 Κύριες Περιοχές Ελέγχου ΠΣ 1(2) Ορισµός και διαχωρισµός Ρόλων και Υπευθυνοτήτων Πολιτική Ασφάλειας Πληροφοριών Διαδικασίες Πρόσληψης και Εκπαίδευσης Προσωπικού σε Επιχειρησιακές Δράσεις Συστήµατα Ελέγχου Λογικής Πρόσβασης Συστήµατα Ελέγχου Φυσικής Πρόσβασης

31 Κύριες Περιοχές Ελέγχου ΠΣ 2(2) Διεξαγωγή ελέγχων του τεχνικού επιπέδου ασφάλειας των (υπο) συστηµάτων του ΠΣ Τεκµηρίωση Συστηµάτων και Διαδικασιών Διεξαγωγή χαµηλού επίπέδου ελέγχων Ακεραιότητα των µηχανισµών αναφοράς του ΠΣ Ακεραιότητα του πυρήνα του Λ.Σ. (kernel) Διεξαγωγή ελέγχων για εξακρίβωση του τεχνικού επιπέδου ασφάλειας των εφαρµογών (applications) του ΠΣ

32 Το πλαίσιο Αναφοράς COBIT COBIT (Control Objectives for Information and related Technology) De facto πρότυπο Συνδυάζει και συνδέει τους οργανωσιακούς κινδύνους µε µηχανισµούς ελέγχου και τεχνικά θέµατα υλοποίησης Ένα σύνολο από 34 σκοπούς ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν αντίστοιχες διεργασίες του κύκλου ζωής ενός ΠΣ

33 Το πλαίσιο Αναφοράς COBIT Το πιο σηµαντικό πλαίσιο στο οποίο αναφέρονται όλοι οι επαγγελµατίες που σχετίζονται µε τη διακυβέρνηση ή τον έλεγχο της πληροφορικής είναι το πλαίσιο COBIT («Control OBjectives for Information and related Technology»). Το διεθνώς αναγνωρισµένο πλαίσιο COBIT περιγράφει αναλυτικά την εφαρµογή των δικλίδων ασφαλείας σε όλο το φάσµα της λειτουργίας και της διακυβέρνησης της πληροφορικής. Περιέχει τα κύρια πρότυπα που σχετίζονται µε την πληροφορική, όπως το ITIL (Information Technology Infrastructure Library).

34

35 Χρησιµότητα Οι διοικήσεις των εταιρειών αξιοποιούν το πλαίσιο COBIT ώστε να επιτύχουν επιπρόσθετη αξία στις επενδύσεις στα πληροφοριακά συστήµατα, καθώς επίσης και για να εξισορροπήσουν τους κινδύνους µε τις απαιτούµενες δικλίδες ασφαλείας. Τα ανώτερα στελέχη των επιχειρήσεων και των οργανισµών αναγνωρίζουν την ανάγκη της συµµόρφωσης µε το πλαίσιο COBIT, ώστε να διασφαλίσουν την αποδεκτή διαχείριση και τον επαρκή έλεγχο των υπηρεσιών της πληροφορικής.

36 Χρησιµότητα Τα στελέχη των διευθύνσεων της πληροφορικής λειτουργούν σύµφωνα µε το πλαίσιο COBIT, ώστε να εγγυώνται τις απαραίτητες υπηρεσίες, σύµφωνα µε τις επιχειρησιακές ανάγκες. Κάθε ελεγκτής πληροφοριακών συστη- µάτων οφείλει να γνωρίζει επαρκώς το πλαίσιο COBIT για τη διαµόρφωση και την τεκµηρίωση της επαγγελµατικής του γνώµης σε σχετικά θέµατα.

Σύνθεση του πλαισίου COBIT 37

Επιχειρησιακές απαιτήσεις (Business Requirements) Το πλαίσιο COBIT βασίζεται σε επτά συγκεκριµένα κριτήρια, τα οποία ονοµάζει επιχειρησιακές απαιτήσεις (Business Requirements). Τα κριτήρια αυτά είναι: 1. Αποτελεσµατικότητα. Η πληροφορία θα πρέπει να είναι σχετική, συναφής, ακριβής, περιεκτική, αξιοποιήσιµη και άµεσα προσβάσιµη. 2. Αποδοτικότητα. Η επιχείρηση θα πρέπει να αξιοποιεί µε τον βέλτιστο τρόπο τους διαθέσιµους πόρους της πληροφορικής. 3.Εµπιστευτικότητα. Αφορά την προστασία των ευαίσθητων δεδοµένων. 4. Ακεραιότητα. Σχετίζεται µε την ακρίβεια, την πληρότητα και την εγκυρότητα της πληροφορίας. 38

39 Επιχειρησιακές απαιτήσεις (Business Requirements) 5. Διαθεσιµότητα. Η πληροφορία θα πρέπει να είναι διαθέσιµη σύµφωνα µε τις ανάγκες της επιχείρησης. 6. Συµµόρφωση. Αφορά τη συµµόρφωση της επιχείρησης µε κανόνες, ρήτρες συµβολαίων και νοµοθεσίες σχετικές µε τα πληροφοριακά συστήµατα. 7. Αξιοπιστία. Σχετίζεται µε την παροχή της κατάλληλης πληροφόρησης προς τη διοίκηση της επιχείρησης.

40

41 Το πλαίσιο Αναφοράς COBIT Σχεδιασµός και Οργάνωση (Planning and Organization) Προµήθεια και Υλοποίηση (Acquisition and Implementation) Παράδοση και Υποστήριξη (Delivery and Support) Έλεγχος και Παρακολούθηση (Monitoring)

42 Το πλαίσιο Αναφοράς COBIT Εκτελεστική Περίληψη Πλαίσιο Αναφοράς Σκοποί Ελέγχου Οδηγίες Εφαρµογής προς τη Διοίκηση Οδηγίες Εφαρµογής Ελέγχου Εργαλειοθήκη Υλοποίησης

43 Το πλαίσιο Αναφοράς COBIT 4(4) Τεχνικά πρότυπα (ISO, EDIFACT) Οδηγίες και κατευθυντήριες γραµµές από την ΕΕ και διεθνείς οργανισµούς (OECD, ISACA) Κριτήρια πιστοποίησης για ΠΣ, προϊόντα και διεργασίες ΠΣ (ISO27000, ISO 9000, TickIT, CC) Διεθνή πρότυπα για εσωτερικό έλεγχο (COSO, IFAC, AICPA) De Facto βέλτιστες πρακτικές Αναπτυσσόµενα πρότυπα και τεχνικές σε ειδικές αγορές και τοµείς δραστηριότητας (e-commerce, τράπεζες, e-government)

44 Βασικές Έννοιες του COBIT Εταιρική Διακυβέρνηση µέσω της Πληροφορικής (IT Governance) Τέσσερις τοµείς (domains) σκοπών ελέγχου υψηλού επιπέδου που αντιπροσωπεύουν τον κύκλο ζωής ενός ΠΣ Διεργασίες Πληροφορικής (IT Processes) Δραστηριότητες (Activities/Tasks)

45 Σκοποί Ελέγχου κατά COBIT 1(2) Πρωτεύων (Primary), όπου ο σκοπός ελέγχου επηρεάζει σε µεγάλο βαθµό τη διεργασία πληροφορικής Δευτερεύων (Secondary), όπου ο σκοπός ελέγχου επηρεάζει τη διεργασία πληροφορικής σε µικρότερο βαθµό Προαιρετικός (Blank), όπου ο σκοπός ελέγχου καλύπτεται από άλλους σκοπούς ελέγχου για τη συγκεκριµένη διεργασία πληροφορικής

46 Σκοποί Ελέγχου κατά COBIT 2(2) Ορισµός σκοπών ελέγχου σε υψηλό επίπεδο Επιχειρησιακή ανάγκη που εντάσσεται σε κάποια διεργασία του ΠΣ Σύνδεση σκοπών µε εφαρµόσιµους µηχανισµούς ελέγχου Ανεξαρτησία από τεχνικές υλοποιήσεις και λεπτοµέρειες Σκοποί ελέγχου σε ειδικά περιβάλλοντα και ΠΣ ενδέχεται να προϋποθέτουν ειδικές παραδοχές Οργάνωση ανά διεργασία/δραστηριότητα ΠΣ

47 COBIT Οδηγίες Εφαρµογής προς τη Διοίκηση Μετρικές, εργαλεία και τεχνικές τα οποία είναι στη διάθεση της Διοίκησης του ΠΣ Μοντέλα Ωριµότητας (Maturity Models) Κρίσιµοι Παράγοντες Επιτυχίας (Critical Success Factors) Κύριοι Δείκτες Στόχων (Key Goal Indicators) Κύριοι Δείκτες Απόδοσης (Key Performance Indicators)

48 COBIT Οδηγίες Εφαρµογής Ελέγχου Διευκόλυνση της εφαρµογή του Πλαισίου Αναφοράς και των γενικών Σκοπών Ελέγχου µέσα από ελεγκτικές διαδικασίες Παροχή µιας δοµηµένης προσέγγισης όσον αφορά τον έλεγχο και την αποτίµηση µηχανισµών ελέγχου ΠΣ

49

50 COBIT Εργαλειοθήκη Υλοποίησης Συµπυκνωµένη γνώση και εµπειρία από οργανισµούς οι οποίοι έχουν εφαρµόσει επιτυχώς το πλαίσιο COBIT Διάγνωση Διοικητικού Βαθµού Επίγνωσης (Management Awareness Diagnostic) Διάγνωση Ελέγχου ΠΣ (IT Control Diagnostic)

Περιορισµοί και ιδιαιτερότητες του COBIT Απαιτεί αναδιοργάνωση της οπτικής των οντοτήτων του οργανισµού που εµπλέκονται στην εφαρµογή του (key players) Το COBIT είναι ένα πλαίσιο που πρέπει να προσαρµοστεί στον συγκεκριµένο οργανισµό Το COBIT συνιστάται να χρησιµοποιηθεί εκ παραλλήλου µε άλλες ελεγκτικές προσεγγίσεις όπως το SysTrust Οι Οδηγίες Εφαρµογής προς τη Διοίκηση είναι γενικές και πρέπει να προσαρµοστούν ανάλογα 51

52 Διαδικασίες Ελέγχου ΠΣ Πολιτικές και πρακτικές οι οποίες έχουν εγκριθεί από τη Διοίκηση Στοχεύουν στην εύλογη διασφάλιση των στόχων ελέγχου Οι διαδικασίες αυτές είναι σκόπιµα γενικές και αφηρηµένες Μεταφράζονται σε συγκεκριµένες διαδικασίες ελέγχου, που ποικίλλουν ανάλογα µε το πληροφοριακό σύστηµα

53 Διεξαγωγή Ελέγχου ΠΣ Οικονοµικοί έλεγχοι Λειτουργικοί έλεγχοι Ενοποιηµένοι έλεγχοι Διοικητικοί έλεγχοι Έλεγχοι Πληροφοριακών Συστηµάτων

54 Γενικές διαδικασίες ελέγχου ΠΣ Κατανόηση του αντικειµένου του ελέγχου και του περιβάλλοντός του Ανάλυση επικινδυνότητας, γενικό πλάνο ελέγχου και χρονοπρογραµµατισµός Λεπτοµερές πλάνο ελέγχου Προπαρασκευαστική επισκόπηση του αντικειµένου υπό έλεγχο Αποτίµηση του αντικειµένου υπό έλεγχο Επιλεκτικοί έλεγχοι (tests of controls) Λεπτοµερείς έλεγχοι Δηµιουργία Αναφοράς Ελέγχου

55 Μεθοδολογία Ελέγχου ΠΣ Ένα σύνολο τεκµηριωµένων διαδικασιών ελέγχου, οι οποίες είναι σχεδιασµένες µε τρόπον ώστε να ικανοποιούν τους στόχους ελέγχου Καθορισµός της Έκτασης του Ελέγχου Καθορισµός των Στόχων του Ελέγχου Καθορισµός των Προγραµµάτων Ελέγχου

Προσδιορισµός του αντικειµένου και εύρους του ελέγχου Ικανοποιητικός προσδιορισµός αντικειµένου και εύρους ελέγχου? ΝΑΙ Προσδιορισµός των απαραίτητων ελεγκτικών πόρων και τεχνικών δεξιοτήτων 56 ΟΧΙ Ροή Εργασιών Ελέγχου ΠΣ ΟΧΙ Εκλογή της ελεγκτικής προσέγγισης και δοκιµής των µηχανισµών ελέγχου Προσδιορισµός των τοποθεσιών / εγκαταστάσεων για έλεγχο Προσδιορισµός των πηγών πληροφορίας προς έλεγχο ή επισκόπηση Προσέγγιση και µέθοδοι ελέγχου αποδεκτοί? ΝΑΙ Πηγές Πληροφορίας για τον οργανισµό, τα ΠΣ, κανονιστικό πλαίσιο, κλπ. Δηµιουργία λίστας ατόµων για λήψη συνέντευξης Παροχή πρόσβασης στις πηγές πληροφορίας για τον οργανισµό Διενέργεια Ελέγχων ΟΧΙ Τεκµηρίωση ελέγχου αποδεκτή? Επισκόπηση και αποτίµηση της επάρκειας της τεκµηρίωσης, των πολιτικών και διαδικασιών που σχετίζονται µε το αντικείµενο ελέγχου Προσέγγιση και µέθοδοι ελέγχου αποδεκτοί? ΝΑΙ Έκθεση Ελέγχου ΟΧΙ Προσδιορισµός των διαδικασιών αποτίµησης / δοκιµής των µηχανισµών ελέγχου Εκλογή Διαδικασιών για την αξιολόγηση των αποτελεσµάτων των ελέγχων

57 Τύποι Προγραµµάτων Ελέγχου Απουσία σαφών ορίων µεταξύ των περιοχών ελέγχου Επίπεδο Επιχειρησιακής Λειτουργίας Επίπεδο Διαδικασιών Επίπεδο Εφαρµογής Επίπεδο Αποθήκης Δεδοµένων Επίπεδο Πληροφοριακής Υποδοµής

58 Περιορισµοί και Κίνδυνοι του Ελέγχου ΠΣ Ελεγκτικός Κίνδυνος (Audit Risk) Εγγενής κίνδυνος (Inherent Risk) Κίνδυνος Μηχανισµού Ελέγχου (Control Risk) Κίνδυνος Διάγνωσης (Detection Risk) Ολικός Ελεγκτικός κίνδυνος (Overall Audit Risk)

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια