Click to edit Master title style

Σχετικά έγγραφα
Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Γενική Επισκόπηση Επισηµάνσεις Διάλεξη 9

Πρότυπα Πληροφοριακών Συστηµάτων Διοίκησησ

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ

Βασικές Αρχές Λειτουργίας

Διαχείριση Κινδύνων για Μικρές και Μεσαίες Επιχειρήσεις

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Πρότυπα διαχείρισης Επιχειρηµατικών Κινδύνων Διάλεξη 5

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

Audit Committees November 1, 2006

ISMS κατά ISO Δεκέμβριος 2016

PwC. Νομοθετικό πλαίσιο και βέλτιστες πρακτικές Εσωτερικού Ελέγχου σε Ασφαλιστικές Εταιρείες

ΠΑΝΕΠΙΣΤΗΜΙΟ ΜΑΚΕ ΟΝΙΑΣ ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ ΠΡΟΓΡΑΜΜΑ ΠΥΘΑΓΟΡΑΣ

ΚΕΝΤΡΙΚΗ ΤΡΑΠΕΖΑ ΤΗΣ ΚΥΠΡΟΥ

Επικαιροποίηση των Προτύπων

Κώδικας εοντολογίας της ιοίκησης. & των Οικονοµικών Υπηρεσιών. της Εθνικής Asset Management Α.Ε..Α.Κ.

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

Συνεργασία PRIORITY & INTERAMERICAN:

1.1. Πολιτική Ασφάλειας Πληροφοριών

Κωνσταντίνο Παπαδάτο Εµπορικό ιευθυντή ENCODE. 15 Σεπτεµβρίου 2009

Σύνδεσμος Εσωτερικών. Σταδιοδρομία Νοεμβρίου /

Ο Pόλος του Υπεύθυνου Ασφάλειας Πληροφοριών (CISO)

Διαχείριση Ρίσκου σε Επιχειρήσεις ISO 31000:2009

Δύο συμπληρωματικοί ρόλοι, μια συμμαχία συνεργασίας

ΠΕΡΙΓΡΑΦΗ ΥΠΗΡΕΣΙΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ ΕΣΩΤΕΡΙΚΩΝ ΕΛΕΓΚΤΩΝ ΣΤΙΣ ΜΟΝΑΔΕΣ ΥΓΕΙΑΣ

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική. Ενότητα # 10: Δοκιμασία εσωτερικών δικλίδων

«Εισαγωγή στα Συστήµατα ιαχείρισης: Ποιότητα Περιβάλλον Ασφάλεια Τροφίµων»

Η Eπιχειρηµατική Αριστεία χρειάζεται Εξέλιξη.

Διασφάλιση της Ποιότητας στις Υπηρεσίες Πληροφόρησης

«Η εξέλιξη της Ηλεκτρονικής ιακυβέρνησης, η προσαρµογή και η εφαρµογή της στην Ελληνική Πραγµατικότητα»

Πολιτικές Ασφάλειας Πληροφοριακών Συστημάτων. Σωκράτης Κ. Κάτσικας Τμήμα Μηχ/κών Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

EIEE Εσωτερικός Έλεγχος - Προκλήσεις & Ευκαιρίες

Στρατηγικοί στόχοι για το Ευρωπαϊκό Σύστημα Τυποποίησης* μέχρι το 2020

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

Κεφάλαιο 11 Σύστηµα εσωτερικών δικλίδων Θεµατολογία: Έννοια και δοµή

Όμιλος FOURLIS Risk Based Audit

Κανονισμός Αξιολόγησης Απόδοσης

REQUEST FOR PROPOSAL ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΚΤΗ

ΤΕΧΝΙΚΟ ΕΛΤΙΟ ΓΙΑ ΤΑ ΣΥΣΤΗΜΑΤΑ ΠΕΡΙΒΑΛΛΟΝΤΙΚΗΣ ΙΑΧΕΙΡΙΣΗΣ

Υπουργείο Οικονοµικών Οµάδα καταπολέµησης διαφθοράς 5/15/13

Διαχείριση Αλλαγής και Ηγεσία

Επιχειρησιακή Στρατηγική. Αριστοµένης Μακρής

Ασφάλεια πληροφοριακών συστημάτων στη Ναυτιλία ISO 27001

Ποιότητα και Πρότυπα στη Διοίκηση Επιχειρήσεων Συστήµατα Διασφάλισης Ποιότητας Γενική επισκόποηση και Επεκτάσεις- Διάλεξη 8

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ

Balanced Scorecard ως σύστημα μέτρησης απόδοσης

σχετικά µε το πλαίσιο εταιρικής διακυβέρνησης των ευρωπαϊκών επιχειρήσεων (2011/2181(INI))

ΠΡΟΣΚΛΗΣΗ ΕΝΔΙΑΦΕΡΟΝΤΟΣ KAI ΚΑΤΑΘΕΣΗΣ ΠΡΟΣΦΟΡΩΝ ΓΙΑ ΤΗΝ ΑΝΑΘΕΣΗ ΤΟΥ ΕΡΓΟΥ:

O ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ Η ΔΙΟΙΚΗΣΗ ΜΙΑΣ ΕΠΙΤΥΧΗΜΕΝΗΣ ΜΟΝΑΔΑΣ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ 12 CPE CREDITS*

Πρότυπα και Επιχειρηματικότητα Τρίτη, 19 Μάϊου 2014

Εισαγωγή στην Κοστολόγηση Επιχειρήσεων

Certified Insurance Customer Services

Εταιρική Διακυβέρνηση: Η πρόσφατη εμπειρία του Ν.4364/2016 για τις ασφαλιστικές επιχειρήσεις

Χρηματοοικονομική Διοίκηση ΙΙ

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΣΧΟΛΗ ΕΠΙΣΤΗΜΩΝ ΤΗΣ ΔΙΟΙΚΗΣΗΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ MBA

1. Ιστορικό ίδρυσης ΑΔΜΗΕ. 2. Ρόλος του ΑΔΜΗΕ στην αγορά ηλεκτρικής ενέργειας. 3. Βασικές εταιρικές αρχές λειτουργίας ΑΔΜΗΕ

Ζητήματα Ασφάλειας στο σχεδιασμό Επιχειρησιακής Συνέχειας. Τσώχου Αγγελική

ΚΩΔΙΚΑΣ ΔΕΟΝΤΟΛΟΓΙΑΣ ΕΡΓΑΖΟΜΕΝΩΝ

ΤΟ ΤΑΞΙΔΙ ΤΗΣ ΝΕΑΣ ΓΕΝΙΑΣ ΖΗΡΙΔΗ ΠΡΟΣ ΤΗ ΠΟΙΟΤΗΤΑ

Επιχειρηματική Αριστεία

1. Σχολή Οικονομικών, Διοίκησης και Πληροφορικής

EcoMentor Project No: PL01-KA

Προγραμματισμός και στρατηγική διοίκηση. 4 ο Κεφάλαιο

Solvency II. Πυλώνας ΙΙ Εταιρική ιακυβέρνηση και Εσωτερικός Έλεγχος. Μυρτώ Χαμπάκη. Υπεύθυνη Οικονομικών Θεμάτων & Κλάδου Ζωής Ε.Α.Ε.

Οργάνωση Γραφείου με τη χρήση της Τεχνολογίας


Είναι πλήρως εξοικειωμένος με τους κανόνες λειτουργίας του Ταμείου.

ΠΙΣΤΟΠΟΙΗΣΗ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΑΡΙΣΤΕΙΑΣ

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική

Η συμβολή στην επιτυχία ενός οργανισμού, παρουσιάζοντας σχετικά δεδομένα με τη χρήση τεχνικών 2Δ ή 3Δ τεχνολογίας. Αρμοδιότητα

«Περιεχόµενα. 03 Εισαγωγή Ένα ολοκληρωµένο πληροφοριακό σύστηµα. 04 Περιγραφή Εργαλείο εφαρµογής διαδικασιών

ΟΜΟΣΠΟΝ ΙΑ ΕΚΠΑΙ ΕΥΤΙΚΩΝ ΦΡΟΝΤΙΣΤΩΝ ΕΛΛΑ ΟΣ (Ο.Ε.Φ.Ε.) ΕΠΑΝΑΛΗΠΤΙΚΑ ΘΕΜΑΤΑ ΕΠΑΝΑΛΗΠΤΙΚΑ ΘΕΜΑΤΑ 2014 ΑΡΧΕΣ ΟΡΓΑΝΩΣΗΣ & ΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ

ΚΕΦΑΛΑΙΟ 1 ΕΙΣΑΓΩΓΙΚΕΣ ΕΝΝΟΙΕΣ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΗΣ

Νέα πρότυπα & Αειφορία

Ανάθεση του ΥΠΟΙΟ στον ΕΛΟΤ τον Αύγ. 07 για την ανάπτυξη Ελληνικών Προτύπων ιαχείρισης Έργων µέχρι το τέλος του Τα πρότυπα & οι προδιαγραφές θα

Το υπό έκδοση διεθνές πρότυπο πιστοποίησης ISO «Συστήµατα διαχείρισης

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

COORDINATION of RISK, COMPLIANCE & INTERNAL AUDIT

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Ανώτατο Εκπαιδευτικό Ίδρυμα Πειραιά Τεχνολογικού Τομέα. Ελεγκτική

Καταστατικό επιθεώρησης της ΕΚΤ

ΚΩΔΙΚ ΑΣ ΔΕΟΝΤΟΛΟΓΙ ΑΣ

Η προώθηση της Διασφάλισης Ποιότητας στο πεδίο της Διά Βίου Μάθησης

ΕΛΛΗΝΙΚΗ ΕΤΑΙΡΕΙΑ ΣΥΜΜΕΤΟΧΩΝ ΚΑΙ ΠΕΡΙΟΥΣΙΑΣ Α.Ε.

Επιχειρησιακή Στρατηγική και Πολιτική Ο σκελετός της ιοίκησης

Στρατηγικό Σχεδιασµό Πληροφοριακών Συστηµάτων

GDPR: Εχθρός (?) προ των πυλών. 18 Απριλίου 2018 Δημήτρης Στασινόπουλος IT Governance Deputy Director

ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΠΙΤΡΟΠΗΣ ΓΙΑ ΤΙΣ ΕΠΙΘΕΩΡΗΣΕΙΣ ΣΥΜΦΩΝΑ ΜΕ ΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ Ο ΗΓΙΑΣ «ΣΕΒΕΖΟ ΙΙ» ρ. Γ.Α.

Committed to Excellence

2.2 Οργάνωση και ιοίκηση (Μάνατζµεντ -Management) Βασικές έννοιες Ιστορική εξέλιξη τον µάνατζµεντ.

ISO ORGANIZATIONAL RESILIENCE Η Oργανωσιακή Ανθεκτικότητα βήμα-βήμα με βάση το πρότυπο ΙSO 22316

ΕΚΘΕΣΗ ΙΑΦΑΝΕΙΑΣ 2015 OIKONOMIKA Ε ΟΜΕΝΑ ΧΡΗΣΗΣ 1/7/14-30/6/15 ΛΟΙΠΑ Ε ΟΜΕΝΑ ΤΗΣ 31/12/2015

Εισαγωγή στη Διοίκηση Επιχειρήσεων Ενότητα 7: Έλεγχος - Ελεγκτική Επίκ. Καθηγητής Θεμιστοκλής Λαζαρίδης Τμήμα Διοίκηση Επιχειρήσεων (Γρεβενά)

Η ΕΤΑΙΡΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΛΛΑΔΑ ΣΗΜΕΡΑ: ΤΑΣΕΙΣ ΚΑΙ ΕΞΕΛΙΞΕΙΣ

Αγορά. Η βιώσιµη ανάπτυξη της εταιρείας µας είναι άρρηκτα συνδεδεµένη µε το υπεύθυνο επιχειρείν

για όλους τους Φορείς ηµοσίου

Επιτροπή Συντονισμού της Ηλεκτρονικής Διακυβέρνησης

ΚΑΝΟΝΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΕΛΕΓΧΟΥ

a) Frederick Taylor b) Henri Fayol c) Max Weber d) Gantt

Πολιτική Βέλτιστης Εκτέλεσης Εντολών

Υποδείγµατα ωριµότητας. Παραδείγµατα Υποδειγµάτων Ωριµότητας

Αναδιοργάνωση στους Οργανισμούς

Transcript:

Τράπεζα Εµπορίου και Ανάπτυξης Ευξείνου Πόντου ιακυβέρνηση Πληροφορικής, Ασφάλεια και ο ρόλος του Εσωτερικού Ελέγχου Click to edit Master title style Παρουσίαση του κ. Παύλου Παυλίδη, ιευθυντή Εσωτερικού Ελέγχου στο Ελληνικό Ινστιτούτο Εσωτερικών Ελεγκτών, Αθήνα, 29 Μαρτίου 2006 Ατζέντα Εισαγωγή Το σκηνικό στην διακυβέρνηση της Πληροφορικής Επισκόπηση και προσδιορισµός των πλαισίων των καλών πρακτικών (frameworks of best practices), συµπεριλαµβανοµένων και αυτών για την Ασφάλεια Πληροφορικής Οφέλη της υιοθέτησης των πλαισίων των καλών πρακτικών (best practices) Ο ρόλος του Εσωτερικού Ελέγχου Συµπεράσµατα 1

Εισαγωγή Ο Οµιλητής Παύλος Παυλίδης, B.Sc., M.Sc., MIIA, CISA ιευθυντής Εσωτερικού Ελέγχου, Τράπεζα Εµπορίου και Ανάπτυξης Ευξείνου Πόντου Πρώην Μέλος και Γραµµατέας του Banking and Financial Services Group του IIA (UK & Ireland) Email: ppavlides@bstdb.org 2

Η Τράπεζα Εµπορίου και Ανάπτυξης Εύξεινου Πόντου Η ΤΕΑΠ είναι ιεθνής Χρηµατοδοτικός Οργανισµός που ιδρύθηκε από το Αζερµπαϊτζάν, την Αλβανία, την Αρµενία, την Βουλγαρία, την Γεωργία, την Ελλάδα, την Μολδαβία, την Ουκρανία, την Ρουµανία, την Ρωσσία, και την Τουρκία. Με µετοχικό κεφάλαιο 1 δις SDR (περίπου 1,325 δις ολλάρια), η Τράπεζα στηρίζει την οικονοµική ανάπτυξη και την περιφερειακή συνεργασία, παρέχοντας δάνεια, εγγυήσεις και επενδύοντας σε µετοχές, προς αναπτυξιακά προγράµµατα ιδιωτικών και δηµόσιων επιχειρήσεων των χωρών µελών της. Η Τράπεζα Εµπορίου και Ανάπτυξης Εύξεινου Πόντου Η ιδρυτική συµφωνία κυρώθηκε από την Ελληνική Κυβέρνηση µε τον Ν.2308/1996 (ΦΕΚ 38/1996) Η έδρα της Τράπεζας βρίσκεται στην Θεσσαλονίκη (Συµφωνία έδρας µεταξύ της κυβέρνησης της Ελληνικής ηµοκρατίας και της Τράπεζας Εµπορίου και Ανάπτυξης Ευξείνου Πόντου-ΦΕΚ 78-1999-Ν.2707) Η Τ.Ε.Α.Π., ως I.F.I., δεν υπόκειται σε νοµοθεσία αλλά λειτουργεί κάτω από δικούς της κανονισµούς. Ακολουθεί τις βέλτιστες πρακτικές (best practices) σε σχέση µε την Εταιρική ιακυβέρνηση ( Corporate Governance ), συµπεριλαµβανοµένης και της ιακυβέρνησης της Πληροφορικής ( IT Governance ). 3

Το σκηνικό στην διακυβέρνηση της Πληροφορικής Σηµαντικά προβλήµατα που αντιµετωπίζουν οι εταιρείες σχετικά µε την πληροφορική (2006) Προβλήµατα στον διαχωρισµό των καθηκόντων, στις εφαρµογές και στην έγκαιρη εγκατάσταση νέων χρηστών και την ακύρωση παλιών. Ελειπής επιτήρηση των αλλαγών στις εφαρµογές. Ανεπαρκής καταγραφή, εξέταση και παρακολούθηση ελεγκτικών αναφορών πληροφοριακών συστηµάτων (audit trails/ audit logs). Αδυναµία έγκαιρου εντοπισµού αντικανονικών συναλλαγών. Έλλειψη κατανόησης των βασικών δοµών των συστηµάτων. Συστήµατα που δεν λειτουργούν στο αναµενόµενο επίπεδο και συστήµατα που δεν συνεργάζονται µεταξύ τους. 4

Σκέψεις σχετικά µε την ιακυβέρνηση Πληροφορικής (1) Σχετίζει η επιχείρηση την Εταιρική ιακυβέρνηση µε την ιακυβέρνηση της Πληροφορικής? Συµφωνεί µε την αντίληψη ότι η ιακυβέρνηση Πληροφορικής επικεντρώνεται σε ειδικά θέµατα? Αναγνωρίζει πως οι λειτουργίες της Πληροφορικής θα πρέπει να διέπονται από οµαδοποιηµένες διαδικασίες? Αναγνωρίζει πως στον εταιρικό σκοπό θα πρέπει να περιλαβαµβάνονται και οι δραστηριότητες που αφορούν την Πληροφορική? Κατανοεί ότι οι δικλείδες ασφάλειας (control processes) διασφαλίζουν το επιθυµητό αποτέλεσµα? Σκέψεις σχετικά µε την ιακυβέρνηση Πληροφορικής(2) Είναι κατανοητό πως η αποτελεσµατικότητα και η αποδοτικότητα των διαδικασιών βελτιώνεται λαµβάνοντας υπόψη τις συνέπειες που επιφέρει η πάροδος του χρόνου? Η εταιρεία χρησιµοποιεί µετρήσιµα µεγέθη? Στον προσδιορισµό της κατάστασης των συστηµάτων και των διαδικασιών λαµβάνεται υπόψη ο συσχετισµός του αποτελέσµατος µε την προσπάθεια που καταβάλλεται? Βάσει των παραπάνω συµπερασµάτων πραγµατοποιούνται οικονοµικά αποδοτικότερες µετατροπές/βελτιώσεις? Ποιά πλαίσια/βέλτιστες πρακτικές(best practices) θα χρησιµοποιηθούν? Ποιός είναι ο ρόλος του ιοικητικού Συµβουλίου, της ιοίκησης, της ιεύθυνσης, του CIO και του Εσωτερικού Ελέγχου? 5

Βασικά κανονιστικά πλαίσια στην ιακυβέρνηση COBIT ISO 17799 ειδικά σε σχέση µε την ασφάλεια Πληροφορικής ITIL BS 15000 Στόχοι των δικλείδων ασφαλείας πληροφορικής (IT control objectives) των Sarbanes Oxley (SOX) 404, του πλαισίου COSO, και της Βασιλείας ΙΙ (Basel II) Τον Μάρτιο του 2005 η Ευρωπαϊκή Επιτροπή υιοθέτησε το COBIT µαζί µε το ISO 17799 και το BS 15000 ως διεθνή πρότυπα διακυβέρνησης µε σκοπό την παροχή ασφάλειας και ελέγχου στην πληροφορία. Άλλα πλαίσια/ βέλτιστες πρακτικές (best practices) COSO (Committee Of Sponsoring Organizations of the Treadway Commission) CMM PRINCE2 EFQM ISO 9001 PAS 56.. Και άλλα 6

Στρατηγικοί Προβληµατισµοί πάνω στην ιακυβέρνηση Πληροφορικής Η υιοθέτηση στρατηγικής στην ιακυβέρνηση Πληροφορικής προϋποθέτει τoν επαναπροσδιορισµό µερικών πολύ σηµαντικών ενδοεπιχειρησιακών σχέσεων ανάµεσα στο τµήµα Πληροφορικής και : το ιοικητικό Συµβούλιο τις επιχειρησιακές µονάδες (business units) το.σ. και τις επιχειρησιακές µονάδες. Είναι σηµαντικό η στρατηγική να καθορίζεται είτε από αναγνωρισµένα πρότυπα, όπως το COBIT, το ISO 17799 ή το ITIL, είτε από ένα επίσηµο πλαίσιο σχεδιασµένο από το.σ. σε συνεργασία µε τον CIO, τα εταιρικά τµήµατα (... και τον Εσωτερικό Έλεγχο). Επισκόπηση του COBIT (Control Objectives for Information and related Technology) 7

COBIT: Ενα πλαίσιο σηµείων ελέγχου Πληροφορικής(IT control Framework) Ξεκινάει µε την προϋπόθεση ότι η πληροφορική πρέπει να παρέχει πληροφορίες χρήσιµες για την επίτευξη των στόχων της εταιρείας. Προάγει την υπάρξη διαδικασιών και τον καθορισµό υπευθύνων ως προς την διατήρηση και την ενηµέρωση αυτών. Χωρίζει το IT σε 34 διαδικασίες που ανήκουν σε 4 τοµείς (domains) και παρέχει υψηλού επιπέδου σηµεία ελέγχου (control objectives) για το καθένα. Εξετάζει τις ανάγκες για εχεµύθεια, ποιότητα και ασφάλεια των επιχειρήσεων, παρέχοντας επτά κριτήρια που µπορεί να χρησιµοποιηθούν για τον προσδιορισµό των εταιρικών απαιτήσεων προς το τµήµα Πληροφορικής. Περιέχει πάνω από 300 αναλυτικά σηµεία ελέγχου. Σχεδιασµός Προµήθεια και εφαρµογή Παράδοση & Υποστήριξη Παρακολούθηση Αποδοτικότητα Αποτελεσµατικότητα ιαθεσιµότητα Ακεραιότητα Εµπιστευτικότητα Αξιοπιστία Συµµόρφωση COBIT Υπέρ Ολοκληρωµένο και διαθέσιµο πλαίσιο ελέγχου πληροφορικής Αποδεκτό ως πρότυπο Υποστηρίζεται από το ISACA / ITGI Υποστηρίζεται από εκτενή ακαδηµαϊκή έρευνα Κατά Πολυπλοκότητα 34 διαδικασίες, 318 σηµεία ελέγχου Εχουν την ιδιότητα της οδηγίας µόνο χωρίς ειδικά σηµεία ελέγχου πληροφοριών εν έχουν καταγραφεί µέθοδοι ροής έργου, διαδικασίες κτλ για υποστήριξη Η ασφάλεια δεν αποτελεί «δυνατό σηµείο» ίνεται η αίσθηση πως έχουν συνταχθεί και αναπτυχθεί από ελεγκτές. 8

Επισκόπηση ISO 17799 Πρότυπα Ασφάλειας Πληροφοριών ISO/IEC 17799:2005 Αποτελεί κώδικα πρακτικής για την διαχείριση της ασφάλειας πληροφοριών. Παρέχει 132 οδηγίες για την ασφάλεια πληροφοριών, κάτω από 11 κύριες κατηγορίες,µε σκοπό να διευκολυνθεί ο ενδιαφερόµενος στο να βρει αυτά τα σηµεία ελέγχου ασφάλειας που αφορούν ειδικά την επιχείρησή του ή ειδικά την περιοχή αρµοδιότητάς του. Μαζί µε τα λεπτοµερή σηµεία ελέγχου ασφάλειας για υπολογιστές και δίκτυα, το ISO/IEC 17799 παρέχει επίσης καθοδήγηση σε πολιτικές ασφάλειας, ενηµέρωση του προσωπικού για την ασφάλεια, σχέδιο συνέχειας επιχειρησιακών διαδικασιών και νοµικές απαιτήσεις. 9

Πρότυπα Ασφάλειας Πληροφοριών ISO/IEC 27001:2005 (νέα έκδοση του BS 7799 Part 2) Αποτελεί πρότυπο διοίκησης, και εξηγεί πως δηµιουργείται, διατηρείται και βελτιώνεται ένα σύστηµα διοίκησης ασφάλειας πληροφοριών (ISMS). Εχει στοιχειοθετηθεί πάνω στην εκτίµηση των κινδύνων και στο µοντέλο του Σχεδιάζω- Πραγµατοποιώ - Ελέγχω-Ενεργώ, τα οποία είναι δύο πολύ σηµαντικά στοιχεία της εταιρικής διακυβέρνησης. Παρέχει µία άριστη βάση για την δηµιουργία των σηµείων ελέγχου που είναι απαραίτητοι για να εκπληρώσει η ιοίκηση την εταιρική αποστολή της, να διαχειριστεί τους κινδύνους, να εξασφαλίσει αποδοτικούς ελέγχους και να αναζητήσει βελτιώσεις όπου χρειάζεται. ISO/IEC 17799 2005 Έκδοση ISO/IEC 17799 (Part 1) έχει αναθεωρηθεί και είναι γνωστό ως ISO/IEC 17799:2005 (Πληροφορική Τεχνικές Ασφάλειας Κώδικας Πρακτικής ιοίκησης Ασφάλειας Πληροφοριών) Καλύπτει: Πολιτική Ασφάλειας, Οργάνωση Ασφάλειας Πληροφοριών, ιαχείρηση Ενεργητικού, Ασφάλεια ιαχείρησης Προσωπικού, Φυσική και Περιβαλλοντική Ασφάλεια, ιαχείρηση Επικοινωνιών και Εργασιών, Έλεγχος Πρόσβασης, Απόκτηση/Ανάπτυξη/ ιατήρηση Πληροφοριακών Συστηµάτων, ιαχείρηση Περιπτώσεων Ασφάλειας Πληροφοριών, ιαχείρηση Συνέχισης Επιχειρήσεων, Συµµόρφωση (Compliance). Τα σηµεία ελέγχου (controls) για την ασφάλεια, αποτελούν δυνατό σηµείο του ISO 17799, δεν εξηγείται όµως το «πως» εφαρµόζονται. 10

Επισκόπηση του ITIL Βιβλιοθήκη υποδοµής Πληροφορικής (ITIL) Μια σειρά βιβλίων που περιγράφουν το πλαίσιο των καλών πρακτικών (best practices) για την παροχή ποιοτικών υπηρεσιών Πληροφορικής. Η πρώτη καταγραφή του έγινε την περίοδο 1986-1993 και αναθεωρήθηκε την περίοδο 1999-2002 Τυπώθηκε στο Ηνωµένο Βασίλειο από The OGC και εκδόθηκε από το The Stationery Office Non-proprietary, αµερόληπτο, γενικό και ευρέως διαθέσιµο Στοχεύει στην εφαρµογή, διατήρηση και βελτίωση της υψηλής ποιότητας και της αποδοτικότητας, ως προς το κόστος, των υπηρεσιών πληροφορικής. Προωθεί µια ποιοτική προσέγγιση της επίτευξης της αποδοτικότητας και αποτελεσµατικότητας των επιχειρήσεων στην χρήση των πληροφοριακών συστηµάτων. 11

Βιβλιοθήκη υποδοµής Πληροφορικής (ITIL) Βασίζεται επιλεκτικά στην εµπειρία των επαγγελµατιών εµπορικών ή κρατικών επιχειρήσεων σε παγκόσµια κλίµακα. Χρησιµοποιείται από µερικές από τις µεγαλύτερες παγκοσµίως επιχειρήσεις και µπορεί να εφαρµοστεί και σε όλους τους οργανισµούς. Αποτελεί την βάση για το Βρεταννικό Πρότυπο BS15000 και το ιεθνές Πρότυπο ISO20000 Υιοθετεί το πλαίσιο και το προσαρµόζει για να ανταπεξέλθει στις απαιτήσεις ενός οργανισµού. Τα βιβλία του ITSM στο ITIL 12

Φιλοσοφία του ITIL Προσέγγιση µέσω διαδικασιών οι οποίες διέπουν τις λειτουργικές οµάδες. Κλιµακωτό κατάλληλο για πολύ µικρούς και πολύ µεγάλους οργανισµούς Ολοκληρωµένες διαδικασίες που σχετίζονται στενά µεταξύ τους το σύνολο είναι καλύτερο από το επιµέρους άθροισµα Οδηγεί στην βέλτιση διαχείρηση του ανθρώπινου δυναµικού, των διαδικασιών και της τεχνολογίας Η συνεχής βελτίωση αποτελεί βασική αρχή Οι διαδικασίες πληροφορικής αποτελούν το δυνατό σηµείο του ITIL, παρουσιάζει όµως περιορισµένη έκταση στην ανάπτυξη της ασφάλειας και των συστηµάτων. Συνεχής Βελτίωση Υπηρεσιών 13

BS15000 Μοντέλο ιαδικασίας Σχεδιασµός των Πλαισίων/ Ανταπόκριση στις απαιτήσεις των: COSO, Sarbanes-Oxley και Basel II 14

Σηµεία Ελέγχου Πληροφορικής στο Sarbanes Oxley Το Ινστιτούτο ιακυβέρνησης Πληροφορικής (www.itgi.org) εξέδωσε οδηγία προς τους επαγγελµατίες πληροφορικής σχετικά µε την εφαρµογή του Sarbanes-Oxley υπό το πρίσµα της Πληροφορικής: Sarbanes-Oxley; Η σηµασία της Πληροφορικής στον σχεδιασµό, εφαρµογή και στήριξη των εσωτερικών δικλείδων ασφαλείας Η έκδοση είναι αποτέλεσµα οµαδικής προσπάθειας της βιοµηχανίας και των ελεγκτών. Το ITGI είναι παγκοσµίως αναγνωρισµένο ως πρωτοπόρο στην διακυβέρνηση, τον έλεγχο και την διασφάλιση της Πληροφορικής µε µέλη σε περισσότερες από 100 χώρες. Αλλες οδηγίες ελέγχου εξετάστηκαν και εναρµονίστηκαν µε αυτήν την προσέγγιση κατά το στάδιο της διαδικασίας ανάπτυξης, συµπεριλαµβάνοντας το ISO 17799, Κοινά Κριτήρια, το ITIL, και το SysTrust «Μοντέλο COSO» Το COSO αποτελεί το πλαίσιο από το οποίο επιλέγονται τα σηµεία ελέγχου µε σκοπό την συµµόρφωση µε το SOX Και τα 5 επίπεδα πρέπει να λαµβάνονται υπόψη στην αξιολόγηση των εσωτερικών δικλείδων ασφαλείας (internal controls) To CΟΒΙT αποτελεί ένα κοινά αποδεκτό πλαίσιο δικλείδων ασφαλείας πληροφορικής (IT control framework) (ITGI) COBIT παρέχει 4 κατηγορίες (domains) ελέγχου πληροφορικής (IT control) Τα σηµεία ελέγχου του COBIT απευθύνονται στα 5 επίπεδα του COSO Με την υιοθέτηση αυτής της προσέγγισης,οι οργανισµοί διασφαλίζουν την συµµόρφωσή τους µε το COSO. 15

COBIT και COSO Η έκδοση του ITGI παρέχει οδηγίες στους επαγγελµατίες πληροφορικής για το πως να εφαρµόσουν τις απαιτήσεις του SOX. ίνονται λεπτοµερή σηµεία ελέγχου για κάθε κατηγορία του COBIT τα οποία επιµερούνται στις αντίστοιχες οµάδες του COSO Παρέχεται η βάση για την καθιέρωση των σηµείων ελέγχου της πληροφορικής στα πλαίσια του Sarbanes-Oxley Οι Οργανισµοί θα πρέπει να προσδιορίσουν τις ανάγκες τους και να διαµορφώσουν την προσέγγισή τους ανάλογα. Ευθυγραµµίζοντας COBIT, ITIL και ISO 17799 για το καλό της επιχείρησης Μια ιοικητική Σύνοψη από το ITGI και το γραφείο του Κρατικού Εµπορίου (Office of Government Commerce) Κοινή µελέτη, µε την πρωτοβουλία του ITGI και του γραφείου Κρατικού Εµπορίου της Βρεταννικής Κυβέρνησης Απαντά στην όλο και µεγαλύτερη σηµασία των καλών πρακτικών στην βιοµηχανία της Πληροφορικής και στην ανάγκη της κατανόησης της αξίας τους και του τρόπου εφαρµογής τους από τις µεγάλες επιχειρήσεις και τους ιευθυντές Πληροφορικής. Εξειδικευµένες πρακτικές και πρότυπα όπως το ITIL και το ISO 17799 καλύπτουν διακριτικές περιοχές και µπορούν να επιµεριστούν στο πλαίσιο του COBIΤ, ταξινοµώντας τις οδηγίες. Αυτό το έγγραφο υποδεικνύει µε ποιό τρόπο συνδέονται όλα µεταξύ τους. 16

Παράδειγµα: Mapping COBIT, ITIL και ISO 17799 Basel II Capital Accord Αναπτύχθηκε από Bank of International Settlement Σχεδιάστηκε για να εναρµονίσει τις κεφαλαιουχικές απαιτήσεις των τραπεζών, υπογραµµίζοντας τους κινδύνους (πιστωτικούς και λειτουργικούς) Απαιτείται: η µέτρηση, παρακολούθηση, αντιµετώπιση και αποκάλυψη του κινδύνου 17

Basel II Προσέγγιση βασισµένη στις σχετικές διαδικασίες µε την Ασφάλεια που ακολουθείται από µεγάλη εµπορική τράπεζα Αξιολόγηση Κινδύνων στην Ασφάλεια Πληροφοριών Απειλές, αδύνατα σηµεία, επιθέσεις, πιθανότητες ύπαρξης Στρατηγική στην Ασφάλεια Πληροφοριών Σχεδιασµός για την ενοποίηση της τεχνολογίας, πολιτικές, διαδικασίες και εκπαίδευση Εφαρµογή των ικλείδων Ασφαλείας (Security Controls) Απόκτηση και εφαρµογή της τεχνολογίας, κατάλληλα σηµεία ελέγχου των κινδύνων, διασφάλιση πως η διοίκηση και το προσωπικό κατανοούν τις ευθύνες τους. Έλεγχος Ασφάλειας Επιβεβαίωση πως τα σηµεία ελέγχου είναι αποτελεσµατικά και αποδίδουν στο αναµενόµενο. Παρακολούθηση και Αναθεώρηση Συνεχής συλλογή στοιχείων αναφορικά µε τις απειλές και τα αδύνατα σηµεία. Basel II Σηµεία Ελέγχου που εφαρµόζονται από µεγάλη εµπορική τράπεζα ιαχείρηση δικαιωµάτων πρόσβασης Πιστοποίηση Πρόσβαση ικτύου Πρόσβαση στο Λειτουργικό Σύστηµα Πρόσβαση στις Εφαρµογές Πρόσβαση σε αποµακρυσµένα συστήµατα Συστήµατα και Υπηρεσίες από εξωτερικούς συνεργάτες Καταγραφή και Συλλογή εδοµένων Χωρητικότητα, συνέχεια επιχειρησιακών διαδικασιών και Σχεδιασµός εκτάκτου ανάγκης 18

Sarbanes-Oxley και Basel II Με σκοπό την συµµόρφωση στο Sarbanes-Oxley και στο Basel II µπορούν να εφαρµοστούν το ίδιο πλαίσιο ιακυβέρνησης Πληροφορικής και οι ίδιες απαιτήσεις σε αναφορές και ελέγχους? Η απάντηση είναι απλά ΝΑΙ. Οφέλη από την εφαρµογή του πλαισίου καλών πρακτικών (best practices) 19

Οφέλη από την εφαρµογή των καλών πρακτικών (best practices) Αποφεύγεται η επαν-εφεύρεση του τροχού Μειώνεται η εξάρτηση από τους ειδικούς στην τεχνολογία Αυξάνεται η πιθανότητα να χρησιµοποιείται λιγότερα έµπειρο προσωπικό έχοντας σωστή εκπαίδευση Μετριάζεται η ανάγκη βοήθειας από εξωτερικούς συνεργάτες Ξεπερνά τις κάθετες απόψεις και απροσάρµοστες συµπεριφορές Μειώνονται οι κίνδυνοι και τα λάθη Βελτιώνεται η ποιότητα Βελτιώνεται η ικανότητα διαχείρησης και παρακολούθησης Αυξάνεται η προτυποποίηση µειώνοντας το κόστος Βελτιώνεται η εµπιστοσύνη και η πίστη της διοίκησης και των τρίτων Κερδίζεται ο σεβασµός των νοµοθετών και των άλλων αξιολογητών ιασφαλίζεται και βελτιώνεται η αξία Επίσης: ισχυροποιούνται οι σχέσεις µεταξύ προµηθευτή/πελάτη, διευκολύνεται η παρακολούθηση και η εφαρµογή των συµβατικών υποχρεώσεων, και βελτιώνεται η θέση στην αγορά των εταιρειών που τις εφαρµόζουν. Πλαίσια ιακυβέρνησης Πληροφορικής 20

Μια ολοκληρωµένη προσέγγιση Η εφαρµογή για να είναι αποδοτική στην χρήση της, θα πρέπει να είναι δοµηµένη, βάση προτεραιοτήτων και σχεδιασµένη. Για να ευθυγραµµιστούν οι βέλτιστες πρακτικές (best practices) µε τις εταιρικές απαιτήσεις συνιστάται να χρησιµοποιηθεί το COBIT στο υψηλότερο επίπεδο, καθώς παρέχει ένα ολοκληρωµένο πλαίσιο δικλείδων ασφαλείας το οποίο βασίζεται σε ένα µοντέλο Πληροφορικής που θα πρέπει να ταιριάζει γενικά σε κάθε οργανισµό. Τις ειδικές περιοχές καλύπτουν ειδικές πρακτικές και πρότυπα, όπως το ITIL και ISO 17799 τα οποία µπορούν να σχεδιαστούν πάνω στο COBIT καθώς παρέχουν ιεραρχηµένο υλικό οδηγιών. Ο ρόλος του Εσωτερικού Ελέγχου 21

Ο ρόλος του Εσωτερικού Ελέγχου Να παρέχει διαβεβαίωση στην αξιολόγηση των δικλείδων ασφαλείας και στην διαδικασία διαχείρησης κινδύνων. Να «επαγρυπνεί» τον οργανισµό σχετικά µε τον κίνδυνο και την εταιρική διακυβέρνηση. Να χρησιµοποιεί τα αποτελέσµατα της διαχείρησης των κινδύνων. Να συµβάλλει στην γνώση του κινδύνου και του ελέγχου και να προάγει κουλτούρα ηθικής. Να βοηθά στην διευκόλυνση της εφαρµογής µιας µεθοδολογίας κινδύνου/ελέγχου. Η ΑΝΑΠΤΥΞΗ ΤΟΥ ΕΣΩΤΕΡΙΚΟΥ ΕΛΕΓΧΟΥ Παραδοσιακός Προοδευτικός Πρωτοποριακός Ασυνόµευση (εντοπίζει-ανιχνεύει) Βασισµένος σε χρηµατοοικονοµικές δικλείδες ασφαλείας Επικέντρωση στον έλεγχο Ιεραρχικός Αναδροµικός Πρόληψη Συνέταιρος στην Επιχείρηση Επικέντρωση στην επιχείρηση Με µελλοντική προσέγγιση των θεµάτων Τεχνολογικός Change Management Επικέντρωση στο ανθρώπινο δυναµικό Επιµορφωτικός Σύµβουλοι Κινδύνων Άϋλα στοιχεία ενεργητικού (intangible assets) 22

Καθοδήγηση των Εσωτερικών Ελεγκτών σε σχέση µε την εφαρµογή της ιακυβέρνησης της Πληροφορικής Από που πρέπει να ξεκινήσουν? ιοικητικό Συµβούλιο, ιοίκηση και CIO Αξιολόγηση του καθεστώτος που ισχύει κάνοντας κρίσιµες ερωτήσεις πάνω στην Πληροφορική. Υπάρχουν Στρατηγική Πληροφορικής και σχετική Οργανωτική Επιτροπή? Ερωτήσεις: Εντοπισµός θεµάτων Πληροφορικής που υπάρχουν Πόσο συχνά συναντάται αποτυχία έργων? Είναι ευχαριστηµένοι οι τελικοί χρήστες? Πόση προσπάθεια καταβάλλεται για τo (firefighting) και την συντήρηση? Κ.τ.λ. Αυτοαξιολόγηση των σηµείων ελέγχου κινδύνων Ερωτήσεις για να: Προσδιοριστεί πως η διοίκηση χειρίζεται θέµατα Πληροφορικής Πως οι στόχοι της Πληροφορικής ευθυγραµµίζονται µε αυτούς της επιχείρησης? Πως µετριέται η αξία που προσδίδει η Πληροφορική? ιατηρείται ένα ενήµερο πρωτόκολλο κινδύνων και πως αυτό χρησιµοποιείται? Κ.τ.λ. Αξιολόγηση των πρακτικών ιακυβέρνησης Πληροφορικής του ιοικητικού Συµβουλίου Το ιοικητικό Συµβούλιο έχει ξεκάθαρη εικόνα των κινδύνων και αποτελεσµάτων Πληροφορικής? Το ιοικητικό Συµβούλιο ενηµερώνεται συχνά µε αναφορές για την πρόοδο των κυριότερων έργων Πληροφορικής? Παρέχεται στο ιοικητικό Συµβούλιο ανεξάρτητη διαβεβαίωση στόχων και κινδύνων? Η Πληροφορικη χρησιµοποιεί ή ακολουθεί τις βέλτιστες πρακτικές (best practices)? Κ.τ.λ. 23

Η ανάγκη για δράση Συνέπειες ΧΑΣΜΑ ΕταιρικοίΚίνδυνοικαι Απαιτήσεις Συµµόρφωσης Ικανότητα ιαχείρησης Κινδύνων Χρόνος Ο οργανισµός χρειάζεται: Να καταλαβαίνει ξεκάθαρα τι πραγµατικά έχει σηµασία στους µετόχους (stakeholders). Να αναγνωρίζει τα γεγονότα και τις αβεβαιότητες που µπορεί να επηρεάσουν την αξία όπως αυτή γίνεται αντιληπτή από τους µετόχους. Να χρησιµοποιεί συστήµατα έγκαιρης προειδοποίησης για την αξιολόγηση των δραστηριοτήτων και των γεγονότων, ώστε να λαµβάνονται αποφάσεις που επηρεάζουν την αξία και µειώνουν τον χρόνο που αφιερόνεται για «πυρόσβεση» (firefighting). Να µετρούνται οι συνέπειες των στρατηγικών αποφάσεων πάνω στα βασικά περιουσιακά στοιχεία όπως αυτά γίνονται αντιληπτά από τους µετόχους. 24

Ποιά είναι τα χαρακτηριστικά των έγκαιρων προειδοποιήσεων στους βασικούς δείκτες κινδύνων? Πρέπει να είναι κάτι παραπάνω από απλά χρηµατοοικονοµικά µέτρα. Πρέπει να συµβαδίζουν µε την στρατηγική του οργανισµού Μπορούν να λαµβάνουν υπόψη τον χρόνο, το κόστος και την ποιότητα Να χρησιµοποιούνται δείκτες του COBIT Άλλα Συµπέρασµα 25

Συµπέρασµα: Μια τελευταία σύνοψη για τον Εσωτερικό Ελεγκτή Προώθηση της γνώσης των καλών πρακτικών(best practices) και εντοπισµός των αδυναµιών των δικλείδων ασφαλείας µε την εφαρµογή ερωτηµατολογίων και Αυτοαξιολόγησης (self assessment). ηµιουργία ενός πλάνου εφαρµογής χρησιµοποιώντας τα «επίπεδα ωρίµανσης» (maturity levels) που περιγράφονται στο COBIT. ηµιουργία ροής συναλλαγών και πινάκων Αξιολόγησης/ µέτρησης Κινδύνων(Risk Assessment Matrices). Εντοπισµός Βασικών εικτών Κινδύνων (Key Risk Indicators). Εφαρµογή συνεχούς παρακολούθησης. Ο Εσωτερικός Έλεγχος παίζει πολύ σηµαντικό ρόλο στην διαδικασία ιακυβέρνησης Πληροφορικής. Χρήσιµοι ικτυακοί Τόποι Σχετικά µε το COBIT: http://www.isaca.org http://www.itgi.org Σχετικά µε το ITIL: http://www.ogc.gov.uk Σχετικά µε το ISO 17799: http://www.xisec.com 26

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια