1
Računovodstveni informacijski sustavi
1. – 8.
Izv.prof.dr.sc. Jerko Glavaš
Bruno Mandić, mag.oec., asistent
Sadržaj• Pojam informacijskog sustava (vrste, dijelovi)
• Korporativno upravljanje informatikom (IT Governance)
• Uvod u reviziju informacijskih sustava (vrste, institucije, regulativa, certifikati)
• Zašto informacijski sustavi griješe?
• Upravljanje rizicima i mehanizmi kontrole
• Metode provedbe revizije IS-a (CobiT, ISO 27001,…)
• Regulativa revizije IS-a u RH (HNB)
• Studija slučajeva iz prakse i timskih projekata
3
Pojam informacijskog sustava
• Sustav sastavljen od niza komplementarnih
komponenti koji služi prikupljanju, obradi,
pohranjivanju i distribuciji informacija za potrebe
provedbe poslovanja i upravljanja nekim poslovnim
subjektom
• Funkcije informacijskih sustava:
– Prikupljanje podataka
– Obrada podataka i stvaranje informacija
– Analiza i upravljanje informacijama
– Pohranjivanje podataka i informacija
– Dostava informacija donositeljima odluka
4
Struktura informacijskog sustava
HARDWARE
NETWARE
LIFEWARE
SOFTWARE
DATAWARE
ORGWARE
INFORMACIJSKI
SUSTAV
Svaki IS sastoji se od 6 komponenti
5
Dijelovi informacijskog sustava
• Hardware - fizički dio IS-a, osobna računala, modemi, radne
stanice, mrežna računala, poslužitelji, usmjerivači,
modemi….
• Software - nevidljivi dio IS-a u obliku programskih rješenja,
algoritama koji pokreću hardver;
• Lifeware - ljudi koji se koriste IS-om, od profesionalnih
informatičara do krajnjih korisnika;
• Dataware - podatkovni resursi, odnosno način i metode
organizacije baza i skladišta podataka;
• Netware - komunikacijska i mrežna rješenja koja povezuju
sve elemente u jednu cjelinu, i
• Orgware - organizacijski postupci i metode povezivanja
svih navedenih elemenata u jednu cjelinu.
6
Temeljnica?
Dvojno knjigovodstvo?
Analitičko prikazivanje podataka?
Sintetičko prikazivanje podataka?
Primjena informacijskog sustava• Obrada transakcija (obrada plaća, evidencija
zaposlenika, obrada zaliha, praćenje proizvodnje,
evidentiranje opsega prodaje) – transakcijski
informacijski sustav
• Informacijski sustavi i izvođenje poslovnih procesa
(automatizacija, inovacija, poboljšanje, reinženjering)
• Potpora poslovnom odlučivanju
• Komuniciranje i povezivanje poslovanja
• Dokumentacijska i izvještajna funkcija
• Podrška ‘isturenim’ poslovnim procesima (web)
Podjela informacijskih sustava• Prema organizacijskoj strukturi (odjelni IS, korporativni IS,
međuorganizacijski IS)
• Prema razini podrške
Transakcijski IS (engl. Transaction processing system - TPS)
Izvršni menadžerski IS (engl. Management information system - MIS)
Sustav upravljanja znanjem (engl. Knowledge management system -KMS)
Sustav uredskog poslovanja (engl. Office automation system - OAS)
Sustav potpore odlučivanju (engl. Decision support system - DSS)
Kompanijski IS (engl. Enterprise information system - EIS)
Sustav potpore radu u skupini (engl. Group support system - GSS)
Inteligentni IS (engl. Intelligent support system)
• Prema poslovnoj funkciji koju podržavaju
• Prema arhitekturi sustava
Usporedni grafički prikaz
Piramidamanagementa
Piramida IS-a
Strateškimgt
Taktički
management
Operativni
management
Sustavipotporeodluč.
IzvršniIS-i
Transakcijskisustavi
Razvoj informacijskih sustava podrške poslovanju
Rane 1950-e
1960-e
Kasne 1960-e
Rane 1970-e
Transakcijski IS (TPS)
Management information systems (MIS)
Sustav uredskog poslovanja (OAS)
Sustav potpore odlučivanju (DSS)
Rane 1980-e Izvršni IS (Executive information systems)
Kompanijski IS (EISs)
Sustav potpore radu u skupini (GSSs)
Sredina 1980-e Ekspertni sustavi (ES)
Sustavi upravljanja znanjem (KMS)
1990-e Inteligentne neuronske mreže (ANNs)
2000-e IS za e-poslovanje, web sustavi, web usluge
Razvoj informacijskih sustava podrške
poslovanju (nastavak)
Dijelovi informacijskog sustava
Transakcijski informacijski sustav
Upravljački informacijski
sustav
Sustav za potporu
odlučivanju
Ekspertni
sustavi
BAZA
ZNANJA
BAZA
MODELA
BAZA
PODATAKA
SKLADIŠTE
PODATAKA
Transakcijski IS
Transakcijski IS (engl. Transaction Processing Systems
(TPS) =
“IS koji podržava temeljne poslovne procese i najvažnije
poslovne transakcije (računovodstvo i financije, prodaja, ljudski
resursi, proizvodnja)”
Transakcijski IS – temelj poslovnog IS
Prati, prikuplja, obrađuje, pohranjuje, distribuira sve informacije o
osnovnim rutinskim poslovnim transakcijama
Te se informacije koriste kao ulazne kod funkcijskih IS,
menedžerskih IS, sustava za potporu odlučivanju,…
Transakcijski IS
Sustav za obradu transakcija ili transakcijski sustav pruža
potporu tekućem odvijanju poslovnog procesa obrada
transakcija.
Opće funkcije:
Vođenje evidencije - evidentiranje zapisa o svakoj
transakciji u bazu podataka
Izdavanje - generiranje raznovrsnih dokumenata potrebnih u
poslovanju
Izvještavanje - praćenje odnosno kontroliranje poslovnog
procesa
Ciljevi transakcijskog IS
Osnovni cilj = omogućiti učinkovitu provedbu
rutinskih poslovnih transakcija (organizacijske
politike, zakonska regulativa)
Posebni ciljevi =
Učinkovito poslovanje
Pravodobno izvješćivanje i poslovna dokumentacija
Pružiti podatke za taktičke i strateške sustave
Osigurati točnost, podudarnost i sigurnost podataka i informatika
Obilježja transakcijskih IS
Svakodnevno obrađuju ogromne količine podataka
Interni izvori podataka, izlaz namijenjen internim
korisnicima
Veliki zahtjevi na pohranjivanje podataka (baze
podataka)
Potrebna je brza obrada
Orijentacija na povijesne podatke
Preciznost, detaljnost, pouzdanost obrade
Trivijalne operacije (jednostavne matematičke i
statističke oper.)
Primjeri transakcijskog IS
POS sustavi (u prosincu 2007. ‘peglalo’ se 25 kartica u sekundi, iskoristivost bankomatske mreže bila je 97%)
Rezervacijski sustavi SABRE, Galileo, Amadeus – mjesečno preko 40 milijuna promjena cijenapraćenje par milijuna cijena, preko 500.000 slogova o kupcima i preko 2.000 poruka u
sekundi
SABRE – obrađuje više od 5.000 transakcija u sekundi uz vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta
‘Travel supermarket’ (smještaj, rent-a-car, dodatni izleti, plan putovanja, …)
Prihod od oko 4 USD po rezervaciji (bez obzira je li karta kupljena)
Continental uslugu rezervacije plaća oko 17 USD po putniku
EU – eGovernment Services – građani EU mogu uštedjeti do 7 milijuna sati na vremenu koje im je potrebno za ispunjavanje i slanje porezne prijave putem Interneta, pri čemu i EU administracija štedi oko 10 eura po svakoj transakciji (ukupno do iznosa od 0,5 milijarde eura godišnje)
Ryanair – poslovni model
• Osnovan 1985, IPO 1997. 2002. uvršten u popis NASDAQ Top 100, 1800 zaposlenih
• 2000. uveli vlastiti internetski rezervacijski sustav
• 2001. 75% svih rezervacija on-line
• 2002. 94% svih rezervacija on-line, snažno širenje, kupnja 150 novih zrakoplova
• 12 baza, 209 ruta koje povezuju 93 destinacije u 19 europskih zemalja
Ryanair – poslovni model
• 93,5% letova stiže na vrijeme
• 0,43 reklamacija na 1000 putnika
• 0,74 reklamacija o prtljazi na 1000 torbi
• 0,78 izgubljenih torbi na 1000 putnika (SAS 12,1, Lufthansa 18,4, AirFrance 18,6, Alitalia 24,1, BA 31,2)
• 0,01% letova otkazano (Alitalia 0,5%, Lufthansa 0,7%, Austrian 0,8%, SAS 1,4%, BA 3,1%)
• Mjesečno prevezu prosječno više od 2 milijuna putnika na prosječno 15.000 letova
Osnovna obilježja funkcijskih IS
• IS logistike može se dijeliti na IS skladišta i IS transporta i distribucije
• IS proizvodnje može se dijeliti na IS za planiranje proizvodnje, IS za razvoj proizvoda i istraživanje, IS za upravljanje proizvodnjom, IS za praćenje i kontrolu proizvodnje
• Integriranje svih funkcijskih IS unutar poduzeća je potrebno zbog boljeg poslovanja poduzeća kao cjeline
• Zbog veza poduzeća sa okruženjem (dobavljači i kupci) IS mora podržati i taj dio poslovanja – zato je danas posebno važan Internet
Marketinški ISMnoge marketinške aktivnosti podržane su djelovanjem IS:
Određivanje i praćenje cijena proizvoda i usluga
Produktivnost prodajnog osoblja
Globalno tržište (Internet)
Software za poboljšanje učinkovitosti prodaje (automatizacija, HHT, web-prodaja, …
Analiza profitabilnosti prodaje, praćenje kupaca, praćenje ponašanja potrošača
Detaljna analiza prodaje, trendovi, orijentacija na predviđanje prodaje, napredne informacije
Planiranje tržišta, uvođenje novih proizvoda
Web-sustavi u marketingu
Integralni informacijski sustav
• Razlozi za integraciju funkcionalnih IS
• Poduzeće mora efikasno djelovati kao cjelina.
• Poslovni procesi odvijaju se u različitim službama
(funkcijama).
• Funkcijski IS moraju se povezati u cjelinu i
međudjelovati (razmjenjivati podatke, pružati
informacije).
• Enterprise Resource Planning (ERP)
Informatika kao podrška managementu
Sustavi za potporu odlučivanju (DSS): podrška analitičkim, kvantitativnim tipovima odlučivanja
Sustavi za izvršne direktore (Executive support systems)
Sustavi za potporu odlučivanju u skupini (Group decision support systems)
Inteligentni sustavi (Intelligent systems)
Izvještajni sustavi
Analitički sustavi
Prediktivni sustavi
Ove je sustave moguće razviti samo ako transakcijski IS već postoji (Primjer: reinženjering prodaje – mobilna prodaja)
24
Je li IS strateško oružje poslovanja?
• pozitivno utječu na operativnu efikasnost poslovanja (podupiru
strategiju niskih troškova, odnosno strategiju troškovnog vodstva)
i/ili,
• u određenim okolnostima postaju pokretači inovativnosti i promjena
u poslovanju (podupiru strategiju razlikovanja ili diferencijacije
poslovanja)
25
IS kao pokretači operativne efikasnosti poslovanja
• Automatizacija poslovnih procesa,
• Okosnica poslovanja i provedbe poslovnih transakcija
• Primjeri
– trošak jedne transakcije ostvarene putem elektroničkog bankarstva za banku je
do 100 puta manji nego provedba te iste transakcije putem šaltera
– trošak rezervacije sjedala u zrakoplovu putem Interneta do 7 je puta manji nego
posredstvom 'klasičnog' rezervacijskog sustava
– informacijski sustav logističke kompanije Federal Express obavi preko 70
milijuna elektroničkih transakcija dnevno
– računalni rezervacijski sustavi kao što su Sabre ili Amadeus, koje koriste
brojne zrakoplovne kompanije, imaju mogućnost mjesečno obaviti preko 40
milijuna promjena cijena, istodobno rade s preko 500.000 slogova o kupcima i
preko 2.000 poruka u sekundi, obrađuju više od 5.000 transakcija u sekundi uz
vrijeme odziva manje od 2 sekunde u bilo kojem kutku svijeta
26
IS kao pokretači inovativnosti i promjena u poslovanju
• IS aktivno sudjeluju u stvaranju potpuno novih, najčešće do tada
nepoznatih i inovativnih poslovnih modela
• IS pokreću nove poslovne procese, stvaraju horizontalne inovacije
• ‘Privremeni monopol’
• Primjeri inovativnih poslovnih modela ili usluga
– Dell Computers, Amazon.com, Priceline.com, Google, YouTube, Ryanair, EasyJet,
Adriatica.net, itd.
– elektronička karta, prijava za let putem Interneta, mobilni 'check-in', (zrakoplovni
prijevoz)
– korištenje RFID tehnologije u poslovnim procesima prodaje i upravljanja zalihama
(primjerice, Wall-Mart i 'instant' inventura stanja zaliha)
– LoJack (lociranje ukradenog automobila pomoću GPS tehnologije) i upravljanje voznim
parkom putem satelitske navigacije (ubrzo i beskontaktno plaćanje cestarina na
autocestama prema tome predlošku, odnosno prema stvarnom broju prijeđenih
kilometara)
– plaćanja putem mobilnog telefona (m-parking, m-prijevoz), e-Rijeka, itd
27
Case study: CEO as CIO
• Industrial Credit and Investment Corporation of India (ICICI)
• K.V. Kamath – 1996. CEO i CIO
• Poslovna strategija = inovativno korištenje IT, IT kao kritični
resurs organskog rasta banke
• Vodeća privatna banka u Indiji
– 2000. g. 100.000 klijenata, danas skoro 20 milijuna
– Prije 6 godina 95% šalterskih transakcija, 5% ATM
– Danas šalteri ispod 15%, ATM 48%, Internet 21%, call center 5%
– 614 podružnica, 2200 ATMs, 13 zemalja
– Bankomatska mreža > 99,4% dostupna, 3 razine redundancije
(dial-up, veza, iznajmljena veza, satelitska veza)
– Troškovi tehnologije 10 puta manji nego kod drugih banaka
Informacijski sustavi koji griješe
Kako je nastao pojam ‘bug’
Zrakoplov iz 1989. koji je zbog pogreške računala pri utvrđivanju preletnih koordinata
udario u planinu na Antarktici
Slom australskog sustava socijalnog osiguranja 1992. (zbog pogreške u IS odobrena
su neka prava osiguranicima što je porezne obveznike stajalo 126 milijuna australskih
dolara)
Britanski umirovljenici su bili godinama prikraćivani za 300 GBP mjesečno radi
pogreške u projektiranju IS
Slom burze tehnoloških dionica iz 1995.
služba socijalnog osiguranja SAD-a isplatila više od 60 milijuna $ na račune oko 8.000
pokojnika u toku 15 godina
Giant Food Inc. – umjesto 25 centi, dioničarima isplaćena dividenda od 2,5 $ -
ukupno više isplaćeno 11 milijuna “nepostojećih” dolara
Stanley Mark Rifkin “provalio” u EFT (Electronic Funds Transfer) sustav velike banke i
napravio transfer 10,2 milijuna $ na račun u Švicarskoj, te kupio 250.000 dijamanata –
kazna 8 godina strogog zatvora.
Zašto informacijski sustavi griješe? -
1. primjer Adidas – novi sustav distribucije i logistike
Bar-kodiranje svakog proizvoda, uporaba bežičnih uređaja u
kamionima, viljuškarima, itd.. trebala je omogućiti brži protok
informacija i veliku uštedu u procesu logistike
Softver koji je upravljao sustavom nije radio kako treba (softver je
trebala omogućiti outsourcing kompanija – partner u projektu)
Neprimjerena dokumentacija sprječavala je Adidasove IT stručnjake
da poprave programe
Adidas je krenuo u primjenu novog sustava prije nego što je projekt
bio gotov
Problemi: prekid distribucije proizvoda na par mjeseci na svjetskoj
razini, velika kašnjenja u isporukama, veliki pad prodaje (kod nekih
distributera i za 90%), …
Razlozi?
Zašto informacijski sustavi griješe? -
2. primjer
UK – sustav prema kojemu su sve bolnice u UK trebale dijeliti
iste podatke o pacijentima (centralizirani podaci o klijentu)
Trošak: 4 milijarde funti
Problemi: doktori ga nisu htjeli koristiti jer imaju stare sustave i
nemaju vremena za učenje novog. Osim toga novi sustav uopće
nije prilagođen njihovim zahtjevima, niti su korisnici voljni svoje
privatne podatke davati nekome drugome osim svome doktoru
opće prakse u kojega imaju povjerenja …
Razlozi?
Zašto informacijski sustavi griješe? -
3. primjer
London Ambulance System
Sustav koji je nakon poziva na broj telefona hitne pomoći (999)
trebao locirati mjesto s kojega je poziv upućen, pronaći i
obavijestiti najbližu Hitnu pomoć u Londonu i formirati nalog za
odlazak sa svim potrebnim podacima
Problemi: 1h nakon početka rada novog sustava, sustav je ‘pao’ i
nastao je informacijski kaos. Hitna pomoć se vratila na stari,
‘ručni’ način rada s karticama…
Sustav je pao zbog preopterećenosti, jer se testirao na 50-ak
poziva, a samo u prvom satu ‘žive’ uporabe pristiglo je 1000-njak
poziva na 999
Strategija prijelaza na novi sustav
Razlozi?
Životni ciklus informacijskog sustava
• faza inicijalizacije (nastajanja) sustava
• faza ekspanzije (rasta) sustava
• faza konsolidacije (sazrijevanja) sustava
• faza zrelosti sustava
Za životni ciklus sustava karakteristične su četiri razvojne faze:
Krivulja životnog ciklusa informacijskog sustava
Mjerilo
kvalitete
VrijemeInicijali-zacija
Ekspan-zija
Konsoli-dacija
Zrelost
Infleksija
Izvještajni sustavi
• Početne faze razvoja IS (inicijalizacija i ekspanzija)
• Povijesni aspekt poslovanja, identifikacija (što se dogodilo)
• Velika količina unaprijed utvrđenih upita
• Koliki je iznos ukupnog prihoda, opsega prodaje, troškova, proizvedenih količina?
• Gdje je ostvarena najveća prodaja, prihod, broj isporuka?
• Koje su razlike u odnosu na prethodna razdoblja?
• Koji su resursi produktivni?
• Koliki je prosječan prihod prema proizvodu, klijentu, kanalima?
• Koliki su troškovi privlačenja novih korisnika?
• Koji su načini i dinamika plaćanja klijenata?
Analitički sustavi
• Zašto se nešto dogodilo, događalo?
• Faza kontrole i integracije IS
• Skladište podataka, izvođenje znanja iz podataka (‘data mining’)
• Zašto prosječan prihod po klijentu pada?
• Zašto je prodaja određenog proizvoda podbacila?
• Zašto kupci kupuju konkurentski proizvod?
• Zašto zalihe nisu na očekivanoj razini?
• Zašto je slab obrtaj zaliha?
• Zašto su isporuke kasnile, zašto je prodano toliko malo proizv.?
• U kojim se područjima poslovanja ostvaruje najbolji ROI?
• Zašto su troškovi poslovanja ‘probijeni’?
Prediktivni sustavi• Što će se dogoditi?
• Faza distribucije i zrelosti IS
• Realistične, pouzdane i vjerodostojne prognoze, predviđanja budućih događaja i procesa (KM, BI)
• Koji bi proizvodi/usluge mogli biti profitabilni?
• Koji bi kupci mogli kupiti neki proizvod?
• Kakva je predvidiva potražnja prema zemljopisnim područjima?
• Koja područja poslovanja iskazuju potencijal rasta?
• Što bi mogao biti naš ‘core business’ u narednom razdoblju?
• Što najbolji klijenti očekuju od kompanije u budućnosti
• Kako će se prodavati novi proizvod
Zakon minimuma kvalitete informacijskih sustava (1/2)
Kvaliteta
informacijskog
sustava jednaka je
kvaliteti njegove
najlošije komponente
Zakon minimuma kvalitete informacijskih sustava (2/2)
Mjerakvalitete
Komponente sustava
QE
QA
QC
QB
QIS = QD
A
B
C
D
E
QD
Dobre politike upravljanja kvalitetom IS-a
• Kada se planira izgradnja IS-a:
– Ravnomjerno ulagati u sve komponente IS-a.
• Kada su uočene veće razlike u kvaliteti pojedinih komponenata IS-a
– Ulagati prvo u najlošiju komponentu, sve dok njena
kvaliteta ne dosegne razinu kvalitete sljedeće na
komponente, potom dalje ulagati u obje te komponente
ravnomjerno, itd.
Mjerilo uspješnosti (kvalitete) informacijskog sustava
• Odstupanje, odnosno zaostajanje realne za idealnom funkcijom sustava
• Što je to odstupanje (zaostajanje) manje, sustav je uspješniji, tj. kvalitetniji, i obratno
• Da bi se utvrdila kvaliteta sustava, potrebno je poduzeti dvije temeljne akcije:
– definirati idealnu funkciju sustava
– izmjeriti odstupanje (zaostajanje) realne od idealne funkcije sustava
Dualna priroda kvaliteteinformacijskog sustava (2/2)
Kvalitetainformacijskog
sustava
Interna Eksterna
Kvaliteta informacijskog sustava
• Informacijski sustav nužno mora biti interno kvalitetan da bi mogao biti i eksterno kvalitetan.
• Interna kvaliteta informacijskog sustava osiguravat će se internom kontrolom sustava, a stupanj te kvaliteteutvrđivati njegovom internom revizijom.
• Da bi se ispravno ocijenila stvarna i objektivna kvaliteta IS-a, trebat će ga podvrći i eksternoj reviziji, čiji će se nalazi smatrati valjanima za izvođenje konačne ocjene kvalitete (vrsnoće) promatranog informacijskog sustava
• Revizija (engl. audit) – postupak pregleda i provjere uspješnosti, postupak ocjene kvalitete
ORGAN KOJI
PROVODI ISPITIVANJE
PODRUČJE
ISPITIVANJA
OBJEKT
ISPITIVANJA
a) interna revizija,
b) eksterna revizija
a) komercijalna revizija,
b) državna revizija
a) revizija financijskih izvještaja,
b) revizija poslovanja,
c) revizija informacijskih sustava
Vrste revizije
Osnovni pojmovi
• electronic data processing audit (EDP audit)
• information technology audit (IT audit)
• auditing computer-based information systems
• computer audit
• information system audit
45
Potreba za revizijom IS
• Uobičajene vrste revizije:
– Revizija financijskih izvještaja
– Revizija podudarnosti
– Revizija poslovanja
– Revizija informacijskih sustava
– Interna revizija
– Eksterna revizija
• Interna revizija IS, eksterna revizija IS
• Evolucija razvoja revizije IS-a
• Institucije revizije IS-a (ISACA, ITGI, the IIA),
• Stručni certifikati (CISA, CIA, CISM, CGEIT, CISSP …..)
46
Što je revizija informacijskih sustava?
Organizacijska funkcija koja omogućuje neovisno i objektivno testiranje funkcija, ciljeva i dijelova informacijskog sustava kako bi se prikupili dokazi koji se mogu neovisno razmatrati ili biti dobrom podlogom za ostale vrste revizije
Proces prikupljanja i neovisne, stručne procjene dokaza
kojim se provjerava efikasnost i učinkovitost djelovanja i
konačno procjenjuje kvaliteta informacijskog sustava
poslovnog subjekta
47
• Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti
• Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje
Definicije pojma revizija IS-a
48
• Složen proces prikupljanja i procjene dokaza na temelju kojih se može procijeniti uspješnost IS-a, odnosno, odrediti djeluje li IS u funkciji očuvanja imovine, održava li se cjelovitost (integritet) podataka, omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i koriste li se resursi sustava na učinkovit način
• Sustavan postupak kojim se ocjenjuje djeluje li informatika u skladu s poslovnim ciljevima, u kojoj mjeri djelotvorno i učinkovito podupire ciljeve poslovanja i kakva je praksa (zrelost) upravljanja i kontrole informacijskih sustava na raznim hijerarhijskim razinama
• ‘Alternativna' definicije revizije informacijskih sustava - procjena razine kvalitete informacijskih sustava u skladu s potrebama poslovanja
Definicije pojma revizija IS-a
49
Što je revizija informacijskih sustava?
Revizija informacijskih sustava predstavlja proces prikupljanja i procjene dokaza na temelju kojih se može utvrditi kvaliteta informacijskog sustava:
- djeluje li informacijski sustav u funkciji očuvanja imovine,
- održava li se cjelovitost (integritet) podataka,
- omogućuje li se djelotvorno ostvarivanje ciljeva poslovanja i
- koriste li se resursi poslovanja na učinkovit način
50
Objekt i predmet revizije IS-a
• Objekt revizije informacijskih sustava jest sustavno,
temeljito i pažljivo pregledati kontrole unutar svih dijelova
informacijskog sustava
• Osnovni zadatak revizije IS-a:
– Procijeniti njegovo trenutno stanje (zrelost, razinu uspješnosti),
– Otkriti rizična područja i razinu rizika i
– Dati preporuke menadžmentu za poboljšanje prakse njegova
upravljanja
• Primjer izvještaja revizora IS-a (.doc)
51
Izvještaj revizora IS-a – nalazi, objašnjenje
rizika, mišljenje, preporuke • Primjer (IT Audit report – XY bank)
• Područje revizije: Strateški plan informatike
• Razina rizika: Visok
• Nalazi:Provedbom razgovora s višim razinama menadžmenta i uvidom u poslovnu dokumentaciju
ustanovljeno je da strateški plan informatike formalno ne postoji. Postoje određene neformalne i ad-hoc procedure planiranja resursa koje informatika kao poslovna funkcija koristi, ali te su aktivnosti stihijske i neusklađene s potrebama poslovanja.
• Ocjena rizika:Informatika se ne razvija u skladu s potrebama poslovanja i potrebama ostvarenja
poslovnih ciljeva. Ne postoji poveznica između poslovanja i informatike, nisu određeni ključni ciljevi i zadaci funkcioniranja informatike kao poslovne funkcije.
• Preporuke menadžmentu:Uprava treba dokumentirati kratkoročne i dugoročne razvojne planove informatike kao
poslovne funkcije. Potrebno je ustrojiti ……
52
Koraci provedbe revizije IS-a
• Pregled – ‘snimka stanja’ informatike ili odabranog
područja provjere (revizije)
• Određivanje prioriteta rada (određivanje objekta
revizije IS-a i ciljeva kontrole)
• Detaljan pregled objekta revizije IS-a i testiranje
kontrola
• Prikupljanje dokaza i procjena poslovnih rizika
• Preporuke i izvještaj revizora IS-a
53
Provedba revizije IS-a
• Analiza dokumentacije
• Prikupljanje revizijskih dokaza
– Intervjui, ankete i neformalni razgovori
– Tehničko ispitivanje i testiranje sustava
• Analiza i vrednovanje revizijskih dokaza
• Priprema revizijskog izvješća
• Predstavljanje revizijskog izvješća
Faza revizije informacijskih sustava % od ukupnog vremena
trajanja revizija
Priprema i planiranje 10
Analiza dokumentacije 10
Prikupljanje revizijskih dokaza:
- Intervjui, ankete i neformalni razgovori
- Tehničko ispitivanje i testiranje sustava
10
15
Analiza i vrednovanje revizijskih dokaza 20
Priprema revizijskog izvješća 20
Predstavljanje revizijskog izvješća 5
Postrevizijske aktivnosti 10
54
Provedba revizije IS-a
• Analiza dokumentacije– Upravljačka dokumentacija
– Radni dokumenti
– Pomoćni dokumenti
• Prikupljanje revizijskih dokaza– Intervjui, ankete i neformalni razgovori
– Tehničko ispitivanje i testiranje sustava (vrijeme odziva, vrijeme reakcije, ‘job’, transakcija, propusna moć, kapacitet sustava, pokazatelji pouzdanosti –raspoloživost, MTBF, …)
• Analiza i vrednovanje revizijskih dokaza
– Ocjena zaštite imovine sustava (očekivani gubitak) OG = i pi gi
– Ocjena djelotvornosti sustava (kvaliteta IS-a, kvaliteta informacija, korisnost sustava, jednostavnost sustava, uporaba (funkcionalnost) sustava
• Priprema revizijskog izvješća
• Predstavljanje revizijskog izvješća
55
Regulativa i kriteriji provjere (revizije)
uspješnosti IS-a
• Zakonska regulativa (HNB – Odluka o primjerenom upravljanju IS-om za banke i štedno-kreditne institucije)
• Standardi i svjetski priznati okviri (CobiT, ISO 27000, ITIL,
SAS 70, Sarbanes-Oxley act, ….)
• Standardi unutar određenih djelatnosti (PCI DSS, Basel II)
• Politike i pravila poduzeća
• Načela informatičke struke
• Zahtjevi poslovne prakse
• Zahtjevi korisnika informacijskih sustava
5656
Institucije i regulativa provedbe revizije IS-a
• ISACA (Information System Audit and Control Association),
www.isaca.org
– CISA (Certified Information System Auditor)
– CISM (Certified Information Security Manager)
– CGEIT (Certified in Governance of Enterprise IT)
• IIA (Institute of Internal Auditors) – www.theiia.org
• Hrvatska narodna banka
– Odjel za izravni nadzor banaka i fin. Institucija
– Odluka o primjerenom upravljanju IS-om u svrhu smanjenja
operativnog rizika (.pdf)
5757
Područja revizije IS-a u HR (HNB – Zakon o bankama)
• Upravljanje sigurnošću IS-a
• Upravljanje rizikom koji vezan uz IS
• Logičke kontrole pristupa
• Upravljanje imovinom IS-a
• Upravljanje operativnim i
sistemskim zapisima
• Upravljanje pričuvnom pohranom
• Upravljanje odnosima s
pružateljima usluga
• Upravljanje odnosa s dobavljačima
opreme
• Upravljanje razvojem IS-a
• Upravljanje fizičkom sigurnošću
• Upravljanje lozinkama
• Upravljanje promjenama
• Upravljanje kontinuitetom
poslovanja
• Upravljanje incidentima i
problemima
• Primjena internih akata
vezanih uz IS
5858
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom (HNB)
• Uprava banke dužna je
– odrediti člana uprave zaduženog za upravljanje i nadzor IS-a
– uspostaviti primjerenu org. strukturu, odbore i funkcije
(01.07.2008)
– donijeti strategiju IS-a (01.07.2008)
– strategiju IS-a razraditi strateškim i operativnim planovima
(01.01.2009)
– donijeti interne akte kojima se uređuje upravljanje IS-om,
definirati odgovornosti za nadzor (01.01.2009)
5959
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom
• Uprava banke dužna je
– uspostaviti funkciju voditelja sigurnosti IS-a (01.01.2009)
– imenovati odbor za upravljanje IS-om (01.07.2008)
– usvojiti metodologiju upravljanja projektima (01.01.2009)
6060
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom
• Banka je dužna
– uspostaviti proces upravljanja rizikom IS-a (01.01.2009)
– Metodologiju upravljanja rizikom IS-a (01.01.2009)
– Dokumentirati rezultate procjene rizika IS-a (01.07.2009)
– Procijeniti i na prihvatljivu razinu svesti rizike IS-a
(01.07.2009)
– Klasificirati i zaštititi informacije prema razini osjetljivosti
(01.10.2009)
– Uprava banke odgovorna je za donošenje prihvatljive
razine rizika kojima je izložen IS (01.01.2009)
6161
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom
• Unutarnja revizija
– Dužna je obavljati reviziju IS-a banke (01.01.2009)
– Usvojiti metodologiju za provođenje revizije IS-a
zasnovanu na procjeni rizika, a kojom se određuju kriteriji,
načini i postupci revizije IS-a banke (01.01.2009)
6262
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom
• Upravljanje kontinuitetom poslovanja– Klasificirati i zaštititi informacije prema razini osjetljivosti
(01.10.2009)
– Banka je dužna uspostaviti određeni proces upravljanja promjenama softverskih komponenti IS-a (01.07.2010)
– Banka je dužna uspostaviti proces upravljanja kontinuitetom poslovanja (01.07.2010)
– Banka je dužna, u skladu s procjenom rizika i na osnovi rezultata analize utjecaja na poslovanje, osigurati raspoloživost pričuvnoga računalnog centra (01.07.2010), itd.
6363
Krovne metode i okviri korporativnog
upravljanja informatikom
• COBIT – krovni okvir korporativnog upravljanja
informatikom i revizije IS-a• COSO – krovni okvir pri procjeni kvalitete internih kontrola
• ISO 38500:2008 – krovna norma korporativnog upravljanja
informatikom1. Odgovornosti i ovlasti upravljanja
2. Strategija IT-a
3. Stjecanje IT-a
4. Upravljanje performansama IT-a
5. Sukladnost propisima i regulativi
6. ‘Human behaviour’
Pod Opis područja Razina zrelosti 0 1 2 3 4 5
1 Upravljanje sigurnošću informacijskog sustava 2 - Stanje ponovljivosti
2 Upravljanje rizicima koje se odnose na IS 2 - Stanje ponovljivosti
3
Upravljanje logičkim i upravljačkim kontrolama
pristupa 2 - Stanje ponovljivosti
4 Upravljanje imovinom informacijskog sustava 1 - Početno stanje
5 Upravljanje operativnim i sistemskim zapisima 1 - Početno stanje
6 Upravljanje pričuvnom pohranom 2 - Stanje ponovljivosti
7 Upravljanje odnosima s pružateljima usluga 2 - Stanje ponovljivosti
8 Upravljanje odnosa s dobavljačima opreme 2 - Stanje ponovljivosti
9 Upravljanje razvojem informacijskog sustava 2 - Stanje ponovljivosti
10 Upravljanje fizičkom sigurnošću 3 - Stanje definiranosti
11 Upravljanje zaporkama 2 - Stanje ponovljivosti
12 Upravljanje konfiguracijama 1 - Početno stanje
13 Upravljanje promjenama 2 - Stanje ponovljivosti
14 Plan kontinuiteta poslovanja 2 - Stanje ponovljivosti
15 Plan oporavka nakon neželjenog događaja 1 - Početno stanje
16 Plan odgovora na incidente 2 - Stanje ponovljivosti
17 Upravljanje zaštitom od malicioznog koda 4 - Stanje mjerljivosti
18 Primjena internih akata vezanih uz IS 2 - Stanje ponovljivosti
65
COBIT metodologija
• Svjetski priznati standardi upravljanja IT-om (‘IT best practices’)
• Svjetski priznati standardi i ciljevi kontrole i revizije IS
• COBIT 4.1 – Control Objective for Information and related Technology
• Smjernice za analizu, mjerenje i kontrolu primjene IS i IT
• 34 IT procesa (cilja kontrole ili vođenja IT) svrstana u 4 područja– Planiranje i organizacija (PO)
– Akvizicija i implementacija (AI)
– Isporuka i podrška (DS)
– Nadzor i procjena (ME)
• 34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (www.isaca.org)
6666
CobiT - 34 ključna IT procesa (.pdf)
PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS)
PO1 Strateško planiranje IS DS1 Definiranje i upravljanje razinama usluga
PO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugama
PO3 Određivanje tehnoloških smjernica DS3 Upravljanje perfomansama i kapacitetom
PO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta usluga
PO5 Upravljanje IT investicijama i troškovima (.pdf) DS5 Sigurnost sustava
PO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškova
PO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnika
PO8 Upravljanje kvalitetom DS8 Podrška korisnicima
PO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijom
PO10 Upravljanje projektima (.pdf) DS10 Upravljanje problemima i incidentima
DS11 Upravljanje podacima
AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremom
AI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom)
AI2 Nabava i održavanje aplikacijskih programa
AI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME)
AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansi
AI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrola
AI6 Upravljanje promjenama (.pdf) ME3 Sukladnost s zakonskim i drugim normama
AI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om
67
COBIT metodologija
• CobiT menadžmentu predočava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na način da:– jasno određuje i detaljno opisuje ključne informatičke procese (34 procesa
svrstana u 4 područja),
– jasno određuje obveze i područja odgovornosti (RACI tablica za svaki od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije donošenja odluke, odnosno informirati nakon),
– jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi),
– određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli zrelosti):
• KPI – ključni indikatori performansi (engl. Key Performance Indicators),
• KGI – pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators),
• KRI – ključni pokazatelji rizika (engl. Key Risk Indicators),
• pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals)
• model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i
• čitav sustav kojima se mogu mjeriti performanse informatičkih procesa i procijeniti njihovu učinkovitost u odnosu na poslovne ciljeve.
6868
CobiT i upravljanje IT rizicima
6969
CobiT i upravljanje IT rizicima (PO9)
7070
Izvedene metode i okviri revizije IS-a
• Prema područjima provjere razlikujemo sljedeće izvedene standarde
strateškog upravljanja IS-om:
– upravljanje razvojem poslovnih informacijskih sustava (CMMI,
TickIT,...),
– upravljanje informatičkim uslugama (ITIL)
– upravljanje ulaganjima u informatiku (Val IT)
– upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI DSS,
Basel II, ISO 27005)
– upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO
27000 normi, NIST, SANS, IS3)
– upravljanje projektima (Prince 2, PMBOK)
– upravljanje kontinuitetom poslovanja (BS 25999)
7171
Izvedene metode i okviri revizije IS-a• Val IT inicijativa (www.isaca.org/valtit) - poboljšanje upravljanja
ulaganjima u informatiku (3 područja, 40-ak procesa)
• ITIL okvir (ISO 20000 norma) (www.itil.org.uk) - upravljanje informatičkim
uslugama (5 područja, 20-ak procesa)
• Risk IT metodologija (www.isaca.org/riskit) - upravljanje informatičkim
rizicima (3 područja, 20-ak procesa)
• Obitelj ISO 27000 normi (ISO 27001 – ISO 27008) - ciljana unaprjeđenja
sustava sigurnosti informacija (ISO 27001 11 područja i 40-ak procesa)
• Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja
operativnim rizicima (11 područja)
• Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima
• PMBOK – poboljšanje prakse upravljanja projektima
• PCI DSS (engl. Payment Card Industry Data Security System) –
regulatorna pravila sigurnog i pouzdanog baratanja s podacima u
kartičarskoj industriji. (primjer primjene .ppt)
7272
Zakon o bankama i Odluka o primjerenom
upravljanju informacijskim sustavom
• Unutarnja revizija
– Dužna je obavljati reviziju IS-a banke (01.01.2009)
– Usvojiti metodologiju za provođenje revizije IS-a
zasnovanu na procjeni rizika, a kojom se određuju kriteriji,
načini i postupci revizije IS-a banke (01.01.2009)
– (odluka.doc)
Otkazao transakcijski IS zrakoplovne kompanije za vrijeme božićnih
blagdana 2004. (između 22. i 24. prosinca otkazano 91% letova)
Taj se sustav sastojao od prastarih IBM-ovih AIX poslužitelja. Sustav
nije otkazao zbog starosti poslužitelja nego zbog SBS-ova softvera
koji nije bio predviđen za više od 32.000 odgoda letova, koliko ih je
bilo tog mjeseca zbog brojnih oluja
Normalno funkcioniranje uspostavljeno 29.12.
Problemi: Tisuće Amerikanaca božićne je blagdane provelo čekajući u
zračnim lukama, štete, tužbe, narušen ugled….
Epilog: 3900 letova otkazano, 200.000 putnika ‘izgubljeno’, 20 milijuna
USD izravne financijske štete, velika šteta gubitkom poslovnog ugleda
Razlozi? Odgovornosti?
Zrakoplovna kompanija – ComAir, 2004 (.ppt)
Rizik neisplativih ulaganja u informatiku (‘annual value destruction’)
IBM Fortune CIO 1000 survey (2004) : ‘40% of IT costs do not deliver business value’
Rizik neuspješne provedbe informatičkih projekata (Gartner, Standish
Group)
Gartner (2002) – firms waste $600bn each year on ill-conceived IT projects
Standish Group (2004) – 29% of IT projects (initiatives) successfull
Rizik prekida ili otežanog funkcioniranja poslovanja (poslovnih procesa)
Disaster recovery Institute (2007): 93% of companies that experince a downtime with
no BCP quit functioning within 5 years. 50% of companies that lost their business critical
processes for more than 10 days never recover
Rizik napada na imovinu informacijskog sustava
Rizik krađe osjetljivih podataka, tehnološki rizici
Rizik provedbe promjena, rizik rastuće složenosti informacijskih sustava
Potreba za korporativnim upravljanjem rizicima
Korporativno upravljanje i informatika
• Koja je uloga (pozicija) informatike u poslovanju?
• Kako (koliko) u informatiku uložiti? Koliki je povrat ulaganja (ROI)?
• Što je zadatak / cilj informatike u poslovanju?
• Koji su prioritetni IT projekti? Znamo li njihov doprinos poslovanju?
• Koje poslovne ciljeve podržava informatika?
• Tko je odgovoran za funkcioniranje informatike?
• Tko i kako donosi odluke koje se tiču informatike?
• Tko i kako kontrolira informatiku?
• Tko i određuje / kontrolira informatičke rizike?
• Je li nam IT/IS važna u poslovanju? Zašto i u kojoj mjeri nam treba IT/IS?
• Možemo li bez IT/IS? Koliko dugo? itd. ….
SSSR – USA
Nike
MFI
Sainsbury
Adidas
Airbus
Riječka banka
ZSE
UK Passport
Agency
London
Ambulance
LA Airport
UK Home
Office
Korporativno upravljanje i informatika –
Možemo li bez informatike? Koliko dugo?
• Prosječan gubitak uslijed prekida odvijanja poslovnih procesa na 1h:
– investicijsko posredništvo 6,5 milijuna USD
– kartičarsko poslovanje (autorizacija kreditnih kartica) oko 2,6 milijuna USD,
– Logistika i paketna distribucija oko 150.000 USD
– Rezervacijski sustavi za zrakoplove oko 90.000 USD
– Fortune 500 lista – prosječan gubitak je oko 96.000 USD po MINUTI
Vrijeme
dostupnosti
Max. vrijeme
nedostupnosti u
jednoj godini
99.9999% 31.5 sekundi
99.999% 5 minuta i 35 sekundi
99.99% 52 minuta i 33 sekunde
99.9% 8 sati i 46 minuta
99.0% 87 sati i 36 minuta
95.0% 18 dana i 8 sati
90.0% 36 dana i 12 sati
Što je korporativno upravljanje informatikom
(IT Governance)?
Skup tehnika i metoda kojima korporativna tijela i
izvršni menadžment 'ovladavaju' primjenom
informatike u poslovanju, odlukama o
ulaganjima u informatiku, performansama i
rizicima njezina korištenja, ali i preuzima
odgovornost za kontrolu provedbe
informatičkih procesa i svih aktivnosti
IT Governance – korporativno upravljanje
informatikom
Izvršni menadžment i najviša tijela upravljanja kompanijom postaju odgovorna za sva važna pitanja upravljanja informatikom, poput:
• donošenje i implementacije strategije informatike,
• čvrsto povezivanje strategije poslovanja i strategije informatike, odnosno određivanje optimalne uloge informatike u poslovanju,
• donošenje metrika kojima se mjeri utjecaj informatike na poslovanje i mjeri poslovna vrijednost informatike,
• korporacijsko i sveobuhvatno upravljanje informatičkim rizicima,
• učinkovito upravljanje informatičkim projektima i ulaganjima, i
• odgovornost za učinkovitost sustava informatičkih kontrola.
Komponente korp. upravljanja informatikom
UPRAVLJANJE
INFORMATIKOM
na korporativnoj razini
(engl. IT Governance)
Usklađenje poslovanja i
informatike (engl. IT/
Business Alignment)
Poslovna vrijednost
informatike (engl. IT Value)
Upravljanje informatičkim
rizicima (engl. IT Risk
Management)
Dodjela odgovornosti i
provjera učinkovitosti
informatičkih kontrola
(engl. IT Control
Accountability)
Revizija uspješnosti
informatike -
performanse i metrike
(engl. Performance
Measurement)
Komponente korp. upr. informatikom –
Strategija informatike
• Koja je uloga informatike u
poslovanju?
• Strateško planiranje informacijskih
sustava (SPIS)
• Plan za razvoj IS koji trebaju učinkovito
podržavati strateške ciljeve poslovanja i
omogućiti njihovo ostvarenje
• ‘Skladan brak’ poslovnih ciljeva i IT
ciljeva
• Usklađenje poslovne strategije i IS
strategije
Strategija poslovanja
Strategija IS
Tehnologija (IT) Ljudi IS procesi
Metrike
Poslovna vrijednost
informatike
Kako odrediti strategiju informatike?REAKTIVNA STRATEGIJA INFORMATIKE
('DEFENSIVE IT')
Operativna važnost ('factory mode')
- Već vrlo kratak prestanak funkcioniranja ('ispad' na
minutu ili dulje) sustava znači i prestanak odvijanja
ključnih poslovnih procesa
- Ako sustav vrlo kratko ne odgovara na zahtjeve
('response time'), to ima ozbiljna utjecaja na rad
vanjskih i unutarnjih korisnika
- Mnoge ključne poslovne aktivnosti su 'online'
- Potrebno je stalno ulagati u održavanje i praćenje
performansi rada sustava
- Sustav omogućuje znatne troškovne uštede ali i
neznatnu stratešku difrencijaciju
PROAKTIVNA STRATEGIJA
INFORMATIKE ('OFFENSIVE IT')
Strateška važnost ('strategic mode')
- Već vrlo kratak prestanak funkcioniranja ('ispad' na
minutu ili dulje) sustava znači i prestanak odvijanja
ključnih poslovnih procesa
- Ako sustav vrlo kratko ne odgovara na zahtjeve
('response time'), to ima ozbiljna utjecaja na rad
vanjskih i unutarnjih korisnika
- Novi sustavi omogućuju radikalnu promjenu
poslovanja (poslovnih procesa) i usluga
- Novi sustavi omogućuju veliku uštedu troškova
- Novi sustavi će omogućiti stratešku prednost nad
konkurentima (niži troškovi, bolja usluga, bolje
performanse poslovnih procesa)
Podrška poslovanju ('support mode')
- Čak i ponovljeni ispadi u funkcioniranju sustava
(npr. do 12 sati) ne utječu značajnije na odvijanje
poslovanja
- Odziv sustava korisnicima pri provođenju
elektroničkih transakcija može biti do 5 sekundi
- Unutarnji sustavi nisu dostupni dobavljačima i
kupcima. Nema velike potrebe za uvođenjem
ekstraneta
- Kompanija se vrlo brzo može 'prebaciti' na ručni
način provedbe poslovnih procesa, čak i za do 80%
ključnih poslovnih transakcija
- Potrebno je ulagati u održavanje i praćenje
performansi rada sustava
Pretvorbeni način ('turnaround mode')
- Novi sustavi će promijeniti način poslovanja
kompanije i donijeti održivu konkurentsku prednost
- Novi sustavi omogućuju radikalnu promjenu
poslovanja (poslovnih procesa) i usluga
- Novi sustavi omogućuju veliku uštedu troškova
- Novi sustavi će omogućiti stratešku prednost nad
konkurentima (niži troškovi, bolja usluga, bolje
performanse poslovnih procesa)
- Ulaganja u informatiku čine više od 50% kapitalnih
ulaganja kompanije
- IT budžet predstavlja više od 15% ukupnih
troškova kompanije
NIS
KA
DO
VIS
OK
A P
OTR
EB
A Z
A P
OU
ZDA
NO
M IN
FOR
MA
TIK
OM
(IT)
NISKA DO VISOKA POTREBA ZA INOVATIVNOM INFORMATIKOM (IT)
Komponente korporativnog upravljanja
informatikom - IT rizici
• Rizici koji proizlaze iz intenzivne uporabe informacijskih sustava i tehnologije kao važne podrške odvijanju i unaprjeđenju poslovnih procesa i poslovanja uopće
• Opasnosti i prijetnje da intenzivna primjena informatike može uzrokovati neželjene ili neočekivane posljedice i možebitne financijske i druge štete unutar organizacije ali i njezinog neposrednog i šireg okruženja
• Šteta: materijalna i financijska, izravna ili neizravna
Upravljanje rizicima
• Sistematičan analitički proces kojim organizacija
otkriva (pronalazi), prepoznaje (identificira), umanjuje
(reducira) i nadzire (kontrolira) potencijalne rizike i
gubitke kojima je izložena
• Taj proces omogućuje organizacijama utvrđivanje
veličine (ozbiljnosti, težine, razmjera) i učinaka
potencijalnih gubitaka, vjerojatnosti da će se takav
gubitak eventualno i dogoditi te protumjera koje mogu
djelovati na smanjenje vjerojatnosti ili veličine gubitka
• Rizik = F (imovina, prijetnja, ranjivost)
Rizik = f (Imovina, prijetnja, ranjivost)
• Rizik = F (imovina, prijetnja, ranjivost)
• Prijetnja – mogućnost ili namjera neke osobe da
poduzme akcije koje nisu u skladu s ciljevima
organizacije
• Ranjivost - svaka slabost bilo kojeg dijela imovine ili
neke zaštitne mjere
• Imovina – sve što tvrtka posjeduje i što za nju ima neku
poslovnu vrijednost
Vrste IT rizika
• ‘Corporate level’ IT risks– Strat. IT plan, IT project management praksa, IT politike, procedure,
pravilnik o sigurnosti IS, politika IT ulaganja, rizik nepoštivanja standarda, zakonskih obveza, rizik IT ovisnosti o dobavljačima, rizici iz vanjskog okruženja, rizik IT projekta, itd.
• ‘Process-level’ IT risks (opći IT rizik)– Razvoj i kupnja aplikacija, promjena softvera, pristup programima i
podacima, sigurnosni rizici, rizik neprekidnosti poslovanja (business continuity), rizik oporavka nakon prekida rada (disaster recovery), itd.
• Aplikacijski IT rizici i rizici IT servisa– Rizici provedbe IT operacija (jesu li transakcije točne, potpune,
cjelovite, podjela dužnosti i kontrola, autorizacija, itd.) i rizici IT servisa (dostupnost i funkcionalnost mreže, podataka, itd..) (primjer– rizik IT servisa – ITIL)
Razrada scenarija IT rizikaPrimjer scenarija
IT rizika
Objašnjenje potencijalne štete Potencijalni
gubitak
'Ozbiljnost'
događaja
Ovlašteni korisnici
izvode
nedozvoljene
aktivnosti
Korisnici imaju pristup podacima, mogu pregledavati
i mijenjati važne podatke, manipulirati radom
sustava
100.000 kn I
Prekid rada
sustava i
servisa
Prekid rada sustava može nastati radi pogrešne
opreme, pogrešaka u aplikacijama ili podacima,
a može uzrokovati prekid obavljanja kritičnih
poslovnih procesa i gubitak važnih podataka
500.000 kn I
Nepotpuna
obrada
poslovnih
transakcija
Neotkrivena pogrešna ili nepotpuna obrada
poslovnih transakcija može utjecati na
financijske izvještaje i smanjiti kvalitetu
odlučivanja
130.000 kn I
Neuspješna
provedba
projekata
Projekti nisu dovršeni na vrijeme, unutar
predviđenog budžeta i nemaju sve unaprijed
dogovorene funkcionalnosti
300.000 kn I
Krađa osjetljive ili
kritične
imovine
Krađa računala i opreme na kojima se nalaze
povjerljivi i osjetljivi podaci
25.000 kn II
Primjer određivanja rizika ABN-AMRO
Analiza utjecaja na poslovanje (BIA)• RTO (engl. Recovery Time Objective) – vrijeme neraspoloživosti
poslovnih procesa i osnovna mjera kritičnosti poslovnih procesa
• RTO - maksimalno dozvoljeno vrijeme neraspoloživosti poslovnog
procesa (engl. Maximum Tolerable Downtime - MTD)
• RPO = 1h – organizacija je spremna izgubiti sve podatke koji su
nastali unutar jednog sata prije neželjenog događaja
‘Matrica’ IT rizika
Razina 'ozbiljnosti'
neželjenog
događaja
Vjerojatnost nastanka
događaja (ranjivost
sustava)
A B C D E
I (visoka)
II
III
IV (niska)
Rizik 1 - neprihvatljiv, kritičan, vrlo moguć i zahtijeva trenutnu
reakciju najviših razina menadžmenta
Rizik 2 - neprihvatljiv, zahtijeva korektivnu akciju i izravno
uključivanje (višeg) menadžmenta
Rizik 3 - prihvatljiv uz praćenje i izvještavanje menadžmentu
Rizik 4 - prihvatljiv bez 'uplitanja' menadžmenta
Opis
Vrlo visoka 5 10 > 9 Vrlo visok rizik
Visoka 4 8 12 7 - 9 Visok rizik
Srednja 3 6 9 12 5 - 6 Sredni rizik
Niska 2 4 6 8 10 3 - 4 Mali rizik
Vrlo niska 1 2 3 4 5 1 - 2 Vrlo mali rizik
Vrlo nizak Nizak Srednji Visok Vrlo visok
Učinak
Vje
ro
ja
tn
os
t
Matrica rizikaRazina rizika
Opis incidenta
(a)
Vrijednost
utjecaja
(imovine)
(b)
Vjerojatnost
ostvarenja (c)
Mjera rizika
(d)
d = b x c
Rangiranje
incidenta
(e)
Incident A 5 2 10 2
Incident B 2 4 8 3
Incident C 3 5 15 1
Incident D 1 3 3 5
Incident E 4 1 4 4
Incident F 2 4 8 3
Komponente IT Governance-a – IT kontrole
Politike i
pravila
Standardi i
praksa
Upravljačke IT
kontrole
Procesne kontrole i
kontrole IT okruženja
Aplikativne kontrole,
kontrole pristupa
Kontrole ključne IT opreme,
kontrole sistemskog softvera
Kontrole promjena aplikacija, kontrole cjelovitosti
podataka, logičke kontrole pristupa, sigurnosne
kontrole, itd.
Korporativno upravljanje (engl.
Governance)
Upravljanje na
organizacijskoj ili
funkcijskoj razini (engl.
Management)
Operativne
aktivnosti
Razina dokumentiranosti, svijesti o
važnosti i razina nadzora
Ope
rativ
na e
fikas
nost
i ob
likov
anje
proc
edur
a (p
roce
sa)
0 – ne postoji
1 - početna,
ad-hoc
2 - ponavljajuća,
intuitivna
3 - definirana
4 – upravljana i
mjerena
5 - optimalna
Korporativne
kontrole
Upravljačke
kontrole
Operativne
kontrole
Opće IT
kontrole Aplika
cijske
kontrole
Pre
ve
ntivn
e
ko
ntr
ole
De
tektivn
e
ko
ntr
ole
Ko
rektivn
e
ko
ntr
ole
Ključni aspekti kontroleinformacijskih sustava
• Kontrola je sustav, što znači da obuhvaća skup uzajamnopovezanih (interagirajućih) komponenata koje, djelujući jedinstveno i usklađeno, potpomažu ostvarivanje utvrđenih ciljeva informacijskog sustava.
• Kontrola se usmjerava na neželjene događaje ili proceseu informacijskom sustavu. Neželjeni događaj može nastati, a proces biti aktiviran zbog neovlaštenih, netočnih, nepotpunih, redundantnih, nedjelotvornih ili neučinkovitih ulaza u sustav.
• Kontrole se primjenjuju zato da bi se spriječili (prevenirali), otkrili (detektirali) ili ispravili (korigirali) neželjeni događaji i/ili procesi.
Kontrola kao komponenta upravljanja
• Upravljati sustavom znači poduzimati odgovarajuće mjere kako bi se osiguralo da
sustav djeluje (funkcionira) na željeni način. Kontrolom se utvrđuje kakve mjere treba
poduzimati da bi se ostvarili utvrđeni ciljevi upravljanja
• Kontrola je sustav kojim se sprječavaju, otkrivaju i ispravljaju neželjeni događaji i
procesi u informacijskom sustavu
• Kategorizacija kontrola:
– Sa stajališta objekta na koji se primjenjuju
• Opće informatičke kontrole
• Aplikacijske kontrole
– Sa stajališta hijerarhijske pozicije
• Kontrole na korporativnoj razini
• Kontrole na izvršnoj razini upravljanja
• Kontrole na operativnoj razini upravljanja
– Sa stajališta svrhe
• Preventivne
• Detektivne
• Korektivne
Korporativne
kontrole
Upravljačke
kontrole
Operativne
kontrole
Opće IT
kontrole Aplikacijske
kontrole
Pre
vent
ivne
kont
role
Det
ektiv
ne
kont
role
Kor
ektiv
ne
kont
role
93
Kontrole IS-a na korporativnoj razini
• Korporativne kontrole (planiranje, organiziranje,
vođenje i kontrola IS-a, politika ulaganja,
prioritetni projekti, strategija IS-a)
• Kontrole aktivnosti IS-a (kontrole životnog ciklusa
IS-a, dokumentacijski standardi, metodološki
standardi, standardi učinaka IS-a)
• Kontrole provedbe sigurnosne informacijske
politike
9494
Sigurnosna informacijska politika
• Sigurnosna informacijska politika je odraz svijesti i
volje organizacije za zaštitom informacijskih sadržaja
i resursa od njihova uništenja, degradacije i/ili
zloporabe
• To se u praksi prevodi u skup organizacijskih pravila i
postupaka što u svojoj ukupnosti čine normativni
okvir sigurnosne informacijske politike u
organizaciji
9595
Osnovna pitanja koja treba urediti sigurnosnom informacijskom politikom
• Tko ima dozvolu za korištenje informacijskih resursa?
• Tko ima ovlasti za administriranje sustava?
• Koja su prava i obveze administratora sustava?
• Tko dodjeljuje ovlaštenja za korištenje resursainformacijskog sustava?
• Koji su dopušteni načini korištenja resursa informacijskog sustava?
• Koja su prava i odgovornosti korisnika sustava?
• Tko ima pravo prenošenja ovlaštenja?
• Kako se postupa s osjetljivim informacijama?
9696
Kontrole na izvršnoj upravljačkoj razini
• Kontrole u postupku razvoja i uspostavljanja IS-a (kontrole
metodologije razvoja softvera)
• SAS 70 izvještaj
• Kontrole promjena aplikacija
• Kontrole isporuke aplikacija
• Kontrole podataka (pristup bazama, konverzija, pristup OS-u,
…)
• Sigurnosne upravljačke kontrole
9797
Primjeri testova kontrole podataka
• *SECOFR, *ALLOBJ, *NOMAX (password), *PUBLIC,
• *SECADM, LMTCPB (bez ograničenja ovlasti promjene)
• *AUDIT, *ALLOBJ
• SPCAUT
• QPWDEXPITV (*NOMAX - kada istječe lozinka), QPWD
• PRTSYSSEC, DSPUSRPRF, CHGUSRPRF
• *PUBLIC (*SECADM), CRTUSRPRF, CHGUSRPRF, DLTUSRPRF
• QSECURITY >=30
• QAUDLVL (*CREATE, *DELETE)
• ‘log tests’ ‘ORACLE DBlog’
98
Sigurnosne upravljačke kontrole
• Teorija upravljanja sigurnošću informacijskih sustava i procesa ne
zagovara potrebu iznalaženja načina uspostavljanja apsolutne već
održive i ekonomski opravdane razine sigurnosti informacijskih
sustava i procesa
ISO 27001 norma:• Politika informacijske sigurnosti
• Organizacija informacijske sigurnosti
• Upravljanje imovinom
• Sigurnost ljudskog potencijala
• Fizička sigurnost i sigurnost okruženja
• Upravljanje komunikacijama i operacijama
• Kontrola pristupa
• Nabava, razvoj i održavanje informacijskih sustava
• Upravljanje sigurnosnim incidentima
• Upravljanje kontinuitetom poslovanja
• Sukladnost
Upravljačke kontrole
• Osnovni je zadatak revizora pri istraživanju upravljačkih kontrola kojima se podvrgava informacijski sustav ocijeniti radi li menadžment svoj posao dobro.
• Revizor mora steći potpuni uvid u unutarnju kontrolnu strukturu organizacije koju istražuje, a upravljačke kontrole čine važan segment te strukture. Zato revizor mora dobro razumjeti bit upravljačkih kontrola relevantnih sa stajališta ciljeva koje želi ostvariti.
• Temeljem uvida u prakticirane upravljačke kontrole revizor mora donijeti odluku o tome hoće li se u svome radu pouzdati i oslanjati na njih ili ne.
Aplikacijske kontrole
Svrha je aplikacijskih kontrola osigurati da svaki
pojedinačni aplikacijski sustav, kao podsustav
cjelokupnog informacijskog sustava tvrtke, teži
očuvanju imovine tvrtke i integriteta podataka, te
djelotvornom i učinkovitom ostvarivanju zacrtanih
općih i pojedinačnih ciljeva
Svrha kontroleinformacijskog sustava
• Opća je svrha kontrole smanjenje očekivanih
gubitaka do kojih bi došlo kod pojave neželjenih
događaja ili ostvarenja neželjenih procesa u
sustavu.
• Kontrola djeluje na dva načina:
– Preventivnom se kontrolom smanjuje vjerojatnost
neželjenih događaja i/ili procesa.
– Detektivnim i korektivnim kontrolama smanjuje se
veličina (iznos) gubitka koji bi nastao zbog neželjenih
događaja i/ili procesa.
102
Vrste kontrola IS• Upravljačke kontrole (politike kompanije, način i stil vođenja, strateški plan IT,
organizacija posla, način razmjene informacija, …)
• Opće IT kontrole (cilj: siguran, pouzdan i neometan IS)– Učinkovitost i provedba sigurnosne politike IS
– Procjena sustava internih kontrola, Kontrole vođenja i organiziranja IS
– Kontrole pri razvoju IS, Kontrole pri promjeni postojećeg IS (softvera)
– Kontrole pri redovitom radu IS i opreme
– Kontrole pristupa podacima i programima
– Osiguravanje kontinuiteta poslovanja
– Fizičke sigurnosne kontrole, Logičke sigurnosne kontrole
– Kontrole rada IS (podjela dužnosti)
– Kontrole podataka, kontrole obrade podataka
– Komunikacijske kontrole, U/I kontrole
• Aplikacijske kontrole (cilj: otkriti/spriječiti neautorizirane transakcije)– Potpunost
– Točnost
– Autorizacija
– Validacija
– Podjela posla
103
Vrste kontrola IS
• Sigurnosne kontrole
– Fizičke i logičke kontrole
– Kontrole pristupa
– Kontrole praćenja
– Kontrole pregleda stanja
– ‘Penetrating tests’ kontrole
• Informacijske (podatkovne)
kontrole
– Kontrole ulaza
– Procesne kontrole
– Kontrole baza podataka
– Izlazne kontrole
– Kontrole aplikacije
• Kontrole neprekidnosti
– Backup kontrole
– Backup podataka
– Backup hardvera
– Kontrole oporavka nakon
neželjenog događaja
Primjer ITIL implementacije (ISO 20000)KPIs for ITIL process Incident
Management
Prije
ITIL
Poslije
ITIL
Prosječno vrijeme za rješavanje
incidenata
36
min.
24
min.
% od ukupnog broja incidenata
koji su se riješili na prvoj razini
podrške
18% 37%
% od ukupnog broja incidenata
koji su imali velik negativan
utjecaj na usluge
22% 20%
% od ukupnog broja incidenata
koji su se zaprimili mimo Službe
podrške (Service Desk)
16% 5%
KPIs for ITIL process Problem
Management
Prije
ITIL
Poslije ITIL
Broj velikih (kritičnih) problema 22 7
Broj ponavljajućih problema 11 8
Prosječno vrijeme potrebno za
dijagnostiku i otkrivanje uzroka
4,5 h 3,5 h
% od broja riješenih problema proaktivno
ili reaktivno
20%
proakt.,
80% reakt.
45% proakt,
55% reakt
KPIs for ITIL processes Change
Management and Release
Management
Prije
ITIL
Poslije
ITIL
% od ukupnog broja CI s pogrešnim
atributima za provjeru
65% 25%
% od ukupnog broja CI koji su
pohranjeni u bazi podataka
10% 70%
% od ukupnog broja CI čiji se atributi
automatski ažuriraju
10% 55%
KPIs for ITIL process Configuration
Management
Prije
ITIL
Posli
je
ITIL
% promjena realiziranih kao što je bilo
planirano
25% 80%
% promjena koje nisu potvrđene 95% 10%
% hitnih promjena 60% 35%
% neuspješno realiziranih promjena 18% 6%
% korištenja neautoriziranog softvera 22% 8%
% pogrešnih isporuka 13% 10%
% hitnih isporuka 32% 20%
• 2002 Gartner – 20% projektnih troškova su nepotrebni, rasipni
(‘annual value destruction’ – 600 milijardi USD)
• 2004 IBM Fortune 1000 CIO anketa – 40% projektnih troškova nisu
donijeli nikakvu korist organizaciji
• 2004 Standish Group Report – 29% projekata je uspješno
Standish Group ‘The Chaos Report’:
• 80-90% projekata ne postiže učinke zbog kojih su pokrenuti,
• 80% projekata prekorači planirano vrijeme i cijenu,
• 40% projekata se napusti,
• u manje od 25% projekata na dobar način se ostvare i
poslovni i tehnički ciljevi,
• samo 10-20% projekata su stvarno uspješni projekti
Zašto IT projekti ne uspijevaju?
Zašto IT projekti ne uspijevaju?
• Pomanjkanje resursa
• U projekt nisu bili uključeni odgovarajući korisnici
• Pomanjkanje potpore menedžmenta
• Otpori projektu
• Loša analiza organizacije
• Neusklađenost s promjenama u okolini
• Neusklađenost projekta s poslovnim planovima
• Nejasna odgovornost za provedbu projekta
• Loš odabir IT alata
• Loše predstavljanje rezultata
• Samo 30% projekata uspješno
24,7%
18%
12,4%
10,1%
7,9%
6,7%
6,7%
6,7%
3,3%
3,3%
107107
ISO 27001:20051. Informacijska sigurnosna politika
2. Organizacija informacijske sigurnosti
2.1. Unutarnja informacijska sigurnost
2.2. Vanjski suradnici
3. Upravljanje informacijskim resursima (imovinom) i
klasifikacija informacija
3.1. Odgovornost za informacijske resurse (imovinu)
3.2. Klasifikacija informacija
4. Informacijska sigurnost i privatnost zaposlenika
4.1. Sigurnost i privatnost prije zaposlenja
4.2. Sigurnost i privatnost tijekom zaposlenja
4.3. Prekid ili promjena zaposlenja
5. Fizička sigurnost i sigurna područja
5.1. Sigurna područja
5.2. Fizička sigurnost opreme
6. Upravljanje komunikacijama i operacijama
6.1. Radne upute i odgovornosti
6.2. Upravljanje pružanjem usluga treće strane
6.3. Planiranje i prihvaćanje sustava
6.4. Zaštita od zloćudnog i prenosivog koda
6.5. Sigurnosne kopije
6.6. Upravljanje sigurnošću računalnih mreža
6.7. Rukovanje medijima (nositeljima podataka)
6.8. Razmjena informacija
6.9. Usluge elektroničke trgovine
6.10. Nadzor
7. Kontrola pristupa
7.1. Poslovni zahtjevi i politika kontrole pristupa
7.2. Upravljanje korisničkim pristupom
7.3. Odgovornosti korisnika
7.4. Kontrola pristupa računalnoj mreži
7.5. Kontrola pristupa operacijskom sustavu računala
7.6. Kontrola pristupa poslovnim informacijama i aplikacijama
7.7. Uporaba prenosive opreme i rad na daljinu
8. Nabava, razvoj i održavanje poslovnog informacijskog
sustava
8.1. Sigurnosni zahtjevi informacijskih sustava
8.2. Ispravna obrada u aplikacijama
8.3. Kriptografske kontrole
8.4. Sigurnost sistemskih datoteka
8.5. Sigurnost u procesima razvoja i podrške
8.6. Upravljanje tehničkom ranjivošću
9. Upravljanje sigurnosnim incidentom
9.1. Izvješćivanje o sigurnosnim događajima i slabostima
9.2. Upravljanje sigurnosnim incidentima i poboljšanjima
10. Upravljanje kontinuitetom poslovanja
11. Sukladnost
11.1. Sukladnost sa zakonskim propisima
11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička
sukladnost
11.3. Razmatranja revizije informacijskih sustava
108108
ISO 27001:2005
• ISO 27001 sadrži 36 sigurnosnih ciljeva i 127
sigurnosnih kontrolnih mjera podijeljenih u 10 domena: 1. Sigurnosna politika (Zahtjevi uprave za unaprjeđivanjem infromacijske sigurnosti)
2. Organizacijska sigurnost (Omogućavanje upravljanja informacijskom sigurnošću unutar
organizacije)
3. Klasifikacija i kontrola resursa (Provođenje inventara informacijskih resursa i njihove
zaštite)
4. Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogućnosti ljudske
pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu)
5. Fizička sigurnost i zaštita od utjecaja okoline (Sprječavanje uništavanja, propadanja i
prekida funkcioniranja sredstava i podataka)
6. Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti
(Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija)
7. Kontrola pristupa (Kontrola pristupa informacijama i resursima)
8. Razvoj sustava i njihovo održavanje (Osiguravanje ugrađenosti sigurnosti u
informacijske sustave)
9. Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na
prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti)
10. Sukladnost s pravnom legislativom (Sprečavanje mogućnosti kršenja zakona,
statutornih ili ugovornih obveza i sigurnosnih zahtjeva)
109109
ISO 27001:2005
110110
ISO 27001:2005
Vrsta organizacijeVeličina
organizacije
Primarni cilj uvođenja
ISMS-a
Način uporabe norme
ISO 27001
Manja organizacijaManje od 200
zaposlenih
Podizanje shvaćanja
uprave o važnosti
informacijske sigurnosti
Norma sadrži sigurnosne
teme koje je potrebno
obraditi kao dio
učinkovitog upravljanja
organizacijom
Srednja organizacijaManje od 5000
zaposlenih
Kreiranje prikladne
korporativne sigurnosne
kulture
Norma sadrži zahtjeve
koje je potrebno ugraditi
u poslovanje
Velika organizacijaViše od 5000
zaposlenihPostizanje certifikacije
Striktno pridržavanje
norme kako bi se
izgradio učinkovit ISMS
Primjeri primjene:
Data storage security (.ppt)
111111
ISO 27001:2005
112112
Novi standardi
ISO 27000
Principles and Definition
ISO 17799:2000
BS 7799-2:2002
ISO 17799:2005
ISMS Code of Practice
BS 7799-3:2006
Risk Management
ISO 27002
ISMS Code of Practice
ISO 27003
Implementation Guidelines
ISO 27004
ISMS Measurement
ISO 27005
Risk Management
ISO 27001:2005
ISMS Requirements
ISO 27000 standardi
• ISO/IEC 27000:2009 - uvid u ISO/IEC 27000 grupu standarda kao cjelinu,
• ISO/IEC 27001:2005 – model za uspostavu, provedbu, upravljanje, praćenje, preispitivanje, održavanje i poboljšavanje ISMS-a
• ISO/IEC 27002:2007 – kodeks postupaka za ISMS,
• ISO/IEC 27003 – vodič za implementaciju ISMS-a,
• ISO/IEC 27004 – mjerenje i metrika efikasnosti ISMS-a,
• ISO/IEC 27005:2008 – upravljanje rizicima ISMS (BS 7799-3),
• ISO/IEC 27006:2007 – vodič za registraciju procesa kod ovlaštenih ISMS tijela za registraciju,
• ISO/IEC 27007 – će biti vodič za reviziju ISMS-a,
ISO 27000 standardi (nastavak)• ISO/IEC 27008 – uputstvo za reviziju kontrola informacijske sigurnosti,
• ISO/IEC 27010 - vodič za ISMS u komunikacijama,
• ISO/IEC 27011:2008 - vodič za ISMS u telekom kompanijama,
• ISO/IEC 27013 – vodič za implementaciju, odnosno uvođenje standarda ISO/IEC20000 (ITIL) i ISO/IEC 27001 (ISMS),
• ISO/IEC 27014 - obuhvatit će informacijsku sigurnost upravljanja,
• ISO/IEC 27015 – vodič za uvođenje ISMS-a u financijskim organizacijama,
• ISO/IEC 27031 – standard usmjeren na ICT radi održavanja normalnog poslovanja,
• ISO/IEC 27032 – pruža smjernice za cyber sigurnost,
• ISO/IEC 27033 – zamjena za zastarjeli standard ISO/IEC 18028 vezano za sigurnost mreža informacijskih sustava,
• ISO/IEC 27035 - zamjena za standard ISO/TR 18044 vezano za upravljanje sigurnosnim incidentima,
• ISO/IEC 27036 – vodič za održavanje adekvatne razine sigurnosti prilikom angažiranja vanjskih čimbenika unutar projekata,
• ISO/IEC 27037 – vodič za digitalne dokaze u projektima,
• ISO 27799:2008 – osigurava vodič za uvođenje ISMS-a u zdravstveni sektor na temelju standarda ISO/IEC 27002:2007.