COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
1. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
COBIT - jako narzędzie wspomagające
pracę nie tylko audytora, ale również
rzeczoznawcy PTI
2. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Adam Mizerski –ksiądz -architekt
Spotkanie Rzeczoznawców
Warszawa 01-02.2016
3. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
COBIT Control Objectives for Information and related Technology –
zbiór dobrych praktyk pomagający optymalizować inwestycje
związane z technologiami informatycznymi (IT) i zapewniać
dostępność usług oraz dostarczający mierników i modeli dojrzałości
umożliwiających ocenę wyników procesów IT i określenie
odpowiednich obowiązków właścicieli procesów biznesowych i IT.:
COBIT ver 1: 1996
COBIT ver 2: 1998
COBIT ver 3: 2003
COBIT ver 4: 2005
COBIT ver 4.1: 2007
COBIT ver 5: 2012
4. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-danych.html
ZAPEWNIENIE BEZPIECZEŃSTWA
DZIAŁANIA SYSTEMÓW
INFORMATYCZNYCH
WYKORZYSTYWANYCH DO
REALIZACJI
ZADAŃ PUBLICZNYCH
5. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
W związku ze złożoną tematyką oraz brakiem
szczegółowych regulacji prawnych dot.
kontrolowanej działalności, a w szczególności
w celu obiektywnej i jednorodnej oceny
poziomu zarządzania procesami zapewnienia
bezpieczeństwa poszczególnych systemów
teleinformatycznych, zastosowano model ocen
opisowych opierający się na stosowanym
w metodyce COBIT modelu dojrzałości.
6. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
UWAGA: NIK wykorzystał do badania wersję 4.1
COBIT 4.1
jest dostępny po polsku
w domenie publicznej
http://www.isaca.org/Knowledge-
Center/cobit/Documents/COBIT-
4.1-Polish-version.pdf
7. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Model dojrzałości wg COBIT 4.1
0 Nieistniejące — całkowity brak rozpoznawalnych procesów. Organizacja nie
dostrzega nawet istnienia problemu, który wymaga rozwiązania.
1 Wstępne/doraźne — Istnieją dowody na to, że organizacja dostrzegła problemy
wraz z koniecznością ich rozwiązania. Nie są to jednak ustandaryzowane procesy.
Zamiast nich, do rozwiązywania poszczególnych problemów stosuje się doraźne
podejście. Ogólne podejście do zarządzania nie jest podejściem zorganizowanym.
2 Powtarzalne lecz intuicyjne — procesy zostały rozwinięte do poziomu, na
którym różne osoby wykonujące to samo zadanie postępują zgodnie z podobnymi
procedurami. Nie ma formalnych szkoleń, standardowe procedury nie zostały
zakomunikowane, a podjęcie odpowiedzialności pozostawiono jednostkom.
Występuje wysoki poziom zależności od wiedzy poszczególnych osób, dlatego
prawdopodobne jest występowanie błędów.
8. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Model dojrzałości wg COBIT 4.1
3 Zdefiniowane procesy — istnieją ustandaryzowane i udokumentowane procedury,
które zostały zakomunikowane poprzez szkolenie. Pracownicy są upoważnieni do ich
stosowania. Jest jednak mało prawdopodobne, że odstępstwa od stosowania procedur
zostaną wykryte. Procedury nie są zaawansowane, a są raczej formalizacją istniejących
praktyk.
4 Kontrolowane i mierzalne — kierownictwo monitoruje i ocenia zgodność
z procedurami, a także podejmuje odpowiednie czynności, gdy procesy nie działają
efektywnie. Procesy są stale doskonalone i stanowią źródło dobrych praktyk.
W ograniczony lub fragmentaryczny sposób wykorzystywane są rozwiązania
zautomatyzowane oraz narzędzia.
5 Zoptymalizowane — procesy zostały dopracowane do poziomu dobrej praktyki
w oparciu o efekty ciągłego doskonalenia i modelowanie dojrzałości w innych
przedsiębiorstwach. Technologia informatyczna jest wykorzystywana w zintegrowany
sposób do automatyzacji toku pracy, zapewniając narzędzia służące poprawie jakości i
wydajności oraz sprawiając, że przedsiębiorstwo szybko adaptuje się do zmieniających
się warunków.
9. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
10. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Źródło : NIK: https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/nik-o-bezpieczenstwie-danych.html
11. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Źródło : NIK: https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/nik-o-bezpieczenstwie-danych.html
12. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Stosowane przez skontrolowane podmioty
państwowe systemy ochrony danych nie zapewniają
ich bezpieczeństwa. Działania realizowane w celu jego
zapewnienia są prowadzone opieszale, bez
z góry przygotowanego planu, a środki przeznaczane na
ten cel są niewystarczające. W efekcie istnieje ryzyko,
że działanie istotnych dla funkcjonowania państwa
systemów teleinformatycznych zostanie zakłócone, a
dane w nich się znajdujące trafią
w niepowołane ręce.
Źródło : NIK: https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/nik-o-bezpieczenstwie-danych.html
13. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
14. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
15. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
16. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
17. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
AUDYT BEZPIECZEŃSTWA
SYSTEMU
versus
AUDYT BEZPIECZEŃSTWA
PROCESU
18. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Czytając raport NIK z 2.02.2015 dot. KRI można stwierdzić,
że kontrolowane urzędy skoncentrowały się głównie na
ochronie danych osobowych, jednak „nie wprzęgły”
ochrony danych osobowych w kompleksowy System
Zarządzania Bezpieczeństwem Informacji:
http://www.itsecurity24.info
19. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
AUDYT ZGODNOŚCI
versus
AUDYT WSPIERAJĄCY /
OPTYMALIZUJĄCY
20. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
SĄ WYZWANIA
Jest RYZYKO
Jest ZABAWA
https://pixabay.com/en/dollar-money-finance-dollars-163473/
21. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Jest RYZYKO
Jest ZABAWA
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
K
O
N
T
R
O
L
A
Z
A
R
Z
Ą
D
C
Z
A
22. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
23. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
(…) pozytywną ocenę BI może uzyskać system posiadający
mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika
z rzetelnie przeprowadzonej analizy ryzyka (np.: system
jednostanowiskowy przetwarzający dane powszechnie
dostępne). Jednocześnie ocenę negatywną może uzyskać
system posiadający znaczną liczbę zabezpieczeń, w przypadku
gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został
zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie
wykonaną analizę ryzyka i powstały w jej wyniku plan
postępowania z ryzykiem. W takiej sytuacji jednostka nie
zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system
jednostki dla pewnych ryzyk może posiadać nadmierne, niczym
nieuzasadnione zabezpieczenia, natomiast dla innych całkowity
ich brak.
Źródło :Ministerstwo Cyfryzacji Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań
publicznych
24. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Opracowanie dostępne jest bezpłatnie – w wersji drukowanej i elektronicznej (na licencji
Creative Commons Uznanie Autorstwa 3.0 Polska).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
25. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
niewiele instytucji opracowało analizę ryzyka.
Z deklaracji wynika, że zrobiły to 81 jednostki
(23,89%) . Znamiennym jest, że respondenci nie
umieli ustalić bądź nie znali nazw użytych metodyk:
• burza mózgów (Starostwo Powiatowe w W…),
• Prince 2 (Starostwo Powiatowe w S…),
• arytmetyczna (Starostwo Powiatowe w K…),
• CMMI for Services v. 1.3,
• PMI (Urząd Gminy N…),
• CRAMM,
• delficka (Urząd Miasta Bydgoszcz),
• indukcyjna (Urząd Miasta i Gminy T…, Urząd Gminy w L…),
• ręczna (Urząd Miejski w Ł).
http://pti.org.pl/content/download/5703/44536/file/BR%20PTI%20tom%203%20druk%20final.pdf
26. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Współczesne bezpieczeństwo opera się na
zarządzaniu ryzykiem czyli na adekwatnym
doborze zabezpieczeń do zidentyfikowanych
i ocenionych ryzyk uwzględniających ich
prawdopodobieństwo i skutek
27. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
28. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
perspektywy ryzyka IT - źródło: http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
29. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Współpraca COBIT 5 z normami ISO i innymi metodykami - źródło: http://www.isaca.org/COBIT/Pages/COBIT-5-
polish.aspx
30. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Proces Opis
Zapewnienie i utrzymanie
ładu w organizacji
Nadzór nad ryzykiem i zarządzanie nim wymaga ustanowienia odpowiedniej metodyki
nadzoru w celu wdrożenia struktur, zasad, procesów i praktyk.
Zapewnienie przejrzystości
dotyczącej interesariuszy
Zarządzanie ryzykiem w organizacji wymaga przejrzystego pomiaru wydajności
i zgodności za pomocą celów i mierników zatwierdzonych przez interesariuszy.
Zarządzanie budżetem i
kosztami
Niezbędne jest określenie budżetu związanego z szacowaniem ryzyka.
Zarządzanie zasobami
ludzkimi
Zarządzanie ryzykiem wymaga właściwej liczby osób posiadających kompetencje
i doświadczenia.
Zarządzanie jakością Proces zarządzania ryzykiem powinien być oceniany zgodnie z systemem zarządzania
jakością w organizacji.
Zarządzanie wiedzą W procesie zarządzania ryzykiem należy zapewnić wiedzę wymaganą do wspierania
pracowników w ich działaniach.
31. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Proces Opis
Monitorowanie, ocena
i oszacowanie systemu
kontroli wewnętrznej
Wewnętrzne mechanizmy kontrolne odgrywają kluczową rolę w monitorowaniu i
ograniczaniu ryzyka, tak aby nie stało się ono problemem.
Zapewnienie optymalizacji
zasobów
Zarządzanie ryzykiem musi zoptymalizować sposób wykorzystania zasobów IT.
Zarządzanie metodyką
zarządzania IT
Zarządzanie ryzykiem musi wspierać metodyki zarządzania IT.
Zarządzanie architekturą
korporacyjną IT
Zarządzanie ryzykiem powinna wykorzystywać architekturę korporacyjną IT jako
kluczowe źródło informacji wspierających oceny ryzyka dotyczącego użytkowanych
technologii informatycznych.
Zarządzanie innowacjami Zarządzanie ryzykiem powinno zawsze wiązać się z poszukiwaniem nowych metodologii,
technologii oraz narzędzi, które mogą wspierać nadzór nad ryzykiem i zarządzanie nim w
organizacji.
Zarządzanie umowami o
świadczeniu usług
Zarządzanie ryzykiem powinno uwzględniać wewnętrznych i zewnętrznych dostawców
usług
32. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
źródło: http://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx
33. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Z Raportu NIK:
Kontrolowane jednostki w ograniczonym zakresie
wykorzystywały metody identyfikacji, monitorowania
i zapobiegania ryzyku związanemu z bezpieczeństwem
informacji przetwarzanych w systemach
teleinformatycznych. W niektórych jednostkach proces
ten był związany jedynie z realizacją wymagań Polityki
Ochrony Cyberprzestrzeni, przepisów o ochronie
informacji niejawnych lub obowiązków związanych
z operowaniem infrastrukturą krytyczną.
34. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Czy wasza organizacja
świadomie
i udokumentowanie
zarządza ryzykiem ?
35. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
Źródło : PTI: Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności w serwisach samorządowych
36. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
czy określone zostały role i odpowiedzialności w zakresie szacowania ryzyka
teleinformatycznego oraz czy role te wynikają z kompetencji uczestników procesu;
Źródło :
COBIT 4.1
37. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
czy określone zostały role i odpowiedzialności w zakresie szacowania ryzyka
teleinformatycznego oraz czy role te wynikają z kompetencji uczestników procesu;
czy proces szacowania ryzyka teleinformatycznego obejmuje wszystkie istotne dla
organizacji aktywa;
Źródło : PTI: Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności w serwisach samorządowych
wykonanie inwentaryzacji aktywów teleinformatycznych
zadeklarowało 159 urzędów (46,9%) przy czym
aktualną, nie starszą niż dwa lata, posiadały 103
jednostki (30,38%).
38. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
czy określone zostały role i odpowiedzialności w zakresie szacowania ryzyka
teleinformatycznego oraz czy role te wynikają z kompetencji uczestników procesu;
czy proces szacowania ryzyka teleinformatycznego obejmuje wszystkie istotne dla
organizacji aktywa;
w jaki sposób tworzony jest plan postępowania ze zidentyfikowanymi ryzykami
oraz w jaki sposób plan ten jest uzgadniany z interesariuszami (np. właścicielami
systemów informacyjnych wykorzystujących infrastrukturę teleinformatyczną);
COBIT – tabela RACI:
Tabela RACI wskazuje osoby odpowiedzialne (ang. Responsible),
rozliczane (Accountable), konsultujące (Consulted) i informowane
(Informed).
39. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
czy określone zostały role i odpowiedzialności w zakresie szacowania ryzyka
teleinformatycznego oraz czy role te wynikają z kompetencji uczestników procesu;
czy proces szacowania ryzyka teleinformatycznego obejmuje wszystkie istotne dla
organizacji aktywa;
w jaki sposób tworzony jest plan postępowania ze zidentyfikowanymi ryzykami
oraz w jaki sposób plan ten jest uzgadniany z interesariuszami (np. właścicielami
systemów informacyjnych wykorzystujących infrastrukturę teleinformatyczną);
czy procesy obsługi teleinformatycznej z wykorzystaniem usług zewnętrznych
(outsourcing) uwzględnione są w procesie szacowania ryzyka, a jeżeli tak to czy
uwzględniają łańcuch poddostawców.
40. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
IP serwera pocztowego REV serwera pocztowego Outsourcer
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
77.55.38.239 abm239.rev.netart.pl nazwa.pl sp. z.o.o
93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
93.157.99.126 mail29-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
85.128.222.209 ann209.rev.netart.pl nazwa.pl sp. z.o.o
85.128.155.237 aky237.rev.netart.pl nazwa.pl sp. z.o.o
93.157.100.76 s48-mx.ogicom.net Ogicom "Spider" Sp. z o.o. S.K.A.
79.96.156.226 cloudserver090650.home.net.pl home.pl S.A.
85.128.245.90 aok90.rev.netart.pl nazwa.pl sp. z.o.o
91.217.242.17 radio2.wizja.net WizjaNet sp. z o.o.
89.25.214.162 host8925214162.*.3s.pl 3S S.A.
89.161.135.46 cloudserver022144.home.net.pl home.pl S.A.
91.211.221.206 gabriel-221-206.trustnet.pl Trustnet Babicz Agnieszka
91.211.221.207 gabriel-221-207.trustnet.pl Trustnet Babicz Agnieszka
194.110.77.143 koral.iplus.com.p INTERNET PLUS s.c.
89.146.221.150 mail4.lh.pl LH.PL SP. Z O.O.
Tabela 1 - Analiza rekordów MX – serwerów z domeny *.gov.pl
Jak w warunkach administracji publicznej zapewnić możliwość audytu u jednej z powyższych firm, która zachwalając bezpieczeństwo swoich usług reklamuje na
swojej stronie: „Firma dysponuje dwoma szafami 42U znajdującymi się w jednym z najnowocześniejszych Data Center w Europie (Niemcy)”
41. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
czy w ramach zidentyfikowanych incydentów bezpieczeństwa zostały podjęte
działania mające na celu identyfikacje źródeł ich powstania oraz czy podjęto
działania zabezpieczające organizację w przyszłości przed wystąpieniem podobnych
zagrożeń;
czy określone zostały role i odpowiedzialności w zakresie szacowania ryzyka
teleinformatycznego oraz czy role te wynikają z kompetencji uczestników procesu;
czy proces szacowania ryzyka teleinformatycznego obejmuje wszystkie istotne dla
organizacji aktywa;
w jaki sposób tworzony jest plan postępowania ze zidentyfikowanymi ryzykami
oraz w jaki sposób plan ten jest uzgadniany z interesariuszami (np. właścicielami
systemów informacyjnych wykorzystujących infrastrukturę teleinformatyczną);
czy procesy obsługi teleinformatycznej z wykorzystaniem usług zewnętrznych
(outsourcing) uwzględnione są w procesie szacowania ryzyka, a jeżeli tak to czy
uwzględniają łańcuch poddostawców.
czy prowadzony jest monitoring środowiska teleinformatycznego, a jeżeli tak to czy
zastosowano wskaźniki umożliwiające ocenę bezpieczeństwa środowiska
teleinformatycznego;
42. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
COBIT umożliwia:
ocenę wyników ilościowej oceny ryzyka (o ile są dostępne) umożliwiających
interesariuszom rozważenie kosztów jego ograniczenia oraz wymaganych do
tego zasobów w zestawieniu z ryzykiem strat
zrozumienie tego, jak skuteczne zarządzanie ryzykiem informatycznym
umożliwia optymalizację wartości dzięki skutecznej i wydajnej realizacji
procesów biznesowych, wyższej jakości oraz obniżeniu kosztów
i ograniczeniu marnotrawstwa zasobów
nadzór nad wpływem ryzyka w przedsiębiorstwie na realizację celów
organizacji oraz podjęcie decyzji w odniesieniu do ryzyka w celu zadbania
o wartość dla interesariuszy z zachowaniem optymalnego kosztu zasobów
43. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
COBIT i IR dlaczego warto :
rozszerzenie portfela klientów IR (instytucje finansowe – np. ok 300 Banków
Spółdzielczych), rynek ubezpieczeniowy
sprawdzony w największych światowych korporacjach model oceny
organizacji versus „wiedza ekspercka”
certyfikacja rzeczoznawców (ITIL/COBIT) versus certyfikacja organizacji
(ISO)
mocne nakierowanie na audyty głownie audyty bezpieczeństwa
systemów/procesów
44. COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI
Z Raportu NIK: Audyty bezpieczeństwa
„Kontrola wykazała pozytywny wpływ audytów związanych
z bezpieczeństwem informacji wykonywanych doraźnie,
z inicjatywy własnej lub corocznie, w związku z realizacją norm
rozporządzenia KRI. Raporty z tych audytów stanowiły
w praktyce dla kierownictw kontrolowanych jednostek jedyne
istotne źródło informacji o realnym stanie bezpieczeństwa,
różnych aspektach jego utrzymania oraz działaniach
niezbędnych do przeprowadzenia. „
„Chociaż same systemy informatyczne oraz przeprowadzane
audyty dostarczały informacji dotyczących stanu bezpieczeństwa,
to dane te nie były odpowiednio analizowane i wykorzystywane.”
45. Dziękuję za uwagę
Izba Rzeczoznawców PTI
Oddział Katowice
Adam Mizerski adam@mizerski.net.pl 507-071-401
COBIT - narzędzie wspomagające pracę nie tylko audytora, ale również rzeczoznawcy PTI