WIXLIB

COBIT 4, 4.1 I. - basics - alapokellenőrzési alapfogalmak - ellenőrzési intézkedés / eljárásmagánellenőrzési intézkedés / eljárás:intézkedés sorozat: eljárása szervezeti struktúrák, működési gyakorlatukkal és eljárásaikkalaz irányelvek és szabályzatok nem politika!a technikai fejlesztések és intézkedésekamelyeket ésszerű mértékű biztosítéknak alakítottak kiaz üzleti célok elérése,a nem kívánt események megakadályozása / észrevétele / kijavításacéljábólmegakadályozó - vizsgálati - javító hatás csökkentésSzenes21basic audit notions - control objective - COSO - ellenőrzési célCOSO control objectives:(fiduciary)effectiveness and efficiency of operationsreliability of financial reportingcompliance to the applicable laws and regulationsellenőrzési célok a COSO szerint:(hogy meglegyen a bizalom)az [üzleti] céloknak megfelelő és eredményes működésa pénzügyi jelentések megbízhatóságaaz adott esetre alkalmazható törványeknek és szabályozásnakvaló megfelelésSzenesSzenes2211

COBIT 4, 4.1 I. - basics - alapokbasic audit notions - internal control [measure] - COSOellenőrzési intézkedésCOSO internal control [measure]:a processeffected by an entity'sboard of directorsmanagementand other personneldesigned to provide reasonable assuranceregarding the achievement of the (COSO) control objectivesCOSO belső ellenőrzés[i intézkedés]:az igazgatótanácsa vezetőséga többi dolgozó folyamata,amelyet arra terveztek, hogyésszerű mértékben meg lehessen bizonyosodniaSzenesCOSO ellenőrzési célok eléréséről23example for control objective and control measurepélda ellenőrzési célra és ellenőrzési intézkedésrea COBIT 34 informatikai folyamatából egy:Alkalmazói rendszerek beszerzése és karbantartásao a fejlesztés minden fázisában jóváhagyandó:o a rendszer funkcionalitása megfelela tervezési spec.nak,a fejlesztési és a doku. szabványoknak, ésa minőségi követelményekneko a változtatási igények jóváhagyásao outsource esetén: jogi, szerződési követelmények kezeléseSzenesSzenes2412

COBIT 4, 4.1 I. - basics - alapokexample for control objective and control measurepélda ellenőrzési célra és ellenőrzési intézkedésreAlkalmazói rendszerek beszerzése és karbantartásao az üzleti követelményekből tervezési spec. készítéseo részletes terv, és a technikai követelmények előkészítéseo az alkalmazásba illesztendő ellenőrzési intézkedésekspecifikálása – pl. a becsomagolás előkészítéserendszer-architektúrában: szervezet / feladatkörfunkcionalitás követéseo az alkalmazásfejlesztésre módszertan kialakításao az alkalmazás karbantartási tervének elkészítéseoSzenes25example for control objective and control measurepélda ellenőrzési célra és ellenőrzési intézkedésrepreventive - detective - corrective control measures:order, discipline, maintenance,testing, scanning,logs, preventive reviews,encryption, digital signature - PKImegakadályozó – vizsgálati – kárenyhítő intézkedések:rendezettség, fegyelem, karbantartás,tesztelés, szkennelés,naplózás, megelőző vizsgálatok,titkosítás, digitális aláírás - PKISzenesSzenes2613

COBIT 4, 4.1 I. - basics - alapokCOBIT Cube source: ISACA materials- COBIT kocka (forrás: ISACA anyagok)4.1: changes - ocessesPeopleApplication SystemsTechnologyFacilitiesDataDomainsITIT ProcessestyaliQuInformation CriteriaSzenes27COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezCOBIT generic process model 4 domain of IT activities:plan and organise - POacquire and implement - AIdeliver and support - DSmonitor and evaluate - MEa COBIT átfogó folyamatmodellje az informatikai tevékenységeket4 tartományra osztja:tervezés és szervezet - PObeszerzés és megvalósítás - AIkiszállítás és támogatás - DSfelügyelet és értékelés - MESzenesSzenes2814

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez"PC1 Process Goals and Objectiveso Define and communicate specific, measurable, actionable, realistic,results-oriented and timely (SMARRT) process goals ando objectives for the effective execution of each IT process.o Ensure that they are linked to the business goals and supported bysuitable metrics. "COBIT 4.1 from now on in PCI in explanationsPC1 Az elérendő folyamat célkitűzések és célokSzenes29COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC1 Az elérendő folyamat célkitűzések és célokolyan célokat kell meghatározni és közzétenni, amelyeka folyamatra jellemzőekmegközelítésük mérhetővégrehajthatóakvalósakeredmény - orientáltakszükség esetén időponthoz köthetőeko mindegyik informatikai folyamathoz definiálni kell olyan célokat,amelyek a folyamat végrehajtását a célhoz igazítjáko az IT folyamatok céljait az üzleti célokhoz kell kötni, éso biztosítani kell, hogy megközelítettségük mérhető legyenSzenesSzenes3015

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC2 Process Ownershipo Assign an owner for each IT process, ando clearly define the roles and responsibilities of the process owner.Include, for example,o responsibility for process design,o interaction with other processes,o accountability for the end results,o measurement of process performance ando the identification of improvement opportunities.PC2 A folyamat tulajdonlásaSzenes31COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC2 A folyamat tulajdonlásaA folyamat tulajdonoso kijelöléseo szerepköreinek éso felelősségének definiálásaPélda felelősség tárgyaira:o a folyamat megtervezéséértoomás folyamatokkal való kölcsönhatásáért - együttműködéséért [ ! ]a végeredményekért való elszámoltathatóságértooo[mindezek ! ] mérhetőségéérta folyamat teljesítményének mérhetőségéérte fejlesztési lehetőségek felimeréséért.SzenesSzenes3216

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC3 Process RepeatabilityoooDesign and establish each key IT process such that it isrepeatable andconsistently produces the expected results.Provide for ao logical but flexible and scaleable sequence of activities that will lead to the desiredresults ando is agile enough to deal with exceptions and emergencies.Use consistent processes, where possible, and tailor only when unavoidable.PC3 A folyamat ismételhetőségeSzenes33COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC3 A folyamat ismételhetőségeA folyamatot úgy kell megtervezni, majd kialakítani, hogyo ismételhető legyen,o konzisztensen,o az elvárt eredményt adja.Olyan tevékenységsorozatot kell megadni, amelyo logikus, deo rugalmas,o skálázható,o a kívánt eredményt adja,o képes a kivételek, éso a sürgős esetek kezelésére.Legyenek a folyamatok lehetőleg konzisztensek, és csak akkor szabjuk át, ha muszáj.SzenesSzenes3417

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC4 Roles and Responsibilitieso Definethe key activities andend deliverables of the process.o Assign ando communicateunambiguous roles and responsibilities- for effective and efficient execution of the key activities andtheir documentation as well asaccountability for the process end deliverables.PC4 Szerepkörök és felelősségekSzenes35COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC4 Szerepkörök és felelősségekMeg kell határozni a folyamato kulcstevékenységeit éso végtermékeit.Egyértelmű szerepköröket kello kiosztani éso kommunikálni, a következők érdekében:a folyamat kulcstevékenységeinek hatékony és célravezetődokumentálása ésvégrehajtásaa folyamat végtermékeiért való elszámoltathatóság.SzenesSzenes3618

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC5 Policy, Plans and Procedures - Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhozDefine and communicate howall policies, plans and procedures that drive an IT process areo documented,o reviewed,o maintained,o approved,o stored,o communicated ando used for training.Assign responsibilities for each of these activities and, at appropriate times,o review whether they are executed correctly.Ensure that the policies, plans and procedures areo accessible,o correct,o understood ando up to date.Szenes37COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC5 Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhozMeg kell határozni, ésközzé kell tenni,az informatikai lvaközzétéveoktatásra felhasználvaki kell jelölnia felelősöket, ésmegfelelőidőközönkéntfelülvizsgálat, hogymindeztmegfelelőenhajtják végre.Biztosítani kell, hogya szabályzatok, irányelvek, tervek, eljárásokhozzáférhetőek, helyesek, megértették, naprakészek.SzenesSzenes3819

COBIT 4, 4.1 I. - basics - alapokCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC6 Process Performance Improvement - A folyamatok teljesítményének javításaIdentify a set of metrics that provides insight intoo the outcomes ando performance of the process.Establish targets that reflect on theo process goals ando performance indicatorsthat enable the achievement of process goals.Define how the data are to be obtained.Compare actual measurements to targets andtake action upon deviations, where necessary.Align metrics, targets and methods with IT’s overall performance monitoring approach.Szenes39COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhezPC6 A folyamatok teljesítményének javításaAzonosítani kell egy olyan metrikakészletet, amelyből megítélhető a folyamatoko kimenetele, éso teljesítménye.Ki kell jelölni olyan célterületeket, amelyekből láthatóo a folyamatok célja, éso azok a teljesítménymutatók, amelyek segíteneka folyamatcélok elérésének [ ! ] megítélésében.Meg kell határozni, hogyan kell az adatokat megkapni.Össze kell hasonlítani a tényleges mérési eredményeket a cél eredményekhez, éstenni kell, eltérés esetén, ahol szükséges.Össze kell illeszteni a metrikákat, cél értékeket és módszereketaz Informatikai részlegnél használatos teljesítménymonitorozással.SzenesSzenes4020

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] criteriaquality fiduciary securityquality: quality - cost - deliveryfiduciary:effectiveness and efficiency of operationsreliability of financial reportingcompliance with laws and regulationssecurity:availability - confidentiality - integritySzenes41a COBIT alkotóelemei - információ [minőségi] kritériumokminőség bizalmi fedezet biztonságminőségi szempontok: minőség - költség - kiszállított eredménybizalmi fedezet:a műveletek célravezetőek és eredményeseka pénzügyi jelentések megbízhatóaka törvényeknek és szabályozásnak való megfelelésbiztonság:rendelkezésre állás - bizalmasság - sértetlenségSzenesSzenes4221

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] y of InformationSzenesa COBIT alkotóelemei - információ [minőségi] kritériumokooooooofolyt.a célnak való megfelelés - célravezető információ - effectivenesseredményesség - efficiencybizalmasság - confidentialityintegritás, sértetlenség - integrityrendelkezésre állás - availabilitykülső követelményeknek való megfelelés - compliancemegbízhatóság - reliabilitySzenesSzenes434422

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokeffectiveness:the information isorelevant and pertinent to the business processodelivered in a timely, correct, consistent and usable mannermegfelelés a célnak, célravezetőSzenes45COBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokefficiency:the provision of information through the optimal (most productiveand economical) use of resourceseredményesség:A már meglévő rendszerek javítási értelemben valótovábbfejlesztését értékeli. Megköveteli, hogy az információbiztosításához az erőforrásokat optimálisan használják ki, azaz alehető legtermelékenyebben és leggazdaságosabban. Ez biztosítjatehát az adott esetnek megfelelő költség / haszon megfontolásokteljesítését. Annak a döntésnek a meghozatala, hogy a javításköltsége megéri-e azt az eredményt, amit a javító intézkedés /eljárás hoz(hat), a legfelső vezetés felelőssége!SzenesSzenes4623

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokconfidentiality:the protection of sensitive information from unauthorised disclosureaccess according to the roles - job descriptionsbizalmasság:vizsgálja, megfelelően védett-e a valamilyen okból érzékenynektekintett információ az akár szándékos, akár véletlen jogosulatlanhozzáféréssel szembena külső- és a belső támadások elleni védelem követelményemindenki pontosan ahhoz férjen hozzá,amihez szerepköre - munkaköri leírása szerint szükségesSzenes47COBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokintegrity:o accuracy and completeness of informationo its validity in accordance with business values and expectationsintegritás:Ez az információ kritérium az intézmények informatikai rendszerei, sőt,a bármilyen úton, akár kézi feldolgozással közvetített információo - pontosságáto - teljességéto - az üzleti értékeknek és elvárásoknak megfelelő érvényességétköveteli meg.Ez a sértetlenség azt is jelenti, hogy az adatok ne változzanak afeldolgozás során.SzenesSzenes4824

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokavailability:o the information is available when required by the business processnow and in the futureo the safeguarding of necessary resources ando associated capabilities.rendelkezésre állás:o amikor csak szüksége van az üzleti folyamatnak az információra, azrendelkezésre áll - és fog is állnio a szükséges erőforrások biztosítása,o a hozzájuk szükséges képességekkelSzenes49COBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokcompliance:complying with thoseo laws,o regulations ando contractual arrangementsto which the business process is subject, i.e.,o externally imposed business criteria, as well aso internal policies - [ ! ] guidelines & procedural rulebooksSzenesSzenes5025

COBIT 4, 4.1 I. - basics - alapokCOBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumok saját értelmezés:megfelelés (külső követelményeknek)Ez az adott üzleti folyamatra vonatkozó külső elvárások teljesítésétjelenti. Ilyen elvárások például:o - azon törvények, szabályok, amelyek az adott országban a vizsgáltfolyamatra vonatkoznak - Magyarországon, például, a személyiadatok kezelése meg kell, hogy feleljen az Adatvédelmi törvényéppen érvényes változatánako az intézmény vonatkozó irányelvei és szabályzataio azok a szerződéses megállapodások, amelyeknek teljesítését afolyamatért felelős vezető elvállaltao az adott üzleti folyamatra érvényes üzleti követelményekSzenes51COBIT components - information [quality] criteriaa COBIT alkotóelemei - információ [minőségi] kritériumokreliabilityo appropriate information for management to operate the entityo to exercise its fiduciary ando governance responsibilitiesmegbízhatóságo menedzsmentnek megfelelően megalapozott információra vanszüksége ahhoz, hogy biztosítsao - az intézmény működését,o és fel tudja vállalnio - a pénzügyio - és a (most tárgyalt) megfeleléssel kapcsolatos jelentésifelelősségetSzenesSzenes5226

COBIT 4, 4.1 I. - basics - alapokCOBIT components - resourcesa COBIT alkotóelemei - erőforrásokBesides satisfying the quality, fiduciary and security requirements for information & allassets management should also optimise the use of available IT resources:o applicationso informationo infrastructureo people.A vezetés felelőssége, hogy az erőforrások optimális kihasználása mellett biztosítsa azinformáció és minden vagyontárgyminőségét bizalmi fedezetét biztonságát.Az erőforrások:o alkalmazásoko információo infrastruktúrao emberek.mik ezek? ./.Szenes53COBIT components - resourcesa COBIT alkotóelemei - erőforrásoko Applications are the automated user systems and manual procedures thatprocess the information.o Information is the data in all their forms input, processed and output by theinformation systems, in whatever form is used by the business.o Infrastructure is the technology and facilities (hardware, operating systems,database management systems, networking, multimedia, etc., and theenvironment that houses and supports them) that enable the processing ofthe applications.o People are the personnel required to plan, organise, acquire, implement,deliver, support, monitor and evaluate the information systems andservices. They may be internal, outsourced or contracted as required.SzenesSzenes5427

COBIT 4, 4.1 I. - basics - alapokCOBIT components - resourcesa COBIT alkotóelemei - erőforrásoko Alkalmazások: az információfeldolgozó felhasználói rendszerek, és a kézieljárások.o Információ: az adat, minden formájával együtt, amit az üzleti szakterülethasznál - mindenfajta input, feldolgozási és output formájával együtt.o Infrastruktúra: az alkalmazások működését lehetővé tévő technológia, és alétesítmények - HW, operációs rendszer, adatbáziskezelő rendszer,hálózat, multimédia, stb., és az ezt körülvevő - támogató környezeto Emberek: az információs rendszerek tervezéséhez, szervezéséhez,beszerzéséhez, bevezetéséhez, támogatásához, felügyeletéhez ésértékeléséhez szükséges belső - kihelyezett - szerződéses személyzet.Szenes55COBIT components - rolesa COBIT alkotóelemei - szereplőkRoles who might profit from COBIT those who:have interest v give service v are responsibleThose who are interested in generating value from IT investments:o Those who make procurement / investment decisionso Those who decide about requirementso Those who use IT servicesThose (internals and externals) who provide IT services:o Those who manage the IT organisation and processeso Those who develop the soultions capabilities and the solutionso Those who operate the servicesThose (internals and externals) who have a control/risk responsibility:o Those with security, privacy and/or risk responsibilitieso Those performing compliance functionso Those requiring or providi

COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés (cont'd) COBIT 4.1 relationship of the basic notions - example: information security az alapfogalmak összefüggése a COBIT 4.1-ben - példa: informatikai biztonság o the 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya