Správa a řízení IS – ICT regulace BIVŠ. Osnova 1.Úvod 2.Externí standardy 3.Interní standardy 1.celopodnikové 2.útvarové 3.projektové 4.Compliance SW.

Slides:



Advertisements
Podobné prezentace
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Advertisements

Strategické řízení školy s využitím sebehodnocení školy dle modelu CAF RNDr. Hana Žufanová.
Představení společnosti Tomáš Vodenka – People manager ARTIN.
Organizační legitimita: aplikace institucionální teorie a teorie závislosti na zdrojích v rámci výzkumu NNO Magdaléna Šťovíčková SOS FHS UK, 2013/2014.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Program rozvoje Ústeckého kraje Obsah prezentace Představení PRÚK účel zpracování struktura PRÚK struktura priorit a opatření indikátory.
ITEG a.s.. Úvod  Představení firmy  Praxe  Příručka školení  Projektové řízení  Závěr  Prostor na dotazy.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Správa a řízení IS – ICT regulace BIVŠ. Osnova 1.Úvod 2.Externí standardy 3.Interní standardy 1.celopodnikové 2.útvarové 3.projektové 4.Compliance SW.
Zlepšení podmínek pro vzdělávání na středních školách Operačního programu Vzdělávání pro konkurenceschopnost Název a adresa školy: Integrovaná střední.
1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“
Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Presentation title.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Standardy kvality sociálních služeb. soubory měřitelných a ověřitelných kritérií, které popisují, jak má vypadat kvalitní sociální služba. Jsou použitelné.
Výzkum efektivnosti fungování veřejné správy Interní grant VŠP Jihlava Měrtlová - Nečadová - Kovář.
Publicita v projektech financovaných z ESF v rámci Operačního programu Lidské zdroje a zaměstnanost Seminář pro žadatele.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Městský úřad Šumperk Implementace modelu CAF
Systém správy dokumentace akreditované zkušební laboratoře Bc. Jan Randl, 4912.
Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno,
Seminář na MZ Bezpečnost zdravotních služeb - současná priorita MZ MUDr. Markéta Hellerová Ministerstvo zdravotnictví.
Číslo projektu školy CZ.1.07/1.5.00/ Číslo a název šablony klíčové aktivity III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo materiáluVY_32_INOVACE_OdP_S2_07.
Plánovací část projektu Cíl projektu - vychází z řešení z prognostické části, - odpovídá na otázku, čeho má být dosaženo? - představuje slovní popis účelu.
Digitální učební materiál Název projektu: Inovace vzdělávání na SPŠ a VOŠ PísekČíslo projektu: CZ.1.07/1.5.00/ Škola: Střední průmyslová škola a.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
1. WORKSHOP.
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
model fungování a praxe
Reporting dle Směrnice OECD Filip Gregor
Mgr. Jiří Starý Odbor strategického rozvoje
Strategické plánování
Zkušenosti s implementací vybraných požadavků ISO 9001:2015
Vnitropodniková komunikace ve vybraném subjektu
Vysoká škola technická a ekonomická v Českých Budějovicích
VYHODNOCENÍ PŘEDCHOZÍCH VÝZEV
Správa a řízení IS – ICT regulace
Číslo projektu CZ.1.07/1.5.00/ Číslo materiálu
Veřejná správa, Regionální rozvoj Litoměřice Jan Jůna 2012
Rozhodování 1.
Společenská odpovědnost ve školství
Úloha bodového systému
Téma 11: Finanční plánování
Kompetenční modely Mgr. Andrea Drdáková.
Společenská odpovědnost organizací Město Třebíč 21. září 2017
Oblast: Dobré životní podmínky zvířat
Management Přednáška 7, 8: Plánování.
Vykazování postupu nebo stavu
Obchodní plán projektu
Komunikační strategie Kódování
Základy pracovního práva a sociálního zabezpečení v ES
Projekt realizace referenčního rozhraní
GDPR aneb to chceme.
MODERNIZACE ODBORNÉHO VZDĚLÁVÁNÍ
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
Digitální učební materiál
GDPR: ochrana osobních údajů
METODICKÁ PODPORA ŘÍZENÍ KVALITY V ÚZEMNÍCH SAMOSPRÁVNÝCH CELCÍCH
Technická Evidence Zdravotnických Prostředků 1
Centralizované rozvojové projekty 2017
Návrh aktualizace rámce COSO vymezení ŘKS
Praha – 31. květen 2011 Petr Šobotník – Prezident KAČR
Kulatý stůl Rozvoj spolupráce SOŠ a členských firem HK
Hodnocení korupčních rizik (CIA) Oddělení boje s korupcí Praha, 2018
Projektové řízení výstavby podle PMBOK 2. Řízení rozsahu
Seminář AMG, Písek 2018 GDPR.
Život bez střeva , Praha.
Martin VLASTNÍK, vedoucí oddělení politiky nerostných surovin
Současné aktivity v oblasti České podnikatelské rady pro udržitelný rozvoj a Světové podnikatelské rady pro udržitelný rozvoj.
Hodnocení, realizace a kontrolní etapa
Transkript prezentace:

Správa a řízení IS – ICT regulace BIVŠ

Osnova 1.Úvod 2.Externí standardy 3.Interní standardy 1.celopodnikové 2.útvarové 3.projektové 4.Compliance SW

1. Úvod Standardy/Regulace jsou přijaté zásady nebo zavedené vzory pro činnosti, procesy, chování, zařízení; obvykle definují povinné požadavky pro určitý aspekt řízení IS/IT Jsou základem pro porovnávání, zlepšování, hodnocení Pomáhají zavést a udržet určitou úroveň kvality a jednotnosti IT standardy jsou obvykle vnímány velmi negativně (vyžadují náklady a omezují kreativitu, flexibilitu)

Výhody Regulace: – Podporují zavádění a dosahování manažerských cílů – Podporují rozšiřování IS/IT – Slouží jako míra pro hodnocení kvality – Podporují komunikaci mezi různými stranami (stakaholdery) – Zlepšují účelnost a účinnost IS/IT

Nevýhody Regulace: Nesmí být neměnné Současné standardy se mohou stát překážkou pro přijímání jiných standardů Omezují uživatele – obtížný přechod na jiné standardy Jsou příliš obecné a pomalé Je potřeba kontrolovat, jak se dodržují

Klasifikace standardů 1 Aspekt původu vzniku: – reaktivní standard: reakce na problém, situaci – progresivní standard: vytváří prostředí pro budoucí aktivity – retrospektivní standard: vytváří se na základě analýzy historických dat a zklušenosti Aspekt platnosti: – standardy “de jure – standardy “de facto Aspekt formy: – Omezení: – Omezení určité činnosti, aspektu (např. rozpočet) – Procedura: – Jasná specifikace pořadí, časování činností v rámci procesu (např. formální hodnocení zaměstnanců)

Classification of standards 2 – Návody (guidelines) – Technické specifikace (protokoloy) sada pravidel určujících formát pro komunikaci mezi systémy (e.g. HTTP) – Methodologie: systém principů, pravidel a postupů pro určitou oblast činností (PMBOK in project management, accelerated methodology ASAP) – “Best practice”: nejlepší poznaný a ověřený postup plnění úkolů (Cobit, ITIL). – Model: vzor, rámec prezentace složitého problému (procesní model) – Projekt: sada činností vedoucích je splnění cílu – Politika : popsání směru a postoje k určitým aspektům řízení IT (např. politika pro využívání internetu, mailu mobilních zařízení,….

Klasifikace standardů 3 Aspekt předmětu: – IT/IS řídící standardy – Auditní standardy – Standardy kvality – Standardy bezpečnosti – Komunikační standardy,….. Aspekt rozsahu platnosti: – Interní standardy Celopodnikové Útvarové Projektové – Externí standardy mezinárosní Regionální Národní Průmyslové Místní/lokální

Formální požadavky 1.Obecný popis (seznam standardů, pravidla identifikace – číslování může označovat hierarchii, platnost, předmět) 2.Dokumentace každého standardu (číslo, jméno, kategorie, odkazy, účel a cíl, rozsah, definice, politiky, praktiky, odpovědnosti, datum vydání, datum revize, datum ukončení platnosti, odkaz na odpovědnou osobu, atd.)

Postup zavádění standardu 1.Porozumění internímu a externímu prostředí 2.Studium existující business a IT strategie (IT Governance) 3.Studium existujících standardů (externích, interních) 4.Provedení analýzy 1.Formalní aspekty (číslování, unifikovaná strukturaed structure, revize) 2.Obsahové aspekty (platné standardy vs. existujícíc standardy) 5.Výsledky: 1.Účelné a účinném standardy – hodnocení jejich dodržování 2.Neefektivní nebo chybějící standardy vytvoření nových nebo změna 6.Zahájení akceptační procedury 7.Školení a komunikace 8.Kontrola dodržování

2. External standards ( IT Governance model - Integrated Framework)

Sarbanes Oxley Act The Public Company Accounting Reform and Investor Protection Act),SOX or Sarbox; je federálním zákonem v USA, podepsaný v červenci, 2002 Odpověď na řadu korporátních a účetních skandálů (Enron, Tyco International, Peregrine Systems and WorldCom.) Pokles důvěry týkající se účetních reportovacích praktik Není přímo zaměřen na IS/IT, ale vazba mezi nimi je stejná, jako vazba mezi správností finančních reportů a správností zpracování na IT Sekce 302: – Korporátní odpovědnost za finanční reporty – V platnosti podzim 2003 – Požaduje, aby CFO a CEO osobně provedli prověření a atestaci (potvrzení) správnosti finančních výsledků Sekce 404: – Hodnocení interních kontrol – Požaduje, aby auditoři certifikovali IT kontroly a procesy, které organizace využívá pro zajištění správnosti finančních výsledků Sekce 409: – Hlášení událostí v reálném čase (Real-Time Issuer Disclosures), nejobtížnější část pro zajištění souladu – Vyžaduje reporting v reálném čase o událostech, které mohou negativně ovlivnit finanční výsledky. Vzhledem k významu časové reakce, vyžaduje splnění této části zavést významná opatření v oblastí řízení infrastruktury a dat.

COSO „Internal control-Integrated Framework“ definovaný výborem Committee of Sponsoring Organizations (COSO). Rámec vnitřní kontroly je soubor obecných „best practice“ principů, který slouží jako vzor pro optimální implementaci kontrol a zároveň jako nástroj hodnocení současného stavu kontrolního prostředí. Původní COSO rámec, 1992, reakce privátního sektoru na tehdejší události v oblasti korporátního finančního reportingu. Vnitřní kontrola -jako proces ovlivňovaný představenstvem, managementem a ostatními zaměstnanci, který by měl poskytovat přiměřené ujištění v otázce dosažení cílů, kterými jsou – efektivní fungování společnosti, – spolehlivost finančního reportingu a soulad – s vnitřními a vnějšími regulatorními normami Těchto cílů by mělo být dosaženo prostřednictvím aplikace procesu kontroly tvořeného pěti prvky: – obecným naladěním kontrolního prostředí, – hodnocením rizik, kontrolní činností, – pravidly pro nakládání s informacemi – a komunikaci a monitoringem vnitřního kontrolního prostředí.

COSO – aktualizace 2013 Rámec je více konkrétní Nově stanoveno 17 principů detailně charakterizujících jednotlivé výše uvedené prvky efektivní kontroly. Každý z těchto principů je navíc doprovázen tzv. „points of focus“ – body popisujícími konkrétní způsoby, jakými dosáhnout souladu s principy jednotlivých prvků kontroly. Posílena byla oblast reportingu – dříve jen reportin externí finanční, nyní reporting nefinanční, a to interní i externí

CMM Model zralosti původně vytvořen pro vývoj SW Úrovně zralosti: neexistující, počáteční, opakujícíc se, definovaná, řízená a optimalizovaná Formální použité vychází z CMMI (Capability Maturity Model Integrated), CMMI Development, CMMI Services, CMMI Acquisition) – Modely zralosti – KPA – Key Process Areas, 22 ve 4 Process Area Categories (Process Management, Project Management, Engineering, Support)

Process Area CategoryKey Process Areas Process Management  OID - Organizational Innovation and Deployment  OPD - Organizational Process Definition  OPF - Organizational Process Focus  OPP - Organizational Process Performance  OT - Organizational Training Project Management  PP - Project Planning  PMC - Project Monitoring and Control  SAM - Supplier Agreement Management  IPM - Integrated Project Management  RSKM - Risk Management  QPM - Quantitative Project Management Engineering  REQM - Requirements Management  RD - Requirements Development  TS - Technical Solution  PI - Product Integration  VER - Verification  VAL - Validation Support  CM - Configuration Management  PPQA - Process and Product Quality Assurance  MA - Measurement and Analysis  DAR - Decision Analysis and Resolution  CAR - Causal Analysis and Resolution

Maturity Level 2 CM - Configuration Management MA - Measurement and Analysis PMC - Project Monitoring and Control PP - Project Planning PPQA - Process and Product Quality Assurance REQM - Requirements Management SAM - Supplier Agreement Management Maturity Level 3 DAR - Decision Analysis and Resolution IPM - Integrated Project Management +IPPD OPD - Organizational Process Definition +IPPD OPF - Organizational Process Focus OT - Organizational Training PI - Product Integration RD - Requirements Development RSKM - Risk Management TS - Technical Solution VAL - Validation VER - Verification Maturity Level 4QPM - Quantitative Project Management OPP - Organizational Process Performance Maturity Level 5CAR - Causal Analysis and Resolution OID - Organizational Innovation and Deployment Kombinace klíčových oblastí procesů jsou přiřazeny jednotlivým úrovním zralosti Např. některé státní organizace vyžadují, aby oblast vývoje SW byla na třetí úrovni zralosti podle tohoto standardu

PMI The Project Management Institute (PMI), založen 1969, publikuje standardy opro oblast řízení projektů, poskytuje certifikace pro projektové manažery Nejznámější tandard Project Management Body of Knowledge (PMBOK) návod

AS 8018 ITIL – výchozí dokument pro následující regulace Nekompatibilita mezi standardy: – Britský standard Standard for IT Service Management: BS :2002, BS :2003 – Australian Number: AS ,AS – „EU Number“: ISO/IEC ISO/IEC – první mezinárodní standard pro ITSM (2005, revize v roce 2011) – Scope – Terms & Definitions – Planning and Implementing Service Management – Requirements for a Management System – Planning & Implementing New or Changed Services – Service Delivery Processes – Relationship Processes – Control Processes – Resolution Processes – Release Process

ISO 9000 Rodina standardů ISO 9000 pro systém řízení kvality – ČSN EN ISO 9001:2009 Systémy managementu jakosti – Požadavky – ČSN EN ISO 9004:2002, Systémy managementu jakosti - Směrnice pro zlepšování výkonnosti – 2015 revize normy 9001 Příklady požadavků normy: – Sadu postupů, které pokrývají všechny klíčové procesy v dané organizaci; – Monitoring procesů zajišťující efektivnost; – Udržování adekvátních záznamů; – Kontrola výstupů procesů a přijímání opatření na odstranění chyb; – Pravidelné kontroly efektivnosti procesů a celého systému, – Zavedení opatření na průběžné zlepšování

Six Sigma Cíl - identifikovat a odstranit příčiny defektů a chyb v procesech výroby a obchodu, k čemuž používá metodiky DMAIC (jedna z metodik Six Sigma, zaměřená proces řízení, zkratka slov: Define (definice), Measure (měření), Analyze (analýza), Improve (zlepšení), Control (řízení)

Varianty Six Sigma

3. Interní standardy Na základě mezinárodních externím standardů je možné stanovit sadu interních standardů Zahrnují specifika odvětví, kulturu organizace, strategii, atd. Druhy IS/IT interních standardů: Celopodnikové interní standardy: platné pro celou organizaci Útvarové standardy: platné uvnitř útvaru IT Projektové standardy: platné pro určitý projekt IS/IT

3.1 Celopodnikové standardy Vhodné oblasti: – Pravidla využívání internetu – Pravidla využívání u – Využívání e-leraningu – Bezpečnost IT – Licenční politika a copyright – Zálohování a obnova – Pravidla vývoje koncovými uživateli – Rámec pro reporting projektů – Archivace dokumentů – Pravidla vytváření webů – Ochrana dušečvního vlastnictví – Využívání sociálních sítí – Využívání mobilních zařízení – Využívání cloudových služeb, …..

Příklady siti/ siti/

3.2 Interní útvarové standardy (1) Standardy pro komunikaci ( výbor pro plánování IT, informační centrum, on-line help, hlášení poruch, hlášení změn,….. Standardy IT služeb ( garantovaná doba údržby, doba odezvy, výpadky systémů, cena za člověkohodiny práce,….) Personální standardy (standardy pro přijímání nových zaměstnanců, školení, pravidelné hodnocení, přesčasové hodiny, pružná pracovní doba,….) Standardy pro plánování (odpovědné role, postupy sestavování plánu, povinnost ukládat do systému údaje, postupy pro odsouhlasení plánu, postupy pro změny plánu, Interní standardy kontrolních systémů (documenty COBIT, SAC, COSO, SAS94; popis interního kontrolního systému, komponenty, klasifikace, rizika,…)

Interní útvarové standardy (2) Standardy pro dokumentaci (systémová, uživatelská, procesní, organizační struktura, slovník dat, metadata….) Finanční standardy (druhy rozpočtů, položky, postup pro tvorbu rozpočtu) Standardy pro software (souvisí s kompatibilitou a ekonomikou: licenční politika) Atd.

3.3 Interní projektové standardy Komunikační Dokumentační SDLC standard Standardy pro testování Standardy pro řízením změn Standardy pro řízení konfigurace Standardy pro řízení rizika Auditorské standardy Standardy pro integraci Atd.

4 Řízení souladu Počet standardů a regulací roste - CIO a CEO nejsou schopni uhlídat soulad Nové role: Chief Compliance Officer (CCO) – Odpovědnost: Mít přehled a dohlížet na souladem s regulatorními požadavky v organizaci – Znát regulace – Seznamovat s nimi zaměstnance – Dohlížet nad jejich dodržováním – Stanovení postihů za jejich nedodržování SW nástroje: roste trh se systémy podporujícími soulad s regulacemi Příklad: CMO Compliance management/ management/

Compliance management software Supports compliance professionals with the documentation, workflow, reporting and visualization of controls objectives, controls and associated risks, surveys and self-assessments, attestation, testing, and remediation At a minimum includes financial reporting compliance (SOX compliance), and also support other types of compliance (ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner requirements and compliance with internal policies) Regulatory change management supports the ability to respond to changes in regulations – When a rule is changed or a new one emerges, it enables a business impact analysis and supports the management of the change to related controls, risk assessments and policies. Example CMO Compliance

Otázky: Jmenujte různé aspekty členění standardů, uveďte ke každé kategorii příklad z oblasti IS/IT Co to je SOX? Popište jeho cíl a dopad na IT Diskutujte výhody a nevýhody stnadardizace v oblasti řízení IT. Jaké jsou hlavní etapy při zavádění standardů do praxe? Dejte příklad a stručně popište obsah tří mezinárodních norem využitelných pro oblast řízení IS/IT Uveďte příklady alespoň pěti interních útvarových standardů (útvar IS/IT) a popište jejich cíle