Správa a řízení IS – ICT regulace

Slides:



Advertisements
Podobné prezentace
Projektové řízení Modul č.1.
Advertisements

managementu znalostí podle
HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl
ŘÍZENÍ LIDSKÝCH ZDROJŮ Vzdělávání, kvalifikace, rozvoj
13. Koordinace projektů Realizace změn Koordinace projektů
METODOLOGIE PROJEKTOVÁNÍ
ŘÍZENÍ LIDSKÝCH ZDROJŮ a personální činnosti
Audit administrativních činností
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Facility management ČSN EN
Audit IT procesů ve FNOL
Daniel Kardoš Ing. Daniel Kardoš
Lenka Fialová Martina Procházková Ondřej Soukup Martin Valenta Cyril Vojáček 1.
Management kontinuity činností organizace
3. Životní cyklus a procesy projektu
Auditorské postupy Činnosti před uzavřením smlouvy
Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
ITIL Information Technology Infrastructure Library.
Ekonomika informačních systémů
Aplikace VT v hospodářské praxi řízení podnikového IT/ICT Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
E M A S - Systém environmentálního řízení a auditu Zavádění EMAS na MŽP Porada OVSS
Marie Borecká, Kristina Ficencová 6. kruh, 1. ročník VSRR
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Zavádění a údržba informačních systémů
Under-Licensing Proč se zabývat správou softwarových licencí? (softwarovým managementem)
Zkušenosti ze zavedení systému řízení kvality informačních služeb
Aktivita č. 6 Návrh a zavedení systému řízení kvality Workshop Výsledky analytického šetření.
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Zásady řešení informační bezpečnosti
Evropské projekty & management VÝCHODISKA:  Realita vstupu do EU, rozvoj regionů, potřeba posílení dovedností zaměstnanců a organizací, možnost změny.
IBM Global Services ČR © 2006 IBM Corporation April, 2006 E-stát a EU Pavel Hrdlička.
Využití procesního řízení při správě nemocničního informačního systému ve VFN Všeobecná fakultní nemocnice Jiří Haase 20. května 2003.
Ivo Novotný Jak vybrat dodavatele vzdělávání JAK SI SPRÁVNĚ VYBRAT... Dodavatele vzdělávání.
PLÁN DLOUHODOBÉ OCHRANY DIGITÁLNÍCH DOKUMENTŮ V PRAXI Mgr. Andrea Fojtu, Mgr. Eliška Pavlásková ÚVT UK, ÚISK UK
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
© Ing. V. Šebek, CSc. Řízení projektů a podnikových procesů 1/9 9. Tvorba modelů v procesně řízeném podniku  Způsoby modelování  Základní postupy a role.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Ing. Daniel Kardoš Systém ManagementDesk – nástroj řízení kvality a bezpečnosti podle ISO 9 001, ISO , ISO , ISO a ISO Ing.
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
1 Řízení implementace IS a SS* Šablony. 2 Vzorové postupy.
6. Koncepce řízení projektů
2. Životní cyklus a procesy projektu
Projektový management Certifikace a normy Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta VŠB-TU.
VZDĚLÁVÁNÍ PRACOVNÍKŮ. Označení materiálu : VY_32_INOVACE_EKO_1133Ročník:2. Vzdělávací obor: Ekonomika podniku Tematický okruh: Personální činnosti Téma:
Moderní personalistika DS 2009/ Hlavní úkoly moderní personalistiky   Zařazení správného člověka na správné místo (a ve správný čas)
5. PROJEKCE MODERNÍCH ORGANIZAČNÍCH A ŘÍDÍCÍCH PODNIKOVÝCH STRUKTUR Vysoká škola technická a ekonomická v Českých Budějovicích Institute of Technology.
Personální plán pro podnikatelský plán
BSC 1992 Robert S. Kaplan a David P. Norton článek navrhující měření výkonnosti organizací – BSC – Vyrovnaný přehled výsledků kniha The Balanced.
Důvody sestavování podnikatelského piánu Struktura podnikatelského plánu poskytuje podnikateli užitečný kontrolní prostředek pro zpracování informací.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
PRINCeGON – metodika řízení projektů Ministerstva vnitra
Zlepšení podmínek pro vzdělávání na středních školách Operačního programu Vzdělávání pro konkurenceschopnost Název a adresa školy: Integrovaná střední.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Projektové procesy.  Podrobné procesní modely (PMBOK)  Zjednodušený procesní model  COBIT.
Správa a řízení IS – ICT regulace BIVŠ. Osnova 1.Úvod 2.Externí standardy 3.Interní standardy 1.celopodnikové 2.útvarové 3.projektové 4.Compliance SW.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Aktuálně z řídicího a kontrolního systému Setkání auditorů průmyslu Ing. Petr Kheil, úsek interní audit, Česká spořitelna, a.s. Český institut.
Správa a řízení IS – ICT regulace BIVŠ. Osnova 1.Úvod 2.Externí standardy 3.Interní standardy 1.celopodnikové 2.útvarové 3.projektové 4.Compliance SW.
IS jako nástroj moderního personálního managementu Vít Červinka
Integrated and Planned Enforcement of Environmental Law Phare Twinning Project CZ03/IB/EN/01 1 EMS jako součást Integrovaného povolování a inspekce Rob.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Hodnocení řídícího a kontrolního systému interním auditem
Projekt KA3: ZPRACOVÁNÍ METODIK TVORBY NÁSTROJŮ PRO IMPLEMENTACI NÁRODNÍ STRATEGIE ELEKTRONICKÉHO ZDRAVOTNICTVÍ (NSEZ)
Transkript prezentace:

Správa a řízení IS – ICT regulace BIVŠ

Osnova Úvod Externí standardy Interní standardy Compliance SW celopodnikové útvarové projektové Compliance SW

1. Úvod Standardy/Regulace jsou přijaté zásady nebo zavedené vzory pro činnosti, procesy, chování, zařízení; obvykle definují povinné požadavky pro určitý aspekt řízení IS/IT Jsou základem pro porovnávání, zlepšování, hodnocení Pomáhají zavést a udržet určitou úroveň kvality a jednotnosti IT standardy jsou obvykle vnímány velmi negativně (vyžadují náklady a omezují kreativitu, flexibilitu)

Výhody Regulace: Podporují zavádění a dosahování manažerských cílů Podporují rozšiřování IS/IT Slouží jako míra pro hodnocení kvality Podporují komunikaci mezi různými stranami (stakaholdery) Zlepšují účelnost a účinnost IS/IT

Nevýhody Regulace: Nesmí být neměnné Současné standardy se mohou stát překážkou pro přijímání jiných standardů Omezují uživatele – obtížný přechod na jiné standardy Jsou příliš obecné a pomalé Je potřeba kontrolovat, jak se dodržují

Klasifikace standardů 1 Aspekt původu vzniku: reaktivní standard: reakce na problém, situaci progresivní standard: vytváří prostředí pro budoucí aktivity retrospektivní standard: vytváří se na základě analýzy historických dat a zklušenosti Aspekt platnosti: standardy “de jure standardy “de facto Aspekt formy: Omezení: Omezení určité činnosti, aspektu (např. rozpočet) Procedura: Jasná specifikace pořadí, časování činností v rámci procesu (např. formální hodnocení zaměstnanců)

Klasifikace standardů (pokr.) Návody (guidelines) Technické specifikace (protokoloy) sada pravidel určujících formát pro komunikaci mezi systémy (e.g. HTTP) Methodologie: systém principů, pravidel a postupů pro určitou oblast činností (PMBOK in project management, accelerated methodology ASAP) “Best practice”: nejlepší poznaný a ověřený postup plnění úkolů (Cobit, ITIL). Model: vzor, rámec prezentace složitého problému (procesní model) Projekt: sada činností vedoucích je splnění cílu Politika : popsání směru a postoje k určitým aspektům řízení IT (např. politika pro využívání internetu, mailu mobilních zařízení,….

Klasifikace standardů 3 Aspekt předmětu: IT/IS řídící standardy Auditní standardy Standardy kvality Standardy bezpečnosti Komunikační standardy,….. Aspekt rozsahu platnosti: Interní standardy Celopodnikové Útvarové Projektové Externí standardy mezinárosní Regionální Národní Průmyslové Místní/lokální

Formální požadavky Obecný popis (seznam standardů, pravidla identifikace – číslování může označovat hierarchii, platnost, předmět) Dokumentace každého standardu (číslo, jméno, kategorie, odkazy, účel a cíl, rozsah, definice, politiky, praktiky, odpovědnosti, datum vydání, datum revize, datum ukončení platnosti, odkaz na odpovědnou osobu, atd.)

Postup zavádění standardu Porozumění internímu a externímu prostředí Studium existující business a IT strategie (IT Governance) Studium existujících standardů (externích, interních) Provedení analýzy Formalní aspekty (číslování, unifikovaná strukturaed structure, revize) Obsahové aspekty (platné standardy vs. existujícíc standardy) Výsledky: Účelné a účinném standardy – hodnocení jejich dodržování Neefektivní nebo chybějící standardy vytvoření nových nebo změna Zahájení akceptační procedury Školení a komunikace Kontrola dodržování

2. External standards ( IT Governance model - Integrated Framework) ISO 20000

3. Interní standardy Na základě mezinárodních externím standardů je možné stanovit sadu interních standardů Zahrnují specifika odvětví, kulturu organizace, strategii, atd. Druhy IS/IT interních standardů: Celopodnikové interní standardy: platné pro celou organizaci Útvarové standardy: platné uvnitř útvaru IT Projektové standardy: platné pro určitý projekt IS/IT

3.1 Celopodnikové standardy Vhodné oblasti: Pravidla využívání internetu Pravidla využívání e-mailu Využívání e-leraningu Bezpečnost IT Licenční politika a copyright Zálohování a obnova Pravidla vývoje koncovými uživateli Rámec pro reporting projektů Archivace dokumentů Pravidla vytváření webů Ochrana dušečvního vlastnictví Využívání sociálních sítí Využívání mobilních zařízení Využívání cloudových služeb, …..

Příklady http://its.virginia.edu/policy/ http://vc.vse.cz/o-centru/pravidla-pro-praci-v-siti/

3.2 Interní útvarové standardy (1) Standardy pro komunikaci ( výbor pro plánování IT, informační centrum, on-line help, hlášení poruch, hlášení změn,….. Standardy IT služeb ( garantovaná doba údržby, doba odezvy, výpadky systémů, cena za člověkohodiny práce,….) Personální standardy (standardy pro přijímání nových zaměstnanců, školení, pravidelné hodnocení, přesčasové hodiny, pružná pracovní doba,….) Standardy pro plánování (odpovědné role, postupy sestavování plánu, povinnost ukládat do systému údaje, postupy pro odsouhlasení plánu, postupy pro změny plánu, Interní standardy kontrolních systémů (documenty COBIT, SAC, COSO, SAS94; popis interního kontrolního systému, komponenty, klasifikace, rizika,…)

Interní útvarové standardy (2) Standardy pro dokumentaci (systémová, uživatelská, procesní, organizační struktura, slovník dat, metadata….) Finanční standardy (druhy rozpočtů, položky, postup pro tvorbu rozpočtu) Standardy pro software (souvisí s kompatibilitou a ekonomikou: licenční politika) Atd.

3.3 Interní projektové standardy Komunikační Dokumentační SDLC standard Standardy pro testování Standardy pro řízením změn Standardy pro řízení konfigurace Standardy pro řízení rizika Auditorské standardy Standardy pro integraci Atd.

4 Řízení souladu Počet standardů a regulací roste - CIO a CEO nejsou schopni uhlídat soulad Nové role: Chief Compliance Officer (CCO) Odpovědnost: Mít přehled a dohlížet na souladem s regulatorními požadavky v organizaci Znát regulace Seznamovat s nimi zaměstnance Dohlížet nad jejich dodržováním Stanovení postihů za jejich nedodržování SW nástroje: roste trh se systémy podporujícími soulad s regulacemi Příklad: CMO Compliance https://cmo-software.com/solutions/compliance-management/

Compliance management software Supports compliance professionals with the documentation, workflow, reporting and visualization of controls objectives, controls and associated risks, surveys and self-assessments, attestation, testing, and remediation At a minimum includes financial reporting compliance (SOX compliance), and also support other types of compliance (ISO 9000, Payment Card Industry, industry-specific regulations, SLAs, trading partner requirements and compliance with internal policies) Regulatory change management supports the ability to respond to changes in regulations When a rule is changed or a new one emerges, it enables a business impact analysis and supports the management of the change to related controls, risk assessments and policies. Example CMO Compliance https://cmo-software.com/solutions/compliance-management/

Otázky: Jmenujte různé aspekty členění standardů, uveďte ke každé kategorii příklad z oblasti IS/IT Co to je SOX? Popište jeho cíl a dopad na IT Diskutujte výhody a nevýhody stnadardizace v oblasti řízení IT. Jaké jsou hlavní etapy při zavádění standardů do praxe? Dejte příklad a stručně popište obsah tří mezinárodních norem využitelných pro oblast řízení IS/IT Uveďte příklady alespoň pěti interních útvarových standardů (útvar IS/IT) a popište jejich cíle