HOPET Informatika

Név:
Jelszó:

2020. november 28. szombat, Stefánia

„Informatika az üzlet szolgálatában!”


COBIT tartalmi összefoglaló

Cobit

Az ISACA, az informatikai auditorok nemzetközi szervezete az informatikai kockázatok hatékony kezelésére dolgozta ki a COBIT (Control Objectives for Information and related Technologies) elnevezésű módszertanát.
A módszertan elsősorban az üzleti irányítás vezetőinek ad segítséget ahhoz, hogy felmérhessék és elfogadható szintre csökkenthessék azokat a kockázatokat, amelyeket az informatika üzleti folyamatokba épülése jelent. Iránymutatásokat tartalmaz egy kontroll rendszer kialakításához és annak a folyamatos menedzseléséhez.
A COBIT módszertana az információtechnológia alkalmazás folyamataira nemzetközileg is egységes meghatározást ad. A módszertan alkalmazóinak ezen belül kell rögzíteniük a folyamatokhoz tartozó kontrollok célkitűzéseit, majd ezeket meg kell valósítaniuk.
Ennek érdekében három szintű csoportosítást alkalmaz:

  • területek (4 db)

  • folyamatok (34 db)

  • folyamatokon belüli tevékenységek (238 db)


A COBIT elvárások

  • Hatékonyság
  • Az információk az üzleti folyamatokra vonatkozzanak, valamint megfelelő időben, helyesen, konzisztensen és használhatóan történjek előállításuk.
  • Hatásfok
  • Az információszolgáltatás során az erőforrások felhasználása optimálisan történjen.
  • Bizalmasság
  • Az érzékeny információk védve legyenek az illetéktelen hozzáféréstől.
  • Integritás
  • Az adatok pontossága és teljessége megfeleljen az üzleti értékkészletnek és feltételezéseknek.
  • Rendelkezésre állás
  • Az információ akkor álljon rendelkezésre, amikor az üzleti folyamatnak arra szüksége van.
  • Megfelelés
  • Az informatikai szolgáltatások feleljenek meg a törvényeknek, szabályozásoknak és szerződéses feltételeknek.
  • Megbízhatóság
  • Az információ reprodukálható és hiteles legyen.
  • Minőség
  • Az információ előállítása és a szolgáltatások nyújtása megfelelő minőségben történjen.
  • Költség
  • A szolgáltatás nyújtása az előre meghatározott költségkereten belül történjen.

A COBIT kontroll területek

  1. Tervezés és szervezet
    • PO1 - IT stratégiai terv meghatározása
    • Olyan tervezési tevékenység, amely az informatikai lehetőségek és az üzleti célok közötti optimális egyensúly kialakítását és fenntartását biztosítja.

    • PO2 - Információ architektúra meghatározása
    • Olyan információs architektúrát kell meghatározni és olyan megfelelő rendszerek használatát kell biztosítani a szervezet számára, amely lehetővé teszi az üzleti tevékenység IT támogatottságának megvalósítását és végzését.

    • PO3 - Technológiai fejlődési irány meghatározása
    • A technológiai fejlődési irány meghatározása során az üzleti stratégiából kell kiindulni, figyelembe véve a technikai lehetőségeket és kényszerűségeket.

    • PO4 - IT szervezet és kapcsolatainak meghatározása
    • Az IT szervezet kialakításánál, szervezetbe illesztésénél az üzleti tevékenységet kell elsődlegesnek tekinteni, ehhez alkalmazkodó számú és szintű szerepkört és felelősségi kört kell meghatározni. Figyelemmel kell lenni arra, hogy az IT szervezet létrehozása, a szervezeten belüli és kívüli kommunikáció meghatározása minden esetben a stratégia előmozdításának, közvetlen irányításának és kielégítő ellenőrzöttségének érdekében történjen.

    • PO5 - IT beruházások irányítása
    • Az IT beruházások irányítása során kell gondoskodni a pénzügyi kiadások megalapozottságáról és ellenőrzöttségéről.

    • PO6 - A menedzsment célok és irányok kommunikálása
    • Biztosítani kell az IT rendszerek üzemeltető és fejlesztő személyzetének megfelelő szintű tájékoztatását a menedzsment céljairól.

    • PO7 - Emberi erőforrás gazdálkodás
    • Olyan alkalmas motivációs és ráhatási rendszer kell kialakítani és fenntartani, amely biztosítja az IT eljárásokban való személyes közreműködés maximális eredményességét.

    • PO8 - Külső követelményeknek való megfelelés biztosítása
    • Biztosítani kell a legális, szabályos és szerződésszerű kötelezettségek teljesítését, ezáltal a külső követelményeknek való megfelelést.

    • PO9 - Kockázatok felmérése
    • A kockázatok felmérése támogatja a menedzsment döntéseit az IT célok megvalósításával és a fenyegetésekre adott válaszokkal kapcsolatban.

    • PO10 - Projekt irányítás
    • A projekt irányítás feladata a projekt időtartama alatt a projekt működésének felügyelete, a prioritások meghatározása, az ütemezésnek megfelelő időben és a jóváhagyott költségvetési kereteken belüli működés és az átlátható változáskezelés biztosítása.

    • PO11 - Minőség menedzselése
    • A minőség menedzselés alkalmazásával biztosítható az egyértelműen meghatározott minőségi követelményeknek, a minőségi szabályozásnak, valamint az IT-t felhasználók elvárásainak történő megfelelés.

  2. Beszerzés, fejlesztés, implementálás
    • AI1 - Tervezés, döntés
    • A felhasználói igények kielégítésére szolgáló fejlesztések/beszerzések elindítása előtt olyan tervet kell készíteni, amely biztosítja a szervezet stratégiai céljainak való megfelelést, átlátható és megfelelő funkcionalitás és költséggazdálkodás mellett figyelembe veszi a különböző biztonsági és ellenőrzési szempontokat is. Megfelelően előkészített tervek alapján a menedzsment minden szempontot figyelembe véve tud dönteni a fejlesztés/beszerzés elindíthatóságáról.

    • AI2 - Felhasználói szoftver beszerzés és karbantartás
    • Felhasználói szoftver beszerzése/karbantartása során kerül sor az adott szervezet üzleti tevékenységét, vagy saját működését támogató szoftver, illetve az aktuális szabályzóknak megfelelő új szoftververzió beszerzésére és üzembe helyezésére.

    • AI3 - Technológiai architektúra (hardver, szoftver, orgver) beszerzés és karbantartás
    • Technológiai architektúra beszerzésén és karbantartásán azoknak az eszközöknek a beszerzése és karbantartása értendő, amelyeken az üzleti applikációk működnek.

    • AI4 - IT eljárások, ügyrendek fejlesztése és karbantartása
    • Az alkalmazott IT eljárások és ügyrendek biztosítják, hogy az előre meghatározott szolgáltatási szintnek megfelelő szintet nyújtsák a használt applikációk és a felhasználók által végzett operatív tevékenységek. Gondoskodni kell arról, hogy a mindenkori szabályzóknak és a vállalt szolgáltatási szintnek megfelelőek legyenek az ügyrendi, a dokumentációs és oktatási anyagok.

    • AI5 - Rendszerek installálása és átvétele
    • Rendszerek installálásán és átvételén az új szoftververziók telepítését, a bennük lévő megoldások, a tervezettnek megfelelő elvárások szempontjai alapján történő ellenőrzését és jóváhagyását értjük.

    • AI6 - Változáskezelés
    • A változáskezelésen egy olyan menedzselési rendszert értünk, amely a definiálatlan működésű, ellenőrizetlen változatok és hibajelenségek valószínűségének minimalizálására alkalmas, továbbá lehetővé teszi az egyértelmű elemzést, implementálást és változás követést a teljes IT infrastruktúrában és eszközrendszerben.

  3. Üzemeltetés, szolgáltatások, biztonság
    • DS1 - Szolgáltatási típusok és szintek meghatározása
    • A szolgáltatási típusok és szintek megadásával olyan teljesítmény kritériumokat lehet meghatározni, amelyek lehetővé teszik a szolgáltatás minőségének és mennyiségének meghatározását, ezáltal mérhetővé a szolgáltatás színvonalát.

    • DS2 - Szolgáltatók menedzselése
    • Biztosítani kell, hogy a külső szolgáltatók teljesítése folyamatosan a megkötött szerződések szerint elvárható szintű legyen. Ezáltal fenntartható a szolgáltató felé egyértelműen meghatározott szolgáltatási igények, teljesítmény követelmények, valamint a szolgáltató által nyújtott lehetőségek szinkronja.

    • DS3 - Teljesítmény és kapacitás menedzselés
    • A teljesítmény és kapacitásadatok elemzése és folyamatos figyelemmel kísérése, valamint az eszköz és terhelési igények esetleges átméretezése révén biztosítható a szükséges kapacitások optimális rendelkezésre állása.

    • DS4 - A szolgáltatások folytonosságának biztosítása
    • Üzletmenet folytonossági tervek készítésével, rendszeres ellenőrzésével biztosítható, hogy a szerződésekben meghatározott igényeknek megfelelő legyen a rendszerek működése.

    • DS5 - Rendszerek biztonságának biztosítása
    • A rendszerek megfelelő szintű biztonsága fontos eleme az információ bizalmasság megőrzésének. Gondoskodni kell a rendszeren belüli információk jogosulatlan felhasználásának, nyilvánosságra kerülésének, módosításának, valamint a megsemmisülésnek vagy az elveszésének a megakadályozásáról.

    • DS6 - Költségelemzés és –tartalékolás
    • Olyan költség követési rend kialakítására szükséges, amely megfelelő szintű, egyértelmű követést és visszacsatolást tesz lehetővé a szolgáltatások tényleges, kalkulált és allokált költségei tekintetében.

    • DS7 - Felhasználók oktatása és továbbképzése
    • A felhasználókat fel kell készíteni az alkalmazott technológiák tényleges használatára, a lehetőségek és a kockázatok tudatosítása.

    • DS8 - IT-hez kapcsolódó ügyfelek támogatása
    • A szerződésekben vállalt szolgáltatási szintnek megfelelően gondoskodni kell a felhasználóknál felmerülő problémák megfelelő szintű kezeléséről.

    • DS9 - Konfiguráció menedzsment
    • A biztonságos működés érdekében szükséges minden IT összetevő nyilvántartása, ezáltal az azonosítatlan változat létének megelőzése, a fizikai létezés és az alapvető változás kezelésének ellenőrzése.

    • DS10 - Probléma és esemény kezelés, naplózás
    • Olyan probléma kezelési megoldás kidolgozása szükséges, amely garantálja az összes felmerülő incidens regisztrálását és nyomon követését, a hiba ismételhetősége, ezáltal a hiba okának kiderítése és megelőzése érdekében.

    • DS11 - Adatok menedzselése
    • Az adatok megfelelő szintű menedzselésével biztosítható az adatbevitel, módosítás és tárolás során az adatok teljessége, pontossága, valódisága, ezáltal az információ sértetlensége.

    • DS12 - Fizikai környezet menedzselése
    • A fizikai környezet menedzselésével biztosítható az emberi vagy természeti veszélyek elleni, az IT berendezések és személyzet megóvására alkalmas, azokat körülvevő fizikai környezet kezelése.

    • DS13 - Rendszerek üzemeltetésének menedzselése
    • A rendszerek üzemeltetésének menedzselésére kidolgozott eljárások, ügyrendek segítségével, ezek rendszeres ellenőrzésével biztosítható a lényeges, IT támogatást igénylő funkciók rendszeres és precíz végrehatása.

  4. Monitorozás, független ellenőrzés
    • M1 - Folyamatok nyomon követése, monitorozás
    • A hatékony működés érdekében szükséges a lényeges teljesítmény mutatók meghatározása, a működés során a teljesítmény mérése, alapos és időben elkészített teljesítmény jelentések elkészítése és azonnali reagálás az eltérésekre.

    • M2 - Belső kontroll minőségének ellenőrzése
    • A hatékonyan működő belső kontroll megvalósítása érdekében szükséges az IT folyamatok belső ellenőrzésére kitűzött célok megvalósításának biztosítása, az ellenőrzés elkötelezettsége, hatékonysága és pontos elvek alapján készített kimutatásai.

    • M3 - Független ellenőrzés biztosítása
    • A szervezet, a felhasználói szervezetek és a külső szervezetek közötti bizalom erősítése érdekében független ellenőrzés biztosítása szükséges.

    • M4 - Független auditálásról való gondoskodás
    • A bizalmi szint és hasznosság növelése érdekében szükséges a független audit.


Qualys PCI Reseller xhtml logo css logo
| Last modified: 2009. 06. 10.
Adatvédelem | Használati feltételek