Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. ZAPEWNIENIE CIĄGŁOŚCI USŁUG IT ORAZ ODZYSKIWANIE SPRAWNOŚCI PO KATASTROFIE COBIT 5 W KONTEKŚCIE ISO.

Podobne prezentacje


Prezentacja na temat: "Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. ZAPEWNIENIE CIĄGŁOŚCI USŁUG IT ORAZ ODZYSKIWANIE SPRAWNOŚCI PO KATASTROFIE COBIT 5 W KONTEKŚCIE ISO."— Zapis prezentacji:

1 Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. ZAPEWNIENIE CIĄGŁOŚCI USŁUG IT ORAZ ODZYSKIWANIE SPRAWNOŚCI PO KATASTROFIE COBIT 5 W KONTEKŚCIE ISO 22301

2 P LAN PREZENTACJI 1.COBIT – informacje wstępne Historia rozwoju standardu Zastosowanie w Polsce 2.COBIT - Struktura 3.Proces zarządzania ciągłością 4.Zadania menadżera ds. ciągłości działania 5.Podsumowanie

3 COBIT 5 I NFORMACJE WSTĘPNE Control OBjectices for IT and related solutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu, czyli COBIT 5, to rok 2012 Obejmuje dodatkowo zarządzanie: ryzykiem, bezpieczeństwem, inwestycjami

4 S TANDARD COBIT - ZASTOSOWANIE W POLSCE Stosowany w audycie wewnętrznym i kontroli (banki, domy maklerskie, KNF, NIK,…) Liczne odwołania do standardu COBIT w dokumentach dotyczących cyfryzacji Przykłady: Centrum Projektów Informatycznych MSWiA, Zeszyt 1B/2011, str. 9, 36; (…) Standardy Przedmiotowe. Do tej grupy zaliczamy standardy zarządzania, audytowania i kontroli środowiska informatycznego. Najważniejsze z nich to: COBIT (Control Objective for Information and Related Technology), CONeCT (Control Objective for Net Centric Technology), COEG (Control Objective for Enterprise Governance), PRINCE2 (PRoject IN Controlled Environment), ITIL (Information Technology Infrastructure Library), Normy ISO. PTI, Izba Rzeczoznawców, Ekspertyza Realizacja projektów informatycznych przez administrację publiczną na podstawie doświadczeń wynikających z wdrażania działania 1.5 SPO WKP, 2008 r., str. 5, 7, 36, 38, 49,

5 COBIT 5 S TRUKTURA Podejście procesowe Potrzeby biznesowe Ład korporacyjny Zarządzanie Ocenianie Monitorowanie (MEA) Uruchamianie (DSS) Tworzenie (BAI) Planowanie (APO) Informacja zwrotna od kierownictwa KierowanieMonitorowanie

6 COBIT 5 S TRUKTURA Domeny w obszarze zarządzania APO APO (ang. Align, Plan and Organise) – Dostosowanie, planowanie i organizowanie BAI BAI (and. Build, Acquire and Implement) – Tworzenie, nabywanie i wdrażanie DSS DSS (ang. Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie MEA MEA (ang. Monitor, Evaluate and Assess) – Monitorowanie, szacowanie i ocenianie

7 COBIT 5 S TRUKTURA Elementy opisu procesów Tabela RACI - sugerowany podział odpowiedzialności za realizację poszczególnych działań w procesach, znacznie szerszy, niż tylko w obszarze IT R(esponsible) Kto dostaje zadanie do wykonania? A(ccountable) Kto zostanie rozliczony ze skutecznej realizacji zadania? Zasadą jest, że rozliczalność nie może być współdzielona. C(onsulted) Kto dostarcza dane wejściowe? I(nformed) Kto otrzymuje informacje wyjściowe?

8 COBIT 5 S TRUKTURA Elementy opisu procesów: role w organizacji Chief Operating OfficerV-ce Prezes ds. Operacyjnych Business ExecutivesDyrektorzy wykonawczy ds. Biznesowych Business Process OwnersWłaściciele Procesów Biznesowych Strategy Executive CommitteeKomitet Strategiczny Steering (Programmes/Projects) CommitteeKomitety Sterujące (Programów/Projektów) Project Management OfficeBiuro Zarządzania Projektami Value Management OfficeBiuro Zarządzania Wartością Dodaną Chief Risk OfficerDyrektor ds. Ryzyka Chief Information Security OfficerDyrektor ds. Bezpieczeństwa Informacji Architecture BoardZespół ds. Architektury Enterprise Risk CommitteeKomitet ds. Ryzyka Head Human ResourcesDyrektor ds. Kadrowych ComplianceKomórka ds. Zgodności AuditKomórka Audytu Chief Information OfficerV-ce Prezes ds. Przetwarzania Informacji Head ArchitectGłówny Architekt Head DevelopmentKierownik ds. Rozwoju Head IT OperationsKierownik Operacyjny Head IT AdministrationKierownik ds. Administrowania IT Service ManagerKierownik ds. Zarządzania Usługami Information Security ManagerMenadżer ds. Bezpieczeństwa Informacji Business Continuity Manager Menadżer ds. Ciągłości Biznesowej PrivacyKomórka ds. Ochrony Danych Osobowych (ABI)

9 COBIT 5 S TRUKTURA Elementy opisu procesów Cykl życia procesów Każdy proces przechodzi przez etapy Definiowania Tworzenia Działania Monitorowania Dostosowywania/aktualizacji lub Wycofania Model oceny dojrzałości procesów bazuje na ISO/IEC (SPICE)

10 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ Balance Score Card – zrównoważona karta wyników Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu AspektCel organizacji Powiązanie z celami biznesowymi Realizacja benefitów Optymalizacja ryzyka Optymalizacja zasobów Klienta7. Ciągłość i dostępność usług biznesowych P

11 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ IT Balance Score Card – zrównoważona karta wyników IT Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu Aspekt ITCele związane z IT Klienta 07. Dostarczanie usług IT zgodnie z wymogami biznesowymi 08. Właściwe wykorzystanie aplikacji, informacji oraz technologii

12 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ Mierniki Aspekt BSC Cel biznesowy Mierniki Klienta 7. Ciągłość i dostępność usług biznesowych * Liczba przerwanych usług biznesowych powodujących istotne incydenty * Koszty biznesowe incydentów * Liczba godzin działalności biznesowej utraconych w wyniku przerw w usługach * Procent skarg w relacji do zobowiązań dotyczących zapewnienia dostępności usług

13 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ DSS DSS (Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie Procesy zarządzania: 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciągłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizmami kontrolnymi dla procesów biznesowych

14 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ DSS04 Zarządzanie Ciągłością Odwołanie do innych standardów i dobrych praktyk StandardOdwołanie szczegółowe BS 25999:2007Business Continuity Standard ISO/IEC Service continuity and availability management ISO/IEC 27002: Business Continuity Management ITIL v IT Service Continuity Management ISO musi zostać zaimplementowane

15 COBIT 5 Z ARZĄDZANIE CIĄGŁOŚCIĄ DSS04 Zarządzanie Ciągłością – kluczowe działania zarządcze DSS Definiowanie polityki, celów i zakresu ciągłości biznesowej DSS04.02 Utrzymywanie strategii ciągłości DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej DSS04.04 Ćwiczenia, testy i przegląd BCP DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości DSS04.06 Szkolenie z planów ciągłości DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności

16 ZARZĄDZANIE CIĄGŁOŚCIĄ Kluczowe praktyki zarządcze Zarząd Prezes Wiceprezes ds. Finansowych V-ce Prezes ds. Operacyjnych Dyrektorzy wykonawczy ds. Biznesowych Właściciele Procesów Biznesowych Komitet Strategiczny Komitety Sterujące (Programów/Projektów) Biuro Zarządzania Projektami Biuro Zarządzania Wartością Dodaną Dyrektor ds. Ryzyka Dyrektor ds. Bezpieczeństwa Informacji Zespół ds. Architektury Komitet ds. Ryzyka Dyrektor ds. Kadrowych Komórka ds. Zgodności Komórka Audytu V-ce Prezes ds. Przetwarzania Informacji Główny Architekt Kierownik ds. Rozwoju Kierownik Operacyjny Kierownik ds. Administrowania IT Kierownik ds. Zarządzania Usługami Menadżer ds. Bezpieczeństwa Informacji Menadżer ds. Ciągłości Biznesowej Komórka ds. Ochrony Danych Osobowych (ABI) DSS Definiowanie polityki, celów i zakresu ciągłości biznesowej ACR C CCR RCRR DSS04.02 Utrzymywanie strategii ciągłości ACR I CC RRCR R DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej IR ICCRCCR A DSS04.04 Ćwiczenia, testy i przegląd BCP IR I RR CR A DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości AIR I R CR R DSS04.06 Szkolenie z planów ciągłości IR R RRR A DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych CA R DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności CR I RCCRR A

17 P RZYDZIAŁ ZADAŃ W POSZCZEGÓLNYCH PROCESACH DLA M ENADŻERA DS. C IĄGŁOŚCI B IZNESOWEJ Ład Korporacyjny (Governance) Ma swój udział w większości procesów z tego obszaru Jego udział, to tylko otrzymywanie informacji (I)

18 U DZIAŁ M ENADŻERA DS. C IĄGŁOŚCI B IZNESOWEJ Domena APO Zarządzanie 01 Ramowymi zasadami zarządzania 02 Strategią 03 Architekturą przedsiębiorstwa/ organizacji 04 Innowacjami 05 Portfolio (inwestycyjne) 06 Budżetem i kosztami 07 Kadrami 08 Relacjami 09 Umowami serwisowymi 10 Dostawcami 11 Jakością 12 Ryzykiem 13 Bezpieczeństwem Otrzymuje informacje oraz jest konsultowany w procesach , Jest odpowiedzialny (R) w podprocesach: APO01.07 Zarządzanie ciągłym doskonaleniem procesów APO01.08 Utrzymanie zgodności z politykami i procedurami APO02.01 Znajomość kierunków działania organizacji APO07.01 Utrzymanie odpowiednich kadr APO07.02 Identyfikacja kluczowego personelu IT APO07.03 Utrzymanie umiejętności i kompetencji personelu APO07.04 Szacowanie realizacji zadań na stanowiskach pracy APO07.05 Planowanie i śledzenie wykorzystania zasobów kadrowych w biznesie i IT APO07.06 Zarządzenie personelem kontraktowym APO08.01 Zrozumienie oczekiwań biznesowych APO11.02 Definiowanie i zarządzanie standardami, praktykami i procedurami jakości APO11.06 Utrzymanie ciągłego doskonalenia APO12.01 Gromadzenie danych APO12.06 Odpowiedź na ryzyko APO13.03 Monitorowanie i przegląd ISMS

19 U DZIAŁ M ENADŻERA DS. C IĄGŁOŚCI B IZNESOWEJ Domena BAI Zarządzanie 01 Programami i projektami 02 Definiowaniem wymagań 03 Identyfikacją I tworzeniem rozwiązań 04 Dostępnością i wydajnością 05 Umożliwianiem zmian organizacyjnych 06 Zmianami 07 Akceptacją zmian oraz ich wprowadzaniem 08 Wiedzą 09 Aktywami 10 Konfiguracją Otrzymuje informacje oraz jest konsultowany w procesach , Jest odpowiedzialny (R) w podprocesach: BAI03.07 Przygotowanie do testowania rozwiązań BAI05.05 Zapewnienie funkcjonowania i stosowania BAI05.06 Wbudowanie nowego podejścia BAI05.07 Utrzymanie zmian BAI07.01 Ustanowienie planu wdrożenia BAI07.02 Planowanie konwersji procesów biznesowych, systemów i danych BAI07.03 Planowanie testów akceptacyjnych BAI07.04 Ustanowienie środowiska testowego BAI07.05 Przeprowadzanie testów akceptacyjnych BAI08.01 Pogłębianie oraz wspieranie kultury dzielenia się wiedzą BAI08.05 Ocena oraz wycofywanie informacji

20 U DZIAŁ M ENADŻERA DS. C IĄGŁOŚCI B IZNESOWEJ Domena DSS Zarządzanie 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciagłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizamami Kontrolnymi dla procesów biznesowych Otrzymuje informacje oraz jest konsultowany w procesach , Jest odpowiedzialny (R) w podprocesach: DSS04.01 Definiowanie polityki, celów i zakresu ciągłości biznesowej, DSS04.02 Utrzymywanie strategii ciągłości DSS04.05 Przegląd, utrzymanie oraz doskonalenie planów ciągłości DSS04.07 Utrzymanie ustaleń dot. kopii zapasowych Jest rozliczany (A) za podprocesy: DSS04.03 Opracowanie i wdrożenie reakcji związanej z ciągłością działania DSS04.04 Ćwiczenie, testowanie i przegląd BCP DSS04.06 Przeprowadzanie szkoleń z planów ciągłości DSS04.08 Przeprowadzanie przeglądu po odzyskaniu sprawności

21 U DZIAŁ M ENADŻERA DS. C IĄGŁOŚCI B IZNESOWEJ Domena MEA Monitorowanie, szacowanie i ocena 01 Wykonania oraz dostosowania 02 Systemu kontroli wewnętrznej (zarządczej) 03 Zgodności z wymogami zewnętrznymi Otrzymuje informacje oraz jest konsultowany w procesach Jest odpowiedzialny (R) w podprocesach: MEA02.01 Monitorowanie kontroli wewnętrznych MEA02.03 Przeprowadzanie samooceny kontroli MEA02.04 Identyfikacja i raportowanie słabości kontroli MEA03.02 Optymalizacja odpowiedzi na wymagania zewnętrzne

22 P ODSUMOWANIE Przez dobę policja w całym kraju była sparaliżowana w wyniku awarii strategicznego serwera - - dowiedział się "Dziennik Gazeta Prawna". (fakty.interia.pl)

23 D ZIĘKUJĘ ZA UWAGĘ


Pobierz ppt "Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. ZAPEWNIENIE CIĄGŁOŚCI USŁUG IT ORAZ ODZYSKIWANIE SPRAWNOŚCI PO KATASTROFIE COBIT 5 W KONTEKŚCIE ISO."

Podobne prezentacje


Reklamy Google