1 / 33

Nõuded infotehnoloogia ala korraldamiseks

Nõuded infotehnoloogia ala korraldamiseks. Toomas Kirt Finantsinspektsiooni IT-audiitor 5.11.2004. Sisu. Mis on eesmärk? Mis on aluseks? Kuidas toimub rakendamine? Mida sisaldab?. Eellugu.

artie
Download Presentation

Nõuded infotehnoloogia ala korraldamiseks

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Nõuded infotehnoloogia ala korraldamiseks Toomas Kirt Finantsinspektsiooni IT-audiitor 5.11.2004

  2. Sisu • Mis on eesmärk? • Mis on aluseks? • Kuidas toimub rakendamine? • Mida sisaldab?

  3. Eellugu • Eesti Panga presidendi määrus nr. 23, 03.10.1997 Nõuded infotehnoloogia ala korraldamiseks krediidiasutustes • 01.01.2002 alustas tegevust Finantsinspektsioon ja selle raames laienes ka IT-alane järelevalve • Kasvav sõltuvus informatsioonist ja infosüsteemidest • Finantsinspektsiooni juhatuse 22.09.2004 otsusega nr. 44-4 kinnitati soovituslik juhend “Nõuded infotehnoloogia ala korraldamiseks “

  4. Eesmärk • Finantssektori ettevõtete tegevus sõltub olulisel määral infotehnoloogiast (“IT”). Juhendi eesmärgiks on kehtestada miinimumnõuded finantssektori ettevõtetes infotehnoloogiaalaseks töökorralduseks, et suurendada finantssektori efektiivsust ja vähendada süsteemseid ning operatsioonilisi riske. • Anda raamistik ettevõtte IT riskide hindamiseks

  5. Cobit • Juhendi koostamisel on võetud aluseks rahvusvaheliselt üldtunnustatud infotehnoloogia auditi ja juhtimise standard COBIT (Control Objectives for information and Related Technology) ning selle lühivariant COBIT Quickstart • Cobitis 34 protsessi ja 318 juhtimiseesmärki • Cobit QS 30 protsessi ja 62 juhtimiseesmärki

  6. Rakendamine • Vaadata üle juhendis toodud protsesside korraldus ettevõttes ning hinnata nende juhtimist ja riske • Selgitada välja, kas olukord on rahuldav, ning kui ei ole, siis määrata eesmärk, kuhu soovitakse jõuda • Teha tegevuskava eesmärgi saavutamiseks

  7. Juhendi ülesehitus • I osa Üldsätted ja mõisted • II osa Planeerimine ja organiseerimine • III osa Hankimine ja rakendamine • IV osa Tarnimine ja tugi • V osa Seire • VI osa Lõppsätted

  8. Planeerimine ja organiseerimine • Strateegia • Infoarhitektuur • IT organisatsioon • IT investeeringute juhtimine • Vastavus välisnõuetele • Riskihaldus • Projektide haldus

  9. Strateegia • Ettevõtte infotehnoloogiaalase tegevuse aluseks peab olema juhtkonna poolt kinnitatud ettevõtte ärieesmärkidest ja -strateegiast lähtuv strateegia (IT strateegia) • IT strateegia loomisel tuleb hinnata, millist infotehnoloogilist tuge on vaja ettevõtte ärieesmärkide saavutamiseks ning kas olemasolevad IT lahendused võimaldavad saavutada soovitud ärilist tulemust

  10. Infoarhitektuur • Ettevõttel peavad olema üldised reeglid infovarade omanike määramiseks ja infovarade klassifitseerimiseks turvaklassidesse ning kõikidele infovaradele peavad olema nimetatud omanikud • Infovara klassifitseerimise ja juurdepääsupiirangute kehtestamise eest vastutab vastava infovara omanik

  11. IT organisatsioon • Äriprotsessidele vajaliku infotehnoloogilise toe osutamiseks peab ettevõttes olema suuruselt ja kompetentsidelt sobiv IT organisatsioon • Rakendada asjakohased värbamisprotseduurid • Töötajatel peavad olema selgelt määratletud nõutavad oskused, õigused, vastutus ja kohustused • Tagada võimalusel töökohustuste lahusus

  12. IT investeeringute juhtimine • Infotehnoloogiasse tehtavate kulutuste ärieesmärkidele vastavaks ja optimaalseks juhtimiseks peab IT-investeeringute juhtimine toimuma läbi perioodiliselt toimuva eelarvestamise protsessi

  13. Vastavus välisnõuetele • Ettevõtte juhtkond peab tagama ettevõtte IT korraldamise vastavuse regulaarse hindamise välistele nõuetele (seadused, regulatsioonid, jmt) ning nende mõjudega arvestamise

  14. Riskihaldus • Ettevõtte juhtkond peab tagama infotehnoloogiaga seotud riskide haldamise protsessi toimimise, mis määratleks riskide juhtimise metoodika, aruandekohustuse ja kontrollmehhanismid • Riskide hindamine peab kaasnema iga olulise muudatusega infosüsteemides või protsessides

  15. Projektide haldus • Iga olulisem arendustegevuse projekt infotehnoloogia valdkonnas peab omama täpselt määratletud ja mõõdetavat eesmärki ning täpset algust ja lõppu omavat tähtaega

  16. Hankimine ja rakendamine • Süsteemiarendus • Protseduuride haldus • Muudatuste haldus

  17. Süsteemiarendus • Ärinõuete täitmiseks sobivate lahenduste loomiseks peab toimuma eelnev kasutajanõuete väljaselgitamine ja alternatiivsete lahenduste hindamine • Lahenduse väljatöötamisel on vaja spetsifitseerida lahenduse funktsionaalsed ja ekspluatatsioonilised nõuded

  18. Protseduuride haldus • Infosüsteemi halduseks ja kasutamiseks peavad olema kehtestatud dokumenteeritud tööjuhised ning protseduurid

  19. Muudatuste haldus • Infosüsteemi muudatuste tagajärjel tekkida võivate katkestuste ja vigade tõenäosuse vähendamiseks tuleb tagada muudatuste teostamise korrektsus ja kontrollitavus. Muudatuste teostamiseks tuleb koostada tegevusplaan • Muudatuste tegemisest peab säilima kontrolljälg, mis võimaldaks tuvastada muudatuse tegemise aja, teostaja ja muudatuse sisu

  20. Tarnimine ja tugi • Väliste teenusepakkujate kasutamine • Mahtude ja jõudluse haldus • Talitluspidevus • Süsteemide turvalisus • Konfiguratsioonihaldus • Probleemide ja intsidentide haldus • Ruumide haldus • Ekspluatatsiooni haldus

  21. Väliste teenusepakkujate kasutamine • Ettevõttes peavad olema rakendatud väliste teenusepakkujate valikuprotseduurid, mis tagaksid ettevõttele toimiva ja tõhusa teenuse kasutamise • Välistele teenusepakkujatele ei tohi lubada juurdepääsu organisatsiooni vahenditele enne vajalike turvameetmete teostamist ja pääsutingimusi määratleva lepingu allakirjutamist

  22. Mahtude ja jõudluse haldus • Ettevõttes peab toimima protsess infosüsteemi jõudluse monitoorimiseks ning raporteerimiseks • Olemasoleva süsteemi jõudluse monitoorimise ja tulevaste jõudlusvajaduste prognoosimise tulemuste põhjal peab olema tagatud infosüsteemi jõudlusvajaduste õigeaegne rahuldamine

  23. Talitluspidevus • Ettevõttes peab olema toimiv talitluspidevuse planeerimise protsess, mis võtab arvesse äriprotsesside kriitilisust ning tagab pidevusplaanide välja töötamise • Ettevõttes peavad olema dokumenteeritud ja juurutatud varukoopiate tegemise protseduurid ning tagatud regulaarne varukoopiate tegemine

  24. Süsteemide turvalisus • Turbe korralduse aluseks/raamdokumendiks on infoturvapoliitika, milles tuuakse ära meetmed, kuidas tagatakse infoturbe kolm aspekti konfidentsiaalsus, terviklus ja käideldavus • Ettevõttes peavad pääsuõiguste jaotuse reguleerimiseks olema rakendatud ametlikud protseduurid, mis hõlmavad pääsu elutsükli kõiki faase • Enne kasutajatele infoteenustele juurdepääsu andmist peavad nad saama asjakohase väljaõppe

  25. Süsteemide turvalisus(2) • Ettevõttes tuleb tagada tundlike andmete kaitse nende edastamisel avaliku võrgu kaudu • Seire korraldamiseks on vajalik infosüsteemis läbiviidavate toimingute kontrolljälg • Ründetarkvara ja viiruste õigeaegseks avastamiseks ja tõkestamiseks peavad olema rakendatud vajalikud meetmed

  26. Konfiguratsioonihaldus • Ettevõttel peab olema kasutatava infotehnoloogilise riistvara ja tarkvara konfiguratsiooni täielik ja regulaarselt täiendatav inventariloend • Kasutatav riist- ja tarkvaraline platvorm tuleb võimalusel standardiseerida

  27. Probleemide ja intsidentide haldus • Turvarünnetest, avariidest ja tõrgetest tingitud kahjude vähendamiseks, turvaintsidentide registreerimiseks, neile reageerimiseks ning nendest järelduste tegemiseks peavad olema kehtestatud ametlikud protseduurid ning töökohustused • Kõigile asjaomastele töötajatele ja lepingupartneritele tuleb teatavaks teha teavitamisprotseduur eri tüüpi turvaintsidentide osas

  28. Ruumide haldus • Kriitilisi või tundlikke talitlusfunktsioone toetavad infotehnoloogiavahendid tuleb paigutada piiratud juurdepääsuga turvaaladele ning neid tuleb füüsiliselt kaitsta volitamata pöördumiste, kahjustuste, turvaohtude (nt. tulekahju) ja keskkonnariskide eest

  29. Ekspluatatsiooni haldus • Põhilisi tüüpseid IT-operatsioone tuleb regulaarselt dokumenteerida ja läbi vaadata, et tagada töötluse plaanipärasus (ajastuse, järjestuse, kvaliteedi jne mõttes) • Töötluse õigsuse ja täielikkuse kindlustamiseks tuleb kontrollida ekspluatatsioonilogisid

  30. Seire • Seire ja hindamine

  31. Seire ja hindamine • Ettevõttes peavad olema kehtestatud nõuded infotehnoloogiaalase tegevuse kontrolliks ja hindamiseks • Infotehnoloogia juhtimismehhanismide, infotehnoloogiat puudutavate õigusaktide ja eeskirjade vastavuse ning infotehnoloogiaalaste lepinguliste kohustuste täitmise hindamiseks tuleb vajadusel kasutada välist auditit

  32. Kokkuvõte • Raamistik ettevõtete IT-ga seotud riskide hindamiseks • Ka juhend on protsess, mis peab kaasas käima keskkonna arenguga

  33. Tänud! Veeb: www.fi.ee E-post: Toomas.Kirt@fi.ee Ingrid.Krieger@fi.ee

More Related