1 / 42

Upravljanje informacijskim sustavom

Upravljanje informacijskim sustavom. rujan 2007. Sadržaj. Zakonski okvir Kronologija aktivnosti vezanih uz donošenje Odluke Koncept Odluke Obveze banaka u razdoblju od 2008. – 2010. Otvorena pitanja. Zakonski okvir.

salvador
Download Presentation

Upravljanje informacijskim sustavom

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Upravljanje informacijskim sustavom rujan 2007.

  2. Sadržaj • Zakonski okvir • Kronologija aktivnosti vezanih uz donošenje Odluke • Koncept Odluke • Obveze banaka u razdoblju od 2008. – 2010. • Otvorena pitanja

  3. Zakonski okvir • Zakon o Hrvatskoj narodnoj banci ("Narodne novine", broj 36/2001 i 135/2006) • članak 39. stavak 2. pod i) Guverner Hrvatske narodne banke…… i) donosi odluke i opće akte iz djelokruga Hrvatske narodne banke koji zakonom nisu stavljeni u nadležnost Savjeta Hrvatske narodne banke • Zakon o bankama ("Narodne novine" broj 84/02, 141/06): • čl. 67. - Planiranje i provođenja mjera upravljanja rizicima • čl. 68. - Propis o mjerenju, procjeni i upravljanju rizicima • čl. 106., 107., 108. - Unutarnja revizija • čl. 119. - Izravni nadzor poslovanja • čl. 124., 125. - Nadzorne mjere • čl. 127. - Mjere za provedbu politika o upravljanju rizicima • čl. 133. – Izvješćivanje na zahtjev HNB-a

  4. Planiranje i provođenja mjera upravljanja rizicima (čl. 67. ZOB-a) • Osnovna načela u poslovanju banke: načelo likvidnosti i načelo solventnosti; • Kako bi osigurala poslovanje sukladno spomenutim načelima, banka je dužna kontinuirano obavljati mjerenje, procjenu i upravljanje svim rizicima kojima je u svom poslovanju izložena; • Kriterije, način i postupke mjerenja, procjene i upravljanja rizicima banka ja dužna propisati svojim općim aktima koji moraju biti usklađeni s propisima, standardima i pravilima struke;

  5. Planiranje i provođenja mjera upravljanja rizicima (čl. 67. ZOB-a) • Rizici kojima je banka izložena u svom poslovanju i za koje minimalno moraju biti propisani postupci mjerenja, procjene i upravljanja rizicima jesu: • ..... • operativni rizik, koji uključuje i rizik koji proizlazi iz neadekvatnog upravljanja informacijskim i pridruženim tehnologijama • rizici povezani s izdvojenim poslovima (rizik eksternalizacije) • ........

  6. Planiranje i provođenja mjera upravljanja rizicima (čl. 67. ZOB-a) • Opći akti moraju obuhvaćati: • unutarnje postupke banke za određivanje i mjerenje rizika; • procedure i druge radnje kojima se osigurava dosljedna primjena utvrđenih postupaka i načina mjerenja rizika; • unutarnje postupke kojima se osigurava nadzor nad ispravnošću primjene propisanih postupaka i procedura za mjerenje rizika

  7. Unutarnja revizija (čl. 106.,107. i 108. ZOB-a) • Banka mora organizirati unutarnju reviziju koja će neovisno i objektivno obavljati svoje poslove te koja će svojim savjetima i preporukama pridonositi unapređenju poslovanja banke; • Jedan od zadataka unutarnje revizije je obavljanje stalnog nadzora nad cjelokupnim poslovanjem banke u cilju provjeravanja da li banka: • ...... • sustavno upravlja rizicima koji proizlaze iz korištenja informacijskog sustava • ........

  8. Propis o mjerenju, procjeni i upravljanju rizicima (članak 68. ZOB-a) • Hrvatska narodna banka može propisati: • ….. • 3) postupke i načela za upravljanje operativnim rizikom, uključujući rizik koji proizlazi iz neadekvatnog upravljanja informacijskim i pridruženim tehnologijama • .....

  9. Kontrola računalno vođenih poslovnih knjiga i evidencija (čl. 122. ZOB-a) • Banka mora ovlaštenoj osobi osigurati sve potrebno kako bi ovlaštena osoba mogla steći uvid u: • sve propisane postupke i procedure kontrole informacijskog sustava na razinama: • banke; • upravljačkih funkcija; • pojedinačnih poslovnih procesa; • transakcija; • postupke i procedure razvoja, akvizicije i održavanja informacijskog sustava; • politike i procedure sigurnosti informacijskog sustava i zaštite podataka.

  10. Izravni nadzor poslovanja (čl. 119. ZOB-a) • Banka mora ovlaštenoj osobi na njezin zahtjev omogućiti, između ostalog, kontrolu informacijske tehnologije i drugih pridruženih tehnologija, u opsegu potrebnom za obavljanje pojedinog nadzora ili u opsegu propisanom zakonom kojim se uređuje pojedini nadzor.

  11. Nadzorne mjere (čl. 124. i 125. ZOB-a) • U slučaju utvrđenih nezakonitosti i nepravilnosti, nalažu se nadzorne mjere izdavanjem rješenja koje donosi guverner HNB-a, s ciljem otklanjanja utvrđenih nezakonitosti i nepravilnosti i poduzimanje aktivnosti za poboljšanje stanja u banci; • Guverner HNB-a donosi rješenje ako se u postupku nadzora nad bankom utvrdi, između ostalog, da: • banka krši pravila o upravljanju rizicima; • banka krši propise o vođenju poslovnih knjiga i sastavljanju izvješća, unutarnjoj reviziji ili reviziji godišnjih izvješća.

  12. Mjere za provedbu politika o upravljanju rizicima(čl. 127. ZOB-a) • Ako HNB u obavljanju nadzora utvrdi da banka krši propise i pravila o upravljanju rizicima može, između ostalog, dati pisano upozorenje banci; • Ako HNB u obavljanju nadzora utvrdi da banka teže krši propise i pravila o upravljanju rizicima može rješenjem za otklanjanje utvrđenih nezakonitosti i nepravilnosti naložiti, između ostalog, mjere koje banka treba usvojiti i provesti u cilju: • boljeg upravljanja rizicima, • poboljšanja računovodstveno-informacijskog sustava, • poboljšanja funkcioniranja sustava unutarnjih kontrola i unutarnje revizije.

  13. Mjere za provedbu politika o upravljanju rizicima(čl. 127. ZOB-a) • Smatra se da banka teže krši propise i pravila o upravljanju rizicima ako, između ostalog: • nije organizirala svoje poslovanje ili ne vodi poslovne knjige, poslovnu dokumentaciju te ostalu poslovnu evidenciju na način koji u svakom trenutku omogućuje provjeru posluje li banka u skladu s propisima i pravilima o upravljanju rizicima.

  14. Izvješćivanje na zahtjev HNB-a (čl. 133. ZOB-a) • Banka mora na zahtjev HNB-a dostaviti izvješća i informacije o svim pitanjima važnim za provođenje nadzora ili za izvršavanje ostalih zadataka iz nadležnosti HNB-a.

  15. Kronologija aktivnosti vezanih uz donošenje Odluke o primjerenom upravljanju informacijskim sustavom • 2004. • uspostavljen Odjel za izravni nadzor informacijskih sustava banaka • 2005. • objavljene su Smjernice za adekvatno upravljanje rizikom eksternalizacije kao i rezultati anketiranja vezanog uz eksternalizaciju • 2006. • uz popratni dopis guvernera Hrvatske narodne banke svim bankama i stambenim štedionicama dostavljene su Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika • cilj Smjernica je bio upoznati banke i stambene štedionice sa stavom HNB-a u svezi s postupcima adekvatnog upravljanja informacijskim sustavom

  16. Kronologija aktivnosti vezanih uz donošenje Odluke o primjerenom upravljanju informacijskim sustavom • Smjernice daju prikaz dobrih praksi za upravljanje informacijskim sustavom i predočavaju očekivanja u skladu s kojima supervizori HNB-a u izravnim nadzorima informacijskih sustava obavljaju procjenu: • stanja informacijskih sustava banaka, • rizika koji proizlaze iz korištenja i neadekvatnog upravljanja informacijskom tehnologijom i pridruženim tehnologijama, • koraka i mjera koje su banke poduzele kako bi se ti rizici smanjili na prihvatljivu razinu. • 2007. • u Narodnim novinamaobjavljenajeOdluka o primjerenom upravljanju informacijskim sustavomkoja stupa na snagu 1. siječnja 2008. godine

  17. Odluka o primjerenom upravljanju informacijskim sustavom • Odlukom se uređuju zahtjevi Hrvatske narodne banke koji se odnose na upravljanje informacijskim sustavom banaka i stambenih štedionica • primjena Odluke dovest će do: • organizacijskih promjena • kadrovskih promjena • izrade detaljnih planova u svezi ulaganja u informacijski sustav (financijska sredstva, raspoloživost ljudskih resursa) • uspostave različitih procesa • usvajanja i primjene internih akata • dokumentiranosti procesa obuhvaćenih Odlukom • značajnog angažmana djelatnika banaka

  18. Koncept Odluke • I Opće odredbe • II Značenje pojmova • III Okvir za upravljanje informacijskim sustavom • IV Upravljanje rizikom informacijskog sustava • V Unutarnja revizija • VI Sigurnost informacijskog sustava • VII Održavanje informacijskog sustava • VIII Upravljanje kontinuitetom poslovanja • IX Razvoj informacijskog sustava i eksternalizacija • X Elektroničko bankarstvo • XI Prijelazne i završne odredbe

  19. Organizacijske i kadrovske promjene • Voditelj organizacijske jedinice informacijske tehnologije • treba imati jasno definirane ovlasti, odgovornosti i djelokrug rada • treba biti zadužen za upravljanje i koordinaciju rada organizacijske jedinice informacijske tehnologije te funkcionalnost i djelotvornost informacijskog sustava u cjelini

  20. Organizacijske i kadrovske promjene • Voditelj sigurnosti informacijskog sustava • treba biti neovisan o funkciji voditelja organizacijske jedinice za informacijsku tehnologiju • treba biti usmjeren na pitanja sigurnosti informacijskog sustava u cjelini • na primjeren način nadzirati i koordinirati aktivnosti vezane uz sigurnost informacijskog sustava u skladu s ovlastima, odgovornostima i djelokrugom rada • inicirati primjenu dobrih praksi i prihvaćenih standarda vezanih uz sigurnost informacijskog sustava • imati savjetodavnu ulogu u svezi sa sigurnošću informacijskog sustava

  21. Organizacijske i kadrovske promjene • Odbor za upravljanje informacijskim sustavom ili drugi odbori • čija je uloga praćenje i nadziranje informacijskog sustava i njegovih aktivnosti te koordinacija inicijativa vezanih uz informacijski sustav, a koje se tiču usklađenosti s poslovnim ciljevima i poslovnom strategijom • Unutarnji revizor informacijskog sustava (IT revizor) • unutarnja revizija dužna je obavljati reviziju informacijskog sustava banke

  22. Uspostava različitih procesa • proces izvješćivanja uprave i nadzornog odbora banke (o relevantnim činjenicama vezanima uz funkcionalnost i sigurnost informacijskog sustava) • proces upravljanja rizikom informacijskog sustava • proces planiranja kontinuiteta poslovanja • proces upravljanja incidentima • proces upravljanja pričuvnom pohranom • proces razvoja informacijskog sustava

  23. Uspostava različitih procesa • proces upravljanja hardverskom imovinom informacijskog sustava tijekom njezina životnog ciklusa • proces upravljanja promjenama softverskih komponenata informacijskog sustava • sustav upravljanja korisničkim pravima pristupa • postupci izrade, pohrane, održavanja i čuvanja dokumentacije koja se odnosi na informacijski sustav

  24. Usvajanje i primjena internih akata • strategija informacijskog sustava • metodologije: • metodologija upravljanja projektimakojom će se definirati kriteriji, načini i postupci upravljanja projektima vezanima uz informacijski sustav • metodologija upravljanja rizikom informacijskog sustavakojom će se definirati kriteriji, načini i postupci upravljanja rizikom informacijskog sustava • metodologija za provođenje revizije informacijskog sustavazasnovana na procjeni rizika, a kojom se definiraju kriteriji, načini i postupci revizije informacijskog sustava banke

  25. Usvajanje i primjena internih akata • planovi: • strateški i operativni planovi koji proizlaze iz strategije informacijskog sustava • plan(ovi) kontinuiteta poslovanja • plan(ovi) oporavka informacijskog sustava • Politika sigurnosti informacijskog sustava • akti kojima se uređuje upravljanje informacijskim sustavom (primjerice, različite vrste politika, procedura, uputa vezanih uz informacijski sustav)

  26. Izvješća • pisano izvješće o provedenoj analizi utjecaja na poslovanje (BIA) • pisana izvješća o rezultatima testiranja: • plan(ova) kontinuiteta poslovanja (BCP) • plan(ova) oporavka informacijskog sustava (DRP) • rezultati procjene rizika informacijskog sustava • pisana izvješća za upravu i nadzorni odbor banke o relevantnim činjenicama vezanima uz funkcionalnost i sigurnost informacijskog sustava • pisana izvješća unutarnje revizije o provedenim revizijama (dijela) informacijskog sustava

  27. Kontrola/nadzor provedbe Odluke • revizijom informacijskih sustava od strane unutarnje revizije banke • revizijom informacijskih sustava od strane vanjskog revizora • izravnim nadzorima informacijskih sustava banaka od strane HNB-a • dostavljanjem dokumentacije u HNB (Direkcija bonitetne analize) • različitim istraživanjima (ankete, upitnici....)

  28. Rokovi primjene Odluke • Odluka o primjernom upravljanju informacijskim sustavom stupa na snagu 1. siječnja 2008. godine • stupanje na snagu pojedinih članaka Odluke definirano je u poglavlju XI-Prijelazne i završne odredbe • rokovi za primjenu pojedinih članaka Odluke definirani su u razdoblju od siječnja 2008. do srpnja 2010. godine • uspostava svih navedenih procesa zahtijeva vrijeme i ljudske resurse • uspostava nekih procesa odvijat će se paralelno i zahtijevat će angažman istih ljudskih resursa

  29. Rokovi primjene Odluke • rokovi u Odluci su krajnji rokovi, što ne znači da ih banka ne može ranije ispuniti ili da HNB ne može sukladno procjeni stanja informacijskog sustava odrediti i kraći rok ukoliko je rizik koji proizlazi iz korištenja informacijske tehnologije odnosno informacijskog sustava velik • zadovoljavanje forme nije ideja Odluke (banka treba dokazati da je nešto uistinu implementirala i testirala)

  30. Obveze banaka u 2008. godini • Banke će biti dužne: • usvojiti strategiju informacijskog sustava koja mora biti u skladu s poslovnom strategijom • odrediti člana uprave koji će biti nadležan za uspostavu i nadzor procesa upravljanja informacijskim sustavom • definirati kriterije, načine i postupke izvješćivanja uprave banke i nadzornog odbora o relevantnim činjenicama vezanim uz funkcionalnost i sigurnost informacijskog sustava • procijeniti rizik eksternalizacije prije donošenja odluke o eksternalizaciji (dijela) informacijskog sustava • uspostaviti adekvatnu organizacijsku strukturu, odgovarajuće funkcije i odbore te u skladu s tim delegirati ovlasti kako bi se osiguralo primjereno upravljanje informacijskim sustavom • imenovati odbor za upravljanje informacijskim sustavom • zaštiti resurse informacijskog sustava od malicioznog programskog koda primjenom odgovarajućih upravljačkih, logičkih i fizičkih kontrola

  31. Obveze banaka u 2008. godini • Banke će biti dužne: • na odgovarajući način testirati i odobriti sve promjene softverskih komponenata informacijskog sustava prije uvođenja u produkcijski rad • imati definirane postupke izrade, pohrane, održavanja i čuvanja dokumentacije koja se odnosi na informacijski sustav te osigurati da je dokumentacija točna, potpuna i ažurna • osigurati primjerenu i kontinuiranu izobrazbu svih zaposlenika banke koji koriste informacijski sustav • u slučaju težih incidenata, u primjerenom roku od nastanka incidenta obavijestiti Hrvatsku narodnu banku o incidentu, učinku te poduzetim radnjama • osigurati da su pričuvne kopije podataka ažurne i pohranjene na primjeren način na jednoj ili više lokacija od kojih je barem jedna lokacija, sukladno procjeni rizika, dovoljno udaljena od lokacije na kojoj se nalaze izvorni podaci (od kojih su izrađene pričuvne kopije)

  32. Obveze banaka u 2009. godini • Banke će biti dužne: • razraditi strategiju informacijskog sustava u strateške i operativne planove • usvojiti interne akte kojima se uređuje upravljanje informacijskim sustavom te definirati odgovornosti za nadzor provođenja internih akata • osigurati da su svi korisnici informacijskog sustava upoznati s internim aktima vezanim uz informacijski sustav ili njihovim sadržajem u skladu s dodijeljenim ovlaštenjima te potrebama korisnika informacijskog sustava • uspostaviti funkciju voditelja sigurnosti informacijskog sustava • usvojiti metodologiju upravljanja projektima • uspostaviti proces upravljanja rizikom informacijskog sustava koji obuhvaća procjenu rizika, ovladavanje rizikom (poduzimanje radnja za svođenje rizika na prihvatljivu razinu) te kontinuirano praćenje i održavanje prihvatljive razine rizika • usvojiti metodologiju upravljanja rizikom informacijskog sustava

  33. Obveze banaka u 2009. godini • Banke će biti dužne: • osigurati obavljanje revizije informacijskog sustava od strane unutarnje revizije • usvojiti metodologiju za provođenje revizije informacijskog sustava • usvojiti politiku sigurnosti informacijskog sustava • uspostaviti sustav upravljanja korisničkim pravima pristupa • uspostaviti proces upravljanja hardverskom imovinom informacijskog sustava koji obuhvaća postupke detektiranja, evidentiranja, raspolaganja, praćenja, obnavljanja i odlaganja imovine • osigurati da su promjene softverskih komponenata informacijskog sustava dokumentirane u vremenskom slijedu njihova nastanka zajedno s vremenom nastanka promjene

  34. Obveze banaka u 2009. godini • Banke će biti dužne: • osigurati da sve razvijene softverske komponente informacijskog sustava kao i nove hardverske komponente informacijskog sustava prije uvođenja u produkcijski rad budu na odgovarajući način testirane i odobrene • na odgovarajući način razdvojiti razvojnu, testnu i produkcijsku okolinu • dokumentirati rezultate procjene rizika u obliku formalnog izvješća • procijeniti i svesti na prihvatljivu razinu rizike koji proizlaze iz ugovornih odnosa s pravnim i fizičkim osobama čije aktivnosti su vezane uz informacijski sustav banke • kontrolirati pristup resursima informacijskog sustava, prostorijama s resursima informacijskog sustava kao i sustavima koji su podrška funkcioniranju informacijskog sustava te primijeniti odgovarajuće upravljačke, logičke i fizičke kontrole pristupa, pri čemu će posebnu pozornost morati posvetiti povlaštenom i udaljenom pristupu resursima informacijskog sustava

  35. Obveze banaka u 2009. godini • Banke će biti dužne: • uspostaviti proces upravljanja incidentima koji će omogućiti pravovremen i učinkovit odgovor u slučaju narušavanja sigurnosti i funkcionalnosti resursa informacijskog sustava koji podržavaju odvijanje poslovnih procesa • definirati načine, kriterije i postupke razvoja informacijskog sustava, uzimajući pritom u obzir funkcionalne i sigurnosne aspekte • uspostaviti proces razvoja informacijskog sustava u skladu s usvojenom metodologijom upravljanja projektima • u sklopu procesa razvoja informacijskog sustava unutar banke, uspostaviti i dokumentirati proces programskog razvoja i isporuke informacijskog sustava koji obuhvaća postupke analize i projektiranja, programiranja, testiranja i uvođenja u produkcijski rad

  36. Obveze banaka u 2009. godini • Banke će biti dužne: • vezano uz elektroničko bankarstvo: • primijeniti sigurne i učinkovite autentifikacijske metode za potvrdu identiteta i ovlasti osoba, procesa i sustava • osigurati da autentifikacija osoba uključuje kombinaciju najmanje dva načina potvrđivanja korisničkog identiteta gdje god je to moguće primijeniti • osigurati odgovarajuću potvrdu svog identiteta na distribucijskom kanalu elektroničkog bankarstva kako bi korisnici elektroničkog bankarstva mogli provjeriti identitet i izvornost banke • osigurati postojanje odgovarajućih operativnih i sistemskih zapisa, kako bi se osigurala neporecivost i dokazivost radnja povezanih s elektroničkim bankarstvom

  37. Obveze banaka u 2010. godini • Banke će biti dužne: • klasificirati i zaštititi informacije prema stupnju njihove osjetljivosti s obzirom na moguće posljedice narušavanja povjerljivosti, integriteta i raspoloživosti informacija • u skladu s procjenom rizika osigurati izradu operativnih i sistemskih zapisa te odrediti vrijeme čuvanja operativnih i sistemskih zapisa koji će omogućiti rekonstruiranje događaja, otkrivanje neovlaštenih pristupa i radnja na informacijskom sustavu, identificiranje problema i utvrđivanje odgovornosti • uspostaviti proces upravljanja promjenama softverskih komponenata informacijskog sustava koji obuhvaća barem sljedeće postupke: • utvrđivanje početnih inačica softverskih komponenata informacijskog sustava • identifikaciju i praćenje svih programskih promjena aplikacijskog softvera koje podržavaju pružanje bankovnih, financijskih i/ili pomoćnih bankovnih usluga

  38. Obveze banaka u 2010. godini • identifikaciju i praćenje svih promjena arhitekture baza podataka koje podržavaju pružanje bankovnih, financijskih i/ili pomoćnih bankovnih usluga • identifikaciju i praćenje promjena svih ostalih softverskih komponenata informacijskog sustava koje utječu ili mogu utjecati na funkcionalnost i/ili sigurnost informacijskog sustava • uspostaviti proces planiranja kontinuiteta poslovanja kako bi osigurala postojanost kritičnih i/ili vitalnih poslovnih procesa. U sklopu procesa planiranja kontinuiteta poslovanja banka će biti dužna: • izraditi i dokumentirati analizu utjecaja na poslovanje koja će odrediti utjecaj neraspoloživosti pojedinih poslovnih procesa odnosno resursa informacijskog sustava potrebnih za odvijanje tih procesa na poslovanje banke

  39. Obveze banaka u 2010. godini • usvojiti plan(ove) kontinuiteta poslovanja koji će omogućiti ponovnu uspostavu kritičnih i/ili vitalnih poslovnih procesa u zahtijevanom vremenu oporavka te ograničiti i smanjiti gubitke koji mogu nastati kao posljedica narušavanja ili prekida poslovnih procesa • usvojiti plan(ove) oporavka informacijskog sustava koji će omogućiti oporavak i raspoloživost resursa informacijskog sustava potrebnih za odvijanje kritičnih i/ili vitalnih poslovnih procesa u zahtijevanom vremenu • periodički i nakon značajnih promjena u poslovnim procesima ili na informacijskom sustavu na odgovarajući način testirati plan(ove) kontinuiteta poslovanja i plan(ove) oporavka informacijskog sustava te sastaviti pisana izvješća o rezultatima testiranja • uspostaviti proces upravljanja pričuvnom pohranom koji obuhvaća postupke izrade, pohrane i testiranja pričuvnih kopija podataka te restauracije podataka s pričuvnih kopija kako bi se osigurala raspoloživost podataka u slučaju potrebe te omogućio oporavak odnosno ponovna uspostava kritičnih i/ili vitalnih poslovnih procesa u zahtijevanom vremenu

  40. Obveze banaka u 2010. godini • u skladu s procjenom rizika i temeljem rezultata analize utjecaja na poslovanje osiguratiraspoloživost pričuvnoga računalnog centra s odgovarajućom opremljenošću, funkcionalnošću i razinom sigurnosti koji je na odgovarajućoj udaljenosti od primarnog računalnog centra

  41. Otvorena pitanja?

  42. HVALA NA PAŽNJI

More Related