ISACA HU COBIT 3 Auditalasi Utmutato

COBIT®

3. kiadás

Auditálási Útmutató

2000. július

A COBIT Irányító Bizottsága és az IT Governance Institute™ gondozásában

A COBIT küldetése:A gazdasági vezetõk és az auditorok napi munkájában használható,

általános érvényû információ-technológiai kontroll célkitûzések hiteles,naprakész, nemzetközileg elfogadott rendszerének kutatása, fejlesztése,

közzététele és terjesztése.

INFORMATION SYSTEMS AUDIT ANDCONTROL ASSOCIATION

Egyedülálló Nemzetközi Forrás az Informatikai Ellenõrzés Területén

Az Information Systems Audit andControl Association(Információrendszer Audit ésKontroll Egyesület) olyanmeghatározó jelentõségû nemzetköziszakmai szervezet, amely több mint100 ország szakembereit tömöríti,az információ-technológia mindenszintjén - felsõ- és közép-vezetõketvalamint gyakorló szakembereketegyaránt. Az Egyesület pozíciójábóleredõen egyedülálló szerepet tölt beaz informatikai ellenõrzésiszabványok harmonizációjában.Más pénzügyi, számviteli,ellenõrzési és informatikaicsoportokkal kialakított stratégiaiegyüttmûködésének köszönhetõenegyedülálló módon képes összefogniaz üzleti folyamatok irányításábanérdekelt feleket.

Az Egyesület Programjai és SzolgáltatásaiAz Egyesület magas színvonalúprogramokat és szolgáltatásokatkínál a nemzetközi szakképesítés, aszabványok, a továbbképzés és aszakmai kiadványok terén:• Szakképesítési programja (a

Certified Information SystemsAuditor™ - Oklevelesinformációrendszer auditor)képzés az egyetlen olyan, amelynemzetközi képesítést nyújt azinformatikai kontroll ésellenõrzés területén.

• Az Egyesület által kidolgozottnemzetközi szabványok azinformatika területéhez

kapcsolódó auditálási és kontrolleljárások minõségi mércéjekéntszolgálnak.

• Továbbképzõ programjaikeretében szakmai és vezetõikonferenciákat ésszemináriumokat szervez a világöt földrészén, így segítve azt,hogy a szakemberek a világminden részén magas szintûtovábbképzésben részesüljenek.

• Szakmai kiadványai hivatkozásiforrásként és kutatási anyagkéntszolgálnak, tovább növelve akülönbözõ programok ésszolgáltatások értékét.

Az Information Systems Audit andControl Association 1969-benalakult meg azzal a céllal, hogykielégítse az akkor feltörekvõinformatikai ágazat egyedi, sokrétûés magas szintû technológiaiigényeit. Az ISACA lépést tart anemzetközi üzleti közösség és azinformatikai szakma igényeinekfejlõdésével.

További InformációkTovábbi felvilágosításért hívja a+1.847.253.1545-ös telefonszámot,írjon e-mail címünkre([email protected]), vagykeressen fel minket az Internet-enaz alábbi oldalakon:

www.Itgovernance.orgwww.isaca.org

AMERICAN SAMOA

ARGENTINA

ARMENIA

AUSTRALIA

AUSTRIA

BAHAMAS

BAHRAIN

BANGLADESH

BARBADOS

BELGIUM

BERMUDA

BOLIVIA

BOTSWANA

BRAZIL

BRITISH VIRGIN ISLANDS

CANADA

CAYMAN ISLANDS

CHILE

CHINA

COLOMBIA

COSTA RICA

CROATIA

CURACAO

CYPRUS

CZECH REPUBLIC

DENMARK

DOMINICAN REPUBLIC

ECUADOR

EGYPT

EL SALVADOR

ESTONIA

FAEROE ISLANDS

FIJI

FINLAND

FRANCE

GERMANY

GHANA

GREECE

GUAM

GUATEMALA

HONDURAS

HONG KONG

HUNGARY

ICELAND

INDIA

INDONESIA

IRAN

IRELAND

ISRAEL

ITALY

IVORY COAST

JAMAICA

JAPAN

JORDAN

KAZAKHSTAN

KENYA

KOREA

KUWAIT

LATVIA

LEBANON

LICHTENSTEIN

LITHUANIA

LUXEMBURG

MALAYSIA

MALTA

MALAWI

MAURITIUS

MEXICO

NAMIBIA

NEPAL

NETHERLANDS

NEW GUINEA

NEW ZELAND

NICARAGUA

NIGERIA

NORWAY

OMAN

PAKISTAN

PANAMA

PARAGUAY

PERU

PHILIPPINES

POLAND

PORTUGAL

QATAR

RUSSIA

SAUDI ARABIA

SCOTLAND

SEYCHELLES

SINGAPORE

SLOVAK REPUBLIC

SLOVENIA

SOUTH AFRICA

SPAIN

SRI LANKA

ST. KITTS

ST. LUCIA

SWEDEN

SWITZERLAND

TAIWAN

TANZANIA

TASMANIA

THAILAND

TRINIDAD & TOBAGO

TUNESIA

TURKEY

UGANDA

UNITED ARAB EMIRATES

UNITED KINGDOM

UNITED STATES

URUGUAY

VENEZUELA

VIETNAM

WALES

YUGOSLAVIA

ZAMBIA

ZIMBABVE

AUDITÁLÁSI ÚTMUTATÓ

I T G O V E R N A N C E I N S T I T U T E 3

Köszönetnyílvánítás 6Összefoglaló Áttekintés 7-10A COBIT Keretrendszer 11-16A Keretrendszer Alapelvei 17-22COBIT Történelem és Elõzmények 23-24Bevezetés az Auditálási Útmutatóhoz 25-30Általános Auditálási Útmutató 31-35Kontroll Célkitûzések - Összesítõ Tábla 36Az Auditálási Útmutató Navigációs Áttekintése 37-38A Kontroll Célkitûzések Közötti Kapcsolatok: 39-44Szakterület, Folyamatok és Kontroll CélkitûzésekAuditálási Útmutató 45

Tervezés és Szervezet ..................................46-102Beszerzés és Rendszermegvalósítás ..........103-137Szolgáltatás és Támogatás .........................139-213Monitorozás ...............................................215-230

I. MellékletAz Informatikai Irányításhoz KapcsolódóVezetõi Útmutató .......................................233-236

II. MellékletA COBIT Projekt Leírás ..............................237-238

III. MellékletElsõdleges COBIT Hivatkozási Források ...239-241

IV. MellékletSzójegyzék ................................................242-243

V. MellékletAz Auditálás Folyamata .............................244-247

Általános auditálási útmutató (kihajtható lap) 249

A kiadók megjegyzéseAz Information Systems Audit and Control Foundation (InformációrendszerAudit és Kontroll Alapítvány), az IT Governance Institute (InformatikaiIrányítási Intézet) és a COBIT: Control Objectives for Information andRelated Technology (Az informatika és a kapcsolódó technológia kontrollcélkitûzései) támogatói elsõsorban azzal a céllal dolgozták ki az Összefoglalóáttekintés, a Keretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató, azAuditálási útmutató és az Implementációs eszköztár elnevezésû kiadványokat(együttesen a ''Termék"), hogy forrásanyagot biztosítnak az irányítási ésellenõrzési szakemberek számára. Az Information Systems Audit and ControlFoundation, az IT Governance Institute és a támogatók nem állítják azt, hogya jelen Termékben leírtak alkalmazása garanciát jelent a sikeres eredményre.A kiadók nem állítják azt, hogy a jelen Termék minden megfelelõ eljárást éstesztet tartalmaz illetve azt, hogy a benne szereplõ eljárásokon és tesztekenkívül más eljárások és tesztek nem hozhatnak hasonló eredményeket. Azegyes konkrét eljárások illetve tesztek megfelelõségének meghatározásakoraz irányítási és ellenõrzési szakembereknek saját szakmai megítélésükalapján kell dönteniük, a konkrét rendszerekre illetve informatikaikörnyezetre vonatkozó kontroll környezet függvényében.

Közzététel és szerzõi jogCopyright © 1996, 1998, 2000 by Information Systems Audit and ControlFoundation (ISACF). A termék kereskedelmi célú kiadásához az ISACFelõzetes írásbeli hozzájárulása szükséges. Az Összefoglaló áttekintés, aKeretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató és azImplementációs eszköztár c. részek nem üzleti célú, belsõ használatra történõmásolása, beleértve azok adatkeresõ rendszerben történõ tárolását ésbármilyen eszközön - elektronikus, mechanikus, hangfelvétel, vagy más -keresztül történõ továbbítását, engedélyezett. Az Összefoglaló áttekintés, aKeretrendszer, a Kontroll célkitûzések, a Vezetõi útmutató és azImplementációs eszköztár részekrõl készített másolatokban az alábbi szerzõijogi nyilatkozatot kell feltüntetni: "Copyright © 1996, 1998, 2000 byInformation Systems Audit and Control Foundation. Az InformationSystems Audit and Control Foundation és az IT Governance Instituteengedélyével."

Az Auditálási útmutató címû rész felhasználása, másolása, reprodukálása,módosítása, terjesztése, adatkeresõ rendszerben történõ tárolása és bármilyenformában, bármilyen eszközön (elektronikus, mechanikus, fénymásolt,hangfelvétel, vagy más) keresztül történõ továbbítása nem engedélyezett azISACF elõzetes írásbeli hozzájárulása nélkül; azzal a kikötéssel, hogy azAuditálási útmutató kizárólag belsõ, nem-kereskedelmi célú felhasználásaengedélyezett. A fentiekben jelzetteken kívül semmilyen más jog illetveengedély nem került átadásra a jelen Termékkel kapcsolatban. A Termékkelkapcsolatos minden jog fenntartva.

Information Systems Audit and Control FoundationIT Governance Institute3701 Algonquin Road, Suite 1010Rolling Meadows, IL 60008 USATelefon: +1.847.253.1545Fax: +1.847.253.1443E-mail: [email protected]: www.ITgovernance.org

www.isaca.org

ISBN 1-893209-12-1 (Auditálási Útmutató)ISBN 1-893209-13-X (a 6 teljes könyv CD ROM-mal együtt)

Készült az Amerikai Egyesült Államokban. Fordították Magyarországon.

TARTALOMJEGYZÉK

4 I T G O V E R N A N C E I N S T I T U T E

Minden alkalommal meglepetéssel tölt el, hogy Magyarországot mindig a fejlõdésélvonalában találom:

• a közép-kelet-európai országok közül elsõként tett jelentõs lépéseket a demokráciafelé - amit mi, nyugat-európaiak, hatalmas érdeklõdéssel figyeltünk,

• a régióból elsõként csatlakozott a nemzetközi pénzügyi rendszerhez - a SWIFTfõfelügyelõjeként e folyamatnak személyesen is részese lehettem, és

• elsõként állt készen arra, hogy a kibõvülõ Európai Unió tagja lehessen.

Most pedig itt egy újabb elsõség: a COBIT magyar nyelvû fordításának megje-lenésével a francia, a japán és a spanyol nyelvû változat elõkelõ társaságában találjamagát.

Többször volt részem abban a megtiszteltetésben, hogy találkozhattam magyar ITirányítási szakemberekkel, auditorokkal - minden esetben örömmel tapasztalvahozzáértésüket és elkötelezettségüket. Ezért nem is ért meglepetésként, amikor aCOBIT magyar fordításról szõtt terveikrõl elõször halottam. Biztos vagyok benne,hogy ez a nagy kihívást jelentõ feladat sikeresen teljesült. Ehhez azonban nem csaknyelvi jártasságra volt szükség (van igazi magyar megfelelõje a "control" szónak?),de elengedhetetlen a COBIT tartalmi vonatkozásainak alapos ismerete is. Nem lévénnyelvész, az elõbbi kérdésben állást foglalni nem tudok, az utóbbit azonban nyugodtszívvel tanúsíthatom; többször tapasztalhattam a COBIT mélyreható ismereténektanúbizonyságát a magyar kollégák részérõl.

Végezetül szeretnék gratulálni mindazoknak, akiknek a közremûködése lehetõvé tettee komoly kihívást jelentõ projekt sikerét.

Erik Guldentops, CISA, CISMelnök, COBIT Irányító Bizottság



A magyar fordítás az Informatikai és Hírközlés Minisztérium,

a Pénzügyi Szervezetek Állami Fegyülete (PSZÁF),

és a Budapesti Gazdasági Fõiskola támogatásával készült.

A COBIT MAGYAR NYELVÛ VÁLTOZATÁNAK IRÁNYÍTÓ BIZOTTSÁGA:

Borda József PhD, CISANyíry Géza PhDRoóz József PhD

Szakfordítók és lektorok:Borda József, PhD, CISA

Gugyella ZoltánMolnár Bálint, PhD, CISA

Szerényi Imre, CISA

Magyar nyelvû fordítás 1.számú változat

Minden jog fenntartva © ISACA HUNGARY CHAPTER

A COBIT alkalmazával kapcsolatos tapasztalatokat, javaslatokat köszönettel fogadunk,amit az alábbi címre juttathat el: [email protected] illetve az

Információrendszer Ellenõrök Egyesülete1117 Budapest Karinthy Frigyes u. 17. IV/26-27. címre.


KÖSZÖNETNYILVÁNÍTÁS

COBIT IRÁNYÍTÓ BIZOTTSÁG

Erik Guldentops. S.W.I.F.T. sc. Belgium

John Lainhart, PricewaterhouseCoopers, USA

Eddy Schuermans, PricewaterhouseCoopers, Belgium

John Beveridge, State Auditor's Office, Massachusetts, USA

Michael Donahue, PricewaterhouseCoopers, USA

Gary Hardy, Arthur Andersen, Egyesült Királyság

Ronald Saull, Great-West Life Assurance, London Life And Investors Group, Kanada

Mark Stanley, Sun America Inc., USA

KÜLÖN KÖSZÖNET az Information Systems Audit and Control AssociationIgazgatóságának tagjainak és az Information Systems Audit and Control Foundationvagyonkezelõinek, élükön Paul Williams Nemzetközi Elnökkel, a CobiT irántielkötelezettségükért és folyamatos támogatásukért.



ÖSSZEFOGLALÓ ÁTTEKINTÉS

AA szervezetek sikere és továbbélése szempontjábólkritikus fontosságú az információk és az ahhoz

kapcsolódó információ-technológia (IT) eredményesalkalmazása. Napjaink globális információstársadalmában - ahol az információ az idõ, a távolság ésa sebesség korlátjai nélkül terjed, az alábbi tényezõkmiatt vált rendkívül fontossá az információk hatékonyfeldolgozása:

• a szervezetek egyre nagyobb mértékben függenek azinformációktól és az azokat feldolgozó és továbbítórendszerektõl;

• a szervezetek egyre nagyobb mértékben függenek azinformációktól és az azokat feldolgozó és továbbítórendszerektõl;

• egyre nagyobb mértékû a szervezetek sebezhetõségeés veszélyeztetettsége, a világhálón keresztül megje-lenõ veszélyek és az információs hadviseléskövetkeztében;

• az informatikai beruházások volumene és költségeijelentõs mértékben növekedtek és a jövõben isnövekedni fognak; továbbá

Sok szervezet esetében az információ és az azt támogatótechnológia jelenti a szervezet legértékesebb vagyontár-gyait. Mindezek mellett napjaink verseny-centrikus ésgyorsan változó üzleti környezetében az üzletemberekegyre fokozottabb elvárásokat fogalmaznak meg azinformáció-technológiával szemben: a vezetés magasabbminõséget, funkcionalitást és könnyen használhatószolgáltatásokat, egyre gyorsabb kiszolgálást ésfolyamatosan javuló szolgáltatási színvonalat igényel,ugyanakkor ezeket a célokat sokkal alacsonyabbköltségek mellett kívánja megvalósítani.

Számos szervezet felismeri a technológiaalkalmazásának potenciális elõnyeit. A sikeresszervezetek azonban megértik és kezelik az újtechnológiák bevezetésével járó kockázatokat is.

Számos olyan változás történt az informatikában ésannak mûködési környezetében, amelyek szükségesséteszik az informatikával kapcsolatos kockázatokhatékonyabb kezelését. Az elektronikus információk ésaz informatikai rendszerek jelentõs szerepet játszanak a

kulcsfontosságú üzleti folyamatok támogatásában.Emellett a szabályozási környezet egyre szigorúbbelõírásokat fogalmaz meg az információk kontrolljáravonatkozóan. Ezt a folyamatot az egyre nagyobbszámban napvilágra kerülõ informatikai katasztrófák éselektronikus csalások csak megerõsítik. Az infor-matikához kapcsolódó kockázatok kezelése a vállalat-irányítás kulcsfontosságú részévé vált napjainkra.

A vállalat-irányításon belül egyre jelentõsebbé válik azún. informatikai irányítás. Az informatikai irányítás avállalat-irányítási és ellenõrzési kapcsolatok és eljárásokolyan struktúrájaként határozható meg, amely új értékhozzáadásával, ugyanakkor a kockázatok és az infor-matika által kínált elõnyök együttes mérlegelésévelkívánja megvalósítani a vállalkozás célkitûzéseit. Azinformatikai irányítás meghatározó szerepet játszik avállalat-irányítás sikerességében azáltal, hogyeredményes, hatékony és mérhetõ javulást biztosít akapcsolódó vállalati folyamatokban. Az informatikaiirányítás jelenti azt a struktúrát, amely összekapcsolja azinformatikai folyamatokat, az informatikai erõforrásokatés az információkat a szervezet stratégiájával éscélkitûzéseivel. Emellett az informatikai irányításintegrálja és intézményesíti a tervezésre és szervezetre,a beszerzésre és rendszermegvalósításra, az informatikaiszolgáltatásra és támogatásra, valamint az informatikaiteljesítmény monitorozására vonatkozó követendõ (vagylegjobb) gyakorlatokat annak érdekében, hogy avállalkozás információs- és kapcsolódó technológiáisegítsék a szervezet üzleti célkitûzéseinekmegvalósítását. Az informatikai irányítás tehát lehetõvéteszi a vállalat számára, hogy teljes mértékbenkihasználja a birtokában lévõ információk által kínáltelõnyöket és ezáltal maximális hasznot érjen el, megra-gadja a kínálkozó üzleti lehetõségeket és piaciversenyelõnyhöz jusson.

INFORMATIKAI IRÁNYÍTÁS

A vállalat-irányítási és ellenõrzési kapcsolatok ésfolyamatok olyan struktúrája, amelynek célja az,hogy új érték hozzáadásával, ugyanakkor akockázatok és az informatika által kínált elõnyökegyensúlyának megteremtésével valósítsa meg avállalkozás célkitûzéseit.


Aszervezeteknek az információk kapcsán is, akár-csak a szervezet minden vagyona esetében, figye-

lembe kell venniük bizonyos minõségi, fiduciáris ésbiztonsági követelményeket. A vezetésnek emellettgondoskodnia kell a rendelkezésre álló erõforrások -ideértve az adatokat, az alkalmazási rendszereket, atechnológiát, a létesítményeket és az emberi erõforrá-sokat - optimális kihasználásáról. A fenti feladatok tel-jesítése valamint kitûzött céljai megvalósításaérdekében a vezetésnek tisztában kell lennie saját infor-matikai rendszereinek státuszával és döntenie kell arról,hogy milyen biztonsági és kontroll mechanizmusokatkíván kialakítani.

A COBIT - immár harmadik kiadásában - az üzletikockázatok, a kontroll igények és a technikai jellegûkérdések között húzódó szakadékok áthidalása révénsegítséget nyújt a vezetés sokrétû igényeinek kielégíté-séhez. Az informatikai szakterületeire és folyamatairavonatkozóan bevált gyakorlati megoldásokat kínál,ugyanakkor kezelhetõ és logikus struktúrában mutatjabe a szükséges teendõket. A COBIT által megfogalma-zott "követendõ gyakorlatok" olyan eljárásokat jelen-tenek, amelyek kapcsán konszenzusra jutottak aszakértõk abban, hogy ezek az eljárások segítik azinformatikai beruházások optimalizálását és támpontotnyújtanak annak eldöntéséhez, hogy jól mennek-e adolgok, vagy sem.

A vezetésnek olyan belsõ kontroll rendszert kell kialakí-tania, amely támogatja az üzleti folyamatokat, világosanmeghatározza, hogy az egyes kontroll tevékenységekhogyan járulnak hozzá az információkra vonatkozó kö-vetelmények teljesítéséhez és kihatnak az informatikaierõforrásokra is. Az informatikai rendszerek erõforrás-igényeivel valamint az információk eredményességével,hatékonyságával, titkosságával, sértetlenségével, rendel-kezésre állásával, megfelelõségével és megbízhatóságá-val kapcsolatos üzleti követelményekkel a COBITKeretrendszer része foglalkozik részletesebben. A kont-roll, amely magába foglalja az irányelveket, a szervezetistruktúrát és a gyakorlati eljárásokat is, a vezetés fele-lõsségi körébe tartozik. A vezetésnek kell a vállalat-irá-nyítás keretében gondoskodnia arról, hogy azinformációrendszerek irányításában, használatában, ter-vezésében, fejlesztésében, karbantartásában és üzemel-

tetésében részt vevõ személyek kellõ felelõsséggel jár-janak el. Az informatikai kontroll célkitûzések aztfogalmazzák meg, hogy az egyes konkrét informatikaitevékenységek esetében a kontroll-eljárások alkalmazá-sa révén melyek az elérendõ eredmények, illetve célok.

Az üzleti szemléletmód a COBIT egyik fõ jellemzõje.A COBIT nemcsak a felhasználók és az auditorok

számára készült, hanem, ami talán még ennél is fonto-sabb, átfogó hivatkozási forrásként szolgál a vezetõk ésaz üzleti folyamatok gazdái számára. Napjainkban egy-re elterjedtebb az a szemléletmód, hogy az üzletpolitikarészeként az egyes üzleti folyamatok tulajdonosai teljesfelhatalmazást kapnak, tehát teljes felelõsséggel tartoz-nak az adott üzleti folyamatért, annak minden aspek-tusát beleértve. Ehhez kiemelten hozzátartozik amegfelelõ kontroll mechanizmusok kialakítása is.

A COBIT Keretrendszer eszközt nyújt az üzleti folyama-tokért felelõs vezetõknek a fentebb említett feladataikteljesítéséhez. A Keretrendszer egy egyszerû és pragma-tikus alaptételbõl indul ki:

A szervezeti célkitûzések teljesítéséhez szükséges infor-mációk biztosítása érdekében az informatikai erõfor-rásokat bizonyos természetszerûleg összetartozófolyamatok keretében kell kezelni.

A Keretrendszer minden informatikai folyamathoz egy,azaz összesen 34 magas szintû kontroll célkitûzésmegfogalmazásával folytatódik, mely folyamatok négyszakterületre csoportosulnak: tervezés és szervezet; be-szerzés és rendszermegvalósítás; informatikai szolgál-tatás és támogatás, valamint monitorozás. Ez a struktúraaz információk és az azok feldolgozásához kapcsolódótechnológia minden aspektusát lefedi. A fenti 34 általá-nos kontroll célkitûzés segítségével az üzleti folyama-tokért felelõs vezetõk megfelelõ kontroll rendszertalakíthatnak ki az informatikai környezetre vonatkozó-an.

ACOBIT Keretrendszer ugyanakkor informatikai irá-nyítási útmutatót is kínál. Az informatikai irányítás

biztosítja azt a struktúrát, amely összekapcsolja azinformatikai folyamatokat, az informatikai erõforrá-sokat és az információkat a szervezet stratégiájával és



célkitûzéseivel. Az informatikai irányítás összehangoljaa tervezés és szervezet, a beszerzés és rendszermegva-lósítás, az informatikai szolgáltatás és támogatás, vala-mint az informatikai teljesítmény monitorozásánakoptimális módjait. Az informatikai irányítás lehetõvé te-szi a vállalat számára, hogy teljes mértékben kihasznál-ja a birtokában lévõ információk által kínált elõnyöketés ezáltal maximális hasznot érjen el, megragadja a kí-nálkozó üzleti lehetõségeket és piaci versenyelõnyhözjusson.

Mindezek mellett a 34 magas szintû kontroll célkitûzésmindegyikéhez kapcsolódóan kidolgozásra került egyAuditálási útmutató is, amelynek segítségével az infor-matikai folyamatok összevethetõk a COBIT által java-solt 318 részletes kontroll célkitûzéssel, a vezetésszámára történõ megerõsítés és/vagy a továbbfejlesz-tésre vonatkozó tanácsadás céljából.

AVezetõi útmutató, a COBIT termék-család legújabbtagja, további segítséget és újabb eszközt nyújt a

vállalatvezetés részére az informatikai irányításhoz kap-csolódó igények és követelmények még hatékonyabbkezeléséhez. Az útmutató, amely tevékenység-központúés általános jellegû, javaslatokat ad a vállalat-vezetés-nek arra vonatkozóan, hogy hogyan alakíthatóak kimegfelelõ kontroll eljárások a vállalkozás informá-ciórendszereire és az azokhoz kapcsolódó folyamatokravonatkozóan, hogyan kísérhetõ figyelemmel a szerveze-ti célok teljesítésének, illetve az egyes informatikaifolyamatok teljesítményének alakulása, és hogyan mér-hetõ külsõ összehasonlítások alapján a szervezetteljesítménye.

A COBIT ún. Érettségi Modelleket kínál az informa-tikai folyamatok kontrolljához, amelyek alapján a veze-tés meg tudja határozni azt, hogy éppen hol tart aszervezet az iparág legjobbjaihoz és a nemzetközi szab-ványokhoz, illetve ahhoz viszonyítva, ahol tartani sze-retne; ún. Kritikus sikertényezõket jelöl meg, amelyekmeghatározzák a vezetés számára az informatikaifolyamatok fölötti és azokon belüli kontroll megvalósí-tásához szükséges legfontosabb végrehajtási irányelve-ket; ún. Kulcsfontosságú célmutatókat kínál, amelyekmeghatározzák azokat a mérõszámokat, amelyek - utó-

lag, a tények nyomán - jelzik a vezetésnek, hogy vala-mely informatikai folyamat megvalósította-e a kitûzöttüzleti célját; továbbá ún. Kulcsfontosságú teljesít-mény-mutatókat is meghatároz, amelyek elõre jelzikazt, hogy valamely informatikai folyamat milyen mér-tékben megfelelõ a kitûzött célok megvalósításaszempontjából.

A COBIT csomaghoz hozzátartozik egy Implementációseszköztár is, amely összefoglalja a COBIT-ot már sikere-sen alkalmazó szervezeteknél összegyûlt tapasztalatoktanulságait. Az implementációs eszköztár két különösenhasznos eszközt tartalmaz a szervezetek informatikaikontroll környezete felmérésének és elemzésének támo-gatására - a Vezetõi tudatosság diagnosztizálását és azInformatikai kontroll diagnosztikát.

Az elkövetkezõ évek során a vezetõknek demonstráltanmagasabb szintû biztonságot és kontrollt kellmegvalósítaniuk . A COBIT olyan eszköz, amely lehetõ-vé teszi a vezetõk számára a kontroll követelmények, atechnikai jellegû kérdések és az üzleti kockázatok kö-zötti szakadékok áthidalását, továbbá azt, hogy kommu-nikálják a kontroll adott szintjét a döntéshozók felé. ACOBIT egyértelmû szabályozás és követendõ IT kontrolleljárások kidolgozását teszi lehetõvé valamennyi szer-vezet számára, a világ minden részén. A COBIT tehátegy olyan úttörõ jelentõségû informatikai irányításieszköz, amely az információkhoz és az információ-technológiához kapcsolódó kockázatok és elõnyökmegértéséhez és kezeléséhez nyújt segítséget.

A COBIT Vezetõi útmutatójában szereplõ ajánlásoktevékenység-központúak és általános jellegûek,amelyek a vezetésnél felmerülõ alábbi típusúkérdések megválaszolásához nyújtanak segítséget:Meddig érdemes elmennünk és indokolják-e aköltségeket az elõnyök? Melyek a jó teljesítménymutatói? Melyek a kritikus sikertényezõk? Milyenkockázatokkal jár az, ha nem sikerül teljesíteni acélkitûzéseket? Mit tesznek mások? Hogyan mérjüka teljesítményünket és hogyan hasonlítsuk azt összemások teljesítményével?


A COBIT ÁLTAL A NÉGY SZAKTERÜLETRE VONATKOZÓANMEGHATÁROZOTT INFORMATIKAI FOLYAMATOK



A COBIT KERETRENDSZER

A KONTROLL SZÜKSÉGESSÉGE AZ INFORMÁCIÓ-TECHNOLÓGIÁBANAz utóbbi években egyre nyilvánvalóbbá vált, hogyszükség van valamilyen hivatkozási keretrendszerre azinformatikához kapcsolódó biztonsági és kontroll kér-dések terén. A szervezet sikeressége szempontjábólelengedhetetlenül szükséges az, hogy a vállalkozásonbelül minden szinten tisztában legyenek az infor-matikához kapcsolódó kockázatokkal és korlátokkal,mert csak így lehet megfelelõen és hatékonyan teljesí-teni az irányítási és kontroll feladatokat.

A VEZETÉSNEK kell döntenie arról, hogy milyenbefektetéseket érdemes eszközölni az információrend-szerek biztonsága és kontrollja érdekében és arról,hogy hogyan lehet ellensúlyozni a kockázatokat éskontrollálni a befektetéseket egy olyan informatikaikörnyezetben, amelyre gyakran a kiszámíthatatlanságjellemzõ. Bár igaz, hogy az információrendszerekbiztonsága és kontrollja segít a kockázatok kezelésé-ben, nem tudja kiküszöbölni azokat. Mindemellett akockázatok pontos szintjét soha nem lehet megítélni,mert mindig fennáll bizonyos mértékû bizonytalanság.Tehát végsõ soron a vezetésnek arról kell döntenie,hogy milyen kockázati szintet hajlandó elfogadni. Azelviselhetõ kockázati szint megítélése, különösen hamérlegelni kell a kapcsolódó költségeket is, nehéz dön-tési helyzet elé állíthatja a vezetést. Szüksége van tehátegy olyan, az információ-technológiához kapcsolódóáltalánosan elfogadott biztonsági és kontroll célkitûzé-seket meghatározó keretrendszerre, amelynek segít-ségével össze tudja mérni a meglévõ és a tervezettinformációrendszereit.

Az informatikai szolgáltatások FELHASZNÁLÓIszámára is egyre fontosabb szempont az, hogy a belsõilletve külsõ felek által nyújtott informatikai szolgál-tatások akkreditálásán és auditálásán keresztül megerõ-sítést kapjanak arról, hogy a biztonság és a kontrollmegfelelõ. Jelenleg azonban az információrendsze-rekhez kapcsolódó megfelelõ kontroll-funkciók kiala-kítását, legyen szó akár üzleti, non-profit vagykormányzati szervezetekrõl, gyakran akadályozza azezen a területen megfigyelhetõ zûrzavar. Ez a külön-

bözõ értékelési módszerekbõl ered: ITSEC, TCSEC,ISO 9000 értékelések, a kialakuló COSO belsõ kontrollértékelések, stb.. A felhasználóknak tehát elsõ lépés-ként szükségük van egy általános alapra.

Gyakran maguk az AUDITOROK állnak a nemzetkö-zi szabványosítás folyamatának élére, mivel õk napmint nap szembesülnek azzal az igénnyel, hogy a belsõkontrollal kapcsolatos véleményüket alá kell támaszta-niuk valamilyen norma-rendszerre hivatkozva a veze-tés felé. Egy megfelelõ keretrendszer hiányában ezrendkívül nehéz feladat. Emellett a vezetés egyre gyak-rabban kéri fel az auditorokat az információrendszerekbiztonsági és kontroll kérdéseivel kapcsolatos elõzeteskonzultációra és tanácsadásra.

AZ ÜZLETI KÖRNYEZET:VERSENY, VÁLTOZÁS ÉS KÖLTSÉGA globális verseny korszakába léptünk. A szervezetekfolyamatosan racionalizálják mûködésüket, és ezzelegyidejûleg kihasználják az informatika által kínáltelõnyöket versenypozíciójuk javítása érdekében. Aszerkezet-átalakítás, a karcsúsítás, a kiszervezés, a ha-táskörök átruházása, a lelapított szervezet és a megosz-tott feldolgozás mind olyan változások, amelyekbefolyásolják az üzleti és a kormányzati szervezetekmûködésének módját. Ezek a fejlemények alapvetõváltozásokat idéztek elõ - és fognak még elõidézni - aszervezetek vezetési és mûködési kontroll struk-túrájában világszerte.

A költséghatékonyság és a versenyelõnyök kihasználá-sának elõtérbe kerülése nyomán a legtöbb szervezetstratégiájában egyre fontosabb szerepet kap atechnológia. A szervezeti funkciók automatizálása ter-mészetébõl adódóan megköveteli, hogy hatékonyabbkontroll-mechanizmusok kerüljenek beépítésre a szá-mítógépekbe és hálózatokba, mind hardver-, mindszoftver szinten. Mindemellett az ilyen kontroll-mecha-nizmusok alapvetõ strukturális jellemzõi ugyanolyanütemben és ugyanolyan ugrásszerû jelleggel változnakés fejlõdnek, ahogy maga a számítógépes és hálózatitechnológia.

Ebben a gyorsuló változással jellemezhetõ környezet-ben a vezetõk, az informatikai szakemberek és azauditorok csak akkor tudják hatékonyan ellátni felada-taikat, ha ismereteiket állandóan fejlesztve lépést tarta-nak a technológia fejlõdésével és a környezetváltozásaival. Aki megalapozott és prudens értékeléstakar készíteni az üzleti illetve kormányzati szerveze-teknél alkalmazott kontroll eljárásokról, annak tisztá-ban kell lennie a kontroll eljárások technológiájával ésazok változó jellegével.

A VÁLLALAT-IRÁNYÍTÁS ÉS AZ INFORMATIKAI IRÁNYÍTÁS KAPCSOLATANapjaink ún. információs gazdaságában a sikeres válla-latok már nem kezelhetik különálló és egymástólkülönválasztható területekként a vállalat-irányítást ésaz informatikai irányítást. A hatékony vállalat-irányításarra a területre koncentrálja az egyéni és csoportosszaktudást és tapasztalatokat, ahol azok a leghatéko-nyabban hasznosíthatóak, figyelemmel kíséri és méri ateljesítményt és állást foglal a kritikus kérdésekkelkapcsolatban. Az informatika, amelyet régebben a vál-lalati stratégia megvalósítását segítõ eszközként kezel-tek, mára a stratégia elválaszthatatlan részévé vált.

Az informatikai irányítás jelenti azt a struktúrát, amelyösszekapcsolja az informatikai folyamatokat, az infor-matikai erõforrásokat és az információkat a szervezetstratégiájával és célkitûzéseivel. Az informatikai irá-nyítás összehangolja a tervezés és szervezet, a beszer-zés és rendszermegvalósítás, az informatikaiszolgáltatás és támogatás valamint az informatikaiteljesítmény monitorozásának optimális módjait. Azinformatikai irányítás meghatározó szerepet játszik avállalat-irányítás sikerességében azáltal, hogy eredmé-nyes, hatékony és mérhetõ javulást biztosít a kapcsoló-dó vállalati folyamatokban. Az informatikai irányításlehetõvé teszi a vállalat számára, hogy teljes mértékbenkihasználja a birtokában lévõ információk által kínáltelõnyöket és ezáltal maximális hasznot érjen el, megra-gadja a kínálkozó üzleti lehetõségeket és piaci verseny-elõnyhöz jusson.

Ha közelebbrõl megvizsgáljuk a vállalat-irányítás és azinformatikai irányítás egymáshoz való viszonyát, kide-rül, hogy a vállalat-irányítás, vagyis az a rendszer,amely az egyes egységeket irányítja és kontrollálja, be-folyással és hatással van az informatikai irányításra.Ugyanakkor az informatika kritikus inputokat biztosít astratégiai tervekhez és fontos alkotóeleme azoknak. Agyakorlatban az informatika befolyásolhatja a vállalko-zás által meghatározott stratégiai lehetõségeket.

Az üzleti célkitûzések teljesítéséhez a vállalati tevé-kenységek során szükség van az informatikai tevé-kenységekbõl származó információkra. A sikeresszervezetek olyan rendszert alakítanak ki, amely bizto-sítja a stratégiai tervezés és az informatikai tevékeny-ségek egymásrahatását. Az informatikai rendszert úgykell kialakítani, hogy annak segítségével a vállalkozásteljes mértékben ki tudja használni a birtokában lévõinformációk által kínált elõnyöket és ezáltal maximálishasznot tudjon elérni, meg tudja ragadja a kínálkozóüzleti lehetõségeket és piaci versenyelõnyhöz jusson.


A COBIT KERETRENDSZER, folytatás



A vállalat-irányítást olyan általánosan elfogadott, ún.követendõ (vagy legjobb) gyakorlatok vezérlik, ame-lyek biztosítják azt, hogy a vállalkozás teljesítse céljait- ezek megvalósítását bizonyos kontroll eljárásokgarantálják. A vállalat-irányítás ezekbõl a célokból ki-indulva határozza meg a szükséges vállalati tevékeny-ségeket, a vállalat erõforrásainak felhasználásával. Avállalati tevékenységek eredményeit mérik és értékelik,amelynek alapján folyamatosan módosítják és korrigál-ják a kontroll eljárásokat, újra kezdve ezzel a ciklust.

Az informatikára vonatkozóan is érvényben vannakolyan ún. követendõ (vagy legjobb) gyakorlatok, ame-lyek biztosítják azt, hogy a vállalkozás információi ésaz azokhoz kapcsolódó technológia támogassák az üz-leti célkitûzéseket, az erõforrások hatékony felhaszná-lását és a kockázatok megfelelõ kezelését. Ezek agyakorlatok illetve normák szolgálnak az informatikaitevékenységek irányításának alapjául, amely tevékeny-ségek a tervezés és szervezés, a beszerzés és rendszer-megvalósítás, a szolgáltatás és támogatás, valamint amonitorozás körébe sorolhatók, és kettõs céljuk, hogykezeljék a kockázatokat (biztonságot, megbízhatóságotés a szabályoknak való megfelelést nyújtsanak), és ki-aknázzák az elõnyöket (fokozzák az eredményességetés a hatékonyságot). Az informatikai tevékenységekeredményeirõl jelentéseket készítenek, amelyeket ösz-szevetnek a különbözõ gyakorlatokkal, normákkal éskontroll eljárásokkal, és a ciklus elölrõl kezdõdik újra.


Ahhoz, hogy a vezetés teljesíteni tudja üzleti célkitûzéseit, irányítania kell az informatikai tevékenységeket,megfelelõ egyensúlyt kialakítva a kockázatok kezelése és az elõnyök realizálása között. Ennek érdekében avezetésnek meg kell határoznia a legfontosabb szükséges tevékenységeket, mérnie kell a célok teljesítéseirányában történt elõrelépéseket, és értékelnie kell az informatikai folyamatok teljesítményét. Mindezek melletta vezetés számára szükséges annak lehetõsége is, hogy felmérje a szervezet érettségi szintjét és összevesse azt alegjobb ágazati gyakorlattal és a nemzetközi szabványokkal. A fenti vezetõi igények kielégítéséttámogatandó, a COBIT Vezetõi útmutatója konkrét kritikus sikertényezõket, kulcsfontosságú cél-mutatókat és kulcsfontosságú teljesítmény-mutatókat határoz meg, és bemutat egy, az informatikaiirányításra vonatkozó Érettségi Modellt, az I. Mellékletben foglaltaknak megfelelõen.


AZ IGÉNYEK FIGYELEMBE VÉTELEA fentiekben felvázolt állandó változások közepette azinformáció-technológiához kapcsolódó kontroll célki-tûzéseket összefogó COBIT keretrendszer és az erreépülõ folyamatos kutatás alappillérként szolgálnak afolyamatos elõrelépéshez az informatika és az ahhozkapcsolódó technológiák kontrollja területén.

Egyrészrõl tanúi lehettünk olyan általános üzleti kont-roll modellek kifejlesztésének és megjelenésének, mintamilyen a COSO* az Amerikai Egyesült Államokban,a Cadbury az Egyesült Királyságban, a CoCo Kanadá-ban vagy a King Dél-Afrikában. Másrészrõl viszont jónéhány koncentráltabb irányú kontroll modell is kidol-gozásra került az informatika területén. Az utóbbi kate-gória jó példái a Security Code of Conduct DTI modell(Department of Trade and Industry - Kereskedelmi ésIpari Minisztérium, Egyesült Királyság), a CICA(Canadian Institute of Chartered Accountants - Kana-dai Hites Könyvszakértõk Intézete) InformationTechnology Control Guidelines modellje és a SecurityHandbook, NIST (National Institute of Standards andTechnology - Országos Szabványügyi és TechnológiaiIntézet, USA). Ezek a meghatározott célra kifejleszte-tett kontroll modellek azonban nem jelentenek átfogóés használható kontroll modellt az informatikára vonat-kozóan az üzleti folyamatok támogatásának terén. ACOBIT rendeltetése ennek a résnek az áthidalása egyolyan alap megteremtése révén, amely az informatikárafókuszálva szorosan kapcsolódik az üzleti célkitûzé-sekhez.

(A COBIT rendszerhez a legszorosabban a nemrégmegjelent AICPA/CICA SysTrust™ Principles andCriteria for Systems Reliability kapcsolódik. ASysTrust az Egyesült Államokbeli Assurance ServicesExecutive Committee és a kanadai Assurance ServicesDevelopment Board kiadványa, amely részben a COBITKontroll célkitûzések alapján készült. A SysTrust arrakészült, hogy fokozza a menedzsment, az ügyfelek ésaz üzleti partnerek bizalmát az üzletet, vagy bizonyostevékenységeket támogató rendszerek iránt. A SysTrustszolgáltatása azt jelenti, hogy egy hites könyvvizsgálóolyan megerõsítési szolgáltatást nyújt, amelynek soránnégy alapvetõ elv - a rendelkezésre állás, a biztonság,az sértetlenség és a karbantarthatóság - alapján értékeliés teszteli egy rendszer megbízhatóságát).

Az információrendszerek kontrolljával szembentámasztott üzleti követelményekbõl kiindulva, az újon-nan kidolgozott kontroll modellek és nemzetközi szab-ványok alkalmazása révén, az auditorok munkájátsegítõ Kontroll célkitûzésekbõl létrejött a COBIT, mintvezetési eszköz. Ezt követõen az informatikai irányí-táshoz kapcsolódó Vezetõi útmutató kidolgozása révénújabb lépést tett elõre a COBIT. A Vezetõi útmutató kri-tikus sikertényezõket, kulcsfontosságú cél-mutatókat,kulcsfontosságú teljesítmény? mutatókat és érettségimodelleket kínál a vezetésnek, hogy az felmérhesse azinformatikai környezetet és dönthessen a szervezetinformatikája és ahhoz kapcsolódó technológiája felettikontrollok megvalósítása és fejlesztése felõl.



A COBIT projekt fõ célja tehát az, hogy világos irányel-veket és követendõ gyakorlati eljárásokat határozzonmeg az információrendszerek biztonságához és kont-rolljához kapcsolódóan, és elfogadtassa azokat az üzle-ti, kormányzati és szakmai érdekképviseletiszervezetekkel a világ minden részén. Az is fontos cél-ja a projektnek, hogy a fenti kontroll célkitûzéseket azüzleti célkitûzésekbõl és igényekbõl kiindulva határoz-za meg. (Ez igazodik a COSO szemléletmódjához,amely elsõsorban a belsõ kontrollok vezetõi keretrend-szere). Ezt követõen az audit célkitûzésekbõl (a pénz-ügyi információk hitelességének igazolása, a belsõkontroll eljárások hitelesítése, a hatékonyság és ered-ményesség, stb.) kontroll célkitûzések kerültek kidol-gozásra.

A CÉLKÖZÖNSÉG: VEZETÉS, FELHASZNÁLÓK ÉS AUDITOROKA COBIT három elkülönülõ közönség számára készült:

VEZETÉS:segítséget nyújtani a vezetés számára a kockázat és akontrollokra fordított beruházások közötti egyensúlymegteremtésében egy gyakorta kiszámíthatatlan infor-matikai környezetben.

FELHASZNÁLÓK:megerõsítést nyerni a belsõ vagy külsõ szolgáltatók ál-tal nyújtott informatikai szolgáltatások biztonságáról éskontrolljáról.

AUDITOROK:alátámasztani a szakvéleményüket és/vagy a vezetés-nek adott tanácsaikat a belsõ kontrollokra vonatkozóan.

AZ ÜZLETI CÉLOK ELÕTÉRBE ÁLLÍTÁSAA COBIT az üzleti célkitûzésekre irányul. A Kontrollcélkitûzések egyértelmûen és közvetlenül hozzárendel-hetõk különbözõ üzleti célokhoz, így azokat azauditorokon kívül más felhasználói körök is használ-hatják. Az egyes kontroll célkitûzések meghatározásafolyamat-orientált módon történt, az üzleti szerkezetá-talakítás alapelvét követve. A meghatározott szakterü-letekhez és folyamatokhoz kapcsolódóan magas szintûkontroll célkitûzések kerültek megfogalmazásra, annakkifejtésével, hogy azok hogyan kapcsolódnak a külön-bözõ üzleti célokhoz. Emellett magyarázat és útmutatásszolgál az informatikai kontroll célkitûzések definiálá-sához és megvalósításához.

A COBIT Keretrendszerét (Framework) együttesen al-kotják azoknak a szakterületeknek az osztályai, ame-lyekre a magas szintû kontroll célkitûzésekvonatkoznak (szakterületek és folyamatok), az infor-mációra vonatkozó kritériumok az illetõ szakterületesetében, valamint azok az informatikai erõforrások,amelyekre a kontroll célkitûzés elsõdlegesen hat. AKeretrendszer kutatási tevékenységen alapul, amelyneksorán 34 magas szintû, és 318 részletezett kontroll cél-kitûzés került meghatározásra. Az informatikai szakágés az audit szakma egésze számára lehetõvé tették aKeretrendszer felülvizsgálatát, bírálatát és véleménye-zését. A kapott vélemények megfelelõ módon beépítés-re kerültek.


ÁLTALÁNOS DEFINÍCIÓKA projekt során az alábbi definíciók kerültek meghatá-rozásra. A "kontroll" kifejezés definíciójának forrása aCOSO Jelentés (Internal Control - Integrated Frame-work, Committe of Sponsoring Organizations of theTreadway Commission, 1992), az "informatikai kont-roll célkitûzés" definíciójának forrása pedig a SAC je-lentés (System Audibility and Control Report - InternalAuditors Research Foundation, 1991 és 1994)

mindazon szabályok, eljárások,gyakorlati módszerek és szerveze-ti struktúrák, amelyeket arra a cél-ra terveztek, hogy kellõmegerõsítést nyújtsanak arra vo-natkozóan, hogy az üzleti célkitû-zéseket megvalósítják, és a nemkívánatos eseményeket megelõ-zik, vagy felderítik és korrigálják.

egy meghatározott informatikaitevékenység esetében a kontrolleljárások megvalósítása révén el-érendõ eredményre vagy célra vo-natkozó megfogalmazás.

a vállalat-irányítási és ellenõrzésikapcsolatok és folyamatok olyanstruktúrája, amelynek célja az,hogy új érték hozzáadásával,ugyanakkor a kockázatok és azinformatika által kínált elõnyökegyensúlyának megteremtésévelvalósítsa meg a vállalkozáscélkitûzéseit.

Az iinformatikaikontroll ccélkitûzés

definíciója

Az iinformatikaiirányítás

definíciója

A kkontrolldefiníciója


Két különbözõ kategóriába lehet besorolni anapjainkban alkalmazott ellenõrzési vagy kontrollmodelleket: az ún. "üzleti kontroll modellek" osztá-lyába (ilyen pl. a COSO) és a "koncentráltabb irányúinformatikai kontroll modellek" osztályába (ilyenpéldául a DTI). A COBIT a kettõ közötti szakadékotkívánja áthidalni. A COBIT tehát egyrészt általánosabbjellegû a fenti informatikai kontroll modelleknél,másrészt többet jelent az informatikai rendszerekértfelelõs vezetõk számára, mint puszta technológiaiszabványcsomag. A COBIT az informatikai irányításmodellje!

A COBIT Keretrendszere arra az alapkoncepcióra épül,hogy az informatika területén a kontroll kérdését azüzleti célkitûzések illetve követelmények teljesítéséhezszükséges információkon keresztül kell megközelíteni,és az információkra úgy kell tekinteni, mint az infor-matikai folyamatok által kezelt erõforrások együttesalkalmazásának eredményére.

Az üzleti célok teljesítése érdekében az informá-cióknak meg kell felelniük bizonyos kritériumoknak,amelyekre a COBIT az információkra vonatkozó üzletikövetelményekként hivatkozik. A követelményekmeghatározásakor a COBIT ötvözi a meglévõ és ismerthivatkozási modellek alapelveit:

MinõségKöltségInformatikai szolgáltatás

A mûködés eredményessége éshatékonyságaAz információk megbízhatóságaA törvényeknek és jogszabá-lyoknak való megfelelés

TitkosságSértetlenségRendelkezésre állás

A minõség kapcsán elsõsorban annak "negatív" aspek-tusaira koncentráltunk (hibamentesség, megbízhatóság,stb.), amelyek nagy részével a sértetlenségi kritérium isfoglalkozik. A minõség pozitív, de kevésbékézzelfogható oldalait (stílus, vonzó tulajdonságok,elvárásokat meghaladó teljesítmény, stb.) egyelõre nemvettük figyelembe az informatikai kontroll célkitûzésekszempontjából. Abból az alapkoncepcióból indultunkki, hogy a legfontosabb prioritás a kockázatok, nempedig a lehetõségek megfelelõ kezelése. A minõséghasználhatóságra vonatkozó aspektusával azeredményességi kritérium foglalkozik. A minõséginformatikai szolgáltatási aspektusa átfedéseket mutat abiztonsági követelmények rendelkezésre állásravonatkozó aspektusával és bizonyos mértékben azeredményességgel és a hatékonysággal is. Végül aköltség kritériummal a hatékonyság is foglalkozik.

A fiduciáris követelmények kapcsán a COBIT nemakarta újra feltalálni a kereket - átvettük a mûködéseredményességére és hatékonyságára, az információkmegbízhatóságára és a jogszabályoknak, illetverendelkezéseknek való megfelelésére vonatkozó COSOdefiníciókat, azzal a különbséggel, hogy az informá-ciók megbízhatósági kritériumát kiterjesztettük mindeninformációra - nemcsak a pénzügyiekre.

A biztonsági követelmények kapcsán a COBIT atitkosságot, a sértetlenséget és a rendelkezésre állástkezeli a legfontosabb kritériumokként - ezt a háromszempontot használják világszerte az informatikaibiztonsági követelmények leírásához.



A KERETRENDSZER ALAPELVEI

Minõségikövetelmények

Fiduciáriskövetelmények(COSO JJelentés)

Biztonságikövetelmények

Az átfogóbb tartalmú minõségi, fiduciáris és biztonságikövetelményekbõl kiindulva hét különbözõ, bizonyosesetekben egymást átfedõ, kategória került meghatáro-zásra. Ezeknek a kategóriáknak a tartalmát az alábbiakszerint definiálja a COBIT:

az információra vonatkozóan aztjelenti, hogy az adott üzleti folya-mat szempontjából fontos-e, aszolgáltatása kellõ idõben, pontos,konzisztens és használható módontörténik-e

az információ elõállítására vonat-kozik, amely az erõforrások opti-mális (a lehetõ legtermelékenyebbés leggazdaságosabb) felhasználá-sával történik.

a kényes tartalmú információjogosulatlan felfedés elleni védel-mére vonatkozik.

az információ pontosságára, tel-jességére, valamint az üzleti érté-keknek és elvárásoknak megfelelõérvényességére vonatkozik.

arra vonatkozik, hogy az infor-máció most és a jövõben rendel-kezésre áll mindenkor, amikor ezaz üzleti folyamathoz szükséges.Érinti továbbá a szükséges erõfor-rások és feltételek védelmét is.

azoknak a törvényeknek, rendele-teknek és szerzõdéses kötelezett-ségeknek a betartásáravonatkozik, amelyek az üzletifolyamatra hatnak; pl. az ún. kül-sõ üzleti kritériumok betartására.

arra vonatkozik, hogy a vezetésszámára megfelelõ információkatnyújtanak a vállalkozás mûködte-téséhez, valamint a pénzügyi és amegfelelõségi jelentési kötelezett-ségeinek teljesítéséhez.

A COBIT keretében meghatározott informatikai erõfor-rások az alábbiak szerint definiálhatók:

a szó legtágabb értelmében vettjelek, amelyek lehetnek struk-turáltak és nem strukturáltak, gra-fikonok, hangfelvételek, stb.

a manuális és programozott eljá-rások összessége.

hardver, operációs rendszerek,adatbázis-kezelõ rendszerek,hálózatok, multimédia, stb.

az információrendszerek elhelye-zéséhez és támogatásához hasz-nált összes erõforrás.

mindazon, a személyzethez kötöttszakértelmet, tudatosságot ésproduktivitást jelenti, amely azinformációrendszerek és szolgál-tatások tervezését, szervezését,beszerzését, szolgáltatását, támo-gatását és monitorozását érintik.


A KERETRENDSZER ALAPELVEI, folytatás

Eredményesség

Hatékonyság

Titkosság

Sértetlenség(integritás)

Rendelkezésre áál-lás

Megfelelõség

Az iinformációmegbízhatósága

Adatok

Alkalmazásirendszerek

Technológia

Létesítmények

Emberek



A pénzt, illetve tõkét nem soroltuk az informatikaierõforrások közé a kontroll célkitûzések besorolásakapcsán, mivel azt a fenti erõforrások bármelyikénekbiztosításához fel lehet használni. Meg kell azt is je-gyezni, hogy a Keretrendszer nem hivatkozik külön azegyes informatikai folyamatokhoz kapcsolódó összeslényeges kérdés dokumentációjára. A megfelelõ kont-rollhoz nélkülözhetetlen a dokumentáció, ezért az ilyen

leírások hiánya további ellenõrzések és elemzések el-végzését teszi szükségessé minden egyes konkrét vizs-gálati területen.

Az informatikai erõforrások és a szolgáltatások biztosí-tása közötti kapcsolatot egy más szemszögbõl világítjameg az alábbi ábra:

Az információkhoz kapcsolódó üzleti követelményekteljesítése érdekében megfelelõ kontroll intézkedéseketkell kialakítani, bevezetni és fenntartani a fenti erõfor-rásokra vonatkozóan. De vajon hogyan tudnak a szer-

vezetek meggyõzõdni arról, hogy a kapott információkrendelkeznek a szükséges tulajdonságokkal? Ehhezszükséges a Kontroll célkitûzések keretrendszere. Akövetkezõ ábra ezt a koncepciót illusztrálja.


A COBIT Keretrendszer egy átfogó struktúra szerintcsoportosítja az általános szintû Kontroll célkitûzése-ket. A csoportosítás arra az alapkoncepcióra épül, hogyaz informatikai erõforrások felhasználásának irányításakapcsán három szintrõl lehet beszélni. Alul helyezked-nek el azok a tevékenységek és feladatok, amelyek amérhetõ eredmények eléréséhez szükségesek. A tevé-kenységeknek van bizonyos életciklusa, míg a felada-tok sokkal különállóbb jellegûek. Az életciklussal bírótevékenységekhez más kontroll követelményekkapcsolódnak, mint a körülhatárolt feladatokhoz. Kö-zépen helyezkednek el a folyamatok, amelyek olyanösszekapcsolódó tevékenységek és feladatok soroza-tából állnak, amelyekbe természetes ellenõrzési pontokvannak beépítve. A legfelsõ szinten a folyamatok ter-mészetes módon, bizonyos szakterületekre csoportosul-nak. Ez a természetes alapú csoportosítás gyakranfelelõsségi területként ölt formát a szervezeti struk-túrán belül és összhangban áll az informatikai folyama-tokhoz kapcsolódó irányítási ciklussal illetveéletciklussal.

A fogalmi keretrendszert tehát három oldalról lehetmegközelíteni: (1) az információ-kritériumok, (2) azinformatikai erõforrások és (3) az informatikai folya-matok oldaláról. Ezt a három megközelítési oldaltszemlélteti az ún. COBIT Kocka:


A fenti keretrendszerben szereplõ szakterületek meg-határozásakor olyan kifejezéseket igyekeztünk keresni,amelyeket nap mint nap használnak a vezetõk - nemellenõri zsargont. Négy általános szakterületet határoz-tunk meg, nevezetesen az alábbiakat: tervezés és szer-vezet, beszerzés és rendszermegvalósítás, szolgáltatásés támogatás, valamint monitorozás.

A fenti négy általános jellegû szakterület tartalma azalábbiak szerint definiálható:

Ez a szakterület a stratégiát éstaktikát fedi le, és annak megha-tározására vonatkozik, hogy azinformatika milyen módon járul-hat hozzá a legnagyobb mérték-ben az üzleti célkitûzésekmegvalósításához. Ezen túlmenõ-en, a stratégiai jövõkép megvaló-sítását meg kell tervezni,kommunikálni és irányítani kell akülönbözõ perspektívák szerint.Végül, megfelelõ módon felépí-tett szervezet és technológiaiinfrastruktúra létrehozására vanszükség.

Tervezés éésszervezet



Az informatikai stratégia megva-lósításához informatikai megoldá-sokat kell meghatározni,kifejleszteni vagy beszerezni, il-letve implementálni és integrálniaz üzleti folyamatokba. Ehhez aszakterülethez tartozik továbbá ameglévõ rendszerek változtatásaés karbantartása a rendszerekéletciklusának fenntartása érdeké-ben.

E szakterület az igényelt szolgál-tatások tényleges teljesítésévelfoglalkozik, amely a biztonságraés folytonosságra vonatkozó ha-gyományos mûveletektõl a képzé-sig terjed. A szolgáltatásokellátásához be kell vezetni a szük-séges támogatási folyamatokat.Ehhez a területhez tartozik azadatok tényleges feldolgozása azalkalmazási rendszerekben; ame-lyeket gyakran applikációskontrollokként osztályozzák.

Rendszeresen fel kell mérni vala-mennyi informatikai folyamat mi-nõségét és a kontrollkövetelményeknek való megfele-lõségét. Ezért ez a terület a szer-vezet kontroll folyamatánakvezetõi felügyeletével, valamint abelsõ és külsõ auditok által nyúj-tott, illetve egyéb forrásokból be-szerzett független megerõsítésselfoglalkozik.

Meg kell jegyezni, hogy ezeket a folyamatokat külön-bözõ szinteken lehet alkalmazni a szervezeteken belül.Például bizonyos folyamatokat vállalati szinten szüksé-ges alkalmazni, másokat az információ-szolgáltatásfunkcionális szintjén, megint másokat az üzleti folya-matokért felelõs vezetõk szintjén, stb.

Azt is meg kell jegyezni, hogy az üzleti követelmé-nyeknek megfelelõ megoldások kidolgozásához kap-csolódó eljárások eredményességi kritériuma néhalefedi a rendelkezésre állásra, a sértetlenségre és a tit-kosságra vonatkozó kritériumokat is - a gyakorlatbanezek üzleti követelményekként jelennek meg. Példáulaz "automatizált megoldások meghatározása" folyamatsorán figyelembe kell venni a rendelkezésre állás, asértetlenség és a titkosság követelményeit is.

Nyilvánvaló, hogy a különbözõ kontroll intézkedéseknem ugyanolyan mértékben járulnak hozzá az informá-ciókhoz kapcsolódó különbözõ üzleti követelményekteljesítéséhez.

• elsõdlegesek azok a kontroll célkitûzések,amelyek közvetlenül befolyá-solják az érintett információ-kritérium kielégítését.

• másodlagosak azok a kontroll célkitûzések,amelyek csak kisebb mértékbenvagy közvetve befolyásolják azérintett információ-kritérium ki-elégítését.

• üresen hagyottak azok a kontroll célkitûzések,amelyek alkalmazhatóak lehet-nek ugyan, de a követelményekteljesítését hatékonyabban tudjákbiztosítani az adott eljáráson be-lüli más kritériumok vagy máseljárások.

Beszerzés éésrendszer-

megvalósítás

Szolgáltatás ééstámogatás

Monitorozás


Hasonlóképpen, a különbözõ kontroll intézkedéseknem ugyanolyan mértékben hatnak a különbözõ ITerõforrásokra. A COBIT Keretrendszer éppen ezértkonkrétan megjelöli, hogy melyek azok az IT erõforrá-sok, amelyek a vizsgált folyamat által irányítottak(nem pusztán részt vesznek a folyamatban). Ez azosztályozás kutatók és szakértõk munkája és közremû-ködése alapján, a korábban jelzett szigorú definíciók fi-gyelembe vételével került kidolgozásra.

Összefoglalva, a szervezet célkitûzéseinek teljesítésé-hez szükséges információk biztosítása érdekében azinformatikai erõforrásokat bizonyos természetszerûlegösszetartozó folyamatok keretében kell kezelni, amely-rõl az informatikai irányításnak kell gondoskodnia. Akövetkezõ ábra ezt a koncepciót illusztrálja:

A COBIT ÁLTAL A NÉGY SZAKTERÜLETREVONATKOZÓAN MEGHATÁROZOTT

INFORMATIKAI FOLYAMATOK




A COBIT harmadik kiadása a Control Objectives forInformation and related Technology (Az informatika ésa kapcsolódó technológia kontroll célkitûzései) leg-újabb változata, amely elsõ alkalommal 1996-ban je-lent meg az Information Systems Audit and ControlFoundation (ISACF) (Információrendszer Audit ésKontroll Alapítvány) kiadásában. Az 1998-ban megje-lent második kiadás a forrás-dokumentumok számánakbõvülése nyomán felülvizsgálta a magas szintû és arészletes kontroll célkitûzéseket, és kiegészült azImplementációs eszköztárral. A COBIT harmadik kiadá-sa új fõkiadó, az IT Governance Institute (IT IrányításiIntézet) gondozásában jelent meg.

Az IT Governance Institute-ot 1998-ban hozta létre azInformation Systems Audit and Control Association(ISACA) (Információrendszer Audit és Kontroll Egye-sület) és a hozzá tartozó Alapítvány azzal a céllal, hogytámogassa és segítse az informatikai irányítás alapelve-inek megértését és alkalmazását. Minthogy a COBITharmadik kiadása kiegészült a Vezetõi útmutató címûrésszel és fokozott hangsúlyt helyez az informatikaiirányítás kérdésére, az IT Governance Institute vezetõszerepet vállalt a kiadvány továbbfejlesztésében.

A COBIT eredetileg az ISACF által kiadott Kontrollcélkitûzésekre épült, és kiegészült a meglévõ és újon-nan kidolgozott nemzetközi technikai, szakmai, szabá-lyozási és ágazat-specifikus szabványokkal. Az ígylétrejött kontroll célkitûzések a szervezetek egészérekiterjedõ információrendszerek vonatkozásában alkal-mazhatóak. Az "általános érvényû és elfogadott" kife-jezést ugyanúgy kell értelmezni, ahogy az ÁltalánosanElfogadott Számviteli Alapelvek (GAAP) esetében.

A COBIT, terjedelmét tekintve, viszonylag rövid ésmegpróbál mind pragmatikus lenni, mind alkalmazkod-ni az üzleti igényekhez, ugyanakkor független az egyesszervezeteknél alkalmazott informatikai platformoktól.

Nem kizárva a kutatómunka során az információrend-szerek kontrollja terén esetleg napvilágra kerülõ egyébelfogadott szabványokat, forrásként az alábbiakat jelöl-jük meg:

Mûszaki szabványok - ISO, EDIFACT, stb.Magatartási kódexek - az Európa Tanács, az OECD.az ISACA, stb. által kiadott kódexekMinõsítési kritériumok informatikai rendszerekhezés eljárásokhoz - ITSEC, TCSEC, ISO 9000, SPICE,TickIT, Common Criteria, stb.Belsõ kontroll és audit szabványok - COSO, IFAC,AICPA, CICA, ISACA, IIA, PCIE, GAO, stb.Ágazati normák és követelmények - ágazati fórumok(ESF, I4), kormány-támogatású platformok (IBAG,NIST, DTI), stb.; továbbáÚjonnan megfogalmazott ágazat-specifikus követel-mények - a banki üzletág, az elektronikus kereskede-lem és az informatikai gyártás területérõl.

Lásd: II. Melléklet: A COBIT projekt ismertetése;III. Melléklet: Elsõdleges COBIT hivatkozási forrá-sok; és IV. Melléklet: Szójegyzék

COBIT TÖRTÉNELEM ÉS ELÕZMÉNYEK


COBIT TERMÉK-FEJLESZTÉSA COBIT az elkövetkezõ évek során tovább fog fejlõd-ni, alapul szolgálva a további kutatásokhoz. Ily módonlétrejön a COBIT termékcsalád, amelynek nyomán to-vább finomodnak az informatikai kontroll célkitûzésekmeghatározásakor alapul vett informatikai feladatok éstevékenységek, és az ágazat változó arculatának fényé-ben felülvizsgálatra kerül az egyes szakterületek ésfolyamatok egyensúlya.

A kutatási munkához és a kiadványok elkészítéséheznagymértékben hozzájárultak a PricewaterhouseCoop-ers, valamint az ISACA szervezeteitõl és tagjaitól ka-pott jelentõs adományok. Az European Security Forum(ESF) kutatási anyagok átadásával segítette a projektmunkáját. A Gartner Group részt vett a munkálatokbanés minõségbiztosítási szempontból is áttekintette a Ve-zetõi útmutatót.



A COBIT ÉS AZ AUDITÁLÁSI ÚTMUTATÓAz Auditálási útmutató olyan segédeszköz, amelymegkönnyíti a CobiT Keretrendszer és a Kontrollcélkitûzések alkalmazását az ellenõrzési és értékelésitevékenységek során. Az Auditálási útmutató célja az,hogy általánosan elfogadott auditálási módszerekalapján egy olyan egyszerû struktúrát biztosítson akontroll mechanizmusok ellenõrzéséhez ésértékeléséhez, amely jól illeszkedik a COBIT rend-szerébe.

A konkrét auditálási célok és módszerek jelentõsmértékben eltérhetnek egymástól a különbözõszervezeteknél, és a vizsgálathoz kapcsolódó feladatokellátásában sokféle szakember vesz részt, pl. külsõkönyvvizsgálók, informatikai ellenõrök, belsõellenõrök, értékelõk, minõségellenõrök és mûszakielemzõk. Az Auditálási útmutatók struktúrája ezértáltalános jellegû és magas szintû, nem specifikusjellegû.

Az auditorokkal szemben általános követelmény az,hogy megerõsítést és tanácsadást nyújtsanak a vezetésés az üzleti folyamatok felelõsei felé a kontroll eljárá-sokra vonatkozóan: kellõ biztosítékot nyújtsanak akontroll célkitûzések teljesülésére vonatkozóan;rávilágítsanak azokra a területekre, amelyeken akontroll mechanizmusok komoly hiányosságokatmutatnak; meghatározzák az ilyen hiányosságokhozkapcsolódó kockázatokat; és végül tanácsadássalszolgáljanak a vezetõk számára a korrekciósintézkedések megtételéhez. A CobiT világos szabá-lyokat és bevált módszereket nyújt az informatikai és akapcsolódó egyéb technológiai rendszerek biztonsági,valamint irányítási és ellenõrzési kérdéseinekmegoldásához. Ezért az Auditálási útmutatóknakszorosan a Kontroll célkitûzésekre való építése kizárjaaz auditor magánvéleményét a vizsgálatikövetkeztetésekbõl, azt mértékadó kritériumokkalváltva fel (a világ különbözõ szabványosítássalfoglalkozó testületei által meghatározott 41 szabvány-nyal és legjobb gyakorlatra vonatkozó normával).

Ezek az Auditálási útmutatók segítséget nyújtanak aCobiT Keretrendszerhez és a részletes Kontrollcélkitûzésekhez integrálódó vizsgálati tervekelkészítéséhez. Az útmutatókat a CobiT Keretrend-szerrel és a Kontroll célkitûzésekkel összhangban kellalkalmazni, és azok konkrét vizsgálati programokkáfejleszthetõk tovább. Ezek az útmutatók azonban nemmerítik ki teljesen a témakört és nem is lezártak. Nemjelenthetnek mindenki számára mindent, és azokat akonkrét körülményekhez kell igazítani.

Van négy olyan dolog azonban, amelyek semmiképpensem tartoznak az útmutatók céljai közé:

1. Az Auditálási útmutatók célja nem az, hogy azátfogó vizsgálati terv és audit általi lefedettségkidolgozásának eszközei legyenek, egy sor olyantényezõt is figyelembe véve, mint a múltbelihiányosságok, a szervezetet fenyegetõ kockázatok,az ismert rendkívüli események, az új fejleményekés a stratégiai választási lehetõségek. Bár aKeretrendszer és a Kontroll célkitûzések megadják amegfelelõ útmutatást, a konkrét tennivalókrairányuló útmutatás kívül esik az Auditálásiútmutatók tárgykörén.

2. Az Auditálási útmutatók nem kívánnak egyfajtatananyagként szolgálni az auditálás alapjainakelsajátításához, annak ellenére sem, hogy magukbafoglalják az általános és az informatikai auditálásáltalánosan elfogadott alapkoncepcióit.

3. Az Auditálási útmutatók nem kísérlik megrészletesen kifejteni azt, hogy a számítógépestervezési, értékelési, elemzési és dokumentációseszközök (amelyek közé tartoznak a számítógéppeltámogatott vizsgálati technikák is) hogyan használ-hatók fel az informatikai folyamatok auditálásánaktámogatására és automatizálására. Az informatikaszámtalan lehetõséget kínál a vizsgálatokhatékonyságának és eredményességénekjavításához, de az erre vonatkozó útmutatás szinténkívül esik az Auditálási útmutatók tárgykörén.

BEVEZETÕ AZ AUDITÁLÁSI ÚTMUTATÓHOZ


4. Az Auditálási útmutatók nem merítik ki teljesen atémát és nem lezártak, hanem a CobiT tal és azabban foglalt részletes Kontroll célkitûzésekkelegyütt fejlõdnek tovább.

A CobiT Auditálási útmutatója lehetõvé teszi az infor-matikai ellenõr számára azt, hogy a CobiT-ban javasoltKontroll célkitûzések alapján áttekintse az egyeskonkrét informatikai folyamatokat és annak segít-ségével megerõsítést nyújtson a vezetés számáraazokra a kontroll mechanizmusokra vonatkozóan,amelyek megfelelõek, illetve tanácsot adjon atovábbfejlesztésre szoruló folyamatokat illetõen.

Ha a vezetés szemszögébõl nézzük a dolgot, az üzletifolyamatok gazdái azt kérdezik maguktól: "Jó az, amitcsinálok? És ha nem, hogyan javíthatom ki?" A CobiTKeretrendszer és az Auditálási útmutató segít választadni ezekre a kérdésekre. Ez a megközelítési módegyfajta utólagos, "reaktív" perspektívát jelent,ugyanakkor az auditoroknak "proaktív", azaz megelõzõjellegû segítséget is kell nyújtaniuk a vezetésnek. AKeretrendszer és az Auditálási útmutató megelõzõjelleggel is alkalmazhatók a folyamatok és a projektekkorai fejlõdési szakaszaiban a "Mit tegyek, hogykésõbb ne kelljen kijavítani azt?" jellegû kérdésekmegválaszolásához.

AZ AUDITÁLÁSI ÚTMUTATÓ ÁLTALÁNOSSTRUKTÚRÁJAA kontroll eljárások értékelésének legáltalánosabbanalkalmazott modellje az auditálási modell. Napjainkbanegyre gyakrabban alkalmazzák a kockázat-elemzésimodellt is, amellyel a bevezetõ rész végén fogunkfoglalkozni. A kontroll mechanizmusok értékelésébenrészt vevõk bármelyik modellt választhatják.

Az auditálás céljai az alábbiak:

• a kontroll célkitûzések teljesítésének kellõmegerõsítése a vezetés felé;

• ahol komoly hiányosságok vannak, a hiányossá-gokhoz kapcsolódó kockázatok meghatározása;továbbá

• tanácsadás a vezetésnek a szükséges korrekciósintézkedésekre vonatkozóan.

Az auditálási folyamat általánosan elfogadott struk-túrája a következõ:

• feltárás és dokumentáció• értékelés• a szabályoknak való megfelelés tesztelése• lényegi tesztelés

Az informatikai folyamatok auditálása tehát azalábbiak szerint történik:

Az üzleti követelményekhez kapcsolódó kockázatokés az ezekhez tartozó kontroll intézkedések feltárása

a kinyilvánított kontroll mechanizmusokmegfelelõségének értékelése

a megfelelõség felmérése annak teszteléserévén, hogy a kinyilvánított kontroll mechaniz-musok az elõírtaknak megfelelõen,konzisztensen és folyamatosan mûködnek-e,vagy sem

a kontroll célkitûzések teljesítésénekelmaradásához kapcsolódó kockázatokmeghatározása elemzési módszerekkel illetvealternatív források igénybevételével.

A vezetés számára a megerõsítés és tanácsadásformájában történõ segítségnyújtás célját szem elõtttartva ezt a struktúrát olyan auditálási keretrendszerréfejlesztettük tovább, amely a CobiT követelményeireépül:

• lépcsõzetes megjelenítés (szintek)• az üzleti célok elõtérbe állításával• a folyamatok által vezérelve• központba helyezve:- a kezelendõ erõforrásokat- a szükséges információ-kritériumokat

A legmagasabb szinten ezt az általános auditálásimegközelítést az alábbiak támasztják alá:

• a CobiT Keretrendszer, különösen az informatikaieljárások osztályozása, a vonatkozó információ-kritériumok és informatikai erõforrások (lásd a 36.oldalt).

• magára az auditálási folyamatra vonatkozókövetelmények (lásd Az auditálási folyamatravonatkozó követelmények részt, 28. oldal).



• az informatikai folyamatok auditálására vonatkozóáltalános követelmények (lásd az Általános infor-matikai auditálási útmutató részt, 29. oldal).

• a kontrollra vonatkozó általános elvek (lásd Akontroll folyamatok megfigyelése részt, 29. oldal).

A második szint az egyes informatikai folyamatokhozkapcsolódó részletes auditálási útmutatókból áll, amelye kötet fõ részét alkotja.

Az útmutatókat egységes formában mutatjuk be azadatgyûjtés, kiértékelés, elemzés és megállapításokalátámasztása általános struktúrát követve. Ezt a formáthasználtuk az általános informatikai Auditálásiútmutató és a részletes Auditálási útmutatókismertetésénél egyaránt.

A harmadik és egyben legalsó szinten az auditor ahelyi feltételeknek megfelelõen az audit tervezésiszakaszában olyan vizsgálati sarokpontokkal egészí-theti ki az Auditálási útmutatókat, amelyek az alábbitényezõk révén befolyásolják a részletes kontrollcélkitûzéseket:

• ágazat-specifikus kritériumok• ágazati normák• platform-specifikus elemek• alkalmazott részletes kontroll módszerek.

E szint szempontjából fontos az a tény, hogy a kontrollcélkitûzések nem szükségszerûen érvényesekmindenkor és mindenhol. Ezért javasolt egy magasszintû kockázat-felmérést végezni annak megál-lapítására, hogy mely célkitûzésekre kell különösenkoncentrálni és melyeket lehet figyelmen kívül hagyni.

Mindezek az elemek rendelkezésre állnak az infor-matikai auditok megtervezéséhez és végrehajtásához,valamint a részletes auditálási útmutatók integráltabbalkalmazásához. Az útmutatók nem teljesen merítik kia témát és nem univerzális érvényûek. A magas szintûkiegészítõ információk (általános irányelvek, az auditfolyamatra vonatkozó követelmények és a kontrollmechanizmusokra vonatkozó észrevételek) hasznossegítséget nyújtanak az auditoroknak a megfelelõvizsgálati program kidolgozásához.

AZ AUDITÁLÁSI ÚTMUTATÓK ALKALMAZÁSÁNAK RÉSZLETES STRUKTÚRÁJA

1. szintÁltalános informatikai auditálási megközelítés

2. szintA folyamatra vonatkozó útmutatók

3. szintAuditálási sarokpontok a részletes kontrollcélkitûzések kiegészítésére

CobiT KeretrendszerAz audit folyamatára vonatkozó követelményekA kontroll mechanizmusokra vonatkozó

észrevételekÁltalános auditálási útmutató

Részletes Auditálási útmutatók

Helyi feltételek• ágazat-specifikus kritériumok• ágazati szabványok• platform-specifikus elemek• az alkalmazott részletes kontroll , technikák


AZ AUDIT FOLYAMATRA VONATKOZÓKÖVETELMÉNYEKMiután döntés született arról, hogy mit fogunkauditálni és mirõl kívánunk megerõsítést adni, meg kellhatároznunk az auditálási munka végrehajtásánaklegmegfelelõbb módszerét illetve stratégiáját. Elsõlépésként meg kell határozni a vizsgálat helyeshatókörét. E célból az alábbi tényezõket kell megvizs-gálni, elemezni és meghatározni:

• az érintett üzleti folyamatok• az üzleti folyamatot támogató platformok és infor-

mációrendszerek, valamint azok kapcsolódása másplatformokhoz és rendszerekhez

• a meghatározott informatikai feladatok ésfelelõsségi körök, beleértve a kiszervezetttevékenységeket is

• a kapcsolódó üzleti kockázatok és stratégiaiválasztási lehetõségek.

Következõ lépésként meg kell határozni, hogy melyekazok az információs követelmények, amelyekkülönösen fontosak a vizsgált üzleti folyamatokvonatkozásában. Ezt követõen azonosítani kell azinformatika belsõ kockázatait, valamint a vizsgáltüzleti folyamathoz kapcsolható kontroll általánosszintjét. E célból az alábbiakat kell megvizsgálni:

• az üzleti környezetben bekövetkezett legutóbbiváltozások, amelyeknek informatikai kihatása isvan

• az informatikai környezetben bekövetkezettlegutóbbi változások, új fejlesztések, stb.

• a kontroll eljárásokhoz és az üzleti környezethezkapcsolódó legutóbbi rendkívüli események

• a vezetés által alkalmazott informatikaimonitorozási kontroll eljárások

• a legutóbbi vizsgálati és/vagy tanúsítási jelentések• a legutóbbi önértékelések eredményei.

A megszerzett információk alapján már ki tudjukválasztani a megfelelõ CobiT folyamatokat valamint azazokhoz kapcsolódó erõforrásokat. Ez a különbözõplatformok illetve rendszerek esetében szükségesséteheti bizonyos CobiT folyamatok többszöriauditálását.

Ki kell alakítani egy vizsgálati stratégiát, amely alapjánki kell dolgozni egy részletes vizsgálati tervet, pl. elkell dönteni, hogy a kontroll mechanizmusravonatkozó, vagy lényegi tesztet hajtunk végre.

Végezetül számba kell venni az auditálás végreha-jtásával kapcsolatos valamennyi lépést, feladatot ésdöntési pontot. Az V. függelékben bemutatunk egypéldát az általános auditálási folyamatra (a szükségeslépésekkel, feladatokkal és döntési pontokkal együtt)az általános minta alapján.



AZ AUDITÁLÁSI FOLYAMATRA VONATKOZÓ KÖVETELMÉNYEK

• a vizsgálat hatókörének meghatározása

• a vizsgált üzleti folyamat szempontjábólreleváns információs követelményekmeghatározása

• az informatikával együtt járó belsõ (inherens)kockázatok és a kontroll általános szintjénekfeltárása

• a vizsgálandó folyamatok és platformokkiválasztása

• a vizsgálati stratégia kidolgozása

az érintett üzleti folyamatokaz üzleti folyamatot támogató platformok és

információrendszerek, valamint azok kapcsolataifeladatok, felelõsségi körök és szervezeti struktúra

az üzleti folyamatra vonatkozó relevancia

az üzleti és a technológiai környezetbenbekövetkezett legutóbbi rendkívüli események ésváltozásoka vizsgálatok, önértékelések és tanúsító

vizsgálatok eredményeia vezetés által alkalmazott monitorozási kontroll

eljárások

folyamatokerõforrások

a kontrollok és kockázatok összevetéselépések és feladatokdöntési pontok

ÁLTALÁNOS INFORMATIKAI AUDITÁLÁSIÚTMUTATÓA 31. oldalon (illetve e kötet végén kihajthatóformában) található minta bemutatja az informatikaifolyamatok auditálására vonatkozó általánoskövetelményeket és meghatározza az auditálásiútmutatók elsõ szintjét, amely általános jelleggelminden folyamatra egyaránt vonatkozik. Ez a szintelsõsorban a folyamatok megértésére és az azokhozkapcsolódó felelõsségi és hatásköri kérdések megál-lapítására irányul, de egyúttal alapul és hivatkozásikeretként szolgál minden részletes auditálásiútmutatóhoz is.

Ezt követõen ugyanezt a mintát alkalmaztuk a CobiTKeretrendszerben meghatározott 34 folyamatravonatkozóan is.

A KONTROLL FOLYAMATRA VONATKOZÓMEGFIGYELÉSEK

Az általános kontroll alapelvek további betekintéstnyújtanak az Auditálási útmutatók kiegészítésénekmódjára vonatkozóan. Ezek az alapelvek elsõsorban afolyamatokhoz és a kontrollhoz kapcsolódófelelõsségekre, a kontroll szabványokra és a kontrollinformációk áramlására koncentrálnak.

A kontroll (azaz irányítás és ellenõrzés) a vezetésszemszögébõl úgy definiálható, mint annakmeghatározása, hogy éppen minek a végrehajtásatörténik; azaz a nyújtott teljesítmény értékelése, ésamennyiben szükséges, korrekciós intézkedésekmeghozatala annak érdekében, hogy a teljesítmény atervek szerint alakuljon.


A kontroll folyamat négy lépésbõl áll. Elsõ lépéskéntmeg kell határozni az egyes folyamatok kívánt teljesít-ményére vonatkozó normákat. Második lépéskéntvalamilyen módon érzékelni kell azt, hogy mi történika folyamatban, azaz a folyamatnak kontroll-informá-ciókat kell nyújtania a vezérlõ egység felé. Harmadiklépésként a vezérlõ egységnek össze kell hasonlítania a

kapott információkat a meghatározott normákkal.Negyedik lépésként pedig, amennyiben a ténylegestörténések eltérnek a meghatározott normáktól, avezérlõ egységnek utasítást kell adnia korrekciósintézkedések megtételére, majd a végrehajtottlépéseket, mint információkat, vissza kell csatolnia afolyamatba.

Ebbõl a modellbõl a kontrollra vonatkozó alábbimegfigyelések lehetnek relevánsak az auditálásszempontjából:

1. A fenti modell csak akkor mûködõképes, havilágosan meg vannak határozva az érintett üzleti(illetve jelen esetben informatikai) folyamathozkapcsolódó felelõsségi körök és egyértelmû aszámonkérhetõség. Ha ez nincs így, a kontroll-infor-mációk nem áramlanak megfelelõen és a korrekciósintézkedéseknek nem lesz foganatja.

2. A normák sokrétûek lehetnek, a felsõ szintûtervektõl és stratégiáktól kezdve a részletes ésmérhetõ kulcsfontosságú teljesítmény-mutatókig(KTM) vagy kritikus sikertényezõkig (KST)terjedõen. A jó kontroll eljáráshoz nélkülözhetetlena normák világos dokumentálása, karbantartása éskommunikálása. Ezzel kapcsolatban a normákkidolgozásáért és kezeléséért felelõs személyekmeghatározása is alapvetõ fontosságú.

3. A kontroll folyamatra ugyanezek a követelményekérvényesek: a mûködésének megfelelõ dokumen-tálása és a felelõsségi körök egyértelmûmeghatározása. Fontos szempont annak világosdefiniálása, hogy mi minõsül eltérésnek, azazmelyek az eltérések határai.

4. A kontroll információk és egyéb információkidõszerûsége, sértetlensége és helyessége alapvetõfontosságú a kontroll rendszer megfelelõmûködéséhez és ezzel a kérdéssel az auditornak isfoglalkoznia kell.

5. Mind a kontroll információk, mind a korrekciósintézkedésekre vonatkozó információk esetébenkövetelmény a bizonyíthatóság, amely elenged-hetetlen az események utáni, számonkérhetõségszempontjából.



ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ

A HELYZET MEGÉRTÉSE ÉS ADATGYÛJTÉS

A KONTROLL MECHANIZMUSOK ÉRTÉKELÉSE

A MEGFELELÕSÉG FELMÉRÉSE


A kontroll célkitûzéseket alátámasztó tevékenységek dokumentálására, valamint a kinyilvánított és bevezetett kontrollintézkedések/eljárások meghatározására irányuló audit lépések.Interjúk folytatandók az illetékes vezetõkkel és alkalmazottakkal az alábbiak megértése érdekében:

• Az üzleti követelmények és a kapcsolódó kockázatok• A szervezeti struktúra• A feladat- és felelõsségi körök• A szabályok és eljárások• A törvények és jogszabályok• A bevezetett kontroll intézkedések• A vezetõi jelentések (helyzet, teljesítmény, intézkedési pontok)

Dokumentálandók a vizsgált folyamat által elsõdlegesen érintett informatikai erõforrások. Megerõsítendõ a vizsgáltfolyamat, a kulcsfontosságú teljesítmény-mutatók (KTM) és a kontroll kihatások megértése, pl. a folyamat bejárásarévén.

A bevezetett kontroll intéuzkedések eredményességének vagy a kontroll célkitûzések teljesülése mértékének megál-lapítására irányuló audit lépések. Lényegében döntés hozandó arról, hogy mit és hogyan kell tesztelni, illetve kell-etesztelni.Az azonosított kritériumok és az ágazati szabványos gyakorlat, a kontroll intézkedésekre vonatkozó kritikussikertényezõk (KST), valamint az auditor szakmai megítélése alapján értékelendõ a vizsgált folyamathoz kapcsolódókontroll intézkedések megfelelõsége.

• Léteznek-e dokumentált folyamatok• Léteznek-e a megfelelõ végtermékek• Egyértelmûen meghatározták-e a felelõsségi köröket és a számonkérhetõség módját, és azokat érvenybe léptették-e.• Léteznek-e kiegészítõ kontroll mechanizmusok, ahol azok szükségesek

Következtetésként megállapítandó a kontroll célkitûzések teljesülésének mértéke.

A bevezetett kontroll intézkedések elõírások szerinti, konzisztens és folyamatos mûködésének, valamint a kontrollkörnyezet megfelelõ voltának megállapítására irányuló audit lépések.Közvetlen vagy közvetett bizonyítékok kell szerezni a kiválasztott tételekre/idõszakokra vonatkozóan, amelyek alapjánbizonyítható, hogy a vizsgált idõszak alatt betartották az elõírt eljárásokat.Korlátozott vizsgálat révén ellenõrizendõ a folyamatok végtermékeinek megfelelõsége.Meghatározandó, hogy az informatikai folyamatok megfelelõ voltának megerõsítéséhez milyen mélységû lényegitesztelés és további munka szükséges.

A kontroll célkitûzések teljesítésének elmaradása által okozott kockázatok meghatározására irányuló audit lépések,megfelelõ elemzési módszereket felhasználva és/vagy alternatív forrásokat igénybevéve. A cél az auditori vélemény alátá-masztása és a vezetés "felrázása" a cselekvés érdekében. Az informatikai ellenõröknek kreatívaknak kell lenniük az ilyen,gyakran kényes és bizalmas jellegû információk feltárása és közlése során.Dokumentálandók a kontroll mechanizmusok hiányosságai, valamint az azokból eredõ fenyegetések és sebezhetõség.Megállapítandó és dokumentálandó a tényleges és a potenciális hatás, pl. okfeltáró elemzés révén.Összehasonlító információk nyújtandók, pl. összemérés révén.


A kontroll mechanizmusok emellett különbözõszinteken mûködnek a vezetés által jól ismert,hagyományos tervezés végrehajtás-ellenõrzés-korrekció ciklusban. Ez a modell jól rávilágít azalábbiakra:

• a tervezés-végrehajtás-ellenõrzés logikai sorrend-jére és a terv szükség esetén történõ korrigálására;

• a folyamat mûködésének módjára - a stratégiai, ataktikai és az adminisztratív szinten;

• néhány vertikális és horizontális kapcsolatra:- a stratégiai szinten a " végrehajtás" eredménye a

taktikai tervezés- a taktikai szinten a " végrehajtás" eredménye a

adminisztratív szintû tervezés- az "ellenõrzési" és "végrehajtási" tevékenységek

folyamatosan együtt mûködnek és befolyásoljákegymást

- a adminisztratív szinten történõ "ellenõrzési"tevékenységrõl jelentés készül a taktikai szintû"ellenõrzés" felé, amely hasonlóképpen a straté-giai szint felé jelent.

A kontroll mechanizmusok értékelése során azértékelést végzõ személynek tisztában kell lennie azzal,hogy a kontroll eljárások a fentiek szerinti különbözõszinteken mûködnek és bonyolult módon

kapcsolódnak egymáshoz. Bár a CobiT folyamat-központú szemlélete ad némi útmutatást a különbözõkontroll folyamatokra, szintekre és azokkapcsolódására vonatkozóan, de a kontroll rendszerektényleges megvalósításakor illetve értékelésekorfigyelembe kell venni a fenti komplex dimenziót is.

AZ ELÕZÕEK ÖSSZEILLESZTÉSE

Összefoglalva, a részletes Auditálási útmutatók mindigkiegészíthetõk az "Általános útmutatók" és a vizsgáltfolyamat figyelembevétele alapján, és továbbivizsgálati feladatok határozhatók meg az auditcélkitûzésének elérése érdekében. Magának a vizsgálatiprogramnak a kidolgozása során is hasznos segítségnyerhetõ az informatikai auditálási folyamatravonatkozó követelmények, a CobiT Keretrendszer ésaz általános Kontroll célkitûzések, valamint és afentebb említett kontroll megfontolások áttekintéserévén.



A KONTROLL CÉLKITÛZÉSEK ÉS AZAUDITÁLÁSI ÚTMUTATÓK KÖZÖTTIKAPCSOLAT

A célkitûzéseket folyamat központú szemlélettel alakí-tottuk ki, mivel a vezetés proaktív, azaz megelõzõjellegû tanácsokat szeretne kapni arra vonatkozóan,hogy az informatikát hogyan tartsa irányítása ésellenõrzése alatt. A Kontroll célkitûzések segítenek avezetésnek a folyamatok feletti kontrollmegvalósításában, míg az Auditálási útmutatók azauditornak vagy az értékelést végzõ személynek adnaksegítséget annak megerõsítéséhez, hogy az adottfolyamat valóban megfelelõ kontroll alatt mûködik-eannak biztosítása érdekében, hogy teljesüljenek azüzleti célkitûzések megvalósításához szükséges infor-mációs követelmények.

A kettõ között az informatikai folyamatok jelentik akapcsolódási pontot, ezért az Auditálási útmutatók azegyes folyamatokhoz, nem pedig a kontrollcélkitûzésekhez kapcsolódóan kerültek kidolgozásra.

Hivatkozva a kontroll keretrendszert megjelenítõ"vízesés modellre", az auditálási útmutatók visszac-satolást jeleznek a kontroll folyamatoktól az üzleti

célkitûzések felé. A kontroll célkitûzések jelentik azt avízesés lépcsõin lefelé haladó útmutatást, amely azinformatikai folyamat kontrollját megteremti. Azauditálási útmutatók a vízesésen felfelé haladva teszikfel a kérdést: "Van-e arra biztosíték, hogy az üzleticélkitûzések teljesülnek?" Az auditálási útmutatóknéha tükörfordításai a kontroll célkitûzéseknek; azesetek többségében azonban bizonyítékot keresnekarra, hogy az adott folyamat megfelelõ kontroll alattáll.

AZ ÉRTÉKELÉSI FELADATOK LEHETÕSÉGEIÉS KIHÍVÁSAI

A Keretrendszer, a Kontroll célkitûzések és azAuditálási útmutató használata bizonyos határozottelõnyöket kínál az auditálási/értékelési feladatokelvégzéséhez:

• az információ-kritériumok elsõdleges és másod-lagos osztályozásának felhasználása révénlehetõvé teszi az auditálási feladatok és a vizsgáltterületek prioritási sorrendjének meghatározását

• olyan területek vizsgálatához is elvezet,amelyekkel máskülönben — keretrendszer illetvemodell alkalmazása nélkül — nem foglalkoznának


• abból eredõen, hogy az auditor lépésenként haladvégig az adott folyamaton, az interjúk felépítése éssorrendje logikusabban határozható meg

• a vizsgálatok koncentráltabbak lehetnek azokat ajelzéseket felhasználva, amelyek azt mutatják,hogy mely erõforrások mely folyamatok esetébenfontosabbak

• egyfajta szabványként használhatóak a vizsgá-landó informatikai területek meghatározásához astratégiai audit terv elkészítése során, biztosítva:- a vizsgálatok általi kellõ lefedettséget- a szükséges auditálási ismeretek kellõ idõben

történõ elsajátítását/megszerzését.

Mindazonáltal bizonyos kihívásokat is rejt az, ha akeretrendszert és az útmutatókat is be kívánják építeniaz informatikai ellenõr munkájába:

• a változtatás sohasem megy könnyen (hozzáállás,eszközök, szakismeret, stb.)

• a részletes kidolgozottság kezdetben fáradságossáteszi a munkát, különösen a vizsgált területhezkapcsolódó kontroll célkitûzések teljességének ésalkalmazhatóságának ellenõrzése esetében

• szükségszerûen van némi ismétlõdés az Auditálásiútmutatókban, mivel ritka az olyan eset, amikoregy-egy irányú kapcsolat áll fenn valamelykontroll célkitûzés és a kontroll mechanizmusokközött: az egyes kontroll mechanizmusokáltalában változó módon több célkitûzéshez iskapcsolódnak, míg valamely kontroll célkitûzésteljesítéséhez általában több mechanizmusra vanszükség

• bizonyos formai követelményeknek valómegfelelõséget igényel (pl. háttér információkdokumentálása), amelyek szükségtelennektûnhetnek.



A KOCKÁZAT-ELEMZÉS, MINT ALTERNATÍVÉRTÉKELÉSI MÓDSZER

A költségek és kockázatok egyensúlyának megtalálásajelenti a következõ kérdést, azaz annak tudatosmegválasztása, hogy minden egyes kontroll célkitûzéstmeg kell-e valósítani, és ha igen, akkor hogyan. Akockázat-elemzési módszerek ezzel a kérdésselfoglalkoznak, bár a proaktivitás elve továbbra isérvényben marad: elsõsorban a kontroll célkitûzéseketkell alkalmazni valamely információ-kritérium(eredményesség, hatékonyság, titkosság, rendelkezésre

állás, sértetlenség, megfelelõség és megbízhatóság)megvalósítása érdekében. Magától értetõdõ, hogy avezetésnek szüksége van bizonyos üzleti kockázat-becslésekre ahhoz, hogy meg tudja határozni aszükséges intézkedéseket (lásd a PO9 sz. Kontrollcélkitûzést). Az auditoroknak szintén végezniük kellvalamilyen kockázat-felmérést a vizsgálandó folyamat-szakterületek és kontroll célkitûzésekmaghatározásához.

Az informatikai kockázatok elemzésének egyelfogadott módszerét szemlélteti az alábbi ábra:

A modell azoknak az eszközöknek az értékelésébõlindul ki, amelyek A CobiT Keretrendszer esetébenazokat az információkat jelentik, amelyeknek aszükséges kritériumokkal kell rendelkezniük ahhoz,hogy elõ tudják segíteni az üzleti célkitûzésekmegvalósítását (beleértve az információk elõállításáhozszükséges valamennyi erõforrást is). A következõ lépésa sebezhetõség elemzése, amely azt vizsgálja meg,hogy az egyes információ kritériumok mennyirefontosak a vizsgált folyamat esetében, pl. ha valamelyüzleti folyamat sebezhetõvé válik az információksértetlenségének elvesztése miatt, akkor különintézkedéseket kell hozni ezzel kapcsolatban. Akövetkezõ lépés a fenyegetettséget értékeli, vagyisazokat a veszélyeket, amelyek kiaknázhatják asebezhetõséget*. A fenyegetettség valószínûségének, asebezhetõség mértékének és a következmények

súlyosságának összevonása eredményezi a kockázatbecslést. Ezt követõen kerül sor a megfelelõ ellenin-tézkedések (kontroll intézkedések) kiválasztására ésazok eredményességének értékelésére, amelymeghatározza a fennmaradó kockázat mértékét. Afolyamat végeredménye egy cselekvési terv, amelyután elölrõl kezdõdhet a ciklus.

* a sebezhetõség elemzésének eredményeként kerülnekmeghatározásra a kapcsolódó fenyegetések, míg a fenyegetésekelemzésének eredményeként kerülnek meghatározásra a kapcsolódósebezhetõségi pontok.


KONTROLL CÉLKITÛZÉSEKÖSSZEFOGLALÓ TÁBLÁZAT

Az alábbi táblázat az egyes informatikai folyamatokraés szakterületekre vonatkozóan megjelöli, hogy azáltalános szintû kontroll célkitûzések mely információ-

kritériumokat érintik, illetve mely informatikai erõfor-rásokra vonatkoznak.

SZAKTERÜLETTervezés ésszervezet

Beszerzés, Rendszer-

megvalósítás

Szolgáltatás éstámogatás

Monitorozás

PO1PO2PO3PO4PO5PO6PO7PO8PO9

PO10PO11

AI1AI2AI3AI4AI5AI6

DS1DS2DS3DS4DS5DS6DS7DS8DS9

DS10DS11DS12DS13

M1M2

M3M4

FOLYAMATAz informatikai stratégiai terv meghatározása

Az információ-architektúra meghatározása

A technológiai irány meghatározása

Az informatikai szervezet és kapcsolatainak meghatározása

Az informatikai beruházás kezelése

A vezetõi célok és irányvonal kommunikálása

Az emberi erõforrások kezelése

A külsõ követelmények betartásának biztosítása

A kockázatok értékelése

A projektek irányítása

A minõségirányítás

Az automatizált megoldások meghatározása

Az alkalmazási szoftverek beszerzése és karbantartása

A technológiai infrastruktúra beszerzése és karbantartása

Az eljárások kifejlesztése és karbantartása

A rendszerek installálása és jóváhagyása

A változáskezelés

A szolgáltatási szintek meghatározása és kezelése

A külsõ szolgáltatások kezelése

A teljesítmény és a kapacitás kezelése

A folyamatos mûködés biztosítása

A rendszer biztonságának megvalósítása

A költségek megállapítása és felosztása

A felhasználók oktatása és képzése

A felhasználók segítése és tanácsadás

A konfigurációkezelés

A problémák és rendkívüli események kezelése

Az adatok kezelése

A létesítmények kezelése

Az üzemeltetés irányítása

A folyamatok nyomon követése, felügyelete

A belsõ irányítási és ellenõrzési eljárások megfelelõségének

felmérése

Független megerõsítõ vizsgálatok végeztetése

Független auditálás végeztetése



AZ AUDITÁLÁSI ÚTMUTATÓK NAVIGÁCIÓS ÁTTEKINTÉSE

Az Auditálási útmutatók rész a CobiT 34 informatikai folyamatának mindegyikére vonatkozóan részletesauditálási útmutatókat határoz meg. A baloldali lap az általános szintû kontroll célkitûzéseket tartalmazza. Azinformatikai szakterület jelzése (az angol rövidítéseket megtartva a konzisztens hivatkozás érdekében - PO -Tervezés és szervezet, AI - Beszerzés és rendszermegvalósítás, DS - Szolgáltatás és támogatás, és M -Monitorozás) baloldalt felül található. A vonatkozó infomáció-kritériumok és a kezelt informatikai erõforrásokjelzése a következõ oldalon bemutatott mini-mátrixokban szerepel. A jobboldali lapon kezdõdik az informatikaifolyamatra vonatkozó auditálási útmutatók közlése.

A COBIT Keretrendszer az általános szintû kontrollcélkitûzésekre korlátozódik, amelyek az egyes infor-matikai folyamatokhoz kapcsolódó üzletikövetelmények formájában kerültek megfogal-mazásra. Az egyes kontroll célkitûzésekmegvalósítását a vonatkozó kontroll norma teszilehetõvé, amelyek kapcsán figyelembe kell venni apotenciálisan alkalmazható kontroll eljárásokat.

A Kontroll célkitûzések csoportosításafolyamatok/tevékenységek szerint történt, deismertetésük az eligazodást segítõ navigációs ábrákatis tartalmaz, amelyek nemcsak a fenti megközelítésinézõpontok bármelyikébõl történõ kiindulást

könnyítik meg, de segítik a kombinált, illetveglobális megközelítési módot is, mint amilyenpéldául egy folyamat bevezetése, valamely folya-mathoz kapcsolódó átfogó irányítási feladatok, illetvevalamely folyamat által használt informatikai erõfor-rások.

Azt is meg kell jegyezni, hogy a Kontrollcélkitûzések általános formában kerültekmeghatározásra, azaz függetlenül az alkalmazotttechnikai platformtól, de elfogadva azt a tényt, hogybizonyos konkrét technológiai környezetek esetébenkülön kontroll célkitûzésekre lehet szükség.


A kontroll célkitûzéseknek a különféle nézõpontokszerinti hatékony alkalmazása érdekében ún. navigációsábrákat is mellékeltünk az általános szintû informatikaikontroll célkitûzések ismertetéséhez. Navigációs segít-séget nyújtunk mind a három dimenzióhoz - azaz afolyamatokhoz, az informatikai erõforrásokhoz és azinformáció-kritériumokhoz - kapcsolódóan, amelymentén a COBIT Keretrendszer megközelíthetõ.

Az egyes informatikai szakterületeket a Kontroll célkitûzésekettartalmazó oldalak JOBB FELSÕ SARKÁBAN megtalálható ikon(lásd jobbra) jelzi, kiemelve és nagyobb mérettel megjelenítveaz éppen vizsgált terület.

Az információ-kritériumokra vonatkozó utalás a Kontroll célki-tûzéseket tartalmazó oldalak BAL FELSÕ SARKÁBAN találhatómeg egy mini-mátrix formájában (lásd jobbra), amely megmu-tatja, hogy mely kritériumok érvényesek az egyes általánosszintû Kontroll célkitûzések esetében, és milyen mértékben(elsõdleges vagy másodlagos).

A Kontroll célkitûzéseket tartalmazó oldalak BAL ALSÓSARKÁBAN egy másik mini-mátrix jelöli azokat az informatikaierõforrásokat, amelyek a vizsgált folyamat által közvetlenülirányítottak, nem csupán részt vesznek a folyamatban. Példáula "kezelje az adatokat" folyamat elsõsorban az adatforrássértetlenségére és megbízhatóságára koncentrál.



A KONTROLL CÉLKITÛZÉSEK KÖZÖTTI KAPCSOLATSZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK

TERVEZÉS ÉS SZERVEZET1.0 Informatikai stratégiai terv meghatározása

1.1 Az információ-technológia mint aszervezet hosszú- és rövid távú terveinekrésze

1.2 Hosszú távú informatikai terv1.3 Hosszú távú informatikai tervezés -

Módszer és struktúra1.4 A hosszú távú informatikai terv

módosítása1.5 Az informatikai funkció rövid távú

tervezése1.6 Az informatikai tervek kommunikációja1.7 Az informatikai tervek megvalósulásának

ellenõrzése és értékelése1.8 A meglévõ rendszerek értékelése

2.0 Az információ-architektúra meghatározása2.1 Információ-architektúra modell2.2 Vállalati adatszótár és adatszintaktikai

szabályok2.3 Adatosztályozási rendszer2.4 Biztonsági szintek

3.0 A technológiai irány meghatározása3.1 Technológiai infrastruktúra tervezés3.2 A jövõbeni trendek és jogszabályok

figyelemmel kísérése3.3 A technológiai infrastruktúra

üzemfolytonossága3.4 Hardver és szoftver beszerzési tervek3.5 Technológiai szabványok

4.0 Az informatikai szervezet és kapcsolatainakmeghatározása4.1 Informatikai Tervezési vagy Irányító

Bizottság4.2 Az informatikai funkció szervezeti

elhelyezkedése4.3 A szervezeti eredmények áttekintése4.4 Feladatok és felelõsségi körök4.5 Minõségbiztosítási felelõsség4.6 Logikai és fizikai biztonsági felelõsség4.7 Tulajdonlás és kezelés4.8 Az adatok és rendszerek tulajdonlása

4.9 Felügyelet4.10 A feladatkörök szétválasztása4.11 Az informatikai személyzettel való

gazdálkodás4.12 Az informatikai személyzet munkaköri

leírásai4.13 Informatikai kulcsszemélyek4.14 A szerzõdéses személyzetre vonatkozó

szabályok és eljárások4.15 Kapcsolatok

5.0 Az informatikai beruházás kezelése5.1 Éves informatikai mûködési költségvetés5.2 Költség-hasznon monitoring5.3 A költségek és a haszon igazolása

6.0 A vezetõi célok és irányvonal kommunikálása6.1 Pozitív informatikai kontroll környezet6.2 A vezetés felelõssége a szabályok kidolgo-

zásával kapcsolatban6.3 A szervezeti szabályok közlése6.4 A szabályok bevezetéséhez szükséges

erõforrások6.5 A szabályok aktualizálása6.6 A szabályok, eljárások és szabványok

betartása6.7 A minõség iránti elkötelezettség6.8 A biztonságra és a belsõ kontroll rendszer-

re vonatkozó szabályok6.9 Szellemi tulajdonjogok6.10 Konkrét kérdésekhez kapcsolódó szabá-

lyok6.11 Az informatikai biztonsági tudatosság

kommunikálása7.0 Az emberi erõforrások kezelése

7.1 A dolgozók felvétele és elõléptetése7.2 A személyzet képzettsége és minõsítései7.3 Feladatok és felelõsségi körök7.4 A dolgozók képzése7.5 Átképzés vagy helyettesítés7.6 Személyes átvilágítási eljárások7.7 A dolgozók teljesítmény-értékelése7.8 A munkakörök változtatása és megszûn-

tetése


SZAKTERÜLETEK, FOLYAMATOK ÉS KONTROLL CÉLKITÛZÉSEK

TERVEZÉS ÉS SZERVEZET, folytatás8.0 A külsõ követelmények betartásának

biztosítása8.1 A külsõ követelmények áttekintése8.2 A külsõ követelmények betartásához

kapcsolódó gyakorlat és eljárások8.3 A balesetvédelmi és ergonómiai elõírások

betartása8.4 Személyiségi jogok, szellemi tulajdon és

adatáramlás8.5 Elektronikus kereskedelem8.6 A biztosítási szerzõdések betartása

9.0 A kockázatok értékelése9.1 Az üzleti kockázatok értékelése9.2 Kockázatértékelési stratégia9.3 A kockázatok azonosítása9.4 A kockázatok mérése9.5 Kockázati cselekvési terv9.6 Kockázatviselés9.7 A védelem kiválasztása9.8 A kockázatértékelés melletti

elkötelezettség10.0 A projektek irányítása

10.1 Projektirányítási keretrendszer10.2 A felhasználó osztály részvétele a projekt

kezdeményezésében10.3 Projekt munkacsoport tagjai és feladatai10.4 A projektek meghatározása10.5 A projektek jóváhagyása10.6 A projekt szakaszainak jóváhagyása10.7 Felsõ szintû projekt-terv10.8 Rendszer-minõségbiztosítási terv10.9 A megerõsítõ vizsgálati módszerek

tervezése10.10 Formális projekt-kockázatkezelés10.11 Tesztelési terv10.12 Képzési terv10.13 Megvalósítást követõ vizsgálati terv

11.0 A minõségirányítás11.1 Általános minõségi terv11.2 Minõségbiztosítási stratégia11.3 A minõségbiztosítás tervezése11.4 Az informatikai szabványok és eljárások

betartására vonatkozó minõségbiztosításifelülvizsgálat

11.5 Rendszerfejlesztési életciklus módszertan11.6 Rendszerfejlesztési életciklus módszertan

az alkalmazott technológia jelentõsmegváltoztatása esetén

11.7 A rendszerfejlesztési életciklus módszer-tan aktualizálása

11.8 Koordináció és kommunikáció11.9 A technológiai infrastruktúra beszerzésére

és karbantartására vonatkozó keretrend-szer

11.10 Kapcsolattartás külsõ rendszermeg-valósítókkal/fejlesztõkkel

11.11 Program dokumentációs szabványok11.12 Program tesztelési szabványok11.13 Rendszer tesztelési szabványok11.14 Párhuzamos futtatás/kísérleti tesztelés11.15 A rendszer tesztelés dokumentációja11.16 A fejlesztési szabványok betartását

ellenõrzõ minõségbiztosítási értékelés11.17 Az informatikai célkitûzések teljesítésére

vonatkozó minõségbiztosítási ellenõrzés11.18 A minõség mérése11.19 Jelentéskészítés a minõségbiztosítási

ellenõrzésekrõl

BESZERZÉS ÉS RENDSZERMEGVALÓSÍTÁS1.0 Az automatizált megoldások meghatározása

1.1 Az információs követelményekmeghatározása

1.2 Alternatív cselekvési lehetõségek kidolgo-zása

1.3 A beszerzési stratégia kidolgozása1.4 A külsõ szolgáltatásokra vonatkozó

követelmények1.5 Technológiai megvalósíthatósági tanul-

mány1.6 Gazdasági megvalósíthatósági tanulmány1.7 Információ-architektúra1.8 Kockázatelemzési jelentés1.9 Költséghatékony biztonsági eljárások1.10 Az audit szempontú nyomonkövethetõség

kialakítása1.11 Ergonómia1.12 A rendszer-szoftver kiválasztása



1.13 A beszerzés irányítása és ellenõrzése1.14 A szoftver-termékek beszerzése1.15 A külsõ fél által végzett szoftver-karban-

tartás1.16 Szerzõdéses alkalmazás-programozás1.17 A létesítmények átvétele1.18 A technológia átvétele

2.0 Az alkalmazási szoftverek beszerzése éskarbantartása2.1 Kiviteli tervkészítési módszerek2.2 A meglévõ rendszerek jelentõsebb

módosítása2.3 A kiviteli terv jóváhagyása2.4 Az adatállományokra vonatkozó

követelmények meghatározása ésdokumentálása

2.5 Program-specifikáció2.6 A forrás-adatok összegyûjtésének terve2.7 Az inputokra vonatkozó követelmények

meghatározása és dokumentálása2.8 Az interfészek meghatározása2.9 A felhasználó és a számítógép közötti

interfész2.10 Az adatfeldolgozási követelmények

meghatározása és dokumentálása2.11 Az outputokra vonatkozó követelmények

meghatározása és dokumentálása2.12 Kontrollálhatóság2.13 A rendelkezésre állás, mint kulcs-

fontosságú tervezési faktor2.14 Az adatok sértetlenségét biztosító

funkciók a az alkalmazási szoftverekben2.15 Az alkalmazási szoftverek tesztelése2.16 A felhasználói kézikönyvek és segédletek

és2.17 A rendszer kiviteli tervének felülvizsgálata

3.0 A technológiai infrastruktúra beszerzése éskarbantartása3.1 Az új hardverek és szoftverek értékelése3.2 Preventív hardver-karbantartás3.3 A rendszer-szoftverek biztonsága3.4 A rendszer-szoftverek telepítése3.5 A rendszer-szoftverek karbantartása

3.6 A rendszer-szoftverek változáskezelése3.7 A rendszer-segédprogramok használata és

monitorozása4.0 Az eljárások kifejlesztése és karbantartása

4.1 Üzemeltetési követelmények és szolgál-tatási szintek

4.2 A felhasználói eljárások kézikönyvei4.3 Üzemeltetési kézikönyv4.4 Oktatási anyagok

5.0 A rendszerek installálása és jóváhagyása5.1 Képzés5.2 Az alkalmazási szoftverek teljesít-

ményének méretezése5.3 Rendszermegvalósítási terv5.4 Rendszer-konverzió5.5 Adat-konverzió5.6 Tesztelési stratégiák és tervek5.7 A változtatások tesztelése5.8 A párhuzamos futtatás/kísérleti tesztelés

kritériumai és végrehajtása5.9 Végsõ átvételi teszt5.10 Biztonsági tesztelés és jóváhagyás5.11 Üzemi teszt5.12 Üzemi környezetbe helyezés5.13 A felhasználói igényeknek való megfelelés

értékelése5.14 A megvalósítást követõ vezetõi ellenõrzés

6.0 A változáskezelés6.1 A változtatási kérelmek kezdeményezése

és kontrollja6.2 Hatás-elemzés6.3 Változáskezelés6.4 Kényszerhelyzeti változtatások6.5 Dokumentáció és eljárások6.6 Engedélyezett karbantartás6.7 A szoftver-változatok kibocsátására

vonatkozó szabályok6.8 A szoftverek terítése




SZOLGÁLTATÁS ÉS TÁMOGATÁS1.0 A szolgáltatási szintek meghatározása és

kezelése1.1 A szolgáltatási szint megállapodásokra

vonatkozó keretrendszer1.2 A szolgáltatási szint megállapodásokban

szabályozott kérdések1.3 Teljesítési eljárások1.4 Felügyelet és jelentéskészítés1.5 A szolgáltatási szint megállapodások és

szerzõdések felülvizsgálata1.6 Kiterhelhetõ költségtételek1.7 Szolgáltatás-fejlesztési program

2.0 A külsõ szolgáltatások kezelése2.1 Szállítói kapcsolatok2.2 Kapcsolattartási felelõs2.3 A külsõ felekkel kötött szerzõdések2.4 A külsõ felek minõsítése2.5 Szolgáltatás-kiszervezési szerzõdések2.6 A szolgáltatások folyamatossága2.7 Biztonsági megállapodások2.8 Folyamatos ellenõrzés

3.0 A teljesítmény és kapacitás kezelése3.1 A rendelkezésre állásra és a teljesítményre3.2 Rendelkezésre állási terv3.3 Monitorozás és jelentéskészítés3.4 Modellezési eszközök3.5 Proaktív teljesítményirányítás3.6 Az üzemi terhelés elõrejelzése3.7 Az erõforrások kapacitás-kezelése3.8 Az erõforrások rendelkezésre állása3.9 Az erõforrások ütemezése

4.0 A folyamatos mûködés biztosítása4.1 Informatikai folytonossági keretrendszer4.2 Az informatikai folytonossági tervre

vonatkozó stratégia és filozófia4.3 Informatikai folytonossági terv tartalma4.4 Az informatikai folytonossági

követelmények minimalizálása4.5 Az informatikai folytonossági terv karban-

tartása4.6 Az informatikai folytonossági terv

tesztelése

4.7 Az informatikai folytonossági tervhezkapcsolódó képzés

4.8 Az informatikai folytonossági tervszétosztása

4.9 A felhasználói terület által kialakítottalternatív feldolgozási folyamatok,helyettesítõ eljárások

4.10 Kritikus fontosságú informatikai erõfor-rások

4.11 Tartalék telephely és hardverek4.12 A mentési anyagok külsõ tárolása4.13 Értékelési és módosítási eljárások

5.0 A rendszer biztonságának megvalósítása5.1 A biztonsági intézkedések kezelése5.2 Azonosítás, hitelesítés és hozzáférési

jogosultság5.3 Az adatok hozzáférésének biztonsága

közvetlen kapcsolat esetén5.4 A felhasználói azonosítók kezelése5.5 A felhasználói azonosítók vezetõi

ellenõrzése5.6 A felhasználói azonosítók felhasználói

kontrollja5.7 Biztonsági felügyelet5.8 Az adatok osztályozása5.9 Központi felhasználó-azonosítás és

jogosultságkezelés5.10 Jelentéskészítés a biztonsági elõírások

megsértésérõl és a biztonságitevékenységrõl

5.11 A rendkívüli események kezelése5.12 Újrahitelesítés5.13 A másik fél hitelesítése5.14 A tranzakciók engedélyezése5.15 Letagadhatatlanság5.16 Hitelesített útvonalak5.17 A biztonsági funkciók védelme5.18 A kriptográfiai kulcsok kezelése5.19 A rossz szándékú szoftverek megje-

lenésének megelõzése, felderítése éselhárítása

5.20 Tûzfal architektúrák és kapcsolódás anyilvános hálózatokhoz

5.21 Az elektronikus értékek megvédése



6.0 A költségek megállapítása és felosztása6.1 Felszámítható költségtételek6.2 Költségszámítási eljárások6.3 Felhasználói számlázási és visszaterhelési

eljárások7.0 A Felhasználók oktatása és képzése

7.1 Az oktatási igények meghatározása7.2 A képzés megszervezése7.3 A biztonsági alapelvekre és a tudatosságra

irányuló képzés8.0 A felhasználók segítése és tanácsadás

8.1 Help Desk8.2 A felhasználói kérdések nyilvántartása8.3 A felhasználói kérdések továbbítása a

megoldók felé8.4 A felhasználói kérdések megoldásának

figyelemmel kísérése8.5 A trendek elemzése és jelentése

9.0 A konfigurációkezelés9.1 A konfiguráció nyilvántartása9.2 A konfiguráció bázisának nyilvántartása9.3 A státusz nyilvántartása9.4 A konfiguráció nyilvántartás kontrollja9.5 Engedély nélküli szoftverek9.6 A szoftverek tárolása9.7 Konfigurációkezelési eljárások9.8 A szoftverekre vonatkozó elszá-

moltathatóság10.0 A problémák és rendkívüli események

kezelése10.1 Probléma-kezelõ rendszer10.2 A problémák megfelelõ illetékességi

szintekre történõ továbbítása (eszkaláció)10.3 A problémák ellenõrzési szempontú

nyomonkövethetõsége10.4 A kényszerhelyzeti és ideiglenes

hozzáférés engedélyezése10.5 Kényszerhelyzeti feldolgozási prioritások

11.0 Az adatok kezelése11.1 Adatelõkészítési eljárások11.2 A forrás-dokumentumok engedélyezési

eljárásai11.3 A forrás-dokumentumok adatainak össze-

gyûjtése

11.4 A forrás-dokumentumok hibáinak kezelése11.5 A forrás-dokumentumok megõrzése11.6 Adatbevitel-engedélyezési eljárások11.7 A pontosság, teljesség és engedélyezettség

ellenõrzése11.8 Az adatbeviteli hibák kezelése11.9 Az adatfeldolgozás sértetlensége11.10 Az adatfeldolgozás érvényességének

ellenõrzése és a szerkesztés11.11 Az adatfeldolgozási hibák kezelése11.12 A kimenõ adatok kezelése és megõrzése11.13 A kimenõ adatok szétosztása11.14 A kimenõ adatok egyeztetése11.15 A kimenõ adatok felülvizsgálata és a

hibakezelés11.16 A kimenõ adatokról készült jelentésekre

vonatkozó biztonsági elõírások11.17 A bizalmas információk védelme

adattovábbítás és szállítás közben11.18 A megsemmisítendõ bizalmas információk

védelme11.19 Az adattárolás kezelése11.20 Megõrzési idõ és tárolási feltételek11.21 Adathordozó-könyvtár kezelõ rendszer11.22 Az adathordozó-könyvtár kezeléséhez

kapcsolódó felelõsségek11.23 Mentés és helyreállítás11.24 Mentési munkafolyamatok11.25 A mentések tárolása11.26 Archiválás11.27 A bizalmas üzenetek védelme11.28 Hitelesítés és sértetlenség11.29 Az elektronikus tranzakciók sértetlenségek11.30 A tárolt adatok sértetlenségének folyama-

tos fenntartása12.0 A létesítmények kezelése

12.1 Fizikai védelem12.2 Az informatikai telephelyre vonatkozó

információk elrejtése12.3 A látogatók kísérése12.4 A személyzet egészség- és munkavédelme12.5 A környezeti tényezõkkel szembeni

védelem12.6 Szünetmentes áramforrás




SZOLGÁLTATÁS ÉS TÁMOGATÁS, folytatás13.0 Az üzemeltetés irányítása

13.1 A feldolgozási üzemeltetési eljárások ésutasítások kézikönyve

13.2 Az indítási folyamat és egyéb üzemeltetésieljárások dokumentációja

13.3 A gépi mûveletek ütemezése13.4 Eltérések a gépi mûveletek elõírt

ütemezésétõl13.5 A feldolgozás folytonossága13.6 Üzemeltetési naplók13.7 A speciális nyomtatványok és output

eszközök védelme13.8 Távoli üzemeltetés

MONITOROZÁS1.0 A folyamatok nyomon követése, felügyelete

1.1 A monitoring adatok összegyûjtése1.2 A teljesítmény értékelése1.3 A felhasználói elégedettség értékelése1.4 Vezetõi jelentések

2.0 A belsõ irányítási és ellenõrzési eljárásokmegfelelõségének felmérése

2.1 A belsõ irányítás és ellenõrzésmonitorozása

2.2 A belsõ kontroll eljárások kellõ idõbentörténõ alkalmazása

2.3 Jelentés a belsõ kontroll szintjérõl2.4 Megerõsítõ vizsgálatok a biztonságra és a

belsõ kontrollok mûködésére vonatkozóan3.0 Független megerõsítõ vizsgálatok végeztetése

3.1 Az informatikai szolgáltatások bizton-ságára és belsõ kontrolljára vonatkozófüggetlen tanúsítás/jóváhagyás

3.2 A külsõ szolgáltatókra vonatkozó bizton-sági és belsõ kontroll szempontú függetlentanúsítás/jóváhagyás

3.3 Az informatikai szolgáltatásokeredményességének független értékelése

3.4 A külsõ szolgáltatók eredményességénekfüggetlen értékelése

3.5 A törvényi és jogszabályi elõírások,valamint a szerzõdéses kötelezettségekbetartásának független megerõsítése

3.6 A törvényi és jogszabályi elõírások,valamint a szerzõdéses kötelezettségekkülsõ szolgáltatók általi betartásánakfüggetlen megerõsítése

3.7 A független megerõsítést nyújtó szervezetszakmai kompetenciája

3.8 Az audit funkció proaktív közremûködése4.0 Független auditálás végeztetése

4.1 Auditálási, ellenõrzési szabályzat4.2 Függetlenség4.3 Szakmai etika és szabványok4.4 Szakmai kompetencia4.5 Tervezés4.6 Az audit végrehajtása4.7 Jelentéskészítés4.8 A javaslatok végrehajtásának

nyomonkövetése



AUDITÁLÁSI ÚTMUTATÓK


Ez az oldal szándékosan maradt üresen.



T E R V E Z É S É S S Z E R V E Z E T


PO1 Tervezés és SzervezetAz informatikai stratégiai terv meghatározása

ÁLTALÁNOS SZINTÛ KONTROLL CÉLKITÛZÉS

A kontrollálandó informatikai folyamat:

az informatikai stratégiai terv kidolgozása

A folyamattal szemben támasztott üzleti követelmény:

az információ-technológiában rejlõ lehetõségek és az informatikával szemben támasz-tott üzleti követelmények optimális egyensúlyának kialakítása, valamint az egyensúlykésõbbi megvalósításának biztosítása

A megvalósítás feltételei:

rendszeres jellegû stratégiai tervezési munka és ennek alapján hosszú távútervek kidolgozása: a hosszú távú terveket le kell bontani olyan idõszaki ope-ratív tervekre, amelyek világos és konkrét rövid távú célokat határoznak meg

Mérlegelendõ kérdések:

• szervezeti/vállalati üzleti stratégia• annak a meghatározása, hogy az üzleti célkitûzéseket hogyan

támogatja az informatika • a technológia megoldások és a jelenlegi infrastruktúra

feltérképezése• a technológiai piacok figyelése• kellõ idõben végzett megvalósíthatósági tanulmányok és

ellenõrzések• a meglévõ rendszerek értékelése• a vállalkozás viszonyulása a kockázat, a piaci reagálási idõ és a

minõség kérdéséhez• a felsõ vezetõi elkötelezettség, támogatás és kritikai

szemléletû átvilágítás szükségessége



PO1AZ INFORMATIKAI STRATÉGIAI TERV MEGHATÁROZÁSA

KONTROLL CÉLKITÛZÉSEK

1 Az információ-technológia mint a szervezet hosszú- és rövid távú terveinek része2 A hosszú távú informatikai terv3 Hosszú távú informatikai tervezés - Módszer és struktúra4 A hosszú távú informatikai terv módosítása5 Az informatikai funkció rövid távú tervezése 6 Az informatikai tervek kommunikációja7 Az informatikai tervek megvalósulásának ellenõrzése és értékelése8 A meglévõ rendszerek értékelése

AZ ÁLTALÁNOS ÉS RÉSZLETES KONTROLL CÉLKITÛZÉSEK AUDITÁLÁSÁNAK MÓDJA:

A helyzet megértése és adatgyûjtés:

A kontroll mechanizmusok értékelése:

Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés és humán szolgáltatási dolgozók

Adatgyûjtés:A tervezési folyamathoz kapcsolódó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekHelyzetjelentések és a tervezõ/irányító bizottság üléseinek jegyzõkönyvei

Megvizsgálandó kérdések:Az informatikai egység illetve a vállalkozás szabályai és eljárásai strukturált tervezési módszert

határoznak-e megBevezettek-e valamely módszertant a tervek kidolgozására és módosítására vonatkozóan, amely legalább

az alábbi kérdéseket lefedi:• a szervezet küldetése és céljai• informatikai kezdeményezések a szervezet küldetése és céljai támogatása érdekében• az informatikai kezdeményezésekre vonatkozó lehetõségek• az informatikai kezdeményezések megvalósíthatósági tanulmányai• az informatikai kezdeményezések kockázat-becslése• a jelenlegi és jövõbeni informatikai beruházások optimális megvalósítása• az informatikai kezdeményezések módosítása a szervezet küldetésében és céljaiban bekövetkezett

változásoknak megfelelõen


A megfelelõség felmérése:

Tesztelendõ:Az Informatikai tervezési/irányító bizottsági üléseinek jegyzõkönyvei visszatükrözik-e a tervezési folya-

matotMegvannak-e a tervezési módszertan végtermékei, dokumentumai és azok megfelelnek-e az elõírtaknakA vonatkozó informatikai kezdeményezések bekerülnek-e a hosszú- és rövid távú informatikai tervekbe

(ú.m. hardver változtatások, kapacitás-tervezés, információ-architektúra, új rendszerek fejlesztéseilletve beszerzése, katasztrófa-helyreállítási tervek, új adatfeldolgozó platformok üzembehelyezése,stb.)

Az informatikai kezdeményezések támogatják-e a hosszú- és rövid távú terveket és figyelembe veszik-ea kutatási, képzési, munkaerõ-, létesítmény , hardver- és szoftver követelményeket

Meghatározták-e az informatikai kezdeményezések mûszaki kihatásait Foglalkoztak-e a jelenlegi és jövõbeni informatikai beruházások optimalizálásának kérdésévelA hosszú- és rövid távú informatikai tervek összhangban állnak-e a szervezet hosszú- és rövid távú

terveivel és a szervezeti követelményekkelA terveket módosították-e a változó feltételek függvényébenA hosszú távú informatikai tervek alapján rendszeres idõközönként kidolgoznak-e rövid távú terveket Ki vannak-e jelölve a tervek végrehajtására vonatkozó feladatok

Megvizsgálandó kérdések, folytatás:• az alternatív adatfeldolgozási alkalmazásokra, technológiákra és szervezetre vonatkozó stratégiák

értékeléseA szervezeti változásokat, a technológiai fejlõdést, a szabályozási követelményeket, az üzleti folyamatok

átalakítását, a munkaerõ-szükségletet, a szolgáltatások belsõ megszervezésének illetvekiszervezésének lehetõségeit, stb. figyelembe veszik-e és megfelelõen kezelik-e a tervezési folya-matban

Léteznek-e hosszú- és rövid távú informatikai tervek, amelyek aktuálisak és megfelelõ módonfoglalkoznak a vállalkozás egészével, annak céljaival és legfontosabb üzleti funkcióival

Az informatikai projektek megfelelõ dokumentációval vannak-e alátámasztva az informatikai tervezésimódszertanban foglaltaknak megfelelõen

Léteznek-e olyan ellenõrzési pontok, amelyek gondoskodnak arról, hogy az informatikai célok és ahosszú- ill. rövid távú tervek folyamatosan igazodjanak az általános szervezeti célokhoz és a hosszú-ill. rövid távú tervekhez

Az informatikai terveket felülvizsgálják-e és hivatalosan jóváhagyják-e az üzleti folyamatok gazdái és afelsõ vezetés

Az informatikai terv értékeli-e a meglévõ rendszereket az üzletvitel automatizációjának mértéke, afunkcionalitás, a stabilitás, a komplexitás, a költségek, valamint az erõsségek és gyenge pontokvonatkozásában.

Az információrendszerekre és a kapcsolódó infrastruktúrára vonatkozó hosszú távú tervek hiánya nemeredményez-e olyan rendszereket, amelyek nem támogatják a vállalati célkitûzéseket és az üzletifolyamatokat, illetve amelyek nem gondoskodnak megfelelõ módon az információk sértetlenségérõl,biztonságáról és kontrolljáról.

PO1 Tervezés és SzervezetAz informatikai stratégiai terv meghatározása



A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:

Az alábbi feladatok elvégzése révén:A stratégiai informatikai tervek összemérése hasonló szervezetek terveivel illetve a megfelelõ nemzetközi

szabványokkal/elismert ágazati legjobb gyakorlattalAz informatikai tervek részletes áttekintése annak ellenõrzése céljából, hogy az informatikaikezdeményezések összhangban állnak-e a szervezet küldetésével és célkitûzéseivelAz informatikai tervek részletes áttekintése annak megállapítása céljából, hogy a szervezeten belüliismert hiányosságok megoldására vonatkozóan tartalmaznak-e valamilyen javaslatot a tervekbenjavasolt informatikai megoldások

Feltárva az alábbiakat:Ahol az informatikai rendszer nem felel meg a szervezet küldetésének és céljainak, Ahol a rövid távú informatikai tervek nem állnak összhangban a hosszú távú tervekkelAhol az informatikai projektek nem igazodnak a rövid távú tervekhezAhol az informatikai egység nem tartja a rá vonatkozó költség- és idõnormákatAz elmulasztott üzleti lehetõségekAz elmulasztott informatikai lehetõségek

PO1


PO2 Tervezés és szervezetAz információ-architektúra meghatározása



az információ-architektúra meghatározása


az információrendszerek optimális szervezettségének kialakítása


szervezeti/üzleti információs modell kidolgozása és karbantartása, valamintolyan megfelelõ rendszerek létrehozása, amelyek biztosítják az információkoptimális felhasználását


• automatizált adatszótár és repozitórium• adat-szintaktikai szabályok • adat-tulajdonlás és az adatok osztályozása fontosság és biztonság

szempontjából• az üzletet leképezõ információ-modell• szervezeti szintû információ-architektúra szabványok és elõírások



PO2AZ INFORMÁCIÓ-ARCHITEKTÚRA MEGHATÁROZÁSA


1 Információ-architektúra modell2 Vállalati adatszótár és adatszintaktika3 Adatosztályozási rendszer4 Biztonsági szintek




Interjú készítés:Informatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetésBiztonsági felelõs

Adatgyûjtés:Az információ-architektúrához kapcsolódó szabályok és eljárásokAz információ-architektúra modellAz információ-architektúra modellt alátámasztó dokumentumok, beleértve a vállalati adatmodellt isA vállalati adatszótárAz adattulajdonosokra vonatkozó szabályozásokA felsõ vezetés irányítási feladatai és felelõsségeAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei

Megvizsgálandó kérdések:Az informatikára vonatkozó szabályok és eljárások foglalkoznak-e az adatszótár kidolgozásának és

karbantartásának kérdésévelAz információ-architektúra modell aktualizálási folyamata a hosszú- és rövid távú terveken alapul-e,

figyelembe veszi-e a kapcsolódó költségeket és kockázatokat, továbbá gondoskodik-e arról, hogy amodell csak akkor változtatható meg, ha azt a felsõ vezetés elõzetesen jóváhagyja

Létezik-e olyan folyamat, amely az adatszótár és az adatszintaktikai szabályok aktualizálására irányulOlyan közeget használnak-e az adatszótár terítéséhez, amely gondoskodik arról, hogy a fejlesztési

területek is hozzá tudjanak férni az adatszótárhoz és az adatszótár azonnal tükrözze a változásokatAz informatikai szabályok és eljárások foglalkoznak-e az adatok osztályozásával, beleértve a biztonsági

kategóriákat és az adatok tulajdonlásának kérdését is, és az egyes adatkategóriákhoz történõhozzáférés szabályai egyértelmûen és megfelelõen vannak-e meghatározva

Léteznek-e szabványok az olyan adatok alapértelmezés szerinti osztályba sorolására, amelyek nem tartal-maznak adat-osztályozási azonosítót.


Az alábbi feladatok elvégzése révén:Az információ-architektúra modell összemérése hasonló szervezetek modelljeivel illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz adatszótár részletes áttekintése a kulcsfontosságú elemek teljességének ellenõrzése érdekébenA bizalmas adatokra vonatkozóan meghatározott biztonsági szintek részletes áttekintése annak ellenõrzése

céljából, hogy a hozzáférés megfelelõ engedélyezés alapján történik-e és a megadott hozzáférésiengedélyek összhangban vannak-e az informatikai szabályokban és eljárásokban meghatározottbiztonsági szintekkel



Tesztelendõ:Az információ-architektúra modell változtatásai megfelelnek-e a hosszú- és rövid távú informatikai

tervekben történt változtatásoknak, és meghatározták-e a kapcsolódó költségeket és kockázatokatFel kell mérni az adatszótárral kapcsolatban végrehajtott módosítások illetve változtatások kihatásait és

ellenõrizni kell, hogy azokat megfelelõen kommunikálják-eAz adatszótárt használták-e az adatok definiálásához a különbözõ mûködõ alkalmazási rendszerek és

fejlesztési projektek esetében Megfelelõ-e az adatszótár dokumentációja abból a szempontból, hogy valamennyi adatelemre

meghatározza az attribútumokat és a biztonsági szintetMegfelelõek-e az adatosztályok, a biztonsági szintek, a hozzáférési szintek és az alapértelmezés szerinti

jellemzõkMinden egyes adatosztály esetében egyértelmûen meghatározták-e azt, hogy:

• kinek van hozzáférési joga• ki a felelõs a megfelelõ hozzáférési szint meghatározásáért• szükséges-e külön jóváhagyás a hozzáféréshez• milyen speciális követelményei vannak a hozzáférésnek (pl. titoktartási megállapodás)

Megvizsgálandó kérdések, folytatás:Az informatikai szabályok és eljárások kitérnek-e az alábbi kérdésekre:

• olyan engedélyezési folyamat jusson érvényre, amely megköveteli, hogy az adatok tulajdonosa(amint azt az adattulajdonlási szabályzat meghatározza) engedélyezze az adatokhoz és az adatokbiztonsági paramétereihez történõ hozzáférést

• minden egyes adatosztály biztonsági szintje meg legyen határozva• meg legyenek határozva a hozzáférési szintek és azok feleljenek meg az adatosztályozásnak• a bizalmas adatokhoz történõ hozzáférés külön hozzáférési szinteket igényeljen, és az adatokat

csak azok ismeretének szükségessége esetén bocsássák rendelkezésre.

PO2 Tervezés és SzervezetAz információ-architektúra meghatározása



PO2Feltárva az alábbiakat:Ellentmondások az információ-architektúra modell és a vállalati adatmodell, a vállalati adatszótár, a

kapcsolódó információrendszerek valamint a hosszú- és rövid távú informatikai tervek közöttElévült adatszótár tételek és adatszintaktikai szabályok, amelyek aktualitása azért veszett el, mert az

adatszótár felé nem kielégítõ módon kommunikálták a bekövetkezett változásokatAdattételek, amelyek esetében a tulajdonos nincs egyértelmûen illetve megfelelõen meghatározvaNem megfelelõen meghatározott adatosztályokAz "ismeret szükségessége" szabályát figyelmen kívül hagyó adatbiztonsági szintek


PO3 Tervezés és szervezetA technológiai irány meghatározása



a technológiai irány meghatározása


a rendelkezésre álló és az újonnan megjelenõ technológiák által kínált elõnyök kihasz-nálása az üzleti stratégia kialakítása és megvalósítása érdekében


olyan technológiai infrastruktúra terv kidolgozása és karbantartása, amelymeghatározza és kezeli a technológiával szemben támasztott egyértelmû ésreális elvárásokat a termékek, szolgáltatások és szolgáltatásnyújtási mecha-nizmusok tekintetében


• a meglévõ infrastruktúra által kínált lehetõségek• a technológiai fejlõdés figyelemmel kísérése megbízható források

alapján• új elképzelések, ötletek életképességének bizonyítása• kockázatok, korlátok és a lehetõségek• beszerzési tervek• az új technológiára történõ áttérés stratégiája és ütemterve• a beszállítókkal, partnerekkel kialakított kapcsolatok• a technológiai lehetõségek független értékelése• a hardver és szoftver ár/teljesítmény változásai.



PO3A TECHNOLÓGIAI IRÁNY MEGHATÁROZÁSA


1 Technológiai infrastruktúra tervezés2 A jövõbeni trendek és jogszabályok figyelemmel kísérése3 A technológiai infrastruktúra üzemfolytonossága4 Hardver és szoftver beszerzési tervek5 Technológiai szabványok




Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés

Adatgyûjtés:A technológiai infrastruktúra tervezésére és felügyeletére vonatkozó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai hardver- és szoftver beszerzési tervA technológiai infrastruktúra tervA technológiai szabványokA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei

Megvizsgálandó kérdések:Kialakították-e a technológiai infrastruktúra terv kidolgozására és rendszeres aktualizálására vonatkozó

folyamatot, amely biztosítja azt, hogy a javasolt változtatások esetében elõször felmérik a kapcsolódóköltségeket és kockázatokat, és a terv bármilyen jellegû megváltoztatásához megszerzik a felsõvezetés elõzetes jóváhagyását

Összehasonlítják-e a technológiai infrastruktúra tervet a hosszú- és rövid távú informatikai tervekkelKialakították-e a szervezet aktuális technológiai helyzetének értékelésére vonatkozó folyamatot, amely

olyan kérdésekre is kitér, mint a rendszer-architektúra, a technológiai fejlõdés iránya és a migrációsstratégiák

Az informatikai szabályok és eljárások biztosítják-e annak szükségességét, hogy értékeljék ésfigyelemmel kísérjék a jelenlegi és jövõbeni technológiai trendeket és szabályozási feltételeket, ésazokat figyelembe vegyék a technológiai infrastruktúra terv kidolgozása és aktualizálása során

A tervek kidolgozásakor figyelembe veszik-e a technológia beszerzések logisztikai és környezeti hatásait



Megvizsgálandó kérdések, folytatás:Az informatikára vonatkozó szabályok és eljárások biztosítják-e annak szükségességét, hogy szisztematikusan

felmérjék a technológiai terv üzemfolytonossági vonatkozásait (azaz az infrastruktúra redundanciáját,alkalmazkodóképességét, a feladatra való megfelelõségét és fejleszthetõségét)Értékeli-e az informatikai vezetés az új technológiákat és az arra alkalmas technológiákat beépíti-e az

informatikai infrastruktúrábaA hardver- és szoftver beszerzési tervek a gyakorlatban igazodnak-e a technológiai infrastruktúra tervben

meghatározott igényekhez, és megfelelõen jóváhagyásra kerülnek-eVannak-e technológiai szabványok érvényben a technológiai infrastruktúra tervben leírt technológiai

komponensekre vonatkozóan

PO3 Tervezés és SzervezetA technológiai irány meghatározása

Tesztelendõ:Az informatikai vezetés tisztában van-e a technológiai infrastruktúra terv tartalmával és használja-e a

tervetA technológiai infrastruktúra tervben történt módosításokhoz milyen költségek és kockázatok

kapcsolódnak, továbbá, ezek a változtatások megfelelnek-e a hosszú- és rövid távú informatikaitervekben végrehajtott változtatásoknak

Az informatikai vezetés tisztában van-e a megjelenõ új technológiák figyelemmel kísérésének ésértékelésének folyamatával és megfelelõ technológiákat épít-e be az informatikai infrastruktúrába

Az informatikai vezetés tisztában van-e a technológiai tervhez kapcsolódó üzemfolytonosságivonatkozások (azaz az infrastruktúra redundanciája, alkalmazkodóképessége, feladatra valómegfelelõsége és fejleszthetõsége) szisztematikus felmérésének folyamatával

Az informatikai funkció meglévõ fizikai környezete megfelel-e a jelenleg használt hardver eszközöknekés szoftvereknek és a jóváhagyott beszerzési terv alapján késõbb alkalmazni kívánt hardvereknekilletve szoftvereknek

A hardver- és szoftver beszerzési tervek megfelelnek-e a hosszú- és rövid távú informatikai terveknek ésösszhangban állnak-e a technológiai infrastruktúra tervben meghatározott igényekkel

A technológiai infrastruktúra terv foglalkozik-e a jelenlegi és jövõbeni technológiák alkalmazásánakkérdésével

Betartják-e a technológiai szabványokat és azok a fejlesztési folyamat részét képezik-eAz engedélyezett hozzáférés megfelel-e az informatikai szabályokban és eljárásokban meghatározott

biztonsági szinteknek és a hozzáféréseket az elõírásoknak megfelelõ módon engedélyezték-e


Az alábbi feladatok elvégzése révén:A technológiai infrastruktúra tervezési eljárásának összemérése hasonló szervezetek tervezési eljárásaival

illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz adatszótár részletes áttekintése a kulcsfontosságú elemek teljességének ellenõrzése céljábólA bizalmas adatokra vonatkozóan meghatározott biztonsági szintek részletes áttekintése



Feltárva az alábbiakat:Ellentmondások az információ-architektúra modell és a vállalati adatmodell, a vállalati adatszótár, a

kapcsolódó információrendszerek, valamint a hosszú- és rövid távú informatikai tervek közöttElévült adatszótár tételek és adatszintaktikai szabályokA technológiai infrastruktúra terv által nem érintett üzemfolytonossági vonatkozásokAhol az informatikai hardver- és szoftver beszerzési tervek nem veszik figyelembe a technológiai infra-

struktúra tervben meghatározott igényeketAz olyan technológiai szabványok, amelyek nincsenek összhangban a technológiai infrastruktúra tervvel

illetve az informatikai hardver- és szoftver beszerzési tervekkelAhol a technológiai infrastruktúra terv illetve az informatikai hardver- és szoftver beszerzési tervek

nincsenek összhangban a technológiai szabványokkalAz adatszótárból hiányzó kulcsfontosságú elemekAz olyan bizalmas adatok, amelyek nem lettek akként osztályba sorolva, vagy amelyekhez biztonsági

szint hozzárendelésére nem került sor.

PO3


PO4 Tervezés és szervezetAz informatikai szervezet és kapcsolatainak meghatározása



az informatikai szervezet és kapcsolatainak meghatározása


a megfelelõ informatikai szolgáltatások biztosítása


olyan, megfelelõ számú és képzettségû személybõl álló szervezet felállítása afeladatok és felelõsségi körök meghatározása és kommunikálása mellett,amely igazodik a vállalkozás igényeihez, segíti a stratégia végrehajtását ésemellett hatékony irányítást és megfelelõ ellenõrzést tesz lehetõvé


• igazgató tanácsi szintû felelõsség az informatikai területért• az informatika irányítása és felügyelete felsõ vezetõi szinten• az informatika és az üzleti folyamatok összehangolása• az informatika bevonása a kulcsfontosságú döntési folyamatokba• szervezeti rugalmasság• világosan meghatározott feladat- és felelõsségi körök• optimális egyensúly megtalálása a felelõsségi körök átruházása és

irányítási jogkörök megtartása között• munkaköri leírások• munkakörök betöltöttségi szintje és kulcsfontosságú

dolgozók• a biztonsági, minõségbiztosítási és belsõ kontroll

funkciók elhelyezése a szervezeten belül• a hatáskörök különválasztása



PO4AZ INFORMATIKAI SZERVEZET ÉS KAPCSOLATAINAK MEGHATÁROZÁSA


1 Informatikai Tervezési vagy Irányító Bizottság2 Az informatikai funkció szervezeti elhelyezkedése3 A szervezeti eredmények áttekintése4 Feladatok és felelõsségi körök5 Minõségbiztosítási felelõsség6 Logikai és fizikai biztonsági felelõsség7 Tulajdonlás és kezelés8 Az adatok és rendszerek tulajdonlása9 Felügyelet10 A feladatkörök szétválasztása11 Az informatikai személyzettel való gazdálkodás12 Az informatikai személyzet munkaköri leírása13 Informatikai kulcsszemélyek14 A szerzõdéses személyzetre vonatkozó szabályok és eljárások15 Kapcsolatok



Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõMinõségbiztosítási felelõsBiztonsági felelõsAz informatikai tervezõi/irányító bizottság tagjai, az emberi erõforrás-gazdálkodás vezetése és a felsõ

vezetés

Adatgyûjtés:A felsõ vezetés tervezési/irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai és az egyéb funkciók kapcsolatait bemutató szervezeti ábra Az informatikai szervezetre és kapcsolataira vonatkozó szabályok és eljárásokA minõségbiztosításra vonatkozó szabályok és eljárásokAz informatikai funkció munkaerõ-igényeinek meghatározásához használt szabályok és eljárásokAz informatikai funkció szervezeti ábrájaAz informatikai funkció feladat- és felelõsségi köreiAz informatikai funkció kulcsfontosságú beosztásainak (munkaköri) leírásaA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei


PO4 Tervezés és SzervezetAz informatikai szervezet és kapcsolatainak meghatározása


Megvizsgálandó kérdések:A felsõ vezetés célkitûzései és megnyilatkozásai biztosítják-e az informatikai funkció függetlenségét és

hatáskörétMeghatározták-e az informatikai tervezõ/irányító bizottság összetételét, funkcióit és feladatköreitAz informatikai tervezõ/irányító bizottság mûködési szabályzata hozzáigazítja-e a bizottság céljait a

szervezeti célkitûzésekhez és a hosszú- ill. rövid távú tervekhez, valamint az informatikaicélkitûzésekhez és a hosszú- ill. rövid távú informatikai tervekhez

Érvényesülnek-e olyan folyamatok, amelyek célja az információk kezeléséhez kapcsolódó kérdésekfeltárásához és megoldásához szükséges tudatosság, hozzáértés és szakképzettség javítása

A szervezeti szabályok foglalkoznak-e a szervezeti struktúra értékelésének és - amennyiben akörülmények megváltozása illetve a célkitûzések módosítása azt szükségessé teszi - módosításánakszükségességével

Léteznek-e megfelelõ folyamatok és teljesítmény-mutatók az informatikai funkció eredményességének éselfogadottságának meghatározásához

A felsõ vezetés gondoskodik-e a kijelölt feladat- és felelõsségi körök ellátásáról Léteznek-e olyan szabályok, amelyek meghatározzák a szervezet alkalmazottjainak feladat- és felelõsségi

köreit az információrendszerekkel, a belsõ kontrollal és a biztonsággal kapcsolatosanTartanak-e rendszeresen felvilágosító kampányt a szervezetnél a belsõ kontrollra és a biztonságra

vonatkozó tudatosság, illetve az azokhoz való hozzáállás javítása érdekébenLétezik-e a szervezetnél minõségbiztosítási funkció és szabályzatA minõségbiztosítási funkció kellõ mértékben független-e a rendszerfejlesztési személyzettõl, továbbá

kellõ létszámú és megfelelõ szakismerettel bíró munkaerõvel rendelkezik-e feladatai ellátásáhozA minõségbiztosítási funkción belül érvényesülnek-e folyamatok az erõforrások ütemezésére és annak

biztosítására, hogy a minõségbiztosítási tesztelések és jóváhagyások még a rendszerek illetverendszer-módosítások bevezetése elõtt megtörténjenek

A vezetés formálisan, a szervezet egészére kiterjedõ szinten határozta-e meg a biztonsági felelõsfeladatkörét a belsõ kontrollra és biztonságra (mind a logikai, mind a fizikai biztonságra) vonatkozószabályok és eljárások kidolgozását illetõen

Az informatikai biztonsági felelõs tisztában van-e a saját feladataival és felelõsségével és ezekösszhangban állnak-e a szervezet informatikai biztonsági szabályzatával

A szervezet biztonsági szabályzata egyértelmûen meghatározza-e azt, hogy az információk biztonsága ésvédelme érdekében az egyes informatikai eszközök tulajdonosainak (pl. felhasználóknak, vezetésnek,biztonsági alkalmazottaknak, stb.) milyen feladatokat kell ellátniuk

Léteznek-e megfelelõ szabályok és eljárások, amelyek minden jelentõsebb adatforrásra és rendszerrevonatkozóan lefedik azok tulajdonlásának kérdését

Léteznek-e megfelelõ eljárások, amelyek gondoskodnak az adatok és rendszerek tulajdonosaibanbekövetkezett változások rendszeres idõközönként történõ áttekintésérõl és kezelésérõl

Léteznek-e szabályok és eljárások az olyan felügyeleti eljárások meghatározására vonatkozóan, amelyekgondoskodnak a kijelölt feladatok és felelõsségi körök megfelelõ ellátásáról, valamint arról, hogyminden dolgozó megfelelõ erõforrásokkal és hatáskörrel rendelkezzen feladatai végrehajtásához

Szét vannak-e választva a feladatkörök az alábbi funkciók között:• rendszerfejlesztés és karbantartás• rendszerfejlesztés és üzemeltetés• rendszerfejlesztés/karbantartás és informatikai biztonság



PO4


Tesztelendõ:Az informatikai tervezõi/irányító bizottság ellenõrzi-e az informatikai funkció tevékenységét és megteszi-

e a cselekvési tervben elõírt intézkedéseketMegfelelõ-e az informatikai funkció jelentési hierarchiája Az informatikai funkció megfelelõen helyezkedik-e el a szervezeti hierarchiában, abban a tekintetben,

hogy a felsõ vezetéssel partneri kapcsolat alakulhasson kiAz informatikai funkció felsõ vezetése tisztában van-e azzal, hogy milyen folyamatok szerint történik az

informatikai funkció teljesítményének értékelése és méréseA teljesítmény mérése megfelelõ mutatók alapján történik-eHa a tényleges eredmények nem érik el a tervezett szintet, megfelelõ módon elemzik-e az elért

eredményeket a szükséges korrekciós intézkedések meghatározása céljábólAz elvárt teljesítményi szintektõl történõ jelentõs eltérések esetén megtett vezetõi intézkedésekA felhasználó/tulajdonos vezetése kiértékeli-e, hogy az informatikai funkció milyen mértékben képes

reagálni és olyan informatikai megoldásokat biztosítani, amelyek megfelelnek a felhasználóiigényeknek

Az informatikai vezetés tisztában van-e feladataival és felelõsségévelA minõségbiztosítási funkció részt vesz-e az informatikai projekt-tervek tesztelésében és jóváhagyásábanAz informatikai biztonsági alkalmazottak felülvizsgálják-e az alapvetõ operációs rendszereket és a

felhasználói rendszereketMegfelelõek-e a biztonsági funkció által a megvalósított vagy fejlesztés alatt álló információ-biztonságra

(mind a fizikai, mind a logikai biztonságra) vonatkozóan végzett értékelések, jelentések illetvedokumentáció

Kellõ mértékben ismerik-e és konzisztensen alkalmazzák-e az informatikai biztonsági szabályokat éseljárásokat

• üzemeltetés és adatellenõrzés• üzemeltetés és felhasználók• üzemeltetés és informatikai biztonság

Az informatikai funkció dolgozói létszáma és szakmai kompetenciája megfelelõ-e ahhoz, hogyeredményes technológiai megoldásokat tudjon biztosítani

Léteznek-e megfelelõ szabályok és eljárások, az informatikai munkaköri leírások értékelésére ésújraértékelésére

Megfelelõen meghatározták-e a kulcsfontosságú folyamatokhoz kapcsolódó feladatokat és felelõsségiköröket, beleértve a rendszerfejlesztési életciklushoz kapcsolódó tevékenységeket (követelményekmeghatározása, tervezés, fejlesztés, tesztelés), az informatikai biztonságot, valamint a beszerzést és akapacitás-tervezést

Használnak-e megfelelõ és hatékony kulcsfontosságú teljesítmény-mutatókat illetve kritikussikertényezõket annak mérésére, hogy az informatikai funkció milyen eredményeket ért el aszervezeti célkitûzések teljesítésében

Léteznek-e megfelelõ szabályok és eljárások az informatikai tanácsadók és más szerzõdéses dolgozóktevékenységeinek ellenõrzésére, ezáltal biztosítva a szervezet vagyonának védelmét

A külsõ informatikai szolgáltatásokra vonatkozó eljárások megfelelõek-e és összhangban állnak-e aszervezet beszerzési politikájával

Léteznek-e folyamatok az informatikai funkcionális egységen belüli és kívüli érdekek összehangolására,kommunikálása és dokumentálására.


PO4 Tervezés és SzervezetAz informatikai szervezet és kapcsolatainak meghatározása

Tesztelendõ, folytatás:A dolgozók részesülnek-e az informatikai biztonságra és a belsõ kontrollra vonatkozó képzésbenMinden információs eszközre meghatározták-e az adat- és rendszer tulajdonosokat Az adat és rendszer tulajdonosok jóváhagyták-e az adatok és rendszerek változtatásait Van-e minden adatnak és rendszernek tulajdonosa illetve kezelõje, aki felel az érintett adatok illetve

rendszerek megfelelõ szintû kontrollálásáértJóváhagyja-e az érintett eszköz tulajdonosa az adatokhoz és rendszerekhez történõ hozzáféréseket Igazodnak-e az egyes munkakörökhöz tartozó közvetlen felügyeleti hatáskörök az adott munkakört

betöltõ személy felelõsségi köréhezA munkaköri leírások világosan meghatározzák-e mind a hatáskört, mind a feladatokatA munkaköri leírások világosan meghatározzák-e a szükséges üzleti, kapcsolati és szakmai

követelményeketA munkaköri leírásokról pontos tájékoztatást kaptak-e az érintettek és megértették-e aztAz informatikai funkció munkaköri leírásai tartalmazzák-e azokat a kulcsfontosságú teljesítmény

mutatókat, amelyeket korábban ismertettek a személyzettelMegfelelnek-e az informatikai személyzet feladatai és felelõsségei mind a közzétett munkaköri leírá-

soknak, mind a szervezeti ábrának Kidolgozták-e a kulcsfontosságú beosztások munkaköri leírásait, amelyek tartalmazzák az informá-

ciórendszerekkel, a belsõ kontrollal és a biztonsággal kapcsolatos feladatokat isA munkaköri leírások pontosak-e az adott pozíciókat jelenleg betöltõ személyek feladataival összevetveMennyire felel meg az informatikai funkción belül a feladatok különválasztása és a funkciók korlátozása

a szándékoknakAz informatikai személyzettel való gazdálkodás fenntartja-e a személyzet kompetenciájátA munkaköri leírások megfelelõ alapot nyújtanak-e a feladatok, hatáskörök és teljesítményi kritériumok

meghatározásáhozA szerzõdéskötésekkel kapcsolatos feladatok ellátására ki vannak-e jelölve a megfelelõ alkalmazottakA szerzõdések feltételei összhangban vannak-e a szerzõdésekre vonatkozó általános szervezeti elõírá-

sokkal és a standard szerzõdéses feltételekkel, amelyek egyezõségét rendszeresen felülvizsgálja ésértékeli-e az ezzel a feladattal megbízott jogi tanácsadó

A szerzõdések megfelelõ rendelkezéseket tartalmaznak-e a vállalati biztonsági és belsõ kontroll szabá-lyok és az informatikai szabványok betartására vonatkozóan

Megfelelõ eljárások illetve struktúrák biztosítják-e a sikeres kapcsolattartáshoz szükséges eredményes éshatékony koordinációt



PO4A kontroll célkitûzések teljesítésének elmaradásához kapcsolódó kockázatokmeghatározása:

Az alábbi feladatok elvégzése révén:A szervezeti felépítés és a kapcsolati formák összemérése hasonló szervezetek szervezeti felépítésével és

kapcsolati formáival illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalRészletes áttekintés annak megállapítása céljából, hogy milyen kihatásokkal jár a szervezet egészére

nézve az, ha az informatikai tervezõi/irányító bizottság nem megfelelõ hatékonysággal látja elfeladatait

Részletes áttekintés annak értékelése céljából, hogy az informatikai funkció milyen elõrelépéseket ért elaz információrendszerekhez kapcsolódó kérdések kezelésében és a technológiai megoldásokbevezetésében

Részletes áttekintés a szervezeti struktúra, a munkaerõ létszáma és szakképzettsége, a kijelölt feladat- ésfelelõsségi körök, az adat- és rendszer tulajdonlás, a felügyelet, a feladatkörök szétválasztása, stb.értékelése céljából

A minõségbiztosítási funkció mûködésének részletes áttekintése annak megállapítása céljából, hogy aminõségbiztosítási funkció milyen mértékben felel meg a szervezet követelményeinek

Az informatikai biztonsági funkció mûködésének részletes áttekintése annak megállapítása céljából, hogymennyire tudta hatékonyan ellátni (mind fizikai, mind logikai) biztonsági feladatait és milyeneredményeket ért el az informatikai biztonsági felvilágosító képzés terén

Szerzõdésekbõl vett minta részletes áttekintése annak ellenõrzése céljából, hogy mindkét fél megfelelõenteljesítette-e szerzõdéses kötelezettségeit és a szerzõdésben foglalt rendelkezések megfelelnek-e aszervezet által a szerzõdésekre vonatkozóan meghatározott elõírásoknak

Feltárva az alábbiakat:Az informatikai funkció hiányosságai illetve gyenge pontjai, amelyek a mûködését ellenõrzõ

tervezõ/irányító bizottság nem megfelelõ hatékonyságú munkájára vezethetõk visszaRések, átfedések, stb. a szervezeti struktúrában, amelyek miatt az informatikai funkció nem tudja

eredményesen illetve hatékonyan ellátni feladataitNem megfelelõ szervezeti struktúrák, hiányzó funkciók, nem megfelelõ munkaerõ, a szaktudás hiánya,

nem megfelelõ feladat- és felelõsségi körök, az adat- illetve rendszer-tulajdonosok nem egyértelmûmeghatározása, felügyeleti problémák, a feladatkörök szétválasztásának hiánya, stb.

Olyan rendszerek, amelyeknek folyamatban lévõ fejlesztése, módosítása illetve bevezetése nem felel mega minõségbiztosítási követelményeknek

Olyan rendszerek, amelyeknek folyamatban lévõ fejlesztése, módosítása illetve bevezetése nem felel mega biztonsági (mind fizikai, mind logikai biztonsági) követelményeknek

Olyan szerzõdések, amelyek nem felelnek meg a szervezet által meghatározott szerzõdési elõírásoknakNem megfelelõ hatékonyságú koordináció és kommunikáció az informatikai funkció és az informatikai

funkción belüli, illetve azon kívül esõ különbözõ érdekcsoportok között.


PO5 Tervezés és szervezetAz informatikai beruházás kezelése



az informatikai beruházások kezelése


finanszírozás biztosítása és a finanszírozási források felhasználásának irányítása ésellenõrzése


rendszeres beruházási és mûködési költségvetés kidolgozása és jóváhagyásaaz üzleti terület részérõl


• finanszírozási alternatívák• a költségvetésért való felelõsség pontos rögzítése• a tényleges kiadások kontrollja• a költségek indokoltságának alátámasztása és az eszközök birtok-

lásából eredõ teljes költségek ismerete• az elõnyök indoklása és realizálódásának számonkérhetõsége• a technológiák és az alkalmazási szoftverek életciklusa• igazodás a vállalkozás üzleti stratégiájához• hatáselemzés• eszközgazdálkodás



PO5AZ INFORMATIKAI BERUHÁZÁS KEZELÉSE


1 Éves informatikai mûködési költségvetés2 Költség-haszon monitoring3 A költségek és a haszon igazolása




Interjú készítés:Pénzügyi vezetõInformatikai vezetõAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai felsõ vezetés

Adatgyûjtés:A költségvetési tervezésre és a költségszámításra vonatkozó szervezeti szintû szabályok, módszerek és

eljárásokA költségvetési tervezésre és a költségszámításra vonatkozó informatikai szabályok és eljárások Az informatikai funkció folyó évi és megelõzõ évi mûködési költségvetéseA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA felsõ vezetés tervezési/irányítási feladatai és felelõsségeEltérés-jelentések és a költségtervektõl való eltérések figyelésével és kontrollálásával kapcsolatos egyéb

dokumentumokA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyvei

Megvizsgálandó kérdések:Az informatikai funkció költségtervezési eljárása összhangban van-e a szervezet költségtervezési

eljárásávalMegfelelõ szabályok és eljárások gondoskodnak-e arról, hogy az informatikai funkció éves mûködési

költségvetése a szervezeti költségvetés, a hosszú- és rövid távú szervezeti tervek, valamint az infor-matikai funkció hosszú- és rövid távú tervei alapján kerüljön kidolgozásra és jóváhagyásra

A költségvetés elkészítésében az informatikai funkció nagyobb egységeinek vezetõi is részt vesznek-eMegfelelõ szabályok és eljárások vannak-e érvényben, amelyek gondoskodnak a ténylegesen felmerült

költségek figyelemmel kísérésérõl és a tervezett költségekkel történõ összehasonlításáról, valamintarról, hogy a tényleges költségekre vonatkozó információk a szervezet költség-elszámolási rendsze-rére épüljenek

Megfelelõ szabályok és eljárások garantálják-e azt, hogy az informatikai funkció által nyújtott szolgál-tatások költségei indokoltak és megfelelnek az ágazati normáknak


Az alábbi feladatok elvégzése révén:A költségvetési tervek és költségek összemérése hasonló szervezetek költségvetéseivel és költségeivel

illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA folyó évi és a megelõzõ évi költségvetés összevetése a tényleges eredményekkel; az eltérések és a

korrekciós intézkedések részletes áttekintése

Feltárva az alábbiakat:Olyan tételek az informatikai költségvetésben, amelyek nincsenek összhangban a szervezet

költségvetésével illetve hosszú- és rövid távú terveivel, valamint a hosszú- és rövid távú informatikaitervekkel

Az informatikai funkciónál felmerült olyan tényleges költségek, amelyek nem kerülnek rögzítésre



Tesztelendõ:Az informatikai funkció költségvetése igazodik-e az informatikai funkció éves mûködési tervéhezAz informatikai funkció költségvetésében meghatározott költség-kategóriák teljeskörûek-e, pontosak-e és

megfelelõen vannak-e besorolvaMegfelelõ rendszerben történik-e az informatikai funkció tevékenységeihez kapcsolódó költségek rutin

jellegû nyilvántartása, feldolgozása és az azokhoz kapcsolódó jelentések elkészítéseA költség-monitoring folyamat keretében megfelelõen összehasonlítják-e a tényleges és a tervezett

költségeketA költség/haszon elemzéseket megfelelõen ellenõrzi-e az érintett felhasználói csoport és az informatikai

vezetés, valamint szervezet felsõ vezetéseA költség-monitoring folyamatában alkalmazott eszközök hatékonyak-e és megfelelõen használják-e

azokat

PO5 Tervezés és SzervezetAz informatikai beruházás kezelése



PO5Ez az oldal szándékosan maradt üresen.


PO6 Tervezés és szervezetA vezetõi célok és irányvonal kommunikálása



a vezetõi célok és irányvonal kommunikálása


a felhasználók tájékoztatása a fenti célokról, és a célok megértetése


szabályok kidolgozása és kommunikálása a felhasználók felé; továbbá olyanszabványok kidolgozása szükséges, amelyek a stratégiai választási lehetõsé-geket átültetik a gyakorlatban alkalmazható felhasználói szabályokba


• világosan megfogalmazott szervezeti célok• az üzleti célokhoz kapcsolt technológiai elõírások/direktívák• magatartási/etikai kódex• a minõség iránti elkötelezettség• biztonsági és belsõ kontroll politika• biztonsági és belsõ kontroll gyakorlat• vezetés példák mutatásával• folyamatos tájékoztatási programok• útmutatás nyújtása és azok betartásának ellenõrzése



PO6A VEZETÕI CÉLOK ÉS IRÁNYVONAL KOMMUNIKÁLÁSA


1 Pozitív informatikai kontroll környezet2 A vezetés felelõssége a szabályok kidolgozásával kapcsolatban3 A szervezeti szabályok közlése4 A szabályok bevezetéséhez szükséges erõforrások5 A szabályok aktualizálása6 A szabályok, eljárások és szabványok betartása7 A minõség iránti elkötelezettség8 A biztonságra és a belsõ kontroll rendszerre vonatkozó szabályok9 Szellemi tulajdonjogok10 Konkrét kérdésekhez kapcsolódó szabályok11 Az informatikai biztonsági tudatosság kommunikálása




Interjú készítés:VezérigazgatóTermelési vezetõPénzügyi vezetõInformatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésAz informatikai tervezõ/irányító bizottság tagjai

Adatgyûjtés:A vezetés pozitív kontroll keretrendszeréhez és a tudatosságra irányuló programjához, a biztonsági és

belsõ kontroll keretrendszerhez, valamint az informatikai minõségirányítási programhoz kapcsolódószabályok és eljárások

A felsõ vezetés tervezési/irányítási feladatai és felelõsségeA szervezeti célkitûzések és a hosszú- ill. rövid távú tervekAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyveiA kommunikációs program

Megvizsgálandó kérdések:A szervezeti szintû szabályok és eljárások olyan keretrendszert és tudatosságra irányuló programot

alkotnak-e, amely kiemelt figyelmet fordít az informatikára, elõsegíti a pozitív kontroll környezetkialakítását és foglalkozik az alábbi kérdésekkel:• integritás, erkölcsi tartás• etikai értékek


Megvizsgálandó kérdések, folytatás• magatartási kódex• biztonsági és belsõ kontroll mechanizmusok• a személyzet kompetenciája• vezetési filozófia és irányítási stílus• az igazgatótanács illetve hasonló jellegû testület által biztosított számonkérhetõség, figyelem és

iránymutatásA felsõ vezetés személyes példamutatással támogatja-e a pozitív kontroll környezet kialakítását, illetve

fenntartásátA vezetés teljes körû felelõsséget vállalt-e az általános célkitûzéseket meghatározó szabályok kidolgo-

zására, megfogalmazására, dokumentálására, terjesztésére, kontrollálására és rendszeres felülvizs-gálatára

Létezik-e formális tudatosító program a vezetés által kialakított pozitív kontroll környezet folyamatoskommunikálására és az ahhoz kapcsolódó oktatásra

Megfelelõ szervezeti szabályok és eljárások gondoskodnak-e arról, hogy a szervezeti szabályokmegvalósításához szükséges erõforrások rendelkezésre álljanak a kellõ idõben

Megfelelõ eljárások gondoskodnak-e arról, hogy a alkalmazottak megértsék és betartsák a bevezetettszabályokat és eljárásokat

Az informatikai szabályok és eljárások formális filozófiát, szabályokat és célokat határoznak-e meg arendszerek és szolgáltatások minõségének szabályozására, biztosítják-e azok dokumentálását éskarbantartását, és azok összhangban állnak-e a szervezet filozófiájával, szabályaival és célkitûzéseivel

Az informatikai vezetés gondoskodik-e arról, hogy a minõségirányítási filozófiát, szabályokat éscélkitûzéseket megértsék, megvalósítsák és fenntartsák az informatikai funkció minden szintjén

Vannak-e érvényben olyan eljárások, amelyek biztosítják az informatikához kapcsolódó legfontosabbszabványok, utasítások, szabályok és eljárások rendszeres idõközönkénti felülvizsgálatának ésmegerõsített jóváhagyásának szükségességét

A felsõ vezetés teljes körû felelõsséget vállalt-e egy általános biztonsági és belsõ kontroll keretrendszerkidolgozására

A biztonsági és a belsõ kontroll keretrendszer dokumentuma meghatározza-e a biztonság és belsõ kontrollszabályait, célját és célkitûzéseit, irányítási struktúráját, a szervezeten belüli érvényességi körét, afelelõsségi köröket, valamint azt, hogy milyen büntetéseket illetve fegyelmi intézkedéseket von magaután a biztonsági illetve belsõ kontroll elõírások betartásának elmulasztása

Érvényben vannak-e olyan formális biztonsági és belsõ kontroll szabályok, amelyek meghatározzák aszervezet belsõ kontroll folyamatát és az alábbiak szerinti kontroll-elemeket foglalják magukba:• kontroll környezet• kockázat-becslés• irányítási és ellenõrzési tevékenységek• információk és kommunikáció• monitorozás

Érvényben vannak-e olyan konkrét kérdésekkel kapcsolatos szabályok, amelyek dokumentálják a vezetésmeghatározott tevékenységekkel, alkalmazásokkal, rendszerekkel illetve technológiákkal kapcso-latban meghozott döntéseit

PO6 Tervezés és SzervezetA vezetõi célok és irányvonal kommunikálása



PO6A megfelelõség felmérése:

Tesztelendõ:A vezetés pozitív kontroll környezetet kialakítására irányuló erõfeszítései kitérnek-e az olyan kulcs-

fontosságú kérdésekre, mint az erkölcsi tartás, az etikai értékek, a magatartási kódex, a biztonsági ésbelsõ kontroll mechanizmusok, a személyzet kompetenciája, a vezetési filozófia és irányítási stílus, azigazgatótanács illetve hasonló jellegû testület által biztosított számonkérhetõség, figyelem és irány-mutatás

A alkalmazottak megkapták-e a szervezet magatartási kódexét és megértették-e aztA vezetés ténylegesen kommunikálja-e a szervezet belsõ kontroll környezetére vonatkozó szabályokat A vezetés ténylegesen rendelkezésre bocsátott-e erõforrásokat a belsõ kontroll környezetre vonatkozó

szabályok kidolgozására, megfogalmazására, dokumentálására, terjesztésére és kontrollálásáraA vezetés rendszeresen felülvizsgálja-e a szabványok, utasítások, szabályok és eljárások megfelelõségét

és a változó feltételekhez való alkalmazkodóképességétA vezetés folyamatos felügyeleti tevékenysége nyomán elégséges és megfelelõ erõforrások állnak-e a

kellõ idõben rendelkezésre a szervezeti szabályok megvalósításához A vezetés által a belsõ kontroll környezetre vonatkozó szabványok, utasítások, szabályok és eljárások

betartatására tett erõfeszítések biztosítják-e az azoknak való megfelelést a szervezet egészébenA minõségirányítási filozófia, szabályok és célkitûzések a szervezet egészére és az informatikai funkcióra

vonatkozó filozófia, szabályok és célkitûzések betartásának és konzisztenciájának irányába hatnak-eA kiválasztott informatikai vezetõk illetve fejlesztési és üzemeltetési munkatársak meghatározzák-e a

minõségirányítási filozófiát, és az informatikai funkción belül minden szinten megértik és betartják-eaz ahhoz kapcsolódó szabályokat, eljárásokat és célkitûzéseket

A minõség-mérési folyamatok biztosítják-e a szervezeti célkitûzések teljesítésétA vezetés kiválasztott tagjai, ellenõrzési feladataik részeként részt vesznek-e a biztonsági és belsõ kontroll

tevékenységek (ú.m. a kivételes esetekrõl történõ jelentéskészítés, egyeztetések, összehasonlítások,stb.) kidolgozásában és tisztában vannak-e azok tartalmával

Az egyéni feladatokat, felelõsségeket és hatásköröket egyértelmûen kommunikálják-e, és tisztábanvannak e azok tartalmával a szervezet minden szintjén

A kiválasztott osztályok értékelik-e az eljárásokat a biztonsági és belsõ kontroll tevékenységek (ú.m.kivételes esetekrõl történõ jelentéskészítés, egyeztetések, összehasonlítások, stb.) rutin jellegûmonitorozása céljából, és mûködik-e a vezetés felé történõ visszajelzés folyamata

A kiválasztott rendszer-dokumentációk megerõsítik-e azt, hogy a rendszer-specifikus vezetõi döntésekdokumentálásra és jóváhagyásra kerültek a szervezeti szabályokban és eljárásokban foglaltaknakmegfelelõen

A kiválasztott rendszer-dokumentációk megerõsítik-e azt, hogy az egyes konkrét tevékenységekkel,alkalmazásokkal, rendszerekkel illetve technológiákkal kapcsolatosan meghozott vezetõi döntéseket afelsõ vezetés jóváhagyta


PO6 Tervezés és SzervezetA vezetõi célok és irányvonal kommunikálása


Az alábbi feladatok elvégzése révén:A vezetés informatikai kontroll keretrendszerének és tudatosító programjának összemérése hasonló

szervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA biztonsággal és a belsõ kontrollal kapcsolatos, jóváhagyott projektek közül választott minta részletes

áttekintése annak eldöntése céljából, hogy a projektek prioritási fokának meghatározása ésjóváhagyása megfelelõ kockázat- illetve költség/haszon elemzésekre épült-e

Feltárva az alábbiakat:Gyenge kontroll keretrendszer, amely megkérdõjelezi, hogy a vezetés elkötelezte magát egy pozitív belsõ

kontroll környezet kialakítása és fenntartása mellettAhol a vezetés nem kommunikálta megfelelõen a szervezet belsõ kontroll környezetére vonatkozó

irányelveitAhol nem állnak rendelkezésre megfelelõ erõforrások a belsõ kontroll környezetre vonatkozó irányelvek

megfogalmazásához, kidolgozásához, dokumentálásához, terjesztéséhez és kontrollálásáhozA nem idõszerû szabványok, utasítások, szabályok és eljárásokAhol a vezetésnek a megfelelõség monitorozására irányuló tevékenysége nem biztosítja azt, hogy a

szabványokat, utasításokat, szabályokat és eljárásokat a szervezet egészében betartsákAhol hiányosságok mutatkoznak az informatikai funkció minõség melletti elkötelezettsége, illetve arra

vonatkozó képessége terén, hogy hatékonyan meghatározza, dokumentálja, karbantartsa és kommu-nikálja a minõségre vonatkozó filozófiáját, szabályait és célkitûzéseit

Az informatikai funkció biztonsági és belsõ kontroll keretrendszerének hiányosságai és gyenge pontjaiAzok a hiányzó konkrét kérdésekre vonatkozó szabályok, amelyek bizonyos meghatározott

tevékenységek, alkalmazások, rendszerek illetve technológiák kezeléséhez szükségesek





PO7 Tervezés és szervezetAz emberi erõforrások kezelése



az emberi erõforrások kezelése


motivált és kompetens munkaerõ kialakítása és megtartása, és az alkalmazottak szemé-lyi hozzájárulásának maximálása az informatikai folyamatokhoz


egységes, méltányos ás jól áttekinthetõ munkaerõ-gazdálkodási gyakorlat al-kalmazása a dolgozók felvétele, foglalkoztatása, gondozása, javadalmazása,képzése, értékelése, elõléptetése és elbocsátása terén


• felvétel és elõléptetés• szakképzettségi és minõsítési követelmények• a tudatosság erõsítése• kereszt-képzés és a munkakörök rotációja• a munkaerõ-felvételre, gondozásra és elbocsátásra vonatkozó

eljárások• a teljesítmények objektív mérése és értékelése• a technikai és piaci változásokra való reagálás• a belsõ és külsõ erõforrások megfelelõ egyensúlya• a kulcspozíciók utódlására vonatkozó terv



PO7AZ EMBERI ERÕFORRÁSOK KEZELÉSE


1 A dolgozók felvétele és elõléptetése2 A személyzet képzettsége és minõsítései3 Feladatok és felelõsségi körök4 A dolgozók képzése5 Átképzés vagy helyettesítés6 Személyes átvilágítási eljárások7 A dolgozók teljesítmény-értékelése8 A munkakörök változtatása és megszûntetése




Interjú készítés:Emberi erõforrás-gazdálkodási vezetõ és a szakterület kiválasztott dolgozóiBiztonsági felelõsA biztonsági funkció kiválasztott dolgozóiAz informatikai vezetõAz informatikai emberi erõforrás-gazdálkodási felelõsAz informatikai vezetés kiválasztott tagjaiAz informatikai szervezeti egység kiválasztott dolgozóiAz informatikai funkció bizalmas pozícióit betöltõ kiválasztott személyek

Adatgyûjtés:Az emberi erõforrás-gazdálkodásra vonatkozó szabályok és eljárásokMunkaköri leírások, teljesítmény-értékelési lapok, képzési és fejlesztési ûrlapokBizonyos kiválasztott beosztásokat betöltõ személyek és a személyzet kiválasztott tagjainak személyzeti

nyilvántartási anyaga

Megvizsgálandó kérdések:A megüresedett állásokra jelentkezõk kiválasztásánál és felvételénél meghatározott szempontokat

alkalmaznak-eAz egyes beosztások betöltésére vonatkozó szakképzettségi elõírások figyelembe veszik-e a megfelelõ

szakmai szervezetek követelményeit is, ott ahol ez értelmezhetõA vezetés és az alkalmazottak elfogadják-e a munkaköri alkalmassági eljárástA képzési programok összhangban vannak-e az informatikai biztonsági kérdések oktatására és az azokkal

kapcsolatos általános tudatosságra vonatkozóan meghatározott minimális szervezetikövetelményekkel

A vezetés támogatja-e a személyzet képzését és a karrier-építéstFeltárják-e a szakmai és vezetõi ismeretek terén meglévõ hiányosságokat és megfelelõ intézkedéseket

tesznek-e ezek pótlására




Tesztelendõ:A felvételi illetve elõléptetési döntések és a kiválasztási kritériumok objektivitást tükröznek-e és

relevánsak-e az adott munkakörhöz kapcsolódó követelményekkelA alkalmazottak megfelelõ ismeretekkel rendelkeznek-e munkakörükre vagy felelõsségi területeikre

vonatkozó üzemi tevékenységekrõlLéteznek-e munkaköri leírások, azokat rendszeresen felülvizsgálják-e és napra készen tartják-eA személyzeti nyilvántartásokban megtalálható-e az alkalmazottak nyilatkozata arról, hogy tisztában

vannak a szervezet általános képzési és tájékoztató programjávalA kritikus funkciókat betöltõ, megfelelõ alkalmazottak folyamatos továbbképzésben részesülnek-eAz informatikai személyzet megfelelõ képzésben részesült-e a biztonsági eljárásokra és módszerekre

vonatkozóanAz informatikai vezetés és személyzet ismeri és megértette-e a szervezeti szabályokat és eljárásokatA biztonsági átvilágítás során alkalmazott nyomozási eljárások megfelelnek-e a személyes adatok

védelmére vonatkozó jogszabályok rendelkezéseinekA kritikus informatikai funkciókat ellátó alkalmazottaknak az üzleti célkitûzésekre vonatkozó ismeretei

kiterjednek-e a belsõ kontroll filozófiára, valamint az információrendszerek biztonságára éskontrolljára vonatkozó koncepciókra is

PO7 Tervezés és SzervezetAz emberi erõforrások kezelése

Megvizsgálandó kérdések, folytatásA kritikus munkakörökre vonatkozóan folyamatos-e a kereszt-képzés és helyettesítõ munkatársak

biztosításaÉrvényre juttatják-e a megszakítás nélküli szabadságolást Megfelelõ-e a szervezetnél mûködõ biztonsági átvilágítási folyamat A alkalmazottak kompetenciáját az egyes munkakörökre vonatkozóan elõre meghatározott egységes

szempontok szerint értékelik-e, és az értékelést rendszeres idõközönként elvégzik-e A munkakör-változtatással és elbocsátással kapcsolatos folyamatok gondoskodnak-e a szervezet erõforrá-

sainak védelmérõlAz emberi erõforrás-gazdálkodási szabályok és eljárások összhangban vannak-e a vonatkozó törvények és

jogszabályok rendelkezéseivel

Az alábbi feladatok elvégzése révén:Az emberi erõforrás-gazdálkodási tevékenységek összemérése hasonló szervezetek ilyen jellegû

tevékenységeivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz informatikai funkció emberi erõforrás-gazdálkodási tevékenységeinek részletes áttekintése

Feltárva az alábbiakat:A potenciális/tényleges állás-pályázók kifogásainak/sérelmeinek okaiRendellenességek a dolgozói felvételek, áthelyezések, elõléptetések és elbocsátások terén az alábbiak

nyomán:• a szabályok és eljárások be nem tartása



• az illetékes vezetõ által jóvá nem hagyott intézkedések• a nem a munkaköri leírásokon illetve a meglévõ szakképzettségen alapuló intézkedések

Azok a dolgozók, akik:• nem rendelkeznek megfelelõ képzettséggel• képzési és fejlõdési lehetõségei nem a kompetenciájuk terén fennálló hiányosságokhoz

kapcsolódnak• esetében hiányzik a munkateljesítmény értékelése, illetve az értékelés nem kapcsolódik a betöltött

pozícióhoz és/vagy az elvégzett feladatokhoz• belépésük idején nem estek át megfelelõ biztonsági átvilágításon• nem estek át a rendszeres idõközönkénti biztonsági átvilágításon

Hiányosságok a képzési programok és a személyzeti fejlesztési tevékenységek terénHiányosságok a kereszt-képzés és a kulcsszemélyek helyettesítésének biztosítása terénA biztonsági szabályok tudomásul vételének alá nem írt elismervényeiAhol nem áll rendelkezésre megfelelõ költségkeret és idõ a képzési és a személyzeti fejlesztési

programokhozA kritikus funkciókat ellátó alkalmazottak azon munkaidõ-kimutatásai, amelyek nem jelzik, hogy szabad-

napokat és szabadságot vettek volna ki

PO7


PO8 Tervezés és szervezetA külsõ követelmények betartásának biztosítása



a külsõ követelmények betartásának biztosítása


a jogi, jogszabályi és szerzõdéses kötelezettségek betartása


a külsõ követelmények informatikai kihatásainak feltárása és elemzése, vala-mint az azoknak való megfelelést biztosító intézkedések meghozatala


• törvények, jogszabályok és szerzõdések• a jogi és szabályozási környezet változásainak figyelemmel

kísérése• a szabályoknak való megfelelés rendszeres figyelemmel kísérése• balesetvédelem és ergonómia• személyiségi jogok• szellemi tulajdon



PO8A KÜLSÕ KÖVETELMÉNYEK BETARTÁSÁNAK BIZTOSÍTÁSA


1 A külsõ követelmények áttekintése2 A külsõ követelmények betartásához kapcsolódó gyakorlat és eljárások3 A balesetvédelmi és ergonómiai elõírások betartása4 Személyiségi jogok, szellemi tulajdon, és adatáramlás5 Elektronikus kereskedelem6 A biztosítási szerzõdések betartása



Interjú készítés:Jogi tanácsadóEmberi erõforrás-gazdálkodási vezetõAz informatikai felsõ vezetés

Adatgyûjtés:Azok a kormányzati és/vagy külsõ követelmények (azaz törvények, jogszabályok, irányelvek,

rendelkezések és szabványok), amelyek a külsõ kapcsolatokra és a külsõ követelmények felülvizs-gálatára, a munka-, baleset- és egészségvédelemmel kapcsolatos kérdésekre (az ergonómiát isbeleértve), a személyes adatok védelmére, az információrendszerek biztonsági követelményeire és atitkosított adattovábbításra vonatkoznak

Az elektronikus kereskedelemre vonatkozó országos illetve nemzetközi számviteli szabványok/állás-foglalások

Az elektronikus kereskedelemre vonatkozó adózási szabályokAz alábbi területekre vonatkozó szabványok, szabályok és eljárások:

• a külsõ követelmények áttekintése• munkavédelem, baleset- és egészségvédelem (az ergonómiát is beleértve)• a személyes adatok védelme• biztonság• a bevitel, feldolgozás, tárolás, output és továbbítás alatt álló adatok bizalmassági fokozat szerinti

besorolása• elektronikus kereskedelem• biztosítás

Az összes elektronikus kereskedelmi partnerrel és az elektronikus adattovábbító (EDI) szolgáltatókkalmegkötött valamennyi szerzõdés másolata, ahol ez értelmezhetõ

Az informatikai funkcióhoz kapcsolódó összes biztosítási szerzõdés másolataiA jogi tanácsadó véleménye a biztosítási szerzõdésekre vonatkozó "uberrimae fidei" (a legteljesebb

jóhiszemûség) követelményérõl (Az "uberrimae fidei" elv megköveteli, hogy a feleknek tájékoztat-niuk kell egymást minden lényeges kockázati tényezõrõl. Ha ebben a vonatkozásban nem érvényesülta jóhiszemûség, a szerzõdést a károsult fél semmisnek tekintheti és azt a vétkes fél nem érvényesít-heti.)

A külsõ könyvvizsgálók, a külsõ szolgáltatók és a kormányzati szervek audit jelentései



Tesztelendõ:A külsõ követelmények áttekintése:

• aktuális, teljes körû és alapos-e a jogszabályi és szabályozási kérdések vonatkozásában• azonnali korrekciós intézkedéseket von-e maga után

Tartanak-e rendszeres munka-, baleset- és egészségvédelmi ellenõrzéseket az informatikai funkcióterületén a külsõ követelmények betartásának biztosítása érdekében

Megteszik-e a szükséges korrekciós lépéseket azokon a területeken, amelyek nem felelnek meg a munka-,baleset- és egészségvédelmi elõírásoknak

Betartják-e az informatikai funkciónál a személyes adatok védelmére és a biztonságra vonatkozódokumentált szabályokat és eljárásokat

A külföldre történõ adattovábbítások során nem sértik-e meg az érvényben lévõ export-jogszabályokatAz elektronikus kereskedelmi partnerekkel meglévõ szerzõdések megfelelõen figyelembe veszik-e a

szervezeti szabályokban és eljárásokban meghatározott követelményeketA meglévõ biztosítási szerzõdések megfelelõen figyelembe veszik-e a szervezeti szabályokban és eljárá-

sokban meghatározott követelményeket

PO8 Tervezés és SzervezetA külsõ követelmények betartásának biztosítása


Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e életben, amelyek:

• gondoskodnak a külsõ követelmények áttekintése alapján szükséges korrekciós intézkedésekkellõ idõben történõ végrehajtásáról és a követelményeknek történõ folyamatos megfelelésrõl

• összehangolják a külsõ követelmények áttekintését annak érdekében, hogy a korrekciósintézkedések végrehajtása kellõ idõben megtörténjen, így biztosítva a külsõ követelményeknekvaló megfelelést

• a megfelelõ munkavédelem, a baleset- és egészségvédelmi célkitûzések megvalósítását célozzák• gondoskodnak arról, hogy minden dolgozó megfelelõ munkavédelmi, baleset- és

egészségvédelmi oktatásban részesüljön• figyelemmel kísérik a vonatkozó munkavédelmi, baleset- és egészségvédelmi törvények és jog

szabályok elõírásainak betartását• megfelelõ figyelmet fordítanak a személyiségi jogok védelmének kérdésére, az ehhez kapcsolódó

valamennyi jogszabályi elõírás betartása érdekében• tájékoztatják a biztosítókat az informatikai környezetben bekövetkezett valamennyi lényeges

változásról• gondoskodnak a biztosítási szerzõdésben foglalt követelmények betartásáról• gondoskodnak az adatok felfrissítésérõl, amikor új/módosított biztosítási szerzõdés lép érvénybe

A biztonsági eljárások összhangban vannak-e a jogi követelményekkel és megfelelõen kezelik-e az alábbikérdéseket:• jelszó-védelem és hozzáférést korlátozó szoftver• engedélyezési eljárások• a terminálokra vonatkozó biztonsági intézkedések• adatrejtjelezési intézkedések• tûzfalas védelmi intézkedések• vírusvédelem• a szabálytalanságokról készített jelentések gyors, megfelelõ idõben történõ nyomonkövetése




Az alábbi feladatok elvégzése révén:A külsõ követelményeknek való megfelelés, valamint az EDI tevékenységekre és a biztosítási

szerzõdésekre vonatkozó követelmények összemérése hasonló szervezetekkel illetve a megfelelõnemzetközi szabványokkal/ágazati legjobb gyakorlattal

A külsõ követelmények áttekintésérõl készített anyagok részletes felülvizsgálata annak ellenõrzésecéljából, hogy megtették-e, a szükséges korrekciós intézkedéseket, illetve azok végrehajtása folya-matban van-e

A biztonsági jelentések részletes áttekintése annak megállapítása céljából, hogy a magánjellegû illetvebizalmas információk megfelelõ biztonsági és személyiségi jogi védelemben részesülnek-e(függetlenül attól, hogy azok ilyen minõsítése belsõ eljárások vagy külsõ rendelkezések alapjántörtént-e)

Feltárva az alábbiakat:Azok a külsõ követelmények, amelyeket nem tart be a szervezetA külsõ követelmények áttekintése nyomán kezdeményezett lényeges megoldatlan/korrigálatlan

intézkedésekA munkahelyi környezetben fennálló olyan baleset- és egészségvédelmi kockázatok (ideértve az

ergonómiát is), amelyekre vonatkozóan nincsenek érvényben megfelelõ elõírások Az adatáramláshoz és/vagy a külföldre történõ adattovábbításhoz kapcsolódó, a személyiségi jogok

védelme és a biztonság terén fennálló hiányosságok.Az elektronikus kereskedelem üzemkimaradásaiA kommunikációs folyamatokkal, a tranzakciós üzenetekkel, a biztonsággal és/vagy az adattárolással

kapcsolatos hiányosságok a kereskedelmi partnerekkel megkötött szerzõdésekbenA kereskedelmi partnerekkel meglévõ bizalmi kapcsolatok hiányosságaiA biztosítással való lefedettség gyenge pontjai illetve hiányosságaiA biztosítási szerzõdések feltételeinek megszegése

PO8Az alkalmazott titkosítási eljárás megfelel-e a jogszabályi elõírásoknak azokban az esetekben, ahol a

jogszabályok korlátozzák az alkalmazható titkosítási módot (pl. a kulcs hosszát)Azokban az esetekben, amelyekben a jogszabályok illetve a belsõ eljárások bizonyos adatelemekre

vonatkozóan magas fokú védelmet és/vagy titkosítást írnak elõ (pl. banki PIN kódok, adózásinyilvántartási számok, jelszavak, katonai hírszerzés), megadják-e ezt a védelmet/titkosítást az ilyenadatoknak

A szervezet által alkalmazott elektronikus adattovábbítási (EDI) eljárások megfelelnek-e a szervezetiszabályoknak és eljárásoknak valamint az egyes elektronikus kereskedelmi partnerekkel megkötöttszerzõdésekben foglalt rendelkezéseknek (továbbá az EDI szolgáltatóval kötött megállapodásnak,amennyiben van ilyen)


PO9 Tervezés és szervezetA kockázatok értékelése



a kockázatok felmérése


a vezetés döntéseinek támogatása az informatikai célkitûzések teljesítése és az infor-matikai szolgáltatások ellátását fenyegetõ veszélyekre való reagálás által, a komplexitáscsökkentése, az objektivitás növelése és a fontos döntési tényezõk meghatározása révén


az informatikai kockázatok feltárása és azok hatásainak elemzése több szak-mai területet átfogóan, valamint költséghatékony intézkedések megtétele akockázatok csökkentésére


• a kockázat kezeléséért viselt felelõsség és annak számon-kérhetõsége

• a különbözõ fajta informatikai kockázatok (technológiai, bizton-sági, üzletvitel-folytonossági, szabályozási, stb.)

• a kockázat-tolerancia profilok meghatározása és kommunikálása• ok-okozati elemzések és kockázati 'brainstorming' megbeszélések• a kockázatok mennyiségi, illetve minõségi mérése• kockázat-becslési módszertan• kockázati cselekvési terv• a kockázat-becslés aktualizálása



PO9A KOCKÁZATOK ÉRTÉKELÉSE


1 Az üzleti kockázatok értékelése2 Kockázatértékelési stratégia3 A kockázatok azonosítása4 A kockázatok mérése5 Kockázati cselekvési terv6 Kockázatviselés7 A védelem kiválasztása8 A kockázatértékelés melletti elkötelezettség




Interjú készítés:Az informatikai felsõ vezetésAz informatikai szervezeti egység kiválasztott dolgozóiA kockázat-kezeléssel foglalkozó alkalmazottakAz informatikai szolgáltatások kulcsfelhasználói

Adatgyûjtés:A kockázat-értékelésre vonatkozó szabályok és eljárásokAz üzleti kockázatok értékeléséhez kapcsolódó dokumentumokA mûködési kockázatok értékeléséhez kapcsolódó dokumentumokAz informatikai szervezeti egység kockázat-értékelési dokumentumaiA kockázatok és a kockázati fenyegetettség mérésének alapjaiA kockázat-értékelésben részt vevõ kiválasztott alkalmazottak személyzeti anyagaA fennmaradó kockázat lefedésére vonatkozó biztosítási szabályokA szakértõi véleményekA hasonló kérdésekben érintett társszervezetek, szakmai csoportok vizsgálataiA kockázatkezelési adatbázis vonatkozó adatai

Megvizsgálandó kérdések:Olyan szisztematikus kockázat-értékelési keretrendszer van-e érvényben, amely kiterjed a szervezeti

célkitûzések teljesítéséhez kapcsolódó informatikai kockázatokra és megfelelõ alapot képez annakmeghatározásához, hogy a kockázatok hogyan szorítandóak le egy elfogadható szintre

A kockázat-értékelési módszer gondoskodik-e a kockázat-értékelések rendszeres aktualizálásáról mindglobális, mind rendszer-specifikus szinten

Megfelelõ kockázat-értékelési eljárások gondoskodnak-e arról, hogy a feltárt kockázatok a külsõ és belsõtényezõket egyaránt magukban foglalják és figyelembe vegyék az auditok, az ellenõrzések és a feltártrendkívüli esetek eredményeit

A kockázatok azonosítására irányuló folyamat a szervezet egészére kiterjedõ célkitûzéseket foglal-emagába



Tesztelendõ:Betartják-e a kockázat-értékelési keretrendszerben foglaltakat abban az értelemben, hogy a kockázat

értékeléseket rendszeresen aktualizálják a kockázatok elfogadható szintre történõ leszorításaérdekében

A kockázat-értékelési dokumentáció megfelel a kockázat-értékelési keretrendszer elõírásainak, valamint adokumentációt megfelelõen készítik-e el és tartják karban

Az informatikai vezetés és személyzet tisztában van-e a kockázat-értékelési folyamattal és részt vesz-eabban

A vezetés tisztában van-e a kockázati tényezõkkel és a fenyegetések valószínûségévelAz illetékes alkalmazottak megértik-e és formálisan elfogadják-e a fennmaradó kockázatokatA felsõ vezetés megfelelõ idõben jelentést kap-e abból a célból, hogy áttekintse a feltárt kockázatokat és

maga is értékelje azokat, valamint figyelemmel kísérje a kockázatok csökkentése érdekében tettlépéseket

PO9 Tervezés és SzervezetA kockázatok értékelése

Megvizsgálandó kérdések, folytatásA rendszerek feldolgozási mûveleteinek változásait figyelemmel kísérõ eljárások gondoskodnak-e a

rendszerekre vonatkozó kockázatok és kockázati fenyegetettség megfelelõ idõben történõmódosításáról

Vannak-e érvényben eljárások a kockázat-értékelésre és a kockázatokat csökkentõ kontroll mechaniz-musok kidolgozására vonatkozó folyamatok állandó megfigyelésére és fejlesztésére

A kockázat-értékelési dokumentáció tartalmazza-e:• a kockázat-értékelési módszertan leírását• a jelentõs fenyegetettség és az azokhoz kapcsolódó kockázatok azonosítását• a kezelendõ kockázatokat és a kapcsolódó fenyegetettséget

A kockázatok meghatározásakor megfelelõ valószínûség-, gyakoriság- és fenyegetettség-elemzésitechnikákat alkalmaznak-e

A kockázat-értékelést végzõ alkalmazottak megfelelõ képzettséggel rendelkeznek-eA kockázatok, a fenyegetések és a fenyegetettség mértékének meghatározása és mérése formális mennyi-

ségi és /vagy minõségi (vagy kombinált) módszer alapján történik-e A kockázatok, a fenyegetések és a fenyegetettség mértékének mérésére alkalmaznak-e számításokat és

egyéb módszereketA kockázatok, a fenyegetések és a fenyegetettség mértékének csökkentését célzó intézkedések végrehaj-

tása kockázati cselekvési terv keretében történik-eA fennmaradó kockázati szint elfogadása során figyelembe veszik-e:

• a szervezeti szabályokat• a kockázatok meghatározását és mérését• a magában a kockázat-értékelési módszerben rejlõ bizonytalanságokat• a védelmi és kontroll mechanizmusok megvalósításának költségeit és eredményességét

A biztosítások lefedik-e a fennmaradó kockázatotAlkalmaznak-e formális mennyiségi és/vagy minõségi megközelítési módszereket a beruházások

maximális hozamát biztosító kontroll intézkedések kiválasztásáraMegfelelõ egyensúly van-e az alkalmazott felderítõ, megelõzõ, korrekciós és helyreállítási intézkedések

közöttFormális eljárások szerint történik-e a kontroll intézkedések céljainak kommunikálása




Az alábbi feladatok elvégzése révén:A kockázat-értékelési keretrendszer összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi

szabványokkal/ágazati legjobb gyakorlattalA kockázatok meghatározásához, méréséhez és a fennmaradó kockázat elfogadható szintre történõ

csökkentéséhez használt kockázat-értékelési módszer részletes áttekintése

Feltárva az alábbiakat:Felderítetlen kockázatokNem mért kockázatokAz elfogadható szintre le nem szorított kockázatok Elévült kockázat-értékelések és/vagy elévült információk a kockázat-értékelésekbenA kockázatok, fenyegetettség és a fenyegetettség mértékének hibás mennyiségi és/vagy minõségi méréseOlyan kockázati cselekvési tervek, amelyek nem eredményeznek költséghatékony kontroll mechanizmu-

sokat és biztonsági intézkedéseketA fennmaradó kockázat formális elfogadásának hiányaNem megfelelõ biztosítási lefedettség

PO9A kockázatok elemzésére alkalmazott módszer a kockázati fenyegetettség mennyiségi vagy minõségi

(illetve kombinált) mérését eredményezi-eA vezetés által meghatározott kockázatokat, fenyegetéseket és a fenyegetettség mértékét, valamint a

kockázatokkal kapcsolatos sajátosságokat alkalmazzák-e az egyes konkrét fenyegetések valamennyielõfordulásának feltárására

A kockázati cselekvési terv idõszerû-e, és költségtakarékos kontroll mechanizmusokat és biztonságiintézkedéseket tartalmaz-e a kockázatokból származó fenyegetettség csökkentésére

Meghatározták-e a prioritásokat a legmagasabbtól a legalacsonyabb fokig, és minden egyes kockázatravonatkozóan alkalmaznak-e megfelelõ ellenintézkedést az alábbiak szerint:• elõre tervezett, megelõzõ kockázat-csökkentõ kontroll mechanizmust• másodlagos, felderítõ kontroll mechanizmust• harmadlagos, korrekciós kontroll mechanizmust

A kockázatokkal szemben alkalmazott kontroll mechanizmusokra vonatkozó forgatókönyveketmegfelelõen dokumentálták-e, azok idõszerûek-e és a megfelelõ személyzet felé kommunikálták-eazokat

Az elfogadott fennmaradó kockázatokat megfelelõen lefedik-e a biztosítások, és azok esetében számoltake olyan különféle fenyegetésekkel, mint:• tûz, árvíz, földrengés, forgószél, terrorcselekmények, egyéb elõre nem látható természeti

katasztrófák• az alkalmazottak visszaélései a bizalmi felelõsségi körökkel • az üzletmenet megszakadása - elmaradt bevételek, elmaradt vevõk, stb.• egyéb olyan kockázatok, amelyekre általában nem terjednek ki a fenti informatikai és üzleti

kockázati/folytonossági tervek


PO10 Tervezés és szervezetA projektek irányítása



a projektek irányítása


a projekt prioritások meghatározása és a projektek megfelelõ idõben és költségkeretenbelüli végrehajtása


a projektek meghatározása és prioritási sorrendjük megállapítása a mûködésitervvel összhangban, továbbá minden egyes projektre vonatkozóan megfele-lõ projekt-irányítási technika kidolgozása és alkalmazása


• a projektek szponzorálása a szervezet felsõ vezetése részérõl • program irányítás• projektirányítási képességek, szakmai felkészültség• a felhasználók bevonása• a feladatok lebontása, projekt mérföldkövek meghatározása és a

szakaszok jóváhagyása• a felelõsségi körök kijelölése• a mérföldkövek és a leszállítandó termékek teljesítésének szigorú

nyomonkövetése• költségkeret és emberi erõforrás szükséglet, a belsõ és

külsõ erõforrások kiegyensúlyozása• minõségbiztosítási tervek és módszerek• a programok és projektek kockázatainak

értékelése• a fejlesztésbõl az üzemeltetésre való áttérés



PO10A PROJEKTEK IRÁNYÍTÁSA


1 Projektirányítási keretrendszer2 A felhasználó osztály részvétele a projekt kezdeményezésében3 A projekt munkacsoport tagjai és feladatai4 A projektek meghatározása5 A projektek jóváhagyása6 A projekt szakaszainak jóváhagyása7 Felsõ szintû projekt-terv 8 Rendszer-minõségbiztosítási terv9 A megerõsítõ vizsgálati módszerek tervezése10 Formális projekt-kockázatkezelés11 Tesztelési terv12 Képzési terv13 Megvalósítást követõ vizsgálati terv



Interjú készítés:A minõség irányításáért felelõs vezetõ Projekt minõségirányítási felelõs/koordinátorProjekt tulajdonosok/szponzorokProjekt munkacsoport vezetõMinõségbiztosítási koordinátorBiztonsági felelõsAz informatikai tervezõ/irányító bizottság tagjaiAz informatikai vezetés

Adatgyûjtés:A projekt-irányítási keretrendszerre vonatkozó szabályok és eljárásokA projekt-irányítási módszertanra vonatkozó szabályok és eljárásokA minõségbiztosítási tervekre vonatkozó szabályok és eljárásokA minõségbiztosítási módszerekre vonatkozó szabályok és eljárásokSzoftver projekt keretterv1Szoftver minõségbiztosítási terv2Projekt helyzetjelentésekA tervezõ/irányító bizottság üléseinek helyzetjelentései és jegyzõkönyveiProjekt minõségbiztosítási jelentések

1 Software Project Master Plan (SPMP)2 Sofware Quality Assurance Plan (SQAP)


PO10 Tervezés és SzervezetA projektek irányítása


Megvizsgálandó kérdések:A projekt-irányítási keretrendszer:

• meghatározza-e a projekt-irányítás kiterjedési körét és határait• rendelkezik-e arról, hogy az egyes projekt indítási kérelmek esetében meg kell vizsgálni azt,

hogy azok mennyire vannak összhangban a jóváhagyott mûködési tervvel, és a projektek priori-tási fokát az e tervben foglaltaknak megfelelõen határozták-e meg

• meghatározza-e a valamennyi projektre adaptálandó és alkalmazandó projekt-irányítási módszer-tant, beleértve az alábbiakat:• projekt-tervezés• személyzettel való ellátás• a felelõsségi- és hatáskörök felosztása• a feladatok lebontása• a határidõk és az erõforrások tervezése• teljesítési mérföldkövek• ellenõrzési pontok• jóváhagyások

• teljes és naprakész-e• rendelkezik-e arról, hogy az érintett felhasználói osztály (tulajdonos /szponzor) vezetésének részt

kell vennie a fejlesztési, megvalósítási illetve módosítási projektek kidolgozásában és engedé-lyezésében

• meghatározza-e, azt, hogy milyen alapon kell kijelölni a projektben részt vevõ alkalmazottakat• meghatározza-e a projekt munkacsoport tagjainak felelõsségét és hatásköreit• rendelkezik-e arról, hogy a projekt munkálatainak megkezdése elõtt írásbeli dokumentum

formájában meg kell határozni a projekt jellegét és kiterjedési körét • rendelkezik-e arról, hogy olyan indító projekt-meghatározási dokumentum készüljön, amely

világosan megfogalmazza a projekt jellegét és kiterjedési körét• tartalmazza-e a projekt végrehajtásának alábbi okait:

• a megoldandó probléma illetve a fejlesztendõ folyamat ismertetése• a projekt szükségességének összefoglalása, amelynek megfogalmazása hangsúlyozza azt,

hogy a projekt mennyiben járul hozzá a szervezet célkitûzéseinek teljesítésére vonatkozófeltételek javításához

• a vonatkozó meglévõ rendszerek hiányosságainak elemzése• a gazdaságosabb illetve hatékonyabb mûködés számára megteremtésre kerülõ lehetõségek• a projekt által kielégítésre kerülõ, a belsõ kontroll illetve biztonság által támasztott igény

• meghatározza-e azt, hogy a javasolt projekt megvalósíthatósági tanulmányait hogyan kellelkészíteni és azokat a felsõ vezetés hogyan bírálja el és hagyja jóvá, beleértve az alábbiakat is:• a projekt környezete - hardver, szoftver, telekommunikáció• a projekt kiterjedési köre - mi tartozik bele és mi nem az elsõ és az azt követõ implementá-

ciók során• a projekt korlátjai - mit kell megtartani a projekt során még az esetben is, ha bizonyos rövid

távú javítási lehetõségek kézenfekvõnek tûnnének • a projekt szponzora illetve tulajdonosa számára jelentkezõ elõnyök és az általa viselendõ

költségek



PO10


Tesztelendõ:Következetesen követték-e a projekt-irányítási módszertant és az összes követelményt teljesítették-eA projekt-irányítási módszertanról tájékoztatást kapott-e a projektben részt vevõ minden érintett dolgozóA projekt jellegének és kiterjedési körének írásbeli meghatározása megfelel-e az erre vonatkozóan

kialakított szabványos mintánakA tulajdonosok/szponzorok részvételének jellege és mértéke a projekt meghatározásában és engedé-

lyezésében, valamint annak összhangja a projekt-irányítási keretrendszerben meghatározott elvártrészvétellel

• felvázolja-e azt, hogy a fejlesztési folyamat egyes szakaszait (úm. a megvalósíthatósági tanul-mány elkészítése, a követelmények meghatározása, a rendszertervezés, stb.) milyen módon kelljóváhagyni a projekt következõ szakaszának megkezdése (úm. a programozás, a rendszertesztelése, a tranzakciók tesztelése, a párhuzamos tesztelés, stb.) elõtt

• elõírja-e azt, hogy valamennyi projekt esetében ki kell dolgozni egy szoftver projekt kerettervetés meghatározza-e a projekt teljes életciklusa alatti kontrollálásának módját, a projekt idõkereteit(mérföldköveit) és költségvetését

• megfelel-e a szervezet szoftver projekt keretterveire vonatkozó szabványnak, illetve annakhiányában valamilyen megfelelõ szabványnak

• elõírja-e azt, hogy valamennyi projekt esetében ki kell dolgozni egy szoftver minõségbiztosításitervet és gondoskodik-e arról, hogy ez a terv integrált legyen a szoftver projekt kerettervvel, ésminden érintett fél által hivatalosan felülvizsgálatra és jóváhagyásra kerüljön

• felvázolja-e azt, hogy a formális kockázatkezelési program milyen módon küszöbölje ki vagyminimalizálja a projekthez kapcsolódó kockázatokat

• rendelkezik-e arról, hogy valamennyi fejlesztési, megvalósítási illetve módosítási projektesetében tesztelési terv készüljön

• rendelkezik-e arról, hogy valamennyi fejlesztési, megvalósítási illetve módosítási projektesetében megfelelõ terv kerüljön kidolgozásra a tulajdonos/szponzor osztály és az informatikaifunkció dolgozóinak oktatására vonatkozóan

Figyelemmel kísérik-e a tervezett és tényleges teljesítési határidõk és költségek alakulását és jelentéstkészítenek-e arról a felsõ vezetésnek a projekt minden jelentõsebb szakaszában (ú.m. szoftverbeszerzés, hardver beszerzés, alkalmazásfejlesztés külsõ féllel kötött szerzõdés keretében, hálózatfej-lesztések, stb.)

Szükség van-e a megfelelõ szervezeti vezetõk jóváhagyására a tervezett határidõk és költségkeretek túllépéséhez

A szoftver minõségbiztosítási terv megfelel-e a szervezet erre vonatkozó szabványának, illetve annakhiányában a fentebb megjelölt kritériumoknak

A szoftver minõségbiztosítási tervvel kapcsolatos megerõsítõ vizsgálati feladatok támogatják-e az újilletve módosított rendszerek jóváhagyását, és bizonyosságot adnak-e arról, hogy a belsõ kontrollmechanizmusok és a biztonsági jellemzõk megfelelnek a követelményeket

Minden projekt tulajdonos/szponzor hozzájárult-e mind a szoftver projekt keretterv, mind a szoftverminõségbiztosítási terv kidolgozásához, és egyetértett-e azzal, hogy mik legyenek a projekt végter-mékei

A projektirányítási keretrendszer szerves részét képezi-e a megvalósítást követõ ellenõrzési folyamat,amely azt vizsgálja, hogy az új illetve módosított információrendszerek megvalósították-e a tervezettelõnyöket



Tesztelendõ, folytatásBetartották-e a projekt végrehajtásában részt vevõ alkalmazottak kijelölésére és a projekt csoporttagok

felelõsségi- és hatásköreinek meghatározására vonatkozó elõírásokatVannak-e arra bizonyítékok, hogy még a projekt munkálatainak megkezdése elõtt írásban és egyértelmûen

meghatározták a projekt jellegét és kiterjedési körétElkészült-e és jóváhagyásra került-e a vonatkozó megvalósíthatósági tanulmányA fejlesztési projekt minden egyes szakaszát jóváhagyták-e az érintett tulajdonosok/szponzorok és az

informatikai vezetésTeljesítették-e és a szoftver projekt keretterv elõírásainak megfelelõen elfogadták-e a projekt minden

egyes szakaszátA szoftver projekt keretterv és a szoftver minõségbiztosítási terv kidolgozása és jóváhagyása a projekt

irányítási keretrendszerrel összhangban történt-eA szoftver projekt keretterv és a szoftver minõségbiztosítási terv kellõ részletességû és specifikus-eA kötelezõen elõírt teendõket /jelentéseket valóban végrehajtották/elkészítették-e (ú.m. a felsõ vezetõi

irányító bizottság üléseire, a projekt értekezletekre és a hasonló egyeztetésekre az elõre meghatározottidõközönként került-e sor, az ülésekrõl készültek-e jegyzõkönyvek és azokat megkapták-e az érintettfelek, valamint elkészültek-e az elõre meghatározott jelentések és azokat megkapták-e az érintettfelek)

A projekt-irányítási keretrendszernek megfelelõen sor került-e a tesztelési terv kidolgozására ésjóváhagyására, és az kellõ részletességû és specifikus-e

A tesztelési tervben meghatározott kötelezõ teendõket/jelentéseket valóban végrehajtották/elkészítették-eMeghatározták a projektek jóváhagyásának követelményeit, és azok(at):

• a célokból és a teljesítmény-mutatókból vezették le• a jóváhagyott mennyiségi követelményekbõl származtatták • garantálják a biztonsági és belsõ kontroll követelményeknek való megfelelést• az alapvetõ "Mit" kérdéshez kapcsolódnak, nem az önkényes "Hogyan"-hoz• meghatározzák az elfogadás illetve elutasítás formális eljárását• rövid határidõn belül objektíven bemutathatók és leellenõrizhetõk • nem csupán újra fogalmazzák a tervezési dokumentumokban leírt követelményeket

Alkalmaztak-e projekt-kockázatkezelési programot a projekthez kapcsolódó kockázatok meghatározása éskiküszöbölése, illetve legalábbis minimalizálása céljából

Betartották-e a tesztelési terveket, a tulajdonos/szponzor, valamint a programfejlesztõ és a minõségbiz-tosítási funkció készített-e írásbeli jegyzõkönyveket a tesztelés felülvizsgálatairól, és az elfogadásieljárás a terveknek megfelelõen folyt-e le

Készült-e írásos terv az érintett tulajdonos/szponzor dolgozói és az informatikai személyzet számára, azelégséges idõt biztosított-e a szükséges oktatás befejezéséhez, és a tervet valóban felhasználták-e aprojekt során

Betartották-e a projekt megvalósítását követõ ellenõrzési eljárásra vonatkozóan elkészített tervet




Az alábbi feladatok elvégzése révén:A projekt-irányítási keretrendszer összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi

szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:

• a projekt keretterv a tulajdonos/szponzor részvétele mértékének, valamint a projektmeghatározására, engedélyezésére és végrehajtására vonatkozó általános eljárásmegfelelõségének meghatározása céljából, beleértve az alábbiakat:• a rendszer funkciók meghatározása• megvalósíthatóság, a projekt adott korlátjai• a rendszer költségei és a rendszerbõl származó elõnyök meghatározása• a rendszer kontroll mechanizmusainak megfelelõsége• a tulajdonos/szponzor más rendszereire gyakorolt hatás és az azokkal való integrálódás• a tulajdonos/szponzor által biztosított erõforrások (pénz és emberek)• a projektben részt vevõ személyek felelõsségi- és hatásköreinek meghatározása• az elfogadási kritériumok megfelelõsége mind a kívánalmak, mind a teljesíthetõség szempon-

tjából • a mérföldkövek és ellenõrzési pontok alkalmazása a projekt különbözõ szakaszainak engedé-

lyezése során• Gantt ábrák, problémajelentési naplók, ülésekrõl készített emlékeztetõk, jegyzõkönyvek, stb.

használata a projekt irányításában• minõségbiztosítási jelentések, amelyekbõl meghatározható, hogy léteznek-e rendszeresen elõfor-

duló problémák a szervezet rendszer-minõségbiztosítási tervezési folyamatában• a formális projekt-kockázatkezelési program, amelybõl meghatározható, hogy a kockázatokat

feltárták és kiküszöbölték-e, illetve legalább minimalizálták-e• a tesztelési terv végrehajtása annak megállapítása céljából, hogy alapos tesztelést hajtottak-e

végre a teljes rendszerfejlesztési, megvalósítási illetve módosítási projektre vonatkozóan• a képzési terv végrehajtása annak megállapítása céljából, hogy a tulajdonos/szponzor osztályok és

az informatikai funkció dolgozói megfelelõ felkészítést kaptak- e a rendszer használatáravonatkozóan

• a projekt megvalósítását követõ ellenõrzés annak megállapítása céljából, hogy megtörtént-e atervezett és a projekt által realizált elõnyök összevetése

Feltárva az alábbiakat:Azok a projektek, amelyek:

• irányítása nem megfelelõ• túllépik a teljesítési határidõket• túllépik a költségkeretet• elszabadultak az ellenõrzés alól• nem kerültek engedélyezésre• technikai szempontból kivitelezhetetlenek• költségei nem indokoltak• nem hozzák meg a tervezett eredményeket

PO10


Feltárva az alábbiakat, folytatás• nem tartalmaznak ellenõrzési pontokat• folytatását nem hagyják jóvá a fontos ellenõrzési pontoknál• implementációjának jóváhagyása nem történt meg• nem felelnek meg a belsõ kontrollra és a biztonságra vonatkozó követelményeknek• nem küszöbölik ki, vagy nem csökkentik a kockázatokat• nem kerültek alapos tesztelésre• esetében nem került sor a szükséges oktatásra, vagy az nem volt megfelelõ• esetében nem került sor megvalósítás utáni ellenõrzésre






PO11 Tervezés és szervezetA minõségirányítás



a minõségirányítás


az informatikai felhasználók igényeinek kielégítése


olyan minõségirányítási szabványok és rendszerek tervezése, alkalmazása éskarbantartása, amelyek világosan meghatározzák az egyes fejlesztési szaka-szokat, a leszállítandó termékeket és a felelõsségi köröket


• a minõséghez kapcsolódó vállalati kultúra kialakítása• minõségi tervek• minõségbiztosítási felelõsség• minõségellenõrzési gyakorlat• rendszerfejlesztési életciklus módszertan• a programok és rendszerek tesztelése és dokumentálása• minõségbiztosítási ellenõrzések és jelentések• a végfelhasználók és a minõségbiztosítási dolgozók képzése és

bevonása• minõségbiztosítási tudásbázis kialakítása• ágazati normák szerinti összehasonlítás



PO11A MINÕSÉGIRÁNYÍTÁS


1 Általános minõségirányítási terv2 Minõségbiztosítási stratégia3 A minõségbiztosítás tervezése4 Az informatikai szabványok és eljárások betartására vonatkozó minõségbiztosítási felülvizsgálat5 Rendszerfejlesztési életciklus módszertan6 Rendszerfejlesztési életciklus módszertan az alkalmazott technológia jelentõs megváltoztatása esetén7 A rendszerfejlesztési életciklus módszertan aktualizálása8 Koordináció és kommunikáció9 A technológiai infrastruktúra beszerzésére és karbantartására vonatkozó keretrendszer10 Kapcsolattartás külsõ rendszermegvalósítókkal/fejlesztõkkel11 Program dokumentációs szabványok12 Program tesztelési szabványok13 Rendszer tesztelési szabványok14 Párhuzamos futtatás/kísérleti tesztelés15 A rendszer tesztelés dokumentációja16 A fejlesztési szabványok betartását ellenõrzõ minõségbiztosítási értékelés17 Az informatikai célkitûzések teljesítésére vonatkozó minõségbiztosítási ellenõrzés18 A minõség mérése19 Jelentéskészítés a minõségbiztosítási ellenõrzésekrõl



Interjú készítés:VezérigazgatóAz informatikai tervezõ/irányító bizottság tagjaiInformatikai vezetõBiztonsági felelõsA szervezet minõségirányításáért felelõs vezetõjeAz informatikai szervezeti egység minõségirányítási felelõse Az informatikai vezetésRendszer-tulajdonosok/szponzorok

Adatgyûjtés:A minõségbiztosításra, a rendszerfejlesztésre és a rendszerek dokumentálására vonatkozó szabályok és

eljárásokA felsõ vezetés irányítási feladatai és felelõsségeA szervezeti stratégiai terv, minõségirányítási politika, minõségirányítási kézikönyv és minõségirányítási

tervAz informatikai stratégiai terv, minõségirányítási politika, minõségirányítási kézikönyv, minõségirányítási

terv és konfiguráció kezelési terve



Megvizsgálandó kérdések:A minõségirányítási terv:

• a szervezet hosszú- és rövid távú terveire épül-e• támogatja-e a folyamatos fejlõdés filozófiáját és választ ad-e a mit, ki és hogyan alapkérdésekre• teljes és naprakész-e

Az informatikai minõségirányítási terv:• a szervezet általános minõségirányítási tervére és a hosszú- és rövid távú informatikai tervekre

épül-e• támogatja-e a folyamatos fejlõdés filozófiáját és választ ad-e a mit, ki és hogyan alapkérdésekre• teljes és naprakész-e

Létezik-e szabványos minõségbiztosítási módszertan, és az:• érvényes-e mind az általános, mind a projekt-specifikus minõségbiztosítási tevékenységekre

egyaránt • skálázható, és így minden projektre alkalmazható-e• világos és egyértelmû-e a projektekben és a minõségbiztosítási feladatok ellátásában részt vevõ

személyek számára• kiterjed-e a projektek minden egyes szakaszára

A szabványos minõségbiztosítási módszertan meghatározza-e azt, hogy milyen típusú minõségbiztosításitevékenységeket (és konkrét vizsgálatokat, auditokat, ellenõrzéseket, stb..) kell elvégezni az általánosminõségirányítási tervben megfogalmazott célkitûzések teljesítése érdekében

A minõségbiztosítási tervezési eljárás elõírja-e a minõségbiztosítási tevékenységek kiterjedési körét ésvégrehajtásának ütemezését

A minõségbiztosítási vizsgálatok értékelik-e, az informatikára vonatkozó szabványok, szabályok éseljárások általános betartását

A felsõ vezetés meghatározta és bevezette-e az informatikára vonatkozó szabványokat, szabályokat éseljárásokat, beleértve egy akár házon belül kifejlesztett, akár megvásárolt, illetve a kettõ együtteseredményeként kialakított formális rendszerfejlesztési életciklus módszertant is

A rendszerfejlesztési életciklus módszertan:• szabályozza-e a számítógépes információrendszerek és az azokhoz kapcsolódó technológiák

fejlesztésének, beszerzésének, megvalósításának és karbantartásának folyamatát• támogatja-e és ösztönzi-e a szervezet és az informatikai funkció hosszú- és rövid távú terveivel

összhangban álló rendszerfejlesztési/módosítási elképzeléseket• olyan strukturált fejlesztési illetve módosítási folyamatot ír-e elõ, amely ellenõrzési pontokat

tartalmaz a legfontosabb döntési pontoknál és megköveteli a további munkák engedélyezésétminden egyes ellenõrzési pontnál

• teljes és naprakész-e

PO11 Tervezés és SzervezetA minõségirányítás

Adatgyûjtés, folytatásValamennyi minõségbiztosítási funkció szabályzataAz egyes minõségbiztosítási tervezési értekezletek jegyzõkönyveiA rendszerfejlesztési életciklus módszertan felülvizsgálata céljából összehívott ülések jegyzõkönyveiA rendszerfejlesztési életciklus módszertan felülvizsgálatáról készített dokumentumok másolataiA tervezõ/irányító bizottság helyzetjelentései és üléseinek jegyzõkönyvei



PO11• testre szabható/skálázható-e minden olyan fejlesztéshez, amelyre a szervezetnél sor kerül• mind a szoftverek kivitelezésére, mind karbantartására alkalmazható-e, a házon belül kifejlesztett

és a vásárolt szoftverek esetében egyaránt• megfelelõ elõírásokat tartalmaz-e a technológiai változásokra vonatkozóan• beleilleszkedik-e a technológiai infrastruktúra beszerzésére és karbantartására vonatkozó

általános keretrendszerbe• a benne foglalt lépéseket (például beszerzés; programozás, dokumentálás és tesztelés; paraméter

beállítás, karbantartás, hibajavítás) a technológiai infrastruktúra beszerzésére és karbantartásáravonatkozó általános keretrendszer vezérli-e, és azok összhangban állnak-e a keretrendszerrel

• megkövetel-e olyan elõírásokat, amelyek a külsõ rendszer-szállítókra vonatkozó átadás/átvételikritériumok meghatározására, a változások és problémák kezelésének módjára, a projektbenérintettek feladataikra, a létesítményekre, a szoftver-eszközökre és a szoftverekre vonatkozószabványokra és eljárásokra vonatkoznak

• elõírja-e azt, hogy részletes program- és rendszer-dokumentációt kell vezetni (ú.m. folya-matábrákat, adatáramlási diagramokat, a programokhoz fûzött írásos magyarázatokat, stb.), ésezekrõl a követelményekrõl minden érintett dolgozót tájékoztatni kell

• elõírja-e azt, hogy a dokumentációkat napra készen kell tartani a végrehajtott változtatásoknakmegfelelõen

• elõírja-e azt, hogy szigorú és szilárdan megalapozott program/rendszer-tesztelést kell végezni• meghatározza-e azokat a körülményeket, amelyek esetén párhuzamos rendszer futtatást illetve

kísérleti rendszer üzemeltetésével végrehajtott tesztelést kell végrehajtani az új illetve módosítottrendszerekre vonatkozóan

• elõírja-e azt, hogy minden egyes rendszerfejlesztési, megvalósítási illetve módosítási projektrészeként a teszteléseket független módon kell ellenõrizni, dokumentálni és megõrizni

• elõírja-e a projekt eredményeit beágyazó projektek engedélyezését• elõírja-e azt, hogy új rendszerek kifejlesztése vagy a meglévõk módosítása esetén költség/haszon

elemzést kell végezni A szervezet minõségbiztosítási módszertana:

• elõírja-e azt, hogy megvalósítást követõ ellenõrzést kell végezni annak biztosítása céljából, hogyvalamennyi új vagy módosított rendszer kifejlesztése és üzembe állítása a szervezet rendszerfe-jlesztési életciklus módszertanának megfelelõen történjék, illetve annak ellenõrzése céljából,hogy azt a projekt munkacsoport betartotta-e

• elõírja-e annak ellenõrzését, hogy az új illetve módosított rendszerek milyen mértékbenteljesítették a vezetés által velük kapcsolatban meghatározott célkitûzéseket

• rendelkezik-e arról, hogy olyan jelentések készüljenek a vezetés számára (mind a felhasználói,mind az informatikai vezetés felé), amelyek javaslatokat fogalmaznak meg a rendszerfejlesztésreés az eredményesség fokozására

• rendelkezik-e olyan javaslatokról, amelyek megvalósítását rendszeresen nyomon követik és azilletékes felsõ vezetõk számára jelentik

Az informatikai funkció felsõ vezetése rendszeres idõközönként felülvizsgálja és aktualizálja-e a rendsz-erfejlesztési életciklus módszertant annak érdekében, hogy az megfelelõ alapot nyújtson az újfejlesztésekhez/módosításokhoz és az új technológiákhoz

Változó szintû kontrollt alkalmaznak-e a különbözõ típusú fejlesztési és módosítási projektek esetében(például a nagyobb projekteknél több és mélyebb kontroll mechanizmust alkalmaznak-e, mint akisebb projektek esetében)


Megvizsgálandó kérdések, folytatásMegfelelõ együttmûködés és kommunikáció valósul-e meg az informatikai felhasználók és a rendszer

implementálók között a rendszerfejlesztés teljes életciklusa alattA szervezet különbözõ funkcionális egységeinek képviselõi (pl. informatikai vezetés, biztonsági felelõs,

jogi munkatársak, minõségbiztosítási alkalmazottak, belsõ ellenõrök, felhasználók, stb.) megfelelõmértékben részt vesznek-e a rendszerfejlesztésben

Bevezettek-e a tevékenységek mérésére olyan mutatókat, amelyek lehetõvé teszik annak értékelését, hogya minõségi célkitûzések teljesültek-e



Tesztelendõ:Az informatikai minõségirányitási terv kidolgozására irányuló eljárások tartalmazzák-e az alábbi

inputokat:• a szervezet hosszú- és rövid távú tervei• a hosszú- és rövid távú informatikai tervek• a szervezeti szintû minõségirányítási szabályzat• az informatikai funkció minõségirányítási szabályzata• a szervezeti szintû minõségirányítási terv• az informatikai konfiguráció-kezelési terv

Az informatikai minõségirányítási terv a hosszú- és rövid távú informatikai tervekre épül-e, amelyekmeghatározzák-e:• az alkalmazási rendszerek fejlesztésére elõirányzott erõfeszítéseket és/vagy azok beszerzéseit• a más rendszerekhez (belsõ vagy külsõ) történõ kapcsolódást• a rendszerek és az interfészek támogatásához szükséges platformokat/infrastruktúrát• a célként meghatározott informatikai környezet kialakításához/támogatásához szükséges erõforrá-

sokat (pénzügyi és emberi erõforrásokat egyaránt)• a célként meghatározott informatikai környezet kialakításához/támogatásához szükséges képzést

Az informatikai minõségirányítási terv foglalkozik-e az alábbi kérdésekkel:• a mind a belsõ, mind a külsõ ügyfelek számára nyújtandó szolgáltatás tervezett szintje,

egyértelmû és mérhetõ fogalmakkal kifejezve• minden egyes rendszerre és platformra vonatkozóan a leállások/kiesések maximálisan

megengedett szintje, egyértelmû és mérhetõ fogalmakkal kifejezve • a teljesítményre/üzemszünetre vonatkozó célkitûzések teljesülésének figyelemmel kíséréséhez

szükséges teljesítményi statisztikák, beleértve azok jelentésének módját és a jelentésekszétosztásának körét is

• azok a monitorozási/felülvizsgálati folyamatok, amelyek annak biztosítására szükségesek, hogyaz informatikai környezet/infrastruktúra terén végrehajtott, a hosszú- és rövid távú informatikaitervekben meghatározott fejlesztések/módosítások/váltások jól tervezettek, kellõen monitoro-zottak és megfelelõ erõforrással ellátottak legyenek, és tesztelésük, oktatásuk, dokumentálásuk ésmegvalósításuk megfelelõ módon történjék

• a minõségirányítási terv aktualizálásának idõintervallumaiA minõségbiztosítással foglalkozó munkatársak következetesen betartják-e a minõségbiztosítási módszer-

tanban és tervben, valamint az egyéb idevonatkozó mûködési eljárásokban megfogalmazott elõírá-sokat




Az alábbi feladatok elvégzése révén:A rendszerfejlesztési életciklus módszertan összemérése hasonló szervezetekével illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalA minõségirányítási tervben meghatározott teljesítmény-mutatók részletes áttekintése és annak megál-

lapítása, hogy azok:• teljesíthetõek-e• megfelelnek-e a vállalati követelményeknek/elvárásoknak• megfelelnek-e a felhasználói követelményeknek/elvárásoknak• mérhetõek-e

A projektek közül választott minta részletes vizsgálata annak ellenõrzése céljából, hogy:• betartották-e a rendszerfejlesztési életciklus módszertan elõírásait

PO11A rendszerfejlesztési életciklus módszertan megfelelõ-e arra, hogy biztosítsa az alábbiakat:

• megfelelõ szintû kontroll az új rendszerek és technológiák kifejlesztésének folyamata során• a rendszerek fejlesztésében és karbantartásában résztvevõ valamennyi alkalmazott felé irányuló

kommunikáció•eljárások alkalmazása a technológia változásaira vonatkozóan • eljárások alkalmazása a felhasználói elfogadásra és írásbeli jóváhagyásra vonatkozóan• a külsõ rendszer-megvalósítókkal kötött megállapodások megfelelõsége

A felhasználók tisztában vannak-e a rendszerfejlesztési életciklus módszertan irányítási és ellenõrzésieljárásaival és követelményeivel

A rendszerfejlesztési életciklus módszertan változáskezelési mechanizmusai lehetõvé teszik-e a módszer-tan megváltoztatását, és a módszertan "élõ" dokumentum-e

A szervezet rendszerfejlesztési életciklus módszertana felülvizsgálatainak és módosításainak naplójatükrözi-e azt, hogy milyen új rendszerek és technológiák bevezetését vették fontolóra, illetve melyekvárhatóak a jövõben

Az elvégzett program- és rendszer-tesztek eredményeit (beleértve a párhuzamos rendszer futtatások/kísér-leti rendszer tesztelések eredményeit is) felülvizsgálják-e és megõrzik-e a késõbbi tesztekhez

Megfelelõ folyamat mûködik-e a tesztelés során felmerült problémák megoldásáraA minõségbiztosítási személyzet végrehajtotta-e a megvalósítást követõ ellenõrzéstA rendszerfejlesztési projektekben a felhasználók képviseletében részt vett munkatársak elégedettek-e a

módszertan jelenlegi alkalmazásávalA minõségbiztosítási személyzet tisztában van-e a szervezeten belüli szerepkörévelSzükséges-e valamennyi rendszer-tesztelést követõen minõségbiztosítási ellenõrzést végezni, és a

tesztelés eredményeit át kell-e tekintenie és jóvá kell-e hagynia az informatikai vezetésnek, aminõségbiztosítási funkciónak és a felhasználói személyzetnek

A minõségbiztosítási ellenõrzések korrekciós vezetõi intézkedésekhez vezetnek-eSor kerül-e a megvalósítást követõ ellenõrzésekre, azok eredményeirõl tájékoztatást kap-e a felsõ vezetés,

és kell-e cselekvési tervet kidolgozni az implementáció valamennyi javításra szoruló területérevonatkozóan

Sor kerül-e a minõségirányítási célok teljesítésében elért eredmények mérésére és megteszik-e aszükséges intézkedéseket

Az alábbi feladatok elvégzése révén, folytatás• a rendszerfejlesztési életciklus módszertan bármely testre igazítása/skálázása megfelelõn történt-e

és jóváhagyásra került-e• a jóváhagyásokat valamennyi ellenõrzési ponton beszerezték-e, és az arra illetékes személyektõl

szerezték-e be (pl.: az informatikai biztonsági felelõs, a minõségbiztosítási felelõsök, afelhasználói osztályok képviselõi)

• szoros együttmûködés és megfelelõ kommunikáció valósult-e meg a felhasználói osztályok és arendszer kiépítõi (akár belsõ, akár külsõ) között

• betartották-e a technikai infrastruktúra beszerzésére és karbantartására vonatkozó keretrendszerelõírásait valamint annak valamennyi releváns lépését

• a fejlesztés/módosítás kielégítõ eredménnyel és kellõ idõben fejezõdött-e be• elkészültek-e a minõségbiztosítási ellenõrzések megfelelõ jelentései és kellõ idõben megtették-e a

szükséges korrekciós intézkedéseketA program- és rendszer-dokumentációk elkészítése, felülvizsgálata, jóváhagyása és karbantartása

módjának részletes áttekintéseA program- és rendszer-tesztelések (a párhuzamos futtatást/kísérleti rendszer tesztet is beleértve),

valamint a dokumentációk elvégzése ill. elkészítése, felülvizsgálata, jóváhagyása és karbantartásamódjának részletes áttekintése

A minõségbiztosítási funkció által elvégzett megvalósítást követõ vizsgálat folyamatának részletes átte-kintése annak megállapítása céljából, hogy a jelentések kitérnek-e a rendszerfejlesztési életciklusmódszertan elõírásainak betartására, valamint az újonnan megvalósított/módosított rendszerekeredményességére és minõségirányítási aspektusaira vonatkozó kérdésekre

Feltárva az alábbiakat:Az olyan minõségirányítási tervek, amelyek nem kapcsolódnak a hosszú- és rövid távú tervekhezAz olyan esetek, amelyek során a rendszerfejlesztési életciklus módszertan elõírásainak mellõzésére,

illetve túlzott alkalmazására került sor (ú.m. túlzott strukturáltság a kis projekteknél és elégtelen anagyoknál)

A rendszerfejlesztési életciklus módszertan helytelen alkalmazása (ú.m. a házon belüli fejlesztésrevonatkozó rendszerfejlesztési életciklus módszertan alkalmazása egy megvásárolt szoftverbevezetésére anélkül, hogy azt ennek megfelelõen módosították volna)

Az olyan esetek, amelyekben elégtelen volt vagy hiányzott az együttmûködés és kommunikáció a rend-szerfejlesztési folyamatban részt vevõ személyek között (beleértve a külsõ szolgáltatókat is)

Ahol a technológiai infrastruktúra beszerzésének és karbantartásának lépéseit (ú.m. beszerzés,programozás, dokumentálás és tesztelés, paraméter beállítás, hibajavítás, stb.) nem követtékmegfelelõ módon

Ahol a program- és/vagy rendszer-dokumentációk hiányoznak, nem megfelelõek, illetve nem naprakészek Ahol nem, vagy nem megfelelõen hajtották végre a programok/rendszerek tesztelését (beleértve a

párhuzamos rendszer futtatást/kísérleti rendszeren való tesztelést is), illetve nem, vagy nemmegfelelõen dokumentálták azokat

Ahol nem, illetve nem megfelelõen hajtották végre a minõségbiztosítási ellenõrzéseket és a megvalósítástkövetõ utóellenõrzéseket

Ahol a minõségbiztosítási ellenõrzések és a kiépítés utáni ellenõrzések eredményeit figyelmen kívülhagyta a vezetés, és olyan rendszereket telepítettek, amelyeket nem szabadott volna telepíteni





B E S Z E R Z É S É S R E N D S Z E R M E G V A L Ó S Í T Á S


AI1 Beszerzés és rendszermegvalósításAz automatizált megoldások meghatározása



az automatizált megoldások meghatározása


hatékony és eredményes megközelítési mód kialakítása a felhasználók igényeinek ki-elégítésére


az alternatív lehetõségek objektív és egyértelmû azonosítása és elemzése,összemérve a felhasználói igényekkel


• a piacon beszerezhetõ megoldások ismerete• beszerzési és bevezetési/megvalósítási módszerek• a felhasználók részvétele és megnyerése • igazodás a szervezeti és informatikai stratégiához • az információs követelmények meghatározása• megvalósíthatósági tanulmányok (költségek, elõnyök, alter-

natívák, stb.)• funkcionális, üzemeltetési, elfogadhatósági és fenntarthatósági

követelmények• összhang a szervezet információ-architektúrájával• költségtakarékos biztonsági és kontroll mechanizmusok• a szállítók kötelezettségei



AI1AZ AUTOMATIZÁLT MEGOLDÁSOK MEGHATÁROZÁSA


1 Az információs követelmények meghatározása2 Alternatív cselekvési lehetõségek kidolgozása3 A beszerzési stratégia kidolgozása4 A külsõ szolgáltatásokra vonatkozó követelmények5 Technológiai megvalósíthatósági tanulmány6 Gazdasági megvalósíthatósági tanulmány7 Információ-architektúra8 Kockázatelemzési jelentés9 Költséghatékony biztonsági eljárások10 Az audit szempontú nyomonkövethetõség kialakítása11 Ergonómia12 A rendszer-szoftver kiválasztása13 A beszerzés irányítása és ellenõrzése 14 A szoftver-termékek beszerzése 15 A külsõ fél által végzett szoftver-karbantartás16 Szerzõdéses alkalmazás-programozás17 A létesítmények átvétele18 A technológia átvétele



Interjú készítés:Informatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésProjekt tulajdonosok/szponzorokA szerzõdéses fél vezetése

Adatgyûjtés:A rendszerfejlesztés életciklusára és a szoftverek beszerzésére vonatkozó szabályok és eljárásokAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekKiválasztott projektek-dokumentumok, amelyek az alábbi kérdésekkel foglalkoznak: a követelmények

meghatározása, az alternatívák elemzése, technológiai megvalósíthatósági tanulmányok, gazdaságimegvalósíthatósági tanulmányok, információ-architektúra/vállalati adatmodell elemzések, kockázatelemzések, a belsõ kontroll/biztonsági eljárások költséghatékonyságának elemzése, az auditszempontú nyomonkövethetõségre vonatkozó elemzések, ergonómiai tanulmányok, valamint a létesít-mények és konkrét technológiák elfogadási tervei és tesztelési eredményei

A szoftverek beszerzéséhez, fejlesztéséhez illetve karbantartáshoz kapcsolódó kiválasztott szerzõdések




Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e érvényben, amelyek elõírják azt, hogy:

• az egyes fejlesztési, megvalósítási illetve módosítási projektek jóváhagyása elõtt világosan megkell határozni a meglévõ rendszer által kielégített, illetve a javasolt új/módosított rendszer általkielégítendõ felhasználói követelményeket

• az egyes fejlesztési, megvalósítási illetve módosítási projektek jóváhagyása elõtt az érintett tulaj-donosnak/szponzornak át kell tekintenie és írásban jóvá kell hagynia a felhasználóikövetelményekrõl készült dokumentációt

• meg kell felelni az alkalmazott megoldással szemben támasztott funkcionális és üzemeltetésikövetelményeknek, beleértve a teljesítményi, munkavédelmi, megbízhatósági, kompatibilitási,biztonsági és jogszabályi követelményeket egyaránt

• a szoftver megoldás kiválasztása elõtt tanulmányozni és elemezni kell a felhasználóikövetelményeket kielégítõ alternatív megoldásokat is

• a végsõ kiválasztási döntés elõtt meg kell vizsgálni, hogy a kereskedelmi forgalomban lévõszoftverek közül melyek felelnek meg a felhasználói követelményeknek az egyes rendszerfe-jlesztési illetve módosítási projektek kapcsán

• világosan meg kell határozni a szoftver-termékek beszerzési alternatíváit (ú.m. készen kaphatószoftver vásárlása, házon belüli fejlesztés, szerzõdés alapján történõ fejlesztés, illetve a meglévõszoftver továbbfejlesztése, vagy ezek kombinációja)

• a felhasználói követelményeknek megfelelõ minden egyes alternatív megoldásra vonatkozóanmûszaki megvalósíthatósági tanulmányt kell készíteni, amelyet az érintett tulajdonosnak/szpon-zornak elemeznie kell és jóvá kell hagynia

• minden egyes javasolt rendszerfejlesztési, megvalósítási illetve módosítási projekt esetébenelemezni kell a felhasználói követelményeknek megfelelõ alternatív megoldásokhoz kapcsolódóköltségeket és az általuk kínált elõnyöket

• a javasolt új rendszer kifejlesztésére illetve a meglévõ módosítására vonatkozó döntésmeghozatala elõtt gazdasági megvalósíthatósági tanulmányt kell készíteni, amelyet az érintetttulajdonosnak/szponzornak elemeznie kell és jóvá kell hagynia

• a vállalati adatmodellt figyelembe kell venni a megoldási lehetõségek kidolgozása ésmegvalósíthatóságuk elemzése során

• minden egyes javasolt rendszerfejlesztési, megvalósítási illetve módosítási projekt esetébenelemezni és dokumentálni kell a biztonságot fenyegetõ tényezõket, a potenciális sebezhetõségipontokat és hatásokat, valamint a feltárt kockázatok csökkentésére illetve kiküszöbölésérealkalmas biztonsági és belsõ kontroll eljárásokat

• körültekintõen meg kell vizsgálni a biztonsági eljárások költségeit és az általuk kínált elõnyöketannak érdekében, hogy a kontroll mechanizmusok költségei ne lépjék túl az általuk nyújtottelõnyöket

• a költség/haszon elemzéseket a vezetésnek formálisan is el kell fogadnia• megfelelõ audit szempontú nyomonkövetési lehetõségeket és kontroll mechanizmusokat kell

beépíteni valamennyi javasolt új/módosított rendszerbe a projekt rendszertervezési szakaszában • az audit szempontú nyomonkövetési lehetõségeknek és kontroll mechanizmusoknak lehetõséget

kell nyújtaniuk a felhasználók megvédésére személyi azonosságuk más felhasználók által történõkiderítése vagy azzal való visszaélése ellen (pl. névtelenség révén, álnév felkínálásával, a sze-méllyel való összekapcsolhatatlanság vagy észlelhetetlenség biztosítása révén), anélkül, hogy ez arendszer biztonságát veszélyeztetné



AI1• az informatikai vezetésnek minden olyan potenciális rendszerszoftvert meg kell határoznia, amely

megfelel az általa elõírt üzemeltetési követelményeknek• a megvásárolt termékeket meg kell vizsgálni és le kell tesztelni üzembeállításuk és vételáruk

kiegyenlítése elõtt• a szoftver-termékek beszerzésekor a szervezet azon beszerzési szabályai alapján kell eljárni,

amelyek meghatározzák az ajánlattételi felhívás elkészítésének, a szállító kiválasztásának és aszerzõdések megkötésének kereteit

• a külsõ féltõl beszerzett, licensz alapján használt szoftverek esetében a szolgáltatónak megfelelõeljárásokkal kell rendelkeznie a szoftver-termék integritását biztosító jogok érvényességénekigazolására, azok védelmére és karbantartására

• szerzõdés alapján történõ programkészítés esetén a szolgáltatás igénybevételét az informatikaifunkcionális terület erre kijelölt személye által tett írásos igény alapján kell igazolni

• a szállítóval megkötött szerzõdésben meg kell állapodni a létesítmények átvételére vonatkozótervben, amelyben meg kell határozni az átvétel eljárását és kritériumait

• a szerzõdés alapján történõ programkészítés keretében elvégzett munka végtermékét az infor-matikai minõségbiztosítási csoportnak és a többi érintett félnek a megfelelõ szabványok alapjánle kell tesztelnie a munka ellenértékének kiegyenlítése és a végtermék jóváhagyása elõtt

• a szállítóval kötött szerzõdésben meg kell állapodni a konkrét technológia átvételére vonatkozótervben, amelyben meg kell határozni az átvétel eljárását és kritériumait

A kockázatok elemzése az általános kockázat-értékelési keretrendszerben foglaltaknak megfelelõentörténik-e

Megfelelõ mechanizmusok gondoskodnak-e az exportált (letöltött) illetve importált (betöltött) adatokbiztonsági jellemzõkkel való ellátásáról , valamint azok helyes értelmezésérõl

A vezetés kidolgozott-e és bevezetett-e egy olyan központi beszerzési rendszert, amely meghatározza azinformatikai hardverek, szoftverek és szolgáltatások beszerzésekor követendõ eljárásokat ésszabványokat

A szerzõdések kikötik-e azt, hogy a szoftverek, dokumentációk és egyéb végtermékek elfogadására ésátvételére csak a megfelelõ tesztelések és ellenõrzések elvégzését követõen kerülhet sor

A szerzõdésekben meghatározott tesztelési rendelkezések magukban foglalják-e az alábbi teszteket:rendszer-tesztelés, integrációs tesztelés, hardver- és komponens tesztelés, eljárás tesztelés, terhelésesés tûrés tesztelés, a hangolás és a teljesítmény tesztelése, regressziós tesztelés, felhasználói elfogadóitesztelés, és végül a teljes rendszer kísérleti tesztelése a váratlan rendszerhibák elkerülése érdekében

Elvégzik-e a létesítmények átvételi tesztelését annak biztosítása céljából, hogy azok elhelyezése éskörnyezete megfeleljen a szerzõdésben rögzített követelményeknek

Az egyes konkrét technológiák átvételéhez kapcsolódó tesztek tartalmaznak-e a fizikai vizsgálatra, afunkcionalitásra és a terheléses próbákra vonatkozó teszteket is



Tesztelendõ:A egyes fejlesztési, megvalósítási illetve módosítási projektek végrehajtása elõtt az érintett felhasználó

világosan meghatározta-e, áttekintette-e és írásban jóváhagyta-e a meglévõ rendszer által kielégítettilletve a javasolt új/módosított rendszer által kielégítendõ felhasználói követelményeket

Betartották-e az alkalmazott megoldással szemben támasztott funkcionális és üzemeltetésikövetelményeket, beleértve a teljesítményi, munkavédelmi, megbízhatósági, kompatibilitási, bizton-sági és jogszabályi követelményeket egyaránt

Feltárták-e a meglévõ rendszer minden gyenge pontját és feldolgozási hiányosságát, és azokra teljeskörûen kitér-e és megoldást nyújt-e a javasolt új illetve módosított rendszer

Megfelelõen elemezték-e azokat az alternatív megoldási lehetõségeket, amelyek megfelelnek a javasolt újilletve módosított rendszerre vonatkozóan meghatározott felhasználói követelményeknek

Megfelelõen megvizsgálták-e azokat kereskedelmi forgalomban lévõ szoftvereket, amelyek megfelelnekaz egyes rendszerfejlesztési illetve módosítási projektek kapcsán meghatározott igényeknek

Az elõírt gazdasági megvalósíthatósági tanulmány keretében valamennyi alternatív megoldáshozkapcsolódóan megfelelõen alátámasztották-e és abba belefoglalták-e az összes azonosíthatóköltségtételt és elõnyt

A megoldási lehetõségek kidolgozásakor és megvalósíthatóságuk elemzésekor figyelembe vették-e a azinformáció-architektúrát/vállalati adatmodellt

Pontos és teljes körû-e a biztonságot fenyegetõ tényezõkrõl, a potenciális sebezhetõségi pontokról éshatásokról, valamint a feltárt kockázatok csökkentésére illetve kiküszöbölésére alkalmas biztonsági ésbelsõ kontroll eljárásokról készített kockázat-elemzési jelentés

A rendszerterv dokumentációk megfelelõen foglalkoznak-e a biztonság és a belsõ kontroll kérdéseivel A vezetés elfogadta és jóváhagyta-e azt, hogy az érvényben lévõ és tervezett kontroll mechanizmusok

elégségesek és megfelelõ elõnyöket kínálnak a ráfordításokkal szembenA kiválasztott megoldás megfelelõ audit szempontú nyomonkövetési mechanizmusokkal rendelkezik-e,

illetve lehetõséget nyújt-e azok kifejlesztéséreA rendszertervezés, valamint a képernyõ- és jelentés-formátumok, az online súgók, stb. kifejlesztése során

törekedtek-e olyan felhasználóbarát megoldások kialakítására, amelyek fokozzák a rendszerhasználatának készségét

A rendszertervezés és -fejlesztés során figyelembe vették-e a kapcsolódó ergonómiai kérdéseketA rendszertervezés és -fejlesztés megkezdése elõtt belefoglalták-e a felhasználói követelményekbe a

felhasználók teljesítményét fokozó tényezõket (ú.m. a rendszer válaszideje, letöltési/feltöltésilehetõségek, ad hoc jelentéskészítés)

Az informatikai funkció meghatározta-e az összes olyan potenciális rendszerszoftvert, amely megfelel azüzemeltetési követelményeknek

Az informatikai funkció egységes eljárások és szabványok szerint jár-e el az informatikai hardverek,szoftverek és szolgáltatások beszerzésekor

A megvásárolt termékeket megvizsgálják és letesztelik-e üzembe állításuk és vételáruk kiegyenlítése elõttA szoftver-beszerzési szerzõdések rendelkeznek-e arról, hogy a felhasználó birtokába kerül a program

forráskódjának egy példánya, amennyiben ez értelmezhetõA szoftver beszerzési dokumentumok rendelkeznek-e a magasabb verzióra való cserérõl (upgrade), a

technológiai frissítések módjáról és a szoftver hibák javítását szolgáló programokról A külsõ szolgáltatók által nyújtott szoftver-karbantartás kiterjed-e a szoftver-termékek integritását

biztosító jogok érvényességének igazolására, azok védelmére és karbantartására





Az alábbi feladatok elvégzése révén:Az automatizált megoldásokhoz kapcsolódó felhasználói követelmények meghatározási módjának

összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobbgyakorlattal

Az alábbiak részletes áttekintése:• a felhasználói követelményeket kielégítõ automatizált megoldások meghatározásának módja

(beleértve a felhasználói követelmények meghatározását, az alternatív megoldások kidolgozását,;a kereskedelemi forgalomban lévõ szoftverek azonosítását, valamint a technológiai és gazdaságimegvalósíthatóságra, az információ-architektúrára és a kockázat-elemzésre vonatkozó tanul-mányok végrehajtását)

• a kiválasztott megoldáshoz kapcsolódóan rendelkezésre álló illetve kifejleszthetõ biztonsági ésbelsõ kontroll mechanizmusok (beleértve a felhasználóbarát tervezésre, az ergonómiára stb.vonatkozó megfontolásokat is), valamint az audit szempontú nyomonkövetési lehetõségek

• a rendszerszoftverek kiválasztása és bevezetése• az érvényben levõ szoftver-beszerzési szabályok és eljárások megfelelõsége szervezés, a belsõ

kontroll és a szabályoknak való megfelelés szempontjából• a külsõ szolgáltatók által végzett karbantartás irányításának módja• a szerzõdéses megbízás alapján történõ programkészítés felügyeletének és kezelésének módja• a létesítmények átvételére vonatkozó folyamat, annak ellenõrzése céljából, hogy az elhelyezésre

és a környezetre vonatkozó tesztek megfelelnek-e a szerzõdésben meghatározottkövetelményeknek

• az egyes konkrét technológiák átvételére vonatkozó folyamat, annak ellenõrzése céljából, hogy afizikai ellenõrzõ vizsgálatok, a funkcionalitási tesztek és a terheléses próbák megfelelnek-e aszerzõdésben meghatározott követelményeknek

Feltárva az alábbiakat:Hibák és hiányosságok a szervezet rendszerfejlesztési életciklus módszertanában Olyan informatikai megoldások, amelyek nem felelnek meg a felhasználói követelményeknekOlyan rendszerfejlesztési munkák, amelyek esetében:

• nem vizsgálták meg az alternatív megoldási lehetõségeket, így az optimálisnál költségesebbmegoldást alkalmaztak

• nem vizsgálták meg a kereskedelemi forgalomban lévõ szoftver-csomagokat, amelyeket rövidebbidõ alatt és alacsonyabb költséggel be lehetett volna vezetni

AI1A szerzõdéses megbízás alapján történõ programkészítési munkákra ugyanolyan szintû tesztelési,

ellenõrzési és jóváhagyási elõírások vonatkoznak-e, mint a szervezet saját programfejlesztéséreA szerzõdéses megbízás alapján dolgozó programozók munkájának ellenõrzéséért és jóváhagyásáért a

szervezet minõségbiztosítási funkciója felelõs-e Megfelelõ és teljes körû terv szabályozza-e a létesítmények átvételét, és meghatározza-e az

elfogadás/átvétel eljárását és kritériumait isMegfelelõ és teljes körû terv szabályozza-e az egyes konkrét technológiák átvételét, amely a fizikai

vizsgálatra, a funkcionalitásra és a terheléses próbákra vonatkozó tesztekrõl is rendelkezik-e

Feltárva az alábbiakat, folytatás• nem vizsgálták meg az alternatív megoldások technológiai megvalósíthatóságát, vagy nem

vizsgálták meg megfelelõen a kiválasztott megoldás technológiai megvalósíthatóságát, amelymiatt a megoldást nem lehetett az eredeti tervek szerint megvalósítani

• hibás feltételezéseket fogalmaztak meg a gazdasági megvalósíthatósági tanulmányban, amelynekeredményeként rossz megoldást választottak

• nem vizsgálták meg az információ-architektúrát/vállalati adatmodellt, amelynek eredményekéntrossz megoldást választottak

• nem hajtottak végre szilárdan megalapozott kockázat-elemzést, amelynek eredményeként vagynem határozták meg megfelelõen a kockázatokat (beleértve a fenyegetõ tényezõket, a potenciálissebezhetõségi pontokat és azok következményeit is), vagy nem alakítottak ki megfelelõ bizton-sági és belsõ kontroll mechanizmusokat a feltárt kockázatok csökkentésére illetvekiküszöbölésére

Az olyan megoldások, amelyek esetében:• a szükségesnél több illetve kevesebb kontroll mechanizmust alakítottak ki a kontroll és biztonsági

mechanizmusok költséghatékonyságának nem megfelelõ értékelése miatt• nem alakítottak ki megfelelõ audit szempontú nyomonkövetési lehetõségeket• nem foglalkoztak megfelelõen a felhasználóbarát tervezéssel és az ergonómiai kérdésekkel,

aminek következtében olyan adatbeviteli hibák jelentkeztek, amelyek elkerülhetõek lettek volna• nem tartották be a szervezet beszerzésekre vonatkozó szabályait, ami miatt szükségtelen

többletköltségeket kell viselnie a szervezetnekA szükséges rendszerszoftver hiányaA rendszerszoftver nem megfelelõ mûködése a rendszerparaméterek helytelen beállítása miattAhol a külsõ szolgáltatók által végzett szoftver-karbantartás nem felel meg a szerzõdésben meghatározott

feltételeknek, és ez hátrányosan befolyásolta a szervezet küldetésének vagy céljainak teljesítésétAhol a megbízás alapján készített programok nem felelnek meg a szerzõdésben meghatározott

feltételeknek, ezáltal többletköltségeket okoznak a szervezetnek, késleltetik a rendszermegvalósítását, stb.

Az olyan helyzetek, amelyekben a létesítményeket az elhelyezési környezet alapos tesztelése nélkülvették át, amelynek eredményeként a nyújtott szolgáltatások nem felelnek meg a felhasználóikövetelményeknek és/vagy a szerzõdésben foglalt feltételeknek

Ahol a konkrét technológiát átvették, de nem hajtották végre megfelelõen a fizikai vizsgálatokat, afunkcionális teszteket és a terheléses próbákat, és ennek eredményeként a technológia nem felel mega felhasználói követelményeknek és/vagy a szerzõdésben foglalt feltételeknek

Bármilyen rendszerhiba





AI1Ez az oldal szándékosan maradt üresen.


AI2 Beszerzés és rendszermegvalósításAz alkalmazási szoftverek beszerzése és karbantartása



az alkalmazási szoftverek beszerzése és karbantartása


az üzleti folyamatokat eredményesen támogató automatizált funkciók biztosítása


a funkcionális és üzemeltetési követelmények pontos meghatározása ésszakaszokra bontott megvalósítás, pontosan meghatározott végtermékekkel.


• funkcionális tesztelés és elfogadás/átvétel• az alkalmazási rendszerekbe épített ellenõrzések és biztonsági

követelmények• a dokumentációval szemben támasztott követelmények• az alkalmazási szoftver életciklusa• vállalati szintû információ-architektúra• rendszerfejlesztési életciklus módszertan• ember-gép kapcsolat, felhasználói interfész• az alkalmazási rendszer-csomagok beállítása a felhasználói

igényeknek megfelelõen



AI2AZ ALKALMAZÁSI SZOFTVEREK BESZERZÉSE ÉS KARBANTARTÁSA


1 Kiviteli tervkészítési módszerek2 A meglévõ rendszerek jelentõsebb módosítása3 A kiviteli terv jóváhagyása4 Az adatállományokra vonatkozó követelmények meghatározása és dokumentálása5 Program-specifikáció6 A forrás-adatok összegyûjtésének terve7 Az inputokra vonatkozó követelmények meghatározása és dokumentálása8 Az interfészek meghatározása9 A felhasználó és számítógép közötti interfész10 Az adatfeldolgozási követelmények meghatározása és dokumentálása11 Az outputokra vonatkozó követelmények meghatározása és dokumentálása12 Kontrollálhatóság13 A rendelkezésre állás, mint kulcsfontosságú tervezési faktor14 Az adatok sértetlenségét biztosító funkciók az alkalmazási szoftverekben15 Az alkalmazási szoftverek tesztelése16 A felhasználói kézikönyvek és segédletek17 A rendszer kiviteli tervének felülvizsgálata



Interjú készítés:Informatikai vezetõBiztonsági felelõsAz informatikai felsõ vezetésProjekt tulajdonosok/szponzorok

Adatgyûjtés:A rendszerfejlesztési módszertanra vonatkozó szabályok és eljárásokAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekKiválasztott projekt-dokumentumok, amelyek az alábbi kérdésekkel foglalkoznak: a rendszertervek

jóváhagyásai, az adatállományokra vonatkozó követelmények meghatározása, programspecifikációk,a forrásadatok összegyûjtésének terve, az adatbevitellel kapcsolatos követelmények meghatározása, afelhasználói interfész, az adatfeldolgozási követelmények meghatározása, a kimenõ adatokkalszemben támasztott követelmények meghatározása, a belsõ kontrollra/biztonságra vonatkozókövetelmények, a rendszer rendelkezésre állására vonatkozó követelmények, az informatikaisértetlenség fenntartására vonatkozó intézkedések, az alkalmazási szoftverek tesztelési terve éseredményei, a felhasználói kézikönyvek és segédanyagok, valamint a rendszerterv újraértékelése




Megvizsgálandó kérdések:Megfelelõ szabályok és eljárások vannak-e érvényben az alábbiak biztosítására:

• a szervezet rendszerfejlesztési életciklus módszertana az új rendszerek kifejlesztésére és ameglévõ rendszerek jelentõsebb módosításaira egyaránt érvényes és gondoskodik a felhasználókbevonásáról

• szoros kapcsolattartás révén a felhasználókat is bevonják a rendszerterv-specifikációk kidolgo-zásába, valamint a rendszerterv-specifikációknak a felhasználói követelmények alapján történõellenõrzésébe

• a meglévõ rendszerek jelentõs módosítása esetén az új rendszerek kifejlesztésekor alkalmazotthozhasonló rendszerfejlesztési életciklus folyamatot követnek

• a tervezési specifikációkat minden rendszerfejlesztési és módosítási projekt esetében jóvá kellhagynia a vezetésnek, az érintett felhasználói osztályoknak és a szervezet felsõ vezetésének is,amennyiben ez szükséges

• valamennyi rendszerfejlesztési és módosítási projekt esetében megfelelõ eljárást alkalmaznak azadatállományok formátumának meghatározásához és dokumentálásához, amely követelménykéntelõírja az adatszótár szabályainak betartását

• valamennyi rendszerfejlesztési és módosítási projekt során részletes írásbeli program-specifiká-ciót készítenek, amelyek összhangban állnak a rendszerterv-specifikációkkal

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az adatok összegyûjtésére és bevitelére

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az input követelmények meghatározására és dokumentálására vonatkozóan

• a felhasználó és a számítógép között olyan felületet fejlesztenek ki, amely könnyen kezelhetõ ésöndokumentáló jellegû (online súgó funkció révén)

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki a belsõ és külsõ interfészek meghatározására és dokumentálására

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az adatfeldolgozási követelmények meghatározására és dokumentálására

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki az output követelmények meghatározására és dokumentálására

• valamennyi rendszerfejlesztési illetve módosítási projektre vonatkozóan megfelelõ mechanizmu-sokat dolgoznak ki a belsõ kontrollra és a biztonságra vonatkozó követelmények érvényesítésére

• a belsõ kontrollra és a biztonságra vonatkozó követelmények olyan alkalmazási rendszer szintûkontroll mechanizmusokat is tartalmaznak, amelyek garantálják az bemenõ és a kimenõ adatokpontosságát, teljességét, idõszerûségét és engedélyezettségét

• a rendelkezésre állás követelményét az új illetve módosított rendszerek tervezése során a lehetõlegkorábbi fázisban figyelembe veszik és elemzik, és amennyiben szükséges, a karbantarthatóságés a megbízhatóság fokozásával javítják annak szintjét

• az alkalmazási programok olyan funkciókat is tartalmaznak, amelyek rutinszerûen ellenõrzik aszoftver által elvégzett feladatokat, és gondoskodnak az adatok integritásának helyreállításáról atranzakciók visszagörgetése, illetve más eszközök révén

• az alkalmazási szoftvereket a projekt tesztelési terve és a meghatározott tesztelési szabványokszerint letesztelik a felhasználók általi elfogadás elõtt



AI2• valamennyi rendszerfejlesztési illetve módosítási projekt keretében megfelelõ felhasználói

kézikönyveket és segédleteket készítenek (lehetõleg elektronikus formában)• a rendszertervet minden olyan esetben felülvizsgálják, amikor jelentõs technikai és/vagy logikai

rendellenességek jelentkeznek a rendszerfejlesztés, illetve a karbantartás soránA rendszerfejlesztési életciklus módszertan gondoskodik-e a felhasználói kézikönyvek és segédletek

pontos és kellõ idõben történõ aktualizálásárólA rendszerfejlesztési életciklus módszertan elõírja-e azt, hogy a rendszerfejlesztés illetve módosítás

kezdeményezésének szakaszában a elemzést kell végezi titkosság követelményére vonatkozóanA rendszerfejlesztési módszertan elõírja-e azt, hogy a kifejlesztendõ illetve módosítandó rendszer koncep-

tuális szintû megtervezésével egyidõben fel kell mérni a rendszer alapvetõ biztonsági és belsõkontroll aspektusait, annak érdekében, hogy a biztonsági szempontokat a tervezés lehetõ legkorábbiszakaszában be lehessen építeni

A rendszerfejlesztési módszertan elõírja-e azt, hogy az új rendszerek tervezése illetve a meglévõ rendsze-rek módosítása keretében foglalkozni kell a logikai szintû biztonsághoz és az alkalmazási rendszerszintû biztonsághoz kapcsolódó kérdésekkel, és azokat be kell építeni a rendszertervbe

A biztonságra és a belsõ kontrollra vonatkozó tényezõk felmérése megalapozott keretrendszer alapjántörténik-e

A mesterséges intelligenciát alkalmazó rendszerek esetében megfelelõ kezelõ személyzet gondoskodik-eaz alapvetõ fontosságú döntések jóváhagyásáról

Megakadályozzák-e az alkalmazás tesztelése során felhasznált bizalmas információk nyilvánosságrakerülését akár szigorú hozzáférés-korlátozással, akár a felhasznált adatok személyekhez valókapcsolódásának kiküszöbölése révén


Tesztelendõ:A felhasználók nagymértékben részt vesznek-e a rendszerfejlesztési életciklus folyamatbanA szervezet rendszerfejlesztési életciklus módszertana biztosítja-e egy olyan folyamat érvényesülését,

amely megfelelõen kezeli a rendszertervezéshez kapcsolódó valamennyi kérdést (úm. adatbevitel,feldolgozás, kimenõ adatok, belsõ kontroll mechanizmusok, biztonság, katasztrófa-helyreállítás,válaszidõ, jelentéskészítés, változáskezelés, stb.)

A kulcsfelhasználók részt vesznek-e a rendszertervezés folyamatábanA rendszerterv felülvizsgálati és jóváhagyási folyamata biztosítja-e azt, hogy minden nyitott kérdést

tisztáznak a projekt következõ szakasza munkálatainak megkezdése elõtt A meglévõ rendszerek jelentõs módosítása esetén az új rendszerek kifejlesztésekor alkalmazotthoz

hasonló rendszerfejlesztési életciklus folyamatot követnek-eA rendszerterv aláírására vonatkozó eljárások biztosítják-e azt, hogy a rendszer programozása csak akkor

kezdõdhet meg, miután a terv megfelelõ hivatalos aláírásait beszereztékA rendszer adatállományokra vonatkozó követelményei, annak dokumentációja és az adatszótár

összhangban állnak-e a szabványokkalMegtörténik-e a végsõ fájl-specifikációk aláírással igazolt elfogadása a felhasználók részérõlA program-specifikációk összhangban állnak-e a rendszerterv-specifikációkkalAz adatgyûjtés és az adatbevitel szerkezetére vonatkozó specifikációk összhangban állnak-e egymássalLéteznek-e tervezési specifikációk a felhasználói felületre vonatkozóan A felhasználói felületre vonatkozó specifikációk könnyen kezelhetõek és öndokumentáló jellegûek-e

(online súgó funkció révén)


Az alábbi feladatok elvégzése révén:Az alkalmazási szoftverek beszerzéséhez és kifejlesztéséhez kapcsolódó költségek összemérése hasonló

szervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbi dokumentumokból vett minta részletes áttekintése:

• rendszertervezési dokumentáció, amely alapján értékelendõ a terv-specifikáció megfelelõsége,valamint az, hogy a terv megfelel-e a specifikációnak

• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a terv-specifikációk dokumentumait megvizsgálta ésjóváhagyta-e az informatikai funkció és az érintett felhasználói területek vezetése, valamint aszervezet felsõ vezetése, ahol ez értelmezhetõ,



Tesztelendõ, folytatásDokumentálva vannak-e a belsõ és a külsõ interfészekA terv-specifikációk tartalmazzák-e az adatfeldolgozási követelményeketA terv-specifikációk tartalmazzák-e a kimenõ adatokra vonatkozó követelményeketA terv-specifikációk tartalmazzák-e a belsõ kontrollra és a biztonságra vonatkozó követelményeketAz alkalmazás szintû kontroll mechanizmusokra vonatkozó terv-specifikációk garantálják-e a bemenõ és

a kimenõ adatok pontosságát, teljességét, idõszerûségét és engedélyezettségétA rendszer konceptuális szintû tervébe a lehetõ legkorábbi idõpontban belefoglalják-e a belsõ kontrollra

és a biztonságra vonatkozó követelményeket (akár új rendszer kifejlesztése, akár valamely meglévõrendszer módosítása esetén)

A biztonsági felelõs aktívan részt vesz-e a rendszerfejlesztési illetve módosítási projektek rendszerter-vezési, fejlesztési és megvalósítási szakaszában

A rendszerterv utal-e arra, hogy a fokozott rendelkezésre állást/megbízhatóságot számszerûsített formábanis meghatározták, idõben vagy az eljárások hatékonyságának az elõzõekéhez viszonyított javulásábankifejezve, ahol ez értelmezhetõ

Az alkalmazási programok is tartalmaznak-e olyan funkciókat, amelyek rutinszerûen ellenõrzik a szoftveráltal elvégzett feladatokat, elõsegítve ezzel az adatok integritásának megõrzését

Léteznek-e elõre meghatározott tesztelési szabványokLétezik-e tesztelési terv és felhasználói jóváhagyási folyamat a projektre vonatkozóanRendelkezésre állnak-e felhasználói kézikönyvek és segédletek, valamint online segítõ funkciókA help desk funkció hatékonyan segíti-e a felhasználókat a komplexebb feldolgozási kérdésekbenA help desk által kezelt kérdések eszkalációjának folyamata magába foglalja-e azok nyomonkövetését,

monitorozását és az illetékes informatikai vezetés felé történõ jelentésétÉrvényesül-e valamely mechanizmus a felhasználói dokumentációk aktualizálásáraA felhasználói dokumentációban történt változtatásokról tájékoztatást adnak-e a gyakorlatban Sor kerül-e az újraértékelés folyamatára minden olyan esetben, amikor jelentõs technikai és/vagy logikai

rendellenességek merülnek fel



Az alkalmazási szoftverek beszerzéséhez és kifejlesztéséhez kapcsolódó költségek összemérése hasonlószervezetekéivel illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattal

Az alábbi dokumentumokból vett minta részletes áttekintése:• rendszertervezési dokumentáció, amely alapján értékelendõ a terv-specifikáció megfelelõsége,

valamint az, hogy a terv megfelel-e a specifikációnak• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekre

vonatkozóan megállapítandó, hogy a terv-specifikációk dokumentumait megvizsgálta ésjóváhagyta-e az informatikai funkció és az érintett felhasználói területek vezetése, valamint aszervezet felsõ vezetése, ahol ez értelmezhetõ,

• szoftver dokumentációk, amelyek alapján megállapítandó, hogy a projektet megvalósító munka-csoport világosan értelmezte-e az adatállományokra vonatkozó követelményeket (legalább azalább felsorolt fájlokra vonatkozóan), valamint azokat a rendszerre vonatkozó és a felhasználóikövetelményeknek megfelelõen, illetve a szervezet adatszótárának szabályai szerint strukturálták-e:• Törzsadatok• Tranzakció• Utasítás• Program• Vezérlés• Táblázat• Jelentés• Nyomtatás• Napló• Átvitel

• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a folyamatábrákban/adatfolyam diagramokban meghatározottadatállományok, programok, forrásadat gyûjtési eszközök, bemenõ adatok, felhasználói felületek,adatfeldolgozási lépések és outputok megfelelnek-e a különbözõ rendszerterv-specifikációkelõírásainak

• az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy a rendszerterveket minden olyan esetben felülvizsgálták-e,amikor jelentõs technikai és/vagy logikai rendellenességek merültek fel

• az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan megállapítandó, hogy felmerült-e bármilyen rendellenesség a technikai kivitelitervre vonatkozóan, illetve jelentkezett-e bármilyen funkcionális változtatási igény

• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, valamint koncep-tuális szintû rendszertervek, amelyekre vonatkozóan értékelendõ a belsõ kontrollra és a bizton-ságra vonatkozó intézkedések megfelelõsége abból a szempontból, hogy azok biztosítják-e a be-és kimenõ adatok pontosságát, teljességét, idõszerûségét és engedélyezettségét, valamint azt,hogy a biztonsági elveket a tervezés lehetõ legkorábbi szakaszában beillesszék a rendszertervbe

• új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyekrevonatkozóan értékelendõ az, hogy a kiviteli terv mennyiben fokozza a végfelhasználók számárabiztosított rendelkezésre állást és megbízhatóságot, illetve a karbantartást végzõ személyzetszámára a karbantarthatóságot

• projektek, amelyek esetében értékelendõ az alkalmazási programok adatintegritási ellenõrzé-seinek megfelelõsége

AI2



Az alábbi feladatok elvégzése révén, folytatásAz alábbiak eredményességének részletes áttekintése:

• a programspecifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg

• az input specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg

• a felhasználói felületre vonatkozó specifikációk elkészítésének folyamata, annak megállapításacéljából, hogy a programokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg

• az adatfeldolgozási specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg

• a kimeneti adat-specifikációk elkészítésének folyamata, annak megállapítása céljából, hogy aprogramokat a felhasználói tervezési specifikációknak megfelelõen írták-e meg

A szervezet tesztelési szabványainak valamint a kapcsolódó tesztelési tervek végrehajtásának részletesáttekintése, új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló, kiválasztott projektekesetében

Annak részletes áttekintése, hogy a felhasználók mennyire elégedettek a rendszerrel, a rendszer általkészített jelentésekkel, a felhasználói dokumentációval és egyéb kézikönyvekkel, a rendelkezésre állósegítségkérési lehetõségekkel, stb.

Feltárva az alábbiakat:Hibák és hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek

esetében használt rendszerfejlesztési életciklus módszertanban Tervezési specifikációk, amelyek nem felelnek meg a felhasználói követelményeknekAdatállomány követelmények, amelyek nincsenek összhangban a szervezet adatszótárának szabályaivalÚj rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében nem

megfelelõen definiált követelmények találhatók az adatállományokra, a programokra, a forrásadatokkiválasztására, a bemeneti adatokra, a felhasználói felületre, az adatfeldolgozásira, a kimenõ adatokraés a kontrollálhatóságra vonatkozóan

Új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében arendelkezésre állás kérdését nem vizsgálták meg a tervezési folyamat keretében

Új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek, amelyek esetében adatin-tegritási hiányosságok jelentkeznek az alkalmazási programokban

Hiányosságok a szervezet tesztelési szabványaiban, amelyek eredményeként olyan rendszerek kerültekmegvalósításra, amelyek nem megfelelõen dolgozzák fel az adatokat, nem megfelelõ jelentéseketkészítenek az adatokról, stb.

Hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektek tesztelésiterveiben

Hiányosságok az új rendszerek fejlesztésére vagy a meglévõk módosítására irányuló projektekhezkapcsolódó felhasználói kézikönyvekben és segédletekben

Olyan, a rendszerfejlesztés vagy karbantartás során felmerült jelentõs technikai és/vagy logikai rendel-lenességek, amelyek nyomán nem vizsgálták meg újra a rendszertervet, így azok vagy kijavítatlanulmaradtak, vagy a rendszer nem hatékony, eredménytelen és gazdaságtalan foltozásaihoz vezettek





AI3 Beszerzés és rendszermegvalósításA technológiai infrastruktúra beszerzése és karbantartása



a technológiai infrastruktúra beszerzése és karbantartása


az üzleti alkalmazási rendszerekhez szükséges megfelelõ platformok (hardver és szoft-ver környezet) biztosítása


hardver és szoftver beszerzés gondos elõkészítése, az alkalmazott szoftverekszabványosítása, a hardverek és szoftverek teljesítményének mérése és egysé-ges rendszer-adminisztráció.


• a technológiai infrastruktúrára vonatkozó irányelvek és normákbetartása

• a technológia értékelése• az üzembe helyezés, karbantartás és a változáskezelés kontrollja• rendszer-frissítési/bõvítési, konverziós és migrációs tervek• belsõ és külsõ infrastruktúra és/vagy erõforrások alkalmazása • szállítói kötelezettségek és szállítói kapcsolatok• változáskezelés• a tulajdonlással járó teljes költség • a rendszer-szoftverek biztonsága



AI3A TECHNOLÓGIAI INFRASTRUKTÚRA BESZERZÉSE ÉS KARBANTARTÁSA


1 Az új hardverek és szoftverek értékelése2 Preventív hardver-karbantartás3 A rendszer-szoftverek biztonsága4 A rendszer-szoftverek telepítése5 A rendszer-szoftverek karbantartása6 A rendszer-szoftverek változáskezelése7 A rendszer-segédprogramok használata és monitorozása




Interjú készítés:Az informatikai tervezõ/irányító bizottság tagjaiInformatikai vezetõAz informatikai felsõ vezetés

Adatgyûjtés:A hardverek és szoftverek beszerzésére, bevezetésére és karbantartására vonatkozó szabályok és eljárásokA felsõ vezetés irányítási feladatai és felelõsségeAz informatikai célkitûzések és a hosszú- ill. rövid távú tervekÉrtekezletek helyzetjelentései és jegyzõkönyveiSzállítói hardver- és szoftver-dokumentációkHardverre és szoftverre vonatkozó bérleti vagy lízing megállapodások

Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások az alábbiak biztosítása céljából:

• formális értékelési terv elkészítése az új hardverek és szoftverek által a rendszer egészénekteljesítményére gyakorolt hatások felmérésére

• a rendszer-szoftverekhez történõ hozzáférési lehetõség, és ezáltal az információrendszerek üzemikörnyezetét érõ megszakítások lehetõségének korlátozása

• a rendszer-szoftverek beállítása, installálása és karbantartása ne veszélyeztesse a rendszerbentárolt adatok és programok biztonságát

• a rendszer-szoftver paraméterei úgy kerüljenek megválasztásra, hogy biztosítsák a rendszerbentárolt adatok és programok sértetlenségét

• a rendszer-szoftverek üzembe helyezése és karbantartása a technológiai infrastruktúráravonatkozó beszerzési és karbantartási keretrendszer elõírásaival összhangban történjék

• a rendszer-szoftverek szállítói nyilatkozatban garantálják a szoftvereik és azok valamennyimódosításának integritását

• a rendszer-szoftvereket alapos tesztelésnek vessék alá (azaz rendszerfejlesztési életciklus mód-szertant használva) az éles üzemi környezetbe történõ bevezetésük elõtt



Tesztelendõ:Rendelkezésre áll-e minden rendszer-szoftverre vonatkozóan (beleértve valamennyi módosítást is) a

szállító nyilatkozata azok integritását illetõen, és az kitér-e az azzal kapcsolatos fenyegetésekkérdésére is

A teljesítmény-értékelés eredményeit összehasonlítják-e a rendszer követelményekkelVan-e érvényben formális folyamat a teljesítmény-értékelés jóváhagyására vonatkozóan A megelõzõ karbantartási ütemterv biztosítja-e azt, hogy a tervezett hardver-karbantartások ne befolyá-

solják negatívan a kritikus fontosságú illetve kényes alkalmazások mûködésétA karbantartási ütemtervek kidolgozásakor ügyelnek-e arra, hogy a karbantartások ne a terhelési

csúcsidõszakokra essenek, továbbá az informatikai funkció és az érintett felhasználói osztályokmûködési eljárásai megfelelõen rugalmasak legyenek a rutinjellegû megelõzõ karbantartási munkákfennakadások nélküli elvégzéséhez

Az informatikai üzemeltetési ütemterv biztosítja-e a megfelelõ felkészülést az elõre nem tervezett karban-tartások miatti hardver-leállásokra

A rendszer-szoftver paramétereket helyesen választotta-e meg az illetékes informatikai személyzet annakbiztosítása érdekében, hogy azok biztosítsák a rendszerben tárolt adatok és programok integritását

Az informatikai funkción belül csak korlátozott számú operátor tud-e hozzáférni a rendszer-szoftverekparamétereihez

A rendszer-szoftverek telepítése és karbantartása a technológiai infrastruktúrára vonatkozó beszerzési éskarbantartási keretrendszer elõírásaival összhangban történik-e

Valamennyi rendszer-szoftvert alapos tesztelés alá vetik-e (rendszerfejlesztési életciklus módszertanalapján) az éles üzembe történõ bevezetésük elõtt

A szállítók által megadott valamennyi rendszer-szoftver installációs jelszót megváltoztatták-e a telepítéssorán

A rendszer-szoftverek valamennyi változtatását a szervezet változáskezelési eljárásaival összhangbanhajtották-e végre

Csak korlátozott számú operátor jogosult-e rendszer-adminisztrációra (pl. új felhasználók felvétele arendszerbe illetve a hálózatba; adatbázis létrehozása és mentése; adattárolási lemezterület kijelöléseés hozzárendelése; rendszer-prioritások beállítása, stb.) az informatikai funkción belül

AI3 Beszerzés és rendszermegvalósításA technológiai infrastruktúra beszerzése és karbantartása

Megvizsgálandó kérdések, folytatás• a rendszer-szoftverek telepítése során megváltoztassák a szállító által megadott jelszavakat, és a

rendszer-szoftverek változtatásait a szervezet változáskezelési eljárásaival összhangban végezzék Vannak-e érvényben szabályok és eljárások a hardverek megelõzõ karbantartására (mind az informatikai

funkció, mind az érintett felhasználói funkció által üzemeltetett hardver esetében) a mûködési hibákgyakoriságának és hatásainak csökkentése érdekében

Az informatikai funkció és az érintett felhasználói osztályok betartják-e a megelõzõ karbantartás módjáraés gyakoriságára vonatkozó szállítói elõírásokat valamennyi általuk mûködtetett hardvereszközesetében

Léteznek-e szabályok és technikák a rendszer-segédprogramok használatára és használatukmonitorozására vonatkozóan

Egyértelmûen meg vannak-e határozva az érzékeny szoftvereszközök használatához kapcsolódófelelõsségi körök, azokkal tisztában vannak-e a programozók, és a segédprogramok használatátmonitorozzák és naplózzák-e




Az alábbi feladatok elvégzése révén:A hardverek és szoftverek beszerzésének, bevezetésének és karbantartásának összemérése a hasonlószervezeteknél alkalmazottakkal, illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobbgyakorlattalAz alábbiak részletes áttekintése:• kiválasztott üzemelõ rendszerek, valamint rendszerfejlesztési illetve módosítási projektek

dokumentumai alapján megvizsgálandó, hogy formálisan meghatározták-e az egyes rendszerekesetében a hardverek és szoftverek teljesítményére vonatkozó követelményeket (beleértve afeldolgozandó tranzakciók mennyiségét, az adatfeldolgozási és válaszadási idõket, az adatál-lományok és adatbázisok méreteit, a hálózati forgalmat és a kommunikációs protokollok kompa-tibilitását is)

• a hardver-karbantartási gyakorlat alapján megvizsgálandó, hogy a karbantartási munkákat aszállítók által megadott útmutatások alapján hajtják-e végre, és úgy ütemezik-e azokat, hogy nebefolyásolják a rendszer általános teljesítményét

• kiválasztott üzemelõ rendszerek, valamint rendszerfejlesztési illetve módosítási projektekdokumentációi alapján megállapítandó, hogy milyen lehetõségek adódnak a rendszer logikaibiztonságát szolgáló, a rendszer-szoftver által nyújtott hozzáférés-korlátozások megkerülésére éskijátszására

• a rendszer-szoftverek telepítésére, karbantartására és változáskezelésére vonatkozó kontrollmechanizmusok megfelelnek-e a technológiai infrastruktúra beszerzésére és karbantartásáravonatkozó keretrendszer elõírásainak, és biztosítják-e a rendszerek integritásának megõrzését

Feltárva az alábbiakat:Teljesítmény-értékelések, amelyek hatással voltak a rendszer általános teljesítményéreMegelõzõ karbantartási problémák, amelyek hatással voltak a rendszer általános teljesítményéreHiányosságok a rendszer-szoftverek beállítása, telepítése és karbantartása terén (beleértve a rendszer

szoftverek paramétereinek nem megfelelõ beállítását is), amelyek veszélyeztették a rendszerben tároltadatok és programok biztonságát

Hiányosságok a rendszer-szoftverek tesztelése terén, amelyek veszélyeztethették a rendszerben tároltadatok és programok biztonságát

Hiányosságok a rendszer-szoftverek változáskezelési folyamatában, amelyek veszélyeztethették arendszerben tárolt adatok és programok biztonságát

AI3


AI4 Beszerzés és rendszermegvalósításAz eljárások kifejlesztése és karbantartása



eljárások kifejlesztése és karbantartása


az alkalmazási rendszerek és az alkalmazott technológiai megoldások megfelelõ hasz-nálatának biztosítása


a felhasználói és üzemeltetési kézikönyvek, a szolgáltatási követelmények ésaz oktatási anyagok kidolgozásának strukturált megközelítése és kezelése


• az üzleti folyamatok átszervezése/átalakítása• az eljárások más technológiai termékekkel azonos módon történõ

kezelése• a fejlesztések megfelelõ idõben történõ végrehajtása• felhasználói eljárások és kontrollok• üzemeltetési eljárások és kontrollok• oktatási anyagok• változáskezelés



AI4AZ ELJÁRÁSOK KIFEJLESZTÉSE ÉS KARBANTARTÁSA


1 Üzemeltetési követelmények és szolgáltatási szintek 2 A felhasználói eljárások kézikönyvei3 Üzemeltetési kézikönyv4 Oktatási anyagok




Interjú készítés:Az informatikai alkalmazásfejlesztési egységAz informatikai karbantartási egységAz informatikai változáskezelési egységAz informatikai üzemeltetési egységAz informatikai emberi erõforrás-gazdálkodási/képzési egységAz informatikai minõségbiztosítási egységAz információrendszerek kiválasztott felhasználói

Adatgyûjtés:A stratégiai tervezésre és az üzleti célkitûzések meghatározására, az információrendszerek tervezésére és

az alkalmazásfejlesztésre vonatkozó szervezeti szintû szabályok és eljárásokA rendszerfejlesztésre vonatkozó informatikai szabályok és eljárások, beleértve a szervezeti ábrát, a

rendszerfejlesztési életciklus módszertant, a kapacitás tervezést, a felhasználói és az üzemeltetésikézikönyveket, az oktatási anyagokat, az üzembe állítás elõtti tesztelés és a migráció dokumentumait,valamint az üzletvitel helyreállításának/folytonossága fenntartásának tervezésére vonatkozó dokumen-tumokat

Megvizsgálandó kérdések:Az üzemeltetési követelményeket a rendelkezésre álló múltbeli teljesítmény-statisztikák és a felhasználók

által jelzett várható növekedés illetve csökkenés alapján határozzák-e megA szolgáltatási szintre és a teljesítményre vonatkozó elvárások kellõ részletességûek-e és lehetõséget

nyújtanak-e a nyomon követésre, a jelentéskészítésre és a fejlesztésreAz üzemeltetési követelményeket és a szolgáltatási szinteket mind a múltbeli teljesítmény, mind a

felhasználói igénymódosítások, mind pedig az ágazati viszonyítási normák alapján határozzák-e megA szolgáltatási szintre és a feldolgozásra vonatkozó követelmények meghatározása az új rendszerek

tervezésének elválaszthatatlan részét képezi-eValamennyi információrendszer-fejlesztési, megvalósítási illetve módosítási projekt részeként kidolgo-

zásra kerülnek-e a felhasználói eljárások kézikönyvei, az üzemeltetési kézikönyv és az oktatásianyagok, és azokat napra készen tartják-e



Tesztelendõ:Vannak-e érvényben üzemeltetési követelmények, és azok tükrözik-e mind az üzemeltetési, mind a

felhasználói elvárásokatA üzemeltetési teljesítményt mérik-e, tájékoztatást adnak-e arról, és módosítják-e, amennyiben szükségesAz üzemeltetõ személyzet és a felhasználók tisztában vannak-e a teljesítményi követelményekkelAz üzemeltetõ személyzet rendelkezik-e üzemeltetési kézikönyvvel a felelõsségi körébe tartozó

valamennyi rendszerre és feldolgozásra vonatkozóanSzükséges-e az üzemeltetési kézikönyvek frissítése vagy újak készítése minden olyan esetben, amikor a

programokat az alkalmazásfejlesztési környezetbõl az üzemi környezetbe helyezik átValamennyi alkalmazásra vonatkozóan rendelkezésre állnak-e a felhasználói oktatási kézikönyvek, és

azok az alkalmazás aktuális funkcionalitását tükrözik-eMinden meglévõ és új rendszerre vonatkozóan rendelkezésre állnak-e az oktatási kézikönyvek, és amint a

napi gyakorlat mutatja, a felhasználók elégedettek-e azokkalA felhasználói kézikönyvek tartalmazzák-e az alábbi elemeket, de nem korlátozódnak azokra:

• a rendszer és környezetének áttekintése• a rendszer valamennyi bemeneti adata, programja, kimeneti adata és más rendszerekhez való

integrálódása• valamennyi adatbeviteli és adatmegjelentõ képernyõ magyarázata• az összes lehetséges hibaüzenet és az azokra adandó megfelelõ válaszok magyarázata• a problémák eszkalációjának eljárásai és/vagy az arra vonatkozó erõforrások

A operátori kézikönyvek tartalmazzák-e az alábbi elemeket, de nem korlátozódnak azokra:• a rendszer neve, a programok megnevezései, a végrehajtásuk sorrendje• bemeneti -, feldolgozási- és kimeneti adatállományok neve és az adathordozók formátuma• a napi, heti, havi, negyedéves, év végi, stb. futtatási ütemterv• az operátor által a konzolon megadandó utasítások és paraméterek• a konzolon megjelenõ hibaüzenetek és az azokra adandó válaszok• a mentési, újraindítási és helyreállítási eljárások a program futás különbözõ pontjain vagy abnor-

mális program leállások esetében• speciális output ûrlapok illetve eljárások; a jelentések/outputok szétosztása• kényszerhelyzetben alkalmazandó hibajavítási eljárások, amennyiben szükségesek

Folyamatosan karbantartják-e az alkalmazások dokumentációit, a felhasználói és az üzemeltetésikézikönyveket, és tartanak-e oktatásokat

AI4 Beszerzés és rendszermegvalósításAz eljárások kifejlesztése és karbantartása




Az alábbi feladatok elvégzése révén:Kiválasztott rendszerfejlesztési projektekre vonatkozóan megvizsgálandó a dokumentáció és azok

jóváhagyása, az alábbi szempontok szerint:• a jövõbeni követelmények és a felhasználókat érintõ szolgáltatási szintek figyelembe vétele• felhasználói kézikönyvek elkészítésének és karbantartásának feladata és annak végrehajtása• az üzemeltetési kézikönyvek elkészítésének és karbantartásának feladata és annak végrehajtása• a felhasználók új rendszer vagy új módosítás megértésére és használatára való oktatásának

feladata és annak végrehajtása Felhasználók meghallgatása a rendszerfejlesztések megfelelõségének megállapítása céljából, beleértve a

kidolgozott kézikönyveket és a nyújtott oktatást isMind a felhasználói, mind az üzemeltetési kézikönyvek naprakészségének és folyamatos aktualizálásának

elemzése

Feltárva az alábbiakat:• Hiányosságok a felhasználói, üzemeltetési és oktatási kézikönyvekben• szolgáltatási szint megállapodások hiánya:

• a szállító és az informatikai funkció között• az informatikai funkció és a felhasználók között

• szervezési hiányosságok a szükséges alkalmazások kifejlesztése és mûködtetése terén

AI4


AI5 Beszerzés és rendszermegvalósításA rendszerek installálása és jóváhagyása



a rendszerek installálása és akkreditálása


az alkalmazott informatikai megoldás kívánt céloknak való megfelelõségének ellenõr-zése és megerõsítése


jól kidolgozott installációs, migrációs, konverziós és átvételi tervek végrehaj-tása


• a felhasználók és az informatikai üzemeltetõ személyzet képzése• adat-konverzió• a valós környezetet tükrözõ teszt-környezet• akkreditáció• a bevezetést követõ ellenõrzések és visszacsatolás• a végfelhasználók bevonása a tesztelésbe• folyamatos minõség-javítási tervek• üzletfolytonossági követelmények • a kapacitás és az áteresztõképesség mérése• egyeztetett átvételi kritériumok



AI5A RENDSZEREK INSTALLÁLÁSA ÉS JÓVÁHAGYÁSA


1 Képzés2 Az alkalmazási szoftverek teljesítményének méretezése3 Rendszermegvalósítási terv4 Rendszer-konverzió5 Adat-konverzió6 Tesztelési stratégiák és tervek7 A változtatások tesztelése8 A párhuzamos futtatás/kísérleti tesztelés kritériumai és végrehajtása9 Végsõ átvételi teszt10 Biztonsági tesztelés és jóváhagyás11 Üzemi teszt12 Üzemi környezetbe helyezés13 A felhasználói igényeknek való megfelelés értékelése14 A megvalósítást követõ vezetõi ellenõrzés



Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai oktatási, alkalmazásfejlesztési, biztonsági, üzemeltetési és minõségbiztosítási vezetésBiztonsági felelõsÚjonnan kifejlesztett/fejlesztés alatt álló rendszerek felhasználóinak kiválasztott vezetõiRendszerfejlesztési erõforrásokra vonatkozó, külsõ szállítókkal kötött szerzõdések

Adatgyûjtés:A rendszerfejlesztési életciklus tervezésére vonatkozó szervezeti szintû szabályok és eljárások,valamint az alábbiakra vonatkozó informatikai szabályok és eljárások: biztonsági politika ésbizottságok; rendszerfejlesztési életciklus tervezés; rendszerfejlesztési tesztelési eljárások a program-,egység-, rendszer-tesztelési tervek kidolgozására; a felhasználók oktatása; a rendszerek migrációja atesztelési környezetbõl az üzemi környezetbe; minõségbiztosítás és képzésRendszerfejlesztési életciklus terv és ütemezés, a rendszerfejlesztési életciklus programjának kidolgo-zására vonatkozó szabványok, beleértve a változtatások kérelmezésének eljárását isRendszerfejlesztési státusz-jelentésekbõl vett mintaMegvalósítást követõ felülvizsgálati jelentések a korábbi fejlesztésekre vonatkozóan



Tesztelendõ:Tartozik-e minden rendszerfejlesztési munkához formális felhasználói oktatási terv A személyzet tudatában van-e annak és megérti-e azt, hogy minden fejlesztés installálásához és

megvalósításához kapcsolódóan szükség van formális rendszerfejlesztési kontroll mechanizmusokraés a felhasználók képzésére

A kiválasztott felhasználók tudatában vannak-e annak és megértik-e azt, hogy milyen feladataik ésfelelõsségük van a rendszerek tervezésének, jóváhagyásának, tesztelésének, oktatásának, konverzi-ójának és megvalósításának folyamataiban, és e feladatokat és felelõsséget elismerik-e

Nyomon követik-e az új illetve módosított rendszerek tényleges költségének és teljesítményénekatervezett költségekhez illetve teljesítményhez viszonyított alakulását

Érvényben van-e olyan tesztelési terv, amely az információrendszer erõforrások minden területérekiterjed: az alkalmazási szoftverekre, a létesítményekre, a technológiára és a felhasználókra egyaránt



Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások a rendszerfejlesztési életciklus folyamatra vonatkozóanVan-e érvényben formális rendszerfejlesztési életciklus módszertan a rendszerek installálására és

jóváhagyására vonatkozóan, amely tartalmazza az alábbi szakaszokat, de nem korlátozódik azokra:oktatás; a rendszer-teljesítmény méretezése; adat-konvertálási terv; a programok, program-csoportok(egységek) és a teljes rendszer tesztelése; párhuzamos futtatás illetve prototípus révén való tesztelésiterv; átvételi tesztelés; biztonsági tesztelés és jóváhagyás; üzemi tesztek; változáskezelés; amegvalósítás ellenõrzése és a megvalósítást követõ ellenõrzés; módosítás

Minden fejlesztési munka részeként megfelelõ képzésben részesülnek-e a felhasználókA programok/rendszerek kontroll mechanizmusai összhangban vannak-e a szervezet biztonsági

szabványaival és az informatikai szabályokkal, eljárásokkal és szabványokkalLéteznek-e elkülönített fejlesztési, tesztelési és üzemi rendszerkönyvtárak a fejlesztési folyamat külön-

bözõ szakaszaiban lévõ rendszerekhez kapcsolódóanElõre meg vannak-e határozva azok a kritériumok, amelyek eldöntik a tesztelés sikerességét, sikertelen-

ségét, illetve a munkák leállítását A minõségbiztosítási folyamat kiterjed-e a fejlesztések üzemi rendszerkönyvtárakba történõ migrációjára,

valamint a szükséges felhasználói és üzemeltetõi átvételi folyamat teljességére és befejezettségére isA folyamat kiterjed-e a terhelési mennyiségek szimulálására, a feldolgozási idõközökre és a kimeneti

adatok rendelkezésre állására vonatkozó tesztelési tervekre, valamint az installálásra és ajóváhagyásra is

A rendszerfejlesztési munkák közül kiválasztott mintához kapcsolódó oktatási programok tartalmazzák-eaz alábbiakat: a korábbi rendszertõl való eltérések, valamint a bemenõ adatokat, az adatbevitelt, afeldolgozást, az ütemezést, a szétosztást és a más rendszerekhez kapcsolódó interfészeket, a hibákatés az azok megoldását érintõ változtatások

Alkalmaznak-e automatizált eszközöket a kifejlesztett és üzembe állított rendszerek optimalizálásához, ésazokat felhasználják-e a hatékonyság növelésének eszközeként

Tesznek-e lépéseket a problémák megoldására az optimálisnál gyengébb teljesítmény esetén




Az alábbi feladatok elvégzése révén:A rendszerek installálásának és jóváhagyásának összemérése hasonló szervezetek hasonló eljárásaival

illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:

• a fejlesztõ csoport betartja-e a határidõket és elvégzi-e a szükséges feladatokat a felhasználókmegelégedésére - beleértve a befejezett rendszer funkcionalitását is

• a korábbi rendszerekhez kapcsolódó oktatási anyagok• a minõségbiztosítási funkció által végzett független vizsgálat a rendszerek teszt-környezetbõl

üzemi státuszba és üzemi rendszerkönyvtárakba történõ migrációjára vonatkozóan• a rendszerek karbantartásához, optimalizálásához és a minimális költségek melletti maximális

teljesítmény eléréséhez szükséges statisztikai adatok összegyûjtéséhez használt hálózat- éserõforrás megfigyelõ eszközök

• egy fejlesztési munka során vezetett feljegyzések az alábbiak elvégzésének illetve megléténekmegállapítása céljából:• A felhasználók képzése• Biztonsági intézkedések• Szoftver-teljesítmény• Tesztelési dokumentációk és eredmények• A konverzió terve• Az üzemi környezetbe történõ migráció• Változáskezelés a fejlesztés során• A felhasználói igények teljesítése• Párhuzamos futtatás vagy kísérleti rendszer révén történõ tesztelés• A megvalósítást követõ ellenõrzés

• a belsõ vagy külsõ auditok megállapításai a rendszertervezési folyamatra vonatkozóan• a tesztelések eredményei annak megállapítása céljából, hogy az eredmények megfelelnek-e az

elõre meghatározott kritériumoknak, valamint a tesztelési tervek a rendszer minden funkciójárakiterjedtek-e

AI5A felhasználók tisztában vannak-e a rendszerfejlesztés minden szakaszával és feladatával, beleértve az

alábbiakat is:• tervezési specifikációk, beleértve a fejlesztési ciklus során szükséges iterációs eljárásokat is• költség/haszon elemzések és megvalósíthatósági tanulmány• a rendszerfejlesztési folyamat minden lépésének jóváhagyása• részvétel a tesztelési terv kidolgozásában és a tesztelésben, valamint a terv és az eredmények

értékelésében• a rendszer jóváhagyása és elfogadása a rendszerfejlesztési ciklus minden szakaszában• a rendszer végsõ jóváhagyása és elfogadása• az újonnan átadott rendszerekre vonatkozóan kapott képzés megfelelõségének értékelése

A fejlesztõ személyzet és vezetése megbizonyosodik-e a felhasználói követelmények stabilitásáról azokkölcsönös elfogadása után

A felhasználók elégedettsége a külsõ felek által leszállítandó termékekkel összemérhetõ-e a házon belülkifejlesztettekkel

Az alábbi feladatok elvégzése révén, folytatás• vezetõk által a tesztelések eredményeire vonatkozóan folytatott véleménycserék, valamint

bármely leállított teszt vagy fejlesztési projekt• a felhasználók részvétele a fejlesztési folyamatban• olyan audit szempontú nyomonkövetési lehetõségek, amelyek lehetõvé teszik bizonyos

tevékenységek megismétlését illetve a hibák elemzését• a külsõ szállítók részvétele a fejlesztési munkában, különös tekintettel az alábbiakra:

• A költségek megalapozottsága• A határidõk betartása• A leszállított rendszerek funkcionalitása

Feltárva az alábbiakat:Az utóbbi idõben végrehajtott, a rendszerfejlesztési életciklussal kapcsolatos projektekbõl vett minta

alapján:• a felhasználók részvétele és az általuk adott formális jóváhagyás a rendszerfejlesztési folyamat

valamennyi szakaszában• tesztelési tervek a programokra, program-egységekre, a rendszerekre (a párhuzamos futtatást

vagy kísérleti rendszert is beleértve), a konverzióra, a megvalósításra és a megvalósítástkövetõ ellenõrzésre vonatkozóan

• megfelelõ konzisztencia a biztonságra és a belsõ kontrollra vonatkozó szabványokkal• az adatkonverziós feladatok és ütemezésük megfelelõsége• a tesztelés a rendszer fejlesztését, módosítását vagy karbantartását végzõ személyektõl

függetlenül történik-e • a felhasználók formálisan is elfogadták-e a rendszerek funkcionalitását, biztonságát, integritását

és a fennmaradó kockázatotAz adatfeldolgozási folyamatok ütemezésére, futtatására, a helyreállításra/újraindításra, a mentésre és

visszaállításra és a hibakezelésre vonatkozó üzemeltetési kézikönyvek foglalkoznak-e az alábbikérdésekkel:• az éles rendszer könyvtárainak fizikai és logikai elkülönítése a fejlesztési és a tesztelési

könyvtáraktól• a felhasználói elvárások és az átadott rendszer által nyújtott funkcionalitás közötti eltérések

megoldási eljárásai konfliktus eseténA szállítókra vonatkozóan:

• hivatalosak-e a szállítói kapcsolatok és kötöttek-e szerzõdéseket• a szerzõdések meghatározzák-e a konkrét szolgáltatásokat és a költségeket• a külsõ szállítók által végzett munkákat is a rendszerfejlesztési életciklus módszertan alapján

kontrollálják-e• a szállító betartotta-e a szerzõdésben megszabott teljesítményi elõírásokat, határidõket és

költségeket







AI6 Beszerzés és rendszermegvalósításA változáskezelés



a változások kezelése


a szolgáltatás megszakadása, az engedély nélküli módosítások és hibák valószínûségé-nek minimalizálása


a meglévõ informatikai infrastruktúra megváltoztatására irányuló valamennyikérés elemzésére, megvalósítására és nyomonkövetésére kiterjedõ irányításirendszer


• a változtatások azonosítása• kategorizálás, rangsorolás, kényszerhelyzeti eljárások• hatás-elemzés• a változtatás engedélyezése• a módosított szoftverek kibocsátásának szabályozása• a szoftverek terítése• automatizált eszközök használata• konfigurációkezelés• az üzleti folyamatok újraszervezése



AI6A VÁLTOZÁSKEZELÉS


1 A változtatási kérelmek kezdeményezése és kontrollja2 Hatás-elemzés3 Változáskezelés4 Kényszerhelyzeti változtatások5 Dokumentáció és eljárások6 Engedélyezett karbantartás7 A szoftver-változatok kibocsátásra vonatkozó szabályok8 A szoftverek terítése




Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai rendszerfejlesztési, változáskezelési, minõségbiztosítási, üzemeltetési és biztonsági

vezetõkAz információrendszerek tervezésében és használatában részt vevõ felhasználók kiválasztott vezetõi

Adatgyûjtés:A szervezeti szintû szabályok és eljárások a következõkre vonatkozóan: az információrendszerek

tervezése, a változáskezelés, a biztonsági és a rendszerfejlesztési életciklusAz informatikai szabályok és eljárások a következõkre vonatkozóan: formális rendszerfejlesztési

életciklus módszertan, biztonsági szabványok, tesztelési szabványok, független minõségbiztosítás,implementáció, terítés, karbantartás, kényszerhelyzeti változtatások, a szoftver-verziók kibocsátása ésa rendszerek verzióinak kezelése

Az alkalmazási rendszerek fejlesztésére vonatkozó tervA változtatás kérelmezési lap és naplóAz alkalmazás-fejlesztési szolgáltatásokra vonatkozóan megkötött szállítói szerzõdések

Megvizsgálandó kérdések:Érvényben van-e valamely módszertan a felhasználóktól érkezõ rendszer-változtatási kérelmek prioritási

sorrendjének meghatározására és azt alkalmazzák-eA üzemeltetési kézikönyvek foglalkoznak-e a kényszerhelyzetek esetén alkalmazandó eljárásokkalA változtatások kezelése formális eljárás keretében történik-e mind a felhasználókra, mind a fejlesztõ

csoportokra vonatkozóan A változáskezelési naplóban szereplõ valamennyi változtatást végrehajtották-eA felhasználók elégedettek-e a változtatási kérelmek kezelésének gyorsaságával - azok kellõ idõben

történõ teljesítésével és költségével



Tesztelendõ:A változtatásokból választott minta alapján megállapítandó, hogy a vezetés jóváhagyta-e az alábbiakat:

• a változtatási kérelem• a változtatás specifikációja• a forrás-programhoz történõ hozzáférés• a változtatás programozói teljesítése• a forráskód teszt-környezetbe történõ helyezésének kérése• az elfogadási tesztek végrehajtása• a programkód-fordítás és az üzembe helyezés kérése• meghatározták és elfogadták-e az általános és specifikus biztonsági következményeket• kidolgozták-e a változás terítésének folyamatát

A változáskezelési dokumentumokból megállapítandó, hogy azok tartalmazzák-e az alábbiakat:• a változtatás kérésének idõpontja• a kérelmet benyújtó személy(ek)• a változtatási kérelem jóváhagyása• az elvégzett változtatás jóváhagyása - informatikai funkció• az elvégzett változtatás jóváhagyása - felhasználók• a dokumentációk aktualizálásának dátuma• az üzembe állítás dátuma• a változtatás minõségbiztosítási jóváhagyása• az üzemeltetés általi átvétel

A rendszer változtatásai típusainak elemzése a fõbb trendek megállapítása érdekébenAz informatikai szervezeti egység által használt könyvtárak megfelelõségének értékelése a hibák vissza-

térésének megakadályozására szolgáló bázis szintû programkódok meglétének megállapítása céljábólLéteznek-e eljárások a kódoknak a környezetbõl való eltávolítására és visszahelyezésére változtatások

eseténA változáskezelési naplóban szereplõ minden változtatást végrehajtották-e, azokkal a felhasználók

elégedettek voltak-e, és nem került-e sor olyan változtatásokra, amelyek nem szerepeltek a naplóbanA felhasználók tudatában vannak-e annak és megértik-e azt, hogy szükség van formális változáskezelési

eljárásokraA munkafegyelmi szabályozások biztosítják-e a változáskezelési eljárások betartását

AI6 Beszerzés és rendszermegvalósításA változáskezelés

Megvizsgálandó kérdések, folytatásA változáskezelési naplóból kiválasztott tételekre vonatkozóan megállapítandó:

• a változtatás kiváltotta-e a program- és üzemeltetési dokumentáció megváltoztatását is• a változtatásokat a dokumentált módon hajtották-e végre• a jelenleg használt dokumentációk megfelelnek-e a megváltozott környezetnek

Figyelemmel kísérik-e változáskezelés folyamatát annak érdekében, hogy továbbfejlesszék azt a kérelmekátvételének elismerése, a reakció-idõ, a reagálás eredményessége és a felhasználói elégedettség terén

A változáskezelési eljárások kiterjednek-e a házi alközpont (PBX) rendszerre is




Az alábbi feladatok elvégzése révén:A változáskezelés összemérése a hasonló szervezeteknél alkalmazottal illetve a megfelelõ nemzetközi

szabványokkal/ágazati legjobb gyakorlattalKiválasztott információrendszerekre vonatkozóan:

• a dokumentációból megállapítható-e az, hogy a kérelmet vagy a rendszer megváltoztatásátjóváhagyta és prioritás szerint rangsorolta-e az érintett felhasználói terület vezetése és a szolgál-tató

• a változtatás-kérelmezési ûrlapon szerepel-e és megfelelõ-e a kért változtatás hatáselemzése • a rendszer-szolgáltató részleg elismerte-e a változtatási kérelem átvételét• megfelelõ fejlesztési erõforrásokat biztosítottak-e a változtatás végrehajtásához• megfelelõek voltak-e a rendszer- és felhasználói tesztelési tervek és azok eredményei • a tesztelési környezetbõl az üzemi környezetbe történõ áthelyezés formális migráció keretében, a

minõségbiztosítási csoport közremûködésével történt-e• módosították-e a felhasználói és üzemeltetési kézikönyveket a végrehajtott változtatásoknak

megfelelõen• az új verziókat megfelelõen terítették-e a megfelelõ felhasználókhoz

Feltárva az alábbiakat:Kiválasztott változtatásokra vonatkozóan:

• csak jóváhagyott változtatásokat hajtottak-e végre• minden változtatást nyilvántartásba vettek-e• a jelenleg használt könyvtárak (forrás és objektum) tükrözik-e a legfrissebb változtatásokat• nyilvántartják-e a változáskezelési eljárásoknak az alábbiak közötti eltéréseit:

• vásárolt és házon belül kifejlesztett programok• alkalmazási- és rendszer-szoftverek• a változáskezelésnek a szállítók általi alkalmazása

AI6





S Z O L G Á L T A T Á S É S T Á M O G A T Á S


DS1 Szolgáltatás és támogatásA szolgáltatási szintek meghatározása és kezelése



a szolgáltatási szintek meghatározása és kezelése


a szükséges szolgáltatási szint közös egyetértéssel való meghatározása


szolgáltatási szint megállapodások kidolgozása, amelyek meghatározzák,hogy a szolgáltatások mennyiségének és minõségének mérése milyen teljesít-ményi kritériumok alapján történjék


• formális megállapodások• a felelõsségi körök meghatározása• reagálási idõk és adatfeldolgozási volumenek• a költségek kiterhelése• az integritásra vonatkozó garanciák • titoktartási megállapodások• a felhasználók elégedettségének kritériumai• az igényelt szolgáltatási szintek költség-haszon elemzése• monitoring és jelentés



DS1A SZOLGÁLTATÁSI SZINTEK MEGHATÁROZÁSA ÉS KEZELÉSE


1 A szolgáltatási szint megállapodásokra vonatkozó keretrendszer2 A szolgáltatási szint megállapodásokban szabályozott kérdések3 Teljesítési eljárások4 Felügyelet és jelentéskészítés5 A szolgáltatási szint megállapodások és szerzõdések felülvizsgálata6 Kiterhelhetõ költségtételek7 Szolgáltatás-fejlesztési program




Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai szervezeti egység szerzõdéseket/szolgáltatási szinteket kezelõ ügyintézõjeAz informatikai üzemeltetés vezetéseA felhasználói osztályok vezetése

Adatgyûjtés:Szervezeti szintû szabályok és eljárások a szolgáltatók és a felhasználók közötti kapcsolatra vonatkozóan Informatikai szabályok és eljárások az alábbi kérdésekre vonatkozóan:

• Szolgáltatási szint megállapodások• Az üzemeltetésrõl készített jelentések tartalma, idõpontjai és kiosztása• Teljesítmény figyelési módszerek• Korrekciós intézkedések

Az informatikai funkció alábbiakra vonatkozó dokumentációi:• A szolgáltatási szintekre vonatkozó teljesítmény jelentések• A költségek kalkulációjának módszere és visszaterhelésének algoritmusai• A szolgáltatás javítására irányuló programok• A teljesítés elmaradása esetén érvényesíthetõ visszkereseti jogok• Szolgáltatási szint megállapodások belsõ és külsõ felhasználókkal és szolgáltatókkal

Megvizsgálandó kérdések:Vonatkozik-e szabályozás a szolgáltatási szint megállapodások folyamatáraSzükséges-e a felhasználók részvétele a megállapodások kidolgozása és módosítása folyamatábanMeghatározták-e a felhasználók és a szolgáltatók feladatait és felelõsségi köreit A vezetés folyamatosan figyelemmel kíséri-e a meghatározott szolgáltatási teljesítményi követelmények

teljesítését és az összes felmerülõ problémát, és készít-e jelentést azokról



Tesztelendõ:A múltbeli és az érvényben lévõ szolgáltatási szint megállapodások közül választott minta tartalmazza-e

az alábbiakat:• a szolgáltatás meghatározása• a szolgáltatás költsége• számszerûsíthetõ minimális szolgáltatási szint• az informatikai funkció által nyújtott támogatás szintje• rendelkezésre állás, megbízhatóság, bõvítési kapacitás• a megállapodás bármely pontjának módosítása esetén követendõ eljárás• az üzemfolytonosság tervezése• biztonsági követelmények• a szolgáltató és a szolgáltatás felhasználója között írásban megkötött és jóváhagyott megál-

lapodás• az érvényességi idõ és annak felülvizsgálata/megújítása/a megújítás kizárása• a teljesítési jelentések gyakorisága és tartalma, valamint a szolgáltatási díjfizetések• a szolgáltatási díjak reális volta a múltbeli, az ágazati vagy a legjobb gyakorlatra vonatkozó

összehasonlító adatok alapján• a díjtételek kiszámításának módja• a szolgáltatás javítására tett kötelezettségvállalás• mind a felhasználó, mind a szolgáltató általi formális jóváhagyás

Az érintett felhasználók ismerik-e és megértik-e a szolgáltatási szint megállapodásokra vonatkozófolyamatokat és eljárásokat

DS1 Szolgáltatás és támogatásA szolgáltatási szintek meghatározása és kezelése

Megvizsgálandó kérdések, folytatásLétezik-e rendszeres vezetõi felülvizsgálati folyamatA teljesítés elmaradása esetére meghatározták-e a visszkereset folyamatátA szolgáltatási szint megállapodások kitérnek-e az alábbi kérdésekre, de nem korlátozódnak azokra:

• a szolgáltatás meghatározása• a szolgáltatás költsége• számszerûsíthetõ minimális szolgáltatási szint• az informatikai funkció által nyújtott támogatás szintje• rendelkezésre állás, megbízhatóság, bõvítési kapacitás• az üzemfolytonosság tervezése • biztonsági követelmények• a megállapodás bármely pontjának módosítása esetén követendõ eljárás• a szolgáltató és a szolgáltatás felhasználója között írásban megkötött és jóváhagyott megál-

lapodás• az érvényességi idõ és annak felülvizsgálata/megújítása/a megújítás kizárása• a teljesítési jelentések gyakorisága és tartalma, valamint a szolgáltatási díjfizetések • a szolgáltatási díjak reális volta a múltbeli, az ágazati vagy a legjobb gyakorlatra vonatkozó

összehasonlító adatok alapján• a díjtételek kiszámításának módja• a szolgáltatás javítására tett kötelezettségvállalás




Az alábbi feladatok elvégzése révén:A szolgáltatási szint megállapodások összemérése hasonló szervezetekéivel illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalMegvizsgálandók:

• a szolgáltatási szint megállapodások annak megállapítása céljából, hogy a minõségi és mennyi-ségi rendelkezések megerõsítik-e azt, hogy a kötelezettségeket meghatározták és betartják azokat

• kiválasztott szolgáltatási szint megállapodások, annak megerõsítése céljából, hogy azok tartal-maznak megoldási eljárásokat a problémákra, különösen a teljesítés elmaradására vonatkozóan,és azokat betartják

Feltárva az alábbiakat:Megfelelõek-e a szolgáltató és az informatikai szolgáltatások felhasználója közötti kapcsolatot leíró, azt

koordináló és kommunikáló rendelkezésekHelytelenül kiszámított díjak kiválasztott információ-kategóriák esetébenA vezetés folyamatosan áttekinti-e a szolgáltatási szintre vonatkozó jelentéseket és megteszi-e a korrek-

ciós intézkedéseket Megfelelõek-e a javasolt szolgáltatás-javítások a költség/haszon elemzésekkel összevetveA szolgáltatók megfelelõ lehetõségekkel rendelkeznek-e arra, hogy képesek legyenek eleget tenni a

szolgáltatás javítására tett kötelezettségeiknek a jövõben

DS1A felhasználók elégedettek-e az érvényben lévõ szolgáltatási szint folyamattal és az aktuális megállapodá-

sokkalA szolgáltatás nyilvántartási adatai alapján bizonyosság szerzendõ a nem-teljesítések okairól és a teljesít-

mény javítását célzó program érvényesülésérõlA ténylegesen kiterhelt díjak nagysága megegyezik-e a megállapodásban foglaltakkalKövetik-e a múltbeli teljesítménynek a korábbi szolgáltatás-javítási kötelezettségvállalásokhoz viszonyí-

tott alakulásátA vezetés megfelelõen használja-e fel a meghatározott szolgáltatási szintek teljesítésérõl készített jelen-

téseket a kielégítõ teljesítmény biztosítása érdekébenA vezetés megfelelõen használja-e fel az összes felmerülõ problémára vonatkozó jelentéseket a korrekciós

intézkedések megtételének biztosítása érdekében


DS2 Szolgáltatás és támogatásA külsõ szolgáltatások kezelése



a külsõ szolgáltatások kezelése


a külsõ szolgáltatók feladatainak és felelõsségi köreinek világos meghatározása, továb-bá azok betartásának és a követelmények folyamatos teljesítésének biztosítása


kontroll intézkedések, amelyek annak ellenõrzésére és rendszeres felülvizs-gálatára irányulnak, hogy a meglévõ szerzõdések és eljárások megfelelõ ered-ményt kínálnak-e és igazodnak-e a szervezeti célkitûzésekhez


• a külsõ felekkel kötött szolgáltatási megállapodások• a szerzõdések kezelése• titoktartási megállapodások• jogi és szabályozási követelmények• a szolgáltatások teljesítésének figyelemmel kísérése és jelentés-

készítés• a vállalati és informatikai kockázatok elemzése• a teljesítményhez kapcsolódó jutalmazás, illetve büntetés• a külsõ és belsõ szervezeti számonkérhetõség• a költség- és szolgáltatási szintek eltéréseinek elemzése



DS2A KÜLSÕ SZOLGÁLTATÁSOK KEZELÉSE


1 Szállítói kapcsolatok2 Kapcsolattartási felelõs3 A külsõ felekkel kötött szerzõdések4 A külsõ felek minõsítése5 Szolgáltatás-kiszervezési szerzõdések6 A szolgáltatások folyamatossága7 Biztonsági megállapodások8 Folyamatos ellenõrzés




Interjú készítés:Informatikai vezetõAz informatikai vezetésAz informatikai szervezeti egység szerzõdéseket/szolgáltatási szinteket kezelõ ügyintézõjeAz informatikai üzemeltetési vezetésBiztonsági felelõs

Adatgyûjtés:A vásárolt szolgáltatásokra, és különösen a külsõ szállítókkal való kapcsolatokra vonatkozó szervezeti

szintû szabályok és eljárásokAz alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: a külsõ szállítókkal való kapcsolat-

tartás; a szállítók kiválasztásának eljárásai; az ilyen kapcsolatokra vonatkozó szerzõdések tartalma; afizikai és logikai biztonság; a szállítók minõségi szintjének fenntartása; az üzemfolytonosságfenntartására vonatkozó tervezés, valamint a tevékenységek kiszervezése

Valamennyi meglévõ külsõ szállítói kapcsolat listája és az azokkal kapcsolatos érvényben lévõszerzõdések

A külsõ felekkel való kapcsolatokra és az általuk nyújtott szolgáltatásokra vonatkozó, a szolgáltatásiszinttel kapcsolatos jelentések

A szerzõdések felülvizsgálatával, a teljesítmény értékelésével és a kapcsolatok kezelésével foglalkozómegbeszélések jegyzõkönyvei

A titoktartási megállapodások valamennyi külsõ féllel fenntartott kapcsolatra vonatkozóanA szállítók számára rendelkezésre álló hozzáférési jogosultságok listái a felhasználói profilokkal együtt,

valamint a rendelkezésükre álló erõforrások

Megvizsgálandó kérdések:Vannak-e érvényben informatikai szabályok és eljárások a külsõ felekkel történõ kapcsolattartásra

vonatkozóan, és azok összhangban vannak-e a szervezeti szintû általános szabályokkal



Tesztelendõ:Pontos-e a szerzõdések listája az érvényben lévõ szerzõdésekkel összevetveA szállítók nem nyújtanak-e olyan szolgáltatásokat, amelyek nem szerepelnek a szerzõdések listájánA szerzõdéses szállítók ténylegesen teljesítik-e a szerzõdésben meghatározott szolgáltatásokatA szolgáltatók vezetése/tulajdonosai tisztában vannak-e a szerzõdésekhez kapcsolódó felelõsségükkelVannak-e érvényben informatikai szabályok és eljárások a külsõ szolgáltatókkal történõ kapcsolattartásra

vonatkozóan, és azok összhangban állnak-e a szervezeti szintû általános szabályokkalVannak-e érvényben konkrét szabályok a szerzõdéskötés szükségességére, a szerzõdések tartalmának

meghatározására, valamint a szerzõdések elkészítéséért, karbantartásáért, nyomon követéséért és afeltételek szükség szerinti újratárgyalásáért felelõs kapcsolattartási vezetõ feladataira vonatkozóan


Megvizsgálandó kérdések, folytatásVannak-e érvényben konkrét szabályok a szerzõdések szükségességére, a szerzõdések tartalmának

meghatározására, valamint a szerzõdések elkészítéséért, karbantartásáért, nyomon követéséért és afeltételek szükség szerinti újratárgyalásáért felelõs kapcsolattartási vezetõ feladataira vonatkozóan

Meghatározták-e a projekt végrehajtásában részt vevõ független felekkel, például az alvállalkozókkalkialakított kapcsolódási felületeket

A szerzõdések teljes mértékben lefedik-e a külsõ szállítókkal kialakított kapcsolatokatKülön szerzõdések szabályozzák-e a szolgáltatások folyamatosságát, és ezek a szerzõdések tartalmazzák-e

a szállítók által végzendõ üzemfolytonossági tervezést a felhasználók számára nyújtott szolgáltatásokfolytonosságának fenntartása érdekében

A szerzõdések tartalmazzák-e legalább az alábbi elemeket:• formális vezetõi és jogi jóváhagyás• a szolgáltatást nyújtó jogi személy• a nyújtott szolgáltatások• szolgáltatási szint megállapodások, minõségi és mennyiségi vonatkozásban egyaránt• a szolgáltatások költségei és a díjfizetés gyakorisága• problémák megoldásának folyamata• büntetések a teljesítés elmaradása esetén• a megállapodás felbontásának szabályai• a módosítás folyamata• a szolgáltatásokról készítendõ jelentések - tartalom, gyakoriság és a címzettek• a szerzõdõ felek feladatai a szerzõdés ideje alatt• a folyamatos szolgáltatásnyújtásra vonatkozó szállítói garanciák• a felhasználó és a szolgáltató közötti kommunikáció módja és gyakorisága• a szerzõdés érvényességi ideje• a szállító számára biztosított hozzáférési jogosultság szintje• biztonsági követelmények• titoktartási garanciák• a megrendelõ hozzáférési és auditálási jogai

Megkötötték-e a forráskódok letétbe helyezésére vonatkozó (escrow) megállapodásokat, ahol ezértelmezhetõ

Az igényelt szolgáltatás nyújtására vonatkozó lehetõségeik alapján, megfelelõen minõsítik-e a potenciáliskülsõ feleket (kellõ gondosság)



DS2A szerzõdések teljes mértékben lefedik-e a külsõ szállítókkal kialakított kapcsolatokatKülön szerzõdések szabályozzák-e a szolgáltatások folyamatosságát, és ezek a szerzõdések tartalmazzák-e

a szállítók által végzendõ üzemfolytonossági tervezést a felhasználók számára nyújtott szolgáltatásokfolytonosságának fenntartása érdekében

A szerzõdések tartalmazzák-e legalább az alábbi elemeket:• formális vezetõi és jogi jóváhagyás• a szolgáltatást nyújtó jogi személy • a nyújtott szolgáltatások• szolgáltatási szint megállapodások, minõségi és mennyiségi vonatkozásban egyaránt• a szolgáltatások költségei és a díjfizetés gyakorisága• a problémák megoldásának folyamata• büntetések a teljesítés elmaradása esetén• a megállapodás felbontásának szabályai• a módosítás folyamata• a szolgáltatásokról készítendõ jelentések - tartalom, gyakoriság és a címzettek • a szerzõdõ felek feladatai a szerzõdés ideje alatt• a folyamatos szolgáltatásnyújtásra vonatkozó szállítói garanciák• a felhasználó és a szolgáltató közötti kommunikáció módja és gyakorisága• a szerzõdés érvényességi ideje• a szállító számára biztosított hozzáférési jogosultság szintje• biztonsági követelmények• titoktartási garanciák• a megrendelõ hozzáférési és auditálási jogai

A felhasználók tudatában vannak-e annak és megértik-e azt, hogy szükség van a szerzõdésekkel kapcso-latos szabályokra és szerzõdéskötésre a szolgáltatások nyújtásához kapcsolódóan

A szállító és a szervezet megfelelõ mértékben függetlenek-e egymástól A szállítók megbízása és kiválasztása független folyamat keretében történik-eA biztonsági listák tanúsága szerint a szállító dolgozói közül csak a szükséges minimális számú személy

rendelkezik-e hozzáférési jogosultsággal, és a részükre biztosított hozzáférés a szükséges minimálisszinten marad-e

A szervezet erõforrásaihoz történõ hozzáférést biztosító hardverek és szoftverek kezelése és ellenõrzéseolyan módon történik-e, hogy az minimalizálja a szállítók általi használatot

A ténylegesen teljesített szolgáltatási szint nagy mértékben igazodik-e a szerzõdésben foglaltkötelezettségekhez

A kiszervezett létesítmények, személyzet, üzemeltetés, valamint irányítási és ellenõrzési feladatokbiztosítják-e az elvárásoknak megfelelõ teljesítményi színvonalat

A vezetés folyamatosan figyelemmel kíséri-e a külsõ szállítók által nyújtott szolgáltatásokatVégeznek-e független auditálást a szerzõdéses partnerek tevékenységére vonatkozóanKészülnek-e olyan értékelõ jelentések a potenciális külsõ felekre vonatkozóan, amelyek felmérik, hogy

azok rendelkeznek-e a szükséges lehetõségekkel az igényelt szolgáltatások teljesítéséhez Van-e nyilvántartás a peres ügyek alakulásáról - a múltbeli és a folyamatban lévõ ügyekre vonatkozóan

egyarántDokumentálva vannak-e a szerzõdésekben a projekt végrehajtásában részt vett független felekhez való

kapcsolódási felületek A házi alközpont (PBX) szállítókkal kötött szerzõdések beletartoznak-e a fenti szempontrendszerbe


Az alábbi feladatok elvégzése révén:Külsõ szolgáltatások összemérése hasonló szervezetek által igénybe vett hasonló szolgáltatásokkal illetve

a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalValamennyi külsõ féllel kötött szerzõdés részletes áttekintése annak megállapítása céljából, hogy azok

tartalmaznak-e minõségi és mennyiségi rendelkezéseket a kötelezettségek alátámasztására

Feltárva az alábbiakat:A szolgáltató és az informatikai szolgáltatások felhasználója közti kapcsolatot leíró, az együttmûködést és

a kölcsönös tájékoztatást megfogalmazó rendelkezések megfelelõek-eA szállító által kiállított számlák pontosan állapítják-e meg a szerzõdéses szolgáltatások díjait, néhány

kiválasztott szerzõdéses szolgáltatás eseténA szervezet olyan kapcsolatot tart-e fenn a szállítóval, amely lehetõséget ad a feleknek a szerzõdéssel

kapcsolatos kérdések megvitatásáraMinden szerzõdést jóváhagy-e a vezetés és a szervezet jogi tanácsadójaFolyamatosan elemzik-e a kockázatokat annak megállapítása céljából, hogy szükség van-e a kapcsolatra

illetve annak módosításáraA vezetés folyamatosan áttekinti-e a szerzõdésekre vonatkozó jelentéseket és megteszi-e a szükséges

korrekciós lépéseketMegvizsgálják-e, hogy a kiszámlázott díjak mennyire megalapozottak a különbözõ belsõ, külsõ és ágazati

összehasonlító adatok alapjánMegfelelõ tervek állnak-e rendelkezésre a rendkívüli események kezelésére a szerzõdéses szolgáltatá-

sokkal kapcsolatban, különösen az informatikai funkció katasztrófa-elhárítási és helyreállításiszolgáltatásaira vonatkozóan

A szolgáltatás-kihelyezési szerzõdés keretében igénybevett funkciók kapcsán figyelemmel kísérik-e ateljesítmény javításának és a költségek csökkentésének lehetõségeit illetve az ezeken a területekenmeglévõ hiányosságokat

Megvalósítják-e a szerzõdéses partner tevékenységére vonatkozóan elvégzett független vizsgálatokrólkészült jelentésekben szereplõ javaslatokat/ajánlásokat





DS2Ez az oldal szándékosan maradt üresen.


DS3 Szolgáltatás és támogatásA teljesítmény és a kapacitás kezelése



a teljesítmény és kapacitás irányítása


megfelelõ nagyságú kapacitás rendelkezésre állásának, valamint annak biztosítása,hogy az a leghatékonyabb és legoptimálisabb módon kerüljön kihasználásra a szüksé-ges teljesítményi igények kielégítéséhez


az informatikai erõforrások teljesítményére, az alkalmazások méretezésére ésa munkaterhelési igényekre vonatkozó adatgyûjtés, elemzés és jelen-téskészítés


• rendelkezésre állás és teljesítményi követelmények• automatizált monitoring és jelentéskészítés• modellezõ eszközök• kapacitás-kezelés• az erõforrások rendelkezésre állása• hardver és szoftver ár/teljesítmény változások



DS3A TELJESÍTMÉNY ÉS A KAPACITÁS KEZELÉSE


1 A rendelkezésre állásra és a teljesítményre vonatkozó követelmények2 Rendelkezésre állási terv3 Monitorozás és jelentéskészítés4 Modellezési eszközök5 Proaktív teljesítményirányítás6 Az üzemi terhelés elõrejelzése7 Az erõforrások kapacitás-kezelése8 Az erõforrások rendelkezésre állása9 Az erõforrások ütemezése



Interjú készítés:Az informatikai felsõ vezetéseAz informatikai üzemeltetés vezetéseAz informatikai kapacitás-kezelés vezetéseAz informatikai hálózatkezelés vezetése

Adatgyûjtés:A rendelkezésre állásra, a teljesítmény figyelésére és az ahhoz kapcsolódó jelentések készítésére, az

üzemi terhelés elõrejelzésére, a kapacitás-kezelésre és a feladatok ütemezésére vonatkozó szervezetiszintû szabályok és eljárások

Az alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: a kapacitás és a szervezetnek aszolgáltatások rendelkezésre állására vonatkozó üzleti terve közötti kapcsolódás; a rendelkezésre állástervezése; a teljesítmény folyamatos figyelemmel kísérése és a teljesítmény kezelése

A szállító termékeinek megfelelõsége a kapacitási és a teljesítményi normák szempontjábólLista a jelenlegi szállítóktól vásárolt valamennyi hardverrõl, szoftverrõl, kommunikációs eszközrõl és

perifériárólA kommunikációs hálózatokról készített hálózat-felügyeleti jelentésekA kapacitás-tervezéssel, a teljesítményi elvárásokkal és a rendszerek teljesítményének "finomhang-

olásával" foglalkozó megbeszélések jegyzõkönyveiA rendelkezésre állás, a kapacitás, az üzemi terhelés és az erõforrások tervezésére vonatkozó dokumen-

tumokAz éves informatikai költségvetés, beleértve a kapacitásra és a teljesítményre vonatkozó feltételezéseket

isAz informatikai funkció belsõ jelentései az üzemi teljesítményre vonatkozóan, beleértve a problémákról

készített jelentéseket és azok megoldását is



Tesztelendõ:A teljesítményre, a kapacitásra és a rendelkezésre állásra vonatkozó statisztikai jelentések pontosak-e és

magyarázatot adnak-e a ténylegesen megvalósult illetve az elõrejelzett teljesítmény közötti eltérésekreA rendelkezésre állás, a kapacitás és az üzemi terhelés tervezéséhez kapcsolódó dokumentumok

módosítására vonatkozó folyamat tükrözi-e a technológia illetve a felhasználói igények változásaitA munkafolyamatok elemzésére vonatkozó jelentések foglalkoznak-e a munkafolyamatok hatékonysága

növelésének további lehetõségeivelSzolgáltatnak-e a kihasználtságra és a rendelkezésre állásra vonatkozó, a teljesítmény-jelentésekbõl

származó információkat a felhasználók számára, beleértve a kapacitásra, az üzemi terhelésütemezésére és a trendekre vonatkozó adatokat is

Vannak-e érvényben eljárások a problémák eszkalációjára, azokat betartják-e, és azok megfelelõek-e aproblémák megoldására

A rendszerfejlesztési módszertan a megvalósítást követõ szakaszra vonatkozóan tartalmazza-e azokat aszempontokat, amelyek alapján meghatározásra kerülnek a jövõbeni növekedésre és teljesít-ményigény-változásra vonatkozó elõrejelzések

Az informatikai funkció által nyújtott támogatás szintjei elégségesek-e a szervezet céljai elérésénektámogatásához

DS3 Szolgáltatás és támogatásA teljesítmény és a kapacitás kezelése


Megvizsgálandó kérdések:Az informatikai funkció által nyújtott összes szolgáltatásra vonatkozóan meghatározták-e a szolgáltatás

idõkereteit és szintjétA szolgáltatási idõkeretek és szolgáltatási szintek összhangban állnak-e a felhasználói követelményekkel A szolgáltatási idõkeretek és a szolgáltatások szintje összhangban vannak-e a berendezések potenciális

lehetõségei alapján elvárt teljesítményekkelKészült-e rendelkezésre állási terv, az naprakész-e és igazodik-e a felhasználói követelményekhezFolyamatosan figyelemmel kísérik-e valamennyi berendezés teljesítményét és kapacitását, arról készülnek

e jelentések, továbbá a vezetés foglalkozik-e a teljesítménybeli hiányosságokkal és formálisan ismeghatározza-e a teljesítmény javításának lehetõségeit

Modellezési eszközökkel nyomon követik-e az adott konfiguráció lehetséges optimális teljesítményétannak érdekében, hogy maximális teljesítményt érjenek el a kapacitások szükséges szintre történõminimalizálása mellett

Mind a felhasználók, mind az üzemi teljesítményért felelõs csoportok áttekintik-e proaktív módon akapacitás és a teljesítmény alakulását, és végrehajtják-e az üzemi terhelés ütemezésének szükségesmódosításait

Az üzemi terhelési szint elõrejelzésénél figyelembe veszik-e a felhasználóktól származó, az igényekváltozásait érintõ információkat és a szállítók jelzéseit az új technológiákra illetve a friss termékfe-jlesztésekre vonatkozóan




Az alábbi feladatok elvégzése révén:A teljesítmény- és kapacitás-kezelési eljárások összemérése hasonló szervezetek hasonló eljárásaival

illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA folyamatosan fennálló üzleti igények alapján elvégzett tesztek révén megállapítandó, hogy az infor-

matikai rendelkezésre állási feltételek és követelmények megfelelõen összhangban állnak-e ezekkelaz igényekkel

A kapacitás- és erõforrás-tervezési folyamat áttekintése alapján megállapítandó, hogy a terveket idõbenmódosítják-e a változó üzleti igények függvényében

Ellenõrizendõ, hogy kielégítésre kerülnek-e a kapacitással, a válaszidõvel és a rendelkezésre állássalkapcsolatos teljesítményi elvárások

A teljesítménnyel szemben támasztott követelmények költség/haszon elemzési perspektívából történõvizsgálata alapján megállapítandó, hogy nincsenek-e felesleges kapacitások illetve erõforrások

Megállapítandó, hogy készülnek-e teljesítményi jelentések rendszeres idõközönként, és a vezetés áttekintie azokat

Feltárva az alábbiakat:A javítási lehetõségeket illetve a hiányosságok orvoslására vonatkozó lehetõségeket tartalmazó teljesít-

ményi jelentésekA felhasználók megerõsítik-e a teljesítményi elvárások kielégítését, és a változó követelmények alapján

történt módosítások megjelennek-e a tervbenKellõ idõben foglalkoztak-e a problémák naplóival illetve az adatfeldolgozás során felmerült problémákra

vonatkozó jelentésekkel, és megtették-e a szükséges korrekciós lépéseketKonkrét felmerült problémák, és megítélendõ a probléma-megoldási folyamat eredményessége

DS3


DS4 Szolgáltatás és támogatásA folyamatos mûködés biztosítása



a szolgáltatás folytonosságának biztosítása


az informatikai szolgáltatások igények szerinti rendelkezésre állásának, valamint annakbiztosítása, hogy azok nagyobb mérvû megszakadása csak minimális üzleti következ-ményekkel járjon


mûködõ és tesztelt informatikai folytonossági terv, amely összhangban áll azátfogó üzletfolytonossági tervvel és a vonatkozó üzleti követelményekkel


• a rendelkezésre állási feltételek kritikusságának osztályozása• alternatív eljárások• mentés és helyreállítás• szisztematikus és rendszeres tesztelés és képzés• monitoring és feljebbviteli eljárások• belsõ és külsõ szervezeti felelõsség- és hatáskörök• az üzletfolytonossági terv aktiválása, visszaállási- és újrakezdési

tervek• kockázatkezelési tevékenységek• az egyetlen ok által kiváltható hibák felmérése• probléma-kezelés



DS4A FOLYAMATOS MÛKÖDÉS BIZTOSÍTÁSA


1 Informatikai folytonossági keretrendszer2 Az informatikai folytonossági tervre vonatkozó stratégia és filozófia3 Az informatikai folytonossági terv tartalma4 Az informatikai folytonossági követelmények minimalizálása5 Az informatikai folytonossági terv karbantartása6 Az informatikai folytonossági terv tesztelése7 Az informatikai folytonossági tervhez kapcsolódó képzés8 Az informatikai folytonossági terv szétosztása9 A felhasználói terület által kialakított alternatív feldolgozási folyamatok, helyettesítõ eljárások10 Kritikus fontosságú informatikai erõforrások11 Tartalék telephely és hardverek12 A mentési anyagok külsõ tárolása13 Értékelési és módosítási eljárások



Interjú készítés:Az informatikai felsõ vezetésAz informatikai üzemeltetési vezetésAz informatikai üzemfolytonosságért felelõs vezetésAz emberi erõforrás-gazdálkodási vagy képzési vezetésA folyamatos szolgáltatást igénylõ felhasználói részlegekA külsõ fél által biztosított helyreállítási telephely vezetõjeA külsõ helyszínen történõ adattárolás vezetõjeA kockázatkezelési/biztosítási felelõs

Adatgyûjtés:Az üzemfolytonossági tervezésre vonatkozó szervezeti szintû szabályok és eljárásokAz alábbi kérdésekre vonatkozó informatikai szabályok és eljárások: az üzemfolytonosságra vonatkozó

keretrendszer, terv, filozófia és stratégia; az alkalmazási rendszerek prioritás szerinti rangsorolása; atervek tesztelése; a rendszeres mentés, rotáció és oktatás

Az informatikai üzemfolytonossági tervekAz üzemfolytonossági tervekben foglalt szolgáltatások felhasználóiAz üzemfolytonossági tervek, valamint a felhasználók üzletvitel helyreállítási tervei legutóbbi tesztelé-

seinek eredményeiAz alkalmazási rendszerek prioritás szerinti rangsorának megállapítási módja helyreállítás szükségessége

eseténKülsõ felekkel megkötött szerzõdések az üzemfolytonossági szolgáltatások támogatására Az üzletvitel megszakadására vonatkozó biztosítási politikák




Megvizsgálandó kérdések:A szervezeti szintû szabályok elõírják-e azt, hogy a szokásos üzemeltetési követelmények részeként

üzemfolytonossági keretrendszert és tervet kell kidolgozni mind az informatikai funkció, mind azinformatikai erõforrásoktól függõ valamennyi szervezeti egységre vonatkozóan

Az informatikai szabályok és eljárások elõírják-e az alábbiakat:• egységes filozófia és keretrendszer kialakítása az üzemfolytonossági tervek kidolgozására

vonatkozóan• az alkalmazási rendszerek prioritási sorrendjének meghatározása, tekintettel a rendszerek kellõ

idõben történõ helyreállítására és újraindítására• a kockázatok felmérése és biztosítások megkötésének mérlegelése az üzletvitelnek a rendkívüli

helyzetekben történõ kiesésére vonatkozóan, mind az informatikai funkció, mind az informatikaierõforrások felhasználói esetében

• az üzemfolytonossági tervezéssel kapcsolatos konkrét feladat- és felelõsségi körökmeghatározása, a konkrét tesztelési, karbantartási és aktualizálási követelményekkel együtt

• formális szerzõdéses megállapodások megkötése a külsõ felekkel a tényleges igényekfelmerülését megelõzõen a helyreállítás szükségessége esetén nyújtandó szolgáltatásokravonatkozóan, beleértve a tartalék telephelyet vagy az informatikai szolgáltatási kapcsolatot is

• valamennyi üzemfolytonossági terv minimális tartalma, az alábbiak szerint:• A kényszerhelyzeti eljárások a személyzet valamennyi érintett tagjának védelme érdekében• Az informatikai funkció, a helyreállítási szolgáltatásokat nyújtó külsõ felek, a felhasználók és

a kisegítõ adminisztrációs személyzet feladatai és felelõsségi körei• A hosszú távú üzemfolytonossági tervvel konzisztens helyreállítási keretterv • Az alternatívák biztosítását igénylõ rendszer-erõforrások (hardverek, szoftverek, perifériák)

listája• Lista az alkalmazási rendszerek rangsoráról a legmagasabb prioritásútól a legalacsonyabbig,

a szükséges helyreállítási idõk és az elvárt teljesítményi normák feltüntetésével• A helyreállítás szükségessége esetén ellátandó adminisztratív feladatok, kommunikáció és

támogató szolgáltatások nyújtása céljából, pl. bérszámfejtés, külsõ kommunikáció, költségfi-gyelés, stb.

• Különféle helyreállítási forgatókönyvek a mûködõképesség kisebb mértékû csökkenéstõl ateljes mûködésképtelenségig terjedõ eseményekre vonatkozóan, a válaszlépéseket kellõenrészletezve azok lépésrõl lépésre történõ végrehajtásához

• A szükséges konkrét berendezések és készletek meghatározása, pl. nagysebességûnyomtatók, aláírásminták, nyomtatványok, kommunikációs eszközök, telefonok, stb., azokforrásainak és alternatív forrásainak megjelölésével

• Az üzemfolytonossági tervben szereplõ személyi és csoportos szerepkörökre vonatkozóoktatás, illetve azok tudatosítása

• Tesztelési ütemterv, a legutóbbi tesztelési eredmények, valamint a korábbi tesztek alapjánvégrehajtott korrekciós intézkedések

• A szerzõdéses szolgáltató partnerek, a szolgáltatások és a válaszlépésekkel kapcsolatoselvárások felsorolása

• A kulcsfontosságú erõforrások elhelyezésére vonatkozó logisztikai információk, beleértve azoperációs rendszerek, az alkalmazási rendszerek, az adatállományok, az üzemeltetésikézikönyvek és a program/rendszer/felhasználói dokumentációk helyreállítására szolgálótartalék telep- illetve tárolási helyeket is



DS4


Tesztelendõ:Készült-e üzemfolytonossági terv, az naprakész-e és azt valamennyi érintett fél megérti-eTartottak-e rendszeres oktatást az üzemfolytonosságra vonatkozóan valamennyi érintett fél számáraBetartják-e a terv kidolgozására vonatkozó valamennyi szabályt és eljárástA terv tartalma a fentiekre épül-e és teljesültek-e az alábbiak:

• az üzemfolytonossági terv célkitûzéseit megvalósították • az irányítási feladatok ellátására kijelölték a megfelelõ személyeket• a tervet megfelelõ módon áttekintette és jóváhagyta a vezetés• a tervet rövid idõvel korábban tesztelték és a tesztek eredménye megfelelõ volt, illetve a feltárt

hiányosságoknak megfelelõen módosították a tervet• az üzemfolytonossági terv kapcsolódik a szervezet üzleti tervéhez• az alternatív manuális eljárásokat dokumentálták és az átfogó tesztelések keretében tesztelték

A felhasználók és az informatikai funkció dolgozói részesültek-e oktatásban illetve kaptak-e tájékoztatásta tervhez kapcsolódó konkrét szerepkörökre, feladatokra és felelõsségi körökre vonatkozóan

A külsõ felekkel megkötött szerzõdésekben foglalt kapcsolatok és elõkészületi idõk összhangban vannak-e a felhasználók elvárásaival és igényeivel

A tartalék telephelyek felkészítése naprakész és elégséges-e ahhoz, hogy a távoli helyszínnel valószokásos rotációs eljárásokat végre lehessen hajtani.

Meghatározták, dokumentálták és rangsorolták-e a kritikus fontosságú adatokat és mûveleteketA felsõ vezetés jóváhagyja-e a kritikus fontosságú adatok és mûveletek meghatározását

• A kulcsszemélyek neve, címe, telefon/személyhívó száma• Rekonstrukciós tervek az összes informatikai erõforrásnak a kényszerhelyzeti helyreállítás

utáni, eredeti helyen történõ helyreállítására vonatkozóan• Üzleti újraindítási alternatívák az összes felhasználóra vonatkozóan az informatikai erõfor-

rások rendelkezésre állásának biztosítása után használatba vehetõ alternatív munkahelyekkialakítása révén; azaz például olyan esetben, ha a rendszert egy alternatív helyszínenhelyreállították, de a felhasználók telephelye leégett és használhatatlan

Betartják-e az üzemfolytonosság tervezésére vonatkozó szakhatósági elõírásokatDolgoznak-e ki felhasználói üzemfolytonossági terveket arra az esetre, ha nem állnak rendelkezésre a

kritikus fontosságú manuális és számítógépes feldolgozási feladatok ellátásához szükséges fizikaierõforrások

Az üzemfolytonossági terv kiterjed-e a telefon-rendszerre, a hangpostára, a telefaxra és a képátvivõrendszerekre is

Az üzemfolytonossági terv kiterjed-e a dokumentumok elektronikus képét rögzítõ és tároló rendszerekre,a fax rendszerekre, a papíralapú dokumentumokra, valamint a mikrofilmekre és a tömegesadattárolásra szolgáló elektronikus adathordozókra is


Az alábbi feladatok elvégzése révén:Az üzemfolytonossági tervezés összemérése hasonló szervezetek hasonló folyamataival illetve a

megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz alábbiak részletes áttekintése:

• a tervben szereplõ célkitûzések annak megállapítása céljából, hogy azok megfelelõ stratégiátalkotnak-e és kapcsolódnak-e az általános üzletfolytonossági stratégiához

• a kijelölt személyek tisztában vannak-e a terv-koordinátori szerepkörükkel kapcsolatos vezetõi ésirányítási feladataikkal és felelõsségükkel

• a terv, abból a szempontból, hogy azt áttekintették és jóváhagyták-e a felsõ vezetés megfelelõszintjein

• az informatikai funkció és a felhasználó osztályok kiválasztott dolgozói révén megállapítandó,hogy az üzemfolytonossági terv tartalmazza-e az üzleti igényeket

• a felhasználók alternatív manuális adatfeldolgozási eljárásai, annak megállapítása céljából, hogydokumentálták-e azokat a felhasználói osztályok a szükség esetén való és addig történõalkalmazásra, amíg a feldolgozási mûveleteket képesek helyreállítani az esemény után

• a konkrét alkalmazásokhoz kapcsolódó készletek, annak megállapítása céljából, hogy valamelytávoli telephelyen elégséges készletek állnak-e rendelkezésre (pl. mágnesszalagok, csekkkészletek, készlet igazolások, stb.)

Feltárva az alábbiakat:A külsõ felekkel megkötött szerzõdések rendelkeznek-e a készletek biztosításához szükséges elõkészületi

idõkrõl és kellõen részletezettek-e a szolgáltatások, a határidõk, a szolgáltatási szintek és a költségekvonatkozásában

Tettek-e lépéseket a speciális telekommunikációs illetve hálózati komponensek beszerzésére vonatkozóanA terv tartalmaz-e különféle forgatókönyveket a rövid idejûtõl az állandóig terjedõ leállások eseteire Az alkalmazási rendszerekre megállapított prioritási besorolás összhangban van-e a felhasználói elvárá-

sokkalVannak-e érvényben írásbeli szerzõdések az igényeknek megfelelõ távoli számítógépes létesítményekre

vonatkozóanAz alternatív telephelyek adatfeldolgozási sebessége, válaszideje, rendelkezésre állása és a felhasználók

számára nyújtott támogatása megfelel-e a felhasználói követelményeknekA külsõ felek üzemfolytonossági tervei biztosítják-e a szolgáltatás folyamatosságát helyreállítás

szükségessége eseténAz alternatív informatikai szolgáltató saját létesítményei kellõen távoliak-e ahhoz, hogy kizárható legyen

az egyidejû helyreállítás szükségességének felmerüléseA tervet rendszeres idõközönként tesztelték-e és sor került-e a módosítására a tesztek alapjánRendszeres oktatásban részesül-e mind az informatikai, mind a felhasználói személyzet az

üzemfolytonossági tervezésre vonatkozóanKi vannak-e jelölve hasonló rekonstrukciós csoportok, feladatok és felelõsségi körök, valamint tesztek a

feldolgozásnak az alternatív feldolgozás helyszínérõl az eredeti telephelyre történõ migrálására







DS5 Szolgáltatás és támogatásA rendszer biztonságának megvalósítása



a rendszer biztonságának megvalósítása


az információk védelme az engedély nélküli felhasználásuk, közzétételük és módosítá-suk ellen, illetve károsodásuk és elvesztésük megelõzése


a hozzáférés logikai szintû kontrollja, amely csak az arra felhatalmazott fel-használók számára teszi lehetõvé a rendszerekhez, adatokhoz és programok-hoz történõ hozzáférést


• a titkosságra és a személyiségi jogokra vonatkozó követelmények,• engedélyezés, hitelesítés és a hozzáférési jogosultságok kontrollja• a felhasználók azonosítása és jogosultsági profilok kialakítása• a 'csak amire szükség van' és a 'csak amit tudni kell' elvek• a kriptográfiai kulcsok kezelése• a rendkívüli események kezelése, jelentése és nyomonkövetése• vírusvédelem és -felderítés• tûzfalak• központi biztonsági adminisztráció• a felhasználók kiképzése• eszközök a szabályoknak való megfelelés

monitorozására, a behatolások észlelésére és ajelentéskészítésre



DS5A RENDSZER BIZTONSÁGÁNAK MEGVALÓSÍTÁSA


1 A biztonsági intézkedések kezelése2 Azonosítás, hitelesítés és hozzáférési jogosultság3 Az adatok hozzáférésének biztonsága közvetlen kapcsolat esetén4 A felhasználói azonosítók kezelése5 A felhasználói azonosítók vezetõi ellenõrzése6 A felhasználói azonosítók felhasználói kontrollja7 Biztonsági felügyelet8 Az adatok osztályozása9 Központi felhasználó-azonosítás és jogosultságkezelés 10 Jelentéskészítés a biztonsági elõírások megsértésérõl és a biztonsági tevékenységrõl11 A rendkívüli események kezelése12 Újrahitelesítés13 A másik fél hitelesítése14 A tranzakciók engedélyezése15 Letagadhatatlanság16 Hitelesített útvonalak17 A biztonsági funkciók védelme18 A kriptográfiai kulcsok kezelése19 Rossz szándékú szoftverek megjelenésének megelõzése, felderítése és elhárítása20 Tûzfal architektúrák és kapcsolódás a nyilvános hálózatokhoz21 Az elektronikus értékek megvédése



Interjú készítés:A szervezet vezetõ biztonsági felelõseAz informatikai felsõ vezetés és a biztonsági vezetésAz informatikai szervezeti egység adatbázis-adminisztrátoraAz informatikai biztonsági felelõsAz informatikai alkalmazásfejlesztési vezetés

Adatgyûjtés:Az információrendszerek biztonságára és a hozzáférési jogosultságokra vonatkozó szervezeti szintû

szabályok és eljárásokAz információrendszerek biztonságára és a hozzáférési jogosultságokra vonatkozó informatikai szabályok

és eljárásokAz információrendszerek biztonsági követelményeire vonatkozó szabályok, eljárások, valamint jogsza

bályi és szabályozó testületi elõírások (ú.m. törvények, jogszabályok, irányelvek, ágazatiszabványok), beleértve az alábbiakat:• a felhasználói azonosítók kezelésére vonatkozó eljárások




Megvizsgálandó kérdések:Van-e érvényben stratégiai biztonsági terv, amely gondoskodik az információrendszerek biztonságának

központi irányításáról és ellenõrzésérõl, a felhasználói biztonsági követelményekre is kiterjedõen akonzisztencia érdekében

Mûködik-e olyan központi biztonsági egység, amely felelõs azért, hogy csak az arra jogosultakférhessenek hozzá a rendszer-erõforrásokhoz

Kialakítottak-e és ténylegesen alkalmaznak-e olyan adatosztályozási rendszert, amely minden rendszererõforrás esetében meghatározza a tulajdonost, aki felelõs annak biztonságáért és tartalmáért

Kialakítottak-e felhasználói biztonsági profilokat "a szükséges legalacsonyabb hozzáférési jogosultság "elve alapján, és ezeket a profilokat rendszeresen felülvizsgálja-e a vezetés ismételt jóváhagyáscéljából

A alkalmazottak kezdeti betanításakor kitérnek-e a biztonsági tudatosságra, az adattulajdonosi felelõsségreés a vírusvédelmi követelményekre is

Készülnek-e jelentések a biztonsági elõírások megsértésérõl és vannak-e érvényben formális problé-makezelési eljárások, továbbá a jelentések kiterjednek-e az alábbiakra:• engedély nélküli belépési kísérletek a rendszerbe• engedély nélküli hozzáférési kísérletek a rendszer-erõforrásokhoz • engedély nélküli kísérletek a biztonsági beállítások és szabályok megtekintésére illetve megvál-

toztatására • az erõforrásokhoz való hozzáférési jogosultságok felhasználói azonosítónként• a biztonsági beállítások és szabályok engedélyezett megváltoztatásai

Adatgyûjtés, folytatás• a felhasználókra vonatkozó biztonsági illetve információvédelmi szabályok• az elektronikus kereskedelemre vonatkozó szabványok• az adatosztályozási rendszer• a hozzáférési jogosultságot kezelõ szoftverek listája• az informatikai erõforrások elhelyezésére szolgáló épületek/helyiségek alaprajza• az informatikai erõforrások fizikai hozzáféréséi pontjainak (ú.m. modemek, telefonvonalak, és

távoli terminálok) listája vagy vázlata• a biztonsági szoftverek változáskezelési eljárásai• a biztonsági problémák nyomon követésének, megoldásának és eszkalációjának eljárásai• biztonsági szabályok megsértésérõl készített jelentések és az azokra vonatkozó vezetõi felülvizs-

gálati eljárások• az adattitkosító berendezések jegyzéke és a titkosítási szabványok• a rendszer-erõforrásokhoz hozzáférési jogosultsággal rendelkezõ szállítók és vevõk listája• az adatátvitelben részt vevõ szolgáltatók listája• a folyamatos biztonsági tesztelésre vonatkozó hálózatkezelési és felügyeleti eljárások• az adatátviteli szolgáltatókkal megkötött szerzõdések egy-egy példánya• a felhasználók aláírt nyilatkozatai a biztonsági szabályok tudomásul vételérõl• az új alkalmazottak képzéséhez használt oktatási anyagok biztonsági kérdésekkel foglalkozó

részei• a külsõ auditorok, a külsõ szolgáltatók és a kormányzati testületek vizsgálati jelentései az infor-

mációrendszerek biztonságára vonatkozóan



DS5• az erõforrásokhoz történt engedélyezett hozzáférések (felhasználók illetve erõforrások szerinti

bontásban)• a rendszer biztonsági státuszának megváltoztatása• hozzáférések az operációs rendszer biztonsági paraméter-tábláihoz

Léteznek-e kriptográfiai modulok és karbantartási eljárások a kulcsokra vonatkozóan, azokat központilagkezelik-e, és valamennyi külsõ hozzáférés vagy adatátvitel esetében alkalmazzák-e

Vannak-e érvényben szabványok a kriptográfiai kulcsokra, mind a központi, mind a felhasználóitevékenységre vonatkozóan

A biztonsági szoftverek változáskezelése formális eljárás keretében történik-e és összhangban van-e arendszerfejlesztésre és karbantartásra vonatkozó szabványokkal

Az alkalmazott azonosító mechanizmusok rendelkeznek-e egy vagy több jellemzõvel az alábbiak közül:• az azonosítási adatok egyszeri használata (pl. a jelszavakat nem lehet újra használni)• többszöri azonosítás (azaz kettõ vagy több különbözõ azonosítási mechanizmus alkalmazása)• szabályon alapuló azonosítás (azaz lehetõség arra, hogy külön azonosítási eljárásokat határoz-

zanak meg bizonyos konkrét eseményekre vonatkozóan)• igény szerinti azonosítás (azaz lehetõség arra, hogy a felhasználót az elsõ azonosítást követõen

bizonyos idõközönként újra azonosítsák)Korlátozott-e az ugyanazon felhasználó számára egyidejûleg rendelkezésére álló bejelentkezések száma Bejelentkezéskor figyelmezteti-e üzenet a felhasználót a hardverek és szoftverek, illetve a létesített

kapcsolat megfelelõ használatáraMegjelenik-e a bejelentkezés befejezése elõtt olyan figyelmeztetõ üzenet a képernyõn, amely tájékoztatja

a felhasználót arról, hogy az engedély nélküli belépés büntetést vonhat maga utánA sikeres belépést követõen megjelenik-e a képernyõn az adott felhasználói azonosítóval tett korábbi

sikeres és sikertelen belépési kísérletek listájaA jelszavakkal kapcsolatos szabályok kiterjednek-e az alábbiakra:

• az eredeti jelszó megváltoztatásának kikényszerítése az elsõ használatnál• megfelelõ minimális jelszó hosszúság• a jelszó megváltoztatásának megfelelõ és kikényszerített gyakorisága• a jelszó összevetése a nem engedélyezett értékeket tartalmazó listával (pl. szótárral való

egyeztetés)• a kényszerhelyzetben alkalmazandó jelszavak megfelelõ védelme

A formális problémakezelõ eljárások tartalmazzák-e a következõket:• A rendszer felfüggeszti a felhasználói azonosítót öt egymást követõ sikertelen belépési kísérlet

után• Belépéskor a rendszer tájékoztatja a jogosult felhasználót a legutóbbi belépés dátumáról és

idõpontjáról, valamint a sikertelen belépési kísérletek számáról• Az azonosításra öt perc áll rendelkezésre, amely után a rendszer megszakítja a kapcsolatot• A felfüggesztésrõl tájékoztatja a rendszer a felhasználót, de annak okáról nem

A telefonvonalon történõ belépés során alkalmazott eljárások tartalmazzák-e a következõket: visszahívásilletve azonosító eszköz használata, a behívó szám gyakori megváltoztatása, szoftveres éshardveres tûzfalak az eszközökhöz való hozzáférés korlátozására, valamint a jelszavak gyakorimegváltoztatása, illetve a korábbi alkalmazottak jelszavainak érvénytelenítése

Alkalmaznak-e bizonyos módszereket a helyszínek ellenõrzésére, annak érdekében, hogy bizonyoshelyszíneken további korlátozásokat vezessenek be

A hangposta szolgáltatásokhoz és a házi alközpont rendszerekhez történõ hozzáférésre ugyanolyan fizikaiés logikai biztonsági kontroll mechanizmusokat alkalmaznak-e, mint a számítógépes rendszerekesetében




Tesztelendõ:Az informatikai funkció betartja-e az alábbiakra vonatkozó biztonsági szabványokat

• azonosítás és hozzáférési jogosultság• a felhasználói profilok kezelése és az adatok biztonsági osztályozása• a biztonsági elõírások megsértésérõl és a rendkívüli biztonsági eseményekrõl történõ jelen-

téskészítés és azok vezetõi áttekintése• a kriptográfiai kulcsok kezelésének szabványai• a vírusok felderítése, elhárítása és az azokra vonatkozó kommunikáció• az adatok osztályozása és tulajdonlása

Vannak-e érvényben eljárások a rendszerekhez történõ felhasználói hozzáférések kérelmezésére, létre-hozására és karbantartására

Vannak-e érvényben eljárások a rendszer-erõforrásokhoz történõ külsõ hozzáférésre, ú.m. bejelentkezés,azonosító kód, jelszó, visszahívás

Megvizsgálandó kérdések, folytatásÉrvényre juttatnak-e külön szabályokat a bizalmas pozíciókra vonatkozóan, kitérve az alábbiakra is:

• a bizalmas pozíciót betöltõ személyeknek minden naptári évben megfelelõ idõre távol kellmaradniuk a szervezettõl; ez idõ alatt a felhasználói azonosítójukat felfüggesztik, és az õkethelyettesítõ alkalmazottakat arra utasítják, hogy a biztonsággal kapcsolatosan észlelt bármelyrendellenességrõl értesítsék a vezetést

• a bizalmas tevékenységeket ellátó személyek körét idõrõl-idõre cserélik, annak bejelentése nélkülMegvédik-e a biztonsággal kapcsolatos hardvereket és szoftvereket, pl. a titkosító modulokat azok mani-

pulálásától vagy nyilvánosságra hozatalától, és a hozzáférésük szintjét a szükséges ismeret mértékealapján határozzák-e meg

A szükséges ismeret mértéke alapján korlátozzák-e a biztonsági intézkedésekre vonatkozó olyanadatokhoz való hozzáférést, mint a biztonsági felügyelet és irányítás, a bizalmas tranzakciók adatai, ajelszavak és titkosítási kulcsok

Megbízható csatornákat használnak-e a nem titkosított bizalmas információk továbbításáhozTesznek-e megelõzõ intézkedéseket a szolgáltatás megtagadására irányuló, tartalom nélküli faxüzenetek

formájában indított támadások elhárítására, például:• a fax-számok szervezeten kívüli közlésének korlátozása a szükséges ismeret mértéke alapján• az üzleti célokra használt fax-vonalakat nem használják más célokra

Hozott-e megelõzõ és felderítõ jellegû intézkedéseket a vezetés a számítógépes vírusok elleni védekezésérdekében

Tesznek-e intézkedéseket az elektronikus értékek integritásának megõrzésére, például:• a kártyaolvasó berendezések védelme a rongálásokkal, valamint a kártyákra vonatkozó informá-

ciók illetéktelen feltárásával vagy módosításával szemben• a kártya információk (PIN kódok és egyéb adatok) védelme azok belsõ körben történõ illeték-

telen feltárása ellen• a kártyák hamisításának megakadályozása

Tesznek-e intézkedéseket a biztonsági mechanizmusok érvényre juttatására, például:• bizonyos inaktív idõ után meg kell ismételni az azonosítási és hitelesítési eljárásokat• a terminál elhagyásakor egyetlen billentyû leütésével a rendszer lezárható, ismételt azonosítási

vagy leállítási folyamat indítható



DS5Napra készen tartják-e a hozzáférési jogosultságokkal kapcsolatos eszközök leltárát a teljesség szempont-

jábólAz operációs rendszer biztonsági paramétereit a szállítói/helyi szabványok alapján állítják-e be Kommunikálják, megértik és betartatják-e a hálózati biztonság kezelésének eljárásaitA külsõ hozzáférést biztosító szolgáltatókkal megkötött szerzõdések tartalmazzák-e a biztonsággal

kapcsolatos felelõsségeket és eljárásokatLéteznek-e tényleges bejelentkezési eljárások a rendszerekre, a felhasználókra és a külsõ felek általi

hozzáférésekre vonatkozóanKészülnek-e biztonsági jelentések a rendkívüli eseményekre való reagálás idõbeni voltáról, pontosságáról

és a vezetés által tett lépésekrõlLéteznek-e titkos kulcsok az adatátvitel használatáhozA rossz szándékú szoftverek elleni védelem eljárásai tartalmazzák-e az alábbiakat:

• a szervezet által vásárolt valamennyi szoftver esetében vírus-ellenõrzést végeznek az installálásukés használatba vételük elõtt

• írásban szabályozzák az ingyenes (freeware) és a szabadon terjeszthetõ, de regisztrálandó (share-ware) programok letöltését, elfogadását és használatát, és e szabályokat betartják

• a kritikus fontosságú alkalmazási szoftvereket MAC (Message Authentication Code - üzenethitelesítési kód) által, vagy digitális aláírással védik, és a sikertelen ellenõrzés letiltja a szoftverhasználatát

• a felhasználók utasításokat kapnak a vírusok észlelésére és jelentésére vonatkozóan, például amûködés lelassulása vagy az adatállományok megmagyarázhatatlan növekedése esetére

• szabályzatot és eljárást vezetnek be a szervezethez a szokásos beszerzési program keretébenkívülrõl behozott lemezek ellenõrzésére

A tûzfalak rendelkeznek-e legalább az alábbi tulajdonságokkal:• minden bentrõl kifelé és kintrõl befelé irányuló forgalomnak át kell haladnia a tûzfalon (ez nem

korlátozódhat csupán a logikai kontroll mechanizmusokra, hanem fizikailag is ki kell kénysze-ríteni)

• csak az engedélyezett forgalom haladhat át, ahogy azt helyi biztonsági politika meghatározza• a tûzfalnak magának is ellenállónak kell lennie a behatolási kísérletekkel szemben• csak az alkalmazási rétegben történhet adatforgalom a tûzfalon keresztül• a tûzfal architektúra kombinálja mind az alkalmazási, mind a hálózati rétegben alkalmazott

kontroll mechanizmusokat• a tûzfal architektúrának ki kell kényszerítenie a protokoll folytonosságának megszakítását a

szállítási rétegben• a tûzfal architektúrát a "lehetõ legegyszerûbb filozófia" szerint kell konfigurálni• a tûzfal architektúrának szigorú azonosítást kell megvalósítania a komponensei menedzseléséhez• a tûzfal architektúrának el kell rejtenie a belsõ hálózat struktúráját• a tûzfal architektúrának audit szempontú nyomonkövetési lehetõséget kell biztosítania a tûzfal-

rendszeren átmenõ minden kommunikációra vonatkozóan, és gyanús tevékenységek észleléseesetén riasztást kell generálnia

• a szervezet kiszolgáló gépeit, amelyek a nyilvános hálózatból beérkezõ szolgáltatási kérelmeketkezelik, a tûzfalon kívül kell elhelyezni

• a tûzfal architektúrának meg kell védenie magát a közvetlen támadásokkal szemben (pl. azadatforgalom aktív figyelésével és mintafelismerõ technológia alkalmazása révén)

• a belsõ hálózatba történõ bebocsátás elõtt minden végrehajtható kód esetében meg kell vizsgálni,hogy nem tartalmaz-e rosszindulatú kódot (pl. vírust vagy rosszindulatú programot)


Az alábbi feladatok elvégzése révén:Az információrendszerek biztonságának összemérése hasonló szervezetek rendszereinek biztonságával

illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalAz információrendszerek biztonságának részletes felülvizsgálata, beleértve a számítógépes és kommu-

nikációs erõforrások fizikai és logikai biztonságának feltöréses értékelését isAz újonnan felvett alkalmazottakkal folytatott interjúk annak megállapítása céljából, hogy tisztában

vannak-e a biztonsági elõírásokkal és személyes felelõsségeikkel (pl. megerõsítik-e azt, hogy bizton-sági nyilatkozatot írtak alá és biztonságra vonatkozó oktatásban részesültek)

Interjúk a felhasználókkal annak megállapítása céljából, hogy, hogy a hozzáférési jogosultságokat valóbanaz üzleti igények ("a szükséges legalacsonyabb jogosultság") alapján határozzák-e meg, és azokhelyességét a vezetés rendszeresen felülvizsgálja-e

Feltárva az alábbiakat:Helytelenül megadott felhasználói hozzáférési jogosultságok a rendszer-erõforrásokhozEllentmondások a hálózat tervrajza vagy leltára és a valóság között, pl. hiányzó hozzáférési pontok,

hiányzó eszközök, stb.Szerzõdésbeli hiányosságok az adatok sértetlenségéhez és biztonságához kapcsolódó tulajdonlás és

felelõsség vonatkozásában az adattovábbítás bármely pontján a feladás és a fogadás közöttA legitim felhasználóként nem azonosítható alkalmazottak, vagy a még mindig hozzáférési joggal

rendelkezõ korábbi alkalmazottakInformális illetve jóvá nem hagyott hozzáférési jogosultság kérések Olyan hálózat-figyelõ szoftverek, amelyek nem adnak riasztást a hálózat-felügyelet felé a biztonsági

elõírások megsértése eseténHiányosságok a hálózati szoftver változáskezelési eljárásaibanA titkos kulcsok használatának elmulasztása a külsõ felekkel történõ kommunikáció soránHiányosságok a titkos kulcsok elõállítására, kiosztására, tárolására, a rendszerbe történõ felvételére,

felhasználására, archiválására és védelmére vonatkozó protokollokbanElévült víruskeresõ szoftver használata, illetve a vírusfertõzések megelõzésére, felderítésére, elhárítására

és jelentésére vonatkozó formális eljárások hiánya







DS6 Szolgáltatás és támogatásA költségek megállapítása és felosztása



a költségek meghatározása és felosztása


az informatikai szolgáltatásokhoz kapcsolódó költségek pontos ismerete


olyan költség-elszámolási rendszer alkalmazása, amely gondoskodik a költsé-gek megfelelõ részletességû nyilvántartásáról, kalkulációjáról és felosztásárólaz egyes szolgáltatások szintjére lebontva


• azonosítható és mérhetõ erõforrások• költségfelosztási szabályok és eljárások• szolgáltatási norma díjak és visszaterhelési eljárás• kapcsolódás a szolgáltatási szint megállapodáshoz• automatizált jelentéskészítés• az elõnyök/hasznok megvalósulásának ellenõrzése• a külsõ szervezetekhez viszonyított normatív összehasonlítás



DS6A KÖLTSÉGEK MEGÁLLAPÍTÁSA ÉS FELOSZTÁSA


1 Felszámítható költségtételek2 Költségszámítási eljárások3 Felhasználói számlázási és visszaterhelési eljárások




Interjú készítés:Az informatikai adminisztratív vagy a költségek felosztásáért felelõs vezetésA költségek visszaterhelésében érintett kiválasztott költségviselõ felhasználói terület vezetése

Adatgyûjtés:A tervezésre és a költségvetés elkészítésére vonatkozó szervezeti szintû szabályok és eljárásokA költségek összesítésére, a visszaterhelés módszerére és a teljesítmény/költség viszony alakulására

vonatkozó jelentéseket érintõ informatikai szabályok és eljárásokAz informatikai funkcióra vonatkozóan:

• A tárgyévi és az elõzõ évi költségvetés• Az informatikai erõforrások kihasználtságának alakulásáról készített jelentések• A kihasználtság alakulásáról készített jelentések elkészítéséhez használt alapadatok• A költségfelosztási módszer illetve algoritmus• A költségek visszaterhelésérõl készült korábbi jelentések

A felhasználói területek vezetésének alábbi dokumentumai:• Az informatikai költségek tárgyévi és elõzõ évi költségvetése• A tárgyévi információrendszer-fejlesztési és karbantartási terv• Az informatikai erõforrásokra elkülönített költségek, beleértve a visszaterhelt illetve viselt

költségeket egyaránt

Megvizsgálandó kérdések:Az informatikai funkciónál van-e olyan csoport, amelynek feladata a felhasználóknak nyújtott szolgáltatá-

sokra vonatkozó számlák kiállítása és az ezekrõl készített beszámolók elkészítése Vannak-e érvényben eljárások az alábbiakra vonatkozóan:

• éves fejlesztési és karbantartási terv kidolgozása, amelyhez a felhasználók megjelölik afejlesztési, karbantartási és üzemeltetési költségek prioritásait is

• döntõ mértékben a felhasználók határozhatják meg azt, hogy az informatikai erõforrásokat mirefordítsák

• az éves informatikai költségvetés elkészítése az alábbi szempontok alapján és tartalommal:• A költségvetés elkészítésére vonatkozó szervezeti szintû követelmények betartása• Konzisztencia a felhasználói osztályok által felosztott költségekkel



Tesztelendõ:Van-e érvényben hivatalos költségfelosztási módszer, azt egyeztették-e a felhasználókkal a méltányosság

szempontjából, és amely alapján mind a költségek, mind a jelentések elõállnak; ez utóbbi számítássalellenõrizendõ

Van-e érvényben olyan program, amely a költségek csökkentésére illetve az informatikai erõforrásokteljesítményének növelésére irányul

A költségek felosztása és az azzal kapcsolatos jelentéskészítési rendszer az informatikai erõforrásoklegmegfelelõbb, leghatékonyabb és következetes felhasználására ösztönöz-e, biztosítja-e afelhasználói osztályok és igényeik méltányos kezelését, és a felszámított díjak igazodnak-e a szolgál-tatáshoz kapcsolódó költségekhez


Megvizsgálandó kérdések, folytatás• A múltbeli költségek és az új költségekre vonatkozó feltételezések közlése - annak

érdekében, hogy a felhasználók megértsék, hogy a kiterhelt díjak milyen költségeket tartal-maznak

• Az informatikai funkció által felosztandó valamennyi tervezett költség-elem hivataloselfogadása a felhasználói osztályok részérõl

• A jelentéskészítés és a költségek felhasználók felé történõ tényleges kiterhelésének gyako-risága

• a felosztott költségek nyomonkövetése az alábbi valamennyi informatikai erõforrásravonatkozóan, de nem korlátozódva azokra :• Az üzemelõ hardverek • Számítógép perifériák• A telekommunikáció használata• Az alkalmazási rendszerek fejlesztés és támogatása• Adminisztratív költségek• A külsõ felek által nyújtott szolgáltatások költségei• A help desk funkció költségei• A létesítmények és karbantartásuk• Közvetlen/közvetett költségek• Állandó és változó költségek• Kötött és szabad felhasználású költségek

• rendszeres jelentéskészítés a felhasználók felé a költségkategóriák szerinti teljesítésrevonatkozóan

• jelentéskészítés a felhasználók felé a költséghatékonyságra vonatkozó külsõ viszonyításinormákról, annak érdekében, hogy lehetõvé tegyék az ágazati elvárásokkal való összehasonlítást,illetve alternatív szolgáltatások igénybevételét a felhasználók részérõl

• a költségfelosztás kellõ idõben történõ módosítása az üzleti igények változásainak megfelelõen• a ténylegesen kiterhelt díjak formális jóváhagyása és elfogadása

o az informatikai fejlesztési lehetõségek meghatározása a visszaterhelt költségek csökkentése,vagy azok változatlan szintje mellett magasabb érték biztosítása érdekében

A jelentések biztosítják-e azt, hogy a felszámítható költségtételek azonosíthatóak, mérhetõek és elõretervezhetõek legyenek

A jelentések kimutatják és kiemelik-e az azok alapjául szolgáló költségelemek vagy költségfelosztásialgoritmus változásait




Az alábbi feladatok elvégzése révén:A költségelszámolási és visszaterhelési módszerek összemérése hasonló szervezetekéivel illetve a

megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakorlattalA kiterhelt összegek ismételt kiszámítása az alapadatokból kiindulva, a költségfelosztási algoritmus

alapján a felhasználói jelentésekigA teljesítmény-jelentésekhez felhasznált adatok pontosak-e, például az alábbiakra vonatkozóan:

• a CPU használata• a perifériák használata• a közvetlen elérésû tárolóeszközök (DASD) használata• a megírt kódsorok• a kinyomtatott sorok/oldalak• az elvégzett program-változtatások• a PC-k, telefonok, adatállományok száma• a help desk-hez intézett kérdések• az adatátvitelek száma, hosszúsága

Pontosak-e az erõforrásokra vonatkozó alapadatokból készített teljesítményi jelentések Ténylegesen létezik-e algoritmus a költségek összesítésére és felosztására, és ennek alapján a visszater-

helés elkészítéséreA konkrét felhasználók felé történõ kiterhelések pontosságát gyakran tesztelik-e A kiterheléseket a felhasználók jóváhagyták-e Különbözõ felhasználók felé történõ költségterhelések közötti konzisztencia ellenõrzéseA felhasználók fejlesztési tervei végrehajtásának elõrehaladása a kiadott költségeken alapul-eA jelentések szétosztásának vizsgálata a jelentések felhasználása és a költségekre vonatkozó információk

szempontjábólA felhasználók elégedettségének vizsgálata az alábbiakra vonatkozóan:

• a kiterhelt költségek elfogadható volta a költségvetés szerinti várakozásokhoz viszonyítva• az éves fejlesztési terv alakulása a kiterhelt költségekhez viszonyítva• a kiterhelt költségek elfogadható volta az alternatív forrásokhoz viszonyítva (azaz a viszonyítási

normák alapján)• a kiterhelt költségeket növelõ/csökkentõ trendek kommunikációja• a várakozások szerinti kiterhelésektõl való eltérések feloldásának módja

Feltárva az alábbiakat:Lehetõségek a költségfelosztási módszer eredményességének és megfelelõségének javítására az alábbiak

révén:• több költség-komponens figyelembe vétele• a költségfelosztási mutatók illetve a mértékegységek módosítása• magának a költségfelosztási algoritmusnak a módosítása• a számítógépen futó feladatok elszámolási funkciójának összekapcsolása vagy integrálása a jelen-

téseket generáló alkalmazássalEllentmondások a költségfelosztási algoritmuson belülEllentmondások a költségek különbözõ felhasználók közötti felosztásában

DS6

Feltárva az alábbiakat, folytatásAz informatikai rendszer-erõforrások továbbfejlesztésének lehetõségeiA lehetõségek fokozása a felhasználók számára az informatikai erõforrások jobb felhasználására az üzleti

követelmények teljesítése érdekébenA hatékonyság fokozásának lehetõségei a költségtételekkel kapcsolatos adatgyûjtési, összesítési,

felosztási, jelentéskészítési és kommunikációs folyamatban, amelyek a teljesítmény javulását illetve afelhasználók számára nyújtott szolgáltatások költségeinek csökkenését eredményezik

Az eltérések és elemzések nyomán megállapított költség-trendek alapján módosították-e a kiterhelt díjakata következõ idõszakokban, valamint azokat tükrözi-e a költség-struktúra

Van-e a lehetõség arra, hogy az informatikai funkció ne költséghelyként, hanem olyan profit-központkéntmûködjön, amely szolgáltatásokat nyújt más belsõ és külsõ felhasználóknak

Amennyiben az informatikai funkció profit-központként mûködik, a funkció teljesítette-e a profithoz valótervezett hozzájárulását és költségvetését, és milyen lelhetõségek vannak a nyereségesség növelésére







DS7 Szolgáltatás és támogatásA felhasználók oktatása és képzése



a felhasználók oktatása és képzése


gondoskodni kell arról, hogy a felhasználók hatékonyan tudják használni az infor-matikai technológiát, és tisztában legyenek az ahhoz kapcsolódó kockázatokkal, felada-tokkal és felelõsséggel


átfogó képzési és továbbképzési terv


• oktatási tematikák• a szükséges szakképzettségek listája • a tudatosság fokozását célzó kampány• új képzési és oktatási eszközök és módszerek használata• az alkalmazottak termelékenysége• tudásbázis kialakítása



DS7A FELHASZNÁLÓK OKTATÁSA ÉS KÉPZÉSE


1 Az oktatási igények meghatározása2 A képzés megszervezése3 A biztonsági alapelvekre és a tudatosságra irányuló képzés




Interjú készítés:A szervezeti szintû emberi erõforrás-gazdálkodási vagy képzési vezetõAz informatikai emberi erõforrás-gazdálkodási vagy képzési vezetõAz informatikai funkció kiválasztott vezetõi és dolgozóiA felhasználói osztályok kiválasztott vezetõi és dolgozói

Adatgyûjtés:A kontroll mechanizmusokra és a biztonsági tudatosság fokozására irányuló képzésre, a szakmai fejlõdést

ösztönzõ premizálási rendszerre, az informatikai szolgáltatások felhasználóira vonatkozó képzésiprogramokra, az oktatási erõforrásokra és létesítményekre, valamint a szakmai továbbképzésikövetelményekre vonatkozó szervezeti szintû szabályok és eljárások

Az informatikai funkció programjai, szabályai és eljárásai a kontroll mechanizmusokra és a biztonságitudatosság fokozására irányuló, valamint a mûszaki informatikai biztonsághoz és kontroll mechaniz-musokhoz kapcsolódó oktatásra és képzésre vonatkozóan

A rendelkezésre álló (belsõ és külsõ) képzési programok, amelyek a biztonságra, a kontroll mechanizmu-sokra és az azokkal kapcsolatos tudatosság fokozására irányuló bevezetõ és folyamatos képzésrevonatkoznak

Megvizsgálandó kérdések:Vannak-e érvényben szabályok és eljárások a biztonságra és a kontroll mechanizmusokra vonatkozó

tudatosság folyamatos fenntartásáraVan-e olyan képzési/oktatási program, amely az információrendszerek biztonsági, irányítási és ellenõrzési

alapelveit helyezi a középpontbaAz új alkalmazottak körében tudatosítják-e a biztonsággal és kontrollal kapcsolatos kötelezettségeiket és

felelõsségüket az informatikai erõforrások használatára és kezelésére vonatkozóanVannak-e érvényben szabályok és eljárások a képzésre vonatkozóan, és azok naprakészek-e az infor-

matikai erõforrások technikai konfigurációjának tekintetébenVannak-e házon belüli képzési lehetõségek, és azokon milyen gyakorisággal vesznek részt a dolgozókVannak-e külsõ technikai képzési lehetõségek, és azokon milyen gyakorisággal vesznek részt a dolgozókVan-e olyan oktatási funkcionális egység, amely felméri a személyzet oktatási szükségleteit a biztonságra

és a kontroll mechanizmusokra vonatkozóan, és a szükségletek alapján külsõ és belsõ oktatásilehetõségeket biztosít



Tesztelendõ:Az új alkalmazottak ismerik és megértik-e az informatikai erõforrások tulajdonlásához és használatához

kapcsolódó, a biztonságra, a kontrollra és a bizalmasságra vonatkozó kötelezettségeiket ésfelelõsségüket

Folyamatosan kommunikálják-e az alkalmazottak kötelezettségeit és felelõsségét valamennyi informatikaierõforrás titkosságára, sértetlenségére, rendelkezésre állására, megbízhatóságára és biztonságáravonatkozóan

Az informatikai funkción belül formálisan felelõs-e egy külön csoport az informatikai képzésért, abiztonság és a kontroll mechanizmusok iránti tudatosságért, valamint szakmai képesítést nyújtótovábbképzési programok mûködtetéséért

Folyamatosan felmérik-e az alkalmazottak képzési szükségleteitAz oktatási követelmények része-e a biztonsággal és a kontroll mechanizmusokkal kapcsolatos ismeretek

fejlesztése vagy az azokra vonatkozó tanfolyamokon való részvételVannak-e tényleges képzési programok az alkalmazottak biztonság iránti tudatosságának kialakítására és

hosszú távú fenntartásáraValamennyi dolgozó aláírt-e titoktartási és összeférhetetlenségi nyilatkozatotVannak-e hiányzó dolgozói titoktartási és összeférhetetlenségi nyilatkozatokTeljes körûen felmérik-e az alkalmazottak képzési igényeit

DS7 Szolgáltatás és támogatásA felhasználók oktatása és képzése

Megvizsgálandó kérdések, folytatásMinden dolgozónak rendszeres idõközönként részt kell-e vennie olyan oktatáson, amely a biztonság és

kontroll iránti tudatosság fokozására irányul, és amelyek kiterjednek az alábbiakra, de nem korlá-tozódnak azokra:• általános rendszer-biztonsági alapelvek• az informatikára vonatkozó etikai elõírások• a rendelkezésre állást, a titkosságot, az integritást, érintõ hibák káros hatásaival szemben

védelmet nyújtó biztonsági eljárások, valamint a munkafeladatok biztonságos módon történõellátásának gyakorlata

• az informatikai erõforrások kezeléséhez és használatához kapcsolódó felelõsség• az információrendszerek és információk biztonsága külsõ helyszínen történõ használat esetén

A biztonság iránti tudatosság fokozására irányuló oktatás kitér-e azokra a szabályokra is, amelyek abizalmas információk beszélgetések során történõ kiszivárgásának megelõzését szolgálják (pl. abeszélgetésben résztvevõ valamennyi személynek bejelentik az információk biztonsági besorolását)




Az alábbi feladatok elvégzése révén:Az oktatási anyagok vizsgálata annak megállapítása céljából, hogy azok megfelelõek és elégségesek-e a

biztonságra, a titkosságra, a megbízhatóságra, a rendelkezésre állásra és a sértetlenségre vonatkozókontroll mechanizmusok tekintetében

Az informatikai személyzettel folytatott interjúk alapján megállapítandó, hogy meghatározták-e azoktatási szükségleteket és azokat milyen mértékben elégítették ki

Feltárva az alábbiakat:Inkonzisztenciák az oktatási szükségletek alapján összeállított tantervbenHiányosságok a felhasználóknak az informatikai erõforrások használatára vonatkozó biztonsági és belsõ

kontroll kérdéseket illetõ tudatossága terén

DS7


DS8 Szolgáltatás és támogatásA felhasználók segítése és tanácsadás



az informatikai ügyfelek segítése, a számukra nyújtott tanácsadás


a felhasználók által tapasztalt bármely probléma megfelelõ színvonalú megoldása


elsõ vonalbeli, azonnali segítséget és tanácsot nyújtó ügyfélszolgálati (helpdesk) funkció


• reagálás a felhasználói kérdésekre és problémákra • a kérdések monitorozása és megoldása• a trendek elemzése és jelentéskészítés• tudásbázis kialakítása• a problémák gyökerének feltárása• a problémák nyomon követése és továbbításuk a megoldók felé



DS8A FELHASZNÁLÓK SEGÍTÉSE ÉS TANÁCSADÁS


1 Help Desk2 A felhasználói kérdések nyilvántartása3 A felhasználói kérdések továbbítása a megoldók felé4 A felhasználói kérdések megoldásának figyelemmel kísérése5 A trendek elemzése és jelentése




Interjú készítés:Az informatikai help desk vezetõjeAz informatikai szolgáltatások kiválasztott felhasználói

Adatgyûjtés:Az informatikai szolgáltatások felhasználói számára történõ segítségnyújtásra és a támogatásukra

vonatkozó szervezeti szintû szabályok és eljárásokAz informatikai szervezeti egység alapszabálya, küldetése, szervezeti sémája és a help desk funkció

tevékenységeire vonatkozó szabályai és eljárásaiA felhasználói kérdésekhez és a kérdések megoldására vonatkozó jelentések, valamint a help desk

funkcióra vonatkozó teljesítményi statisztikákA help desk tevékenységekre vonatkozó bármely szabványAz informatikai funkció és a különbözõ felhasználók között megkötött szolgáltatási szint megállapodásokSzemélyzeti anyagok, amelyek alapján felmérhetõ a help desk funkciót ellátó személyzet tapasztaltsága és

szakképzettsége

Megvizsgálandó kérdések:Eredményes módon mûködik-e a help desk funkció (azaz hogyan dolgozzák fel a segítségkéréseket és

hogyan nyújtanak támogatást)Milyen létesítményekkel, eszközökkel és szervezettel látják el a help desk funkciót, és az mely személyek

vagy pozíciók feladata és felelõssége Megfelelõ szintû és naprakész-e a help desk funkció tevékenységeinek dokumentálása Kialakították-e a szolgáltatás-kérések naplózásának vagy regisztrálásának és a naplók felhasználásának

folyamatátMegfelelõ-e a kérdések eszkalációjának folyamata és elégséges-e a megoldásba való vezetõi beavatkozásMegfelelõek-e a beérkezõ kérések megoldására rendelkezésre álló idõkeretek Vannak-e érvényben eljárások a trendek figyelemmel kísérésére és a help desk tevékenységekre

vonatkozó jelentéskészítésreFormális keretek között történik-e a mûködés javítására irányuló kezdeményezések megtétele és végre-

hajtása Teljesítik-e a szolgáltatási szint megállapodásokat és megfelelnek-e a teljesítményi szabványoknak


Az alábbi feladatok elvégzése révén:Kiválasztott felhasználókkal folytatott interjúk annak megállapítása céljából, hogy elégedettek-e:

• a help desk funkció mûködésével• a tevékenységi jelentésekkel• a szolgáltatási szintre vonatkozó kötelezettségek teljesítésével

A help desk funkciót ellátó személyzet feladatai ellátására vonatkozó kompetenciájának és képességeinekvizsgálata

Kiválasztott eszkalált megkeresések vizsgálata annak megállapítása céljából, hogy a válaszlépésekmegfelelõek voltak-e

A trendekre és a teljesítményjavítás lehetõségeire vonatkozó jelentéskészítés vizsgálata

Feltárva az alábbiakat:A help desk funkció tevékenységeinek nem kellõen interaktív kapcsolata az informatikai funkció más

egységeivel illetve a felhasználói szervezeti egységekkelNem elégséges eljárások és tevékenységek a problémák bejelentésére vonatkozó megkeresések fogadása,

regisztrációja, naplózása, nyomon követése, eszkalációja és megoldása terénHiányosságokat mutató eszkalációs folyamat a vezetõi részvétel vagy az eredményes korrekciós

intézkedések elmaradása miattA problémák bejelentésének nem kellõ idõzítései, illetve a felhasználók elégedetlensége a problémák

bejelentésének folyamatával



Tesztelendõ:A help desk tevékenységekre vonatkozó szabályok és eljárások naprakészek és pontosak-eBetartják-e a szolgáltatási szintre vonatkozó kötelezettségeket és az eltérésekre magyarázatot adnak-eKellõ idõben megoldják-e a beérkezõ kéréseket A trend-elemzés és a jelentéskészítés folyamata tartalmaz-e garanciákat arra, hogy:

• a jelentések elkészüljenek és a trendek alapján megtegyék a szolgáltatás javítását célzóintézkedéseket

• a jelentések konkrét problémákat tartalmazzanak, közöljék a trendek elemzését és meghatározzáka válaszidõket

• a jelentéseket megkapják a problémák megoldásához szükséges hatáskörrel felruházott személyekA segítségkérések körébõl vett mintára vonatkozóan megállapítandó, hogy a válasz-intézkedések pontosak

és elégségesek voltak-e, és kellõ idõben tették-e meg azokatKészültek-e felmérések a felhasználói elégedettség szintjére vonatkozóan és tettek-e lépéseket azok

nyomán

DS8 Szolgáltatás és támogatásA felhasználók segítése és tanácsadás

Megvizsgálandó kérdések, folytatásRendszeres idõközönként meghatározzák és jelentik-e a felhasználói elégedettség szintjét





DS9 Szolgáltatás és támogatásA konfigurációkezelés



a konfiguráció kezelése


az összes informatikai alkotóelem számbavétele, az engedély nélküli változtatásokmegakadályozása, az eszközök meglétének ellenõrzése és megfelelõ kiindulópont biz-tosítása a változáskezeléshez


ellenõrzési mechanizmusok, amelyek nyilvántartják az összes informatikaieszközt és azok feltalálási helyét, valamint rendszeres ellenõrzési program,amely megerõsíti az eszközök meglétét


• az eszközök nyomonkövetése• konfiguráció-változás kezelés• az engedély nélküli szoftverek ellenõrzése• a szoftver tárolás kontrollálása• a szoftverek és hardverek közötti összefüggések és integráció• automatizált eszközök alkalmazása



DS9A KONFIGURÁCIÓKEZELÉS


1 A konfiguráció nyilvántartása2 A konfiguráció bázisának nyilvántartása3 A státusz nyilvántartása4 A konfiguráció nyilvántartás kontrollja5 Engedély nélküli szoftverek6 A szoftverek tárolása7 Konfigurációkezelési eljárások8 A szoftverekre vonatkozó elszámoltathatóság



Interjú készítés:Az informatikai üzemeltetés vezetéseAz informatikai rendszer-támogatási vezetésAz informatikai alkalmazásfejlesztési vezetésAz informatikai létesítményekért felelõs vezetésA szoftver szállítók támogató személyzeteA számítógépekkel kapcsolatos eszközgazdálkodási feladatokért felelõs alkalmazottakMinõségbiztosítási vezetõ

Adatgyûjtés:Konfiguráció leltár: hardverek, operációs rendszer szoftverek, alkalmazási rendszerek, létesítmények és

adatállományok - a belsõ és külsõ telephelyeken egyarántA vásárolt, bérelt illetve lízingelt számítástechnikai eszközök és szoftverek beszerzésére, készletezésére és

leselejtezésére vonatkozó szervezeti szintû szabályok és eljárásokAz engedély nélküli szoftverek és eszközök használatára vonatkozó szervezeti szintû szabályokA konfigurációs erõforrások beszerzésére, leselejtezésére és karbantartására vonatkozó informatikai

szabályok és eljárásokAz újonnan kifejlesztett illetve módosított szoftverek üzemi állapotba és fájlokba való független

áthelyezéséért és a migráció nyilvántartásáért felelõs minõségbiztosítási és változáskezelésifunkciókra vonatkozó informatikai szabályok és eljárások

A konfiguráció bázisára vonatkozó információkA rendszerek erõforrásokhoz kapcsolódó tárgyi eszközök és bérelt eszközök számviteli nyilvántartásaA rendszerek konfigurációjának új elemekkel való bõvítésére, meglévõ elemek eltávolítására illetve a

konfiguráció változtatásaira vonatkozó jelentésekListák a különbözõ könyvtárak tartalmáról - tesztelési, fejlesztési és üzemi könyvtárakA külsõ telephelyen tárolt készletek - berendezések, adatállományok, kézikönyvek és nyomtatványok -

listája, beleértve a szállítóknál lévõ anyagokat is




Megvizsgálandó kérdések:Megfelelõ-e a konfiguráció bázisvonalak (az a választópont a konfiguráció-elemek tervezésében és

fejlesztésében, amelyen túl a fejlesztés csak szigorú konfigurációkezelési eljárások betartása melletttörténhet) létrehozására és ellenõrzésére vonatkozó folyamat

Kialakítottak-e funkciókat a konfiguráció bázisvonalak karbantartásáraKialakították-e a vásárolt és lízingelt erõforrások státusza elszámolásának kontrollálására irányuló

folyamatot - beleértve az inputokat, az outputokat és a más folyamatokkal való integrációt isA konfigurációkezelési eljárások kiterjednek-e az alábbiakra:

• a konfiguráció bázisvonalak sértetlensége• a változáskezelési rendszerhez való programozott hozzáférés engedélyezési kontroll mechaniz-

musok • a konfiguráció-elemek és a változtatási kérelmek visszaállításának lehetõsége bármely

idõpontban• a konfiguráció végrehajtása és a konfiguráció-nyilvántartási eljárások megfelelõségét értékelõ

jelentések készítése• a konfiguráció-nyilvántartási funkció idõszakos értékelése• a konfigurációs kontroll eljárások ellenõrzéséért felelõs személyek rendelkezniük kell a

szükséges ismeretekkel, szakképzettséggel és képességekkel• eljárások kialakítása a szoftverek bázisvonalaihoz való hozzáférések ellenõrzésére• az ellenõrzések eredményeinek továbbítása a vezetés felé korrekciós intézkedések meghozatala

céljábólRendszeres idõközönként egyeztetik-e a konfigurációt a leltári és a számviteli nyilvántartásokkalA konfiguráció bázisvonalra vonatkozóan elégséges múltbeli adat áll-e rendelkezésre a változtatások

nyomon követéséhezVannak-e érvényben szoftver-változáskezelési eljárások az alábbiakra vonatkozóan:

• a licensz alapján használt alkalmazási programok könyvtárának létrehozása és karbantartása• a licensz alapján használt alkalmazási programok könyvtára megfelelõ kontrolljának biztosítása• a szoftver leltár megbízhatóságának és integritásának biztosítása• az engedélyezett és használatban lévõ szoftverek leltára megbízhatóságának és integritásának,

valamint az engedély nélküli szoftverekre vonatkozó ellenõrzés lehetõségének biztosítása• konkrét személy megbízása az engedély nélküli szoftverek kontrollálásának feladatával• az engedély nélküli szoftverek használatának nyilvántartása és arról jelentéskészítés a vezetés

számára a korrekciós intézkedések meghozatala céljából• annak eldöntése, hogy a vezetés tett-e korrekciós intézkedéseket a szabálysértések nyomán

A fejlesztés alatt álló alkalmazások tesztelési környezetbe, majd éles üzemi státuszba való migrációjakapcsolatban áll-e a konfigurációs jelentéskészítéssel

A szoftver-tárolási folyamat magában foglalja-e a következõket:• biztonságos tárolási terület (könyvtár) kijelölése minden érvényes szoftver esetében a rendszer-

fejlesztési életciklus megfelelõ szakaszaiban• annak elõírása, hogy a szoftverek tárolására szolgáló könyvtárak elválasztandók egymástól és a

fejlesztési, tesztelési illetve üzemi fájlok tárolásához használt területektõl• annak elõírása, hogy a forrás könyvtárakon belül lehetõséget kell adni az üzemi ciklusba kerülõ

forrás modulok ideiglenes könyvtárakban történõ elhelyezésére



DS9


Tesztelendõ:A konfiguráció bázisvonalra vonatkozó kontroll mechanizmusok hatálya kiterjed-e valamennyi konfig-

uráció-elemre A konfigurációval kapcsolatos jelentéskészítés szabályai és eljárásai naprakészek és pontosak-e Betartják-e a konfiguráció karbantartására és az arra vonatkozó jelentéskészítésre vonatkozó

szabványokatVégrehajtják-e a konfiguráció bázisvonal összevetését a berendezések és eszközök fizikai leltárával és az

eszköznyilvántartás adataivalFüggetlen módon történik-e a tesztelésbõl az üzemi környezetbe történõ migráció és a változtatás nyilván-

tartása A konfiguráció bázisvonalra vonatkozó kiválasztott outputokra megállapítandó:

• a konfiguráció-elemekre vonatkozóan pontos, megfelelõ és jóváhagyott konfiguráció bázisvonalattartanak-e nyilván

• a konfiguráció nyilvántartásai valamennyi konfiguráció-elem aktuális állapotát tükrözik-e, éstartalmazzák-e a múltbeli változtatásokat is

• a vezetés rendszeres idõközönként felülvizsgálja és értékeli-e a konfiguráció nyilvántartáskonzisztenciáját és meghozza-e a szükséges korrekciós intézkedéseket

• az adatállomány-könyvtárak helyesen és megfelelõ módon, valamint a rendszerfejlesztésiéletciklus megfelelõ szakaszaiban kerültek-e meghatározásra

• készül-e jelentés az olyan esetekrõl, ha bármelyik személyi számítógép engedély nélküli szoftverttartalmaz, és a vezetés meghozza-e a szükséges korrekciós intézkedéseket

• pontos-e a külsõ felektõl beszerzett valamennyi erõforrás konfiguráció nyilvántartása a termék, averzió és a módosítások vonatkozásában

• pontosak-e a konfiguráció múltbeli változtatásaira vonatkozó nyilvántartási adatok

• annak elõírása, hogy az összes könyvtár minden elemének rendelkeznie kell kijelölt tulajdonossal• a logikai és fizika hozzáférés kontroll mechanizmusainak meghatározása• a szoftverekre vonatkozó elszámoltathatóság megvalósítása• az audit szempontú nyomonkövethetõség megvalósítása• az ezen eljárás be nem tartása valamennyi esetének felderítése, dokumentálása és a vezetés felé

történõ jelentése• annak eldöntése, hogy a vezetés tett-e korrekciós intézkedéseket

Változás esetén együttmûködik-e az alkalmazásfejlesztési, a minõségbiztosítási és az üzemeltetési funkcióa konfiguráció bázisvonal aktualizálásában

A szoftverek el vannak-e látva cimkével és rendszeres idõközönként leltározzák-e azokatHasználnak-e könyvtárkezelõ szoftvert az alábbi célokra:

• audit célú nyomonkövetés lehetõségének biztosítása a program-módosításokra vonatkozóan• a program verziószámok karbantartása• a programok változtatásainak nyilvántartása és az azokról való jelentéskészítés• az éles üzemû modulok létrehozására/idõpontjaira vonatkozó információk karbantartása• másolatok õrzése a korábbi változatokról• az egyidejû frissítések kontrollálása


Tesztelendõ, folytatás• vannak-e mechanizmusok annak biztosítására, hogy a számítógépekre ne kerüljenek fel engedély

nélküli szoftverek, beleértve az alábbiakat:• Szabályok és nyilatkozatok• A potenciális anyagi felelõsség (jogi és termékhez kapcsolódó) oktatása és tudatosítása• Valamennyi számítógépet használó alkalmazott által aláírt nyilatkozat a szabályok betartására

vonatkozóan• A számítógépes szoftverek központi kontrollálása• A számítógépes szoftverek folyamatos felülvizsgálata• Jelentéskészítés a felülvizsgálatok eredményeirõl• Korrekciós intézkedések a vezetés részérõl a felülvizsgálatok eredményei alapján

• meghatározzák-e az alkalmazási programok és forráskódjaik tárolási helyét a fejlesztési ciklussorán és megvizsgálják-e azoknak a konfiguráció nyilvántartásokra gyakorolt hatását

• a külsõ telephelyeken és a szállítóknál vezetett konfiguráció nyilvántartások elégségesek éssértetlenek-e, továbbá vannak-e elvárások a konfiguráció nyilvántartás pontosságára vonatkozóanés azokkal számolnak-e

• határoztak-e meg eljárásokat a konfiguráció bázisvonalra vonatkozóan az alábbiakat illetõen:• A konfiguráció bázisvonalat létrehozó eseménynek, a bázisvonal létrehozásának és az általa

kontrollálandó konfiguráció-elemeknek a nyilvántartása• A bázisvonal megváltoztatása, beleértve a korábban jóváhagyott konfiguráció bázisvonalak

megváltoztatásának jóváhagyásához szükséges hatáskört• A bázisvonal és az általa kontrollálandó konfiguráció-elemek módosításainak nyilvántartása• Annak biztosítása, hogy valamennyi konfiguráció-elem bázisvonalhoz tartozó termékként

nyilvántartásba vételre kerül • készül-e állapot-nyilvántartási jelentés az alábbiakról:

• Az összegyûjtendõ, tárolandó, feldolgozandó és jelentendõ információk típusa (Ennek tartal-maznia kell a bázisvonal státuszát; a bázisvonal ellenõrzésének megállapításait; a változtatásikérelmeket és azok státuszát; a konfigurációt ellenõrzõ testület (amennyiben létezik) általifelülvizsgálatot és jóváhagyását/elutasítását; a ténylegesen végrehajtott változtatásokat; aproblémákra vonatkozó jelentéseket és azok státuszát, valamint a konfiguráció múltbelifelülvizsgálatait)

• A változtatási kérelmekkel kapcsolatos kérdések megoldása abban az esetben, ha az állapotnyilvántartás nem teljes

• A generálandó állapot-nyilvántartási jelentések fajtái és azok gyakorisága• A fenti állapot-adatokhoz történõ hozzáférések kontrollálása





Az alábbi feladatok elvégzése révén:A konfiguráció nyilvántartásokkal, a nyilvántartások módosításával, valamint a leltári, a számviteli és a

szállítói nyilvántartások egyeztetésével kapcsolatos vezetõi ellenõrzések gyakoriságának ésnaprakészségének részletes áttekintése

A különbözõ könyvtárak számítógépes szoftverrel történõ elemzése az esetleges ismétlések és hiányzótárgykódok azonosítása, valamint a szükségtelen adatok vagy kódállományok kiküszöböléseérdekében - és az így kapott eredmények átvezetése a konfiguráció nyilvántartásokon

Feltárva az alábbiakat:Hiányosságok a szervezeti szintû szabályok ismerete és helyes értelmezése terén a vezetés és az alkalma-

zottak körében az alábbiakra vonatkozóan:• A konfiguráció nyilvántartás és az abban eszközölt változtatások• A konfiguráció kontroll mechanizmusok helye a rendszerfejlesztési életciklusban• A konfiguráció-, számviteli- és szállítói nyilvántartások közötti integráció• Az engedély nélküli szoftverek használatának tilalma a személyi számítógépeken

Hiányosságok a konfiguráció báztisvonalak kidolgozását és karbantartását végzõ funkcióeredményességét és hatékonyságát javító fejlesztési lehetõségek terén

Hiányosságok a szállítókra vonatkozó változásoknak a konfiguráció nyilvántartásban történõátvezetésében, a nyilvántartás biztonsága terén, vagy a szállítónkénti bejegyzések helyessége terén.

DS9


DS10 Szolgáltatás és támogatásA problémák és rendkívüli események kezelése



a problémák és a rendkívüli események kezelése


a problémák és rendkívüli események megoldása, továbbá az okok feltárása az ismételtelõfordulás megelõzése érdekében


probléma-kezelõ rendszer alkalmazása, amely nyilvántartja a rendkívüli ese-ményeket és követi az azokkal kapcsolatos fejleményeket


• a problémák és megoldások audit szempontú nyomonkövet-hetõsége

• a feltárt problémák megfelelõ idõben történõ rendezése• a problémák illetékesekhez történõ továbbításával kapcsolatos el-

járások• jelentés a rendkívüli eseményekrõl• a konfigurációra vonatkozó információk hozzáférhetõsége• a szállítók kötelezettségei• összehangolás a változáskezeléssel



DS10A PROBLÉMÁK ÉS RENDKÍVÜLI ESEMÉNYEK KEZELÉSE


1 Probléma-kezelõ rendszer2 A problémák megfelelõ illetékességi szintekre történõ továbbítása (eszkaláció)3 A problémák ellenõrzési szempontú nyomonkövethetõsége4 Hozzáférés ideiglenes engedélyezése vészhelyzetekben5 Kényszerhelyzeti feldolgozási prioritások




Interjú készítés:Az informatikai üzemeltetési személyzetAz informatikai help desk személyzetAz informatikai rendszer-támogatási személyzetAz informatikai alkalmazási rendszer-támogatási személyzetAz informatikai erõforrások kiválasztott felhasználói

Adatgyûjtés:A probléma-kezelés céljait szolgáló létesítményekre és a probléma-kezelési funkcióhoz tartozó pozíciókra

vonatkozó összesítésekA probléma-kezelésre vonatkozó informatikai szabályok és eljárások, beleértve a problémák felis-

merésére, naplózására, megoldására, eszkalációjára, nyomon követésére és az arra irányuló jelen-téskészítésre vonatkozó folyamatokat

Valamely jellemzõ periódus során jelentett problémák listája, beleértve a felmerülés dátumára, azeszkaláció dátumára (amennyiben értelemszerû), a megoldás dátumára és a megoldás idõkereteirevonatkozó adatokat is

Azoknak a kritikus fontosságú alkalmazási rendszereknek a listája, amelyekkel kapcsolatos problémákatazonnal a felsõ vezetéshez kell továbbítani azok magas prioritású megoldása érdekében, illetveamelyek hibája kritikus problémaként jelentendõ

A probléma-kezelõ alkalmazási programok, és különösen azoknak az eljárásoknak az áttekintése, amelyekbiztosítják azt, hogy valamennyi problémát rögzítsék, megoldják és az elõírások szerint jelentsék

Megvizsgálandó kérdések:Kialakítottak-e egy olyan probléma-kezelõ folyamatot, amely biztosítja azt, hogy minden, a szokásos

üzemelés körén kívül esõ mûködési esemény rögzítésre, elemzésre és kellõ idõben megoldásra kerül,valamint a jelentõs problémákról jelentés készül

Vannak-e érvényben probléma-kezelési eljárások az alábbiakra vonatkozóan:• a probléma-kezelés rendszerének meghatározása és bevezetése• valamennyi nem szabványos esemény rögzítése, elemzése és kellõ idõben történõ megoldása



Tesztelendõ:A folyamat outputjai közül kiválasztott minta megfelel-e az alábbiakra vonatkozóan kinyilvánított eljárá-

soknak:• nem-kritikus problémák• eszkalációt igénylõ magas prioritású/kritikus problémák• a jelentésekre vonatkozó követelmények, tartalom, pontosság, címzettek és a megtett lépések• a felhasználók elégedettsége a probléma-kezelési eljárással és annak eredményeivel

Interjúk révén megállapítandó a probléma-kezelési folyamat ismerete és megértése

DS10 Szolgáltatás és támogatásA problémák és rendkívüli események kezelése

Megvizsgálandó kérdések, folytatás• rendkívüli esemény-jelentések kialakítása a kritikus eseményekre vonatkozóan, azoknak a

felhasználók felé történõ jelentése céljából• a problémák típusának meghatározása és egy olyan rangsorolási módszer kialakítása, amely a

kockázaton alapuló különféle megoldási lépésekre nyújt lehetõséget• a probléma-kezeléshez kapcsolódó információk logikai és fizikai kontroll mechanizmusainak

meghatározása• az outputoknak a "szükséges ismeret mértéke" elv alapján történõ szétosztása• a problémák tendenciáinak nyomon követése az erõforrások maximalizálása és a megoldási idõ

csökkentése érdekében• pontos, naprakész, konzisztens és használható adatokat összegyûjtése a jelentések elkészítéséhez• a vezetés megfelelõ szintjének értesítése eszkaláció és tájékoztatás céljából• annak eldöntése, hogy a vezetés rendszeresen értékeli-e a probléma-kezelési folyamatot annak

hatékonysága és eredményessége növelése céljából• kielégítõ audit szempontú nyomonkövetési lehetõségek biztosítása a rendszer-problémák

kezeléséhez• integráció a változás-, rendelkezésre állás- és konfigurációkezelési rendszerekkel és személy-

zettelKialakítottak-e feldolgozási prioritásokat kényszerhelyzet esetére, azokat dokumentálták-e, és azokra

vonatkozóan szükség van-e az illetékes program- és informatikai vezetõk jóváhagyásáraKialakítottak-e olyan kényszerhelyzeti és ideiglenes hozzáférés-engedélyezési eljárásokat, amelyek

elõírják az alábbiakat:• a hozzáférés szabványos nyomtatványokon történõ dokumentálása és azok lefûzése• jóváhagyás az illetékes vezetõk részérõl• a biztonsági funkció biztonságos módon történõ értesítése • a hozzáférés automatikus megszüntetése az elõre meghatározott idõ letelte után




Az alábbi feladatok elvégzése révén:A bejelentett problémák közül kiválasztottak tesztelése annak megállapítása céljából, hogy a probléma

kezelési eljárásokat betartották-e minden nem szabványos tevékenység esetében, az alábbiakvonatkozásában:

• minden nem szabványos eseményt rögzítettek-e folyamatonként• minden eseményt nyomon követtek-e és megoldottak-e• megfelelõ szintû válaszlépéseket tettek-e az esemény prioritási foka alapján• alkalmazták-e az eszkaláció folyamatát a kritikus események esetében• megfelelõ volt-e a jelentéskészítés az informatikai funkciónál és a felhasználói csoportoknál• rendszeresen felülvizsgálják-e a folyamat hatékonyságát és eredményességét annak továbbfej-

lesztése céljából• mik voltak a teljesítmény-javítási program elvárásai és eredményei

Feltárva az alábbiakat:Olyan problémák, amelyeket a probléma-kezelési folyamat nem kezel formálisan Olyan problémák elõfordulása probléma-kezelõ folyamatonként, amelyeket felismertek, de nem oldottak

megEltérések a tényleges és a formális folyamat eseményei között a problémák megoldása terénHiányosságok a felhasználók oldaláról a probléma-kezelési folyamatban, a problémák kommunikációja és

a megoldás terén - a javítás lehetõségeit szem elõtt tartva

DS10


DS11 Szolgáltatás és támogatásAz adatok kezelése



az adatok kezelése


az adatok teljességének, pontosságának és érvényességének megõrzése a rögzítés, azaktualizálás és a tárolás során


az informatikai eljárásokhoz kapcsolódó általános, illetve az alkalmazásirendszerekbe épített kontrollok hatékony kombinációja


• ûrlapok, formátumok megtervezése• a forrás-dokumentumok kontrollja• adatbeviteli (input), -feldolgozási és -kimeneti (output) kontrollok• adathordozók azonosítása, mozgatása és könyvtári kezelése• az adatok mentése és visszatöltése• hitelesítés és sértetlenség• adat-tulajdonlás• adat-adminisztrációs szabályok• adatmodellek és adatleírásra vonatkozó szabványok• integráció és konzisztencia a különbözõ informatikai

platformok között • törvényi és jogszabályi elõírások



DS11AZ ADATOK KEZELÉSE


1 Adatelõkészítési eljárások2 A forrás-dokumentumok engedélyezési eljárásai3 A forrás-dokumentumok adatainak összegyûjtése4 A forrás-dokumentumok hibáinak kezelése5 A forrás-dokumentumok megõrzése6 Adatbevitel-engedélyezési eljárások7 A pontosság, teljesség és engedélyezettség ellenõrzése8 Az adatbeviteli hibák kezelése9 Az adatfeldolgozás sértetlensége10 Az adatfeldolgozás érvényességének ellenõrzése és a szerkesztés11 Az adatfeldolgozási hibák kezelése12 A kimenõ adatok kezelése és megõrzése13 A kimenõ adatok szétosztása14 A kimenõ adatok egyeztetése15 A kimenõ adatok felülvizsgálata és a hibakezelés16 A kimenõ adatokról készült jelentésekre vonatkozó biztonsági elõírások17 A bizalmas információk védelme adattovábbítás és szállítás közben18 A megsemmisítendõ bizalmas információk védelme19 Az adattárolás kezelése20 Megõrzési idõ és tárolási feltételek21 Adathordozó-könyvtár kezelõ rendszer22 Az adathordozó-könyvtár kezeléséhez kapcsolódó felelõsségek23 Mentés és helyreállítás24 Mentési munkafolyamatok25 A mentések tárolása26 Archiválás27 A bizalmas üzenetek védelme28 Hitelesítés és sértetlenség29 Az elektronikus tranzakciók sértetlensége30 A tárolt adatok sértetlenségének folyamatos fenntartása



Interjú készítés:Az informatikai üzemeltetési vezetésAz informatikai adatbázis-adminisztrátori vezetésAz informatikai alkalmazási rendszerfejlesztési vezetésAz informatikai emberi erõforrás-gazdálkodási/képzési vezetésAz informatikai rendszer-támogatási vezetésA tartalék telephely biztonsági és adminisztrációs vezetéseAz üzletmenet szempontjából kritikus fontosságú alkalmazásokat használó felhasználói területek vezetése



Adatgyûjtés:Az adatok jellegére és kezelésére vonatkozó szervezeti szintû szabályok és eljárások, beleértve az alábbi-

akat is:• az adatok áramlása az informatikai funkción belül és azok felhasználói felé, illetve a

felhasználóitól• azok a pontok a szervezeten belül, ahol az adatokat elõállítják, csoportosítják, szerkesztik,

betáplálják, feldolgozzák, a feldolgozás eredményét kiadják, ellenõrzik, kijavítják és újra feldol-gozásra bocsátják, valamint továbbítják a felhasználókhoz

• a forrás-dokumentumok jóváhagyásának folyamata• az adatgyûjtési, nyomon követési és adatátviteli folyamatok• a bevitelre kész forrás-dokumentumok teljességét, pontosságát, nyilvántartását és átvitelét

biztosító eljárások• az adat-elõállítás során felmerülõ hibák feltárását és kijavítását biztosító eljárások• az Interneten illetve más nyilvános hálózaton keresztül továbbított bizalmas üzenetek sértetlen-

ségét, titkosságát és letagadhatatlanságát biztosító eljárások• a forrás-dokumentumok megõrzésére alkalmazott módszerek a szervezetnél (archiválás, elektro-

nikus képi rögzítés, stb.), a megõrizendõ dokumentumok köre, a jogszabályokban ésrendeletekben elõírt megõrzési kötelezettségek, stb.

• az informatikai funkció számára adatokat biztosító illetve annak adatait használó kapcsolódórendszerek

• az adatkezelési feladatokra vonatkozóan megkötött szolgáltatási szerzõdések• a tevékenységek és készletek figyelemmel kísérésére használt vezetõi jelentések

Valamennyi jelentõsebb alkalmazás és felhasználói dokumentáció listája az alábbiakra vonatkozóan:• az adatbevitel pontosságát, teljességét és engedélyezettségét ellenõrzõ modulok• az egyes alkalmazások adatbeviteli funkciói• az adatbeviteli hibák kijavítását végzõ funkciók• a hibák megelõzésére (manuális és automatizált módon), felderítésére és kijavítására használt

módszerek• a feldolgozásra átadott adatok feldolgozási sértetlenségének kontrollálása• az adatok érvényességének ellenõrzése, szerkesztése és hitelesítése a feldolgozáshoz

kapcsolódóan, az adatok elõállításához lehetõ legközelebb esõ ponton • az alkalmazások által készített outputok kezelése és megõrzése• az outputok, azok szétosztása és az azokat használó kapcsolódó rendszerek• az outputoknak az ellenõrzõ összegekkel való összevetésére és az eltérések egyeztetésére

vonatkozó eljárások• a kimeneti adatokat tartalmazó jelentések és az információk pontosságának ellenõrzése• az elosztott feldolgozás kimeneti adatait tartalmazó jelentések védelme• a továbbított illetve az alkalmazások között mozgó adatok védelme• a bizalmas bemeneti, feldolgozási és kimeneti dokumentációk megsemmisítése• a külsõ félre vonatkozó kontroll mechanizmusok az elõkészítést, az adatbevitelt, a feldolgozást és

a kimeneti adatokat érintõenA szervezet bármely központi adatbázis repozitóriumára vonatkozó szabályok és eljárások, beleértve az

alábbiakat is:• adatbázis-szervezés és adatszótár• adatbázis-karbantartási és biztonsági intézkedések • az adatbázisok tulajdonlásának meghatározása és napra készen tartása



DS11


Megvizsgálandó kérdések:Az adatok elõkészítésére vonatkozóan:

• az adatelõkészítési eljárások gondoskodnak-e az adatok teljességérõl, pontosságáról ésérvényességérõl

• vannak-e érvényben jóváhagyási eljárások valamennyi forrás-dokumentumra kiterjedõen • különválasztották-e a forrás-dokumentumok elkészítésének, jóváhagyásának és számítógépes

adatokká történõ átalakításának munkaköri feladatait• a jóváhagyott adatok teljesek, pontosak és érvényesek maradnak-e a forrás-dokumentumok elõál-

lítása során• az adatok továbbítása megfelelõ idõben történik-e• rendszeres idõközönként ellenõrzik-e a forrás-dokumentumokat elkészítésük megfelelõsége és

jóváhagyásuk megtörténte szempontjából• megfelelõen kezelik-e a hibás forrás-dokumentumokat• megfelelõ kontroll mechanizmusok érvényesülnek-e a forrás-dokumentumokban szereplõ

bizalmas információk védelmére azok illetéktelen kezekbe történõ kerülésének megakadályozásaérdekében

• az eljárások biztosítják-e a forrás-dokumentumok teljességét és pontosságát, azok megfelelõnyilvántartását és kellõ idõben történõ számítógépes adatbevitelét

• a forrás-dokumentumokat kellõen hosszú ideig megõrzik-e ahhoz, hogy adatvesztés eseténlehetõvé tegyék a helyzet rekonstruálását, illetve azok rendelkezésre állását vizsgálatok, auditok,peres eljárások során, és megfeleljenek a megõrzési idõre vonatkozó elõírásoknak

• az adatbázisok tervére és tartalmára vonatkozó változáskezelési eljárások• az adatbázisokkal kapcsolatos tevékenységeket meghatározó vezetõi jelentések és audit

szempontú nyomonkövetési lehetõségek Az adathordozó-könyvtárra és az adatok külsõ telephelyen történõ tárolására vonatkozó szervezeti szintû

szabályok és eljárások, beleértve az alábbiakat is:• az adathordozó-könyvtár adminisztrációja és a könyvtárkezelõ rendszer • a valamennyi adathordozó eszköz külsején feltüntetendõ azonosító elõírása• annak elõírása, hogy leltári nyilvántartást vezessenek valamennyi adathordozó aktuális, teljes

tartalmára vonatkozóan, és kialakítsák a tevékenység kontrollálásának folyamatát• az adat-erõforrások védelmét szolgáló rendfenntartó és karbantartó eljárások• tényleges és a nyilvántartott adatok egyeztetési eljárásai• az olyan adatok kezelése, amelyek adathordozóit újrahasznosítják és rotálják• a leltár korábbi tesztelési adatai és a végrehajtott helyreállítási tesztek• az üzemfolytonossági tervekben meghatározott adathordozók és a külsõ telephelyek személy-

zetének feladatai



Megvizsgálandó kérdések, folytatásAz adatbevitelre vonatkozóan:

• megfelelõ-e a forrás-dokumentumok jóváhagyásra történõ továbbításának útja az adatbevitel elõtt• megfelelõen szét vannak-e választva a benyújtási, jóváhagyási, engedélyezési és adatbeviteli

feladatok • a terminálok vagy munkaállomások el vannak-e látva egyedi kódokkal, és az operátorok bizton-

ságos módon azonosíthatóak-e• a munkaállomások és az operátorok azonosítóinak használata, karbantartása és kontrollja• a bemeneti adatok forrásának azonosítását biztosító audit szempontú nyomonkövetési lehetõségek• az adatbeviteli eljárások vagy az adatszerkesztések ellenõrzése az adatelõállítási ponthoz a lehetõ

legközelebb történik-e• megfelelõ-e a hibásan bevitt adatok kezelése • egyértelmûen kijelölték-e az adatok megfelelõ engedélyezésének betartatásáért való felelõsségi

köröket

Az adatfeldolgozásra vonatkozóan:A programok tartalmaznak-e hibákat megelõzõ, felderítõ és javító rutinokat:

• a programoknak tesztelniük kell a bemenõ adatokat az esetleges hibák szempontjából (azazérvényesség ellenõrzés és szerkesztés)

• a programoknak ellenõrizniük kell az összes tranzakció érvényességét az ugyanarra a tranzak-cióra vonatkozó törzsadatok alapján

• a programok nem engedhetik meg a hiba-körülmények felülbírálatátA hibakezelõ eljárások tartalmazzák-e a következõket:

• a hibák kijavítását és az adatok ismételt feldolgozásra való bocsátását jóvá kell hagyni• meg kell határozni a vonatkozó egyéni felelõsségi köröket• a feldolgozásra felfüggesztett fájloknak jelentést kell generálniuk a megoldatlan hibákra

vonatkozóan• rendelkezésre kell állnia a feldolgozásra felfüggesztett fájlok kor és típus szerinti prioritási

sémájának Rendelkezésre áll-e audit szempontú nyomonkövetési lehetõség a végrehajtott programokra és a feldolgo-

zott/elutasított tranzakciókra vonatkozóanFigyelemmel kíséri-e egy olyan ellenõrzõ csoport az adatbeviteli tevékenységet, amely kivizsgálja a nem

szabványos eseteket és valamennyi feldolgozott adatra vonatkozóan egyezteti a rekordszámot és azellenõrzõ összegeket

Minden mezõt szerkesztése megfelelõ módon történik-e, az esetben is, ha valamelyik mezõ hibásGyakran felülvizsgálják-e az érvényesség ellenõrzése során használt táblákat Írásban rögzített eljárások szabályozzák-e a hibás adatok kijavításának és ismételt feldolgozásra való

bocsátásának módját, beleértve az ismételt feldolgozás megszakításmentes megoldását isAz ismételt feldolgozásra bocsátott tranzakciókat pontosan ugyanúgy dolgozzák-e fel, mint az eredeti

tranzakciókatA hibák kijavítása az eredeti feldolgozásra bocsátást végzõ funkció feladata-eA mesterséges intelligenciával rendelkezõ rendszerek esetében olyan interaktív kontroll mechanizmu-

sokkal ellátott, emberi üzemeltetõket alkalmazó környezetet alakítottak-e ki, amely biztosítja azt,hogy a legfontosabb döntések jóváhagyásra kerülnek



DS11Az outputokra, az interfészekre és a kimeneti adatok szétosztására vonatkozóan:Az outputokhoz való hozzáférés fizikailag és logikailag is korlátozva van-e az arra jogosult személyek

számáraFolyamatosan felülvizsgálják-e az outputok elõállításának szükségességét A kimeneti adatokat rutinszerûen egyeztetik-e a megfelelõ ellenõrzõ összegekkel Vannak-e audit szempontú nyomonkövetési lehetõségek a tranzakció-feldolgozás követésére és a megsza-

kított feldolgozás adatainak egyeztetéséreEllenõrzik-e a kimeneti adatokat tartalmazó jelentések pontosságát, és a kimeneti adatokban lévõ hibákat

megfelelõen kezeli-e az erre kijelölt képzett személyzetVilágosan meghatározták-e az output, a rendszerek közötti kapcsolat és az outputok terítése folyamán

felmerülõ biztonsági kérdéseketTájékoztatják-e a vezetést a biztonsági elõírások bármely fázisban elõforduló megsértésérõl, arra

vonatkozóan meghozzák-e a szükséges intézkedéseket és azok tükrözõdnek-e új eljárásokban,amennyiben szükséges

Világosan meghatározták-e az outputok megsemmisítésének folyamatát és az ennek végrehajtásáravonatkozó felelõsségi köröket

Tanúk által igazolják-e a felhasznált, de a feldolgozást követõen szükségtelenné vált anyagok megsem-misítését

Minden adatbeviteli és kimeneti adathordozót külsõ telephelyen tárolnak-e arra az esetre, ha késõbbszükség lenne rájuk

A töröltként megjelölt információkat megváltoztatják-e oly módon, hogy azok többé ne legyenekvisszanyerhetõek

Az adathordozó-könyvtárakra vonatkozóan:Az adathordozó könyvtár tartalmát szisztematikusan leltározzák-e A leltár során feltárt rendellenességeket kellõ idõben kiküszöbölik-e Tettek-e intézkedéseket a könyvtárban tárolt mágneses adathordozók sértetlenségének megõrzésére Vannak-e érvényben rendtartási eljárások az adathordozó könyvtár tartalmának védelméreAz informatikai funkción belül ki vannak-e jelölve az adathordozó könyvtár kezeléséhez kapcsolódó

feladatok ellátásáért felelõs személyek Van-e érvényben mentési és helyreállítási stratégia az adathordozókra vonatkozóanKészítenek-e mentéseket az adathordozókról a meghatározott mentési stratégia alapján, és rendszeresen

ellenõrzik-e a mentések használhatóságátBiztonságos módon tárolják-e az adathordozókról készített másolatokat, és rendszeres idõközönként

ellenõrzik-e a tárolási helyszínek fizikai biztonságát, valamint az adatállományok és egyéb tételekbiztonságát

Meghatározták-e a dokumentumok, adatok, programok, jelentések és üzenetek (bejövõ és kimenõüzeneteket egyaránt beleértve), valamint az azok titkosításához és hitelesítéséhez használt adatok(kulcsok, tanúsítások) megõrzési idejét és tárolási feltételeit

A papír formátumú forrás-dokumentumok megõrzése mellett rögzítik és megõrizik-e a telefonbeszél-getéseket is - amennyiben ez nem ellentétes a személyi adatok védelmére vonatkozó helyitörvényekkel - az olyan üzleti tranzakciók illetve egyéb üzleti tevékenységek esetében, amelyekettradicionálisan telefonon keresztül szoktak elintézni

Megfelelõ eljárások vannak-e érvényben az információk (adatok és programok) archiválására, azokösszhangban vannak-e a jogi és üzleti követelményekkel, és biztosítják-e a számonkérhetõséget és areprodukálhatóságot



Tesztelendõ:Az adatok elõkészítése:A forrás-dokumentumokból vett mintára vonatkozóan megállapítandó, hogy a dokumentumok

megfelelnek-e az engedélyezésre, jóváhagyásra, pontosságra, teljességre és az adatbevitel céljábóltörténõ átvételre vonatkozóan kinyilvánított eljárásoknak, és az adatbevitel kellõ idõben történt-evégrehajtásra

A forrás-adatokkal, az adatbevitellel és az adat-konverzióval foglalkozó alkalmazottak ismerik-e ésmegértik-e az adatok elõkészítésére vonatkozó irányítási és ellenõrzési követelményeket

Az adatbevitel:Teszt-adatok bevitelével (amelyek helyes és hibás tranzakciókat egyaránt tartalmaznak) ellenõrizendõ,

hogy végrehajtásra kerülnek-e a pontosságra, a teljességre és az engedélyezettségre vonatkozóellenõrzések

Kiválasztott tranzakciókra vonatkozóan összehasonlítandó a törzsállományok adatbevitel elõtti és utániállapota

Érvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat összhangjaA hibák kezeléséhez kapcsolódó eljárások és intézkedések összhangban vannak-e az érvényben lévõ

szabályokkal és kontroll mechanizmusokkal

Az adatok feldolgozása:Ténylegesen használják-e programfutások közötti ellenõrzõ összegeket és a törzsállományok frissítésének

kontroll eljárásaitTeszt-adatok bevitelével (amelyek helyes és hibás tranzakciókat egyaránt tartalmaznak) megállapítandó,

hogy az adatoknak a feldolgozáshoz kapcsolódó érvényesség ellenõrzésére, hitelesítésére ésszerkesztésére valóban az elõállítási ponthoz a lehetõ legközelebb kerül sor

A hibakezelési folyamat az érvényben lévõ eljárásoknak és kontroll mechanizmusoknak megfelelõenmûködik-e

Érvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat üsszhangja, ésazok megfelelõen mûködnek-e

A hibakezelési eljárások és intézkedések összhangban vannak-e az érvényben lévõ szabályokkal éskontroll mechanizmusokkal


Megvizsgálandó kérdések, folytatásAz információk hitelesítésére és sértetlenségére vonatkozóan:Rendszeres idõközönként ellenõrzik-e az adatállományok sértetlenségétA szervezethez kívülrõl, telefonon vagy hangpostán keresztül érkezõ kéréseket ellenõrzik-e visszahívással

vagy egyéb hitelesítési módszerrel Elõre meghatározott módszer szerint elvégzik-e a telefaxon illetve elektronikus képrögzítõ rendszeren

keresztül beérkezett kérések forrása és tartalma hitelességének független ellenõrzésétElektronikus aláírással vagy tanúsítvánnyal ellenõrzik-e a bejövõ elektronikus dokumentumok sértetlen-

ségét és hitelességét



DS11Az adatkimenet, az interfészek és az adatok szétosztásaA kimeneti adatokat rutinszerûen egyeztetik-e a vonatkozó ellenõrzõ összegekkel Biztosítanak-e audit szempontú nyomonkövetési lehetõségeket a tranzakció-feldolgozás követésére és a

megszakított feldolgozásokban szereplõ adatok egyeztetéséreA kimeneti jelentések készítõi és érintett felhasználói ellenõrzik-e azok pontosságátÉrvényesül-e a hibák kezeléséhez kapcsolódó adatmegõrzés, hibaelhárítás és felülvizsgálat összhangja, és

azok megfelelõ módon mûködnek-eA hibák kezeléséhez kapcsolódó eljárások és intézkedések összhangban vannak-e az érvényben lévõ

szabályokkal és kontroll mechanizmusokkalMegfelelõ biztonsági elõírások vonatkoznak-e a kiosztásra váró illetve a felhasználóknak már kiosztott

output jelentésekre, és azok összhangban vannak-e az érvényben lévõ eljárásokkal és kontroll mecha-nizmusokkal

Megfelelõ védik-e a bizalmas információkat az illetéktelen hozzáférésekkel és módosításokkal szembenazok átvitele illetve szállítása során

A leselejtezésre ítélt bizalmas információkra vonatkozó eljárások és intézkedések összhangban vannak-eaz érvényben lévõ szabályokkal és kontroll mechanizmusokkal

Az adathordozó könyvtár:Szisztematikusan leltározzák-e az adathordozó könyvtár tartalmát; a leltár során feltárt rendellenességeket

kellõ idõben kiküszöbölik-e, és tettek-e intézkedéseket a könyvtárban tárolt adathordozók sértetlen-ségének megõrzésére

Kidolgoztak-e rendtartási eljárásokat az adathordozó könyvtár tartalmának védelmére, és azokmegfelelõen mûködnek-e

Megfelelõen ki vannak-e jelölve az adathordozó könyvtár kezeléséhez kapcsolódó felelõsségi körökAz adathordozó könyvtár független-e az adatelõkészítési, -beviteli, -feldolgozási és a -kimeneti

funkcióktólMegfelelõ-e az adathordozók mentési és helyreállítási stratégiájaA mentésekre megfelelõ módon, az érvényben lévõ mentési stratégiával összhangban kerül-e sorAz adathordozók tárolásának helyszínei fizikailag biztonságosak-e és a leltáruk naprakész-eAz adattárolás kapcsán tekintettel vannak-e a visszakereshetõségi követelményekre és a

költséghatékonyságraMegfelelõek-e a dokumentumokra, adatokra, programokra és jelentésekre vonatkozóan meghatározott

megõrzési idõszakok és feltételek

Az információk hitelesítése és sértetlensége:Megfelelõen védik-e az Interneten illetve más nyilvános hálózaton keresztül továbbított bizalmas

üzenetek sértetlenségét, titkosságát és letagadhatatlanságátMegfelelõ eljárások révén minimalizálták-e az üzenetek (levelek, faxok, e-mail) téves címzésének

kockázatátAlkalmazzák-e a szokásos esetben valamely konkrét tranzakció vagy eljárás, például telefax vagy

automatikus telefon-üzenetrögzítõ használata esetében alkalmazott kontroll mechanizmusokat az adotttranzakciókat illetve eljárásokat támogató számítógépes rendszerek esetében is (pl. a személyiszámítógépre telepített fax-programok esetében)


Az alábbi feladatok elvégzése révén:Az adatkezelés összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi

szabványokkal/ágazati legjobb gyakorlattalKiválasztott tranzakciókra vonatkozóan ellenõrizendõ a feldolgozás megfelelõsége az alábbiak során:

• az adatok elõkészítése• az input feldolgozása• az adatfeldolgozás• az output, a kiosztás vagy integráció• a hibakezelés a feldolgozás minden egyes szakaszában• az adatok sértetlensége a hibakezelés során a feldolgozás minden egyes szakaszában• a megõrzés és megsemmisítés

A tesztelés kiemelt szempontjai a következõk:• az adatok teljessége, pontossága és érvényessége a feldolgozás minden egyes szakaszában• megfelelõ jóváhagyások és engedélyezések• a megelõzõ, felderítõ és korrekciós kontroll mechanizmusok megléte - a feldolgozáson belül vagy

egy ellenõrzõ csoport manuális/eljárásbeli funkciói révén• a forrás-dokumentumok megõrzése a késõbb szükségessé váló ellenõrzésekhez - a megõrzésre

vonatkozó elõírások betartása• kiválasztott forrás-dokumentumok és tranzakciókat tároló adathordozók visszakeresése alapján

ellenõrizendõ azok megléte és pontossága• az audit szempontú nyomonkövethetõség elemzése: létezik-e, a forrás/operátor azonosítható-e és

minden kapcsolódó rendszer azonos szintû kontrollal rendelkezik-e a tranzakciók fölött• az adatbeviteli és feldolgozási programok szerkesztési jellemzõi, beleértve az alábbiakat, de nem

azokra korlátozódóan:• Üres helyek a kötelezõen kitöltendõ mezõkben• A tranzakció kódok érvényességének ellenõrzése• Negatív összegek• Minden egyéb megfelelõ feltétel

• a feldolgozáson belül elvégzett érvényesség-ellenõrzések elégséges volta• a hibás tranzakciókat tartalmazó függõ fájlokra vonatkozóan az alábbi kontroll mechanizmusok

megléte:• A hibát elkövetõ operátor azonnali azonosítása és értesítés a hibáról• Minden hibás tranzakció átmozgatása ezekbe a függõ fájlokba• Nyilvántartás vezetése mindaddig, amíg a tranzakciót nem tisztázzák és el nem távolítják• A hiba kódjának, a bevitel dátumának és idõpontjának, valamint az operátor/gép

azonosítójának feltüntetése a tranzakciók adataiban• Nyomon követési jelentések generálása a függõ fájlok által vezetõi felülvizsgálat, a tenden-

ciák elemzése és a hibák elhárítására irányuló oktatás céljából• az adat-elõállítási, -beviteli, -feldolgozási, érvényesség-ellenõrzési és -kiosztási munkaköri

feladatok elkülönítése egymástólKiválasztott kimeneti tranzakciókra vonatkozóan:

• a feldolgozott tranzakciókat tartalmazó listák közül kiválasztott minta ellenõrzése teljesség éspontosság szempontjából





DS11• az output jelentések közül kiválasztott minta ellenõrzése teljesség és pontosság szempontjából• az outputok megõrzésére vonatkozó tervek áttekintése megfelelõségük és az eljárásokkal való

összhangjuk szempontjából• annak ellenõrzése, hogy az outputok közül kiválasztott minta tényleges szétosztása pontosan

történt-e meg• az integrált feldolgozások ellenõrzése az egyik rendszer outputjaira és a másik inputjaira

vonatkozó tranzakció-feldolgozási naplók összevetése révén • az egyeztetési eljárások ellenõrzése valamennyi inputra, feldolgozási outputra és az egyéb rend-

szerek által használt tranzakciókra vonatkozóan• annak ellenõrzése, hogy csak az arra jogosult személyek férhetnek-e hozzá a bizalmas jelen-

tésekhez• annak ellenõrzése, hogy valamennyi adathordozó megsemmisítésére illetve külsõ tárolási helyen

történõ elhelyezésére a megõrzésre vonatkozó szabályoknak és eljárásoknak megfelelõen kerül-esor

• annak ellenõrzése, hogy a tényleges megõrzési idõk megfelelnek-e a megõrzési idõszakokravonatkozó eljárásoknak

• a bizalmas outputok tényleges kiszállításának vagy továbbításának megfigyelése annak megál-lapítása céljából, hogy az megfelel-e a feldolgozásra, a kiosztásra és a biztonságra vonatkozóeljárásoknak

• annak ellenõrzése, hogy a mentések elvégzése és integritása összhangban áll-e a szokásos feldol-gozási folyamatokkal és az üzemfolytonossági tervvel

Az adathordozó könyvtárra vonatkozóan:• az érzékeny rendszer-eszközök felhasználói hozzáférési jogainak áttekintése annak megállapítása

céljából, hogy az megfelelõ-e• a megsemmisítésre kerülõ adathordozók közül kiválasztott mintára vonatkozóan a teljes folyamat

megfigyelése annak megállapítása céljából, hogy az megfelel-e a jóváhagyott eljárásoknak• annak megállapítása, hogy megfelelõ kontroll mechanizmusokat alkalmaznak-e a külsõ

telephelyen történõ tárolásra és az adatok szállítására vonatkozóan• az adathordozó könyvtárban végzett legutóbbi leltározás eredményeinek áttekintése azok

pontosságának megállapítása céljából• megállapítandó, hogy elégségesek-e a nyilvántartások célját szolgáló feldolgozó egységek a

szükséges adathordozókhoz való hozzáféréshez• a belsõ és külsõ címkézési szabályok megkerülését korlátozó kontroll mechanizmusok áttekintése• a belsõ és külsõ kontroll mechanizmusoknak való megfelelés tesztelése kiválasztott adathordozók

ellenõrzése alapján• a mentések készítésére vonatkozó eljárások áttekintése annak megállapítása céljából, hogy

elégséges adatok állnak-e rendelkezésre katasztrófa-helyzet esetén• az adathordozó könyvtárra vonatkozó ellenõrzések alapján megállapítandó, hogy azokra az elõírt

ütemezési követelményeknek megfelelõen került-e sor

Feltárva az alábbiakat:• azok az esetek, amikor az operátorok az éles üzemû fájlokon közvetlenül hajtanak végre

mûveleteket, nem hozzák létre és nem õrzik meg azoknak a mûveleteket megelõzõ és azokatkövetõ állapotának képét

• nem védik a bizalmas input és output nyomtatványokat (pl. csekk készleteket, készlet igazolá-sokat)

• nem naplózzák a kötegelt mûveletekre és a feldolgozásokra vonatkozó ellenõrzõ összegeket afeldolgozás minden szakaszában

• az output jelentések nem hasznosak a felhasználók számára: az adatok nem relevánsak és nemhasznosak, nem megfelelõ a jelentések terítése, formája és gyakorisága, valamint nem kontrol-lálják a jelentésekhez történõ online hozzáférést

• az átvitelre kerülõ adatok esetében nem alkalmaznak olyan további kontroll mechanizmusokat,mint:• Korlátozott küldési/fogadási jogosultságok• A feladó és a fogadó megfelelõ engedélyezése és azonosítása• Biztonságos adatátviteli mód• A továbbításra kerülõ adatok titkosítása és megfelelõ kibontó algoritmus• Az adatátvitel teljességét ellenõrzõ integritási tesztek• Az ismételt továbbításra vonatkozó eljárások

• a hiányos kontroll mechanizmusokkal megkötött, pl. a megsemmisítésrõl nem rendelkezõszállítói szerzõdések

• a külsõ telephelyek olyan környezeti veszélyeket jelentõ hiányosságai, mint a tûz, víz, elektromosproblémák, illetve a jogosulatlan hozzáférés







DS12 Szolgáltatás és támogatásA létesítmények kezelése



a létesítmények kezelése


a megfelelõ fizikai környezet biztosítása, amely megvédi az informatikai eszközöket ésa dolgozókat az emberi eredetû és a természeti veszélyforrásoktól


megfelelõ környezeti és fizikai védelmi kontrollok bevezetése és azok megfe-lelõ mûködésének rendszeres felülvizsgálata


• hozzáférés a létesítményekhez• a telephely azonosítása• fizikai biztonság• vizsgálati és felterjesztési szabályok• üzletfolytonossági tervezés és válságkezelés• dolgozói egészség- és munkavédelem• megelõzõ karbantartási szabályok• a környezeti veszélyekkel szembeni védelem• automatikus felügyelet (monitoring)



DS12A LÉTESÍTMÉNYEK KEZELÉSE


1 Fizikai védelem2 Az informatikai telephelyre vonatkozó információk elrejtése3 A látogatók kísérése4 A személyzet egészség- és munkavédelme5 A környezeti tényezõkkel szembeni védelem6 Szünetmentes áramforrás




Interjú készítés:A létesítményekért felelõs vezetõA biztonsági felelõsA kockázatkezelési vezetõAz informatikai üzemeltetési vezetõAz informatikai biztonsági vezetõ

Adatgyûjtés:A létesítmények kezelésére, elhelyezésére, biztonságára és munkavédelmére, a tárgyi eszközök leltárára,

valamint a tõke-beruházásokra/lízingre vonatkozó szervezeti szintû szabályok és eljárásokAz informatikai szabályok és eljárások a létesítmények elrendezésére, fizikai és logikai biztonságára,

védelmére, hozzáférhetõségük jogosultságaira, karbantartására, megjelölésére, a látogatókra, azegészség-, baleset-, munka- és környezetvédelmi követelményekre, a be- és kiléptetési mechanizmu-sokra, a biztonsággal kapcsolatos jelentésekre, a biztonsággal és karbantartással kapcsolatosszerzõdésekre, a berendezések leltározására, a felügyeleti eljárásokra és a jogszabályikövetelményekre vonatkozóan

Lista azokról a személyekrõl, akik hozzáférési jogosultsággal rendelkeznek a létesítményekhez és azokalaprajzához

Lista az informatikai erõforrások (létesítmények és berendezések) teljesítményi elvárásaival kapcsolatosteljesítményi-, kapacitás- és szolgáltatási szint megállapodásokról, az ágazati szabványokat isbeleértve

Az üzemfolytonossági terv egy példánya

Megvizsgálandó kérdések:A létesítmény helye kívülrõl nem nyilvánvaló-e, a lehetõ legnehezebben megközelíthetõ területen vagy

elrendezésben helyezkedik-e el, és a hozzáférés a lehetõ legkevesebb személyre korlátozódik-eMegfelelõek-e a logikai és fizikai hozzáférésre vonatkozó eljárások, beleértve a személyzet, a külsõ felek,

valamint a berendezések és a létesítmények karbantartói hozzáférési jogosultságainak profiljait is



Megvizsgálandó kérdések, folytatásMegfelelõek-e a kulcs- és kártyaolvasó-kezelési eljárások és módszerek, beleértve azok folyamatos aktua-

lizálását és felülvizsgálatát a szükséges legalacsonyabb hozzáférési jog elve alapjánMegfelelõ hozzáférési és engedélyezési szabályok vonatkoznak a be- és kilépésekre, a kíséretre, az

ideiglenes belépési engedélyekre és a figyelõ kamerákra, valamennyi terület, de különösen a bizal-masnak minõsülõ területek esetében

A hozzáférési jogosultságokat biztosító profilok idõszakos és rendszeres felülvizsgálata, beleértve avezetõi ellenõrzéseket is

A biztonsági elõírások megszegése esetén sor kerül-e a jogosultságok visszavonására, válaszintézkedésekre, illetve eszkalációs folyamatra

A biztonságra és a hozzáférésekre vonatkozó kontroll eljárások kiterjednek-e a hordozható és/vagy a külsõtelephelyen használt informatikai eszközökre is

Olyan jelzésrendszert alkalmaznak-e, amely nem azonosítja a bizalmasnak minõsülõ területeket, ésmegfelel a biztosításra vonatkozó követelményeknek, a helyi építési szabályoknak és a jogszabályikövetelményeknek

Felülvizsgálják-e a látogatók regisztrációját, a belépõkártyák kiosztását, a kíséretet, a látogatóért felelõsszemély kijelölésének megtörténtét, a látogatási naplót annak megállapítása céljából, hogy mind a be-,mind a kijelentkezés megtörtént-e, valamint azt, hogy a recepció személyzete tisztában van-e a bizton-sági eljárásokkal

Felülvizsgálják-e a tûz-, idõjárási- és elektromos figyelmeztetõ és riasztási eljárásokat, valamint a külön-bözõ szintû környezeti kényszerhelyzetekre vonatkozó cselekvési forgatókönyveket

Felülvizsgálják-e a légkondicionálásra, a szellõzésre és a páratartalom szabályozására vonatkozó eljárá-sokat, valamint az azok kiesése esetére vagy a nem várt eseményekre vonatkozó cselekvésiforgatókönyveket

Felülvizsgálják-e a biztonsági elõírások megszegéséhez kapcsolódó riasztási folyamatot, az alábbiakrakiterjedõen:• a riasztási prioritások meghatározása (azaz a szél által kinyitott ajtó esetétõl a fegyveres bombatá-

madó megjelenéséig terjedõ esetekre vonatkozóan)• az egyes riasztási prioritásokra vonatkozó cselekvési forgatókönyvek• a belsõ személyzet feladatai és felelõssége a helyi vagy a külsõ biztonsági személyzet feladataival

és felelõsségével szemben• együttmûködés a helyi hatóságokkal• a legutóbbi riasztási gyakorlat áttekintése

Van-e olyan szervezeti egység, amely felelõs az informatikai funkción belüli fizikai hozzáférésekért, azalábbiakra kiterjedõen:• a biztonsági szabályok és eljárások kidolgozása, karbantartása és folyamatos felülvizsgálata• kapcsolatok kiépítése biztonsági szolgáltatókkal• kapcsolattartás a létesítmény-kezeléssel a biztonsághoz kapcsolódó technikai kérdésekben• a biztonsági felvilágosítás és képzés szervezeti szintû koordinálása• a logikai hozzáférés kontrollálását érintõ tevékenységek koordinálása központi alkalmazási

rendszereken és az operációs rendszeren keresztül• biztonsági felvilágosítás és oktatás biztosítása nem csupán az informatikai funkción belül, hanem

a szolgáltatások felhasználói számára isLétezik-e kialakult gyakorlat a szervezet telephelyén tartózkodó takarító személyzet, valamint az étel- és

ital-automaták kiszolgáló személyzetének biztonsági átvilágítására



DS12A biztonsági szolgáltatási szerzõdések tartalma, azokat aktualizálják és újra tárgyalják-eA behatolási tesztek eljárásai és eredményei

• összehangolják-e a fizikai behatolási tesztekre vonatkozó forgatókönyveket• összehangolják-e a fizikai behatolási tesztelést a szolgáltatókkal és a helyi hatóságokkal

Betartják-e a baleset-, egészség- munka- és környezetvédelmi elõírásokatAz üzemfolytonossági terv kitér-e a fizikai biztonság kérdésére is, és hasonló fizikai biztonságot nyújt-e a

szolgáltatók létesítményeire vonatkozóan isRendelkezésre állnak-e a biztonság megvalósításához szükséges alábbi alternatív infrastruktúra-elemek:

• szünetmentes áramforrás• alternatív vagy átirányított telekommunikációs vonalak• alternatív víz-, gáz-, légkondicionálási és páratartalom-szabályozó erõforrások


Tesztelendõ:A személyzet tudatában van-e a biztonsági és védelmi kontroll intézkedések szükségességének és megérti

e aztA kábelszekrények fizikailag biztonságosak-e, azokhoz csak az arra jogosult személyek férhetnek-e

hozzá, és a kábelek vezetése a lehetõségek szerint a padlózat alatt illetve biztonságos kábelc-satornákban történik-e

Azonosítják-e jelzések a kényszerhelyzet esetén használandó menekülési útvonalakat és megjelölik-e akényszerhelyzet esetére vagy a biztonsági elõírások megszegése esetére vonatkozó teendõket

A létesítmény más részeiben elhelyezett jelzések vagy telefonkönyvek nem utalnak-e arra, hogy melyek abiztonsági szempontból kényes területek

A látogatási napló megfelelõen követi-e a biztonsági eljárásokatSzükség van-e személyi azonosításra minden be- és kilépés esetén - megfigyelés révénFel vannak-e térképezve az ajtók, ablakok, felvonók, rakodóhelyek, szellõzõcsatornák, kürtõk és más

bejutási pontokA számítógépterem el van-e különítve és le van-e zárva, és oda csak az üzemeltetõ és a karbantartó

személyzet léphet-e be szükségességi alaponA létesítmény személyzete olyan mûszakváltásban dolgozik-e, ahol rendszeresen cserélik a mûszakokat,

és a személyzet megfelelõ szabadnapokat és szabadságokat vesz-e kiVannak-e érvényben karbantartási eljárások és nyilvántartások a munkák megfelelõ idõben történõ

elvégzésének érdekébenJelentik-e a szabályoktól és eljárásoktól való eltéréseket a 2. és 3. mûszakban történõ üzemeltetésre

vonatkozóanMódosítják-e a tervrajzokat a konfiguráció, a környezet és a létesítmények változásainak megfelelõen Alkalmaznak-e környezeti és biztonsági figyelõ berendezéseket - a padlózat alatt, felett és körülNem tárolnak-e veszélyes árukat, anyagokatVannak-e audit szempontú nyomonkövetési lehetõségek a biztonsági szoftverhez vagy a kulcskezelési

jelentésekhez való hozzáférések ellenõrzéséreNyomon követik-e a múltbeli kényszerhelyzeteket vagy azok dokumentációitA hozzáféréssel rendelkezõ személyzet tagjai ténylegesen alkalmazottak-eVégeznek-e ellenõrzéseket a hozzáféréseket biztosító kulcsok kezelése teljességére vonatkozóanMegfelelõ képzést és felvilágosítást kapnak-e a biztonsági õrök


Az alábbi feladatok elvégzése révén:A létesítmény-kezelés összemérése hasonló szervezetekével illetve a megfelelõ nemzetközi

szabványokkal/ágazati legjobb gyakorlattalA fizikai elhelyezkedés összehasonlítása az épületek rajzaival és a biztonsági eszközök valós

elhelyezésévelAz alábbiak megállapítása:

• a létesítmény maga nem tûnik-e rendszer-szolgáltatási központnak és nem utal-e erre közvetettformában valamilyen külsõ tábla, parkoló jelzés, stb.

• az ajtók számát korlátozzák-e a helyi építési/biztosítási szabályok • a helyszínt megfelelõ fizikai akadályok védik-e a jármûvek és személyek általi jogtalan

megközelítésével szemben• a közlekedési szabályok nem irányítják-e az embereket a biztonsági területek felé• kielégítõ-e a videó-megfigyelés és a szalagok felülvizsgálata• a számítógépes berendezések megfelelõ távolságra vannak-e elhelyezve egymástól a hozzáférés,

a hõelvezetés és a karbantartás szempontjából• megfelelõ védõborítások állnak-e rendelkezésre kényszerhelyzet esetére vízzel és egyéb idegen

elemmel szemben• felülvizsgálták-e a riasztó-rendszerrel kapcsolatos munkákat a karbantartási napló alapján és a

legutóbbi riasztási gyakorlatról készített jelentéstA hõmérséklet, a páratartalom és az elektromos áram tesztelése - az emelt padlózat alatt és fölött; ha

abnormális jelenségeket észleltek, milyen vizsgálatokat végeztek illetve milyen elhárítóintézkedéseket tettek azok nyomán

Valamennyi zár és belsõ zsanér ellenõrzéseA terület bejárása azonosító igazolvány nélkül, annak megállapítása céljából, hogy kérdõre vonják-e

annak hiányátA biztonsági õrök/portások felügyelete kiterjedésének megállapítása a látogatóknak a létesítményen

történõ átkísérése soránÁthatolási tesztek végrehajtása a biztonsági védelmen



Tesztelendõ, folytatásMegfelelõ-e a biztosítással való lefedettség, illetve kellõ szakértelem áll-e rendelkezésre a biztonsági

eseményekhez kapcsolódó költségekre, az elmaradt üzleti nyereségre és a létesítmény helyreál-lításához kapcsolódó költségekre vonatkozóan

Mûködik-e és ismert-e a kulcsokhoz és a folyamatok logikai kontroll mechanizmusaihoz való hozzáférésmegváltoztatásának folyamata

A környezet megfelel-e a jogszabályi követelményeknekA riasztási naplókat nem lehet-e jogtalanul megváltoztatniDokumentálják-e a hozzáférési jogosultságokat biztosító kódok módosításának és a hozzáférési profilok

felülvizsgálatának gyakoriságát - mind a felhasználókra, mind a létesítményekre vonatkozóan



Feltárva az alábbiakat:A tájékoztató jelzések, tûzoltó készülékek, sprinkler rendszerek, szünetmentes áramforrások, vízelvezetés,

kábelezés és rendszeres karbantartás megfelelõségeAz ablakok esetében annak megállapítása, hogy az erõforrások nem figyelhetõk-e meg kívülrõl, illetve az

adatfeldolgozási központok ablaka nem mûködik-e kirakatkéntA biztonsági behatolási tesztek meghatározásaA látogatói tesztek, beleértve a regisztrációt, a kitûzõket, a kíséretet, a csomagok átvizsgálását, a látogatók

magukra hagyásátEllentmondások a látogatói bejelentkezések és a látogatói belépõkártyákra vonatkozó feljegyzések közöttA hozzáférési jogosultságokat biztosító profilok és azok múltbeli alakulásának felmérése a kulcskezelésre

vonatkozó jelentések alapján, beleértve az elveszített kitûzõk/kulcskártyák pótlását és az elveszítettekletiltását is

A helyi katasztrófákra vonatkozó statisztikák áttekintéseKatasztrófa-helyzetekben történõ behatolásokra vonatkozó forgatókönyvek kidolgozásaVannak-e érvényben szolgáltatói szerzõdések a személyzet biztonsági átvilágítására, és megfelelnek-e az

egészség-, munka- és balesetvédelmi követelményeknekA szünetmentes tápegység mûködésének tesztelése annak megállapítása céljából, hogy az eredmények

megfelelnek-e a kritikus adatfeldolgozási tevékenységek fenntartásához szükséges kapacitás- ésüzemeltetési követelményeknek

Annak tesztelése, hogy a hozzáférésekrõl rögzített információk (naplók, szalagok, nyilvántartások)megfelelõségét áttekintik-e a felhasználók és a vezetés

A létesítményhez közel esõ bejáratok ellenõrzési eljárásainak tesztelése

DS12


DS13 Szolgáltatás és támogatásAz üzemeltetés irányítása



az informatikai üzemeltetés irányítása


az informatikai részleg által nyújtott fontos támogató szolgáltatások megfelelõ ésrendszeres teljesítésének biztosítása.


a támogatási tevékenységek ütemezése, amelynek végrehajtását nyilvántartjákés egyeztetik, hogy valamennyi tevékenység elvégzésre kerüljön


• az üzemeltetési eljárások kézikönyve• a rendszer indítási eljárás dokumentációja• a hálózati szolgáltatások kezelése• a munkaterhelés és a személyzet beosztásának ütemezése• a mûszakváltásra, átadásra vonatkozó szabályok• a rendszer-események naplózása• a változáskezeléssel, a rendelkezésre állás biztosításával és az

üzletfolytonosság fenntartásával történõ koordináció• megelõzõ karbantartás• szolgáltatási szint megállapodások• automatizált, emberi felügyelet nélküli üzemeltetés• a rendkívüli események naplózása, nyomonkövetése

és felterjesztése



DS13AZ ÜZEMELTETÉS IRÁNYÍTÁSA


1 A feldolgozási üzemeltetési eljárások és utasítások kézikönyve2 Az indítási folyamat és egyéb üzemeltetési eljárások dokumentációja3 A gépi mûveletek ütemezése4 Eltérések a gépi mûveletek elõírt ütemezésétõl5 A feldolgozás folytonossága6 Üzemeltetési naplók7 A speciális nyomtatványok és output eszközök védelme8 Távoli üzemeltetés



Interjú készítés:Az informatikai üzemeltetési vezetésAz informatikai üzemfolytonossági tervezés vezetéseAz informatikai felsõ vezetésAz informatikai erõforrások kiválasztott felhasználóiSzoftver- és hardver szolgáltatásokat illetve termékeket nyújtó kiválasztott szállítók

Adatgyûjtés:A üzemeltetés irányítására, valamint az információrendszereknek az üzleti célkitûzések teljesítésében

betöltött szerepére vonatkozó szervezeti szintû szabályok és eljárásokInformatikai szabályok és eljárások az üzemeltetés szerepére, a teljesítményi elvárásokra, a gépi feladatok

ütemezésére, a szolgáltatási szint megállapodásokra, az operátorokra vonatkozó utasításokra, amunkakörök rendszeres cseréjére, az üzemfolytonossági tervezésre és a létesítmények távoliüzemeltetésére vonatkozóan

Az alábbi általános funkciókra vonatkozó üzemeltetési utasítások: rendszer indítás, leállítás a munkater-helés ütemezése, szabványok, szolgáltatási szint megállapodások, kényszerhelyzet esetén végrehaj-tandó gyors hibajavítások, abnormális feldolgozási válaszok, az operátori konzolok naplói, fizikai éslogikai biztonság, a fejlesztési és üzemelési könyvtárak szétválasztása, és probléma eszkalációseljárások

A legfontosabb alkalmazási rendszerekre vonatkozó üzemeltetési utasítások közül választott minta:ütemezés, adatbevitel, feldolgozási idõ, hibaüzenetek, abnormális befejezõdés estére vonatkozóutasítások, újraindítás, probléma eszkalációs eljárások, elõzetesen és utólagosan lefuttatandóprogramok, külsõ telephelyen tárolt adatállományok



Tesztelendõ:Az üzemeltetési személyzet tagjai ismerik-e az alábbiakat és megértik-e azokat:

• a felelõsségi körükbe tartozó üzemeltetési eljárások• a létesítményen belüli teljesítményi elvárások - szállítói normák, szervezeti szabványok és a

felhasználókkal kötött szolgáltatási szint megállapodások• a kényszerhelyzetben elvégzendõ gyors hibajavítások és az újraindítási/helyreállítási eljárások• a üzemeltetési napló vezetésére vonatkozó elõírások és a naplók vezetõi ellenõrzése• a problémák eszkalációjának eljárásai• a mûszakváltáskor szükséges információ-átadások és a mûszakok közötti feladatok• a fejlesztési programok üzemi környezetbe való mozgatására vonatkozó eljárások• a távoli és a központi adatfeldolgozó létesítmények közötti együttmûködés• a hatékonyság-javítási lehetõségeknek a vezetés felé történõ továbbításáért való felelõsség

DS13 Szolgáltatás és támogatásAz üzemeltetés irányítása


Megvizsgálandó kérdések:Rendelkezésre állnak-e bizonyítékok az alábbiak igazolására:

• valamennyi elvégzett feldolgozás, hideg indítás, újraindítás és helyreállítás teljessége• a kezdeti program-betöltések és rendszer-leállítások eljárásbeli megfelelõsége• az ütemezések végrehajtására vonatkozó statisztikák, amelyek igazolják valamennyi követelmény

sikeres teljesítését• a forrás- és tárgykódot tartalmazó könyvtárak és a tesztelési/fejlesztési/üzemi könyvtárak fizikai

és logikai különválasztása, valamint a programok könyvtárak közötti mozgatására vonatkozóváltozáskezelési eljárások betartása

• az üzemeltetési tevékenységekre vonatkozó teljesítményi statisztikák, beleértve az alábbiakat, denem korlátozódva azokra:• A hardverek és perifériák kapacitása, kihasználtsága és teljesítménye• A memória kihasználtsága és teljesítménye• A telekommunikációs eszközök kihasználtsága és teljesítménye

• a teljesítmény szintje milyen mértékben igazodik a termékek teljesítményi normáihoz, a házonbelüli teljesítményi szabványokhoz és a felhasználói szolgáltatási szint megállapodásokbanrögzített kötelezettség-vállalásokhoz

• a üzemeltetési naplókat megfelelõen vezetik-e, megõrzik-e és rendszeresen ellenõrzik-e• minden berendezés esetében idõben végrehajtják-e a szükséges karbantartásokat• az operátorok a mûszakokat rendszeresen cserélik-e, kiveszik-e szabadnapjaikat és szabad-

ságukat, és fenntartják-e kompetenciájukat




Az alábbi feladatok elvégzése révén:Az üzemeltetési teljesítményre vonatkozó statisztikák (eszköz- és dolgozói) áttekintése a kihasználtság

megfelelõségének ellenõrzése céljából, továbbá az adatok összemérése hasonló szervezetekstatisztikáival, szállítói normákkal, a vonatkozó ágazati szabványokkal, valamint a megfelelõ ágazativiszonyítási adatokkal/legjobb gyakorlattal

Az informatikai üzemeltetési kézikönyvek közül választott korlátozott minta alapján megállapítandó,hogy azok megfelelnek-e a kapcsolódó szabályokban és eljárásokban megfogalmazottkövetelményeknek

A rendszer-indítási és -leállítási folyamat dokumentációjának és gyakorlatának vizsgálata alapján megál-lapítandó, hogy az eljárásokat rendszeresen tesztelik és aktualizálják-e

A feldolgozási ütemtervek alapján megállapítandó, hogy a teljesítmény megfelel-e az ütemezettnek éselégséges-e ahhoz viszonyítva

Feltárva az alábbiakat:Kiválasztott felhasználókkal folytatott interjúk alapján megállapítandó, hogy az üzemelési teljesítmény

megfelel-e a folyamatos tevékenységeknek és a szolgáltatási szint megállapodásoknakAz abnormális leállással végzõdõ munkafolyamatokból vett minta alapján megállapítandó, hogy

megoldották-e a felmerült problémákatAz operátorok képzésére, a mûszakok cseréjére, a szabadnapok kivételére/szabadságolásra vonatkozó

tapasztalatokAz operátori konzol logok közül kiválasztott minta alapján megállapítandó a logok pontossága, a teljesít-

ményi tendenciák alakulása, valamint a logok vezetõi felülvizsgálata a problémák megoldásaérdekében - értékelendõ a problémák eszkalációja, amennyiben az értelmezhetõ

Megvizsgálandó, hogy a felhasználók mennyire elégedettek a szolgáltatási szint megállapodásokbanvállalt kötelezettségekkel

Megvizsgálandó, hogy minden eszköz esetében elvégezték-e a szállító által javasolt megelõzõ karban-tartási munkákat

DS13





M O N I T O R O Z Á S


M1 MonitorozásA folyamatok nyomon követése, felügyelete



a folyamatok felügyelete (monitoring)


az informatikai folyamatokra vonatkozóan meghatározott teljesítményi célkitûzésekteljesítésének biztosítása


a vonatkozó teljesítmény-mutatók meghatározása, a teljesítmény-adatokrendszeres és szisztematikus jelentése, továbbá azonnali lépésekkezdeményezése eltérések észlelése esetén.


• értékelõ lapok, amelyek tartalmazzák a teljesítményre hatótényezõket és az eredmények mérését

• a felhasználók elégedettségének értékelése• vezetõi jelentések• a múltbeli teljesítmény-adatok tudásbázisának összeállítása• más szervezetekhez történõ viszonyítás (benchmarking)



M1A FOLYAMATOK NYOMON KÖVETÉSE, FELÜGYELETE


1 A monitoring adatok összegyûjtése2 A teljesítmény értékelése3 A felhasználói elégedettség értékelése4 Vezetõi jelentések




Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAz informatikai erõforrások kiválasztott felhasználóiAz audit bizottság tagjai, ha mûködik ilyen bizottság

Adatgyûjtés:A teljesítmény tervezésére, irányítására, monitorozására és a kapcsolódó jelentéskészítésre vonatkozó

szervezeti szintû szabályok és eljárásokA teljesítmény monitorozására és a kapcsolódó jelentéskészítésre, a teljesítmény javítását célzó

kezdeményezésekre, valamint a felülvizsgálat gyakoriságára vonatkozó informatikai szabályok éseljárások

Az informatikai tevékenységekre vonatkozó jelentések, beleértve az alábbiakat, de nem korlátozódvaazokra: belsõ jelentések, belsõ audit jelentések, külsõ könyvvizsgálói jelentések, felhasználói jelen-tések, a felhasználói elégedettségre vonatkozó felmérések, rendszerfejlesztési tervek és állapotjelen-tések, az audit bizottság üléseinek jegyzõkönyvei, valamint bármely egyéb felmérés a szervezetinformatikai erõforrásainak felhasználására vonatkozóan

Az informatikai szervezeti egység tervezési dokumentumai az egyes informatikai erõforrás-csoportokáltal elõállítandó végtermékekre vonatkozóan és a tényleges teljesítmény alakulása a tervekhez képest

Megvizsgálandó kérdések:Megfelelõek-e az informatikai erõforrások teljesítményének monitorozására meghatározott adatokAlkalmaznak-e kulcsfontosságú teljesítmény-mutatókat és/vagy kritikus sikertényezõket az informatikai

funkció teljesítményének a célként kitûzött szinthez viszonyított méréséreMegfelelõ-e az informatikai erõforrások (emberek, létesítmények, alkalmazási rendszerek, technológia és

adatok) kihasználtságára vonatkozó belsõ jelentéskészítésA vezetés áttekinti-e az informatikai erõforrások teljesítményére vonatkozó jelentéseketLéteznek-e monitorozási kontroll mechanizmusok, amelyek megbízható és hasznos visszajelzéseket

biztosítanak a kellõ idõben


Az alábbi feladatok elvégzése révén:A teljesítmény-monitorozás összemérése a hasonló szervezeteknél alkalmazottal illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalA monitorozott folyamatokon belüli adatok relevanciájának ellenõrzéseA tényleges és a tervezett teljesítmény összehasonlítása valamennyi informatikai területenA tényleges és a várt felhasználói elégedettségi szint összehasonlítása valamennyi informatikai területenAnnak elemzése, hogy milyen mértékben valósították meg a teljesítmény javítására vonatkozó, célul

kitûzött kezdeményezéseketA vezetõi javaslatok megvalósítottsági szintjének elemzése



Tesztelendõ:Készülnek-e jelentések a teljesítmény-monitorozási adatokra vonatkozóanA vezetés áttekinti-e a teljesít-

mény-jelentéseket és kezdeményez-e korrekciós intézkedéseketA alkalmazottak ismerik és megértik-e a teljesítmény monitorozására vonatkozó szabályokat és eljárá-

sokatMegfelelõ-e az alábbiakra vonatkozó belsõ jelentéskészítés minõsége és tartalma:

• a teljesítmény-monitorozási adatok összegyûjtése• a teljesítmény-monitorozási adatok elemzése• az erõforrások teljesítmény-adatainak elemzése• a vezetés intézkedései a teljesítményi problémák nyomán• a felhasználók elégedettségére vonatkozó felmérések elemzése

A felsõ vezetés elégedett-e a teljesítmény monitorozására vonatkozó jelentéskészítéssel

M1 MonitorozásA folyamatok nyomon követése, felügyelete

Megvizsgálandó kérdések, folytatásA szervezet megfelelõen reagál-e a fejlesztést célzó minõségellenõrzési, belsõ ellenõri és könyvvizsgálói

javaslatokraTesznek-e célul kitûzött kezdeményezéseket a teljesítmény javítására és azoknak vannak-e eredményei Megvizsgálják-e, hogy a szervezeti teljesítmény hogyan alakul a szervezeten belüli összes csoportra

vonatkozóan kitûzött célok tükrébenElemzik-e a felhasználói elégedettség szintjétMegfelelõ-e az informatikai felhasználói körön kívül esõ felek, például a könyvvizsgálók, az audit

bizottság és a szervezet felsõ vezetése számára történõ teljesítményi jelentéskészítés megbízhatóságaés használhatósága

A jelentéskészítés kellõ idõben történik-e ahhoz, hogy lehetõséget adjon a feltárt teljesítményi hiányossá-gokra illetve a kivételes helyzetekre történõ gyors reagálásra

Elégséges-e a tevékenységek végzésére vonatkozó szabályok és eljárások betartására irányuló jelen-téskészítés (azaz a teljesítményre vonatkozó jelentéskészítés)



Feltárva az alábbiakat:A monitorozást végzõ személyzet kompetenciája, hatásköre és függetlensége az informatikai szervezeti

egységen belül

M1


M2 MonitorozásA belsõ irányítási és ellenõrzési eljárások megfelelõségének felmérése



a belsõ kontroll-mechanizmusok megfelelõségének felmérése


az informatikai folyamatokra vonatkozóan meghatározott belsõ kontroll célkitûzésekmegvalósításának biztosítása


a belsõ kontroll-mechanizmusok mûködésének folyamatos felügyelete, ered-ményességének értékelése és rendszeres jelentéskészítés a fentiekrõl


• a belsõ kontrollt érintõ felelõsségi körök kijelölése• a belsõ kontrollok folyamatos felügyelete• viszonyítási normák• jelentéskészítés a hibákról és rendkívüli esetekrõl• önértékelés• vezetõi jelentések• a törvényi, jogszabályi és egyéb szabályozási követelményeknek

való megfelelés



M2A BELSÕ IRÁNYÍTÁSI ÉS ELLENÕRZÉSI ELJÁRÁSOK MEGFELELÕSÉGÉNEK FELMÉRÉSE


1 A belsõ irányítás és ellenõrzés monitorozása2 Belsõ kontroll eljárások kellõ idõben történõ alkalmazása3 Jelentés a belsõ kontroll szintjérõl4 Megerõsítõ vizsgálatok a biztonságra és a belsõ kontrollok mûködésére vonatkozóan




Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAz informatikai erõforrások kiválasztott felhasználóiAz audit bizottság tagjai, ha mûködik ilyen bizottság

Adatgyûjtés:A belsõ kontroll mechanizmusok tervezésére, irányítására, monitorozására és a kapcsolódó jelen-

téskészítésre vonatkozó szervezeti szintû szabályok és eljárásokA belsõ kontroll mechanizmusok monitorozására és a kapcsolódó jelentéskészítésre, valamint az

ellenõrzések gyakoriságára vonatkozó informatikai szabályok és eljárásokAz informatikai tevékenységekre vonatkozó jelentések, beleértve az alábbiakat, de nem korlátozódva

azokra: belsõ jelentések, belsõ audit jelentések, külsõ könyvvizsgálói jelentések, felhasználói jelen-tések, rendszerfejlesztési tervek és állapotjelentések, az audit bizottsági üléseinek jegyzõkönyvei,valamint bármely egyéb felmérés az informatikai belsõ kontroll mechanizmusokra vonatkozóan

Konkrét informatikai szabályok és eljárások a mûködési biztonságra és a belsõ kontrollra vonatkozófüggetlen megerõsítést illetõen

Megvizsgálandó kérdések:Megfelelõek-e az informatikai belsõ kontroll mechanizmusok monitorozására meghatározott adatokMegfelelõ-e az informatikai belsõ kontroll adataira vonatkozó belsõ jelentéskészítésA vezetés felülvizsgálja-e az informatikai belsõ kontroll mechanizmusokatLéteznek-e monitorozási kontroll mechanizmusok, amelyek megbízható és hasznos visszajelzéseket

biztosítanak a kellõ idõbenA szervezet megfelelõen reagál-e a fejlesztést célzó minõségellenõrzési, belsõ ellenõri és könyvvizsgálói

javaslatokraTesznek-e célul kitûzött kezdeményezéseket Kitûznek-e belsõ kontroll javítására és azoknak vannak-e

eredményei


Az alábbi feladatok elvégzése révén:A belsõ kontrollra vonatkozó felmérés összehasonlítása hasonló szervezetekéivel illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalA monitorozott folyamatokon belüli és a belsõ kontrollra vonatkozó jelentéskészítésben használt adatok

relevanciájának ellenõrzéseMegvizsgálandó, hogy a teljes szervezet és különösen az informatikai funkció belsõ kontroll-ellenõrzési

keretrendszere megfelelõ lefedettséget és különbözõ részletezési szinteket biztosít-e az egyes folya-matok tulajdonosai számára

A tényleges és a tervezett belsõ kontroll-ellenõrzések összehasonlítása valamennyi informatikai területenAnnak elemzése, hogy milyen mértékben valósították meg a belsõ kontroll javítására vonatkozó, célul

kitûzött kezdeményezéseketAz audit bizottság elégedettségének vizsgálata a belsõ kontroll mechanizmusokra vonatkozó jelen-

téskészítésselA vezetõi javaslatok megvalósítottsági szintjének elemzése



Tesztelendõ:Készülnek-e jelentések a belsõ kontroll mechanizmusok monitorozására vonatkozóanA vezetés áttekinti-e a belsõ kontrollra vonatkozó jelentéseket és kezdeményez-e korrekciós

intézkedéseketAz alkalmazottak ismerik és megértik-e a belsõ kontroll monitorozására vonatkozó szabályokat és eljárá-

sokatMegfelelõ-e az alábbiakra vonatkozó belsõ jelentéskészítés minõsége és tartalma:

• a belsõ kontrollra vonatkozó monitorozás adatainak összegyûjtése• a belsõ kontrolloknak való megfelelés megvalósítása• a vezetés intézkedései a belsõ kontrollal kapcsolatos problémák nyomán• a mûködési biztonság és a belsõ kontroll független megerõsítése

A felsõ vezetés elégedett-e a biztonság és a belsõ kontroll monitorozására vonatkozó jelentéskészítéssel

M2 MonitorozásA belsõ irányítási és ellenõrzési eljárások megfelelõségének felmérése

Megvizsgálandó kérdések, folytatásMegvizsgálják-e, hogy a szervezeti teljesítmény hogyan alakul a belsõ kontrollokra vonatkozóan kinyil-

vánított célok tükrébenSzisztematikusan nyilvántartják-e a belsõ kontrollal kapcsolatos hibákra, inkonzisztenciára és kivételes

helyzetekre vonatkozó információkat és azokat jelentik-e a vezetés feléMegfelelõ-e az informatikai felhasználói körön kívül esõ felek, például a könyvvizsgálók, az audit

bizottság és a teljes szervezet felsõ vezetése számára történõ, a belsõ kontrollra vonatkozó belsõjelentéskészítés megbízhatósága és használhatósága

A jelentéskészítés kellõ idõben történik-e ahhoz, hogy lehetõséget adjon a belsõ kontrollal kapcsolatosfeltárt hiányosságokra illetve kivételes helyzetekre történõ gyors reagálásra

Elégséges-e a tevékenységek végzésére vonatkozó szabályok és eljárások betartásának belsõ kontrolljárairányuló jelentéskészítés (azaz a belsõ kontrollra vonatkozó jelentéskészítés)



Feltárva az alábbiakat:További lehetséges területek a belsõ kontrollra vonatkozó jelentéskészítés terén, az informatikai belsõ

ellenõrzési funkció, a vezetés, a könyvvizsgálók és a törvényességi felügyeletet gyakorlók általkifejtett aggályokkal összhangban

A belsõ kontroll ellenõrzését végzõ személyzet kompetenciája, hatásköre és függetlensége az informatikaifunkción belül

M2


M3 MonitorozásFüggetlen megerõsítõ vizsgálatok végeztetése



független megerõsítõ vizsgálatok, értékelés végeztetése


a szervezet, a felhasználók és a külsõ szolgáltatók közötti kölcsönös bizalom növelése


független értékelések végrehajtása rendszeres idõközönként


• független tanúsítványok / hitelesítések• független eredményességi értékelések• a törvények és jogszabályi elõírások betartásának független

értékelése• a szerzõdéses kötelezettségek betartásának független értékelése• a külsõ szolgáltatók értékelése• értékelõ ellenõrzések végrehajtása megfelelõ képzettségû

dolgozók révén• az audit funkció megelõzõ (proaktív) közremûködése



M3FÜGGETLEN MEGERÕSÍTÕ VIZSGÁLATOK VÉGEZTETÉSE


1 Az informatikai szolgáltatások biztonságára és belsõ kontrolljára vonatkozó függetlentanúsítás/jóváhagyás

2 Külsõ szolgáltatókra vonatkozó biztonsági és belsõ kontroll szempontú független tanúsítás/jóváhagyás3 Az informatikai szolgáltatások eredményességének független értékelése4 A külsõ szolgáltatók eredményességének független értékelése 5 A törvényi és jogszabályi elõírások, valamint a szerzõdéses kötelezettségek betartásának független

megerõsítése6 A törvényi és jogszabályi elõírások, valamint a szerzõdéses kötelezettségek külsõ szolgáltatók általi

betartásának független megerõsítése7 A független megerõsítést nyújtó szervezet szakmai kompetenciája8 Az audit funkció proaktív közremûködése




Interjú készítés:VezérigazgatóInformatikai vezetõAz informatikai felsõ vezetésVezetõ belsõ ellenõrA könyvvizsgáló cég vezetõ menedzsereA független megerõsítést végzõ vezetõ menedzser

Adatgyûjtés:A teljes szervezeti ábra, a szabályok és eljárások kézikönyveA független megerõsítés folyamatára vonatkozó szabályok és eljárásokAz informatikai szolgáltatókkal kötött szerzõdések/szolgáltatási szint megállapodásokA vonatkozó jogszabályi elõírások és szerzõdéses kötelezettségvállalásokA független megerõsítõ vizsgálatok vonatkozó szabályzatok/szerzõdések, költségvetések, a korábbi

megerõsítõ vizsgálatok jelentései és végrehajtásuk történeteA független megerõsítõ vizsgálatokat végzõ munkatársak tapasztalataira és folyamatos szakmai képzésére

vonatkozó információkA korábbi audit jelentések

Megvizsgálandó kérdések:A független megerõsítõ vizsgálatra vonatkozó szabályzatok/szerzõdések tartalma és végrehajtása

megfelelõ vizsgálati lefedettséget biztosít-e (pl. tanúsítások/jóváhagyások, eredményességiértékelések és a szabályok betartásának értékelései révén)

Végeztetnek-e független tanúsítást/ jóváhagyást a kritikus fontosságú új informatikai szolgáltatásokmegvalósítása elõtt



Tesztelendõ:A felsõ vezetés jóváhagyja-e a független megerõsítõ vizsgálatot végzõ egység tevékenységének

eredményességétA kritikus fontosságú új informatikai szolgáltatások megvalósítása elõtt végrehajtott független

tanúsítási/jóváhagyási vizsgálatok teljes körûek és hiánytalanok-e, és azokat a kellõ idõben végezték-e el

Elvégzik-e az informatikai szolgáltatások megvalósítását követõen azok rendszeres idõközönként, rutin-szerûen végrehajtott független újra-tanúsítását/jóváhagyását és e vizsgálatok teljes körûek és hiányta-lanok-e, valamint azokat a kellõ idõben végzik-e el

A külsõ informatikai szolgáltatók szolgáltatásainak igénybevétele elõtt végrehajtott függetlentanúsítás/jóváhagyás teljes körû és hiánytalan-e, valamint kellõ idõben történik-e

Végeznek-e rendszeres idõközönként, rutinszerûen újra-tanúsítást/jóváhagyást, és az teljes körû és hiány-talan, valamint kellõ idõben történik-e

Elvégzik-e rendszeres idõközönként, rutinszerûen az informatikai szolgáltatások eredményességénekértékelését, és az arra vonatkozó vizsgálatok teljes körûek és hiánytalanok-e, valamint azokat kellõidõben hajtják-e végre

Elvégzik-e rendszeres idõközönként, rutinszerûen a külsõ informatikai szolgáltatók eredményességénekértékelését, és az arra vonatkozó vizsgálatok teljes körûek és hiánytalanok-e, valamint azokat kellõidõben hajtják-e végre

Elvégzik-e rendszeres idõközönként, rutinszerûen annak felülvizsgálatát, hogy az informatikai funkcióbetartja-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeit, és ezek a vizsgálatok teljes körûekés hiánytalanok-e, valamint azokat kellõ idõben hajtják-e végre

Elvégzik-e rendszeres idõközönként, rutinszerûen annak felülvizsgálatát, hogy a külsõ szolgáltatókbetartják-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeiket, és ezek a vizsgálatok teljeskörûek és hiánytalanok-e, valamint azokat kellõ idõben hajtják-e végre

Relevánsak-e a független megerõsítõ vizsgálatokról készült jelentések megállapításai, következtetései ésjavaslatai

M3 MonitorozásFüggetlen megerõsítõ vizsgálatok végeztetése

Megvizsgálandó kérdések, folytatásVégeztetnek-e rendszeres idõközönként, rutinszerûen végrehajtott független újra-tanúsítást/jóváhagyást Elvégeztetik-e az informatikai szolgáltatások eredményességének rendszeres idõközönként végrehajtott,

rutinszerû értékelésétElvégeztetik-e a külsõ informatikai szolgáltatók eredményességének rendszeres idõközönként végrehaj-

tott, rutinszerû értékelésétElvégeztetik-e annak rendszeres idõközönként végrehajtott, rutinszerû felülvizsgálatát, hogy az infor-

matikai funkció betartja-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeitElvégeztetik-e annak rendszeres idõközönként végrehajtott, rutinszerû felülvizsgálatát, hogy a külsõ infor-

matikai szolgáltatók betartják-e a jogszabályi elõírásokat és szerzõdéses kötelezettségeiketA független megerõsítõ vizsgálatot végzõ munkatársak kellõ kompetenciával rendelkeznek-e és a

vonatkozó szakmai szabványoknak megfelelõen látják-e el munkájukatSzakmai továbbképzési programok révén gondoskodnak-e a független megerõsítõ vizsgálatokat végzõ

alkalmazottak technikai kompetenciájának fenntartásárólA vezetés kikéri-e proaktív módon az audit funkció részvételét az informatikai szolgáltatásokra vonatkozó

megoldások véglegesítése elõtt




Az alábbi feladatok elvégzése révén:A független egység által végzett megerõsítõ vizsgálati tevékenységek összehasonlítása a hasonló

szervezeteknél folytatottakkal illetve a megfelelõ nemzetközi szabványokkal/ágazati legjobb gyakor-lattal

Az alábbi részletes vizsgálatok alapján megállapítandó, hogy:• a vizsgálati tevékenységeket a független megerõsítésre vonatkozó

szabályzatoknak/szerzõdéseknek megfelelõen hajtják-e végre• a tanúsítások/jóváhagyások megfelelõek-e és azokat kellõ idõben hajtják-e végre• az újra-tanúsítások/jóváhagyások megfelelõek-e és azokat kellõ idõben hajtják-e végre• az eredményességre vonatkozó értékelések megfelelõek-e és azokat kellõ idõben hajtják-e végre• a jogszabályi elõírások és a szerzõdéses kötelezettségek betartására vonatkozó vizsgálatok

megfelelõek-e és azokat kellõ idõben hajtják-e végre• a független megerõsítõ vizsgálati funkciót ellátó személyzet kellõen kompetens-e• megvalósul-e az audit funkció proaktív közremûködése

Feltárva az alábbiakat:A független megerõsítõ vizsgálati tevékenységek által teremtett hozzáadott értékA végrehajtott vizsgálatok alakulása a független megerõsítésre vonatkozó tervekhez és költségvetéshez

viszonyítvaAz audit funkció proaktív közremûködésének mélysége és idõszerûsége

M3A független megerõsítõ vizsgálati funkció birtokában van-e a feladatai kompetens módon történõ

ellátásához szükséges szakismereteknek és tapasztalatoknakSor kerül-e az audit funkció proaktív módon történõ részvételére az informatikai szolgáltatásokra

vonatkozó megoldások véglegesítése elõtt


M4 MonitorozásFüggetlen auditálás végeztetése



független ellenõrzés, audit végeztetése


a bizalom szintjének növelése és a legjobb gyakorlat követésére vonatkozó tanácsokbólszármazó elõnyök kihasználása


független vizsgálat (audit) végrehajtása rendszeres idõközönként


• az audit függetlensége• proaktív ellenõrzések, vizsgálatok• az auditálás végrehajtása megfelelõ képzettségû dolgozók által• az észrevételek és javaslatok hivatalos jóváhagyása, a végrehaj-

tásuk engedélyezése• a javaslatok megvalósításának nyomonkövetése• az audit alapján megfogalmazott javaslatok megvalósítási

hatásának elemzése (költségek, hasznok és kockázatok)



M4FÜGGETLEN AUDITÁLÁS VÉGEZTETÉSE


1 Auditálási, ellenõrzési szabályzat2 Függetlenség3 Szakmai etika és szabványok4 Szakmai kompetencia5 Tervezés6 Az audit végrehajtása7 Jelentéskészítés8 A javaslatok végrehajtásának nyomonkövetése




Interjú készítés:VezérigazgatóInformatikai vezetõVezetõ belsõ ellenõrAz informatikai felsõ vezetés és a minõségellenõrzés vezetéseA könyvvizsgáló cég vezetõ menedzsereAudit bizottsági tagok, ha mûködik ilyen bizottság

Adatgyûjtés:A teljes szervezeti ábra, a szabályok és eljárások kézikönyveA szervezeti magatartási kódexeA független audit folyamatra vonatkozó szabályok és eljárásokAz auditálási szabályzat, a küldetés megfogalmazása, szabályok és szabványok, korábbi jelentések és

auditálási tervekA külsõ könyvvizsgálók véleményei, vizsgálatai és auditálási terveiA belsõ ellenõri személyzet tapasztalatára és folytonos szakmai továbbképzésére vonatkozó információkAz audit-kockázatok értékelése, a költségvetés és a múltbeli audit tevékenységAz audit bizottság üléseinek jegyzõkönyvei, amennyiben mûködik ilyen bizottság

Megvizsgálandó kérdések:Megfelelõen állították-e fel az audit bizottságot és rendszeresen ülésezik-e, amennyiben mûködik ilyen

bizottság a szervezetnélMegfelelõen alakították-e ki a belsõ ellenõrzési funkció szervezeti felépítését A külsõ könyvvizsgálói ellenõrzések hozzájárulnak-e az auditálási terv megvalósításáhozAz audit funkció kellõ mértékben betartja-e a vonatkozó szakmai magatartási kódexek elõírásait Összeférhetetlenségi nyilatkozatok aláírásával is megerõsítik-e az ellenõrök függetlenségét Az auditálási terv kockázat-elemzési módszertanon alapul-e, és általánosságban kellõen kidolgozott-e


Az alábbi feladatok elvégzése révén:A belsõ ellenõrzési funkció összemérése a hasonló szervezeteknél mûködõkkel illetve a megfelelõ

nemzetközi szabványokkal/ágazati legjobb gyakorlattalRészletes vizsgálatok annak megállapítása céljából, hogy:

• az auditálási terv ciklikus és folyamatos ellenõrzést valósít-e meg• az audit funkció hozzájárul-e az üzleti és az informatikai tervek sikeréhez• a vizsgálatok során gyûjtött bizonyítékok alátámasztják-e a következtetéseket és javaslatokat• a vizsgálat alapján tett megállapításokat kommunikálják-e és kihasználják-e a lehetõségeket a

javításra vagy a kockázatok csökkentésére• a vizsgálatok nyomán tett javaslatokat végrehajtják-e és azok meghozzák-e a várt eredményeket

Feltárva az alábbiakat:A vizsgálatok nyomán tett javaslatok költsége/hasznaA végrehajtott vizsgálatok alakulása az auditálási tervhez és költségvetéshez viszonyítvaA külsõ és belsõ audit integrációjának mértéke



Tesztelendõ:A felsõ vezetés jóváhagyja-e a független audit funkció folyamatos mûködésének eredményességétA felsõ vezetés hozzáállása összhangban van-e az auditálási szabályzatban foglaltakkalA belsõ ellenõrzés jellemzõinek összemérése a szakmai szabványokkalAz auditorok megbízásának módja garantálja-e az ellenõrök függetlenségét és megfelelõ képzettségétAz audit funkció személyzete folyamatosan fejleszti-e szakmai képesítéseitA vizsgálati jelentések tartalma releváns-e a javaslatokkalKészítenek-e összegzõ jelentéseket a javaslatok kellõ idõben történõ megvalósításának nyomon

követésére

M4 MonitorozásFüggetlen auditálás végeztetése

Megvizsgálandó kérdések, folytatásA vizsgálatokat megfelelõen megtervezik-e és megfelelõ felügyelet mellett hajtják-e végreA vizsgálatok során feltárt bizonyítékok kellõ mértékben alátámasztják-e a megállapításokat és

következtetéseketGondoskodnak-e folytonos szakmai továbbképzési programok révén az ellenõrök technikai kompeten-

ciájának fenntartásárólAz audit funkció személyzete megfelelõ kompetenciával rendelkeznek-e és a szakmai auditálási

szabványoknak megfelelõen látja-e el munkájukatMegfelelõ folyamatot alakítottak-e ki a vizsgálatok megállapításainak a vezetés felé történõ jelentéséreKellõ idõben nyomon követik-e valamennyi kontroll hiányosság megoldásának alakulásátAz auditálás lefedi-e az információrendszerek ellenõrzésének teljes körét (azaz az általános és

alkalmazási rendszer szintû kontroll mechanizmusokat, a rendszerfejlesztési életciklust, aköltséghatékonyságot, a gazdaságosságot, az eredményességet, a hatékonyságot, a proaktív auditálásimegközelítést, stb.)



M E L L É K L E T E K





I. Melléklet

AZ INFORMATIKAI IRÁNYÍTÁSHOZ KAPCSOLÓDÓ VEZETÕI ÚTMUTATÓ

Az alább közölt Vezetõi útmutató és Érettségi modell megadja az informatikai irányításhoz kapcsolódókritikus sikertényezõket, a kulcsfontosságú cél-mutatókat, a kulcsfontosságú teljesítmény-mutatókat és azérettségi modellt. Elõször definiálja az informatikai irányítást, hangsúlyozva az üzleti igényt. Ezt követõenmegfogalmazza az informatikai irányításhoz kapcsolódó információ-kritériumokat. Az üzleti igény a kulcs-fontosságú célmutatók alapján mérhetõ, és megvalósítását a megadott kontroll eljárás teszi lehetõvé, a jelzettinformatikai erõforrások felhasználásával. A célt megvalósító kontroll eljárás teljesítménye a kulcsfontosságúteljesítmény-mutatók segítségével mérhetõ, amely figyelembe veszi a kritikus sikertényezõket. Az érettségimodell segítségével értékelhetõ az, hogy a szervezet milyen szinten valósítja meg az informatikai irányítást -a 'Nem létezõ' (legalacsonyabb) szinttõl kiindulva a 'Kezdeti/ad hoc jellegû', az 'Ismétlõdõ, de intuitív jellegû',a 'Definiált folyamat' és az 'Irányított és mérhetõ' szinten át az 'Optimalizált' (legmagasabb) szintig. AzOptimalizált érettségi szintû informatikai irányítás eléréséhez a szervezetnek 'Optimalizált' szinten kell állniaa Monitorozás szakterület esetében, és legalább 'Irányított és mérhetõ' szintet kell elérnie az összes többitevékenységi területen.

(A fenti eszközök használatának részletes ismertetését lásd a COBIT Vezetõi útmutatójában.)


I. Melléklet

AZ INFORMATIKAI IRÁNYÍTÁSHOZKAPCSOLÓDÓ VEZETÕI ÚTMUTATÓ eredményesség

hatékonyságtitkosságsértetlenségrendelkezésre állásmegfelelésmegbízhatóság

emberek

alkalmazások

technológia

létesítmények

adatok

Információ-kritériumok Informatikai erõforrások

• Az informatikai folyamatok kedvezõbbköltséghatékonysága (költség/végtermékek)

• A folyamatok korszerûsítésére tett kezdeményezésekinformatikai intézkedési terveinek növekvõ száma

• Az informatikai infrastruktúra fokozott kihasználása• Az érintettek fokozott elégedettsége (felmérések és a

panaszok száma)• A személyzet fokozott termelékenysége (végter-

mékek száma) és morálja (felmérés)• A vállalkozás irányításához szükséges ismeretek és

információ fokozott hozzáférhetõsége• Szorosabb kapcsolat az informatika és a vállalkozás

irányítása között• A kiegyensúlyozott informatikai stratégiai

mutatószámrendszer alapján mért fokozott teljesít-mény

Kulcsfontosságú Teljesítménymutatók

• Fejlett teljesítmény- és költséggazdálkodás• A nagy informatikai beruházások kedvezõbb hozama• Rövidebb piaci bevezetés• Jobb minõség, hatékonyabb innováció és kockázat-

kezelés• Megfelelõen integrált és szabványosított üzleti

folyamatok• Új ügyfelek elérése és a meglévõk igényeinek

kielégítése• Megfelelõ sávszélesség, számítási teljesítmény és

informatikai szolgáltatási mechanizmusokrendelkezésre állása

• A folyamat ügyfele által támasztott igények éselvárások kielégítése - idõben és az elfogadottköltségvetésen belül

• A törvények, rendeletek, iparági szabványok ésszerzõdéses kötelezettségek betartása

• A kockázatvállalás áttekinthetõsége és az egyeztetettszervezeti kockázatvállalási alapelvek érvényesítése

• Az informatikai irányítás érettségének összehasonlítóértékelése

• Új szolgáltatási csatornák kialakítása

Kulcsfontosságú Célmutatók

• Az informatikai irányítás tevékenységei integrálódnak a vállalkozásirányításának folyamataiba és a vezetõi magatartásba.

• Az informatikai irányítás középpontjában a vállalkozás céljai, astratégiai kezdeményezések, a technológiának az üzlet fejlesztésecéljából történõ felhasználása, valamint az üzleti igényekkielégítését szolgáló elégséges erõforrások és lehetõségekrendelkezésre állásának biztosítása áll.

• Az informatikai irányítási tevékenységek célja pontosan meghatáro-zott, dokumentált és megvalósításuk a vállalkozás igényei alapjánés a számonkérhetõség egyértelmû meghatározásával történik.

• A vezetési módszerek fokozzák az erõforrások hatékony ésoptimális hasznosítását, valamint az informatikai folyamatokhatékonyságát.

• A szervezési módszerek megvalósítják a megbízható felügyeletet, akontroll környezetet/kultúrát, a szabványos gyakorlatként alkalma-zott kockázatelemzést, az elfogadott szabványok érvényesítését, akontroll hiányosságok és kockázatok monitorozását és kezelésüknyomon követését.

• Kontroll módszereket definiáltak a belsõ kontroll és felügyeletkieséseinek megelõzésére.

• Megvalósul az olyan összetettebb informatikai folyamatok integrá-ciója és interoperabilitása, mint a probléma-, a változtatás- éskonfigurációkezelés.

• Audit bizottságot hoztak létre, amely kinevez és felügyel egyfüggetlen auditort, az audit tervekre való ráhatás során kiemeltenkezeli az informatikát, és áttekinti az auditok és a külsõ vizsgálatokeredményeit.

Kritikus Sikertényezõk

Az információ-technológia és folyamatai fölötti irányítás azzal azüzleti céllal, hogy hozzáadott értéket állítson elõ a kockázat és ahozam egyensúlyának megteremtése mellett

biztosítja a szükséges információ-kritériumoknak megfelelniképes és a kulcsfontosságú célmutatókkal mért információelõállítását

feltétele a folyamatok és kontroll olyan, az üzlet számáramegfelelõ minõségû rendszerének felállítása éskarbantartása, amely irányítja és monitorozza azinformatika üzleti értéket elõállító folyamatát

figyelembe veszi a kritikus sikertényezõket, amelyekmozgósítják a szükséges informatikai erõforrásokat ésa kulcsfontosságú teljesítménymutatókkal mérhetõk



I. Melléklet

IT Irányítás Érettségi Modellje

Az információ-technológia és folyamatai fölötti irányí-tás azzal az üzleti céllal, hogy hozzáadott értéket állít-son elõ a kockázat és a hozam egyensúlyánakmegteremtése mellett

0 Nem létezõ Teljesen hiányzik bármely felismer-hetõ informatikai irányítási folyamat. A szervezetfel sem ismerte, hogy ezzel a kérdéssel foglalkoznikell, ezért nincs kommunikáció sem róla.

1 Kezdeti / Ad hoc jellegû Vannak arra utaló je-lek, hogy a szervezet felismerte, hogy léteznek azinformatikai irányítással kapcsolatos megoldandókérdések. Továbbra is hiányoznak azonban a szab-ványos folyamatok, helyettük egyedi vagy esetialapon ad-hoc módszereket alkalmaznak. A vezetésmegközelítése kaotikus, a kérdések és a megoldá-sukhoz szükséges módszerek kommunikációjaesetleges és következetlen. Létezhet bizonyos felis-merés arra vonatkozóan, hogy a szervezeteredmény-orientált folyamatai esetében érdemeshasznosítani az informatika nyújtotta lehetõsége-ket. Nincs szabványos értékelési eljárás. Az infor-matikai monitoringot reaktív jelleggel vezetik beolyan eseményre válaszul, amely veszteséget vagyzavart okozott.

2 Ismétlõdõ, de ösztönös Az informatikai irányí-tással kapcsolatos kérdések általánosan tudatosul-tak. Az informatikai irányítási tevékenységek ésteljesítménymutatók fejlesztés alatt állnak, azinformatikai tervezési, szolgáltatási és monitoringfolyamatokra kiterjedõen. Ezeknek az erõfeszíté-seknek a részeként az informatikai irányítási tevé-kenységek formálisan beágyazódnak a szervezetváltoztatás-kezelési folyamatába a felsõ vezetésaktív közremûködésével és felügyelete mellett. Bi-zonyos kiválasztott informatikai folyamatokat kije-lölnek az alapvetõ üzleti folyamatok fejlesztéséreés/vagy kontrollálására, ezeket mint beruházásokathatékonyan megtervezik és monitorozzák, és egymeghatározott informatikai architektúra kereteinekösszefüggéseibõl származtatják. A vezetés megha-tározta az informatikai irányítási mutatószámokat,

értékelési módszereket és technikákat, a folyamatotazonban a szervezet egészében nem vezették be.Hiányzik az irányítási szabványokra vonatkozóformális képzés és kommunikáció, a felelõsség azegyénre hárul. Az informatikai projekteken ésfolyamatokon belüli irányítási folyamatok egyénikezdeményezéseken alapulnak. Korlátozott irányí-tási eszközöket választanak ki és vezetnek be azirányítással kapcsolatos mérések értékeinek össze-gyûjtéséhez, sokuk teljes kapacitását azonban nemhasználják ki a funkcióikra vonatkozó szakismere-tek hiánya miatt.

3 Definiált folyamat Az informatikai irányítássalkapcsolatos cselekvés szükségességét felismertékés elfogadták. Kifejlesztették az informatikai irá-nyítás viszonyításai alap mutatószámait. Azeredmény-mutatók és teljesítményt meghatározótényezõk közötti összefüggéseket meghatározták,dokumentálták és integrálták a stratégiai és mûkö-dési tervezésbe és a monitoring folyamatokba. Azeljárásokat szabványosították, dokumentálták ésimplementálták. A vezetés kommunikálta a szabvá-nyos eljárásokat, és informális képzést vezettek be.Valamennyi informatikai irányítási tevékenységrevonatkozóan rögzítik és nyomon követik a teljesít-ménymutatókat, amelynek alapján a szervezet egé-szére vonatkozó fejlesztéseket kezdeményeznek.Bár mérhetõek, de az eljárások nem kifinomultak,voltaképpen a meglévõ gyakorlat formalizálásátjelentik. Az eszközök szabványosítottak, a rendel-kezésre álló technikákat alkalmazzák. Adaptálták akiegyensúlyozott informatikai stratégiaimutatószámrendszert. Azonban a képzés igény-bevételét, a szabványok követését és alkalmazásátaz egyes személyekre bízzák. Az alapvetõ okokelemzését csak esetenként alkalmazzák. A folya-matok többségét monitorozzák és bizonyos (viszo-nyítási alap-) mutatókkal összevetik azokat, de azeltérések nyomán csak egyéni kezdeményezésalapján hozzák meg a szükséges intézkedéseket, éskétséges, hogy az eltéréseket a vezetõk feltárnák.Ennek ellenére a kulcsfolyamatok teljesítményénekszámonkérése világos, és a menedzsment javadal-mazása az alapvetõ teljesítménymutatók függvé-nye.


I. Melléklet

4 Irányított és mérhetõ A szervezet minden szint-jén pontos ismeretekkel rendelkeznek az infor-matikai irányítással kapcsolatos kérdésekrõl, amitformális képzéssel támogatnak. Egyértelmû az,hogy ki az ügyfél, a kötelezettségeket szolgáltatásiszintre vonatkozó megállapodások révén meghatá-rozzák és monitorozzák. A kötelezettségek világo-sak, bevezették a folyamat-tulajdonlás elvét. Azinformatikai folyamatokat összhangba hozzák azüzleti és informatikai stratégiával. Az informatikaifolyamatok fejlesztése elsõsorban mennyiségi ér-telmezésen alapul, és lehetõség van az eljárá-soknak és a folyamatok mutatóinak valómegfelelés monitorozására és mérésére. Afolyamatokban érdekelt minden fél tudatában van akockázatoknak, az informatika jelentõségének ésaz általa kínált lehetõségeknek. A vezetés meghatá-rozta a folyamatok mûködésének tûréshatárait.Számos, de nem minden olyan esetben kezdemé-nyeznek intézkedéseket, amikor a folyamatok ha-tékonysága vagy eredményessége nem tûnikkielégítõnek. A folyamatokat alkalomszerûen fej-lesztik, és gondoskodnak a legjobb belsõ módsze-rek bevezetésérõl. Az alapvetõ okok elemzésétszabványosították. Megkezdték a folyamatos fej-lesztés bevezetését. A technológiát korlátozott, el-sõsorban taktikai jelleggel hasznosítják, kiforrotttechnikák és érvényesített szabványos eszközökalapján. Gondoskodnak a területek valamennyiszükséges belsõ szakértõjének bevonásáról. Azinformatikai irányítás a szervezet egészére kiter-jedõ folyamattá fejlõdik. Az informatikai irányításitevékenységek egyre inkább integrálódnak a vállal-kozás irányításának folyamatába.

5 Optimalizált A szervezetet az informatikai irányí-tásra vonatkozó kérdések és megoldások korszerûés elõremutató ismerete és értelmezése jellemzi. Aképzést és a kommunikációt élenjáró koncepciókés technikák támogatják. A folyamatokat a legjobb

külsõ gyakorlat szintjére fejlesztették a folyamatosfejlesztések és az egyéb szervezetekkel való érett-ségi modellezés eredményeként. Ezeknek a szabá-lyoknak az alkalmazása gyorsan alkalmazkodószervezethez, személyzethez és folyamatokhoz ve-zetett, amelyek teljes mértékben támogatják azinformatikai irányítás követelményeit. Elemzik azösszes probléma és eltérés alapvetõ okát, azonnalmeghatározzák és kezdeményezik a szükséges in-tézkedéseket. Az informatikát kiterjedt, integrált ésoptimalizált módon használják fel a technológiastratégiai szintû alkalmazására a munkafolyamatokautomatizálása és olyan eszközök biztosítása céljá-ból, amelyek javítják a minõséget és a hatékonysá-got. Az informatikai folyamatok haszna éskockázatai meghatározottak, kiegyensúlyozottak,és azokat kommunikálják a vállalat teljes körében.Bevonnak külsõ szakértõket és útmutatásként ösz-szeméréseket alkalmaznak. A monitoring, az önér-tékelés és az irányítással kapcsolatos elvárásokravonatkozó kommunikáció áthatja az egész szerve-zetet, és optimálisan hasznosítják a technológiát amérések, az elemzés, a kommunikációt és a képzéstámogatására. A vállalkozás és az informatika irá-nyítása stratégiai szinten kapcsolódnak egymáshoz,a technológiát, valamint a humán és a pénzügyierõforrásokat egyaránt a vállalkozás versenyelõ-nyének növelése érdekében mozgósítva.



II. Melléklet

COBIT PROJEKT LEÍRÁS

A projektet továbbra is egy ipari, tudományos, kor-mányzati és ellenõrzési szakemberekbõl álló nemzet-közi "Projekt Irányító Bizottság" felügyeli. A ProjektIrányító Bizottság részt vett a COBIT Keretrendszer ki-dolgozásában és a kutatási eredmények alkalmazásá-ban. A projekt keretében végzett kutatások ésfejlesztések minõség-biztosítási és szakértõi elemzésifeladatainak elvégzésére nemzetközi munkacsoport lettfelállítva. A projekt általános irányítását az IT Gover-nance Institute végzi.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER AKORÁBBI KIADÁSOKNÁLAz 1. kiadásban meghatározott COBIT Keretrendszebõlkiindulva, nemzetközi szabványok és irányelvek alkal-mazása és a legjobb gyakorlatok felkutatása révén ke-rültek kifejlesztésre a kontroll célkitûzések. Akövetkezõ lépés az auditálási útmutató kidolgozásavolt, amely azt értékeli, hogy a fenti kontroll célkitûzé-sek megvalósítása megfelelõen történt-e.

Az 1. és 2. kiadáshoz kapcsolódó kutatási munka ré-szeként összegyûjtötték és elemezték az azonosítottforrásanyagokat, mely munkát európai (Free Universityof Amsterdam), amerikai (California PolytechnicUniversity) és ausztráliai (University of New SouthWales) kutató-csoportok végezték. A kutatók azt a fel-adatot kapták, hogy gyûjtsék össze, vizsgálják át, érté-keljék és rendezzék össze a Keretrendszerhez és azegyes kontroll célkitûzésekhez kapcsolódó nemzetközimûszaki szabványokat, magatartási kódexeket, minõsé-gi szabványokat, auditálási szakmai szabványokat, va-lamint ágazati gyakorlatot és követelményeket. Azadatok összegyûjtését és elemzését követõen a kutatókminden egyes informatikai szakterületet és folyamatotalaposan megvizsgáltak, majd javaslatokat tettek azegyes informatikai folyamatok esetében alkalmazandókontroll célkitûzésekre. Az eredményeket a COBIT Irá-nyító Bizottsága és az ISACF Kutatási Igazgatója ösz-szesítették.

KUTATÁS ÉS MEGKÖZELÍTÉSI MÓDSZER A 3.KIADÁSNÁLA COBIT 3. kiadásához kapcsolódó projekt keretébenkidolgozásra került a Vezetõi útmutató és megtörtént aCOBIT 2. kiadásának felülvizsgálata a legújabb nemzet-közi hivatkozási források és normák alapján.

Emellett, a vezetõi kontroll hatékonyabb segítése, a tel-jesítmény-irányítás bevezetése és az informatikai irá-nyítás tartalmának további részletezése érdekében sorkerült a COBIT Keretrendszer felülvizsgálatára és kibõ-vítésére is. Annak érdekében, hogy a vezetés a Keret-rendszer alapján fel tudja mérni az informatikáhozkapcsolódó kontroll eljárások megfelelõ végrehajtását,hogy választani tudjon azok közül illetve, hogy mérnitudja az eljárások teljesítményét, az egyes KontrollCélkitûzésekhez kapcsolódóan Érettségi Modellek, Kri-tikus Sikertényezõk, Kulcsfontosságú Célmutatók ésKulcsfontosságú Teljesítmény-mutatók is bekerültek aVezetõi Útmutatóba.

A Vezetõi Útmutató kidolgozásában egy 40 szakértõbõlálló nemzetközi panel vett részt, amelynek tagjai azipar, a tudomány, a kormányzatok valamint az informa-tikai biztonsági és ellenõrzési szakma képviselõi közülkerültek ki. Ezek a szakemberek bentlakásos mûhely-munkán vettek részt, ahol a COBIT Irányító Bizottságaáltal meghatározott irányelvek szerint, hivatásos irányí-tók segítségével folyt a munka. A mûhelymunkához je-lentõs támogatást nyújtott a Gartner Group és aPricewaterhouseCoopers, amely cégek a munka mene-tének irányítása mellett saját ellenõrzési, teljesítmény-kezelési és informatikai biztonsági szakértõiket iselküldték. A mûhelymunka eredményeként a COBITmind a 34 általános szintû kontroll célkitûzéséhez kap-csolódóan kidolgozásra kerültek az Érettségi Modellek,a Kritikus Sikertényezõk, a Kulcsfontosságú Célmuta-tók és Kulcsfontosságú Teljesítmény-mutatók terveze-tei. A COBIT Irányító Bizottsága minõségbiztosításiszempontból áttekintette a kidolgozott tervezeteket,majd az így kapott eredményeket nyilvános vitára


II. Melléklet

COBIT PROJEKT LEÍRÁS, folytatás

tették közzé az ISACA web-oldalán. Mindezek alapjánelkészült a Vezetõi útmutató elnevezésû új rész, amelyigazodik a COBIT Keretrendszerhez és hasznos eszköztkínál a vezetés számára.

A Kontoll célkitûzések legújabb nemzetközi hivatkozá-si források és normák alapján történõ aktualizálását azISACA tagszervezeteinek tagsága végezte el, a COBITIrányító Bizottságának irányítása mellett. A munka cél-ja nem az összes anyag átfogó elemzése vagy a Kont-roll célkitûzések átdolgozása volt, hanem egyfajtafokozatos aktualizálási eljárás kialakítása.

A Vezetõi útmutató kidolgozásának eredményei ezt kö-vetõen a COBIT Keretrendszer felülvizsgálatára kerül-tek felhasználásra, elsõsorban az általános kontrollcélkitûzésekhez kapcsolódóan a mérlegelendõ kérdé-sekre, a célokra és a megvalósítás módjára vonatkozómegállapításokat érintõen.



III. Melléklet

ELSÕDLEGES COBIT HIVATKOZÁSI FORRÁSOK

COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - IntegratedFramework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.

OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security ofInformation, Paris, 1992.

DTI Code of Practice for Information Security Management: Department of Trade and Industry and BritishStandard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.

ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality AssuranceStandards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance ofsoftware, Switzerland, 1991.

An Introduction to Computer Security: The NIST Handbook: NIST Special Publication 800-12, NationalInstitute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1995.

ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines devel-oped by the Central Computer and Telecommunications Agency (CCTA), London, 1989.

IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior OfficialsGroup on Information Security, advising the European Commission), Brussels, 1994.

NSW Premier's Office Statements of Best Practices and Planning Information Management andTechniques: Statements of Best Practice #1 through #6. Premier's Department New South Wales, Government ofNew South Wales, Australia, 1990 through 1994.

Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic DataProcessing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.

EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, MonographSeries #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.

PCIE (President's Council on Integrity and Efficiency) Model Framework: A Model Framework forManagement Over Automated Information Systems. Prepared jointly by the President's Council on ManagementImprovement and the President's Council on Integrity and Efficiency, Washington, DC, 1987.

Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided bythe Chuo Audit Corporation, Tokyo, August 1994.

CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Au-dit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), FourthEdition, Rolling Meadows, IL, 1992.

CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Informa-tion Systems Auditor Job Analysis Study," Rolling Meadows, IL, 1994.

IFAC International Information Technology Guidelines-Managing Security of Information: InternationalFederation of Accountants, New York, 1998.


III. Melléklet

ELSÕDLEGES COBIT HIVATKOZÁSI FORRÁSOK, folytatás

IFAC International Guidelines on Information Technology Management-Managing InformationTechnology Planning for Business Impact: International Federation of Accountants, New York, 1999.

Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NIST SpecialPublication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce,Washington, DC, 1988.

Government Auditing Standards: US General Accounting Office, Washington, DC, 1999.

SPICE: Software Process Improvement and Capability Determination. A standard on software process improve-ment, British Standards Institution, London, 1995.

Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,Denmark, 1994.

DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery InstituteInternational. Guideline for Business Continuity Planners, St. Louis, MO, 1997.

IIA, SAC Systems Auditability and Control: Institute of Internal Auditors Research Foundation, SystemsAuditability and Control Report, Altamonte Springs, FL, 1991, 1994.

IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors ResearchFoundation, Altamonte Springs, FL, 1997.

E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.

C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, 1997.

ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)Technical Committee on Information Technology Security, Switzerland, 1998.

ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) TechnicalCommittee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.

ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial

Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and FinancialServices, Draft, Switzerland, 1997.

Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI(France), BSI (Germany), NLNCSA (Netherlands), CESG (United Kingdom), NIST (USA) and NSA (USA),1999.

Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.

TickIT: Guide to Software Quality Management System Construction and Certification. British Department ofTrade and Industry (DTI), London, 1994

ESF Baseline Control-Communications: European Security Forum, London. Communications NetworkSecurity, September 1991; Baseline Controls for Local Area Networks, September, 1994.

ESF Baseline Control-Microcomputers: European Security Forum, London. Baseline Controls MicrocomputersAttached to Network, June 1990



III. Melléklet

Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the InformationSystems Audit and Control Foundation), Rolling Meadows, IL, 1992.

Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): US General AccountingOffice, Washington, DC 1999.

Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, NationalInstitute for Standards and Technology, US Department of Commerce, Washington, DC, 1998.

Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washing-ton, DC, 1999.

BS7799-Information Security Management: British Standards Institute, London, 1999.

CICA Information Technology Control Guidelines, 3rd Edition: Canadian Institute of Chartered Accoun-tants, Toronto, 1998.

ISO/IEC TR 13335-n Guidelines for the Management of IT Security (GMITS), Parts 1-5: InternationalOrganisation for Standardisation, Switzerland, 1998.

AICPA/CICA SysTrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute ofCertified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.


IV. Melléklet

SZÓJEGYZÉK

AICPA American Institute of Certified Public Accountants - Okleveles Könyvvizsgálók AmerikaiEgyesülete

CICA Canadian Institute of Chartered Accountants - Okleveles Könyvvizsgálók KanadaiEgyesülete

CISA Certified Information Systems Auditor - Okleveles Információrendszer Auditor

CCEB Common Criteria for Information Technology Security - Informatika biztonság közös kritéri-umai

Kontroll Azok az irányelvek, eljárások, gyakorlatok és szervezeti struktúrák, amelyek célja az, hogygondoskodjanak az üzleti célkitûzések teljesítésérõl és a nemkívánatos eseményekmegelõzésérõl, felderítésérõl és korrekciójáról. Azok a szabályok, eljárások, gyakorlatokés szervezeti struktúrák, amelyek célja az, hogy gondoskodjanak az üzleti célkitûzésekteljesítésérõl és a nemkívánatos események megelõzésérõl, felderítésérõl és korrekciójáról.

COSO Committee of Sponsoring Organisations of the Treadway Commission - A TreadwayBizottság Szervezeteit Szponzoráló Bizottság

DRI Disaster Recovery Institute International - Nemzetközi Katasztrófa-helyreállítási Intézet

DTI Department of Trade and Industry of the United Kingdom - Az Egyesült Királyság Ipari ésKereskedelmi Minisztériuma

EDIFACT Electronic Data Interchange for Administration, Commerce and Trade - Adminisztrációs,kereskedelmi és üzleti célú elektronikus adatcsere

EDPAF Electronic Data Processing Auditors Foundation (now ISACF) - Elektronikus Adatfeldolgo-zási Auditorok Alapítványa (mai neve ISACF)

ESF European Security Forum - Európai Biztonsági Fórum, 70-nél több, elsõsorban multina-cionális társaság kutatási együttmûködési fóruma az informatikai biztonság és kontrollterületén

GAO U.S. General Accounting Office - Az Egyesült Államok Legfõbb Számvevõszéke

I4 International Information Integrity Institute (Az információk sértetlenségével ésösszhangjával foglalkozó nemzetközi intézet) az ESF-hez hasonló szervezet, hasonlócélokkal, de elsõsorban amerikai székhelyû és a Stanford Kutató Intézet irányítja.

IBAG Infosec Business Advisory Group - az Infosec Bizottságnak tanácsokat adó ágazati szakértõkcsoportja. A fenti Bizottság az Európai Közösség kormányzati tisztségviselõibõl áll és magais ad tanácsokat az Európai Bizottságnak informatikai biztonsági kérdésekben.

IFAC International Federation of Accountants - Nemzetközi Könyvvizsgálói Szövetség

IIA Institute of Internal Auditors - Belsõ Ellenõrök Intézete

INFOSEC Advisory Committee for IT Security Matters to the European Commission - Az EurópaiBizottság Informatikai Biztonsági kérdésekkel foglalkozó Tanácsadó Bizottsága



IV. Melléklet

ISACA Information Systems Audit and Control Association - Információrendszer Audit és KontrollEgyesület

ISACF Information Systems Audit and Control Foundation - InformációrendszerAudit és KontrollAlapítvány

ISO International Organisation for Standardization - Nemzetközi Szabványügyi Szervezet

IS09000 Az ISO által meghatározott minõségirányítási és minõségbiztosítási szabványok.

Informatikai A kontroll eljárások végrehajtása révén elérni kívánt eredmény illetve cél meghatározásakontroll célkitûzés

ITIL Information Technology Infrastructure Library - Információtechnológiai infrastruktúrakönyvtár

ITSEC Information Technology Security Evaluation Criteria - Információ-technológiai biztonságkiértékelésének kritérium rendszere. Franciaország, Németország, Hollandia és az EgyesültKirályság egységes kritériumai, amelyeket támogat az Európai Bizottság is (lásd még:TCSEC)

NBS National Bureau of Standards of the U.S. - USA Szabvánügyi Iroda

NIST National Institute of Standards and Technology - Nemzeti Szabványügyi és Technológiai(korábban NBS) Intézet (székhelye: Washington. D.C.)

NSW New South Wales, Australia - Új-Dél Wales, Ausztrália

OECD Organisation for Economic Cooperation and Development - Gazdasági Együttmûködési ésFejlesztési Szervezet

OSF Open Software Foundation - Nyitott Szoftver Alapítvány

PCIE President's Council on Integrity and Efficiency - Az integritással és hatékonysággal foglal-kozó Elnöki hivatal

SPICE Software Process Improvement and Capability Determination - Szoftver-folyamatfejlesztésés Teljesítmény-meghatározás - a szoftver-folyamatfejlesztésre vonatkozó szabvány

TCSEC Trusted Computer System Evaluation Criteria - Megbízható Számítógéprendszerek Kiértéke-lésének kritérium rendszere, más néven Orange Book: a számítógépes rendszerek biztonsá-gának értékelési kritériumai, amelyet eredetileg az Egyesült Államok VédelmiMinisztériuma dolgozott ki. Az európai megfelelõjét lásd az ITSEC-nél.

TickIT Guide to Software Quality Management System Construction and Certification Szoftverekminõségirányítási rendszerének kiépítésére és hitelesítésére vonatkozó útmutató


V. Melléklet

AZ AUDITÁLÁS FOLYAMATA(KÉSZÍTETTE AZ ISACA NATIONAL CAPITAL AREA TAGSZERVEZET)

Az alább bemutatott diagramok az egyes kontrollcélkitûzések teljesítéséhez kapcsolódó lépéseketillusztrálják. Meghatározzák az egyes lépések céljait,valamint azt, hogy az auditornak mit kell elérnie,mielõtt rátérne a következõ lépésre. Végezetül, egyfolyamatábra bemutatja az egyes lépések soránkövetendõ információ-gyûjtési és döntéshozatali eljárá-sokat is.

Minthogy számos célkitûzés egyedi jellegû, nemjavasoljuk az itt közölt mintát merev szabálykéntkezelni. A módszert hasznos útmutatónak találtuk, mertpontos fogalmi keretet nyújt az auditálási munkaminden egyes szakaszához. A minta ismertetése utánegy összevont szójegyzéket is közreadunk. A szójegy-zékben meghatározott fogalmak dõlt betûvel szere-pelnek a szövegben.

AZ AZONOSÍTÁS/DOKUMENTÁLÁS AUDITÁLÁSI

LÉPÉS:

Cél — Az azonosítás/dokumentálás auditálási lépéscélja az, hogy az auditor megismerkedjen a kontrollcélkitûzés által lefedett feladattal és azzal, hogy az

informatikai vezetés mit gondol arról, hogy azt hogyankontrollálja. Ez magába foglalja a vonatkozó feladatotellátó személyek, folyamatok és helyszínek, valamint afeladat kontrollálására kinyilvánított eljárásokazonosítását.

A lépéstõl elvárt eredmények - Azazonosítás/dokumentálás auditálási lépés befejezéséhezaz auditornak azonosítania, dokumentálnia és igazolniakell, hogy:

• Kik látják el a kontroll célkitûzés által lefedettfeladatot

• Hol látják el a feladatot• Mikor látják el a feladatot• Milyen bemenetek alapján látják el a feladatot• Milyen kimeneteket várnak el a feladattól, és• Milyen kinyilvánított eljárások vonatkoznak a

feladat ellátására

1. ÁBRA: Az azonosítás/dokumentálás auditálási lépés folyamatábrája



V. Melléklet

AZ ÉRTÉKELÉS AUDITÁLÁSI LÉPÉS:

Cél — az értékelés auditálási lépés célja a kinyilvání-tott eljárások értékelése és annak megállapítása, hogyaz eljárások hatékony kontroll struktúrát biztosítanak-e.Az eljárásokat az azonosított követelmények, ágazatiszabványos gyakorlat, valamint az auditor sajátszakmai megítélése alapján kell értékelni. A kontrollstruktúra abban az esetben hatékony, ha költség-takarékos, ugyanakkor kellõ biztosítékot nyújt a feladatellátására és a kontroll célkitzések teljesítésére.

A lépéstõl elvárt eredmények - az értékelés auditálásilépés befejezéséhez az auditornak az alábbiakat kellrendelkeznie:

• Annak értékelése, hogy milyen törvények, jogsza-bályi elõírások és szervezeti kritériumokvonatkoznak az eljárásokra

• Annak értékelése, hogy a kinyilvánított eljárásokköltségtakarékosak-e és kellõ biztosítékotnyújtanak-e a feladat ellátására és a kontrollcélkitûzések teljesítésére

• A gyenge eljárások megerõsítésére alkalmazottkiegészítõ kontroll mechanizmusok értékelése

• Állásfoglalás arra vonatkozóan, hogy a kinyilvání-tott eljárások és a kiegészítõ kontroll mechaniz-musok együttesen hatékony kontroll struktúrátbiztosítanak-e

• Annak megállapítása, hogy a megfelelõségtesztelése kielégítõ-e.

A MEGFELELÕSÉG TESZTELÉSE AUDITÁLÁSI LÉPÉS:

Cél — A megfelelõség tesztelése auditálási lépés céljaannak elemzése, hogy a szervezetnél mennyiben tartjákbe az elõírt kontroll mechanizmusokat. A ténylegeseljárásokat és a kiegészítõ kontroll mechanizmusokatössze kell hasonlítani a kinyilvánított eljárásokkal, ésdokumentumok áttekintése illetve interjúk révén megkell állapítani, hogy a kontroll mechanizmusokathelyesen és konzisztens módon alkalmazzák-e. Amegfelelõség tesztelése csak az eredményesnekminõsített eljárásokra vonatkozóan végzendõ el.

A lépéstõl elvárt eredmények - A megfelelõségitesztelési ellenõrzési lépés befejezéséhez az auditornakrendelkeznie kell az arra vonatkozó dokumentációval,hogy a szervezet mennyiben követi a fentiekbenmeghatározott eljárásokat, illetve az arra vonatkozómegállapítással, hogy a kinyilvánított eljárásokat és akiegészítõ kontroll mechanizmusokat helyesen éskonzisztens módon alkalmazzák-e a szervezetnél. Azauditornak a megfelelõség szintje alapján kellmeghatároznia azt, hogy milyen szintû lényegitesztelés szükséges annak megerõsítéséhez, hogy akontroll folyamat megfelel a követelményeknek.

2. ÁBRA: Az Értékelés auditálási lépés folyamatábrája


V. Melléklet

A LÉNYEGI TESZTELÉS AUDITÁLÁSI LÉPÉS:

Cél — A lényegi tesztelés auditálási lépés céljamegdönthetetlen bizonyosság szolgáltatása a vezetésfelé az adatok szükséges mértékû tesztelése révén,hogy egy adott üzleti célkitûzést teljesít-e a szervezet,vagy sem.

A lépéstõl elvárt eredmények - A lényegi tesztelésauditálási lépés befejezéséhez az auditornak megfelelõmértékben el kell végeznie a feladat kimeneteinektesztelését annak megállapításához, hogy az adott

kontroll célkitûzés megvalósításra kerül-e. Kiterjedtlényegi tesztelést kell végezni abban az esetben, ha:

• nem alkalmaznak semmilyen kontroll eljárást;• a kontroll mechanizmusok az elvégzett értékelés

alapján nem minõsülnek kielégítõnek, illetve ha• a megfelelõségi tesztek azt jelzik, hogy a kontroll

mechanizmusokat nem helyesen és konzisztensmódon alkalmazzák.

3. ÁBRA: A megfelelõség tesztelése auditálási lépés folyamatábrája

4. ÁBRA: A lényegi tesztelés auditálási lépés folyamatábrája



V. Melléklet

SZÓJEGYZÉK:

Tényleges eljárások — A tényleges eljárások azok azeljárások, amelyeket a szervezet a kontroll célkitûzésteljesítése érdekében alkalmaz. A tényleges eljárásokazonosítására a vizsgálat megfelelõség tesztelésiszakaszában kerül sor.

Kiegészítõ kontroll mechanizmusok — A kiegészítõkontroll mechanizmusok olyan további irányítási ésellenõrzési lépések vagy eljárások, amelyek bár nemkapcsolódnak közvetlenül a vizsgált kontrollcélkitûzéshez, de alkalmazásuk a vizsgált kontrollcélkitûzéshez közvetlenül kapcsolódó kontroll mecha-nizmusok megerõsítését szolgálja. A kiegészítõ kontrollmechanizmusok azonosítására a vizsgálat megfelelõségtesztelési szakaszában kerül sor. A kiegészítõ kontrollmechanizmusok aktív feltárására csak abban az esetbenvan szükség, ha a kinyilvánított kontroll mechaniz-musok eredményessége megkérdõjelezhetõ.

Kontroll célkitûzés — A szervezetnél kialakítottbármely eljárás kívánt eredménye. Informatikaiszemszögbõl nézve a kontroll célkitûzéseket azelvégzendõ auditálási munka hatókörének katego-rizálásához és meghatározásához használják.

Kellõ megerõsítés — Egyes konkrét kontrollcélkitûzések teljesítése érdekében kialakított eljárásokmegfelelõségének értékelésére kialakított szabvány. Akellõ megerõsítés magába foglalja a megfelelõ infor-máltságon alapuló vélemény kialakítására irányulómegítélést, tudást és tapasztalatot. A kellõ megerõsítésfeltétele, hogy a vizsgált kontroll rendszer hatékonylegyen, de ne legyen eltúlzott. A kellõ megerõsítésrevonatkozó szabvány feltétele továbbá, hogy a kontrollrendszer költséghatékony legyen.

Kinyilvánított eljárások — Azok a kontroll mechaniz-musok, amelyekrõl a szervezet úgy véli, hogy azokatbevezették és betartják annak érdekében, hogybiztosítsák a kontroll célkitûzés teljesítését. Kinyilvání-tott eljárás az, amit a vezetés arra vonatkozóan gondol,hogy mit hajtanak végre. A kinyilvánított eljárásokmagukba foglalják mind az írott, mind a vezetés általmegjelölt informális eljárásokat is. A kinyilvánítotteljárások azonosítására a vizsgálatazonosítás/dokumentálás szakaszában, míg a ténylegeseljárásokkal való összehasonlításukra a megfelelõségtesztelési szakaszban kerül sor.

Feladat — Az egy bizonyos kontroll célkitûzéskereteibe tartozó eljárások kívánt kimenete. A feladatbármi lehet, amelynek biztosítása érdekében az adottkontroll célkitûzést kialakították.

Feladat bemenetek és kimenetek — A feladatteljesítéséhez szükséges, ahhoz kapcsolódó illetveabból eredõ produktumok, jelentések illetve informá-ciók.


I T G O V E R N A N C E I N S T I T U T E



ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ

A HELYZET MEGÉRTÉSE ÉS ADATGYÛJTÉS

A KONTROLL MECHANIZMUSOK ÉRTÉKELÉSE



A kontroll célkitûzéseket alátámasztó tevékenységek dokumentálására, valamint a kinyilvánított és bevezetett kontrollintézkedések/eljárások meghatározására irányuló audit lépések.Interjúk folytatandók az illetékes vezetõkkel és alkalmazottakkal az alábbiak megértése érdekében:

• Az üzleti követelmények és a kapcsolódó kockázatok• A szervezeti struktúra• A feladat- és felelõsségi körök• A szabályok és eljárások• A törvények és jogszabályok• A bevezetett kontroll intézkedések• A vezetõi jelentések (helyzet, teljesítmény, intézkedési pontok)

Dokumentálandók a vizsgált folyamat által elsõdlegesen érintett informatikai erõforrások. Megerõsítendõ a vizsgáltfolyamat, a kulcsfontosságú teljesítmény-mutatók (KTM) és a kontroll kihatások megértése, pl. a folyamat bejárásarévén.

A bevezetett kontroll intéuzkedések eredményességének vagy a kontroll célkitûzések teljesülése mértékének megál-lapítására irányuló audit lépések. Lényegében döntés hozandó arról, hogy mit és hogyan kell tesztelni, illetve kell-etesztelni.Az azonosított kritériumok és az ágazati szabványos gyakorlat, a kontroll intézkedésekre vonatkozó kritikussikertényezõk (KST), valamint az auditor szakmai megítélése alapján értékelendõ a vizsgált folyamathoz kapcsolódókontroll intézkedések megfelelõsége.

• Léteznek-e dokumentált folyamatok• Léteznek-e a megfelelõ végtermékek• Egyértelmûen meghatározták-e a felelõsségi köröket és a számonkérhetõség módját, és azokat érvenybe léptették-e.• Léteznek-e kiegészítõ kontroll mechanizmusok, ahol azok szükségesek

Következtetésként megállapítandó a kontroll célkitûzések teljesülésének mértéke.

A bevezetett kontroll intézkedések elõírások szerinti, konzisztens és folyamatos mûködésének, valamint a kontrollkörnyezet megfelelõ voltának megállapítására irányuló audit lépések.Közvetlen vagy közvetett bizonyítékok kell szerezni a kiválasztott tételekre/idõszakokra vonatkozóan, amelyek alapjánbizonyítható, hogy a vizsgált idõszak alatt betartották az elõírt eljárásokat.Korlátozott vizsgálat révén ellenõrizendõ a folyamatok végtermékeinek megfelelõsége.Meghatározandó, hogy az informatikai folyamatok megfelelõ voltának megerõsítéséhez milyen mélységû lényegitesztelés és további munka szükséges.

A kontroll célkitûzések teljesítésének elmaradása által okozott kockázatok meghatározására irányuló audit lépések,megfelelõ elemzési módszereket felhasználva és/vagy alternatív forrásokat igénybevéve. A cél az auditori vélemény alátá-masztása és a vezetés "felrázása" a cselekvés érdekében. Az informatikai ellenõröknek kreatívaknak kell lenniük az ilyen,gyakran kényes és bizalmas jellegû információk feltárása és közlése során.Dokumentálandók a kontroll mechanizmusok hiányosságai, valamint az azokból eredõ fenyegetések és sebezhetõség.Megállapítandó és dokumentálandó a tényleges és a potenciális hatás, pl. okfeltáró elemzés révén.Összehasonlító információk nyújtandók, pl. összemérés révén.



ÁLTALÁNOS AUDITÁLÁSI ÚTMUTATÓ(KIHAJTHATÓ LAP)


ISACA HU COBIT 3 Auditalasi Utmutato

Documents