REKOMENDACJA D Rok PO Rok PRZED

Transkrypt

1 REKOMENDACJA D Rok PO Rok PRZED Praktyczne aspekty procesu weryfikacji i zapewnienia zgodności z zaleceniami REKOMENDACJA D Jacek Więcki, Bank BGŻ S.A., Wydział Strategii i Procesów IT e mail: jacek.wiecki@bgz.pl tel ,

2 Nadrzędne role i obszary bezpośredniej koordynacji Nakreślenie roli i obszarów monitorowania domen technologii teleinformatycznych w instytucjach finansowych RADA NADZORCZA i KIEROWNICTWO BANKU: zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach STRATEGIA I ORGANIZACJA ROZWÓJ IT UTRZYMANIE I EKSPLOATACJA ZARZĄDZANIE BEZPIECZEŃSTWEM IT

3 Realizacja i obszary operacyjne Obszary i zakresy regulacyjne adresowane przez Rekomendację Dpodkątem kierunków i domen jej wdrażania w organizacji STRATEGIA I ORGANIZACJA ROZWÓJ UTRZYMANIE I EKSPLOATACJA ZARZĄDZANIE BEZPIECZEŃSTWEM Planowanie strategiczne w obszarze IT i bezpieczeństwa, Zasady współpracy obszarów biznesowych i technicznych System informacji zarządczej obszarów IT i bezpieczeństwa Prowadzenie projektów Wdrażanie nowych rozwiązań Zarządzanie zmianami Wycofywanie rozwiązań Zarządzanie danymi Współpraca z zewnętrznymi dostawcami Przetwarzanie w chmurze (CC) Wykorzystanie narzędzi pracownika (BYOD) Edukacja klientów Proces zarządzania ryzykiem IT Klasyfikacja informacji i systemów IT Incydenty bezpieczeństwa Zgodność Aplikacje tworzone oddolnie (EUC)

4 Obszary kompetencyjne Komórki i zasoby kompetencyjne pokrycie zaleceń Rekomendacji D OBSZARY TECHNOLOGICZNE (2, 7, 8, 9, 11, 15, 16, 20) OBSZARY BIZNESOWE (2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 17, 18, 19, 20) IT Rekomendacja D OBSZARY PRAWNY I COMPLIANCE (1, 4, 6, 7, 10, 13, 15, 16, 17, 18, 20, 21, 22) KOORDYNACJA

5 Uwarunkowania realizacyjne ANALIZA STANU I LUK WIELKOŚĆ I SPECYFIKA INSTYTUCJI ZAKRES WDROŻENIA REKOMENDACJI D 2013 W BANKU WIELKOŚĆ I SPECYFIKA INSTYTUCJI ARGUMENTACJA ZAKRESU KNF

6 Działania i praktyczne efekty w procesie weryfikacji i zapewnienia zgodności

7 Status działań (Zrealizowane) Raport stanu i analizy luk Plan działań Centralne repozytorium Program portfolio projektów Budżet 2014 Plan audytów wewnętrznych Cykliczny monitoring procesu 2014 (Realizacja) Zasilenie repozytorium Operacyjne wdrożenie zaleceń Projektowe wdrożenie zaleceń Monitoring i cykliczne raportowanie Iteracyjne audyty potwierdzonych zgodności Wsparcie przeglądów KNF Monitoring i raportowanie zgodności

8 Otoczenie a rekomendacji D REKOMENDACJA D REKOMENDACJA D BANK USŁUGI IT Dostawcy i Outsourcing usług IT

9 Status działań Dziękuję za uwagę

10 Status działań Backup

11 Status działań Przykładowy rozkład kompetencji dla poszczególnych zaleceń Rekomendacji D Rada Nadzorcza i Zarząd Banku: 1, 2, 3, 4, 5, 8, 15, 18, 20, 21, 22 Prawny (rekomendacje: 2, 3, 5, 6, 7, 8, 9, 10, 11, 15, 19, 20, 21) Audyt i Compliance: 3, 5, 9, 10, 15, 16, 18, 20, 21, 22 Biznes (Detal/Korporacja): 4, 16 IT: 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22 Bezpieczeństwo: 4, 5, 6, 7, 9, 10, 11, 14, 15, 16, 17,18, 19, 20 Operacje Organizacja: 5, 8, 16 HR i Administracja: 5, 8, 11, 12, 14, 15, 19, 22