Informatyka w kontroli i audycie

Podobne dokumenty
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ISO bezpieczeństwo informacji w organizacji

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Promotor: dr inż. Krzysztof Różanowski

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Certified IT Manager Training (CITM ) Dni: 3. Opis:

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Program studiów podyplomowych Kontrola wewnętrzna i audyt

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Krzysztof Świtała WPiA UKSW

Marcin Soczko. Agenda

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Normalizacja dla bezpieczeństwa informacyjnego

Można rozpatrywać dwa sposoby zapewnienia obsługi informatycznej firmy:

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

5 Moduył do wyboru II *[zobacz opis poniżej] 4 Projektowanie i konfiguracja sieci komputerowych Z

Zapytanie ofertowe nr OR

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Ochrona danych osobowych w biurach rachunkowych

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Liczba godzin 1,2 Organizacja zajęć Omówienie programu nauczania 2. Tematyka zajęć

Amatorski Klub Sportowy Wybiegani Polkowice

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

SPIS TREŚCI Audyt wewnętrzny wydanie II

72% 50% 42% Czy Twoje przedsiębiorstwo spełnia nowe wymagania w zakresie Ochrony Danych Osobowych - GDPR?

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Kryteria oceny Systemu Kontroli Zarządczej

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Szkolenie otwarte 2016 r.

5 Moduył do wyboru II *[zobacz opis poniżej] 4 Projektowanie i konfiguracja sieci komputerowych Z

Robert Meller, Nowoczesny audyt wewnętrzny

ZAPROSZENIE DO SKŁADANIA OFERT

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

Przykład klauzul umownych dotyczących powierzenia przetwarzania

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

PROGRAM NAUCZANIA 2010/2011

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

dr inŝ. Michał Tomaszewski Wydział Elektrotechniki, Automatyki i Informatyki Politechnika Opolska

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Rodzaje audytu. Artur Sierszeń

Bezpieczeństwo IT w środowisku uczelni

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Imed El Fray Włodzimierz Chocianowicz

PRELEGENT Przemek Frańczak Członek SIODO

Opis przedmiotu zamówienia

I. O P I S S Z K O L E N I A

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

TESTER OPROGRAMOWANIA STUDIA PODYPLOMOWE

Szkolenie Audytor Wewnętrzny Bezpieczeństwa Danych Osobowych ODO-04

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Bezpieczeństwo danych w sieciach elektroenergetycznych

Wdrożenie Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 w ZGiUK Sp. z o.o. w Lubaniu

Szczegółowe informacje o kursach

Dział Temat lekcji Ilość lekcji. godz. 1 Organizacja zajęć Omówienie programu nauczania 3

Kontrola i audyt wewnętrzny w przedsiębiorstwach i w administracji publicznej

Systemy bezpieczeństwa Security Systems. Inżynieria bezpieczeństwa I stopień (I stopień / II stopień) ogólnoakademicki (ogólnoakademicki / praktyczny)

Technik Informatyk. Prezentacja zawodu Technik Informatyk.

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Transkrypt:

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie

Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15 Zaliczenie test zaliczeniowy 05.04.2014 roku na pierwszych zajęciach, ok. 20 minut

Wykład informatyka w kontroli i audycie zawiera zagadnienia dotyczące teorii systemów informatycznych wspomagających zarządzanie organizacją oraz przewidywania i określenia ryzyka informatycznego.

Program ćwiczeń zawiera tworzenie informatycznych systemów kontroli oraz tworzenia baz danych w procesie kontroli i audytu.

Systemy informatyczne wspomagające zarządzanie organizacją, Informatyczne systemy kontrolii. Bazy danych w procesie kontrolii i audytu. Ryzyka informatyczne.

Książki: Przewodnik audytora systemów informatycznych; M. Molski, M. Łacheta, Helion 2007 Normy dotyczące audytów informatycznych Narzędzia informatyczne do wspomagania audytu

Czym jest informatyka dzisiaj?

Czym jest informatyka dzisiaj? - narzędziem wspomagającym procesy w przedsiębiorstwach, - podstawową dziedziną przedsiębiorstw, - elementem ułatwiającym kontakt, - ważna i szeroko stosowana, - brak dziedzin w których nie można jej zastosować, - podstawowy element łączący ze sobą wszystkie gałęzie administracyjne, - ułatwiająca i przyśpieszająca pracę,

Czym jest informatyka dzisiaj? - systemy informatyczne są skomplikowane i złożone

Czym jest informatyka dzisiaj? Information Technology Infrastructure Library

Czym jest informatyka dzisiaj? - nowy trend to praca w chumarch obliczeniowych (cloud computing) - ważne staje sie odpowiednie zabezpieczanie elementów systemów, w tym danych do których dostęp powinny mieć tylko zaufane osoby

Informatyka w przedsiębiorstwie staje się elementem łączącym i scalającym wszystkie działy ze sobą. Jest kluczowa dla każdego elementu zarówno w administracji, produkcji etc. Umiejscowienie informatyka i informatyki w firmie jest o tyle ważne, że automatycznie definiują one jej role informatyki w całym procesie technologicznym oraz i przede wszystkim decyzyjnym.

Informatyka jako przedmiot audytu Informatyka jako pomoc w audycie

Informatyka jako przedmiot audytu

Informatyka jako przedmiot audytu Pierwszą i najważniejszą rzeczą jaka pojawia się w miarę zastanawiania się nad tym problemem, to założenie, że audyt informatyczny to sprawdzenie legalności oprogramowania i inwentaryzacji sprzętu.

Takie założenie sprowadza audyt to uruchomienia programów i weryfikacji dokumentacji z otrzymywanymi wynikami, i taki audyt jest także pożądany, ale tak naprawdę jest tylko jego namiastką i elementem wyrwanym z całości procesu do, którego musi należeć. W ramach działania informatyki, system informatyczny przestaje być prosty i jednolity, a często jego podziały są dla użytkowników nie widoczne, natomiast z punktu działania i funkcjonowania przedsiębiorstwa, administracji, gdzie należy dążyć do określenia pewnych kluczowych procesów, a najlepiej wszystkich najważniejszych, system taki powinien nieść ze sobą bezpieczeństwo i minimalizacje ryzyka związanego ze skutkami jego awarii.

System informatyczny - komputery - sieć teleinformatyczna - serwer (bazy danych) - strony www - elementy peryferyjne (drukarki, skanery, czytniki kart, itd.) - monitroing (kamery) - elementy bezpieczeństwa budynków (systemy BMS, zarządzanie)

Audytor gromadzi i ocenia dowody weryfikuje zgodność pomiędzy: - twierdzeniami o danym systemie kontroli wewnętrznej - a, ustanowionymi kryteriami wynik kontroli przedstawiany zleceniodawcy

Systemy informatyczne mogą być róznego typu, jednak w ramach każdego z nich zakres określonych procedur musi być stosowany w odpowiedni sposób. Inne systemy działają w górnictwie, kolejnictwie, w urzędzie gminy, ale część stosowanych procedur w tych systemach jest stała i można ją określić. Do sprawdzenie poprawności działania takiego systemu należy przede wszystkim zatrudniać osoby kompetentne i doświadczone w ramach konkretnych branż które one reprezentują, w tym stosować odpowiednie dla danej branży standardy i narzędzia. przykład: Informatyk programista nie może sprawdzać działania komputerów

Do przyprowadzenia takiego audytu nalezy zasosować własciwą metodykę jego prowadzenia. Metodyka prowadzenia audytu nie może być oderwana od elementów zarządzania bezpieczeństwem takiego systemu. Powinna stać się jednym z jego procesów, przede wszystkim dla tego, że w tak dynamicznie rozwijającej się branży, jak informatyka, nie sposób przewidzieć i sprawdzić wszystkich jego elementyów. Informatyk jest osobą której rozwój zawodowy musi podlegać specjalizacji i szkoleniu zawodowego w sposób ciągły, a audytowanie ma w dużej mierze pomagać także jemu w pracy.

Definicje (wg. PN-I-02000:2002) : Audyt bezpieczeństwa dokonanie niezależnego przeglądu i oceny działania systemu w celi przetestowania adekwatności środków nadzoru systemu, upewnienie się, czy system działa zgodnie z ustalona polityką bezpieczeństwa i zgodnie z procedurami operacyjnymi oraz w celu wykrycia przełamań bezpieczeństwa i zalecenia wskazanych zmian w środkach nadzorowania, polityce bezpieczeństwa oraz w procedurach

Definicje (wg. PN-I-02000:2002) : Audyt systemu informatycznego sprawdzanie procedur stosowanych w systemie przetwarzania danych w celu oceny ich skuteczności i poprawności oraz w celu zalecenie ulepszeń

Kto jest odpowiedzialny za uporządkowanie systemów informatycznych w przedsiębiorstwach?

Należy to do zakresu obowiązków kadry kierowniczej oraz zarządu i obejmuje swym zakresem przywództwo, struktury organizacyjne praz procesy dzięki, którym działy informatyczne, informatyka może wspierać i rozwijać wspólne cele i strategie organizacji. Czyli dokładnie tak jak powinna, ale z zastrzeżeniem, że procesy i dobór tych środków muszą być elementem konsultacji kadry kierowniczej i przez nie wspierane i zarządzane, dlatego, że są oni także częścią procesu tworzenia tego działu a przede wszystkim, porządku jaki w nim panuje.

PN-I-02000:2002 Administrator - osoba związana z przedmiotem oceny odpowiedzialna za utrzymywanie jego zdolności operacyjnej Administrator bezpieczeństwa użytkownik lub przyznana mu rola administrowania określonym systemem bezpieczeństwa w celu zapewnienia ciągłości prawidłowego działania przedmiotu oceny

PN-I-02000:2002 Bezpieczeństwo informacji bezpieczeństwo polegające na zachowaniu poufności, integralności i dostępności informacji Gestor danych statutowy organ, osoba lub organizacja odpowiedzialna za szczególną kategorie informacji lub aktualne dane zawarte w informacji lub określone typy, do których należy sygnalizowanie użytkownikom i zarządzającym danymi potrzeby stosowania pewnych procedur obsługi danych, związanych z bezpieczeństwem

PN-I-02000:2002 Integralność systemu właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcje w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Naruszenie bezpieczeństwa przypadek, w którym użytkownik lub inna osoba pomija lub niszczy środki nadzoru systemu w celi pozyskania niuprawnionego dostępu do informacji w nim zawartej lub do jego zasobów

PN-I-02000:2002 Plan odtworzenia po awarii plan obejmujący procedury składowani, działania dorźne i odzyskiwanie po wystąpieniu poważnej awarii Polityka bezpieczeństwa plan lub sposób postępowania przyjęty w celi zapewnienia bezpieczeństwa systemu

PN-I-02000:2002 Ryzyko prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów Testy penetracyjne sprawdzanie funkcji systemu przetwarzania danych w celu wyszukania sposobów obejścia bezpieczeństwa systemu Informatycznego Zasoby wszystko co ma wartość dla organizacji

Elementy bezpieczeństwa - zasoby - zagrożenia - podatność - ryzyko - zabezpieczenia

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres