Kontrola zarządcza IT



Podobne dokumenty
Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

ZARZĄDZENIE Nr 21/11 MARSZAŁKA WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO z dnia 10 marca 2011 r.

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

SKZ System Kontroli Zarządczej

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Standardy kontroli zarządczej

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

Zarządzanie finansami publicznymi narzędzia zarządzania finansami publicznymi oraz efektywne sposoby wydatkowania środków publicznych. Marzec 2010 r.

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Przedszkole Nr 30 - Śródmieście

KARTA AUDYTU WEWNĘTRZNEGO

Audyt systemów informatycznych w świetle standardów ISACA

oceny kontroli zarządczej

Regulamin audytu wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO

Karta audytu Uniwersytetu Śląskiego w Katowicach

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

Formułowanie opinii i ocen

KARTA AUDYTU WEWNĘTRZNEGO

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Regulamin audytu wewnętrznego

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

KARTA AUDYTU WEWNĘTRZNEGO

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

KARTA AUDYTU WEWNĘTRZNEGO

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

Warszawa, dnia 21 czerwca 2016 r. Poz. 46 ZARZĄDZENIE NR 52 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Karta Audytu Wewnętrznego. w Urzędzie Miejskim w Wyszkowie. i jednostkach organizacyjnych

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

KONTROLA ZARZĄDCZA w jednostkach sektora finansów publicznych. Prowadzący: Artur Przyszło

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

Bezpieczeństwo dziś i jutro Security InsideOut

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Karta Audytu Wewnętrznego

I. Ogólne cele i zasady audytu wewnętrznego

Zarządzenie Nr 88/2016 Prezydenta Miasta Kalisza z dnia 10 lutego 2016 r.

Opis systemu kontroli wewnętrznej w mbanku S.A.

1. Postanowienia ogólne

w sprawie organizacji i zasad funkcjonowania kontroli zarządczej w Sądzie Rejonowym dla Warszawy Pragi-Północ w Warszawie

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Rozdział 1. Postanowienia ogólne

Sprawozdanie z zadania zapewniającego

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

SYSTEM KONTROLI ZARZĄDCZEJ W SZKOLE WYŻSZEJ

Warszawa, dnia 12 maja 2016 r. Poz. 20

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Karta audytu wewnętrznego

Karta audytu Uniwersytetu Śląskiego

System kontroli zarządczej obejmuje wszystkie jednostki sektora finansów publicznych.

Regulamin zarządzania ryzykiem. Założenia ogólne

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE

Jak sobie radzić z ryzykiem w szkole

KARTA AUDYTU WEWNĘTRZNEGO SGH

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Zarządzenie Nr 26/2011 Starosty Węgorzewskiego z dnia 27 września 2011 r.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

System Kontroli Wewnętrznej w Banku BPH S.A.

ZARZĄDZENIE NR 15/2017 BURMISTRZA KARCZEWA z dnia 25 stycznia 2017 r.

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Zarządzenie Nr ZEAS /2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu z dnia 28 kwietnia 2010 roku

Załącznik Nr 1 do Zarządzenia Nr 439/09 Prezydenta Miasta Szczecin z dnia 8 września 2009 r. STATUT AUDYTU WEWNĘTRZNEGO W GMINIE MIASTO SZCZECIN

Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z dnia 24 września 2009 r.) DZIAŁ I. Zasady finansów publicznych (...

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

System kontroli zarządczej w praktyce polskiej administracji publicznej

System kontroli wewnętrznej w Limes Banku Spółdzielczym

ZARZĄDZENIE NR 85/2011 WÓJTA GMINY KOBYLNICA z dnia 29 kwietnia 2011 roku

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 17 czerwca 2015 r.

KARTA AUDYTU WEWNĘTRZNEGO W Urzędzie Miasta Sopotu

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Karta audytu wewnętrznego na Uniwersytecie Ekonomicznym w Poznaniu

Procedury Audytu Wewnętrznego Gminy Stalowa Wola

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Transkrypt:

Kontrola zarządcza IT Spotkanie audytorów wewnętrznych w Ministerstwie Finansów w dniu 26.08.2010r. Przygotowała: mgr inŝ. Joanna Karczewska CISA j.karczewska@poczta.onet.pl

Ustawa o finansach publicznych Rozdział 6 Kontrola zarządcza oraz koordynacja kontroli zarządczej w jednostkach sektora finansów publicznych Art. 68. 1. Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. 2. Celem kontroli zarządczej jest zapewnienie w szczególności: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) skuteczności i efektywności działania; 3) wiarygodności sprawozdań; 4) ochrony zasobów; 5) przestrzegania i promowania zasad etycznego postępowania; 6) efektywności i skuteczności przepływu informacji; 7) zarządzania ryzykiem.

Ustawa o finansach publicznych Komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych 1. Cel i charakter standardów 1.1. Standardy kontroli zarządczej dla sektora finansów publicznych, zwane dalej standardami, określają podstawowe wymagania odnoszące się do kontroli zarządczej w sektorze finansów publicznych. 1.2. Celem standardów jest promowanie wdraŝania w sektorze finansów publicznych spójnego i jednolitego modelu kontroli zarządczej zgodnego z międzynarodowymi standardami w tym zakresie [COSO, INTOSAI, Komisja Europejska], z uwzględnieniem specyficznych zadań jednostki, która ją wdraŝa i warunków, w których jednostka działa. 1.3. Standardy stanowią uporządkowany zbiór wskazówek, które osoby odpowiedzialne za funkcjonowanie kontroli zarządczej powinny wykorzystać do tworzenia, oceny i doskonalenia systemów kontroli zarządczej.

Ustawa o finansach publicznych Komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych II. Standardy kontroli zarządczej C. Mechanizmy kontroli System kontroli zarządczej powinien być elastyczny i dostosowany do specyficznych potrzeb jednostki. Mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko. Koszty wdroŝenia i stosowania mechanizmów kontroli nie powinny być wyŝsze niŝ uzyskane dzięki nim korzyści. 15. Mechanizmy kontroli dotyczące systemów informatycznych NaleŜy określić mechanizmy słuŝące zapewnieniu bezpieczeństwa danych i systemów informatycznych.

Ustawa o finansach publicznych Dział VI Audyt wewnętrzny oraz koordynacja audytu wewnętrznego w jednostkach sektora finansów publicznych Art. 272. 1. Audyt wewnętrzny jest działalnością niezaleŝną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. 2. Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.

Ustawa o finansach publicznych Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego 24. 1. Po przedstawieniu kierownikom komórek audytowanych ustaleń stanu faktycznego audytor wewnętrzny sporządza sprawozdanie, w którym w sposób jasny, rzetelny i zwięzły przedstawia wyniki audytu wewnętrznego. 2. Sprawozdanie zawiera w szczególności: 4) ustalenia stanu faktycznego wraz ze sklasyfikowanymi wynikami ich oceny według kryteriów, o których mowa w 19 ust. 1 pkt 6; 5) wskazanie słabości kontroli zarządczej oraz analizę ich przyczyn; 6) skutki lub ryzyka wynikające ze wskazanych słabości kontroli zarządczej; 7) zalecenia w sprawie wyeliminowania słabości kontroli zarządczej lub wprowadzenia usprawnień, zwane dalej zaleceniami ; 8) opinię audytora wewnętrznego w sprawie adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze ryzyka objętym zadaniem zapewniającym.

Ustawa o finansach publicznych Ministerstwo Finansów / Bezpieczeństwo Finansowe / Audyt sektora finansów publicznych / Najczęściej zadawane pytania Kryteria oceny ustaleń stanu faktycznego Kryteria oceny muszą być: 1. odpowiednie (tj. powinny odnosić się do zakresu objętego zadaniem), 2. wiarygodne (tj. powinny odnosić się do wiarygodnych wyznaczników/danych), 3. istotne (tj. powinny odnosić się do kwestii istotnych z punktu widzenia danej jednostki, obszaru/procesu), 4. neutralne (tj. powinny pozwolić na obiektywną i niezaleŝną ocenę badanego obszaru/procesu), 5. zrozumiałe (tj. powinny być zrozumiałe dla samego audytora wewnętrznego, kierownika jednostki, jak i kierownika/pracowników komórki audytowanej), 6. kompletne (tj. powinny obejmować całe spektrum badanego procesu/obszaru).

Ustawa o finansach publicznych Ministerstwo Finansów / Bezpieczeństwo Finansowe / Audyt sektora finansów publicznych / Najczęściej zadawane pytania Kryteria oceny ustaleń stanu faktycznego Kryteria oceny są zatem punktami odniesienia, według których audytor wewnętrzny moŝe ocenić w badanym obszarze/procesie m.in.: zgodność podjętych działań, adekwatność systemów kontroli zarządczej, a takŝe gospodarność, wydajność lub efektywność konkretnych działań jednostki/komórki organizacyjnej. Źródłami kryteriów oceny mogą być m.in.: 1. przepisy prawa i regulacje wewnętrzne, 2. standardy, normy oraz inne wskazówki o charakterze standardów opracowane przez uznane profesjonalne organizacje, organy, instytucje, 3. plany działalności i sprawozdania z planów działalności działu, 4. wytyczne kierownictwa jednostki, 5. dobre praktyki, 6. wyniki kontroli i audytu wewnętrznego.

Metodyka DAS Podręcznik kontroli wykonania zadań http://eca.europa.eu 1.2.4 System kontroli wewnętrznej słuŝący zapewnieniu naleŝytego zarządzania finansami W celu uzyskania wystarczającej pewności, Ŝe cel naleŝytego zarządzania finansami został osiągnięty, Komisja i inne jednostki kontrolowane muszą ustanowić odpowiedni system kontroli wewnętrznej. Systemy informatyczne stanowią część systemu kontroli wewnętrznej w Komisji, co jest zgodne z proponowanym przez COBIT modelem dotyczącym stosowania ładu informatycznego w zarządzaniu informacjami i zasobami informatycznymi.

INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector 2.3 Control Activities http://www.issai.org Control activities are the policies and procedures established to address risks and to achieve the entity s objectives. [Czynności kontrolne to polityki i procedury ustanowione, by zająć się ryzykami i osiągać cele podmiotu.] 2.3.1 Information Technology Control Activities Information systems imply specific types of control activities. [Systemy informatyczne wymagają specyficznych rodzajów czynności kontrolnych.] Further guidance on information technology control activities can be obtained from the Information Systems Audit and Control Association (ISACA), in particular the ISACA Control Objectives for Information and Related Technology (COBIT) reference framework, and the proceedings of the INTOSAI IT-audit committee. [Dodatkowe wytyczne dotyczące czynności kontrolnych IT moŝna uzyskać od stowarzyszenia ISACA, w szczególności metodykę COBIT, oraz znaleźć w sprawozdaniach komitetu audytu IT INTOSAI.]

Metodyka COBIT Jest to metodyka kontroli zarządczej IT - umoŝliwia opracowanie jednoznacznej polityki i dobrych praktyk nadzoru nad IT w całej firmie. Wspiera firmę w upewnianiu się, Ŝe: IT jest dopasowane do potrzeb firmy, IT napędza podmiot i maksymalizuje korzyści, zasoby IT są wykorzystywane w sposób odpowiedzialny, ryzyka IT są odpowiednio zarządzane. Warto wdroŝyć COBIT jako model kontroli zarządczej IT, poniewaŝ: umoŝliwia lepsze dopasowanie IT, bazujące na potrzebach firmy, daje pogląd na to, co robi IT, zrozumiały dla kierownictwa, jasno określa własność i odpowiedzialność, w oparciu o procesy, jest uznawany przez strony trzecie i prawodawców, zapewnia zrozumienie przez wszystkich interesariuszy, spełnia wymogi COSO dotyczące środowiska kontrolnego IT.

Metodyka COBIT Z metodyki COBIT mogą korzystać: dyrekcja firmy [executive management] w celu osiągania wartości z inwestycji IT oraz zrównowaŝenia ryzyka i kontroli inwestycji w środowisku IT, które dość często bywa nieprzewidywalne, kierownictwo działów merytorycznych [business management] w celu uzyskania zapewnienia w sprawach zarządzania i kontroli usług IT dostarczanych przez słuŝby wewnętrzne lub dostawców zewnętrznych, kierownictwo IT [IT management] w celu dostarczania kontrolowanych i zarządzanych usług IT wymaganych przez firmę dla wsparcia strategii firmowej, audytorzy [auditors] w celu potwierdzenia swoich opinii i/lub udzielania kierownictwu rad dotyczących wewnętrznych mechanizmów kontrolnych.

Metodyka COBIT Metodyka COBIT: tworzy powiązania celów IT z celami podmiotu, identyfikuje podstawowe zasoby IT, organizuje czynności IT według powszechnie akceptowanego modelu procesowego, wyznacza mierniki i modele dojrzałości, za pomocą których moŝna zmierzyć osiąganie celów oraz zidentyfikować odpowiedzialność właścicieli procesów (właścicieli biznesowych i IT), definiuje cele kontrolne, czyli ogólne deklaracje minimalnych dobrych praktyk stosowanych przez kierownictwo w celu zapewnienia kontroli nad kaŝdym procesem IT, zawiera praktyki kontrolne, czyli kluczowe mechanizmy kontrolne, które wspierają osiąganie celów kontrolnych oraz zapobieganie, wykrywanie i naprawianie niepoŝądanych zdarzeń, podaje deklaracje wartości i ryzyk, czyli przykłady korzyści dla firmy wynikających z osiągnięcia celu kontrolnego oraz ryzyk, które moŝna zmniejszyć.

Metodyka COBIT Metodyka COBIT obejmuje: 4 domeny 34 procesy IT 210 celów kontrolnych 7 kryteriów informacji 4 rodzaje zasobów tabele RACI mierniki modele dojrzałości Źródło: COBIT 4.1. 1996-2007 ITGI. All rights reserved. Used by permission

DS5 - Zapewnienie bezpieczeństwa systemów Kontrolę nad procesem IT zapewnienia bezpieczeństwa systemów który spełnia wymagania biznesu wobec IT Cele IT utrzymania integralności informacji i infrastruktury, która je przetwarza oraz minimalizacji wpływu podatności i incydentów dotyczących bezpieczeństwa poprzez skupienie się na Cele procesu ustalaniu polityk, planów i procedur dotyczących bezpieczeństwa IT oraz monitorowaniu, wykrywaniu, raportowaniu i wyjaśnianiu podatności i incydentów dotyczących bezpieczeństwa osiąga się Cele czynności rozumiejąc wymogi, podatności i zagroŝenia dotyczące bezpieczeństwa zarządzając w sposób ujednolicony toŝsamością i autoryzacją uŝytkowników regularnie testując bezpieczeństwo i mierzy za pomocą Kluczowe mierniki liczby incydentów szkodzących reputacji podmiotu wśród społeczeństwa liczby systemów, w których nie są spełnione wymogi bezpieczeństwa liczby naruszeń dotyczących rozdziału obowiązków

DS5 - Zapewnienie bezpieczeństwa systemów Cele kontrolne: DS5.1 Zarządzanie bezpieczeństwem teleinformatycznym DS5.2 Plan bezpieczeństwa IT NaleŜy przełoŝyć wymagania podmiotu, oraz wymogi dotyczące ryzyka i zgodności na ogólny plan bezpieczeństwa IT, uwzględniając infrastrukturę IT oraz podejście podmiotu do bezpieczeństwa. NaleŜy zadbać o to, by plan został ujęty w politykach i procedurach bezpieczeństwa i towarzyszyły mu odpowiednie inwestycje w usługi, pracowników, oprogramowanie i sprzęt. Z politykami i procedurami bezpieczeństwa naleŝy zaznajomić interesariuszy i uŝytkowników. DS5.3 Zarządzanie toŝsamością DS5.4 Zarządzanie kontami uŝytkowników DS5.5 Testowanie, nadzorowanie i monitorowanie bezpieczeństwa DS5.6 Definiowanie incydentów dot. bezpieczeństwa DS5.7 Ochrona środków technicznych dot. bezpieczeństwa DS5.8 Zarządzanie kluczami szyfrującymi DS5.9 Złośliwe oprogramowanie - zapobieganie, wykrywanie i działania naprawcze DS5.10 Bezpieczeństwo sieci DS5.11 Wymiana danych wraŝliwych

DS5 - Zapewnienie bezpieczeństwa systemów Tabela RACI: R - odpowiedzialny, A - decyzyjny, C - konsultowany, I - informowany

DS5 - Zapewnienie bezpieczeństwa systemów Mierniki: Liczba incydentów mających wpływ na działalność podmiotu Liczba systemów, w których nie są spełnione wymogi bezpieczeństwa Czas nadawanie, zmiany i cofnięcia praw dostępu Liczba i rodzaje domniemanych i faktycznych naruszeń dostępu Liczba naruszeń dotyczących rozdziału obowiązków Procent uŝytkowników, którzy nie stosują się do standardów dot. haseł Liczba i rodzaj kodów złośliwych, którym udało się zapobiec Częstotliwość i przegląd typów zdarzeń dot. bezpieczeństwa, które naleŝy monitorować Liczba i typ zdezaktualizowanych kont Liczba nieautoryzowanych adresów IP, portów i zablokowanych typów ruchu Procent kluczy kryptograficznych ujawnionych i cofniętych Liczba praw dostępu autoryzowanych, cofniętych, zresetowanych lub zmienionych Model dojrzałości poziomy od 0 (nieistniejący) do 5 (zoptymalizowany)

DS5 - Zapewnienie bezpieczeństwa systemów Praktyki kontrolne: np. NaleŜy zebrać wymagania dotyczące bezpieczeństwa informacji zawarte w planach taktycznych IT (PO1), klasyfikacji danych (PO2), standardach technologicznych (PO3), politykach bezpieczeństwa i kontroli (PO6), zarządzaniu ryzykiem (PO9) oraz zewnętrznych wymogach zgodności (ME3) i uwzględnić je w ogólnym planie bezpieczeństwa IT. Wyznaczniki ryzyka [Risk Drivers] np. Plan bezpieczeństwa IT niedopasowany do wymagań podmiotu. np. RóŜnice pomiędzy zaplanowanymi i wdroŝonymi środkami bezpieczeństwa IT Wytyczne audytu i zapewnienia np. NaleŜy ustalić, czy istnieje proces regularnej aktualizacji planu bezpieczeństwa IT i czy ten proces wymaga, by odpowiedni szczebel kierownictwa dokonywał przeglądu zmian i je akceptował. np. NaleŜy zwrócić się do działu kadr o informacje dot. kilku przeniesień pracowników oraz rozwiązań umowy o pracę i ustalić, czy dostęp został odpowiednio i w stosownym czasie zmodyfikowany lub cofnięty, poprzez sprawdzenie konfiguracji kont i poziomów dostępu tych uŝytkowników do systemów.

Metodyka COBIT Przykład zastosowania Ustawa o ochronie danych osobowych www.isaca.org.pl

Metodyka COBIT Zastosowanie do audytów informatycznych: Biuro Trybunału Konstytucyjnego Ministerstwo Finansów Ministerstwo Rozwoju Regionalnego Naczelna Dyrekcja Archiwów Państwowych Urząd Regulacji Energetyki Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej w Poznaniu

Publikacje ISACA Metodyka COBIT COBIT 4.1 COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition IT Assurance Guide: Using COBIT COBIT Security Baseline, 2nd Edition COBIT and Application Controls: A Management Guide COBIT Quickstart, 2nd Edition Audyt i zapewnienie Standards, Guidelines, and Tools and Techniques ITAF : A Professional Practices Framework for IT Assurance Monitoring of Internal Controls and IT (Exposure Draft) IT Governance Board Briefing on IT Governance, 2nd Edition Implementing and Continually Improving IT Governance Metodyka Val IT Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0 Enterprise Value: Governance of IT Investments, Getting Started With Value Management Value Management Guidance for Assurance Professionals - Using Val IT 2.0 The Business Case Guide - Using Val IT 2.0 Metodyka Risk IT The Risk IT Framework The Risk IT Practitioner Guide