Presentation is loading. Please wait.

Presentation is loading. Please wait.

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Similar presentations


Presentation on theme: "Pomoć informatičkih i računalnih stručnjaka u provedbi revizije"— Presentation transcript:

1 Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT Ekonomski fakultet Zagreb Katedra za informatiku

2 Teme Računalni programi u provedbi revizije (CAAT alati)
Primjena računalne podrške pri provedbi analitičkih testova Provedba revizije informacijskih sustava Metodologije i regulativa revizije informacijskih sustava (CobiT, ISO 27001, Sarbanes-Oxley, Basel II, ..)

3 Informacijske tehnologije (alati i tehnike) koje pomažu u pojedinim fazama provedbe revizije
CAATTs – (Computer Assisted Audit Tools and Techniques) – računalom podržane tehnike i alati revizije CAATTs – (Computer Assisted Audit Tools and Techniques) – skup alata i tehnika koji se koriste u postupcima (bilo koje) revizije s ciljem efikasnijeg rada revizora i poboljšanja rezultata njihova rada Softver kojega revizori koriste kako bi njihov rad bio brži, točniji i efikasniji (analize podataka, provedba testova) Alati koje revizori koriste kako bi postupci revizije bili učinkovitiji i efikasniji - CAATs – (Computer Assisted Audit Tools) Računalni programi (računalno podržani alati i procedure) koji se koriste u reviziji pri provedbi analitičkih testova

4 Alati koji pomažu u revizijskim postupcima (CAA Tools)
Alati za unaprjeđenje produktivnosti e-dokumentacija, sustavi za komunikaciju, groupware, suradnički sustavi, intranet, referentne datoteke, upravljanje dokumentacijom, softver za upravljanje projektima, softver za upravljanje vremenom Opći (generalizirani) revizijski softver ACL Komercijalni softver Revizorski ekspertni sustavi Pomoćni softver Statistički softver Specijalizirani revizijski softver (pojedine djelatnosti, revizija informacijskih sustava, provjera sigurnosti, procjena sigurnosti mreže, forenzične revizije, itd.)

5 Tehnike koji pomažu u revizijskim postupcima (CAA Techniques)
Tehnike za provjeru integriteta aplikacija Sustavi za testiranje točnosti Paralelne simulacije Testiranje cjelovitosti obrade Ugrađeni revizijski moduli (embedded audit modules) Analiza algoritma i programskog koda… Tehnike za provjeru integriteta podataka Tehnike izdvajanja podataka Test podaci Tehnike otkrivanja pogrešaka Tehnike provedbe neprekidne revizije (continuous auditing techniques)

6 Ciljevi korištenja CAAT-a za rad s aplikacijama
Jesu li podaci korektno obrađeni i korišteni (prijenos salda-konti – glavna knjiga)? Jesu li su evidencije korektno obrađene (konta)? Jesu li su u transakcijskim bazama vidljivi učinci provedbe transakcija (promjene nastale izvršavanjem aplikacija – poslovnih procesa)? Jesu li isti podaci na početku poslovanja i na početku programa? Kakav je pristup sustavu/aplikaciji? Je li aplikacija / program bio mijenjan? Je su li ulazni podaci potvrđeni i ispravni? Postoji li ugrađeni revizijski modul?

7 Ciljevi korištenja CAAT-a za rad s podacima
Jesu li podaci cjeloviti? Uzorkovanje, analiza podataka, izvješćivanje Sortiranje kontrola – traženje propusta u sortiranju (matični broj kupca, broj računa, ..), traženje ‘rupa’ u sekvencijalnim podacima Evidencija duplikata (‘duplicate key’ test) ‘gap detection’ kontrola – traženje ‘rupa’ u nizovima brojeva Usporedba podataka Ispitivanje i kontrola sadržaja podataka Alati ispitivanja: ‘data mining’, slojevitost, stratifikacija, traženje iznimki (praznina, duplikata, ..), uzorkovanje, .. Potvrđivanje ispravnosti i cjelovitosti podataka

8 CAATT – koraci primjene
Postaviti ciljeve revizije Odrediti koji CAAT alati i tehnike mogu pomoći ostvarenju ciljeva revizije Odrediti koje podatke i datoteke trebamo od klijenta Odrediti format podataka primitka podataka Zatražiti podatke od klijenta Ubaciti podatke (‘import’) u revizijski softver (npr. ACL, IDEA) Koristiti CAAT za provjeru cjelovitosti prijenosa podataka Obaviti specifične CAAT obrade kojima se postižu ciljevi revizije Istražiti iznimke Dokumentirati rezultate

9 Opći revizijski softver
Najčešće korišten Osnovna funkcija –pristup svim vrstama i bazama podataka (uz prethodno pisano odobrenje klijenta!) odabir podataka obzirom na ciljeve testiranja, stvaranje privremenih datoteka, statističke analize odabranih podataka i izvještavanje o rezultatima Osnovna svrha - prikupljanje dokaza vezanih uz djelotvornost izvršavanja postupka kontrole ali i dokaza o težini grešaka u bilancama i o vrstama transakcija Upiti nad podacima Nepovredivost izvornih podataka Omogućuju provedbu samo naknadne, a ne i tekuće revizije

10 Primjena CAA alata i tehnika
Samostalno testiranje (točnost i ispravnost transakcija – aplikacija i podataka) Metode (append, count, summarize, join, index/sort, duplication detection, selection, gaps, stratification, horizontal analysis, trend analysis, regression, corelation, rounded values, pivoting, sampling, BL) Odabir uzorka Nasumično uzorkovanje Intervalno uzorkovanje Slojevito nasumično uzorkovanje Monetarno jedinično uzorkovanje Ispitivanje regulatorne podudarnosti Stratifikacija – slojevi podataka temeljeni na nekom pre-definiranom pravilu (count, sum, partial sum, percentage, najmanji, najveći….) Metode provjere (revizije) podataka Provjera duplikata Provjere zaokruživanjem (multiplikatori broja 5 ili 10)

11 Primjena CAA alata i tehnika – Benford law
Benfordov zakon – vodeća znamenka x (x e [1..b − 1] ) baza b (b ≥ 2) se pojavljuje s vjerojatnošću P(x)=logb(x + 1) − logbx = logb((x + 1)/x) P(z1)=log10(1+1/z1), z1e [1..9] Znamenka (z1) Vjerojatnost p(z1) 1 0,30103 2 0,17609 3 0,12494 4 0,09691 5 0,07918 6 0,06695 7 0,05799 8 0,05115 9 0,04576

12 Primjena CAA alata i tehnika – Benford law
Benfordov zakon – vjerojatnost pojavljivanja 2. znamenke P(z2) = Znamenka (z2) Vjerojatnost p(z2) 0,11968 1 0,11389 2 0,10882 3 0,10433 4 0,10031 5 0,09668 6 0,09337 7 0,09035 8 0,08757 9 0,08500

13 Col. Title 1 2 3 4 5 6 7 8 9 samples A Rivers, Area 31.0 16.4 10.7 11.3 7.2 8.6 5.5 4.2 5.1 335 B Population 33.9 20.4 14.2 8.1 6.2 4.1 3.7 2.2 3259 C Constants 41.3 14.4 4.8 10.6 5.8 1.0 2.9 104 D Newspapers 30.0 18.0 12.0 10.0 8.0 6.0 5.0 100 E Specific Heat 24.0 18.4 16.2 14.6 3.2 1389 F Pressure 29.6 18.3 12.8 9.8 8.3 6.4 5.7 4.4 4.7 703 G H.P. Lost 11.9 10.8 7.0 3.6 690 H Mol. Wgt. 26.7 25.2 15.4 6.7 2.8 1800 I Drainage 27.1 23.9 13.8 12.6 8.2 2.5 1.9 159 J Atomic Wgt. 47.2 18.7 6.6 3.3 91 K 25.7 20.3 9.7 6.8 8.9 5000 L Design 26.8 14.8 14.3 7.5 8.4 7.3 5.6 560 M Reader's Digest 33.4 18.5 12.4 7.1 6.5 4.9 308 N Cost Data 32.4 18.8 10.1 3.1 741 O X-Ray Volts 27.9 17.5 9.0 7.4 707 P Am. League 32.7 17.6 3.0 1458 Q Blackbody 17.3 14.1 8.7 5.2 5.4 1165 R Addresses 28.9 19.2 8.8 8.5 342 S 25.3 16.0 900 T Death Rate 27.0 18.6 15.7 9.4 418 Average 30.6 1011

14 Pravila primjene Benfordovog zakona
Brojevi se trebaju odnositi na isti ili sličan uzorak Brojevi ne smiju imati unaprijed određena minimalna ili maksimalna ograničenja Brojevi bi trebali nastati prirodnim slijedom, odnosno ne bi trebali biti dodjeljivani prema nekom algoritmu (‘assigned numbers’) Zakon se ne odnosi na brojeve nastale pod psihološkim utjecajem

15 1. Praktični primjer primjene ACL-a 1/4
Podaci glavne knjige – ukupno zapisa Provjera podataka (Verify) Benfordova analiza

16 1. Praktični primjer primjene ACL-a .. 2/4
Podaci glavne knjige – ukupno zapisa Ravnoteža bruto bilance (‘total field’) Izdvajanje slogova

17 1. Praktični primjer primjene ACL-a .. 3/4
5. Klasificiranje

18 1. Praktični primjer primjene ACL-a .. 4/4
6. Stratificiranje (broj transakcija)

19 2. Praktični primjer primjene ACL-a
Pronalaženje duplikata (JMBG)

20 3. Praktični primjer primjene ACL-a
Pronalaženje praznina (računi, automatske transakcije, itd.)

21 Primjeri korištenja CAAT (ACL) – broj transakcija u glavnoj knjizi

22 Primjeri korištenja CAAT (ACL) – provjera kontrola kod obračuna plaća

23 Definicije pojma revizija IS-a
Revizija informacijskih sustava (engl. Information System Audit) - proces provjere uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti i pouzdanosti Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje

24 Objekt revizije IS-a Objekt revizije IS-a je sustavno, temeljito i pažljivo pregledati kontrole unutar svih dijelova informacijskog sustava, a osnovni zadatak procijeniti njegovo trenutno stanje (zrelost, razinu kvalitete), otkriti rizična područja, procijeniti razinu rizika i dati preporuke menadžmentu za poboljšanje prakse njegova upravljanja. Izvještaj revizora informacijskog sustava se sastoji od sljedećih koraka:  opis kompanije, poslovnog okruženja i poslovnih procesa opis metodologije provedbe revizije IS-a analiza stanja (zrelosti) primjene informacijskih sustava u poslovanju prema promatranim područjima procjena poslovnih rizika koji proizlazi iz zatečenog stanja preporuke menadžmentu za poboljšanjem toga stanja odgovor Uprave

25 Područja provedbe revizije IS-a
Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike ili ostale 'uključene' strane nekom riziku Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om Provjera usklađenosti uporabe IS-a s važećom regulativom, standardima i međunarodno priznatim okvirima – jeli uporaba IS-a i svih njegovih dijelova u skladu s važećim propisima, međunarodnim okvirima, normama i stručnim standardima

26 Koraci provedbe revizije IS-a
Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a

27 Primjeri provedbe analitičkih testova pri revizijama IS-a
Provjera zapisanih podataka u ‘audit log-u’ Testiranje ovlasti i prava pristupa programima i podacima Testiranje sigurnosnih postavki računalne mreže Testiranje procedura promjena u aplikacijama Testiranje korisnika sustava i procedura dodjele korisničkih računa Testiranje postavki lozinki Analitički testovi ‘log tests’ ‘ORACLE DBlog’

28 Sigurnost IS-a Provjera log datoteka
korištenje sustava izvan radnog vremena; vikendi, praznici; dopusti pristupi/vrijeme korištenja od strane administratora analiza učestalosti korištenja sustava stupanj korištenja resursa/korisnik usporedba IP adresa i korisnika koji pristupaju (identif. korisnika na “neuobičajenim” PC-ima)

29 Sigurnost IS-a Provjera pristupnih prava
korisnički računi (accounts) bez lozinke korisnički računi s lozinkama kraćim od npr. 6 mjesta korisnički računi neupotrebljeni u posljednjih x mjeseci dinamika promjene lozinki korisnički računi s pristupom do ključnih sistemskih direktorija/tablica admin korisnički računi korisničke grupe i pripadnost grupama

30 Područja revizije IS-a u HR (HNB – Zakon o bankama)
Upravljanje sigurnošću IS-a Upravljanje rizikom koji vezan uz IS Logičke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosa s dobavljačima opreme Upravljanje razvojem IS-a Upravljanje fizičkom sigurnošću Upravljanje lozinkama Upravljanje promjenama Upravljanje kontinuitetom poslovanja Upravljanje incidentima i problemima Primjena internih akata vezanih uz IS

31 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom (HNB)
Uprava banke dužna je odrediti člana uprave zaduženog za upravljanje i nadzor IS-a uspostaviti primjerenu org. strukturu, odbore i funkcije ( ) donijeti strategiju IS-a ( ) strategiju IS-a razraditi strateškim i operativnim planovima ( ) donijeti interne akte kojima se uređuje upravljanje IS-om, definirati odgovornosti za nadzor ( )

32 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Uprava banke dužna je uspostaviti funkciju voditelja sigurnosti IS-a ( ) imenovati odbor za upravljanje IS-om ( ) usvojiti metodologiju upravljanja projektima ( )

33 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Banka je dužna uspostaviti proces upravljanja rizikom IS-a ( ) Metodologiju upravljanja rizikom IS-a ( ) Dokumentirati rezultate procjene rizika IS-a ( ) Procijeniti i na prihvatljivu razinu svesti rizike IS-a ( ) Klasificirati i zaštititi informacije prema razini osjetljivosti ( ) Uprava banke odgovorna je za donošenje prihvatljive razine rizika kojima je izložen IS ( )

34 Zakon o bankama i Odluka o primjerenom upravljanju informacijskim sustavom
Unutarnja revizija Dužna je obavljati reviziju IS-a banke ( ) Usvojiti metodologiju za provođenje revizije IS-a zasnovanu na procjeni rizika, a kojom se određuju kriteriji, načini i postupci revizije IS-a banke ( )

35 Krovne metode i okviri korporativnog upravljanja informatikom
COBIT – krovni okvir korporativnog upravljanja informatikom i revizije IS-a COSO – krovni okvir pri procjeni kvalitete internih kontrola ISO 38500:2008 – krovna norma korporativnog upravljanja informatikom Odgovornosti i ovlasti upravljanja Strategija IT-a Stjecanje IT-a Upravljanje performansama IT-a Sukladnost propisima i regulativi ‘Human behaviour’

36 COBIT metodologija Svjetski priznati standardi upravljanja IT-om (‘IT best practices’) Svjetski priznati standardi i ciljevi kontrole i revizije IS COBIT 4.1 – Control Objective for Information and related Technology Smjernice za analizu, mjerenje i kontrolu primjene IS i IT 34 IT procesa (cilja kontrole ili vođenja IT) svrstana u 4 područja Planiranje i organizacija (PO) Akvizicija i implementacija (AI) Isporuka i podrška (DS) Nadzor i procjena (ME) 34 cilja kontrole i 318 vrlo preciznih i detaljnih kontrola i uputa za njihovu primjenu (primjer) (

37 CobiT - 34 ključna IT procesa (.pdf)
PLANIRANJE I ORGANIZACIJA (PO) ISPORUKA I POTPORA (DS) PO1 Strateško planiranje IS DS1 Definiranje i upravljanje razinama usluga PO2 Definiranje informacijske arhitekture DS2 Upravljanje vanjskim uslugama PO3 Određivanje tehnoloških smjernica DS3 Upravljanje perfomansama i kapacitetom PO4 Definiranje IT procesa, organizacije i odnosa DS4 Osiguranje kontinuiteta usluga PO5 Upravljanje IT investicijama i troškovima (.pdf) DS5 Sigurnost sustava PO6 Komuniciranje prema menadžmentu DS6 Određivanje i dodjela troškova PO7 Upravljanje ljudskim resursima DS7 Izobrazba i trening korisnika PO8 Upravljanje kvalitetom DS8 Podrška korisnicima PO9 Upravljanje i procjena rizika DS9 Upravljanje konfiguracijom PO10 Upravljanje projektima (.pdf) DS10 Upravljanje problemima i incidentima DS11 Upravljanje podacima AKVIZICIJA (NABAVA) I IMPLEMENTACIJA (AI) DS12 Upravljanje pomoćnom opremom AI1 Određivanje mogućih rješenja DS13 Upravljanje operacijama (obradom) AI2 Nabava i održavanje aplikacijskih programa AI3 Nabava i održavanje tehnološke arhitekture NADZOR I PROCJENA (ME) AI4 Korištenje i funkcionalnost rada (obrade) ME1 Nadzor i procjena IT performansi AI5 Nabava IT resursa ME2 Nadzor i procjena internih kontrola AI6 Upravljanje promjenama (.pdf) ME3 Sukladnost s zakonskim i drugim normama AI7 Instalacija i odobravanje rješenja i promjena ME4 Korporativno upravljanjem IT-om

38 Izvedene metode i okviri revizije IS-a
Prema područjima provjere razlikujemo sljedeće izvedene standarde strateškog upravljanja IS-om: upravljanje razvojem poslovnih informacijskih sustava (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje informatičkim rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću poslovnih informacijskih sustava (obitelj ISO normi, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999)

39 Izvedene metode i okviri revizije IS-a
Val IT inicijativa ( - poboljšanje upravljanja ulaganjima u informatiku (3 područja, 40-ak procesa) ITIL okvir (ISO norma) ( - upravljanje informatičkim uslugama (5 područja, 20-ak procesa) Risk IT metodologija ( - upravljanje informatičkim rizicima (3 područja, 20-ak procesa) Obitelj ISO normi (ISO – ISO 27008) - ciljana unaprjeđenja sustava sigurnosti informacija (ISO područja i 40-ak procesa) Basel II okvir kojega su banke obvezne koristiti u svrhu boljeg upravljanja operativnim rizicima (11 područja) Sarbanes-Oxley kontrole u svrhu udovoljavanja regulatornim zahtjevima PMBOK – poboljšanje prakse upravljanja projektima PCI DSS (engl. Payment Card Industry Data Security System) – regulatorna pravila sigurnog i pouzdanog baratanja s podacima u kartičarskoj industriji. (primjer primjene .ppt)

40 COBIT metodologija CobiT menadžmentu predočava jasniju sliku funkcioniranja informacijskog sustava i cjelokupne informatike na način da: jasno određuje i detaljno opisuje ključne informatičke procese (34 procesa svrstana u 4 područja), jasno određuje obveze i područja odgovornosti (RACI tablica za svaki od tih procesa određuje tko je odgovoran, tko provodi kontrolu, a koga samo treba konzultirati prije donošenja odluke, odnosno informirati nakon), jasno određuje ciljeve nadzora i kontrole (CobiT kontrolni ciljevi), određuje ciljeve i metrike uspješnosti informatičkih procesa (modeli zrelosti): KPI – ključni indikatori performansi (engl. Key Performance Indicators), KGI – pokazatelji ostvarenja ciljeva (engl. Key Goal Indicators), KRI – ključni pokazatelji rizika (engl. Key Risk Indicators), pokazatelji ostvarenja zacrtanih aktivnosti (engl. IT activity goals) model zrelosti za svaki poslovni proces (ocjene od 0 do 5) i čitav sustav kojima se mogu mjeriti performanse informatičkih procesa i procijeniti njihovu učinkovitost u odnosu na poslovne ciljeve.

41 ISO 27001:2005 3.1. Odgovornost za informacijske resurse (imovinu)
1. Informacijska sigurnosna politika 2. Organizacija informacijske sigurnosti 2.1. Unutarnja informacijska sigurnost 2.2. Vanjski suradnici 3. Upravljanje informacijskim resursima (imovinom) i klasifikacija informacija 3.1. Odgovornost za informacijske resurse (imovinu) 3.2. Klasifikacija informacija 4. Informacijska sigurnost i privatnost zaposlenika 4.1. Sigurnost i privatnost prije zaposlenja 4.2. Sigurnost i privatnost tijekom zaposlenja 4.3. Prekid ili promjena zaposlenja 5. Fizička sigurnost i sigurna područja 5.1. Sigurna područja 5.2. Fizička sigurnost opreme 6. Upravljanje komunikacijama i operacijama 6.1. Radne upute i odgovornosti 6.2. Upravljanje pružanjem usluga treće strane 6.3. Planiranje i prihvaćanje sustava 6.4. Zaštita od zloćudnog i prenosivog koda 6.5. Sigurnosne kopije 6.6. Upravljanje sigurnošću računalnih mreža 6.7. Rukovanje medijima (nositeljima podataka) 6.8. Razmjena informacija 6.9. Usluge elektroničke trgovine 6.10. Nadzor 7. Kontrola pristupa 7.1. Poslovni zahtjevi i politika kontrole pristupa 7.2. Upravljanje korisničkim pristupom 7.3. Odgovornosti korisnika 7.4. Kontrola pristupa računalnoj mreži 7.5. Kontrola pristupa operacijskom sustavu računala 7.6. Kontrola pristupa poslovnim informacijama i aplikacijama 7.7. Uporaba prenosive opreme i rad na daljinu 8. Nabava, razvoj i održavanje poslovnog informacijskog sustava 8.1. Sigurnosni zahtjevi informacijskih sustava 8.2. Ispravna obrada u aplikacijama 8.3. Kriptografske kontrole 8.4. Sigurnost sistemskih datoteka 8.5. Sigurnost u procesima razvoja i podrške 8.6. Upravljanje tehničkom ranjivošću 9. Upravljanje sigurnosnim incidentom 9.1. Izvješćivanje o sigurnosnim događajima i slabostima 9.2. Upravljanje sigurnosnim incidentima i poboljšanjima 10. Upravljanje kontinuitetom poslovanja 11. Sukladnost 11.1. Sukladnost sa zakonskim propisima 11.2. Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost 11.3. Razmatranja revizije informacijskih sustava

42 ISO 27001:2005 ISO sadrži 36 sigurnosnih ciljeva i 127 sigurnosnih kontrolnih mjera podijeljenih u 10 domena: Sigurnosna politika (Zahtjevi uprave za unaprjeđivanjem infromacijske sigurnosti) Organizacijska sigurnost (Omogućavanje upravljanja informacijskom sigurnošću unutar organizacije) Klasifikacija i kontrola resursa (Provođenje inventara informacijskih resursa i njihove zaštite) Osoblje kao element informacijske sigurnosti (Smanjivanje rizika mogućnosti ljudske pogreške, krađe, prijevare i oštećivanja resursa na prihvatljivu razinu) Fizička sigurnost i zaštita od utjecaja okoline (Sprječavanje uništavanja, propadanja i prekida funkcioniranja sredstava i podataka) Upravljanje komunikacijama i aktivnostima kao elementima informacijske sigurnosti (Osiguravanje prikladnog i učinkovitog rada uređaja za procesiranje informacija) Kontrola pristupa (Kontrola pristupa informacijama i resursima) Razvoj sustava i njihovo održavanje (Osiguravanje ugrađenosti sigurnosti u informacijske sustave) Upravljanje kontinuiranosti poslovanja (Smanjivanje utjecaja prekida poslovanja na prihvatljivu razinu i zaštita ključnih procesa organizacije od prekida i propasti) Sukladnost s pravnom legislativom (Sprečavanje mogućnosti kršenja zakona, statutornih ili ugovornih obveza i sigurnosnih zahtjeva)

43 Hvala na pozornosti Pitanja, komentari, prijedlozi, sugestije


Download ppt "Pomoć informatičkih i računalnih stručnjaka u provedbi revizije"

Similar presentations


Ads by Google