Audit outsourcingu ICT služeb v bankovním prostředí
|
|
- Tomáš Vítek
- před 8 lety
- Počet zobrazení:
Transkript
1 Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií Audit outsourcingu ICT služeb v bankovním prostředí Diplomová práce Autor: Rostislav Cendelín Informační technologie a management Vedoucí práce: doc. Ing. Vlasta Svatá, CSc. Praha Duben 2011
2 Prohlášení Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze, dne Rostislav Cendelín
3 Poděkování Na tomto místě bych rád poděkoval doc. Ing. Vlastě Svaté, CSc. za odborné vedení, kterými přispěla k vypracování této diplomové práce. Rád bych také poděkoval všem pracovníkům nejmenovaných finančních institucí za spolupráci a poskytnuté informace.
4 Anotace Outsourcing je dnes velmi frekventovaný způsob zajištění některých činností formou nákupu služeb. Se stále větší specializací v oblasti informačních a komunikačních technologií se jedná o jeden z nejúspěšnějších směrů poskytování ICT služeb. Bankovní sektor se naučil tuto možnost efektivně využívat a provozovat tímto modelem část svých informačních a komunikačních služeb, v extrémním případě tyto služby nakupuje formou komplexního outsourcingu. Díky regulaci, která v bankovním sektoru je daná legislativou, je využití outsourcingu v bankovním prostředí vázáno pravidly, které musí jak subjekty realizující, tak i využívající outsourcing dodržovat. Cílem této práce je popsat problematiku nastavení a provozu outsourcingového vztahu s ohledem na možnosti, které jsou aktuálně k dispozici při návrhu poskytovaných služeb. Včetně návaznosti na realizaci následného auditu poskytovaných služeb a auditního pohledu regulátora na finanční instituci využívající outsourcing. V druhé části této práce na názorné ukázce prezentovat modelový příklad auditu takto využívaných služeb v bankovním sektoru. Annotation A frequent way of providing industries is nowadays outsourcing. With increasing specialization in the area of ICT, outsourcing is one of the most successful ways of providing ICT services. The banking sector has learnt to use this possibility effectively and to take advantage of this model to run a part of its ICT services. In some certain cases those services are bought in a form of complex outsourcing. Due to regulation, which is given in banking sector by law, the use of outsourcing is kept by rules, which must be held by subject providing and also by subject using this model. The aim of this document is to describe the questions of setting and operating outsourcing relationship and including possibilities which are available when designing provided services, including the implementation of subsequent audit of outsourced services and the view of regulator of financial institution using outsourcing. In the second part the Audit of outsourcing in banking environment is demonstrated.
5 Obsah 1 Úvod Normy Standardy řízení IT Procesní model řízení CobiT ITIL Řízení rizik Risk IT Rodina norem ISO/IEC Vnitřní kontrolní mechanismy Outsourcing v bankovnictví Pravidla řízení outsourcingu Důvody zavedení outsourcingu Smlouva o outsourcingu Řízení outsourcingu BASEL II Vyhláška č. 123/2007 Sb Outsourcing z pohledu vyhlášky č. 123/2007 Sb Požadavky na řídící a kontrolní systém Auditní techniky pro bankovní sektor Auditní standardy Auditní standardy dle ISACA Auditní směrnice dle ISACA Auditní metodika
6 4.2 Licenční ujednání a autorská práva Licencování outsourcingu produktů společnosti Microsoft Bezpečnost řešení Bezpečnost interní Bezpečnost externí Bezpečností politika Ověření v bankovním prostředí Pravidla a postup nastavení outsourcingu Strategie využívání outsourcingu Návrh smlouvy o outsourcingu Stanovisko odboru řízení rizik Stanovisko odboru vnitřního auditu Stanovisko odboru compliance a informační technologie Návaznost na CobiT Realizace auditu Referenční audit Certifikace poskytovatele ISO/IEC : Závěr Seznam použité literatury Seznam použité literatury Zákonné předpisy a vyhlášky Internetové zdroje
7 1 Úvod Problematika auditu v bankovním prostředí je stále komplikovanější s rozvojem bankovního sektoru. A se stále větším přesunem k automatizaci veškerých prostředků nabývá audit na citlivosti. Poslední dobou se v České republice opět dynamicky rozvíjí sektor družstevních záložen. Záložny po sérii dynamických a hektických let, kdy regulaci realizoval Úřad pro dohled na družstevními záložnami, kdy tyto leta vyvrcholily začleněním tohoto sektoru pod regulaci České národní banky v obdobném rozsahu, jako platí pro běžné bankovní prostředí, v posledních letech rostou. Proto se dá předpokládat transformace řady větších družstevních záložen na klasické banky. Díky tomu, že tyto instituce jsou svým rozsahem menší a hojně využívají outsourcingu, je využití řídících a auditních postupů na vzestupu i v menším prostředí než bylo doposud zvykem. Do obdobného vztahu k řízení a auditu, jako je bankovní sektor a sektor družstevních záložen, se nyní dostávají i další regulované subjekty, jako jsou například obchodníci s cennými papíry a nově připravené platební instituce a instituce elektronických peněz. Cílem práce je popsat aktuální situaci realizace auditu v oblasti informačních a komunikačních technologií se zaměřením na audit outsourcingu. Do pojmu informační a komunikační technologie jsou v této práci vnímány veškeré informační technologie, včetně informačních systémů, a technologie určené pro komunikaci, pokud není uvedeno jinak. Pro pochopení auditovaných oblastí je nutné vnímat kontext několika rovin, které do auditu vstupují. Jedná se především o samotnou problematiku řízení informačních a komunikačních technologií. Této rovině se věnuje první kapitola, která mapuje normy, jež je možné využít jak pro řízení, tak i pro samotné auditní techniky. Druhá kapitola se věnuje rovině outsourcingu. Tato problematika je zejména pro menší poskytovatele služeb v oblasti informačních a komunikačních technologií v dnešní době životně důležitá. Vzhledem k neustálému tlaku na rozvoj informačních a komunikačních technologií a současně omezenými finančními možnostmi menších společností, je částečný, ale i komplexní outsourcing jednou z efektivních možností, jak zajistit neustálý rozvoj oblasti informačních a komunikačních technologií. Tato kapitola se dále věnuje problematice regulatorních požadavků na outsourcing v bankovním prostředí, které jsou upraveny poměrně striktně Vyhláškou č. 123/2007 Sb., o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry a je nezbytné při využití outsourcingu v tomto sektoru plnit požadavky dle uvedené vyhlášky. 7
8 Cílem třetí části je přehled auditních technik a jejich využití v bankovním prostředí. Kapitola se zaměřuje na aktuální možnosti auditorské podpory ve standardech a dalších podpůrných oblastech. Jako základ je použita metodika vydávaná společností ISACA, která primárně sdružuje auditory a další odborníky v oblasti informačních a komunikačních technologií. Rovina auditu jednoznačně využívá metodiky popsané v první kapitole a díky zaměření na outsourcing navazuje na informace z druhé kapitoly. Kapitola čtvrtá ukazuje na modelovém příkladu realizaci auditu outsourcingu informačních a komunikačních služeb v bankovním prostředí. Cílem je identifikovat především problematická místa a to jak z pohledu odběratele služeb, které jsou předmětem outsourcingu, tak i z pohledu poskytovatele outsourcingu. Cílem celé práce je identifikace a popis klíčových oblastí, které do celé problematiky vstupují, jejich vzájemná provázanost v komplexním prostředí a návaznost na vytěsnění zajištění některých služeb formou nezávislé dodávky. Výstup práce je cílen jak pro poskytovatele, tak i odběratele v oblasti outsourcingu informačních a komunikačních technologií pro bankovní sektor. 8
9 2 Normy Kapitola popisuje pohled na normy, které mají dopad do problematiky řízení informačních a komunikačních technologií s návazností na outsourcing a audit (včetně ukotvení těchto norem do legislativy České republiky). Cílem je především objasnit kontext těchto norem z pohledu bankovního sektoru a postupů, které jsou používány při vlastní auditní činnosti. 2.1 Standardy řízení IT Požadavky na standardizaci činností spojených s informačními a komunikačními technologiemi neustále rostou, hlavní motivací je především snadnost dohledu a řízení dodávaných služeb. V historii bylo klíčovým prvkem, který ovlivňoval řízení těchto služeb, především komplexnost poskytovaných služeb a finanční náročnost. Tento pohled se postupem času mění tak, aby poskytované informační a komunikační služby byly více obchodně uchopitelné a jejich činnost lépe řiditelná. Normy, které slouží pro strategické, taktické a operativní řízení informačních technologií, jsou primárně CobiT a rámec ITIL. Oba materiály vychází z evropského vnímání řízení informačních technologií. Poslední dobou se v této oblasti díky globalizaci objevují i další normy, jako je například NIST, BSI a v neposlední řadě aktivita Evropské unie sjednotit pohled na bezpečnost informací Enisa. Pro potřeby této práce se budeme věnovat především rámci ITIL a metodice CobiT. Oba tyto materiály na různé úrovni řízení služeb ICT jsou pro potřeby řízení outsourcingu klíčové Procesní model řízení Klíčem k jednodušším a jasnějším ICT službám je především možnost tyto služby snadněji řídit (tak jako všechny ostatní služby). Požadavky na lepší řízení sebou nesou požadavky na efektivnější měření dodávaných služeb. Tato pravidla platí, ať se jedná o služby dodávané formou outsourcingu nebo interně v rámci společnosti. Klíčem k efektivnějšímu řízení dodávaných služeb je tzv. procesní řízení. Procesní řízení je soubor činností týkajících se plánování a sledování výkonnosti především firemních procesů. Pro pochopení procesního řízení v kontextu dalších (již více technicky konkrétních norem) je nutné poznat procesní model řízení. Na něj jsou typicky navázány všechny další normy a má přímou vazbu i na provoz a řízení outsourcingu. 9
10 Historie procesního řízení To, že v každé organizaci procesy existují, je známe poměrně dlouho. Nicméně dlouhou dobu se procesům nepřikládal příliš velký praktický význam. Současně s rozvojem průmyslu začaly snahy o unifikaci výroby, při které se začaly řešit první pokusy o efektivnější a méně nákladnější způsob výroby. V tuto dobu se implementoval hierarchický model řízení, kdy došlo k implementaci funkčně liniového řízení. Tím byly opět procesy potlačeny do pozadí. Nicméně postupně v této době začínají vznikat první iniciativy vedoucí k procesnímu řízení především obchodních procesů. Tyto iniciativy jsou datovány do dvacátých let dvacátého století. V průběhu dalších let se procesy a jejich řízení několikrát objevily a následně zapadly v zapomnění. Pro potřeby této práce je důležitá tzv. třetí vlna, která s nástupem informační techniky přinesla především možnosti automaticky sbírat podklady pro řízení a modelování procesů. Přímá podpora informačních technologií pro řízení procesů je klíčová pro další rozvoj tedy umožňuje, aby procesy zlepšovali sami sebe. Tedy, aby výstup z řízení a monitorování sloužil jako vstup pro procesní reingeneering CobiT Metodika CobiT (Control Objectives for Information and related Technology) je považována za soubor nejlepších praktik pro řízení informačních technologií (IT Governance). Základní motivací této metodiky je především přímá vazba na dosahování strategických cílů organizace. Zaměření CobiTu je na strategickou a taktickou oblast řízení informačních a komunikačních technologií. CobiT není metodika, která by vznikala od nuly, ale je připravována jako kompilát aktuálních metodik, které jsou v oblasti IT využívány. Pro tvorbu metodiky CobiT a dalších podpůrných dokumentů je použito více jak 40 jiných metodik. Jednou z hlavních je i ITIL, který je podrobně popsán v kapitole Mezi další důležité metodiky, ze kterých CobiT vychází je například: COSO, ISO/IEC 17799:2005, PRINCE2, PMBOK, CMMI, TOGAF, NIST a další. Pro všechny tyto metodiky jsou připraveny mapy, které definují, jak jsou jednotlivé metodiky provázány s CobiT. Tyto mapy jsou pravidelně aktualizovány s vývojem jak mapovaným metodik, tak i metodiky CobiT. Jednou z klíčových vlastností metodiky CobiT je přehlednost. Celá metodika je zpracována tak, aby každý zpracovávaný proces byl popsán ve stejné struktuře: 10
11 Popis procesu; Definování klíčových cílů procesů; Seznam vstupů a výstupů do procesu, včetně návaznosti odkud jsou tyto vstupy očekávány a kde jsou výstupy využívány; RACI matice; Cíle a metriky procesu; Definice modelu vyspělosti. V našem případě je metodika CobiT významná především díky jednoznačné orientaci na obchodní přínosy a možnosti definovat vazbu mezi požadavky obchodu a definování cílů ICT. Druhým, a neméně důležitým, použitím metodiky CobiT je použití jako základního podkladu pro vlastní auditní činnost. CobiT v tomto kontextu slouží jako optimální zdroj na to, co je třeba auditovat a jaké jsou očekávané vlastnosti u jednotlivých procesů Historie metodiky CobiT Metodiku CobiT připravuje organizace ISACA (Information Systems Audit and Control Association), což je mezinárodní asociace sdružující odborníky v oblasti IT Governance. Z původního záměru sdružovat pouze odborníky z oblasti auditu, se kterým byla tato asociace v roce 1967 založena, se podařilo rozšířit asociaci na podstatně větší skupinu. Ta dnes sdružuje podstatně větší skupinu pracovníků v ICT oblasti. Jedná se především o auditory, konzultanty, pedagogy, pracovníky v oblasti bezpečnosti, pracovníky regulačních orgánů, apod. Rozšíření organizace ISACA je nyní do více jak 160 zemí a sdružuje více jak členů. Jedná se o nejvýznamnější odbornou organizaci v ICT oblasti. První metodika CobiT byla vydána v roce 1996, další vývoj této metodiky je poměrně pravidelný. V roce 1998 vydána druhá verze, kdy do metodiky byla přidána významná oblast Management Guidelines. Jedná se o detailně zpracované návody pro řízení a audit nejrůznějších ICT oblastí, tyto návody jsou pravidelně aktualizovány. V roce 2000 vychází třetí edice této metodiky s aktualizací v roce 2003, která rozšiřuje možnosti této metodiky o online verzi. Čtvrtá edice je uvedena v roce Aktualizace na verzi 4.1 byla uvedena v roce 2007 a tato verze je platná doposud. Všechny uvedené aktualizace metodiky CobiT reagují především na postupný rozvoj celé ICT oblasti a ostatních metodik, ze kterých se snaží čerpat. Aktualizace tedy neobsahují zásadní změny v metodice, ale jedná se spíše o kontinuální rozvoj. 11
12 K aktuální verzi metodiky, tedy verzi 4.1, postupně byly dodány další samostatné bloky, mezi nejdůležitější patří Val IT a Risk IT. Val IT obsahuje především části vedoucí k optimalizaci investic, které plynou do IT. Risk IT se zaměřuje na řízení rizik spojených s IT oblastí. Na druhou polovinu roku 2011 je připraveno vydání nové verze metodiky, konkrétně 5.0. Tato verze doplňuje aktuální verzi metodiky CobiT především o již zmíněné části Val IT a Risk IT a měla by dávat komplexnější pohled na IT i z pohledu požadavků strategie společnosti Balanced Scorecard Celá metodika CobiT je plně v souladu se metodou managementu Balanced Scorecard (BSC), resp. všechny procesy této metodiky využívají tuto metodu pro tvorbu vazby mezi strategií a operativou. Základní čtyři perspektivy metody BSC jsou: finanční perspektiva; zákaznická perspektiva; perspektiva interních procesů; perspektiva učení se a růstu (inovace). Metodika CobiT interně využívá IT Balanced Scorecard, které občas bývá rozděleno ještě na vývojovou a operativní BSC. Tuto metodu zde zmiňuji především s ohledem na jednoznačné provázání strategických firemních cílů do cílů IT. To je klíčové k rozhodování o implementaci outsourcingu a případně rozhodování jaké části mají být realizovány pomocí outsourcingu. Jak bude dále popsáno podrobněji, toto je klíčové při tvorbě strategie pro využívání outsourcingu a její naplňování Metodika CobiT Samotná metodika CobiT je rozdělena do 4 základních domén: Plánování a organizace Akvizice a implementace Dodávka a podpora Monitorování a hodnocení 12
13 Všechny uvedené domény jsou v metodice rozděleny do 34 samostatných procesů. Pro naše potřeby jsou důležité zejména procesy z domény Plánování a organizace a domény Monitorování a hodnocení, nicméně i část procesů v ostatních doménách se týká problematiky outsourcingu RACI matice Jedná se o jednoduchou matici odpovědností u každého procesu. Pro každý proces je definováno několik úrovní odpovědností: R (Responsible) osoby, které činnosti fyzicky vykonávají. A (Accountable) nesou odpovědnost za splnění. C (Consulted) jen nutné s nimi postup konzultovat. I (Informed) mají být včas informováni. U těchto odpovědností jsou vždy uvedeny jednotlivé aktivity a funkce v kombinaci jaký mají konkrétní typ odpovědnosti. V případě metodiky CobiT je použit poměrně maximalistický model, který je třeba upravit na konkrétní typ a velikost společnosti Model zralosti CMMI Model zralosti CMMI (Capability Maturity Model Integration) je model kvality organizace vyvinutý při Carnegie Mellon University, konkrétně Software Engineering Institute (SEI- CMU). Model má pět úrovní zralosti: 0) Neexistující 1 procesy nejsou aplikovány. 1) Inicializovaný na této úrovni definované procesy jsou vykonávány ad-hoc a nejsou organizovány. 2) Opakovatelné, ale intuitivní procesy mají opakovatelný charakter, ale neexistuje u těchto procesů jasná definice. 3) Definovány realizované procesy jsou definovány a dokumentovány. Procesy je možné dále dobře sdělovat. 4) Řízený a měřitelný procesy jsou sledovány a měřeny. 5) Optimalizující procesy jsou soustavně optimalizovány. 1 Úroveň 0 bývá občas spojena s úrovní 1. 13
14 Pro běžné společnosti je u většiny procesů dostačující, pokud je splněna úroveň 3 (to je ve většině odvětví průměrný stav plnění modelu zralosti), je však žádoucí plnit co nejvyšší úroveň zralosti, nicméně v některých případech nemusí být výsledný efekt při plnění úrovně 4 a 5 ekonomicky obhajitelný. Pro splnění požadované úrovně zralosti musí být splněny i všechny předchozí úrovně. Postupně byly modely zralosti připraveny i pro další odvětví, nejen problematiku informačních technologií. Tyto modely zralosti jsou integrovány jako jedna z klíčových vlastností metodiky CobiT a všechny procesy, které jsou v metodice CobiT obsaženy mají jasně definovány jednotlivé úrovně zralosti ITIL ITIL (IT Infrastructure Library knihovna infrastruktury IT) je veřejně dostupný rámec, který je koncipován jako konsistentní a soudržný model vycházející z nejlepší praxe v dané oblasti. Vytvořen byl na základě požadavků vlády Spojeného království, kdy s ohledem na rozvíjející se obor informačních technologií bylo ze strany vlády požadováno zavést jednoznačná pravidla pro řízení informačních technologií. Samotný ITIL se zaměřuje především na taktickou a operativní úroveň řízení procesů. Celý rámec je založen na procesním pohledu na řízení jednotlivých oblastí informačních technologií, kdy jako základ tohoto řízení si bere model PDCA. PDCA model (tzv. Demingův diagram), je základní nástroj pro soustavné zlepšování procesů, je využit jako základ většiny metodik a ISO směrnic, které mají souvislost s kvalitou. Základní stavy modelu PDCA: P (Plan) prověřit současný stav a posoudit případné problémy procesu. Navrhnout možné řešení. D (Do) realizace navrženého řešení. C (Check) ověřit výsledky realizace a posoudit, zda bylo dosaženo plánovaných výsledků. A (Act) na základě navrženého řešení a ověřené realizace zapracovat konečné řešení tak, aby se stalo trvale použitelným. 14
15 Tato kapitola nemá sloužit jako komplexní popis rámce ITIL, má sloužit pouze jako přehled celé problematiky a návaznost tohoto rámce na problematiku outsourcingu, se kterou velice úzce souvisí. Pro podrobnější informace o rámci ITIL doporučuji některou z komplexních publikací o tomto rámci, například zde: Historie ITILu ITIL byl poprvé publikován v letech u Her Majesty s Stationery Office (HMSO) se jménem Central Communications and Telecomunications Agency (CCTA). Tato organizace byla později přejmenována na Office of Government Commerce (OGC). Původní verze knihovny ITIL měla 31 knih. Na přelomu století OGC přepracovává vydanou knihovnu a vzniká verze druhá. Ta je primárně založena na dvou knihách Service Support a Service Delivery. S postupem času se ukazuje, že tato verze neřeší všechny části informačních technologií, které řeší praxe. Postupně jsou doplňovány další knihy zabývající se bezpečnostní, návazností na požadavky obchodu, apod. Druhá verze se stala zlomovým momentem, jelikož tato verze začala být univerzálně přijímána všemi typy organizací a začala sloužit jako základna pro efektivní poskytování IT služeb ITIL verze 3 Aktuální publikovaná třetí verze, ta je rozdělena do pěti základních částí (Service Strategy, Sevice Design, Service Transition, Service Operation a Continual Service Improvement). Je však nutné poznamenat, že rozdíl mezi verzemi je spíše evoluční než revoluční. Třetí verze dává spíše ucelený a podrobnější pohled na procesy popsané v druhé verzi, které doplňuje o další oblasti, které byly k druhé verzi postupně přidávány dle jednotlivých potřeb. Nové procesy, které jsou v třetí verzi popsané, vznikly především dekompozicí procesů, které byly již obsaženy ve verzi druhé. Základní přehled pěti částí ITIL verze 3: Service Strategy (Strategie služeb) jedná se o ústřední publikaci, která poskytuje pohled na návrh, vývoj a implementaci služeb. A to jak z pohledu organizačního, ale i 15
16 z pohledu strategického. Publikace je klíčovou pro plánování, přípravu strategií a dalších částí v oblasti IT Governance. Popisuje tyto procesy: o Financial Management (správa financí) o Service Portfolio Management (správa portfolia služeb) o Demand Management (správa požadavků) Service Design (Návrh služeb) cílem publikace je návrh a vývoj služeb a řízení jejich procesů. Popisuje především principy pro převod strategických cílů do portfolia poskytovaných služeb s důrazem na tvorbu přidané hodnoty pro zákazníka. Pro úplný pohled na zpracovávané téma je tato publikace důležitá, vzhledem k tomu, že řeší problematiku compliance souladu s právními normami a standardy. Popisuje procesy: o Service Catalogue Management (správa katalogu služeb) o Service Level Management (správa úrovně služeb) o Capacity Management (správa kapacit) o Availability Management (správa dostupnosti) o IT Service Continuity Management (správa kontinuity služeb IT) o Information Security Management (správa bezpečnosti informací) o Supplier Management (správa dodavatelů) Service Transition (Přechod služeb) cílem této publikace je zajistit realizaci požadavků definovaných na základě publikace Service Strategy, případně vzniklých jako reakcí na potřeby reálného prostředí, například na základě řízení rizik nebo funkčnosti služeb. Kniha popisuje tyto procesy: o Change Management (správa změn) o Service Asset and Configuration Management (správa aktiv a konfigurace) o Knowledge Management (správa znalostí) o Transition Planning and Support (Plánování a podpora přechodu) o Release and Deployment Management (správa vydání a nasazení) o Service Validation and Testing (ověření a testování služby) o Evaluation (Vyhodnocení) Service Operation (Provoz služeb) publikace obsahuje postupy pro řízení dodávaných služeb dle požadovaných vlastností (kvality). Tato část přebírá ve větší míře původní knihy z ITIL verze 2, tedy Service Strategy a Service Delivery. Kniha popisuje tyto procesy: o Event Management (správa událostí) 16
17 o Incident Management (správa incidentů) o Problem Management (správa problémů) o Access Management (správa přístupů) o Request Fullfilment (provádění požadavků) o IT Operation Management (správa provozu IT) o Application Management (správa aplikací) o Technical Management (technická správa) Continual Service Improvement (Neustálé zlepšování služeb) cílem této knihy je popsat procesy vedoucí k vytvoření a udržování přidané hodnoty provozovaných služeb. Obsahuje tyto procesy: o Service Measurement (měření služeb) o Service Reporting (vykazování služeb) Celkový pohled na provázanost jednotlivých knih a procesů je znázorněn v následujícím obrázku: 2 OBRÁZEK 1 PROVÁZANOST JEDNOTLIVÝCH KNIH A PROCESŮ ITIL VERZE 3 2 An Introductory Overview of ITIL V3, ISBN
18 Návaznost rámce ITIL na outsourcing Celý rámec ITIL zde zmiňuji především proto, že bývá klíčovým rámcem pro řízení dodávky IT služeb v taktické a operativní úrovni na straně poskytovatelů těchto služeb. Pro řízení, hodnocení a monitorování poskytovaných služeb je vhodné problematiku ITIL využít právě z důvodu jednoznačného rozhraní mezi poskytovatelem a odběratelem služeb a to i v případě, že se poskytovatel a odběratel je jedna společnost a toto rozhraní je postaveno pouze na interní podobě mezi odděleními. Celý ITIL, tak jak je koncipován, je postaven na taktickém a operativním řízení poskytovaných procesů a definuje nástroje, které právě k tomuto účelu mají sloužit. Pro naše potřeby je tedy optimální, pokud poskytovatel služeb zajišťuje požadované procesy přesně dle rámce ITIL, samozřejmě s jasnými a dohodnutými pravidly, které jsou zakotvené do outsourcingové smlouvy ISO Vzhledem ke snaze standardizovat procesy zajišťující provoz informačních technologií, byl klíčový základ metodického rámce ITIL vydán jako norma ISO/IEC Konkrétně se jedná o následné normy: ISO/IEC :2006 část 1: Specifikace ISO/IEC :2006 část 2: Soubor postupů ISO/IEC :2007 část 3: Stanovení rozsahu a aplikovatelnost ISO/IEC :2007 část 4: Referenční model procesu Správa služeb Tyto normy poskytují mezinárodně uznávané standardy, které mohou využít organizace pro posouzení a certifikaci poskytovaných služeb. Tato certifikace je možná od roku 2005, kdy certifikační schéma bylo navrženo a je řízeno itsmf UK (The IT Service Management Forum). Pro potřeby auditu je optimální, pokud poskytované služby odpovídají standardu ISO/IEC :2006. Takto nastavený vztah má jednoznačná pravidla a auditor má významný prostředek pro porovnání kvality dodávaných služeb. 18
19 2.2 Řízení rizik Riziko je nedílnou součástí všech procesů a i při outsourcingu je nutné s rizikem pracovat (nelze jej odstranit). Pro naše potřeby je klíčová analýza rizik především díky nutnosti stanovit postupy pro řízení rizik a kontrolní mechanismy. A následně je nutné pravidelně posuzovat, zda poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých mechanismů vnitřní kontroly a řízení rizik. Analýza řízení je součástí plánování auditu a umožňuje identifikovat rizika a zranitelnosti, které by měli být dále využity auditorem pro stanovení odpovídajících kontrolních mechanismů. U realizace auditu je však mít stále na paměti, že samotné riziko je zakomponované přímo i do oblasti realizace samotného auditu. Existuje celá řada definic rizika, jelikož se jedná o značně obecný pojem, který je využíván různými obory. Obecně je možné říci, že riziko je jakákoliv událost, která může negativně ovlivnit splnění podnikatelských cílů. Zřejmě nejpřesnější definice rizika vychází z norem ISO/IEC 27001: Možnost, že daná hrozba využije zranitelnosti aktiva nebo skupiny aktiv a způsobí ztrátu nebo zničení aktiv. Dopad nebo závažnost rizika je proporcionální vzhledem k hodnotě ztráty, škodě a vzhledem k odhadované frekvenci této hrozby. Jedná se o běžné používanou definici, jelikož poměrně snadno zapadá do strategických pohledů použitých při řízení organizací. Z toho je zřejmé, že riziko má následující prvky: Hrozby a zranitelnosti procesů a aktiv. Dopady na aktiva, které jsou založené na hrozbách a zranitelnostech. Pravděpodobnost výskytu hrozeb Risk IT Postupné rozšiřování metodiky CobiT vedlo k identifikaci poměrně rozsáhlé části z oblasti řízení rizik, která není podchycena v původní metodice CobiT, nicméně je významná. Tato oblast byla v rámci ISACA zpracovaná do samostatného dokumentu nazvaného Risk IT, kdy 19
20 dokument reaguje na komplexní problematiku řízení podnikatelských rizik s dopadem na informační a komunikační technologie. Základní principy rámce Risk IT jsou: sladit rizika s obchodními cíli; vyvážení nákladů a přínosů mechanismu řízení rizik; podpora otevřené komunikace v oblasti řízení IT rizik; vytvořit korektní pohled řízení organizace při definování a prosazování odpovědnosti v oblasti řízení rizik; začlenit řízení rizik do každodenních aktivit. Metodika Risk IT je rozdělena do tří základních domén, které jsou postaveny obdobně jako domény v metodice CobiT. Jedná se konkrétně o domény: řízení rizik, hodnocení rizika a reakce na rizika. Jednotlivé domény jsou opět založeny na procesech, každý proces má jednoznačný popis v obdobném rozsahu jako procesy metodiky CobiT a to včetně modelu zralosti Rodina norem ISO/IEC Normy rámce ISO/IEC se věnují systému managementu bezpečnosti informací, jedná se o dokumentovaný systém řízení, který vznikl původně z britského standardu BS 7799 a postupně je rozšiřován o další celou řadu dalších praktik v oblasti bezpečnosti. Tyto normy jsou postupně implementovány do českého prostředí. Pro naše účely jsou klíčové normy ISO/IEC , která definuje požadavky na ISMS (Information security management systems systém managementu bezpečnosti informací). Dále ISO/IEC , obsahující soubor postupů pro řízení bezpečnosti informací. A v neposlední řadě ISO/IEC zajišťující z pohledu této normy řízení rizik. Všechny tyto normy byly již uvedeny Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví formou České státní normy do české legislativy. Využití těchto norem z pohledu garance přiměřené bezpečnosti informací, a to jak pro případného poskytovatele, tak i odběratele, je dostatečné. 20
Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceCobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceVěstník ČNB částka 20/2002 ze dne 19. prosince 2002
Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceCo je to COBIT? metodika
COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VíceKIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz
KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceVnitřní kontrolní systém a jeho audit
Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceNávrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí
Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí 24.5.2012 ing. Bohuslav Poduška, CIA na úvod - sjednocení názvosloví Internal Control různé překlady vnitřní
VíceZpráva o činnosti a výstupech interního auditu ČT
Zpráva o činnosti a výstupech interního auditu ČT Aktualizace za rok 2016 Zpracoval Martin Veselý, vedoucí interního auditu Předkládá Petr Dvořák, generální ředitel ČT Květen 2017 Usnesení RČT č. 101/09/16
VíceObsah. ÚVOD 1 Poděkování 3
ÚVOD 1 Poděkování 3 Kapitola 1 CO JE TO PROCES? 5 Co všechno musíme vědět o procesním řízení, abychom ho mohli zavést 6 Různá důležitost procesů 13 Strategické plánování 16 Provedení strategické analýzy
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VíceVěstník ČNB částka 19/2007 ze dne 6. srpna ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 18. července 2007
Třídící znak 2 3 5 0 7 5 3 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 18. července 2007 k pravidlům obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry Uznávané
VíceRegulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz
Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices
VícePředmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb
Obsah Předmluva: Vítejte v ITIL! 13 Úvod 15 IT Infrastructure Library 15 Podpora podniku 15 Myšlenka ABC 15 O této knize 16 Členění knihy 16 Tým stojící za knihou 17 KAPITOLA 1 ITIL (IT Infrastructure
VíceNávrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení
Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:
VíceBEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci
BEZPEČNOSTNÍ ROLE a jejich začlenění v organizaci Verze 1.1, platná ke dni 29. 1. 2019 Obsah Úvod... 3 1 Úrovně managementu a bezpečnost... 4 2 Bezpečnostní role... 5 3 RACI matice... 7 4 Časté dotazy
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceJak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004
Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku
VíceCobit 5: Struktura dokumentů
Cobit 5: Struktura dokumentů Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů
VíceVnitřní řídící a kontrolní systém banky
MASARYKOVA UNIVERZITA EKONOMICKO-SPRÁVNÍ FAKULTA Vnitřní řídící a kontrolní systém banky Seminární práce do předmětu Bankovnictví Vypracovala: David Rozumek Datum odevzdání: 15. června 2007 1 Úvodem Vnitřní
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VícePředstavení normy ČSN ISO/IEC 20000 Management služeb
Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb
VíceJan Hřídel Regional Sales Manager - Public Administration
Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody
VíceSMĚRNICE DĚKANA Č. 4/2013
Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceMANAGEMENT Procesní přístup k řízení organizace. Ing. Jaromír Pitaš, Ph.D.
MANAGEMENT Procesní přístup k řízení organizace Ing. Jaromír Pitaš, Ph.D. Obsah Definice procesního řízení Výhody procesního řízení Klasifikace procesů podle důležitosti Popis kontextu procesů Základní
Vícekomplexní podpora zvyšování výkonnosti strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice
strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice 19.3.2018 Zpracoval: Roman Fišer, strana 2 1. ÚVOD... 3 2. POPIS REFERENČNÍHO MODELU INTEGROVANÉHO
VíceProcesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX
Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX Přednáška č. 13 Ing. Pavel Náplava naplava@fel.cvut.cz Centrum znalostního managementu,13393 Katedra ekonomiky, manažerství a humanitních věd, 13116
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceMETODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE
METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE Jednou z klíčových úloh systémové integrace je efektivní řízení fungování IT v podniku. V konečném důsledku se jedná o poměrně složitý proces, do kterého
VíceProcesní řízení IT. Ing. Hana Neničková, MBA
Procesní řízení IT Ing. Hana Neničková, MBA Hewlett-Packard 11.místo v žebříčku časopisu Fortune Za fiskální rok 2007 jsme dosáhli organického růstu ve výší 7 miliard dolarů CEO HP je Mark Hurd, sídlo
VíceAkční plán na rok 2010 s přesahem do roku 2011
Příloha k Rámcové politice Ministerstva financí pro oblast finančního trhu Akční plán na rok 2010 s přesahem do roku 2011 Realizace konkrétních opatření v rámci hlavních témat definovaných v části IV Rámcové
VíceHODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY
29 HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY POKORNÝ Karel Abstrakt: Metoda Balanced Scorecard (BSC) její podstata, obsah a principy. Vztah BSC ke strategickému a operativnímu řízení
VíceOchrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager
Ochrana osobních údajů a kybernetická bezpečnost v roce 2018 Ing. Michal Hager GDPR - kodexy chování a vydávání osvědčení Obsah Obsah Ochrana osobních údajů ve světle obecného nařízení GDPR o Propojení
VíceVliv podrobnosti definice procesu a úrovně CMM na charakteristiky procesu
Vliv podrobnosti definice procesu a úrovně CMM na charakteristiky procesu Jiří Voř VŠE-KIT http://nb.vse.cz/~vorisek Úroveň podrobnosti popisu procesu Metoda KBPR (Knowledge Based Process Reengineering)
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VíceISA 610 POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU. (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu)
POSUZOVÁNÍ PRÁCE INTERNÍHO AUDITU (Platí pro audity účetních závěrek sestavených za období počínající 15.prosince 2004 nebo po tomto datu) O B S A H Odstavec Úvod... 1-4 Rozsah a cíle interního auditu..
VíceZkouška ITIL Foundation
Zkouška ITIL Foundation Sample Paper A, version 5.1 Výběr z více možností Pokyny 1. Měli byste se pokusit odpovědět na všech 40 otázek. 2. Všechny svoje odpovědi vyznačte na samostatný formulář, který
VíceVýsledky prieskumu ITSM 2008 Informácie o stave ITSM v SR a ČR
Výsledky prieskumu ITSM 2008 Informácie o stave ITSM v SR a ČR Odborná konferencia 26. marec 2009, Radisson SAS Carlton Hotel, Bratislava Radek Bělina Business Development Manager Petr Kolář Account Manager
VíceČástka 4 Ročník 2003. Vydáno dne 31. března 2003. O b s a h : ČÁST OZNAMOVACÍ
Částka 4 Ročník 2003 Vydáno dne 31. března 2003 O b s a h : ČÁST OZNAMOVACÍ 6. Úřední sdělení České národní banky ze dne 19. března 2003 k ustanovení 22 odst. 3 zákona č. 21/1992 Sb., o bankách, ve znění
VíceVěstník ČNB částka 20/2002 ze dne 19. prosince 2002
Třídící znak 1 1 1 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 11 ZE DNE 10. PROSINCE 2002, KTERÝM SE STANOVÍ POŽADAVKY NA OVĚŘENÍ ŘÍDICÍHO A KONTROLNÍHO SYSTÉMU BANKY VČETNĚ SYSTÉMU ŘÍZENÍ RIZIK 0 Česká
Více1. Název projektu: Deinstitucionalizace služeb pro duševně nemocné
1. Název projektu: Deinstitucionalizace služeb pro duševně nemocné 2. Operační program: Operační program Zaměstnanost 3. Specifický cíl projektu: Projekt zajistí podmínky pro přechod duševně nemocných
VíceAUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceCMMI ení zralosti. Viktor Mulač. Business consultant. itsmf
CMMI Cesta ke zlepšen ení zralosti organizace IT při budování IS Viktor Mulač Business consultant Hlavní faktory ovlivňující kvalitu v organizaci Každý si uvědomuje jak důležité je mít kvalifikované a
VíceOSNOVA PODNIKATELSKÉHO ZÁMĚRU (PZ)
Příloha č. 4 OSNOVA PODNIKATELSKÉHO ZÁMĚRU (PZ) 1 Identifikační údaje žadatele o podporu 1.1 Obchodní jméno, sídlo, IČ/DIČ 1.2 Jméno a příjmení osoby statutárního zástupce žadatele/osoby oprávněné jednat
VíceIng. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011
Porada zástupů územních samospráv a jejich úřadů: Systém vnitřního řízení a kontroly Ing. Josef Svoboda, Ph.D. Regionservis Pleinservis, s.r.o Dětenice 11. května 2011 Systém vnitřního řízení a kontroly
VícePodklad pro návrh vyhlášky o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry
Podklad pro návrh vyhlášky o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry a přehled právních předpisů a úředních sdělení navržených ke zrušení Česká
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceStrategické směrování řízení IT v České republice a ve středoevropském regionu
Strategické směrování řízení IT v České republice a ve středoevropském regionu Radek Bělina MATERNA Information Systems s.r.o. radek.belina@materna.com Řízení IT si prošlo obdobím, kdy byl kladen důraz
VíceZÁKLADNÍ NABÍDKA SLUŽEB
ZÁKLADNÍ NABÍDKA SLUŽEB CROSSLINE SERVICES s.r.o. Jeremiášova 870 155 00 Praha 5 IČO: 241 43 065 DIČ: CZ24143065 Kontaktní osoba: Ing. Veronika Kimmer GSM: +420 777 755 618 veronika.kimmer@crosslineservices.cz
VíceRizika na liberalizovaném trhu s elektřinou
Rizika na liberalizovaném trhu s elektřinou Fórum užívateľov prenosovej sústavy, Košice 27. a 28.3.2003 Tento dokument je určen výhradně pro potřebu klienta. Žádná jeho část nesmí být zveřejněna, citována
VíceISO 9001 : 2015. Certifikační praxe po velké revizi
ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VícePředstavení projektu Metodika
Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah
Více10 let sjednoceného dohledu nad finančním trhem v České národní bance
10 let sjednoceného dohledu nad finančním trhem v České národní bance Vladimír Tomšík 25. října 2016 Historie Uspořádání dohledu do 1.4.2006 Česká národní banka dohled nad bankami a pobočkami zahraničních
VíceEnCor Wealth Management s.r.o.
EnCor Wealth Management s.r.o. Politika střetu zájmů Účinnost ke dni: 1.6.2017 Stránka 1 z 6 1. Úvodní ustanovení I. Úvod II. III. A. Společnost EnCor Wealth Management s.r.o., se sídlem Údolní 1724/59,
VíceVazba na Cobit 5
Vazba na Cobit 5 Hlavní cíle návodu Návod na to, jak užívat rámec Cobit 5 pro podporu a organizaci auditu/ujištění Strukturovaný přístup pro realizaci auditu podle jednotlivých enablers definovaných v
VíceRole NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012
Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012 Nejvyšší kontrolní úřad v systému kontroly ve veřejné správě Institucionální zajištění kontroly Parlament ČR systém finanční kontroly systém
VíceSystém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
Více3.přednáška. Informační bezpečnost: Řízení IS/IT
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceMONITORING NEKALÝCH OBCHODNÍCH PRAKTIK
MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci
VíceHodnocení řídícího a kontrolního systému interním auditem
Hodnocení řídícího a kontrolního systému interním auditem setkání interních auditorů z finanční oblasti Praha, ČIIA, 6.10.2011 Ing. Bohuslav Poduška, CIA Úvod řídicí a kontrolní systém (ŘKS) - o co jde
VíceZ P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P
Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit
VíceVerze 3 základní představení
ITIL Verze 3 základní představení ICT služba Aktivity a informace dodávané poskytovatelem ICT služby příjemci (odběrateli, zákazníkovi) služby (Voříšek) definice služby by měla odpovědět na otázky: co
VíceNávod k požadavkům ISO 9001:2015 na dokumentované informace
International Organization for Standardization BIBC II, Chemin de Blandonnet 8, CP 401, 1214 Vernier, Geneva, Switzerland Tel: +41 22 749 01 11, Web: www.iso.org Návod k požadavkům ISO 9001:2015 na dokumentované
VíceDohledové sdělení č. 1/2017. K poskytování úvěrů domácnostem úvěrovými institucemi
Dohledové sdělení č. 1/2017 K poskytování úvěrů domácnostem úvěrovými institucemi I. V posledních letech je možné pozorovat významný nárůst objemu úvěrů poskytnutých domácnostem, zejména díky příznivým
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VícePolitika stř etu za jmu
Politika stř etu za jmu Účinnost ke dni: 16.2.2017 Stránka 1 z 6 Politika střetu zájmů a pobídek 1. Úvodní ustanovení I. Úvod A. Společnost tímto v souladu s příslušnými právními předpisy vydává tuto zveřejňovanou
VíceRozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.
Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný
VíceNávrh softwarových systémů - softwarové metriky
Návrh softwarových systémů - softwarové metriky Martin Tomášek Návrh softwarových systémů (B6B36NSS) Převzato z přednášky X36AAS M. Molhanec 2 Co je to metrika? Nástroj managementu pro řízení zdrojů (lidská
VíceSPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE
SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE Václav Šebesta Ústav informatiky Akademie věd ČR, e-mail: vasek@cs.cas.cz Abstrakt Jestliže ještě před
Více3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky
Obsah strana 3 1 Školení uživatelů 1/1 Školení zaměstnanců 1/4 Bezpečnost práce 1/4.1 Bezpečnost a ochrana zdraví při práci s počítačem 1/4.2 Manuál pro začínající uživatele 1/5 Vzdělávání formou e -learningu
VíceOtázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/2009. 1.Podniková informatika pojmy a komponenty
Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/2009 1.Podniková informatika pojmy a komponenty (1) Objasněte pojmy: IS, ICT, ICT služba, ICT proces, ICT zdroj. Jakou dokumentaci k ICT službám,
VíceMEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,
MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost
VíceKvalita SW produktů. Jiří Sochor, Jaroslav Ráček 1
Kvalita SW produktů Jiří Sochor, Jaroslav Ráček 1 Klasický pohled na kvalitu SW Každý program dělá něco správně; nemusí však dělat to, co chceme, aby dělal. Kvalita: Dodržení explicitně stanovených funkčních
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VícePROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK
PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK Identifikační kód: Č.j.: 22 858/2010-M1 Datum účinnosti: 15.9.2010 Verze: 1.0 ZPRACOVAL: SCHVÁLIL: Ing. Martin Ryšavý vedoucí oddělení
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceMEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ
MEZINÁRODNÍ AUDITORSKÝ STANDARD VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) OBSAH Odstavec Úvod Předmět
VíceSolvency II: nový právní režim pro pojišťovny
Bulletin BBH Právní aktuality Solvency II: nový právní režim pro pojišťovny březen 2015 Právní aktuality Solvency II Bulletin březen 2015 Strana 2 Obsah 1. Úvod... 2 2. Základní struktura Solvency II...
VíceManažerská ekonomika
PODNIKOVÝ MANAGEMENT (zkouška č. 12) Cíl předmětu Získat znalosti zákonitostí úspěšného řízení organizace a přehled o současné teorii a praxi managementu. Seznámit se s moderními manažerskými metodami
VíceZhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009
Zhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009 Agenda 1 2 3 4 5 6 7 8 Manažerské shrnutí Strategické podněty Plnění programů a projektů Financování
VícePolitika bezpečnosti informací
ORGANIZAČNÍ SMĚRNICE Název: Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 06 Výtisk č.: 01 Platnost od: 15.04.2016 Účinnost od: 29.04.2016 Platnost do: Zpracoval: Ing. Vladimír Fikejs
VíceŘízení vztahů se zákazníky
Řízení vztahů se zákazníky Řízení vztahů se zákazníky Vychází z představy, že podnik je řízen zákazníkem Používanými nástroji jsou: Call Centra Customer Relationship Management (CRM) Základní vazby v řízení
VícePřednáška 6 B104KRM Krizový management. Ing. Roman Maroušek, Ph.D.
Přednáška 6 B104KRM Krizový management Ing. Roman Maroušek, Ph.D. Téma KRIZOVÁ KOMUNIKACE Krizová komunikace -shrnutí Významnost veřejného mínění Riziko ztráty dobré pověsti má vysokou pravděpodobnost
Více1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3
Obsah: 1. ÚČEL... 3 2. ROZSAH PLATNOSTI... 3 3. POJMY A ZKRATKY... 3 3.1 Audit SMK... 3 3.2 Vedoucí auditor/auditor... 3 3.3 Zpráva z auditu kvality... 3 3.4 Zkratky... 3 4. POPIS... 3 4.1 Plánování auditu...
VíceDopady GDPR a jejich vazby
GDPR Dopady GDPR a jejich vazby Algotech & Michal Medvecký 22. 7. 2017 Algotech Telefon: +420 225 006 555 Fax: +420 225 006 194 E-mail: Web: Adresa: info@algotech.cz www.algotech.cz FUTURAMA Business Park
VícePraktické zkušenosti s certifikací na ISO/IEC 20000
Praktické zkušenosti s certifikací na ISO/IEC 20000 Vladimír r VáňaV Senior business consultant AutoCont CZ a.s. Agenda Proč jsme se rozhodli k implementaci kvalitativního standardu a následné certifikaci?
VíceMORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC
MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC partner pro byznys inovace MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC Hlavní zaměření: Odborná specializace: EKONOMIKA a MANAGEMENT Inovační management Informační a komunikační technologie
VíceZdravotnické laboratoře. MUDr. Marcela Šimečková
Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
Více