SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Podobné dokumenty
SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zkušební otázka. Podle zákona o územním členění státu (36/1960 Sb.), se území České republiky dělí na: A. 14 krajů B. 13 krajů C.

PRACOVNÍ SKUPINA 5. Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí. Kybernetická bezpečnost IT

JAK A PROČ PRACOVAT NA KVALITĚ IA. Ing. Eva Klímová Praha,

OBECNÉ INFORMACE. Oskara Motyky 2985/7, OSTRAVA tel.: , mob.: e mail: rubiso@centrum.cz

2. setkání interních auditorů ze zdravotních pojišťoven

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

10. setkání interních auditorů v oblasti průmyslu

GDPR v sociálních službách

Hodnocení kvality IA. Národní konference ČIIA Jak na kvalitu v IA říjen Josef Medek, CIA, CISA

Efektivní systém hodnocení a financování výzkumu, vývoje a inovací (IPN Metodika)

Interní audit v OKD. Petr Hanzlík října 2009 Brno. OKD, a.s. Prokešovo náměstí 6/ Ostrava

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Odůvodnění účelnosti nadlimitní veřejné zakázky. Centrální logování

ŘÍZENÍ KVALITY VE SLUŽEBNÍCH ÚŘADECH Podpora profesionalizace a kvality státní služby a státní správy, CZ /0.0/0.

František Beckert ČIIA On-line anketa nejen o interním auditu ve veřejné správě

Profesionální a bezpečný úřad Kraje Vysočina

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

Zpráva o činnosti a výstupech interního auditu ČT

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Požadavky ČNB na profesi interního auditu

INTERNÍ AUDIT - přidaná hodnota nebo jen splněná povinnost?

Praktické zkušenosti s certifikací na ISO/IEC 20000

Audit? Audit! RNDr. Hana Žufanová

Systémová analýza a opatření v rámci GDPR

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Struktura Pre-auditní zprávy

Představení služeb Konica Minolta GDPR

Cíl vzdělávacích modulů:

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Šachy interního auditu ve víru legislativních změn Workshop pro veřejnou správu. Novinky v IPPF

Efektivní informační služby NTK pro veřejnost a státní správu. 25. dubna 2012

Security. v českých firmách

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Ochrana před následky kybernetických rizik

Není cloud jako cloud, rozhodujte se podle bezpečnosti

SMĚRNICE DĚKANA Č. 4/2013

Evaluační plán ROP SZ na období

Výzva k podání nabídky

Security. v českých firmách

Vnitřní kontrolní systém a jeho audit

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Audit kódovaných dat. HRID, ESRI, Dublin, 07/2008

Expresní analýza PLM. jako efektivní start implementace PLM.

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Podrobná anotace kurzu

Výsledky úvodního benchmarkingu činnosti interního auditu ve veřejné správě

Podrobná anotace kurzu

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Základní role interního auditu a vývoj jejího vnímání

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Zpráva o činnosti a výstupech interního auditu ČT

Kybernetická bezpečnost MV

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Co je to COBIT? metodika

Podrobná anotace kurzu

Veřejné zakázky. David Ondráčka. Transparency International ČR

Podrobná anotace kurzu

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Seminář Finanční kontrola ve veřejné správě, mezinárodní dobrá praxe a slabá místa v ČR , Poslanecká sněmovna Parlamentu ČR, Praha

Výzva k podání nabídek

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Zkušenosti a požadavky dohledu ČNB na interní audit ve světě financí

PROCESY CO ZÍSKÁTE: Předpoklad pro certifikace ISO. Lean Six Sigma Fast Track

Dopady GDPR a jejich vazby

Česká Telekomunikační Infrastruktura a.s

Zákon o kybernetické bezpečnosti

Zpráva z auditu. Kasárenská Hodonín CZ 0124/11. Typ auditu. Recertifikační audit Vedoucí Auditor. Jan Fabiánek.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

+NLDSY112XIS8+ MINISTERSTVO KULTURY ČR. V Praze dne 12. října 2010 Čj. MK 25196/2010 Vyřizuje: JUDr. P. Smolíková Výtisk č. 4

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

ROČNÍ PLÁN INTERNÍHO AUDITU A POVĚŘENÉHO AUDITNÍHO SUBJEKTU PRO ROK Počet stran: 10

Zápis z přezkoumání QMS vedením škol SČMSD za období od 6/2009 do 9/2010

Postavení a role externího auditora ve správě a řízení korporací. CORPORATE GOVERNANCE 20. září 2018 PETR KŘÍŽ

Metoda QUEST a její vývoj

Proces R3 Interní audity

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 16

TWININGOVÝ PROJEKT ES DRG CZ2005/IB/SO/03

EURO CERT CZ, a.s. Pravidla procesu hodnocení kvality a bezpečí lůžkové zdravotní péče (SD 15)

MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

Zadávací dokumentace

Jan Hřídel Regional Sales Manager - Public Administration

General Data Protection Regulation (GDPR) Jak na to?

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Současné problémy bezpečnosti ve firmách

Komplexní ICT outsourcing

SMĚRNICE INTERNÍHO AUDITU

Transkript:

SKUPINA 6 Lektor: Jitka KAZIMÍROVÁ Allianz pojišťovna Téma: Zkušenosti s outsourcingem IT auditu

Předběžný časový rozvrh pracovních skupin 13 14:30 h 1. blok: představení tématu a diskuze Představení vedoucího pracovní skupiny, časového harmonogramu a způsobu organizace skupiny (rozdělení do menších skupin) (5 min) Vysvětlení metody GROW pro práci skupiny a prezentaci výstupů (5 min) Úvodní prezentace vedoucího pracovní skupiny (30 min) Představení diskuzních témat, odsouhlasení cíle pracovní skupiny (5 min) Vlastní diskuze, výměna zkušeností, studium doplňkových materiálů (45 min) 14:30 15 h přestávka 15 16 h 2. blok: výstupy Diskuze nad výsledkem pracovní skupiny, představení závěrů v rámci skupiny (30 min) Příprava 5 10 min prezentace v rámci metody GROW (max. 5 slidů) (30 min)

Metoda GROW 1. G Goal setting stanovení cíle pracovní skupiny, potvrzení tohoto cíle s účastníky 2. R Reality prověření reality, skutečného stavu věcí současná situace v českých společnostech / veřejném sektoru daná zkušenostmi a obecným povědomím jednotlivých účastníků, dostupné nástroje, překážky, rozdíl mezi cílem a realitou 3. O Options všechny možnosti, alternativní strategie nebo postup činností k dosažení cíle, možné způsoby, jak vyřešit překážky, které na cestě k tomuto cíli stojí 4. W What Will You Do definice toho, co budeme dělat, co jsme schopni změnit, plán konkrétních kroků

Struktura úvodní části 1. Proč IT audit 2. Analýza IT dovedností interních auditorů 3. Co-sourcing nebo outsourcing 4. Veřejné zakázky / výběrové řízení na outsourcing IT auditu 5. Zkušenosti z Allianz

1. Proč IT audit? A. Kybernetická rizika/důležitost IT systémů Kybernetická rizika jsou součástí našeho života ve světě informací a informačních technologií. Jakákoliv organizace, která přichází do styku s elektronickými daty, ať již v mobilních zařízeních, počítačích, serverech nebo online je vystavena takovým rizikům. Rizika při případném úniku, ztrátě či odcizení dat a informací: ztráta zisku, pokuty ÚOOÚ, regulátora ztráta důvěry poškození dobrého jména ztráta dat

1. Proč IT audit? B. Požadavky regulátora na funkčnost a bezpečnost informačních systémů Zákony Vyhlášky Úřední sdělení Soulad s kybernetickým zákonem http://www.kybernetickyzakon.cz/ Zákon č. 181/2014 Sb., o kybernetické bezpečnosti C. Výsledek rizikové analýzy Nástroj, pomocí kterého je identifikován požadavek na IT audit. Výstup pravidelné plánovací činnosti interního auditu.

2. Analýza IT dovedností auditorů Má Interní audit požadované znalosti a disponuje dostatečnou kapacitou pro provedení IT auditu? Jaké jsou hlavní požadavky na znalosti auditorů pro provedení tohoto auditu? Byl již IT audit v minulosti proveden některým z členů auditního týmu? Pokud ano, jaké má auditní tým z takového auditu poznatky/zkušenosti? Jaká byla zpětná vazba od auditovaných? Jsou členové interního auditu specializováni v jednotlivých oblastech? Mají např. CISA certifikaci nebo vzdělání v IT?

3. Co-sourcing nebo outsourcing? Pro a proti čistého outsourcingu - diskuse Volba rozhoduje také o formě: Jednorázová zakázka / smlouva Rámcová smlouva k dlouhodobé spolupráci

4. Veřejné zakázky v souvislosti s IT auditem Hlavní rizika z pohledu interního auditu jako zadavatele: Délka celého procesu budu mít IT oblast auditu pokrytou včas? Předmět plnění dostanu, co skutečně potřebuji? Technické a kvalifikační předpoklady stanovím nediskriminačně a zároveň dostatečně? Mám kvalifikaci na převzetí výstupů poskytovatele? Dostanu opravdu to co si kupuji, kdo reálně provede audit? Dostanu výstup dostatečný k pozdějšímu sledování nápravných opatření?

5. Zkušenosti s outsourcingem z Allianz Cílem IT auditu bezpečnosti bylo především ověřit zda požadavky, které jsou uvedeny v bezpečnostní politice organizace a standardech, jsou v praxi dodržovány. I. Auditní program Základem pro auditní program byl GISF (Group Information Security Framework), který je založen na požadavcích ISO 27000. Audit může být např. zaměřen na: ověření jednak souladu interních IT směrnic s bezpečnostními požadavky GISF a dodržování těchto bezpečnostních požadavků v praxi, a dále konkrétní nastavení bezpečnostních parametrů na vzorku vybraných informačních systémů

SCOPING ROZSAH AUDITU II. Výběr aplikací / systémy do rozsahu auditu Jaké aplikace zahrnout? Na základě jakých ukazatelů rozhodnout? Je nutné je definovat ideálně již ve fázi výběrového řízení. III. Definice rozsahu auditu Může být dán oblastmi informační bezpečnosti definovanými v GISF: Role a odpovědnosti Klasifikace informací Bezpečnost komunikace Šifrování Řízení bezpečnostních incidentů Bezpečnost IT provozu

SCOPING ROZSAH AUDITU (pokračování) Síťová bezpečnost Personální bezpečnost Fyzická bezpečnost Řízení uživatelských přístupů Vývoj a údržba software Outsourcing Bezpečnost mobilních zařízení a UYOD / BYOD tzn. využití vlastních zařízení ve firmě (smartphony, laptopy, USB disky)

SCOPING ROZSAH AUDITU (pokračování) Plus: posouzení procesu Business Continuity Managementu a havarijního plánování, posouzení používaných bezpečnostních nástrojů v rámci IT bezpečnosti a provozu a stanovení doporučení na zlepšení provedení skenování zranitelností (cílem skenování zranitelností je nalezení známých zranitelností v systému, databázi, aplikaci nebo síťovém prvku vybrané části infrastruktury) pomocí nástroje např. Nessus, Nexpose, Qualys Guard )* Přístup do systému zpravidla není nutný.

VÝBĚROVÉ ŘÍZENÍ Výběrové řízení spolupráce s oddělením nákupu v AZP RFP, NDA, postup dle vnitřních pravidel organizace Stanovení správného složení hodnotící komise Výběr dodavatelů k oslovení Stanovení rozsahu zakázky Výběr dodavatele, dvoukolový postup užší výběr formou prezentace dodavatelů a diskuse

NASTAVENÍ PROJEKTU, STÍNOVÁNÍ Nastavení projektu Komunikace formou zabezpečeného e-roomu Kontaktní osoby Nastavení schůzek, detailního harmonogramu projektu Způsob komunikace, pravidelné status meetingy Stínování a vzdělávání Účast z týmů IA a IT bezpečnosti na auditních schůzkách Studium dokumentů, podkladů Konzultace s příslušnými odděleními

VÝSLEDKY PROJEKTU, FOLLOW-UP VII. Výsledky projektu návrh řešení, návrh nástrojů sada doporučení doporučení musí být definována tak, aby bylo možné provést následné ověření. Definováno zodpovědné oddělení, termín splnění prioritizace a nastavení harmonogramu plnění schválení představenstvem VIII. Follow-up zjištění dle typu nálezů definovat, jestli bude follow-up proveden interně auditním týmem pokud mají jeho členové dostatečné znalosti/schopnosti pro posouzení řešení nálezů pokud tyto znalosti nejsou, je nutné zajistit follow-up externě tzn. další dodatečný outsourcing

ZÁVĚR, VYHODNOCENÍ Závěr celkové zhodnocení, přínosy, lessons learned posoudit, zda byl splněn rozsah auditu byl audit proveden profesionálně s využitím auditních nástrojů, technik dohodnutých na začátku auditu/ve smlouvě a zda Identifikované nálezy jsou takového charakteru, že zavedení nápravných opatření pomůže při: snížení rizika úniku citlivých informací či osobních údajů a omezení zneužití či manipulace s nimi předcházení finančním ztrátám nebo výpadkům systémů zamezením nebo včasným zachycením a vyhodnocením neautorizované činnost uživatelů nebo externích hackerů, atd

ZPĚTNÁ VAZBA MANAGEMENTU k IT AUDITU v Allianz 1. Měl pro vás outsourcovaný audit bezpečnosti přínos? V čem? Bezpečnostní audit široce zhodnotil jednotlivé oblasti bezpečnosti a pomohl klasifikovat jednotlivá rizika. Díky tomu bylo možné se efektivně bez dalšího velkého zkoumání zaměřit na nejzávažnější nedostatky. Zjištění, která jsou potvrzena externím subjektem i interními specialisty zvyšuje důvěryhodnost identifikovaného rizika a snáze se prosazují návrhy na nápravná opatření. Ano měl, protože se podíval na problém jako celek a navrhnul řešení. 2. Byli byste pro opakování outsourcovaného auditu IT někdy v budoucnu nebo procesní interní audit bez IT backgroundu považujete za dostatečný? Opětovné provedení odborného outsourcingového IT auditu má určitě smysl. Umožňuje přinést jiný náhled na rizika, procesy a objevit některé nedostatky, které nemusí interní odborníci ze svého úhlu pohledu vidět. Ano, protože nezávislost a odbornost má svoji přidanou hodnotu.

NÁVRH ZADÁNÍ WORKSHOPŮ Workshop 1: Argumenty pro obhajobu rozpočtu na IT outsourcing Workshop 2: Stanovení rozsahu auditu Workshop 3: Výběr dodavatele, řízení projektu a převzetí výstupů Metoda GROW!

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář