Dříve než se rozhodnete pro ten správný standard



Podobné dokumenty
CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX

Management informační bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Co je to COBIT? metodika

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Systém řízení informační bezpečnosti (ISMS)

Návrh softwarových systémů - softwarové metriky

ČESKÁ TECHNICKÁ NORMA

ZÁKLADNÍ NABÍDKA SLUŽEB

Bezpečnostní normy a standardy KS - 6

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

Jan Hřídel Regional Sales Manager - Public Administration

Zkušenosti ze souběžné implementace metod BSC, CAF a Controlling&Reporting na Ministerstvu pro místní rozvoj

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Praktické zkušenosti s certifikací na ISO/IEC 20000

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Standardy projektového řízení

Vnitřní kontrolní systém a jeho audit

Novinky v projektovém řízení

Návod k požadavkům ISO 9001:2015 na dokumentované informace

PROCESY CO ZÍSKÁTE: Předpoklad pro certifikace ISO. Lean Six Sigma Fast Track

Cobit 5: Struktura dokumentů

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Manažerská ekonomika

2. Podnik a jeho řízení

3.přednáška. Informační bezpečnost: Řízení IS/IT

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Metodiky a normy. Matěj Vala. Katedra softwarového inženýrství Fakulta informačních technologií České vysoké učení technické v Praze Matěj Vala, 2011

WS PŘÍKLADY DOBRÉ PRAXE

ČESKÁ TECHNICKÁ NORMA

ŘÍZENÍ KVALITY VE SLUŽEBNÍCH ÚŘADECH Podpora profesionalizace a kvality státní služby a státní správy, CZ /0.0/0.

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Zvýšení kvality IA s využitím nových technologií: Představení řešení IDEA - SymSure pro CCM

Vytváření důvěry manažerů byznysu a IT

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Obsah Úvod 11 Jak být úspěšný Základy IT

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Představení normy ČSN ISO/IEC Management služeb

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Zpráva o činnosti a výstupech interního auditu ČT

Efektivnější systém pro vyřizování požadavků na IT v ČMSS

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Nástroje IT manažera

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

International for Standardization for Standardization. International Organization.

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

Procesní řízení IT. Ing. Hana Neničková, MBA

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Okruhy ke státním závěrečným zkouškám Platnost: od leden 2017

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

ČESKÁ TECHNICKÁ NORMA

Vazba na Cobit 5

Zkušenosti z auditů CSR. III. Ročník konference Společenská odpovědnost ve všech oblastech lidské činnosti

Evaluace na rozcestí trendy a praxe. Evaluace vs. interní audit. Lukáš Kačena Ernst & Young

Realizace klientsky orientovaných služeb veřejné správy

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Přednáška 6 B104KRM Krizový management. Ing. Roman Maroušek, Ph.D.

Faktory ovlivňující řízení podnikové informatiky

PROJEKTOVÁ VÝUKA, ŘÍZENÍ PROJEKTŮ A VÝZNAM CERTIFIKACE PRO BUDOUCÍ KARIÉRNÍ RŮST

Informační strategie. Doc.Ing.Miloš Koch,CSc.

Prezentace na téma projektového řízení Projektový manažer pro dnešek i zítřek

Metriky v informatice

Měření výkonnosti veřejné správy. ISSS 2014, Hradec Králové

Potřeba jednotného řízení a konsolidace rizik

HR controlling. Ing. Jan Duba HRDA

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Management kvality a jeho využití v praxi MěÚ Benešov

Kvalita procesu vývoje (SW) Jaroslav Žáček

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC

Cíle a architektura modelu MBI

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

ERM Enterprise Risk Management

TECHNOLOGICKÁ ŘEŠENÍ A SLUŽBY PO CELÉM SVĚTĚ

TECHNOLOGICKÁ ŘEŠENÍ A SLUŽBY PO CELÉM SVĚTĚ

Úvod do projektu. Standardizace provozních funkcí ÚSC. Součást projektu Korporátní styl řízení ve veřejné správě

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

Zkušenosti z nasazení a provozu systémů SIEM

Ondřej Hykš

Strategické řízení IS v podmínkách VS přínosy a problémy

organizací IT Vladimír r Kufner

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Politika bezpečnosti informací

v praxi Rizika a přínosy zavádění BI jako nástroje pro řízení podnikání

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

BI-TIS Případová studie

RIZIKA IMPLEMENTACE SKORKOVSKÝ. Přednášející : ESF MU 1/209

Zkouška ITIL Foundation

Zavádění projektového řízení ve společnosti

ISO 9001 : Certifikační praxe po velké revizi

Přístupy k efektivnímu využití modelu MBI

Transkript:

Dříve než se rozhodnete pro ten správný standard Vladimír Jech Katedra informačních technologií Vysoká škola ekonomická Praha xjessie007@yahoo.com Abstrakt: V praxi se setkáváme s řadou standardů, které v různé míře souvisí s řízením IT. Vrcholový management firmy, mnohdy motivován vidinou využít certifikaci řízení IT k marketingovým účelům, požaduje zavedení toho či onoho standardu, pokud ale člověk není odborník na IT governance, těžko se v tom velkém množství různých standardů orientuje. Nevhodná volba standardu pro řízení IT vede ke zbytečným nákladům a frustraci. Který standard je ten správný pro vaši firmu? Klíčová slova: standard, IT governance, COBIT Abstract: Managers at the executive level often call for compliance and standardization of the corporate IT. They often look up to recognized standards and frameworks; however, navigating between all the sound names may not be easy. Wrong choice and trying to implement poorly selected IT governance standard or framework may lead to unnecessary costs and frustration. Which standard is the right one for you? Keywords standard, IT governance, COBIT Jak se firmy ke standardům dostanou? Řízení informačních, komunikačních a výpočetních technologií a systémů (IS/ICT, dále jen zjednodušeně IT) prochází ve společnostech čtyřmi fázemi, které se liší podle přijatých pravidel a mírou jejich vyspělosti. U malých nebo začínajících společností je IT věnována minimální nebo jen okrajová pozornost. V tomto případě vedení společnosti považuje informační technologie a interní IT oddělení jen jako administrativní zázemí pro svoji činnost [CTK]. Oddělení zabývající se vývojem a podporou firemní informatiky plní požadavky uživatelů a nanejvýš periodicky reportuje skrze svého nejvyššího představitele top managementu své aktivity. Takto funguje úspěšně řada malých společností a nečiní jim to žádné komplikace. Když se ale společnost rozroste, v další fázi přichází intuitivní řízení. Manažeři ve vrcholových úrovních se začnou více zajímat o to, co jejich podřízení v odděleních informatiky dělají, často tomu ne příliš rozumí, ale snaží se zavádět různé metriky například v podobě časových snímků, kariérních plánů, osobních hodnocení, přehledů o projektech, apod. Pracovníci v IT jsou více nuceni zdůvodňovat proč požadují prostředky na to či ono. Třetí fáze v přístupu k řízení firemní informatiky je vývoj interních rámců, které jsou často založeny na postupném ad-hoc přejímání praxí prověřených praktik (tzv. Best Practices ) a na doporučeních externích konzultantů nebo auditorů. Zavádějí se plány, zavádějí se různé nástroje na řízení IT jako například Help Desk, pomocí dotazníků a šetření mezi uživateli se sleduje zpětná vazba od příjemců služeb IT, sestavují se rozpočty a sleduje se jejich plnění, IT má svého zástupce v top managementu a tím pravidelnou účast na poradách vedení, apod. SYSTÉMOVÁ INTEGRACE 2/2010 99

Vladimír Jech V poslední fázi nejde jen o to, aby top management věděl, co dělá jejich záhadné oddělení, ale jde se dále. V této fázi je snaha řídit IT tak, aby byla maximalizována návratnost investic do IT projektů a minimalizovány související rizika. IT je vnímáno jako podpůrný nástroj pro dosažení konkurenční výhody, naplnění podnikové strategie, budoucí růst a zvýšení efektivnosti podniku [EVG]. Management se snaží zavést nějaký všeobecně akceptovaný standard nebo jejich kombinaci a případně dosáhnout i certifikace podle zvoleného standardu. IT je pak řízeno tak, aby zahrnovalo fázi plánování, implementace, monitorování a zlepšování. Standard v této fázi představuje nejen strukturovanou a praxí prověřenou předlohu s jasně definovanými a transparentními pravidly, ale i podklad pro tvorbu auditovatelného systému [SPA]. Bez standardů by práce auditora byla mnohem složitější. Obrázek 1: Vývojová linie standardizace IT Zdroj: autor Důležité je zdůraznit, že standardy se používají nejen k hodnotovému řízení IT, tedy k dosažení toho, aby IT poskytovalo přidanou hodnotu, ale velmi často i za účelem řízení rizik, která IT přináší. Například datové sklady, ty jsou v současné době největším problémem pro bezpečnost a důvěrnost dat [HSI]. Mnohdy jsou plněny údaji z různých zdrojů ať už soukromých nebo vládních databází, důvěrných nebo veřejných, vnitrostátních nebo zahraničních představme si datový sklad mezinárodní banky, zajistit důvěrnost v něm uložených dat není jednoduchá záležitost. Díky vysoké komplexitě problémů v IT je dnes řízení IT podle všeobecně uznávaných standardů rostoucí trend [PSB]. Z čeho lze vybírat? Mezi nejznámější standardy, normy, procesní rámce a metodiky (dále jen standard ) pro řízení IT patří COBIT, ITIL, ISO/IEC 20000 a ISO/IEC 27000 [GSR]. Kromě těchto hlavních standardů se používají i méně známé, často úžeji specializované, jako například Val IT, INTOSAI, PRINCE 2 nebo PMBOK. Některé dnes používané standardy jako například Sarbanes-Oxley (SOX), Six Sigma, COSO, Balanced Scorecard a další určené pro řízení a měření výkonnosti nebo rizik organizace nebyly svými autory originálně určeny přímo pro řízení IT, ale díky dnešní provázanosti IT a businessu velmi často do IT zasahují. Důležité je nezapomenout, že do IT zasahují i různé právní normy. V České republice to jsou například zákon o ochraně osobních údajů, o elektronickém podpisu, některé paragrafy trestního zákoníku, atd. V mezinárodním prostředí, respektive u amerických společností stojí za zmínku například Patriot Act a HIPAA. Seznam často používaných standardů je uveden v tabulce 1. 100 SYSTÉMOVÁ INTEGRACE 2/2010

Dříve než se rozhodnete pro ten správný standard Který standard vybrat? Jak je vidět, standardů je mnoho. Standardy se liší zejména ve svém rozsahu, tedy jestli se jedná spíše obecný standard nebo takový, který se věnuje detailům řízení jednotlivých procesů. Dále se standardy liší v tom, jestli jsou primárně zavedeny v IT nebo se do IT promítají z obecného podnikového řízení. Při výběru standardu je nutné se nejprve rozhodnout, jestli ho chceme použít pro řízení celého IT ve společnosti nebo jen vybrané části. Z těch komplexních rámců je velmi známý COBIT. COBIT je dnes jedním z nejrozšířenějších standardů v této oblasti [GSR] a zjednodušeně řečeno, jeho komplexnost spočívá v tom, že se snaží zabývat vším, co ve společnosti nějakým způsobem s IT souvisí. V COBITu se tedy setkáme jak například s definicí rizik internetového bankovnictví, popisem kontrol v rámci změnového řízení, tak i například s kontrolami týkajícími se zabezpečení chodu IT po personální stránce. COBIT je srozumitelný nástroj, pomocí kterého lze vrcholovým manažerům nemajícím hluboké zkušenosti s IT vysvětlit jak funguje podniková informatika a s tím související rizika. COBIT obsahuje i model vyspělosti (pravidla pro stanovení úrovně souladu se standardem). Dalším častým standardem je ISO/IEC 27000, který se používá všude tam, kde je třeba zavést systém pro řízení bezpečnosti informací. Tento standard je často používán společnostmi, které potřebují mít jistotu nebo potřebují někomu prokázat (partnerům, regulačním orgánům, atd.), že jimi zpracovávané informace a data jsou zpracovávány a uchovávány bezpečně. Potřebujeme-li řídit vybranou oblast v IT jako například dodávky software, řízení projektů, klientské centrum, Help Desk, a další, pak je vhodné se poohlédnout po specializovaném standardu, který se dané oblasti přímo věnuje. V oblasti řízení služeb a jejich podpory stojí za zmínku ITIL a ISO/ IEC 20000. Představme si řízení sofistikovaného klientského centra (Call Center) zahrnujícího systémy pro Incident Management a Problem Management bez použití jednoho z těchto standardů by to bylo obtížné. Zdroj: autor Obrázek 2: Kategorizace standardů podle míry jejich obecnosti a využití pro IT SYSTÉMOVÁ INTEGRACE 2/2010 101

Vladimír Jech Projektovým managementem se zabývá například mezinárodní PMBOK nebo britský PRINCE 2, které bychom použili ve fázi implementace zmíněného klientského centra a jeho integrace s existujícími podnikovými procesy s systémy. Standardy projektového managementu se často používají v softwarových firmách či velkých finančních nebo bankovních institucích, kde je třeba mít nějaký řád v tom, jakým způsobem jsou nové projekty uváděny v život. Z těch dalších standardů věnujícím se konkrétním oblastem, standard Val IT poskytne odpověď na to, jestli investice do IT projektů jsou správné a jestli přináší požadovaný výnos. Pokud nás trápí bezpečnost elektronických transakcí, pak je vhodné zvážit HIPAA. Při vývoji software se můžeme setkat s ISO/ IEC 12207 a 15504. Do IT se promítají i některé standardy, které nejsou přímo určeny pro IT. Například zmíněné COBIT, ISO 27000 a Val IT jsou standardy vysloveně určené pro řízení IT a lze podle nich IT řídit samostatně. Naproti tomu Balanced Scorecard, Six Sigma, COSO, Sarbanes-Oxley jsou rámce, které bývají obvykle přijaty na obecné podnikové úrovni s tím, že je pak snaha jim v určitých oblastech podřídit i IT. Následující tabulka shrnuje diskutované standardy a vyznačuje, ve kterých oblastech je možné který využít. Tabulka 1: Kategorizace standardů podle oblasti využitelnosti (v rámci IT) Balanced Scorecard x řízení IT audit bezpečnost řízení projektů COBIT x x x COSO ERM x HIPAA x x x INTOSAI x ISO 20000 x ISO 27000 x x ISO 9000 x ITIL x PMBOK x PRINCE 2 x Sarbanes Oxley x x SIX SIGMA x x Val IT x Standardy a národní legislativa řízení rizik Zdroj: autor Standardy COBIT, ISO, ITIL jsou dnes už globální ve smyslu, že je používají firmy na celém světě. Jejich uvedení do praxe je ale do velké míry ovlivněno národní legislativou. Je nutné si uvědomit, že společnost v jedné zemi se díky globalizaci 102 SYSTÉMOVÁ INTEGRACE 2/2010

Dříve než se rozhodnete pro ten správný standard mnohdy řídí legislativou ještě nějaké další země. Například osobní údaje smí certifikát k elektronickému podpisu obsahovat obvykle jen se svolením podepisující osoby, velké rozdíly v národních úpravách a praxi ale jsou ve formě svolení a je tedy otázkou, jakou právní úpravou se bude řídit společnost provozující certifikační autoritu v mezinárodním měřítku. Pokud je česká společnost vlastněna americkou, může se tak setkat například se zákony HIPAA, Patriot Act a Sarbanes-Oxley. Především se zákonem Sarbanes-Oxley si láme hlavu nejeden český manažer [JEC]. Za zmínku stojí nedávný případ, kdy americká justice se začala zajímat o okolnosti privatizace České spořitelny [SLO]. V praxi se setkáváme s tím, že zákony jednotlivých zemí se neshodují nebo mohou jít i proti sobě. Zatímco banka v USA má povinnost součinnosti s americkým finančním úřadem, lokální legislativa její evropské pobočce nedovolí poskytnout americkému finančnímu úřadu osobní údaje byť o účtech amerických rezidentů. Zatímco z České republiky lze uskutečnit bezhotovostní převod do USA z webové stránky elektronického bankovnictví, v USA kvůli stejné transakci musí převodce díky legislativě osobně do banky. Rizika výběru Občas se stane, že vedení společnosti naplánuje implementaci nějakého standardu, například ISMS dle ISO 27000, protože je motivováno vidinou certifikace, která by umožnila lepší přístup k zakázkám. Po několika měsících se zjistí, že standardizace IT přináší mnohá omezení, která danou firmu příliš svazují a zavádění ISMS končí neúspěchem. ISO a COBIT jsou procesně orientované standardy zaměřené na kontroly, což nemusí být ten nejlepší model pro malé společnosti, butiky, společnosti s vysokým podílem znalostních pracovníků, apod. Například kontrola PO4.11 Segregation of Duties ve standardu COBIT hovoří o oddělení odpovědnosti. V praxi tak role programátora bývá neslučitelná s rolí testera a s rolí pracovníka, který migruje kód do produkčního prostředí. Takovéto oddělení rolí je přímo nutné zavést ve společnosti se stovkami nebo tisíci zaměstnanci, malá specializovaná firma s vysokou loajalitou vysoce kvalifikovaných znalostních pracovníků ale těžko bude zaměstnávat extra pracovníky jen kvůli oddělení rolí. Riziko výběru tedy spočívá v tom, že se firma rozhodne implementovat nějaký standard a pak vkládá obrovské úsilí do boje s auditorem a vysvětlování, že spousta standardních kontrol v jejím prostředí nemá smysl. Po roce-dvou pak firma dospěje k názoru, že dnes moderní COBIT nebo ISO je pro ni příliš svazující, příliš administrativní a že má výjimku na více kontrol než kolik má kontrol implementovaných. Slovo na závěr Firmy ke standardizaci často přistupují na základě potřeby, která přichází buď ze strany businessu (standardizace jako marketingový nástroj) nebo ze strany řízení společnosti (potřeba mít IT pod kontrolou). Výběr vhodného standardu není lehký úkol, protože vyžaduje expertízu a samotná implementace hodně času a zdrojů., FRM SYSTÉMOVÁ INTEGRACE 2/2010 103

Vladimír Jech Tabulka 2: Často používané standardy, normy, procesní rámce a metodiky - COBIT Control Objectives for Information and related Technology - komplexní rámec (set všeobecně přijatých pravidel nejlepší praxe, metrik, indikátorů a procesů) pro řízení a kontrolu IT - cílem je tvorba systému kontrol pro řízení IT a maximalizace přínosu z použití IT - procesně orientovaný (34 kapitol pro různé IT procesy) - tvořený systémem kontrol (210 kontrol) ve čtyřech doménách: plánování a organizace, akvizice a implementace, dodání a podpora, monitorování a vyhodnocování IT - vhodný a často používaný managementem pro řízení IT a auditory pro audit IT - pomáhá v IT zodpovědět otázky: Děláme věci správně?, Děláme věci dobře? ISO/IEC 27000 - rámec pro zavedení a řízení systému informační bezpečnosti - zaměřuje se především na ochranu osobních dat a interních informací - obsahuje dvě oblasti: specifikace systému řízení informační bezpečnosti a pravidla nejlepší praxe pro informační bezpečnost (12 oblastí) - cílem je zhodnocení rizik informační bezpečnosti a implementace patřičných kontrol - - obsahuje koncept kontinuálního vyhodnocování a zlepšování (přístup Plan-Do-Check-Act) ITIL Information Technology Infrastructure Library - definuje procesy pro řízení a dodávky IT služeb a jejich podporu (pro ilustraci, IT službou se rozumí například systém zabezpečující call centrum) - zaměřeno na tvorbu strategie, design, implementaci, provoz a kontinuální zlepšování služeb - - vhodný standard jako výchozí bod na cestě k ISO 20000 certifikaci ISO/IEC 20000 - zaměřeno na management IT služeb - důraz na kvalitu služeb poskytovaných IT systémy, které mají dopad na vztah společnosti se zákazníkem - obsahuje dvě oblasti: specifikace systému řízení služeb a pravidla nejlepší praxe pro dodávky služeb a jejich podporu - standard ve stejné oblasti jako ITIL, ale komplexnější a obsáhlejší - - zahrnuje: rozsah, plánování, implementace, změnové řízení, dodávky, řízení vztahu, kontrolní procesy, řešení problémů, proces spouštění 104 SYSTÉMOVÁ INTEGRACE 2/2010

Dříve než se rozhodnete pro ten správný standard Val IT - rámec pro řízení investic do IT a jejich návratnosti - rozšiřuje a doplňuje COBIT - přibližuje procesy definované v COBITu k procesům na úrovni senior managementu - organizovaný do tří domén: budování hodnoty, portfolio management, řízení investic - - pomáhá v IT zodpovědět otázky: Děláme správné věci?, Přináší investice do IT požadovaný přínos? INTOSAI International Organization of Supreme Audit Institutions COSO ERM Enterprise Risk Management Balanced Scorecard PRINCE 2 PRojects IN Controlled Environments PMBOK Project Management Body of Knowledge - principy a návody pro audit ve veřejném sektoru - určeno primárně pro finanční auditory - obsahuje etický kodex auditora - - dívá se na IT jako na službu zpracovávající informace a cílem je prověření interních kontrol aplikací - zaměřeno na identifikaci událostí a efektivní řízení rizik - obecný standard pro řízení rizik aplikovaný mimo jiné i na IT - zabývá se aktivitami na všech úrovních organizace: společnost, divize, oddělení - cíle jsou stanovovány ve čtyřech kategoriích: strategické, provozní (efektivní využití zdrojů), reporting, compliance - - zahrnuje: popis prostředí, stanovení cílů, identifikace událostí, ohodnocení rizik, odpověď na rizika, kontrolní aktivity, informace a komunikace, monitorování - systém měření a řízení výkonnosti organizace - obecná manažerský metoda používaná často i pro řízení IT (sledování výkonnosti) - převádí cíle do specifických úkolů, měřítek a ukazatelů - - sleduje finanční ukazatele (finance), hodnocení služeb jejich příjemcem (zákazník), podnikové procesy a proces učení se a zlepšování - standard pro projektový management - procesně orientovaný, strukturovaný, pravidla nejlepší praxe - primárně zaměřeno na projekty ve státní správě - věnuje se řízení, controllingu, supervizi, designu a organizaci projektu - - popisuje jak v projektu koordinovat účastníky a aktivity - standard pro projektový management - procesně orientovaný standard - popisuje procesy v 5 skupinách: inicializace, plánování, exekuce, kontrola a monitorování a hodnocení projektu - zabývá se: integrace projektu, definice rozsahu, time management, náklady, kvalita, lidské zdroje, komunikace, rizika, řízení dodávek - - často používáno při tvorbě software, ve stavebnictví, strojírenství, finančním sektoru SYSTÉMOVÁ INTEGRACE 2/2010 105

Vladimír Jech Sarbanes- Oxley HIPAA Health Insurance Portability and Accountability Act - zavádí povinnost manažerů a auditorů vyjádřit se k interním kontrolním systémům - protože realizace rizika v IT může mít velký dopad na finanční výsledky společnosti, finanční auditoři posuzují i kontrolní systémy v IT - obecný rámec původně zamýšlený pro potlačení hospodářské kriminality, díky své obecnosti a provázanosti IT a finančních výsledků podniku se ale vztahuje i na IT - - povinný pro společnosti kotované na americkém akciovém trhu, v praxi ale často díky vlastnickým vztahům dopadá i na společnosti mimo USA - upravuje ochranu osobních údajů ve zdravotnictví - zabývá se bezpečností osobních údajů při zpracování dat a elektronických transakcích - standard sice primárně zaměřen na zdravotnictví, ale v praxi se využívá pro ochranu dat i v jiných odvětvích, například pojišťovnictví a bankovnictví - - vyžaduje opatření ve třech oblastech: administrativní ochrana, fyzické zabezpečení, technická opatření Doporučená literatura: [GSR] IT Governance Global Status Report 2008, IT Governance Institute, www.itgi.org. [EVG] An Executive View of IT Governance, IT Governance Institute, www.itgi.org. [HSI] Hsinchun Chen a kol.: Terrorism Informatics: Knowledge Management and Data Mining for Homeland Security. Springer, 2008, ISBN 0387716122, strana 199. http://books.google.com/books?id=feoqhcd8bnkc&pg=pa199&lpg=pa199&dq=patr iot+act+informatics&source=bl&ots=ps6eftgena&sig=8qhtnvsiebsjljiww mqu1td6xxw&hl=en&ei=w7y8sq6idmapsaag7jmtcw&sa=x&oi=book_res ult&ct=result&resnum=7#v=onepage&q=&f=false [JEC] Jech V: Působnost zákona Sarbanes-Oxley za hranicemi USA. Komora auditorů České republiky, Auditor č. 7/2005. [SLO] Slonková S., Junek A.: FBI začala zkoumat úplatky při privatizaci spořitelny, 24.11.2009, http://aktualne.centrum.cz/domaci/kauzy/clanek.phtml?id=653794 [CTK] technologie mění trh, firmy se cítí ohroženy, http://www.financninoviny.cz/podnikatele/zpravy/informacni-technologiemeni-trh-firmy-se-citi-ohrozeny/410321 [PSB] Průzkum stavu informační bezpečnosti v ČR 2007, Ernst & Young, NBÚ, DSM data security management, 2007, ISBN 978-80-86813-13-4 [SPA] Spafford G.: The Benefits of Standard IT Governance Frameworks, Datamation, 22. 4. 2003, http://itmanagement.earthweb.com/netsys/article.php/2195051 106 SYSTÉMOVÁ INTEGRACE 2/2010

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář