nõuded infotehnoloogia ala korraldamiseks
DESCRIPTION
Nõuded infotehnoloogia ala korraldamiseks. Toomas Kirt Finantsinspektsiooni IT-audiitor 5.11.2004. Sisu. Mis on eesmärk? Mis on aluseks? Kuidas toimub rakendamine? Mida sisaldab?. Eellugu. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/1.jpg)
Nõuded infotehnoloogia ala korraldamiseks
Toomas Kirt
Finantsinspektsiooni IT-audiitor
5.11.2004
![Page 2: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/2.jpg)
2
Sisu
• Mis on eesmärk?• Mis on aluseks?• Kuidas toimub rakendamine?• Mida sisaldab?
![Page 3: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/3.jpg)
3
Eellugu
• Eesti Panga presidendi määrus nr. 23, 03.10.1997 Nõuded infotehnoloogia ala korraldamiseks krediidiasutustes
• 01.01.2002 alustas tegevust Finantsinspektsioon ja selle raames laienes ka IT-alane järelevalve
• Kasvav sõltuvus informatsioonist ja infosüsteemidest• Finantsinspektsiooni juhatuse 22.09.2004 otsusega
nr. 44-4 kinnitati soovituslik juhend “Nõuded infotehnoloogia ala korraldamiseks “
![Page 4: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/4.jpg)
4
Eesmärk
• Finantssektori ettevõtete tegevus sõltub olulisel määral infotehnoloogiast (“IT”). Juhendi eesmärgiks on kehtestada miinimumnõuded finantssektori ettevõtetes infotehnoloogiaalaseks töökorralduseks, et suurendada finantssektori efektiivsust ja vähendada süsteemseid ning operatsioonilisi riske.
• Anda raamistik ettevõtte IT riskide hindamiseks
![Page 5: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/5.jpg)
5
Cobit
• Juhendi koostamisel on võetud aluseks rahvusvaheliselt üldtunnustatud infotehnoloogia auditi ja juhtimise standard COBIT (Control Objectives for information and Related Technology) ning selle lühivariant COBIT Quickstart
• Cobitis 34 protsessi ja 318 juhtimiseesmärki• Cobit QS 30 protsessi ja 62 juhtimiseesmärki
![Page 6: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/6.jpg)
6
Rakendamine
• Vaadata üle juhendis toodud protsesside korraldus ettevõttes ning hinnata nende juhtimist ja riske
• Selgitada välja, kas olukord on rahuldav, ning kui ei ole, siis määrata eesmärk, kuhu soovitakse jõuda
• Teha tegevuskava eesmärgi saavutamiseks
![Page 7: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/7.jpg)
7
Juhendi ülesehitus
• I osa Üldsätted ja mõisted• II osa Planeerimine ja organiseerimine• III osa Hankimine ja rakendamine• IV osa Tarnimine ja tugi• V osa Seire• VI osa Lõppsätted
![Page 8: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/8.jpg)
8
Planeerimine ja organiseerimine
1. Strateegia
2. Infoarhitektuur
3. IT organisatsioon
4. IT investeeringute juhtimine
5. Vastavus välisnõuetele
6. Riskihaldus
7. Projektide haldus
![Page 9: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/9.jpg)
9
Strateegia
• Ettevõtte infotehnoloogiaalase tegevuse aluseks peab olema juhtkonna poolt kinnitatud ettevõtte ärieesmärkidest ja -strateegiast lähtuv strateegia (IT strateegia)
• IT strateegia loomisel tuleb hinnata, millist infotehnoloogilist tuge on vaja ettevõtte ärieesmärkide saavutamiseks ning kas olemasolevad IT lahendused võimaldavad saavutada soovitud ärilist tulemust
![Page 10: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/10.jpg)
10
Infoarhitektuur
• Ettevõttel peavad olema üldised reeglid infovarade omanike määramiseks ja infovarade klassifitseerimiseks turvaklassidesse ning kõikidele infovaradele peavad olema nimetatud omanikud
• Infovara klassifitseerimise ja juurdepääsupiirangute kehtestamise eest vastutab vastava infovara omanik
![Page 11: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/11.jpg)
11
IT organisatsioon
• Äriprotsessidele vajaliku infotehnoloogilise toe osutamiseks peab ettevõttes olema suuruselt ja kompetentsidelt sobiv IT organisatsioon
• Rakendada asjakohased värbamisprotseduurid• Töötajatel peavad olema selgelt määratletud
nõutavad oskused, õigused, vastutus ja kohustused • Tagada võimalusel töökohustuste lahusus
![Page 12: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/12.jpg)
12
IT investeeringute juhtimine
• Infotehnoloogiasse tehtavate kulutuste ärieesmärkidele vastavaks ja optimaalseks juhtimiseks peab IT-investeeringute juhtimine toimuma läbi perioodiliselt toimuva eelarvestamise protsessi
![Page 13: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/13.jpg)
13
Vastavus välisnõuetele
• Ettevõtte juhtkond peab tagama ettevõtte IT korraldamise vastavuse regulaarse hindamise välistele nõuetele (seadused, regulatsioonid, jmt) ning nende mõjudega arvestamise
![Page 14: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/14.jpg)
14
Riskihaldus
• Ettevõtte juhtkond peab tagama infotehnoloogiaga seotud riskide haldamise protsessi toimimise, mis määratleks riskide juhtimise metoodika, aruandekohustuse ja kontrollmehhanismid
• Riskide hindamine peab kaasnema iga olulise muudatusega infosüsteemides või protsessides
![Page 15: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/15.jpg)
15
Projektide haldus
• Iga olulisem arendustegevuse projekt infotehnoloogia valdkonnas peab omama täpselt määratletud ja mõõdetavat eesmärki ning täpset algust ja lõppu omavat tähtaega
![Page 16: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/16.jpg)
16
Hankimine ja rakendamine
1. Süsteemiarendus
2. Protseduuride haldus
3. Muudatuste haldus
![Page 17: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/17.jpg)
17
Süsteemiarendus
• Ärinõuete täitmiseks sobivate lahenduste loomiseks peab toimuma eelnev kasutajanõuete väljaselgitamine ja alternatiivsete lahenduste hindamine
• Lahenduse väljatöötamisel on vaja spetsifitseerida lahenduse funktsionaalsed ja ekspluatatsioonilised nõuded
![Page 18: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/18.jpg)
18
Protseduuride haldus
• Infosüsteemi halduseks ja kasutamiseks peavad olema kehtestatud dokumenteeritud tööjuhised ning protseduurid
![Page 19: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/19.jpg)
19
Muudatuste haldus
• Infosüsteemi muudatuste tagajärjel tekkida võivate katkestuste ja vigade tõenäosuse vähendamiseks tuleb tagada muudatuste teostamise korrektsus ja kontrollitavus. Muudatuste teostamiseks tuleb koostada tegevusplaan
• Muudatuste tegemisest peab säilima kontrolljälg, mis võimaldaks tuvastada muudatuse tegemise aja, teostaja ja muudatuse sisu
![Page 20: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/20.jpg)
20
Tarnimine ja tugi
1. Väliste teenusepakkujate kasutamine
2. Mahtude ja jõudluse haldus
3. Talitluspidevus
4. Süsteemide turvalisus
5. Konfiguratsioonihaldus
6. Probleemide ja intsidentide haldus
7. Ruumide haldus
8. Ekspluatatsiooni haldus
![Page 21: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/21.jpg)
21
Väliste teenusepakkujate kasutamine
• Ettevõttes peavad olema rakendatud väliste teenusepakkujate valikuprotseduurid, mis tagaksid ettevõttele toimiva ja tõhusa teenuse kasutamise
• Välistele teenusepakkujatele ei tohi lubada juurdepääsu organisatsiooni vahenditele enne vajalike turvameetmete teostamist ja pääsutingimusi määratleva lepingu allakirjutamist
![Page 22: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/22.jpg)
22
Mahtude ja jõudluse haldus
• Ettevõttes peab toimima protsess infosüsteemi jõudluse monitoorimiseks ning raporteerimiseks
• Olemasoleva süsteemi jõudluse monitoorimise ja tulevaste jõudlusvajaduste prognoosimise tulemuste põhjal peab olema tagatud infosüsteemi jõudlusvajaduste õigeaegne rahuldamine
![Page 23: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/23.jpg)
23
Talitluspidevus
• Ettevõttes peab olema toimiv talitluspidevuse planeerimise protsess, mis võtab arvesse äriprotsesside kriitilisust ning tagab pidevusplaanide välja töötamise
• Ettevõttes peavad olema dokumenteeritud ja juurutatud varukoopiate tegemise protseduurid ning tagatud regulaarne varukoopiate tegemine
![Page 24: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/24.jpg)
24
Süsteemide turvalisus
• Turbe korralduse aluseks/raamdokumendiks on infoturvapoliitika, milles tuuakse ära meetmed, kuidas tagatakse infoturbe kolm aspekti konfidentsiaalsus, terviklus ja käideldavus
• Ettevõttes peavad pääsuõiguste jaotuse reguleerimiseks olema rakendatud ametlikud protseduurid, mis hõlmavad pääsu elutsükli kõiki faase
• Enne kasutajatele infoteenustele juurdepääsu andmist peavad nad saama asjakohase väljaõppe
![Page 25: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/25.jpg)
25
Süsteemide turvalisus(2)
• Ettevõttes tuleb tagada tundlike andmete kaitse nende edastamisel avaliku võrgu kaudu
• Seire korraldamiseks on vajalik infosüsteemis läbiviidavate toimingute kontrolljälg
• Ründetarkvara ja viiruste õigeaegseks avastamiseks ja tõkestamiseks peavad olema rakendatud vajalikud meetmed
![Page 26: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/26.jpg)
26
Konfiguratsioonihaldus
• Ettevõttel peab olema kasutatava infotehnoloogilise riistvara ja tarkvara konfiguratsiooni täielik ja regulaarselt täiendatav inventariloend
• Kasutatav riist- ja tarkvaraline platvorm tuleb võimalusel standardiseerida
![Page 27: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/27.jpg)
27
Probleemide ja intsidentide haldus
• Turvarünnetest, avariidest ja tõrgetest tingitud kahjude vähendamiseks, turvaintsidentide registreerimiseks, neile reageerimiseks ning nendest järelduste tegemiseks peavad olema kehtestatud ametlikud protseduurid ning töökohustused
• Kõigile asjaomastele töötajatele ja lepingupartneritele tuleb teatavaks teha teavitamisprotseduur eri tüüpi turvaintsidentide osas
![Page 28: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/28.jpg)
28
Ruumide haldus
• Kriitilisi või tundlikke talitlusfunktsioone toetavad infotehnoloogiavahendid tuleb paigutada piiratud juurdepääsuga turvaaladele ning neid tuleb füüsiliselt kaitsta volitamata pöördumiste, kahjustuste, turvaohtude (nt. tulekahju) ja keskkonnariskide eest
![Page 29: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/29.jpg)
29
Ekspluatatsiooni haldus
• Põhilisi tüüpseid IT-operatsioone tuleb regulaarselt dokumenteerida ja läbi vaadata, et tagada töötluse plaanipärasus (ajastuse, järjestuse, kvaliteedi jne mõttes)
• Töötluse õigsuse ja täielikkuse kindlustamiseks tuleb kontrollida ekspluatatsioonilogisid
![Page 30: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/30.jpg)
30
Seire
1. Seire ja hindamine
![Page 31: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/31.jpg)
31
Seire ja hindamine
• Ettevõttes peavad olema kehtestatud nõuded infotehnoloogiaalase tegevuse kontrolliks ja hindamiseks
• Infotehnoloogia juhtimismehhanismide, infotehnoloogiat puudutavate õigusaktide ja eeskirjade vastavuse ning infotehnoloogiaalaste lepinguliste kohustuste täitmise hindamiseks tuleb vajadusel kasutada välist auditit
![Page 32: Nõuded infotehnoloogia ala korraldamiseks](https://reader033.vdocuments.mx/reader033/viewer/2022061511/568146b4550346895db3d265/html5/thumbnails/32.jpg)
32
Kokkuvõte
• Raamistik ettevõtete IT-ga seotud riskide hindamiseks
• Ka juhend on protsess, mis peab kaasas käima keskkonna arenguga