Report

. mr. sci. Dragutin Vuković GOVERNANCE & MANAGEMENT CONSULTING SERVICES Vladanje informacijskim sustavom.......... Struktura odnosa i procesa za usmjeravanje i kontrolu sa svrhom da se dodavanjem vrijednosti ostvare ciljevi poduzeća i ujedno uravnoteže rizici i povrat vrijednosti u odjelu za informatičke tehnologije i njegovim procesima. INKUS d.o.o., svibanj 2005.

SADRŽAJ 1 Uvod... 3 2 Primjenjive metode i standardi... 3 2.1 COBIT... 3 2.2 ITIL i BS15000... 4 2.3 ISO/IEC 17799 i BS 7799-2... 5 2.4 ISO 9000... 5 3 Europska zajednica i vladanje informacijskim sustavima... 5 Stranica 2 od 6

1 Uvod Mnoge organizacije prepoznaju potencijalne pogodnosti koje tehnologija može pružiti. Uspješne organizacije, međutim, razumiju rizike povezane s primjenom novih tehnologija, i upravljaju tim rizicima. U proteklom desetljeću uloga IT odjela u poduzeću značajno je promijenjena. Od troškovnog mjesta koje je pružalo pomoćne usluge poslovanju, IT odjel se transformirao u strateškog partnera koji je značajan čimbenik u ostvarivanju strateških ciljeva i rasta poslovanja poduzeća. Da bi omogućili pružanje informacija potrebnih poduzeću u postizanju njegovih strateških ciljeva, resursi IT odjela moraju biti upravljani skupom prirodno grupiranih procesa. Tu skupinu procesa, primijenjene metode i njihova međudjelovanja obuhvaćamo u zajednički pojam vladanje informacijskim sustavom. Za razliku od pojma upravljanje, koji obuhvaća procese i metode za ostvarenje zadanih ciljeva, pojam vladanje usmjerava se na uspostavljanje veze između poslovnog fokusa i upravljanja informacijskim sustavom, čime se iskazuje nužnost da se odluke o strateškim pitanjima informatizacije donose na razini vrhovne uprave a ne na razini rukovoditelja IT odjela. Primarni cilj vladanja informacijskim sustavom je osiguravanje da investicije u informatiku stvaraju dodanu vrijednost u poslovanju poduzeća, i umanjuju rizike povezane s time. To se može postići uvođenjem organizacijske strukture sa jasnim ulogama, ovlastima i odgovornostima za informacije, poslovne procese, aplikacije, infrastrukturu, itd. Dobro definirana kontrola informacijskog sustava ključ je njegove uspješnosti. Nakon katastrofalne propasti Enrona u 2001. godini i s time povezanim skandalima i bankrotima firmi Arthur Andersen i WorldCom, obveze i odgovornosti uprave u poduzećima postale su predmetom provjera. Kao odgovor na to, kako se takve prijevare ne bi ponovile, Kongres Sjedinjenih američkih država donosi 2002. godine propis, nazvan prema predlagateljima Sarbanes-Oxley Act, koji je naglasio važnost kontrole i prosudbi (audita) u poslovanju. Upravo zbog važnosti informacijskog sustava u vođenju poslovanja svakog poduzeća, ta su zbivanja imala veliki značaj za razvoj mehanizama i standarda vladanja informacijskim sustavima. 2 Primjenjive metode i standardi Da bi se uspješno uvelo vladanje informacijskim sustavom potrebno je pridržavati se metoda razvijenih na temelju dugogodišnjih iskustava u struci, prepoznatih kao najbolja praksa u tom području. Obično se takva iskustva uobličuju u standarde, bilo formalno prihvaćene od nacionalnih i međunarodnih ustanova za standarde, ili preporučene od udruga proizvođača kao takozvani industrijski standardi. Postoji više metoda i standarda razvijenih sa svrhom uvođenja vladanja informacijskom sustavom. Neke od njih predstavljamo u nastavku. 2.1 COBIT COBIT (Control OBjectives for Information and related Technologies) prvi put je objavljen od Information Systems Audit and Control Foundation (ISACF), 1996. godine. Drugo izdanje, objavljeno 1998. godine sadržavalo je povećan broj dokumenata, reviziju Stranica 3 od 6

kontrolnih ciljeva najviše razine i dokument s preporukama za implementaciju, Implementation Tool Set. Današnje, treće, izdanje COBIT je otvoreni standard s novim izdavačem IT Governance Institute (ITGI), kojeg je osnovala udruga Information Systems Audit and Control Association (ISACA). COBIT predstavlja radni okvir za razvoj i implementiranje vladanja informacijskim sustavom. COBIT je relativno mali po veličini i nastoji biti praktičan i prilagođen poslovnim potrebama, te ujedno nezavisan od IT platforme usvojene u poduzeću. POSLOVNI CILJEVI - nadziri proces - procjenjuj primjerenost nadzora - pribavi nezavisnu potvrdu - omogući nezavisnu prosudbu NADZOR INFORMACIJE - djelotvornost - učinkovitost - povjerljivost - integritet - dostupnost - sukladnost - pouzdanost - definiraj strateški plan IT - definiraj informacijsku arhitekturu - odredi tehnološko usmjerenje - definiraj IT organizaciju i odnose - upravljaj IT investicijama - definiraj ciljeve i usmjerenje uprave - upravljaj ljudskim resursima - uskladi s vanjskim zahtjevima - procjenjuj rizike - upravljaj projektima - upravljaj kvalitetom PLANIRANJE I ORGANIZACIJA IT RESURSI - definiraj i održavaj razinu usluge - upravljaj vanjskim uslugama - upravljaj performansama - upravljaj kapacitetom - upravljaj podacima ISPORUKA I - upravljaj sredstvima PODRŠKA - upravljaj operacijama - upravljaj konfiguracijom - upravljaj problemima i incidentima - osiguraj stalnost usluge - osiguraj sigurnost sustava - identificiraj i pridruži troškove - osposobljavaj korisnike - pruži pomoć i savjet korisnicima - ljudi - aplikativni sustavi - tehnologija - prostori i oprema - podaci DOBAVA I IMPLEMENTACIJA - identificiraj rješenja - dobavi i održavaj aplikacije - dobavi i održavaj infrastrukturu - razvij i održavaj postupke - instaliraj i akreditiraj sustave - upravljaj promjenama 2.1: COBIT: Ciklički model upravljanja IT-om 2.2 ITIL i BS15000 ITIL (IT Infrastructure Library) je u svijetu najšire prihvaćen pristup upravljanju IT uslugama. ITIL predstavlja kohezivan skup najbolje prakse, međunarodno sakupljene iz javnog i privatnog sektora. Podržan je razumljivim implementacijskim vodičima, akreditiranim certifikacijskim organizacijama, implementacijskim i prosudbenim alatima. Suradnjom ureda za trgovinu britanske vlade OGC (Office of Government Commerce), britanskog ureda za standarde BSI (British Standards Institution: Standard for IT Service Management), i međunarodne nezavisne neprofitne organizacije za promoviranje Stranica 4 od 6

upravljanja IT uslugama itsmf (IT Service management Forum), uzajamno su usklađeni dokumenti ITIL-a i britanskih normi BSI. Najbolja praksa promovirana u ITIL tako je podržana i u standardu BS15000. 2.3 ISO/IEC 17799 i BS 7799-2 Ovi standardi razvijeni su da uspostave sigurnosnu strukturu informacijskih tehnologija i pokriju tehničke, administrativne i legalne aspekte u području sigurnosti informacijskih sustava. Kroz deset kontrolnih točaka ovi standardi popisuju najbolju praksu i postupke koje poduzeće mora implementirati da bi dobro upravljali sigurnošću svojih informacijskih sustava. Implementiranje principa izloženih u ovim standardima omogućuje detektiranje, analiziranje i umanjenje rizika po sigurnost informacija. Radi se o dva standarda koji se međusobno nadopunjuju. Međunarodni standard ISO/IEC 17799:2000 Code of practice for Information Security Management razvijen je u British Standards Institution (BSI) kao BS 7799, te usvojen od ISO. Na njega se nastavlja standard BS 7799-2:2002 Specification for Information Security Management razvijen i objavljen od BSI, dok je je u ISO u fazi pripreme za usvajanje. Ovaj par standarda uglavnom pokriva područje sigurnosti informacijskih sustava i ne bavi se značajnije ostalim aspektima poslovanja IT odjela. 2.4 ISO 9000 ISO 9000 je skup standarda za sustave upravljanja kvalitetom, prvi put uspostavljen još 1994. godine, a značajno izmijenjen i obnovljen 2000. Široko je prihvaćen u svijetu i podržan kao nacionalni standard u više od 90 država svijeta. U Hrvatskoj su od Državnog zavoda za normizaciju i mjeriteljstvo prihvaćeni i 2002. godine objavljeni slijedeći standardi iz ove grupe: HRN EN ISO 9000:2002 - Sustavi upravljanja kvalitetom -- Temeljna načela i rječnik (ISO 9000:2000; EN ISO 9000:2000) HRN EN ISO 9001:2002 - Sustavi upravljanja kvalitetom -- Zahtjevi (ISO 9001:2000; EN ISO 9001:2000) HRN EN ISO 9004:2003 - Sustavi upravljanja kvalitetom -- Upute za poboljšavanje sposobnosti (ISO 9004:2000; EN ISO 9004:2000) Standard koji definira zahtjeve za implementiranje sustava upravljanja kvalitetom je ISO 9001:2000, dok ostali standardi služe kao pomoćne upute u tom poslu. Standard je primjenjiv na sva poduzeća bez obzira na veličinu i djelatnost. Svi prikazani standardi primjenjuju ciklički model vladanja. Model na kojem se temelji COBIT prikazan je slikom. 3 Europska zajednica i vladanje informacijskim sustavima Glavna direkcija za poljoprivredu i ruralni razvoj (Directorate-General for Agriculture and Rural Development) Europske zajednice objavila je zajedničku poljoprivrednu politiku u dokumentu Common Agricultural Policy (CAP). Zajedničke poljoprivredna politika bila je Stranica 5 od 6

jedno od bitnih polazišta za izradu Nacionalnog programa za poljoprivredu i seoska područja, koji je u srpnju 2003. godine objavilo Ministarstvo poljoprivrede, šumarstva i vodnog gospodarstva Vlade Republike Hrvatske. Direkcija također značajnu pažnju posvećuje informacijskim sustavima koji se koriste u poljoprivredi, a posebno onima koji prikupljaju i obrađuju financijske podatke, te su za takve informacijske sustave propisana pravila u pogledu sigurnosti i kontrole poslovanja. Prema regulativi Europske zajednice, sve nacionalne agencije za isplatu poticaja u poljoprivredi povezane sa fondom European Agricultural Guidance and Guarantee Fund (EAGGF) obavezne su svojim informacijskim sustavima vladati sukladno propisanim metodama i standardima, o čemu moraju imati i certifikat ovlaštene ustanove. Popis dopuštenih standarda sada sadrži tri mogućnosti za izbor: ISO 17799/BS7799, BSI IT_Grundschutzhandbuch i COBIT. Neupitno je da i u drugim područjima europske regulative ima i biti će ovakvih obveza, svagdje gdje su pri financijskim transakcijama uključeni informacijski sustavi, kao što je neupitno i to da svi informacijski sustavi, a naročito oni koji obrađuju financijske podatke, trebaju uvesti, dokumentirati i održavati sustav vladanja sukladan bar jednom od spomenutih standarda. Pitanje koje se tu postavlja nije da li nam to treba ili ne, već kad ćemo početi s uvođenjem sustava. Odgovor je - odmah. INKUS d.o.o., Velika Gorica, Hrvatska, 2005 INKUS NE DAJE NIKAKVA JAMSTVA, IZRIČITA ILI PODRAZUMIJEVANA, ZA INFORMA-CIJE NAVEDENE U OVOM PREGLEDU. Ovaj dokument služi isključivo u informativne svrhe. Informacije u ovom dokumentu mogu se mijenjati bez prethodne najave. Svu odgovornost upotrebe ili posljedica upotrebe informacija iz ovog dokumenta snosi korisnik. Poštivanje svih primjenjivih zakona o intelektualnom vlasništvu u odgovornosti je korisnika. Bez ograničavanja prava intelektualnog vlasništva, nijedan dio ovog dokumenta ne smije se reproducirati, pohranjivati ili odložiti u dokumentacijski sustav, ili biti prenošen u bilo kojem obliku i na bilo koji način (elektronički, mehanički, fotokopiranje, snimanjem i drugačije) bez izričite pismene suglasnosti INKUS d.o.o. Imena stvarnih poduzeća i produkata spomenutih u ovom dokumentu mogu biti registrirana imena ili trgovačke marke svojih respektivnih vlasnika. (DOC#: WHP-2005-01-1-09) Stranica 6 od 6