Κατέβασμα παρουσίασης
Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε
ΔημοσίευσεΛαύρα Αυγερινός Τροποποιήθηκε πριν 8 χρόνια
1
Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Ελεγκτική της Ασφάλειας
2
Διαπιστώσεις Η μέτρηση είναι αυτή που θα μας πληροφορήσει που βρισκόμαστε… …αλλά ο σκοπός μας είναι να βελτιώσουμε το επίπεδο σύμφωνα με το επιθυμητό. Ο έλεγχος ενός συστήματος ΣΔΑΠ μπορεί να γίνει κι αυτός με οργανωμένο τρόπο: ένα άλλο πρότυπο Το ISO 27007:2011 που αφορά την ασφάλεια Το ISO 19011:2011που αφορά οποιοδήποτε σύστημα διαχείρισης, άρα και της ασφάλειας. 2 Τμήμα Ψηφιακών Συστημάτων
3
Αρχές της Ελεγκτικής Ακεραιότητα Οι ελεγκτές χρειάζεται να διακατέχονται από εντιμότητα, υπευθυνότητα, επάρκεια εκτέλεσης του έργου, αμεροληψία Δίκαιη παρουσίαση Κάθε εύρημα θα πρέπει να προβάλλεται τόσο όσο αξίζει στη σημαντικότητά του. Το ίδιο ισχύει και για τα εμπόδια που συνάντησε ο έλεγχος Δέουσα επαγγελματική προσοχή Η προσοχή στον έλεγχο δίνει τη δυνατότητα για αιτιολογημένες κρίσεις. 3 Τμήμα Ψηφιακών Συστημάτων
4
Αρχές της Ελεγκτικής Εμπιστευτικότητα Οι πληροφορίες που αποκτήθηκαν για, και κατά, τη διάρκεια του ελέγχου θα πρέπει να αντιμετωπίζονται με εμπιστευτικό τρόπο και μόνο προς όφελος του εντολέα ελέγχου. Ανεξαρτησία …του ελεγκτή από τον ελεγχόμενο, σε κανονικές συνθήκες εργασίας ώστε να υπάρχει η αντικειμενική βάση για το αποτέλεσμα Στοιχειοκεντρική προσέγγιση Η στοιχειοθέτηση των αποτελεσμάτων είναι αναγκαία προκειμένου να εξάγονται αντικειμενικά συμπεράσματα. 4 Τμήμα Ψηφιακών Συστημάτων
5
Εφαρμογή στο ΣΔΑΠ Δεδομένου ότι η υλοποίηση του κύκλου PDCA γίνεται από ανθρώπους έχει ως αποτέλεσμα να εμφανίζονται αποκλίσεις στα προβλεπόμενα αποτελέσματα. Οι αποκλίσεις είναι αναπόφευκτες: Αποδεκτές, λόγω ατελειών Μη αποδεκτές Οι οποίες και οδηγούν σε διορθωτικές ή προληπτικές ενέργειες. 5 Τμήμα Ψηφιακών Συστημάτων
6
Τύποι ελέγχων Εσωτερικοί γίνονται από προσωπικό του οργανιμού, και στοχεύουν στη βελτίωση του συστήματος και γίνονται σε τακτά χρονικά διαστήματα Αντιμετωπίζουν προβλήματα προσόντων και ανεξαρτησίας Εξωτερικοί από εξωτερικούς συμβούλους από διαπιστευμένους ελεγκτές που οδηγεί σε πιστοποίηση του προτύπου. 6 Τμήμα Ψηφιακών Συστημάτων
7
Σκοπός & διενέργεια των ελέγχων Διαπίστωση της αποτελεσματικότητας και της αποδοτικότητας των υλοποιημένων μέτρων. Για τη διενέργεια ελέγχων είναι απαραίτητη η κατάρτιση προγράμματος στο οποίο περιλαμβάνονται… …οι προδιαγραφές και τα κριτήρια βάσει των οποίων θα γίνουν οι έλεγχοι, …καθώς και η τελική παρουσίαση των αποτελεσμάτων ανάλογα με το ακροατήριο που απευθύνονται. 7 Τμήμα Ψηφιακών Συστημάτων
8
Διεργασία διαχείρισης προγράμματος ελέγχων 8 Τμήμα Ψηφιακών Συστημάτων
9
Plan: Καθορισμός στόχων ελέγχου Γίνεται από τη Διοίκηση οι οποίοι πρέπει να είναι σύμφωνοι με την πολιτική και τους στόχους του ΣΔΑΠ. Οι στόχοι εξαρτώνται κυρίως από: τους κινδύνους του οργανισμού, τις απαιτήσεις ασφαλείας του οργανισμού, τις απαιτήσεις του προτύπου από τον οργανισμό. 9 Τμήμα Ψηφιακών Συστημάτων
10
Plan: Οργάνωση του προγράμματος… Βασικότερο σημείο: η επιλογή του προσώπου που θα «τρέξει» τον έλεγχο (“make the team”). Το πρόγραμμα εμφανίζει εξάρτηση από: το μέγεθος και τη φύση του ελεγχόμενου οργανισμού τη λειτουργικότητα, πολυπλοκότητα και ωριμότητα του ΣΔΑΠ. Περαιτέρω εξαρτήσεις του προγράμματος: Πολυπλοκότητα ΠΣ, τοποθεσίες προς έλεγχο, Διαφοροποιήσεις συστημάτων ΣΔΑΠ & ΠΣ σε τοποθεσίες, αριθμός εργαζομένων. 10 Τμήμα Ψηφιακών Συστημάτων
11
…Plan: Οργάνωση του προγράμματος Εντοπισμός των κινδύνων αντιμετωπίζει ο έλεγχος: Πόροι, αρχεία ελέγχων, ωριμότητα ομάδας ΣΔΑΠ κ.ά. Καθορισμός των διαδικασιών με τις οποίες θα γίνει: ο έλεγχος (ομάδα, αρμοδιότητες κλπ), η διασφάλιση της εμπιστευτικότητας των πληροφοριών που θα γίνουν γνωστές και των αποτελεσμάτων του ελέγχου, η παρουσίαση των αποτελεσμάτων. Ο καθορισμός των πόρων (οικονομικών) είναι το τελευταίο αλλά σημαντικό βήμα και λαμβάνει υπόψη όλες τις απαιτήσεις του προγράμματος ελέγχου. 11 Τμήμα Ψηφιακών Συστημάτων
12
Διεργασία διαχείρισης προγράμματος ελέγχων 12 Τμήμα Ψηφιακών Συστημάτων
13
Do: Αξιολόγηση ελεγκτών Τα μέλη της ομάδας καθορίζονται από τον υπεύθυνο του ελέγχου. Είναι πολύ πιθανό να υπάρχουν κι εμπειρογνώμονες. Όσοι συμμετείχαν στο σχεδιασμό των στόχων ασφάλειας είναι προτιμότερο να μην συμμετέχουν στον έλεγχο. Ενδέχεται οι ελεγκτές να χρειαστούν άδεια πρόσβασης σε στοιχεία του ελέγχου. Η κλήση εξωτερικών ελεγκτών (συμβούλων) θα βοηθήσει να αποφευχθούν περιπτώσεις όπου το προσωπικό δυσκολεύεται να είναι αμερόληπτο. 13 Τμήμα Ψηφιακών Συστημάτων
14
Do: Εκτέλεση ελέγχου… Οι ελεγκτές χρειάζεται να επιβεβαιώσουν ότι: Η εκτίμηση & διαχείριση του κινδύνου συνδέεται άμεσα με τις δραστηριότητες του οργανισμού, Οτιδήποτε δεν βρίσκεται μέσα στη δήλωση εφαρμογής του ΣΔΑΠ, μπορεί να αντιμετωπιστεί από αυτό. Οι μέθοδοι ελέγχου μπορεί να είναι με ή χωρίς επικοινωνία μεταξύ του ελεγκτή και υπαλλήλων του οργανισμού. Οι μέθοδοι επιλέγονται από τον υπεύθυνο του ελέγχου και συνήθως περιλαμβάνουν και τους δύο τρόπους. 14 Τμήμα Ψηφιακών Συστημάτων
15
…Do: Εκτέλεση ελέγχου 15 Τμήμα Ψηφιακών Συστημάτων Επικοινωνία ελεγκτή - ελεγχόμενου Θέση ελεγκτ ἠ Επί τόπουΜακράν Επικοινωνία μεταξύ ανθρώπων Συνεντεύξεις Συμπλήρωση ερωτηματολογίων με τη συμμετοχή του ελεγχόμενου Δειγματοληψία Με μέσα διαδραστικής επικοινωνίας: o Συνεντεύξεις o Συμπλήρωση ερωτηματολογίων o Επιθεώρηση εγγράφων με συμμετοχή του ελεγχόμενου Χωρίς επικοινωνία μεταξύ ανθρώπων Επιθεώρηση εγγράφων Παρατήρηση εργασιών Επί τόπου επίσκεψη Συμπλήρωση καταλόγων ελέγχου (checklists) Δειγματοληψία Επιθεώρηση εγγράφων Παρατήρηση εργασιών με τεχνολογικά μέσα Ανάλυση δεδομένων
16
Διεργασία διαχείρισης προγράμματος ελέγχων 16 Τμήμα Ψηφιακών Συστημάτων
17
C & A: Παρακολούθηση & Βελτίωση Κατά την παρακολούθηση του ελέγχου αξιολογούνται οι επιδόσεις των ελεγκτών, τα χρονοδιαγράμματα, οι δυνατότητες των ομάδων ελέγχου στην εκτέλεση του προγράμματος, κ.ά. Στη βελτίωση, ο υπεύθυνος ελέγχου αξιολογεί τον τρόπο, χρόνο και τα αποτελέσματα που έβγαλε ο έλεγχος καθώς και τυχόν ανάγκη για ενημέρωση – κατάρτιση των ελεγκτών σε νέα θέματα. 17 Τμήμα Ψηφιακών Συστημάτων
18
Διεργασία ελέγχου Η συλλογή τεκμηρίων βασίζεται στη φιλοσοφία 3E: Exist : υπάρχει σχέδιο Execute: το σχέδιο έχει υλοποιηθεί και εκτελείται Effectiveness: λειτουργεί αποτελεσματικά Η διαδικασία αποτελείται από 5 βασικά στάδια και ένα προαιρετικό. 18 Τμήμα Ψηφιακών Συστημάτων
19
Διαδικασία ελέγχου 19 Τμήμα Ψηφιακών Συστημάτων
20
Εκκίνηση ελέγχου & Επιθεώρηση εγγράφων Η εκκίνηση λαμβάνει χώρα στην έδρα των ελεγκτών. Αρχική επικοινωνία, Γλώσσα διεξαγωγής, Στοιχεία μη διαθέσιμα, Η Επιθεώρηση (1 ο μέρος) γίνεται στην έδρα των ελεγκτών. Αρχικά έγγραφα και τεκμήρια του ΣΔΑΠ Πολιτική, Μητρώο αγαθών, διαδικασίες κλπ Σχεδιάζεται το πλάνο ελέγχου Προκύπτει προκαταρτική έκθεση ελέγχου. 20 Τμήμα Ψηφιακών Συστημάτων
21
Διεξαγωγή ελέγχου Γίνεται στις εγκαταστάσεις του ελεγχόμενου οργανισμού. Στη συνάντηση : κοινοποιείται ολόκληρο το συμφωνηθέν πλάνο, κοινοποιούνται η ομάδα, ρόλοι και αρμοδιότητες, συγκεντρώνονται τα ευρήματα ελέγχου, διαμορφώνονται τα συμπεράσματα, Τελική συνάντηση αποτελεσμάτων 21 Τμήμα Ψηφιακών Συστημάτων
22
Διεξαγωγή ελέγχου Σκοπός η επιβεβαίωση ότι ο οργανισμός συμμορφώνεται με: τις πολιτικές, τους στόχους, τις διαδικασίες. Το ΣΔΑΠ συμμορφώνεται με τις απαιτήσεις του προτύπου και επιτυγχάνει τους τιθέμενους στόχους. Προκύπτουν τα αντικειμενικά ευρήματα του ελέγχου τα οποία είναι τα σημεία συμμόρφωσης ή μη συμμόρφωσης του οργανισμού με το ΣΔΑΠ ή το πρότυπο 22 Τμήμα Ψηφιακών Συστημάτων
23
Διαδικασία ελέγχου 23 Τμήμα Ψηφιακών Συστημάτων
24
Διαμόρφωση Έκθεσης Ελέγχου Λαμβάνει χώρα στην έδρα των ελεγκτών. Συμμετέχει ολόκληρη η ομάδα όπου λαμβάνονται υπόψη όλα τα ευρήματα, επικυρώνεται η έκθεση κι αποστέλλεται στον ελεγχόμενο οργανισμό. Τα σημεία που χρειάζονται άμεση βελτίωση είναι τα σημεία μη-συμμόρφωσης (ή ασυμμορφίας) καθώς υποδεικνύουν την αδυναμία του ΣΔΑΠ να επιτύχει τους στόχους του. 24 Τμήμα Ψηφιακών Συστημάτων
25
Διαμόρφωση Έκθεσης Ελέγχου Ασυμμορφία χωρίζεται σε: Μείζων (major) Απουσία ή ολική αποτυχία ενός συστήματος να επιτύχει μια απαίτηση του ΣΔΑΠ σύμφωνα με το πρότυπο. Ελάσσων (minor) η αποτυχία ενός τμήματος του τεκμηριωμένου ΣΔΑΠ του οργανισμού σε σχέση με το πρότυπο ή ένα ή περισσότερα σφάλματα που παρατηρήθηκαν στην υλοποίηση μίας προδιαγραφής του ΣΔΑΠ. 25 Τμήμα Ψηφιακών Συστημάτων
26
Ολοκλήρωση ελέγχου Ο έλεγχος ολοκληρώνεται όταν εκπληρωθούν όλες οι προγραμματισμένες δραστηριότητες. Τα τεκμήρια συνήθως διατηρούνται ως αποδεικτικό στοιχείο του ελέγχου. Ενδέχεται να καταστρέφονται εάν έτσι προβλέπεται στη σύμβαση ελέγχου (σπάνιες περιπτώσεις). Τα αποτελέσματα και η Έκθεση αποτελούν εμπιστευτικές πληροφορίες οι οποίες δεν πρέπει να διαρρέουν σε τρίτο πρόσωπο χωρίς τη ρητή άδεια του διατάκτη του ελέγχου. 26 Τμήμα Ψηφιακών Συστημάτων
27
Ολοκλήρωση ελέγχου Σε περίπτωση που απαιτείται αποκάλυψη των αποτελεσμάτων πρέπει να ειδοποιείται άμεσα ο διατάκτης και ο ελεγχόμενος. Η απόφαση για την πιστοποίηση του οργανισμού μπορεί να είναι: Παροχή πιστοποίησης, Παροχή πιστοποίησης μετά από αντιμετώπιση των ασυμμορφιών και έλεγχο αυτών, Επανάληψη μερικού ελέγχου (για εκτεταμένα ευρήματα), Επανάληψη πλήρους ελέγχου (μετά από διορθωτικές ενέργειες) 27 Τμήμα Ψηφιακών Συστημάτων
28
Περιοχές ελέγχου Ο έλεγχος του ΣΔΑΠ επικεντρώνεται σε 9 περιοχές. Πεδίο εφαρμογής του ΣΔΑΠ, Π.Α. & Στρατηγική εκτίμησης κινδύνου. Risk Assessment & Risk Management Επιλογή στόχων των μέτρων ασφάλειας Υλοποίηση και λειτουργία του ΣΔΑΠ Παρακολούθηση και επανεξέταση του ΣΔΑΠ Συντήρηση και βελτίωση του ΣΔΑΠ Τεκμηρίωση του ΣΔΑΠ Καθήκοντα της διοίκησης Εσωτερικοί έλεγχοι και επανεξέταση του ΣΔΑΠ από τη διοίκηση 28 Τμήμα Ψηφιακών Συστημάτων
29
29 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!
Παρόμοιες παρουσιάσεις
© 2024 SlidePlayer.gr Inc.
All rights reserved.