Skip to main content
Home
Home
 
 

Vi ste: 

Banka

---------------------------------------------------------------------

Revizija informacijskih sustava

Pri reviziji informacijskih sustava auditor definira glavne komponente i namjenu aplikacije kako bi  ispravno definirao područja i stupnjeve potrebnih kontrola. Definiraju se glavni rizici kojima je sustav izložen i procjenjuju mjere zaštite. Provjeravaju se postojeće procedure i njihova primjena u praksi. Analizira se infrastruktura i operacije. Ovisno o cilju procjene provjeravaju se: kapacitet hardverskih komponenti, patch management, change management, način administracije baze, pristup sustavu - fizički i logički. Rezultat ove procjene je izvješće o općem stanju sustava, njegovoj sposobnosti da zadovolji specificirane zahtjeve - koji mogu ići do same verifikacije izlaznih rezultata te npr. forenzike - ovisno o definiranim ciljevima procjene.

Tehnička procjena informacijske sigurnosti  

U današnjem se poslovanju firme sve više oslanjaju na elektroničku obradu podataka kao jedan od ključnih faktora ubrzanja poslovnih procesa te izvora novih mogućnosti. Isto tako, moderno poslovanje sve manje primjenjuje tradicionalne oblike razmjene podataka sa kupcem i partnerom te se i u ovom segmentu oslanja na elektroničke medije kao učinkovitije i fleksibilnije rješenje. Iako se koriste s najboljom namjerom sustavi automatske obrade podataka i komunikacije često su meta napada jer su oni izvor velike količine informacija. Obzirom da su navedeni sustavi sve kompleksniji i sve povezaniji vrlo je teško nadzirati utjecaje pojedinih promjena jednog dijela sustava na ostatak sustava. Tehnička procjena sustava ili dijela sustava omogućiti će Vam objektivan pogled na trenutnu eksponiranost sustava prema poznatim tehničkim ranjivostima. Pri procjeni sigurnosti informacijskog sustava analizira se ranjivost sustava u terminima gubitka/izmjene podataka sustava, njegove smanjene dostupnosti ili otkrivanja podataka koju su klasificirani kao povjerljivi. Procjenjuje se organizacijska potpora, fizička i logička sigurnost, operativne procedure, status hardvera itd. Ovisno o dogovorenom opsegu procjene mogu se koristiti i pomoćni alati u skladu s pravilima etičkog hackinga.  Rezultat ove usluge je izvješće s prepoznatim prijetnjama na informacijski sustav, ranjivostima sustava, rizicima ukoliko prijetnja eksploatira ranjivost te preporuke za unaprjeđenje.

Brzo pozicioniranje banke prema Odluci HNB-a o primjerenom upravljanju informacijskim sustavom

U srpnju 2007  Hrvatska narodna banka je donijela Odluku o primjerenom upravljanju informacijskim sustavom. NAvedenom Odlukom se uređuju zahtjevi Hrvatske narodne banke koji se odnose na upravljanje informacijskim sustavom banaka (uključujući i stambene štedionice). Odluka stupa na snagu 1. siječnja 2008, osim odredbi nekih članaka koje stupaju na snagu: 1. srpnja 2008., 1. siječnja 2009., 1. siječnja 2010., dok cijela odluka postaje obavezna 1. srpnja 2010. Koliko su adekvatne vaše upravljačke, logičke i fizičke kontrole? Još važnije - da li zadovoljavaju obaveze proizašle iz Odluke. Trilix nudi uslugu ocjene stanja  vašeg informacijskog sustava odnosno stupanj usklađenosti s Odlukom. Na osnovu ovog izvješća se mogu raditi daljnji akcijski planovi koji će biti usklađeni s terminima stupanja na snagu članaka odluke

Usklađenost s Odlukom HNB-a o primjerenom upravljanju informacijskim sustavom

Odlukom  o primjerenom upravljanju informacijskim sustavom se uređuju zahtjevi Hrvatske narodne banke koji se odnose na  upravljanje informacijskim sustavom banaka (uključujući i stambene štedionice). Odluka je podijeljena na 11 područja, od kojih 8 sadrži članke koji opisuju što Banka treba zadovoljiti.  Ta područja su:

  • Okvir za upravljanje informacijskim sustavom
  • Upravljanje rizikom informacijskog sustava
  • Unutarnja revizija
  • Sigurnost informacijskog sustava
  • Održavanje informacijskog sustava
  • Upravljanje kontinuitetom poslovanja
  • Razvoj informacijskog sustava i eksternalizacija
  • Elektroničko bankarstvo

Trilix nudi uslugu dizajna sustava koji će zadovoljavati propisane zahtjeve, te  metodologiju nadzora tog sustava. Također Trilix izrađuje potrebnu dokumentaciju, te daje tehničke preporuke za implementaciju. Pri izradi plana implementacije vođen je vremenom stupanja na snagu pojedinih članaka odluke. Sa svojom mrežom partnera može provesti i tehničku implementaciju propisanih rješenja.

Održavanje informacijskog sustava usklađenog s Odlukom HNB-a o primjerenom upravljanju informacijskim sustavom

Odluka HNB-a o primjerenom upravljanju informacijskim sustavom u koracima od po 6 mjeseci stavlja zahtjeve na Banke. Međutim neke od aktivnosti koje Odluka propisuje su kontinuirane kao npr: procjena dobavljača, provedba analize rizika, usklađivanje dokumentacije... Nove prijetnje i novi sustavi mijenjaju analize rizika samim time je potreban i novi prijedlog mjera. Trilix nudi cijeli set usluga koji Vam omogućava da budete usklađeni s regulativom HNB-a, a da istovremeno imate učinkovit informacijski sustav

Procjena rizika eksternalizacije

Nastojanjem da se smanje troškovi poslovanja te potreba za visokom razinom usluga i vrlo visokom stručnom osposobljenošću zaposlenika često nameću potrebu da banke eksternaliziraju poslovne procese (ili dio poslovnih procesa) te da se koriste uslugama pružatelja usluga kako bi ostvarile svoje strateške ciljeve. Sukladno Odluci Hrvatske narodne banke: Prije donošenja odluke o eksternalizaciji (dijela) informacijskog sustava banka je dužna procijeniti rizik eksternalizacije. U Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika se navodi da pri procjeni rizika vezanog uz eksternalizaciju aktivnosti vezanih uz informacijski sustav banka bi trebala procijeniti sljedeće:

  •  mogućnost pružatelja usluga da osigura pružanje usluga u skladu sa strateškim ciljevima i poslovnim potrebama banke,
  •  pouzdanost, ekonomsku održivost i sposobnost pružatelja usluga,
  • način na koji će banka nadzirati pružanje usluga,
  • adekvatnost stručnog osoblja u banci, odnosno je li ono u stanju provoditi kvalitetan nadzor nad pružateljem usluga i na adekvatan način upravljati odnosom s pružateljem usluga,
  • važnost, opseg i složenost (dijelova) poslovnih procesa koji su predmet eksternalizacije,
  • mogućnost "vraćanja" u banku (engl. reinsourcing) aktivnosti vezanih uz informacijski sustav koje će se eksternalizirati, za slučaj da pružatelj usluga ne postupa u skladu s odredbama ugovora ili ne održava ugovorenu kvalitetu pružene usluge.

Kako bi banka to uspjela preporuča se  dubinsko ispitivanje pružatelja usluga pri njegovu odabiru i osobita se pozornost posvećuje ugovoru s pružateljem usluga. Trilix nudi provedbu procjene rizika eksternalizacije za sve eksternalizirane sustave, te dubinske procjena dobavljača te uspostavu kontinuiranog nadzora dobavljača.

Brzo pozicioniranje organizacije prema ISO/IEC 27001

Sustav upravljanja informacijskom sigurnošću pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske imovinu i zaposlenike. Sustav upravljanja sigurnošću informacija je isto tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske, kupčeve i pravne obveze.
Ova usluga omogućiti će Vam da dobijete objektivnu ocjenu zrelosti sustava za upravljanje informacijskom sigurnošću vaše kompanije u ključnim točkama standarda - BC/DR, organizacijska sigurnost, fizička i logička sigurnost, kontrola pristupa, upravljanje operacijama itd. Usluga isporučuje kvalitetan set informacija u prethodno navedenim područjima, a u vrlo kratkom vremenu te može služiti za detaljnije definiranje potreba kako bi se sustav unaprijedio.

Uspostava sustava upravljanja informacijskom sigurnošću (ISO/IEC 27001/27002)

Sustav upravljanja informacijskom sigurnošću pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske imovinu i zaposlenike.
Sustav upravljanja sigurnošću informacija je isto tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske, kupčeve i pravne obveze.

Dobrobiti koje proizlaze iz sustavnog upravljanja informacijskom sigurnošću su:

  • Pouzdanost programskih rješenja koja se koriste
  • Povjerenje kupca u sigurnost informacijske imovine nad kojom nema fizički nadzor
  • Osiguravanje zakonskih preduvjeta (HR podaci)
  • Marketinški efekti
  • Financijski i vremenski kritična raspoloživost usluge
  • Ugovori koji uređuju intelektualno  vlasništvo, mitigaciju rizika,  repatrijaciju sustava, kvalitetu usluge itd.

Trilix nudi konzultantske usluge pri uspostavi sustava prema normi ISO/IEC 27001:2005. Također nudi djelomične uspostave pojedinih zahtjeva navedene norme koristeći se znanjima baziranim na najboljim praksama, dugogodišnjem iskustvu a slijedeće preporuke iz standarda ISO/IEC 27002 (ISO/IEC17799:2005.)

Održavanje sustava upravljanja informacijskom sigurnošću (ISO/IEC 27001/27002)

Ukoliko ste uspostavili Sustav upravljanja informacijskom sigurnošću svjesni ste da je potreban kontinuirano održavanje sustav i njegovo unaprjeđenje. Za procjenu takvog sustava su potrebne tehničke vještine i poznavanje novih prijetnji i ranjivosti u svijetu informacijske sigurnosti. Trilix nudi uslugu provedbe internih procjena, procjenu tehničke usklađenosti ( penetracijski testovi, revizija informacijskih sustava) te usklađivanje postojeće dokumentacije. Također Trilix nudi uslugu provedbe analize rizika te izradu prijedloga mjera ovisno o prihvatljivoj razini rizika. Trilix će Vam pomoći i pri pripremi uprave za provjeru eksternih auditora te pri samom kontaktu i komunikaciji s auditorima tijekom godišnje provjere ili recertifikacije.

Brzo pozicioniranje sustava u sposobnosti uspostave neprekinutog poslovanja

Gotovo 1 od 5 kompanija pretrpi nekakav veći prekid poslovanja. Kako opstati nakon toga? Opstati ne znači samo preživjeti – već ne doživjeti velike gubitke. Često su spominjane velike krize poput 9/11, Barings, Enron,  no više štete nastaje svakodnevnim incidentima tzv. Tihim katastrofama - koji se obično ignoriraju poput krađa, ljudskih grešaka, gubitaka u proizvodnji, loših investicija, itd... i ti gubici se u većini slučajeva podcjenjuju, a iznosi su prema nekim podacima i do 8 milijardi dolara godišnje. Da li ste uspostavili proces upravljanja kontinuitetom poslovanja, da li vaša analiza utjecaja na poslovanje bazirana na tome što je kritično za ostvarenje poslovnog kontinuiteta, da li su planovi reakcije na incidente  koji mogu uzrokovati prekid poslovanja testirani… Da li ste koristili najbolje prakse (BCI, BS 7799) pri uspostavi svog sustava? Trilix nudi  objektivnu ocjena sustava za upravljanje kontinuitetom poslovanja prema dobrim praksama i normi BS-25999 pri kojoj procjenjuje stupanj usklađenosti prema svim segmentima upravljanja.

Upravljanje neprekinutošću poslovanja

Upravljanje kontinuitetom poslovanja je proces  kojime se identificiraju potencijalne prijetnje i njihov učinak na poslovne operacije ukoliko se prijetnje dogode. Upravljanje kontinuitetom poslovanja daje radni okvir pri stvaranju mjera kojima se povećava otpornost organizacije. Pomoću tih mjera povećava se mogućnost efektivnog odgovora u kriznim situacijama, a sve u cilju očuvanja interesa zainteresiranih strana, imidža poslovanja i oporavka iz kriznih situacija. Primarni interes upravljanja kontinuitetom poslovanja je briga o otpornosti na svim razinama i može se implementirati i parcijalno (na nivou odjela, funkcije, lokacije i sl.). Posebna pažnja pri tome, posvećuje se kreiranju otpornosti na neželjene događaje kroz cijelu kompaniju omogućavajući tako oporavak od značajnih gubitaka kao što su djelomični ili cjeloviti gubitak operacija.Glavna korist od Upravljanja kontinuitetom poslovanja jest sigurnost da organizacija ima odgovor na događaje koji prijete njenom opstanku. Neke organizacije imaju zakonske ili regulatorne obveze po pitanju kontinuiteta poslovanja. Ipak, primarni razlog za uvođenje upravljanja kontinuitetom poslovanja jest činjenica da Upravljanje kontinuitetom poslovanja daje dodatnu vrijednost organizaciji te proizvodima i uslugama koje organizacija pruža. Provođenjem temeljnih procesa Upravljanja kontinuitetom poslovanja kao što su Analiza poslovnog utjecaja i Vježbe plana oporavka može se dodatno identificirati neefikasne dijelove poslovanja ili se fokusirati na dijelove poslovanja koji inicijalno nisu prepoznati kao bitni.

Kontinuirano upravljanje neprekinutošću poslovanja

Upravljanje kontinuitetom poslovanja je proces  koji  ostaje dio svakidašnjeg poslovanja- uklopljen kao jedan od procesa koji dodaju vrijednost, sa svim razvijenim ulogama, budžetom itd.  Reakcije na incidente, praćenje novih prijetnji, praćenje unaprjeđenja poslovanja - su kontinuirani zahtjevi  na proces upravljanja kontinuitetom poslovanja. trilix nudi set usluga kako bi Vam pomogao u efikasnom upravljanju: provodimo procjene usklađenosti sustava s najboljim praksama - i na osnovu njih radimo akcijske planove implementacije, testiramo postojeće planove - dokumentacijski, table test, simulacija te provjera u situacijama), procjenjujemo tehničku pripremljenost (IT sustava), te na osnovu analize rizika i analize utjecaja na poslovanje predlažemo unaprjeđenja.

Plan neprekinutosti poslovanja

Tijekom uspostave upravljanja neprekinutošću poslovanja preporuke su za uspostavom 3 tipa planova:
Planovi neprekinutosti poslovanja - unutar kojih se alociraju uloge i odgovornosti, pravila kako riješiti komunikacije – interne i eksterne, dobavljače, hitne službe, mediji itd,
Planovi i riješenja u upravljanju resursima – opisuju tehnička rješenja, osiguranje radne okoline, arhive podataka, energija, telefoni te ljudi, i
Planovi upravljanja u kriznim situacijama – koji opisuju kako reagirati u kriznim situacijama te  kako smanjiti utjecaj krize.
Trilix nudi uslugu izrade planova upravljanja neprekinutošću poslovanja za pojedine IT sustave  te DRPa kao dio pojedinih planova. Nakon izrade Trilix sudjeluje s Klijentom u implementacijom plana, izrađuje planove testiranja kontinuiteta poslovanja, sudjeluje u testiranju, izrađuje izvješća o testiranjima te izradi prijedloga poboljšanja planova.

Plan oporavka nakon nesreće

U današnjem svijetu poslovanja informacija je najvažnija imovina svake firme. Obzirom na značajnu ulogu IT-a pri čuvanju i obradi podataka te centralizaciji sustava koji te informacije procesiraju vrlo je važno razmišljati o katastrofama tj. potencijalnim prekidima u pristupu podacima te o mogućem oporavku od katastrofa ( disaster recovery). Nerijetko se dešava da nisu katastrofalni događaji oni koji uzrokuju pokretanje DR plana, već se dešava da je nedostupnost informacija uzrokovana nizom "malih" događaja. Planiranje DR rješenja omogućava Vam da se pripremite za takve neželjene situacije bez obzira na njihov uzrok. Oko 90 posto tvrtki koje nisu imale implementirane mehanizme DR/BC u vrijeme katastrofe, prema statističkim podacima, prekinule su s poslovanjem unutar 18 mjeseci. Osim gubitka podataka, troškovi se povećavaju i zbog posljedica na poslovanje uzrokovanih gubitkom podataka (pad dionica tvrtke, oslabljena produktivnost zaposlenika, nemogućnost pružanja usluga klijentima itd.).

Usluga djelomične (ili potpune) eksternalizacije uloge CISO 

Uslugom eksternalizacije voditelja sigurnosti informacijskog sustava Trilix omogućuje stručnu pomoć pri upravljanju sigurnošću informacijskog sustava. Kroz uslugu eksternalizacije voditelja sigurnosti informacijskog sustava Klijent ostvaruje niz benefita. Benefiti se mogu klasificirati u dvije osnovne skupine: stručne i financijske. Benefit korištenja eksternaliziranog voditelja sigurnosti informacijskog sustava poduzeća Trilix, u stručnom pogledu, jest osiguranje da posao obavlja kvalificirana osoba, sa potrebnim znanjima te dugogodišnjim iskustvom u upravljanju sigurnošću velikih informacijskih sustava. Isto tako, obzirom na međunarodno priznate certifikate (CISM) i zahtjeve istih za kontinuiranom edukacijom, Klijent je siguran da eksternalizirani voditelj informacijske sigurnosti konstantno nadograđuje svoja znanja i vještine prateći najnovije trendove u sigurnosti informacija i sigurnosti informacijskih sustava. Financijski benefit za Klijenta je primarno u činjenici da eksternalizirani voditelj informacijske sigurnosti predstavlja fiksni odnosno predvidivi trošak koji se angažira sukladno dogovorenim uvjetima i/ili po potrebi. Obzirom na cijenu rada stručnjaka za informacijsku sigurnost, zapošljavanje adekvatnog djelatnika predstavljalo bi značajan trošak Klijentu. Trenutno stanje informacijskog sustava i zadovoljenje sigurnosti istoga ne zahtijeva dediciranog djelatnika za navedene poslove, te takav djelatnik i njegova znanja ne bi bila adekvatno korištena. Ništa manje važno je i činjenica da Klijent u slučaju eksternalizacije nema brigu o skrivenim troškovima djelatnika poput edukacije, troška prostora i pripadajuće infrastrukture za rad (računalo, mobitel, trošak telefoniranja i sl.). Model eksternalizacije CISSO-a (ili dijela funkcije) se sastoji od dva dijela: inicijalne uspostave i kontinuiranog servisa koji se odvija na lokaciji Klijenta ili udaljenim pristupom. Pri inicijalnoj uspostavi definiraju se organizacijske uloge i odgovornosti, te se  izrađuju potrebne, a nepostojeće procedure (ukoliko ih ima). Također se implementiraju procesi kao npr. Incident managment i provode se procjene informacijskih sustava (tehnički). Kontinuirani servis (on i off site) je usluga dogovarana u pravilnim vremenskim periodima, ili na pojavu incidenta i sastoji se od provjere provedbe procesa, pripreme i izrade izvješća, te izrade prijedloga daljnjih koraka.

Organizacijska usklađenost s propisima

Ovom uslugom Banka dobije procjenu stupnja svoje usklađenosti s zakonima i odlukama HNB-a te zakonom o bankama u domeni organizacijskih uloga. Rezultat usluge su uparene obaveznih uloga propisanih od HNB-a sa organizacijskom strukturom Banke i organizacijskim ulogama. Također se radi opis potrebnih, nedostajućih organizacijskih uloga, te preporuke za uspostavu istih. Na ovaj način se postiže sigurnost pri provjeri HNB-e glede postojanja svih zahtijevanih uloga, čime se dokazuje i postojanje zahtijevanih procesa.

Analiza utjecaja na poslovanje 

Analiza utjecaja na poslovanje određuje utjecaj neraspoloživosti pojedinih poslovnih procesa odnosno resursa informacijskog sustava potrebnih za odvijanje tih procesa na poslovanje kompanije. Trilix nudi uslugu cjelovite analize utjecaja na poslovanje ili provedbu pojedinih faza analize kao samostalnih projekata. Analiza se po Trilixovoj metodologiji započinje Identifikacijom poslovnih procesa i njihovom klasifikacijom obzirom na njihovu kritičnost i/ili vitalnost, te se zatim provodi identifikacija resursa informacijskog sustava potrebnih za odvijanje poslovnih  procesa, utvrđuje njihovih međuovisnosti te povezanosti s drugim informacijskim sustavima. Utvrđuju se prioriteti oporavka poslovnih procesa, te RTO i RPO, i određuju organizacijske odgovornosti.

Audit usklađenosti s normom  ISO/IEC 19770-1 

Upravljanje softverskom imovinom (Software Asset Management – SAM) je dio upravljanja informacijskom imovinom i korespondira sa procesima upravljanja promjenama, upravljanje incidentima, upravljanjem otpisom imovine itd. ISO/IEC 19770-1 je standard koja propisuje dobre  prakse u upravljanju softverskom imovinom. Dobre prakse u SAMu bi trebale rezultirati koristima kao što su:
• Smanjenje rizika prekida ili smanjenja kvalitete IT servisa
• Smanjenje troškova softvera i povezanih sredstava
• Smanjenje rizika od zakonskih prekršaja
• Smanjenje troškova zbog bolje pregovaračke pozicije s dobavljačima
• Kompetitivna prednost zbog povećane sposobnosti implementacije novih softvera.
Audit obuhvaća procjenu usklađenosti tvrtke sa preporukama danim u poglavlju 4 SAM processes norme ISO/IEC 19770. Sama metodologija audita je bazirana na COBIT-u, dok se za provedbu audita koriste ISACA IS auditing standards.
Prijedlozi unaprjeđenja su bazirani na najboljim praksama kao što su ISO/IEC 27001, ISO/IEC 27002 (bivša 17799), COSO, COBIT  te ostalim stručnim standardima. Procjena obuhvaća pregled dokumentacije, intervjue s djelatnicima, te uvid u informacijske sustave, informacijsku infrastrukturu i načine osiguranja funkcioniranja pojedinih procesa.

LMS - Centralizirana edukacija djelatnika kroz portalsko rješenje 

LMS (Learning Management System) je centralizirano portalsko rješenje koje će korisniku pružiti edukacijsko okruženje zavisno o razini edukacije koju njegova pozicija u tvrtki zahtijeva, potpuno neovisno o njegovoj fizičkoj lokaciji. Ukoliko Vam je potreban učinkovit sustav edukacije kroz portalsko rješenje, Trilix-ov LMS sustav je pravi izbor za Vas. LMS upoznaje korisnike s internim aktima, razvija i održava znanja i vještine korisnika, unaprjeđuje svijest o potrebi zaštite resursa informacijskog sustava te potiče razvoj postojećih i usvajanje novih znanja korisnika čime doprinosi održavanju funkcionalnosti i sigurnosti informacijskog sustava, a ujedno je sukladan regulativi i internim aktima tvrtke. Također, bitno je naglasiti kako je LMS edukacijski model sukladan člancima 26. i 7. Odluke HNB-a o primjerenom upravljanju informacijskim sustavom. Čl. 26. glasi: „Banka je dužna osigurati primjerenu i kontinuiranu izobrazbu svih zaposlenika banke koji se koriste informacijskim sustavom“, a čl. 7 kaže slijedeće: „Uprava banke dužna je osigurati da svi korisnici informacijskog sustava budu upoznati s internim aktima vezanima uz informacijski sustav ili njihovim sadržajem u skladu s dodijeljenim ovlaštenjima te potrebama korisnika informacijskog sustava“. LMS edukacijski model isto tako sukladan je člancima 60. i 61. Uredbe o mjerama informacijske sigurnosti. Čl. 60. glasi: „Svi korisnici informacijskog sustava upoznat će se sa sigurnosnim pravilima i posljedicama nepridržavanja istih.“, a čl. 61. kaže slijedeće: „Sa svim korisnicima informacijskog sustava, ovisno o vlastitim zaduženjima i odgovornostima provodi se redovito i pravovremeno educiranje o sigurnosnim aspektima uporabe informacijskog sustava.“ Prednosti učenja kroz LMS su: sadržaj prilagođen pojedincu i njemu potrebnom znanju o informacijskom sustavu, sustav uloga koje omogućuju da se edukacija pruži ciljanoj organizacijskoj grupi, praćenje statusa provedenih edukacija pojedinca ili organizacijske grupe, jedinstveno ažuriranje i nadopuna sadržaja te dostupnost edukacijskog sadržaja 24 x 7 x 365. LMS je kreiran od strane Trilix-ovih konzultanata koji već postojeća znanja i procedure u sustavu banke objedinjuju na centralno mjesto i dodaju mu novu funkcionalnost, a standardizirane komponente koje čine LMS povezuju učenje s postojećim informacijskim sustavom.(više...)

Usluga djelomične (ili potpune) eksternalizacije uloge CISO 

Uslugom eksternalizacije voditelja sigurnosti informacijskog sustava Trilix omogućuje stručnu pomoć pri upravljanju sigurnošću informacijskog sustava. Kroz uslugu eksternalizacije voditelja sigurnosti informacijskog sustava Klijent ostvaruje niz benefita. Benefiti se mogu klasificirati u dvije osnovne skupine: stručne i financijske. Benefit korištenja eksternaliziranog voditelja sigurnosti informacijskog sustava poduzeća Trilix, u stručnom pogledu, jest osiguranje da posao obavlja kvalificirana osoba, sa potrebnim znanjima te dugogodišnjim iskustvom u upravljanju sigurnošću velikih informacijskih sustava. Isto tako, obzirom na međunarodno priznate certifikate (CISM) i zahtjeve istih za kontinuiranom edukacijom, Klijent je siguran da eksternalizirani voditelj informacijske sigurnosti konstantno nadograđuje svoja znanja i vještine prateći najnovije trendove u sigurnosti informacija i sigurnosti informacijskih sustava. Financijski benefit za Klijenta je primarno u činjenici da eksternalizirani voditelj informacijske sigurnosti predstavlja fiksni odnosno predvidivi trošak koji se angažira sukladno dogovorenim uvjetima i/ili po potrebi. Obzirom na cijenu rada stručnjaka za informacijsku sigurnost, zapošljavanje adekvatnog djelatnika predstavljalo bi značajan trošak Klijentu. Trenutno stanje informacijskog sustava i zadovoljenje sigurnosti istoga ne zahtijeva dediciranog djelatnika za navedene poslove, te takav djelatnik i njegova znanja ne bi bila adekvatno korištena. Ništa manje važno je i činjenica da Klijent u slučaju eksternalizacije nema brigu o skrivenim troškovima djelatnika poput edukacije, troška prostora i pripadajuće infrastrukture za rad (računalo, mobitel, trošak telefoniranja i sl.). Model eksternalizacije CISSO-a (ili dijela funkcije) se sastoji od dva dijela: inicijalne uspostave i kontinuiranog servisa koji se odvija na lokaciji Klijenta ili udaljenim pristupom. Pri inicijalnoj uspostavi definiraju se organizacijske uloge i odgovornosti, te se  izrađuju potrebne, a nepostojeće procedure (ukoliko ih ima). Također se implementiraju procesi kao npr. Incident managment i provode se procjene informacijskih sustava (tehnički). Kontinuirani servis (on i off site) je usluga dogovarana u pravilnim vremenskim periodima, ili na pojavu incidenta i sastoji se od provjere provedbe procesa, pripreme i izrade izvješća, te izrade prijedloga daljnjih koraka.

Usluga unutarnje revizije

Pravilnik o uvjetima za objavljenje poslova ovlaštenog društva je propisao regulativu za informacijski sustav. Ovom uslugom se uspostavljaju procedure, politike i tehničke kontrole koje ispunjavaju zahtjeve dane Pravilnikom i drugim aktima HANFE. Također se radi prijedlog tehničkih kontrole zahtijevane regulativom te potrebne organizacijske uloge (prijedlog nominacija). Uspostavom ovakvog sustava ovlašteno društvo ima sigurnost pri provjeri HANFE-e glede postojanja svih zahtijevanih procesa, procedura te tehničkih kontrola te stabilan i siguran informacijski sustav.

 
 
 
 
             
Copyright (c) 2007 Trilix d.o.o.