Usklađenost s regulativom
---------------------------------------------------------------------
Uspostava sustava upravljanja informacijskom sigurnošću (ISO/IEC 27001/27002)
Sustav upravljanja informacijskom sigurnošću pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske imovinu i zaposlenike.
Sustav upravljanja sigurnošću informacija je isto tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske, kupčeve i pravne obveze.
Dobrobiti koje proizlaze iz sustavnog upravljanja informacijskom sigurnošću su:
- Pouzdanost programskih rješenja koja se koriste
- Povjerenje kupca u sigurnost informacijske imovine nad kojom nema fizički nadzor
- Osiguravanje zakonskih preduvjeta (HR podaci)
- Marketinški efekti
- Financijski i vremenski kritična raspoloživost usluge
- Ugovori koji uređuju intelektualno vlasništvo, mitigaciju rizika, repatrijaciju sustava, kvalitetu usluge itd.
Trilix nudi konzultantske usluge pri uspostavi sustava prema normi ISO/IEC 27001:2005. Također nudi djelomične uspostave pojedinih zahtjeva navedene norme koristeći se znanjima baziranim na najboljim praksama, dugogodišnjem iskustvu a slijedeće preporuke iz standarda ISO/IEC 27002 (ISO/IEC17799:2005.)
Uspostava sustava za upravljanje kvalitetom (ISO 9001)
Posjedovanje ISO 9001 certifikata više nije prednost nego nužnost organizacije. Korištenje mehanizma propisanog normom unutar kojeg se prepoznaju nesukladni proizvodi, propisuje što raditi u takvim situacijama ( odatle i naziv - upravljanje kvalitetom), a istovremeno imati sustav koji će preventivno djelovati da se takve stvari ne dogode i korektivno da se otkloni uzrok takvih situacija. ISO 9001 je norma okrenuta maksimizaciji profita kroz rješavanje organizacijskih problema, a ne na račun smanjenja kvalitete proizvoda. Trilix nudi konzultantske usluge koje su bazirane na analizi rizika i orijentirane unaprjeđenju poslovanja koristeći cost- benefit analize. Također ovako izgrađen sustav kvalitete ima postavljene temelje za kasnije implementacije unaprjeđenja poslovnih procesa, uspostave sustava sigurnosti informacija itd.
Uspostava sustava upravljanja informacijama za tijela državne uprave koji je usklađen sa zakonom
U Hrvatskoj postoji nekoliko zakona koji propisuju postupanje s informacijama. najjasnije propisuje u Zakonu o zaštiti osobnih podataka (NN 103/03). Naime, u članku 4 dotičnog zakona definirano je da se zakon primjenjuje na sve zbirke osobnih podataka u Republici Hrvatskoj, a u članku 18 definira zahtjeve za sigurnost informacija u zbirkama osobnih podataka među ostalim traži se da budu "odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa." Uredbom o mjerama zaštite koja je proizašla iz ovog zakona direktno se poziva na standard za informacijsku sigurnost ISO/IEC 17799. (27002). Zakon o zaštiti na radu (NN 59/96) u članku 61 propisuje slijedeće: “Poslodavac je dužan utvrditi plan evakuacije i spašavanja za slučaj izvanrednog događaja..." - ovo su zakoni koji se odnose na sve tvrtke. Za tijela državne uprave je propisan Zakon o tajnosti podataka i ZAkon o informacijskoj sigurnosti koji se primjenjuju na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave te na pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke. Trilix nudi uslugu provjere usklađenosti sa navedenim zakonima. Također nudi i dizajn i implementaciju potrebnih internih akata i tehničkih rješenja potrebnioh da se uskladite s navedenim zakonima.
Usklađenost s Odlukom HNB-a o primjerenom upravljanju informacijskim sustavom
Odlukom o primjerenom upravljanju informacijskim sustavom se uređuju zahtjevi Hrvatske narodne banke koji se odnose na upravljanje informacijskim sustavom banaka (uključujući i stambene štedionice). Odluka je podijeljena na 11 područja, od kojih 8 sadrži članke koji opisuju što Banka treba zadovoljiti. Ta područja su:
- Okvir za upravljanje informacijskim sustavom
- Upravljanje rizikom informacijskog sustava
- Unutarnja revizija
- Sigurnost informacijskog sustava
- Održavanje informacijskog sustava
- Upravljanje kontinuitetom poslovanja
- Razvoj informacijskog sustava i eksternalizacija
- Elektroničko bankarstvo
Trilix nudi uslugu dizajna sustava koji će zadovoljavati propisane zahtjeve, te metodologiju nadzora tog sustava. Također Trilix izrađuje potrebnu dokumentaciju, te daje tehničke preporuke za implementaciju. Pri izradi plana implementacije vođen je vremenom stupanja na snagu pojedinih članaka odluke. Sa svojom mrežom partnera može provesti i tehničku implementaciju propisanih rješenja.
Uspostava sustava koji je usklađen sa regulativom HANFE u domeni informacijskih sustava - investicijski fondovi
Pravilnik kojim se uređuje poslovanje društva za upravljanje investicijskim fondovima je propisao regulativu za informacijski sustav. Ovom uslugom se uspostavljaju procedure, politike i tehničke kontrole koje ispunjavaju zahtjeve dane Pravilnikom i drugim aktima HANFE. Također se radi prijedlog tehničkih kontrole zahtijevane regulativom te potrebne organizacijske uloge (prijedlog nominacija). Uspostavom ovakvog sustava investicijski fond ima sigurnost pri provjeri HANFE-e glede postojanja svih zahtijevanih procesa, procedura te tehničkih kontrola te stabilan i siguran informacijski sustav.
Uspostava sustava koji je usklađen sa regulativom HANFE u domeni informacijskih sustava – ovlaštena društva
Pravilnik o uvjetima za objavljenje poslova ovlaštenog društva je propisao regulativu za informacijski sustav. Ovom uslugom se uspostavljaju procedure, politike i tehničke kontrole koje ispunjavaju zahtjeve dane Pravilnikom i drugim aktima HANFE. Također se radi prijedlog tehničkih kontrole zahtijevane regulativom te potrebne organizacijske uloge (prijedlog nominacija). Uspostavom ovakvog sustava ovlašteno društvo ima sigurnost pri provjeri HANFE-e glede postojanja svih zahtijevanih procesa, procedura te tehničkih kontrola te stabilan i siguran informacijski sustav.
Procjena rizika eksternalizacije (outsourcing)
Nastojanjem da se smanje troškovi poslovanja te potreba za visokom razinom usluga i vrlo visokom stručnom osposobljenošću zaposlenika često nameću potrebu da banke eksternaliziraju poslovne procese (ili dio poslovnih procesa) te da se koriste uslugama pružatelja usluga kako bi ostvarile svoje strateške ciljeve. Sukladno Odluci Hrvatske narodne banke: Prije donošenja odluke o eksternalizaciji (dijela) informacijskog sustava banka je dužna procijeniti rizik eksternalizacije. U Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika se navodi da pri procjeni rizika vezanog uz eksternalizaciju aktivnosti vezanih uz informacijski sustav banka bi trebala procijeniti sljedeće:
• mogućnost pružatelja usluga da osigura pružanje usluga u skladu sa strateškim ciljevima i poslovnim potrebama banke,
• pouzdanost, ekonomsku održivost i sposobnost pružatelja usluga,
• način na koji će banka nadzirati pružanje usluga,
• adekvatnost stručnog osoblja u banci, odnosno je li ono u stanju provoditi kvalitetan nadzor nad pružateljem usluga i na adekvatan način upravljati odnosom s pružateljem usluga,
• važnost, opseg i složenost (dijelova) poslovnih procesa koji su predmet eksternalizacije,
• mogućnost "vraćanja" u banku (engl. reinsourcing) aktivnosti vezanih uz informacijski sustav koje će se eksternalizirati, za slučaj da pružatelj usluga ne postupa u skladu s odredbama ugovora ili ne održava ugovorenu kvalitetu pružene usluge.
Kako bi banka to uspjela preporuča se dubinsko ispitivanje pružatelja usluga pri njegovu odabiru i osobita se pozornost posvećuje ugovoru s pružateljem usluga. Trilix nudi provedbu procjene rizika eksternalizacije za sve eksternalizirane sustave, te dubinske procjena dobavljača te uspostavu kontinuiranog nadzora dobavljača.
Procjena usklađenosti sa zahtjevima propisanim zakonima i odlukama HNB-a te zakona o bankama u domeni organizacijskih uloga
Ovom uslugom Banka dobije procjenu stupnja svoje usklađenosti s zakonima i odlukama HNB-a te zakonom o bankama u domeni organizacijskih uloga. Rezultat usluge su uparene obaveznih uloga propisanih od HNB-a sa organizacijskom strukturom Banke i organizacijskim ulogama. Također se radi opis potrebnih, nedostajućih organizacijskih uloga, te preporuke za uspostavu istih. Na ovaj način se postiže sigurnost pri provjeri HNB-e glede postojanja svih zahtijevanih uloga, čime se dokazuje i postojanje zahtijevanih procesa.
Usklađivanje sa regulativom HANFA-e u domeni informacijskih sustava – osiguravajuća društva
Pravilnik o uvjetima za objavljenje poslova osiguravajućeg društva je propisao regulativu za informacijski sustav. Ovom uslugom se uspostavljaju procedure, politike i tehničke kontrole koje ispunjavaju zahtjeve dane Pravilnikom i drugim aktima HANFE. Također se radi prijedlog tehničkih kontrole zahtijevane regulativom te potrebne organizacijske uloge (prijedlog nominacija). Uspostavom ovakvog sustava osiguravajuće društvo ima sigurnost pri provjeri HANFE-e glede postojanja svih zahtijevanih procesa, procedura te tehničkih kontrola te stabilan i siguran informacijski sustav.
Usklađivanje sa Smjernicama za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika za kreditne unije
U studenom 2008 HNB je izdala Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika za kreditne unije. Cilj je Smjernica za ovladavanje rizikom informacijskog sustava u kreditnim unijama upoznati kreditne unije sa stavom Hrvatske narodne banke u svezi s postupcima koje bi kreditna unija trebala napraviti kako bi ovladala rizikom informacijskog sustava. Smjernice razrađuju područja koja su bitna za ovladavanje rizikom informacijskog sustava kreditne unije te daju prikaz očekivanja u skladu s kojima će Hrvatska narodna banka u izravnim nadzorima informacijskih sustava kreditnih unija obavljati procjenu stanja informacijskih sustava kreditnih unija te rizika informacijskog sustava kojem su kreditne unije izložene. Trilix nudi cjelovitu uslugu pružanja usluge informacijskog sustava i njegove dokumentacije koja će biti usklađena sa Smjernicama , a u cilju upravljanja rizikom Kreditne unije.
Usluga djelomične (ili potpune) eksternalizacije uloge CISO
Uslugom eksternalizacije voditelja sigurnosti informacijskog sustava Trilix omogućuje stručnu pomoć pri upravljanju sigurnošću informacijskog sustava. Kroz uslugu eksternalizacije voditelja sigurnosti informacijskog sustava Klijent ostvaruje niz benefita. Benefiti se mogu klasificirati u dvije osnovne skupine: stručne i financijske. Benefit korištenja eksternaliziranog voditelja sigurnosti informacijskog sustava poduzeća Trilix, u stručnom pogledu, jest osiguranje da posao obavlja kvalificirana osoba, sa potrebnim znanjima te dugogodišnjim iskustvom u upravljanju sigurnošću velikih informacijskih sustava. Isto tako, obzirom na međunarodno priznate certifikate (CISM) i zahtjeve istih za kontinuiranom edukacijom, Klijent je siguran da eksternalizirani voditelj informacijske sigurnosti konstantno nadograđuje svoja znanja i vještine prateći najnovije trendove u sigurnosti informacija i sigurnosti informacijskih sustava. Financijski benefit za Klijenta je primarno u činjenici da eksternalizirani voditelj informacijske sigurnosti predstavlja fiksni odnosno predvidivi trošak koji se angažira sukladno dogovorenim uvjetima i/ili po potrebi. Obzirom na cijenu rada stručnjaka za informacijsku sigurnost, zapošljavanje adekvatnog djelatnika predstavljalo bi značajan trošak Klijentu. Trenutno stanje informacijskog sustava i zadovoljenje sigurnosti istoga ne zahtijeva dediciranog djelatnika za navedene poslove, te takav djelatnik i njegova znanja ne bi bila adekvatno korištena. Ništa manje važno je i činjenica da Klijent u slučaju eksternalizacije nema brigu o skrivenim troškovima djelatnika poput edukacije, troška prostora i pripadajuće infrastrukture za rad (računalo, mobitel, trošak telefoniranja i sl.). Model eksternalizacije CISSO-a (ili dijela funkcije) se sastoji od dva dijela: inicijalne uspostave i kontinuiranog servisa koji se odvija na lokaciji Klijenta ili udaljenim pristupom. Pri inicijalnoj uspostavi definiraju se organizacijske uloge i odgovornosti, te se izrađuju potrebne, a nepostojeće procedure (ukoliko ih ima). Također se implementiraju procesi kao npr. Incident managment i provode se procjene informacijskih sustava (tehnički). Kontinuirani servis (on i off site) je usluga dogovarana u pravilnim vremenskim periodima, ili na pojavu incidenta i sastoji se od provjere provedbe procesa, pripreme i izrade izvješća, te izrade prijedloga daljnjih koraka.
LMS - Centralizirana edukacija djelatnika kroz portalsko rješenje
Trilix sustav za edukaciju (Trilix LMS) je centralizirani sustav baziran na web tehnologijama koji korisnicima daje dostup do edukacijskog okruženja primjerenog radnom mjestu odnosno opsegu edukacije koji je korisniku potreban. S obzirom da je baziran na međunarodno prihvaćenim standardima te posebno web tehnologiji, dostup do samog sustav moguć je bez potrebe za većim zahvatima na korisničkim računalima. Sve radnje na sustavu provode se kroz ranije spomenuto web sučelje.
Korištenjem elektroničkog sustava za edukaciju izbjegava se značajan skup problema i prepreka u odnosu na klasičan način održavanja edukacije. Kod provođenja klasične edukacije svi sudionici edukacije moraju biti na istom mjestu u isto vrijeme te moraju slušati isti sadržaj. Redovito se edukacija odvija na, za pojedine sudionike, udaljenom mjestu što rezultira odsutnošću djelatnika sa radnog mjesta. Korištenjem elektroničkog sustava za edukaciju osigurava se raspoloživost sadržaja svim sudionicima edukacije bez obzira kojoj organizacijskoj jedinici pripadaju odnosno bez obzira na njihovu geografsku lokaciju. Upravljanje edukacijskim materijalima i grupama korisnika koji se educiraju izvodi se preko naprednog sučelja te ne zahtijeva dodatne logističke napore. Svim sudionicima procesa edukacije se informacije o novim edukacijskim sadržajima ili edukacijskim planovima mogu dostaviti kroz sustav odnosno kroz E-mail. Ukoliko Vam je potreban učinkovit sustav edukacije kroz portalsko rješenje, Trilix-ov LMS sustav je pravi izbor za Vas.(više...)