Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)
Katedra za razvoj informacijskih sustava
NN
1. semestar
Osnovne informacijemdi-information-variantIzvođači nastavemdi-account-groupNastavni plan i programmdi-clipboard-text-outlineModel praćenjamdi-human-male-boardIspitni rokovimdi-clipboard-check-outlineRasporedmdi-calendar-clockKonzultacijemdi-account-voice
Cilj predmeta jest upoznati se s ključnim pojmovima, konceptima, normama, metodama i alatima iz područja Revizije i kontrole informacijskih sustava te ukazati na potrebu primjene ove discipline u praksi i njen značaj za svaki poslovni sustav. Cilj je da studenti nauče prepoznati probleme ovog područja te ovladaju metodama njihovog rješavanja, posebno kako provesti reviziju i kontrolu najznačajnijih komponenti informacijskog sustava.
Tema 1 IT Governance kao koncept korištenja IT-a. Razvoj zrelosti korištenja IT-a. Prerastanje „nižih“ koncepata, kao što su ITIM (IT Infrastructure Management) i ITSM (IT Service Management) u IT Governance. IT Governance kao koncept korištenja IT-a. Potreba za ovim konceptom. EDC (Evaluate, Direct, Control) ciklus IT Governance-a. Modeli IT Governance-a: ISO 38500, ITIL, COBIT i drugi modeli korporativnog upravljanja. Učinci primjene koncepta IT Governance-a. Strateško upravljanje IT-em. Ostvarenje poslovnih benefita putem IT-a. Upravljanje poslovnim rizicima zbog IT-a. Optimizacije IT resursa.
Tema 2 COBIT (Control of Objectives and Related Technology in IT) kao model revizije IS-a. Namjena i korisnici COBIT-a. Ustrojstvo, ciljevi, principi i način korištenja COBIT-a. Procesi domene EDM (Evaluate, Direct, Monitor). Procesi domene APO (Align, Plan, Organize). Procesi domene BAI (Build, Acquire, Implement). Procesi domene DSS (Delivery, Service, Support). Procesi domene MES (Monitor, Evaluate, Assess).
Tema 3 Potreba za revizijom i kontrolom IS-a kao dio IT Governance-a. Razlozi koji su doveli do nužnosti za revizijom i kontrolom IS-a. Analize slučajeva iz prakse. Međunarodni standardi i metode za postupke revizije i kontrole IS-a (ISACA, COBIT, COSO, SOX,ISO 27001, ISO 20000, ISO 22301 i dr.). Nacionalni propisi i norme za reviziju i kontrolu IS-a. Korisnici rezultata revizija i kontrola. Međunarodne asocijacije u ovom području (ISACA i dr.). Najbolja praksa za reviziju i kontrolu IS.
Tema 4 Proces revizije IS-a, potrebna znanja i odgovornosti. ISACA pristup reviziji i kontroli IS-a. ISACA standardi reviziji IS-a. Područja i vrste revizija i kontrola IS-a. Proces revizije IS-a. Potrebna znanja i odgovornost revizora. Zahtjevi za revizijom odgovornosti za IT – odgovornost korporativne razine, odgovornost razine izvršnog poslovodstva, odgovornost za IT na operativnoj razini.
Tema 5 Detaljni prikaz načina revizije nekih vitalnih područja IS-a: životnog ciklusa, poslovnih aplikacija, tehničke infrastrukture i baza podataka. Revizija planiranja poslovnih aplikacija, razvoja, nabave, implementacije i održavanja IS-a. Revizija aplikacijskih kontrola, revizija odnosa funkcija projektiranja, programiranja i održavanja aplikacija. Revizija strojne i mrežne opreme: poslužitelja, osobnih računala, sistemske i komunikacijske programske opreme, sustava za otkrivanje upada, vatrozidnih sustava. Revizija odnosa s dobavljačima. Revizija baza podataka: integriteta, pristupnih prava, nadzora korisničkog rada, visoke raspoloživosti, izrade rezervnih kopija, odnosa s operativnim sustavom, nadzora rada i oporavka baza podataka, izvještavanja itd. Prikazi različitih primjera. Pravni aspekti revizije IS-a- primjeri revizije ugovora između dobavljača i korisnika IT usluga.
Tema 6 Revizija sustava informacijske sigurnosti, sustava za upravljanje kontinuitetom poslovanja i rada kritičnih komponenti IS-a. Revizija politika i organizacije informacijske sigurnosti. Revizija upravljanja informacijskom imovinom. Revizija sigurnosti ljudskih resursa, fizičke sigurnosti i sigurnosti okruženja. Revizija komunikacija, operative i kontrola pristupa. Revizija upravljanja sigurnosnim incidentima i revizija sukladnosti. Revizija analize i procjene poslovnih rizika, te planova za prevenciju i oporavak. Revizija implementacije, testiranja i održavanja sustava za upravljanje kontinuitetom poslovanja. Revizija organizacijske strukture za upravljanje kontinuitetom poslovanja. Programska oprema za potporu upravljanju kontinuitetom poslovanja.
Tema 7 Analize podataka korištenjem računalno podržanih revizijskih alata (primjeri IDEA CAAT). Svrha uporabe takovih alata, područja primjene, uporaba statističkih i matematičkih funkcija, specijalizirane tehnike analize podataka (raslojavanje, otkrivanje praznina itd.), selekcija sumnjivih transakcija. Samostalan rad polaznika u računalskoj analizi nekih baza podataka korištenjem SQL upitnog jezika i QBE alata. Primjena Benford-ovog zakona u revizijskim postupcima.
Tema 8 Upravljanje razvojem zrelosti / sposobnosti iskorištenja IT potencijala u nekom poslovnom sustavu na osnovi postupaka revizija i kontrola IS-a. Načini osvješćivanja uprave, izvršnog menadžmenta, IT osoblja i korisnika o njihovim ulogama u iskorištenju IT potencijala u poslovnom sustavu. IT kao inovacijski potencijal.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Poznavati, razumjeti, odabrati i primijeniti standarde, metode, tehnike i alate za reviziju i kontrolu informacijskih sustava
Analizirati i prepoznavati razloge zbog kojih je nužno uspostavljati sustave revizije i kontrole informacijskih sustava kao i načine postupne izgradnje takvih sustava
Sintetizirati ii prezentirati programe uvođenja sustava revizije i kontrole informacijskih sustava u poslovanje
Vrednovati uspješnost uspostavljenog sustava revizije i kontrole informacijskih sustava u praksi
Ishodi učenja programa
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
Primijeniti iskustva dobre prakse prilikom dizajna i implementacije kontrola informacijske sigurnosti u razvoju i implementaciji interneta stvari
Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i implementacije IoT rješenja i usluga
Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti i zaštite privatnosti
Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka i programska rješenja za sigurno IoT okruženje
Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite IoT okruženja s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih sigurnosnih kontrola
Osnovna literatura
Krakar Z. i suradnici „Korporativna informacijska sigurnost, Fakultet organizacije i informatike Sveučilišta u Zagrebu i Zavod za informatiku Hrvatske, Varaždin, 2014.
M.Kozina: Neki aspekti IT menadžmenta u uvjetima digitalne ekonomije, Fakultetski udžbenik, FOI, Varaždin, 2017.
ISACA ITAF: A Professional Practices Framework for IS Audit/Assurance, 3rd Edition
COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012.
Dopunska literatura
CGEIT Certified in the Governance of Enterprise IT, Firebrand Custom Designd Courseware, 2015. Dostupno na http://www.firebrandtraining.co.uk/pdf/learn/isaca/isaca-crisc-courseware.pdf
ISO/IEC 38500 Information technology – Governance of IT for the organization, ISO, 2015. Dostupno na www.iso.org
Slični kolegiji
Redoviti studentiIzvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.