1 / 35

Eksploatacja zasobów informatycznych przedsiębiorstwa

Eksploatacja zasobów informatycznych przedsiębiorstwa. Planowanie systemu informacyjnego w przedsiębiorstwie. Audyt i ocena zasobów. Audyt systemu informacyjnego. Proces gromadzenia informacji na temat funkcjonowania i zasobów komputerowych Przegląd, kontrola i wykrywanie działań bezprawnych

teresa
Télécharger la présentation

Eksploatacja zasobów informatycznych przedsiębiorstwa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Eksploatacja zasobów informatycznych przedsiębiorstwa

  2. Planowanie systemu informacyjnego w przedsiębiorstwie Audyt i ocena zasobów

  3. Audyt systemu informacyjnego • Procesgromadzenia informacji na temat funkcjonowania i zasobów komputerowych • Przegląd, kontrola i wykrywanie działań bezprawnych • Proces, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych a ustalonymi kryteriami [Bruce, Dempsey 1997]

  4. Kroki postępowania w procesie kontrolnym • Ustalenie stanu obowiązującego (wzorce kontrolne), • Ustalenie stanu rzeczywistego, • Porównanie stanu rzeczywistego ze stanem pożądanym, • Badanie przyczyn, źródeł i warunków, które wywołały odchylenia, • Wskazanie dróg usprawnienia, • Wykorzystanie pozytywnych rozwiązań dla usprawnienia podobnych działań w innych komórkach organizacyjnych.

  5. Porównywanie • Stanu środków z ewidencją, • Czynności z zapisami, • Wykonania zadań z obowiązującymi przepisami, • Zachowań z ustalonymi i unormowanymi zachowaniami, • Wartości cech zjawisk z ustaleniami i normami.

  6. Uzasadnienie przeprowadzenia audytu informatycznego • Ze względu na wysokie koszty systemu, • W celu rozpoznania ogólnego poziomu zabezpieczeń w przedsiębiorstwie, • W celu wpajania zdyscyplinowanego podejścia do zabezpieczeń, • W celu ułatwienia identyfikacji aplikacji i systemów krytycznych.

  7. Zakres audytu • Dane, • Oprogramowanie, • Procedury, • Technika informatyczna, • Personel działu informatycznego, • Dokumentacja.

  8. Poziomy prowadzenia audytów • Zalecenia: ISACF (Information Systems Audit and Control Foundation): • Poziom I – zadań, które generują mierzalne efekty, • Poziom II – procesów (serii połączonych zadań), • Poziom III – domeny obejmujące grupy procesów.

  9. Domeny funkcjonalne • Planowanie strategii informatyzacji, • Akwizycja i wprowadzanie rozwiązań techniki informatycznej, • Dostarczanie i instalowanie systemów, • Monitorowanie systemów i ocena zastosowań techniki informatycznej.

  10. Techniki przeprowadzania audytów • Testy zgodności – dla weryfikacji poprawnego wykonania procedur przetwarzania lub procesów rejestracji danych, • Testy uzasadniające – dla analizy rzeczywistych danych.

  11. Kontrola typowych procedur • Wykorzystania oprogramowania i praw autorskich, • Zakupu oprogramowania, • Instalowania oprogramowania, • Przeprowadzania szkoleń, • Indywidualnego wykorzystania oprogramowania, • Wymiany i likwidacji oprogramowania.

  12. Audyt jako narzędzie identyfikacji finansów IT • Elementów (aktywów) systemów informacyjnych, które są użyteczne, przydatne i w pełni funkcjonalne, • Elementów, które są niezbędne, ale wykorzystywane są poniżej standardu i wymagają częściowej odnowy, • Elementów, które stanowią nadwyżki i muszą być usunięte, • Brakujących elementów, które muszą zostać zakupione.

  13. Cechy poprawnych audytów • Stosowność, • Bezstronność, • Obiektywizm oceny, • Powtarzalność, • Niezależność: • Od audytowanego podmiotu, • Od zespołu odpowiedzialnego za system, • Od decydenta/sponsora informatyzacji.

  14. Inwentaryzacja oprogramowania • Wykorzystywane oprogramowanie, • Oprogramowanie kluczowe w przedsiębiorstwie, • Zarządzanie licencjami, • Procesy doskonalenia (zakupów, wymiany, itp.) wykorzystywanego oprogramowania, • Zabezpieczenia, autoryzacja itd.

  15. Inwentaryzacja oprogramowania - przykład • Krok 1 – klasyfikacja oprogramowania: • Oprogramowanie wspomagające procesy biznesowe, • Oprogramowanie systemowe i narzędziowe, • Krok 2 – opis oprogramowania: • Szczegółowy opis głównych aplikacji: producent, zastosowanie, funkcjonalność, informacje techniczne, • Opis zastosowania biznesowych aplikacji dodatkowych, • Zestawienie oprogramowania systemowego i narzędziowego, • Krok 3 – zarządzanie licencjami: • Zestawienie ilości posiadanych licencji oprogramowania z podziałem zgodnym z klasyfikacją, • Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.

  16. Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o oprogramowaniu

  17. Inwentaryzacja oprogramowania - przykład cd. Systemy operacyjne użytkowane w przedsiębiorstwie: • Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows NT 4.0 Serwer, • Stacje robocze: Windows XP Professional, Windows NT 4.0, Używane oprogramowanie narzędziowe: • Check Point SecurePlatform – firewall VPN, • 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z internetu, • Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie filtrujące przeciwwirusowe, • Trend Micro ScanMail Suite dla Microsoft Exchange – oprogramowanie przeciwwirusowe dla MS Exchange, • Computer Associates InOculateIT (e-Trust) – oprogramowanie przeciwwirusowe dla komputerów użytkowników, • Veritas Backup – oprogramowanie do wykonywania zapasowych kopii danych.

  18. Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o posiadanych licencjach

  19. Inwentaryzacja sprzętu • Użytkowany sprzęt: • Serwery, • Stacje robocze, • Drukarki, • Urządzenia pomocnicze, • Infrastruktura: • Urządzenia sieciowe, • Okablowanie, • Urządzenia pomocnicze.

  20. Inwentaryzacja sprzętu - przykład • Podstawowe informacje o serwerach Wszystkie serwery zbudowane są w technologii rack mount. Większość wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz), ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów łączu SCSI w technologii hot-swap, w najważniejszych serwerach dyski w macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję błędów (ECC). • Podstawowe informacje o stacjach roboczych Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%), pozostałe stacje bardzo zróżnicowane, • Informacje o urządzeniach dodatkowych Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery atramentowe HP.

  21. Inwentaryzacja sprzętu - przykład cd. Przykładowe zestawienie informacji o wykorzystywanym sprzęcie

  22. Ocena • Organizacyjna • Techniczna

  23. Kryteria oceny organizacyjnej • Funkcjonalność, Opisuje stopień pokrycia (funkcjonalnego) przez system procesów w przedsiębiorstwie, • Nowoczesność, Opisuje aktualność zastosowanych rozwiązań technicznych i organizacyjnych, • Dopasowaniedo potrzeb, Opisuje stopień dopasowania wielkości i jakości systemu do potrzeb przedsiębiorstwa, • Ekonomiczność, Opisuje w jakim stopniu opłacalne jest eksploatowanie systemu.

  24. Funkcjonalność • Czy w przedsiębiorstwie funkcjonują wszystkie potrzebne podsystemy (moduły)? • Czy w ramach poszczególnych modułów realizowane są wszystkie potrzebne funkcje? • Czy występuje nadmiarowość funkcjonalna?

  25. Nowoczesność (aktualność) • Czy funkcjonujące w przedsiębiorstwie podsystemy są zgodne z uznawanymi standardami? • Czy występuje konieczność uaktualnienia któregoś z modułów? • Czy występuje konieczność unowocześnienia całego systemu? • Czy stosowane są nowoczesne technologie?

  26. Dopasowanie do potrzeb • Czy wykorzystywane systemy są odpowiedniej „wielkości”? • Czy wykorzystuje się systemy odpowiedniej klasy? • Czy któryś z modułów stwarza wyjątkowe trudności w eksploatacji? • Czy stosowane są odpowiednie technologie?

  27. Ekonomiczność • Zagadnienie bardzo skomplikowane, wielokryterialne. Wiele podejść i metod oceny. • Osobno ocenia się zakup i wdrożenie modułów (lub całego systemu). • Osobno ocenia się koszty bieżącej eksploatacji. • Ocenia się również koszty dodatkowe. • Poświęcone będą osobne zajęcia.

  28. Ocena techniczna • Ocena wykorzystywanego oprogramowania, • Ocena programistyczna, • Ocena zabezpieczeń, • Ocena ergonomiczna, • Ocena wykorzystania sprzętu • Testy wydajnościowe (najczęściej serwerów), • Kontrola i testowanie stacji roboczych, • Ocena zabezpieczeń sprzętowych, • Analiza ruchu sieciowego i obciążeń serwerów.

  29. Powiązania pomiędzy systemami (podsystemami) • Powiązania logiczne, • Powiązania fizyczne, • Powiązania pomiędzy serwerami, • Powiązania pomiędzy serwerami a stacjami roboczymi, • Powiązania z sieciami zewnętrznymi.

  30. Schematy powiązań • Logicznych: • Przepływy danych, • Komunikacja pomiędzy serwerami, • Fizycznych: • Komputery, • Połączenia sieciowe (okablowanie, gniazda, itd.) • Urządzenia sieciowe (przełączniki, routery, modemy, itd.)

  31. Schematy powiązań - przykład • Przepływ danych

  32. Schematy– przykład cd. • Komunikacja pomiędzy serwerami:

  33. Zestawienia - przykład • Transfer danych związany z backupem: • Transfer danych:

  34. Analiza obciążeń serwerów • Obciążenie: • procesorów, • pamięci RAM, • pamięci dyskowej, • kart sieciowych. • Często używa się specjalistycznego oprogramowania • Przykład: program MRTG - Multi Route Traffic Generator, • Działanie programu polega na pobieraniu statystyk z usługi SNMP (Simple Network Management Protocol) o stanie sieci oraz innych zasobów serwera i na ich podstawie tworzeniu statystyk i wykresów.

  35. Analiza obciążeń serwerów - przykład • Obciążenie procesora: • Obciążenie pamięci RAM:

More Related