1

Organizacja

Czy obszar IT jest zarządzany wewnętrznie, czy przez firmę zewnętrzną?

obszar IT rozumiemy jako wszystkie działania związane z technologiami, np. z obsługą poczty e-mail, zarządzaniem stroną www, dostarczaniem i serwisem komputerów, telefonów (w tym mobilnych) oraz urządzeń przenośnych

1.1

Zarządzanie wewnętrzne

1.1.1

Czy jest wyznaczona osoba odpowiedzialna za funkcjonowanie obszaru IT?

1.1.2

Czy osoba odpowiedzialna za obszar IT jest umocowana odpowiednio wysoko w strukturze organizacyjnej?

co najmniej jako osoba raportująca do osoby bezpośrednio odpowiadającej przed członkiem Zarządu/Prezesem (tzw. N-2)

1.1.3

Czy uprawnienia osoby odpowiedzialnej za zarządzanie obszarem IT zostały formalnie określone (np. w postaci karty stanowiska pracy lub zapisów w umowie o pracę)?

1.1.4

Czy określono cele działalności obszaru IT (np. zapewnienie działania kluczowych dla firmy systemów, utrzymanie funkcjonalności komunikacyjnych, itp.)?

1.1.5

Czy został określony budżet dla inwestycji i bieżącego utrzymania obszaru IT?

1.1.6

Czy wprowadzono regularne (minimum półroczne) raportowanie do Zarządu przez osobę odpowiedzialną za obszar IT, obejmujące co najmniej stan obszaru, znaczące zmiany, które miały miejsce w danym okresie i plany na kolejny okres?

1.2

Zarządzanie przez firmę zewnętrzną

1.2.1

Czy zawarto formalną umowę na zarządzanie obszarem IT?

1.2.2

Czy umowa zawiera definicję poziomu świadczonych usług (SLA, Service Level Agreement)?

1.2.3

Czy umowa zawiera zapisy dotyczące kar umownych w przypadku dostarczania usług poniżej ustalonych w SLA poziomów?

1.2.4

Czy umowa zawiera zapisy dotyczące postępowania w przypadku utraty możliwości świadczenia usług zarządzania obszarem IT?

1.2.5

Czy umowa określa zasady postępowania w przypadku nieprzewidywalnych sytuacji losowych?

1.2.6

Czy suma ubezpieczenia firmy świadczącej usługę zarządzania obszarem IT pokrywa straty, które mogłyby dotknąć firmę w przypadku błędu bądź zaniedbania?

2

Procesy

przez formalną definicję procesu rozumiemy jakąkolwiek, obowiązującą w firmie, formę opisania i zakomunikowania w firmie ustalonych i powtarzalnych czynności

2.1

Czy są formalnie zdefiniowane procesy związane z zarządzaniem obszarem IT?

2.2

Czy jest formalnie zdefiniowany proces zarządzania mechanizmami bezpieczeństwa IT?

taki proces powinien obejmować konfigurację zapór sieciowych, routerów, systemów operacyjnych (komputerów, urządzeń mobilnych, serwerów), oprogramowania antywirusowego, itd.

2.3

Czy jest formalnie zdefiniowany proces zarządzania użytkownikami?

2.4

Czy jest formalnie zdefiniowany proces zarządzania uprawnieniami?

2.5

Czy są prowadzone okresowe przeglądy użytkowników?

2.6

Czy są prowadzone okresowe przeglądy uprawnień?

2.7

Czy zidentyfikowano możliwe konflikty uprawnień?

2.8

Czy zarządza się aktywnie zidentyfikowanymi konfliktami uprawnień?

2.9

Czy jest formalnie zdefiniowany proces zarządzania instalacjami nowego oprogramowania?

2.10

Czy jest formalnie zdefiniowany proces zarządzania aktualizacjami oprogramowania?

2.11

Czy jest formalnie zdefiniowany proces zarządzania licencjami oprogramowania?

2.12

Czy jest formalnie zdefiniowany proces tworzenia i rozwoju oprogramowania?

2.13

Czy jest formalnie zdefiniowany proces testowania nowego oprogramowania (niezależnie od tego, czy jest rozwijane własnymi siłami, czy też kupowane od firm zewnętrznych)?

2.14

Czy jest formalnie zdefiniowany proces tworzenia i testowania kopii zapasowych (backupów)?

2.15

Czy jest formalnie zdefiniowany proces odtwarzania systemów IT i/lub danych z kopii zapasowych?

2.16

Czy jest formalnie zdefiniowany proces postępowania w sytuacjach awaryjnych?

2.17

Czy jest formalnie zdefiniowany proces postępowania w przypadku wykrycia naruszenia zasad bądź mechanizmów zapewniających bezpieczeństwo systemów IT i/lub danych?

taki proces powinien uwzględniać

2.18

Czy jest formalnie zdefiniowany proces zarządzania urządzeniami (komputery stacjonarne, telefony, urządzenia mobilne, laptopy)?

2.19

Czy jest formalnie zdefiniowany proces zarządzania sprzętem wycofywanym z użycia?

2.20

Czy jest formalnie zdefiniowany proces zarządzania nośnikami danych wycofywanymi z użycia?

dotyczy zarówno trwałego usuwania danych z nośników, jak i fizycznego niszczenia tych nośników

2.21

Czy jest formalnie zdefiniowany proces monitorowania obszaru IT?

taki proces powinien obejmować regularne raportowanie, ścieżkę komunikacji w przypadku awarii lub sytuacji alarmowej

2.22

Czy jest formalnie zdefiniowany proces przeprowadzania regularnych audytów obszaru IT?

audyty powinny rotacyjnie i regularnie obejmować każdy istniejący w firmie proces z obszaru IT, z minimalną roczną częstotliwością

3

Polityki i procedury

3.1

Czy powstały formalne polityki i procedury dotyczące zarządzania obszarem IT?

takimi politykami (bądź procedurami) powinny w zasadzie być objęte wszystkie procesy z listy powyżej, dodatkowo zostały tu opisane mniej typowe dokumenty

3.2

Jeśli tak, to czy zostały one zakomunikowane odpowiednim grupom odbiorców (np. Polityka Bezpieczeństwa Systemów IT, która powinna być zakomunikowana wszystkim pracownikom)?

3.3

Jeśli nie, to w jaki sposób komunikuje się użytkownikom regulacje dotyczące obszaru IT?

3.4

Czy przewidziano szkolenia dla użytkowników z kluczowych procesów w obszarze IT (np. zasady bezpieczeństwa, zasady zgłaszania incydentów)?

3.5

Czy została opracowana polityka określająca możliwość (lub brak) wykorzystywania sprzętu służbowego do celów prywatnych (nawet w ograniczonym zakresie)?

3.6

Czy powstały i są utrzymywane szczegółowe procedury opisujące kroki w najważniejszych procesach w obszarze IT?

wymagane w sytuacjach, gdy dochodzi do rotacji personelu IT i nie ma możliwości przekazania wiedzy

4

Personel

4.1

Czy określono umiejętności i poziom doświadczenia wymagane na poszczególnych stanowiskach?

4.2

Czy dla osób pracujących w IT przewidziano szkolenia?

4.3

Czy wprowadzono podział obowiązków pomiędzy osobami pracującymi w obszarze IT?