Internes Kontrollsystem in der IT

Transkript

1 Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved.

2 Neue Sicherheitsanforderungen durch SOX ENRON, WorldCom,... Sarbanes Oxley Act 404 Wirtschaftsprüfer Die Wirtschaftsprüfer fordern ein: Verlässliche Bilanz Integrität und Verfügbarkeit der Daten Aufzeichnungen (Logging) Physische Sicherheit Transparenz Unternehmen Internes Kontrollsystem (incl. IT) SOA 404 Management Testing Audit Seite 2 Sep 2007 M. Korthals

3 Neue Sicherheitsanforderungen durch EURO SOX 8. EU-Richtlinie Ziel: Umsetzung in nationales Recht bis 07/2007 Wirtschaftsprüfer Unternehmen Die Wirtschaftsprüfer fordern ein: Verlässliche Bilanz Integrität und Verfügbarkeit der Daten Aufzeichnungen (Logging) Physische Sicherheit Transparenz Internes Kontrollsystem (incl. IT) Audit (SAS 70 Reporting Level II vom Outsourcing Provider) IT Sicherheitskonzept Seite 3 Sep 2007 M. Korthals

4 General IT s Application Scope Asset Scope Responsibility Scope Risk Analysis IT Scope IT Issues Change Management Authentification Logging; Incident Management Backup Monitoring Documentation / Archiving Process Application Database Operating System Network Security Physical Security Tests / Audit / Reporting 120 SOA 404 IT s Siemens 50 SAS 70 IT s x 13 Customers Seite 4 Sep 2007 M. Korthals

5 Optimierung des Kontrollkonzeptes 102 SOA IT-s Process Database Operating System Application Infrastructure SAP CORE SAP HR NON SAP NON SAP ELIN SAP VAI NON SAP VAI 7 Seite 5 Sep 2007 M. Korthals

6 SOA 404 / IKS Rollenkonzept Auftrag Reporting Siemens CIO Siemens SOA Organisation Wirtschaftsprüfer Auditor Beauftragter Beratung, Moderation Application Owner (s. SISSI-DB) Tester jährl. Test, ext. Audit Owner Siemens IT Solutions and Services Operator Seite 6 Sep 2007 M. Korthals

7 Einführung und Review der IT-s Change Review Auftrag Entwurf Design Implementierung Operating Tests, Audit Grundlagen, Rollen und Funktionen CobiT, ITIL, BS7799; SOX Project Management Operator; SOX Project Management Owner; Operator; SOX Project Management Owner; Operator; Wirtschaftsprüfer; Level II SAS 70 Reporting; SOA 404 Deficiancy Reporting Seite 7 Sep 2007 M. Korthals

8 SOA 404 Management Testing Kick-off Termine machen Protokolle erstellen Prüfungen durchführen Dateneingabe ARIS Prüfung Beauftr. Tester Beauftr. Officer Operator; Tester Operator; Tester Tester; Ablage Achivierung Tester; ARIS Reporting Tool Beauftr.; ARIS Reporting Tool; Seite 8 Sep 2007 M. Korthals

9 Rollout GJ t GJ 2007 Mgmt. Test Mgmt. Test Change Management Logserver Scope; Design Implementierung 10 weitere Kunden Optimierung der Kontrollen GJ 2006 Scope; Design Implementierung ELIN & VAI Mgmt. Test SOA 404 SAS 70 Mgmt. Test GJ 2005 Consulting Scope; Design Implementierung Siemens Mgmt. Test Mgmt. Test Scope; Design Implementierung 3 Kunden Seite 9 Sep 2007 M. Korthals

10 Logserver - Anforderungen Zentrale Speicherung der Logdaten aus verschiedenen Systemen Erhöhte Absicherung des Speicherorts der Logfiles Minimierte Zugriffsrechte Sammlung von Daten aus verschiedenen Systemen (Windows, Unix) Konsolidierte Auswertung der Daten Standardisierter Output Funktionstrennung Seite 10 Sep 2007 M. Korthals

11 Architektur UNIX-Server Agent Agent Windows-Server SOA - Logserver Agent Andere Systeme Seite 11 Sep 2007 M. Korthals

12 Server-Aufbau Basisbetriebssystem Reports TT # Agents Reporting-Engine Auswertungs-Scripts Data Collecting Engine TT TT TT SQL Server Datenbank Datensicherung/-archivierung Seite 12 Sep 2007 M. Korthals

13 CONTACT Michael Korthals Security Management Consultant Siemens IT Solutions and Services +43 (51707) Seite 13 Sep 2007 M. Korthals