Upravljanje ponudnikov storitev (outsourcing) na primeru

Report
Povzetek seminarskih nalog za pridobitev naziva PRIS, 2011/2012
UPRAVLJANJE PONUDNIKA STORITVE
HRAMBE DOKUMENTARNEGA GRADIVA
V ELEKTRONSKI OBLIKI
VKLJUČUJOČ PREGLED IT STORITVE HRAMBE
Robert Stražišar
Dokumentarno gradivo
•
•
•
•
•
•
•
Poslovni interes hranjenja
Zakonodaja (ZGD-1, ZDavP-2, ZDDV-2, ZBan-1, ZVDAGA, ZVOP-1)
Čas hrambe
Dokumentarni sistemi / dolgoročna hramba
Arhivsko gradivo
ZVDAGA / ETZ
Zahteve (dostopnost, uporabnost, celovitost, avtentičnost)
Zunanji izvajalci
•
•
•
•
•
Namen in cilji (dejavnosti, znanja, uspešnost, sredstva, fleksibilnost)
Razlogi (zahteve ZVDAGA / ETZ)
Interna metodologija (politike, navodila, standardi)
Proces (odločitev, izbor, priprava, pilot, prenos, tveganja, povratek)
SLA (storitve, nivo, komunikacija, kriteriji, pričakovanja, spremembe)
Storitve in tveganja
• Tveganja
• SLA
(storitve, nivo, odgovornosti, tehnologije, regulator, stroški, ugled)
(kakovost, motnje, kršitve, nivo, razpoložljivost, tehnologija, zahteve)
- Elementi (zakonske, cilji, storitve, merila, nivo)
- Upravljanje (spremembe, periodika, izboljšave)
- Zahteve (storitve, razpoložljivost, kapacitete, varnost, BCP)
- Kontrolne točke in merila (časi, zmogljivost)
- Tehnologija (infrastruktura, kontrole)
• Spremljanje in poročanje SLA
• Poročanje in obvladovanje incidentov (popisani, reševanje, vzroki, ukrepi)
• Ocena tveganosti zunanjega ponudnika
- Metodologija (proces, vsebina)
- Poročila (notranja, ponudnika)
- Vsebina (podatki, finančno, strateško, odvisnost, zadovoljstvo, tveganja)
- Ocena iz poznavanja posla / ponudnika
Zakonske podlage hrambe
• Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih
(ZVDAGA)
(ureja način, organizacijo, infrastrukturo in izvedbo zajema ter hrambe, veljavnost in dokazno vrednost)
• Uredba o varstvu dokumentarnega in arhivskega gradiva
(ureja delovanje in notranja pravila, registracijo in akreditacijo; NP določajo ravnanje in pravno veljavnost – naj bi
zagotavljala temeljna pravila ohranjanja uporabnosti, celovitosti, dostopnosti in avtentičnosti)
• Enotne tehnološke zahteve 2.0 (ETZ)
(podlaga za oblikovanje notranjih pravil, postopki zajema, metapodatki, obliko zapisa, tehnološka
sredstva)
• Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP)
– veljavnost elektronskega dokumenta in podpisa
• Zakon o varstvu osebnih podatkov (ZVOP-1) – omejitev rokov hranjenja
Zajem in hramba gradiva
Glede na zakonska določila moramo pri zajemu ali hrambi gradiva v digitalni obliki slediti
naslednjim fazam priprave oziroma organizacije zajema in hrambe:
•
priprava na zajem in hrambo (popis virov gradiva, priprava študije upravičenosti, priprava
študije izvedljivosti, priprava analize tveganj in ukrepov za njihovo zmanjševanje);
•
priprava in sprejem notranjih pravil za zajem in hrambo gradiva v digitalni obliki;
•
spremljanje izvajanja notranjih pravil in ukrepanje ob odstopanjih v skladu z notranjimi pravili
(notranji nadzor);
•
spremembe in dopolnitev notranjih pravil zaradi spremembe veljavnih predpisov,
tehnološkega napredka, spoznanj stroke ali ugotovitev pomanjkljivosti pri internem nadzoru.)
Zakonska veljavnost in dokazna
vrednost dokumentarnega gradiva
•
Na podlagi zakona: Na podlagi zakona se vsaka enota varno hranjenega gradiva v digitalni
obliki šteje za enako posamezni enoti izvirnega gradiva, če sta bila zajem in varna hramba
opravljena v skladu s pri državnem arhivu potrjenimi notranjimi pravili ter če drug zakon
izrecno ne določa drugače.
•
Na podlagi nepotrjenih notranjih pravil: Če oseba, ki varno hrani gradivo, dokaže, da varno
hrambo gradiva izvaja v skladu s svojimi notranjimi pravili ter da so ta pravila, čeprav niso
potrjena od državnega arhiva, v skladu z zahtevami zakona in na njegovi podlagi izdanimi
podzakonskimi predpisi ter enotnimi tehnološkimi zahtevami, se vsaka enota varno
hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega gradiva.
•
Po posameznem primeru: Če oseba, ki hrani gradivo, hrambe nima urejene z notranjimi
pravili, se enota hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega
gradiva, če izpolnjuje pogoje varne hrambe v enaki meri kot enota izvirnega gradiva.
To se uporablja tudi:
– v primeru hrambe v skladu z od nadzornega organa potrjenimi notranjimi pravili, če gre za
primer, ki ga pravila ne urejajo;
– v primeru, da oseba, ki hrani gradivo, ima notranja pravila, vendar v konkretnem primeru
hrambe teh pravil ni spoštovala.
Identificiranje tveganj in izbira
področja in obsega pregleda
iz pridobljenih podatkov v družbi
Iz letne ocene Izračun ocene tveganosti dobavitelja izhaja, da družba ocenjuje celotnega
dobavitelja in njegove storitve kot netvegane in je med drugim utemeljena s sledečim:
•
•
•
•
•
•
•
•
pri Arhivu Slovenije registriran ponudnik strojne, programske opreme, spremljevalnih
storitev in storitev e-hrambe,
ima potrjena notranja pravila za elektronsko hrambo in spremljevalne storitve,
ima akreditirano programsko opremo,
nudi storitve tudi drugim primerljivim družbam,
so bili opravljeni pregledi s strani drugih naročnikov in nadzornih organizacij, kjer ni bilo
ugotovljenih večjih nepravilnosti,
v Izračunu ocene tveganosti družbe je navedeno, da zakonska skladnost ponudnika
družbi zagotavlja, da so dokumenti, ki so predani na obdelavo in hrambo zajeti in
arhivirani skladno s predpisanimi standardi,
pooblaščenca za varovanje informacij in varstvo osebnih podatkov sta na osnovi
poslanega vprašalnika pripravila mnenje o ustreznosti informacijske varnosti zunanjega
izvajalca. Kot iz poročila sledi ni ugotovljenih večjih nepravilnsoti,
iz pridobljenih poročil SLA ni razvidno, da bi bili kakršni koli problemi.
Identificiranje tveganj in izbira
področja in obsega pregleda
iz pridobljenih podatkov iz uvodnega razgovora pri ponudniku
•
•
•
•
•
•
Prva verzija programska oprema ponudnika storitve je akreditirana. Verzija se je dograjevala,
akreditacija za novejše verzije se ni opravila.
Pregled programske opreme ni bil še nikoli izveden.
Na skupni programski opremi na kateri teče storitev se je na eni od funkcionalnosti zgodil
incident pri prehodu nove različice programske opreme v produkcijo. Družba o incidentu ni
bila obveščena, omenjene funkcionalnosti pa sicer sama ne uporablja.
Do sedaj pri ponudniku storitve še ni bilo izvedenega nobenega celovitega pregleda procesa
upravljanja hrambe dokumentarnega gradiva oziroma nadzora izvajanja notranjih pravil.
Družba je samo registrirana ne pa akreditirana za opravljanje storitev hrambe.
V prostorih ponudnika je bil opravljen pregled s strani nadzornika v sklopu pregleda
poslovanja druge družbe. Pregled je zajel fizično varovanje, edina večja ugotovljena
nepravilnost je bila odpravljena.
Pri ponudniku storitve je bil s strani druge družbe opravljen pregled regijskega centra na
dislocirani lokaciji, kjer se vrši zajem dokumentarnega gradiva in, kjer ni bilo ugotovljeno
nepravilnosti. Hkrati je bilo izvedeno tudi preverjanje izjav zaposlenih o nerazkritju informacij,
kjer ni bilo ugotovljenih nepravilnosti.
Izbira obsega pregleda
Na osnovi zbranih informacij je bila v revizijski skupini sprejeta odločitev, da se bo glede na
razpoložljiv obseg ur za revizijo, pri zunanjem ponudniku krovno pregledalo naslednja področja:
•
•
•
Upravljanje sprememb z nekaterimi elementi razvoja aplikacij,
Zagotavljanje neprekinjenosti poslovanja (BCP, DRP),
Varstvo osebnih podatkov.
Upravljanje sprememb
•
ETZ III/3.2.1 Življenjski cikel razvoja in vzdrževanja programske opreme.
(dokumentiran)
•
ETZ III/3.2.2 Upravljanje konfiguracij.
(Opredeliti prehod na višjo, akreditacija za osnovno verzijo.)
•
ETZ III/3.2.3 Postopek upravljanja sprememb.
•
ETZ III/3.2.5 Namestitev v produkcijsko okolje.
(Obveščati uporabnika ob vsaki namestitvi nove verzije v produkcijo, ne glede na pričakovani
vpliv.)
•
ETZ III/3.2.7 Preizkus programskega produkta.
(Zagotoviti izdelavo in izvedbo testnih scenarijev in jih priložiti k formalni potrditvi uspešnosti
testiranja.)
Zagotavljanje neprekinjenosti poslovanja
ETZ II/2.5.2
•
Neprekinjeno poslovanje Varnostne kopije
•
Sekundarna lokacija
•
Načrt za obnovo podatkov
•
Načrt preizkusiti 1 x letno
•
Načrt neprekinjenega delovanja
•
Načrt delovanja preizkusiti 1 x letno
Varstvo osebnih podatkov
•
Ali ima družba sklenjene pogodbe o varovanju osebnih podatkov (v osnovni pogodbi ali v
obliki dodatka k sklenjeni pogodbi o opravljanju dogovorjenih storitev) s ponudnikom
storitve?
•
Ali ima družba pogodbo o obdelovanju osebnih podatkov, kjer družba nastopa kot upravljavec
osebnih podatkov, zunanji izvajalec pa kot pogodbeni obdelovalec osebnih podatkov?
•
Kako se posredujejo podatki o uporabniškem imenu in geslu za dostop do aplikacije ter
digitalno potrdilo?
Zaključek
Družbi predlagamo, da oceni tveganja in sprejme ustrezne ukrepe na spodnjih področjih :
•
•
•
Programsko opremo za storitev hranjenja razvija sam ponudnik, med pregledom so bile
ugotovljene pomanjkljivosti.
Družba ima svojo storitev registrirano ne pa akreditirano, zaradi česar je potrebno oceniti
obseg in pogostost nadzora zunanjega izvajalca storitve.
Zagotoviti testiranje neprekinjenosti poslovanja tako pri sebi kot pri ponudniku.
Vprašanje za konec
Ali imajo dokumenti organizacije, ki ima formalno potrjena notranja pravila res upravičeno
avtomatsko zakonsko privzeto višjo vrednost pravne veljave in dokazne vrednosti?
- Kdo zagotavlja, da je bila hramba opravljena skladno s potrjenimi notranjimi pravili – zunanjega
neodvisnega pregleda namreč ni?
- Kje lahko najde nasprotna stranka indice za dvom, ali je bila hramba izvedena skladno s sprejetimi in
potrjenimi notranjimi pravili in izpodbija pravno veljavnost in dokazno vednost takega gradiva?

similar documents