Audyt systemów informatycznych
Informacje ogólne
Kod przedmiotu: | 0300-SPR-1ASI |
Kod Erasmus / ISCED: |
(brak danych)
/
(0413) Zarządzanie i administracja
|
Nazwa przedmiotu: | Audyt systemów informatycznych |
Jednostka: | Wydział Ekonomii i Zarządzania |
Grupy: | |
Punkty ECTS i inne: |
(brak)
|
Język prowadzenia: | polski |
Rodzaj przedmiotu: | obowiązkowe |
Założenia (opisowo): | 1. Uzyskanie przez uczestników teoretycznych podstaw w obszarze ogólnej wiedzy o budowie oraz funkcjonowaniu systemów zarządzania ICT (ang. information and communication technologies) oraz bezpieczeństwa informacji. 2. Uzyskanie przez uczestników teoretycznych oraz praktycznych podstaw do stworzenia funkcji audytu, kompetencji i kwalifikacji audytorów oraz sporządzenia planu audytu w obszarze ICT oraz bezpieczeństwa informacji. 3. Uzyskanie przez uczestników teoretycznych oraz praktycznych prowadzenia audytu w obszarze ICT oraz bezpieczeństwa informacji. |
Pełny opis: |
1. Ład organizacyjny ICT. 2. Ład organizacyjny w bezpieczeństwie informacji. 3. Systemy, normy, standardy zarządzania ICT (COBIT, ITIL, ISO 20000, ISO 27001, ISO 27002, ISO 27005, ISO 22301). 4. Strategiczne, wieloletnie i roczne planowanie funkcji audytu w obszarze ICT. 5. Budowa i rozwój kompetencji audytorów w obszarze ICT. 6. Planowanie i przygotowanie audytu w obszarze ICT. 7. Realizacja audytu w obszarze ICT. 8. Raportowanie po audycie w obszarze ICT. |
Literatura: |
Literatura podstawowa: 1. Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego 2. Poradniki do Standardów IIA 3. R. Moeller, Nowoczesny audyt wewnętrzny 4. COBIT 5. ISO 27001 6. ISO 20000 lub ITIL 7. ISO 22301 8. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne 9. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych 10. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 11. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 12. Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych 13. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji 14. Strategia Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej z dnia 5 listopada 2014 r. 15. Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej z dnia 25 czerwca 2013 r. Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczeństwa Wewnętrznego 16. Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe 17. Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne 18. Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym 19. Doktryna cyberbezpieczeństwa Rzeczypospolitej Polskiej. Biuro Bezpieczeństwa Narodowego 20. Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Komisja Nadzoru Finansowego 21. Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatyczego w zakładach ubezpieczeń i zakładach reasekuracji. Komisja Nadzoru Finansowego 22. Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania 23. Wytyczne i rekomendacje dotyczące bezpiecznego przetwarzania EDM Literatura uzupełniająca: 24. ISO 27005 25. ISO 27002 26. ISO 31000 27. GTAG® 4 - Zarządzanie Audytem IT 28. GTAG® 17 - Audytowanie ładu informatycznego 29. Praktyczny Poradnik: Zarządzanie Ciągłością Działania 30. Developing the Internal Audit Strategic Plan 31. GTAG 15: Information Security Governance 32. GTAG 14: Auditing User-developed Applications 33. GTAG 12: Auditing IT Projects 34. GTAG 11: Developing the IT Audit Plan 35. GTAG 9: Identity and Access Management 36. GTAG 8: Auditing Application Controls 37. GTAG 7: Information Technology Outsourcing 38. GTAG 2: Change and Patch Management Controls: Critical for Organizational Success 39. GTAG 1: Information Technology Risk and Controls 40. K. Linderman, Podręcznik administratora bezpieczeństwa teleinformatycznego 41. D. E. Denning, Wojna informacyjna i bezpieczeństwo informacji 42. R. Andreson, Inżynieria bezpieczeństwa 43. N. Dhanjani, J. Clarke, Bezpieczeństwo sieci. Narzędzia 44. E. Cole, R. L. Krutz, J. Conley, Bezpieczeństwo sieci 45. D. L. Pipkin, Bezpieczeństwo informacji 46. ENSI, TSM (Total Security Management) 47. ENSI, TISM (Total Information Security Management) 48. NIST, Framework for Improving Critical Infrastructure Cybersecurity 49. ISACA, Responding to Targeted Cyberattacks 50. US-CERT Federal Incident Notification Guidelines 51. NIST, Computer Security Incident Handling Guide 52. Implementing the NIST Cybersecurity Framework 53. Learn About The Issues, Trends And Challenges Facing Cyber Professionals In 2016 54. Implementing Cybersecurity Guidance for Small and Medium-Sized Enterprises 55. Cybersecurity Guidance for Small and Medium-Sized Enterprises 56. Cost of Cyber Crime Study:United States, Ponemon Institute LLC 57. The Impact of Cybercrime on Business, Ponemon Institute LLC 58. Second Annual Cost of Cyber Crime Study |
Efekty uczenia się: |
WIEDZA 1. Ma podstawową wiedzę z zakresu ekonomii, finansów publicznych, administracji publicznej, rachunkowości i sprawozdawczości budżetowej, audytu wewnętrznego i audytów specjalistycznych oraz kontroli w sektorze publicznym (administracji publicznej) 2. Ma podstawową wiedzę na temat celów i ważności realizacji audytów specjalistycznych 3. Zna zasady organizacji i prowadzenia audytu zamówień publicznych, funduszy unijnych, nadużyć i systemów informatycznych 4. Zna standardowe narzędzia informatyczne gromadzenia, analizy i prezentacji danych, niezbędnych do prawidłowej organizacji kontroli oraz audytu wewnętrznego w jednostkach sektora finansów publicznych UMIEJĘTNOŚCI 1. Identyfikuje potrzeby jednostki w zakresie audytu, kontroli i rachunkowości 2. Rozpoznaje wartość audytu wewnętrznego KOMPETENCJE SPOŁECZNE 1. Ma świadomość poziomu swojej wiedzy i umiejętności oraz rozumie potrzebę dalszego uczenia się 2. Właściwie identyfikuje zasadność i cel uzupełniania zdobytych kwalifikacji oraz potrafi samodzielnie zdobywać i doskonalić wiedzę oraz umiejętności z zakresu rachunkowości, audytu wewnętrznego i kontroli w sektorze publicznym 3. Wyznacza kierunki własnego rozwoju i kształcenia, podejmując wyzwania zawodowe w dziedzinie ekonomii i prawa, szczególnie w zakresie realizacji zadań audytowych oraz prowadzenia ksiąg rachunkowych 4. Wykazuje gotowość do aktywnego uczestniczenia w kreowaniu wizerunku jednostki 5. Ma przekonanie o wadze zachowania się w sposób profesjonalny oraz przestrzegania zasad etyki w życiu codziennym i zawodowym 6. Potrafi myśleć i działać w sposób racjonalny i przedsiębiorczy |
Metody i kryteria oceniania: |
Zaliczenie przedmiotu odbywa się na podstawie oceny aktywności w trakcie zajęć oraz przygotowanego projektu w zespole (3-4 osobowym): Programu audytu obszaru ICT. Obszar audytu: 1. Ład organizacyjny ICT. 2. Ład organizacyjny bezpieczeństwa informacji. 3. Zarządzanie usługami IT. 4. System zarządzania bezpieczeństwem informacji. 5. Audyt strony III w obszarze jakości i bezpieczeństwa świadczonej usługi. 6. Audyt systemu zarządzania aktywami oprogramowania, w tym legalności. 7. Audyt ochrony danych osobowych. 8. Audyt ciągłości działania. 9. Audyt projektu wdrożenia ERP. 10. Audyt bezpieczeństwa w obszarze danych medycznych. 11. Audyt procesu zarządzania ryzykiem w systemie zarządzania bezpieczeństwem informacji. |
Właścicielem praw autorskich jest Uniwersytet w Białymstoku.