VALSTYBĖS KONTROLĖS METŲ INFORMACINIŲ TECHNOLOGIJŲ STRATEGIJA

Transcription

1 PATVIRTINTA Lietuvos Respublikos valstybės kontrolieriaus 2014 m. lapkričio 25 d. įsakymu Nr. V-204 LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLĖ VALSTYBĖS KONTROLĖS METŲ INFORMACINIŲ TECHNOLOGIJŲ STRATEGIJA 2014 m. lapkričio 25 d. Vilnius

2 2 Turinys 1. ĮVADAS APLINKOS ANALIZĖ Išorės aplinka Informacinių technologijų teisinė aplinka Informacinių technologijų plėtros tendencijos Vidaus aplinka Informacinė architektūra Informacinių technologijų ištekliai Informacinių technologijų valdymo branda SSGG STRATEGINIAI TIKSLAI IR RODIKLIAI ĮGYVENDINIMAS, STEBĖSENA IR VERTINIMAS PRIEDAI... 22

3 3 1. ĮVADAS Lietuvos Respublikos valstybės kontrolė, kaip aukščiausioji audito institucija, veiklos planavimui visuomet skyrė ypatingą dėmesį. Institucijoje sukurtos veiklos planavimo sistemos pagrindą sudaro rinkinys tarpusavyje suderintų įvairios trukmės planavimo dokumentų (1 pav.), kurių įgyvendinimas leidžia didinti institucijos veiklos efektyvumą ir užtikrinti į rezultatus orientuotą valdymą. Valstybinio audito strategija (VAS) yra pagrindinis Valstybės kontrolės veiklos ilgalaikio planavimo dokumentas, apibrėžiantis institucijos viziją, misiją, vertybes ir strateginius tikslus penkeriems metams. Šios strategijos įgyvendinimas ir stebėsena atliekama kasmet rengiant ataskaitas ir tvirtinant metinius Valstybinio audito strategijos įgyvendinimo priemonių planus. Greta svarbiausių trumpalaikių planavimo dokumentų, tokių kaip Valstybinio audito programa ir Metiniai departamentų veiklos planai, institucijoje įdiegtas veiklos planavimo elementas Valstybės kontrolės veiklos rizikos valdymo sistema. Tai reiškia, kad institucijoje priskirti pagrindinių veiklos procesų valdytojai kasmet peržiūri identifikuotas rizikas, įvertina jas ir reikšmingiausioms numato valdymo priemones. Parengtą rizikų valdymo planą tvirtina Valstybės kontrolės Strateginio planavimo ir veiklos rizikos valdymo komisija. Visuose planavimo dokumentuose numatytos priemonės įtraukiamos į metinį konkretaus struktūrinio padalinio veiklos planą, už kurio įgyvendinimą vadovai atsiskaito Valstybės kontrolės tarybai. Ilgalaikiai planavimo Valstybinio audito strategija Strateginis veiklos planas IT strategija Trumpalaikiai planavimo dokumentai Metinis VAS įgyvendinimo planas Valstybinio audito programa Rizikos valdymo planas IT strategijos įgyvendinimo planas Metiniai departamento veiklos planai 1 pav. Veiklos planavimo dokumentų hierarchija

4 4 1 paveiksle nurodyti Valstybės kontrolės veiklos planavimo dokumentai apima visas svarbiausias institucijos veiklos sritis ir jose vykstančius procesus. Šiuo atžvilgiu Valstybės kontrolės informacinių technologijų valdymo sritis nėra išimtis. Tačiau informacinių technologijų (toliau IT) valdymo aspektai galiojančiuose planavimo dokumentuose nėra atskleisti pakankamai sistemiškai ir išsamiai, remiantis informacinių technologijų gerąja valdymo praktika. Šiuolaikinės informacinės technologijos yra vienas iš pagrindinių privataus ir viešojo sektoriaus organizacijų veiklos rezultatyvumo ir efektyvumo užtikrinimo įrankių. Tačiau organizacijos turi pasirūpinti, kad jų informacinės technologijos būtų tinkamai valdomos ir aiškiai susietos su organizacijos veiklos tikslais bei poreikiais. Todėl nemaža dalis sėkmingai veikiančių organizacijų, be bendrųjų veiklos planavimo dokumentų, rengia ir įvairios trukmės specializuotas informacinių technologijų strategijas bei veiksmų planus. Jų įgyvendinimas leidžia pakylėti organizacijų IT valdymą į aukštesnį brandos lygį, susieti veiklos ir IT tikslus, kartu sudaro sąlygas efektyviau naudoti informacinių technologijų išteklius, pagerinti teikiamų paslaugų kokybę, padidinti IT saugą ir patikimumą. Siekiant tobulinti Valstybės kontrolės strateginį planavimą ir veiklos rizikos valdymą bei užtikrinti darnią Valstybės kontrolės informacinių technologijų plėtrą ir indėlį įgyvendinant institucijos veiklos tikslus, valstybės kontrolierius 2014 m. balandžio 14 d. įsakymu Nr. V-74 sudarė darbo grupę Valstybės kontrolės metų informacinių technologijų strategijos (toliau IT strategija) projektui parengti (toliau darbo grupė). Darbo grupė buvo sudaryta iš Valstybės kontrolės pareigūnų ir valstybės tarnautojų, atstovaujančių įvairioms Valstybės kontrolės veiklos sritims (strateginiam planavimui, valstybiniam auditui, administravimui, informacinių technologijų valdymui). Rengdama IT strategijos projektą ir nustatydama IT strateginius tikslus darbo grupė naudojosi standartizuotomis institucijos veiklos tikslų ir informacinių technologijų tikslų sąsajomis. Buvo pasitelktas pasaulyje gerai žinomos Informacinių sistemų valdymo ir audito asociacijos (angl. Information Systems Audit and Control Association, toliau ISACA) išleistas informacinių sistemų valdymo metodikos ir gerųjų praktikų rinkinys (angl. Control Objectives for Information and Related Technology, toliau COBIT). Darbo metu nustatyti strateginiai tikslai buvo išdėstyti COBIT 5 metodikoje subalansuotų veiklos rodiklių (angl. balanced scorecard, toliau BSC) perspektyvose.

5 5 2. APLINKOS ANALIZĖ 2.1. Išorės aplinka Informacinių technologijų reikšmė ir jų taikymas Lietuvoje nuolat didėja. Lietuvos statistikos departamento duomenimis 1, 2012 m. pradžioje 91 % viešojo administravimo institucijų, kuriose dirbo 10 ir daugiau darbuotojų, turėjo interneto svetainę ar savo tinklalapį bendroje svetainėje, jungiančioje skirtingų šalies rajonų įstaigas, teikiančias konkrečias viešąsias paslaugas metais paslaugų perkėlimo į elektroninę terpę lygis Lietuvoje siekė 82 %. Aukščiausiu galimu perkėlimo į internetą brandos lygiu Lietuvoje jau teikiamos tokios paslaugos, kaip gyventojų pajamų deklaravimas, laisvų darbo vietų paieška, vairuotojų pažymėjimų išdavimas, pranešimų policijai teikimas, gyvenamosios vietos deklaravimas, socialinių įmokų už darbuotojus deklaravimas, pelno mokesčio ir pridėtinės vertės mokesčio deklaravimas, naujos įmonės steigimas, muitinės deklaracijų teikimas, viešųjų pirkimų vykdymas. 98 % įstaigų 2012 m. pradžioje naudojo plačiajuostį interneto ryšį. Daugiau kaip 60 % įstaigų turėjo šviesolaidinio (optinio) ryšio linijas. Mobiliuoju interneto ryšiu naudojosi 44 % įstaigų m. pradžioje įstaigose kompiuterius savo darbe naudojo 83 %, o internetą 72 % darbuotojų. Nors dauguma įstaigų viešąsias ir administracines paslaugas teikia tradiciniais būdais (paštu, telefonu ar priimdami interesantus įstaigoje), tačiau populiarėja ir e. paslaugų teikimas socialiniais tinklais (pvz., Facebook, Myspace ). Metų pradžioje informaciją ir konsultacijas socialiniuose tinkluose teikė 10 % įstaigų m. pradžioje elektroninius dokumentų mainus su kitomis valstybės ar savivaldybių valdymo institucijomis vykdė 75 % įstaigų. Dokumentų valdymo (rengimo, registravimo, skenavimo) sistemas naudojo 72 % įstaigų, planavimui skirtas veiklos valdymo sistemas (ERP) 17 %, ryšių su klientais valdymo (CRM) 3 % įstaigų. Siunčiamuose pranešimuose saugų elektroninį parašą naudojo 66 % įstaigų. 57 % įstaigų teikė darbuotojams nuotolinę prieigą prie įstaigos elektroninio pašto sistemos, dokumentų ar specializuotų taikomųjų programų. Siekdamos mažinti išlaidas nemaža dalis įstaigų naudoja atvirojo kodo programinę įrangą. Tyrimo duomenimis, bent dalyje kompiuterių atvirojo kodo operacines sistemas naudojo 42 % įstaigų, 1 Lietuvos statistikos departamentas Informacinės technologijos Lietuvoje, ISSN , 2012.

6 6 interneto naršyklę 87 %, biuro programinę įrangą 53 %, kitokias atvirojo kodo programas 36 % įstaigų Informacinių technologijų teisinė aplinka Iki priimant Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymą 2 pagrindiniai reikalavimai valstybės informacinių sistemų kūrimui, valdymui ir jų saugai buvo tvirtinami Lietuvos Respublikos Vyriausybės nutarimais ir galiojo Vyriausybei pavaldžioms institucijoms ir įstaigoms. Priėmus įstatymą, informacinių išteklių valdymo teisinis reguliavimas apėmė visas valstybės institucijas, valstybės įstaigas, įmones, viešąsias įstaigas, kuriančias ir tvarkančias valstybės registrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas bei įgaliotas atlikti viešąjį administravimą. Valstybės kontrolei, atskaitingai Lietuvos Respublikos Seimui, tai reiškė naujus reikalavimus informacinių sistemų kūrimui ir saugai bei naujus vidaus teisės aktus, kurie turėjo būti parengti ir patvirtinti nustatyta tvarka. Iki 2014 m. spalio 31 d. priimti ar atnaujinti šie Lietuvos Respublikos informacinių išteklių valdymo įstatymo reikalavimus įgyvendinantys Valstybės kontrolės vidaus teisės aktai: Valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos saugaus informacijos tvarkymo taisyklės, šios sistemos veiklos tęstinumo valdymo planas ir naudotojų administravimo taisyklės, patvirtintos valstybės kontrolieriaus 2014 m. sausio 24 d. įsakymu Nr. V-15; valstybės kontrolieriaus 2014 m. sausio 30 d. įsakymu Nr. V-19 atnaujinti Valstybės kontrolės informacinės sistemos duomenų saugos nuostatai; valstybės kontrolieriaus 2014 m. gegužės 8 d. įsakymu Nr. V-88 papildytos ir atnaujintos Valstybės kontrolės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, patvirtintas Valstybės kontrolės informacinės sistemos veiklos tęstinumo valdymo planas, pakeistos ir patvirtintos Valstybės kontrolės informacinės sistemos naudotojų administravimo taisyklės m. atliktas Valstybės kontrolės informacinių technologijų saugos reikalavimų atitikties vertinimas, siekiant užtikrinti saugos politiką įgyvendinančių dokumentų reikalavimų vykdymo organizavimą ir kontrolę, atsižvelgiant į Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo, ir Lietuvos standartą LST ISO/IEC 27001:2006 (LST ISO/IEC 27001: ) Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai. 2 Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas, 2011 m. gruodžio 15 d. Nr. XI-1807.

7 7 Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatyti reikalavimai ne tik informacinių sistemų kūrimui, tvarkymui ir saugai, bet ir informacinių išteklių strateginiam planavimui, informacinių technologijų priemonių valdymui ir saugos vertinimui. Siekiant sustiprinti valstybės informacinius išteklius valdančių subjektų veiklos procesų ir informacinių technologijų tarpusavio ryšius, įstatyme apibrėžta svarbi duomenų valdymo įgaliotinio funkcija, nustatytos jo teisės ir pareigos planuojant informacinių išteklių plėtrą, prižiūrint jų kūrimą, rengiant valstybės informacinės sistemos ar registro biudžetų projektus ir prižiūrint, ar laikomasi nustatytų teisės aktų reikalavimų. Įstatymas numato, kad duomenų valdymo įgaliotinis struktūrinio padalinio, atsakingo už institucijai teisės aktų nustatytų funkcijų atlikimą, vadovas, o jeigu tokio struktūrinio padalinio nėra, darbuotojas, turi būti paskirtas kiekvienam registrui, valstybės informacinei sistemai ar jos posistemiui. Valstybės kontrolė dar iki priimant įstatymą vadovavosi gerąja praktika ir 2007 m. balandžio 3 d. valstybės kontrolieriaus įsakymu Nr. V-60 buvo nustačiusi veiklos padalinių atsakomybę už jų tvarkomus duomenis ir informaciją. Valstybės kontrolieriaus 2014 m. spalio 14 d. įsakymu Nr. V-172 ši tvarka patobulinta, dar daugiau teisių ir atsakomybės numatyta veiklos padaliniams Informacinių technologijų plėtros tendencijos Pasaulines artimojo laikotarpio informacinių technologijų tendencijas nuolat apžvelgia įvairūs tarptautiniai mokslo ir analizės centrai, rinkos tyrimo grupės, užsakymus tokiai analizei teikia ir jų rezultatus viešai publikuoja įvairių šalių vyriausybės. Dauguma jų, kaip ir JAV kompanija CSC, turinti 50 metų patirtį ir darbuotojų visame pasaulyje, prognozuoja, kad metais informacinės technologijos, be mums įprastų, sparčiai vystysis ir šiomis kryptimis: Iš išorės į vidų Dar neseniai inovacijos, informacija ir IT teikiama vertė daugiausiai buvo kuriamos įmonių ir įstaigų viduje. Tačiau šiuo metu dauguma technologijų debesų kompiuterija 3, socialiniai tinklai 4, minios dalyvavimas 5 (angl. crowdsourcing) pasiekia įmones iš išorės, ir ši tendencija stiprėja. Informacinių technologijų vadovams teks keisti vietinius įstaigų kompiuterių tinklus, perkuriant juos pagal internetinio ryšio standartus. Ir šie pokyčiai turės būti atlikti greitai. Vyks BYOD poslinkis į BYOT BYOD (liet. atsineškite savo įrenginį ) tampa tik ledkalnio viršūne. Darbuotojai į darbą nori atsinešti ne tik savo mobilius įrenginius, bet ir taikomąsias programas, naudotis galimybe jungtis 3 Debesų kompiuterija yra modelis, kuris leidžia visur, patogiai, pagal poreikį (on-demand) per tinklo prieigą naudotis bendrais kompiuteriniais ištekliais (pavyzdžiui, kompiuteriniai tinklai, serveriai, duomenų laikmenos, taikomosios programos ir programinės įrangos tarnybos), tuos išteklius valdant su minimaliu paslaugų tiekėjo įsikišimu. 4 Facebook, Twitter, Linkedin, Google+, Instagram, Myspace ir kt. 5 Piliečių pasiūlymai.

8 8 prie savo personalinių internetinių paslaugų. Todėl BYOD virsta BYOT (liet. atsineškite savo technologijas ) principu. Daugumai organizacijų IT ūkio pertvarka, atsižvelgiant į šį principą, sukels daug rūpesčių saugumo, darbo laiko apskaitos ir darbo organizavimo srityse. Multidebesys Daugės įvairių debesų technologijų turėsime viešuosius, privačius, mišriuosius debesis, ir turėsime po keletą jų. Vienus debesis kurs darbdavio specialistai, kiti bus suteikiami trečiųjų šalių. Tai leis organizacijoms dirbti efektyviau, tačiau kils naujų iššūkių, kaip neprarasti informacijos ir duomenų kontrolės tokioje daugialypėje aplinkoje. Turės atsirasti naujos debesų administravimo programos. Taip pat turės atsirasti organizacijų taikomųjų programų saugyklos, sudarančios galimybę greitai ir saugiai perkelti taikomąsias programas iš vienos aplinkos į kitą. Spartėjantis didelio duomenų kiekio apdorojimas Dideli duomenų kiekiai bus apdorojami vis greičiau, išvados, kurioms padaryti prireikdavo kelių parų, dėl pagreitėjusių skaičiavimų bus padaromos per kelias valandas. Toks spartus informacijos apdorojimas sudarys sąlygas atsirasti daugeliui naujų taikomųjų programų, pritaikytų dirbti su dideliais duomenų kiekiais. Daiktų internetas Kompiuteriai įprastai apdoroja informaciją. Tačiau dėl vis daugiau prie interneto prijungtų jutiklių ir valdiklių kompiuteriai pradės apdoroti realius daiktus. Daiktų internetas jau dabar keičia automobilius, asmeninius sveikatos apsaugos įrenginius, televizorius, elektros įrangą. Greitai prie interneto bus jungiama dar daugiau įvairių daiktų. Gamintojai, stengdamiesi neatsilikti nuo šių technologijų, jungia prie interneto vis daugiau savo gamybos ir darbo priemonių, ir tai atveria naujas galimybes kurti ir naudoti programas tokiai įrangai valdyti ir (arba) auditui atlikti. Vyriausybės kaip informacinių technologijų lyderiai Valstybinės įstaigos ir organizacijos dažnai linksniuojamos kaip atsiliekančios informacinių technologijų srityje. Netolimoje ateityje tai keisis. Pirmą kartą per dešimtmetį jos pradės pirmauti šioje srityje. Pagrindas šiems pokyčiams atvirumas. Valstybinės įstaigos ir organizacijos sparčiai diegia atviras informacines sistemas, atviras inovacijas, atviro kodo programinę įrangą. Toks atvirumas leidžia daug efektyviau bendrauti su piliečiais, o piliečiai gauna neribotas galimybes keistis su valdžia savo idėjomis, požiūriu ir net programiniu kodu. Šis pokytis slepia vieną iššūkį perėjimą nuo idealių IT sistemų prie pakankamai gerų IT sistemų, todėl valstybiniame sektoriuje tai sukels nemažus pokyčius. Atsižvelgiant į spartų naujų informacinių technologijų visame pasaulyje plitimą pastaraisiais dešimtmečiais, tikėtina, kad šios vystymosi kryptys greitai bus matomos ir Lietuvoje.

9 Vidaus aplinka Valstybės kontrolės informacinių technologijų valdymo ir kontrolės sistema sudaryta remiantis ISACA sukurtoje COBIT metodikoje pateiktais gerosios praktikos pavyzdžiais ir siūlomais instrumentais ir naudojant procesais pagrįstus valdymo modelius. Pagrindiniai IT valdymo ir kontrolės sistemos sąrangos principai yra šie: - Organizacijos pagrindinės veiklos viršenybė, lyginant su IT susijusia veikla; - Procesais pagrįstas valdymo ir kontrolės modelis; - IT vidaus kontrolė remiasi vidaus kontrolės sistema; - Atliekamas IT valdymo ir kontrolės sistemos vertinimas. Organizacijos pagrindinės veiklos viršenybė, lyginant su IT susijusia veikla, reiškia, kad IT tikslai yra nustatomi atsižvelgiant į bendruosius Valstybės kontrolės veiklos tikslus, t. y. užtikrinama, kad veiklos vykdytojas (klientas) tiksliai nustatys poreikius ir kryptį, o IT (paslaugų teikėjas) ką ir kaip atlikti. Šį principą realizuoja Valstybės kontrolės informacinių technologijų valdymo komitetas (toliau IT valdymo komitetas) ir jo veikla, taip pat juo remiasi vidaus teisės aktai, reglamentuojantys informacinių išteklių valdymo koordinatoriaus ir informacijos išteklių (duomenų) valdytojų funkcijas ir atsakomybę. Aprašant Valstybės kontrolės veiklą (kiek ji susijusi su IT veikla) naudojamas procesais pagrįstas valdymo ir kontrolės modelis, nustatant procesų valdytojus, jų funkcijas, atsakomybę, procesų įvesties duomenis ir pateikiamus rezultatus. Tai leidžia naudoti ir susieti kitus procesais pagrįstus valdymo modelius ir metodikas Valstybės kontrolės veiklos rizikos valdymo sistemą, taip pat kokybės valdymo sistemą, atitinkančią IS standartą. IT vidaus kontrolė remiasi vidaus kontrolės sistema ir yra jos sudėtinė dalis. Tai užtikrinama organizacijos pagrindinės veiklos viršenybe, lyginant su IT susijusia veikla, todėl bendrieji vidaus kontrolės instrumentai (politika, vidaus procedūros, organizacinės struktūros ir naudojama geroji praktika) sudaryti taip, kad jie būtų nuosekliai taikomi IT sričiai. Pavyzdžiui, Valstybės kontrolės veiklos rizikos valdymo sistema, kaip viena iš vidaus kontrolės elementų, nuosekliai taikoma IT sričiai. Atliekamas IT valdymo ir kontrolės sistemos vertinimas Valstybės kontrolė turi metodiką, jos taikymo praktiką, o vertinimo procesas yra kartotinis. IT valdymo ir kontrolės sistema pirmą kartą buvo vertinama 2003 metais, padedant Nyderlandų audito rūmų specialistams, vėliau 2006 metais atliktas savarankiškas vertinimas, kurio metu nustatyti IT valdymo brandos trūkumai, į juos atsižvelgta rengiant Valstybės kontrolės IT valdymo strategiją metams. Valstybės kontrolė turi sukaupusi didelę patirtį vertindama viešojo sektoriaus veiklos procesus ir susiedama juos su IT procesais. Ši patirtis naudojama ne tik vertinant Valstybės kontrolės vidaus IT valdymo ir kontrolės sistemą, tačiau ir atliekant viešojo sektoriaus institucijų IT valdymo ir kontrolės sistemų (bendrosios kontrolės, IS kūrimo kontrolės) auditus.

10 Informacinė architektūra Informacinė architektūra yra pagrindinis informacijos apie IT atitiktį vykdomos veiklos poreikiams šaltinis, teikiantis patikimą ir nuoseklią informaciją, reikalingą vadovybės sprendimams priimti bei sklandžiai integruoti taikomąsias programas į veiklos procesus. Į informacinę architektūrą galima žiūrėti kaip į bendresnės ir sudėtingesnės organizacijos architektūros 6 (angl. enterprise architecture) vieną iš sudėtinių dalių, pažymint jos kaip veiklą ir technologijas integruojančios grandies svarbą. COBIT metodikoje informacinė architektūra taip pat suprantama kaip bendresnės organizacijos IT architektūros dalis, kartu tai vienas iš 4 COBIT išteklių (informacija, taikomosios programos, infrastruktūra ir žmonės), siejanti organizacijos veiklą su technologijomis (2 pav.). 2 pav. Organizacijos IT architektūros schema, šaltinis COBIT 4.1, 2007 ISACA, 11 psl. Reikalavimus informacinei architektūrai nustato COBIT 4.1 procesas PO2, kurio tikslams pasiekti turi būti nustatyta ir stiprinama veiklai priskirtina duomenų administravimo funkcija, naudojami standartizuoti ir dokumentuoti metodai, procedūros ir priemonės, taip pat vykdomi reikiami darbuotojų mokymai. Svarbus veiklos ir informacinių technologijų susiejimo aspektas, įtvirtintas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, apibrėžia Proceso PO2 tikslai: Nustatyti organizacijos duomenų modelį Sumažinti duomenų perteklių Palaikyti efektyvų informacijos valdymą 6 Organizacijos architektūra yra apibrėžiama kaip veiklos organizavimo logika ir praktika, nagrinėjanti organizacijos veiklą, naudojant informaciją ir kitus išteklius siekiant didesnės organizacijos brandos, kartu derinant organizacijos strategiją, veiklą ir technologijas. EABOK Enterprise Architecture Body of Knowledge, 2014 The MITRE Corporation.

11 duomenų valdymo įgaliotinio funkciją ir nustato šios funkcijos pareigas ir atsakomybę. 11 Atsižvelgiant į teisės aktų reikalavimus ir COBIT gerąją praktiką, vidaus teisės aktai derinami IT valdymo komitete ir tvirtinami valstybės kontrolieriaus įsakymais. Tinkamas informacinės architektūros nustatymas sudaro galimybę racionaliai išnaudoti informacinių sistemų išteklius, juos maksimaliai lanksčiai derinant su vykdomos veiklos strategija. Taip pat stiprinamas atskaitingumas už duomenų vientisumą ir saugą, didinamas duomenų mainų tarp skirtingų sistemų efektyvumas ir kontrolė. Siekiant užtikrinti Valstybės kontrolės duomenų konfidencialumą, vientisumą ir prieinamumą, taip pat veiklos padalinių aktyvumą priimant sprendimus dėl Valstybės kontrolės informacijos valdymo, 2007 m. balandžio 3 d. valstybės kontrolieriaus įsakymu Nr. V-60 nustatyta, o 2014 m. spalio 14 d. įsakymu Nr. V-172 patikslinta veiklos padalinių atsakomybė už jų tvarkomus duomenis ir informaciją, taip sustiprinant veiklos padalinių vaidmenį informacijos valdymo procese. Suklasifikavusi visus valdomus ir tvarkomus duomenis pagal svarbą ir apibrėžusi tų duomenų vientisumo ir nuoseklumo principus, Valstybės kontrolė sukurtų aplinką, kurioje visiems be išimties informaciniams ištekliams, atsižvelgiant į jų svarbą, būtų skiriamas reikiamas dėmesys, priimant tinkamus sprendimus dėl jų plėtros, kūrimo, priežiūros ir saugos užtikrinimo Informacinių technologijų ištekliai Valstybės kontrolės veiklos poreikių, informacinių technologijų procesų ir informacinių technologijų išteklių ryšį geriausiai iliustruoja COBIT kubas 7, pagal kurį organizacijos IT ištekliai valdomi IT procesais, kad būtų pasiekti IT tikslai, atitinkantys veiklos poreikius (3 pav.). 3 pav. COBIT kubas 7 COBIT 4.1 Metodika. Kontrolės tikslai. Valdymo gairės. Brandos modeliai, 2007 ISACA, 22 pav. COBIT kubas, 25 psl.

12 12 Informacinių technologijų ištekliai yra apibrėžiami kaip žmonių, informacijos, infrastruktūros ir taikomųjų programų visuma. Kad organizacija gautų informaciją, reikalingą jos tikslams pasiekti, ji turi investuoti ir valdyti IT išteklius, taikydama struktūrizuotą procesų rinkinį, kuris ir suteikia tas reikalingas informacijos valdymo paslaugas. 8 IT išteklių svarba akcentuojama ir COBIT 5, kur žmonės, informacija, taikomosios programos ir infrastruktūra yra apibrėžiamos kaip trys iš septynių realizavimo priemonių, kurios turi būti valdomos holistiniu būdu (t. y., atsižvelgiant į jų tarpusavio priklausomybę). Taikomosios programos Valstybės kontrolės taikomosios programos tai įvairiu laipsniu sujungtos ir duomenimis tarpusavyje automatiškai besikeičiančios Valstybės kontrolės valdomų informacinių sistemų ViPSIS ir VKIS dalys ( TeamMate, KOPA, KONTORA, STEKAS, ARAP, institucijos interneto ir intraneto puslapiai, elektroninis paštas) ir atskiros, į sistemas nesujungtos specializuotos ar standartinės biuro programos. Programinės įrangos komponentų diagrama pavaizduota 1 priede. Valstybės kontrolės informacinių sistemų ViPSIS ir VKIS pagrindinės dalys įdiegtos virtualioje aplinkoje. Visose kompiuterizuotose darbo vietose įdiegtas Microsoft Office 2007 biuro programų rinkinys ir veiklos planavimo bei stebėsenos sistemos ViPSIS klientinės dalys. Specializuotose darbo vietose papildomai įdiegtos programų kūrimo ir daugialypės terpės redagavimo programos, sukurtos kompanijų Microsoft, Corel Adobe ir kt., kuriomis atliekami įvairūs Valstybės kontrolės informacinės sistemos plėtros ir modernizavimo darbai. Valstybės kontrolės informacinės sistemos integracijos laipsnis per pastaruosius dešimt metų keitėsi iš stipriai centralizuotos ir uždaros (VAKIS) iki lankstesnės, sudarytos iš atskirų tarpusavyje pusiau atvirais būdais sujungtų modulių (ViPSIS ir VKIS). Atsižvelgiant į pasaulines informacinių sistemų raidos tendencijas, siūloma ir toliau laikytis kuo didesnio kuriamų ar modernizuojamų Valstybės kontrolės informacinės sistemos modulių atvirumo, sąveikos tarp jų paprastumo ir galiojančių standartinių ryšio protokolų tarp jų (angl. interface) užtikrinimo. Toks požiūris būtų ne tik suderintas su informaciniams ištekliams taikomais architektūros principais, tačiau ir sumažintų riziką įsigyti vienetinę, uždarą ir nestandartinę informacinę sistemą, kurios vystymas ir priežiūra kainuotų brangiau už analogus dėl konkurencijos nebuvimo tarp paslaugų teikėjų. Modernizuojant informacinę sistemą tikslinga laikytis principo nekurti patiems, jei galima pirkti 9, o perkant sistemos modulius ar jų kūrimo paslaugą teisės aktų numatytais atvejais užtikrinti išeities kodo (angl. source code) įsigijimą. 8 COBIT 4.1 Metodika. Kontrolės tikslai. Valdymo gairės. Brandos modeliai, 2007 ISACA, 10 psl. 9 COBIT 5. Organizacijos IT valdymo ir vadovavimo metodika, 2012 ISACA, 86 psl.

13 13 Informacija Valstybės kontrolės informacija tai elektroninių ir popierinių institucijoje gaunamų, sukuriamų, naudojamų ir saugomų dokumentų visuma. Popieriniai dokumentai saugomi darbo vietose ir institucijos archyve. Elektroniniai dokumentai, atsižvelgiant į jų tipą ir paskirtį, saugomi tiek tarnybinėse stotyse, tiek kompiuterizuotose darbo vietose. Tarnybinėse stotyse duomenys saugomi tiek standartiniais Microsoft Office biuro programų paketo sukuriamais, tiek specifiniais, įvairioms Valstybės kontrolės posistemėms būdingais formatais. Kompiuterizuotose darbo vietose vyrauja standartiniai duomenų formatai. Tarnybinėse stotyse esantys duomenys reguliariai kopijuojami į rezervinių kopijų stotis. Kompiuterizuotose darbo vietose darbuotojams suteikta galimybė svarbius duomenis kopijuoti į rezervines tarnybines stotis savarankiškai. Didžiausia iki 80 % elektroninių duomenų dalis saugoma Valstybės kontrolės informacinėse sistemose VKIS ir ViPSIS. Grynųjų nedubliuotų Valstybės kontrolės elektroninių duomenų kiekis apytiksliai lygus 1 TB. Duomenų saugyklų, tarnybinių ir darbo stočių užimta diskinė erdvė, reikalinga dirbti su šiais elektroniniais duomenimis ir saugoti jų rezervines kopijas, yra apytiksliai 4 TB. Infrastruktūra Infrastruktūra laikomos technologijos ir įranga, kurių aplinkoje vykdomos taikomosios programos. Techninė Valstybės kontrolės informacinių technologijų įranga tai tarnybinės stotys, elektroninių duomenų saugyklos, kompiuterizuotos darbo vietos, spausdintuvai. Techninės įrangos diagrama pavaizduota IT strategijos 2 priede. Tarnybinės stotys ir elektroninių duomenų saugyklos pagamintos pagal Hewlett-Packard technologiją. Pagrindinės stotys sujungtos į klasterius, užtikrinančius veiklos tęstinumą įvykus technikos gedimams. Kompiuterizuotose administracijos padalinių darbo vietose naudojami stacionarūs, auditorių nešiojamieji kompiuteriai. Nešiojamieji kompiuteriai darbuotojų patogumui turi papildomas klaviatūras ir monitorius. Darbo dokumentai spausdinami daugiafunkciais spausdinimo įrenginiais ir įprastais spausdintuvais, prijungtais prie bendro Valstybės kontrolės kompiuterių tinklo. Tarnybinėse stotyse įdiegtos Microsoft Windows Server 2008 R2 operacijų sistemos, jose sukurta virtuali HYPER-V technologijos aplinka. Elektroninių duomenų saugyklos kietųjų diskų masyvai, suformuoti pagal RAID-5 technologiją, saugyklos gedimų atveju užtikrinančią duomenų apsaugą. Taip pat tarnybinėse stotyse įdiegti tokie IT infrastruktūros komponentai, kaip ActiveDirectory, spausdintuvų valdymo procesai, departamentų, skyrių ir darbuotojų tarnybiniai diskai, teritoriją stebinčių vaizdo kamerų valdymo programos. Šie komponentai prieinami Valstybės kontrolės darbuotojams, kuriems ši teisė suteikta, iš kompiuterizuotų darbo vietų per interneto naršykles ir per specialiai jiems pritaikytas programas.

14 14 Standartinėse kompiuterizuotose darbo vietose Valstybės kontrolėje naudojama Microsoft Windows Vista ir Microsoft Windows 7 operacijų sistemos. Visose darbo vietose įdiegtos Microsoft Internet Explorer ir Mozilla FireFox interneto naršyklės. Skirtingas informacines sistemas imta naudoti, atsisakius auditų dokumentavimo posistemės TeamMate techninio palaikymo. Tai trukdo sklandžiam informacinių sistemų darbui, sukuria papildomą administravimo naštą Informacinių technologijų skyriaus darbuotojams metais galutinai perėjus prie naujos informacinės sistemos ViPSIS atsiras galimybė suvienodinti kompiuterizuotose darbo vietose įdiegtų operacijų sistemų versijas. Svarstytinos dvi alternatyvos atskirų operacijų sistemų licencijų įsigijimas kartu su perkamais kompiuteriais, kaip yra šiuo metu, arba korporatyvinės licencijos su naujumo garantija pirkimas (licencijų nuoma). Tarnybinių stočių ir duomenų saugyklų techninė būklė yra gera ir tokia išliks dar 3 4 metus. Jų techniniams resursams senkant, kaip alternatyva naujų brangių tarnybinių stočių ir saugyklų pirkimui svarstytinas Debesų kompiuterijos panaudojimas. Kompiuterizuotose darbo vietose padėtis prastesnė jei administracinių padalinių darbo vietose naudojama 1 2 metų senumo kompiuterių įranga, tai auditoriai dirba su 4 5 metų senumo technika, kuri reguliariai genda ir trukdo jiems laiku atlikti pavestas užduotis. Siekiant valdyti kompiuterizuotų darbo vietų technologinių gedimų riziką, reikėtų kasmet skirti lėšų nors penktadaliui kompiuterių pakeisti naujais. Valstybės kontrolės elektroninių ryšių įranga tai techninių ir programinių priemonių rinkinys, sudarytas iš laidinių ir bevielių kompiuterių tinklo elementų ir programų, skirtų šių elementų tarpusavio sąveikai užtikrinti. Ryšių įrangos diagrama pavaizduota IT strategijos 2 priede. Valstybės kontrolėje naudojamas teritoriškai paskirstytas 100MB/GB Ethernet/TCP-IP tipo tinklas, kurio Vilniaus, Kauno, Klaipėdos ir Panevėžio segmentai sujungti į bendrą schemą naudojantis valstybės įmonės Infostruktūra teikiama saugaus valstybinio duomenų tinklo paslauga. Valstybės kontrolės Mokymo centro, esančio Giruliuose, teritorinis kompiuterių tinklas naudoja AB Teo teikiamą prieigos prie viešųjų tinklų paslaugą. Kompiuterizuotos darbo vietos prijungtos prie institucijos kompiuterių tinklo penktos Ethernet kategorijos laidiniu būdu, naudojant Hewlett Packard kompanijos trečios kartos tinklo komutatorius. Prireikus naudojama ir neprofesionali bevielio tinklo įranga darbuotojų ir institucijos svečių nešiojamiesiems ir planšetiniams kompiuteriams bei išmaniesiems telefonams prie tinklo prijungti. Valstybės kontrolės senojo pastato kompiuterių tinklo laidiniai segmentai ir tinklo jungtys nusidėvėję, jų pakeitimo kaštai būtų labai dideli. Todėl kaip alternatyva svarstomas bevielio kompiuterių tinklo Valstybės kontrolėje diegimas. Auditoriai, vykdami dirbti į audituojamus subjektus, kartu vežasi nešiojamuosius kompiuterius ir iš jų jungiasi prie Valstybės kontrolės kompiuterių tinklo per subjekto pasiūlytas tinklo jungtis atsiranda rizika, kad bus pažeisti audituojamojo subjekto arba Valstybės kontrolės kompiuterių tinklo saugos reikalavimai. Svarstytinas mobiliojo interneto ryšio arba virtualaus privataus tinklo paslaugos (angl. Virtual Private Networks, VPN) pirkimas visiems arba daliai auditorių (arba audito grupių vadovams).

15 15 Žmonės 2014 metų I pusmečio duomenimis, Valstybės kontrolėje buvo patvirtinta 401,5 etato, iš jų 6 Bendrųjų reikalų departamento Informacinių technologijų skyriuje. Skyriuje yra vedėjo ir penki vyriausiųjų specialistų etatai sistemų administratorius, techninės įrangos administratorius, du sistemų projektuotojai ir specialistas, atliekantis įvairias (viešųjų pirkimų, dokumentavimo, techninės pagalbos, darbuotojų konsultavimo) skyriui pavestas funkcijas. Visi skyriaus darbuotojai, be pagrindinių savo funkcijų, konsultuoja institucijos darbuotojus informacinių technologijų klausimais ir pagal kompetenciją dalyvauja Valstybės kontrolės komitetų, komisijų ir darbo grupių veikloje. Informacinių technologijų skyriaus darbuotojai Valstybės kontrolėje dirba nuo 5 iki 20 metų, todėl yra gerai susipažinę su institucijos pagrindine veikla, jos informacinių sistemų ir technologijų ūkio raida. Jie yra išklausę pagrindinius su jų kasdienine veikla susijusius programinės ir aparatinės įrangos naudojimo kursus ir turi tai patvirtinančius sertifikatus, tačiau informacinėms technologijoms sparčiai vystantis, o mokymams pinigų skiriant retai, didėja rizika, kad Informacinių technologijų skyriaus darbuotojų kvalifikacija atsiliks nuo šios srities darbo rinkos specialistų vidurkio, o tai gali neigiamai paveikti visus su informacinėmis technologijomis susijusius Valstybės kontrolės veiklos procesus. Siekiant išlaikyti esamą klasifikaciją ir įgyti naujų reikalingų žinių, turėtų būti numatomi specializuoti mokymai IT srityje ir ieškoma galimybės juos finansuoti ES lėšomis Informacinių technologijų valdymo branda Teisės aktų reikalavimai, nors ir nuolat tobulinami, skirti užtikrinti tik minimaliai informacinių technologijų valdymo brandai. Norint siekti aukštesnės brandos, reikia išanalizuoti gerąją IT valdymo praktiką ir pasirinkti tas jos dalis, kurios būtų pritaikomos Valstybės kontrolės poreikiams efektyviausiu (greičiausiu ir pigiausiu) būdu. Siekdama informacinių technologijų valdymo brandos, Valstybės kontrolė neapsiriboja atitiktimi teisės aktų reikalavimams, tačiau vertina IT valdymo būklę naudodama COBIT siūlomą gerąją praktiką ir jos analizės ir taikymo metodus. Valstybės kontrolės IT valdymo ir kontrolės sistemos brandos vertinimas atliekamas naudojant COBIT 4.1 aprašytą CMM brandos vertimo modelį 10 ir vadovaujantis EUROSAI IT darbo grupės vykdomo projekto Informacinių technologijų savianalizė aukščiausiosiose audito institucijose 11 metu parengta savianalizės atlikimo metodika metais atlikto brandos vertinimo rezultatai parodė, kad pasirinktų vertinti COBIT 4.1 procesų 12 vidutinė branda buvo 1, metais atliktos minėtų procesų peržiūros rezultatai, atsižvelgiant į m. vykdytas jų brandos tobulinimo priemones, buvo geresni 13 (1,50). 10 COBIT 4.1 Metodika. Kontrolės tikslai. Valdymo gairės. Brandos modeliai, 2007 ISACA, ir 175 psl. 11 Plačiau apie projektą: metais išsamiai vertinti PO1, PO2, PO8, PO10, AI1, AI4, AI5, DS1, DS4, DS11, ME1 procesai. 13 COBIT 4.1 Metodika. Kontrolės tikslai. Valdymo gairės. Brandos modeliai, 2007 ISACA, 10 psl.

16 16 3. SSGG Valstybės kontrolės informacinių technologijų valdymo stiprybės ir silpnybės, galimybės ir grėsmės nustatytos atsižvelgiant į aplinkos analizės rezultatus, nurodytus šios IT strategijos 2 skyriuje. IT valdymo rizikos pateiktos 2013 metų Valstybės kontrolės veiklos rizikos valdymo ataskaitoje. Stiprybės - Kvalifikuoti IT skyriaus darbuotojai, turintys ilgametę darbo su Valstybės kontrolės informacinėmis sistemomis patirtį; - Šiuolaikinė duomenų apdorojimo ir saugojimo įranga pagrindiniai serveriai ir duomenų saugyklos įsigyti prieš dvejus metus; - Saugus ir greitas VĮ Infostruktūra optinio ryšio technologijomis ir kibernetinės saugos paslauga paremtas kompiuterių tinklas, užtikrinantis šiuolaikinį ryšį su kituose miestuose esančiais padaliniais ir kitomis institucijomis; - Serveriuose ir duomenų saugyklose naudojamos pasaulyje plačiai paplitusios IT technologijos Microsoft Server, Microsoft SQL Server, HYPER-V Virtualization ; - Greita komunikacija savo jėgomis sukurti, prižiūrimi ir nuolat atnaujinami Valstybės kontrolės intraneto ir interneto tinklalapiai, yra vaizdo konferencijų ryšio galimybė tarp kituose miestuose esančių padalinių ir kitų institucijų; - Šiuolaikinės audito duomenų, dokumentų ir audito proceso valdymo sistemos ViPSIS lanksčiai integruotos su kitomis posistemėmis. Silpnybės - Sistemiškai ir išsamiai neatskleisti IT planavimo dokumentai; - Nepakankama IT projektų valdymo metodinė ir praktinė patirtis; - Pasenusi kompiuterizuotų darbo vietų techninė ir programinė įranga; - Pasenę vidaus kompiuterių tinklo komponentai laidai ir jungtys; - Nepakankamas IT skyriaus darbuotojų institucijos darbuotojams teikiamų paslaugų jų pobūdžio, kokybės ir grįžtamojo ryšio su vartotojais reglamentavimas; - Nepakankamas IT personalo bendravimas su veiklos padalinių darbuotojais, sprendžiant jiems kylančias darbo su informacinėmis technologijomis problemas; - IT skyriaus darbuotojų profesinis tobulėjimas atsilieka nuo greitos technologijų kaitos, nepakankami mokymai; - Tobulintinas Valstybės kontrolės darbuotojų kompiuterinio raštingumo lygis. Galimybės - Bevieliai vidiniai kompiuterių tinklai; - Tobulėjanti ir santykinai pinganti kompiuterinė įranga; - Debesų kompiuterija daugėja šias paslaugas teikiančių bendrovių, mažėja jų kainos; - Pagrindinės tarnybinėse Valstybės kontrolės stotyse ir kompiuterizuotose darbo vietose naudojamos programinės įrangos licencijų nuoma su naujumo garantija galimybės

17 17 dažniau atnaujinti programinę įrangą, tam sugaištant mažiau darbo laiko viešiesiems pirkimams, ir supaprastinti šių pirkimų biudžeto planavimą; - Mobilus šifruotas interneto ryšys, leidžiantis Valstybės kontrolės darbuotojams saugiai prisijungti prie institucijos kompiuterių tinklo iš kitų darbo vietų (audituojamų subjektų, esant komandiruotėse, iš namų); - Pinganti programinė įranga, leidžianti darbuotojui saugiai dirbti Valstybės kontrolės kompiuterių tinkle su savo atsinešta kompiuterių įranga (BYOD tvarka); - IT skyriaus darbuotojų kvalifikacijos kėlimas; - Galimybė pasinaudoti m. ES finansinės perspektyvos lėšomis. Grėsmės - Pasaulyje daugėjant kibernetinių grėsmių, didėja rizika, kad Valstybės kontrolės informacinėms sistemoms bus padaryta žala nesankcionuotas svarbių ir (arba) slaptų duomenų nuskaitymas, pakeitimas, sunaikinimas; - Nuo valstybės ekonominės būklės priklausanti ir su tuo susijusi nepakankamo biudžetinių institucijų informacinių technologijų ūkio finansavimo rizika; - Dažnai atnaujinama IT panaudojimą valstybės institucijose, organizacijose ir įstaigose reglamentuojanti teisinė bazė, ne laiku (pavėluotai) rengiami teisės aktai; - Kvalifikuotų IT skyriaus darbuotojų darbinė migracija; - Galimas didelis Valstybės kontrolės funkcijų išplėtimas, turėsiantis įtakos IT.

18 18 4. STRATEGINIAI TIKSLAI IR RODIKLIAI Nustatydama IT strateginius tikslus darbo grupė naudojosi IT strategijos 2 ir 3 skyriuose atlikta analize ir standartizuotomis institucijos veiklos tikslų bei informacinių technologijų tikslų sąsajomis, kurias nustato pasaulyje gerai žinomos ISACA išleistos metodikos ir rekomendacijos. Valstybės kontrolės informacinių technologijų strateginiai tikslai, kurie išdėstyti subalansuotų veiklos rodiklių (BSC) perspektyvose 14 : Darni informacinių technologijų plėtra Vartotojų poreikius tenkinančios IT paslaugos Gerąją praktiką atitinkantis IT valdymas Aukšta darbuotojų kompetencija IT srityje Finansinė perspektyva Kliento perspektyva Vidaus procesų perspektyva Mokymosi ir tobulėjimo perspektyva Valstybės kontrolės IT strateginių tikslų pasiekimo lygiui įvertinti nustatyti rodikliai. Šių rodiklių dabartinės reikšmės pateiktos 3 priede. 1. DARNI INFORMACINIŲ TECHNOLOGIJŲ PLĖTRA Tai strateginis tikslas, kuriam reikia maksimalaus institucijos vadovybės, visų procesų valdytojų ir IT srities darbuotojų įsitraukimo bei veiksmų koordinavimo. Tikslas yra nukreiptas į ilgalaikius strateginę ar ekonominę reikšmę institucijos veiklai turinčius IT pokyčius ir projektus (pvz., naujų IT sistemų diegimas ar esamų tobulinimas, debesų technologijų panaudojimas, kompiuterinės įrangos nuomos paslaugos). Įgyvendindami šį tikslą sieksime inovatyvių sprendimų ir investicijų, pagrįstų geriausiu kaštų ir naudos santykiu institucijai. Rodikliai Visi Valstybės kontrolės IT strateginiai tikslai suderinti su Valstybinio audito strategijoje nustatytais veiklos tikslais. Valstybės kontrolės IT veikla kasmet svarstoma mažiausiai keturiuose Informacinių technologijų valdymo komiteto posėdžiuose. 14 Išsamus Valstybės kontrolės informacinių technologijų strateginių tikslų nustatymo metodas, naudojant COBIT tikslų hierarchijos sąsajas, aprašomas 4 priede Valstybės kontrolės informacinių technologijų strateginių tikslų nustatymo metodas.

19 19 Trejų pastarųjų metų IT ištekliams 15 skiriamų lėšų vidurkis neturi viršyti 4 proc. Valstybės kontrolės biudžeto. 2. VARTOTOJŲ POREIKIUS TENKINANČIOS IT PASLAUGOS Nustatysime naudotojams teikiamų IT paslaugų prioritetus ir sieksime, kad jos būtų teikiamos laiku ir kokybiškai. Nuolat vertinsime teikiamų IT paslaugų kokybę, sieksime, kad jos atitiktų IT naudotojų poreikius. Atsižvelgdami į informacinių technologijų raidą ir IT naudotojų poreikius, diegsime jiems aktualias ir reikalingas IT paslaugas. Rodikliai 95 proc. paslaugų suteikiamos pagal nustatyto paslaugų lygio susitarimus (SLA, OLA). 80 proc. kompiuterinės įrangos ne senesnė kaip penkerių metų. IT paslaugos vartotojų įvertintos 7 (iš 10) balais. 3. GERĄJĄ PRAKTIKĄ ATITINKANTIS IT VALDYMAS Užtikrinsime, kad IT paslaugos būtų teikiamos nuolat, o galimi paslaugų teikimo nutrūkimai būtų nereikšmingi Valstybės kontrolės veiklai. Vadovaudamiesi teisės aktų ir ISO reikalavimais, COBIT ir kitų metodikų teikiama gerąja praktika, užtikrinsime elektroninės informacijos konfidencialumą ir saugą. Tobulindami IT valdymą ir IT paslaugų valdymą vadovausimės ISO ir ISO reikalavimais, Organizacijų architektūros metodologijos (angl. The Open Group Architecture Framework, toliau TOGAF), COBIT ir ITIL (angl. Information Technology Infrastructure Library, liet. Informacinių technologijų paslaugų valdymo metodika) rekomenduojamais modeliais ir gerąja praktika. Rodikliai Įgyvendinus strategiją, pasiektas 3 brandos lygis pagal COBIT pagrindiniuose penkiuose (iš 11) atrinktuose procesuose ir 2 brandos lygis kituose pagrindiniuose šešiuose (iš 11) atrinktuose procesuose. Per metus turi būti užtikrintas informacinės sistemos prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis (trečios kategorijos informacinėms sistemoms). 4. AUKŠTA DARBUOTOJŲ KOMPETENCIJA IT SRITYJE Sparčiai plėtojantis informacinėms technologijoms labai svarbu, kad IT skyriaus darbuotojų žinios ir kompetencija būtų pakankama efektyviam institucijos informacinių technologijų ir paslaugų valdymui, jų inovacijai ir optimizavimui. Todėl reikėtų skirti pakankamus išteklius specializuotiems IT skyriaus darbuotojų mokymams IT srityje. Ne mažiau svarbus ir IT paslaugų vartotojų IT 15 IT darbuotojų atlyginimai, išlaidos IT paslaugoms ir turtui įsigyti.

20 20 vartojimo įgūdžių lavinimas ir kompiuterinis raštingumas. Institucijos darbuotojai turi būti nuolatos supažindinami su IT naujovėmis. Rodikliai Nuolat tobulinama IT skyriaus darbuotojų kvalifikacija, vienam darbuotojui per metus vidutiniškai tenka 10 ak. val. specializuotiems IT srities mokymams. Nuolat tobulinama Valstybės kontrolės darbuotojų kvalifikacija, vienam darbuotojui per metus vidutiniškai tenka 3ak. val. IT vartojimo įgūdžių lavinimo ar kompiuterinio raštingumo mokymų. Nuolat tobulinama Valstybės kontrolės darbuotojų, kurių veikla susijusi su IT procesų ir IT išteklių valdymu Valstybės kontrolėje, kvalifikacija, vienam darbuotojui per metus vidutiniškai tenka 4 ak. val. specializuotiems IT srities mokymams.

21 5. ĮGYVENDINIMAS, STEBĖSENA IR VERTINIMAS 21 IT strategija įgyvendinama rengiant metinius IT strategijos įgyvendinimo priemonių planus, kuriuose nustatomos tikslus įgyvendinančios priemonės, laukiami rezultatai ir jų vertinimo rodikliai, terminai ir atsakingi vykdytojai. Metinių IT strategijos įgyvendinimo priemonių planų projektus rengia IT skyrius ir teikia svarstyti IT valdymo komitetui. Gavus komiteto pritarimą šiems projektams, planai tvirtinami valstybės kontrolieriaus įsakymu. IT strategijos įgyvendinimo stebėsena atliekama naudojantis ViPSIS, o priemonių plano įgyvendinimas apsvarstomas Informacinių technologijų valdymo komiteto posėdžiuose ne rečiau kaip du kartus per metus. Atsiskaitydamas už IT strategijos metinių priemonių planų įgyvendinimą IT skyrius rengia metinę IT strategijos priemonių plano įgyvendinimo ataskaitą ir metų pabaigoje pristato IT valdymo komitetui (paprastai ataskaita teikiama kartu su ateinančių metų planu). Svarbiausių vienuolikos COBIT 4.1 procesų, atrinktų 4 priede aprašytu metodu, PO1, PO2, PO8, PO10, AI1, AI4, AI5 DS1, DS4, DS11, ME1 (prireikus ir kitų procesų) brandos vertinimas iki 2020 metų atliekamas tris kartus. Atlikus vertinimą, gali būti patikslintas įgyvendinimo priemonių sąrašas. Galutinis svarbiausių COBIT procesų PO1, PO2, PO8, PO10, AI1, AI4, AI5 DS1, DS4, DS11, ME1 brandos įvertinimas, pasiektas 2020 m., turi būti: 5 iš 11 procesų branda įvertinta 3, 6 iš 11 procesų branda įvertinta 2. Valstybės kontrolierė Giedrė Švedienė Valstybės kontrolės metų informacinių technologijų strategiją parengė valstybės kontrolieriaus pavaduotojas Arūnas Keraminas, Informacinių sistemų ir infrastruktūros audito departamento direktorius Dainius Jakimavičius, Audito plėtros departamento direktorius Mindaugas Macijauskas, Bendrųjų reikalų departamento direktorė Žydra Bartkevičienė, direktoriaus pavaduotoja Selvina Buragaitė, Informacinių technologijų skyriaus vedėjas Arturas Sadauskas ir vyriausioji specialistė Genovaitė Gasiūnienė.

22 22 PRIEDAI Valstybės kontrolės metų informacinių technologijų strategijos 1 priedas Valstybės kontrolės informacinių sistemų struktūrinė schema

23 Valstybės kontrolės kompiuterių tinklo diagrama Valstybės kontrolės metų informacinių technologijų strategijos 2 priedas

24 Valstybės kontrolės metų informacinių technologijų strategijos 3 priedas Informacinių technologijų strateginių tikslų įgyvendinimo rodiklių dabartinės reikšmės Tikslai ir rodikliai 1. Darni informacinių technologijų plėtra 1.1. Visi Valstybės kontrolės IT strateginiai tikslai suderinti su Valstybinio audito strategijoje nustatytais veiklos tikslais Valstybės kontrolės IT veikla kasmet svarstoma mažiausiai keturiuose Informacinių technologijų valdymo komiteto posėdžiuose Trejų pastarųjų metų IT ištekliams skiriamų lėšų vidurkis neturi viršyti 4 proc. Valstybės kontrolės biudžeto. Rodiklio dabartinė reikšmė/rodiklio paaiškinimas Pirmasis vertinimas Vertinimas Vertinimo periodiškumas Rodiklis nebuvo vertinamas m. Vertinimas atliekamas pasikeitus valstybinio audito strateginiams tikslams. Pagal Informacinių technologijų valdymo komiteto nuostatus buvo numatyta rengti ne mažiau kaip 2 kartus per metus metais Valstybės kontrolės IT veikla buvo svarstoma 3 5 kartus per metus. Rodiklis nebuvo matuojamas metais IT ištekliams skiriamų lėšų vidurkis, lyginant su Valstybės kontrolės biudžetu, buvo 3,8 proc. (IT ištekliams skiriamų lėšų vidurkis per trejus metus , 0 Lt) 2015 m. Vertinimas atliekamas 4 kartus per metus. Pastabos Sąsaja su 1.2 rodikliu: IT strateginiai tikslai peržiūrimi IT valdymo komitete. Pasikeitus valstybinio audito strateginiams tikslams, naujų IT strateginių tikslų nustatymui skiriami 3 mėn. Rodiklio vertinimas sietinas su komiteto veikla, IT strateginių tikslų įgyvendinimo stebėsena. Sąsaja su 1.1 rodikliu: IT valdymo komiteto vykdoma stebėsenos funkcija užtikrina valstybinio audito strateginių tikslų ir IT strateginių tikslų tarpusavio suderinimą m. Kasmet IT išteklius sudaro IT darbuotojų atlyginimai, išlaidos IT paslaugoms ir turtui įsigyti, išskyrus išlaidas mokymams. Sąsaja su 2.2 rodikliu.

25 2 2. Vartotojų poreikius tenkinančios IT paslaugos proc. paslaugų suteikiamos Rodiklis nebuvo matuojamas. pagal nustatyto paslaugų lygio susitarimus (SLA, OLA) proc. kompiuterinės įrangos ne senesnė kaip penkerių metų m. Valstybės kontrolėje 70 proc. naudojamos kompiuterinės įrangos yra senesnė nei penkerių metų m. I ketv. Kasmet Remiantis geriausia valdymo praktika pagrįstais IT infrastruktūros valdymo principais (ITIL), orientuotais į darbo optimizavimą bei kokybės užtikrinimą IT srityje, Valstybės kontrolėje bus sukurtos ir patvirtintos IT proceso valdymo taisyklės, reglamentuojančios IT proceso valdymą ir IT srityje teikiamų paslaugų Valstybės kontrolės struktūriniams padaliniams apimtis, būdus bei Valstybės kontrolės Bendrųjų reikalų departamento Informacinių technologijų skyriaus ir Valstybės kontrolės struktūrinių padalinių bendradarbiavimą IT srityje. Taisyklės apims tokias IT proceso dalis: incidentų ir paklausimų valdymo, problemų valdymo, konfigūracijų valdymo, paslaugų lygio valdymo; pokyčių valdymo. Taisyklėse bus apibrėžtos IT skyriaus teikiamos paslaugos, todėl atsiras galimybė įvertinti šį ir 2.3 rodiklius Kasmet Rodiklis matuojamas įvertinant visose Valstybės kontrolės kompiuterizuotose darbo vietose esančių nešiojamųjų ir stacionarių kompiuterių naudojimo laiką metais. Matavimas atliekamas

26 IT paslaugos vartotojų įvertintos 7 (iš 10) balais. Rodiklis nebuvo matuojamas. 3. Gerąją praktiką atitinkantis IT valdymas 3.1. Įgyvendinus strategiją, pasiektas Rodiklis buvo matuojamas brandos lygis pagal COBIT 2006 metais. pagrindiniuose penkiuose (iš 11) atrinktuose procesuose ir 2 brandos Įvertinus parinktus procesus, 2006 metais nustatyta: lygis kituose pagrindiniuose šešiuose (iš 11) atrinktuose procesuose. 1 iš 9 procesų branda įvertinta 3 2 iš 9 procesų branda įvertinta 2 6 iš 9 procesų branda 3.2. Per metus turi būti užtikrintas informacinės sistemos prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis (trečios kategorijos informacinėms sistemoms) m. II ketv. Kasmet 2003 m. Brandos vertinimas iki 2020 metų atliekamas tris kartus, vidutiniškai kas dvejus metus. kasmet planuojant ateinančių metų viešuosius pirkimus. Rodiklis bus matuojamas atliekant vartotojų apklausas, numatytas IT proceso valdymo taisyklėse (žr. 2.1 rodiklio paaiškinimą). Sąsaja su 1.2 rodikliu: Tarpiniai procesų brandos vertinimo rezultatai svarstomi IT valdymo komitete ir naudojami IT strategijos įgyvendinimo priemonių planų priemonėms tikslinti, įskaitant išorinį procesų brandos vertinimą, atliekamą 2015 m. kovo mėn. kartu su Šveicarijos federalinės audito įstaigos ekspertais. įvertinta 1 Rodiklis nebuvo matuojamas Kasmet Valstybės kontrolės Bendrųjų reikalų departamento Informacinių technologijų skyriuje pildomas elektroninis IT paklausimų, incidentų ir problemų žurnalas suteiks galimybę nustatyti Valstybės kontrolės informacinės sistemos prastovų laiką. Informacinės sistemos būklė vertinama kaip neprieinama tada, kai dėl nuo kompiuterizuotos darbo vietos nepriklausančių technologinių priežasčių informacinės sistemos vartotojas (-ai) negali naudotis bent viena iš 1 priede nurodytų