Řízení změn v informačních systémech kritické informační infrastruktury – Jindřich Domanja

Abstract:

Cílem této práce je analyzovat řízení změn v informačních systémech kritické informační infrastruktury (IS KII). IS KII jsou vymezeny zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (ZKB), a patří mezi ně systémy, které mají zásadní vliv na zajištění bezpečnosti ČR i celé EU. V letošním roce byla k ZKB vydána nová prováděcí vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti (nová VKB), která dotčeným subjektům nově ukládá povinnost řídit změny v IS. Organizace provozující IS KII se tak vůbec poprvé ocitají v situaci, kdy řízení změn není volitelným manažerským rozhodnutím, ale zákonnou povinností. Při zavádění IT procesů nezačínají organizace na zelené louce, ale užívají širokou škálu různých standardů, metodik a rámců, z nichž nejrozšířenější je ITIL. Jedním z dílčích cílů této práce proto je navrhnout procesní model řízení změn, který bude naplňovat požadavky nové VKB a zároveň bude respektovat zásady nejlepší praxe dle ITILu. Dalším dílčím cílem je konfrontovat tento model s reálným řízením změn v IS KII na příkladu Vízového informačního systému, na základě čehož budou stanovena doporučení, jak řízení změn v IS KII zlepšit a která specifika je při definování procesu zapotřebí zohlednit.Toto téma nebylo dosud nikým zpracováno a je velice aktuální, neboť pro IS KII, které byly určeny přede dnem nabytí účinnosti nové VKB, se účinnost nové VKB posouvá o jeden rok, tj. na 28. 5. 2019. Výstupy této práce tedy představují přínos zejména pro organizace, které se na zajišťování souladu s požadavky nové VKB na řízení změn připravují. …moreless

Abstract:

The aim of this diploma thesis is to analyse change management in information systems of critical information infrastructure (IS CII). IS CII are defined by the Law on cyber security (Law No. 181/2014 Coll.) and they include systems which have huge impact on the security of CZ and the whole EU. This year a new Regulation on cyber security (Regulation No. 82/2018 Coll.) has been adopted as a subsequent legal act to the Law on cyber security. The new Regulation imposes new commitments on the affected entities including an obligation to manage changes in IS. For the first time in history, organisations which run IS CII find themselves in a situation, in which change management is not an optional managerial decision anymore, but a legal obligation. When implementing IT processes, organisations are not doing so from scratch – they are using various standards, methodologies and frameworks, from which ITIL is the most common. Therefore, one of the objectives of this thesis is to design a change management process model which will be compliant with the requirements of the new Regulation and which will respect ITIL's best practices principles at the same time. Another objective is to compare this model with real change management in IS CII on an example of Visa Information System. Based on this activity, a list of recommendations will be made regarding how to improve change management in IS CII and which particularities it is necessary to take into consideration when defining the process.This topic was not yet elaborated by anyone and is very hot, given the fact that for IS CII which were determined before the new Regulation has entered into force (28th May 2018), the entry into force of the new Regulation is postponed until 28th May 2019. Therefore, the outcomes of this thesis might be beneficial for organisations which are now preparing for ensuring compliance with the requirements of the new Regulation on change management. …moreless