Аудит ИТ отдела
Ключевые слова: Информационнная система, аудит, безопасность
Сталивались когда-нибудь с подтверждением отчетности перед иностранными инвесторами?
Данный аудит проводился в рамках проверки бизнеса инвесторами.
Иностранные инвесторы хотят знать насколько можно доверять предоставленной отчетности об использовании их денежных средств и эфективности работы.
Список основных вопросов которые проверяются при прохождении аудита в ИТ отделе.
1. Организационная структура ИТ подразделения.
2. Описание служебных инструкций и действий сотрудников ИТ отдела:
- Наличие служебных инструкций с описанием требований, прав и обязанностей, ответственности и условий работы сотрудников.
- Наличие документов описывающих регламентные процедуры на случай непредвиденной ситуации.
3. Список работников с датой прихода и увольнения с предприятия, регистрация даты выдачи и даты закрытия доступа к системе.
4. Проверка документов в которых дано описание вопросов безопасности и контроля доступа к информационной системе и политика компании в отношении конечных пользователей.
Включает:
- Организация информационной безопасности;
- Классификация информационных ресурсов;
- Наличие лицензий на программное обеспечение;
- Порядок установки и выдачи разрешений на установку программного обеспечения;
- Физическая безопасность (особенно в отношении серверных помещений);
- Безопасность рабочих станций;
- Сетевая безопасность;
- Контроль за логическим доступом;
- Соответствие законодательным актам;
5. Перечисление систем которые используются для составления отчетности.
- Краткое описание;
- Формат хранения данных;
- Фирма разработчик;
- Способ разработки;
- Система управления базами данных;
- Операционная система (среда работы корпоративной системы);
6. Диаграмма взаимодействия систем, способы интеграции информационных потоков.
- Определение информационных потоков (способ интеграции, направление и содержание потоков)
- Указать способы шифрования при передаче данных;
- Принципиальная схема;
- Детальная схема;
(MS Visio)
7. Диаграмма локальной компьютерной сети с отображением взаимосвязи с корпоративной сетью (если локальная сеть является частью корпоративной)
- Наличие принципиальной схемы построения компьютерной сети;
- Детальная схема, с расположением компьютеров в сети;
- Указать скорость передачи данных;
- Скорость, способ и метод шифрования данных при организации информационных каналов передачи данных;
8. План возобновления работы системы и способ организации непрерывности ведения бизнеса в критичных ситуациях.
- Политика и процедуры по резервному копированию данных;
- Описание действий пользователя при возникновении нестандартной ситуации;
9. Документация, которая дает описание процесса внесения изменений в существующие системы, которые являются важными для составления отчетности.
- Описать порядок распоряжений на изменения программного обеспечения, порядок согласования изменений, контроль и тестирование.
10. Документация, которая дает описание процесса разработки и внедрения информационной системы.
11. Акты приемки и договора на поддержку систем, которые используются для подготовки финансовой отчетности.
12. Документы которые являются результатом проверок (аудита) деятельности ИТ отдела на соответствие утвержденным процедурам.
- Проверка прав доступа пользователей к информационной системе;
- Проверка параметров парольного контроля доступа к системе, конфигураций сетевых экранов;
- Проверка изменений внесенных в систему данных;
13. Процедуры контроля проблем и инцидентов в работе ИТ отдела;
14. Порядок распознавания, анализа, классификации причин вызвавших проблему, проверка ведения регистрации проблем и методов их решения.
Обсуждение: Безопасность: Обсуждение статьи КЗ: Основные вопросы при проведении аудита ИТ отдела |