Companiile se confruntă cu o gamă largă de reglementări guvernamentale și cerințe legale. Companiile publice trebuie să aibă situațiile financiare și sistemele informatice (IT) care le stochează periodic în conformitate cu Legea Sarbanes-Oxley. Standardul de securitate a datelor privind cardul de plată impune ca societățile care procesează cardurile de credit să fie auditate pentru a se asigura că sistemele lor informatice sunt configurate în siguranță. Companiile angajează firme de audit terță parte să-și inspecteze sistemele și să verifice respectarea acestor standarde.
Sarcini
Auditorii caută câteva lucruri de bază atunci când ajung la o companie. Acestea includ politici și procese documentate și dovezi că aceste politici și proceduri sunt respectate. Politicile mai detaliate ale unei companii sunt mai ușor pentru auditor să-și facă munca. Companiile trebuie să stabilească un cadru pe baza căruia să își construiască politicile și procesele. Auditorii IT sunt familiarizați cu standardele, cum ar fi obiectivele de control pentru IT (COBIT) sau ISO 27001. Fiecare dintre aceste companii de ghidare oferă liste de verificare a modului de a asigura date sensibile. Auditorii folosesc aceste liste de verificare pentru a asigura un audit aprofundat.
Documentație de verificare, lista de verificare a politicilor și procedurilor
- Determinați dacă există un proces de gestionare a modificărilor și este documentat în mod oficial.
- Determinați dacă operațiunile de gestionare a schimbărilor au o listă actuală de proprietari de sistem.
- Determina responsabilitatea pentru gestionarea si coordonarea schimbarilor.
- Determinați procesul de escaladare și investigare a modificărilor neautorizate.
- Determinați fluxurile de gestionare a schimbărilor în cadrul organizației.
Listă de verificare pentru inițierea schimbării și aprobarea modificărilor
- Verificați o metodologie utilizată pentru inițierea și aprobarea modificărilor.
- Determinați dacă prioritățile sunt atribuite solicitărilor de modificare.
- Verificați timpul estimat până la finalizare și costurile sunt comunicate.
- Evaluați procesul utilizat pentru a controla și monitoriza modificările.
Exemplu Listă de verificare IT Security.
- Confirmați că toate protocoalele inutile și nesigure sunt dezactivate.
- Verificați dacă lungimile minime ale parolei sunt setate la 7 caractere.
- Verificați dacă sunt utilizate parole complexe.
- Asigurați-vă că sistemul este actualizat cu patch-uri și service pack-uri.
- Verificați dacă îmbătrânirea parolei este setată la 60 de zile sau mai puțin.