Dlaczego warto?
Audyt informatyczny służy sprawdzeniu czy rozwój, wdrażanie i obsługa systemów informatycznych spełniają cele biznesowe, chronią zasoby informacyjne i zachowują integralność. Audyt to proces analizy wdrożenia systemów informatycznych oraz informatycznych mechanizmów kontroli.
Ustalenia pomiędzy Zamawiającym a Wykonawcą:
- Ustalenie celów i zakresu audytu informatycznego
- Szacowanie ryzyka przy ustalaniu próbek audytu
- Stworzenie programu audytu
- Rozpoznanie źródeł informacji
- Określenie technik i narzędzi pozyskiwania informacji
Zakres audytu:
Badanie ładu informatycznego:
- Kontekstu organizacji kierunku, potrzeb i monitoringu
- Strategii i planowania informatycznego
- Struktury, standardów, polityk i procesów organizacyjnych
- Polityki zarządzania zasobami ludzkimi, polityki dotyczącej dokumentacji i przechowywania dokumentów, polityki outsourcingu, polityki bezpieczeństwa informatycznego
- Weryfikacja przypisanych funkcji, ról i odpowiedzialności
- Badanie kontroli wewnętrznej
- Zarządzania ryzykiem
- Mechanizmów zgodności
- Ocena decyzji inwestycyjnych dotyczących rozwijania i nabywania rozwiązań
- Eksploatacji systemów informatycznych
- Przypisanych zasobów i ludzi do realizacji celów informatycznych
Ocena rozwoju i nabywania rozwiązań informatycznych:
- Ustalanie wymagań i zarządzanie rozwojem
- Zarządzanie i kontrola projektu
- Zapewnienie jakości i testowanie
- Akwizycja i dokumentacja projektów
- Zarządzanie konfiguracją
Weryfikacja działania obszaru działu IT:
- Zarządzanie ciągłością usług IT, zarządzanie bezpieczeństwem informacji, zarządzanie przepustowością, zarządzanie problemami i incydentami, Zarządzanie zmianą
- Umowy o gwarantowanym poziomie usług (SLA)
Ocena korzystania ze źródeł zewnętrznych – outsourcing IT:
- Polityki outsourcingu
- Pozyskiwanie i dokumentowanie wymagań systemu i materiałów referencyjnych
- Zarządzanie dostawcą/kontrahentem
- Umowa o gwarantowanym poziomie usług (SLA)
- Ocena korzyści
- Bezpieczeństwo
Sprawdzenie planów ciągłości działania i planów odtwarzania utraconych zasobów:
- Polityki ciągłości działania, planów i organizacji
- Tworzenie funkcji ciągłości działania
- Oceny wpływu na działalność
- Oceny istotności i wrażliwości operacji komputerowych oraz identyfikacja zasobów wspomagających
- Identyfikacji i nadania priorytetów danym i operacjom o znaczeniu krytycznym
- Identyfikacji zasobów wspierających operacje o znaczeniu krytycznym
- Ustalenia priorytetów przetwarzania awaryjnego
- Zapobiegania potencjalnym uszkodzeniom i zakłóceniom oraz ich minimalizacja
- Wdrożenia procedur tworzenia kopii zapasowych danych i programu
- Szkoleń
- Planów konserwacji sprzętu, zarządzania problemami oraz zarządzania zmianą
- Środków zapobiegawczych oraz mechanizmów kontrolnych środowiska
- Planów odtwarzania utraconych zasobów
- Dokumentacja aktualnego planu odtwarzania utraconych zasobów
- Rozwiązania z alternatywnym miejscem
- Testowania, okresowego testowania planu ciągłości
- Aktualizacji planu ciągłości na podstawie wyników badań
- Bezpieczeństwa i podejmowanych środków i działań
- Tworzenia danych zapasowych oraz usługi odzyskiwania danych
Ocena bezpieczeństwa systemów informacyjnych:
- Środowiska bezpieczeństwa informacji, oceny ryzyka, polityki bezpieczeństwa, organizacji bezpieczeństwa informatycznego, zarządzania łącznością i operacjami, zarządzania zasobami, bezpieczeństwa zasobów ludzkich, bezpieczeństwa fizycznego i środowiskowego
- Kontroli dostępu
- Nabywania, rozwijania i konserwacji systemów informatycznych
- Zarządzania incydentami związanymi z bezpieczeństwem informatycznym, zarządzania ciągłością działania
- Zgodności z wymogami wewnętrznymi i zewnętrznymi
Badanie mechanizmów kontroli aplikacji:
- Mechanizmy kontroli wprowadzania danych, kontroli przetwarzania, bezpieczeństwa aplikacji
Podsumowanie oraz wnioski z przeprowadzonego audytu:
– Sporządzamy raport z wykonanych działań wraz z zaleceniami poprawy działań informatycznych
– Doradzamy w zakresie proponowanych zmian