Audyt informatyczny służy sprawdzeniu czy rozwój, wdrażanie i obsługa systemów informatycznych spełniają cele biznesowe, chronią zasoby informacyjne i zachowują integralność. Audyt to proces analizy wdrożenia systemów informatycznych oraz informatycznych mechanizmów kontroli.
Dlaczego warto?
Audyt informatyczny służy sprawdzeniu czy rozwój, wdrażanie i obsługa systemów informatycznych spełniają cele biznesowe, chronią zasoby informacyjne i zachowują integralność. Audyt to proces analizy wdrożenia systemów informatycznych oraz informatycznych mechanizmów kontroli.
Ustalenia pomiędzy zamawiającym a wykonawcą
– Ustalenie celów i zakresu audytu informatycznego;
– Szacowanie ryzyka przy ustalaniu próbek audytu;
– Stworzenie programu audytu;
– Rozpoznanie źródeł informacji;
– Określenie technik i narzędzi pozyskiwania informacji.
Przykładowy zakres audytu
Badanie ładu informatycznego
– Kontekstu organizacji kierunku, potrzeb i monitoringu;
– Strategii i planowania informatycznego;
– Struktury, standardów, polityk i procesów organizacyjnych np.:
– Polityki zarządzania zasobami ludzkimi;
– Polityki dotyczącej dokumentacji i przechowywania dokumentów;
– Polityki outsourcingu;
– Polityki bezpieczeństwa informatycznego.
– Weryfikacja przypisanych funkcji, ról i odpowiedzialności;
– Badanie kontroli wewnętrznej;
– Zarządzania ryzykiem;
– Mechanizmów zgodności.
– Ocena decyzji inwestycyjnych dotyczących rozwijania i nabywania rozwiązań;
– Eksploatacji systemów informatycznych;
– Przypisanych zasobów i ludzi do realizacji celów informatycznych.
Ocena rozwoju i nabywania rozwiązań informatycznych
– Ustalanie wymagań i zarządzanie rozwojem;
– Zarządzanie i kontrola projektu;
– Zapewnienie jakości i testowanie;
– Akwizycja i dokumentacja projektów;
– Zarządzanie konfiguracją.
Weryfikacja działania obszaru działu IT
– Zarządzanie ciągłością usług IT;
– Zarządzanie bezpieczeństwem informacji;
– Zarządzanie przepustowością;
– Zarządzanie problemami i incydentami;
– Zarządzanie zmianą;
– Umowy o gwarantowanym poziomie usług (SLA).
Ocena korzystania ze źródeł zewnętrznych – outsourcing IT
– Polityki outsourcingu;
– Pozyskiwanie i dokumentowanie wymagań systemu i materiałów referencyjnych;
– Zarządzanie dostawcą/kontraktem;
– Umowa o gwarantowanym poziomie usług (SLA);
– Ocena korzyści;
– Bezpieczeństwo;
Sprawdzenie planów ciągłości działania i planów odtwarzania utraconych zasobów
– Polityki ciągłości działania, planów i organizacji;
– Tworzenie funkcji ciągłości działania;
– Oceny wpływu na działalność
– Oceny istotności i wrażliwości operacji komputerowych oraz identyfikacja zasobów wspomagających;
– Identyfikacji i nadania priorytetów danym i operacjom o znaczeniu krytycznym;
– Identyfikacji zasobów wspierających operacje o znaczeniu krytycznym;
– Ustalenia priorytetów przetwarzania awaryjnego;
– Zapobiegania potencjalnym uszkodzeniom i zakłóceniom oraz ich minimalizacja;
– Wdrożenia procedur tworzenia kopii zapasowych danych i programu
– Szkoleń;
– Planów konserwacji sprzętu, zarządzania problemami oraz zarządzania zmianą.
– Środków zapobiegawczych oraz mechanizmów kontrolnych środowiska;
– Planów odtwarzania utraconych zasobów
– Dokumentacja aktualnego planu odtwarzania utraconych zasobów;
– Rozwiązania z alternatywnym miejscem;
– Testowania
– Okresowego testowania planu ciągłości;
– Aktualizacji planu ciągłości na podstawie wyników badań
– Bezpieczeństwa i podejmowanych środków i działań
– Tworzenia danych zapasowych oraz usługi odzyskiwania danych
Ocena bezpieczeństwa systemów informacyjnych
– Środowiska bezpieczeństwa informacji;
– Oceny ryzyka;
– Polityki bezpieczeństwa;
– Organizacji bezpieczeństwa informatycznego;
– Zarządzania łącznością i operacjami;
– Zarządzania zasobami;
– Bezpieczeństwa zasobów ludzkich;
– Bezpieczeństwa fizycznego i środowiskowego;
– Kontroli dostępu;
– Nabywania, rozwijania i konserwacji systemów informatycznych;
– Zarządzania incydentami związanymi z bezpieczeństwem informatycznym;
– Zarządzania ciągłością działania;
– Zgodności z wymogami wewnętrznymi i zewnętrznymi.
Badanie mechanizmy kontroli aplikacji
– Mechanizmy kontroli wprowadzania danych;
– Mechanizmy kontroli przetwarzania;
– Mechanizmy kontroli wyprowadzania danych;
– Mechanizmy kontroli bezpieczeństwa aplikacji.
Podsumowanie oraz wnioski z przeprowadzonego audytu
– Sporządzamy raporty z wykonywanych działań wraz zaleceniami poprawy działań informatycznych;
– Doradzamy w zakresie proponowanych zmian.