Компаниите са изправени пред широк набор от правителствени разпоредби и законови изисквания. Публичните компании трябва да имат своите финансови отчети и системите за информационни технологии (ИТ), които ги съхраняват редовно в съответствие със Закона Сарбейнс-Оксли. Стандартът за защита на данните за индустрията за плащане с карти изисква компаниите, които обработват кредитни карти, да бъдат одитирани, за да се гарантира, че компютърните им системи са конфигурирани сигурно. Компаниите наемат одиторски фирми от трета страна, които да инспектират техните системи и да проверяват спазването на тези стандарти.
Задачи
Одиторите търсят няколко основни неща при пристигането си в компания. Те включват документирани политики и процеси и доказателства, че тези политики и процедури се спазват. Колкото по-подробна е политиката на компанията, толкова по-лесно е за одитора да върши работата си. Компаниите трябва да създадат рамка, в която да изграждат своите политики и процеси. Одиторите на ИТ са запознати със стандартите като контролни цели за ИТ (COBIT) или ISO 27001. Всяка от тези ръководни компании предоставя контролни списъци за осигуряване на чувствителни данни. Одиторите използват тези контролни списъци, за да осигурят задълбочен одит.
Примерна документация, правила за проверка и процедури
- Определете дали съществува процес на управление на промените и той е официално документиран.
- Определете дали операциите по управление на промените имат текущ списък на собствениците на системи.
- Определете отчетност за управлението и координирането на промените.
- Определете процеса за ескалиране и разследване на неразрешени промени.
- Определете потоците на управление на промените в организацията.
Контролен списък за иницииране на пробата и одобрение
- Проверка на използваната методология за започване и одобряване на промени.
- Определете дали на заявките за промяна са присвоени приоритети.
- Проверете очакваното време до приключване и разходите се съобщават.
- Оценете процеса, използван за контрол и наблюдение на промените.
Примерен контролен списък за ИТ сигурност.
- Потвърдете, че всички ненужни и несигурни протоколи са деактивирани.
- Проверете дали минималните дължини на паролата са зададени на 7 знака.
- Проверете дали се използват сложни пароли.
- Уверете се, че системата е актуална с пачове и сервизни пакети.
- Проверете дали стареенето на паролата е зададено на 60 дни или по-малко.