Co to jest audyt informatyczny i co podlega badaniu?
W obszarze zainteresowania audytorów systemów informatycznych znajdują się takie zagadnienia jak:
- konfiguracja systemu operacyjnego
- efektywność wykorzystania narzędzi teleinformatycznych
- prawa dostępu
- wykonywanie kopii
- realizacja usług w outsourcingu
- bezpieczeństwo przechowywania haseł
- zabezpieczenia przed nieautoryzowanym dostępem
- wdrożenie polityki bezpieczeństwa
- projekty informatyczne
Audyt informatyczny jest procesem zbierania i oceniania dowodów w celu określenia, czy system informatyczny i związane z nim zasoby są właściwie chronione. Czy wykorzystują do tego oprogramowanie chroniące przed niepożądanymi zdarzeniami, utrzymujące integralność danych.
Proces przebiegu audytu:
- Szacowanie ryzyka i wstępne planowanie audytu – rozpoznanie firmy;
- Zapoznanie się z audytowanym obszarem – poznanie systemów informatycznych;
- Szczegółowe planowanie audytu – opracowanie planu przeprowadzenia audytu;
- Przeprowadzenie prac audytowych;
- Przygotowanie i zakomunikowanie sprawozdania – sporządzenie raportu;
- Zadania poaudytowe – monitorowanie rekomendacji i zaleceń wynikających ze sprawozdania.
Korzyści:
- Identyfikacja obszarów możliwego występowania nadużyć,
- Identyfikacja wrażliwych pod kątem bezpieczeństwa elementów procesu,
- Optymalizacja procesów zarządzania IT,
- Optymalizacja procesów zarządzania bezpieczeństwem,
- Optymalizacja polityk i procedur bezpieczeństwa w przedsiębiorstwie, w tym planów ciągłości działania,
- Niezależna weryfikacja poziomu bezpieczeństwa danych i informacji przetwarzanych w systemach IT,
- Uzyskanie praktycznych rekomendacji dotyczących minimalizacji zidentyfikowanych ryzyk oraz podniesienia poziomu bezpieczeństwa.
Koszt uzależniony jest od ilości stanowisk.