Tvrtke se suočavaju sa širokim rasponom vladinih propisa i zakonskih zahtjeva. Javna poduzeća moraju imati svoja financijska izvješća i sustave informacijske tehnologije (IT) koji ih redovito pohranjuju u skladu sa Zakonom Sarbanes-Oxley. Standard sigurnosti podataka industrije platnih kartica zahtijeva da tvrtke koje obrađuju kreditne kartice budu revidirane kako bi se osiguralo da su njihovi računalni sustavi sigurno konfigurirani. Tvrtke unajmljuju revizorske tvrtke treće strane kako bi pregledale svoje sustave i provjerile usklađenost s tim standardima.
zadaci
Revizori traže nekoliko osnovnih stvari po dolasku u tvrtku. To uključuje dokumentirane politike i procese i dokaze da se te politike i postupci poštuju. Što je politika tvrtke detaljnija, revizoru je lakše obavljati svoj posao. Tvrtke moraju uspostaviti okvir na kojem će graditi svoje politike i procese. IT revizori su upoznati sa standardima, kao što su kontrolni ciljevi za IT (COBIT) ili ISO 27001. Svaka od tih vodičkih tvrtki pruža kontrolne popise kako osigurati sigurne podatke. Revizori koriste ove kontrolne popise kako bi osigurali temeljitu reviziju.
Primjer dokumentacije, pravila i procedure Kontrolni popis
- Odredite postoji li proces upravljanja promjenama i je li formalno dokumentiran.
- Odredite ima li operacija upravljanja promjenama trenutni popis vlasnika sustava.
- Odredite odgovornost za upravljanje i koordinaciju promjena.
- Odredite postupak za rast i istraživanje neovlaštenih promjena.
- Odredite tijekove upravljanja promjenama unutar organizacije.
Kontrolni popis za promjenu uzorka i odobrenje
- Provjera metodologije koja se koristi za pokretanje i odobravanje promjena.
- Odredite jesu li prioriteti dodijeljeni zahtjevima za promjenom.
- Potvrdite procijenjeno vrijeme dovršetka i priopćite troškove.
- Procijenite proces koji se koristi za kontrolu i nadzor promjena.
Primjer IT sigurnosnog popisa.
- Potvrdite da su svi nepotrebni i nesigurni protokoli onemogućeni.
- Provjerite je li minimalna duljina zaporke postavljena na 7 znakova.
- Provjerite koriste li se složene lozinke.
- Uvjerite se da je sustav ažuriran s zakrpama i servisnim paketima.
- Provjerite je li starenje lozinke postavljeno na 60 dana ili manje.