Компанії стикаються з широким набором урядових норм і законодавчих вимог. Публічні компанії повинні мати свої фінансові звіти та системи інформаційних технологій (ІТ), які регулярно зберігають їх під аудитом відповідно до Закону Сарбейнса-Окслі. Стандарт безпеки даних промисловості платіжних карт вимагає від компаній, які обробляють кредитні картки, перевіряти їх належним чином. Компанії наймають сторонні аудиторські фірми для перевірки їх систем та перевірки відповідності цим стандартам.
Завдання
Аудитори шукають кілька основних речей після прибуття в компанію. До них відносяться задокументовані політики та процеси та докази того, що ці політики та процедури дотримуються. Чим детальніше політика компанії, тим легше для аудитора виконувати свою роботу. Компанії повинні створити основу для побудови своєї політики та процесів. Аудитори ІТ знайомі зі стандартами, такими як цілі контролю для ІТ (COBIT) або ISO 27001. Кожна з цих керівних компаній надає контрольні списки щодо захисту конфіденційних даних. Аудитори використовують ці контрольні списки для забезпечення ретельного аудиту.
Контрольний перелік прикладних документів, політики та процедур
- Визначте, чи існує процес управління змінами і чи є офіційно задокументований.
- Визначте, чи має операція керування змінами поточний список власників систем.
- Визначити відповідальність за управління та координацію змін.
- Визначте процес ескалації та розслідування несанкціонованих змін.
- Визначити потоки управління змінами всередині організації.
Контрольний список ініціювання зміни та схвалення зразка
- Перевірка методології використовується для ініціювання та затвердження змін.
- Визначте, чи призначаються пріоритети запитам змін.
- Перевірте очікуваний час до завершення та повідомляйте про витрати.
- Оцініть процес, який використовується для контролю та моніторингу змін.
Зразок контрольного переліку ІТ-безпеки.
- Переконайтеся, що всі непотрібні та небезпечні протоколи вимкнено.
- Переконайтеся, що мінімальна довжина пароля встановлена на 7 символів.
- Переконайтеся, що використовуються складні паролі.
- Переконайтеся, що система оновлюється з виправленнями та пакетами оновлень.
- Переконайтеся, що старіння пароля встановлено на 60 днів або менше.