Как планировать и использовать Чеклист ИТ-аудита
|
ИТ - аудит должен охватывать несколько основных элементов, чтобы эффективно определять и оценивать существующие ИТ-процессы. Наличие контрольного списка ИТ-аудита может упростить этот процесс и гарантировать, что никакие ключевые элементы не будут упущены. В этой статье мы узнаем, что должен включать ИТ-аудит и какие элементы обязательны для контрольного списка. Как планировать и использовать контрольный список ИТ-аудитаИТ-аудит предназначен для обеспечения соответствия ИТ-инфраструктуры, систем и процедур организации признанным стандартам и, что наиболее важно, целям организации. 1. ПланированиеНа начальном этапе исследования мы предлагаем работать с ИТ-персоналом, чтобы сначала понять ИТ-среду, риски и необходимые ресурсы. Понимание основных механизмов контроля и процедур ИТ-отдела, таких как управление изменениями в ИТ-отделе, безопасность и непрерывность бизнеса, гарантирует, что при проверки действительно можно будет сделать правильные выводы из своей работы. На этом этапе также важно определить объем проверки, поскольку не одни и те же области охватывает экспертиза. Некоторые из них сосредоточены на кибербезопасности, в то время как другие сосредоточены на управлении ИТ, а третьи могут быть сосредоточены на конкретных приложениях или процессах. Имея все это в виду, ответственные за проверку могут затем спланировать и провести аудит. Вот ключевые пункты контрольного списка, которые необходимо включить на этом этапе:
Наличие актуальной структуры проведения проверки может значительно упростить процесс аудита и обеспечить его тщательность и соответствие его целям. 2. Учесть факторы рискаКак уже упоминалось, точный процесс и характер аудита будут зависеть от объема аудита. Однако определение этой сферы охвата и важных моментов, которые необходимо охватить, может оказаться сложной задачей без руководства. При проведении полного аудита ИТ сверху вниз, включая системы управления рисками и управления ИТ, может быть очень полезным использовать конструктивные факторы, как синоним факторов ИТ-риска. К этим факторам относятся: • Стратегия предприятия • Цели предприятия • Характеристика рисков • Вопросы, связанные с I&T • Ландшафт угроз • Требования к соблюдению • Роль ИТ • Исходная модель для ИТ • Методы внедрения ИТ • Стратегия внедрения технологий • Размер предприятия Объем аудита, естественно, определит, какие из этих факторов должны быть оценены, а какие должны быть исключены. 3. Компоненты и оценкаЕсть семь конкретных компонентов, которые можно использовать для подробного описания процесса аудита. К ним относятся:
Каждый из этих семи компонентов может быть дополнительно адаптирован для удовлетворения конкретных потребностей организации и ее проверки. При оценке каждого компонента рассмотрите возможность использования шкалы зрелости процессов, которая оценивает процессы по шестибалльной шкале: • 0. Не хватает даже базовых возможностей. • 1. Не очень организованный, но процесс достигает своей цели. • 2. Процесс завершает свою основную цель с помощью действий, которые характеризуются как “выполненные”. • 3. Процесс более организован и использует организационные активы. • 4. Процесс четко определен и измерен. • 5. Процесс определен, измерен и постоянно совершенствуется. Эти оценки следует сравнить с желаемыми результатами, которые ранее были определены системой управления ИТ организации, и затем эти результаты должны быть сведены в отчет. 4. Завершение аудитаПосле завершения процесса аудита результаты должны быть сведены в отчет и представлены соответствующим заинтересованным сторонам. Когда ответственные за проверку создают этот отчет, важно четко документировать каждый аспект их процесса, включая:
Аудиторский отчет является заключительным этапом процесса и предоставит всю необходимую информацию любому, кто не знаком с процессом, его целью или результатами. Четкая документация процесса также может быть использована для обеспечения соблюдения надлежащих проверочных процедур и никакие ключевые моменты не будут упущены. |
