przewodnik audytora systemów informatycznych full scan.pdf

Zarządzanie ryzykiem ..............................................................................................90

Pytania do rozdziału 5. ..........................................................................................103

System zarządzania bezpieczeństwem informacji ......................................... 105

Ustanowienie ISMS ...............................................................................................106

Wdrożenie i eksploatacja .......................................................................................108

Monitorowanie i przegląd .......................................................................................108

Utrzymanie i doskonalenie .....................................................................................109

Wymagania dotyczące dokumentacji ....................................................................109

Przegląd realizowany przez kierownictwo .............................................................110

Pytania do rozdziału 6. ..........................................................................................112

Model PDCA w procesach ISMS ..................................................................... 113

Faza planowania ....................................................................................................114

Faza wykonania .....................................................................................................115

Faza sprawdzania ..................................................................................................116

Faza działania ........................................................................................................118

Pytania do rozdziału 7. ..........................................................................................119

Wprowadzenie do audytowania ...................................................................... 121

Statut audytu — prawa i powinności audytora ......................................................126

Kodeks Etyki Zawodowej .......................................................................................127

Klasyfikacja audytów .............................................................................................128

Porównanie kontroli, audytu i controllingu .............................................................155

Pytania do rozdziału 8. ..........................................................................................158

Standaryzacja w audycie i bezpieczeństwie systemów informatycznych ...... 159

Regulacje prawne ..................................................................................................161

Standardy typu best practice .................................................................................169

Standardy umożliwiające certyfikację ....................................................................193

Pytania do rozdziału 9. ..........................................................................................210

Przegląd znanych metodyk prowadzenia audytu

systemów informatycznych ............................................................................ 213

COBIT ....................................................................................................................214

LP-A .......................................................................................................................239

MARION .................................................................................................................251

4 SPIS TREŚCI

OSSTM .................................................................................................................. 252

TISM ...................................................................................................................... 261

Pytania do rozdziału 10. ........................................................................................ 272

Wykonanie audytu ...........................................................................................275

Obiekty, zakres i cel .............................................................................................. 277

Fazy audytu ........................................................................................................... 282

Zawartość dokumentacji ....................................................................................... 282

Dowody audytowe ................................................................................................. 292

Proces audytowy ................................................................................................... 297

Pytania do rozdziału 11. ........................................................................................ 315

Planowanie długoterminowe ...........................................................................319

Ocena potrzeb audytu ........................................................................................... 320

Roczny plan audytu ............................................................................................... 322

Plan strategiczny ................................................................................................... 324

Pytania do rozdziału 12. ........................................................................................ 325

Planowanie ciągłości działania .......................................................................327

Rola audytu w planowaniu ciągłości działania ...................................................... 328

Metodyka audytowania planu ciągłości działania ..................................................... 330

Pytania do rozdziału 13. ........................................................................................ 337

Wykorzystanie oprogramowania narzędziowego w audycie ..........................339

Komputerowe techniki wspomagania audytu ....................................................... 340

Wymagania standardów ........................................................................................ 351

Klasyfikacja programów wspomagających audyt ................................................. 355

Pytania do rozdziału 14. ........................................................................................ 357

Podsumowanie ................................................................................................359

Literatura .........................................................................................................361

Źródła internetowe ..........................................................................................375

Odpowiedzi do pytań testowych .....................................................................405

Skorowidz .......................................................................................................407

SPIS TREŚCI 5

Wykonanie audytu

W celu poprawnego przeprowadzenia audytu ważne jest, by zasto-

sować właściwą metodykę (rozdział 10.) oraz odpowiednio wskazać

zakres i obiekty badania. Ścisła integracja systemów informatycznych

i procesów biznesowych przy ciągłym wzroście złożoności tych sys-

temów oraz szybkim tempie zmian biznesowych sprawia, że niemal

każdy element środowiska informatycznego jednostki może stać się

obiektem audytu. Techniką przydatną do poprawnego wykonania

przeglądu jest podejście wykorzystujące analizę ryzyka (rozdział 5.).

Dzięki zastosowaniu tego rozwiązania audytor ma pewność, że bada

obszary obarczone najwyższym ryzykiem materializacji zagrożenia.

Odmiennym sposobem prowadzenia audytu jest ocena całego śro-

dowiska i systemów operacyjnych jednostki. Rozwiązanie to nazy-

wane jest często starym modelem audytowania (tabela 11.1).

Audytor powinien zdefiniować zbiór procesów, by wyznaczyć obiek-

ty kontroli, zebrać i przeanalizować dowody oraz opracować wnioski

oraz rekomendacje w ramach raportowania.

W celu poprawnej realizacji audytu należy wykonać następujące czyn-

ności:

zaplanować spotkanie audytowe;

stworzyć procedury audytu z uwzględnieniem oszacowanego po-

ziomu ryzyka nieregularnych i nielegalnych zdarzeń;

założyć, że zdarzenia te nie są odosobnione;

Tabela 11.1. Porównanie starego (tradycyjnego) modelu audytowania i nowoczesnego

podejścia wykorzystującego analizę ryzyka

Proces audytu

Audyt nowoczesny

Audyt tradycyjny

Rodzaje

audytów

Podział na audyt projektów

i ciągły proces audytowy

Wyróżnia się audyt finansowy,

operacyjny, informatyczny

i zgodności

Obszar audytu

Wszystkie systemy, za pomocą

których realizowane są cele

biznesowe, zidentyfikowane są

w badanej jednostce

W pierwszej kolejności

aydytowana jest działalność

operacyjna i zgodność z prawem

Cele audytu

Określenie, czy ryzyko zostało

ograniczone do dopuszczalnego

poziomu

Ocena systemu kontroli

wewnętrznej pod kątem jego

efektywności i wydajności

Planowanie

Wybór zadań audytowych

z wykorzystaniem analizy ryzyka

Plany audytów niekoniecznie

muszą być powiązane z analizą

ryzyka

Zaangażowanie

pracowników

jednostki

Wysoki stopień zaangażowania

pracowników jednostki

audytowanej we wszystkich

fazach audytu

Zaangażowanie niewielkie,

zwykle dotyczy tylko zapoznania

z programem audytowym,

wstępnej oceny raportu,

potwierdzenia zawartych

w raporcie końcowym wniosków

i rekomendacji

Realizacja

audytów

Możliwość równoczesnego

wykonywania kilku zadań

audytowych

Audytor realizuje zadania

audytowe kolejno jedno

po drugim

Cele testowania

Znalezienie błędów

funkcjonowania systemu

kontroli oraz wykorzystanie

analizy ryzyka do określenia,

które nieprawidłowości

są najważniejsze

i wymagają oceny

Znalezienie błędów

funkcjonowania systemu kontroli

bez uwzględniania ich istotności

Raportowanie

Zapewnienie podmiotu

zlecającego audyt, że wszystkie

rodzaje ryzyka znajdują się

na akceptowalnym poziomie,

oraz wskazanie tych rodzajów

ryzyka, które należy ograniczyć

Potwierdzenie poprawności

funkcjonowania systemu kontroli

wewnętrznej oraz wskazanie

jego ewentualnych słabości

276 ROZDZIAŁ 11. WYKONANIE AUDYTU

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: