Документация при проведении аудита
320.00K
Категория: ПравоПраво
Похожие презентации:
Управление Ит-сервисами
Управление Ит-сервисами
Стандартизация в области управления ИБ
Стандартизация в области управления ИБ
Управление сервисами и методологиями COBIT. Описание, принципы
Управление сервисами и методологиями COBIT. Описание, принципы
Введение в основные понятия управления IT-услугами
Введение в основные понятия управления IT-услугами
Концептуальная основа процессов ИТ-службы предприятия. (Лекция 2)
Концептуальная основа процессов ИТ-службы предприятия. (Лекция 2)
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Стандарты, на которых основывается работа ИТ-службы
Стандарты, на которых основывается работа ИТ-службы
Разработка ИТ-стратегии. Сбор данных. (Лекция 5)
Разработка ИТ-стратегии. Сбор данных. (Лекция 5)
Аудит безопасности информационных систем
Аудит безопасности информационных систем

Документация при проведении аудита

1. Документация при проведении аудита

2.

Что такое audit charter?
Что он должен содержать?

3.

Аudit charter/договор
Документ
1. Цели.
2. Заказчик.
3. Сроки.
4. Объем работ.
5. Оргштатную структуру
6. Распределение обязанностей
7. Ответственность за результаты.
8. Процедуры. Собрания.
9. Формат отчетного документа

4.

Что должен содержать отчет
по результатам аудита?

5.

Что должен содержать отчет
по результатам ИТ аудита?
В зависимости от целей:
1.
Информацию по проведенным работам.
2.
Описание степени зрелости ИТ процессов.
3.
Описание инфраструктуры
4.
Описание узких мест
5.
Описание рисков со стороны ИТ
6.
Рекомендации по исправлению ситуации

6.

Какие еще документы могут быть разработаны
по результатам ИТ аудита?
•Отчет о результатах аудита информационной безопасности
компании.
•Долгосрочный план развития ИТ/ИС;
•Краткосрочный план развития ИТ/ИС;
•Отчет о текущем состоянии ИТ/ИС.
•Техническое задание на изменение ИТ/ИС
•Методология работы и настройки (доводки) ИТ/ИС компании.
•Концепция построения политики безопасности ИТ/ИС компании.
•Политика безопасности ИТ/ИС компании.
•План восстановления ИТ/ИС в чрезвычайной ситуации.
•Порядок действий в случае нарушения защиты информации.
•План-график проведения последующих ИТ-аудитов.

7.

Какие могут быть заказчики аудита?

8.

Заказчики аудита?
Руководство ИТ и пр департампентов
(ИТ директор, ИТ менеджер….)
Руководство компании
(Ген. Дир, Фин.дир, Директор по безопасности)
Внешние заказчики
(владельцы, управляющие компании)

9.

Внешний и внутренний аудит
по отношению к ИТ отделу
С какой стороны баррикад аудитор и ИТ директор?
1. Начал тормозить сервер 1С. Своими силами решить
проблему не получается.
Пригласили внешних специалистов по аудиту
производительности.
Как будет восприниматься такой аудит директором по ИТ?
2. Директор по информационной безопасности забирает ИТ
отдел под себя. Или
По другой причине. Перед этим он проводит аудит силами
сотрудников отделов СБ и ИТ .
Как будет восприниматься такой аудит ИТ директором?

10.

Как обычно воспринимают
сотрудники отдела
Внешний аудит?

11.

Как частота проведения аудита
влияет на сопротивление персонала?

12.

При помощи каких мероприятий можно
Снизить сопротивление персонала?

13.

PR работ по аудиту?

14.

Как влияет степень зрелости
ИТ процессов на
процедуру аудита?

15.

Оргструктура для внутреннего аудита ИТ
?

16.

Служба контроля качества ИТ
1. Руководитель.
2. Бизнес аналитики и стюарды данных.
3. Специалисты по инфраструктуре.
4. Специалисты по программному
обеспечению и базам данных

17.

Служба контроля качества ИТ
1. Руководитель.
2. Бизнес аналитики и стюарды данных.
3. Специалисты по инфраструктуре.
4. Специалисты по программному
обеспечению и базам данных
Мотивация?

18.

Вопросы руководства компании к ИТ по Cobit
• Как извлечь ценность из ИТ? Удовлетворены ли конечные
пользователи качеством ИТ-услуг?
• Как управлять производительностью ИТ?
• Как лучше использовать новые технологии для реализации
стратегических возможностей?
• Как лучше организовать ИТ-подразделение?
• Насколько сильна зависимость от внешних поставщиков?
Каким образом управляются внешние соглашения по ИТ? Как
обеспечить уверенность в качестве работы внешних
поставщиков?
• Каковы контрольные требования к информации?

19.

Вопросы руководства компании к ИТ по Cobit
• Как управляются связанные с ИТ риски?
• Является ли эксплуатация ИТ рациональной и
отказоустойчивой?
• Каким образом контролируются затраты на ИТ? Как
использовать ИТ-ресурсы наиболее рациональным и
эффективным
образом? Каковы наиболее рациональные и
эффективные способы получения ресурсов (сорсинга**)?
• Достаточно ли персонала в ИТ-департаменте? Как
развивать и поддерживать их навыки и как управлять их
производительностью?

20.

Вопросы руководства компании к ИТ по Cobit
• Как обеспечить независимый контроль качества ИТ?
• Обеспечивается ли безопасность обрабатываемых данных?
• Как увеличить гибкость бизнеса, используя более гибкую ИТсреду?
• Достигают ли ИТ-проекты нужного результата, и если нет, то
почему? Помогают ли ИТ реализации бизнес-стратегии?
• Насколько критичны ИТ для устойчивости бизнеса? Что
произойдет, если ИТ будут недоступны?
• Какие критически важные бизнес-процессы зависят от ИТ, и
каковы требования этих бизнес-процессов?
• Каков средний перерасход операционных ИТ-бюджетов? Как
часто и на сколько ИТ-проекты перерасходуют бюджет?

21.

Вопросы руководства компании к ИТ по Cobit
• Какая часть ИТ-ресурсов направляется на тушение пожаров, в
сравнении с ресурсами, направляемыми на совершенствование
бизнеса?
• Является ли фактическое количество ИТ-ресурсов и
инфраструктуры достаточным для реализации стратегических
целей предприятия?
• Сколько времени уходит на принятие важнейших решений в ИТ?
• Прозрачны ли затраты и инвестиции в ИТ?
• Поддерживают ли ИТ предприятие в вопросах следования
регулирующим требованиям и уровням услуг? Как
обеспечитьvуверенность в соблюдении всех требований?

22.

Вопросы внешних заинтересованных сторон
• Как обеспечить уверенность в том, что операционная
деятельность моего бизнес-партнёра надёжна и обеспечена
мерами безопасности?
• Как обеспечить уверенность в том, что деятельность
предприятия соответствует принятым правилам и
регулирующим нормам?
• Как обеспечить уверенность в том, что на предприятии
поддерживается эффективная система внутреннего контроля?
• Контролируют ли бизнес-партнёры цепочку обмена
информацией между ними?

23.

Как могут использоваться
результаты такого
аудита, заказанного собственниками?

24.

Как могут применяться результаты такого
аудита, заказанного собственниками?
1. Выделение дополнительных средств на модернизацию ИТ.
В первую очередь, на узкие места, выявленные в процессе ИТ
аудита.
2. Смена руководства компании или ИТ департамента.
3. Проведение реорганизации ИТ отдела и компании в целом.
4. Смена технических решений и подходов по рекомендациям.

25.

Договор на проведение ИТ аудита
1. Не надо сразу делать договор на большой объем работ.
2. Цели и заказчик, процедуры, бюджет, результаты,
методология.
3. Важно компетенции и опыт аудитора.
4. Текущие цены на работы по ИТ аудиту

26.

Шаги в рамках аудита
1. Устав, договор или аналогичные документы, описывающие
проект аудита.
2. Приказ генерального директора.
3. Собрание сотрудников, где будет происходить аудит.
4. Управление слухами.
5. PR проекта.
6. Анализ документов и данных мониторинга
7. Интервью
8. Стресс тесты
9. Аудиторское заключение
10. Повторный аудит на устранение ошибок
English     Русский Правила