Компании сталкиваются с широким спектром государственных норм и требований законодательства. Публичные компании должны регулярно проверять свои финансовые отчеты и системы информационных технологий (ИТ), в которых они хранятся, в соответствии с Законом Сарбейнса-Оксли. Стандарт безопасности данных индустрии платежных карт требует, чтобы компании, которые обрабатывают кредитные карты, проходили аудит для обеспечения безопасной конфигурации их компьютерных систем. Компании нанимают сторонние аудиторские фирмы для проверки своих систем и проверки соответствия этим стандартам.
Задачи
Аудиторы ищут несколько основных вещей по прибытии в компанию. К ним относятся документированные политики и процессы и доказательства того, что эти политики и процедуры выполняются. Чем детальнее политика компании, тем проще для аудитора выполнять свою работу. Компании должны создать основу для построения своей политики и процессов. ИТ-аудиторы знакомы со стандартами, такими как контрольные цели для ИТ (COBIT) или ISO 27001. Каждая из этих компаний направляет компании, предоставляя контрольные списки способов защиты конфиденциальных данных. Аудиторы используют эти контрольные списки для обеспечения тщательного аудита.
Образец документации, контрольный список политик и процедур
- Определите, существует ли процесс управления изменениями и официально ли он документирован.
- Определите, есть ли у текущих операций управления изменениями список владельцев системы.
- Определить ответственность за управление и координацию изменений.
- Определите процесс эскалации и расследования несанкционированных изменений.
- Определите потоки управления изменениями в организации.
Контрольный список инициации и утверждения образца
- Убедитесь, что методология используется для инициирования и утверждения изменений.
- Определите, назначены ли приоритеты запросам на изменение.
- Проверьте предполагаемое время до завершения и расходы сообщаются.
- Оцените процесс, используемый для контроля и мониторинга изменений.
Пример контрольного списка по информационной безопасности.
- Убедитесь, что все ненужные и незащищенные протоколы отключены.
- Убедитесь, что минимальная длина пароля установлена на 7 символов.
- Убедитесь, что используются сложные пароли.
- Убедитесь, что в системе установлены исправления и пакеты обновления.
- Убедитесь, что срок действия пароля установлен на 60 дней или меньше.