Der IT- Audit Programm

Dieser Artikel enthält die wichtigsten Elemente, die in ein IT-Prüfprogramm aufgenommen werden sollen.

Im folgenden werden über diese Themen diskutiert:

1. Hintergrund des IT-Audit Programms
2. IT-Audit Programm als Beurteilung zur aktuellen Situation
3. Die Bedarfsermittlung des IT-Auditprogramms
4. Die Risikoeinschätzung

Die hier dokumentierten Schlüsselelemente des IT-Audit-Programms stammen aus der Sicht der Audit-Compliance oder des Auditors. Wenn Sie ein IT-Überwachungsprogramm implementieren, erzielen Sie großartige Ergebnisse, die mit weniger (möglicherweise null) Informationssicherheitsvorfällen und weniger (möglicherweise null) Prüfkommentaren, die während einer externen IT-Prüfung erstellt wurden, folgen.

Hintergrund des IT-Audit-Programms

Zu einem wirksamen Informationssicherheitsprogramm gehören Sensibilisierung, Schulung, Schulung, Richtlinien, Verfahren, Kontrollen, Überprüfungen und insbesondere die Trennung von Verantwortlichkeiten. Gute Informationssicherheitspraktiken erfordern jedoch mehr als korrekte Praktiken, um wirksam zu sein. Sie müssen echte und kontinuierliche Unterstützung und Einbindung des Managements haben.
Das Management muss in Bezug auf Informationssicherheitspraktiken proaktiv sein. Sie müssen ihre Leute wissen lassen, dass es durch Beispiele wichtig ist. Sie müssen stolz auf ihr Programm sein. Sie müssen dazu beitragen, dass sich die Menschen in ihren Einstellungen ändern. Durch folgende Punkte

• stark verwaltete Sicherheitsbewusstseinsprogramme.
• ein klares Verständnis der Gründe für Informationssicherheitspraktiken herbeiführen.
• echte Sorge um die Informationssicherheit.
• Unzufriedenheit mit weniger als großer Informationssicherheit.

Das Management muss das neu ernannte Management-Detail über die Informationssicherheitspraktiken des Unternehmens informieren und das bestehende Management jährlich aktualisieren.

Um mit Informationssicherheitspraktiken erfolgreich zu sein und ein IT-Audit-Programm zu bestehen, muss das Management außerdem sein Team mit klar definierten Rollen und Verantwortlichkeiten ohne Interessenkonflikte organisieren. Die Trennung der Verantwortlichkeiten muss ein wesentlicher Bestandteil der Informationssicherheit sein. Schulungen müssen nach Bedarf angeboten werden.

Hinweis: Der Nachweis muss während eines IT-Audit-Programms erbracht werden, um die jeweiligen Praktiken zu belegen. Archivieren Sie daher die Audit-Dokumentation mindestens sechs Monate.

Außerdem muss das Management lernen, „intelligenter“ zu verwalten. Die Vielzahl von Informationssicherheitspraktiken, die erforderlich sind, um die wichtigsten Bedenken und Probleme zu lösen, und die damit verbundene Arbeitsbelastung machen es erforderlich, dass das Management bei der Verwaltung der Verantwortlichkeiten für die Einführung dieser Praktiken einfallsreich ist und diese dauerhaft aufrechterhält.

IT-Audit Programm zur Beurteilung der aktuellen Situation

• Das IT-Audit-Programm weist immer wieder grundlegende Verstöße gegen die Informationssicherheit auf.
• Manager setzen sich nicht konsequent für gute Informationssicherheitspraktiken in ihren Arbeitsgruppen ein oder setzen diese durch.
• Mitarbeiter betrachten Software-Urheberrechtsverletzungen nicht als schwerwiegende Verstöße.
• Die Mitarbeiter sind sich der Probleme der Informationssicherheit im Zusammenhang mit Netzwerken nicht bewusst.
• Viren stellen eine zunehmende Bedrohung für Computersysteme des Unternehmens dar.
• Die Mitarbeiter sichern ihre Arbeit nicht konsequent und stellen sie außerhalb des Unternehmens ab, um die Wiederherstellung im Katastrophenfall zu erleichtern.
• Krisen- und Notfallmanagementpläne sind im gesamten Unternehmen nicht konsistent.
• Mitarbeiter betrachten Telekommunikationsbetrug oder -missbrauch nicht als schwerwiegende Straftaten.
• Die verteilte Verarbeitung verfügt nicht über die gleiche Steuerungsebene wie in Mainframe-Umgebungen.
• Erhöhtes „Hacken“.
• Der Diebstahl von Laptops wurde erhöht.
• Zunahme von weit verbreiteten Katastrophen wie Erdbeben, Überschwemmungen, Bränden.
• Keine Konsistenz der Notfallpläne auf allen Plattformen.
• Kein einheitliches Informationssicherheits-Informationsprogramm in allen Unternehmensbereichen des Unternehmens.

Hohe Bedarfsermittlung

Ein robustes Programm zur Verbesserung der Informationssicherheit wird immer die Unternehmens-IT-Richtlinie und die organisatorischen Ziele und Ziele unterstützen:

• Die IT-Richtlinien des Unternehmens geben Aufschluss über die Notwendigkeit des Bewusstseins für Informationssicherheit, und wenn nicht, sollte dies der Fall sein.
• Im Allgemeinen sieht das IT-Audit-Programm in den meisten Fällen ein Information Security Awareness-Programm als sichtbar an, mit dem oberflächliche Beweise dafür geliefert werden,
dass das Management betroffen ist, das Unternehmen kontrolliert wird, Informationen angemessen geschützt werden und Gesetze nicht verletzt werden.
• Der Wert kann in Bezug auf die Zielsetzung in Führungspositionen artikuliert werden.
• Die Ergebnisse können unausgesprochene Bedürfnisse von Unternehmen und Kunden antizipieren und befriedigen.

Die Risikoeinschätzung

Das IT-Prüfprogramm identifiziert potenzielle Risiken für Ihr Unternehmen und das Geschäft Ihrer Kunden, wenn kein formelles Programm zur Informationssicherheit besteht. Möglicherweise kennen Sie die Unternehmensrichtlinien, -verfahren und -praktiken nicht und können diese nicht einhalten, was möglicherweise zu Folgendem führt:
• Berichte zur schlechten Prüfung der Compliance; Zusätzlich zu lockerer Sicherheit ist dies normalerweise ein Ereignis, das die Karriere einschränkt.
• Verlust des Kundenvertrauens in Ihrem Unternehmen.
• Erhöhtes Risiko des Verlusts von Kundeninformationen.
• Gefahr für die Informationsintegrität.
• Gefahr der Vertraulichkeit von Informationen.
• Risiko für die Verfügbarkeit von Informationen.
• Erhöhte Anfälligkeit für Diebstahl.
• Erhöhte Anfälligkeit für nicht autorisierten Zugriff.
• Erhöhtes Risiko für die persönliche / körperliche Sicherheit.
• Unvorbereitetheit auf eine Katastrophe.

Einige Bereiche der Anfälligkeit oder des Risikos im Zusammenhang mit Informationssicherheit sind:

• Ethische Praktiken
• Computer Virus
• Persönliche Sicherheit
• Softwarepiraterie
• Umgang mit sensiblen Informationen
• PC-Sicherheitspraktiken
• Gebäudezugang
• Telekommunikationsbetrug
• Führungsbeispiel / -praktiken
• Krisenmanagement
• Notfallmanagement