IT Audit Tool und Handbuch

In diesem Artikel handelt es sich um das IT Audit Tool und dem Handbuch. Folgende Themen werden in diesem Artikel näher besprochen:

1.) Umfang des IT Audit Tool
2.) Datenzugriffskontrolle
3.) Authentifizierung
4.) Privatsphäre
5.) Anwendungssicherheit
6.) Was ist vor einer Prüfung zu tun?
7.) Was ist während einer Prüfung zu tun?

Umfang des IT Audit Tool

Unter normalen Umständen führen Auditoren IT Audits durch, um zu überprüfen und sicherzustellen, dass das Unternehmen Informationen angemessen schützt. In Bezug auf diese Prüfungen erscheinen folgendene Punkte als angemessen:

• Kontrollen bezüglich des Zugangs zu Gebäuden und sensiblen Bereichen
• Steuert den Zugriff auf Ressourcen (Netzwerk, System, Anwendungen, Daten) während der Erstellung, Übertragung, Speicherung, Sicherung, Archivierung, Wiederherstellung oder Wiederherstellung von Informationen
• Steuerelemente in Bezug auf Identifikation und Authentifizierung, einschließlich inaktiver Sitzungslimits, Schwellenwerte für maximale Anmeldeversuche und Kennwortänderungssteuerungen
• Protokolle von nicht autorisierten und nicht erfolgreichen Versuchen, auf Anwendungen und Informationen zuzugreifen
• Kontrollen im Zusammenhang mit bösartiger Software (Viren und Würmer)
• Verfahren zur Geschäftskontinuität, einschließlich Wiederherstellungsplänen für Standorte und Anwendungen, Unterstützung von Sicherungs- und Wiederherstellungsprozessen, Offset-Speicher, alternative Verarbeitungsstrategien und Krisenmanagementpläne
• Aufbewahrungs-, Archivierungs- und Entsorgungsstandards und -verfahren für Informationen

Datenzugriffskontrolle

Der Zugriff auf Informationen darf nur mit Zustimmung des jeweiligen Informationsbesitzers gestattet werden. Datenzugriffsrechte müssen Benutzern auf Basis einer erforderlichen Kenntnis gewährt werden und in regelmäßigen Abständen klar definiert und überprüft werden.
Der Zugang zu einem Informationssystem, das vertrauliche oder klassifizierte Informationen enthält, muss durch die logische Zugriffskontrolle eingeschränkt werden.

Authentifizierung

Der Zugriff auf Verschlusssachen ohne entsprechende Authentifizierung darf nicht zulässig sein.
Die Authentifizierung muss in einer Weise durchgeführt werden, die der Empfindlichkeit der Informationen entspricht, auf die zugegriffen werden soll.

Privatsphäre

Das Management behält sich das Recht vor, alle Informationen zu überprüfen, die in firmeneigenen Computersystemen gespeichert oder übertragen werden.

Anwendungssicherheit

Das Anwendungsentwicklungspersonal muss die Sicherheitsplanung miteinschließen und die geeigneten Sicherheitsmaßnahmen und -kontrollen für in Entwicklung befindliche Systeme entsprechend den Sicherheitsanforderungen des Systems implementieren. Die Dokumentation und die Liste der Anträge müssen ordnungsgemäß gepflegt und auf der Basis von Kenntnissen und Anforderungen eingeschränkt werden. Um dieses IT-Audit-Tool sicherzustellen, müssen Sie sicherstellen, dass das Unternehmen vor Abschluss der Implementierung formelle Tests der Sicherheitskontrollen durchführt und überprüft. Die Integrität einer Anwendung muss mit geeigneten Sicherheitskontrollen wie Versionskontrollmechanismen und Trennung von Umgebungen für Entwicklung, Systemtests, Abnahmetests und Live-Betrieb aufrechterhalten werden.
Personal für Anwendungsentwicklung darf nicht auf Produktionsinformationen zugreifen, sofern dies nicht erforderlich ist.

Was ist vor einer Prüfung zu tun?

Überprüfen Sie stets alle vorherigen Prüfungsberichte, unabhängig davon, ob sie intern oder von einer externen Prüfungsgesellschaft erstellt wurden, und stellen Sie sicher, dass die durchzuführenden Maßnahmen bzw. die umzusetzenden Pläne tatsächlich durchgeführt wurden. Auditoren beginnen in der Regel eine Tätigkeit, indem sie nach vorherigen Auditberichten und zugehörigen Auditkommentaren suchen (normalerweise liegen Kopien vor). Die Prüfer führen zu jeder Prüfung umfangreiche Arbeitsunterlagen, die von anderen Prüfern genutzt werden können. Nur weil es eine andere Prüfteams gibt, bedeutet dies nicht, dass sie keine früheren Bedenken kennt. Auditing ist sehr subjektiv. Was ein Wirtschaftsprüfer möglicherweise nicht als ein Anliegen betrachtet, kann ein anderer nicht sein.
Das IT-Audit-Tool und die Handbücher werden für die Technologie ständig aktualisiert. Während der Amtszeit des Auditors wird den Auditoren in der Regel ein Prüfungsgegenstand zur Prüfung und Aktualisierung zugewiesen.

Was ist während einer Prüfung zu tun?

Stellen Sie sicher, dass Computerräume, Telefonschränke und Kommunikationsknotenräume gesichert bleiben. Auditoren als Besucher ein- und ausmelden. Erlauben Sie den Prüfern keinen freien Zugang zu den eingeschränkten Bereichen, am besten begleiten sie denen.

Führen Sie die Auditoren durch die Gegend und machen Sie sie mit den Einrichtungen wie Telefonen, Toiletten, Kaffeebereich, Verkaufsautomaten, Cafeteria, Evakuierungsrouten usw. vertraut. Stellen Sie sie dem zuständigen Personal vor. Seien Sie immer höflich zu den Auditoren, nicht zu freundlich, aber höflich. Vergewissern Sie sich, dass alle Meeting Teilnehmer (es gibt normalerweise Anstoß-, Tatsachenermittlungs-, Einverständnis- und Abschlussbesprechungen) pünktlich sind (Meetings sind normalerweise vorab vereinbart), aufmerksam, vorbereitet und bringen Sie alle gewünschten Leistungen mit.
Führen Sie ein Protokoll der Exponate, die den Prüfern übergeben wurden. Halten Sie informelle Gespräche auf ein Minimum. Treten Probleme oder größere Meinungsverschiedenheiten auf, treten Sie nicht in eine Konfrontationssituation mit den Prüfern. Stellen Sie sicher, dass Sie das entsprechende Management-Team engagieren. Wenn es Kompensationskontrollen gibt, die eingeführt wurden, müssen Sie sie bei den Diskussionen über dieses und nur über dieses spezielle Thema erwähnen. Versuchen Sie, Prüfungsfeststellungen während der laufenden Prüfung zu korrigieren, und dokumentieren Sie, was zur Behebung des Problems unternommen wurde.