Audit sistem maklumat menyediakan data yang berkaitan dan tepat tentang bagaimana IP berfungsi. Berdasarkan data yang diperoleh, adalah mungkin untuk merancang aktiviti untuk meningkatkan kecekapan perusahaan. Amalan menjalankan audit sistem maklumat adalah membandingkan standard, keadaan sebenar. Mereka mengkaji norma, piawaian, peraturan dan amalan yang digunakan di firma lain. Apabila menjalankan audit, seorang usahawan mendapat gambaran tentang bagaimana syarikatnya berbeza daripada syarikat yang berjaya di kawasan yang sama.
Pandangan umum
Teknologi maklumat di dunia moden sangat maju. Sulit untuk membayangkan perusahaan yang tidak mempunyai sistem maklumat dalam perkhidmatan:
- global;
- tempatan.
Ia adalah melalui IP yang syarikat boleh berfungsi dengan normal dan bersaing dengan masa. Metodologi sedemikian diperlukan untuk pertukaran maklumat yang cepat dan lengkap dengan persekitaran, yang membolehkan syarikat itu menyesuaikan diri dengan perubahan dalam infrastruktur dan keperluan pasaran. Sistem maklumat mesti memenuhi beberapa keperluan yang berubah dari masa ke masa (perkembangan baru, piawaian diperkenalkan, algoritma dikemas kini digunakan). Walau bagaimanapun, teknologi maklumat membolehkan anda membuat akses kepada sumber cepat, dan masalah ini diselesaikan melalui IP. Di samping itu, sistem moden:
- berskala
- fleksibel;
- boleh dipercayai;
- selamat.
Tugas utama audit sistem maklumat adalah untuk mengenal pasti sama ada IP yang dilaksanakan memenuhi parameter yang ditentukan.
Audit: jenis
Sangat kerap digunakan ialah audit proses yang dipanggil sistem maklumat. Contoh: pakar luaran menganalisis sistem yang dilaksanakan untuk perbezaan daripada piawaian, termasuk mengkaji proses pengeluaran, outputnya adalah perisian.
Audit boleh dijalankan bertujuan untuk mengenal pasti bagaimana sistem maklumat digunakan dengan betul dalam kerja. Amalan perusahaan itu dibandingkan dengan standard pengeluar dan contoh syarikat-syarikat antarabangsa yang terkenal.
Pengauditan sistem keselamatan maklumat perusahaan mempengaruhi struktur organisasi. Tujuan acara sedemikian adalah untuk mencari tempat yang nipis di dalam kakitangan jabatan IT dan mengenalpasti masalah, dan juga cadangan untuk penyelesaiannya.
Akhir sekali, pengauditan sistem keselamatan maklumat bertujuan untuk mengawal kualiti. Kemudian pakar dijemput menilai keadaan proses dalam perusahaan, menguji sistem maklumat yang dilaksanakan dan membuat beberapa kesimpulan mengenai maklumat yang diterima. Model yang biasa digunakan ialah TMMI.
Objektif audit
Audit strategik mengenai keadaan sistem maklumat membolehkan anda mengenal pasti kelemahan dalam IP yang dilaksanakan dan mengenalpasti di mana penggunaan teknologi tidak berkesan. Pada keluaran seperti itu, pelanggan akan mempunyai cadangan untuk menghapuskan kekurangan tersebut.
Audit membolehkan anda menilai seberapa mahalnya untuk membuat perubahan pada struktur semasa dan berapa lama ia akan mengambil masa. Pakar yang mengkaji struktur maklumat semasa syarikat akan membantu anda memilih alat untuk melaksanakan program peningkatan, dengan mengambil kira ciri-ciri syarikat. Berdasarkan hasilnya, anda juga boleh memberikan penilaian yang tepat tentang berapa banyak sumber yang diperlukan oleh syarikat.Mereka akan dianalisis intelektual, monetari, pengeluaran.
Peristiwa
Audit dalaman sistem maklumat termasuk pelaksanaan aktiviti seperti:
- Inventori IT;
- pengenalpastian beban pada struktur maklumat;
- penilaian statistik, data yang diperoleh semasa inventori;
- menentukan sama ada keperluan perniagaan dan keupayaan IP yang dilaksanakan adalah konsisten;
- penerbitan laporan;
- pembangunan cadangan;
- pengumuman dana NSI.
Hasil audit
Audit strategik mengenai keadaan sistem maklumat adalah prosedur yang: membolehkan anda mengenal pasti sebab-sebab kekurangan keberkesanan sistem maklumat yang dilaksanakan; untuk meramal tingkah laku IP semasa menyesuaikan aliran maklumat (bilangan pengguna, jumlah data); menyediakan penyelesaian bermaklumat yang membantu meningkatkan produktiviti (pemerolehan peralatan, penambahbaikan sistem yang dilaksanakan, penggantian); memberi cadangan yang bertujuan meningkatkan produktiviti jabatan syarikat, mengoptimumkan pelaburan dalam teknologi. Dan juga untuk membangunkan langkah-langkah yang meningkatkan tahap kualiti perkhidmatan sistem maklumat.
Ini penting!
Tidak ada IP sejagat yang sesuai dengan mana-mana perusahaan. Terdapat dua asas asas yang mana anda boleh membuat sistem unik untuk keperluan perusahaan tertentu:
- 1C.
- Oracle
Tetapi ingatlah bahawa ini hanya asas, tidak lebih. Segala penambahbaikan untuk membuat perniagaan yang berkesan, anda perlu program, dengan mengambil kira ciri-ciri perniagaan tertentu. Sesungguhnya anda perlu memasukkan fungsi yang hilang sebelum ini dan lumpuhkan yang disediakan oleh pemasangan asas. Teknologi moden untuk mengaudit sistem maklumat perbankan membantu memahami dengan tepat apa ciri IP yang perlu dan apa yang perlu dikecualikan supaya sistem korporat optimum, cekap, tetapi tidak terlalu "berat".
Audit Keselamatan Maklumat
Analisis untuk mengenal pasti ancaman terhadap keselamatan maklumat boleh terdiri daripada dua jenis:
- luaran;
- dalaman.
Yang pertama melibatkan prosedur satu kali. Dianjurkan oleh ketua syarikatnya. Adalah disyorkan untuk sentiasa mengamalkan langkah sedemikian untuk memastikan keadaan di bawah kawalan. Sejumlah syarikat saham dan organisasi kewangan telah memperkenalkan keperluan untuk audit luaran keselamatan IT yang akan dilaksanakan.
Dalaman - ini sering dijalankan aktiviti yang dikawal oleh akta pengawalseliaan tempatan "Peraturan mengenai Audit Dalaman". Pelan tahunan dibentuk untuk mesyuarat (ia disediakan oleh jabatan yang bertanggungjawab untuk audit), kata Ketua Pegawai Eksekutif, pengurus lain. Audit IT - beberapa kategori peristiwa, audit keselamatan bukanlah yang terakhir.
Matlamat
Objektif utama audit sistem maklumat dari segi keselamatan adalah untuk mengenal pasti risiko yang berkaitan dengan IP yang berkaitan dengan ancaman keselamatan. Di samping itu, acara membantu mengenal pasti:
- kelemahan sistem semasa;
- pematuhan sistem dengan standard keselamatan maklumat;
- tahap keselamatan pada masa sekarang.
Ketika menjalankan audit keselamatan, cadangan akan dirumuskan yang akan meningkatkan penyelesaian semasa dan memperkenalkan yang baru, sehingga menjadikan IP saat ini lebih aman dan dilindungi dari berbagai ancaman.
Sekiranya audit dalaman dijalankan untuk mengenal pasti ancaman kepada keselamatan maklumat, maka ia juga dipertimbangkan:
- dasar keselamatan, keupayaan untuk membangunkan dokumen baru, serta dokumen lain yang melindungi data dan memudahkan permohonan mereka dalam proses pengeluaran perbadanan;
- pembentukan tugas keselamatan untuk pekerja jabatan IT;
- analisis situasi yang melibatkan pelanggaran;
- melatih pengguna sistem korporat, kakitangan penyelenggaraan dalam aspek umum keselamatan.
Audit Dalaman: Ciri-ciri
Tugas yang disenaraikan yang ditetapkan untuk pekerja ketika menjalankan audit dalaman sistem informasi, pada dasarnya, bukan audit. Secara teoretikal menjalankan peristiwa hanya sebagai seorang pakar menilai mekanisme yang sistemnya selamat. Orang yang terlibat dalam tugas menjadi peserta aktif dalam proses dan kehilangan kemerdekaan, tidak dapat lagi menilai secara objektif situasi dan mengendalikannya.
Sebaliknya, dalam praktiknya, dalam audit dalaman, hampir mustahil untuk menjauhkan diri. Faktanya ialah untuk menjalankan kerja itu, pakar syarikat terlibat, pada masa lain terlibat dalam tugas lain dalam bidang yang sama. Ini bererti bahawa juruaudit adalah pekerja yang sama yang mempunyai kecekapan untuk menyelesaikan tugas-tugas yang disebutkan di atas. Oleh itu, anda perlu berkompromi: merosakkan objektiviti, melibatkan pekerja dalam amalan untuk mendapatkan hasil yang layak.
Audit Keselamatan: Langkah-langkah
Ini adalah dalam banyak cara yang serupa dengan langkah audit IT yang umum. Alokkan:
- permulaan peristiwa;
- mengumpul asas untuk analisis;
- analisis;
- pembentukan kesimpulan;
- pelaporan.
Memulakan prosedur
Pengauditan sistem maklumat dari segi keselamatan bermula apabila ketua syarikat memberikan arah maju, kerana bos adalah orang yang paling berminat untuk pengesahan efektif perusahaan. Audit tidak mungkin jika pengurusan tidak menyokong prosedur.
Audit sistem maklumat biasanya rumit. Ia melibatkan juruaudit dan beberapa individu yang mewakili pelbagai jabatan syarikat. Kerjasama semua peserta dalam audit adalah penting. Apabila memulakan audit, adalah penting untuk memberi perhatian kepada perkara-perkara berikut:
- mendokumentasikan tugas, hak juruaudit;
- persiapan, kelulusan pelan audit;
- mendokumentasikan hakikat bahawa pekerja diwajibkan untuk memberi semua bantuan yang mungkin kepada juruaudit dan memberikan semua data yang diminta olehnya.
Sudah pada masa permulaan audit, adalah penting untuk menentukan sejauh mana sistem maklumat diaudit. Walaupun beberapa subsistem IP kritikal dan memerlukan perhatian khusus, yang lain tidak dan tidak penting, oleh itu pengecualiannya dibenarkan. Tentunya akan ada subsistem seperti ini, pengesahan yang tidak mungkin, kerana semua maklumat yang disimpan di sana adalah sulit.
Rancangan dan sempadan
Sebelum memulakan kerja, senarai sumber dibentuk yang sepatutnya diperiksa. Ia boleh:
- maklumat;
- perisian;
- teknikal.
Mereka mengenal pasti di mana laman web audit dilakukan, di mana ancaman sistem diperiksa. Terdapat sempadan organisasi acara, aspek keselamatan yang wajib dipertimbangkan semasa audit. Penarafan keutamaan ditubuhkan yang menunjukkan skop audit. Batasan sedemikian, serta pelan tindakan, telah diluluskan oleh Ketua Pengarah, tetapi secara awalnya disampaikan oleh topik mesyuarat kerja umum, di mana ketua jabatan, seorang juruaudit dan eksekutif syarikat hadir.
Pengambilan data
Apabila menjalankan audit keselamatan, piawaian untuk mengaudit sistem maklumat sedemikian rupa sehingga tahap pengumpulan maklumat adalah yang paling lama dan paling susah payah. Sebagai peraturan, IP tidak mempunyai dokumentasi untuk itu, dan juruaudit dipaksa bekerja rapat dengan banyak rakan sekerja.
Agar kesimpulan dibuat untuk menjadi cekap, juruaudit harus menerima data maksimum. Juruaudit mengetahui tentang bagaimana sistem maklumat dianjurkan, bagaimana ia berfungsi dan dalam keadaan apa dari dokumentasi organisasi, pentadbiran, teknikal, semasa menjalankan penyelidikan dan aplikasi bebas perisian khusus.
Dokumen yang diperlukan dalam kerja juruaudit:
- struktur organisasi jabatan berkhidmat IP;
- struktur organisasi semua pengguna.
Wawancara juruaudit pekerja, mengenal pasti:
- Penyedia
- pemilik data;
- data pengguna.
Untuk melakukan ini, anda perlu tahu:
- jenis utama aplikasi IP;
- nombor, jenis pengguna;
- perkhidmatan yang diberikan kepada pengguna.
Jika syarikat mempunyai dokumen IP dari senarai di bawah, adalah perlu untuk memberi mereka kepada juruaudit:
- deskripsi metodologi teknikal;
- Penerangan kaedah untuk fungsi automatik;
- gambarajah fungsi;
- bekerja, dokumen projek.
Pengenalpastian struktur IP
Untuk kesimpulan yang betul, juruaudit harus memahami sepenuhnya ciri sistem maklumat yang dilaksanakan di perusahaan. Anda perlu tahu apakah mekanisme keselamatan, bagaimana ia diedarkan dalam sistem oleh tahap. Untuk melakukan ini, ketahui:
- kehadiran dan ciri-ciri komponen sistem yang digunakan;
- fungsi komponen;
- grafik;
- input
- interaksi dengan pelbagai objek (luaran, dalaman) dan protokol, saluran untuk ini;
- platform yang digunakan untuk sistem.
Faedah akan membawa skim:
- struktur;
- aliran data.
Struktur:
- kemudahan teknikal;
- Perisian
- sokongan maklumat;
- komponen struktur.
Dalam amalan, banyak dokumen disediakan secara langsung semasa audit. Maklumat boleh dianalisis hanya apabila mengumpul jumlah maksimum maklumat.
Audit Keselamatan IP: Analisis
Terdapat beberapa teknik yang digunakan untuk menganalisis data yang diperolehi. Pilihan yang menyokong sesuatu yang khusus adalah berdasarkan keutamaan peribadi juruaudit dan spesifik tugas tertentu.
Pendekatan yang paling kompleks melibatkan analisis risiko. Bagi sistem maklumat, keperluan keselamatan dibentuk. Mereka adalah berdasarkan ciri-ciri sistem tertentu dan persekitarannya, serta ancaman yang wujud dalam persekitaran ini. Penganalisis bersetuju bahawa pendekatan ini memerlukan kos buruh yang paling besar dan kelayakan maksimum juruaudit. Berapa baik hasilnya ditentukan oleh metodologi untuk menganalisis maklumat dan kebolehgunaan pilihan yang dipilih untuk jenis IP.
Pilihan yang lebih praktikal adalah menggunakan standard keselamatan untuk data. Ini adalah satu set keperluan. Ini sesuai untuk pelbagai IP, memandangkan metodologi dibangunkan berdasarkan syarikat terbesar dari negara-negara yang berbeza.
Dari piawaian ini, mengikut keperluan keselamatan, bergantung pada tahap perlindungan sistem dan afiliasinya ke institusi tertentu. Banyak bergantung pada tujuan IP. Tugas utama juruaudit adalah menentukan dengan tepat yang menetapkan keperluan keselamatan adalah relevan dalam kes yang diberikan. Pilih teknik yang mereka menilai sama ada parameter sistem yang sedia ada mematuhi standard. Teknologi ini agak mudah, boleh dipercayai, dan dengan itu meluas. Dengan pelaburan kecil, hasilnya dapat menjadi kesimpulan yang tepat.
Mengabaikan tidak boleh diterima!
Amalan menunjukkan bahawa banyak pengurus, terutama firma kecil, serta syarikat yang telah beroperasi untuk masa yang lama dan tidak berusaha untuk menguasai semua teknologi terkini, agak cuai tentang pengauditan sistem maklumat kerana mereka tidak menyedari betapa pentingnya ukuran ini. Biasanya, hanya kerosakan kepada perniagaan yang menimbulkan kemarahan pihak berkuasa untuk mengambil tindakan untuk mengesahkan, mengenalpasti risiko dan melindungi perusahaan. Yang lain dihadapi dengan fakta bahawa mereka mencuri maklumat pelanggan, yang lain bocor dari pangkalan data counterparties atau meninggalkan maklumat tentang kelebihan utama entiti tertentu. Pengguna tidak lagi mempercayai syarikat sebaik sahaja kes itu diumumkan kepada umum, dan syarikat itu mengalami lebih banyak kerosakan daripada hanya kehilangan data.
Sekiranya terdapat kebocoran maklumat, adalah mustahil untuk membina perniagaan yang berkesan yang mempunyai peluang yang baik sekarang dan di masa depan. Mana-mana syarikat mempunyai data yang bernilai kepada pihak ketiga, dan mereka perlu dilindungi. Untuk perlindungan berada pada peringkat tertinggi, audit diperlukan untuk mengenal pasti kelemahan. Ia mesti mengambil kira piawaian antarabangsa, metodologi, perkembangan terkini.
Di dalam audit:
- menilai tahap perlindungan;
- menganalisis teknologi yang digunakan;
- menyesuaikan dokumen keselamatan;
- mensimulasikan situasi risiko di mana kebocoran data mungkin;
- mengesyorkan pelaksanaan penyelesaian untuk menghapuskan kelemahan.
Mengendalikan peristiwa ini dalam salah satu daripada tiga cara:
- aktif;
- pakar;
- mendedahkan kepatuhan terhadap piawaian.
Borang audit
Audit aktif melibatkan penilaian sistem yang dilihat seorang penggodam yang berpotensi. Adalah pandangannya bahawa juruaudit "cuba" sendiri - mereka mempelajari perlindungan rangkaian, yang mana mereka menggunakan perisian khusus dan teknik unik. Audit dalaman juga diperlukan, juga dijalankan dari sudut pandangan pesalah yang dikatakan yang mencuri data atau mengganggu sistem.
Pemeriksaan pakar memeriksa sama ada sistem yang dilaksanakan adalah ideal. Apabila mengenal pasti kepatuhan terhadap piawaian, penerangan abstrak piawaian yang mana objek sedia ada dibandingkan dianggap sebagai asas.
Kesimpulannya
Audit yang betul dan secara kualitatif membolehkan anda memperoleh keputusan berikut:
- meminimumkan kemungkinan serangan penggodam yang berjaya, kerosakan daripadanya;
- pengecualian serangan berdasarkan perubahan dalam arsitektur sistem dan aliran maklumat;
- insurans sebagai cara mengurangkan risiko;
- meminimumkan risiko ke tahap di mana seseorang boleh diabaikan sepenuhnya.
