Οι εταιρείες αντιμετωπίζουν ένα ευρύ φάσμα κυβερνητικών κανονισμών και νομικών απαιτήσεων. Οι δημόσιες εταιρείες πρέπει να έχουν τις οικονομικές τους καταστάσεις και τα συστήματα πληροφορικής (ΤΠ) που τα αποθηκεύουν σε τακτική βάση σύμφωνα με τον νόμο Sarbanes-Oxley. Το πρότυπο ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών απαιτεί οι επιχειρήσεις που επεξεργάζονται τις πιστωτικές κάρτες να ελέγχονται ώστε να διασφαλίζεται ότι τα συστήματα ηλεκτρονικών υπολογιστών τους έχουν διαμορφωθεί με ασφάλεια. Οι εταιρείες προσλαμβάνουν εταιρείες ελέγχου τρίτων μερών για να επιθεωρήσουν τα συστήματά τους και να επαληθεύσουν τη συμμόρφωση με αυτά τα πρότυπα.
Καθήκοντα
Οι ελεγκτές αναζητούν μερικά βασικά πράγματα κατά την άφιξή τους σε μια εταιρεία. Αυτές περιλαμβάνουν τεκμηριωμένες πολιτικές και διαδικασίες και αποδεικτικά στοιχεία ότι ακολουθούνται αυτές οι πολιτικές και διαδικασίες. Οι πιο λεπτομερείς πολιτικές μιας εταιρείας είναι οι ευκολότεροι για τον ελεγκτή να κάνει το έργο του. Οι επιχειρήσεις πρέπει να δημιουργήσουν ένα πλαίσιο πάνω στο οποίο θα διαμορφώσουν τις πολιτικές και τις διαδικασίες τους. Οι ελεγκτές πληροφορικής είναι εξοικειωμένοι με πρότυπα, όπως οι στόχοι ελέγχου για την πληροφορική (COBIT) ή το ISO 27001. Κάθε μία από αυτές τις εταιρίες καθοδηγεί, παρέχοντας πίνακες ελέγχου για τον τρόπο εξασφάλισης ευαίσθητων δεδομένων. Οι ελεγκτές χρησιμοποιούν αυτούς τους καταλόγους ελέγχου για να εξασφαλίσουν έναν ενδελεχή έλεγχο.
Κατάλογος δειγμάτων τεκμηρίωσης, πολιτικών και διαδικασιών
- Προσδιορίστε εάν υπάρχει μια διαδικασία διαχείρισης αλλαγών και είναι τεκμηριωμένη.
- Προσδιορίστε εάν οι λειτουργίες διαχείρισης αλλαγής έχουν μια τρέχουσα λίστα με τους ιδιοκτήτες συστημάτων.
- Προσδιορίστε τη λογοδοσία για τη διαχείριση και το συντονισμό των αλλαγών.
- Προσδιορίστε τη διαδικασία κλιμάκωσης και διερεύνησης μη εξουσιοδοτημένων αλλαγών.
- Προσδιορίστε τις ροές διαχείρισης αλλαγών εντός του οργανισμού.
Λίστα ελέγχου έναρξης και έγκρισης αλλαγής δείγματος
- Επαληθεύστε ότι μια μεθοδολογία χρησιμοποιείται για την έναρξη και την έγκριση αλλαγών.
- Προσδιορίστε εάν οι προτεραιότητες έχουν εκχωρηθεί στις αιτήσεις αλλαγής.
- Επαληθεύστε τον εκτιμώμενο χρόνο ολοκλήρωσης και επικοινωνήστε με το κόστος.
- Αξιολογήστε τη διαδικασία που χρησιμοποιείται για τον έλεγχο και την παρακολούθηση των αλλαγών.
Δείγμα λίστας ελέγχου ασφάλειας IT.
- Επιβεβαιώστε ότι όλα τα περιττά και ανασφαλείς πρωτόκολλα είναι απενεργοποιημένα.
- Βεβαιωθείτε ότι τα ελάχιστα μήκη κωδικού πρόσβασης έχουν οριστεί σε 7 χαρακτήρες.
- Βεβαιωθείτε ότι χρησιμοποιούνται σύνθετοι κωδικοί πρόσβασης.
- Βεβαιωθείτε ότι το σύστημα είναι ενημερωμένο με ενημερώσεις κώδικα και service pack.
- Βεβαιωθείτε ότι η γήρανση του κωδικού πρόσβασης έχει οριστεί σε 60 ή λιγότερες ημέρες.