ASI-Chestionar Audit [4]
-
Upload
george-radu -
Category
Documents
-
view
88 -
download
7
description
Transcript of ASI-Chestionar Audit [4]
-
CHESTIONAR pentru auditarea unui sistem informatic
A. Mediul IT din cadrul organizaiei 1. Clientul folosete sistem informatice integrate? (cum ar fi sistemele ERP sau
mai multe aplicaii care sunt interfaate)
2. Ct de critic este disponibilitatea sistemelor IT pentru afacerea clientului?
(foarte critic ntrerupere tolerabil < 1 zi, critic ntrerupere tolerabil 1-3 zile, necritic ntrerupere tolerabil > 3 zile)
3. Care pri din mediul IT sunt externalizate?
4. Cum este formalizat relaia dintre client i furnizorul de servicii externe?
(cum ar fi indicatori de msurare a nivelului serviciilor)
5. Este IT-ul critic pentru atingerea obiectivelor clientului?
6. Cum se asigur clientul c IT-ul este parte a strategiei pe termen mediu i
lung?
7. Cum se asigur clientul c proiectele pe care dorete s le iniieze sunt
planificate corespunztor?
8. Cum sunt monitorizate proiectele pentru a se asigur c i vor atinge
obiectivele ntr-un mod eficient din punct de vedere al timpului i costului?
9. Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity
plan)? (DA/NU)
10. Planul (DRP/BCP) acoper toate aplicaiile i funciile de infrastructur care
suport procesele? Care continuitate este critic pentru client? Ct de des i ct de riguros este testat planul?
-
11. Este clientul contient de date care i sunt critice?
12. Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a ntreprins
clientul pentru a asigura securitatea datelor sale? (politici/proceduri)
Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din rspunsurile date la ntrebrile de mai sus? (3 riscuri)
B. Tehnologia utilizat
Denumirea aplicaiei
Scurt descriere a aplicaiei
Platforma hardware utilizat
Versiunea i numele sistemului de operare
Sistemul de gestiune a bazelor de date utilizat
Sursa aplicaiei (cumprat, cumprat cu modificri, dezvoltare proprie)
Este aplicaia accesibil din exterior (dial-up/ internet)
Diagrama de reea
-
Organigrama departamentului IT
1. La ce nivel din cadrul organizaiei raporteaz eful departamentului de IT?
2. Cum este IT-ul organizat astfel nct s asigure o delimitarea a
responsabilitilor i continuitatea activitii? (cum ar fi pe perioada concediilor)
3. Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din
informaiile prezentate n seciunea B? (3 riscuri)
-
C. Analiza aplicaiei selectate C.1. Accesul n aplicaie 1. Cum este reglementat (limitat) accesul ctre funciile importante din mediul
IT? (administrator de baze de date, administrator de aplicaie, administrator de reea)
2. Prezentai principalele setri de securitate ale sistemului (server de domeniu)
i analizai completitudinea lor?
4. Cum este monitorizat accesul n aplicaie? (revizuire de loguri, revizuire de
list de utilizatori)
5. Prezentai i analizai setrile de parol aferente aplicaiei?
6. Accesul utilizatorilor este autorizat i creat corespunztor? (cine face cererea,
cine stabilete drepturile, cine aprob accesul, cine creeaz contul, cine notific plecarea angajatului din organizaie)
7. Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din
informaiile prezentate n seciunea C.1? (3 riscuri)
C.2. Gestionarea modificrilor aduse aplicaiei 1. Cine i cum iniiaz o modificare care s fie adus aplicaiei?
2. Cine aprob modificarea pentru a fi dezvoltat?
3. Cine i cum monitorizeaz modificrile aduse aplicaiei?
4. Cine i cum testeaz modificrile dezvoltate? Cine aprob migrarea
dezvoltrii n producie?
-
5. Cine i cum monitorizeaz modificrile aduse aplicaiei?
6. Cum este asigurat delimitarea responsabilitilor n cadrul procesului de
gestionare a modificrilor aduse aplicaiei?
C.3. Alte informaii 1. Cum se realizeaz backup-ul informaiilor din aplicaie? Ct de des este
verificat backup-ul i cum?
2. Cum monitorizate i rezolvate deviaiile care apare n procesrilor
programate? (transferuri, scheduled task)
3. Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din
informaiile prezentate n seciunea C.2 i C.3? (3 riscuri)
4. Dai exemple de minim trei ntrebri care ar trebui s se regseasc n acest
chestionar?