Marian Molski, ebooki
[ Pobierz całość w formacie PDF ]
Zarządzanie ryzykiem ..............................................................................................90
Pytania do rozdziału 5. ..........................................................................................103
System zarządzania bezpieczeństwem informacji ......................................... 105
Ustanowienie ISMS ...............................................................................................106
Wdrożenie i eksploatacja .......................................................................................108
Monitorowanie i przegląd .......................................................................................108
Utrzymanie i doskonalenie .....................................................................................109
Wymagania dotyczące dokumentacji ....................................................................109
Przegląd realizowany przez kierownictwo .............................................................110
Pytania do rozdziału 6. ..........................................................................................112
Model PDCA w procesach ISMS ..................................................................... 113
Faza planowania ....................................................................................................114
Faza wykonania .....................................................................................................115
Faza sprawdzania ..................................................................................................116
Faza działania ........................................................................................................118
Pytania do rozdziału 7. ..........................................................................................119
Wprowadzenie do audytowania ...................................................................... 121
Statut audytu — prawa i powinności audytora ......................................................126
Kodeks Etyki Zawodowej .......................................................................................127
Klasyfikacja audytów .............................................................................................128
Porównanie kontroli, audytu i controllingu .............................................................155
Pytania do rozdziału 8. ..........................................................................................158
Standaryzacja w audycie i bezpieczeństwie systemów informatycznych ...... 159
Regulacje prawne ..................................................................................................161
Standardy typu best practice .................................................................................169
Standardy umożliwiające certyfikację ....................................................................193
Pytania do rozdziału 9. ..........................................................................................210
Przegląd znanych metodyk prowadzenia audytu
systemów informatycznych ............................................................................ 213
COBIT ....................................................................................................................214
LP-A .......................................................................................................................239
MARION .................................................................................................................251
4
SPIS TREŚCI
OSSTM .................................................................................................................. 252
TISM ...................................................................................................................... 261
Pytania do rozdziału 10. ........................................................................................ 272
Wykonanie audytu ...........................................................................................275
Obiekty, zakres i cel .............................................................................................. 277
Fazy audytu ........................................................................................................... 282
Zawartość dokumentacji ....................................................................................... 282
Dowody audytowe ................................................................................................. 292
Proces audytowy ................................................................................................... 297
Pytania do rozdziału 11. ........................................................................................ 315
Planowanie długoterminowe ...........................................................................319
Ocena potrzeb audytu ........................................................................................... 320
Roczny plan audytu ............................................................................................... 322
Plan strategiczny ................................................................................................... 324
Pytania do rozdziału 12. ........................................................................................ 325
Planowanie ciągłości działania .......................................................................327
Rola audytu w planowaniu ciągłości działania ...................................................... 328
Metodyka audytowania planu ciągłości działania ..................................................... 330
Pytania do rozdziału 13. ........................................................................................ 337
Wykorzystanie oprogramowania narzędziowego w audycie ..........................339
Komputerowe techniki wspomagania audytu ....................................................... 340
Wymagania standardów ........................................................................................ 351
Klasyfikacja programów wspomagających audyt ................................................. 355
Pytania do rozdziału 14. ........................................................................................ 357
Podsumowanie ................................................................................................359
Literatura .........................................................................................................361
Źródła internetowe ..........................................................................................375
Odpowiedzi do pytań testowych .....................................................................405
Skorowidz .......................................................................................................407
SPIS TREŚCI
5
Wykonanie audytu
W celu poprawnego przeprowadzenia audytu ważne jest, by zasto-
sować właściwą metodykę (rozdział 10.) oraz odpowiednio wskazać
zakres i obiekty badania. Ścisła integracja systemów informatycznych
i procesów biznesowych przy ciągłym wzroście złożoności tych sys-
temów oraz szybkim tempie zmian biznesowych sprawia, że niemal
każdy element środowiska informatycznego jednostki może stać się
obiektem audytu. Techniką przydatną do poprawnego wykonania
przeglądu jest podejście wykorzystujące analizę ryzyka (rozdział 5.).
Dzięki zastosowaniu tego rozwiązania audytor ma pewność, że bada
obszary obarczone najwyższym ryzykiem materializacji zagrożenia.
Odmiennym sposobem prowadzenia audytu jest ocena całego śro-
dowiska i systemów operacyjnych jednostki. Rozwiązanie to nazy-
wane jest często starym modelem audytowania (tabela 11.1).
Audytor powinien zdefiniować zbiór procesów, by wyznaczyć obiek-
ty kontroli, zebrać i przeanalizować dowody oraz opracować wnioski
oraz rekomendacje w ramach raportowania.
W celu poprawnej realizacji audytu należy wykonać następujące czyn-
ności:
zaplanować spotkanie audytowe;
1.
stworzyć procedury audytu z uwzględnieniem oszacowanego po-
ziomu ryzyka nieregularnych i nielegalnych zdarzeń;
2.
3.
założyć, że zdarzenia te nie są odosobnione;
Tabela 11.1. Porównanie starego (tradycyjnego) modelu audytowania i nowoczesnego
podejścia wykorzystującego analizę ryzyka
Proces audytu
Audyt nowoczesny
Audyt tradycyjny
Rodzaje
audytów
Podział na audyt projektów
i ciągły proces audytowy
Wyróżnia się audyt finansowy,
operacyjny, informatyczny
i zgodności
Obszar audytu
Wszystkie systemy, za pomocą
których realizowane są cele
biznesowe, zidentyfikowane są
w badanej jednostce
W pierwszej kolejności
aydytowana jest działalność
operacyjna i zgodność z prawem
Cele audytu
Określenie, czy ryzyko zostało
ograniczone do dopuszczalnego
poziomu
Ocena systemu kontroli
wewnętrznej pod kątem jego
efektywności i wydajności
Planowanie
Wybór zadań audytowych
z wykorzystaniem analizy ryzyka
Plany audytów niekoniecznie
muszą być powiązane z analizą
ryzyka
Zaangażowanie
pracowników
jednostki
Wysoki stopień zaangażowania
pracowników jednostki
audytowanej we wszystkich
fazach audytu
Zaangażowanie niewielkie,
zwykle dotyczy tylko zapoznania
z programem audytowym,
wstępnej oceny raportu,
potwierdzenia zawartych
w raporcie końcowym wniosków
i rekomendacji
Realizacja
audytów
Możliwość równoczesnego
wykonywania kilku zadań
audytowych
Audytor realizuje zadania
audytowe kolejno jedno
po drugim
Cele testowania
Znalezienie błędów
funkcjonowania systemu
kontroli oraz wykorzystanie
analizy ryzyka do określenia,
które nieprawidłowości
są najważniejsze
i wymagają oceny
Znalezienie błędów
funkcjonowania systemu kontroli
bez uwzględniania ich istotności
Raportowanie
Zapewnienie podmiotu
zlecającego audyt, że wszystkie
rodzaje ryzyka znajdują się
na akceptowalnym poziomie,
oraz wskazanie tych rodzajów
ryzyka, które należy ograniczyć
Potwierdzenie poprawności
funkcjonowania systemu kontroli
wewnętrznej oraz wskazanie
jego ewentualnych słabości
276
ROZDZIAŁ 11. WYKONANIE AUDYTU
[ Pobierz całość w formacie PDF ]