Transcript Predstavitev revizorske stroke in odnos do varnosti IT

Predstavitev revizorske stroke
in odnos do varnosti IT
Peter Grasselli, CISA
Franci Tajnik, CISA, CISM
Vsebina
• varovanje informacij
• organiziranost revizorjev informacijskih
sistemov
• standardi in dobra praksa
• COBIT
• revizijski pregled
1985 prvi avto
1997 Euro NCAP
1945 ENIAC
1978 ISACA/CISA
Tveganje je verjetnost, da se bo z napadom na
določeno slabost sistema uresničila določena
grožnja, kar bo imelo neželene posledice.
Ariane 5 ( let 501, junij 1996)
The problem was caused by an `Operand Error' in
converting data in a subroutine from 64-bit floating point
to 16-bit signed integer.
ANALIZA TVEGANJ
VARNOSTNA
POLITIKA SIS.
VARNOSTNI
NAČRT
KONTROLE
ŠOLANJE
SPREMLJANJE
VPELJAVA
i
n
f
o
r
m
a
c
i
j
ORGANIZACIJSKI
VIDIKI
UPRAVLJANJE
TVEGANJ
V
a
r
o
v
a
n
j
e
VARNOSTNA
POLITIKA
North America
Islands
Bermuda
Trinidad & Tobago
United States of America
Africa
Nigeria
South Africa
Tanzania
Netherlands
Norway
Poland
Central & South
America
Oceania
Adelaide
Romania
Brisbane
Hong Kong Canberra
Europe
Russia
India
Melbourne
Austria
Indonesia Perth
Scotland
Belgium
Japan
Sydney
Slovenia
Croatia
Korea
Auckland, NZ
Czech Republic Slovensko
Lebanon
Papua New Guinea
Denmark
Spain
Malaysia
Estonia
Oman
Sweden
Finland
Pakistan
Canada
Switzerland
France
Philippines
Germany
Saudi Arabia Calgary
United
Edmonton
Kingdom
Greece
Singapore
Netherlands Slovenia
Montreal
Hungary
Sri Lanka
Nova Scotia
Ireland
Norway
Slovensko
Taiwan
Ottawa Valley
Israel
Thailand
Poland
Québec
Spain
Italy
UAE
Toronto
Romania
Sweden
Latvia
Vancouver
Russia
Switzerland
Victoria
Lithuania
Scotland
Winnipeg
United Kingdom
Luxemburg
Argentina
Bolivia
Brasil
Chile
Colombia
Costa Rica
Ecuador
Mexico
Panama
Peru
Puerto Rico
Uruguay
Venezuela
Asia
Alabama
Alaska
Arizona
Arkansas
California
Colorado
Connecticut
Florida
Georgia
Hawaii
Idaho
Illinois
Indiana
Iowa
Kentucky
Louisiana
Maryland
Massachusetts
Michigan
Minnesota
Mississippi
Missouri
Nebraska
New Jersey
New Mexico
New York
North Carolina
Ohio
30 000 Certified Information Systems
Auditors (CISA)
100 držav
Oklahoma
Oregon
Pennsylvania
South Carolina
Tennessee
Texas
Utah
Virginia
Washington
Washington, DC
Wisconsin
Organiziranost v Sloveniji
Glavni namen slovenskega odseka je podobno, kot pri
mednarodni organizaciji, promovirati dobre rešitve pri zaščitah
delovanja informacijskih sistemov, kot tudi visoke kvalitete
izvajanja revidiranja delovanja kontrol v informacijskem sistemu.
Eden od pomembnih ciljev organizacije je promocija najboljše
prakse revidiranja informacijskih sistemov, ki jo zagotavlja sistem
certificiranja CISA.
• Sprejema in objavlja standarde revidiranja informacijskih sistemov,
• Določa strokovna znanja in izkušnje, organizira strokovno
izobraževanje, izvaja preizkuse strokovnih znanj in izdaja potrdila o
strokovnih znanjih, potrebnih za pridobitev strokovnih nazivov
preizkušeni revizor informacijskih sistemov
• vodi registre oseb, ki so pridobile strokovne nazive, ki jih podeljuje
Inštitut.
• od leta 1993
• 43 članov
•
•
•
•
od leta 1994, 137 odsek
65 članov
11 mednarodnih konferenc
predavanja vsak 1 torek v
mesecu
Pravila stroke
• Zakon o revidiranju (Uradni list RS, št.
11/01)
• Statut Slovenskega inštituta za revizijo
(Uradni list RS, št. 70/01; 31. 8. 2001)
• Kodeks poklicne etike revizorja
informacijskih sistemov (Revizor 1/01)
• Standardi in smernice ISACA
• dobra praksa
• COBIT
Standardi
in
dobra praksa
(3rd edition: 2000)
Control Objectives for Information and related Technology
• ITIL
IT Infrastructure Library
• ISO/IEC 17799:2000 (PSIST BS 7799)
• ISO/IEC TR 13335 (1996-2001)
Information Technology—Guidelines for the Management of IT Security
• ISO/IEC15408:1999/Common Criteria/ITSEC
• TickIT
• NIST 800-14
Generally Accepted Principles and Practices for Securing Information Technology Systems
• COSO
Internal Control—Integrated Framework
01.03.2000 U.K., U.S., Thailand, Alias “CURADOR” 28,000 accounts compromised, with total losses exceeding $3.5
and Canada’s e-finance
million.
and ecommerce sites
08.03.2001 40 domestic e-banking Eastern
Intruders stole credit card account nformation and other data
and ecommerce sites European
by exploiting a Windows NT security flaw; the National
criminal
Infrastructure Protection Center labeled this attack the “largest
syndicate
Internet attack to date.”
07.02.2002 U.S. Treasury Direct Louis Lebaga $158 million—Lebaga was apprehended only after attempting to
steal $1.3 billion more five days later.
18.02.2003 Data Processors
?
The largest single case of online theft of credit information
International:
occurred in January. Eight million credit card numbers were
MasterCard, Visa,
stolen when someone hacked into Data Processors International
Discover Financial
Inc. (DPI), which processes credit card transactions for direct
Services and American
marketi
Express
04.02.2003 ISM Canada Inc
Daniel Gregory Direct costs related to the loss of the hard drive have already
Harrison
reached about $335.000, class action suit seeks millions in
damages for possible identity theft.
11.08.2003 Air Canada, CSX Corp, Blaster virus
Market researcher Computer Economics Inc. estimates damage
Fort Worth. Worldwide SoBig
will total $2 billion -- one of the costliest viruses ever. All told,
damage from viruses may amount to more than $13 billion this
year.
V Sloveniji:
-
-
24.02.1998, D.V.: "Obračuni za plin do konca tedna" (Za blokado računalniškega sistema v Energetiki je
kriva prenasičenost s podatki)
23.09.1999,Zdenko Matoz: "Dobro zavarovani geodetski podatki" (Napake v računalniku, Spremembe
hranijo dvakrat na teden in imajo po tri kopije vseh informacij)
25.09.1999, Diana Zajec: "Zagodel jo je tehnični škrat" (Najstniki brez obveznega zavarovanja? Obvestila o
"neurejenem obveznem zdravstvenem zavarovanju" razburila starše - Za napake se na območni enoti ZZZS
opravičujejo)
27.11.1999, Aleš Stergar: "Mobilni mrk na ljubljanski 041" (Motnje v omrežju Mobitel GSM povzročila
programska oprema - Zdaj spet normalno)
01.12.1999, Aleš Stergar: "Mobitel rešil težave" (Pojasnila o mobimrku, Napako zaradi ketere je bil konec
minulega tedna okrnjen promet Mobitelove mreže GSM, so odpravili - Pričakujejo tožbe)
09.12.1999, Luka Dekleva: "Klik NB pokleknil" (Napaka v sistemu NLB, Napaka ni programska, ampak
strojna in jo odpravljajo zunanji strokovnjaki)
17.01.2000, S.M. in agencije: "Povečanje zlorab gesel" (MSobota, neuporavičena uporaba uporabniških
imen spletnih priključkov)
10.02.2000, Katarina Fidermuc:" BS zanemarila varnost?" (Zakaj zamuja prenova plačilnega sistama,
Ministrstvo za finance pravi, da je dodatno usklajevanje meril, ki jih morajo izpolnjevati banke, da lahko
prevzamejo plačilni promet, zahtevalo predvsem v skrbi za varnost)
20.06.2000, Zdenko Matoz: "Nekateri so dobili več položnic" (Iskanje neplačnikov rtv prispevka,
Neusklajeni podatki o plačnikih elektrike in storitev javnega zavoda RTV Slovenija - Krog neplačnikov se
širi)
19.07.2000, Maja Grgič: "Omrežje je slabo varovano" (Prve ugotovitve o "računalniški aferi" na ministrstvu
za gospodarske dejavnosti, Morebitno odtekanje informacij policija še raziskuje - Sušnik: nekateri znaki
odtekanja strogo zaupnih podatkov obstajajo, vendar bo to težko dokazati)
Control
OBjectives for
Information and related
Technology
COBIT’s
Golden Rule
In order to provide the
information that the
organisation needs to
achieve its objectives, IT
resources need to be
managed by a set of
naturally grouped
processes.
BS 17799:2000 struktura
• Varnostna politika, cilji in aktivnosti
• Upravljanje varovanja informacij v organizaciji
• Klasifikacija sredstev in kontrola
•
•
•
•
•
•
•
–
–
–
–
Informacijska sredstva
Programska sredstva
Fizična sredstva
storitve
Varnost osebja
Fizična zaščita in zaščita okolja
Upravljanje s komunikacijami in s produkcijo
Nadzor dostopa
Razvijanje in vzdrževanje sistemov
Upravljanje neprekinjenega poslovanja
Združljivost z zakonskimi zahtevami
BS 17799:2000 vodilna načela
• Zakonski vidik
– zaščita podatkov in varstvo osebnih
podatkov
– varovanje organizacijskih zapisov
– pravica do zaščite intelektualne lastnine
BS 17799:2000 vodilna načela
• Najboljša praksa ( kontrole )
– dokument o politiki varovanja informacij
– razporeditev odgovornosti pri varovanju
informacij
– izobraževanje in usposabljanje za
varovanje informacij
– prijava incidentov pri varovanju informacij
– upravljanje neprekinjenega poslovanja
BS 17799:2000 kritični dejavniki uspeha
•
•
•
•
•
•
•
•
Varnostna politika, cilji in aktivnosti
Pristop k vpeljavi varnostne politike
Vidna podpora in zavezanost vodstva
Dobro razumevanje varnostnih zahtev, ocena in upravljanje
tveganja
Učinkovito posredovanja pomena varovanja vsem zaposlenim
Dostava navodil o politiki varovanja informacij in standardih
vsem zaposlenim in pogodbenim strankam
Zagotavljanje ustreznega usposabljanja in izobraževanja
Postavitev meril za oceno učinkovitosti varovanja informacij
TECHNICAL REPORT ISO/IEC TR 13335
Information technology - Guidelines forthe management of IT Security
Part 1: Concepts and models for IT Security 1996
Part 2: Managing and planning IT Security 1997
Part 3: Techniques for the management of IT
Security
1998
Part 4: Selection of safeguards
2000
Part 5: Management guidance on network
security
2001
Pregled varnostne
politike podjetja
ISO/IEC TR 13335-5
Pregled arhitekture
in aplikacij
Management guidance on network security
Določi vrste
mrežnih povezav
Pregled
karekteristik
omrežja in
zaupanja
Pregled analize
tveganj in
vodstvenih ukrepov
Dolči vrste
varnostnih tveganj
Določi primerna
varnostne ukrepe
Dokumentiranje in
pregled varnostne
arhitekture
Information technology-Guidelines for
the management of IT security
Priprave na izbor,
uvedbo in
vzdrževanje
varnostnih ukrepov
13.4 Audit Trails
It is important to ensure the effectiveness of
network security through detection,
investigation and reporting of security
incidents. Sufficient audit trail information of
error conditions and valid events should be
recorded to enable thorough review for
suspected, and of actual, incidents. However,
recognising that recording huge amounts of
audit related information can make analysis
difficult to manage, and can affect
performance, care has to be taken over time in
what is actually recorded
Most audit safeguards required in relation to
network connections and related IT systems
can be determined by using Part 4 of TR
13335. For network connections, auditability of
the following types of event is important:
-remote failed log-on attempts with dates and
times,
-failed re-authentication (or token usage)
events,
-security gateway traffic breaches,
-remote attempts to access audit trails,
-system management alarms with security
implications (e.g. IP address duplication,
bearer circuit disruptions),
Audit trails will contain sensitive information or
information of use to those who may wish to
attack the system through network
connections. Further, possession of audit trails
may provide proof of transfer over a network in
the event of a dispute, and are therefore
ISO/IEC 15408:1999
Common Criteria
ITSEC
(+) Frequently addressed
(o) Moderately addressed
(-) Not or rarely addressed
ISO/IEC 1799
ISO/IEC TR 13335
ISO/IEC 15408
COBIT® MAPPING
Overview of International IT Guidance
Standardi in dobra praksa
• COBIT
• ITIL
• ISO/IEC 17799:2000
• ISO/IEC TR 13335
• ISO/IEC15408:1999
Common Criteria
ITSEC
• TickIT
• NIST 800-14
• COSO
COBIT - zgradba
Executive Summary
povzetek za poslovodstvo
Framework
sistemski okvir
Control Objectives
kontrolni cilji
Audit Guidelines
smernice revidiranja
Management Guidelines
smernice za poslovodstvo
Implementation Tool Set pripomoček za uporabo
Executive summary
Executive summary
Control Objectives
PRIDOBITEV IN UVEDBA
•
Proces
•
AI6 Vodenje in upravljanje sprememb
•
Zadostitev poslovnih zahtev
Zmanjšati možnosti zastojev, neavtoriziranih sprememb in napak
Kontrola procesa je omogočena na naslednji način:
Uvede se sistem vodenja in upravljanja vseh sprememb v fazah
analize, uvedbe in vzdrževanja
Prouči se:
•
•
–
–
–
–
–
–
identifikacija sprememb
kategorizacija, prioritete in nujni postopki
ocenitev vpliva
avtorizacija sprememb
vodenje in upravljanje verzij
distribucija softwara
Control Objectives
PRIDOBITEV IN UVEDBA
•
Proces
•
AI6 Vodenje in upravljanje sprememb
•
•
Kontrolni cilji:
6.1 Zahteve za spremembe in njihova
kontrola
6.2 Ocena vpliva sprememb
6.3 Kontrola sprememb
6.4 Dokumentacija in postopki
6.5 Avtorizacija vzdrževanja
6.6 Politika za nadzor verzij
6.7 Distribucija programske opreme
•
•
•
•
•
•
Control Objectives
PRIDOBITEV IN UVEDBA
•
Proces
•
AI6 Vodenje in upravljanje sprememb
•
•
Kontrolni cilji:
6.1 Zahteve za spremembe in njihova
kontrola
Upraviteljstvo mora zagotoviti, da so vse
zahteve po spremembah v sistemu predmet
formaliziranih postopkov za upravljanje s
postopki. Zahteve po spremembah se
kategorizirajo in razvrščajo po prioritetah.
Uvedeni so posebni postopki za trenutno
odpravljanje urgentnih napak ali problemov.
•
Audit Guidelines
Model procesa revidiranja
•
Identifikacija in dokumentiranje
–
•
Pridobivanje znanja o tveganjih povezanih s poslovnimi
zahtevami in bistvenimi merili kontrole
Vrednotenje
–
•
Ocenjevanje primernosti vzpostavljenih kontrol
Testiranje ustreznosti
–
•
Ocenjevanje skladnosti celovitega in trajnega delovanja
kontrol s predpisanimi kontrolami
Testiranje vsebine
–
Določanje obsega tveganja v primeru nedoseganja ciljev
kontrol s pomočjo analitičnih tehnik ali v kombinaciji z
drugimi viri
Generične smernice za vse
procese
Pridobivanje znanja in razumevanja
Koraki revizije, ki jih je potrebno izvesti, da dokumentiramo
aktivnosti, ki predstavljajo podlago ciljem kontrole oziroma da
določimo specifične mere kontrole in vgrajene postopke
Ocenjevanje kontrol
Koraki v reviziji, ki jih je potrebno izvesti z namenom
uspešnosti/učinkovitosti vgrajenih kontrolnih mehanizmov ali
stopnje doseganja ciljev kontrole
Ocenjevanje ustreznosti
Koraki v reviziji, ki jih je potrebno izvesti, da lahko
zagotovimo, da vgrajeni kontrolni mehanizmi stalno in
konsistentno delujejo na predpisan način
Določanje tveganja
Koraki v reviziji, ki so potrebni, da se s pomočjo analitičnih
tehnik ali s posvetovanjem z drugimi viri izmeri tveganja
nedoseganja ciljev kontrole.
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Pridobivanje znanja in razumevanje:
•
Razgovori - interview:
•
–
–
–
–
–
–
–
–
–
–
Vodja informacijske podpore
IT upravljalci
IT sistemski razvoj, kontrola kvalitete za spremembe
IT operacije in upravljanje varnosti,
Uporabniki vpleteni v razvoj in uporabo aplikacij
Pridobitev dokumentacije:
Organizacijski postopki in politike, ki se nanašajo na: planiranje
IS, spremembe IS, varnost in življenski cikel razvoja,
IT postopki in politike, ki se nanašajo na: formalni življenski cikel
razvoja apliakcij, varnostni standardi, standardi testiranja,
neodvisna kontrola kvalitete, uvedba, distribucija, vzdrževanje,
nujne spremembe, verzije programske opreme,
Plan razvoja aplikacij,
Vodenje zahtevkov za spremembe,
Pogodbe dobaviteljev
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Ocenitev kontrol:
–
Methodologija za spreminjanje IS z zahtevki uporabnikov
je izdelana in se uporablja,
–
Postopki za izvajanje nujnih sprememb so opisani v
operativnih priročnikih,
–
Postopek za spremembo je formalen za uporabnika in
razvijalce,
–
Obstaja kontrola, da so vsi odobreni zahtevki za
spremembe tudi realizirani,
–
Uporabniki so zadovoljni z razreševanjem sprememb
časovno in stroškovno
–
Za izbrane zahtevke iz evidence poglej:
•
•
•
•
•
•
izdelana je dokumentacija o spremembi
sprememba je izdelana kot je bilo zahtevano
dokumentacija je posodobljena.
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Ocenjevanje ustreznosti - preizkusi:
• Za posamezne izbrane primere preveri, če
je poslovodstvo odobrilo:
–
–
–
–
–
–
–
Zahtevek za spremembo
Specifikacijo spremembe
Dostop do izvorne kode
Končano spremembo
Zahtevek za premik v testno okolje
Potrditev spremembe po končanem
prevzemnem testu
Zahtevek za premik v produkcijsko okolje
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Ocenjevanje ustreznosti - preizkusi:
•
Preveri, če dokumentacija vsebuje:
•
•
•
–
–
–
–
–
–
–
–
Datum zahtevka
Osebo, ki je naročila spremembo
Odobritev zahtevka
Odobritev izdelave v IT
Odobritevizdelane spremembe - uporabnik
Datum dopolnjene dokumentacije
Datum premeknitve v produkcijo
Kontrola kvalitete – pregledal in datum
Analiziraj tip spremembe v vidu trendov spreminjanja
aplikacije.
Preveri, če so vsi zahtevki rešeni v zadovoljstvo uporabnikov,
ali so nerešeni zahtevki.
Ali se uporabniki zavedajo potrebe po formaliziranih zahtevkih
sprememb.
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Tveganje nedoseganja ciljev kontrole
Izvedi:
•
Primerjavo upravljanja spreminjanja IS med
podobnimi organizacijami ali v primerjavi z
mednarodnimi standardi ali splošno priznano
prakso na tem področju
Ugotovi:
Za posamezne izbrane zahtevke oziroma spremembe
•
Izdelane so samo odobrene spremembe
•
Vsi odobreni zahtevki so razporejeni
•
Programska oprema (source = object) vsebuje
zadnje spremembe
Podrobne smernice za IT proces
PRIDOBITEV IN UVEDBA
AI6 Vodenje in upravljanje sprememb
Tveganje nedoseganja ciljev kontrole
Za izbrane informacijske servise poglej:
•
•
•
•
•
•
•
Dokumentacijo, ki vsebuje odobritev zahtevkov in
akceptiranje izdelanih sprememb od pravih uporabnikov,
Oceno vpliva sprememb na obstoječe sisteme,
Razporeditev izdelave spremembe na primerne razvijalce,
Primernost sistemov, testnih planov in rezultatov testiranja
Formalen prehod iz testnega okolja v produkcijsko okolje
preko skupine za kontrolo kvalitete
Užurirane uporabniške in operativne priročnike, če odražajo
spremembe
Distribucijo programske opreme k pravim uporabnikom.
REVIZIJSKI PREGLED
Revizijski pristop na osnovi ocene tveganj
 Zbiranje informacij in načrt











Poznavanje poslovanja
Zakonodaja in regulativa področja
Rezultati predhodne revizije
Ocene inherentnih tveganj
Zadnji finančni pokazatelji
Razumevanje sistema internih kontrol
Kontrolno okolje
Kontrolni postopki
Ocena kontrolnega tveganja
Ocena detektivnega tveganja
Ovrednotenje skupnega tveganja
REVIZIJSKI PREGLED
Revizijski pristop na osnovi ocene tveganj
 Preizkušanje skladnosti kontrol


Testiranje skladnosti s politiko in postopki
Testiranje nezdružljivosti opravil
Poglobljeno preizkušanje kontrol




Analitični postopki
Detaljna testiranja podatkov
Ostali poglobljeni revizijski postopki
Zaključek revizije



Ugotovitve
in
priporočila
pomanjkljivosti
Izdelava revizijskega poročila
za
odpravo
REVIZIJSKI PREGLED
Kaj je potrebno narediti ?
• Opredeliti cilje
• Področja in stopnjo preizkušanja
• Določiti tehnične vidike, tveganja, postopke in
naloge
• Opredeliti naravo in obseg zahtevanega
preizkušanja
• Časovni okvir dela
• Revizijsko ekipo, način delovanja,
odgovornosti
• Poročevalni postopki (kasnejše spremljanje)
REVIZIJSKI PREGLED
Revizor mora znati :
• Postavljati ustrezna vprašanja
• Imeti jasno predstavo o:
– Potrebnih informacijah
– Virih teh informacij
– Kako jih bo pridobil
•
•
•
•
Obvladati tehnike dokumentiranja
Razumeti cilje poslovodstva
Razumeti namen upravljanja s tveganji
Prepoznati konkretne oblike tveganj
REVIZIJSKI PREGLED
Pred pripravo ponudbe je dobro imeti
sestanek z naročnikom, kjer skušamo
doseči :
• Podrobnejšo seznanitev:
–
–
–
–
–
S poslovnimi cilji
Organizacijsko strukturo
Poslovnimi procesi
Poslovnimi prostori
Z upravljanjem s tveganji, kontrolnimi mehanizmi in
upravljavskimi procesi (dokumentacija & postopki)
– S kadrovsko zasedbo
– Informacijskim sistemom
• Vzpostaviti kooperativni duh nadaljnjega sodelovanja
z revidirancem
Zakonodaja za Zavarovalnice
Zakon o revidiranju UL RS 11/2001
Zakon o gospodarskih družbah
Zakon o zavarovalništvu 13/2000
Sklep o podrobnejši obliki in najmanjšem obsegu ter
vsebini revizijskega pregleda in revizorjevega
poročila zavarovalnice 6/2001
Mednarodni standard revidiranja št.620 Uporaba
veščakovih storitev
Zakonodaja za Zavarovalnice
Sklep o podrobnejši obliki in najmanjšem obsegu ter
vsebini revizijskega pregleda in revizorjevega
poročila zavarovalnice 6/2001

Skladnost delovanja IS Zavarovalnice s poslovnimi
cilji

Učinkovitost delovanja IS zavarovalnice

Politika in organizacija varovanja ter zaščite IS in
podatkov Zavarovalnice

Primernost splošnih, sistemskih in drugih kontrol IS

Tehnološka opremljenost IS Zavarovalnice
Revizijski cilji
Pregled in ocena kakovosti organizacijskih rešitev delovanja
IS opredeljenih v internih predpisih, navodilih in uveljavljenih
postopkih pri zagotavljanju delovanja IS
Pregled in ocena ustreznosti splošnih kontrol delovanja IS z
ozirom na naslednjo razdelitev











Fizična zaščita in zaščita okolja
Logična zaščita
Kontinuiranost obdelav
Razpoložljivost sistema
Upravljanje s spremembami
Varovanje osebnih podatkov
Izraba tehnologije
Nevarnost pooblastil specialistov
Outsourcing
Pregled in ocena računalniških podpor poslovanja za ključna
področja skupaj z oceno ustreznosti skrbniških sistemov



Interne kontrole računalniških podpor ključnih področij
Skrbniški sistemi
REVIZIJSKI IN KONTROLNI CILJI
Na
podlagi
ugotovitev
povezujemo
revizijske cilje s procesi in kontrolnimi cilji
COBITa
Kritična faza
Povezati kontrolne cilje z revizijskimi cilji







Revizijski cilj = domena
Revizijski cilj = proces z vsemi kontrolnimi cilji
Revizijski cilj = kontrolni cilj
Revizijski cilj = proces in nekaj kontrolnih ciljev
Revizijski cilj = procesi iz različnih domen
Izbor kontrolnih ciljev za revizijski cilj
Revizijska druž ba d.o.o.
Projekt: Revizija IS
REVIZIJSKE UGOTOVITVE
Revizijski cilj:
R05 –
DS11 –
Neprekinjenost obdelav
Lokacija in datum:
PE Ljubljana
Upravljanje s podatki
Revizor: Janez Revizor
Prisotni pri pregledu:
g. Tomaž , g. Stojan, ga. Marija, ga. Tanja, g. Boris
Ugotovitve:
Izdelovanje varnostnih kopij lokalnih diskov osebnih rač unalnikov se ne izvaja
sistematič no in v skladu z navodilom Varnostna navodila za upravljanje
osebnih rač unalnikov z operacijskim sistemom MS Windows.(R05,DS11)
Priporoč ila:
Izdelati enotna navodila za varnostno kopiranje lokalnih diskov na PE ter jih
posredovati vodjem in sistemskim administratorjem ali izdelati navodila, katere
dokumente in podatke je potrebno shranjevati na mrež ne diske in izobraziti
uporabnike.(R05)
Dokazila:
Revizijsko poročilo
• Mnenje o učinkovitosti kontrol (namenjeno
upravi)
• Povzetek poročila ( pismo poslovodstvu )
– Mnenje o učinkovitosti kontrol
– Izpostavljena visoka tveganja - rezime
• Poročilo – ugotovitve, priporočila, tveganja
• Arhivska dokumentacija z dokazili