IT audit minta/infó/tanács/bármi WANTED

Cégvezetők által megrendelt informatikai audit, vagy a könyvvizsgáló által végrehajtott audit, amely informatikai részt is tartalmaz?

A cég belső működésének ismerete nélkül nem lehet megmondani, hogy egy auditornak milyen adatokat kell szolgáltatnod. Kivéve, ha külső audit (pl. ISO), mert akkor a szabványt kell követni.
Ha a cégvezetés által felkért külső auditor vizsgálódik, akkor "csak" a belső működési szabályzatot, process leírást, roles&responsibility matrixot kell rendben tartani és követni.

Szerintem elsosorban a dokumentaciot rakd rendbe. A HW-SW leltar legyen OK, mar amennyiben ez a te kompetenciad. A biztonsagi eloirasoknak minden gep feleljen meg, ha van kotelezo oktatas (pl biztonsagi, vagy akarmilyen informatikat erinto szabalyzatbol) akkor azoknak a jegyzokonyvei. Ha kell vezetni naplokat, pl a szeverek leallasai, gepek meghibasodasai, stb. akkor azokat is nezd at. A gepek javitasarol a munkalapok, vagy ha ez nektek nem kell, akkor a szamlak, vagy alkatresz elszamolas (valami biztosan van). A kulso internetkapcsolatokat altalaban nem szeretik a cegeknel (pl usb-s 3g modem) ezeket tuntesd el, ha van ilyen es tilos a hasznalata. Levelezesi rendszer szakszeru hasznalata, beallitasai (pl nincs autoforward citromailos cimre) mar amennyiben van ilyen szabalyzat.
Minden attol fugg egy audit soran, hogy adott cegnel milyen policyk vannak bevezetve. Ezeket a policyket vedd sorra, ha rendben vannak nagy baj nem lehet.

--
TH

CISA alapokat nézd át, abban sok minden benne van,

Hát ez elég szivacs tud lenni.

Elsősorban nézd meg, hogy a rád/IT területre milyen szabályozások vannak érvényben.
Az auditor cég bizonyára fog követni (vagy legalábbis hivatkozik) valamilyen IT auditáláshoz kapcsolható szabványra, hogy aszerint vizsgálódnak.

Ennek egyik fele, hogy a leírt szabályzataitokban foglaltak szerint megy-e az élet.
A másik fele, hogy amennyiben eltérés van, akkor az kinek a felelőssége, a szabályzat sz@r-e és változtatni kell stb.

Ha ISO9001:xxxx keretében van szó az IT dolgairól, akkor ezen szabvány és a minőségirányítási kézikönyv+eljárási utasítások rátok eső része az irányadó.

Ha valamilyen kimondottan IT auditálásra hegyezett szabályozásotok van (vagy aszerint vizsgálnak), akkor gondolom CISA - CoBiT ajánlás a mérvadó, vagy BS7799 (ISO/IEC 1799)).
Mindegyik máshova helyezi a hangsúlyt és auditora/audit cége/céges (vezetőségi) elvárási kritériuma válogatja, hogy mire lőnek főként.

Alapjában véve a lényeg az, hogy egyrészt van-e szabályozás és az milyen szinten van betartva, dokumentálva. Simán lehet ez tökegyszerű, de több napos brutalitás is. Egy a lényeg, hogy a rátok vonatkozó szabályozásokat ismerjétek és a dokumentációk rendben legyenek.
Ha van szabályozás, de nem ismeritek/nem követitek/nem tudjátok felmutatni a szükséges dokumentálást, akkor szívás, és hunyók lesztek.

Ha van szabályozás, de sz@r, akkor az lesz hunyó, akinek a dolga volt a szabályozás kialakítása és karban tartása.

Ha egyik sem igaz, akkor jól tényfeltárják nálatok, hogy mi a helyzet és majdan kaptok az arcotokba egy "okos" szabályozást, ami szerint élnetek kell.
Kérdés, tényleg, hogy mi a célja az auditnak. Hogy tényfeltárjon mert nincs semmi szabályozva, vagy hogy van szabályozás, és be van-e tartva, vagy, hogy van szabályozás és valamilyen szabványnak megfelel-e/mennyire felel meg?

Nem irigyellek ...
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

Auditoknál sok esetben előre megküldik a kérdéseket, vagy ha nem, el lehet kérni, felkészülés céljából.
Ha az audit célja valamilyen előírásnak való megfelelés vizsgálata, akkor általában kiadják ezeket az infókat. (Elvégre a végső cél az, hogy az elvárásnak megfeleljen a vizsgált rendszer.)
Ha az audit célja pedig a jelenleg nem létező információs stratégia kialakítása, akkor meg a te szempontodból tökmindegy mit vizsgálnak...