Firmy
Notowania

Ocenić ryzyko

Przed przystąpieniem do wykonania audytu konieczne jest określenie jego celu. Znając i rozumiejąc przedmiot działalności danej organizacji, dysponując informacjami o ewentualnych wymaganiach prawnych dotyczących przedmiotu audytu oraz bazując na 4 podstawowych cechach bezpieczeństwa informacji (poufności, integralności, niezaprzeczalności i dostępności) można jasno i precyzyjnie określić cel niemal każdego audytu.

Publikacja: 25.06.2004 14:04

Łukasz Kułacz

Następnym krokiem, jaki należy wykonać, jest przełożenie ogólnego celu wykonania audytu na szczegółowe cele w postaci mechanizmów kontrolnych zastosowanych w audytowanym obszarze.

Wybór obszaru audytu

W każdej organizacji istnieją obszary, które mają krytyczne znaczenie dla jej funkcjonowania. Identyfikacja tych obszarów jest kluczowym zadaniem, przed jakim stoi audytor. Coraz częściej spotykanym i bardzo skutecznym sposobem realizacji tego celu jest wykorzystywanie do wyznaczenia przedmiotu audytu metod oceny ryzyka. Inną często stosowaną metodą wyboru przedmiotu audytu jest oparcie się na obiektywnej ocenie dokonanej przez audytora. Ocena taka jest dokonywana na podstawie analizy informacji uzyskanych od osób zarządzających firmą, znajomości przedmiotu działalności danej firmy, jej celów biznesowych oraz na podstawie informacji z innych wiarygodnych źródeł.

Do wyboru przedmiotów audytu i określenia kolejności ich wykonywania można także wykorzystywać połączenie przedstawionych powyżej technik. Podejście takie znajduje często zastosowanie w praktyce.

Audyt kluczowych

obszarów funkcjonalnych

Warto podkreślić, że badanie poszczególnych obszarów jest bardzo skutecznym sposobem systematycznego podnoszenia poziomu bezpieczeństwa systemu informatycznego, szczególnie w przypadku dużej jego złożoności i zaawansowania. Zaletą takiego podejścia jest przede wszystkim mniejsza "uciążliwość" dla normalnego funkcjonowania audytowanej organizacji i większe możliwości w zakresie dynamicznego zarządzania procesem audytów. Bazując na wyznaczonej przez audytora kolejności badania poszczególnych obszarów funkcjonalnych, można krok po kroku, sukcesywnie prowadzić audyt systemu informatycznego i eliminować wykryte błędy, niedociągnięcia, czy problemy.

Jednym z często audytowanych obszarów jest system poczty elektronicznej. Bez wątpienia dla wielu firm stanowi on podstawowe narzędzie, zapewniające komunikację zarówno ze światem zewnętrznym, jak i wewnątrz firmy. Rola poczty elektronicznej urasta w wielu przypadkach do statusu krytycznej aplikacji wykorzystywanej do:

l prowadzenia sprzedaży,

l realizacji zamówień,

l prowadzenia kontraktów,

l prowadzenia akcji promocyjnych i marketingowych,

l świadczenia usług dla klientów (np. usługi serwisowe i wparcia technicznego).

W związku z powyższym, system poczty elektronicznej powinien charakteryzować się m.in.:

l wysoką dostępnością (w granicach opłacalności wynikającej z analizy kosztów-korzyści),

l możliwością zapewniania poufności (zgodnie z wymaganiami biznesowymi),

l wysoką odpornością na zagrożenia, w szczególności infekcje wirusów i robaków,

l zdolnościami pracy selektywnej (filtracja SPAM-u).

Najlepszym sposobem na ocenę stopnia spełniania powyższych kryteriów jest przeprowadzenie audytu systemu poczty elektronicznej. Audyt taki pozwoli na:

l ocenę spełnienia potrzeb biznesowych organizacji (np. poziom dostępności, funkcjonalność m.in. w zakresie zapewniania poufności czy kanałów dostępu do poczty),

l ocenę poziomu bezpieczeństwa systemu poczty elektronicznej:

 3 odporność na zagrożenia (próby włamań czy destabilizacji działania),

 3 podatność na infekcje oraz rozprzestrzenianie się wirusów i robaków,

 3 podatność na przyjmowanie i generowanie SPAM-u,

 3 mechanizmy i procedury związane z zapewnianiem wiadomościom poufności, integralności i niezaprzeczalności,

l Ocenę wykorzystywanych procedur czy instrukcji związanych:

 3 z normalną pracą systemu pocztowego,

 3 z sytuacjami kryzysowymi (np. odtwarzania z kopii zapasowych).

Zakres i przebieg audytu musi zostać szczegółowo zdefiniowany w planie audytu i zapewniać realizację celu postawionego przed audytem, wynikającego z potrzeby biznesowych danej organizacji.

Metodologia prowadzenia prac

i Raport z Audytu

Wszystkie audyty wykonywane przez Qumak-Sekom realizowane sąDzięki temu wyniki audytu są powtarzalne, cechują się bardzo wysoką jakością merytoryczną oraz obejmują szeroki zakres zagadnień (w tym również nietechniczne).Warto także wspomnieć o dokumencie wynikowym z audytu, jakim jest Raport z Audytu. Dokument taki jest cennym źródłem wiedzy zarówno dla osób odpowiedzialnych za poszczególne obszary funkcjonalne, jak również dla kadry zarządzającej firmy. Raport zazwyczaj składa się z kilku sekcji, w których przedstawione są informacje dotyczące przedmiotu audytu, ogólna oraz szczegółowa ocena wykrytych zastrzeżeń i spostrzeżeń, a także rekomendacje audytora.

dyrektor ds.rozwoju Qumak-Sekom SA

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET.COM

IT
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Technologie
Huuuge: „skupy akcji nie są priorytetem”. Mamy komentarz analityka
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Materiał Partnera
Zasadność ekonomiczna i techniczna inwestycji samorządów w OZE
Creotech dzieli biznes. Kwanty wejdą na giełdę
Technologie
Creotech dzieli biznes. Kwanty wejdą na giełdę
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Technologie
Ruszyła karuzela nazwisk kandydatów na nowego prezesa UKE
Miliardy na cyberochronę
Technologie
Miliardy na cyberochronę
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
Liudmila Climoc, prezeska Orange Polska.
Technologie
Co daje siłę walorom Orange Polska
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
Technologie
Podmiot z Francji chce zainwestować w DataWalk. Akcje drożeją
e-Wydanie