Le aziende devono affrontare una vasta gamma di regolamenti governativi e requisiti legali. Le società pubbliche devono avere i loro bilanci e i sistemi informatici (IT) che li archiviano regolarmente su base regolare in conformità con il Sarbanes-Oxley Act. Lo standard di sicurezza dei dati dell'industria delle carte di pagamento richiede che le società che elaborano le carte di credito siano controllate per garantire che i loro sistemi di computer siano configurati in modo sicuro. Le aziende assumono società di revisione di terze parti per ispezionare i loro sistemi e verificare la conformità con questi standard.
Compiti
Gli auditor cercano alcune cose basilari al loro arrivo in un'azienda. Questi includono politiche e processi documentati e la prova che tali politiche e procedure sono seguite. Quanto più dettagliate sono le politiche di un'azienda, tanto più è facile per l'auditor svolgere il proprio lavoro. Le aziende devono stabilire un quadro su cui costruire le proprie politiche e processi. I revisori IT hanno familiarità con gli standard, come ad esempio Control Objectives for IT (COBIT) o ISO 27001. Ciascuna di queste società guida fornisce liste di controllo su come proteggere i dati sensibili. I revisori utilizzano queste liste di controllo per garantire un controllo approfondito.
Lista di controllo di documentazione, procedure e procedure di esempio
- Determina se esiste un processo di gestione delle modifiche ed è formalmente documentato.
- Determinare se le operazioni di gestione delle modifiche hanno un elenco corrente di proprietari di sistema.
- Determina la responsabilità per la gestione e il coordinamento delle modifiche.
- Determina il processo per l'escalation e l'investigazione di modifiche non autorizzate.
- Determina i flussi di gestione delle modifiche all'interno dell'organizzazione.
Lista di controllo per l'inizio e l'approvazione delle modifiche del campione
- Verificare che venga utilizzata una metodologia per l'avvio e l'approvazione delle modifiche.
- Determina se le priorità sono assegnate alle richieste di modifica.
- Verifica i tempi di completamento previsti e i costi sono comunicati.
- Valutare il processo utilizzato per controllare e monitorare le modifiche.
Esempio di lista di controllo per la sicurezza IT.
- Confermare che tutti i protocolli non necessari e non sicuri sono disabilitati.
- Verificare che le lunghezze minime della password siano impostate su 7 caratteri.
- Verifica che vengano utilizzate password complesse.
- Assicurarsi che il sistema sia aggiornato con patch e service pack.
- Verificare che la durata della password sia impostata su 60 giorni o meno.
