Ang mga kumpanya ay nakaharap sa isang malawak na hanay ng mga regulasyon ng pamahalaan at mga legal na pangangailangan. Ang mga pampublikong kumpanya ay dapat magkaroon ng kanilang mga pinansiyal na pahayag at ang mga sistema ng impormasyon na teknolohiya (IT) na nag-iimbak sa mga ito na awdit sa isang regular na batayan alinsunod sa Sarbanes-Oxley Act. Ang Standard Card Security Data Industry Payment System ay nangangailangan ng mga kumpanya na nagproseso ng mga credit card na awdit upang matiyak na ang mga sistema ng kanilang computer ay naka-configure nang secure. Kinukuha ng mga kumpanya ang mga kumpanya ng pag-awdit ng third-party upang siyasatin ang kanilang mga system at i-verify ang pagsunod sa mga pamantayang ito.
Gawain
Ang mga auditor ay naghahanap ng ilang mga pangunahing bagay pagdating sa isang kumpanya. Kabilang dito ang mga dokumentadong dokumentado at proseso at katibayan na sinunod ang mga patakaran at pamamaraan. Ang mas detalyadong mga patakaran ng isang kumpanya ay mas madali para sa auditor na gawin ang kanyang trabaho. Ang mga kumpanya ay dapat magtatag ng isang balangkas kung saan upang itayo ang kanilang mga patakaran at proseso. Ang mga tagasubaybay ng IT ay pamilyar sa mga pamantayan, tulad ng Mga Layunin sa Pagkontrol para sa IT (COBIT) o ISO 27001. Bawat isa sa mga kumpanyang ito ng gabay sa pamamagitan ng pagbibigay ng mga checklist kung paano i-secure ang sensitibong data. Ginagamit ng mga auditor ang mga checklist upang matiyak ang isang masusing pag-audit.
Sample Documentation, Mga Patakaran at Pamamaraan ng Checklist
- Tukuyin kung mayroong isang proseso ng pamamahala ng pagbabago at pormal na dokumentado.
- Tukuyin kung ang pagbabago sa mga operasyon ng pamamahala ay may kasalukuyang listahan ng mga may-ari ng system.
- Tukuyin ang pananagutan para sa pamamahala at pag-coordinate ng mga pagbabago.
- Tukuyin ang proseso para sa pagtaas at pagsisiyasat ng mga hindi awtorisadong pagbabago.
- Tukuyin ang daloy ng pamamahala ng pagbabago sa loob ng samahan.
Sample Change Initiation and Checklist ng Pag-apruba
- Patunayan ang isang pamamaraan ay ginagamit para sa pagsisimula at pag-apruba ng mga pagbabago.
- Tukuyin kung ang mga priyoridad ay itinalaga sa mga kahilingan sa pagbabago.
- I-verify ang tinatayang oras upang makumpleto at ipapadala ang mga gastos.
- Suriin ang proseso na ginagamit upang makontrol at masubaybayan ang mga pagbabago.
Sample IT Security Checklist.
- Kumpirmahin na hindi pinagana ang lahat ng mga hindi kinakailangang at hindi secure na mga protocol.
- I-verify na ang minimum na haba ng password ay nakatakda sa 7 character.
- Patunayan na ang kumplikadong mga password ay ginagamit.
- Tiyakin na ang sistema ay napapanahon sa mga patch at service pack.
- Patunayan na ang pag-iipon ng password ay naka-set sa 60 araw o mas kaunti.
