Syarikat menghadapi pelbagai peraturan kerajaan dan keperluan undang-undang. Syarikat-syarikat awam mesti mempunyai penyata kewangan dan sistem teknologi maklumat (IT) yang menyimpannya diaudit secara teratur menurut Akta Sarbanes-Oxley. Standard Keselamatan Data Industri Kad Pembayaran menghendaki syarikat yang memproses kad kredit diaudit untuk memastikan sistem komputer mereka dikonfigurasi dengan selamat. Syarikat-syarikat sewa firma audit pihak ketiga untuk memeriksa sistem mereka dan mengesahkan pematuhan dengan piawaian ini.
Tugas
Juruaudit mencari beberapa perkara asas apabila tiba di syarikat. Ini termasuk dasar dan proses yang didokumenkan dan bukti bahawa dasar dan prosedur tersebut diikuti. Dasar syarikat yang lebih terperinci adalah lebih mudah bagi juruaudit untuk melakukan kerjanya. Syarikat-syarikat mesti mewujudkan rangka kerja untuk membina dasar dan proses mereka. Juruaudit IT sudah biasa dengan piawaian, seperti Objektif Kawalan untuk IT (COBIT) atau ISO 27001. Setiap syarikat panduan ini menyediakan senarai semak bagaimana untuk memastikan data sensitif. Juruaudit menggunakan senarai semak ini untuk memastikan audit menyeluruh.
Senarai Semak Dokumentasi, Dasar dan Prosedur
- Tentukan sama ada proses pengurusan perubahan wujud dan didokumentasikan secara rasmi.
- Tentukan sama ada operasi pengurusan perubahan mempunyai senarai pemilik sistem semasa.
- Tentukan kebertanggungjawaban untuk menguruskan dan menyelaraskan perubahan.
- Tentukan proses untuk meningkatkan dan menyiasat perubahan tanpa kebenaran.
- Tentukan aliran pengurusan perubahan dalam organisasi.
Senarai Perubahan Senarai Permulaan dan Kelulusan
- Mengesahkan metodologi digunakan untuk permulaan dan kelulusan perubahan.
- Tentukan sama ada keutamaan diberikan kepada permintaan perubahan.
- Sahkan anggaran masa sehingga selesai dan kos dikomunikasikan.
- Menilai proses yang digunakan untuk mengawal dan memantau perubahan.
Contoh Senarai Keselamatan IT.
- Sahkan bahawa semua protokol yang tidak perlu dan tidak selamat dilumpuhkan.
- Sahkan bahawa panjang kata laluan minimum ditetapkan kepada 7 aksara.
- Sahkan kata laluan yang kompleks digunakan.
- Pastikan sistem terkini dengan patch dan pek perkhidmatan.
- Sahkan bahawa penuaan kata laluan ditetapkan kepada 60 hari atau kurang.