Этапы аудита


На предварительном этапе аудита – этапе планирования («I» на рис. 1), как правило, уточняются требования к результатам, согласовывается перечень рисков, которые необходимо рассмотреть и оценить, а также определяются границы аудита, то есть список бизнес-процессов и подразделений, которые будут исследоваться. На этапе проводится:

• предварительное ранжирование перечня IT-процессов и связанных IT-рисков, подлежащих оценке;

• согласование границ аудита: IT-сервисы, системы, программно-аппаратное обеспечение, подразделения и специалисты, в отношении которых будет проведен анализ;

• формирование и согласование детального плана аудита.

Аудитором обычно формируется эталонный перечень IT-рисков, которые согласно международным стандартам присущи стадиям планирования, разработки, внедрения и эксплуатации информационных автоматизированных систем. Инициатор аудита (заказчик) на основе указанного перечня определяет приоритеты для оценки.

Автор Admin 03 дек., 2009  | 

Открытые стандарты


CobiT (Control Objectives for Information and related Technology) – международный стандарт управления корпоративными информационными технологиями, который помогает согласовать стратегию бизнеса и IT, выстроить диалог между руководителями бизнес-подразделений и менеджментом информационной службы. Библиотека передового опыта ITIL (IT Infrastructure Library) – стандарт по управлению информационными технологиями, активно применяется во многих странах на протяжении последних 15 лет. ISO 20000 (Information technology — Service management) – стандарт, содержащий универсальные критерии, с помощью которых любая фирма или служба, предоставляющая IT-услуги, может оценивать их эффективность и выполнение требований заказчиков с учетом их бизнеса. Стандарт задумывался как отраслевой – нацеленный на IT-услуги – аналог ISO 9001:2000.

Автор Admin 03 дек., 2009

IT-процессы как ключевой объект аудита


Международные стандарты управления и аудита в области информационных технологий рекомендуют оценивать IT-систему с точки зрения совокупности иерархии IT-процессов, детализированных целей контроля и типовых процедур деятельности для того, чтобы определить соответствие системы задаче по минимизации рисков. С указанной целью детальной экспертизе подвергаются IT-процессы, отвечающие за минимизацию более чем 30 высокоуровневых IT-рисков. Фрагмент перечня IT-рисков и процессов, в рамках которых осуществляется деятельность по их минимизации, представлен в табл. 1. Данная деятельность рассматривается как по вопросам, специфичным для каждого отдельного процесса, так и по стандартным элементам процессного управления, а именно:

• распределение ответственности между всеми уровнями управления и обеспечение адекватного взаимодействия между ними;

• наличие и эффективность механизмов поддержания компетентности персонала на необходимом уровне;

Автор Admin 03 дек., 2009  | 

IT-риск


Исторически под термином «риск информационных технологий», или «IT-риск», подразумевалась вероятность возникновения негативных событий из-за реализации спе цифичных угроз информационной безопасности – вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

Автор Admin 03 дек., 2009  | 

« Назад | 1 | 2 | 3 | ... | 16 | 17 | 18 | Вперед »