asi-chestionar audit [4]

CHESTIONAR pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaiei 1. Clientul folosete sistem informatice integrate? (cum ar fi sistemele ERP sau

mai multe aplicaii care sunt interfaate)

2. Ct de critic este disponibilitatea sistemelor IT pentru afacerea clientului?

(foarte critic ntrerupere tolerabil < 1 zi, critic ntrerupere tolerabil 1-3 zile, necritic ntrerupere tolerabil > 3 zile)

3. Care pri din mediul IT sunt externalizate?

4. Cum este formalizat relaia dintre client i furnizorul de servicii externe?

(cum ar fi indicatori de msurare a nivelului serviciilor)

5. Este IT-ul critic pentru atingerea obiectivelor clientului?

6. Cum se asigur clientul c IT-ul este parte a strategiei pe termen mediu i

lung?

7. Cum se asigur clientul c proiectele pe care dorete s le iniieze sunt

planificate corespunztor?

8. Cum sunt monitorizate proiectele pentru a se asigur c i vor atinge

obiectivele ntr-un mod eficient din punct de vedere al timpului i costului?

9. Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity

plan)? (DA/NU)

10. Planul (DRP/BCP) acoper toate aplicaiile i funciile de infrastructur care

suport procesele? Care continuitate este critic pentru client? Ct de des i ct de riguros este testat planul?

11. Este clientul contient de date care i sunt critice?

12. Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a ntreprins

clientul pentru a asigura securitatea datelor sale? (politici/proceduri)

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din rspunsurile date la ntrebrile de mai sus? (3 riscuri)

B. Tehnologia utilizat

Denumirea aplicaiei

Scurt descriere a aplicaiei

Platforma hardware utilizat

Versiunea i numele sistemului de operare

Sistemul de gestiune a bazelor de date utilizat

Sursa aplicaiei (cumprat, cumprat cu modificri, dezvoltare proprie)

Este aplicaia accesibil din exterior (dial-up/ internet)

Diagrama de reea

Organigrama departamentului IT

1. La ce nivel din cadrul organizaiei raporteaz eful departamentului de IT?

2. Cum este IT-ul organizat astfel nct s asigure o delimitarea a

responsabilitilor i continuitatea activitii? (cum ar fi pe perioada concediilor)

3. Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din

informaiile prezentate n seciunea B? (3 riscuri)

C. Analiza aplicaiei selectate C.1. Accesul n aplicaie 1. Cum este reglementat (limitat) accesul ctre funciile importante din mediul

IT? (administrator de baze de date, administrator de aplicaie, administrator de reea)

2. Prezentai principalele setri de securitate ale sistemului (server de domeniu)

i analizai completitudinea lor?

4. Cum este monitorizat accesul n aplicaie? (revizuire de loguri, revizuire de

list de utilizatori)

5. Prezentai i analizai setrile de parol aferente aplicaiei?

6. Accesul utilizatorilor este autorizat i creat corespunztor? (cine face cererea,

cine stabilete drepturile, cine aprob accesul, cine creeaz contul, cine notific plecarea angajatului din organizaie)


informaiile prezentate n seciunea C.1? (3 riscuri)

C.2. Gestionarea modificrilor aduse aplicaiei 1. Cine i cum iniiaz o modificare care s fie adus aplicaiei?

2. Cine aprob modificarea pentru a fi dezvoltat?

3. Cine i cum monitorizeaz modificrile aduse aplicaiei?

4. Cine i cum testeaz modificrile dezvoltate? Cine aprob migrarea

dezvoltrii n producie?

5. Cine i cum monitorizeaz modificrile aduse aplicaiei?

6. Cum este asigurat delimitarea responsabilitilor n cadrul procesului de

gestionare a modificrilor aduse aplicaiei?

C.3. Alte informaii 1. Cum se realizeaz backup-ul informaiilor din aplicaie? Ct de des este

verificat backup-ul i cum?

2. Cum monitorizate i rezolvate deviaiile care apare n procesrilor

programate? (transferuri, scheduled task)


informaiile prezentate n seciunea C.2 i C.3? (3 riscuri)

4. Dai exemple de minim trei ntrebri care ar trebui s se regseasc n acest

chestionar?

asi-chestionar audit [4]

Documents