Audyt informatyczny

Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane^[1].

Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS^[2]). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.

Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych – jak analiza ryzyka czy test penetracyjny.

Normą zawierającą wytyczne odnośnie do prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A^[1].

CISA certyfikat audytorów wewnętrznych IT edytuj

Audyt informatyczny przeprowadzany jest przez audytorów posiadających uprawnienia w tym zakresie m.in. certyfikat CISA.

CISA (Certified Information Systems Auditor) to jedna z najbardziej znanych i prestiżowych kwalifikacji dających międzynarodowe uprawnienia audytora wewnętrznego z zakresu IT. Potwierdza, że jego posiadacz zdobył wiedzę i umiejętności pozwalające na ocenę słabych stron systemu informatycznego, firmy, planów ciągłości działania systemu informatycznego oraz zarządzania IT.

Organem wydającym Certyfikat CISA jest Information Systems Audit and Control Association (ISACA).^[3]

Rodzaje audytów informatycznych edytuj

Audyt informatyczny może obejmować różne obszary funkcjonowania systemu. Zasadniczo rozróżniamy 3 rodzaje audytu informatycznego:

audyt legalności oprogramowania;
audyt sprzętu;
audyt bezpieczeństwa.^[4]

Audyt legalności oprogramowania. edytuj

Polega na weryfikacji legalności oprogramowania, zainstalowanego na urządzeniach firmowych i namierzeniu oprogramowanie nielegalnego (pirackiego). W trakcie audytu sprawdzane są m.in. jakie licencje na oprogramowanie posiada firma. Dokumenty porównywane są ze stanem faktycznym (oprogramowaniem zainstalowanym na wszystkich komputerach firmowych). Audyt pozwala m.in. uniknąć kar finansowych związanych z wykorzystaniem nielegalnego oprogramowania w firmie. ^[5]

Audyt sprzętu. edytuj

Dostarcza informacji na temat rodzajów, typów i stanie funkcjonowania sprzętu znajdującego się na wyposażeniu firmy. W trakcie audytu na każdym komputerze firmowym uruchamiane jest oprogramowanie, które pozwala na sprawdzenie konfiguracji danego sprzętu. Na podstawie tych danych można określić stan urządzeń firmowych, a także dokonywać niezbędnych ulepszeń.^[6]

Audyt bezpieczeństwa edytuj

(zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji). To rozbudowany audyt, który ma sprawdzić wszystkie mechanizmy kontroli i zabezpieczeń informacji w firmowej sieci.

Audyt bezpieczeństwa dotyczy różnych aspektów funkcjonowania firmy.

bezpieczeństwa sieci (sprawdzenie i konfiguracja urządzeń sieciowych, routery, LAN i WLAN, oraz punktów dostępu, przełączników),
bezpieczeństwa informacji (metody uwierzytelniania, autoryzacja, szyfrowanie, zarządzanie certyfikatami cyfrowymi),
bezpieczeństwa aplikacji web (zabezpieczenia witryny internetowej, platform SaaS, ochrona poczty e-mail itd.)^[7]

Zobacz też edytuj

Przypisy edytuj

↑ ^a ^b Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.
↑ Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.
↑ CISA Certification | Certified Information Systems Auditor [online], ISACA [dostęp 2021-09-03] .
↑ Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [online] [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa infrastruktury IT [online], TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa infrastruktury sprzętowej IT [online], Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa aplikacji – testy penetracyjne [online], Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).

[liderman-1] Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.

[2] Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.

[3] CISA Certification | Certified Information Systems Auditor [online], ISACA [dostęp 2021-09-03] .

[4] Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [online] [dostęp 2021-09-03] (pol.).

[5] Audyt bezpieczeństwa infrastruktury IT [online], TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).

[6] Audyt bezpieczeństwa infrastruktury sprzętowej IT [online], Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).

[7] Audyt bezpieczeństwa aplikacji – testy penetracyjne [online], Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]