Практика ведения аудита IT. Оценка состояния информационной системы компании и ее соответствие потребностям бизнеса

День 1.

Стандарты, используемые в IT-аудите:

• Соответствие политики, стандартов и процедур лучшим практикам информационной безопасности.
• Разработка и внедрение стратегии риск-ориентированной стратегии IТ-аудита в соответствие со стандартами.
• Планирование IТ проверок с целью обеспечения уверенности, что информационные системы контролируемы, безопасны и предоставляют пользу предприятию.
• Проведение IТ проверок в соответствие со стандартами и планами.
• Подготовка отчетов по результатам проверки.
• Корректирующие действия по результатам проверки.

Аудит управления IT-рисками:

• Риски, связанные с доступом в IT-системы.
• Специфика управления IT-рисками.

Аудит компонентов управления IT-структуры:

• Организационные структуры в области IТ.
• Методы руководства IТ с целью достижения целей предприятия.
• IТ-стратегии с точки зрения достижения бизнес-целей предприятия.
• Соответствие IТ-политики и стандартов IТ-стратегии и нормативным требованиям.
• Общие контрольные меры в области IТ.
• Системы контроля качества в области IТ на соответствие IТ-стратегии и эффективности с точки зрения затрат.
• Приоритеты инвестиций в IТ.
• Договоры по услугам IТ.
• Степени информированности и мониторинга IТ со стороны высшего руководства.
• Процессы в области обеспечения непрерывности бизнеса.

День 2.

Аудит приобретения, разработки, внедрение и изменения информационных систем:

• Технико-экономических обоснований IТ- проектов.
• Процесс разработки систем и внесения изменений.
• Риски, возникающие при разработке и внесении изменений.
• Практика управления IТ-проектами на предмет соблюдения бизнес-требований.
• Выполнение IТ-проектов с соблюдением сроков и планов.
• Контрольные процедуры и их тестирование в процессе разработки и изменения программ.
• Контрольные меры на этапе жизненного цикла информационных систем.
• Результаты проектов по внедрения изменения информационных систем.

День 3.

Аудит эксплуатации, сопровождения и поддержки информационных систем:

• Проведение периодических проверок ИС на предмет выполнения требований к ним.
• Соглашения об уровне IТ-сервисов.
• Меры контроля на стороне поставщиков IТ-сервисов.
• IТ-операции и процедуры.
• Процессы сопровождения и поддержки IТ-инфраструктуры и сервисов.
• Качество администрирования баз данных.
• Уровни загрузки мощностей IТ-инфраструктуры.
• Практики управления инцидентами IТ.
• Процедуры внесения изменений в ИС и резервирования данных.
• Планы восстановления после прерываний.

День 4.

Аудит безопасности и контроля доступа:

• Дизайн, внедрения и мониторинга мер контроля безопасности.
• Место IT-контроля в контрольной среде компании.
• Типы контрольных процедур в IT.
• Процесс классификации информации на соблюдение корпоративных и нормативных требований.
• Меры контроля физического доступа и меры по защите информационных активов от воздействия окружающей среды.
• Процессы и процедуры по хранению, транспортировке и уничтожению носителей информации с точки зрения обеспечения безопасности.
• Контрольные процедуры и их тестирование.