Služby
Služby

Audity v oblasti ICT

Audit v podmínkách a prostředí ICT je svým způsobem velmi specifický. Informační a komunikační technologie jsou dnes využívány ve všech oblastech činnosti organizace a zpětně je pro správné posouzení ICT nutné posoudit organizaci ve všech rovinách, od technické přes organizační až po procesní. Širokému spektru oblastí, které je potřebné při auditu ICT posoudit, odpovídá i široké spektrum legislativy, normativů a dalších standardů vůči kterým je možné nebo potřebné audit ICT provádět.

Audity v oblasti ICT jsou nečastěji prováděny vůči ustanovením norem a standardů definujících:
  • Systém řízení bezpečnosti informací (ISO/IEC 27000),
  • Systém řízení IT služeb (ISO/IEC 20000),
  • Zásady pro ochranu osobních údajů (zákon č. 101/2000 Sb.),
  • Zásady pro IT Governance (CobiT),
  • Zásady pro konkrétní systémy a technologie (OWASP, OSSTM,doporučení NIST, SANS a další).
BDO v oblasti ICT provádí nejčastěji následující druhy auditů, přičemž velmi často se jedná o kombinaci těchto druhů auditů na základě požadavku klienta:
  • Audit systému řízení bezpečnosti informací (ISMS) zaměřený na posouzení stavu bezpečnosti informací vůči ustanovením a požadavkům norem řady ISO/IEC 27000.
  • Audit systému řízení IT služeb (ITSM) v rámci kterého je hodnocena úroveň naplnění ustanovení norem zaměřených na řízení IT služeb, případně IT Governance (ISO/IEC 20000, ITIL, CobiT).
  • Audit ochrany osobních údajů zaměřený na posouzení splnění požadavků zákona č. 101/2000 Sb., o ochraně osobních údajů ve znění pozdějších doplňků.
  • Audity v bankovním prostředí posuzující úroveň naplnění znění různých regulačních opatření zaměřených na ICT (vyhláška ČNB č. 123/2007 Sb.) a dalších standardů (IT Control Objectives for Basel II, atd.).
  • Technické audity posuzující stav v oblasti ICT, zejména konkrétních IS nebo technologií, vůči specifickým technickým standardům a doporučením (OWASP, OSSTM, doporučení NIST, SANS a další).
Fáze auditu
Základní návod k zásadám auditování, řízení programu auditů, provádění auditů různých systémů řízení stanovuje norma ČSN EN ISO 19011. Jsou definovány následující fáze auditu:
test
  Přístup auditora
Správnost, nezávislost a vhodnost auditu lze dosáhnout jen dodržováním základních etických principů:
  • Etického chování – důvěryhodnost, jednotnost,důvěrnost a diskrétnost vztahu se zadavatelem a při manipulacis jeho informacemi a daty;
  • Spravedlivého prezentování – zjištění, závěry a zprávy z auditu jsou vždy pravdivé a přesně popisují veškeré činnosti provedené v průběhu auditu;
  • Profesionálního přístupu – vysoká odborná a profesní způsobilost auditorů;
  • Nezávislosti – audit je veden z pozice auditorů přímo nezávislých na hodnocené činnosti/oblasti a aktivity jsou důsledně vedeny s cílem nalézt objektivní stanovisko;
  • Průkaznosti – veškeré předkládané závěry a informace jsou dostatečně podložené podkladovými materiály a důkazy a tím jsou zpětně ověřitelné.
Přínosy auditu ICT
Audit ICT přináší vedení organizace a ICT personálu následující přínosy:
  • Ověření souladu a efektivity přijatých opatření s požadavky závazné dokumentace
  • Nezávislý a opakovatelný pohled na stav ICT
  • Posouzení efektivity opatření vůči zdrojům vynaloženým na jejich implementaci
  • Možnost účinně optimalizovat řídící a plánovací procesy v ICT
  • Účinně se připravit na případný certifikační proces dle zvoleného standardu
Cerifikovaní auditoři BDO Vám pomohou prověřit stav Vašeho ICT a systémů managementu s využitím svých mnoholetých zkušeností v oboru.

Novinky

redStrip