الشركات تواجه مجموعة واسعة من اللوائح الحكومية والمتطلبات القانونية. يجب أن يكون لدى الشركات العامة بياناتها المالية وأنظمة تكنولوجيا المعلومات التي تخزنها بشكل منتظم وفقا لقانون ساربينز أوكسلي. يتطلب معيار أمان بيانات صناعة بطاقات الدفع أن يتم تدقيق الشركات التي تقوم بمعالجة بطاقات الائتمان لضمان تكوين أنظمة الكمبيوتر الخاصة بها بشكل آمن. تقوم الشركات بتوظيف شركات تدقيق طرف ثالث لفحص أنظمتها والتحقق من الامتثال لهذه المعايير.
مهام
يبحث المدققون عن بعض الأمور الأساسية عند الوصول إلى الشركة. وتشمل هذه السياسات والعمليات الموثقة والدليل على اتباع تلك السياسات والإجراءات. كلما كانت سياسات الشركة أكثر تفصيلاً ، أصبح من الأسهل على المدقق القيام بعمله. يجب على الشركات تأسيس إطار لبناء سياساتها وعملياتها. مدققو تكنولوجيا المعلومات على دراية بالمعايير ، مثل أهداف التحكم في تكنولوجيا المعلومات (COBIT) أو ISO 27001. كل من هذه الشركات دليل من خلال توفير قوائم التحقق من كيفية تأمين البيانات الحساسة. يستخدم مراجعو الحسابات قوائم التحقق هذه لضمان تدقيق دقيق.
وثائق نموذج الوثائق والسياسات والإجراءات
- تحديد ما إذا كانت عملية إدارة التغيير موجودة وموثقة رسميا.
- حدد ما إذا كانت عمليات إدارة التغيير تحتوي على قائمة حالية لأصحاب النظام.
- تحديد المساءلة لإدارة وتنسيق التغييرات.
- تحديد عملية التصعيد والتحقيق في التغييرات غير المصرح بها.
- تحديد تدفقات إدارة التغيير داخل المنظمة.
عينة تغيير قائمة المراجعة والموافقة
- التحقق من استخدام منهجية لبدء التغييرات والموافقة عليها.
- تحديد ما إذا تم تعيين الأولويات لطلبات التغيير.
- تحقق من الوقت المقدر للانتهاء ويتم الإبلاغ عن التكاليف.
- تقييم العملية المستخدمة للتحكم ومراقبة التغييرات.
عينة من قائمة أمن تكنولوجيا المعلومات.
- تأكد من تعطيل جميع البروتوكولات غير الضرورية وغير الآمنة.
- تحقق من تعيين الحد الأدنى لطول كلمة المرور على 7 أحرف.
- تحقق من استخدام كلمات المرور المعقدة.
- تأكد من أن النظام محدثًا مع التصحيحات وحزم الخدمة.
- تحقق من أن شيخوخة كلمة المرور مضبوطة على 60 يومًا أو أقل.