Các công ty phải đối mặt với một loạt các quy định của chính phủ và các yêu cầu pháp lý. Các công ty đại chúng phải có báo cáo tài chính và hệ thống công nghệ thông tin (CNTT) lưu trữ chúng được kiểm toán một cách thường xuyên theo Đạo luật Sarbanes-Oxley. Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán yêu cầu các công ty xử lý thẻ tín dụng phải được kiểm toán để đảm bảo hệ thống máy tính của họ được cấu hình an toàn. Các công ty thuê các công ty kiểm toán bên thứ ba để kiểm tra hệ thống của họ và xác minh việc tuân thủ các tiêu chuẩn này.
Nhiệm vụ
Kiểm toán viên tìm kiếm một vài điều cơ bản khi đến một công ty. Chúng bao gồm các chính sách và quy trình được lập thành tài liệu và bằng chứng cho thấy các chính sách và thủ tục đó được tuân theo. Các chính sách của công ty càng chi tiết thì càng dễ kiểm toán viên thực hiện công việc của mình. Các công ty phải thiết lập một khuôn khổ để xây dựng các chính sách và quy trình của họ. Kiểm toán viên CNTT đã quen thuộc với các tiêu chuẩn, chẳng hạn như Mục tiêu điều khiển cho CNTT (COBIT) hoặc ISO 27001. Mỗi công ty hướng dẫn này bằng cách cung cấp danh sách kiểm tra về cách bảo mật dữ liệu nhạy cảm. Kiểm toán viên sử dụng các danh sách kiểm tra để đảm bảo kiểm toán kỹ lưỡng.
Danh sách kiểm tra tài liệu, chính sách và thủ tục mẫu
- Xác định xem một quy trình quản lý thay đổi có tồn tại và được ghi lại chính thức hay không.
- Xác định xem các hoạt động quản lý thay đổi có một danh sách hiện tại của chủ sở hữu hệ thống.
- Xác định trách nhiệm giải trình để quản lý và điều phối các thay đổi.
- Xác định quá trình leo thang và điều tra các thay đổi trái phép.
- Xác định các luồng quản lý thay đổi trong tổ chức.
Danh sách kiểm tra bắt đầu và phê duyệt mẫu
- Xác minh một phương pháp được sử dụng để bắt đầu và phê duyệt các thay đổi.
- Xác định xem các ưu tiên được gán cho các yêu cầu thay đổi.
- Xác nhận thời gian ước tính để hoàn thành và chi phí được truyền đạt.
- Đánh giá quá trình được sử dụng để kiểm soát và giám sát các thay đổi.
Danh sách kiểm tra bảo mật CNTT mẫu.
- Xác nhận rằng tất cả các giao thức không cần thiết và không an toàn bị vô hiệu hóa.
- Xác minh rằng độ dài mật khẩu tối thiểu được đặt thành 7 ký tự.
- Xác minh rằng mật khẩu phức tạp được sử dụng.
- Đảm bảo rằng hệ thống được cập nhật với các bản vá và gói dịch vụ.
- Xác minh rằng lão hóa mật khẩu được đặt thành 60 ngày hoặc ít hơn.