Аудит інформаційних систем. Загрози інформаційної безпеки. Інформаційні технології
Внутрішній аудит: особливості
Перераховані завдання, які ставлять перед працівниками, коли проводиться внутрішній аудит інформаційних систем, по своїй суті, не аудит. Теоретично проводить заходи лише в якості експерта оцінює механізми, завдяки яким система убезпечена. Притягнуте до задачі особа стає активним учасником процесу і втрачає незалежність, вже не може об’єктивно оцінювати ситуацію і контролювати її.
З іншого боку, на практиці при внутрішньому аудиті залишитися осторонь практично неможливо. Справа в тому, що для проведення робіт залучають фахівця компанії, в інший час зайнятого іншими завданнями в подібною області. Це означає, що аудитор – це той самий співробітник, який володіє компетенцією для вирішення зазначених вище завдань. Тому доводиться йти на компроміс: на шкоду об’єктивності залучати працівника до практики, щоб отримати гідний результат.
Аудит безпеки: етапи
Такі багато в чому схожі з кроками загального ІТ-аудиту. Виділяють:
- старт заходів;
- збір бази для аналізу;
- аналіз;
- формування висновків;
- звітність.