Unternehmen stehen einer Vielzahl von staatlichen Vorschriften und gesetzlichen Anforderungen gegenüber. Öffentliche Unternehmen müssen ihre Jahresabschlüsse und die IT-Systeme (IT-Systeme), in denen sie aufbewahrt werden, regelmäßig gemäß dem Sarbanes-Oxley-Gesetz prüfen lassen. Der Data Security Standard der Payment Card Industry verlangt, dass Unternehmen, die Kreditkarten verarbeiten, überprüft werden, um sicherzustellen, dass ihre Computersysteme sicher konfiguriert sind. Unternehmen beauftragen externe Prüffirmen, um ihre Systeme zu überprüfen und die Einhaltung dieser Standards zu überprüfen.
Aufgaben
Auditoren suchen bei der Ankunft in einem Unternehmen nach ein paar grundlegenden Dingen. Dazu gehören dokumentierte Richtlinien und Prozesse sowie der Nachweis, dass diese Richtlinien und Verfahren befolgt werden. Je detaillierter die Richtlinien eines Unternehmens, desto leichter fällt es dem Prüfer, seine Arbeit zu erledigen. Unternehmen müssen einen Rahmen schaffen, auf dem sie ihre Richtlinien und Prozesse aufbauen können. IT-Auditoren sind mit Standards vertraut, wie z. B. Kontrollziele für die IT (COBIT) oder ISO 27001. Für jeden dieser Unternehmen gibt es Checklisten, wie vertrauliche Daten gesichert werden können. Prüfer verwenden diese Checklisten, um eine gründliche Prüfung zu gewährleisten.
Beispieldokumentation, Richtlinien und Verfahrens-Checkliste
- Stellen Sie fest, ob ein Änderungsmanagementprozess existiert und formal dokumentiert ist.
- Stellen Sie fest, ob Änderungsverwaltungsvorgänge eine aktuelle Liste der Systemeigentümer enthalten.
- Bestimmen Sie die Verantwortlichkeit für das Verwalten und Koordinieren von Änderungen.
- Bestimmen Sie den Prozess für die Eskalation und Untersuchung nicht autorisierter Änderungen.
- Bestimmen Sie die Änderungsmanagementflüsse in der Organisation.
Muster-Checkliste zur Initiierung und Genehmigung von Änderungen
- Vergewissern Sie sich, dass eine Methode zur Initiierung und Genehmigung von Änderungen verwendet wird.
- Stellen Sie fest, ob den Änderungsanforderungen Prioritäten zugewiesen werden.
- Überprüfen Sie die geschätzte Zeit bis zum Abschluss, und die Kosten werden mitgeteilt.
- Bewerten Sie den Prozess zur Steuerung und Überwachung von Änderungen.
Beispiel für eine IT-Sicherheits-Checkliste.
- Stellen Sie sicher, dass alle nicht benötigten und unsicheren Protokolle deaktiviert sind.
- Stellen Sie sicher, dass die Mindestlänge des Kennworts auf 7 Zeichen festgelegt ist.
- Stellen Sie sicher, dass komplexe Kennwörter verwendet werden.
- Stellen Sie sicher, dass das System mit Patches und Service Packs auf dem neuesten Stand ist.
- Stellen Sie sicher, dass die Kennwortalterung auf 60 Tage oder weniger eingestellt ist.
