Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

Стандарт CobiT.
Управление и аудит информационных технологий.
Особенности проведения внешнего аудита ИТ.

Сергей Гузик (руководитель рабочей группы ISACA.ru)

СОДЕРЖАНИЕ
Введение
ISACA
Управление и аудит ИТ. Стандарт CobiT
Основа CobiT. Разделение CobiT на управление и аудит
Принципы управления ИТ, стандарт CobiT
Модели зрелости
Критические Факторы Успеха (КФУ)
Ключевые Индикаторы Цели (КИЦ)
Ключевые Индикаторы Результата (КИР)
Управление ИТ по CobiT
Принципы аудита ИТ, стандарт CobiT
CobiT Advisor 3rd Edition (Audit)
Этика аудитора ИТ
Структура принципов аудита CobiT
Область охвата CobiT
Взаимосвязь CobiT и других требований и стандартов
Практические рекомендации
Преимущества проведения регулярного аудита
Причины постановки управления и проведения аудита ИТ
Причины применения стандарта CobiT для управления и аудита ИТ
Предложение услуг по ИТ аудиту на Российском рынке
Заключение
I. Термины и определения
II. Глоссарий
III. Книги CobiT
IV. Источники информации и полезные ссылки

Принципы аудита ИТ, стандарт CobiT

Принципы аудита CobiT — книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей контроля (определенных для ИТ-процессов организации), которые охватывают все параметры информационных систем и применяемых информационных технологий, учитывают цикл жизни и специфические задачи, решаемые ИТ.

CobiT Advisor 3rd Edition (Audit)

Цель написания программного продукта "CobiT Advisor" — максимально облегчить проведение аудита ИТ. Основываясь на открытом стандарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. На основании изменений и дополнений третьего издания стандарта CobiT в "CobiT Advisor" были внесены соответствующие изменения. Программный продукт был дополнен 16 новыми объектами контроля и новыми формами отчетов. "CobiT Advisor" представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).

Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для совокупной модели зрелости всех ИТ-сервисов организации (Рис. 8).

Рисунок 8. Экран CobiT Advisor 3rd Edition

Этика аудитора ИТ

Для обеспечения высокого качества оказания услуг, обеспечения профессионализма аудиторов ИТ и разрешения сложных этических ситуаций, возникающих в процессе аудита ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в "Этическом кодексе аудитора".

Этический кодекс аудитора (Ассоциация ISACA)

  1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
  2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA);
  3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
  4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;
  5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
  6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
  7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
  8. Избегать деятельности, которая ставит под угрозу независимость аудитора;
  9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;
  10. Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;
  11. Информировать все заинтересованные стороны о результатах проведения аудита;
  12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
  13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
  14. Совершенствовать свои личные качества.

Структура принципов аудита CobiT

Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

Секция высокого уровня принципов аудита CobiT отражает:

  • Название бизнес-процесса;
  • Требования бизнеса (Объекты контроля высокого уровня);
  • Как осуществлять контроль;
  • Что учитывать.

Для перехода на уровень детального аудита ИТ-процесса:

  • Детальные объекты контроля;
  • Как понять ИТ-процесс (кому задавать вопросы);
  • Как оценить контроль ИТ-процесса;
  • Как оценить соответствие этого контроля — управлению;
  • Как доказать риск не выполнения целей управления.

На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

  1. Определить высокоуровневый объект контроля;
  2. Определить ИТ-процесс;
  3. Проанализировать границы аудита;
  4. Определить детальные объекты контроля;
  5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);
  6. Назначить задания на оценку средств контроля (Принято ли во внимание ...);
  7. Оценить соответствие;
  8. Проверить доказательства.

Таблица 1. Применение книг стандарта CobiT при проведении аудита ИТ

Уровень 1 Базовый уровень аудита ИТ

Структура CobiT

Принципы аудита CobiT (стр. 22-24,29):

  • Требования процесса аудита
  • Контроль
  • Общие принципы аудита

Уровень 2 Процессы, описанные в принципах аудита

Принципы аудита CobiT (основная часть)

Уровень 3 Аудит дополнительных целей контроля

Специфические условия:

  • Специализированные отраслевые критерии
  • Промышленные стандарты
  • Требования производителей элементов инфраструктуры
  • Применение детальных методов контроля
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149 		Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов 		Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...