Şirketler çok çeşitli devlet düzenlemeleri ve yasal gerekliliklerle karşı karşıyadır. Kamu şirketleri, mali tablolarını ve onları Sarbanes-Oxley Yasası uyarınca düzenli olarak denetlenmiş olarak depolayan bilgi teknolojisi (BT) sistemlerine sahip olmalıdır. Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, bilgisayar sistemlerinin güvenli bir şekilde yapılandırıldığından emin olmak için kredi kartlarını işleyen şirketlerin denetlenmesini gerektirir. Şirketler, sistemlerini incelemek ve bu standartlara uygunluğunu doğrulamak için üçüncü taraf denetim firmalarını işe alırlar.
Görevler
Denetçiler bir şirkete geldiklerinde birkaç temel şey ararlar. Bunlar, belgelenmiş politika ve süreçleri ve bu politika ve prosedürlerin izlendiğine dair kanıtları içerir. Bir şirketin politikaları ne kadar ayrıntılı olursa, denetçinin işini yapması o kadar kolay olur. Şirketler politika ve süreçlerini inşa edecekleri bir çerçeve oluşturmalıdır. BT denetçileri, BT Kontrol Hedefleri (COBIT) veya ISO 27001 gibi standartlara aşinalar. Bu kılavuzların her biri, hassas verilerin nasıl korunacağına dair kontrol listeleri sağlayarak kılavuzluk ediyor. Denetçiler kapsamlı bir denetim sağlamak için bu kontrol listelerini kullanır.
Örnek Belgeler, Politikalar ve Prosedürler Kontrol Listesi
- Bir değişiklik yönetimi sürecinin var olup olmadığını ve resmi olarak belgelenip belgelenmediğini belirleyin.
- Değişiklik yönetimi işlemlerinin güncel bir sistem sahipleri listesine sahip olup olmadığını belirleyin.
- Değişiklikleri yönetmek ve koordine etmek için hesap verebilirliği belirleyin.
- İzinsiz değişikliklerin artırılması ve araştırılması sürecini belirleyin.
- Kuruluş içindeki değişim yönetimi akışlarını belirleyin.
Örnek Değişim Başlatma ve Onay Kontrol Listesi
- Bir metodolojinin değişikliklerin başlatılması ve onaylanması için kullanıldığını doğrulayın.
- Önceliklerin değişiklik isteklerine atanıp atanmayacağını belirleyin.
- Tamamlanacak tahmini zamanı doğrulayın ve maliyetler iletilir.
- Değişiklikleri kontrol etmek ve izlemek için kullanılan süreci değerlendirin.
Örnek BT Güvenlik Kontrol Listesi.
- Gereksiz ve güvensiz protokollerin devre dışı bırakıldığını doğrulayın.
- Minimum şifre uzunluklarının 7 karaktere ayarlandığını doğrulayın.
- Karmaşık parolaların kullanıldığını doğrulayın.
- Sistemin yamalar ve servis paketleri ile güncel olduğundan emin olun.
- Parola yaşlandırmanın 60 gün veya daha az olduğunu doğrulayın.