Audyt informatyczny

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

Audyt informatyczny jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane[1].

Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS[2]). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.

Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych — jak analiza ryzyka czy test penetracyjny.

Normą zawierającą wytyczne odnośnie prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A[1].

Jednym z certyfikatów, potwierdzających posiadanie wiedzy w zakresie audytu systemów informatycznych, jest certyfikat CISA wydawany przez międzynarodową organizację ISACA.

Przypisy

Zobacz też[edytuj | edytuj kod]