HOPET Informatika

Név:
Jelszó:

2024. november 21. csütörtök, Olivér

„Informatika az üzlet szolgálatában!”


Informatikai audit és kockázat elemzés

IT risk audit

A többéves informatikai működések során jelentős mennyiségű adat halmozódott föl a vállalati informatikai rendszerekben, amelyek a vállalat tőkéjének részévé vált. Jelentős költségek kerültek beruházásra az IT rendszerekbe, amelyek beleintegrálódtak az üzleti folyamatokba, és mára az üzleti szolgáltatás nélkülözhetetlen elemévé váltak.

Az informatikai rendszerekkel kapcsolatosan jelentkező fenyegetettségeken keresztül a szervezetet minden olyan véletlen, vagy szándékos esemény kapcsán komoly anyagi kár érheti, amely eredményeképp:

  • megsérül az adatok bizalmassága, azaz nyilvánosságra, illetéktelenek birtokába kerülnek a szervezet számára fontos adatok, információk,
  • megsérül az adatok integritása, azaz illetéktelenek módosítják, megváltoztatják az adatokat,
  • megsérül az adatok rendelkezésre állása, azaz bizonyos szándékos vagy véletlenszerű események hatására adott ideig elérhetetlenné válnak, esetleg megsemmisülnek az adatok.

A vállalatok felső vezetése felelős az üzleti kockázatok, ezen belül az informatikai kockázatok csökkentéséért, megfelelően alacsony szinten tartásáért. Számukra ezért létfontosságú, hogy valós képet kapjanak a cég informatikai rendszereinek biztonsági helyzetéről. A rendszeres időközönként végrehajtott, független informatikai megfelelőségi auditok megfelelő áttekintést adhatnak a döntéshozók számára.

A felmérések szerint az informatikai rendszereket érintő fenyegetettségek 70-80 %-a belső forrásból – képzetlenség, hibák, mulasztások és szándékosság – származik, ezért kiemelten fontos a felülvizsgálatok független szakértői végrehajtása.
Az informatikai audit eredményeképp a cég vezetése részletes állapotjelentést kap a cég informatikai biztonságáról, valamint a kívánt biztonsági szint elérése érdekében teendő lépésekről.

Az informatikai audit típusai:

  • általános informatikai audit, ahol az informatikai kontroll környezet vizsgálata történik,
  • informatikai rendszeraudit, amely során egy konkrét informatikai alkalmazás, banki, vállalatirányítási rendszer - pl. Bankmaster, SAP, Oracle rendszerek stb. - mélységi vizsgálata történik meg.

A HOPET Kft. vállalja általános informatikai- és informatikai rendszerauditok végrehajtását az alábbiak szerint:

Az informatikai audit a Megrendelő választása szerinti a hazai törvényi előírások és egyéb vonatkozó jogszabályok - Hpt., Tpt., Öpt., Mpt., Bit., AvTv. stb. - és/vagy a hazai és nemzetközi ajánlások - MSZ ISO/IEC 27001, BS 25999, ITIL, COBIT, MSZE 15100 - szerint kerül végrehajtásra.

Az audit megvalósítási lépései:

  1. Információgyűjtés
  2. Első lépésként az ügyfél üzleti folyamatainak, informatikai vagyonelemeinek, vagyis az adatcsoportoknak, az informatikai rendszereknek és az infrastruktúrának a felmérése, valamint az ehhez rendelt védelmi szintek rögzítése történik.

  3. Értékelés, kockázat feltárás, és a kockázatok elemzése
  4. Az információgyűjtés után következik az informatikai kockázatelemzés, azaz a fenyegető tényezők, a fenyegetettségek, valamint az informatikai működésben meglévő hiányosságok, azaz a sérülékenység feltárása, és az ebben rejlő kockázatok értékelése. Az értékelésnél a jogszabályi előírásokat, valamint a hazai és nemzetközi „legjobb gyakorlatok” („best practices”) által alkalmazott kontroll megoldásokat tekintjük az elvárható biztonsági szint alapjául.

  5. Audit jelentés

    Az informatikai rendszer, infrastruktúra vizsgálata és kockázatelemzés elkészítése után az alábbi jelentéseket nyújtjuk át a cégvezetés részére:

    • Vezetői összefoglaló,
    • amely rögzíti egyrészt az audit vizsgálat végrehajtási környezetét, másrészt tartalmaz egy, a vezetői szintnek szóló, összefoglaló jelentést, amelyben az informatikai biztonság megvalósítása érdekében tett javaslatok is felsorolásra kerülnek.

    • Részletes jelentés, amelyben rögzítésre kerülnek :
      • A vizsgálat körülményei, – mikor, minek a vizsgálatára került sor, ki szolgáltatta az információt, milyen dokumentumok alapján folyt a munka,
      • A felmérés eredményei,
      • A feltárt kockázatok, valamint
      • Részletes javaslat a megfelelő informatikai biztonsági rendszer kialakítására, a hiányosságok megszüntetésére, mely tartalmazza a szükséges beruházási és fenntartási költségek felsorolását, a végrehajtás erőforrás- és időszükségletét, és ütemezési tervét.

      Mindkét anyag az audit lezárását megelőző zárómegbeszélés előtt kerül átadásra.

  6. Zárómegbeszélés
  7. A jelentésekben rögzített tényeket és javaslatokat egy prezentáció keretében is ismertetjük a vállalat illetékes felső szintű és szakmai vezetőivel. A megbeszélés során lehetőség van a jelentés eredményeinek megvitatására és a további teendők meghatározására, pontosítására, a vállalati stratégiai tervekkel való összehangolásra.

  8. Záró jelentés
  9. A zárómegbeszélést követően elkészítjük a záró audit jelentést, amely tartalmazza az audit megállapításait, javaslatait, valamint a cégvezetés által megtett kiegészítő észrevételeket.

Amennyiben többet is meg szeretne tudni az informatikai auditálásáról és az informatikai kockázatok elemzéséről, kérjük, tekintse meg kapcsolódó TUDÁSBÁZIS anyagainkat.


Qualys PCI Reseller xhtml logo css logo
| Last modified: 2009. 06. 10.
Adatvédelem | Használati feltételek