تدقيق الأمن

بشكل عام ، عناصر التحكم في التطبيق هي مجمل عناصر التحكم في نطاق أنظمة التطبيق لتنظيم البيانات ، وفصل ومطابقة وموازنة العمليات التجارية والإبلاغ عن الأخطاء. بمعنى آخر ، يتم تنفيذ عناصر التحكم في التطبيق لضمان:

• المعلومات التي يتم إدخالها في النظام دقيقة وكاملة ودقيقة ويتم إنشاؤها فقط من قبل الأشخاص المصرح لهم.
• يتم إدخال المعلومات في النظام في وقت مقبول وبطريقة مستهدفة.
• المعلومات الموجودة في النظام كاملة ودقيقة
• المخرجات من النظام كاملة ودقيقة
• إدخال المعلومات في النظام ، عمليات التخزين والطباعة في النظام

هناك العديد من الطرق المستخدمة لتنفيذ عناصر التحكم في التطبيق. على سبيل المثال ، يتم إجراء التحكم في الإدخال للتحقق من سلامة المعلومات المدخلة في النظام وكيفية تلوثها. قد يتم إدخال هذه المعلومات مباشرة في النظام من قبل الموظفين أو من قبل شريك بعيد ، أو قد يتم إدخالها عبر الإنترنت. يتم إجراء التحكم في معالجة البيانات للتأكد من أن المعلومات المدخلة في النظام كاملة ودقيقة ومصرح بها. يتم تنفيذ عناصر التحكم في الإخراج لتحديد كيفية استخدام المعلومات الواردة من النظام. يتم إجراء اختبارات النزاهة للتأكد من أن المعلومات متسقة وكاملة. يتم تنفيذ عناصر التحكم في درب الإدارة بهدف تتبع التتبع التاريخي للتطبيقات الخاصة بإدخال المعلومات ومعالجتها وطباعتها.

بشكل أساسي ، يتم تطبيق عناصر التحكم في التطبيق في اتجاهين: عناصر التحكم الوقائية وضوابط الكشف. يهدف كلا النوعين من التحكم في التطبيق إلى منع الأخطاء في التطبيق. ومع ذلك ، يتم إجراء عمليات الفحص الوقائي للتأكد من أن المعلومات التي تم إدخالها تتوافق مع منطق البرنامج. في هذه الحالة ، يمكن إدخال البيانات الصحيحة فقط في النظام. يتم منع المعلومات غير الصحيحة في وقت الدخول. في عناصر التحكم المحددة ، يتم التحقق فيما بعد مما إذا كانت المعلومات التي تم إدخالها في النظام مناسبة من حيث منطق البرنامج.

ضوابط التطبيق خاصة بتطبيق معين. ومع ذلك ، فإن الضوابط العامة لتكنولوجيات المعلومات خاصة بمدى اكتمال ودقة واكتمال جميع السجلات في النظام.

منظمتنا يوفر خدمات ضوابط التطبيق في نطاق خدمات التدقيق. في هذه الدراسات ، تعمل وفقًا للوائح القانونية ذات الصلة والمعايير التي تنشرها المنظمات المحلية والأجنبية وطرق التدقيق المقبولة عمومًا.

تتم مراجعة تكنولوجيا المعلومات بهدف التأكد من الحصول على الفوائد المتوقعة من البنية التحتية والعمليات. يمكن إدراج هذه الفوائد على النحو التالي:

• إلى أي مدى تكون البنية التحتية والعمليات قادرة على تلبية احتياجات العمل؟ (فعالية)
• ما مدى كفاءة الموارد المستخدمة؟ (الكفاءة)
• إلى أي مدى يتم ضمان حماية سرية وسلامة واستمرارية أصول المعلومات؟ (السلامة)
• أخيرًا ، ما مقدار اللوائح القانونية التي يتم اتباعها في هذه القضايا؟

مراجعة تكنولوجيا المعلومات التي يتعين القيام بها هي مجال منفصل من الخبرة. ومع ذلك ، يجب ألا تكون منفصلة تمامًا عن مبادئ ومعايير المراجعة العامة ؛ وفي هذا الصدد ، تتطلب عمليات تدقيق أمان تقنية المعلومات أيضًا عملية تدقيق تستند إلى المخاطر وموضوعية.

تشكل الضوابط التنظيمية والعملياتية والفنية أساس عمليات تدقيق تكنولوجيا المعلومات. بالإضافة إلى ذلك ، يجب عدم تجاهل الضوابط المادية التي تدعم حماية البنية التحتية لتكنولوجيا المعلومات من الثغرات الأمنية.

بالإضافة إلى هذه المبادئ العامة ، من الممكن إجراء عمليات تدقيق أمنية خاصة حسب مجال النشاط وظروف خدمة المؤسسات. يمكن استخدام العديد من الطرق المختلفة في عمليات التفتيش هذه. ومع ذلك ، كل طريقة لها معايير تأثير مختلفة في حد ذاتها. قد يكون لبعض المناطق الحساسة التي يمكن السيطرة عليها خصائص مختلفة اعتمادًا على أنشطة Krum. قد تكتسب بعض المناطق أيضًا أهمية في فترات معينة اعتمادًا على التمييز بين أهداف العمل. المهم هو تحقيق هذه الأولويات وتحديد أولويات هذه الاختلافات في تخطيط التدقيق.

يمكن تطبيق تطبيقات ومعايير مختلفة في عمليات تدقيق تكنولوجيا المعلومات. على سبيل المثال،

·         COBIT (أهداف التحكم للمعلومات والتكنولوجيا ذات الصلة)

·         TS ISO / IEC 27001 تكنولوجيا المعلومات - تقنيات الأمن - نظم إدارة أمن المعلومات - المتطلبات

·         TS ISO / IEC 27002 تقنية المعلومات - تقنيات الأمان - مبادئ التطبيق للتحكم في أمن المعلومات

·         PRINCE (مشاريع في البيئات التي تسيطر عليها)

·         CMMI (تكامل نموذج نضج القدرة ، تكامل نموذج نضج القدرة)

·         ITIL (مكتبة البنية التحتية لتكنولوجيا المعلومات)

منظمتنا في نطاق خدمات التدقيق. في هذه الدراسات ، تعمل وفقًا للوائح القانونية ذات الصلة والمعايير التي تنشرها المنظمات المحلية والأجنبية وطرق التدقيق المقبولة عمومًا.

يؤدي إجراء العمليات التجارية يدويًا في مؤسسة ما إلى إعداد بيانات مالية غير صحيحة وزيادة عدد الموظفين ومخاطر تشغيلية أكبر كل يوم وسلوك ضار محتمل. لذلك ، من المهم للغاية وجود بنية تحتية متينة لتكنولوجيا المعلومات وإنشاء بيئة تحكم قوية من أجل زيادة قوة المؤسسات.

عموما ، الضوابط العامة لتكنولوجيا المعلومات في الشركات مهمة في جوانب مختلفة. وبهذه الطريقة ، يتم دعم الضوابط المستندة إلى النظام والعمليات التجارية وتقليل المخاطر المالية والتشغيلية. بالإضافة إلى ذلك ، تمت زيادة كفاءة الضوابط والعمليات المرتبطة بالنظام ، والأهم من ذلك أنه تم توفير ضمان لهم. بالإضافة إلى ذلك ، يتم ضمان سلامة المعلومات والاكتمال والدقة.

بشكل عام ، تتركز الضوابط العامة لتكنولوجيا المعلومات على ثلاث مراحل. التفتيش على هذه المناطق هو تحديد نقاط المراقبة واختبار مدى فعالية نقاط المراقبة هذه. هذه الحقول هي:

• الوصول إلى البيانات (يتم التحكم في أمن المعلومات والتصريح والوصول الفعلي وإدارة الوصول والمراقبة في هذا المجال)
• تطوير البرنامج والتطبيق (يتم التحكم في أساليب تطوير التطبيق ، وتحويل البيانات ، والتطوير ، والاختبار ، والموافقة ، وعمليات التطبيق في هذا المجال)
• يتم التحكم في تغييرات البرنامج (تطوير البرمجيات ، الاختبار والموافقة ، نقل البرامج إلى بيئة الإنتاج ، أعمال التكوين وعمليات التغيير العاجلة في هذا المجال)
• عمليات تكنولوجيا المعلومات (يتم متابعة عمليات المتابعة والنسخ الاحتياطي وعمليات العودة وعمليات إدارة المشكلات في هذا المجال)

الضوابط العامة لتقنيات المعلومات التي تم تنفيذها لها تأثيرات إيجابية على العمليات التجارية. اليوم ، هذه الضوابط هي الدعامة الأساسية للعمليات التجارية. إذا لم تكن عناصر التحكم العامة هذه قوية ، فمن الصعب الاعتماد على الضوابط والعمليات المستندة إلى النظام تحت إشراف أي عملية تجارية. الضوابط العامة تضمن سلامة ودقة واكتمال البيانات الموجودة في النظم. لذلك ، تتأثر جميع العمليات التجارية التي تستخدم النظام بالضوابط العامة لتقنيات المعلومات.

منظمتنا ضمن نطاق خدمات التدقيق يوفر الضوابط العامة لتكنولوجيا المعلومات. في هذه الدراسات ، تعمل وفقًا للوائح القانونية ذات الصلة والمعايير التي تنشرها المنظمات المحلية والأجنبية وطرق التدقيق المقبولة عمومًا.

يشير COBIT إلى "أهداف التحكم" الخاصة بالمعلومات والتكنولوجيا ذات الصلة باللغة الإنجليزية ويعني "أهداف التحكم" الخاصة بالمعلومات والتقنيات ذات الصلة. تقوم الشركات العاملة في مجال تقنيات المعلومات بتطوير نموذج لإدارة تكنولوجيا المعلومات ومحاولة حماية أصول شركاتهم. ومع ذلك ، فإن COBIT ليس أداة تحكم فحسب ، بل أداة إدارة. ومع ذلك ، فإنه يركز أكثر على الإشراف. وبهذه الطريقة ، تهدف إلى توفير الفائدة في وجود ونجاح المؤسسة من موظفي إدارة الشركات إلى الموظفين في مجال تكنولوجيا المعلومات.

تم الاعتراف بأهمية COBIT ، وخاصة في القطاع المالي في بلدنا ، وقد شوهد في العديد من المجالات في السنوات الأخيرة. يحدد COBIT الأهداف المراد تحقيقها في إدارة تكنولوجيا المعلومات. يوفر COBIT إطار عمل يغطي جميع وظائف تكنولوجيا المعلومات. يتضمن COBIT أربع مجموعات من مجالات العمليات وعمليات 34 ، والتي تغطي جميعها إدارة تكنولوجيا المعلومات بالكامل. في الواقع ، يركز COBIT على إدارة تكنولوجيا المعلومات ، وليس على عمليات تكنولوجيا المعلومات. تم إصداره لأول مرة في COBIT 1996.

لأول مرة في بلدنا ، تخضع بعض البنوك لتدقيق خاص قائم على COBIT بواسطة BRSA. امتد هذا النوع من التدقيق ليشمل جميع البنوك في 2006 وكان إلزاميًا. يتكرر الآن مرة واحدة كل عامين. على الرغم من وجود بعض المشكلات في الماضي ، إلا أن البنوك اليوم تدير عمليات تكنولوجيا المعلومات الخاصة بها وفقًا لهذا المعيار وتدير عملياتها بشكل أكثر كفاءة وفعالية.

في الواقع ، حتى قبل أن تنص BRSA ، أدار بعض البنوك عمليات تكنولوجيا المعلومات الخاصة بهم وفقًا لـ COBIT. ومع ذلك ، فإن الخدمات المصرفية ليست المجال الوحيد الذي يتم فيه تطبيق COBIT. تستخدم العديد من الشركات في قطاعي التمويل والتصنيع COBIT لإدارة العمليات.

لم يعد التدقيق في عمليات تكنولوجيا المعلومات مجالًا للهندسة قائمًا على تقنية المعلومات ، ويشمل المحاسبة والإبلاغ ضمن نطاق علوم الأعمال. تصبح المراجعة المستقلة التي سيتم تنفيذها بالتزامن مع تدقيق تكنولوجيا المعلومات أكثر أهمية ، خاصةً عندما تصبح الحياة التجارية أكثر موثوقية وتؤخذ التطورات في القطاع المصرفي في الاعتبار.

منظمتنا عمليات تدقيق COBIT في نطاق خدمات التدقيق. في هذه الدراسات ، تعمل وفقًا للوائح القانونية ذات الصلة والمعايير التي تنشرها المنظمات المحلية والأجنبية وطرق التدقيق المقبولة عمومًا.