تتم مراجعة تكنولوجيا المعلومات بهدف التأكد من الحصول على الفوائد المتوقعة من البنية التحتية والعمليات. يمكن إدراج هذه الفوائد على النحو التالي:
- إلى أي مدى تكون البنية التحتية والعمليات قادرة على تلبية احتياجات العمل؟ (فعالية)
- ما مدى كفاءة الموارد المستخدمة؟ (الكفاءة)
- إلى أي مدى يتم ضمان حماية سرية وسلامة واستمرارية أصول المعلومات؟ (السلامة)
- أخيرًا ، ما مقدار اللوائح القانونية التي يتم اتباعها في هذه القضايا؟
مراجعة تكنولوجيا المعلومات التي يتعين القيام بها هي مجال منفصل من الخبرة. ومع ذلك ، يجب ألا تكون منفصلة تمامًا عن مبادئ ومعايير المراجعة العامة ؛ وفي هذا الصدد ، تتطلب عمليات تدقيق أمان تقنية المعلومات أيضًا عملية تدقيق تستند إلى المخاطر وموضوعية.
تشكل الضوابط التنظيمية والعملياتية والفنية أساس عمليات تدقيق تكنولوجيا المعلومات. بالإضافة إلى ذلك ، يجب عدم تجاهل الضوابط المادية التي تدعم حماية البنية التحتية لتكنولوجيا المعلومات من الثغرات الأمنية.
بالإضافة إلى هذه المبادئ العامة ، من الممكن إجراء عمليات تدقيق أمنية خاصة حسب مجال النشاط وظروف خدمة المؤسسات. يمكن استخدام العديد من الطرق المختلفة في عمليات التفتيش هذه. ومع ذلك ، كل طريقة لها معايير تأثير مختلفة في حد ذاتها. قد يكون لبعض المناطق الحساسة التي يمكن السيطرة عليها خصائص مختلفة اعتمادًا على أنشطة Krum. قد تكتسب بعض المناطق أيضًا أهمية في فترات معينة اعتمادًا على التمييز بين أهداف العمل. المهم هو تحقيق هذه الأولويات وتحديد أولويات هذه الاختلافات في تخطيط التدقيق.
يمكن تطبيق تطبيقات ومعايير مختلفة في عمليات تدقيق تكنولوجيا المعلومات. على سبيل المثال،
· COBIT (أهداف التحكم للمعلومات والتكنولوجيا ذات الصلة)
· TS ISO / IEC 27001 تكنولوجيا المعلومات - تقنيات الأمن - نظم إدارة أمن المعلومات - المتطلبات
· TS ISO / IEC 27002 تقنية المعلومات - تقنيات الأمان - مبادئ التطبيق للتحكم في أمن المعلومات
· PRINCE (مشاريع في البيئات التي تسيطر عليها)
· CMMI (تكامل نموذج نضج القدرة ، تكامل نموذج نضج القدرة)
· ITIL (مكتبة البنية التحتية لتكنولوجيا المعلومات)
منظمتنا في نطاق خدمات التدقيق. في هذه الدراسات ، تعمل وفقًا للوائح القانونية ذات الصلة والمعايير التي تنشرها المنظمات المحلية والأجنبية وطرق التدقيق المقبولة عمومًا.