Sicherheitsaudits

Im Allgemeinen sind Anwendungskontrollen die Gesamtheit der Kontrollen des Umfangs der Anwendungssysteme für die Regulierung von Daten, die Trennung, den Abgleich und die Abstimmung von Geschäftsprozessen und die Meldung von Fehlern. Mit anderen Worten, Anwendungskontrollen werden durchgeführt, um sicherzustellen, dass:

• Die in das System eingegebenen Informationen sind präzise, ​​vollständig, genau und wurden nur von autorisierten Personen erstellt.
• Informationen werden in akzeptabler Zeit und gezielt in das System eingegeben.
• Die im System enthaltenen Informationen sind vollständig und genau
• Die Ausgaben des Systems sind vollständig und genau
• Eingabe der Informationen in das System, Speichern und Drucken von Prozessen im System

Es gibt viele Methoden, um Anwendungskontrollen durchzuführen. Beispielsweise wird die Eingabesteuerung durchgeführt, um die Integrität der in das System eingegebenen Informationen und deren Verschmutzung zu überprüfen. Diese Informationen können von Mitarbeitern oder von einem Remote-Partner direkt in das System eingegeben oder über das Internet eingegeben werden. Die Datenverarbeitungskontrolle wird durchgeführt, um sicherzustellen, dass die in das System eingegebenen Informationen vollständig, genau und autorisiert sind. Ausgabesteuerungen werden durchgeführt, um zu bestimmen, wie die vom System empfangenen Informationen verwendet werden. Integritätsprüfungen werden durchgeführt, um sicherzustellen, dass die Informationen konsistent und vollständig sind. Management-Trail-Kontrollen werden mit dem Ziel durchgeführt, die historische Nachverfolgung von Anträgen auf Eingabe, Verarbeitung und Ausdruck von Informationen zu verfolgen.

Anwendungskontrollen werden im Wesentlichen in zwei Richtungen durchgeführt: präventive Kontrollen und Erkennungskontrollen. Beide Arten der Anwendungssteuerung sollen Fehler in der Anwendung verhindern. Es werden jedoch vorbeugende Überprüfungen durchgeführt, um sicherzustellen, dass die eingegebenen Informationen der Logik der Software entsprechen. In diesem Fall können nur die korrekten Daten in das System eingegeben werden. Fehlerhafte Informationen werden zum Zeitpunkt der Eingabe verhindert. In den Bestimmungskontrollen wird anschließend geprüft, ob die in das System eingegebenen Informationen im Sinne der Logik der Software angemessen sind.

Anwendungssteuerelemente sind spezifisch für eine bestimmte Anwendung. Die allgemeinen Kontrollen der Informationstechnologien sind jedoch spezifisch für die Vollständigkeit, Richtigkeit und Vollständigkeit aller Datensätze im System.

unsere Organisation bietet Dienstleistungen zur Anwendungskontrolle im Rahmen von Audit-Diensten an. In diesen Studien arbeitet in Übereinstimmung mit den einschlägigen gesetzlichen Bestimmungen, von in- und ausländischen Organisationen veröffentlichten Standards und allgemein anerkannten Prüfungsmethoden.

Das Audit der Informationstechnologie wird mit dem Ziel durchgeführt, sicherzustellen, dass die erwarteten Vorteile aus der Infrastruktur und den Prozessen gezogen werden. Diese Vorteile können wie folgt aufgeführt werden:

• Inwieweit sind Infrastruktur und Prozesse in der Lage, die Geschäftsanforderungen zu erfüllen? (Wirksamkeit)
• Wie effizient werden die Ressourcen eingesetzt? (Effizienz)
• Inwieweit ist der Schutz der Vertraulichkeit, Integrität und Kontinuität von Informationsressourcen gewährleistet? (Safety)
• Abschließend, wie viel gesetzliche Regelungen werden zu diesen Themen befolgt?

Das durchzuführende Informationstechnologie-Audit ist ein gesondertes Fachgebiet. Es sollte jedoch nicht vollständig von den allgemeinen Prüfungsgrundsätzen und -kriterien getrennt sein. In diesem Zusammenhang erfordern IT-Sicherheitsprüfungen auch einen risikobasierten und objektiv nachweisbasierten Prüfungsprozess.

Organisatorische, prozessuale und technische Kontrollen bilden die Grundlage für Audits im Bereich Informationstechnologie. Darüber hinaus sollten physische Kontrollen, die den Schutz der IT-Infrastruktur vor Sicherheitslücken unterstützen, nicht ignoriert werden.

Zusätzlich zu diesen allgemeinen Grundsätzen ist es möglich, je nach Tätigkeitsbereich und Betriebsbedingungen der Unternehmen spezielle Sicherheitsaudits durchzuführen. Bei diesen Inspektionen können viele verschiedene Methoden angewendet werden. Jede Methode hat jedoch unterschiedliche Wirkungskriterien für sich. Einige kritische kontrollierbare Bereiche können abhängig von den Aktivitäten von Krum unterschiedliche Eigenschaften aufweisen. Einige Bereiche können auch in bestimmten Zeiträumen an Bedeutung gewinnen, abhängig von der Differenzierung der Geschäftsziele. Es ist wichtig, diese Prioritäten zu verwirklichen und diese Unterschiede bei der Prüfungsplanung zu priorisieren.

Bei Audits im Bereich Informationstechnologie können unterschiedliche Anwendungen und Standards angewendet werden. Zum Beispiel,

·         COBIT (Kontrollziele für Information und verwandte Technologien)

·         TS ISO / IEC 27001 Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen

·         TS ISO / IEC 27002 Informationstechnologie - Sicherheitstechniken - Anwendungsprinzipien für Informationssicherheitskontrollen

·         PRINCE (Projekte in kontrollierten Umgebungen)

·         CMMI (Integration des Capability Maturity Model, Integration des Capacity Maturity Model)

·         ITIL (Information Technology Infrastructure Library)

unsere Organisation im Rahmen von Wirtschaftsprüfungsleistungen. In diesen Studien arbeitet in Übereinstimmung mit den einschlägigen gesetzlichen Bestimmungen, von in- und ausländischen Organisationen veröffentlichten Standards und allgemein anerkannten Prüfungsmethoden.

Das manuelle Ausführen von Geschäftsprozessen in einem Unternehmen führt zur Erstellung fehlerhafter Abschlüsse, einer höheren Anzahl von Mitarbeitern, täglich höheren operationellen Risiken und möglicherweise böswilligem Verhalten. Daher ist es äußerst wichtig, über eine solide Informationstechnologie-Infrastruktur zu verfügen und ein starkes Kontrollumfeld zu schaffen, um die Leistungsfähigkeit von Unternehmen zu steigern.

Im Allgemeinen sind allgemeine Kontrollen von Informationstechnologien in Unternehmen in verschiedener Hinsicht wichtig. Auf diese Weise werden systembasierte Kontrollen und Geschäftsprozesse unterstützt und finanzielle und operationelle Risiken minimiert. Darüber hinaus wird die Effizienz der mit dem System verbundenen Steuerungen und Prozesse erhöht und vor allem die Sicherheit gewährleistet. Darüber hinaus wird die Integrität, Vollständigkeit und Richtigkeit der Informationen gewährleistet.

Im Allgemeinen konzentrieren sich die allgemeinen Kontrollen der Informationstechnologien auf drei Stufen. Die Inspektion dieser Bereiche dient dazu, Kontrollpunkte zu identifizieren und zu testen, wie effektiv diese Kontrollpunkte sind. Diese Felder sind:

• Zugriff auf Daten (Informationssicherheit, Autorisierung, physischer Zugriff, Zugriffsverwaltung und Überwachungsprozesse werden in diesem Bereich gesteuert)
• Programm- und Anwendungsentwicklung (Methoden zur Anwendungsentwicklung, Datenumwandlung, Entwicklung, Prüfung, Genehmigung und Anwendungsprozesse werden in diesem Bereich gesteuert)
• Softwareänderungen (Softwareentwicklung, Test und Freigabe, Übertragung von Software in die Produktionsumgebung, Konfigurationsarbeiten und dringende Änderungsprozesse werden in diesem Bereich gesteuert)
• IT-Operationen (Operations Follow-up, Backup- und Return-Operationen sowie Problem-Management-Prozesse werden in diesem Bereich gesteuert)

Die generelle Kontrolle der durchgeführten Informationstechnologien wirkt sich positiv auf die Geschäftsprozesse aus. Heute sind diese Kontrollen die Hauptstütze der Geschäftsprozesse. Wenn diese allgemeinen Kontrollen nicht stark genug sind, ist es schwierig, sich auf systembasierte Kontrollen und Prozesse zu verlassen, die von Geschäftsprozessen überwacht werden. Allgemeine Kontrollen gewährleisten die Integrität, Richtigkeit und Vollständigkeit der in den Systemen gespeicherten Daten. Daher sind alle Geschäftsprozesse, die das System verwenden, von den allgemeinen Kontrollen der Informationstechnologien betroffen.

unsere Organisation im Rahmen von Audit-Dienstleistungen bietet allgemeine Kontrollen der Informationstechnologien. In diesen Studien arbeitet in Übereinstimmung mit den einschlägigen gesetzlichen Bestimmungen, von in- und ausländischen Organisationen veröffentlichten Standards und allgemein anerkannten Prüfungsmethoden.

COBIT steht für Kontrollziele für Informations- und verwandte Technologien auf Englisch und steht für Kontrollziele für Informations- und verwandte Technologien. Unternehmen, die im Bereich der Informationstechnologien tätig sind, entwickeln ein Managementmodell für Informationstechnologien und versuchen, die Vermögenswerte ihres Unternehmens zu schützen. COBIT ist jedoch nicht nur ein Steuerungsinstrument, sondern auch ein Verwaltungsinstrument. Der Schwerpunkt liegt jedoch eher auf der Aufsicht. Auf diese Weise soll den Mitarbeitern im Bereich der Informationstechnologien ein Nutzen für das Bestehen und den Erfolg des Unternehmens von den Führungskräften der Unternehmen gebracht werden.

Die Bedeutung von COBIT, insbesondere im Finanzsektor in unserem Land, wurde erkannt und in den letzten Jahren in vielen Bereichen gesehen. COBIT legt die Ziele fest, die beim Management der Informationstechnologie erreicht werden sollen. COBIT bietet ein Framework, das alle informationstechnischen Funktionen abdeckt. COBIT umfasst vier Gruppen von Prozessbereichen und 34-Prozessen, die alle das gesamte IT-Management abdecken. Tatsächlich konzentriert sich COBIT auf Informationstechnologiemanagement, nicht auf Informationstechnologieprozesse. Es wurde erstmals in COBIT 1996 veröffentlicht.

Zum ersten Mal in unserem Land wurden einige Banken von der BRSA einer COBIT-basierten Sonderprüfung unterzogen. Diese Art der Prüfung wurde auf alle Banken in 2006 ausgeweitet und war obligatorisch. Es wird jetzt alle zwei Jahre wiederholt. Früher gab es einige Probleme, heute verwalten Banken ihre informationstechnischen Prozesse nach diesem Standard und steuern ihre Prozesse effizienter und effektiver.

Tatsächlich haben einige Banken bereits vor der BRSA-Vorgabe ihre IT-Prozesse gemäß COBIT gesteuert. Banking ist jedoch nicht der einzige Bereich, in dem COBIT angewendet wird. Viele Unternehmen der Finanz- und Fertigungsbranche setzen COBIT für das Prozessmanagement ein.

Das Audit von informationstechnischen Prozessen ist kein auf Informationstechnologie basierendes Gebiet mehr und umfasst Rechnungswesen und Berichtswesen im Rahmen der Betriebswirtschaft. Die im Zusammenhang mit der Prüfung der Informationstechnologie durchzuführende unabhängige Prüfung gewinnt an Bedeutung, insbesondere wenn das Geschäftsleben zuverlässiger wird und die Entwicklungen im Bankensektor berücksichtigt werden.

unsere Organisation COBIT-Audits im Rahmen von Audit-Dienstleistungen. In diesen Studien arbeitet in Übereinstimmung mit den einschlägigen gesetzlichen Bestimmungen, von in- und ausländischen Organisationen veröffentlichten Standards und allgemein anerkannten Prüfungsmethoden.