• (+90) 212 702 00 00
  • (+90) 532 281 01 42
  • من info@muayene.co
trarbgzh-TWenfrkadefaru

ممیزی های امنیتی

حسابرسی فنی پشتیبانی
کنترل فناوری اطلاعات عمدتاً موضوعات زیر را پوشش می دهد: • سیستم های مدیریت پایگاه داده (اوراکل، سرور مایکروسافت SQL، Sybase و DB2) • سیستم های شبکه (دیوار آتش)، شبکه های محلی (LAN)، روترها (روترها، سوئیچ ها)، مدیریت IDS / IPS و شبکه های بی سیم) • سیستم های عامل (مایکروسافت ویندوز، لینوکس (Red Hat Enterprise و مشابه)، یونیکس (Sun Solaris، HP-UX، IBM AIX، و غیره) • برنامه های کاربردی (توسعه یافته برای نیازهای تجاری، حسابداری، نرم افزارهای شرکتی مانند برنامه ریزی منابع ، گزارشات مالی و مدیریت موجودی) ممیزی پشتیبانی فنی بر سه موضوع اول تمرکز دارد. خدمات اصلی ارائه شده در محدوده خدمات پشتیبانی فنی به شرح زیر است: • مدیریت فایروال (دیوارهای آتش مهمترین خط دفاعی شبکه های کامپیوتری هستند) • IPS . / مدیریت IDS (IDS مخفف Intrusion Detection System است. به این ترتیب می توان فهمید که حمله ای به سیستم صورت گرفته و منبعی که این حمله را انجام داده است از رسیدن مجدد به سیستم جلوگیری می کند. IPS مخفف عبارت Intrusion Prevention System است. هدف آن جلوگیری از فعالیت مخرب شبکه است). • مدیریت VPN (VPN که به معنای شبکه خصوصی مجازی است، به شما امکان می دهد از طریق یک آدرس IP دیگر به اینترنت متصل شوید. این برنامه اتصال اینترنت را ایمن می کند و تضمین می کند که رمز عبور و اعتبارنامه هنگام اتصال به هیچ شبکه ای یافت نمی شود). • مدیریت DLP (DLP، یک سیستم جلوگیری از از دست دادن و نشت اطلاعات، یک برنامه کاربردی حفاظت از داده است که به طور فزاینده ای در زمینه امنیت اینترنت استفاده می شود. به این ترتیب می توان از خروج اطلاعات ناخواسته از سیستم جلوگیری کرد). • فیلتر کردن ضد هرزنامه (برنامه ای برای دور نگه داشتن هرزنامه از صندوق ورودی ایمیل و ورود به یک پوشه جداگانه). • کار موجودی (مطالعه ای است برای تهیه موجودی از کلیه نرم افزارها و سخت افزارهایی که به یک شبکه خاص متصل هستند یا به تنهایی کار می کنند). • راه حل های MDM (راه حل های MDM، که به معنای مدیریت دستگاه های تلفن همراه است، با این ایده پدیدار شده اند که اگر هر کاری که در رایانه شخصی انجام می شود بر روی دستگاه های تلفن همراه انجام شود، کار انجام شده در دفتر می تواند به دستگاه های تلفن همراه منتقل شود. به این ترتیب، مدیریت دستگاه های تلفن همراه ابعاد جدی پیدا کرده است). • راه حل های مدیریت رمز عبور ممتاز (تکثیر برنامه ها همچنین نیازهای رمزگذاری را از نظر امنیت افزایش داده است). سازمان ما خدمات حسابرسی پشتیبانی فنی را در محدوده خدمات حسابرسی ارائه می دهد. در این مطالعات، سازمان ما مطابق با مقررات قانونی مربوطه، استانداردهای منتشر شده توسط سازمان های داخلی و خارجی و روش های حسابرسی پذیرفته شده عمومی عمل می کند.

کنترل برنامه ها ممیزی ها

به طور کلی، کنترل های نرم افزاری، مجموعهای از کنترل ها در زمینه سیستم های کاربردی برای تنظیم داده ها، جداسازی، تطبیق و تعادل فرایندهای تجاری و گزارش خطا هستند. به عبارت دیگر، کنترل های نرم افزاری برای اطمینان از اینکه:

  • اطلاعات وارد شده به سیستم دقیق، کامل، دقیق است و توسط افراد مجاز ایجاد شده است.
  • اطلاعات در یک زمان قابل قبول و به طور هدفمند وارد سیستم می شود.
  • اطلاعات موجود در سیستم کامل و دقیق است
  • خروجی های سیستم کامل و دقیق است
  • وارد کردن اطلاعات به سیستم، ذخیره سازی و چاپ فرآیندها در سیستم

روش های متعددی برای کنترل برنامه کاربردی وجود دارد. به عنوان مثال، کنترل ورودی برای بررسی یکپارچگی اطلاعات وارد شده در سیستم و نحوه آلوده شدن آن انجام می شود. این اطلاعات ممکن است به طور مستقیم توسط کارکنان یا یک شریک از راه دور وارد سیستم شود، یا ممکن است از طریق اینترنت وارد شود. کنترل پردازش داده ها برای اطمینان از اینکه اطلاعات وارد شده به سیستم کامل، دقیق و مجاز است انجام می شود. کنترل های خروجی برای تعیین نحوه استفاده از اطلاعات دریافت شده از سیستم انجام می شود. چک اطمینان به منظور اطمینان از اطمینان از اطمینان از اطمینان کامل و کامل بودن اطلاعات انجام می شود. کنترل پیگیری مدیریت با هدف ردیابی ردیابی تاریخی برنامه های کاربردی برای ورود، پردازش و چاپ اطلاعات انجام می شود.

اساسا کنترل برنامه ها در دو جهت انجام می شود: کنترل های پیشگیرانه و کنترل های تشخیص. هر دو نوع کنترل برنامه برای جلوگیری از خطا در برنامه در نظر گرفته شده اند. با این حال، چک های پیشگیرانه انجام می شود تا اطمینان حاصل شود که اطلاعات وارد شده مطابق با منطق نرم افزار است. در این مورد، فقط داده های صحیح می توانند وارد سیستم شوند. در زمان ورود، اطلاعات غلط ممنوع است. در کنترل های تعیین کننده، پس از آن بررسی می شود که آیا اطلاعات وارد شده به سیستم از نظر منطق نرم افزار مناسب است.

کنترل های برنامه برای یک برنامه خاص خاص هستند. با این حال، کنترل کلی فن آوری اطلاعات به کامل بودن، صحت و کامل بودن تمام رکوردها در سیستم اختصاص دارد.

سازمان ما خدمات کنترل های نرم افزاری را در حوزه خدمات ممیزی فراهم می کند. در این مطالعات، طبق مقررات قانونی مربوطه، استانداردهای منتشر شده توسط سازمان های داخلی و خارجی و روش های معمول حسابرسی معتبر عمل می کند.

 

 

ممیزی های خصوصی امنیتی

حسابرسی فن آوری اطلاعات با هدف اطمینان از اینکه مزایای مورد انتظار از زیرساخت ها و فرایندها به دست می آید، انجام می شود. این مزایا را می توان به شرح زیر ذکر کرد:

  • تا چه اندازه زیرساخت ها و فرایندها قادر به پاسخگویی به نیازهای تجاری هستند؟ (اثر)
  • منابع استفاده شده چقدر کارآمد هستند؟ (بهره وری)
  • تا چه اندازه حفاظت از محرمانه بودن، یکپارچگی و تداوم اطلاعات دارایی اطمینان داده شده است؟ (ایمنی)
  • در نهایت، چقدر مقررات قانونی در مورد این موارد پیگیری می شود؟

ممیزی فن آوری اطلاعات که باید انجام شود یک منطقه مجزا از تخصص است. با این حال، این نباید کاملا جدا از اصول و معیارهای حسابرسی عمومی باشد؛ در این راستا، ممیزی های امنیتی فناوری اطلاعات نیز نیاز به یک فرایند حسابرسی مبتنی بر ریسک مبتنی بر شواهد مبتنی بر هدف دارد.

کنترل های سازمانی، فرآیند و فنی بر اساس ممیزی های فناوری اطلاعات صورت می گیرد. علاوه بر این، کنترل های فیزیکی که از حفاظت از زیرساخت های فناوری اطلاعات در برابر شکاف های امنیتی حمایت می کنند نباید نادیده گرفته شود.

علاوه بر این اصول کلی، ممکن است ممیزی های امنیتی خاص را بر اساس زمینه فعالیت و شرایط خدمات شرکت ها انجام دهند. در این بازرسی ها می توان از روش های مختلفی استفاده کرد. با این وجود، هر روش دارای معیارهای مختلفی است. بعضی از مناطق کنترل قابل توجه ممکن است بسته به فعالیت های کروم ویژگی های متفاوت داشته باشند. بعضی از مناطق ممکن است در دوره های خاص به اهمیت اهداف کسب و کار نیز توجه کنند. مهم این است که این اولویت ها را درک کنید و این تفاوت ها را در برنامه ریزی حسابرسی اولویت بندی کنید.

برنامه های مختلف و استانداردها می توانند در ممیزی های فناوری اطلاعات استفاده شوند. به عنوان مثال،

·         COBIT (اهداف کنترلی برای اطلاعات و تکنولوژی مرتبط)

·         TS ISO / IEC 27001 فناوری اطلاعات - تکنیک های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات

·         TS ISO / IEC 27002 فناوری اطلاعات - تکنیک های امنیتی - اصول کاربرد برای کنترل امنیت اطلاعات

·         PRINCE (پروژه ها در محیط های کنترل شده)

·         CMMI (ادغام مدل بلوغ قابلیت، ادغام مدل بلوغ ظرفیت)

·         ITIL (کتابخانه زیرساخت فناوری اطلاعات)

 

سازمان ما در حوزه خدمات حسابرسی. در این مطالعات، طبق مقررات قانونی مربوطه، استانداردهای منتشر شده توسط سازمان های داخلی و خارجی و روش های معمول حسابرسی معتبر عمل می کند.

IT کلی کنترل حسابرسی

فرایندهای کسب و کار به صورت دستی در یک شرکت، منجر به تهیه صورتهای مالی نادرست، تعداد بیشتری از کارمندان، خطرات عملیاتی بیشتر در هر روز و رفتار بدخواهانه می شود. بنابراین، بسیار مهم است که یک زیرساخت فناوری اطلاعات جامد و ایجاد یک محیط کنترل قوی برای افزایش قدرت شرکت داشته باشیم.

به طور کلی کنترل کلی فناوری اطلاعات در شرکت ها در ابعاد مختلف مهم است. به این ترتیب، کنترل های مبتنی بر سیستم و فرایندهای تجاری پشتیبانی می شوند و خطرات مالی و عملیاتی به حداقل می رسد. علاوه بر این، کارایی کنترل ها و فرآیندهای متصل به سیستم افزایش یافته است و مهمتر از همه، اطمینان برای آنها فراهم شده است. علاوه بر این، یکپارچگی اطلاعات، تکمیل و دقت اطمینان حاصل می شود.

به طور کلی، کنترل کلی فن آوری اطلاعات در سه مرحله متمرکز می شود. بازرسی از این مناطق، شناسایی نقاط کنترل و آزمون موثر این نقاط کنترل است. این زمینه ها عبارتند از:

  • دسترسی به داده ها (امنیت اطلاعات، مجوز، دسترسی فیزیکی، مدیریت دسترسی و فرایندهای نظارت در این منطقه کنترل می شود)
  • توسعه برنامه ها و برنامه ها (روش های توسعه نرم افزار، تبدیل داده ها، توسعه، تست، تایید و برنامه های کاربردی در این زمینه کنترل می شود)
  • تغییرات نرم افزاری (توسعه نرم افزار، تست و تایید، انتقال نرم افزار به محیط تولید، کار پیکربندی و فرآیندهای تغییر فوری در این منطقه کنترل می شود)
  • عملیات های فناوری اطلاعات (عملیات پیگیری، عملیات پشتیبان گیری و بازگشت و فرایندهای مدیریت در این زمینه کنترل می شود)

کنترل کلی فن آوری اطلاعات تأثیر مثبت بر فرآیندهای کسب و کار داشته است. امروزه این کنترل ها اصلی پروسه های کسب و کار هستند. اگر این کنترل های کلی قوی نیستند، کنترل و پروسه های مبتنی بر سیستم تحت نظارت هر فرایند تجاری سخت است. کنترل های عمومی اطمینان از صحت، صحت و کامل بودن داده ها در سیستم ها می باشد. بنابراین، تمام فرآیندهای کسب و کار با استفاده از سیستم تحت کنترل کلی فن آوری اطلاعات قرار می گیرند.

سازمان ما در حوزه خدمات ممیزی، کنترل کلی فن آوری اطلاعات را فراهم می کند. در این مطالعات، طبق مقررات قانونی مربوطه، استانداردهای منتشر شده توسط سازمان های داخلی و خارجی و روش های معمول حسابرسی معتبر عمل می کند.

 

 

حسابرسی کوبیت

COBIT برای اهداف کنترلی برای اطلاعات و فن آوری های مرتبط به زبان انگلیسی است و برای اهداف کنترلی برای اطلاعات و فنون مرتبط است. شرکت های فعال در زمینه فناوری اطلاعات یک مدل مدیریت فناوری اطلاعات را توسعه می دهند و سعی می کنند از دارایی های کسب و کار خود محافظت کنند. با این حال، COBIT نه تنها یک ابزار کنترل است بلکه یک ابزار مدیریت است. با این وجود، بیشتر در نظارت تمرکز می کند. به این ترتیب، هدف آن است که در وجود و موفقیت شرکت از کارکنان مدیریت شرکت ها به کارکنان در زمینه فن آوری اطلاعات، بهره مند شوند.

اهمیت COBIT، به ویژه در بخش مالی کشور ما، شناخته شده است و در سال های اخیر در بسیاری از مناطق دیده شده است. COBIT اهدافی را در مدیریت فناوری اطلاعات به دست می آورد. COBIT ارائه می دهد چارچوبی که تمام توابع فناوری اطلاعات را پوشش می دهد. COBIT شامل چهار گروه از زمینه های فرایند و فرآیندهای 34 است که تمام آنها مدیریت کل فناوری اطلاعات را پوشش می دهد. در حقیقت، COBIT بر مدیریت فناوری اطلاعات تمرکز دارد، نه بر روی فرایندهای فناوری اطلاعات. این اولین بار در COBIT 1996 منتشر شد.

برای اولین بار در کشور ما، برخی از بانک ها تحت نظارت COBIT بر اساس حسابرسی ویژه توسط BRSA تحت پوشش قرار گرفته اند. این نوع ممیزی به تمام بانک های 2006 گسترش یافت و اجباری بود. اکنون هر دو سال یک بار تکرار می شود. با وجودی که در گذشته مشکلات زیادی وجود داشت، بانک ها امروزه پروسه های فناوری اطلاعات خود را مطابق با این استاندارد مدیریت می کنند و فرایندهای آنها را به طور موثر و موثر مدیریت می کنند.

در حقیقت، حتی قبل از مشخص شدن BRSA، برخی از بانکها پروسه های فناوری اطلاعات خود را مطابق با COBIT مدیریت کردند. با این حال، بانکداری تنها منطقه ای نیست که COBIT اعمال می شود. بسیاری از شرکت ها در بخش های مالی و تولیدی از COBIT برای مدیریت فرآیند استفاده می کنند.

ممیزی فرایندهای فناوری اطلاعات دیگر زمینه مهندسی بر اساس فناوری اطلاعات نیست و شامل حسابداری و گزارشگری در حوزه علم تجاری می شود. ممیزی مستقل که در ارتباط با ممیزی فناوری اطلاعات انجام می شود مهمتر است، به ویژه هنگامی که زندگی تجاری پایدارتر شود و پیشرفت در بخش بانکی مورد توجه قرار گیرد.

 

سازمان ما ممیزی COBIT در محدوده خدمات ممیزی است. در این مطالعات، طبق مقررات قانونی مربوطه، استانداردهای منتشر شده توسط سازمان های داخلی و خارجی و روش های معمول حسابرسی معتبر عمل می کند.

مقالات بیشتر ...

  1. ممیزی و صدور گواهینامه PCI DSS
  2. تست نفوذ

خدمات صدور گواهینامه