Przewodnik_audytora_systemow_informatycznych_przasi.pdf

IDZ DO

PRZYK£ADOW Y ROZDZIA£

Przewodnik audytora

systemów informatycznych

SPIS TREœCI

KATALOG KSI¥¯EK

Autorzy: Marian Molski, Ma³gorzata £acheta

ISBN: 83-246-0622-X

Format: A5, stron: 424

KATALOG ONLINE

ZAMÓW DRUKOWANY KATALOG

TWÓJ KOSZYK

DODAJ DO KOSZYKA

Dynamiczny rozwój technologii informatycznych znacz¹co wp³yn¹³ na konkurencyjnoœæ

i efektywnoœæ organizacji. Bez odpowiedniego wsparcia ze strony systemów

informatycznych wspó³czesne przedsiêbiorstwo nie jest w stanie poprawnie

funkcjonowaæ. Jednak tak du¿e uzale¿nienie od systemów informatycznych oznacza

równie¿ zagro¿enia zwi¹zane z mo¿liwoœci¹ utraty b¹dŸ wykradzenia kluczowych

danych firmy. Wirusy, programy szpieguj¹ce, dzia³ania hakerów — wszystko to mo¿e

spowodowaæ ogromne straty dla organizacji. Na szczêœcie zwiêksza siê równie¿ arsena³

narzêdzi, dziêki którym firmy mog¹ broniæ siê przed takimi zagro¿eniami. Jak jednak

stwierdziæ, czy przedsiêwziête œrodki ochrony s¹ wystarczaj¹ce?

Czytaj¹c ksi¹¿kê „Przewodnik audytora systemów informatycznych”, poznasz

procedury i praktyczne zagadnienia zwi¹zane z badaniem infrastruktury informatycznej

pod tym w³aœnie k¹tem. Dowiesz siê, czym dok³adnie zajmuje siê audytor systemów

informatycznych i jak planuje siê korporacyjn¹ politykê bezpieczeñstwa danych.

Przeczytasz o planowaniu badañ oraz narzêdziach i metodykach wykorzystywanych

w tym procesie. Nauczysz siê przeprowadzaæ analizê systemów informatycznych

i dowiesz siê, na co zwracaæ szczególn¹ uwagê.

Elementy polityki bezpieczeñstwa danych

Zarz¹dzanie ryzykiem w systemach informatycznych

Wdro¿enie systemu zarz¹dzania bezpieczeñstwem informacji

Model PDCA

Regulacje prawne i standardy zwi¹zane z audytem

Metodyki prowadzenia badañ systemów informatycznych

Przeprowadzanie procesu audytu

Audytor systemów informatycznych to zawód przysz³oœci.

B¹dŸ przygotowany na jej nadejœcie

CENNIK I INFORMACJE

ZAMÓW INFORMACJE

ONOWOœCIACH

ZAMÓW CENNIK

CZYTELNIA

FRAGMENTY KSI¥¯EK ONLINE

Wydawnictwo Helion

ul. Koœciuszki 1c

44-100 Gliwice

tel. 032 230 98 63

e-mail: helion@helion.pl

O autorach .......................................................................................................... 7

Od autorów .......................................................................................................... 9

Wstęp — dla kogo, w jakim celu? ..................................................................... 11

Audyt systemów informatycznych — uwagi wprowadzające ........................... 17

Geneza .................................................................................................................... 23

Organizacje zawodowe ........................................................................................... 25

Certyfikacja .............................................................................................................. 29

Rynek usług ............................................................................................................. 35

Pytania do rozdziału 2. ............................................................................................ 41

Słownik terminów związanych z audytem systemów informatycznych ............ 43

Wersja polsko-angielska ......................................................................................... 44

Wersja angielsko-polska ......................................................................................... 59

Wprowadzenie do zarządzania bezpieczeństwem

systemów informatycznych .............................................................................. 75

Elementy bezpieczeństwa ....................................................................................... 76

Polityka bezpieczeństwa ......................................................................................... 83

Pytania do rozdziału 4. ............................................................................................ 85

Procesy zarządzania bezpieczeństwem systemów informatycznych ............... 87

Zarządzanie konfiguracją ........................................................................................ 88

Zarządzanie zmianami ............................................................................................. 89

Zarządzanie ryzykiem ..............................................................................................90

Pytania do rozdziału 5. ..........................................................................................103

System zarządzania bezpieczeństwem informacji ......................................... 105

Ustanowienie ISMS ...............................................................................................106

Wdrożenie i eksploatacja .......................................................................................108

Monitorowanie i przegląd .......................................................................................108

Utrzymanie i doskonalenie .....................................................................................109

Wymagania dotyczące dokumentacji ....................................................................109

Przegląd realizowany przez kierownictwo .............................................................110

Pytania do rozdziału 6. ..........................................................................................112

Model PDCA w procesach ISMS ..................................................................... 113

Faza planowania ....................................................................................................114

Faza wykonania .....................................................................................................115

Faza sprawdzania ..................................................................................................116

Faza działania ........................................................................................................118

Pytania do rozdziału 7. ..........................................................................................119

Wprowadzenie do audytowania ...................................................................... 121

Statut audytu — prawa i powinności audytora ......................................................126

Kodeks Etyki Zawodowej .......................................................................................127

Klasyfikacja audytów .............................................................................................128

Porównanie kontroli, audytu i controllingu .............................................................155

Pytania do rozdziału 8. ..........................................................................................158

Standaryzacja w audycie i bezpieczeństwie systemów informatycznych ...... 159

Regulacje prawne ..................................................................................................161

Standardy typu best practice .................................................................................169

Standardy umożliwiające certyfikację ....................................................................193

Pytania do rozdziału 9. ..........................................................................................210

Przegląd znanych metodyk prowadzenia audytu

systemów informatycznych ............................................................................ 213

COBIT ....................................................................................................................214

LP-A .......................................................................................................................239

MARION .................................................................................................................251

4 SPIS TREŚCI

OSSTM .................................................................................................................. 252

TISM ...................................................................................................................... 261

Pytania do rozdziału 10. ........................................................................................ 272

Wykonanie audytu ...........................................................................................275

Obiekty, zakres i cel .............................................................................................. 277

Fazy audytu ........................................................................................................... 282

Zawartość dokumentacji ....................................................................................... 282

Dowody audytowe ................................................................................................. 292

Proces audytowy ................................................................................................... 297

Pytania do rozdziału 11. ........................................................................................ 315

Planowanie długoterminowe ...........................................................................319

Ocena potrzeb audytu ........................................................................................... 320

Roczny plan audytu ............................................................................................... 322

Plan strategiczny ................................................................................................... 324

Pytania do rozdziału 12. ........................................................................................ 325

Planowanie ciągłości działania .......................................................................327

Rola audytu w planowaniu ciągłości działania ...................................................... 328

Metodyka audytowania planu ciągłości działania ..................................................... 330

Pytania do rozdziału 13. ........................................................................................ 337

Wykorzystanie oprogramowania narzędziowego w audycie ..........................339

Komputerowe techniki wspomagania audytu ....................................................... 340

Wymagania standardów ........................................................................................ 351

Klasyfikacja programów wspomagających audyt ................................................. 355

Pytania do rozdziału 14. ........................................................................................ 357

Podsumowanie ................................................................................................359

Literatura .........................................................................................................361

Źródła internetowe ..........................................................................................375

Odpowiedzi do pytań testowych .....................................................................405

Skorowidz .......................................................................................................407

SPIS TREŚCI 5

Wykonanie audytu

W celu poprawnego przeprowadzenia audytu ważne jest, by zasto-

sować właściwą metodykę (rozdział 10.) oraz odpowiednio wskazać

zakres i obiekty badania. Ścisła integracja systemów informatycznych

i procesów biznesowych przy ciągłym wzroście złożoności tych sys-

temów oraz szybkim tempie zmian biznesowych sprawia, że niemal

każdy element środowiska informatycznego jednostki może stać się

obiektem audytu. Techniką przydatną do poprawnego wykonania

przeglądu jest podejście wykorzystujące analizę ryzyka (rozdział 5.).

Dzięki zastosowaniu tego rozwiązania audytor ma pewność, że bada

obszary obarczone najwyższym ryzykiem materializacji zagrożenia.

Odmiennym sposobem prowadzenia audytu jest ocena całego śro-

dowiska i systemów operacyjnych jednostki. Rozwiązanie to nazy-

wane jest często starym modelem audytowania (tabela 11.1).

Audytor powinien zdefiniować zbiór procesów, by wyznaczyć obiek-

ty kontroli, zebrać i przeanalizować dowody oraz opracować wnioski

oraz rekomendacje w ramach raportowania.

W celu poprawnej realizacji audytu należy wykonać następujące czyn-

ności:

zaplanować spotkanie audytowe;

stworzyć procedury audytu z uwzględnieniem oszacowanego po-

ziomu ryzyka nieregularnych i nielegalnych zdarzeń;

założyć, że zdarzenia te nie są odosobnione;

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: