IT auditas paprastai - BKA
17
Transcript of IT auditas paprastai - BKA
IT auditas paprastai
Romualdas Lečickis
CISA, CISM, CRISC, CGEIT
ISACA, NRD CS
Ką reiškia „IT auditas paprastai“?
Taiklus rezultatas su mažai pastangų – 20/80
Suvaldyti skirtingi lūkesčiai:
• Direktoriaus • Finansų direktoriaus • Saugos įgaliotinio • IT direktoriaus • Audito direktoriaus • ...
Per kiek laiko galima atlikti IT auditą?
Teisingas išvadas galima pateikti per 10 min.:
1. IT valdykite pagal COBIT 5, ISO/IEC 38500
2. Rizikas vertinkite pagal ISO/IEC 27005, ISO/IEC 31000
3. Informacijos saugą valdykite pagal ISO/IEC 27001
4. Kibernetinę sauga valdykite pagal Critical Security Controls
5. Asmens duomenis saugokite pagal GDPR reikalavimus
6. IT paslaugas teikite pagal ISO/IEC 20000-1 (ITIL)
7. ....
Etika - svarbu
Kurie reikalavimai svarbiausi?
Viso ~150 x 6 + X = ~ 1000 reikalavimų/rekomendacijų
Ko reikia, kad IT auditas įvyktų „paprastai“?
1. Suderinti suinteresuotų pusių lūkesčiai
2. Identifikuotos didžiausią įtaką turinčios sritys ir suderinta apimtis
3. Bendradarbiavimas
4. Taiklus rezultatas
5. Kvalifikuotas auditorius
Information Systems Auditing: Tools and Techniques—Creating Audit Programs
COBIT padeda nustatyti lūkesčius ir apimtį
IT veikla telpa po vienu COBIT „skėčiu“
Ko paprastai užtenka mažai įmonei?
https://www.isaca.org/Journal/archives/2015/Volume-4/Pages/auditing-small-is-it-organizations-when-is-an-is-it-organization-small.aspx
ISACA - žinių šaltinis
Kai žinome „ką“, reikia sutarti dėl „kaip“
• 37 x 30 psl. > 1000 lapų
ISACA turi daug detalių audito klausimynų
Kaip pateikti audito rezultatą?
Auditoriaus kvalifikacija – esminis sėkmės faktorius
Įžvalgos pabaigai
• Kodėl „kasti“? • COBIT5 (susieti tikslai)
• Kur ir kaip giliai „kasti“? • ISO 27005, ISO 31000 (aiški rizika)
• Kaip „kasti“ ir ko ieškoti? • CSC, ISO27001, ISO20000-1, GDPR
(geroji praktika)
• Kas geriausias „kasėjas“? • CISA, CISM, CRISC, CGEIT
Ką reiškia „IT auditas paprastai“?
Supraskime ką reiškia
„IT auditas sudėtingai“
(~2000 psl. COBIT, ISO, ...)
Į sudėtingus dalykus žiūrėkime praktiškai
80/20
