Audyt informatyczny

Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane^[1].

Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS^[2]). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.

Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych – jak analiza ryzyka czy test penetracyjny.

Normą zawierającą wytyczne odnośnie do prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A^[1].

CISA certyfikat audytorów wewnętrznych IT

Audyt informatyczny przeprowadzany jest przez audytorów posiadających uprawnienia w tym zakresie m.in. certyfikat CISA.

CISA (Certified Information Systems Auditor) to jedna z najbardziej znanych i prestiżowych kwalifikacji dających międzynarodowe uprawnienia audytora wewnętrznego z zakresu IT. Potwierdza, że jego posiadacz zdobył wiedzę i umiejętności pozwalające na ocenę słabych stron systemu informatycznego, firmy, planów ciągłości działania systemu informatycznego oraz zarządzania IT.

Organem wydającym Certyfikat CISA jest Information Systems Audit and Control Association (ISACA).^[3]

Rodzaje audytów informatycznych

Audyt informatyczny może obejmować różne obszary funkcjonowania systemu. Zasadniczo rozróżniamy 3 rodzaje audytu informatycznego:

audyt legalności oprogramowania;
audyt sprzętu;
audyt bezpieczeństwa.^[4]

Audyt legalności oprogramowania.

Polega na weryfikacji legalności oprogramowania, zainstalowanego na urządzeniach firmowych i namierzeniu oprogramowanie nielegalnego (pirackiego). W trakcie audytu sprawdzane są m.in. jakie licencje na oprogramowanie posiada firma. Dokumenty porównywane są ze stanem faktycznym (oprogramowaniem zainstalowanym na wszystkich komputerach firmowych). Audyt pozwala m.in. uniknąć kar finansowych związanych z wykorzystaniem nielegalnego oprogramowania w firmie. ^[5]

Audyt sprzętu.

Dostarcza informacji na temat rodzajów, typów i stanie funkcjonowania sprzętu znajdującego się na wyposażeniu firmy. W trakcie audytu na każdym komputerze firmowym uruchamiane jest oprogramowanie, które pozwala na sprawdzenie konfiguracji danego sprzętu. Na podstawie tych danych można określić stan urządzeń firmowych, a także dokonywać niezbędnych ulepszeń.^[6]

Audyt bezpieczeństwa

(zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji). To rozbudowany audyt, który ma sprawdzić wszystkie mechanizmy kontroli i zabezpieczeń informacji w firmowej sieci.

Audyt bezpieczeństwa dotyczy różnych aspektów funkcjonowania firmy.

bezpieczeństwa sieci (sprawdzenie i konfiguracja urządzeń sieciowych, routery, LAN i WLAN, oraz punktów dostępu, przełączników),
bezpieczeństwa informacji (metody uwierzytelniania, autoryzacja, szyfrowanie, zarządzanie certyfikatami cyfrowymi),
bezpieczeństwa aplikacji web (zabezpieczenia witryny internetowej, platform SaaS, ochrona poczty e-mail itd.)^[7]

Zobacz też

Przypisy

↑ ^a ^b Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.
↑ Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.
↑ CISA Certification | Certified Information Systems Auditor [online], ISACA [dostęp 2021-09-03] .
↑ Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [online] [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa infrastruktury IT [online], TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa infrastruktury sprzętowej IT [online], Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).
↑ Audyt bezpieczeństwa aplikacji – testy penetracyjne [online], Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).

[liderman-1] Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.

[2] Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.

[3] CISA Certification | Certified Information Systems Auditor [online], ISACA [dostęp 2021-09-03] .

[4] Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [online] [dostęp 2021-09-03] (pol.).

[5] Audyt bezpieczeństwa infrastruktury IT [online], TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).

[6] Audyt bezpieczeństwa infrastruktury sprzętowej IT [online], Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).

[7] Audyt bezpieczeństwa aplikacji – testy penetracyjne [online], Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Rodzaje audytów	Audyt wewnętrzny Audyt zewnętrzny Audyt compliance Audyt ekologiczny Audyt energetyczny Audyt etyczny Audyt finansowy Audyt informatyczny Audyt jakości Audyt marketingowy Audyt operacyjny Audyt oprogramowania Audyt podatkowy Audyt środowiskowy Audyt badania klinicznego Audyt bezpieczeństwa systemów informatycznych Audyt wiedzy Test penetracyjny
Organizacje i organy	Instytut Audytorów Wewnętrznych ISACA Spółdzielcze związki rewizyjne Krajowa Spółdzielcza Kasa Oszczędnościowo-Kredytowa Banki zrzeszające Krajowa Rada Spółdzielcza Polska Izba Biegłych Rewidentów Komisja Nadzoru Finansowego Polska Agencja Nadzoru Audytowego
Certyfikaty	CIA CISA CGAP CFSA
Firmy audytorskie	Wielka czwórka Deloitte EY KPMG PwC