пд. It risk assessment
 Скачать 14.8 Kb.
|
|
1. IT risk assessment - предоставляет вам конкретный список уязвимостей, о которых вы можете сообщить руководству высшего уровня, чтобы проиллюстрировать необходимость дополнительных ресурсов и бюджета для укрепления ваших процессов и инструментов информационной безопасности. Inherent risk assessment (неотъемлимый риск) первоначально завершает аудитор. это уровень риска или подверженность без учета действий, которые предприняло или может предпринять руководство (например, внедрение средств контроля). Residual risk – это оставшийся риск после того, как руководство внедрило меры реагирования на риск. Control risk - когда риск не может быть предотвращен или обнаружен своевременно системой контроля ИБ. Material risk - это любой риск, достаточно большой, чтобы угрожать общему успеху бизнеса существенным образом. Фреймворк COBIT может быть использован и адаптирован. Каждый процесс может быть классифицирован как полностью решенный, частично решенный и неприменимый путем сравнения стандартной структуры COBIT с реальностью организации. Дополнительные рамки, стандарты и практики могут быть включены в каждый соответствующий процесс, как предлагается в руководстве COBIT Documenting risk analysis First priority to study audit charter and plan the audit schedule 2. Strategy documents должны быть официальными и полными IT policies and procedures должны иметься Concern – беспокойство Должен быть определен процесс составления бюджета и инвестирования в ИТ. Процесс финансового управления должен включать в себя деятельность по составлению бюджета, в которой указывается, какой подход к составлению бюджета он использует, структура затрат в соответствии с планом счетов и цепочкой утверждения. Внутренний аудитор отчитывается перед финансовым директором, который является владельцем ИТ -инициатив и операций. Отношения с отчетностью препятствуют независимости аудитора. Какие компенсирующие средства контроля можно было бы включить для улучшения усилий по аудиту? В этом случае внутренний аудитор должен запросить дополнительные гарантии (например, мониторинг средств контроля ИБ с помощью инструментов, сравнительный анализ усилий группы по закупкам, специальный внешний аудит или обзор высшего руководства со стороны правления). |