企業は、幅広い政府規制と法的要件に直面しています。公開会社は、財務諸表とそれらを保管する情報技術(IT)システムを、サーベンスオクスリー法に従って定期的に監査しなければなりません。ペイメントカード業界のデータセキュリティ基準では、クレジットカードを処理する会社は、コンピュータシステムが安全に構成されていることを確認するために監査を受けることを要求しています。企業はサードパーティの監査会社を雇ってシステムを検査し、これらの規格への準拠を検証します。
タスク
監査人は、会社に到着したときにいくつかの基本的なことを探します。これらは文書化された方針とプロセスとそれらの方針と手順が続かれるという証拠を含みます。会社の方針がより詳細になればなるほど、監査人は自分の業務を遂行しやすくなります。企業は、その方針とプロセスを構築するためのフレームワークを確立する必要があります。 IT監査人は、ITの管理目標(COBIT)やISO 27001などの規格に精通しています。これらの各ガイド企業は、機密データを保護する方法のチェックリストを提供しています。監査人はこれらのチェックリストを使用して徹底的な監査を確実にします。
サンプル文書、方針および手順のチェックリスト
- 変更管理プロセスが存在し、正式に文書化されているかどうかを確認します。
- 変更管理操作に現在のシステム所有者のリストがあるかどうかを確認します。
- 変更を管理および調整するための説明責任を決定します。
- 許可されていない変更をエスカレートおよび調査するためのプロセスを決定します。
- 組織内の変更管理フローを決定します。
サンプル変更開始および承認チェックリスト
- 方法論が変更の開始と承認に使用されていることを確認します。
- 優先順位が変更要求に割り当てられているかどうかを確認します。
- 完了までの予想時間と費用が伝達されていることを確認します。
- 変更を管理および監視するために使用されるプロセスを評価します。
サンプルITセキュリティチェックリスト
- 不要で安全でないプロトコルがすべて無効になっていることを確認します。
- 最小パスワード長が7文字に設定されていることを確認してください。
- 複雑なパスワードが使用されていることを確認してください。
- システムがパッチおよびサービスパックで最新であることを確認してください。
- パスワードの有効期限が60日以内に設定されていることを確認してください。
