Реализация аудита

date image 2014-02-13
views image 491
Поделись с друзьями: 
1234

Основные вопросы, рассматриваемые при аудите

Основные цели аудита

Основной целью аудита управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев является необходимость убедиться в том, что в организации внедрены контрольные механизмы, минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний, в частности:

• проведена оценка рисков прерываний, и разработан план действий по внедрению корректирующих мер контроля, и на данные меры выделены соответствующие бюджеты;

• данный план действий выполняется и контролируется руководством;

• соответствующие политики, стандарты, процедуры в области обеспечения непрерывности и соответствующие договорные соглашения исполняются, как это установлено;

• ИТ-системы, данные и другие ресурсы, необходимые для восстановления, будут доступны в соответствии с установленными требованиями;

• план непрерывности бизнеса и восстановления ИТ после сбоев разработан, адекватен и соответствует текущим потребностям организации;

• разработаны и внедрены процедуры обеспечения безопасности персонала в критичных ситуациях.

В ходе аудита обычно рассматриваются следующие аспекты управления непрерывностью бизнеса:

• политики и основы процессов управления непрерывностью бизнеса;

• процедуры действий в чрезвычайных ситуациях;

• оценка рисков и анализ влияния прерываний на бизнес, управление рисками;

• компоненты планирования непрерывности бизнеса;

• стратегии обеспечения непрерывности бизнеса и восстановления после сбоев;

• ресурсы, требуемые для восстановления;

• разработка и внедрение планов непрерывности бизнеса и восстановления ИТ после сбоев;

• процедуры альтернативной работы подразделений;

• удаленное хранение резервной информации;

• резервная площадка;

• распространение планов;

• обучение, тренировки;

• тестирование, поддержка и пересмотр планов;

• заключительные процедуры.

Информация по вышеперечисленным вопросам получается в рамках стандартных аудиторских процедур путем:

• проведения интервью ключевого персонала организации (руководство организации, ключевые сотрудники основных бизнес-подразделений и подразделений поддержки, включая отдел кадров, физическую безопасность, администрацию и т.п., т.е. не ограничиваясь только сотрудниками ИТ-подразделений.);

• анализа существующей нормативной базы (политики, корпоративные стандарты, планы непрерывности бизнеса и восстановления после сбоев и т.п.);

• анализа контрактов с поставщиками услуг (в рамках проекта, концентрируясь на вопросах гарантирования непрерывного предоставления услуг и процедурах реагирования поставщика в случае прерываний/сбоев);

• проведения непосредственно обзоров (центров обработки данных, резервной площадки, мест хранения резервной информации и т.п.);

• ограниченного тестирования отдельных процедур обеспечения непрерывности (контроль исполнения процедур архивирования, удаленного хранения резервной информации, оснащения резервной площадки, настроек информационных систем и т.п.).

Соответственно перед началом аудита составляется аудиторская программа, которая может быть уточнена в ходе реализации проекта (например, после выявления существенных моментов, о которых не было известно до начала проекта).

Обобщая требования PAS-56, ISO/IEC17799/IS0/IEC 27001, а также так называемую хорошую практику, приведем пример (выдержку) возможной программы аудита вопросов управления непрерывностью бизнеса, который может служить некоторым ориентиром

организациям, планирующим проведение такого аудита или самооценки.

Получение предварительной информации:

• получить общее представление об организации, ее бизнесе, организационной структуре и используемых ИТ-технологий;

• определить, какие политики и другие руководящие документы имеют отношение к обеспечению непрерывности бизнеса и восстановления после сбоев, если таковые имеются в наличии. Получить копии данных документов;

• имеется ли у организации план восстановления после аварий и стихийных бедствий;

• получить копию плана непрерывности бизнеса и восстановления после сбоев;

• получить копию организационной структуры организации;

• определить персонал для последующего интервью;

• получить инвентарную опись используемых информационных систем, платформ и решений;

• получить копии договоров на использование резервных площадок;

• получить результаты последних проверок вопросов обеспечения непрерывности бизнеса;

• ознакомиться с контрактами страхования; "

• уточнить и подтвердить план аудиторской проверки.

Проверка анализа рисков:

• определить, был ли проведен анализ рисков и адекватны ли его результаты;

• определить, проводился ли подобный анализ для критичных по времени бизнес-процессов (включая понимание зависимости данных процессов от ИТ-ресурсов, систем и технологий);

• определить, проводились ли предварительная оценка потенциальных угроз и рисков и оценка влияния прерываний на ключевые бизнес-процессы организации.

Проверка ответственных лиц:

• определить ответственного за разработку плана, а также степень вовлеченности в разработку плана всех ключевых пользователей, принимающих участие в восстановлении бизнеса;

• определить, кто несет ответственность за управление/координацию в рамках плана;

• несет ли администратор/координатор плана ответственность за поддержание плана в актуальном состоянии;

• назначены ли команды реализации плана (т.е. ответственные лица, которые должны предпринимать определенные действия в случае наступления нештатных ситуаций);

• документированы ли обязанности каждой команды;

• получить структуру команд восстановления и список членов команд;

• определить, где хранятся контакты команд реализации плана (следует принять во внимание, что каждому руководителю группы восстановления должны быть доступны все контактные данные членов данной команды, включая имена, рабочий,

домашний, мобильный телефоны и т.д.);

• определить, насколько адекватно ведется контактная информация по ключевым лицам и организациям, которые могут потребоваться при восстановлении (внутренние и внешние

контакты, включая контакты сотрудников, ключевых клиентов, регулирующих органов, поставщиков, страховой компании и т.п.);

• определить, где хранится план непрерывности бизнеса и восстановления после сбоев (убедиться в том, что ключевые члены команды имеют копии плана как в офисе, так и дома).

Оценка плана непрерывности бизнеса и восстановления после сбоев:

• получить и проанализировать план непрерывности бизнеса и восстановления после сбоев;

• определить, когда план последний раз пересматривался/дополнялся;

• определить, являются ли план и процедуры восстановления актуальными и полными, а также утверждены ли они руководством;

• убедиться, что план восстановления ИТ является составной частью плана непрерывности бизнеса и отражает текущее состояние бизнес-среды;

• убедиться в адекватности плана непрерывности бизнеса и восстановления после сбоев в части поддержки возможности своевременного восстановления критичных бизнес-процессов и компьютерных систем в случае сбоя;

• присвоен ли в плане системам приоритет восстановления в зависимости от риска для бизнеса?

• определить, какие критичные системы рассмотрены в плане;

• определить, все ли системы предполагается восстанавливать на одном объекте? Если нет, то каким образом будет обеспечиваться доступность информации на других объектах в случае необходимости;

• позволяет ли план помочь произвести восстановление критичных бизнес-процессов и систем в рамках предварительно определенных отрезков времени (т.е. в случае невозможности восаановления определенных систем за определенное время последствия для бизнеса могут быть катастрофическими, и соответственно последующее восстановление данных систем будет бесполезным);

• рассмотрены ли в плане требования по функционированию каждой из систем;

• определить, какие системы не рассмотрены в плане и почему;

• определить, какое оборудование не рассмотрено в плане и почему;

• имеются ли в плане какие-либо допущения и какие именно;

• каковы процедуры активации плана;

• определить, установлены ли формальные требования по пересмотру плана и внесения в него изменений и дополнений с определенной периодичностью, например через б месяцев.

Проверка процедур резервного копирования и восстановления данных:

• имеются ли в наличии формальные процедуры резервного копирования и восстановления данных?

• какие функции/системы/компоненты рассмотрены в данных процедурах;

• рассмотреть процедуры резервного копирования по каждой системе, включенной в план восстановления после сбоев;

• определить, следует ли организация данным процедурам;

• проводилось ли обучение персонала процедурам и использованию оборудования резервного копирования;

• определить проводится ли периодическое формальное тестирование вопросов процедур восстановления данных с резервных копий;

• включает ли документация по каждой системе, подлежащей восстановлению, описание процессов, а также оборудования, которое требуется восстанавливать (т.е. для приложения, использующего ПК для ввода данных и клиент-серверную архитектуру для хранения данных, это должно быть описано наряду с требуемым ПО).

Проверка удаленного хранения резервных данных:

• определить, существуют ли формальные требования и процедуры по вопросам удаленного хранения резервных данных;

• определить, где находится внешний центр хранения данных;

• посетить объект удаленного хранения резервных данных. Определить адекватность объекта и процедур хранения (включая требования обеспечения конфиденциальности, целостности и доступности данных), а также перечень реально хранимых данных;

• убедиться в эффективности процедур проверки полноты получения отправленных данных, необходимых для бизнес-подразделений (не только проверка журнала полученных данных, но и сверка с отправленными данными);

• определить периодичность и адекватность проверки журналов регистрации хранимых архивных копий на предмет полноты.

Проверка резервной площадки:

• определить, где расположен резервный центр обработки информации;

• существуют ли резервные площадки (следует иметь в виду, что резервные площадки не должны быть подвержены тем же рискам, что и основные площади);

• предполагалось ли использование резервных объектов во время проведения последнего теста;

• если нет, когда последний раз резервные объекты были использованы для целей тестирования;

• если резервные объекты не использовались более года, каким образом организация определяет возможность функционирования используемых программ на резервном оборудовании;

• каковы результаты тестирования;

• получить и проанализировать соглашение об использовании резервной площадки (если такая услуга используется);

• посетить резервную площадку;

• проанализировать требования и рекомендации по созданию «горячих»/«холодных» резервов, включая создание резервной ИТ-инфраструктуры;

• оценить соответствие резервной площадки требованиям по восстановлению, включая вопросы совместимости с основной компьютерной инфраструктурой организации;

• сравнить журнал оборудования на объекте с реально имеющимся в наличии оборудованием;

• проверить полноту записей и актуальность журнала регистрации посетителей резервной площадки;

• определить периодичность и адекватность проверки журналов регистрации на предмет полноты;

• определить, осведомлены ли сотрудники, вовлеченные в процессы восстановления, о резервной площадке (адрес, контакты, процедуры переезда и т.п.), а также о действиях

непосредственно на площадке;

• определить адекватность существующего уровня доступности резервной площадки (например, 24x7x365);

• удостовериться, что резервная площадка не подвержена тем же рискам, что и основная площадка.

Тестирование плана:

• определить, выделен ли руководством бюджет на тестирование плана непрерывности бизнеса и восстановления после сбоев;

• какова процедура пересмотра/дополнения плана;

• каково расписание тестирования плана и степень вовлеченности ключевого персонала;

• когда производилось последнее тестирование (следует оценить адекватность теста — «настольный/логический» тест может не выявить ряд потенциальных проблем);

• каким образом тестирование помогло повысить готовность организации к нештатным ситуациям;

• проверить результаты тестирования плана;

• определить, были ли проведены мероприятия по устранению

выявленных недостатков.

Проверка обучения персонала:

• определить, проходили ли пользователи и ИТ-персонал обучение действиям в случае нештатных ситуаций или прерываний;

• включала ли в себя программа обучения раздел о связи со сторонними организациями (включая представителей прессы и телевидения);

• определить, осведомлены ли пользователи и ИТ-персонал о ручных или автоматизированных процедурах, предполагаемых к использованию в случае недоступности основных ИТ-систем на протяжении длительного периода времени;

• опросить ИТ-персонал на предмет обучения/знаний смежных областей (на случай отсутствия основного сотрудника).

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

1234

double arrow
Сейчас читают про:

article image
Полупроводниковые приборы. Транзисторы
article image
Конституционно-правовые нормы: понятие, особенности и виды
article image
Анализ финансового состояния предприятия
article image
Индукция и дедукция. Анализ и синтез
article image
Анализ актива баланса
article image
Правовое положение сословий в Российском государстве в XVIII веке
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Успех не вечен, поражение не смертельно. Что имеет значение – так это мужество продолжать. © Черчилль ==> читать все изречения...
like icon 7215
like icon 7055
Понравился сайт? Поделись им с друзьями: