Perusahaan menghadapi beragam peraturan pemerintah dan persyaratan hukum. Perusahaan publik harus memiliki laporan keuangan dan sistem teknologi informasi (TI) yang menyimpannya diaudit secara teratur sesuai dengan Sarbanes-Oxley Act. Standar Keamanan Data Industri Kartu Pembayaran mewajibkan perusahaan yang memproses kartu kredit diaudit untuk memastikan sistem komputer mereka terkonfigurasi dengan aman. Perusahaan menyewa perusahaan audit pihak ketiga untuk memeriksa sistem mereka dan memverifikasi kepatuhan dengan standar-standar ini.
Tugas
Auditor mencari beberapa hal mendasar saat tiba di perusahaan. Ini termasuk kebijakan dan proses yang terdokumentasi dan bukti bahwa kebijakan dan prosedur tersebut diikuti. Semakin rinci kebijakan perusahaan, semakin mudah bagi auditor untuk melakukan pekerjaannya. Perusahaan harus membuat kerangka kerja untuk membangun kebijakan dan proses mereka. Auditor TI akrab dengan standar, seperti Control Objectives for IT (COBIT) atau ISO 27001. Masing-masing perusahaan panduan ini dengan memberikan daftar periksa tentang cara mengamankan data sensitif. Auditor menggunakan daftar periksa ini untuk memastikan audit yang menyeluruh.
Contoh Daftar Periksa Dokumentasi, Kebijakan dan Prosedur
- Tentukan apakah proses manajemen perubahan ada dan didokumentasikan secara formal.
- Menentukan apakah operasi manajemen perubahan memiliki daftar pemilik sistem saat ini.
- Menentukan akuntabilitas untuk mengelola dan mengoordinasikan perubahan.
- Tentukan proses untuk meningkatkan dan menyelidiki perubahan yang tidak sah.
- Tentukan perubahan manajemen aliran dalam organisasi.
Contoh Daftar Periksa Perubahan Inisiasi dan Persetujuan
- Memverifikasi metodologi yang digunakan untuk inisiasi dan persetujuan perubahan.
- Tentukan apakah prioritas diberikan untuk permintaan perubahan.
- Verifikasi perkiraan waktu penyelesaian dan biaya dikomunikasikan.
- Mengevaluasi proses yang digunakan untuk mengendalikan dan memantau perubahan.
Contoh Daftar Periksa Keamanan TI.
- Konfirmasikan bahwa semua protokol yang tidak perlu dan tidak aman dinonaktifkan.
- Pastikan panjang kata sandi minimum diatur ke 7 karakter.
- Verifikasi bahwa kata sandi yang rumit digunakan.
- Pastikan sistem selalu mutakhir dengan tambalan dan paket layanan.
- Pastikan penuaan kata sandi disetel ke 60 hari atau kurang.