Inhalt 1 Übersicht Cobit IT-Prozesse

Transkript

1 E) Cobit Framework Audit Guidelines Inhalt 1 Übersicht Cobit IT-Prozesse 2 Prüfung Control Objectives am Beispiel von DS11 3 Management Guidelines am Beispiel von DS11 4 Aufbau Cobit Audit Guidelines 5 Audit Guidelines PO11 Qualitätsmanagement Testfragen Handout: Control Objectives DS11 Manage Data Handout: Management Guidelines DS11 Manage Data Literatur Control Objectives for Information and Related Technology (CobiT), ISACA, 3 rd Edition, July 2000 E-Inhalt Cobit Framework Audit Guidelines

2 1 Übersicht Cobit IT-Prozesse Planning & Organization PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT organization & relationships PO5 Manage the IT investment PO6 Communicate management aims & direction PO7 Manage human resources PO8 Ensure compliance with external requirements PO9 Assess risks PO10 Manage projects PO11 Manage quality Delivery & Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Assist and advise customers DS9 Manage the configuration DS10 Manage problems and incidents DS11 Manage data DS12 Manage facilities DS13 Manage operations Acquisition & Implementation AI1 AI2 AI3 AI4 AI5 AI6 Identify automated solutions Acquire and maintain application software Acquire and maintain technology infrastructure Develop and maintain procedures Install and accredit systems Manage changes Monitoring M1 M2 M3 M4 Monitor the processes Assess internal control adequacy Obtain independent assurance Provide for independent audit 4 Domains, 34 IT Processes, 318 Control Objectives E-Audit IT Process Controls (1)

3 2 Prüfung Control Objectives am Beispiel von DS11 Handout E-Audit IT Process Controls (2)

4 3 Management Guidelines am Beispiel von DS11 Handout E-Audit IT Process Controls (2)

5 4 Aufbau Cobit Audit Guidelines Kontrollanforderungen: Es besteht ein Kontinuitäts- und Notfall-Framework. Ein Kontinuitäts-und Notfall-Plan (BCP) existiert und ist abgestimmt mit den übrigen Plänen der Unternehmung in diesem Bereich. Der Kontinuitäts- & Notfallplan wird unterhalten und getestet. Benutzer planen Ausweichprozesse bis IT-Leistungen retabliert. Alle betroffenen Stellen werden für Kontinuitätsprozesse geschult. Kontrollanforderungen (cont.): Ausweichsysteme und -lokalitäten bestimmt und sichergestellt. Ausweichlösungen für kritische Anwendungen optimiert und Ausfallzeiten minimiert. Inhalt der Kontinuitäts- & Notfallpläne ist vollständig, zweckmässig und gesetzeskonform. Umfeld verstehen (fragen, lesen) Interviews - IT-Management (CIO, Operations, Sicherheit) - HR-Management (Ausbildung) - Benutzergruppen (Anwendung) Dokumente - Vorschriften zu Sicherstellung der Kontinuität bzgl. Planung, Strategie, Tests, Ausbildung, Massnahmen - Verträge mit Drittfirmen - Resultate aus den letzten Kontunuitäts- und Wiederherstellungstests (IT und Business) Zweckmässigkeit (verifizieren) - Übergeordnete Vorschriften zur Sicherstellung der Kontinuität in allen Bereichen bestehen und integrieren auch IT-Belange - IT-spezifische BCP besteht und regelt alle für BCP relevanten Aspekte. - IT-spezifische BCP umfasst alle wichtigen Systeme (z.b. inkl. Archivsysteme, Telefonanlagen, etc.) - Regulatorische Vorgaben sind richtig berücksichtigt. Wirksamkeit (testen) - Vorschriften bzgl. Sicherstellung der Kontinuität existieren, sind aktuell und von allen verstanden und angewendet - Ausbildungen und Tests wurden durchgeführt - Alle wichtigen Funktionenträger sind geschult - Massnahmen und Kontrollen werden gemäss BCP realisiert - Vertragsvereinbarungen decken sich mit Anforderungen von Business und IT - Senior Management bewilligt und überwacht Massnahmen gemäss BCP Risikobeurteilung (vertiefen, evaluieren) Durchführen - Benchmarking (Firmen, Branche, Best Practice) - Detailprüfung kritischer BCP-Massnahmen - Verifikation Schnittstelle Benutzer <-> IT - Begleiten von BCP-Tests und -Übungen Schwachstellenidentifikation - Reaktionszeiten bei Drittparteien analysieren - Hinterfragen nicht geregelter Ausfall-Szenarien - Follow-up und Lösung von Problemen aus BCP-Tests E-Audit Guidelines (1)

6 5 Audit Guidelines PO11 Qualitätsmanagement Kontrollanforderungen: Mgmt definiert und setzt durch QS-Gesamtplan (inkl. was, wer, wie). QS-Vorgehen und Standards sind gesamt / für Projekte umgesetzt. QS-Massnahmen werden geplant, ausgeführt und überwacht. SDLC-Methodik besteht, Einhaltung während/nach Projekt ist überwacht. Kommunikation und Entwicklungs- / Anwendungs - Koordination / Support funktionieren während gesamtem System Life Cycle. Weisungen für IT Infrastruktur - Akquisition und - Maintenance bestehen Kontrollanforderungen (cont.): Prozess für Beziehungen mit Dritt-Softwarefirmen besteht und funktioniert. Programm-Dokumentationsstandards bestehen und werden angewendet. Standards für Tests (Pgm, System, Pilot) bestehen und werden umgesetzt. QS-Reports werden erstellt und dem Mgmt unterbreitet. Interviews Umfeld verstehen Dokumente Zweckmässigkeit Durchführen Wirksamkeit Risikobeurteilung Schwachstellenidentifikation E-Audit Guidelines (2)

7 Testfragen Kapitel E (1) 1. In einem Interview mit einem leitenden Informatikmitarbeiter erfahren Sie, dass ihm nicht bekannt war, dass die Firma entschieden hat, von Unisys auf IBM zu wechseln. Welcher IT-Prozess hat hier nicht richtig funktioniert? 2. Sie stellen fest, dass die Abstimmprotokolle der Datenschnittstelle zwischen den Applikationen A und B viele Fehlereinträge aufweisen. Zählen Sie 3 mögliche Ursachen auf und weisen Sie diese den davon betroffenen IT-Prozessen zu. 3. Die Testgruppe orientiert Sie, dass zunehmend Programme zurückgewiesen werden müssen, weil Fehler bei der Schnittstelle zu den Datenbanken auftreten. Man fragt Sie, wer für den Prozess zuständig ist, damit sich diese Situation verbessert. 4. Sie stellen fest, dass in einem strategisch wichtigen Projekt praktisch 80% der Mitarbeiter extern sind. Zählen Sie 3 Risiken auf, welche aus dieser Situation entstehen und weisen Sie sie den entsprechenden IT-Prozessen zu. E-Testfragen (1)

8 Testfragen Kapitel E (2) 5. Sie haben festgestellt, dass die IT-Abteilung über ein klar geregeltes Change Management verfügt. Geben Sie 3 Beispiele, wie Sie dessen Wirksamkeit prüfen können. 6. Der Prüfungsleiter fragt Sie als Informatikprüfer, ob Sie aus Sicht des gesetzlichen Revisionsstellenmandates das Konfigurationsmanagement im IT-Bereich ebenfalls prüfen müssen und aus welchem Grund? 7. Im Bereich des Problem Management bestehen praktisch keine formalisierten Vorgaben und Abläufe. Zählen Sie 3 Aktivitäten auf, welche Ihnen helfen, diese Schwachstelle genauer zu beurteilen? 8. Geben Sie 3 Beispiele, was Sie als zweckmässig für den Prozess MO3 Erlangen einer unabhängigen Bestätigung betrachten würden. E-Testfragen (2)