Опубликован: 29.06.2020 | Доступ: свободный | Студентов: 487 / 53 | Длительность: 04:37:00
Лекция 6:

Принципы аудита состояния информационной инфраструктуры

< Лекция 5 || Лекция 6: 123

Основные понятия и концепция аудита информационной инфраструктуры

Презентация к лекции

В настоящее время информационные технологии являются одним из основных инструментов обеспечения адаптивности и конкурентоспособности современных хозяйствующих субъектов. По мере изменения требований внешнего окружения этих субъектов меняются требования, предъявляемые к программным продуктам и ИТ-сервисам, что приводит к добавлению в их информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающая их сложность и разнородность оказывают влияние на управляемость всей информационной инфраструктуры, стабильность и эффективность ее работы.

Под информационной инфраструктурой в данном контексте следует понимать отлаженную систему (подсистему), выполняющую функции обслуживания, документирования, учета, контроля и анализа всех процессов, происходящих с информационными потоками хозяйствующего субъекта. Иными словами, "инфраструктура – это технология и устройства (например, аппаратное обеспечение, операционные системы, системы управления базами данных, сетевое оборудование, мультимедиа, а также та среда, в которой все это находится и поддерживается), которые обеспечивают работу приложений".

В свою очередь, под информационной технологией понимают "систему правил, определяющих способы сбора, накопления, регистрации, передачи, обработки, хранения, по- иска, модификации, анализа, защиты, выдачи необходимой информации всем заинтересованным подразделениям или отдельным пользователям"

Сам подход к проведению аудита информационных инфраструктур с течением времени упорядочился и стандартизировался. Крупные аудиторские компании образовали ассоциации профессионалов в указанной предметной области, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ.

Однако это, как правило, закрытые для общественности стандарты. Поэтому для удовлетворения все нарастающей потребности в координации действий аудиторов и централизации хранения знаний управления информационными системами в 1967 году не- большая группа профессионалов основала Ассоциацию аудита и контроля информационных систем (Information Systems Audit and Control Association – ISACA).

Сегодня ISACA является признанным мировым лидером в области управления, контроля и аудита информационных технологий и информационной безопасности, а также управления информационными рисками. В настоящее время членами ISACA являются более 86000 профессионалов, работающих более чем в 160 государствах, которые являются специалистами в самых различных областях знаний, связанных с управлением, аудитом и эксплуатацией ИТ. Основная декларируемая цель Ассоциации – исследование, разработка, публикация и продвижение стандартизированного набора документов по управлению информационными технологиями для ежедневного использования администраторами и аудиторами ИТ.

Этический кодекс аудитора информационных систем

Наряду со стандартами ISACA разработала Этический кодекс аудитора информационных систем (Code of Professional Ethics), который обязателен к соблюдению всеми аудиторами, практикующими в рассматриваемой предметной области.

Основные принципы Кодекса гласят:

  1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
  2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми ISACA;
  3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
  4. Сознательно не принимать участия в незаконной либо недобросовестной деятельности;
  5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
  6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
  7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
  8. Избегать деятельности, которая ставит под угрозу независимость аудитора;
  9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;
  10. Проявлять добросовестность при получении и документировании фотографических материалов, на которых базируются выводы и рекомендации аудитора;
  11. Информировать все заинтересованные стороны о результатах проведения аудита;
  12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
  13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
  14. Совершенствовать свои личные качества.

Указанные требования призваны обеспечить высокое качество оказания аудиторских услуг, профессионализм самих аудиторов, а также разрешать сложные этические ситуации, возникающие в процессе аудита информационных технологий.

Стандарты аудита и управления, разработанные Ассоциацией, вобрали в себя опыт профессионалов всего мира. Исследования, проводимые в рамках Ассоциации, соответствуют все возрастающим требованиям ее членов и потребностям реальной действительности. В настоящее время, наряду с исследовательской и регламентационной работой, Ассоциация присваивает высококвалифицированным специалистам международные сертификаты, признаваемые во всем мире:

  • сертифицированный аудитор информационных систем (Certified Information Systems Auditor – CISA);
  • сертифицированный менеджер информационной безопасности (Certified Information Security Manager – CISM);
  • сертифицированный специалист в области корпоративного управления ИТ (Certified in the Governance of Enterprise IT – CGEIT).

За три десятилетия своего существования ISACA разработала и постоянно обновляет такие общепризнанные в мире международные стандарты, как "Контрольные объекты для информационных и смежных технологий" (Control Objectives for Information and Related Technology – Cobit) и "Управление инвестициями в ИТ" (Val IT). Структура и содержание указанных стандартов позволяют обеспечить методологической поддержкой все уровни руководства системы управления любым хозяйствующим субъектом.

< Лекция 5 || Лекция 6: 123
Николай Ракович
Николай Ракович

В тесте 4 курса "Аудит ИТ-инфраструктуры" замечены ошибки в ответах: 1) Для оценки мехнизма управления Cobit рекомендуется использовать:  классическую модель аудиторского цикла (лекция 6 этого курса). Однако этот ответ отмечен как неправильный.

2)Логическим завершением этапа планирования аудита ИТ является : разработка стратегической модели аудиторского исследования (далее в этом же курсе, но не в лекции 4, к которой дан этот вопрос). Ответ отмечен как ошибочный. 

Вопрос: как проходить тест, если ответы, взятые из этого курса, являются ошибочными?

P.S. В тексте курса большое количество ошибок пунктуации (отсутствуют запятые), описок.

Галина Звонцева
Галина Звонцева
Россия, г.Калининград
Lev Tverdyi
Lev Tverdyi
Россия, ИТМО, 2004