Vorbereitung auf die Revisionsprüfung: Checklisten für ein IT-Audit
Unternehmen haben das Recht auf ein qualitativ hochwertiges IT-Audit. Diese Checklisten helfen bei der Vorbereitung.
Im Folgenden finden Sie eine Teilzusammenfassung aus dem Buch „Information Technology Control and Audit“ von Frederick Gallegos, Sandra Senft und Aleksandra Davis. Das dritte Kapitel hat den Titel „Audit and Review: Its Role in Information Technologyt“. Darin stellen die Autoren IT-Managern Checklisten zur Verfügung, die sie bei einem IT-Audit unterstützen.
IT-Manager haben das Recht auf ein qualitativ hochwertiges Audit. Damit man sichergestellt, dass die Überprüfung vernünftig durchgeführt wird, sollten Sie die folgenden Fragen stellen und die unten angegebenen Vorbereitungen treffen.
Checkliste vor dem Audit
- Wer gehört zum Audit-Team? Welche Rollen und Aufgaben haben die jeweiligen Team-Mitglieder?
- Welche Referenzen und Erfahrungen hat das zuständige Audit-Team?
- Welche Art von Einarbeitung oder Training können Sie anbieten, um eine angenehme Arbeitsumgebung für das Audit-Team zu schaffen?
- Kommunizieren Sie mit Ihren Führungskräften und Mitarbeitern aus den Abteilungen, die geprüft werden.
- Wenn eine Abteilung schon früher geprüft wurde, sehen Sie den vorherigen Bericht durch, um die angesprochenen Fragen und Empfehlungen zu erörtern. Informieren Sie sich über aktuelle Korrekturen oder Änderungen, die infolge früherer Audits vorgenommen wurden. Geben Sie diese Information an Ihre Mitarbeiter und die Audit-Abteilung weiter.
Checkliste für das Audit
Weitere Informationen zu Security-Audits
Auch das Active Directory sollte Prüfungen unterliegen. Diese Tipps helfen beim Security-Audit.
Bei der Migration zu einer NGFW kann es zu Audit-Bedenken kommen. So gehen Sie damit um.
Bei vielen PCI-DSS-Audits wird der Mainframe gerne vergessen. Diese Best Practices helfen bei der Vorbereitung.
- Was ist der Hauptzweck des Audits?
- Welchen Umfang hat die Revisionsprüfung und welche Ziele werden verfolgt?
- Wer gehört zum Audit-Team? Stellen Sie sicher, dass Sie benachrichtigt werden, falls es irgendwelche Personaländerungen gibt.
- Wie sieht der zeitliche Rahmen der Revisionsprüfung aus?
- Wann oder in welchem Umfang werden Computer, Zugang zum System, IT-Protokolle oder Training benötigt?
- Wann oder in welchem Umfang werden das IT-Management und Ihre Mitarbeiter benötigt?
- Informieren Sie alle betroffenen IT-Mitarbeiter über die Punkte 1 und 2.
- Richten Sie wöchentliche oder zweiwöchentliche Treffen mit dem Audit-Manager und/oder dem Audit-Team ein, um Fortschritte und Probleme zu diskutieren.
- Setzen Sie eine Close-out-Konferenz mit dem Prüfungsteam an, bevor die Prüfung abgeschlossen ist.
- Fordern Sie eine Kopie des Prüfungsberichts an.
Checkliste nach dem Audit
- Setzen Sie ein Meeting mit Ihrem Team an, sobald der Prüfungsbericht fertig ist, um die Ergebnisse zu diskutieren. Wenn Sie den oben angegebenen Schritten folgen, sollte es keine Überraschungen geben. Falls es doch welche gibt, hat die Kommunikation irgendwo nicht richtig funktioniert.
- Wenn Sie dem Bericht oder Teilen des Berichts widersprechen möchten, tun Sie dies in schriftlicher Form mit den entsprechenden Belegen. Denken Sie daran, dass der Auditor Nachweise vorlegt, welche die Berichte untermauern. Diese finden sich in den Arbeitspapieren. Geben Sie an, welche Korrekturmaßnahmen Ihr Team für die Abschnitte des Berichts plant, denen Sie zustimmen.
- Lassen Ihr Team alle drei bis sechs Monate einen Statusbericht aufsetzen. Schicken Sie eine Kopie davon zum internen Revisionsteam. Das zeigt, dass Sie deren Arbeit zu schätzen wissen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!