私は新しい修士号を取得しており、IT監査を専門的に行う方法を見つける必要があります。必要なソフトウェアツールと、カバーする必要のある特定のトピックは何ですか?正しい方向に向けてください。使用されているジャーナルやテンプレートへの特定のリンクは非常に役立ちます。
この質問は今週のITセキュリティの質問でした。
詳細については、2011年9月23日ブログエントリをお読みください。または自分で送信今週の質問。
これは、あなたが思っているよりもはるかに大きな質問です。最初に、主要なIT監査会社はこの分野に非常に大量の知的財産を所有しているため、高レベルのドキュメントを見つけることはできますが、見つけるのが難しい場合があります。完全な詳細なドキュメント。
Big-4監査会社で働いていた頃から、特定の技術の監査について300を超える作業計画を見たことがあり、そのうちの50に貢献しました。時間への投資はかなり高いです。
ということで、ぜひこの業界の決定的な機関である ISACA(情報システム監査管理協会) に参加することをお勧めします。 CobITや監査ガイダンスなど、ISACAを通じて膨大な量の情報が利用可能です。
(開示-私の役割の1つは、スコットランドISACA支部の会長です)
あなたの質問に対する伝統的な答えは、-監査会社に就職することです。ジュニアポジションになりますが、そのようにして貿易を学びます。 Roryが述べたようなワークプランにアクセスできますが、さらに重要なことに、実際の監査状況にそれらを適用した経験を得ることができます。
私は優れた監査人と出会い、貧しい監査人と出会いました。優れた監査とは、適切なソフトウェア、ジャーナル、またはテンプレートを持つことだけではありません。私はあなたのマスターが何であるか知りませんが、監査で現場にいる準備ができていない可能性があります。クライアントの前にいて、質問をし、時々持っていることさえ知らない答えを掘り起こす。 (あなたは、私が知っているすべてに関連するかもしれないあなたの仕事の経験について言及していません)。
私の.02cだけです。幸運を!
実践的なIT監査人として、経験からの回答を提供しましょう。説明する前に、あなたのアプローチは根本的に質問の本文で尋ねた質問に欠陥があることを言いたいと思います。
必要なソフトウェアツール
この形態の考え方は誤っています。専門的な監査を実行する最初のステップは、クライアントの情報を計画および収集することです。取得する重要な情報には、次のものが含まれますが、これらに限定されません。
上記から、監査人はリスク評価を実施し、最終的な目標は、監査リスク全体のレベルを確立することです。まず、IT監査人はビジネス/制御環境について理解し、以下の質問に答えます-被監査者に依存するわけではありません。
監査人がこの段階で使用する手法には、プロセスのウォークスルー、管理と観察の調査が含まれます。ビジネスと現在の統制を理解することで、監査人は総リスクを定量化します。総リスクの構成要素には次のものがあります。
固有のリスク-ビジネス固有の性質によるエラーの可能性
統制リスク-内部統制の不備によるエラー/詐欺
検出リスク-エラー/異常/不正を検出するために監査で使用されるツールが原因で、エラー/異常/不正が検出されないリスク。
上記のすべての手順が完了した後にのみ、監査人は監査を完了するために使用される特定の手法とツールについて考え始めます。最初のリスク評価によっては、一部のツール/手法が不要であるか不適切である場合があります。
上記の分析を行わずに、どのツールを使用するかを回答することはできません デュードケア または エンゲージメント計画の基準 ISACAによって与えられます。 1
監査人は、文書の検査、管理者への問い合わせ、行われた作業の独立した検証(再実行)を通じて証拠を収集することにより、監査を実行します。実施されたすべてのテストと発見された所見/観察結果は、監査意見の根拠として使用するために、ドキュメントが細心の注意を払って保管されています。
監査の完了後、監査人は会社の経営陣と面談し、結果の理解を検証し、次の監査業務中に発見された事項のフォローアップテストを計画します。
PTES-ペネトレーションテスト実行標準サイト- http://www.pentest-standard.org/index.php/Main_Page をご覧ください。
少しずつ記入していきますが、非常に役立つ情報がたくさんあります。
オープンソースセキュリティテスト方法論のマニュアルもご覧ください- http://www.isecom.org/osstmm/