IT監査人の仕事は何ですか?
コースの一部として、次のようなコンプライアンス基準を含む情報セキュリティのトレーニングを受けています。
- PCI DSS
- ISO 27001-2005
- コビットフレームワーク
それでグーグルで検索してみたら、「IT監査人」向けだと気づきました(間違えたら正解).
簡単に言えば、IT監査人の仕事は何ですか?
監査人は組織を調べて、特定の基準または規制に準拠していると思われるかどうかを判断します。彼らは証拠に基づいて調査結果を作成します。多くの場合、監査人の要求に応じて組織から直接提供されます。そして彼らは一般的に彼らが監査する組織から独立しています。
セキュリティ監査の場合、監査人は、組織にセキュリティポリシーがあり、ポリシーが標準に従ってそれらを保護するのに適切であり、組織がそれに従っているという証拠を探す場合があります。そのポリシーには、コードレビューの要求など、従うべき慣行が記載されています。監査人はおそらく自分でコードレビューを行うことはありませんが、組織がコードレビューを行っていることを示すドキュメントの証跡を探す可能性があります。この規格では、毎年の侵入テストも必要になる場合があり、侵入テスト担当者が作成したドキュメントを調べます。彼はまた、組織がペンテストをすることについて嘘をついていなかったことを確認するためにペンテスト会社に確認するかもしれません。そのような文書の痕跡が見当たらない場合、彼は組織がコンプライアンスに違反していることに気付きます。
監査人は、組織が安全であることを確認できません。彼は、組織が安全な方法で運営しようとしているように見えることだけを見つけることができます。
外部の独立監査人の場合、専門家としての独立性が求められるため、以下の情報は無視してください
私はIT監査人として働いています。上記の回答は、IT監査人のoneの主な任務は、会社の管理者が実施するITプロセスのコンプライアンスの検証であることを示しています。ただし、IT監査人のもう1つの義務(伝統的ですが、会社によって異なる場合があります)は、ITリスク評価です。
この意味で、IT監査人は経営陣のアドバイザーとしての役割を果たします。経営陣にITの欠点を伝えるのではなく、経営陣がITに関連するリスクとしてビジネスにもたらされるリスクは何かの回答を支援します。または、これらのリスクを軽減するために実施する必要があるいくつかの保護手段(コントロール)の説明を支援することもできます。
IT監査への「コンプライアンスに重点を置いた」アプローチから離れると、コンプライアンスの欠陥は、多くの場合、トップの緩いトーンや不適切に設計されたITプロセスなどのより大きな問題が原因です。私の仕事では、適用される法律、規制、および会社のポリシーに準拠することを強く望んでいますが、私の仕事は、何かが準拠しているかどうかを単に「チェックする」だけではありません。私は自分自身を ルールを適用するだけではない 経営者が設定したものと考えています。 IT監査人やその他の情報セキュリティの専門家は、何が悪いのかを指摘するだけにリンクされているため、企業の経営に対する「付加価値」とは見なされないことがよくあります。ブレインストーミングソリューションによる付加価値は、IT監査人の役割と見なすこともできます。
審査員は主に面接に基づいて作業しますが、ペンテスターにはより「実践的なアプローチ」があります。 IT監査人は、主に被監査者に特定の成果物を提供するように要求します。これらの成果物は、ITプロセスの実装方法を示すドキュメント、構成ファイル、HVACのメンテナンスレポートなどです。次に、IT監査員はこのITプロセスを標準または構成ファイルとベースラインと比較します。
その後、関係者といくつかの面接を行い、対応するプロセスが本当に尊重されているかどうかを確認します。
論理アクセスの例として:監査人は、Joiners/Movers/Leaversをチェックします。これらは人々です:
- 入社する人
- さまざまなタイプのアクセスを必要とする位置を移動する
- 退職する人
これは彼が人事部門から尋ねるリストです。次に、次の場合にサンプルを確認します。
- ジョイナーは、彼の許可に必要な権利を受け取りました
- 引っ越し業者は彼の古い権利を取り消されました(そのため、彼は権利を積み重ねることができず、彼に互換性のない義務がある状況に陥ります)
- 脱退者は彼の権利が取り消されました
監査人は、主にプロセスが使用されているかどうか、およびプロセスが使用されているかどうかを調べます。
監査人は、ソリューション(アプリケーション、インフラストラクチャなど)が指定された規格/法律に準拠しているかどうかを確認します。