Grundlagen und Praxis des IT-Audits und der Informationssicherheit

Eingeordnet in Informatik

Geschrieben am in Deutsch mit einer Größe von 26,13 KB

1. Audit: Definition und Ziele

Eine kritische Überprüfung zur Bewertung der Effizienz und Effektivität einer Website, um Verbesserungsmaßnahmen zu bestimmen und Ziele zu erreichen.

2. IT-Audit: Überprüfung von Systemen und Prozessen

Überprüfung und Bewertung der Kontrollen, Systeme und Verfahren der Informationstechnologie (IT), deren Nutzung, Effizienz und Sicherheit innerhalb einer Organisation, die Informationen verarbeitet. Ziel ist es, alternative Vorgehensweisen aufzuzeigen, um eine effizientere, zuverlässigere und sicherere Informationsverarbeitung zu erreichen, die eine korrekte Entscheidungsfindung unterstützt.

3. Interne Kontrolle: Definition und Ziele

Die interne Kontrolle umfasst die organisatorische Planung sowie alle Methoden und Verfahren, die koordiniert in einem Unternehmen angewendet werden, um dessen Vermögenswerte zu sichern, die Angemessenheit und Zuverlässigkeit der Finanzinformationen zu überprüfen, die betriebliche Effizienz zu fördern und die Einhaltung der von der Geschäftsleitung vorgegebenen Richtlinien sicherzustellen.

Grundlegende Ziele der internen Kontrolle

  • Schutz des Unternehmensvermögens.
  • Bereitstellung präziser, zuverlässiger und zeitnaher Finanzinformationen.
  • Förderung der Effizienz im operativen Geschäft.
  • Sicherstellung der Umsetzung von Maßnahmen, die von der Unternehmensleitung festgelegt wurden.

Übergeordnetes Ziel

  • Autorisierung.
  • Verarbeitung und Klassifizierung von Transaktionen.
  • Physische Schutzmaßnahmen.
  • Prüfung und Evaluierung.

4. Bewertung der IT-Abteilung

Die IT-Abteilung sollte entsprechend bewertet werden nach:

  • Ziele, Zielvorgaben, Pläne, Strategien und Verfahren.
  • Organisation.
  • Organisationsstruktur.
  • Funktionen und Ebenen der Autorität und Verantwortung.

5. Fortgeschrittene Audit-Techniken

  • Umfassende Tests: Vergleich der Ergebnisse der IT-Abteilung in einem fiktiven Szenario mit bestimmten Referenzergebnissen.
  • Simulation: Entwicklung spezieller Anwendungsprogramme zum Testen und Vergleichen der Simulationsergebnisse mit der tatsächlichen Anwendung.
  • Zugangsüberprüfung (Access Review): Führen eines computergestützten Registers aller Zugriffe auf bestimmte Dateien, einschließlich der Identifizierung von Terminals und Benutzern.
  • Parallele Operationen: Überprüfung der Genauigkeit der Informationen, die ein neues System produziert, indem es ein bereits geprüftes System ersetzt.
  • Erweitertes Register: Hinzufügen einer Kontrolle zu einem bestimmten Datensatz, z. B. ein spezielles Feld, um ein zusätzliches Register zu erstellen, das Daten für alle Programme umfassen kann.

6. Ziele des Informations-Audits

  • Kontrolle der Computerfunktionen.
  • Analyse der Effizienz von Informationssystemen (IS) und IT.
  • Überprüfung der Einhaltung allgemeiner Organisationsvorschriften.
  • Überprüfung von Plänen, Programmen und Budgets für Informationssysteme.
  • Überprüfung der effektiven Verwaltung von materiellen und personellen Software-Ressourcen.
  • Überprüfung und Kontrolle allgemeiner und spezifischer technischer Betriebskontrollen.
  • Überprüfung und Kontrolle der Sicherheit, einschließlich:
    • Einhaltung von Vorschriften und Normen.
    • Betriebssystem-Sicherheit.
    • Software-Sicherheit.
    • Kommunikationssicherheit.
    • Datenbank-Sicherheit.
    • Prozess-Sicherheit.
    • Anwendungs-Sicherheit.
    • Physische Sicherheit.
    • Versorgung und Wiederbeschaffung.
    • Notfallplanung (Kontingenz).
  • Kontrolle der Analyseergebnisse.
  • Bestätigungsanalyse und Aufdeckung von Schwächen und Unzulänglichkeiten.

7. Phasen eines Audits

  • Planung: Entwicklung des Auditplans, Festlegung von Zielen, Auditprogrammen und Berichten über Aktivitäten, um das zu prüfende Unternehmen zu verstehen und die Anforderungen zu erfüllen.
  • Umsetzung: Sammlung und Auswertung von Informationen, Überprüfung, Analyse, Interpretation und Dokumentation von Informationen zur Unterstützung der Prüfungsergebnisse (z. B. Fragebögen, Interviews, Dokumentenanalyse, Informationsauswertung).
  • Vorbereitung und Vorlage des Berichts: Erstellung eines Vorberichts und des Abschlussberichts. Schriftliche Ausarbeitung und mündliche Präsentation (Kommentar) an die Geschäftsleitung, wobei die Ausdrucksweise präzise sein muss.
  • Follow-up: Geplante Überprüfung der Einhaltung der Empfehlungen, Vorbereitung und Präsentation der Ergebnisse (was abgeschlossen wurde, was getan werden musste usw.).

8. Anforderungen an den IT-Auditor

Ein IT-Audit muss sicherstellen, dass:

  • die Prüfer ordnungsgemäß überwacht werden.
  • die Audit-Berichte präzise, objektiv, klar, prägnant, konstruktiv und rechtzeitig sind.
  • die Ziele der Prüfung erfüllt werden.
  • die Prüfung entsprechend dokumentiert ist und geeignete Nachweise zur Überprüfung aufbewahrt werden.
  • die Prüfer professionelle Verhaltensregeln einhalten.
  • die IT-Prüfer das notwendige Wissen, die Erfahrung und die Disziplinen für ihre Prüfungen besitzen.

9. Wissen und Erfahrung interner Auditoren

Interne Auditoren sollten folgendes Wissen und Erfahrung besitzen:

  • Know-how bei der Umsetzung von Normen, Verfahren und internen Audit-Techniken zur Durchführung von Prüfungen.
  • Die Fähigkeit, umfassendes Wissen auf präsentierte Situationen anzuwenden, wichtige Sachverhalte zu erkennen und Forschungsarbeiten durchzuführen, um vernünftige Lösungen zu finden.

10. Audit-Agenda und -Programm

Ein Audit sollte auch eine Agenda für die Zusammenarbeit umfassen, die folgende Punkte beinhaltet: allgemeiner Zweck, Ziele, Umfang, Zeitplan und Programm. Für jedes spezifische Audit sollte ein Audit-Programm entwickelt werden, das die umzusetzenden Verfahren, deren Umfang und das für die Durchführung der Prüfung eingesetzte Personal festlegt.

11. Audit-Beweise und Konformitätsnachweise

  • Materielle Tests: Diese Tests prüfen Verfahren, um festzustellen, ob die vom System erzeugten Ergebnisse korrekt sind (z. B. einfache Operationen wie Addition, Subtraktion, Division oder Multiplikation).
  • Nachweis der Übereinstimmung (Konformitätstests): Dies sind Prüfverfahren, die entwickelt wurden, um zu überprüfen, ob das System gemäß den Regeln implementiert ist (wie von der Geschäftsleitung beschrieben und beabsichtigt). Wenn die Kontrollen nach der Prüfung effektiv zu funktionieren scheinen, kann der Auditor Vertrauen in das System setzen und somit seine detaillierten Prüfungen reduzieren. Es gibt 5 Typen:
    • Tests zur Sicherstellung der Datenqualität.
    • Tests zur Identifizierung von Datenunstimmigkeiten.
    • Tests zum Vergleich mit physischen Daten.
    • Tests zur Bestätigung ordnungsgemäßer Kommunikation.
    • Tests zur Bestimmung von Sicherheitsmängeln.

12. Audit im Software-Lebenszyklus

Systeme sollten während ihres gesamten Lebenszyklus einer Prüfung unterzogen werden. Dabei sind folgende Punkte zu bewerten:

  • Installation
  • Wartung
  • Betrieb (Operation)

Installation und Wartung

Dies ist die erste Phase des Software-Lebenszyklus, in der der Prüfer Folgendes überprüft:

  • Verfahren für die Initiierung, Prüfung und Genehmigung von Änderungen an der Software.
  • Verfahren zur Erzeugung und Modifikation der Software.
  • Verfahren zur Ausführung der Software und Pflege des Data Dictionary.
  • Notfallverfahren zur Bereitstellung von Lösungen für spezifische Softwareprobleme.
  • Wartung und Inhalt der Audit-Logs aller DBMS und Modifikation des Data Dictionary.
  • Protokollierung der Softwareparameter und der Sprachbefehle laufender Anwendungen.
  • Zugang zu Programmbibliotheken.

Betrieb (Operation)

In der zweiten Phase des Software-Lebenszyklus wird Folgendes überprüft:

  • Zugriffskontrolle für Programme, Bibliotheken, Parameter, Teile oder Dateien der zugehörigen Software.
  • Verfahren, die entwickelt wurden, um sicherzustellen, dass das System nicht ohne die Original-Software installiert wird (Initial Program Load), wodurch ein Sicherheitsprozess geschaffen wird.
  • Verfügbarkeit und Zugriffskontrolle von Befehlen, mit denen die Software deaktiviert werden kann.
  • Überwachung der Verantwortlichkeiten für die Software, den Betrieb und die Konsistenz der Zugänglichkeit.
  • Stunden, in denen die Software verfügbar ist.
  • Zugriffskontrolle auf Master-Konsolen und Terminals.
  • Verfahren für den normalen Abschluss oder das Fehlerprotokoll, die auf Probleme mit der Integrität der Software hinweisen können, sowie die Dokumentation der Ergebnisse in Sicherheitsprogrammen.
  • Zugriffskontrolle auf Skripte und Sprachen, die von laufenden Anwendungen hinzugefügt werden.
  • Audit-Log über die Aktivitäten der Software.
  • Planung, wie andere Software den Betrieb fortsetzen oder auf automatisierte Abläufe vertrauen kann.

13. Machbarkeitsstudie und ihre Bedeutung

Eine Machbarkeitsstudie bewertet die Verfügbarkeit der benötigten Ressourcen für die Umsetzung der vorgeschlagenen Ziele, die Implementierung und Inbetriebnahme eines Systems. Ihre Bedeutung liegt darin, dass diese Untersuchung eine Kosten-Nutzen-Analyse des Systems ermöglicht, die Entwicklung eines logischen Modells unterstützt und die Entscheidung, ein System zu realisieren oder abzulehnen, beeinflusst, einschließlich der technischen Machbarkeit und entsprechender Empfehlungen.

14. Ziele der Informationssicherheit

  • Schutz der Vollständigkeit, Richtigkeit und Vertraulichkeit von Informationen.
  • Schutz von Vermögenswerten vor Katastrophen, die durch menschliches Handeln oder feindliche Absichten verursacht werden.
  • Schutz der Organisation vor externen Situationen wie Naturkatastrophen und Sabotage.
  • Bereitstellung von Notfallplänen und Strategien für eine schnelle Wiederherstellung im Katastrophenfall.
  • Abschluss notwendiger Versicherungen zur Deckung wirtschaftlicher Verluste im Katastrophenfall.

15. Grundprinzipien der Informationssicherheit

  • Integrität: Gewährleistung der Richtigkeit und Vollständigkeit von Informationen sowie der Verarbeitungsmethoden.
  • Vertraulichkeit (Datenschutz): Sicherstellung, dass autorisierte Informationen nur für diejenigen zugänglich sind, die eine entsprechende Berechtigung haben.
  • Verfügbarkeit: Gewährleistung, dass autorisierte Benutzer Zugriff auf Informationen und zugehörige Vermögenswerte haben, wenn sie diese benötigen.

16. Phasen der Notfallplanung

  • 1. Analyse der Auswirkungen auf die Organisation (Business Impact Analysis): Identifizierung kritischer oder wesentlicher Prozesse und der Auswirkungen, wenn diese nicht ausgeführt werden können.
  • 2. Auswahl der Strategie: Im Katastrophenfall wird versucht, Systeme entsprechend ihrer Prioritäten wieder in Betrieb zu nehmen, was traditionell nicht immer der Fall ist.
  • 3. Planvorbereitung: Der Plan muss entwickelt und getestet werden. Er erfordert die Beteiligung der Mitarbeiter, damit diese bei der Umsetzung in die Praxis verfügbar sind.
  • 4. Test des Plans: Um sicherzustellen, dass er effizient funktioniert.
  • 5. Wartung: Es muss sichergestellt werden, dass der Plan nach seiner Erstellung überwacht und regelmäßig an organisatorische Änderungen oder Modifikationen angepasst wird, indem die Verfahren aktualisiert werden.

17. Bedeutung der Informationssicherheitskontrolle

Es ist heute von entscheidender Bedeutung, die Kontrolle der Informationssicherheit (PED) zu gewährleisten. Ein großes Sicherheitsrisiko für Unternehmen ist der Diebstahl oder die Entwendung von Informationen aus dem internen Bereich, der in 80 % der Fälle auftritt. Dies liegt daran, dass es innerhalb des Unternehmens Faktoren gibt, die zum Abfluss von Informationen führen können, was ein Problem darstellt, das die interne Organisation zerstört und ein unsicheres Umfeld schafft. Es ist wichtig, die Informationssicherheit (PED) zu überwachen, da sie ein Motor des Unternehmens ist und ein wichtiges strategisches Werkzeug darstellt, das je nach Nutzung Stärke verleiht. Es ist unerlässlich und notwendig, dass Unternehmen Haushaltsmittel für die interne Sicherheit bereitstellen, da die meisten Probleme im Bereich der internen Sicherheit auftreten – ob bösartig oder nicht bösartig – und sogar zu großen Verlusten für das Unternehmen führen können, insbesondere wirtschaftlicher und finanzieller Art. Es ist auch wichtig, eine Unternehmenskultur und ein persönliches Bewusstsein bei den Mitarbeitern zu schaffen, da diese eine größere Rolle für die Informationssicherheit (PED) spielen. Nur so können zeitnahe Entscheidungen des Unternehmens erreicht werden.

18. Aufgaben des Prüfers

Die Aufgabe des Prüfers ist die konstante und dynamische Bewertung von Praktiken und Verfahren, um die Qualität und Zuverlässigkeit von Informationen zu gewährleisten, den Grad der Zielerfüllung zu beurteilen und die angemessene Nutzung der Ressourcen sicherzustellen.

19. Bedeutung eines strategischen IT-Plans

Die IT-Strategieplanung dient als Instrument, um Führungskräfte bei Entscheidungsprozessen zu begleiten, sowohl bei IT-Investitionen als auch bei jedem strategischen Schritt zur Erleichterung des Informationsflusses über Kommunikationsnetze. Sie ermöglicht das Verständnis der Auswirkungen unternehmerischer Entscheidungen in Bezug auf neue Technologien, die einen Wettbewerbsvorteil für das Unternehmen bedeuten können. Zudem schafft sie eine klare Vorstellung von den zu erzielenden materiellen und immateriellen Vorteilen und ermöglicht eine Angleichung der Kosten und Zeitpläne für die Implementierung einzelner Hard- und Software, die Ausrichtung des Unternehmens oder die interne Entwicklung von Systemen. Dies bedeutet, dass alles auf einer soliden Grundlage basiert, die als Rückhalt für das Unternehmen dient, da jeder seine Verantwortung kennt, wodurch Improvisation vermieden und ein sicherer und klarer Weg nach vorn gewährleistet wird.

20. Elemente eines Auditplans

Ein Auditplan muss folgende Elemente enthalten oder bei der Planung des Audits berücksichtigen:

  • Festlegung von Zielen und Umfang der Arbeit.
  • Einholung von Hintergrundinformationen zu den zu prüfenden Tätigkeiten.
  • Ermittlung der benötigten Ressourcen zur Durchführung des Audits.
  • Schaffung der notwendigen Kommunikation mit allen Beteiligten der Prüfung.
  • Ein Programm oder Planungsprozess.
  • Physische Kontrolle.
  • Verwendung von Techniken.
  • Abschlussbericht der Feststellungen (Final Report of Findings).

21. Allgemeine Kontrollen

Einige allgemeine Kontrollen sind:

  • Kontrolle der Dokumentation.
  • IT-Organisationsstruktur der Betriebsleittechnik.
  • Kontrolle der Systementwicklung (Control Systems Development).
  • Vertragskontrolle (Control Contract).

22. Klassifikation von Kontrollen

  • Präventive Kontrollen: Warnen vor Vorfällen oder verhindern, dass diese überhaupt eintreten (z. B. USV bei Stromausfall, Backup-Prozeduren, redundante Geräte, Spiegelplatten).
  • Detektive Kontrollen: Erkennen, wenn ein Ereignis eintritt (z. B. Validierung der Kontoeingabe, fehlgeschlagene Benutzerzugriffsversuche, Rauchmelder).
  • Korrektive Kontrollen (Remedies): Beheben das Ereignis, nachdem es bereits eingetreten ist (z. B. Datenübertragung bei Systemausfällen, Wiederherstellung von Daten-Backups, Datenkonvertierung, Patching).

23. Arten von Audit- und Planungsplänen

Oder vielmehr Arten der Evaluierung eines Planungsprozesses:

  • Strategischer Plan: Liegt in der Verantwortung aller, eliminiert Improvisation und legt eine klare Richtung fest. Umfasst Masterpläne für fünf Jahre, definiert die Richtung der Hard- und Softwareentwicklung von Systemen, neue Technologien und Netzwerke.
  • Operativer Plan: Setzt die Vision der strategischen Aktivitäten kurzfristig (ein Jahresplan) um. Sollte eng mit dem strategischen Plan verbunden sein, Ziele sollten mit den Benutzerbereichen koordiniert und auf Compliance geprüft werden.
  • Planung für IT-Projekte: Eines der größten Probleme in IT-Projekten. Verwendet PMBOK-Begriffe des Projektmanagements und Monitoring-Tools. Phasen: Konzeption, Initiierung, Entwicklung, Ressourcen, Ergebnisse, Risiken, Änderungen, Kosten, Termine, Abschluss. Einsatz von Gantt-Diagrammen, PERT- und CPM-Methoden.
  • Schulungsplan (Training Plan): Ergibt sich aus der kontinuierlichen technologischen Entwicklung und beruflichen Weiterbildung. Die IT-Abteilung sollte Pläne vorschlagen, um Mitarbeiter und Benutzer über neue Technologien auf dem Laufenden zu halten und Schulungen für den neuen IT-Markt anzubieten (technischer Analphabetismus).
  • Einkaufsplan (Purchase Plan): Erwerb von Software und Hardware, reagiert auf veränderte Bedürfnisse. Planung mit Projektmanagement-Tools, Evaluierung von Plänen, Maßnahmen zur Vermeidung technologischer Veralterung, Erprobung, Leistungsprüfung, konsequente Vermeidung von Improvisation.
  • Konversionsplan (Conversion Plan): Änderungen an zentralen Servern, Peripheriegeräten (Speicher, Festplatten, Prozessoren), Versionswechsel von Software (Betriebssystem, Datenbank), Versionswechsel von Anwendungen. Erfordert den Einsatz von Projektmanagement-Tests: Planung, Backups, Informationen für Benutzer und Manager.
  • Kontinuitätsplan (Continuity Plan): Entsteht aus dem Grad der Abhängigkeit. Bestimmt, welche Aktivitäten bei einem Betriebsstillstand täglich geplant werden. Priorisiert kritische Betriebsaktivitäten, die getestet oder simuliert werden müssen, um die Kontinuität zu gewährleisten.

24. Struktur eines Auditberichts

Ein präziser Auditbericht sollte folgende geordnete Schritte enthalten:

  • 1. Die festgestellten Probleme.
  • 2. Mögliche Ursachen, Probleme und Ausfälle, die zu der dargestellten Situation geführt haben.
  • 3. Mögliche Auswirkungen der festgestellten Probleme.
  • 4. Alternative Lösungen.
  • 5. Kommentare und Beobachtungen der IT-Leitung und der Benutzer zu den vorgeschlagenen Lösungen.

25. Anforderungen, Techniken und Probleme

Was sind Anforderungen? Eine Anforderung ist eine Notwendigkeit, der Informationen entsprechen müssen. Anforderungen sind Beschreibungen dessen, wie das Informationssystem sein und sich verhalten soll.

Techniken

  • Interviews.
  • Fragebögen.
  • Überprüfung von Aufzeichnungen (Records Review).
  • Beobachtung.
  • Experten-Brainstorming.
  • Analyse von Markt/Wettbewerb.

Häufige Probleme

  • Späte Installationen.
  • Erhebliche Überschreitungen der Budgetansätze.
  • Systeme erfüllen nicht die tatsächlichen Wünsche der Nutzer.

26. Audit der 3 Ebenen eines Informationssystems

Der Auditor beurteilt die 3 Ebenen der Pyramide für die Umsetzung eines Informationssystems:

  • 1. Strategische Ebene: Systeme zur Unterstützung von Entscheidungsträgern (Führungskräften). Gekennzeichnet durch immer komplexere Systeme, die die Entscheidungsfindung beeinflussen.
  • 2. Taktische Ebene: Managementsysteme, die bestimmte Medien regeln und die Entscheidungsfindung unterstützen.
  • 3. Operative Ebene: Transaktionssysteme, die Informationen in großen Mengen erfassen und daher zuverlässig sein sollten. Berichte können aus dieser Ebene generiert werden.

27. Symptome für die Notwendigkeit eines IT-Audits

Vier Symptome, die auf die Notwendigkeit eines IT-Audits in einer Organisation hinweisen:

  • 1. Mangel an Koordination und Desorganisation:
    • Diskrepanz zwischen IT-Zielen und Unternehmenszielen.
    • Gesunkene Produktivitätsstandards.
    • Systemausfälle.
    • Technologische Veralterung.
    • Geringe IT-Einbindung in die Projektplanung.
  • 2. Schlechtes Image und Unzufriedenheit der Nutzer:
    • Keine Beantwortung von Benutzeranfragen oder Änderungen.
    • Hardwarefehler werden nicht rechtzeitig behoben.
    • Konstante Systemausfälle.
    • Fehlende Aufmerksamkeit für kritische Systeme.
    • Der Benutzer fühlt sich vernachlässigt.
  • 3. Wirtschaftliche und finanzielle Schwächen:
    • Übermäßige/erhöhte Betriebskosten.
    • Fehlende Glaubwürdigkeit der IT-Investitionen.
    • IT-Projektentwicklungen überschreiten Zeit- und Kostenrahmen.
  • 4. Unsicherheit:
    • Logische Sicherheit.
    • Physische Sicherheit.
    • Unsicherheit bezüglich der Datenzuverlässigkeit.
    • Unsicherheit bei der Nutzung von Ressourcen und Verbrauchsmaterialien.

28. Wichtige Rollen und Funktionen im Audit

Drei wichtige Rollen und ihre Funktionen:

  • 1. Benutzerdirektor (Director of Users): Verantwortlich für den Betrieb der Systeme, insbesondere in Bezug auf die Nutzung, und muss die Einhaltung der Bestimmungen unter Einbeziehung der Nutzer sicherstellen.
  • 2. Direktor (Geschäftsführer): Vertritt das Unternehmen und hat die Entscheidungsbefugnis.
  • 3. IT-Leiter (Head of IT): Verantwortlich für das IT-Personal und die Teilnahme an verschiedenen IT-Projekten.

29. Audit-Tools und ihre Anwendung

Drei häufig verwendete Audit-Tools und ihre Anwendungsfälle:

  • Checkliste: Wird verwendet, um eine Aufgabe zu bewerten oder die Einhaltung von Standards zu überprüfen.
  • Interviews: Zum Sammeln von Informationen und Meinungen von Beteiligten.
  • Beobachtung (Gast): Zur direkten Beobachtung von Prozessen und Systemen.

30. Anforderungen an Sicherheitsrichtlinien

Sicherheitsrichtlinien für physische und logische Sicherheit sollten folgende Eigenschaften aufweisen:

  • 1. Ganzheitlich (Holistic): Die Sicherheit muss als Ganzes betrachtet werden, nicht in isolierten Teilen.
  • 2. Realistisch: Die Ziele müssen vollständig erreichbar sein.
  • 3. Aktuell: Die Richtlinien müssen kontinuierlich aktualisiert und dürfen nicht vernachlässigt oder vergessen werden.

31. Ressourcen für die Durchführung eines Audits

Für die Durchführung eines Audits sind folgende Ressourcen zu ermitteln:

  • 1. Software-Ressourcen (SW): Programme oder Überwachungssysteme.
  • 2. Hardware-Ressourcen (HW): EDV-Ausstattung.
  • 3. Humanressourcen: Personal, Experten, Netzwerke, Systeme, Kommunikation.

32. COBIT 4 Domänen

Die vier Domänen von COBIT 4 sind:

  • 1. Planung und Organisation (Plan and Organise): Diese Domäne ist verantwortlich für die Planung und Festlegung von Zielen und Umfang. Sie definiert auch die Mittel, um die Ziele zu erreichen, und den Zeitplan für den gesamten Verarbeitungsprozess.
  • 2. Beschaffung und Implementierung (Acquire and Implement): In diesem Bereich wird festgelegt, wie die IT-Lösung beschafft wird, sei es durch interne Entwicklung oder Outsourcing. Hier wird auch untersucht, wie die Implementierung erfolgen soll.
  • 3. Bereitstellung und Unterstützung (Deliver and Support): In dieser Phase wird die Anwendung an den Benutzer übergeben und vollständig ausgeliefert. Es werden auch die Unterstützungsaspekte analysiert, die für die ordnungsgemäße Wartung in verschiedenen Bereichen erforderlich sind.
  • 4. Überwachung und Evaluierung (Monitor and Evaluate): In dieser Phase werden alle Aktivitäten zur Überwachung und des gesamten Prozesses angezeigt.

33. Fünf Bewertungsbereiche im IT-Audit

Im Rahmen eines IT-Audits werden folgende fünf Komponenten bewertet:

  • 1. Administration:
    • Organisation.
    • Funktionen.
    • Struktur.
    • Zielerfüllung.
    • Humanressourcen.
    • Regeln und Richtlinien.
    • Schulung.
  • 2. Systeme:
    • Bewertung der Analyse und ihrer verschiedenen Stadien.
    • Bewertung des logischen Systementwurfs.
    • Beurteilung der physischen Entwicklung.
    • Einrichtung für die Systementwicklung.
    • Projektsteuerung.
  • 3. Betriebsmittel (Umgebung):
    • Beschaffung, Machbarkeitsstudien und Kosteneffizienz.
    • Kapazitäten.
    • Nutzung.
    • Standardisierung.
    • Bedienelemente.
    • Neue Akquisitionsprojekte.
    • Lagerung.
  • 4. Datenverarbeitung:
    • Kontrolle der Quelldaten und des Datenmanagements.
    • Steuerung des Betriebs.
    • Steuerung des Outputs.
    • Steuerung mathematischer Prozesse.
    • Steuerung von Massenspeichern.
    • Steuerung von Medien.
  • 5. Sicherheit:
    • Physische und logische Sicherheit.
    • Datenschutz.
    • Support.
    • Sicherheitspersonal.
    • Versicherungen.
    • Sicherheit bei der Gerätenutzung.
    • Risikoplan.
    • Wiederherstellung von Geräten und Systemen.
Karma: -31%
Besuche: 0

Verwandte Einträge:

Tags:
Systembewertung Notfallplanung IT-Strategie Datenschutz Interne Kontrolle IT-Audit Audit-Phasen COBIT Informationssicherheit