Definicja
Audyt IT to niezależna, systematyczna ocena systemów informatycznych organizacji pod kątem bezpieczeństwa, zgodności z regulacjami, efektywności i zarządzania ryzykiem.
Typy audytu IT
| Typ | Cel | Przykład |
|---|---|---|
| Audyt bezpieczeństwa | Ocena zabezpieczeń | Testy penetracyjne, przegląd uprawnień |
| Audyt zgodności | Zgodność z regulacjami | RODO, SOX, PCI-DSS |
| Audyt wydajności | Efektywność systemów | Capacity planning, performance review |
| Audyt ciągłości | Gotowość na awarie | BCP/DR testing |
| Audyt zmian | Kontrola zmian | Change management process |
| Audyt dostępu | Przegląd uprawnień | User access review, segregation of duties |
Standardy audytu IT
| Standard | Wydawca | Obszar |
|---|---|---|
| COBIT | ISACA | IT Governance |
| ISO 27001 | ISO | Bezpieczeństwo informacji |
| ITIL | Axelos | Zarządzanie usługami IT |
| SOC 2 | AICPA | Trust services (SaaS) |
| PCI-DSS | PCI Council | Dane kart płatniczych |
Rola BA w audycie
BA wspiera audyt, bo zna procesy biznesowe i może: - Zmapować, które systemy przetwarzają jakie dane - Wskazać właścicieli procesów (process owners) - Przygotować dokumentację procesów - Zidentyfikować luki w kontrolach
Dlaczego to ważne?
BA jest pomostem między audytorami (którzy mówią językiem kontroli) a biznesem (który mówi językiem procesów).