View
0
Download
0
Embed Size (px)
TALLINNA ÜLIKOOL Informaatika Instituut
Marily Visnapuu
IT auditi metoodikatest tulenevad soovitused IT juhtidele
Magistritöö
juhendaja: Andro Kull
Autor: ………………………………………........... „ … “ …………….. 2008.a.
Juhendaja: ………………………………………… „ … “ …………….. 2008.a.
Instituudi juhataja: ……………………………....... „ … “ …………….. 2008.a.
Tallinn 2008
2
Autorideklaratsioon Olen koostanud töö iseseisvalt. Kõik töö koostamisel kasutatud teiste autorite tööd, olulised
seisukohad, kirjandusallikatest ja mujalt pärinevad andmed on viidatud. Käesolevat tööd ei
ole varem esitatud kaitsmisele kusagil mujal.
Kuupäev:
Autor: Allkiri:
3
Annotatsioon
Käesoleva töö eesmärk on IT auditite metoodikate analüüsist tulenevalt sõnastada IT juhtidele
suunatud parimatest praktikatest koosnev juhend. Juhend sisaldab IT audiitorite poolt
kasutatavate IT auditi metoodikate lähtepunkte ja soovitusi, millele IT juhid peaksid oma
töökohal suuremat tähelepanu osutama. Töö põhirõhk on suunatud erinevate metoodikate
analüüsile ning tulenevatest soovitustest ja tähelepanekutest juhendi koostamiseks IT
juhtidele.
Lõputöö on kirjutatud eesti keeles, koosneb 74 leheküljest, sisaldades 4 peatükki ja 5 joonist.
4
Annotation
The aim of this study is to formulate an instruction to IT managers based on IT audit
methodologies and best practises. An instruction consists of the basis and recommendations
from IT audit methodologies used by IT auditors to which IT managers should pay more
intention. The main objective is to analyse different IT audit methodologies and based on
those recommendations and observations create an instruction to IT managers.
The thesis is written in Estonian, contains 74 pages of text, 4 chapters and 5 figures.
5
Jooniste nimekiri
Joonis 1 CobiT’i 4 domeeni ................................................................................................... 22 Joonis 2 Seosed äri-, üldiste- ja rakenduskontrollide vahel ............................................... 22 Joonis 3 CobiT’i komponentide suhted üksteisesse ............................................................ 23 Joonis 4 IT eesmärkide defineerimine ja IT-le ettevõtte arhitektuur ............................... 23 Joonis 5 GAIT-R kontrollide identifitseerimine.................................................................. 32
6
Sisukord Sissejuhatus ........................................................................................................... 8 Töö eesmärgid ....................................................................................................... 9 Töö aktuaalsus....................................................................................................... 9 Töö ülesehitus......................................................................................................10 IT juht ..................................................................................................................11 IT audit ................................................................................................................13
IT auditite tüübid..............................................................................................13 IT audiitori tüüpilised tööülesanded ................................................................14 IT auditi sammud .............................................................................................16
1. IT auditite metoodikad ....................................................................................19
CobiT ...............................................................................................................20 BS7799.............................................................................................................26 GAIT ................................................................................................................30
2. IT auditi metoodikatest tulenevad soovitused.................................................34
CobiT ...............................................................................................................34 IT valitsemine...............................................................................................34 IT kontrollid..................................................................................................34 Lepingud väliste teenusepakkujatega...........................................................35 Sisseostetud teenuste haldamine ..................................................................35 Riskide hindamine........................................................................................36 Detailsed IS kontrollid..................................................................................36 Informatsiooni kogumine .............................................................................37 Ülevaade tippjuhtkonna tegevustest.............................................................38 Personaalsete andmete kaitse .......................................................................40 Tehnilised probleemid ja turvameetmed ......................................................45 Varade jälgimine ja vahendid.......................................................................46 Administreerimine........................................................................................46 IT juhtkomitee ..............................................................................................48 IT organisatsiooni ja strateegiliste planeerimisprotsesside ülevaade...........49
BS 7799............................................................................................................51
Turvareeglite haldus .....................................................................................51 Organisatsiooni varade haldus......................................................................51 Inimressursi turvahaldus...............................................................................52 Füüsiline ja keskkondlik turvahaldus...........................................................52
7
Kommunikatsiooni ja tegevuste juhtimine...................................................53 Informatsiooni juurdepääsukontrollide haldamine ......................................54 Infosüsteemide turvahaldus..........................................................................55 Informatsiooni turvajuhtumite haldamine....................................................56 Äri järjepidevuse haldus...............................................................................56 Vastavushaldus .............................................................................................56
GAIT ................................................................................................................58
Rakenduste kihi IT üldiste kontrollide protsessid........................................58 Andmebaasikihi IT üldiste kontrollide protsessid ja tüüpilised riskid.........59 Operatsioonisüsteemi kihi IT üldiste kontrollide protsessid ja tüüpilised vead...............................................................................................................59
3. Metoodikate võrdlus........................................................................................60 4. IT metoodikatest tulenevad soovitused IT juhtidele .......................................62
Ettevõtte äristrateegia väljatöötamisega seonduvad ülesanded.......................62 IT strateegilise juhtimisega seonduvad ülesanded...........................................62 IT arendustegevusega seonduvad ülesanded ...................................................64 IT kasutamise ja ülalpidamisega seonduvad ülesanded..................................66 Meeskonna juhtimisega seonduvad ülesanded ................................................68
Kokkuvõte ...........................................................................................................70 Kasutatud kirjandus.............................................................................................71 RESUME.............................................................................................................74
8
Sissejuhatus Parimad praktikad on kasutusel erinevatel erialadel, erinevates töölõikudes. Samuti ka
auditeerimisel ning IT auditite vallas. Suuremad ettevõtted peavad ja ka lasevad perioodiliselt
audiitoritel enda töid ja tegemisi hinnata. Kuid nii mõnedki ettevõtted ei tee seda, olgu
põhjuseks mis iganes. Seega paljud IT juhid ei teagi, mis IT audiitorit huvitaks, millele
audiitor pööraks suuremat tähelepanu ehk mida täpselt auditeeritaks ning kuidas see välja
näeks.
Üritades kokku ühendada neid kahte põhjust, on antud magistritöö eesmärgiks tuua IT audit
lähemale IT juhtidele – koostades nimekirja nendest toimingutest, millele nad võiksid
igapäevaselt oma töös tähelepanu pöör
