TALLINNA أœLIKOOL Informaatika IT juhi kutsestandardi jأ¤rgi on Infotehnoloogia juhi tأ¶أ¶ eesmأ¤rgiks

  • View
    0

  • Download
    0

Embed Size (px)

Text of TALLINNA أœLIKOOL Informaatika IT juhi kutsestandardi jأ¤rgi on Infotehnoloogia juhi tأ¶أ¶...

  • TALLINNA ÜLIKOOL Informaatika Instituut

    Marily Visnapuu

    IT auditi metoodikatest tulenevad soovitused IT juhtidele

    Magistritöö

    juhendaja: Andro Kull

    Autor: ………………………………………........... „ … “ …………….. 2008.a.

    Juhendaja: ………………………………………… „ … “ …………….. 2008.a.

    Instituudi juhataja: ……………………………....... „ … “ …………….. 2008.a.

    Tallinn 2008

  • 2

    Autorideklaratsioon Olen koostanud töö iseseisvalt. Kõik töö koostamisel kasutatud teiste autorite tööd, olulised

    seisukohad, kirjandusallikatest ja mujalt pärinevad andmed on viidatud. Käesolevat tööd ei

    ole varem esitatud kaitsmisele kusagil mujal.

    Kuupäev:

    Autor: Allkiri:

  • 3

    Annotatsioon

    Käesoleva töö eesmärk on IT auditite metoodikate analüüsist tulenevalt sõnastada IT juhtidele

    suunatud parimatest praktikatest koosnev juhend. Juhend sisaldab IT audiitorite poolt

    kasutatavate IT auditi metoodikate lähtepunkte ja soovitusi, millele IT juhid peaksid oma

    töökohal suuremat tähelepanu osutama. Töö põhirõhk on suunatud erinevate metoodikate

    analüüsile ning tulenevatest soovitustest ja tähelepanekutest juhendi koostamiseks IT

    juhtidele.

    Lõputöö on kirjutatud eesti keeles, koosneb 74 leheküljest, sisaldades 4 peatükki ja 5 joonist.

  • 4

    Annotation

    The aim of this study is to formulate an instruction to IT managers based on IT audit

    methodologies and best practises. An instruction consists of the basis and recommendations

    from IT audit methodologies used by IT auditors to which IT managers should pay more

    intention. The main objective is to analyse different IT audit methodologies and based on

    those recommendations and observations create an instruction to IT managers.

    The thesis is written in Estonian, contains 74 pages of text, 4 chapters and 5 figures.

  • 5

    Jooniste nimekiri

    Joonis 1 CobiT’i 4 domeeni ................................................................................................... 22 Joonis 2 Seosed äri-, üldiste- ja rakenduskontrollide vahel ............................................... 22 Joonis 3 CobiT’i komponentide suhted üksteisesse ............................................................ 23 Joonis 4 IT eesmärkide defineerimine ja IT-le ettevõtte arhitektuur ............................... 23 Joonis 5 GAIT-R kontrollide identifitseerimine.................................................................. 32

  • 6

    Sisukord Sissejuhatus ........................................................................................................... 8 Töö eesmärgid ....................................................................................................... 9 Töö aktuaalsus....................................................................................................... 9 Töö ülesehitus......................................................................................................10 IT juht ..................................................................................................................11 IT audit ................................................................................................................13

    IT auditite tüübid..............................................................................................13 IT audiitori tüüpilised tööülesanded ................................................................14 IT auditi sammud .............................................................................................16

    1. IT auditite metoodikad ....................................................................................19

    CobiT ...............................................................................................................20 BS7799.............................................................................................................26 GAIT ................................................................................................................30

    2. IT auditi metoodikatest tulenevad soovitused.................................................34

    CobiT ...............................................................................................................34 IT valitsemine...............................................................................................34 IT kontrollid..................................................................................................34 Lepingud väliste teenusepakkujatega...........................................................35 Sisseostetud teenuste haldamine ..................................................................35 Riskide hindamine........................................................................................36 Detailsed IS kontrollid..................................................................................36 Informatsiooni kogumine .............................................................................37 Ülevaade tippjuhtkonna tegevustest.............................................................38 Personaalsete andmete kaitse .......................................................................40 Tehnilised probleemid ja turvameetmed ......................................................45 Varade jälgimine ja vahendid.......................................................................46 Administreerimine........................................................................................46 IT juhtkomitee ..............................................................................................48 IT organisatsiooni ja strateegiliste planeerimisprotsesside ülevaade...........49

    BS 7799............................................................................................................51

    Turvareeglite haldus .....................................................................................51 Organisatsiooni varade haldus......................................................................51 Inimressursi turvahaldus...............................................................................52 Füüsiline ja keskkondlik turvahaldus...........................................................52

  • 7

    Kommunikatsiooni ja tegevuste juhtimine...................................................53 Informatsiooni juurdepääsukontrollide haldamine ......................................54 Infosüsteemide turvahaldus..........................................................................55 Informatsiooni turvajuhtumite haldamine....................................................56 Äri järjepidevuse haldus...............................................................................56 Vastavushaldus .............................................................................................56

    GAIT ................................................................................................................58

    Rakenduste kihi IT üldiste kontrollide protsessid........................................58 Andmebaasikihi IT üldiste kontrollide protsessid ja tüüpilised riskid.........59 Operatsioonisüsteemi kihi IT üldiste kontrollide protsessid ja tüüpilised vead...............................................................................................................59

    3. Metoodikate võrdlus........................................................................................60 4. IT metoodikatest tulenevad soovitused IT juhtidele .......................................62

    Ettevõtte äristrateegia väljatöötamisega seonduvad ülesanded.......................62 IT strateegilise juhtimisega seonduvad ülesanded...........................................62 IT arendustegevusega seonduvad ülesanded ...................................................64 IT kasutamise ja ülalpidamisega seonduvad ülesanded..................................66 Meeskonna juhtimisega seonduvad ülesanded ................................................68

    Kokkuvõte ...........................................................................................................70 Kasutatud kirjandus.............................................................................................71 RESUME.............................................................................................................74

  • 8

    Sissejuhatus Parimad praktikad on kasutusel erinevatel erialadel, erinevates töölõikudes. Samuti ka

    auditeerimisel ning IT auditite vallas. Suuremad ettevõtted peavad ja ka lasevad perioodiliselt

    audiitoritel enda töid ja tegemisi hinnata. Kuid nii mõnedki ettevõtted ei tee seda, olgu

    põhjuseks mis iganes. Seega paljud IT juhid ei teagi, mis IT audiitorit huvitaks, millele

    audiitor pööraks suuremat tähelepanu ehk mida täpselt auditeeritaks ning kuidas see välja

    näeks.

    Üritades kokku ühendada neid kahte põhjust, on antud magistritöö eesmärgiks tuua IT audit

    lähemale IT juhtidele – koostades nimekirja nendest toimingutest, millele nad võiksid

    igapäevaselt oma töös tähelepanu pöör