CHESTIONAR pentru auditarea unui sistem informatic
A. Mediul IT din cadrul organizaţiei
1. Clie Client ntul ul fol folos oseş eşte te sis siste tem m infor informa mati tice ce int integ egra rate te?? (cum (cum ar ar fi sist sistem emel elee ERP ERP sau sau mai mai mult multee aplicaţii care sunt interfaţate) DA, charisma crm ! microsoft ". C#t C#t $e crit critic ic%% est estee $isp $ispon oni iil ilit itat atea ea sis siste teme melo lorr &' &' pent pentru ru afa aface cere reaa clie client ntul ului ui?? (foa (foarte rte crit critic ic ntrerupere tolerail% * 1 +i, critic ntrerupere tolerail% 1- +ile, necritic ntrerupere tolerail% +ile) /oarte critic1 -.
Care p%rţi $in me$iul &' sunt e0te 0ternali+a i+ate? Departamentul serice si asistenta tehnica este e0ternali+at, $epartamentul $e suport aplicatii este acoperti $e anga2atii companiei
3. Cum este este form formal alii+at% +at% rela relaţi ţiaa $intr $intree clie client nt şi furn furni+ i+or orul ul $e ser seric icii ii e0te e0tern rnee? (cum (cum ar fi in$icatori $e m%surare a nielului sericiilor) Clientul nu a schimat furni+orul $e sericii e0terne, poate fi $efinita ca o relatie foarte una intre client si furni+or, fiin$ ora $e o companie mare, mare, este ora si $e un conract negociat. 4.
Este Este &'ul ul crit critic ic pent pentru ru atin atinge gere reaa oie oiect cti iel elor or clie client ntul ului ui?? /ara partea $e &', nu am aea acces la uneltele pentru $esfasurarea ctiitatilor +ilnice
5.
Cum Cum se se asi asigu gur% r% clie client ntul ul c% &'u &'ull est estee par parte te a stra strate tegi giei ei pe term termen en me$i me$iuu şi şi lun lung? g? Din pacate, clientul nu face inestitii in ceea ce prieste arhitectura har$6are./ace inestitii $oar in ceea ce repre+inta soft6are.
7. Cum se asigur% clientul c% proiectele pe care $oreşte s% le iniţie+e sunt planificate corespun+%tor? Clientul are un $epartament speciali+at in care persoanele responsaile anali+ea+a si urmaresc $esfaurarea corespun+atoare actiitatilor pentru a in$eplini planurile propuse. 8. Cum Cum sunt sunt mon monit itor ori+ i+at atee proi proiec ecte tele le pen pentr truu a se asi asigu gur% r% c% c% şi şi or or atin atinge ge oi oiec ecti tie ele le ntr ntru unn mo$ eficient $in punct $e e$ere al timpului şi costului? Departamentul speciali+at se ocupa $e acest aspect. 9. Are Are clie lientul ntul $e+ $e+ol olta tatt DRP DRP ($is ($isas aste terr rec recoer oer!! plan) lan) : ;CP (us (usin ineess cont contin inui uit! t! plan plan)? )? (DA:<=) DA 1>. 1>. Plan Planul ul (DRP: (DRP:;C ;CP) P) acope acoper% r% toate toate apli aplica caţi ţiil ilee şi funcţ funcţii iile le $e infr infras astr truc uctu tur% r% care care supo suport rt%% procesele? Care continuitate continuitate este critic% pentru client? C#t $e $es $es şi c#t $e riguros este testat testat planul? Planul DRP acopera $oar ceea ce repre+inta a+a $e $ate si aplicatiile cele mai importante pentru utili+atorul final. 11.
Este clientul conştient $e $ate care i sunt critice? DA
1". Este &'ul critic pentru atingerea oiectielor clientului? Ce a ntreprins clientul pentru a asigura securitatea $atelor sale? (politici:proce$uri) Clientul este constient $e necesitatea &'ului pentru atingerea oiectielor, $e aceea face inestitii in ceea ce repre+inta arhitectura sof6are. Care sunt riscurile i$entificate $e $umneaoastr% pentru clientul selectat, $in r%spunsurile $ate la ntre%rile $e mai sus? (- riscuri) 1. Posiilitatea efectu%rii $e inestiţii care nu sunt necesare şi negli2area a$e%ratelor proleme ". Planul $e testare nu este efectuat perio$ic -. eto$ele $e achi+iţie a echipamentelor har$6are folosit% (c#ştig% echipamentul mai ieftin) a $us la crearea unui parc $e sisteme &' $e foarte proast% calitate, ceea ce poate $uce la locarea actiit%ţii in orice moment.
. Te!nologia utilizat" #enumirea aplicaţiei
Scurt" descriere a aplicaţiei
$latforma !ard%are utilizat"
CR
@istem integrat $e gestiune a persoanelor care primesc asistenţa sociala Program $e gestiunea a operatiunilor curente
@erer a+at in$o6s pe CP= &ntel Profesional Pentium & "8>> B+, 1>"3 ; RA
7 icrosoft Cumparata @ @erer mo$ific%ri ">>4 E0press E$ition
@erer a+at in$o6s pe CP= &ntel Profesional Pentium & "8>> B+, 41" ; RA
7 icrosoft Cumparat @ @erer ">>4 E0press E$ition
RANCH
&ersiunea 'i numele sistemului de operare
Sistemul de gestiune a (azelor de date utilizat
Sursa aplicaţiei )cump"rat"* cump"rat" cu modific"ri* dez+oltare proprie,
Este aplicaţia accesi(il" din e-terior )dial up/ internet,
cu <=
<=
#iagrama de reţea
Calculator Calculator
@6ich
@erer
Calculator &mprimant a
Organigrama departamentului IT
Departament A$ministrati
Departament &' &ntern (@erice)
1.
Departament &' &ntern
Department &' e0tern
(A$ministrare sisteme
(a$ministrare
ERP)
har$6are)
a ce niel $in ca$rul organi+aţiei raportea+% şeful $epartamentului $e &'? Cele trei $epartamente &' sunt separate şi raportea+% $irectorului A$ministrati.
". Cum este &'ul organi+at astfel nc#t s% asigure o $elimitarea a responsailit%ţilor şi continuitatea actiit%ţii? (cum ar fi pe perioa$a conce$iilor) +ile. Care sunt riscurile i$entificate $e $umneaoastr% pentru clientul selectat, $in informaţiile pre+entate n secţiunea ;? (- riscuri) 1. Din mo$ul n care este proiectat% reţeaua poate ap%rea riscul apariţiei fenomenului $e ottlenecF (ngreunarea comunic%rii n reţeaua $e $ate $atorit% folosirii e0cesie a unei porţiuni prin care circul% $ate c%tre toate segmentele reţelei). ". Din cau+a lipsei unei meto$e $e asigurare a continuit%ţii pot ap%rea loca2e n sistemul &'. -. Din cau+a organi+%rii $epartamentului &' pot ap%rea $isfuncţionalit%ţi şi chiar conflicte ntre cele teri $epartamente $e serice &'.
C. Analiza aplicaţiei selectate C.0. Accesul 1n aplicaţie
1. Cum este reglementat (limitat) accesul c%tre funcţiile importante $in me$iul &'? (a$ministrator $e a+e $e $ate, a$ministrator $e aplicaţie, a$ministrator $e reţea) a functiile importante $in me$iul &' nu au acces $ecat a$ministratorul $e a+e $e $ate, iar la aplicatii $oar a$ministratorul $e aplicatie si cel $e retea. ". Pre+entaţi principalele set%ri $e securitate ale sistemului (serer $e $omeniu) şi anali+aţi completitu$inea lor?
Pre+entaţi şi anali+aţi set%rile $e parol% aferente aplicaţiei? Aplicaţiile soft6are folosite permit $iferite niele $e acces la $ate, prote2ate prin parola, parolaa ce treuie schimata o $ata la " luni.
5. Accesul utili+atorilor este autori+at şi creat corespun+%tor? (cine face cererea, cine staileşte $repturile, cine apro% accesul, cine creea+% contul, cine notific% plecarea anga2atului $in organi+aţie) Cererea este f%cut% $e catre superiorul anga2atului. Drepturile precum şi aproarea accesului intr% n atriuţiile şefilor $epartamentelor care utili+ea+% aplicaţiile. Crearea şi gestiunea conturilor intr% n atriuţiile $epartamentului &' $e a$ministrare a sistemelor ERP Care sunt riscurile i$entificate $e $umneaoastr% pentru clientul selectat, $in informaţiile pre+entate n secţiunea C.1? (- riscuri) 1. &n momentul resetarii unei parole, nu se face i$entificarea solicitantului ". Posiilitatea accesului la $atele secrete -. Datorit% lipsei uneii monitori+%ri mai atente, nu se pot i$entifica ncerc%rile $e penetrarea a sistemului $e securitatea folosit $e aplicaţii C.2. 3estionarea modific"rilor aduse aplicaţiei
1.
Cine şi cum iniţia+% o mo$ificare care s% fie a$us% aplicaţiei? Anga2aţii care utili+ea+% aplicaţiile transmit ce mo$ificari sunt necesare in momentul in care se fac se$inte pe tema respectia.
".
Cine apro% mo$ificarea pentru a fi $e+oltat%? @eful $epartamentului &' e0tern mpreun% cu $irectorul A$ministrati
-.
Cine şi cum monitori+ea+% mo$ific%rile a$use aplicaţiei? Departamentului &' intern
3.
Cine şi cum testea+% mo$ific%rile $e+oltate? Cine apro% migrarea $e+olt%rii n pro$ucţie? Departamentului &' intern Cine şi cum monitori+ea+% mo$ific%rile a$use aplicaţiei?
4
Departamentului &' intern 5. Cum este asigurat% $elimitarea responsailit%ţilor n ca$rul procesului $e gestionare a mo$ific%rilor a$use aplicaţiei?
C.4. Alte informaţii
1.
Cum se reali+ea+% acFupul informaţiilor $in aplicaţie? C#t $e $es este erificat acFupul şi cum? @e reali+ea+a acFup $e catea ori pe +i.
".
Cum monitori+ate şi re+olate $eiaţiile care apare n proces%rilor programate? (transferuri, sche$ule$ tasF) @e erifica $aca sau efectuat procesarile manual.
Care sunt riscurile i$entificate $e $umneaoastr% pentru clientul selectat, $in informaţiile pre+entate n secţiunea C." şi C.-? (- riscuri) o$ul haotic n care se fac mo$ific%rile aplicaţiilor, f%r% e0istenţa unui plan, poate $uce laG 1. Re$ucerea eficientei aplicaţiilor ". Dificultatea erificarii corectitu$ini procesarilor -. &nestiţii care nu sunt cu a$e%rat necesare Daţi e0emple $e minim trei ntre%ri care ar treui s% se reg%seasc% n acest chestionar? 1.Consi$eraţi c% aplicaţiile contriuie la mun%t%ţirea actiit%ţii instituţiei ? ". Hn opinia $s. care sunt principalele puncte tari ale sistemului şi aplicaţiilor? -. Care cre$eţi c% sunt punctele slae ?