CHESTIONAR

pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaiei
1.

Clientul folosete sistem informatice integrate? (cum ar fi sistemele ERP sau

mai multe aplicaii care sunt interfaate)

2.

Ct de critic este disponibilitatea sistemelor IT pentru afacerea clientului?

(foarte critic ntrerupere tolerabil < 1 zi, critic ntrerupere tolerabil 1-3
zile, necritic ntrerupere tolerabil > 3 zile)

3.

4.

5.

Care pri din mediul IT sunt externalizate?

Cum este formalizat relaia dintre client i furnizorul de servicii externe?

(cum ar fi indicatori de msurare a nivelului serviciilor)

Este IT-ul critic pentru atingerea obiectivelor clientului?

6.

Cum se asigur clientul c IT-ul este parte a strategiei pe termen mediu i

lung?

7.

Cum se asigur clientul c proiectele pe care dorete s le iniieze sunt

planificate corespunztor?

8.

Cum sunt monitorizate proiectele pentru a se asigur c i vor atinge

obiectivele ntr-un mod eficient din punct de vedere al timpului i costului?

9.

Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity
plan)? (DA/NU)

10.

Planul (DRP/BCP) acoper toate aplicaiile i funciile de infrastructur care

suport procesele? Care continuitate este critic pentru client? Ct de des i
ct de riguros este testat planul?

11.

12.

Este clientul contient de date care i sunt critice?

Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a ntreprins

clientul pentru a asigura securitatea datelor sale? (politici/proceduri)

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat,

din rspunsurile date la ntrebrile de mai sus? (3 riscuri)

B. Tehnologia utilizat
Denumirea
aplicaiei

Scurt
descriere a
aplicaiei

Diagrama de reea

Platforma
hardware
utilizat

Versiunea i
numele
sistemului
de operare

Sistemul de
gestiune a
bazelor de
date utilizat

Sursa aplicaiei
(cumprat,
cumprat cu
modificri,
dezvoltare
proprie)

Este
aplicaia
accesibil
din exterior
(dial-up/
internet)

Organigrama departamentului IT

1.

La ce nivel din cadrul organizaiei raporteaz eful departamentului de IT?

2.

Cum este IT-ul organizat astfel nct s asigure o delimitarea a

responsabilitilor i continuitatea activitii? (cum ar fi pe perioada
concediilor)

3.

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din

informaiile prezentate n seciunea B? (3 riscuri)

C. Analiza aplicaiei selectate

C.1. Accesul n aplicaie
1.

Cum este reglementat (limitat) accesul ctre funciile importante din mediul
IT? (administrator de baze de date, administrator de aplicaie, administrator
de reea)

2.

Prezentai principalele setri de securitate ale sistemului (server de domeniu)

i analizai completitudinea lor?

4.

Cum este monitorizat accesul n aplicaie? (revizuire de loguri, revizuire de

list de utilizatori)

5.

Prezentai i analizai setrile de parol aferente aplicaiei?

6.

Accesul utilizatorilor este autorizat i creat corespunztor? (cine face cererea,

cine stabilete drepturile, cine aprob accesul, cine creeaz contul, cine
notific plecarea angajatului din organizaie)

7.

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din

informaiile prezentate n seciunea C.1? (3 riscuri)

C.2. Gestionarea modificrilor aduse aplicaiei

1.

Cine i cum iniiaz o modificare care s fie adus aplicaiei?

2.

Cine aprob modificarea pentru a fi dezvoltat?

3.

Cine i cum monitorizeaz modificrile aduse aplicaiei?

4.

Cine i cum testeaz modificrile dezvoltate? Cine aprob migrarea

dezvoltrii n producie?

5.

Cine i cum monitorizeaz modificrile aduse aplicaiei?

6.

Cum este asigurat delimitarea responsabilitilor n cadrul procesului de

gestionare a modificrilor aduse aplicaiei?

C.3. Alte informaii

1.

Cum se realizeaz backup-ul informaiilor din aplicaie? Ct de des este

verificat backup-ul i cum?

2.

Cum monitorizate i rezolvate deviaiile care apare n procesrilor

programate? (transferuri, scheduled task)

3.

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din

informaiile prezentate n seciunea C.2 i C.3? (3 riscuri)

4.

Dai exemple de minim trei ntrebri care ar trebui s se regseasc n acest

chestionar?