CHESTIONAR

pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaiei
1.

Clientul folosete sistem informatice integrate? (cum ar f

sistemele ERP sau mai multe aplicaii care sunt interfaate)

2.

Ct de critic este disponibilitatea sistemelor IT pentru

afacerea clientului? (foarte critic ntrerupere tolerabil < 1 zi,
critic ntrerupere tolerabil 1-3 zile, necritic ntrerupere
tolerabil > 3 zile)

3.
4.

5.

Care pri din mediul IT sunt externalizate?

Cum este formalizat relaia dintre client i furnizorul de
servicii externe? (cum ar f indicatori de msurare a nivelului
serviciilor)
Este IT-ul critic pentru atingerea obiectivelor clientului?

6.

Cum se asigur clientul c IT-ul este parte a strategiei pe

termen mediu i lung?

7.

Cum se asigur clientul c proiectele pe care dorete s le

iniieze sunt planifcate corespunztor?

8.

Cum sunt monitorizate proiectele pentru a se asigura c i vor

atinge obiectivele ntr-un mod efcient din punct de vedere al
timpului i costului?

9.

Are clientul dezvoltat DRP (disaster recovery plan) / BCP

(business continuity plan)? (DA/NU)

10.

Planul (DRP/BCP) acoper toate aplicaiile i funciile de

infrastructur care suport procesele? Care continuitate este
critic pentru client? Ct de des i ct de riguros este testat
planul?

11.
12.

Este clientul contient de date care i sunt critice?

Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a
ntreprins clientul pentru a asigura securitatea datelor sale?
(politici/proceduri)
Care sunt riscurile identifcate de dumneavoastr pentru
clientul selectat, din rspunsurile date la ntrebrile de mai
sus? (3 riscuri)

B. Tehnologia utilizat
Denumir Scurt
ea
descrier
aplicaiei e a
aplicai
ei

Platfor
ma
hardwa
re
utilizat

Diagrama de reea

Versiune
a i
numele
sistemul
ui de
operare

Sistemul
de
gestiune
a
bazelor
de date
utilizat

Sursa
aplicaiei
(cumprat
, cumprat
cu
modificri,
dezvoltare
proprie)

Este
aplicaia
accesibil

din
exterior
(dial-up/
internet)

Organigrama departamentului IT

1.
La ce nivel din
departamentului de IT?

2.

cadrul

organizaiei

raporteaz

eful

Cum este IT-ul organizat astfel nct s asigure o delimitarea a

responsabilitilor i continuitatea activitii? (cum ar f pe
perioada concediilor)

3.

Care sunt riscurile identifcate de dumneavoastr pentru

clientul selectat, din informaiile prezentate n seciunea B? (3
riscuri)

C. Analiza aplicaiei selectate

C.1. Accesul n aplicaie
1.

Cum este reglementat (limitat) accesul ctre funciile

importante din mediul IT? (administrator de baze de date,
administrator de aplicaie, administrator de reea)

2.

Prezentai principalele setri de securitate ale sistemului

(server de domeniu) i analizai completitudinea lor?

4.

Cum este monitorizat accesul n aplicaie? (revizuire de loguri,

revizuire de list de utilizatori)

5.

Prezentai i analizai setrile de parol aferente aplicaiei?

6.

Accesul utilizatorilor este autorizat i creat corespunztor?

(cine face cererea, cine stabilete drepturile, cine aprob
accesul, cine creeaz contul, cine notifc plecarea angajatului
din organizaie)

7.

Care sunt riscurile identifcate de dumneavoastr pentru

clientul selectat, din informaiile prezentate n seciunea C.1?
(3 riscuri)

C.2. Gestionarea modificrilor aduse aplicaiei

1.

Cine i cum iniiaz o modifcare care s fe adus aplicaiei?

2.

Cine aprob modifcarea pentru a f dezvoltat?

3.

Cine i cum monitorizeaz modifcrile aduse aplicaiei?

4.

Cine i cum testeaz modifcrile dezvoltate? Cine aprob

migrarea dezvoltrii n producie?

5.

Cine i cum monitorizeaz modifcrile aduse aplicaiei?

6.

Cum este asigurat delimitarea responsabilitilor n cadrul

procesului de gestionare a modifcrilor aduse aplicaiei?

C.3. Alte informaii

1.

Cum se realizeaz backup-ul informaiilor din aplicaie? Ct de

des este verifcat backup-ul i cum?

2.

Cum monitorizate i rezolvate deviaiile care apare

procesrilor programate? (transferuri, scheduled task)

3.

Care sunt riscurile identifcate de dumneavoastr pentru

clientul selectat, din informaiile prezentate n seciunea C.2 i
C.3? (3 riscuri)

4.

Dai exemple de minim trei ntrebri care ar trebui s se

regseasc n acest chestionar?