CHESTIONAR

pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaiei

1.
Clientul folosete sistem informatice integrate? (cum ar fi sistemele ERP sau mai multe
aplicaii care sunt interfaate)
DA, charisma crm by microsoft
2.
Ct de critic este disponibilitatea sistemelor IT pentru afacerea clientului? (foarte critic
ntrerupere tolerabil < 1 zi, critic ntrerupere tolerabil 1-3 zile, necritic ntrerupere tolerabil > 3
zile)
Foarte critic-1
3.

Care pri din mediul IT sunt externalizate?

Departamentul service si asistenta tehnica este externalizat, departamentul de suport
aplicatii este acoperti de angajatii companiei

4.
Cum este formalizat relaia dintre client i furnizorul de servicii externe? (cum ar fi
indicatori de msurare a nivelului serviciilor)
Clientul nu a schimbat furnizorul de servicii externe, poate fi definita ca o relatie foarte
buna intre client si furnizor, fiind vorba de o companie mare, este vorba si de un conract
negociat.
5.

Este IT-ul critic pentru atingerea obiectivelor clientului?

Fara partea de IT, nu am avea acces la uneltele pentru desfasurarea ctivitatilor zilnice

6.

Cum se asigur clientul c IT-ul este parte a strategiei pe termen mediu i lung?
Din pacate, clientul nu face investitii in ceea ce priveste arhitectura hardware.Face
investitii doar in ceea ce reprezinta software.

7.
Cum se asigur clientul c proiectele pe care dorete s le iniieze sunt planificate
corespunztor?
Clientul are un departament specializat in care persoanele responsabile analizeaza si
urmaresc desfaurarea corespunzatoare activitatilor pentru a indeplini planurile propuse.
8.
Cum sunt monitorizate proiectele pentru a se asigur c i vor atinge obiectivele ntr-un
mod eficient din punct de vedere al timpului i costului?
Departamentul specializat se ocupa de acest aspect.
9.
Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity plan)?
(DA/NU)
DA
10.
Planul (DRP/BCP) acoper toate aplicaiile i funciile de infrastructur care suport
procesele? Care continuitate este critic pentru client? Ct de des i ct de riguros este testat planul?
Planul DRP acopera doar ceea ce reprezinta baza de date si aplicatiile cele mai
importante pentru utilizatorul final.
11.

Este clientul contient de date care i sunt critice?

DA

12.
Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a ntreprins clientul pentru a
asigura securitatea datelor sale? (politici/proceduri)
Clientul este constient de necesitatea IT-ului pentru atingerea obiectivelor, de aceea face
investitii in ceea ce reprezinta arhitectura sofware.
Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din rspunsurile
date la ntrebrile de mai sus? (3 riscuri)
1. Posibilitatea efecturii de investiii care nu sunt necesare i neglijarea
adevratelor probleme
2. Planul de testare nu este efectuat periodic
3. Metodele de achiziie a echipamentelor hardware folosit (ctig
echipamentul mai ieftin) a dus la crearea unui parc de sisteme IT de foarte
proast calitate, ceea ce poate duce la blocarea activitii in orice moment.

B. Tehnologia utilizat
Denumirea
aplicaiei

Scurt
descriere a
aplicaiei

Platforma
hardware
utilizat

Versiunea i
numele
sistemului de
operare

CRM

Sistem
integrat
de
gestiune
a
persoanelor
care primesc
asistena
sociala
Program de
gestiunea
a
operatiunilor
curente

Server bazat
pe CPU Intel
Pentium IV
2800 MHz,
1024
MB
RAM

Windows
Profesional

Microsoft
SQL
Server
2005 Express
Edition

Server bazat
pe CPU Intel
Pentium IV
2800 MHz,
512
MB
RAM

Windows
Profesional

Microsoft
SQL
Server
2005 Express
Edition

BRANCH

Sistemul de
gestiune a
bazelor de
date utilizat

Sursa aplicaiei
(cumprat,
cumprat cu
modificri,
dezvoltare proprie)
Cumparata
cu
modificri

Este aplicaia
accesibil din
exterior (dialup/ internet)

Cumparat

NU

NU

Diagrama de reea

Calculator
Calculator

Swich

Server

Calculator
Imprimant
a

Organigrama departamentului IT

Departament
Administrativ

Departament IT Intern
(Service)

1.

Departament IT Intern

Department IT extern

(Administrare sisteme

(administrare

ERP)

hardware)

La ce nivel din cadrul organizaiei raporteaz eful departamentului de IT?

Cele trei departamente IT sunt separate i raporteaz directorului Administrativ.

2.
Cum este IT-ul organizat astfel nct s asigure o delimitarea a responsabilitilor i
continuitatea activitii? (cum ar fi pe perioada concediilor)
Nu exist o astfel de organizare, fiecare unitate isi gestioneaza perioada concediilor cum
doreste, dar sa respecte perioada minim de 10 zile.
Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din informaiile prezentate n
seciunea B? (3 riscuri)
1. Din modul n care este proiectat reeaua poate aprea riscul apariiei
fenomenului de bottle-neck (ngreunarea comunicrii n reeaua de date
datorit folosirii excesive a unei poriuni prin care circul date ctre toate
segmentele reelei).
2. Din cauza lipsei unei metode de asigurare a continuitii pot aprea blocaje n
sistemul IT.
3. Din cauza organizrii departamentului IT pot aprea disfuncionaliti i chiar
conflicte ntre cele teri departamente de service IT.

C. Analiza aplicaiei selectate

C.1. Accesul n aplicaie
1.
Cum este reglementat (limitat) accesul ctre funciile importante din mediul IT?
(administrator de baze de date, administrator de aplicaie, administrator de reea)
La functiile importante din mediul IT nu au acces decat administratorul de baze de date,
iar la aplicatii doar administratorul de aplicatie si cel de retea.
2.
Prezentai principalele setri de securitate ale sistemului (server de domeniu) i analizai
completitudinea lor?
Nu avem acces din si in afara retelei. Reteaua intranet este protejata de acces cu user si
parola.
4.
Cum este monitorizat accesul n aplicaie? (revizuire de loguri, revizuire de list de
utilizatori)
Se blocheaza accesul la aplicatii in momentul in care o persoana intra in concediu. In
momentul demisionarii unui angajat i se retrag toate drepturile din aplicatie.
5.

Prezentai i analizai setrile de parol aferente aplicaiei?

Aplicaiile software folosite permit diferite nivele de acces la date, protejate prin parola,
parolaa ce trebuie schimbata o data la 2 luni.

6.
Accesul utilizatorilor este autorizat i creat corespunztor? (cine face cererea, cine stabilete
drepturile, cine aprob accesul, cine creeaz contul, cine notific plecarea angajatului din organizaie)
Cererea este fcut de catre superiorul angajatului.
Drepturile precum i aprobarea accesului intr n atribuiile efilor departamentelor care
utilizeaz aplicaiile.
Crearea i gestiunea conturilor intr n atribuiile departamentului IT de administrare a
sistemelor ERP
Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din informaiile prezentate n
seciunea C.1? (3 riscuri)
1. In momentul resetarii unei parole, nu se face identificarea solicitantului
2. Posibilitatea accesului la datele secrete
3. Datorit lipsei uneii monitorizri mai atente, nu se pot identifica ncercrile de
penetrarea a sistemului de securitatea folosit de aplicaii
C.2. Gestionarea modificrilor aduse aplicaiei

1.

Cine i cum iniiaz o modificare care s fie adus aplicaiei?

Angajaii care utilizeaz aplicaiile transmit ce modificari sunt necesare in momentul in
care se fac sedinte pe tema respectiva.

2.

Cine aprob modificarea pentru a fi dezvoltat?

Seful departamentului IT extern mpreun cu directorul Administrativ

3.

Cine i cum monitorizeaz modificrile aduse aplicaiei?

Departamentului IT intern

4.

Cine i cum testeaz modificrile dezvoltate? Cine aprob migrarea dezvoltrii n producie?
Departamentului IT intern
Cine i cum monitorizeaz modificrile aduse aplicaiei?

Departamentului IT intern
6.
Cum este asigurat delimitarea responsabilitilor n cadrul procesului de gestionare a
modificrilor aduse aplicaiei?
Nu este asigurat delimitarea responsabilitilor

C.3. Alte informaii

1.

Cum se realizeaz backup-ul informaiilor din aplicaie? Ct de des este verificat backup-ul i
cum?
Se realizeaza back-up de cateva ori pe zi.

2.

Cum monitorizate i rezolvate deviaiile care apare n procesrilor programate? (transferuri,

scheduled task)
Se verifica daca s-au efectuat procesarile manual.

Care sunt riscurile identificate de dumneavoastr pentru clientul selectat, din informaiile prezentate n
seciunea C.2 i C.3? (3 riscuri)
Modul haotic n care se fac modificrile aplicaiilor, fr existena unui plan, poate duce
la:
1. Reducerea eficientei aplicaiilor
2. Dificultatea verificarii corectitudini procesarilor
3. Investiii care nu sunt cu adevrat necesare
Dai exemple de minim trei ntrebri care ar trebui s se regseasc n acest chestionar?
1.Considerai c aplicaiile contribuie la mbuntirea activitii instituiei ?
2. n opinia dvs. care sunt principalele puncte tari ale sistemului i aplicaiilor?
3. Care credei c sunt punctele slabe ?