CHESTIONAR

pentru auditarea unui sistem informatic

A. Mediul IT din cadrul organizaţiei

1. Clientul foloseşte sistem informatice integrate? (cum ar fi sistemele ERP sau mai multe
aplicaţii care sunt interfaţate)

DA

2. Cât de critică este disponibilitatea sistemelor IT pentru afacerea clientului?

(foarte critic – întrerupere tolerabilă < 1 zi, critic – întrerupere tolerabilă 1-3 zile,
necritic – întrerupere tolerabilă > 3 zile)
Foarte critic

3. Care părţi din mediul IT sunt externalizate?

Departamentul service si asistenta tehnica este partial externalizat

4. Cum este formalizată relaţia dintre client şi furnizorul de servicii externe?

(cum ar fi indicatori de măsurare a nivelului serviciilor)
Clientul a schimbat furnizorul de servicii externe de curand si nu s-a facut inca o
masaruare de acest fel.

5. Este IT-ul critic pentru atingerea obiectivelor clientului?

Da

6. Cum se asigură clientul că IT-ul este parte a strategiei pe termen mediu şi

lung?
Clientul face investiţii periodice in domeniul IT înnoind atât resursele hardware cat si
aplicaţiile software. Totuşi aceste investiţii sunt haotice, încercând sa „cârpească”
problemele apărute punctual, fără a avea un plan global de acţiune.

7. Cum se asigură clientul că proiectele pe care doreşte să le iniţieze sunt

planificate corespunzător?
Clientul are posibilitatea foarte limitată de a se asigura de acest lucru, datorită lipsei de
specialiştilor. Factorii utilizaţi de acesta sunt unii globali, cum ar fi calificările
prestatorilor de servicii (standarde de calitate ISO, apartenenţa la o asociaţie de
prestatori de servicii, etc) sau pur şi simplu evaluând buna credinţă a reprezentanţilor
prestatorului.

8. Cum sunt monitorizate proiectele pentru a se asigură că îşi vor atinge

obiectivele într-un mod eficient din punct de vedere al timpului şi costului?
Din nou acest lucru este făcut în mod global, prin analizarea pieţei în general şi a
proiectelor asemănătoare implementate in trecut de client.

9. Are clientul dezvoltat DRP (disaste r recovery plan) / BCP (business continuity
plan)? (DA/NU)
NU

10. Planul (DRP/BCP) acoperă toate aplicaţiile şi funcţiile de infrastructură care suportă
procesele? Care continuitate este critică pentru client? Cât de des şi cât de riguros este testat pl anul?
NU
 11. Este clientul conştient de date care îi sunt critice?
NU

12. Este IT-ul critic pentru atingerea obiectivelor clientului? Ce a întreprins

clientul pentru a asigura securitatea datelor sale? (politici/proceduri)
Este critic, dar clientul nu este conştient de acest lucru. Din acest motiv investiţiile
pentru asigurarea datelor precum şi politica necesară acestui lucru nu există.

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din

răspunsurile date la întrebările de mai sus? (3 riscuri)
1. Posibilitatea efectuării de investiţii care nu sunt necesare şi neglijarea
adevăratelor probleme
2. Nu există nici o procedură de back-up a datelor.
3. Metodele de achiziţie a echipamentelor hardware folosită (câştigă
echipamentul mai ieftin) a dus la crearea unui parc de sisteme IT de foarte
proastă calitate, ceea ce poate duce la blocarea activităţii in orice moment.

B. Tehnologia utilizată

Denumirea Scurtă Platforma Versiunea şi Sistemul de Sursa aplicaţiei Este aplicaţia

aplicaţiei descriere a hardware numele gestiune a (cumpărată, accesibilă din
aplicaţiei utilizată sistemului de bazelor de cumpărată cu exterior (dial-
operare date utilizat modificări, up/ internet)
dezvoltare proprie)
SIAS Sistem Server bazat Windows XP Microsoft Cumparata cu DA
integrat de pe CPU Intel Service Pack 2 SQL Server modificări
gestiune a Pentium IV 2005 Express
persoanelor 2800 MHz, Edition
care primesc 1024 MB
asistenţa RAM
sociala
ANPH Program de Server bazat Windows XP Microsoft Cumparat NU
Sensitive gestiunea pe CPU Intel Service Pack 2 SQL Server
persoanelor Pentium IV 2005 Express
cu handicap 2800 MHz, Edition
512 MB
RAM
ATS Atlas Program de Server bazat Windows 2000 Microsoft Cumparat NU
gestiune pe CPU Intel Server Standard SQL Server
Pentium IV 2000
2800 MHz,
1024 MB
RAM

Diagrama de reţea

Organigrama departamentului IT
 Departament
Administrativ

Departament IT Intern Departament IT

Departament IT Intern
(Administrare sisteme Extern (Service şi
(Service)
ERP) asistenţă tehnică)

1. La ce nivel din cadrul organizaţiei raportează şeful departamentului de IT?

Cele trei departamente IT sunt separate şi raportează directorului Administrativ.

2. Cum este IT-ul organizat astfel încât să asigure o delimitarea a

responsabilităţilor şi continuitatea activităţii? (cum ar fi pe perioada concediilor)
Nu există o astfel de organizare

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din

informaţiile prezentate în secţiunea B? (3 riscuri)
1. Din modul în care este proiectată reţeaua poate apărea riscul apariţiei
fenomenului de bottle-neck (îngreunarea comunicării în reţeaua de date
datorită folosirii excesive a unei porţiuni prin care circulă date către toate
segmentele reţelei).
2. Din cauza lipsei unei metode de asigurare a continuităţii pot apărea blocaje în
sistemul IT.
3. Din cauza organizării departamentului IT pot apărea disfuncţionalităţi şi chiar
conflicte între cele două departamente de service IT.

C. Analiza aplicaţiei selectate

C.1. Accesul în aplicaţie

1. Cum este reglementat (limitat) accesul către funcţiile importante din mediul
IT? (administrator de baze de date, administrator de aplicaţie, administrator de reţea)
In cea mai mare parte nu este limitat.

2. Prezentaţi principalele setări de securitate ale sistemului (server de domeniu)

şi analizaţi completitudinea lor?
Nu există server de domeniu

4. Cum este monitorizat accesul în aplicaţie? (revizuire de loguri, revizuire de

listă de utilizatori)
 Nu este monitorizat accesul în aplicaţie

5. Prezentaţi şi analizaţi setările de parolă aferente aplicaţiei?

Aplicaţiile software folosite permit diferite nivele de acces la date, protejate prin parola.

6. Accesul utilizatorilor este autorizat şi creat corespunzător? (cine face cererea,

cine stabileşte drepturile, cine aprobă accesul, cine creează contul, cine notifică
plecarea angajatului din organizaţie)
Cererea este făcută de angajaţi.
Drepturile precum şi aprobarea accesului intră în atribuţiile şefilor departamentelor care
utilizează aplicaţiile.
Crearea şi gestiunea conturilor intră în atribuţiile departamentului IT de administrare a
sistemelor ERP

Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din

informaţiile prezentate în secţiunea C.1? (3 riscuri)
1. Posibilitatea efectuării de atacuri informatice într-un mod foarte facil datorită lipsei
securităţii
2. Posibilitatea accesului la datele secrete
3. Datorită lipsei oricărei monitorizări, nu se pot identifica încercările de penetrarea a
sistemului de securitatea folosit de aplicaţii

C.2. Gestionarea modificărilor aduse aplicaţiei

1. Cine şi cum iniţiază o modificare care să fie adusă aplicaţiei?

Angajaţii care utilizează aplicaţiile întocmesc un referat de necesitate în care descriu
modificările necesare

2. Cine aprobă modificarea pentru a fi dezvoltată?

Seful departamentului IT extern împreună cu directorul Administrativ

3. Cine şi cum monitorizează modificările aduse aplicaţiei?

Departamentului IT extern

4. Cine şi cum testează modificările dezvoltate? Cine aprobă migrarea dezvoltării

în producţie?
Departamentului IT extern
5 Cine şi cum monitorizează modificările aduse aplicaţiei?

Departamentului IT extern

6. Cum este asigurată delimitarea responsabilităţilor în cadrul procesului de gestionare a

modificărilor aduse aplicaţiei?
Nu este asigurată delimitarea responsabilităţilor

C.3. Alte informaţii

1. Cum se realizează backup-ul informaţiilor din aplicaţie? Cât de des este verificat backup-ul şi
cum?
Nu se realizează backup

2. Cum monitorizate şi rezolvate deviaţiile care apare în procesărilor programate? (transferuri,

scheduled task)
Nu există procesări programate
Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informaţiile prezentate în
secţiunea C.2 şi C.3? (3 riscuri)

Modul haotic în care se fac modificările aplicaţiilor, fără existenţa unui plan, poate duce
la:
1. Reducerea eficientei aplicaţiilor
2. Pierderea datelor
3. Investiţii care nu sunt cu adevărat necesare

Daţi exemple de minim trei întrebări care ar trebui să se regăsească în acest chestionar?

1.Consideraţi că aplicaţiile contribuie la îmbunătăţirea activităţii instituţiei ?

2. În opinia dvs. care sunt principalele puncte tari ale sistemului şi aplicaţiilor?
3. Care credeţi că sunt punctele slabe ?