Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane.
Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.
Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych — jak analiza ryzyka czy test penetracyjny.
Normą zawierającą wytyczne odnośnie prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A.
Jednym z certyfikatów, potwierdzających posiadanie wiedzy w zakresie audytu systemów informatycznych, jest certyfikat CISA wydawany przez międzynarodową organizację ISACA.
Zakres Audytu Bezpieczeństwa IT jakie możemy zrealizować dla Państwa:
- Bezpieczeństwo fizyczne infrastruktury IT (polityka bezpieczeństwa, fizyczna kontrola dostępu, systemy zasilania)
- Bezpieczeństwo w sieciach komputerowych
(zapory sieciowe, testy, ochrona DoS i DDoS, Firewalle)
- Monitorowanie sieci komputerowych
- Kontrola dostępu do sieci
- Kontrola dostępu do aplikacji
- Ochrona antywirusowa serwerów i stacji roboczych
- Ochrona danych
(kopie zapasowe, szyfrowanie nośników, systemy DLP, antyphishing)
- Bezpieczeństwo poczty elektronicznej
- Ochrona dostępu do sieci web
Audyt obejmuje szereg działań, zależnych od danego systemu i sytuacji. Są to:
- Ocena potencjalnych zagrożeń we wszystkich sferach funkcjonowania organizacji – analiza ryzyka,
- Testy penetracyjne,
- Testy odtworzeniowe kopii zapasowej,
- Analiza konfiguracji urządzeń,
- Określenie środków i przedsięwzięć z zakresu bezpieczeństwa,
- Wskazanie kierunków polityki bezpieczeństwa i strategii jej realizacji,
- Analiza dokumentacji w zakresie bezpieczeństwa informatycznego.