Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Conduire une mission audit si 1

Introduction La dépendance accrue vis-à-vis des actifs des systèmes d'information pour l'exécution des fonctions critiques d'une organisation a renforcé la nécessité d'utiliser les audits des systèmes d'information comme contrôle pour garantir la con ?dentialité l'intégrité et la disponibilité des ressources des systèmes d'information Les principaux problèmes auxquels un auditeur de systèmes d'information est confronté sont le biais technologique apparent du sujet l'absence d'approche d'audit normalisée et le manque de disponibilité de listes de contrôle normalisées QUESTIONS IMPORTANTES DE SÉCURITÉ DANS LES BANQUES Les problèmes de sécurité importants impliqués dans un audit des systèmes d'information d'une banque ainsi que d'autres organisations sont les suivants Gestion des accès utilisateurs L'auditeur doit véri ?er les deux points suivants L'existence de procédures formelles contrôlant l'attribution des droits d'accès aux utilisateurs individuels Les procédures doivent couvrir tout le cycle de vie de l'accès des utilisateurs de l'enregistrement de nouveaux utilisateurs à la désinscription Enregistrement de l'utilisateur L'auditeur des systèmes d'information doit con ?rmer si le processus et la politique d'enregistrement des utilisateurs comprennent les domaines suivants Utilisation d'identi ?ants d'utilisateur uniques a ?n qu'un utilisateur puisse être identi ?é à partir de l'identi ?ant utilisé pour accéder aux ressources du système d'information Les identi ?ants de groupe ne doivent être attribués que lorsque la nature du travail à e ?ectuer l'exige Les ID de groupe sont utilisés par plusieurs personnes et sont généralement attribués lorsque l'utilisateur récupère principalement des informations et n'en saisit aucune Un exemple d'un tel pro ?l est celui d'un auditeur Le coût des licences individuelles peut également motiver l'audité à attribuer des ID de groupe a ?n qu'au lieu d'un seul utilisateur accédant à la ressource plusieurs utilisateurs puissent y accéder avec le même ID Les ID utilisateur dé ?nis par le système obligent souvent une organisation à les utiliser comme ID de groupe Par exemple si l'ID d'administrateur système dé ?ni par le système est admin ? toutes les personnes qui doivent utiliser les fonctionnalités administratives de l'application seront obligées d'utiliser le même ID C Le propriétaire de l'actif doit autoriser des utilisateurs spéci ?ques à utiliser l'actif Le niveau d'accès accordé est conforme aux exigences fonctionnelles de l'utilisateur et est aligné sur la politique de sécurité du système d'information de l'audité Les utilisateurs doivent signer une déclaration contenant leurs droits d'accès respectifs et accepter les conditions d'utilisation Aucune ressource système n'est rendue accessible à quiconque avant la ?n de la procédure d'autorisation Toutes les autorisations d'accès accordées sont documentées Les droits d'accès sont supprimés dès que l'utilisateur n'a plus besoin d'un tel accès et en particulier lorsque l'utilisateur a quitté l'organisation Les ID utilisateur et les comptes redondants sont identi ?és périodiquement et supprimés Ces ID utilisateur redondants ne sont pas réémis aux autres utilisateurs avant l'expiration d'un délai spéci ?que Dans les cas d'identi ?ants génériques cela peut ne pas être possible et des précautions supplémentaires doivent être prises pour réinitialiser le mot de passe utilisé par l'utilisateur précédent Les contrats de travail et les contrats de prestataires