Kritéria hodnotenia    bezpečnosti

Analýza rizík

Kritéria hodnotenia  bezpečnosti IS

Audit informačného systému

Copyright © Marek Lednický, 2006. All Rights Reserved

Audit informačného systému

     Audit informačného systému je prostriedkom, pomocou ktorého organizácia získava nezávislé posúdenie skutočného stavu informačného systému. Možno ho chápať ako odborné posúdenie koncepcie, návrhu, riešenia a samotnej rutinnej prevádzky informačného systému organizácie z hľadiska jeho schopnosti plniť povinnosti ukladané zákonnými normami i vnútornými požiadavkami organizácie na ochranu spracovávaných údajov, ako aj na spoľahlivosť prevádzky informačného systému ako celku. Pochopiteľne, okrem auditu informačného systému ako celku je možné takéto overenie zamerať len na niektorú podoblasť informačného systému.
     Okrem základných prvkov priamej ochrany informačného systému, ich existencie a kvality z hľadiska bezpečnosti, sa v rámci vykonávania auditu informačného systému posudzujú aj ďalšie faktory, ktoré ovplyvňujú celkovú úroveň bezpečnosti a spoľahlivosti prevádzky posudzovaného systému. Tieto faktory by sme mohli rozdeliť nasledovným spôsobom:

• Koncepcia bezpečnosti informačného systému,
• Technické a programové riešenie informačného systému a organizácia jeho vývoja,
• Vnútorné kontrolné mechanizmy informačného systému,
• Prevádzka informačného systému,
• Zabezpečenie prenosov dát v rámci informačného systému,
• Dátové prepojenie informačného systému s externými subjektami z hľadiska zabezpečenia integrity a autenticity údajov,
• Vnútorná legislatíva organizácie vo vzťahu k zaisteniu ochrany údajov a spoľahlivosti prevádzky informačného systému,
• Riadenie bezpečnosti informačného systému,
• Fyzická a požiarna ochrana informačnéhosystému,
• Pripravenosť na riešenie mimoriadnych situácií s dopadom na funkčnosť informačného systému a schopnosť organizácie plniť svoje záväzky,
• Zálohovanie, archivácia a likvidácia údajov,
• Údržba technických a programových prostriedkov systému,
• Vnútorná kontrolná činnosť organizácie vo vzťahu k zaisteniu ochrany dát spoľahlivosti prevádzky informačného systému,
• Monitorovanie prevádzky informačného systému, detekcia neoprávnených aktivít,
• Ľudský faktor, napríklad podmienky, v ktorých pracujú používatelia systému, a ktoré vplývajú na chybovosť ich práce, možnosti odborného vzdelávania kľúčových pracovníkov ovplyvňujúcich prevádzku, alebo charakter riešenia systému alebo jeho častí, či motivácia pracovníkov na pozíciách, ktoré sú kľúčové pre zabezpečenie ochrany údajov a spoľahlivosti prevádzky informačného systému, stotožnenie sa týchto pracovníkov s organizáciou a jej poslaním.

     Audit informačného systému by uvedené faktory mal posudzovať nielen z hľadiska ich okamžitého či bezprostredného efektu, ale aj z hľadiska možných dôsledkov v budúcnosti.