چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی

قسمت دوم

ادامه قسمت اول :

کنترل های سازماندهی و مدیریت فناوری اطلاعات :

کنترل های سازماندهی و مدیریت فناوری اطلاعات این اطمینان را به وجود می آورند که سازمان با خطوط گزارشگری و مسئولیت هایی که به روشنی مشخص شده اند ساختارمند شده و فرایندهای کنترل بگونه ای موثر و کارآمد از سه جنبه ی تفکیک وظایف – کنترلهای مالی – کنترلهای مدیریت به شرح ذیل بدرستی اجرا میشوند. 

  1 - آیا تفکیک مناسب وظایف فناوری اطلاعات این اطمینان را بوجود می آورد که هیچ فردی به تنهایی نمی تواند با استفاده از سیستم ، هم مرتکب خطا و تقلب شود و هم آن را پنهان نماید؟

2 -آیا وظیفه ورود اطلاعات – پردازش – آزمون داده ها از یکدیگر به درستی تفکیک شده است؟

3 -آیا مجوز دسترسی به اطلاعات سیستم متناسب با مسئولیتهای افراد ، برای دسترسی و پردازش اطلاعات بدرستی طبقه بندی شده است؟

4 -آیا بهینه سازی و توسعه سیستم توسط افرادی غیر از مسئولین اجرای سیستم انجام می گیرد ؟

5- آیا مسئولین راه اندازی سیستم تنها وظیفه تغییر در نرم افزارها و سیستم ها را بر عهده دارند و محدودیتهایی جهت این کار برای ایشان در نظر گرفته شده است؟

6-آیا بازده سرمایه گذاری انجام شده در فناوری اطلاعات ، بازده مناسب و مورد انتظار بوده و صرفه جویی در هزینه ها با استفاده از سیستم جدید توسط حسابداری مدیریت تحلیل و گزارش می شود؟

7-آیا انجام هزینه های جدید جهت بهینه سازی سیستم واجرای سیستمهای اطلاعاتی جدید ، قبلاً بررسی و میزان صرفه آن مشخص شده است؟

8 -ایا هرگونه تغییرات اساسی در سیستم های فناوری اطلاعات پس از اخذ مجوز لازم از سرپرست انجام شده است؟

9 -آیا نتایج حاصل از تغییرات بصورت مدون به مدیریت گزارش شده است؟

10-آیا تغییرات ایجاد شده نتایج مطلوبی به همراه داشته و این موضوع به اطلاع سرپرست رسانده شده است ؟

11-آیا منابع فناوری اطلاعات در اطاقهای بسته قرار دارند و دسترسی به آنها محدود شده است؟

12 - آیا تجهیزات مناسب اعلام و اطفاء حریق در محل نصب شده است ؟

13 - آیا پیش بینی لازم جهت حفاظت امکانات و تجهیزات فناوری اطلاعات از ریسکهای محیطی نظیر سیل ، زلزله ، مواد قابل اشتعال و حساس به نور آفتاب و .... انجام شده است؟

14 -آیا اقدامات مناسب جهت بهینه سازی ، توسعه و آزمایش برنامه های پوششی برای مقابله با رویدادهای ناگوار انجام شده است ؟

15-آیا تخصیص دسترسی به سیستمها براساس سیاستهای سازمان انجام شده است ؟

16 -آیا کنترلهای آنلاین ترکیب بندی هایی که تفکیک مناسب وظایف را انجام می دهند ، اعمال شده است ؟

17 - آیا ورودی های غیر مجاز به سیستم در فواصل معین کنترل می شود ؟

18- آیا اقدامات لازم جهت جلوگیری از ورود غیر مجاز به سیستم انجام و موارد شناسایی وگزارش می شود ؟

19 - آیا روشهای دقیق و سیستماتیک جهت ردیابی و کنترل تغییرات سیستم انجام میگیرد ؟

سیستمهای کاربردی که در درون سازمان توسعه و برنامه ریزی شده اند و یا از فروشنده خارج از سازمان خریداری میگردند ، باید اطلاعات را به گونه ای موثر و کارآمد و مطابق با الزامات استفاده کنندگان پردازش نمایند و اطمینان نسبی نسبت به اجرای موارد ذیل بدست آید :

1- آیا الزامات استفاده کنندگان و سنجش میزان دستیابی به این الزامات مستند شده است ؟

2 - آیا فرایند طراحی رسمی سیستمها به منظور حصول اطمینان از اینکه الزامات استفاده کنندگان تحقق می یابند و کنترلها به گونه ای مناسب در نرم افزار ها نصب میشوند اجرا شده است ؟

3 - آیا برای حصول اطمینان از اینکه عناصرخاص و ارتباط درون سیستم به خوبی کارکرده و قابلیت های مورد نظر به نحوه مناسب ارائه می دهند آزمون انجام شده و کاربران با موضوع درگیر شده اند؟

4 - آیا تغییرات اساسی در برنامه ها و آزمون تغییرات قبل از اجرای برنامه انجام می شود ؟

5 - آیا داده های وارده به سیستم معتبر کامل و درست است ؟

6 - آیا داده های خارج شده از سیستم مطابق با آنچه مورد نظر است پردازش می شود ؟

7 - آیا داده های ذخیره شده کامل و درست هستند ؟

8 -آیا خروجی ها کامل و درست می باشند ؟

9 -آیا انتقال داده ها در سیستم ثبت می شود ؟

10-آیا کنترلهای ورودی طوری طراحی شده اند تا صحت داده های وارده به سیستم را آزمون نمایند ؟

11-آیا کنترلهای پردازش طوری طراحی شده اند تا اطمینان حاصل شود که پردازش داده ها معتبر ، کامل و درست هستند ؟

12- آیا کنترلهای خروجی طوری طراحی شده اند تا معتبر بودن ، کامل و درست بودن خروجی های برنامه را مورد آزمون قرار دهند و این اطمینان حاصل شود که خروجی ها فقط به دست دریافت کنندگان مورد نظر میرسد ؟

13-آیا رسیدگی های حسابرسی مدیریت را قادر می سازد تا رویدادها را از آغاز فرایند تا انتها و از انتها تا شروع فرایند ردیابی نماید ؟

کنترل های امنیت اطلاعات :

کنترل های امنیت اطلاعات جزء لاینفک کنترلهای فناوری اطلاعات بوده وسیستم را از دسترسی های فیزیکی و غیر مجاز حفاظت می نماید . کنترلهای دسترسی فیزیکی ، امنیت را بر منابع مشهود فناوری اطلاعات ، بر قرار می کند و به جهت حصول اطمینان نسبی می بایست موارد ذیل کنترل شود .

1 -آیا اقدامات امنیتی لازم نظیر قفل زدن به دربها ، نصب دوربین های نظارت کننده ، محافظان امنیتی در حد کفایت انجام شده است ؟

 2- آیا کنترلهای دسترسی منطقی ، امنیت نرم افزار ها و اطلاعات نصب شده در سیستم برقرار می کنند ؟

3- آیا اقدامات امنیتی نظیر دیوار آتش ، رمزگذاری ، ثبت شناسه کاربران ، رمز های عبورتغییر کننده ، جداول دسترسی های مجاز و ثبت عملیات انجام شده درسیستم بدرستی انجام شده است ؟

4- آیا هرگونه نقاط ضعف در کنترل های امنیت اطلاعات که اثر بخشی سایر کنترلهای مربوط به نظام راهبری فناوری اطلاعات ، مدیریت و کنترلهای فنی را به خطر می اندازد ، شناسایی و به مقام مسئولی گزارش می شود ؟

5- آیا فرایند نظام راهبری فناوری اطلاعات بدرستی اجرا می شود و اهداف و استراتژیهای سازمان را پشتیبانی می کند ؟

6- آیا ریسکهای سیستمهای اطلاعاتی سازمان بدرستی شناسایی و اندازه گیری می شود ؟

7- آیا کفایت و اثر بخشی کنترلها در واکنش به ریسکهای پیش روی سیستمهای اطلاعاتی سازمان ، ارزیابی می شود

اهمیت سیستم مکانیزه در شرکت مورد رسیدگی :

با توجه با لزوم تهیه و راه اندازی سیستم یکپارچه (ERP) واستفاده از مزایای عمده نرم افزار که مهمترین آنها افزایش سرعت و دقت پردازش اطلاعات ، کاهش هزینه و یکپارچگی آن میباشد ، به جهت حصول اطمینان نسبی از نحوه اجرای سیستم جدید در شرکت می بایست موارد ذیل کنترل شود .

1- آیا نیاز سنجی سیستمی کلیه حوزه ها قبل از راه اندازی سیستم های مکانیزه انجام شده است؟

2 -آیا انتقال اطلاعات از سیستم های قبلی ( اینفورمیکس –اوراکل) بصورت کامل صورت پذیرفته است ؟

3-آیا تدابیر لازم در خصوص جلوگیری از سرقت اطلاعات از سیستم یکپارچه ERP صورت پذیرفته است ؟

4 -آیا نسخه ای از آخرین تغییرات نرم افزاری در مدیریت توسعه سیستم های کاربردی نگهداری می شود؟

5 -آیا تدابیر لازم در خصوص کفایت میزان فضای ذخیره سازی اطلاعات انجام شده است ؟

6 -آیا تدابیر لازم در خصوص کپی و استفاده غیر مجاز از نرم افزارهای پارس خودرو انجام شده است ؟

7 -آیا از کارکنان کلیدی بخش فرایندی اطلاعات تعهد خدمت اخذ گردیده است ؟

8 -آیا وظایف اپراتور ،برنامه نویس ، بایگان و دیگر کارمندان به نحو مناسبی تفکیک و به ایشان اعلام شده است ؟

9 -آیا ارائه دسترسی به سیستم مکانیزه بر اساس ضوابط و دستور مدیریت واحد ارائه میگردد؟

10 -آیا امکان ارتقاء یا اصلاح برنامه های سیستم یکپارچه erp در سالهای بعد پیش بینی شده است ؟

11 -آیا جهت دسترسی به سیستم ها تعداد گروه کاربری ایجاد و برای هر گروه محدوده دسترسی خاصی مشخص شده است ؟

12- آیا هر یک از کاربران در گروه کاربرای ایجاد شده ، در گروه مخصوص خود قرار دارند و با تغییر مجوز دسترسی هر گروه کلیه کاربران آن گروه مشمول تغییر مجوز دسترسی میشوند؟

13- آیا ضوابط و روشهای ایمنی محافظت از دسترسی به اطلاعات و سیستم مکانیزه به کلیه کاربران آموزش داده شده است؟

14 - آیا ثبت اطلاعات بوسیله حوزه های مختلف پس از ارائه سیستم مربوطه توسط برنامه نویسان کنترل و گزارش گردیده است ؟

15-آیا سازگاری یا عدم سازگاری برخی از نرم افزارها به صورت موردی با سیستم یکپارچه شرکت آزمایش گردیده است ؟

16- آیا از دستورالعمل ها و آیین نامه ها و روش های اجرایی داخلی شرکت جهت بهینه نمودن سیستم های مکانیزه استفاده گردیده است

17- آیا تدابیر لازم جهت تهیه آیین نامه ، دستورالعمل و روش های اجرایی جدید با توجه به نوع نیاز سیستم مکانیزه صورت گرفته است ؟

18-آیا آموزش های لازم توسط شرکت مجری سیستمبه پرسنل حوزه طرح و برنامه جهت رفع نیازهای ضروری ارائه گردیده است ؟

19 - آیا اطلاعات هم در زمان بایگانی بودن آن در حافظه و انباره ها و هم در زمان انتقال در مسیرهای انواع شبکه های کامپیوتری محافظت میشود؟

20 - آیا درجه بندی ایمنی شبکه طبق استاندارد های درجه بندی ایمنی در حد مطلوب صورت پذیرفته است؟

21- آیا از کارکنان کلیدی بخش فرایندی اطلاعات تضامین کافی اخذ گردیده است ؟

22 - آیا در فواصل زمانی معین و مشخص از همه اطلاعات مهم نسخه پشتیبان (Backup) تهیه میگردد؟

23-آیا نسخه پشتیبان تهیه شده در محل مناسب و ایمن بایگانی و محافظت می شود ؟

24-آیا نصب نرم افزار مناسب برای نظارت بر شبکه جهت عدم نفوذ و خرابکاری انجام شده است ؟

25- آیا پرونده ثبت وقایع نرم افزارهای نظارت بر شبکه در فواصل زمانی مناسب مورد بررسی دقیق قرار گرفته است

26-آیا آزمایش درجه ایمنی شبکه پارس خودرو در فواصل معین انجام می شود ؟

27- آیا تاییدیه اصالت نرم افزارهای اجراشده در شرکت از شورای عالی انفورماتیک ایران توسط شرکت مجری اخذ و ارائه شده است ؟

28 -آیا شناسنامه نرم افزاری سیستم یکپارچه ERP (کلیه اطلاعات سیستم بصورت کامل) تهیه گردیده است ؟ 

29-آیا برخی از گزارشات ایجاد شده از لحاظ برنامه نویسی و فرمت گزارش با الگو برداری از سیستم های قبلی انجام شده است ؟

30-آیا گزارشات ایجاد شده کلیه نیازهای کاربران را پاسخگو و کامل می باشد؟

31-آیا در یک مقطع زمانی مشخص موازی کاری سیستم قبلی(اوراکل) و سیستم جدید ( ERP) انجام شده و خروجی های آنها با هم مقایسه و خطای ( bug ) احتمالی اصلاح و رفع گردیده است ؟

32-آیا ثبت اطلاعات در سیستم مکانیزه ERP (در صورت داشتن چندین اپراتور ثبت )جهت پیگیری و ردیابی اشتباهات و اطلاعات ثبت شده و . . . توسط اپراتور مربوطه مشخص می باشد؟

33 -آیا تدابیر لازم جهت ایجاد گزارشات با اهمیت وکاربردی از گزارش ساز به ERPانجام شده است ؟

34 - آیا زمان و سرعت دریافت گزارشات و ذخیره اطلاعات بررسی و در حد معقول می باشد ؟

35-آیا مکاتبات لازم در خصوص اختتام فاز اول پروژه(MIS) ، سیستم های مکانیزه ERP توسط مدیر پروژه بمنظور درج در سیستم حسابداری(بابت ثبت استهلاک )و جمعداری اموال (بابت تخصیص کد دارایی) صورت پذیرفته است؟

طبق استاندارد ایران – ایزو –آی ای سی -27001

1- آیا انجام ممیزی های داخلی سیستم مدیریت اطلاعات در فواصل زمانی طرح ریزی شده است؟

2-آیا سند خط مشی امنیت اطلاعات توسط مدیریت تصویب و منتشر و به اطلاع همه کارکنان و طرفهای مرتبط بیرونی رسیده است ؟

3-آیا انعقاد قراردادهای مربوط به سیستم اطلاعاتی به صورت کامل (پرهیز از نقض هر نوع قانون،مقررات ، الزامات آیین نامه ای و قراردادی و هر الزام امنیتی انجام شده است ؟

منابع :

- نشریه های شماره 73 – 83 – 91 – 116 – 130 و 152 سازمان حسابرسی مرتبط با نحوه ارزیابی کنترلهای داخلی در سیستمهای اطلاعاتی و فناوری اطلاعات .

-  استانداردهای حرفه ای ، توصیه های عملی و رهنمودهای مرتبط با حسابرسی جامع و یکپارچه فناوری اطلاعات مندرج در فصل هفتم  ( ریسک ها و کنترلهای فناوری اطلاعات ) نشریه انجمن حسابرسان داخلی ایران ( حسابرسی داخلی – خدمات اطمینان بخش و مشاوره ) .

- استاندارد ایران – ایزو –آی ای سی -  27001

موفق باشید

چک لیست شناسایی ریسک ها و روشهای کنترل سیستمهای اطلاعاتی

     نظام راهبری فناوری اطلاعات ، فرآیندی است که توسط هیات مدیره و به منظور تفویض اختیار ، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی به هدفهای سازمان ایجاد می گردد و به جهت دستیابی به اطمینان نسبی از صحت اجرای آن و شناسائی و کنترل رویدادهای مبهم (ریسکها و فرصتها) که می توانند سازمان را در دستیابی به اهداف خود تحت تاثیر قرار دهند می بایست نکات قابل توجه و موارد با اهمیت به شرح ذیل بررسی و نتایج جهت اصلاح فرآیند به مدیریت ارشد گزارش شود .

فرصـتها : عبارت از شـرایطی است که در آن ، رویدادهایی اتفاق می افتد و اثرات مثبت و مطلوبی بر هدفهای ســازمان می گذارد .

ریسکها : عبارت است رویدادهایی است که در صورت وقوع آنها ، اثرات منفی و نا مطلوبی بر دستیابی به هدفهای سازمان باقی میگذارد.

فرصتهای ناشی از ایجاد فناوری اطلاعات :

*  فروش کالا به صورت آنلاین       

* سیستمهای برنامه ریزی منابع سازمانی(یکپارچه سازی فرایند های سازمان – پردازش آنلاین و همزمان معاملات – تصمیم گیری به موقع و دقیق)

*  مبادله الکتریکی داده ها( پردازش موثر و کارامد رویدادها با ریسک کمتر- جا بجایی اطلاعات با کمترین هزینه و بیشترین سرعت)

ریسکهای ناشی از ایجاد فناوری اطلاعات :

·                قطع برق و ایجاد وقفه

·                رهگیری و سرقت اطلاعات

·                ارائه اطلاعات نادرست به دلیل برنامه ریزی غلط

·                تاخیر در اجرای برنامه های توسعه ای و افزایش بی رویه هزینه ها

·                تاخیر در تصمیم گیری بدلیل عدم دسترسی بموقع به سیستم

·                ریسک دسترسی فیزیکی غیر مجاز به سیستم که باعث بروز خسارت شود

·                ریسک افشای غیر مجاز اطلاعات محرمانه

·                عدم وجود فیلتر یا حذف فیلتر به جهت سوء استفاده از اطلاعات

·                افزایش ریسک اطلاعاتی به جهت ارائه اطلاعات نادرست توسط سیستم

·                استفاده از فناوری اطلاعات جهت پوشش تخلفات افراد

·                انتخاب ریسک ( انتخاب راه حل نا مناسب توسط تصمیم گیرندگان فاقد صلاحیت)

·                ایجاد وقفه در فرایند انجام کار بدلیل نقص سخت افزاری یا نرم افزاری

·                ریسک قابل اعتماد بودن سیستم و صحت اطلاعات آن که منجر به تصمیم نامناسب میگردد

·                ریسک تقلب وعملیات مخرب و سرقت منابع فناوری اطلاعات

·                 استفاده نادرست یا تحریف اطلاعات

نظام راهبری فناوری اطلاعات :

فرایندی است که توسط هیئت مدیره و به منظور تفویض اختیار، هدایت و نظارت بر فرآیند مدیریت ، در جهت دستیابی هدفهای سازمان انجام می شود و جزو مسئولیتهای هیئت مدیره و مدیریت اجرایی است .. نظام راهبری فناوری اطلاعات شامل رهبری ، ساختار سازمانی و فرآیند هایی است که فناوری اطلاعات به وسیله آنها اهداف و استراتژیهای سازمان را تداوم می بخشد و از آنها پشتیبانی می کند . هدف از نظام راهبری فناوری اطلاعات ، تلاش برای اطمینان یافتن از اینکه عملکرد فناوری اطلاعات بگونه ای اجرا می شود که اهداف مشروح ذیل تحقق یابند :

1- آیا فناوری اطلاعات با فعالیتها و تحقق منافع پیش بینی شده سازمان ، همسو و هم جهت می باشد ؟

2- آیا استفاده از فناوری اطلاعات ، شرکت را قادر می سازد تا از امکانات و فرصتها بهره برداری نماید و منافع شرکت را به حداکثر برساند ؟

3- آیا استفاده مسئولانه از منابع فناوری اطلاعات انجام می شود ؟

4- آیا مدیریت ویژه فناوری اطلاعات مبتنی بر ریسک در شرکت انجام می گیرد ؟

مدیریت ریسک در حوزه فن آوری اطلاعات :

فرایندی است که توسط مدیریت به منظور شناسایی و کنترل رویدادهای مبهم و نا مطمئن ( ریسکها و فرصتها ) که می توانند توانایی سازمان را در دستیابی به اهدافش تحت تاثیر قرار دهند اعمال می شود.

عناصر اصلی مدیریت ریسک شامل محیط داخلی – تدوین اهداف – شناسایی رویدادها – ارزیابی ریسک – واکنش ریسک – فعالیتهای کنترلی – اطلاعات و ارتباطات – نظارت می باشد . کنترلهای فناوری اطلاعات شامل کنترلهای عمومی و کاربردی می شوند که کمک میکنند تا اطمینان نسبی نسبت به رعایت موارد ذیل در شرکت ایجاد گردد .

1- آیا امنیت و حفظ حریم خصوصی فناوری اطلاعات بدرستی رعایت می شود ؟

2-آیا طبقه بندی اطلاعات و حقوق دسترسی به اطلاعات و محدودیتهای استفاده از اطلاعات انجام شده است ؟

3-آیا لیست نفراتی که مسئولیت سیستمهای سازمان و داده ها را برعهده دارند و کسانی که مجاز به ایجاد و تغییر یا حذف اطلاعات می باشند مشخص شده است ؟

4- آیا استفاده کنندگان نهایی سیستم اطلاعات مجاز به توسعه و بهبود کاربردهای فناوری اطلاعات خود هستند ؟

5- آیا روش خاصی جهت بررسی صلاحیت کارکنان جدید حوزه فناوری اطلاعات ، وکنترل کارکنان ، امنیت ، مسئولیتهای محرمانه بودن اطلاعات وجود دارد ؟

6- آیا برنامه ریزی مستمر جهت به روز رسانی فعالیت های تجاری در سیستم انجام می شود ؟

کنترلهای مدیریت فن آوری اطلاعات :

مدیریت مسئولیت دارد تا اطمینان به وجود آورد که کنترلهای فناوری اطلاعات ، به گونه ای مناسب طراحی و بصورت موثر و کار آمد اجرایی می شوند ، اهداف سازمان ، ریسکهایی که دستیابی به این هدفها را تهدید می کنند و فرآیندها و منابع تجاری سازمان بدرستی مورد توجه قرار می گیرند . استانداردهای فناوری اطلاعات پشتیبانی کننده کلیه مواردی است که برای دستیابی اهداف سازمان مورد نیاز می باشد . این استانداردها باید موارد ذیل را پوشش دهند :

1-آیا فرآیند های طراحی ، بهینه سازی ، آزمون ، اجراء و حفظ و حراست سیستمهای اطلاعاتی و نرم افزار ها بدرستی رعایت شده است ؟

2-آیا ترکیب بندی فعالیت های سازمان ، ایجاد شبکه و سیستمهای مدیریت بانکهای اطلاعاتی به نحو مناسب انجام شده است ؟

3- آیا کنترل های کاربردی انجام شده در سطح سازمان شامل شناسایی داده های قوی و باثبات و مستند کردن مناسب آنها بدرستی انجام شده است ؟

ادامه دارد . . .