IT AUDIT/IS

حسابرسی فناوری اطلاعات - سیستم های اطلاعاتی

امروزه فناوری اطلاعات یکی از توانمندسازهای کلیدی برای سازمان ها به شمار می آید و ارائه اکثر خدمات و اغلب محصولات بدون استفاده از این فناوری قابل تصور نیست. این فناوری گرچه فرصت های بیشماری برای صنایع به همراه دارد، لیکن تهدیدها و آسیب پذیری هایی را نیز ممکن است متوجه آنان نموده است. مدیریت موثر این تهدیدها مستلزم طراحی و اجرای موثر فرآیند مدیریت ریسک فناوری اطلاعات است. از سوی دیگر باید اطمینان حاصل شود که سرمایه گذاری های صورت گرفته در حوزه فناوری اطلاعات به نحو موثر برای سازمان ها اثربخشی به همراه داشته است. براین اساس حسابرسی فناوری اطلاعات یکی از ابعاد کلیدی حسابرسی داخلی است که اثربخشی فرآیندهای مدیریت ریسک فناوری اطلاعات را بررسی نموده، کارایی و اثربخشی و میزان تطابق فناوری اطلاعات با قوانین و مقررات را تضمین خواهد نمود.

اهداف
  • آشنایی با مفاهیم حسابرسی فناوری اطلاعات
  • شناخت چارچوب های کلیدی برای حسابرسی فناوری اطلاعات
  • آشنایی با ریسک ها و کنترل های فناوری اطلاعات
  • توانایی طرح ریزی و اجرای حسابرسی فناوری اطلاعات
پیش نیاز

آشنایی اولیه با مفاهیم ممیزی مبتنی بر استاندارد ISO 19011 و همچنین حاکمیت شرکتی و فناوری اطلاعات مبتنی بر چارچوب های COBIT & COSO نیاز می باشد.

مخاطبان

این دوره برای تمامی افراد ذیل جذاب می باشد. این افراد شامل موارد ذیل هستند:

  • مدیران ارشد
  • تحلیل گران
  • مدیران فناوری اطلاعات
  • مدیران طرح و برنامه
  • مدیران حسابرسی داخلی
سرفصل های دوره

Introduction

Trainers

Purpose of this course and applicability

Audience

Internal Audit in the Organizational Structure

Auditors’ Authorities

A sample best practice:

Information Systems Governance

Information Systems Governance Components

Information Systems Strategic Planning

Information Systems Governance Structures

Key Governance Roles and Responsibilities

Information Systems Committees

Information Systems Policy and Guidance

Documentation

Ongoing Monitoring

Information Systems Governance Challenges and Keys to Success

Portfolios, Projects, and Operations

System Development Life Cycle

Initiation Phase

Development/Acquisition Phase

Implementation Phase

Operations/Maintenance Phase

Disposal Phase

Security Activities within the SDLC

Awareness and Training

Awareness and Training Policy

Components: Awareness, Training, Education, and Certification

Awareness

Training

Education

Certification

Designing, Developing, and Implementing an Awareness and Training Program

Designing an Awareness and Training Program

Developing an Awareness and Training Program

Implementing an Awareness and Training Program

Post-Implementation

Monitoring Compliance

Evaluation and Feedback

Managing Change

Program Success Indicators

Incident Management

Performance Measures and SLA (internal / vendor)

Metric Types

Metrics Development and Implementation Approach

Metrics Program Implementation

Information Technology Contingency Planning

Step 1: Develop Contingency Planning Policy Statement

Step 2: Conduct Business Impact Analysis

Step 3: Identify Preventive Controls

Step 4: Develop Recovery Strategies

Step 5: Develop IT Contingency Plan

Step 6: Plan Testing, Training, and Exercises

Step 7: Plan Maintenance

Risk Management

Risk Assessment

Step 1 – System Characterization

Step 2 – Threat Identification

Step 3 – Vulnerability Identification

Step 4 – Risk Analysis

Control Analysis

Likelihood Determination

Impact Analysis

Risk Determination

Step 5 – Control Recommendations

Step 6 – Results Documentation

Risk Mitigation

Evaluation and Assessment

Security Violations

Incident Response

Preparation

Preparing for Incident Response

Preparing to Collect Incident Data

Preventing Incidents

Detection and Analysis

Containment, Eradication, and Recovery

Post-Incident Activity

Knowledge Management

SLA and Monitoring

Change Management

Change Initiation

Change CAB approval

Change Plan

Change Impact Analysis

Change Resources

Change Role back Plan

Emergency Change

Change Finalization

Retrospective Change

Configuration Management

CMDB

Baseline

Configuration Changes

Configuration Management Process

Procurement and Asset Management

Business Continuity Management

Network

Design

Boundaries of the Organization Digital Structure

Physical Boundaries and Security

Firewall

IDS/ IPS

IP Ranges

Access

Log / Audit Trail

Settings

Server Room

Spare Management

Application

Access Management

Responsibilities of Access Grantors

Credentials Propagation

Levels of Access

View of Pages

View/ Edit/ Delete of Categories

View/ Edit/ Delete of Sub-Categories

Requesting Access

Access Review

Access Revoke

Code Hardening

Maintenance

Versioning

Patch

User Friendly Design

Operating Systems controls

Access Management

Responsibilities of Access Grantors

Credentials Propagation

Levels of Access

Level

Intranet

Domains

Work groups

Internet

USB/ CD

Outgoing Emails

High Level Access

Local Admin

Domain Admin/ Enterprise Admin

Privilege

Read

Edit/ Update

Delete

Password Policy

Remote Access

Requesting Access

Access Review

Access Revoke

Antivirus

  • In house Systems
  • Temp Systems
  • Vendor Systems
  • gusts Systems

Authorized Applications

Patch Management

Audit Trails

Generation

Access

Retention

Review

Backup

Generation

Actual OS

Virtual OS

Test/ Restore

Access

Retention

Redundancy

Services

File Sharing

Folders

SharePoint

Database Controls

Access Management

Responsibilities of Access Grantors

Credentials Propagation

Levels of Access

Login / Account/ Database

Privilege

Read

Edit/ Update

Delete

Password Policy

Requesting Access

Access Review

Access Revoke

Database in the Domain

Patch Management

Audit Trails

Generation

Access

Retention

Review

Backup

Generation

Actual OS

Virtual OS

Test/ Restore

Access

Retention

Redundancy

Sources of Data/ Raw Data

APM

RACI

Mandate

Auditing Process Background

Objectives

Risks and Control Criteria

Scope

Scope Exceptions

Review Approach

Reporting

Key Audit Team Contacts

Opening Meeting

Scope

Initial Documents

Auditee Contact People

Audit Plan

Risks

Best Practices

Actual Business Practices

Adequacy Check

Audit Test

Test Result

Residual Risk

Execution of testing

Communication

Info Request/ Gathering

Evidences

Analysis

Intervals of Information

Info generators vs Info users

Analysis Tools

Involvement of Managers

Test Result Documentation

Completeness and accuracy

Referencing and Evidence

Report

Drafting

Management Exit Meeting

Describing

Action Plan

Scheduling

Higher Manager (CEO) Exit Meeting

Describing Major Items

Review and Confirmation of Action Plan

Review and Confirmation of Scheduling

Report Finalization

Reporting to Board of Directors

Follow Up

اعتباردهنده و مرجع علمی

دردوره هاي Non-Accredit شركت كنندگان در دوره هاي آموزشي ازسوي مرجع اعتبار دهی IT HOUSE گواهي حضوردردوره ي آموزشي دريافت خواهند نمود.

درباره مدرس

تماس بگیرید

مسیرآموزشی

ندارد

به اشتراک گذاری بر روی whatsapp
به اشتراک گذاری بر روی email
به اشتراک گذاری بر روی linkedin
به اشتراک گذاری بر روی telegram
به اشتراک گذاری بر روی facebook

دوره های مرتبط:

محصولات مرتبط

زمان باقیمانده جهت ثبت‌نام

00
D
00
H
00
M
00
S

برای دانلود لطفا ایمیل خود را وارد نمایید .

شرکت دوره

به منظور ارسال درخواست ثبت‌نام، لطفا فرم زیر را با دقت تکمیل نمایید.

همکاران ما در اسرع وقت با شما تماس خواهند گرفت.