पिछला

ⓘ सूचना सुरक्षा ऑडिट लेखापरीक्षा. सूचना सुरक्षा लेखा परीक्षा में एक संगठन, सूचना सुरक्षा के स्तर पर एक लेखा perekhodit है. अंकेक्षण सूचना सुरक्षा के व्यापक दायरे ..


                                     

ⓘ सूचना सुरक्षा ऑडिट(लेखापरीक्षा)

सूचना सुरक्षा लेखा परीक्षा में एक संगठन, सूचना सुरक्षा के स्तर पर एक लेखा perekhodit है. अंकेक्षण सूचना सुरक्षा के व्यापक दायरे में कई प्रकार की लेखा परीक्षा, विभिन्न आडिट कई उद्देश्य के लिए आदि । हैं| आम तौपर लेखा परीक्षा से बाहर किया जा रहा है पर नियंत्रण तकनीकी, शारीरिक और प्रशासनिक में वर्गीकृत किया जा सकता है. अंकेक्षण सूचना सुरक्षा डेटा केंद्रों की भौतिक सुरक्षा की लेखा परीक्षा से लेकर के डेटाबेस तार्किक सुरक्षा लेखा परीक्षा के लिए विषयों को शामिल, और इन क्षेत्रों के लेखा परीक्षण के लिए अलग तरीकों की तलाश करने के लिए प्रमुख घटकों पर प्रकाश डालती है.

जब सूचना सुरक्षा के पहलुओं पर ध्यान केंद्रित हो सकता है यह एक सूचना प्रौद्योगिकी लेखापरीक्षा के भाग के रूप में देखा जा सकता है । यह अक्सर तो एक सूचना प्रौद्योगिकी सुरक्षा लेखा परीक्षा या एक कंप्यूटर सुरक्षा लेखा परीक्षा के रूप में जाना जाता है. हालांकि, सूचना सुरक्षा से यह अधिक है ।

                                     

1.1. Adetlerini प्रक्रिया. लेखा परीक्षा योजना और तैयारी. (Audit planning and preparation)

डेटा सेंटर की समीक्षा करने से पहले एक लेखा परीक्षक के लिए कंपनी और अपने महत्वपूर्ण व्यापार गतिविधियों में पर्याप्त जानकारी प्रदान की जानी चाहिए. डेटा सेंटर के लक्ष्य को महत्वपूर्ण जानकारी और प्रक्रियाओं की सुरक्षा और अखंडता को बनाए रखने, जबकि व्यापार के अद्यतन के साथ डेटा सेंटर की गतिविधियों गठबंधन करने के लिए. पर्याप्त रूप से करने के लिए निर्धारित करें कि क्या क्लाइंट के लक्ष्य को हासिल किया जा रहा है या नहीं, लेखा परीक्षक की समीक्षा किया जा रहा से पहले नीचे बांध पर ध्यान देना चाहिए:

  • डेटा केंद्र के कर्मचारियों के काम के विवरण की समीक्षा.
  • वर्तमान में यह संगठन चार्ट की समीक्षा.
  • डेटा सेंटर आपदा वसूली की योजना की समीक्षा.
  • चिंता के बारे में एक समीक्षा संभावित क्षेत्रों का निर्धारण करने के लिए यह प्रबंधन करने के लिए हमें.
  • कंपनी की नीतियों और प्रक्रियाओं की समीक्षा.
  • डेटा सेंटर के लिए काम के भीतर सभी ऑपरेटिंग सिस्टम, सॉफ्टवेयर अनुप्रयोग और डेटा सेंटर उपकरणों के अनुसंधान.
  • कंपनी का यह बजट और प्रणालियों नियोजन प्रलेखन का मूल्यांकन.
                                     

1.2. Adetlerini प्रक्रिया. लेखा परीक्षा के उद्देश्यों की स्थापना. (Audit objectives of the establishment of the)

कॉर्पोरेट डेटा सेंटर में समीक्षा करने के लिए अगले कदम तब होता है जब लेखा परीक्षक डेटा सेंटर लेखा परीक्षा के उद्देश्यों को रेखांकित करता है. लेखा परीक्षकों कई कारकों पर विचार करते हैं जो करने के लिए डेटा सेंटर प्रक्रियाओं और गतिविधियों है कि कर रहे हैं से संबंधित करने के लिए संभावित रूप से ऑपरेटिंग वातावरण में लेखा परीक्षा जोखिम की पहचान करने और उन जोखिमों को कम करने के लिए जगह के नियंत्रण का आकलन. पूरी तरह से परीक्षण और विश्लेषण के बाद, लेखा परीक्षक पर्याप्त रूप से यह निर्धारित करने में सक्षम है कि क्या डेटा सेंटर उचित नियंत्रण है कुशलतापूर्वक और प्रभावी ढंग से काम कर रहा है ।

निम्नलिखित उद्देश्यों की एक सूची है कि लेखा परीक्षक की समीक्षा करनी चाहिए:

  • परिवर्तन प्रबंधन प्रक्रियाओं और प्रबंधन कर्मियों कर रहे हैं|.
  • डेटा सेंटर में अनधिकृत पहुँच को रोकने के लिए डेटा सेंटर में पर्याप्त भौतिक सुरक्षा नियंत्रण कर रहे हैं|.
  • प्रणाली और पार कार्यात्मक प्रशिक्षण, सहित कर्मियों, प्रक्रियाओं और जिम्मेदारियों.
  • पर्याप्त पर्यावरण नियंत्रण उपकरण बनाने के लिए यकीन है कि आग और बाढ़ से सुरक्षित हैं|.
  • डाउनटाइम को कम करने और महत्वपूर्ण डेटा हानि को रोकने के लिए उचित बैक अप प्रक्रियाओं कर रहे हैं|.
                                     

1.3. Adetlerini प्रक्रिया. समीक्षा. (Review)

अगले कदम के डेटा सेंटर लेखा परीक्षा के उद्देश्यों को पूरा करने के लिए सबूत हैं करने के लिए करते हैं. यह डेटा सेंटर स्थान पर यात्रा करने के लिए और डेटा सेंटर के भीतर प्रक्रियाओं का अवलोकन करना शामिल है. पूर्व-परिभाषित लेखा परीक्षा के लक्ष्यों को पूरा करने के लिए निम्न की समीक्षा प्रक्रियाओं आयोजित किया जाना चाहिए:

  • बैकअप प्रक्रियाओं - लेखा परीक्षक सत्यापित करना चाहिए कि प्रणाली में विफलता के मामले में ग्राहक के लिए बैकअप प्रक्रियाओं कर रहे हैं. ग्राहक में एक अलग स्थान पर एक बैकअप डेटा सेंटर बनाए रखने कर सकते हैं उन्हें, जो प्रणाली की विफलता की आवृत्ति में तुरंत सतत संचालन की अनुमति देता है.
  • नीतियों और प्रक्रियाओं - सभी डेटा केंद्र की नीतियों और प्रक्रियाओं दस्तावेज़ और डेटा सेंटर में स्थित होना चाहिए. महत्वपूर्ण दस्तावेज प्रक्रियाओं में शामिल हैं: डाटा सेंटर के कर्मियों को नौकरी जिम्मेदारियों, नीतियों, बैकअप, सुरक्षा नीतियों, कर्मचारी समाप्ति नीतियों, सिस्टम, संचालन प्रक्रियाओं और ऑपरेटिंग सिस्टम का अवलोकन.
  • भौतिक सुरक्षा / पर्यावरण नियंत्रण - लेखा परीक्षक के लिए ग्राहक के डेटा सेंटर की सुरक्षा का आकलन करना चाहिए. भौतिक सुरक्षा में अंगरक्षक, बंद पिंजरे, आदमी, जाल, एकल प्रवेश द्वार, बज उपकरण और कंप्यूटर की निगरानी प्रणाली । इसके अतिरिक्त, डेटा सेंटर उपकरणों की सुरक्षा सुनिश्चित करने के लिए पर्यावरण नियंत्रण होना चाहिए । इन में शामिल हैं: एयर कंडीशनिंग इकाइयों, ऊंचा फर्श, humidifiers और uninterruptible बिजली की आपूर्ति.
  • उपकरण - लेखा परीक्षक सत्यापित करना चाहिए कि सभी डेटा केंद्र उपकरण ठीक से और प्रभावी ढंग से आप काम कर रहे हैं. उपकरण उपयोग रिपोर्ट, नुकसान और कार्यक्षमता के लिए उपकरण, निरीक्षण प्रणाली डाउनटाइम रिकॉर्ड और उपकरणों के प्रदर्शन माप सभी लेखा परीक्षक डेटा सेंटर उपकरणों की स्थिति का निर्धारण करने में मदद की है । इसके अलावा, लेखा परीक्षक को निर्धारित करने के लिए कर्मचारियों का साक्षात्कार लिया कि क्या करना चाहिए निवारक रखरखाव नीतियों को लागू कर रहे हैं और प्रदर्शन किया गया है.
  • डेटा सेंटर कर्मियों के लिए - सभी डेटा केंद्र के कर्मियों, डेटा सेंटर तक पहुँचने के लिए अधिकृत किया जाना चाहिए. डेटा सेंटर के कर्मचारियों के डेटा केन्द्रों के लिए उपकरणों के बारे में पर्याप्त जानकारी दी गई है और वे अपना काम ठीक से. डेटा सेंटर उपकरणों, पर काम करते समय, विक्रेता सेवा कर्मियों पर नजर रखी है. लेखा परीक्षक अपने लक्ष्यों को पूरा करने के लिए डाटा सेंटर के कर्मचारियों के निरीक्षण और साक्षात्कार चाहिए.
                                     

1.4. Adetlerini प्रक्रिया. समीक्षा रिपोर्ट जारी करने के लिए. (Review reports issued to)

डेटा सेंटर की समीक्षा लेखा परीक्षक की रिपोर्ट के निष्कर्षों का सारांश होना चाहिए और मानक की समीक्षा रिपोर्ट के प्रारूप के समान होना चाहिए. समीक्षा रिपोर्ट, लेखा परीक्षक की जांच और प्रक्रियाओं के पूरा होने के रूप में दिनांकित किया जाना चाहिए. यह बताना चाहिए कि समीक्षा में क्या हुआ और बताने के लिए एक समीक्षा है कि केवल तीसरे पक्ष के लिए सीमित "आश्वासन" में.

                                     

2. ऑडिट करता है, जो. (The audit, which does)

आम तौर पर, कंप्यूटर सुरक्षा लेखा परीक्षा निम्न द्वारा किए जाते हैं:

  • संघीय या राज्य विनियामक प्रमाणित एकाउंटेंट, CISA. संघीय ओटीएस, अधिकृत, DOJ, आदि.
  • सलाहकार - प्रौद्योगिकी लेखा परीक्षा आउटसोर्सिंग, जहां संगठन के लिए की जरूरत है एक विशेष कौशल सेट की कमी है.
  • कॉर्पोरेट आंतरिक लेखा परीक्षकों - प्रमाणित एकाउंटेंट, CISA प्रमाणित इंटरनेट का ऑडिट पेशेवर CIAP.
  • बाह्य लेखा परीक्षक - प्रौद्योगिकी लेखा परीक्षा से संबंधित क्षेत्रों में विशेषज्ञता.
                                     

3.1. लेखा परीक्षा प्रणाली. नेटवर्क भेद्यता. (Network vulnerability)

  • का उपयोग / प्रविष्टि बिंदु: नेटवर्क अवांछित उपयोग के लिए असुरक्षित हैं. नेटवर्क के लिए एक कमजोर बिंदु घुसपैठियों के लिए वह जानकारी उपलब्ध करा सकता है । यह वायरस और ट्रोजन घोड़े के लिए एक पहुँच बिंदु भी प्रदान कर सकता है.
  • उपलब्धता: नेटवर्क के सैकड़ों या हजारों मील भर में व्यापक हो गए हैं, जो कई लोगों को कंपनी की जानकारी के लिए उपयोग करने के लिए भरोसा करते हैं, और कनेक्टिविटी खो व्यापार में रुकावट के कारण कर सकते हैं.
  • अवरोधन: डेटा, जो नेटवर्क पर प्रेषित किया जा रहा है, एक अनाम तीसरे पक्ष द्वारा बाधित होने के लिए असुरक्षित है कि डेटा के हानिकारक उपयोग में डाल सकते हैं.
                                     

3.2. लेखा परीक्षा प्रणाली. नियंत्रण. (Control)

  • का उपयोग / प्रवेश बिंदु नियंत्रण: सबसे नेटवर्क नियंत्रण उस बिंदु पर रखा जाता है, जहां नेटवर्क बाह्य नेटवर्क से जुड़ा है. इन पर नियंत्रण नेटवर्क से गुजर रहा यातायात के लिए सीमित नहीं है. इन में शामिल हैं, फायरवॉल, घुसपैठ का पता लगाने प्रणालियों और एंटीवायरस सॉफ्टवेयर शामिल किया जा सकता है.
  • उपलब्धता नियंत्रण: सबसे अच्छा नियंत्रण के उत्कृष्ट नेटवर्क वास्तुकला और निगरानी. नेटवर्क में, हर संसाधन और एक का उपयोग बिंदु और स्वत: मार्ग के बीच अनावश्यक रास्ता तो होना चाहिए कि यातायात डेटा या समय की हानि के बिना उपलब्ध मार्ग पर स्विच किया जा करने के लिए.
  • अवरोधन नियंत्रण: अवरोधन आंशिक रूप से डेटा केंद्रों और कार्यालयों में भौतिक अभिगम नियंत्रण के द्वारा रोका जा सकता है, जो संचार लिंक का सफाया कर रहे हैं और जहां नेटवर्क के तारों और वितरण स्थित हैं. एन्क्रिप्शन वायरलेस नेटवर्क को सुरक्षित करने में भी मदद करता है.

लेखा परीक्षक नेटवर्क और अपनी कमजोरियों को बेहतर समझने के लिए कुछ सवाल पूछा जाना चाहिए. लेखा परीक्षक पहले का आकलन करना चाहिए कि नेटवर्क की सीमा है और यह कैसे संरचित है. एक नेटवर्क आरेख इस प्रक्रिया में लेखा परीक्षक की सहायता कर सकता है. एक लेखा परीक्षक अगला सवाल पूछना चाहिए जो करने के लिए नेटवर्क महत्वपूर्ण जानकारी को सुरक्षित करना चाहिए. उद्यम प्रणाली, मेल सर्वर, वेब सर्वर और ग्राहकों का उपयोग होस्ट अनुप्रयोग के रूप में इस तरह की बातें आम तौपर क्षेत्पर ध्यान केंद्रित. यह भी महत्वपूर्ण है कि किसे और जो कर रहे हैं भागों. क्या ग्राहकों और विक्रेताओं पर नेटवर्क प्रणाली के लिए उपयोग किया है? क्या कर्मचारी के घर से जानकारी प्राप्त कर सकते हैं? अंत में लेखा परीक्षक यह आकलन करना चाहिए कि नेटवर्क बाह्य नेटवर्क से कैसे जुड़ा हुआ है और कैसे इसे सुरक्षित है. सबसे नेटवर्क के कम से कम इंटरनेट से जुड़े होते हैं, जो जोखिम बिंदु हो सकता है. इन नेटवर्क सुरक्षा महत्वपूर्ण सवाल है ।

                                     

3.3. लेखा परीक्षा प्रणाली. एन्क्रिप्शन और यह लेखा परीक्षा. (Encryption and IT audit)

अपने संगठन के लिए एन्क्रिप्शन नीतियों को लागू करने के लिए और ग्राहक की आवश्यकता का आकलन करने के लिए लेखा परीक्षक, ग्राहक के जोखिम और डेटा के मूल्य का विश्लेषण करना चाहिए. कई बाहरी उपयोगकर्ताओं, ई-वाणिज्य अनुप्रयोगों, और संवेदनशील ग्राहक / कर्मचारी की जानकारी कंपनियों को डेटा संग्रह प्रक्रिया पर उचित कदम में सही डेटा को एन्क्रिप्ट करने के उद्देश्य से कठोर एन्क्रिप्शन नीतियों को बनाए रखने चाहिए.

लेखा परीक्षकों लगातार अपने ग्राहक की एन्क्रिप्शन नीतियों और प्रक्रियाओं का मूल्यांकन करना चाहिए. जो कंपनियों को ई-कॉमर्स प्रणाली और वायरलेस नेटवर्क पर बहुत अधिक निर्भर है, वे कर रहे हैं के संचरण में महत्वपूर्ण जानकारी चोरी और नुकसान के प्रति बेहद संवेदनशील हैं. नीतियों और प्रक्रियाओं प्रलेखित किया जाना चाहिए और यह सुनिश्चित किया जाना चाहिए कि सभी प्रेषित डेटा की रक्षा कर रहे हैं.

                                     

3.4. लेखा परीक्षा प्रणाली. तार्किक सुरक्षा ऑडिट. (Logical security audit)

किसी भी प्रणाली के ऑडिट में पहला कदम अपने घटकों और इसकी संरचना को समझना है. तार्किक सुरक्षा ऑडिट जब लेखा परीक्षक की जाँच करनी चाहिए कि सुरक्षा नियंत्रण क्या कर रहे हैं और वे कैसे काम करते हैं. विशेष रूप से, निम्नलिखित क्षेत्रों के तार्किक सुरक्षा जांच में महत्वपूर्ण बिंदु हैं:

  • विशेष उपयोगकर्ता खातों: विशेष उपयोगकर्ता खातों और अन्य विशेषाधिकार प्राप्त खातों की निगरानी की जानी चाहिए और उनके स्थान पर उपयुक्त नियंत्रण होना चाहिए ।.
  • दूरदराज का उपयोग: दूरस्थ पहुँच अक्सर एक बिंदु जहां घुसपैठिए के लिए एक प्रणाली में प्रवेश कर सकते हैं. दूरस्थ पहुँच के लिए उपयोग करने के लिए तार्किक सुरक्षा उपकरण बहुत सख्त होने चाहिए. दूरदराज के उपयोग लॉग इन होना चाहिए.
  • पासवर्ड: प्रत्येक कंपनी पासवर्ड और कर्मचारियों के उपयोग के संबंध में नीतियों वह करना चाहिए. पासवर्ड साझा नहीं किया जाना चाहिए और स्टाफ के सेट बदलने के लिए अनिवार्य होना चाहिए । कर्मचारियों उपयोगकर्ता अधिकार होना चाहिए जो उनके कार्य के अनुरूप करने के लिए आप. उन्हें उचित लॉग इन पर / बंद प्रवेश प्रक्रियाओं को भी पता होना चाहिए. सुरक्षा टोकन भी इस काम में सहायक होते हैं, कि छोटे डिवाइस है जो कंप्यूटर प्रोग्राम या नेटवर्क के अधिकृत उपयोगकर्ता पहचान की पुष्टि करने में सहायता करने के लिए कर रहे हैं. वे क्रिप्टोग्राफिक कुंजी और बायोमेट्रिक डाटा भी स्टोकर सकते हैं. सबसे लोकप्रिय प्रकार के सुरक्षा टोकन आरएसए SecurID एक संख्या प्रदर्शित करता है जो हर मिनट में परिवर्तन. उपयोगकर्ताओं को एक व्यक्तिगत पहचान संख्या और टोकन नंबर पर दर्ज द्वारा प्रमाणित है.
  • इस प्रक्रिया की समाप्ति: उचित समाप्ति प्रक्रियाओं इतना है कि पुराने कर्मचारियों को अब कर सकते हैं नेटवर्क नहीं उन तक पहुँचने. इस पासवर्ड और कोड बदल किया जा सकता है । इसके अलावा, सभी आईडी कार्ड और बैज जो प्रचलन में हैं, उन्हें प्रलेखित किया जाना चाहिए.
                                     

3.5. लेखा परीक्षा प्रणाली. नेटवर्क सुरक्षा में प्रयोग किया जाता विशिष्ट उपकरण. (Network security used in specific equipment)

नेटवर्क सुरक्षा के लिए फ़ायरवॉल और प्रॉक्सी सर्वर, एन्क्रिप्शन, तार्किक सुरक्षा और अभिगम नियंत्रण, एंटी-वायरस सॉफ्टवेयर और लॉग प्रबंधन, इस तरह के रूप में लेखा परीक्षा प्रणाली, सहित विभिन्न उपकरणों द्वारा प्राप्त की है.

फ़ायरवॉल नेटवर्क सुरक्षा है एक बहुत ही बुनियादी हिस्सा है । उन्हें अक्सर निजी स्थानीय नेटवर्क और इंटरनेट के बीच रखा गया है. फायरवॉल यातायात प्रदान करने के लिए एक प्रवाह में है, जो यह प्रमाणित है, निगरानी, लॉग इन किया है और बताया जा सकता है । नेटवर्क परत फ़ायरवॉल, स्क्रीन बनाया सबनेट फायरवॉल, पैकेट फ़िल्टर फ़ायरवॉल, गतिशील पैकेट छनन फ़ायरवॉल, संकर फायरवॉल, पारदर्शी फायरवॉल, और आवेदन स्तर फ़ायरवॉल की कुछ अलग प्रकार फायरवॉल कर रहे हैं.

एन्क्रिप्शन प्रक्रिया के सादे पाठ करने के लिए सिफर के रूप में करने के लिए अपठनीय वर्ण की एक श्रृंखला में परिवर्तन शामिल है. अगर एन्क्रिप्टेड पाठ चोरी हो रही है या पारगमन के दौरान प्राप्त किया जाता है, तो सामग्री दर्शक के लिए, अस्पष्ट है. इस सुरक्षित संचरण की गारंटी देता है और महत्वपूर्ण जानकारी भेजने / प्राप्त करने के लिए कंपनियों के लिए अत्यंत उपयोगी है. एक बार एन्क्रिप्टेड जानकारी आपके इरादा प्राप्तकर्ता किया जाता है, तो डिक्रिप्शन प्रक्रिया साइटों के प्लेन पर वापस लाने के लिए तैनात है.

प्रॉक्सी सर्वर क्लाइंट कार्यस्थान के साथ सही पते के छिपाते और फ़ायरवॉल के रूप में अच्छी तरह के रूप में कार्य कर सकते हैं. प्रमाणीकरण को लागू करने के लिए प्रॉक्सी सर्वर फ़ायरवॉल विशेष सॉफ्टवेयर. प्रॉक्सी सर्वर फ़ायरवॉल उपयोगकर्ता अनुरोध करने के लिए एक केंद्रीय व्यक्ति के रूप में कार्य करता है ।

McAfee और सिमेंटेक के सॉफ्टवेयर इस तरह के रूप में एंटीवायरस सॉफ्टवेयर प्रोग्राम, दुर्भावनापूर्ण सामग्री का पता लगाने और उनके निपटान कर रहे हैं. इन वायरस सुरक्षा कार्यक्रम के लाइव अपडेट चलाए जा रहे हैं, तो यह है कि यह जाना जाता है, कंप्यूटर वायरस के बारे में नवीनतम जानकारी प्राप्त हो.

तार्किक सुरक्षा में एक संगठन के सिस्टम और सॉफ्टवेयर के लिए सुरक्षा उपाय शामिल हैं, जिनमें उपयोगकर्ता आईडी और पासवर्ड का उपयोग, प्रमाणीकरण, उपयोग के अधिकाऔर अधिकार के स्तर को शामिल कर रहे हैं. इन उपायों के करने के लिए सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं को एक नेटवर्क पर या कार्य केंद्र में कार्रवाई या जानकारी तक पहुँचने में सक्षम हैं.

लेखा परीक्षा प्रणाली, ट्रैक और रिकॉर्ड है जो किसी भी संगठन के नेटवर्क पर होता है । लॉग प्रबंधन समाधान अक्सर विश्लेषण और फोरेंसिक के लिए विषम प्रणालियों से लेखा परीक्षा ट्रेल्स इकट्ठा करने के लिए प्रयोग किया जाता है । लॉग प्रबंधन अनधिकृत उपयोगकर्ताओं को ट्रैक करने के लिए और पहचान के लिए उत्कृष्ट है जो नेटवर्तक पहुंचने की कोशिश कर रहे हैं, और जो अधिकृत उपयोगकर्ता नेटवर्क में कर रहे हैं सुलभ और उपयोगकर्ता के अधिकारियों को बदलने के लिए. सॉफ्टवेयर है जो खिड़की के सत्र के भीतर एक उपयोगकर्ता की गतिविधियों रिकॉर्ड और सूचकांक जैसे मोटापा, टर्मिनल सेवाओं, Citrix और अन्य दूरस्थ का उपयोग सॉफ्टवेयर के माध्यम से दूरस्थ से कनेक्ट करने के लिए उपयोगकर्ता की गतिविधियों पर व्यापक लेखापरीक्षा निशान प्रदान करता है.

                                     

3.6. लेखा परीक्षा प्रणाली. व्यवहार लेखा परीक्षा. (Behavior audit)

कमजोरियों कर रहे हैं अक्सर किसी भी संगठन के आईटी प्रणालियों के तकनीकी कमजोरी से संबंधित नहीं है, लेकिन संगठन के भीतर, व्यक्तिगत व्यवहार से संबंधित है । इसका एक सरल उदाहरण है कि उपयोगकर्ता के लिए अपने कंप्यूटर, खुला छोड़ दें या फ़िशिंग हमलों की चपेट में आते हैं. एक परिणाम के रूप में, एक पूरी तरह से InfoSec लेखा परीक्षा अक्सर एक प्रवेश परीक्षा शामिल है, जिसमें लेखा परीक्षक है एक आम कर्मचारी के साथ एक बाहरी व्यक्ति, दोनों की दृष्टि से संभव अधिक से अधिक प्रणाली का उपयोग करने के लिए प्रयास करने के लिए.

प्रणाली और प्रक्रिया के आश्वासन लेखा परीक्षा यह बुनियादी ढांचे और आवेदन / सूचना सुरक्षा लेखा परीक्षा तत्वों से जब आप जोड़ने और पूर्णता, सटीकता, वैधता और सीमित पहुँच को कवर की तरह श्रेणियों में विविध नियंत्रण का उपयोग करते हैं.

                                     

4.1. लेखा परीक्षा अनुप्रयोग सुरक्षा. आवेदन सुरक्षा. (Application security)

तीन मुख्य कार्यों के आवेदन पर सुरक्षा केंद्र:

  • प्रसंस्करण. (Processing)
  • प्रोग्रामिंग. (Programming)
  • पहुँच. (Access)

जब प्रोग्रामिंग आता है, तो यह महत्वपूर्ण है कि यह सुनिश्चित करने के महत्वपूर्ण प्रणालियों के विकास और अद्यतन के लिए सर्वर और मेनफ्रेम के आसपास उचित शारीरिक और पासवर्ड सुरक्षा मौजूद है. अपने डेटा सेंटर या कार्यालय में इलेक्ट्रॉनिक बैज और बिल्ला पाठकों, सुरक्षा गार्ड, अंक गला घोंटना, और सुरक्षा कैमरा भौतिक अभिगम सुरक्षा होना चाहिए अपने अनुप्रयोगों और डेटा की सुरक्षा सुनिश्चित करने के लिए महत्वपूर्ण है. तो फिर तुम करने के लिए प्रणाली में परिवर्तन के आसपास सुरक्षा की आवश्यकता है । आमतौपर परिवर्तन करने के लिए उचित सुरक्षा का उपयोग करने के लिए और परीक्षण के विकास की प्रोग्रामिंग के माध्यम से परिवर्तन के माध्यम से खींचने के लिए और अंत में उत्पादन में उचित प्राधिकरण प्रक्रियाओं कर रहे हैं.

                                     

4.2. लेखा परीक्षा अनुप्रयोग सुरक्षा. सारांश. (Summary)

अनुप्रयोग सुरक्षा और कर्तव्यों के अलगाव के दो अवधारणाओं दोनों में कई तरीके से जुड़ी हुई हैं और दोनों एक ही लक्ष्य है, कंपनियों के डेटा की अखंडता की रक्षा करना और धोखाधड़ी को रोकना. आवेदन की सुरक्षा के लिए शारीरिक और इलेक्ट्रॉनिक दोनों जगह में उचित सुरक्षा उपायों के माध्यम से, हार्डवेयर और सॉफ्टवेयर के खिलाफ अनधिकृत पहुँच को रोकने के साथ क्या करने के लिए. कर्तव्यों का पृथक्करण के साथ के रूप में यह मुख्य प्रणाली और प्रसंस्करण के व्यक्तियों का उपयोग करने के लिए एक शारीरिक समीक्षा करने के लिए और सुनिश्चित करें कि कोई ओवरलैप नहीं कर रहे हैं जो धोखाधड़ी के कारण कर सकते हैं.

                                     

5. ग्रंथ सूची. (Bibliography)

  • गैलेगोस, फ्रेडरिक, Senft, सैंड्रा, मैनसन, डैनियल पी., गोंजालेस, कैरोल 2004. प्रौद्योगिकी नियंत्रण और लेखा परीक्षा 2 एड. Auerbach प्रकाशनों. I. K. एक K. B लालकृष्ण Ann लालकृष्ण 0-8493-2032-1.

शब्दकोश

अनुवाद