Аудит соблюдения требований
Аудит соблюдения требований и стандартов является всесторонним обзором соблюдения организацией нормативных требований. Независимые консультанты по бухгалтерии, безопасности или информационным технологиям оценивают степень и основательность подготовки компании к соответствию действующим в отрасли стандартам и требованиям. В рамках аудита соответствия аудиторы исследуют политики безопасности, системы контроля доступа пользователей к информации и сервисам, процедуры по управлению рисками.
Как и в любом другом виде аудита, если аудитор соответствия не получает адекватную информацию заранее, он должен изучать организацию изнутри по всем возможным параметрам, что делает аудит не только более длительным, но и может также привести к аудиторским недоразумениям или путанице.
То, что непременно рассматривается в рамках аудита соответствия, варьируется в зависимости от того, является ли организация государственной или частной, какие данные она обрабатывает, и требуется ли компании передавать или хранить критичные для бизнеса финансовые данные. Например, требования SOX подразумевают, что любое электронное сообщение должно подвергаться резервному копированию и должно быть доступно для восстановления с помощью инфраструктуры аварийного восстановления. В качестве примера можно также привести медицинские учреждения, которые хранят или передают записи электронного журнала или карточки пациента, содержащей личную медицинскую информацию, на западе обязаны соответствовать требованиям HIPAA. Осуществляющие финансовые услуги компании, которые передают данные кредитных карт пользователей, должны соответствовать требованиям PCI DSS. В каждом случае, организация должна быть в состоянии продемонстрировать соблюдение норм путем проведения аудиторского исследования, часто проводимого на основе анализа данных программного обеспечения для управления журналом событий.
Аудиторы, проверяющие соблюдение требований и норм, обычно задают ИТ-директору, техническому директору и ИТ-администраторам ряд острых вопросов в ходе проверки. Такие вопросы могут включать выяснение информации, какие пользователи были добавлены за недавний период и когда конкретно, кто покинул компанию, были ли отменены идентификаторы пользователей и какие ИТ-администраторы имеют доступ к критически важным системам. ИТ-администраторы готовятся к проведению проверок соблюдения требований с помощью менеджеров журналов событий и программного обеспечения для управления изменениями, которые позволяют отслеживать и документировать аутентификации и управление в ИТ-системах. Быстрорастущая категория программного обеспечения GRC (менеджмент, управление рисками и соблюдение требований) позволяет ИТ-директорам быстро продемонстрировать аудиторам (и своим непосредственным руководителям), что организация соответствует всем требованиям отрасли и не будет подвергнута ни внушительным штрафам, ни санкциям.