Controlli generali IT, o ITGC, sono i controlli sul posto per un sistema IT per assicurarsi che i sistemi sono opportunamente accessibili e gestiti. Il ITGCs ci permettono di collocare affidamento sull'uscita dei sistemi. ITGC audit revisione solitamente i controlli sul posto per i sistemi IT che hanno un effetto sul bilancio. Così che cosa rende un buon controllo generale IT?
Qui di seguito condividiamo alcuni degli aspetti riteniamo che fare per un buon ITGC.
Documentato - il controllo devono essere documentati in un documento di politica o di procedura, che è pubblicato e disponibile per le persone a cui si applica. Se le persone non conoscono il controllo o non fanno riferimento ad esso, non seguire o implementarlo!
Formalmente definito - An ITGC dovrebbe essere formalmente definiti e hanno buy-in di gestione affinché che il controllo sia appropriato, efficace e applicabile. Se il controllo non è ben definito e non dispone di gestione backup, probabilmente il controllo avrà esito negativo e il rischio che una minaccia si renderà conto aumenterà notevolmente.
Evidenziato - un controllo che viene implementato e operano in modo efficace deve essere monitorato ed evidenziato per indicare che il controllo è efficacia. Questo aiuterà quando il controllo viene controllato dai revisori interni o esterni, revisori dei conti e si spera di ridurre eventuali risultati dell'audit!
Efficace - il controllo dovrebbe essere operativo ed efficace! Questo sembra davvero evidente (ed è), ma spesso le organizzazioni implementano controlli solo per il gusto di attuare controlli o un controllo che utilizzate per essere efficace non è dovuta più efficacia per modificare l'ambiente. Controlli inefficaci sono proprio un salasso per le risorse dell'organizzazione e non serve alcun beneficio per l'organizzazione (soldi buttati e non non c'è alcuna ricompensa).
Misurata - per essere in grado di monitorare l'efficacia di un controllo, devono essere misurabile. Questo non è sempre facile per alcuni controlli come output non tutti i controlli possono essere dichiaratoe numericamente. Per tali controlli raccomandiamo di misura il test di funzionamento l'efficacia su base periodica (giornaliera, settimanale, mensile), dove il successo dei test di controllo ogni periodo indicherebbe l'efficacia.
Recensione - tutti i controlli devono essere riesaminati su base regolare per assicurare che i controlli sono ancora in funzione in modo efficace e per identificare i potenziali miglioramenti. Questa sarà la parte di "Controllo" del ciclo Plan, Do, Check e Act (PDCA) descritto da ISO 27001.
Audit - revisori indipendenti dovrebbero controllare controlli su base definito per garantire che i controlli sono definiti, implementati e operativi in modo efficace. Questo darà gestione l'assicurazione che l'ambiente di controllo è appropriato, implementato come progettato e funzionamento in modo efficace.
Quindi, in conclusione, speriamo che questo articolo ti fornisce alcuni spunti di riflessione sui controlli hanno nel luogo per il vostro sistema e se sono appropriati ed efficaci.