Ho un audit in arrivo e mi chiedevo quali controlli di accesso fisico, elettronico e logico un auditor avrebbe cercato quando controlla un database per un sistema ERP. Sono veramente nuovo in questo processo e ogni consiglio sarebbe apprezzato.
Ho un audit in arrivo e mi chiedevo quali controlli di accesso fisico, elettronico e logico un auditor avrebbe cercato quando controlla un database per un sistema ERP. Sono veramente nuovo in questo processo e ogni consiglio sarebbe apprezzato.
Risposte:
Sono d'accordo con la risposta di DeCosta. Su quali requisiti, specifiche hai intenzione di essere verificato? Ma, come il mio miglior scatto al buio: questa è una pubblicazione "best practice" per la sicurezza relativa a SQL 2005 pubblicata da Microsoft
E l'articolo di libri online:
http://msdn.microsoft.com/en-us/library/ms144228.aspx
Inoltre, ecco un elenco di cose che PricewaterhouseCoopers copre nei loro servizi relativi agli audit dei sistemi ERP. Potrebbe darti alcune idee. Il menu sul lato sinistro copre molti argomenti che possono essere utili per stimolare le cose alla ricerca.
http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml
Mi congratulo per il tuo sforzo, tuttavia la domanda posta è probabilmente troppo vaga. Regole diverse si applicano a settori diversi e inoltre, a volte hai l'opportunità di impostare le tue regole, devi solo seguirle.
Suggerirei di verificare con qualcuno quale audit dovresti superare, quindi di trovare i requisiti specifici.
Da aggiungere agli eccellenti link sopra; Ho trovato i seguenti documenti come riferimento utile per quanto riguarda sicurezza e controllo:
Un punto mancato da quelli sopra è quello di identificare esattamente ciò che stai proteggendo: se si tratta di dati di carte di credito, è facile rendersi conto che hai bisogno di PCI-DSS, ma nel più ampio schema di cose, PCI-DSS non è poi così utile tranne che come base minima nuda. È necessario identificare ciò che ha valore per la vostra azienda, sia per motivi commerciali sia perché lo dicono il regolatore o gli azionisti, e assicurarsi che il vostro audit ne tenga conto.
Vorrei anche suggerire di guardare security.stackexchange.com , che si rivolge specificamente al professionista della sicurezza e del rischio, e ci sono molti di noi che hanno effettuato audit di sicurezza, assistito nella preparazione di audit, condotto programmi di test e miglioramento della sicurezza su larga scala eccetera.