Cieľom vykonávania auditu je poskytnutie reálneho obrazu o stave informačnej bezpečnosti v spoločnosti. Odhalenie nedostatkov v informačnej bezpečnosti je zaznamenané v správe o stave bezpečnosti pre zadávateľa spolu s navrhovanými opatreniami na ich odstránenie.
Audit je vykonávaný CISA (Certified Information Systems Auditor) certifikovanými audítormi. Audítori sú tiež členmi ISACA (Information Systems Audit and Control Association).
Pri audite vyhodnocujeme informačnú bezpečnosť systémov a súvisiacich procesov, pričom prihliadame na medzinárodné štandardy COBIT a ISO 27000, vnútorné nariadenia a predpisy auditovanej spoločnosti, platnú legislatívu a prípadne aj na požiadavky regulátora pre daný trhový segment.
Auditom sa preverujú:
- reálne vykonané postupy a činnosti pri prevádzke spoločnosti a ich súlad s internými predpismi
- zmapovanie stavu informačných systémov (IS) využívaných v organizácii
- interné predpisy ich aktuálnosť, obsah a kvalita
- dodržiavanie procesov a procedúr používateľov systémov
- nastavenie a konfigurácia technologických častí
- konfiguračné súbory, nastavenie systémov aj na úrovni informačných tokov
- vzájomná prepojenosť medzi jednotlivými aplikáciami
- nákladová náročnosti jednotlivých IS
- režijne náklady spojené s prevádzkovaním IS a so spracúvaním informácií
- príslušná dokumentácia
Správa z auditu obsahuje aktuálny stav bezpečnosti, nedostatky zistené audítormi a tiež aj navrhované opatrenia na ich odstránenie, návrh možnej optimalizácie využívania konkrétnych IS.