prosedur audit

Berikut ini adalah pengujian pengendalian keamanan fisik.

Uji Konstruksi Fisik. Auditor harus menentukan bahwa pusat komputer kokoh dibangun dari bahan tahan api. Harus ada drainase yang memadai di bawah lantai diangkat untuk memungkinkan air mengalir jauh dalam hal kerusakan air dari api di lantai atas atau dari beberapa sumber lain. Selain itu, auditor harus mengevaluasi lokasi fisik dari pusat komputer. Fasilitas ini harus ditempatkan di suatu daerah meminimalkan eksposur terhadap kebakaran, kerusuhan sipil, dan bahaya lainnya.

Uji Sistem Deteksi Kebakaran. Auditor harus menetapkan bahwa peralatan deteksi kebakaran dan penindasan, baik manual dan otomatis, berada di tempat dan diuji secara teratur. Sistem deteksi kebakaran harus mendeteksi asap, panas, dan asap mudah terbakar. Kecukupan perangkat ini dapat ditentukan dengan meninjau catatan resmi marshal api tes yang disimpan di pusat komputer.

Pengujian Pengendalian Akses. Auditor harus menetapkan bahwa akses rutin ke pusat komputer dibatasi kepada karyawan yang berwenang. Detail tentang akses pengunjung (oleh programmer dan lainnya), seperti waktu kedatangan dan keberangkatan, tujuan, dan frekuensi akses, dapat diperoleh dengan meninjau log akses. Untuk menetapkan kebenaran dokumen ini, auditor diam-diam dapat mengamati proses yang akses yang diizinkan, atau melihat rekaman video dari kamera pada titik akses, jika mereka sedang digunakan.

Uji Power Supply Backup. Pusat komputer harus melakukan tes berkala catu daya cadangan untuk memastikan bahwa ia memiliki kapasitas yang cukup untuk menjalankan komputer dan AC. Ini adalah tes sangat penting, dan hasil mereka harus secara resmi dicatat. Sebagai perusahaan computersystem mengembangkan, dan meningkatkan ketergantungan, kebutuhan cadangan listriknya kemungkinan untuk tumbuh secara proporsional. Memang, tanpa tes seperti itu, sebuah organisasi mungkin tidak menyadari bahwa itu telah melampaui kapasitas cadangan sampai terlambat.

Test untuk asuransi Coverage. Auditor setiap tahun harus meninjau cakupan asuransi organisasi pada komputer hardware software, dan fasilitas fisik. Akuisisi yang baru harus terdaftar pada peralatan kebijakan dan usang dan perangkat lunak harus dihapus. Luasnya cakupan manajemen harus mencerminkan kebutuhan dan tujuan. Sebagai contoh, perusahaan mungkin ingin sebagian diasuransikan diri.

Uji kontrol dokumentasi operator. Auditor harus memverifikasi bahwa sistem dokumentasi, seperti diagram alur sistem, diagram alur logika, dan listing kode program, bukan bagian dari dokumentasi operasi. Operator tidak harus memiliki akses ke detail operasional logika internal sistem. Namun, auditor harus menentukan bahwa dokumentasi pengguna yang memadai tersedia, atau dan membantu fungsi meja yang memadai di tempat, untuk mengurangi jumlah kesalahan dalam sistem operasi.
Dalam sistem warisan, operator komputer menggunakan manual dijalankan untuk melakukan fungsi tertentu. Misalnya, sistem batch besar mungkin memerlukan perhatian khusus dari operator, Selama hari itu, operator komputer dapat mengeksekusi puluhan program komputer, yang masing-masing proses beberapa file dan menghasilkan beberapa laporan. Untuk mencapai operasi pengolahan data yang efektif, manual jalankan harus cukup rinci untuk memandu operator dalam tugas-tugas mereka. Auditor harus meninjau manual dijalankan untuk kelengkapan dan keakuratan. Isi Khas manual menjalankan incluade berikut:
1. Nama dari sistem, seperti Sistem Pembelian
2. Jadwal dijalankan (harian, mingguan, waktu hari)
3. Diperlukan perangkat keras (kaset, disk, printer, atau hardware khusus)
4. Berkas Persyaratan menentukan semua transaksi (input) file, file induk, dan file output yang digunakan dan sistem
5. instruksi waktu yg menggambarkan pesan error yang mungkin muncul, tindakan yang akan diambil, dan nama dan nomor telepon dari progammer on call, harus sistem gagal.
6. Sebuah daftar pengguna yang menerima output
Gambar 2-6 menggambarkan tiga jenis kegiatan yang dapat mengganggu atau menghancurkan pusat organisasi komputer dan sistem informasi. Mereka adalah bencana alam, bencana buatan manusia, dan kegagalan sistem (lihat Gambar 2-6).
Hasil bencana alam. seperti kebakaran, banjir, angin, dan gempa bumi, biasanya bencana ke pusat sistem komputer dan informasi, acara memikirkan kemungkinan kejadian seperti itu sangat kecil. Kadang-kadang peristiwa bencana tidak bisa dicegah atau dihindari. Contohnya termasuk badai di Florida, banjir meluas di Midwest, gempa bumi di California, dan pemboman bangunan umum. Kelangsungan hidup perusahaan yang terkena dampak bencana tersebut tergantung pada seberapa baik dan seberapa cepat bereaksi. Dengan perencanaan kontingensi hatilah, dampak dari bencana dapat diserap dan organisasi masih bisa sembuh. Bencana buatan manusia, seperti sabotase atau kesalahan, bisa sama merusak. Sistem kegagalan, seperti listrik padam atau kegagalan hard drive, umumnya lebih terbatas dalam cakupan, tetapi kejadian bencana jenis yang paling mungkin terjadi.
Semua bencana dapat menghilangkan suatu organisasi data proccesing fasilitas, menghentikan fungsi tersebut bussines dilakukan atau dibantu oleh komputer, dan merusak kemampuan organisasi untuk mengirimkan produk atau jasa, yaitu, perusahaan kehilangan kemampuan untuk melakukan bisnis. Bencana ini juga bisa mengakibatkan hilangnya investasi pada teknologi dan sistem. Perusahaan lebih tergantung pada teknologi, sistem, dan pusat komputer, perencanaan pemulihan bencana lebih penting.
Bagi banyak perusahaan, seperti Amazon.com atau eBay.com, bahkan kehilangan beberapa jam kemampuan pemrosesan komputer bisa mengeja bencana. Untuk bertahan hidup kejadian ini, perusahaan mengembangkan prosedur pemulihan dan meresmikan mereka menjadi rencana kesinambungan bisnis, rencana disaster recovery, atau rencana bisnis pemulihan. A Disaster Recovery Plan adalah pernyataan yang komprehensif dari semua tindakan yang harus diambil sebelum, selama dan setelah semua jenis bencana, bersama dengan didokumentasikan, prosedur diuji yang akan menjamin kelangsungan operasi. Untuk kegagalan sistem, kesalahan kontrol toleransi dapat membantu mencegah bencana, atau meminimalkan akibat buruk dari sebuah kegagalan tertentu (lihat bagian tentang "Fault Toleransi" untuk informasi lebih lanjut). Meskipun detail dari rencana masing-masing yang unik untuk kebutuhan organisasi, semua rencana bisa diterapkan memiliki tiga ciri umum:
1. Mengidentifikasi aplikasi kritis
2. Menciptakan tim pemulihan bencana
3. Menyediakan backup situs
Sisa dari bagian ini ditujukan untuk diskusi tentang elemen-elemen penting dari DRP yang efektif