Izvajamo neodvisne presoje informacijskih sistemov, ki temeljijo na mednarodno priznanem okviru za dajanje zagotovil na področju informacijskih sistemov (ITAF) ter sodilih, kot so ISO/IEC 27001, COBIT, GDPR, ZInfV-1, ZVDAGA in DORA. Revizijo izvajajo nosilci nazivov aPRIS in CISA z dolgoletno prakso v reguliranih sektorjih.
Kdaj je revizija informacijskih sistemov smiselna in kdaj obvezna
Revizija informacijskih sistemov je v nekaterih primerih določena s predpisi. Najnovejši predpis, ki daje posebna pooblastila reviziji informacijskih sistemov je Zakon o informacijski varnosti (ZInfV-1), po katerem je revizija skladnosti informacijskega sistema za bistvene subjekte obvezna.
Revizija IS je uveljavljena tudi izven reguliranih okolij. Pogosto jo naročajo nadzorni sveti, poslovodstva ali vodstvo informatike ob menjavi ključnih informacijskih sistemov ter zunanjih izvajalcev, pred ali po večjih reorganizacijah informatike, ob pripravi na certifikacijo po ISO/IEC 27001, ob obravnavi pomembnih varnostnih incidentov, ali kot del izvajanja načrtov notranje revizije. Revizija IS ponuja organizaciji neodvisno strokovno presojo, ki jo je z vidika upravnih in nadzornih organov težko nadomestiti z internimi poročili in mnenji.
Naš pristop in metodologija
Revizijo izvajamo skladno z mednarodnim okvirom za dajanje zagotovil na področju informacijskih sistemov (ITAF — Information Technology Assurance Framework), ki ga vzdržuje ISACA. Okvir opredeljuje standarde, smernice in dobre prakse za revizorje informacijskih sistemov. Skupaj z okvirom COBIT zagotavlja sistematičen pristop k presoji upravljanja in obvladovanja informatike. Pri presoji informacijske varnosti se opiramo na ISO/IEC 27001 in ISO/IEC 27002, pri obvladovanju tveganj na ISO/IEC 27005, pri neprekinjenosti poslovanja na ISO 22301. Kadar revizija IS ne temelji na predpisu, sledimo sodilom, ki jih izbere naročnik.
Revizijo izvajamo v več zaporednih fazah.
Predhodna faza
Zajema usklajevanje obsega, identifikacijo ključnih tveganj in pripravo revizijskega načrta. V tej fazi se z naročnikom dogovorimo o terminskem načrtu, sodilih in pričakovanih rezultatih. Predhodno usklajevanje je ključno, ker definira kriterije, po katerih bo revizija IS izvedena in razmeji odgovornosti med revizorjem in naročnikom.
Terenski del
Vključuje pregled dokumentacije, intervjuje z odgovornimi osebami, testiranja, kot je na primer pregled konfiguracij sistemov, analizo dnevniških zapisov in opazovanje procesov v izvedbi. Vsako ugotovitev podpremo z dokazi, ki ostanejo del revizijske dokumentacije in so sledljivi.
Poročanje
Poteka v dveh korakih: najprej ključne ugotovitve predstavimo odgovornim osebam revidirane enote in uskladimo pravilnost razumevanja dejanskega stanja, šele nato izdamo končno poročilo. Takšen pristop zmanjšuje tveganje napačnih zaključkov in omogoča naročniku, da na ugotovitve odgovori, preden so dokončno zapisane.
Spremljanje izvedbe
Ni vedno del revizije, vendar ga priporočamo pri tematskih revizijah s priporočili za izboljšave. Pomeni naknadno preverjanje, ali so bila priporočila izvedena in ali so dosegla pričakovane učinke. To je tudi temelj za naslednji revizijski cikel.
Področja presoje
Revizija lahko zajame celoten informacijski sistem ali tematsko ozko opredeljeno področje. Tipična področja presoje, ki jih obravnavamo:
- Splošne IT kontrole
- Upravljanje sprememb v produkcijskih sistemih, upravljanje dostopov in pooblastil, fizična in logična varnost, varnostne kopije in obnovitev, neprekinjenost poslovanja, obvladovanje incidentov in odzivanje na varnostne dogodke.
- Aplikacijske kontrole
- Vhodne kontrole pri zajemu podatkov, procesne kontrole med obdelavo, izhodne kontrole pri poročanju, ločitev nezdružljivih vlog in sledljivost transakcij.
- Upravljanje informatike
- Strateški, organizacijski in operativni okvir upravljanja, usklajenost informatike s poslovno strategijo, okvir vlog z razmejitvijo odgovornosti in kompetenc, obvladovanje portfelja projektov ter spremljanje doseganja ciljev.
- Obvladovanje tveganj informatike
- Identifikacija, ocena in obvladovanje tveganj v skladu z metodologijo ISO/IEC 27005 ali ekvivalentnim okvirom, presoja celovitosti registra tveganj in ustreznosti izbire ukrepov.
- Skladnost s predpisi in standardi
- Preverjanje skladnosti z notranjimi akti, predpisi (NIS2, ZInfV-1, ZVDAGA, DORA, GDPR, ZVOP-2) in standardi (ISO/IEC 27001 in družina, sektorske smernice nadzornih organov).
- Razvoj in vzdrževanje sistemov
- Metodologija razvoja, življenjski cikel programske opreme, upravljanje testnih okolij in promocij v produkcijo, obvladovanje zunanjih izvajalcev razvoja.
- Oddaja v zunanje izvajanje in oblačne storitve
- Presoja pogodbenih dogovorov, varnostnih ukrepov, prenosa odgovornosti in tveganj, ki nastajajo zaradi delitve odgovornosti med naročnikom in zunanjim izvajalcem oziroma ponudnikom oblačnih storitev.
Obseg revizije določimo v predhodnem usklajevanju z naročnikom, na podlagi regulatornih zahtev, identificiranih tveganj in razpoložljivih virov.
Rezultati revizije
Glavni rezultat revizije je revizijsko poročilo. Ugotovitve so strukturirane v petih elementih, ki so v stroki standardni:
- Sodila
- Natančna referenca na zahtevo, ki bi morala biti izpolnjena (določba predpisa, klavzula standarda, notranji akt, dobra praksa).
- Dejansko stanje
- Opis stanja, kot smo ga ugotovili, podprt z dokazi.
- Vzrok
- Analiza, zakaj je do odstopanja prišlo (sistemski, procesni, kadrovski razlogi).
- Posledica
- Tveganje ali škoda, ki izhaja iz odstopanja; po potrebi z oceno verjetnosti in vpliva.
- Priporočilo
- Konkreten predlog ukrepa, ki naj odstopanje odpravi ali ublaži.
Del poročila je tudi povzetek za vodstvo, primeren za predstavitev upravi ali nadzornemu organu.
Pri tematskih revizijah lahko pripravimo tudi akcijski načrt s prednostnim razporedom priporočil, ki naročniku olajša postopno odpravo neskladij. Pri co-sourcing izvedbi se rezultati neposredno integrirajo v dokumentacijo notranje revizije naročnika v dogovorjeni obliki, ki jo standardno uporablja naročnik.
Kvalifikacije in neodvisnost
Strokovne kvalifikacije
Revizijo informacijskih sistemov izvajajo kvalificirani strokovnjaki z nazivi:
- aPRIS
- Aktivni preizkušeni revizor informacijskih sistemov — strokovni naziv Slovenskega inštituta za revizijo, vezana na slovenski regulatorni okvir, stalno strokovno izpopolnjevanje in članstvo v SIR.
- CISA
- Certified Information Systems Auditor — strokovni naziv ISACA, mednarodno priznan v reguliranih sektorjih.
- ISO/IEC 27001 LA
- Vodilni presojevalec sistemov upravljanja informacijske varnosti po ISO 27001.
Vse kvalifikacije so povezane z obveznostjo stalnega strokovnega izpopolnjevanja in spoštovanjem profesionalnih kodeksov etike.
Neodvisnost in nepristranskost
Neodvisnost ni samo pravna lastnost, temveč predvsem operativno pravilo. Pri vsakem revizijskem naročilu vnaprej presodimo, ali obstajajo okoliščine, ki bi lahko vplivale na nepristranskost presoje — pretekli poslovni odnosi z naročnikom, sorodstvene ali osebne vezi, finančni interesi, sodelovanje pri zasnovi obravnavanih sistemov. Če take okoliščine obstajajo, jih razkrijemo in po potrebi naročilo zavrnemo.
Med revizijo se izogibamo vsem dejavnostim, ki bi presegale presojo in posegale v odločitve naročnika. Revizor ne soustvarja rešitev, ki bi jih pozneje presojal. Priporočila so usmerjevalna, končna izbira ukrepa ostane v rokah naročnika.
Zaupnost informacij, ki jih prejmemo pri reviziji, je trajna obveza in se ne preneha z zaključkom posla. Revizijska dokumentacija je v naši hrambi ločeno od ostale poslovne dokumentacije in je dostopna le revizijski ekipi.
Povpraševanje za revizijo informacijskih sistemov
Sprejemamo vaša povpraševanja za predračun ali svetovanje glede obsega revizije. Pri vašem povpraševanju kratko opišite:
- — vrsto in dejavnost organizacije,
- — pravno ali standardno podlago za revizijo (če obstaja),
- — okvirno časovnico in predviden obseg.
E-pošta: info@cepris.si
Pogosta vprašanja
Zakaj bi prostovoljno izvedel revizijo informacijskega sistema?
Prostovoljna revizija informacijskega sistema je orodje, s katerim poslovodstvo, nadzorni organ ali vodstvo informatike pridobi podroben in neodvisen vpogled v stanje notranjih kontrol informacijskega sistema.
Razlogi za odločitev o izvedbi prostovoljne revizije so različni, od ugotavljanja ali je informacijski sistem upravljan in voden skladno z dobrimi praksami, da bi se izognili prihodnjim zapletom pri delovanju informacijskega sistema, ki jih je še mogoče pravočasno preprečiti, do preventivnih pregledov pred sklenitvijo pomembnejših pogodb z zunanjimi izvajalci ali pred začetkom izvajanja večjih projektov. Je tudi orodje za izvajanje neodvisnega nadzora nad delom zunanjih izvajalcev ter orodje za pridobitev vpogleda nad stroški informacijskega sistema ter njihovim obvladovanjem.
Ključna prednost prostovoljne revizije informacijskega sistema je v tem, da naročnik sam določi sodila, torej s katerimi predpisi, standardi, dobrimi praksami, pogodbenimi določili in podobnimi sodili želi preveriti skladnost informacijskega sistema, ter da naročnik sam določi obseg pregleda in ga lahko omeji samo na določene organizacijske enote (npr. samo na oddelek razvoja znotraj službe za informatiko) ali na posamezne dele informacijskega sistema (npr. samo na poslovni informacijski sistem). V tem primeru je tudi pod popolnim nadzorom naročnika če sploh in komu bo pridobljeno poročilo razkril ter v katerem delu.
Kdaj je revizija informacijskih sistemov za organizacijo obvezna?
Revizija informacijskih sistemov je obvezna ali zahtevana predvsem v reguliranih sektorjih.
Trenutno lahko Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS) od operaterjev skladno z Zakonom o elektronskih komunikacijah (ZEKom-2) zahteva, da izvedejo revizijo varnosti svojih omrežij in storitev, ki jo opravi preizkušeni revizor informacijskih sistemov.
Arhiv Republike Slovenije se opira na poročila preizkušenih revizorjev informacijskih sistemov pri prostovoljni izvedbi kontrolnih pregledov v postopku certificiranja programske opreme in storitev e-hrambe po Zakonu o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA).
Preizkušeni revizorji informacijskih sistemov imajo pooblastilo za samostojno izvedbo revizije skladnosti po Zakonu o informacijski varnosti (ZInfV-1).
Kakšna je razlika med notranjo in zunanjo revizijo informacijskih sistemov?
Notranjo revizijo izvaja organizacijska enota znotraj naročnika in poroča neposredno upravi ali nadzornemu organu; deluje stalno in pokriva širok spekter procesov. Lahko je izvedena tudi kot zunanje izvajanje po naročilu notranje revizije kot co-sourcing ali kot sodelovanje z zunanjim strokovnjakom (veščakom) ali kot samostojno naročilo storitve preizkušenega revizorja informacijskih sistemov, ki izvede pregled tako, kot bi ga notranja revizija. Pri notranji reviziji ima organizacija popoln nadzor nad tem kakšno storitev naroča, v kakšnem obsegu in kakšna naj bodo sodila ter kdaj jo želi opraviti.
Zunanjo neodvisno revizijo izvaja neodvisni zunanji izvajalec na podlagi pogodbe, običajno za ozko opredeljeno revizijsko nalogo, ki jo določa predpis. Kadar predpis določa obseg in naloge revizije, naročnik nima vpliva na to katera sodila bo uporabil preizkušeni revizor informacijskih sistemov in kadar predpis določa roke za izvedbo revizije, mora naročnik slediti rokom za izvedbo revizije, ki jih določi predpis.
Kakšna je razlika med nazivi PRIS, aPRIS in CISA?
Naziv preizkušeni revizor informacijskih sistemov (PRIS) podeljuje Slovenski inštitut za revizijo na podlagi pooblastila, ki ga Inštitutu daje Zakon o revidiranju (ZRev-2).
Naziv aPRIS (aktivni preizkušeni revizor informacijskih sistemov) ima tisti strokovnjak, ki je že pridobil naziv PRIS in se dodatno stalno izobražuje, usposablja in izpolnjuje ostale dodatne pogoje za pridobitev aktivnega naziva, ki jih določa Inštitut. Vsi imetniki aPRIS so tudi vpisani v javni register, ki ga vodi in objavlja Slovenski inštitut za revizijo.
Kvalifikacija PRIS/aPRIS je vezana na slovenski regulatorni okvir, kar pomeni, da ima s tem država vpliv na pravila, ki jim morajo slediti imetniki naziva aPRIS. To je pomembno pri izvajanju pristojnosti na podlagi predpisov, saj predpisi ne morejo izpolniti vseh nejasnosti, ki se pojavijo v praksi. Slovenski inštitut za revizijo ima zato po Zakonu o revidiranju pristojnosti, da takšne nejasnosti razrešuje s strokovnimi in drugimi pojasnili in s tem skrbi, da revizorji z nazivom aPRIS uporabljajo enaka pravila pri izvajanju revizijskih pregledov.
CISA (Certified Information Systems Auditor) je mednarodna kvalifikacija, ki jo podeljuje mednarodno združenje ISACA in je predpogoj, da lahko strokovnjak pridobi naziv PRIS pri Slovenskem inštitutu za revizijo. ISACA ne izdaja lokalnih pojasnil in nima vzpostavljenih mehanizmov za izpolnjevanje praznin in harmonizacijo postopkov strokovnjakov z nazivom CISA.
Kakšen je tipičen potek revizije in koliko traja?
Revizija poteka v štirih fazah: predhodno usklajevanje obsega in časovnice, terenski del s pregledom dokumentacije in testiranjem, priprava poročila s priporočili ter uskladitev poročila z revidirancem in poročanje. Mnogi naročniki storitve se odločajo tudi za naknadno spremljanje izvedbe priporočil.
Trajanje je odvisno od obsega in zahtevnosti revidiranega sistema. Ozko opredeljena tematska revizija lahko poteka nekaj tednov, celovita revizija upravljanja informatike v večji organizaciji pa več mesecev.
Kaj naročnik dobi kot rezultat revizije?
Glavni rezultat je revizijsko poročilo, v katerem so ugotovitve strukturirane vsaj po petih poglavjih: sodila (zahteva predpisa, standarda ali notranjega akta), dejansko stanje, vzrok odstopanja, posledica oziroma tveganje in priporočilo. Poročilo je sledljivo in podprto z dokazi, ki so del revizijske dokumentacije. Naročnik prejme tudi povzetek za upravo ali nadzorni organ, pripravljen v obliki, ki je primerna za odločevalsko obravnavo.
Kakšne so omejitve revizije informacijskih sistemov?
Revizija je usmerjena v vzorčno presojo stanja na določen referenčni datum. Ne nadomešča stalnih kontrol, spremljanja varnostnih dogodkov ali vdornega testiranja. Revizor se opira na predloženo dokumentacijo in dokaze, ki so mu na voljo. Če pomembne informacije niso na voljo ali so namerno prikrite, lahko revizor pri ugotovitvah izrazi omejitve obsega ali pridržek.
Revizija tudi ni svetovalna storitev v ožjem pomenu — temelji na presoji obstoječega stanja, ne na soustvarjanju rešitev.
Kakšna je razlika med revizijo informacijskih sistemov in vdornim testom?
Vdorni test je tehnično preverjanje varnosti informacijskega sistema, po potrebi z dodatnimi testi fizične varnosti in socialnega inženiringa. Vdorni test se konča s poročilom ugotovljenega stanja, ki razkrije, katere kontrole ne delujejo, zato obstajajo varnostne ranljivosti v informacijskem sistemu.
Revizija informacijskega sistema je nadgradnja teh ugotovitev, saj revizor ugotavlja zakaj so se pojavile pomanjkljivosti v delovanju varnostnih kontrol in kakšna so dejanska poslovna tveganja, povezana z identificiranimi pomanjkljivostmi.
Revizorja IS in izvajalca vdornega testa je zato smiselno najeti v paru. Najpogosteje revizor IS naroči izvajalca vdornih testov kot svojega veščaka v sklopu revizije informacijskega sistema, saj s tem ohranja nadzor nad obsegom, kakovostjo in vrsto postopkov, ki jih bo opravil izvajalec vdornega testa, zato da lahko naročniku izda ustrezno zagotovilo v zvezi z delovanjem notranjih kontrol z jasno omejitvijo obsega kaj je in kaj ni bil predmet testiranja varnostnih kontrol.
Ali revizija IS pomaga pri pripravi na NIS2/ZInfV-1 ali ISO/IEC 27001?
Revizija IS in priprava na certifikacijo sta dve različni storitvi, vendar se logično dopolnjujeta. Revizija IS opravi neodvisno presojo trenutnega stanja in identificira vrzeli v skladnosti z zahtevami. Priprava na certifikacijo ali skladnost je svetovalna storitev, pri kateri se neskladja odpravljajo in se vzpostavljajo manjkajoče kontrole.
V praksi se obe storitvi pogosto kombinirata: najprej se opravi revizija oziroma analiza vrzeli, na njeni podlagi pa se izpelje uvedba potrebnih sprememb.
Druga možnost je, da organizacija, ki je že izvedla projekt zagotavljanja skladnosti s predpisom, naroči revizorja kot notranjerevizijski posel, da bi se prepričala, da izpolnjuje vse bistvene zahteve predpisa, še preden se v nadzor vključi nadzorni organ (npr. inšpekcija).