Abonnez-vous à DeepL Pro pour modifier ce document.
Visitez www.DeepL.com/Pro pour en savoir plus.
Liste de contrôle pour l'audit des demandes
Ref Contrôles Objectifs Vérifications
Contrôles d'entrée 1 Examiner et évaluer les contrôles Dans la mesure du possible, les transactions Vérifiez que les données non valables sont rejetées ou modifiées intégrés dans les transactions du doivent faire l'objet d'une validation et d'une à l'entrée. Vous devrez comprendre la fonction commerciale système concernant la saisie des vérification initiales pour garantir l'intégrité des prise en charge par le système ainsi que la finalité et l'utilisation données données avant leur saisie dans les fichiers et les de ses différents éléments de données. Cela nécessitera bases de données du système. Des données non probablement des discussions non seulement avec les valides dans le système peuvent entraîner des développeurs mais aussi avec les utilisateurs finaux. erreurs coûteuses. Il est préférable et beaucoup Une fois que vous aurez compris la finalité du système et de ses plus rentable de détecter une erreur de saisie données, vous pourrez réfléchir aux différents risques d'intégrité avant que les données ne soient saisies et traitées des données associés à l'application. Dans certains cas, un par l'application. Sinon, l'erreur risque de ne pas examen du code peut être approprié si les développeurs sont être détectée du tout, de ne l'être qu'après avoir disponibles et que l'auditeur est un codeur compétent. entraîné une perturbation du système, ou de ne Un code mal écrit, mal commenté ou mal formaté est souvent un l'être qu'après de longues procédures de signal d'alarme qui suggère qu'un examen plus approfondi est rapprochement manuel, etc. nécessaire. Si possible, obtenez l'accès à une version de test du système qui reflète l'environnement de production et essayez de "casser" le système en entrant des données non valides pour voir si elles sont acceptées par l'application. 2 Déterminer la nécessité de Les rapports d'erreur ou d'exception permettent Discutez de la gestion des erreurs et des exceptions de rapports d'erreur/d'exception d'examiner et de corriger tout problème potentiel l'application avec le développeur ou l'administrateur. Sur la base relatifs à l'intégrité des données et d'intégrité des données lorsqu'il n'est pas possible des résultats de l'analyse de l'étape 1, recherchez des possibilités évaluer si ce besoin a été satisfait ou pratique d'utiliser des contrôles d'entrée pour de contrôles d'intégrité des données supplémentaires (qui effectuer une validation préalable des données n'auraient peut-être pas été possibles avec des exigences saisies dans le système. Pour "strictes" en matière de saisie initiale). Là encore, des discussions par exemple, bien qu'il ne soit pas avec les utilisateurs finaux peuvent être très utiles. Demandez- intrinsèquement erroné pour un employé de leur quels types de rapports leur seraient utiles pour détecter les comptabiliser 80 heures supplémentaires pendant anomalies et les erreurs. Pour tous les rapports d'erreurs et une semaine dans un système de travail, ce type d'exceptions qui existent, cherchez des preuves que ces rapports d'événement inhabituel doit être consigné dans un sont régulièrement examinés et traités de manière appropriée rapport qui sera examiné par la direction du niveau approprié Contrôles d'interface 3 Examiner et évaluer les contrôles Lorsqu'une demande passe et/ou reçoit des Déterminez les interfaces qui existent avec le système que vous en place concernant les flux de données vers ou en provenance d'autres vérifiez, y compris les données qui entrent et sortent de ce données vers et depuis les demandes, des contrôles doivent être effectués système systèmes d'interface pour garantir que les données sont transmises de . Ces interfaces peuvent prendre la forme d'une transmission de manière complète et précise. Tout manquement à données en temps réel ou d'une transmission périodique de cette obligation peut entraîner des erreurs fichiers de données coûteuses et des perturbations du système par lots. Examinez les diagrammes de flux du système, examinez le code du système et interrogez la demande développeur ou administrateur pour obtenir ces informations. Une fois que vous avez une idée des interfaces existantes, déterminez quels contrôles sont en place concernant ces interfaces par l'examen du code et des entretiens avec le développeur ou l'administrateur de l'application. Attendez-vous à voir des contrôles de base tels que ceux qui sont abordés dans les paragraphes suivants. Les totaux de contrôle des transmissions d'interface doivent être générés et utilisés par le système pour déterminer si la transmission s'est effectuée correctement. Si un problème est détecté, des rapports doivent être émis pour informer les personnes concernées du problème. Quelques exemples de totaux de contrôle qui peuvent être applicables sont les totaux de hachage (totaux qui n'ont pas de signification inhérente, comme la somme de tous les numéros de compte ou d'employé dans un fichier en cours de transmission), les comptes d'enregistrement et les montants totaux (totaux qui ont une signification inhérente, comme la somme des ventes totales saisies ou du salaire payé dans un fichier en cours de transmission). Par exemple, avant la transmission, le système d'envoi peut générer un décompte de tous les enregistrements envoyés. Après la transmission, le système récepteur pourrait générer un décompte de tous les enregistrements reçus. Ces deux chiffres seraient ensuite comparés. S'ils ne correspondent pas, il produirait un rapport d'erreur, car cela indiquerait que certains enregistrements n'ont pas été reçus avec exactitude. Un autre type de total de contrôle pourrait signaler les numéros d'enregistrement manquants lorsque les enregistrements sont transmis de manière séquentielle. Toutes ces méthodes sont destinées à détecter les cas où les données du système émetteur ne sont pas correctement reçues. Si ces contrôles existent, examinez les preuves que les rapports d'erreur applicables sont régulièrement examinés et qu'il y est donné suite. Le système devrait traiter les éléments qui n'ont pas été transmis avec succès de telle sorte que les rapports et/ou permettent de résoudre ces questions rapidement et de manière appropriée, par exemple en les plaçant dans un dossier d'attente et en générant des rapports sur tous les éléments du dossier d'attente. Vérifier que ces dossiers d'attente et ces rapports d'erreur sont examinés et qu'il y est donné suite. Les fichiers de données qui contiennent des informations sur la source ou la cible de l'interface doivent être protégés contre toute modification non autorisée. Cela peut signifier des contrôles d'authentification, des contrôles d'autorisation ou un cryptage appropriés si nécessaire. Examinez la sécurité de tous les fichiers applicables. Lorsqu'il n'est pas possible d'utiliser des totaux de contrôle pour vérifier l'exactitude de la transmission des données, les rapports de rapprochement devrait être généré pour permettre aux utilisateurs de comparer ce qui était sur un système avec ce qui a été reçu sur un autre système. Le cas échéant, examiner les preuves que les rapports de rapprochement sont régulièrement examinés et qu'il y est donné suite. Le cas échéant, la validation et l'édition des données, telles que décrites dans la section "Contrôles d'entrée" de la présente liste de contrôle , doivent être effectuées sur les données reçues de systèmes extérieurs. Des rapports d'erreur/d'exception doivent être générés pour permettre de corriger tout problème d'intégrité des données, et ces rapports doivent être régulièrement examiné. 4 Si les mêmes données sont Le stockage des mêmes données à plusieurs Déterminer, avec l'aide du développeur ou de l'administrateur de conservées dans plusieurs bases endroits peut entraîner des conditions de l'application, où ce type de contrôle est applicable et vérifier son de données et/ou systèmes, désynchronisation qui se traduisent par des existence et son efficacité.Idéalement, une base de données ou assurez-vous que des processus de erreurs de système. Cela peut également avoir un un fichier de données devrait être désigné comme "maître" pour synchronisation périodiques sont impact négatif sur les décisions des entreprises, chaque élément de données, et d'autres systèmes feront exécutés pour détecter toute car des conclusions erronées peuvent être tirées référence à l'emplacement du maître au lieu de conserver une incohérence dans les données en utilisant des données inexactes copie séparée des données. Même si plusieurs copies des données sont conservées, l'emplacement qui représente la copie principale devrait être désigné de manière à ce que le système puisse facilement déterminer "qui gagne" dans les situations de désynchronisation et effectuer des corrections automatisées Pistes d'audit et surveillance de la sécurité 5 Examiner et évaluer les pistes Les pistes d'audit (ou journaux d'audit) sont utiles Examinez l'application avec le développeur ou l'administrateur d'audit présentes dans le système pour le dépannage et pour aider à repérer les pour vous assurer que les informations sont saisies lorsque des et les contrôles de ces pistes éventuelles violations de votre application éléments de données clés sont modifiés et que des activités clés d'audit sont effectuées. Ces informations doivent inclure, dans la plupart des cas, l'activité qui a été effectuée, les valeurs originales et nouvelles des données (en cas de modification des données), la personne qui a effectué l'activité et la date à laquelle elle a été effectuée. Ces informations doivent être conservées dans un journal sécurisé afin d'éviter les mises à jour non autorisées. Les journaux doivent être conservés pendant une période raisonnable, par exemple trois ou six mois, afin de faciliter les enquêtes sur les erreurs ou les activités inappropriées 6 Veiller à ce que le système Cela est important pour vérifier que la transaction Examinez la demande avec le développeur ou l'administrateur et permette de suivre une a été entièrement traitée et pour repérer toute évaluez l'existence de cette capacité. transaction ou une donnée du erreur ou irrégularité dans le traitement de ces Identifier un échantillon de transactions récentes et tenter de les début à la fin du processus activé données retracer à travers les différentes étapes de traitement du par le système système 7 Examiner et évaluer les processus S'il n'existe pas de processus de surveillance et de Interviewer l'administrateur de la demande et examiner tout de contrôle et de maintien de maintenance de la sécurité, des failles de sécurité document pertinent pour comprendre l'état de sécurité du système pourraient exister et des incidents de sécurité les pratiques de sécurité pour l'application. Il peut s'agir, par pourraient se produire à l'insu de tous exemple, d'analyses de routine pour détecter et corriger des vulnérabilités connues et/ou d'alertes envoyées et étudiées lorsque des activités clés sont effectuées au sein de l'application (déclenchement des journaux d'audit conservés dans le système, comme indiqué à l'étape 5). Un certain niveau de surveillance est important, mais le niveau de surveillance requis doit être cohérent avec la criticité du système et le risque inhérent à l'environnement. Si une surveillance de la sécurité est effectuée, évaluez la fréquence de la surveillance et la qualité avec laquelle elle est effectuée. Examinez les résultats récents, et déterminez si des exceptions ont été examinées et résolues. Si cela s'applique à la demande que vous vérifiez, vérifiez que des politiques et des procédures sont en place pour identifier lorsqu'un correctif de sécurité est disponible et pour évaluer et appliquer les correctifs applicables. Assurez-vous que tous les correctifs approuvés sont installés conformément à votre politique Gestion des comptes 8 Veiller à ce que l'application L'absence d'authentification des utilisateurs ou un Examinez l'application avec le développeur ou l'administrateur et fournisse un mécanisme système d'authentification médiocre offrent aux vérifiez que des mesures d'authentification appropriées existent d'authentification des utilisateurs utilisateurs curieux et aux attaquants malveillants en fonction du type de données contenues dans l'application. basé, au minimum, sur un la possibilité d'accéder à votre système Par exemple, une authentification à deux facteurs peut être identifiant unique pour chaque nécessaire dans certains cas pour authentifier les utilisateurs utilisateur et un mot de passe d'applications sensibles ou pour les utilisateurs finaux qui confidentiel accèdent à vos applications depuis l'internet 9 Examiner et évaluer le mécanisme Le mécanisme de sécurité du système devrait Les employés ne doivent avoir accès au système que dans la d'autorisation de l'application afin permettre à chaque utilisateur du système de mesure nécessaire à l'exercice de leurs fonctions. Examinez de s'assurer que les utilisateurs ne disposer d'un niveau d'accès spécifique aux l'application avec le développeur ou l'administrateur, et vérifiez sont pas autorisés à accéder à des données et aux transactions de l'application. Sans cette fonctionnalité dans l'application. En d'autres termes, il transactions ou à des la possibilité de fournir un accès granulaire basé devrait être possible de spécifier les transactions et les données sensibles sans avoir été sur les besoins de l'utilisateur, les utilisateurs se ensembles de données ou les fichiers auxquels un utilisateur du préalablement autorisés par le verront probablement accorder des niveaux système pourra accéder. mécanisme de sécurité du d'accès inutiles En général, il devrait également être possible de spécifier quel système niveau d'accès (tel que l'affichage, la mise à jour et la suppression) l'utilisateur recevra aux ressources de l'application 10 Veiller à ce que le mécanisme de La fonction d'administrateur utilisateur doit exister Évaluez l'utilisation de la fonction d'administrateur avec le sécurité/autorisation du système pour aider à administrer les utilisateurs, les développeur ou l'administrateur de l'application. L'utilisateur de ait une fonction d'administrateur données et les processus. Ce compte ou cette cette fonction doit avoir la possibilité d'ajouter, de supprimer ou avec des contrôles et des fonctionnalité doit être étroitement contrôlé dans de modifier l'accès des utilisateurs au système d'application et à fonctionnalités appropriés l'application pour éviter de compromettre et de ses ressources. perturber les services aux autres utilisateurs Le mécanisme de sécurité doit également permettre de contrôler qui a accès à cette fonction d'administrateur. Obtenir une liste de tous les employés qui ont obtenu le niveau d'accès d'administrateur et examiner la pertinence de chacun d'entre eux. Veillez également à ce que le mécanisme de sécurité du système permette à l'administrateur de la sécurité du système de voir qui a accès au système et quel est son niveau d'accès 11 Déterminer si le mécanisme de Le mécanisme de sécurité de l'application devrait Vérifiez avec le développeur ou l'administrateur de l'application sécurité permet de mettre en permettre des contrôles granulaires sur qui peut que les contrôles appropriés sont en place. Par exemple, si œuvre les processus effectuer quels processus d'approbation et ensuite quelqu'un doit approuver des écritures de journal avant qu'elles d'approbation applicables verrouiller les données qui ont été formellement puissent être transmises au grand livre, le mécanisme de sécurité approuvées contre toute modification par une du système doit prévoir un moyen de définir qui est autorisé à autorité inférieure.Dans le cas contraire, une effectuer cette approbation. Toutes les données qui ont été autorité inférieure ou un utilisateur malveillant soumises au processus d'approbation doivent être verrouillées pourrait modifier ou corrompre les données dans afin d'empêcher toute modification ultérieure. Les entretiens le système avec les utilisateurs du système sont un bon moyen d'aider l'auditeur à déterminer la nécessité de ce type de capacité. Il est essentiel que l'auditeur comprenne non seulement les aspects techniques de la demande examinée, mais aussi l'objectif commercial 12 Examiner et évaluer les processus Les utilisateurs doivent avoir un accès accordé et Examiner les procédures de demande et d'approbation de l'accès d'octroi d'accès aux utilisateurs. régi par le ou les administrateurs de l'application à la demande. S'assurer que ces processus sont documentés et Veiller à ce que l'accès ne soit afin d'empêcher tout accès non autorisé à des qu'ils nécessitent l'approbation d'un administrateur compétent accordé que lorsqu'il existe un zones situées en dehors du champ d'action prévu avant que l'accès à l'application ne soit accordé à un utilisateur. besoin commercial légitime de l'utilisateur. L'application doit être dotée de Sélectionner un échantillon d'utilisateurs et s'assurer que l'accès contrôles et le ou les administrateurs doivent avoir des utilisateurs a été approuvé de manière appropriée. Vérifier mis en place des processus pour empêcher les que le mécanisme d'autorisation fonctionne correctement utilisateurs d'avoir plus d'accès que ce qui est nécessaire pour leur rôle. Cette étape incarne le concept d'accès le moins privilégié 13 Revoir les procédures de De mauvaises procédures de déprovisionnement Vérifiez que des processus de déprovisionnement appropriés suppression de l'accès des peuvent laisser un utilisateur avec un accès sont en place avec le développeur et l'administrateur de utilisateurs lorsqu'ils n'en ont plus inapproprié à notre application longtemps après l'application. besoin. Veiller à la mise en place que l'accès ou l'autorité aurait dû être suppriméExaminer les processus de l'administrateur ou des d'un mécanisme ou d'un administrateurs pour revoir périodiquement les listes d'accès des processus permettant de utilisateurs et valider que l'accès est toujours approprié. Veillez à suspendre l'accès des utilisateurs examiner à la fois l'application et les procédures qui l'entourent en cas de licenciement ou de pour vous assurer qu'elles sont suivies et qu'elles peuvent être changement d'emploi au sein de suivies telles qu'elles sont écrites. La suspension automatisée l'entreprise des comptes en cas de résiliation ou de changement d'emploi est préférable aux processus qui nécessitent une intervention manuelle. Pour les applications qui sont en "production" depuis un certain temps, sélectionnez un échantillon d'utilisateurs du système et validez que leur accès est toujours approprié. Sinon, si possible, sélectionnez un échantillon d'utilisateurs du système qui ont changé d'emploi ou quitté l'entreprise et assurez-vous que leur accès a été supprimé 14 Vérifiez que l'application dispose L'adéquation des contrôles de mots de passe Vérifiez les contrôles de mots de passe appropriés avec l'aide du de contrôles de mots de passe dépend de la sensibilité des données utilisées dans développeur ou de l'administrateur de l'application et en appropriés. Déterminez également l'application. examinant la politique de votre entreprise. Par exemple, un code si les mots de passe par défaut du Des mots de passe trop faibles rendent PIN à trois chiffres est probablement inapproprié pour une compte de la demande ont été l'application plus facile à compromettre, et des application qui stocke des données de carte de crédit, et un mot modifiés mots de passe trop forts pourraient entraîner une de passe de 20 caractères est probablement trop paranoïaque surcharge inutile de l'utilisation du système. pour quelqu'un qui essaie d'accéder à sa messagerie vocale. Si la De nombreuses applications, en particulier celles politique de votre entreprise exige des changements de mot de qui sont achetées, ont des comptes par défaut passe périodiques (par exemple tous les 90 jours), assurez-vous avec des mots de passe par défaut bien connus. que le mécanisme de sécurité oblige les utilisateurs à modifier Beaucoup de ces comptes par défaut sont utilisés leurs mots de passe conformément à cette politique. pour l'administration du système et ont donc des Le cas échéant, le mécanisme de sécurité doit également privilèges élevés. Si ces mots de passe par défaut appliquer des normes de composition des mots de passe, telles ne sont pas modifiés, il est facile pour un que la longueur et les caractères requis. En outre, le mécanisme utilisateur non autorisé d'accéder à l'application de sécurité devrait suspendre les comptes d'utilisateurs après un certain nombre de tentatives de connexion consécutives infructueuses. Ce nombre peut aller de 3 à 25 selon l'application, les autres formes d'authentification requises et la sensibilité des données. Déterminez s'il existe des comptes et des mots de passe par défaut avec l'aide du développeur ou de l'administrateur de l'application et en examinant la documentation du système et en effectuant des recherches sur Internet. S'ils existent, l'un des moyens les plus simples de déterminer s'ils ont été modifiés est d'essayer de se connecter en utilisant les comptes et mots de passe par défaut, mais il est probablement préférable de demander à l'administrateur de l'application d'essayer de le faire, car il pourrait être contraire à la politique de l'entreprise de tenter de se connecter en utilisant le compte de quelqu'un d'autre 15 Veiller à ce que les utilisateurs Sans contrôle des délais, un utilisateur non Examiner la demande avec le développeur ou l'administrateur soient automatiquement autorisé pourrait obtenir l'accès à l'application en afin d'évaluer l'existence de cette capacité déconnectés de l'application après accédant à un poste de travail connecté où une certaine période d'inactivité l'utilisateur légitime ne s'est pas déconnecté et où l'application est toujours active Gestion des autorisations 16 Évaluer l'utilisation des techniques Le besoin de cryptage est le plus souvent Examiner l'application avec le développeur ou l'administrateur de cryptage pour protéger les déterminé par une politique, une réglementation, pour évaluer l'existence d'un cryptage, le cas échéant données de candidature la sensibilité du réseau ou la sensibilité des données dans l'application. Dans la mesure du possible, les techniques de cryptage doivent être utilisées pour les mots de passe et autres données confidentielles qui sont envoyées sur le réseau. Cela permet d'éviter que d'autres personnes sur le réseau ne "reniflent" et ne saisissent ces informations. Pour les données sensibles, telles que les mots de passe, le cryptage doit également être envisagé lorsque les données sont au repos (en stockage). Cela est particulièrement important pour les données qui seront stockées en dehors des locaux de votre entreprise 17 Évaluer l'accès des développeurs En général, les développeurs de systèmes ne En discuter avec le développeur ou l'administrateur et évaluer la d'applications pour modifier les devraient pas avoir accès aux données de séparation des tâches entre les développeurs et les utilisateurs données de production production modifiées afin d'établir une séparation professionnels des tâches appropriée. La saisie et la modification des données devraient généralement être effectuées par les utilisateurs professionnels Contrôle des modifications de logiciels 18 Veiller à ce que le logiciel Il ne devrait pas être possible pour les Évaluez cette capacité avec les développeurs et l'administrateur d'application ne puisse pas être développeurs de mettre à jour directement le code de l'application. Déterminez l'emplacement du code de modifié sans passer par un de production. Votre code de production est votre production et qui a accès à la mise à jour de ce code. processus standard de contrôle, application, et il doit être strictement contrôlé. De préférence, le code sera contrôlé par une sorte de mécanisme d'évaluation, de test et Une séparation des tâches doit être mise en place bibliothécaire qui assure un contrôle granulaire sur la manière d'approbation après sa mise en pour garantir que toutes les modifications dont l'accès au code est géré. production apportées au code soient examinées et testées de Un contrôle adéquat des modifications logicielles exigera que le manière approfondie. code soit d'abord vérifié dans un environnement de Sans ces contrôles, des modifications non testées développement, puis dans un environnement de test ou de mise ou non intentionnelles pourraient être apportées à en place, et enfin dans l'environnement de production. votre application de production, ce qui porterait Déterminez si c'est le cas. En gravement atteinte à l'intégrité et à la disponibilité outre, assurez-vous que le mécanisme de modification du logiciel du système. Si une défaillance de l'application se nécessite une approbation avant que le code ne soit mis en produit sans contrôle des modifications du logiciel, production. Le système devrait exiger que cette approbation soit il peut être difficile, voire impossible, de trouver la effectuée par une personne autre que celle qui a développé ou cause du problème modifié le code. En outre, le mécanisme de modification des logiciels devrait permettre à des personnes spécifiques d'être autorisées à donner leur approbation pour les programmes du système. Examiner les personnes ayant cette autorisation et s'assurer que le privilège est maintenu au minimum. Évaluer les contrôles en place pour empêcher que le code ne soit modifié après sa validation mais avant qu'il ne soit mis en production. Sinon, les développeurs pourront contourner les processus d'approbation. Veiller à ce que ces contrôles soient documentés dans une politique ou une procédure et communiqués aux développeurs. Envisagez de sélectionner un échantillon de modifications logicielles récentes et de valider que tous les contrôles sont mis en œuvre et fonctionnent comme prévu 19 Évaluer les contrôles concernant la De solides contrôles des logiciels concernant Vérifiez auprès des développeurs que le mécanisme de vérification des codes et le l'extraction et le versionnage du code permettent modification du logiciel exige que les développeurs vérifient le versionnage de rendre des comptes, de protéger l'intégrité du code qu'ils veulent modifier. Si un autre développeur souhaite code et il a été démontré qu'ils améliorent la modifier le même code alors qu'il est encore en cours maintenance et la fiabilité d'extraction, il doit en être empêché. Sinon, le second développeur pourrait être averti du conflit mais autorisé à effectuer le checkout. Dans un tel cas, une notification de la duplication du checkout devrait être envoyée automatiquement au développeur d'origine. Assurez-vous que le mécanisme de changement de logiciel "versionne" le logiciel afin que les versions antérieures du code puissent être récupérées si nécessaire. Cela permet de disposer d'un mécanisme facile pour annuler les modifications, si des problèmes sont rencontrés 20 Évaluer les contrôles concernant Un code incorrectement testé peut présenter de Déterminer si le processus de changement de logiciel nécessite les tests du code d'application sérieux problèmes de performance ou de des preuves de tests (y compris des tests de sécurité), des visites avant qu'il ne soit placé dans un vulnérabilité lorsqu'il est mis en production avec de code et le respect des directives de développement de environnement de production des données réelles logiciels (y compris des directives pour un codage sécurisé). Ces vérifications doivent avoir lieu avant que l'approbateur n'approuve le code. Les tests de tout développement ou modification de logiciel doivent avoir lieu dans un environnement de test qui reflète l'environnement de production, en utilisant des données de test. Assurez-vous que ces exigences sont en place et documentées. Prélever un échantillon de modifications récentes de logiciels et rechercher des preuves que ces processus ont été suivis 21 Évaluer les contrôles concernant la De nombreuses applications exécutent des Travailler avec les développeurs et les administrateurs programmation des lots programmes (souvent appelés "jobs") en mode d'applications pour comprendre quel type de traitement par lots batch (hors ligne). Par exemple, une application de est en cours et examiner les contrôles applicables. Voici des gestion des comptes clients peut avoir des travaux exemples de contrôles courants : - S'assurer que l'outil de programmés pour s'exécuter chaque nuit, et planification des lots peut établir des relations l'application peut acquérir un flux de factures et prédécesseur/successeur et que cette capacité est utilisée si leur appliquer automatiquement des nécessaire. Les relations prédécesseur/successeur vous paiements.Ces fonctions sont souvent exécutées permettent d'établir une séquence de tâches, où une tâche ne par une série de jobs programmés pour s'exécuter peut pas démarrer avant qu'une autre tâche prédéterminée ne en séquence. Si des contrôles appropriés ne sont soit terminée avec succès. Cela permet d'établir une séquence pas mis en place pour la programmation et le suivi de traitement appropriée. - Déterminez si l'outil permet de de ces tâches, il peut en résulter un traitement contrôler la bonne exécution des travaux et s'il est doté d'un inexact ou un échec mécanisme d'alerte en cas d'échec. Ce mécanisme d'alerte doit être utilisé pour alerter une sorte de groupe de surveillance central, qui doit à son tour disposer d'une liste de contacts et d'escalade. - L'outil doit permettre de contrôler qui peut approuver et mettre en œuvre des changements dans la programmation des emplois et dans les définitions des emplois (tels que le lieu où l'emploi est situé, le nom de l'emploi, l'identifiant de l'utilisateur qui exécute l'emploi, la fréquence de programmation de l'emploi, etc.) Examiner et évaluer qui a la capacité d'approuver et de mettre en œuvre les changements apportés à la programmation et aux définitions des tâches. Cette capacité doit être limitée. - Pour les modifications de la programmation des tâches et des définitions de tâches, l'outil doit permettre de suivre qui a effectué la modification, qui a approuvé la modification, quand la modification a été effectuée, ce qui a été modifié et pourquoi la modification a été effectuée. L'outil doit également vous permettre de récupérer les versions précédentes du calendrier et des définitions de poste en cas de problème lié à une modification. Déterminez si c'est le cas. - Assurez-vous que l'outil vous permet d'effectuer le traitement des dates d'exception. En d'autres termes, il doit pouvoir s'adapter aux changements de calendrier dus aux vacances, aux années bissextiles, etc. - Assurez-vous que des procédures de récupération ont été mises au point pour permettre de redémarrer et de retraiter les emplois qui se sont terminés anormalement Sauvegarde et récupération 22 Déterminer si une analyse Une analyse d'impact sur les entreprises est Par le biais d'entretiens avec le personnel de support de d'impact sur les entreprises (AIA) a effectuée pour obtenir les commentaires des l'application et les utilisateurs finaux, déterminer quel type de été effectuée sur l'application utilisateurs de l'application concernant l'impact sur BIA, le cas échéant, a été effectué et examiner la documentation pour établir les besoins en matière l'entreprise en cas de panne prolongée de associée. Au minimum, recherchez les exigences documentées de sauvegarde et de restauration l'application (comme en cas de catastrophe). Cela concernant le RTO (objectif de temps de récupération, qui dicte permet d'élaborer les mécanismes de reprise la vitesse à laquelle le système doit être sauvegardé après un après sinistre de l'application sinistre) et le RPO (objectif de point de récupération, qui dicte la quantité de données que l'entreprise peut se permettre de perdre en cas de sinistre) de l'application 23 Veiller à ce que des contrôles de L'absence de sauvegarde des données Déterminez si les données et les logiciels critiques sont sauvegarde appropriés soient mis d'applications critiques peut gravement perturber sauvegardés périodiquement (par exemple, des sauvegardes en place les opérations commerciales en cas de catastrophe complètes hebdomadaires avec des sauvegardes incrémentielles (ou même éventuellement d'une panne de quotidiennes pour les données) et stockés hors site dans un système plus courante), entraînant la perte totale endroit sécurisé (avec des protections de cryptage appropriées de l'application et de ses données sans possibilité appliquées aux données hors site). Si cela est rentable et de les récupérer approprié, des enregistrements de transaction en double doivent être créés et stockés pour permettre la récupération des fichiers de données jusqu'à la dernière transaction traitée. S'assurer que le calendrier de sauvegarde est conforme au RPO et au RTO établis par les utilisateurs de l'application. Veillez également à ce que le code de l'application soit sauvegardé et stocké hors site dans un endroit sécurisé, ainsi que tous les outils nécessaires à la compilation et à l'utilisation du code 24 Veiller à ce que des contrôles de Les procédures de récupération et les tests sont Discutez-en avec l'administrateur de l'application et le personnel recouvrement appropriés soient nécessaires pour s'assurer que le processus de approprié pour vous assurer que des procédures de récupération mis en place récupération est compris et qu'il fonctionne détaillées sont documentées et définissent les tâches à effectuer, comme prévu les personnes qui doivent les effectuer et l'ordre dans lequel elles doivent être effectuées. Il convient de tester périodiquement la récupération à partir de la sauvegarde en utilisant les procédures de récupération documentées. Veiller à ce que les processus de récupération soient conformes au RTO établi par les utilisateurs de l'application Conservation et classification des données et utilisateur Participation 25 Evaluer les contrôles concernant la Les données doivent être archivées et conservées Ces exigences varient en fonction du type de données et doivent conservation des données de conformément aux exigences commerciales, être obtenues auprès des services appropriés de votre l'application fiscales et juridiques. Tout manquement à cette entreprise. Assurez-vous que les données ont été obtenues obligation pourrait entraîner des pénalités et des auprès du personnel approprié (tel que le propriétaire des problèmes opérationnels dus à l'impossibilité données dans l'application et les services juridiques et fiscaux) d'obtenir les données nécessaires afin de déterminer les exigences de conservation. Évaluez la pertinence des contrôles de conservation avec les développeurs et l'administrateur de l'application. Envisager d'interroger le propriétaire de l'entreprise, le service juridique et/ou le service fiscal pour valider les exigences de conservation 26 Evaluer les contrôles concernant la Toutes les données de l'application doivent être Identifiez le propriétaire de l'application commerciale (et/ou le classification des données dans attribuées à un propriétaire d'entreprise, et ce propriétaire des données contenues dans l'application) et l'application propriétaire doit classer les données (par exemple, demandez des preuves que les données ont été classées selon le publiques, à usage interne uniquement ou système de classification des données de votre entreprise. Cette confidentielles). Cela permet de s'assurer que les classification doit apparaître sur tous les rapports ou transactions données sont protégées en fonction de leur qui affichent des données du système. Déterminez également si sensibilité les mécanismes de contrôle d'accès de l'application sont appropriés en fonction de la classification 27 Évaluer la participation et le Sans une participation et un soutien appropriés Interviewer les utilisateurs de l'application et le personnel de soutien global des utilisateurs à la des utilisateurs, l'application peut ne pas répondre soutien pour déterminer quelle participation des utilisateurs et candidature de manière adéquate aux besoins des utilisateurs quels mécanismes de soutien ont été mis en place. Voici ou ne pas soutenir l'entreprise de manière quelques exemples appropriée : - Examiner et évaluer l'existence d'une équipe de direction formelle pour le système. En général, une équipe de pilotage ou une autre forme de comité d'utilisateurs doit exister pour approuver et hiérarchiser le développement et les modifications du système. - Veiller à ce que les modifications apportées aux fonctionnalités du système ne soient pas faites sans avoir été testées et approuvées par les utilisateurs. - Un mécanisme doit être mis en place pour permettre aux utilisateurs et aux développeurs du système de signaler et de suivre les problèmes du système et de demander des modifications du système. - Pour les applications importantes, une certaine forme de service d'assistance devrait exister pour fournir une aide en temps réel pour les questions et les problèmes des utilisateurs. - Veiller à ce qu'il existe une documentation et une formation sur le système qui fournissent aux utilisateurs des informations adéquates leur permettant d'utiliser efficacement l'application dans l'exercice de leurs fonctions
Metasploit pour débutant : le guide du débutant pour bypasser les antivirus, contourner les pare-feu et exploiter des machines avec le puissant framework Metasploit.
Secrets du Marketing des Médias Sociaux 2021: Conseils et Stratégies Extrêmement Efficaces votre Facebook (Stimulez votre Engagement et Gagnez des Clients Fidèles)
Apprendre Python rapidement: Le guide du débutant pour apprendre tout ce que vous devez savoir sur Python, même si vous êtes nouveau dans la programmation
L'analyse technique facile à apprendre: Comment construire et interpréter des graphiques d'analyse technique pour améliorer votre activité de trading en ligne.
Le money management facile à apprendre: Comment tirer profit des techniques et stratégies de gestion de l'argent pour améliorer l'activité de trading en ligne