Protection of information assets в целом, это задача ИТ-безопасности, , а аудитору достаточно посмотреть процессы и результаты работы.
Цитата
Объяснить-то конечно можно, но качество проведённой проверки человеком, которому объясняли что-такое экссесс-листы в течении даже 2-х недель, но при этом объясняли в отрыве от других базовых вещей, например модели ISO OSI или принципов маршрутизации - кажется мне весьма сомнительным. Скажу так, я даже пытаться не буду это объяснять человеку без IT background. Лучше сам сделаю. Максимум, что доверил обычному аудитору в регионе - это DRP. Ну там всё более-менее понятно и проинструктировал я его достаточно подробно. План, есессно, сам писал, да и съездил сам туда на всякий пожарный.
Не поверите, но можно. Не надо быть монстром ИТ, чтобы делать аудит - примеров достаточно, я тоже раньше не верил.
Ну, тут аудит, аудиту - рознь. Если это аудит ведения ИТ-проектов, то можно и без спец. ИТ образования обойтись. А вот если Вы соберетесь делать аудит безопасности ИТ? Тут уж по крайней мере надо что-то понимать в телекоммуникациях, средствах защиты и т.д. Попробуйте без определённых знаний вон хотя бы цискины эксесс листы оценить... Очень сомнительно.
вот я все время и говорю, что аудит ИТ и аудит безопасности ИТ это разные вещи. А акцесс листы... объяснить можно недели за две, было бы желание.
Такое ощущение, что Вы не слышали об IT-аудите как элементе СМК по стандарту ИСО, который является функцией менеджмента, а не корпоративного управления.
А оно нам сильно надо? Фраза про "Организация ИТ-аудита - задача руководителя ИТ-подразделения" - есть несомненный бред. RTFM... Можно хотя бы тот же CobIT или CISA review manual.
вот, вот, а то аудит менеджментом как то не звучит