Audit IT security dilakukan untuk melindungi sistem yang ada dari ancaman keamanan yang mungkin terjadi, termasuk;
- Akses ke data rahasia
- Akses yang tidak sah ke komputer departemen
- Pemakaian password
- Serangan virus
- Open ports
Audit juga dilakukan untuk memastikan;
- Memastikan integrity, confidentiality dan availability dari informasi
- Pengawasan terhadap semua ukuran keamanan berdasarkan IT Security policy
- Menyelidiki gangguan keamanan yang tercatat dalam buku log
Contoh pertanyaan yang sering diajukan oleh IT Audit;
A. Umum
- Apakah perusahaan / departemen mempunyai kebijakan keamanan IT, standar atau prosedur?
- Apakah kebijakan, standar atau prosedur tersebut disimpan ditempat yang mudah diakses? dismpan dalam media apa?
B. Hardware
- Apakah perusahaan / departemen mempunyai standar sistem perawatan dan prosedur?
- Apakah sistem administrator sudah memastikan semua data-data penting sudah dihilangkan sebelum hardware dikirim keluar untuk perbaikan atau penggantian?
C. Software
- Apakah mempunyai disks asli untuk install ulang jika software di hard disk bermasalah?
- Apakah ada panduan atau prosedur untuk melanjutkan operasional jika pusat pelayanan software bermasalah?
D. Environmental
- Apakah lingkungan kerja aman dan bebas dari kemungkinan bahaya? (seperti, atap bocor, kecukupan listrik, dll)
- Apakah UPS bisa membantu server dan PC jika ada masalah listrik?
E. User login dan Password
- Apakah ada kebijakan untuk memilih password ?
- Apakah password diganti? berapa lama?
F. Physical Security
- Apakah ada prosedur untuk mengunci ruang komputer?
- Apakah ada sistem alarm?
- Apakah PC bisa dikunci untuk menghindari akses orang lain ke dalam komputer?
G. Network dan Configuration Security
- Apakah perusahaan mempunyai diagram network?
- Apakah perusahaan bisa melanjutkan operasional ketika ada masalah dengan network?
H. Web Server
- Apakah web server ditentukan hanya untuk port 80?
- Apakah contoh file, script dan file development sudah dihapus?
I. FTP
- Apakah semua FTP server sudah diatur hanya untuk pengguna yang berhak?
- Apakah traffic di encrypted / aman?
J. Email
- Apakah email server bisa untuk scan mail dan lampiran dari serangan virus?
- Apakah akses web ke email aman?
K. Disaster Planning
- Apakah ada contigency plan jika PC tidak bisa jalan?
- Apakah contigency plan sudah dicoba secara berkala?
L. Backup dan Recovery
- Apakah file / data backup disimpan ditempat yang aman?
- Apakah file-file yang penting di backup secara berkala?
M. Change Management
- Apakah perusahaan mempunyai version control untuk produk software atau aplikasi?
- Apakah hanya orang yang sudah terlatih d\yang diizinkan untuk install software?
N. Training
- Apakah pegawai baru membaca dan mengerti tentang keamanan IT?
- Apakah ada workshop untuk pegawai tentang keamanan IT?
O. Firewall
- Seberapa sering log dilihat?
- Apakah perusahaan mempunyai teknikal staff untuk menjalankan network firewall?
P. Antivirus
- Apakah PC menggunakan antivirus versi terbaru?
- Seberapa sering anti virus diganti / update?
sangat membantu. tks banyak