Exemplul este prescurtat, simplist, snapshot. Doar cîteva lucruri pentru a exemplifica cele scrise în postul anterior.

În primul rînd ar trebui să se decidă la ce ne raportăm: COBIT, ITIL sau COBIT+ITIL. Eu prefer ultima variantă.

COBIT-ul îmi spune care sînt obiectivele controlului pentru management în timp ce ITIL îmi formează şi perspectiva lucrurilor de pe terenul de luptă din IT. Al doilea argument ţine de maniera de implementare a COBIT: niciodată singur. Nu uităm că el defineşte obiective de control.

Voi elimina din exemplul meu lucrurile legate de planificarea reviziei şi definirea scopului acesteia. Presupunem că am făcut acest lucru şi de asemenea că auditatul ştie ce presupune “change management”.

1. Trebuie să înţeleg infrastructura IT care stă la baza proceselor economice (Controale în COBIT, DS 10.4)

Aici am în vedere cum sînt rezolvate “incidentele ” – “any event that is not part of the standard operation of a service and that causes, or may causes, an interruption to, or a reduction in the quality of that service” – ITIL v3, Incident management.

Mă mai interesează cum este gestionată biblioteca software şi dacă se dezvoltă intern aplicaţii ce metodologie se foloseşte (Controale în COBIT AI3.2, AI7.8, DS 5.7, PO 8.3)

2. Cum arată procesul “change management”: schimbări autorizate, evaluate, ierarhizate; resursele necesare.

Se aplică puţină analiză statistică a datelor: eşantion reprezentativ de “changes” pentru modificări urgente, probleme etc. Stratificarea eşantionului (în funcţie de riscurile implicate de modificări. Toeretic ar trebui să existe şi o astfel de evaluare, inclusiv implicaţiile asupra securităţii sistemului). Se revizuieşte fiecare ticket din eşantion.

3. Cine are acces la softul din producţie: “trebuie să ştie”. Există o listă de acces la softul din producţie? Controlul versiunilor? Cum se transmit modificările în mediul de producţie?

4. Înainte de darea în producţie, cine aprobă din partea “beneficiarului”? Există instrument software pentru aşa ceva? Dacă nu, cum se face controlul manual? Controale compensatorii?

5.Ce proceduri există pentru modificările de urgenţă? Se face testare înainte de darea în producţie? Cine aprobă darea în producţie?

6. Ce rapoarte se întocmesc şi la ce interval? Către cine?

Repet: mici exemple care să acopere AI6.1-AI6.5. În viaţa reală lucrurile sînt puţin mai complicate şi este mult de muncă. Această revizie nu trebuie confundată cu situaţia particulară a auditului conform ISO 20000……