کتاب الکترونیکی IT Auditing

ارزیابی فناوری اطلاعات

در شروع نگارش این کتاب تفکر اصلی ما نگارش یک کتاب واضح و قابل درک در مورد ارزیابی فناوری اطلاعات IT Auditing بود که در عین حال قابل اجرا نیز باشد. بنابراین به جای ارائه نظریات مختلف در این رابطه، تلاش کردیم یک کتاب راهنمای واقعی از دنیای حقیقی افرادی که در امور روزمره‌ی خود ارزیابی فناوری اطلاعات را انجام می‌دهند را در شرکت‌های واقعی ارائه کنیم. اگر در این زمینه موفق شده باشیم، این کتاب سه دستاورد برای مخاطب خود خواهد داشت؛ دستاوردهایی که فراتر از مطالبی است که در کتاب‌های دیگر که در زمینه‌ی فناوری اطلاعات ارائه شده است، خواهد بود. در این کتاب شما را راهنمایی می‌کنیم که چگونه کارکرد ارزیابی فناوری اطلاعات IT Auditing اجرا کنید به طوری که بتوانید میزان ارزشی که از این طریق برای شرکت خود ایجاد می‌کنید را به حداکثر خود برسانید.

بخش اول کتاب به ارائه‌ی توضیحات و راهنمایی در مورد نحوه‌ی اجرای ارزیابی فناوری اطلاعات IT Auditing اختصاص دارد به طوری که به عنوان یک بخش ضروری و قابل توجه در محیط فناوری اطلاعات شرکت محسوب می‌شود. این راهنمایی‌ها حاصل سالها تجربه و تمرینات خوبی است که ارزیابانی که در این زمینه بسیار باتجربه هستند می‌توانند به حجم قابل توجهی از ابزارهای سودمند و تکنیک‌ها در این بخش، دسترسی داشته باشند.

توانمندسازی خواننده در اجرای ارزیابی از طریق موضوعات رایج ارزیابی، فرآیندها و تکنولوژی‌ها

بخش دوم این کتاب اختصاص دارد به راهنمایی خواننده از طریق توصیه‌های کاربردی و دقیق که نه تنها نحوه‌ی انجام آنها توضیح داده شده است بلکه چرایی و چگونگی انجام آنها نیز شرح داده شده است. بسیاری از منابع ارزیابی فناوری اطلاعات IT Auditing ، چک لیست‌های جزوه-محور ایجاد می‌کنند بدون این که از طریق ارائه‌ی اطلاعات کافی در مورد چرایی و چگونگی انجام این مراحل به صورت گام‌به‌گام، توان واقعی ارزیابی فناوری اطلاعات IT Auditing ، شکل بگیرد. هدف ما این است که این فاصله‌ی موجود میان تئوری و کاربرد را از بین ببریم و به عبارت بهتر، این فاصله را پُر کنیم.

قراردادن خواننده در معرض استانداردهای ارزیابی فناوری اطلاعات IT Auditing و چارچوب‌ها و همچنین قواعدی که در این زمینه وجود دارد.

در بخش سوم، تمرکز بر روی استانداردها و چارچوب‌ها است به طوری که COBT, ITIL, ISO 27001 و همچنین قواعد و آیین‌نامه‌ها مانند Sarbanes-oxley, PCI, HIPAA مورد بررسی قرار می‌گیرد. هدف دیگر این بخش برطرف کردن خطر و حالت رمزآلود آن و مدیریت آن است که در بسیاری از آیین‌نامه‌ها ضرورت دارد.

حجم ارزشمندی از دانش و صنایع برای سخت‌سازی سیستم‌ها و اجرای تست‌های دقیق و با جزئیات کامل نفوذ در سایر متون، قابل دسترس هستند اما در این کتاب به این موارد پرداخته نمی‌شود. بر اساس تجربه و به عنوان یک ارزیاب فناوری اطلاعات، ما غالباً به دنبال بررسی و مقایسه‌ی کیفیت کنترل‌های داخلی از دیدگاه فردی که داخل یک سیستم قرار دارد، بوده‎ایم. همچنین در این کتاب پیش فرض ما این است که در انجام مراحل گام‌به‌گام ارزیابی‌ها، یک ارزیاب به تنظیمات و فایل‌ها و اسناد و اطلاعات کامل شرکت، دسترسی دارد. در واقع هدف این کتاب آموزش هک کردن نیست بلکه هدف این است که به عنوان یک راهنما به یک ارزیاب فناوری اطلاعات کمک کند تا بداند چگونه می‌تواند بر کنترل‌های داخلی و امنیت سیستم‌های فناوری اطلاعات و فرآیندهای موجود در شرکت خود، دسترسی داشته باشد و بتواند آنها را مورد بررسی و قضاوت دقیق قرار بدهد.