Ver:
· Recogida de pistas de auditoría
Examinar la
gestión económica de una entidad a fin de comprobar si se ajusta a lo
establecido por ley o costumbre.
DRAE.
Diccionario de la Lengua Española. .
Proceso
sistemático, independiente y documentado para obtener las evidencias de
auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en
el que se cumplen los criterios de auditoría.
NOTA 1: Una
auditoría puede ser interna (de primera parte), o externa (de segunda o tercera
parte), y puede ser combinada (combinando dos o más disciplinas).
[ISO Anexo SL]
[UNE-ISO/IEC 27000:2014]
Inspección
formal para verificar si un Estándar o un conjunto de Guías se está siguiendo,
que sus Registros son precisos, o que las metas de Eficiencia y Efectividad se
están cumpliendo. Una Auditoría la puede realizar tanto un grupo interno como
uno externo. Ver Certificación, Evaluación. [ITIL:2007]
La auditoría
consiste en la revisión sistemática de una actividad o de una situación para
evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas
deben someterse, según la definición dada por la Real Academia de la Lengua
Española.
El origen
etimológico de la palabra es el verbo latino "audire", que significa
"oír". Esta denominación proviene de su origen histórico, ya que los
primeros auditores ejercían su función juzgando la verdad o falsedad de lo que
les era sometido a su verificación principalmente oyendo.
http://es.wikipedia.org/wiki/Auditor%C3%ADa
proceso
sistemático, independiente y documentado para obtener evidencias de la
auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión
en que se cumplen los criterios de auditoría
NOTA. Las
auditorías internas, denominadas en algunos casos como auditorías de primera
parte, se realizan por, o en nombre de, la propia organización para fines
internos y puede constituir la base para la auto-declaración de conformidad de
una organización.
[ISO-9000_es:2000]
La auditoría
de sistemas de información es realizada para verificar ya sea por un equipo
interno o externo que analiza el funcionamiento y la distribución de los
controles en los procesos de información de una empresa, organización o
cualquier sistema que utilice medios de información, principalmente se realizan
para encontrar fallas, en el sistema a analizar, que permitan optimizar,
homogenizar, acercar, y proteger los procesos informáticos, ya que el flujo de
la información se facilita en cuanto se automatiza reduciendo el error humano,
el termino de informático se trata como sinónimo ya que en la actualidad no
podemos hablar de sistemas de información sin hablar de informática.
http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_sistemas_de_informaci%C3%B3n
systematic,
independent and documented process for obtaining audit evidence and evaluating
it objectively to determine the extent to which the audit criteria are
fulfilled
NOTE 1: An audit
can be an internal audit (first party) or an external audit (second party or
third party), and it can be a combined audit (combining two or more
disciplines).
[ISO/IEC
27000:2014]
Independent
review and examination of records and activities to assess the adequacy of
system controls and ensure compliance with established policies and operational
procedures . [CNSSI_4009:2010]
A review of
system security (or software security) in order to provide assurance that the
system's security posture is adequate. Comprehensive auditing is a good security
practice, but specific kinds of auditing may also be mandated by government,
regulatory, or contractual considerations. During software development, this
term is often used to refer to a code review or to an architectural risk
assessment. In an operational environment, auditing refers to a review of
security logs or other data collected during ongoing monitoring of operations
to identify actual or attempted security breaches and to evaluate the quality
of a system?s security. Such auditing should be done frequently, but, unlike
intrusion detection approaches, auditing is typically not expected to be a
real-time activity.
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/best-practices/risk/248-BSI.html
Formal inspection
and verification to check whether a Standard or set of Guidelines is being
followed, that Records are accurate, or that Efficiency and Effectiveness
targets are being met. An Audit may be carried out by internal or external
groups. See
Certification, Assessment. [ITIL:2007]
Formal inquiry,
formal examination, or verification of facts against expectations, for
compliance and conformity. [ISO-18028-1:2006]
Audits are
conducted to support operational assurance and examine whether systems are
meeting stated or implied security requirements, including system and
organization policies.
Audit trails
maintain a record of system activity both by system and application processes
and by user activity of systems and applications. In conjunction with
appropriate tools and procedures, audit trails can assist in detecting security
violations, performance problems, and flaws in applications.
Audit trails may
be used as either a support for regular system operations, or as a kind of
insurance policy, or as both of these. As insurance, audit trails are
maintained but are not used unless needed, such as after a system outage. As a
support for operations, audit trails are used to help system administrators
ensure that the system or resources have not been harmed by hackers, insiders,
or technical problems.
Mobile Security
Reference Architecture, May 23, 2013
automated tools
to aid the analysis of the contents of audit logs. [ISO-18028-1:2006]
Auditing is the
information gathering and analysis of assets to ensure such things as policy
compliance and security from vulnerabilities.
http://www.sans.org/security-resources/glossary-of-terms/
A third party
independent organization or person(s) that performs audits.
http://iab.com/
Inspection et
vérification formelle permettant de sassurer quun standard ou un ensemble de
principes a bien été suivi, que les enregistrements sont précis ou que les
objectifs defficience et defficacité ont été atteints. Un audit peut être
effectué par des groupes internes ou externes. Voir Certification, Évaluation. [ITIL:2007]
L'audit est un
processus méthodique, indépendant et documenté permettant d'effectuer une revue
et une inspection des activités et des enregistrements des événements systèmes
à un instant t. Il permet de valider l'adéquation des contrôles mis en place
pour assurer la conformité, l'adéquation et l'efficacité des politiques et des
procédures opérationnelles garantissant la conformité et la sécurité des
données. Au final, l'audit apporte des recommandations pour des changements
nécessaires dans les contrôles, les politiques ou les procédures.
http://www.cases.public.lu/functions/glossaire/
Temas relacionados