Однажды, на заре своей карьеры, довелось мне проводить внутренний аудит соблюдения законодательства в информационной сфере. Уже после аудита я понял, что скорей всего, это направление никто не проверял. Ведь есть отдел информационных технологий, а у внутренних аудиторов часто экономическое и юридическое образование.

Одним из этапов аудита был истинно анонимный опрос сотрудников по правилам информационной безопасности. Под истинно анонимным опросом имею ввиду, что бланки опроса я распечатал на бумаге, а ящик для сбора ответов поставил в приёмной (камеры там не было).

В опроснике были простые вопросы на подобии: "Где можно хранить пароли?"; "Можно ли пускать за компьютер посторонних людей?"

Над этой затеей потешались все, кому не лень. Однако, когда были получены результаты, айтишники попытались узнать: "Кто же это такие отдельные личности, которые так интересно ответили на некоторые вопросы?"

Но опрос же был истинно анонимный, поэтому личности сотрудников можно было установить только по отпечаткам пальцев, поэтому всех работников пришлось обучать основам информационной безопасности. К слову сказать, это был не единственный неожиданный результат этого аудита.

При аудите нужно проверять всё, даже самые очевидные вещи.

#внутреннийаудит #аудит #автоматизацияаудита #непрерывныйаудит