Era uma vez uma auditoria a um data center…
LAB GSTI 2.0: Era uma vez uma auditoria a um data center… Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
[1] http://www.datacenterdynamics.com.br/node/65200 Leia outros artigos:
- Necessidade de se realizar uma avaliação independente dos processos de transferência das responsabilidades (desde a seleção de fornecedores à adjudicação dos serviços), gestão da relação, cumprimento dos requisitos contratuais e legais ao longo da duração do contrato e gestão de incidentes e disputas; e
- Capacitar a gestão com instrumentos de monitorização e avaliação dos impactos da externalização de determinadas atividades no ambiente de risco e controlo interno do negócio .
- Planeamento e definição de escopo e objetivos da revisão;
- Cumprimento dos requisitos de negócio:
- Cumprimento das expectativas do negócio em relação ao contrato:e
- Avaliação dos riscos identificados e monitorização da sua evolução.
- Conformidade contratual:
- Avaliação do contrato (disposições contratuais e execução do contrato).
- Gestão da relação:
- Entrega dos serviços contratados de acordo com os requisitos de qualidade e quantidade;
- Entrega de serviços adicionais;
- Gestão de incidentes;
- Faturação dos serviços prestados; e
- Revisão dos termos da relação.
- Operação e controlo dos serviços prestados:
- Operação dos serviços conforme planeado; e
- Responsabilidade pelos processos e controlos.
- Cumprimento dos requisitos de conformidade legal e normativos acordados:
- Garantia de auditabilidade dos termos contratuais e requisitos legais/normativos;
- Revisão dos controlos gerais informáticos;
- Conformidade legal/normativa.
- Governança
- Modelo de governança sobre o ambiente externalizado (ex. políticas, procedimentos, comités)
- DS1.3 Service Level Agreements;
- DS1.4 Operating Level Agreements;
- DS1.5 Monitoring and Reporting of Service Level Achievements;
- DS1.6 Review of Service Level Agreements and Contracts;
- DS2.2 Supplier Relationship Management;
- DS2.3 Supplier Risk Management;
- DS2.4 Supplier Performance Monitoring;
- ME2.5 Assurance of Internal Control;
- ME2.6 Internal Control at Third Parties;
- ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements;
- ME3.3 Evaluation of Compliance With External Requirements
- ME3.4 Positive Assurance of Compliance
- DS9.2 Identification and Maintenance of Configuration Items
[1] http://www.datacenterdynamics.com.br/node/65200 Leia outros artigos:
- “Chapéus há muitos, seu palerma!”
- Resoluções Glocais para 2013
- Está na hora de mudar de emprego?
- Zona de conforto e a síndrome de "Gabriela"