Мы быстрорастущая компания, которой необходимо внезапно выполнить требования внешних аудиторов, чтобы пройти рекомендации по безопасности ИТ. В рамках рекомендаций нам необходимо обеспечить выполнение различных внутренних контролей. Поскольку выполнение контроля должно быть защищено от несанкционированного доступа, даже администраторы в нашей компании могут не иметь права редактировать или удалять процедуры контроля после их завершения (для сохранения корректной истории).
Примеры процессов, которые должны хранить проверяемую историю:
- доступ к внутреннему инструменту, предоставленный сотруднику
- Работнику дано разрешение на выполнение какой-либо работы
- проводится еженедельная плановая проверка, и результат регистрируется ответственным лицом
Похоже, нам нужно положиться на внешнюю компанию, которая будет хранить наши данные и давать нам только ограниченный доступ к ним, чтобы обеспечить соответствие. На правильном ли я пути? Как я слышал, каждая публичная компания в США должна проходить аудит, который имеет те же требования, поэтому я надеюсь, что есть стандартная процедура, которой нужно следовать.