Beruflich Dokumente
Kultur Dokumente
vom
DISA 3.0 Kurs
Hiermit wird bescheinigt, dass wir die im DLH-Portal vom 7. November 2020 bis 29.
November 2020 durchgeführte DISA 3.0-Kursschulung erfolgreich absolviert haben und über
die
erforderliche Anwesenheit verfügen. Wir reichen das Projekt mit dem Titel ein:-
Hiermit bestätigen wir, dass wir die von DAAB, ICAI herausgegebenen Richtlinien für das
Projekt eingehalten haben. Wir bestätigen auch, dass dieser Projektbericht die ursprüngliche
Arbeit unserer Gruppe ist und
jeder von uns aktiv an der Vorbereitung dieses Projekts teilgenommen und dazu beigetragen
hat. Wir haben die Projektdetails nicht
mitgeteilt oder Hilfe bei der Erstellung des Projektberichts von niemandem außer
Mitgliedern unserer Gruppe erhalten.
Anschreiben
Details der Fallstudie/des Projekts (Problem)
1 Einleitung 6-7
2 Hintergrund 8
3 Geprüfte Umgebung 8
4 Auftragsbedingungen und - 9
umfang
5 Geprüfte Dokumente 9
6 Logistikarrangements 10
8 Referenzen 13
10 Fazit 17
An,
Der Finanzvorstand,
In Bezug auf unser Mandatsschreiben vom 10. November 2020 hat VNY & Associates,
Chartered Accountants, eine unabhängige Sicherheitsüberprüfung des Netzwerks bei
Fernoperationen von Jupiter Capital Services Ltd. durchgeführt. Dieses Engagement
konzentrierte sich in erster Linie auf die Durchführung von Audits der Netzwerksicherheit,
um zu überprüfen, inwieweit das Netzwerk für den Betrieb an entfernten Standorten,
einschließlich des Betriebs von zu Hause aus, gesichert ist.
Wir haben die Prüfung gemäß Mandatsschreiben durchgeführt. Wir haben versucht, die
Ursache des Problems herauszufinden und dem Management auch eine Empfehlung zur
Nachverfolgung gegeben. Die hierin enthaltenen Informationen und unser Bericht sind
vertraulich. Sie ist nur für die alleinige Verwendung und Information der Gesellschaft und nur
im Zusammenhang mit dem Zweck bestimmt, für den die Prüfung durchgeführt wurde. Es ist
zu beachten, dass jede Vervielfältigung, Vervielfältigung oder sonstige Zitierung dieses
Berichts oder eines Teils davon nur mit unserer vorherigen schriftlichen Genehmigung
erfolgen kann.
Vielen Dank,
Wirtschaftsprüfer
1. Einleitung
Jupiter Capital Services Ltd ist eine der führenden NBFC, die gemäß der RBI-Verordnung als
systemisch wichtige, nicht einlagenannehmende Kerninvestmentgesellschaft registriert ist. Es
hat Büros in jeder größeren Stadt des Landes.
Jupiter Capital Services Ltd bietet den Kunden verschiedene Arten von Darlehen an, aber die
wichtigsten Bereiche sind:-
• Gewerbliche Kredite
• Wohnungsbaudarlehen
• Fahrzeugdarlehen
Jupiter Capital Services Ltd hat seinen Hauptsitz in Mumbai und 5 regionale Niederlassungen.
Als NBFC sollte jeder Geschäftsprozess auf hohem Niveau abgesichert sein.
Die Wirtschaftsprüfungsgesellschaft dieses Auftrags ist VNY & Associates. Die Firma wurde
2015 gegründet und verfügt über eine Erfahrung von 5 Jahren im Bereich
Wirtschaftsprüfung, Steuern, Systemprüfung usw.
Komponieren
Partner – 3
In diesem Fall wird das Audit von einem Team unter der Leitung von CA Vikash Sharma mit 8
Mitgliedern durchgeführt, darunter 2 bezahlte Mitarbeiter und 6 Artikel.
Das Auditteam für diesen speziellen Auftrag besteht aus den folgenden qualifizierten
Mitgliedern, die wie folgt sind:
3. Geprüfte Umgebung
Die Vernetzung im Remote-Betrieb in Jupiter Capital Services Ltd stellt einzigartige
Herausforderungen dar, die sich aus der Notwendigkeit ergeben, die Vernetzung an
jedem Gerät ordnungsgemäß zu sichern. Jedem Mitarbeiter wurde ein separater
Laptop für seine Arbeit zur Verfügung gestellt, und er trägt die Geräte am Standort
des Kunden und lädt die Daten von dort hoch. Einige der Mitarbeiter arbeiten von zu
Hause aus, um Betriebskosten zu sparen.
Einhaltung der von der ICAI herausgegebenen relevanten Standards und der weltweit
anerkannten Standards für die Zwecke des Informationssystem-Audits und Einrichtung eines
Informationssicherheitsrahmens, um sicherzustellen, dass alle erforderlichen Aspekte der
Informationssicherheit abgedeckt sind.
5. Geprüfte Dokumente
• IT-Sicherheitsrichtlinie für mobile Geräte, die in einem Netzwerk verwendet werden
• Netzwerksicherheitsrichtlinie, in der die Rechte und Pflichten aller Mitarbeiter, Mitarbeiter und
Berater aufgeführt sind.
• Akzeptable Netzwerknutzungsrichtlinie.
• Unterzeichnete Sicherheitsvereinbarung mit Netzwerkanbietern.
• Notfallplan im Falle eines Netzwerkausfalls oder einer Sicherheitsverletzung.
6 Logistikabwicklung erforderlich
• Das Unternehmen wird die für den Einsatz erforderliche Computerzeit, Software-Ressourcen
und Support-Einrichtungen zur Verfügung stellen.
• Im Laufe des IS-Audits werden die Auditoren ACL, IDEA Software, SQL-Befehle, Baseline
Security Analyzer, Belarc Security Advisor, Free Port Scanner und Third Party Access Control
Software als Computer-Audit-Unterstützungstechniken (CAAT) für die Überprüfung des
Systems mit Windows 10-Computer, der mit dem Server mit abc-Betriebssystem verbunden ist,
unter Verwendung der Niederlassung in Mumbai und Ahmedabad eines der Kunden des
• Als Auditor werden wir die Integrated Test Facility (ITF) für die Prüfung der in die
Anwendungssoftware eingebetteten regulatorischen Anforderungen nutzen. Wir werden
sowohl korrekte als auch falsche Daten verwenden, um die Fehlerberichterstattungsfähigkeiten
der Netzwerksoftware zu überprüfen.
• Es würde ein Mapping-Programm verwendet, das die nicht ausgeführten Codes in der
Codierung der Software identifiziert, was uns helfen wird, die Aufmerksamkeit des
Management- und Softwareentwicklungsteams auf sich zu ziehen.
Erforderliche Dokumentation:
• Benutzerhandbücher und technische Handbücher
• Quellcode der Software
• Regeln, Vorschriften, Richtlinien und Rundschreiben für das Unternehmen
• Sicherheitsrichtlinien des Unternehmens etc.
• Netzwerksicherheitsrichtlinie, in der die Rechte und Pflichten aller Mitarbeiter, Mitarbeiter und
Berater aufgeführt sind.
• Akzeptable Netzwerknutzungsrichtlinie.
7 Methodik und Strategie
Bei der Durchführung eines ersten Sicherheitsaudits ist es wichtig, die aktuellsten Compliance-
Anforderungen zu verwenden, um die Sicherheitsprotokolle einzuhalten. Dies definiert klar,
worauf CISOs achten sollten, und hilft bei der Gestaltung und Einrichtung der Zukunft Ihrer
automatisierten Sicherheitsüberwachung und -bewertung. Das Audit wird durchgeführt, um zu
überprüfen, ob die folgenden Schritte vorhanden und aktualisiert sind:-
8 Referenzen
Im Rahmen des Netzwerksicherheitsaudits der NBFC haben die IS-Auditoren des Unternehmens
die folgenden Standards und Richtlinien eingehalten:
7. Multi faktor Das Unternehmen verfügt nicht Das IT-Team sollte Multi-Faktor-
authentifizierung über eine Multi-Faktor- Authentifizierungssysteme für jeden
Authentifizierung, nur die Anmelde- Mitarbeiter einrichten, der sich bei
ID wird verwendet, um eine seinem unternehmen
Verbindung zum Netzwerk benutzer profil
herzustellen. aus der Ferne. Kombination von
Benutzer-ID mit einem
Einmalpasswort (OTP), das an die
persönliche registrierte Nummer
Weitere Empfehlungen für den Fernbetrieb:-
• 2FA (Zwei-Faktor-Authentifizierung) obligatorisch machen.
• Informieren Sie Ihre Mitarbeiter über Cybersicherheitsrisiken und deren
Schwachstellen, während sie von zu Hause aus arbeiten.
• Bringen Sie Ihren Mitarbeitern bei, wie sie Phishing erkennen und welche
Schritte sie unternehmen müssen, wenn sie Phishing erhalten.
• Stellen Sie einen Ansprechpartner und klare Richtlinien für den Fall einer
Sicherheitsverletzung zur Verfügung.
• Machen Sie die Verwendung einer Standard-Passwort-Manager-Lösung
obligatorisch.
• Führen Sie Phishing-Audits durch, um die Bereitschaft Ihrer Remote-
Mitarbeiter zu testen.
• Stellen Sie sicher, dass regelmäßige Backups durchgeführt werden.
•Dateifreigabeberechtigungen
Behalten Sie "schreibgeschützt" als Standard bei, wenn Sie
erteilen.
• Verwenden Sie eine E-Mail-Filterlösung, um eingehende und ausgehende
Nachrichten zu filtern.
• Schütze dich mit E-Mail-Filtern vor Spam, Malware und Phishing.
Obwohl es dem Unternehmen gelungen ist, sein Netzwerk zu sichern, aber es gibt
Schlüsselbereiche, die wir identifiziert haben, die sich auf die Authentifizierung für die
Verbindung zum Netzwerk beziehen, sind sich die Mitarbeiter der Sicherheitsrichtlinien
des Unternehmens nicht bewusst, es gibt keine Notfall-Wiederherstellungspläne, die
Verwendung von RDS von Drittanbietern ohne Rücksprache mit dem IT-Team usw. Wir
haben Empfehlungen zu unseren Erkenntnissen abgegeben, die für die Geschäftsführung
hilfreich sein können.
Es gibt auch andere Erkenntnisse, die ebenfalls wichtig sind, um so schnell wie möglich
gelöst zu werden. Es gibt Richtlinien für den Fall einer Sicherheitsverletzung; es gibt keine
ordnungsgemäßen Berechtigungskontrollen für die Verbindung des Netzwerks usw.
Notwendige Empfehlungen werden von uns an die Geschäftsführung gegeben, um die
Erkenntnisse von uns zu überwinden.
Die von uns vorgeschlagenen Empfehlungen sind suggestiver Natur und nicht
obligatorisch. Das Management kann nach alternativen Lösungen für die Ergebnisse
suchen.