10
IT-Prüfung steht an, was wird geprüft?
Hallo.
Bei uns steht eine IT-Prüfung vom kommunalen Prüfungsverband (öffentlicher Dienst) an.
Die letzte Prüfung ist schon einige Jahre her, als ich noch nicht hier beschäftigt war.
Ich frage mich, was da alles auf mich zukommen kann.
Die vorliegende Situation ist eigentlich simpel und so wie bei uns sicherlich vielfach anzutreffen:
- Active Directory auf Basis SBS 2008 m. Exch. 2007
- Rechte-Vergabe (Shares u. NTFS) nur in Gruppen, keine einzelnen Userrechte (AGP = Account > Gruppe > Privileg)
- 2 HYPER-V-II-Hypervisoren, W2K8R2-Enterprise
- Veeam 7.0-Backup auf 2 synchronisierten NAS u. zusätzlich Sym. BE 2012 auf LTO-4-Bändern
- Fileserver, Printserver, AV-Server, DB-Server, WSUS-Server, CTI-Server, DMS-Server, Applikationsserver (alle virtuell W2K8R2)
- Windows 7- und Windows 10-Clients (alle OEM)
- div. Netzwerkdrucker (Druckspool über Druckserver), teils m. Abrufdruck (große MFPs)
- MS Office 2010/2013/2016 (teils Home & Business, teils VL-Rahmenvertrag)
- Telefonanlage 100 Nbst. m. CTI
- elektr. Zeiterfassung, komb. m. Zutrittskontrolle
- 2 Firewalls (1 x Sonicwall wg. Zugang zu ext. Outsourcing-Dienstleister, 1 x Mikrotik für alles andere)
- 2 x Internet (1 x Company-Connect d. Telekom m. 2 festen IPs 10 Mbit/s symmetrisch für alles dienstliche, 1 x Kabel Deutschland für's "Dummsurfen" - große Downloads, ISO usw. f. administrative Zwecke)
Und sicherlich noch viele Einzelheiten, die mir jetzt nicht adhoc einfallen, um sie alle hierhinschreiben zu können.
Was (und wie) würdet Ihr tun, wenn Ihr Prüfer wärt und mich so richtig auseinandernehmen wolltet (um unbedingt irgendwas zu finden, was dann im Prüfbericht steht)?
Hat schonmal jemand so eine Prüfung gehabt (bei richtig großen Firmen macht sowas sicherlich auch mal die interne Revision)?
Was muß ich im Rahmen der Kooperation alles zulassen, was die von mir wollen (könnten)?
- irgendwelche von den Prüfern mitgebrachte Tools (Software-Sniffer, LAN-Sniffer) auf dem Netzwerk laufen lassen?
- Einsicht in schriftl. Vorgänge/Mails/Rechnungen geben?
- Lizenzen prüfen?
Wie gesagt, ist meine erste Prüfung dieser Art, und ich bin recht unsicher darin, wie (oder überhaupt ob) ich mich darauf vorbereiten kann/soll. Leider können mir meine Vorgesetzten auch nicht hundertprozentig sicher sagen, was da auf mich zukommt, und insbesondere leider auch nicht, was die Prüfer überhaupt von mir, bei aller grundsätzlicher Kooperationsbereitschaft meinerseits, verlangen dürfen.
Wäre klasse, wenn jemand etwas (vergleichbares) dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Bei uns steht eine IT-Prüfung vom kommunalen Prüfungsverband (öffentlicher Dienst) an.
Die letzte Prüfung ist schon einige Jahre her, als ich noch nicht hier beschäftigt war.
Ich frage mich, was da alles auf mich zukommen kann.
Die vorliegende Situation ist eigentlich simpel und so wie bei uns sicherlich vielfach anzutreffen:
- Active Directory auf Basis SBS 2008 m. Exch. 2007
- Rechte-Vergabe (Shares u. NTFS) nur in Gruppen, keine einzelnen Userrechte (AGP = Account > Gruppe > Privileg)
- 2 HYPER-V-II-Hypervisoren, W2K8R2-Enterprise
- Veeam 7.0-Backup auf 2 synchronisierten NAS u. zusätzlich Sym. BE 2012 auf LTO-4-Bändern
- Fileserver, Printserver, AV-Server, DB-Server, WSUS-Server, CTI-Server, DMS-Server, Applikationsserver (alle virtuell W2K8R2)
- Windows 7- und Windows 10-Clients (alle OEM)
- div. Netzwerkdrucker (Druckspool über Druckserver), teils m. Abrufdruck (große MFPs)
- MS Office 2010/2013/2016 (teils Home & Business, teils VL-Rahmenvertrag)
- Telefonanlage 100 Nbst. m. CTI
- elektr. Zeiterfassung, komb. m. Zutrittskontrolle
- 2 Firewalls (1 x Sonicwall wg. Zugang zu ext. Outsourcing-Dienstleister, 1 x Mikrotik für alles andere)
- 2 x Internet (1 x Company-Connect d. Telekom m. 2 festen IPs 10 Mbit/s symmetrisch für alles dienstliche, 1 x Kabel Deutschland für's "Dummsurfen" - große Downloads, ISO usw. f. administrative Zwecke)
Und sicherlich noch viele Einzelheiten, die mir jetzt nicht adhoc einfallen, um sie alle hierhinschreiben zu können.
Was (und wie) würdet Ihr tun, wenn Ihr Prüfer wärt und mich so richtig auseinandernehmen wolltet (um unbedingt irgendwas zu finden, was dann im Prüfbericht steht)?
Hat schonmal jemand so eine Prüfung gehabt (bei richtig großen Firmen macht sowas sicherlich auch mal die interne Revision)?
Was muß ich im Rahmen der Kooperation alles zulassen, was die von mir wollen (könnten)?
- irgendwelche von den Prüfern mitgebrachte Tools (Software-Sniffer, LAN-Sniffer) auf dem Netzwerk laufen lassen?
- Einsicht in schriftl. Vorgänge/Mails/Rechnungen geben?
- Lizenzen prüfen?
Wie gesagt, ist meine erste Prüfung dieser Art, und ich bin recht unsicher darin, wie (oder überhaupt ob) ich mich darauf vorbereiten kann/soll. Leider können mir meine Vorgesetzten auch nicht hundertprozentig sicher sagen, was da auf mich zukommt, und insbesondere leider auch nicht, was die Prüfer überhaupt von mir, bei aller grundsätzlicher Kooperationsbereitschaft meinerseits, verlangen dürfen.
Wäre klasse, wenn jemand etwas (vergleichbares) dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294189
Url: https://administrator.de/contentid/294189
Printed on: April 23, 2024 at 14:04 o'clock
10 Comments
Latest comment
Hi
es müssten doch noch Unterlagen der alten Prüfung vorhanden sein, zumindest sollte das Ergebnis daraus noch vorliegen, eine Behörde wirft ja eigentlich nichts weg
.
Bei unseren letzten Prüfungen (ISO9001 & Wirtschaftsprüfer) wurden folgende Sachen abgefragt
Eigentlich nichts wildes, wenn die Prüfer etwas finden möchten, dann finden Sie auch etwas. Ich würde mir da nicht allzugroße Sorgen mit machen.
. Da wir mittlerweile recht viel niedergeschrieben haben und im Monitoring verschiedene Dashboards haben, war das für uns nicht so der riesen Aufwand, wichtig in den meisten Fällen ist es, dass die Sachen irgendwo niedergeschrieben sind, so das zur Not ein dritter das System zu laufen bekommt.
Gruß
@clSchak
es müssten doch noch Unterlagen der alten Prüfung vorhanden sein, zumindest sollte das Ergebnis daraus noch vorliegen, eine Behörde wirft ja eigentlich nichts weg
.Bei unseren letzten Prüfungen (ISO9001 & Wirtschaftsprüfer) wurden folgende Sachen abgefragt
- IT Risikoanalyse (Kern wird auf Datensicherheit, Datenschutz und Datenverfügbarkeit liegen)
- IT Sicherheitskonzept (Neben der üblichen Verdächtigen wie FW, AV usw. auch die Schutzmaßnahmen der Serverräume)
- Statusmeldungen / Rückmeldungen aus dem Monitoring System und deren Handling
- Prüfung der Berechtigungen von verschiedenen Benutzern
- Lizenzaudit (das stand von MS eh an und wurde mitgemacht, wird in deinem Fall wohl nicht gemacht werden)
- Change Management an der ERP (Anforderung - Umsetzung - Abnahme - Freigabe - Übernahme)
- Prozessanalysen (z.B. Abhandlung von Berechtigungsanpassungen, Umgang mit Fehlern usw.)
- usw.
Eigentlich nichts wildes, wenn die Prüfer etwas finden möchten, dann finden Sie auch etwas. Ich würde mir da nicht allzugroße Sorgen mit machen.
. Da wir mittlerweile recht viel niedergeschrieben haben und im Monitoring verschiedene Dashboards haben, war das für uns nicht so der riesen Aufwand, wichtig in den meisten Fällen ist es, dass die Sachen irgendwo niedergeschrieben sind, so das zur Not ein dritter das System zu laufen bekommt.Gruß
@clSchak
Servus,
Du kriegst Post....
Gruß
VGem-e
Du kriegst Post....
Gruß
VGem-e
Kein Virenscanner? Dann würde ich dich rausschmeißen
@clSchak:
Danke für Deine Antwort.
Bei der Risikoanalyse wird dann wohl über die fehlende Endpoint-Protection (z. B. keine für Wechseldatenträger gesperrten USB-Ports) gemosert werden, ist aber bei uns nicht praktikabel und kann ich denen auch erklären, warum dies bei uns nicht praktikabel ist.
Hinsichtlich IT-Sicherheitskonzept fühl' ich mich sicher (FW u. AV), einzig der Bandtresor-Standort wird wohl bemängelt werden (nur einen Raum neben, also direkt neben dem Serverraum, dafür steht das synchronisierte, zweite VEEAM-NAS in einem anderen Gebäude).
Monitoring-System: Da kann ich Fehlanzeige erstatten. Haben wir nicht.
Berechtigungen hab' ich oben im Ursprungspost erklärt. Alles nach Microsoft-Best-Practise.
Lizenzprüfung? Naja, ich hoffe mal nicht (irgendwas fehlt immer, und Aufbewahrung und Doku ist von Fa. Leitz, also Leitz-Ordner, alles andere als perfekt, schaumermal)
So befürchte ich das auch.
Danke für die beruhigenden Worte ....
@fa-jka:
Naja, wenn ich einen AV-Server betreibe, werden die Clients (und die Server) wohl auch AV-Clients haben
@VGem-e:
Melde mich heute zurück, Danke erstmal.
Viele Grüße
von
departure69
Danke für Deine Antwort.
Bei der Risikoanalyse wird dann wohl über die fehlende Endpoint-Protection (z. B. keine für Wechseldatenträger gesperrten USB-Ports) gemosert werden, ist aber bei uns nicht praktikabel und kann ich denen auch erklären, warum dies bei uns nicht praktikabel ist.
Hinsichtlich IT-Sicherheitskonzept fühl' ich mich sicher (FW u. AV), einzig der Bandtresor-Standort wird wohl bemängelt werden (nur einen Raum neben, also direkt neben dem Serverraum, dafür steht das synchronisierte, zweite VEEAM-NAS in einem anderen Gebäude).
Monitoring-System: Da kann ich Fehlanzeige erstatten. Haben wir nicht.
Berechtigungen hab' ich oben im Ursprungspost erklärt. Alles nach Microsoft-Best-Practise.
Lizenzprüfung? Naja, ich hoffe mal nicht (irgendwas fehlt immer, und Aufbewahrung und Doku ist von Fa. Leitz, also Leitz-Ordner, alles andere als perfekt, schaumermal)
Eigentlich nichts wildes, wenn die Prüfer etwas finden möchten, dann finden Sie auch etwas.
So befürchte ich das auch.
Ich würde mir da nicht allzugroße Sorgen mit machen
Danke für die beruhigenden Worte ....
@fa-jka:
Naja, wenn ich einen AV-Server betreibe, werden die Clients (und die Server) wohl auch AV-Clients haben
@VGem-e:
Melde mich heute zurück, Danke erstmal.
Viele Grüße
von
departure69
Guten Morgen,
wir wurden letztens auf ISO27001 geprüft (dort sind die zugegebenermaßen etwas kritischer) und dort ist vor allem wichtig, das Thema der Dokumentation,
d.h. Netzwerkplan, Verfahrensdoku, Berechtigungskonzept.
Ich kann mir durchaus vorstellen, dass das ein Punkt ist, der auch bei dir geprüft wird.
wir wurden letztens auf ISO27001 geprüft (dort sind die zugegebenermaßen etwas kritischer) und dort ist vor allem wichtig, das Thema der Dokumentation,
d.h. Netzwerkplan, Verfahrensdoku, Berechtigungskonzept.
Ich kann mir durchaus vorstellen, dass das ein Punkt ist, der auch bei dir geprüft wird.
@TlBERlUS:
Oh weh.
Netzwerkplan hat, macht und pflegt ein Systemhaus (die machen auch den Support).
Verfahrensdoku: Leitz-Ordner, für jedes Verfahren einen.
Berechtigungskonzept: AGP
Ob das denen so passen wird?
Vielen Dank.
Viele Grüße
von
departure69
Oh weh.
Netzwerkplan hat, macht und pflegt ein Systemhaus (die machen auch den Support).
Verfahrensdoku: Leitz-Ordner, für jedes Verfahren einen.
Berechtigungskonzept: AGP
Ob das denen so passen wird?
Vielen Dank.
Viele Grüße
von
departure69
Monitoring kann ich nur empfehlen
Als ich bei meiner Firma angefangen habe, gab es so etwas auch nicht. Mittlerweile habe ich ein Powershell-Skript geschrieben, das mir die gesamte Festplatten-Kapazitäten in der VSphere-Umgebung anzeigt und als HTML-Report versendet (und eine Wochen-Übersicht in einer Grafik anzeigt).
Zwar nicht optimal, allerdings erspart es einem einen Teil der (sich-wiederholenden) Administration/Prüfung.
Zitat von @departure69:
Netzwerkplan hat, macht und pflegt ein Systemhaus (die machen auch den Support).
Den solltet ihr auf Abruf vorzeigbar haben.Netzwerkplan hat, macht und pflegt ein Systemhaus (die machen auch den Support).
Verfahrensdoku: Leitz-Ordner, für jedes Verfahren einen.
Das ist schon mal eine gute SacheOb das denen so passen wird?
Sollte eigentlich. Aus meiner Erfahrung kann ich berichten, dass die Prüfer (wenn die Prüfung letztes Jahr erfolgreich war), eher darauf achten, dass Punkte, die beim letzten mal kritisiert wurden, bei diesem Termin verbessert / behoben wurden.Generell ein Hinweis (vllt. nur für ISO27001 relevant), dass schützenswerte Daten (z.B. Personalakten), nicht öffentlich auf den Schreibtischen herumliegen sollten, dass mögen die Prüfer eher weniger.
Hi,
BKPV? Soweit ich mich erinnern kann geht es hauptsächlich um den Datenschutz (Berechtigungen auf Fileserver, Fachanwendungen, Datenbanken) und korrekte Datensicherungen, sowie die datenschutzrechtlichen Freigaben der Fachverfahren. Dies waren zumindest die Themengebiete die im Prüfungsbericht am meisten Anmerkungen erhielten.
Die "EDV-Prüfung" ist ja nur ein kleiner Teil der überörtlichen Prüfung des Prüfungsverbandes.
mfg
BKPV? Soweit ich mich erinnern kann geht es hauptsächlich um den Datenschutz (Berechtigungen auf Fileserver, Fachanwendungen, Datenbanken) und korrekte Datensicherungen, sowie die datenschutzrechtlichen Freigaben der Fachverfahren. Dies waren zumindest die Themengebiete die im Prüfungsbericht am meisten Anmerkungen erhielten.
Die "EDV-Prüfung" ist ja nur ein kleiner Teil der überörtlichen Prüfung des Prüfungsverbandes.
mfg
Ich kann nun berichten, daß die Herren mittlerweile hier am Werkeln sind, und Eure Prognosen, was so alles gesucht und geprüft wird, weitgehend eingetroffen sind.
Wert wird insbesondere auf Datensicherheit (Backup-Konzept), Datenschutz (dabei auch auf verfahrens- und datenschutzrechtliche Freigaben, entweder durch den Softwarehersteller oder den eigenen Datenschutzbeauftragten erstellt) und das Rechtekonzept (offene Freigaben, NTFS hier und da nicht richtig dicht usw.) gelegt. Außerdem wird die vorhandene Hardware angesehen, wie oft wird Hardware getauscht und warum, zu welchem Preis. Es wird nachgesehen, wie Vergaberecht (Angebotseinholung, öffentl. Ausschreibung, VOL usw.) bei größeren Anschaffungen berücksichtigt wird usw. usf..
Wie gut oder schlecht ich am Ende im Prüfbericht dastehe, wird sich zeigen, hab' momentan eher so ein mittelmäßiges Gefühl.
Danke nochmal Euch allen.
Viele Grüße
von
departure69
Wert wird insbesondere auf Datensicherheit (Backup-Konzept), Datenschutz (dabei auch auf verfahrens- und datenschutzrechtliche Freigaben, entweder durch den Softwarehersteller oder den eigenen Datenschutzbeauftragten erstellt) und das Rechtekonzept (offene Freigaben, NTFS hier und da nicht richtig dicht usw.) gelegt. Außerdem wird die vorhandene Hardware angesehen, wie oft wird Hardware getauscht und warum, zu welchem Preis. Es wird nachgesehen, wie Vergaberecht (Angebotseinholung, öffentl. Ausschreibung, VOL usw.) bei größeren Anschaffungen berücksichtigt wird usw. usf..
Wie gut oder schlecht ich am Ende im Prüfbericht dastehe, wird sich zeigen, hab' momentan eher so ein mittelmäßiges Gefühl.
Danke nochmal Euch allen.
Viele Grüße
von
departure69
