TFL Vsebine / Revija SIR*IUS

Auditing User Access Privileges

Dostop do informacijskih virov je ključni pogoj za učinkovito delo. Ker pa informacijski viri organizacij pogosto vključujejo osebne in druge zaupne podatke, morajo biti dostopi do njih omejeni skladno z zakonskimi zahtevami in dobrimi praksami varovanja informacij. Usklajevanje nasprotujočih si zahtev učinkovitosti in zaščite ter varovanje informacij je lahko zelo kompleksno. Revizorji lahko pri reviziji dostopnih pravic uporabijo najrazličnejše pristope. V prispevku Revizija uporabniških pravic, ki smo ga zaradi obsežnosti razdelili na dva dela, predlagamo možen praktični pristop k reviziji področja. Pri tem se osredotočamo na notranjerevizijski vidik izvajanja tovrstnega posla, seveda pa ga je mogoče izvesti tudi kot revizijo informacijskih sistemov. Prispevek smo zasnovali tako, da smo v prvem delu pojasnili temeljne pojme s področja dostopnih pravic z vidika njihovega pomena v kontekstu notranjerevizijskega ali revizijskega pregleda informacijskih sistemov. V drugem delu prispevka predlagamo pristop k načrtovanju in izvedbi takega posla.

Access to data sources is the key to working efficiently. However, as data sources frequently include personal and other confidential data, access must comply with regulatory requirements and information protection best practices. Balancing between the opposing efficiency requirements and information protection can be extremely complex. Auditors can use various approaches to auditing of access privileges. This two-part article focuses on one potential practical approach – the internal audit assignment. The first part introduces the basic terminology connected with access privileges and, in particular, the nuances of these terms in the context of an internal audit assignment. The second part suggests several approaches to this type of audit.