Auditul infrastructurii IT. Audit IT - sondaj întreprindere audit software IT


Trimite o cerere

Dacă compania are o idee că ar fi frumos să automatizeze una sau alta parte a proceselor de afaceri, atunci primul pas ar trebui să fie un audit IT - o analiză independentă a conformității sistemului IT al companiei cu standardele și criteriile stabilite.

Efectuarea unui audit IT al unei întreprinderi este o parte integrantă a automatizării. Analiza pre-proiect este cea care face posibilă înțelegerea părților activității care necesită automatizare și care îmbunătățire nu va duce la un rezultat pozitiv.

Principalele domenii ale auditului IT sunt:

  • infrastructura tehnologică;
  • securitatea informațiilor întreprinderii;
  • Sisteme de informare;
  • Departamentul IT.

Principalele sarcini ale unui audit IT

Sarcina principală a auditului informațiilor este organizarea și controlul asupra activității bazei tehnologice a întreprinderii. În plus, se pot distinge următoarele sarcini:

  • asistenta la pregatire
    documente;
  • prevenirea și eliminarea
    defecțiuni ale sistemului;
  • controlul asupra riscurilor IT;
  • ajutor în dreapta
    conducerea companiei.

Rezultatele analizei pre-proiect IT a infrastructurii întreprinderii:

  • Probabil știți ce intenționați să automatizați.
  • Știți cât va dura automatizarea.
  • După sondajul de pre-proiectare, puteți începe dezvoltarea Termenilor de referință pentru crearea sistemului.
  • Știți cât va costa automatizarea unei întreprinderi.
  • Cel mai important lucru este că știi exact ce va oferi automatizarea și dacă este justificată economic!

Dacă întreprinderea dvs. are deja o infrastructură IT și intenționați să o extindeți, atunci un audit IT pre-proiect va ajuta la evaluarea adecvării utilizării anumitor soluții, va indica potențiale probleme atunci când introduceți noi sisteme de informații.

Având în vedere că, în condiții moderne, automatizarea afacerilor joacă un rol important pentru competitivitatea și dezvoltarea sa stabilă, precum și faptul că îmbunătățirea constantă a tehnologiilor și soluțiilor software, pe baza cărora se realizează automatizarea întreprinderii, fonduri semnificative, a căror investiție necesită automatizarea afacerii în etapa de implementare și operare, analiză și control de către conducerea companiei a stării infrastructurii sale IT este de o importanță deosebită.

Tipuri de audit IT

Specialiștii companiei noastre sunt gata să efectueze un audit IT de următoarele tipuri:

Un fel

Descriere

Auditul infrastructurii IT

Identificarea deteriorării echipamentelor, căutarea punctelor slabe și determinarea criticității acestora pentru afacere.

Analiza competenței personalului IT

Intervievarea administratorilor de sistem, descrierea competențelor și riscurilor.

Sondaj de satisfacție a utilizatorilor

Analiza reclamațiilor și dorințelor utilizatorilor și identificarea pe baza deficiențelor acestora în comunicările personalului tehnic cu utilizatorii.

Verificare SLA

Analiza acordului de nivel de serviciu, calitatea execuției sale (pe baza practicilor ITIL), pregătirea acestuia (dacă nu este disponibil).

Auditul securității informațiilor

Furnizarea unui raport complet în conformitate cu standardele ISO / IEC 27001.

Raportul riscurilor potențiale

Compilat la implementarea managementului riscurilor la întreprindere.

Motivarea costurilor IT

Analiza costurilor directe și indirecte ale infrastructurii IT, structurarea și furnizarea de recomandări.

Cum lucrăm?

De ce este nevoie? Clarificarea obiectivelor Selectarea opțiunilor pentru audit IT

Noi facem
Executarea lucrărilor

Se afișează Prezentare
rezultate

O reparăm?
Elaborarea unui plan de acțiuneImplementarea planului

Care este rezultatul unui audit IT?

  1. Veți primi o opinie de audit
    începând cu starea actuală
    Infrastructura IT a companiei dvs.
  2. Planul de dezvoltare furnizat
    Companiile IT de 1-3 ani.
  3. Conform planului furnizat
    se desfășoară un studiu detaliat.

Între timp, este destul de evident că nu orice lider poate face o evaluare obiectivă și adecvată asupra acestei probleme. În acest sens, putem vorbi despre funcția principală, a cărei executare este încredințată specialiștilor independenți care efectuează audit IT: furnizarea conducerii companiei cu un raport obiectiv cu privire la cât de corect a avut dezvoltarea bazelor de date care stau la baza sistemului informațional. cât de eficient s-a realizat automatizarea proceselor de producție și management. De asemenea, una dintre principalele întrebări la care trebuie să răspundă un audit IT este cât de mult corespund soluțiile implementate în domeniul tehnologiei informației cu afacerea companiei și sarcinile cu care se confruntă. În cele din urmă, un audit al infrastructurii IT evaluează rentabilitatea investiției în automatizare, modalitățile posibile prin care această automatizare poate fi optimizată.

De ce merită să comandați un audit IT?

Numai specialiștii independenți pot oferi o imagine reală a stării actuale a suportului software-digital și hardware al întreprinderii. Angajații proprii nu sunt întotdeauna obiectivi atunci când analizează IT, deoarece pot avea un anumit interes personal pentru a:


  • ascunde defectele propriei lor lucrări;
  • Beneficiați de achiziționarea componentelor hardware și software de la anumiți furnizori - chiar dacă nevoia de cumpărare nu este evidentă sau absentă.

În cazul unui audit independent al infrastructurii IT, astfel de nuanțe sunt excluse. Experții evaluează în mod cuprinzător starea rețelei corporative, a stațiilor de lucru și a echipamentelor de comunicații și oferă o opinie obiectivă cu recomandări specifice.

Analiza infrastructurii IT devine deosebit de relevantă în legătură cu extinderea afacerii. Este necesar să se prevadă și să se formuleze în prealabil cerințe pentru performanțele sale viitoare, precum și nivelul de siguranță, fiabilitate și fiabilitate, ținând seama de sarcinile crescute.

Prin urmare, în țările europene dezvoltate, de exemplu, analiza unei întreprinderi IT este considerată o măsură obligatorie, al cărei comportament se desfășoară la intervale regulate. În țara noastră, auditul IT al infrastructurii este comandat în principal ca lucrare preliminară la crearea unei noi sau complexe modernizări și optimizări a infrastructurii informaționale existente a companiei. În acest caz, acesta este un eveniment cu adevărat necesar, deoarece auditul IT vă permite să determinați principalele criterii și cerințe care trebuie îndeplinite de automatizarea eficientă a afacerii în fiecare caz specific. Aceste date devin baza dezvoltării configurației viitorului sistem, fac posibilă propunerea și acordul cu clientul asupra posibilelor opțiuni. În acest sens, soluția optimă poate fi luată în considerare dacă auditul IT și automatizarea infrastructurii întreprinderii sunt efectuate de un singur interpret, care va oferi o abordare individuală și cuprinzătoare pentru rezolvarea acestei probleme.

Programul "Audit IT: auditor"

Program " Audit IT: Auditor ”este un proiectant pentru dezvoltarea unei metodologii de audit, oferind auditorilor un instrument flexibil pentru a-i ajuta să efectueze un audit. Program " Audit IT: Auditorul „asigură automatizarea activităților firmei de audit legate de desfășurarea auditurilor entităților comerciale.

Program " Audit IT: Auditor "a fost dezvoltat luând în considerare cerințele standardelor internaționale de audit (Rezoluția Guvernului Federației Ruse din 23 septembrie 2002 nr. 696).

Când efectuați un audit al unei întreprinderi mici (perioada de audit - 5 zile), aplicarea programului " Audit IT: Auditor "vă permite să planificați calitativ, să efectuați și să înregistrați procedurile de audit efectuate și rezultatul auditului; la efectuarea unui audit la o întreprindere mijlocie și mare - pentru a reduce timpul pentru efectuarea unui audit cu 10-30%.

Programul oferă:

1) menținerea cărților de referință privind metodologia auditului;

2) păstrarea evidenței clienților;

3) comunicarea cu clienții;

4) contabilitatea contractelor încheiate;

5) importul datelor contabile ale clienților;

6) planificarea auditurilor;

7) formarea auditurilor;

8) întocmirea unui plan de audit;

9) elaborarea unui program de audit;

10) o descriere a tranzacțiilor comerciale ale clientului;

11) calcularea nivelului de materialitate;

12) prelevarea de probe și analiza rezultatelor;

13) forul auditorilor (comunicarea auditorilor);

14) formarea de informații sumare despre încălcările constatate;

15) formarea raportării alternative;

16) controlul calității auditului Kovaleva O.V. Audit. Manual / Ed. O.V. Kovaleva, Yu.P. Konstantinov. - M.: PRIOR, 2008 .-- p. 128 ..

Program " Audit IT: Auditor „vă permite să organizați informații despre clienții firmei de audit (numărul nu este limitat), să stocați informații despre detaliile clientului, adresa reală și juridică, persoanele de contact, negocierile cu clientul, contractele încheiate, persoanele responsabile pentru lucrul cu clientul etc. Programul permite sortarea clienților în funcție de diferiți parametri care îi caracterizează.

Informațiile despre clienți sunt stocate în locația corespunzătoare Director clienți ... Directorul clienților conține, de asemenea, informații despre angajații organizației auditate.

Informațiile despre contractele încheiate cu clientul pot fi, de asemenea, introduse în baza de informații a sistemului.

Programul acordă o atenție semnificativă sprijinului metodologic al auditului, iar sprijinul poate fi realizat atât de dezvoltatori, cât și de firma de audit în sine.

Programul " Audit IT: Auditor "include următoarele cărți de referință:

1) obiecte de audit (secțiuni de audit);

2) proceduri de audit;

3) potențiale încălcări;

4) operațiuni tipice.

Programul vă permite să stabiliți relația dintre procedurile de audit și încălcările, obiectele (sarcinile) auditului și procedurile de audit. Relația se stabilește folosind cărți de referință.

Directorul obiectelor (secțiunilor) auditului este principalul, iar directoarele procedurilor de audit, încălcările potențiale și operațiunile tipice de afaceri sunt subordonate.

Cartea de referință „Proceduri de audit” este utilizată la formarea programului de audit și conține șabloane ale documentelor de lucru ale auditorului, completate în timpul auditului. O parte semnificativă a documentelor de lucru poate fi completată cu date de contabilitate automată a clienților. Folosind acest ghid, se poate stabili intensitatea de bază a muncii pentru procedura de audit corespunzătoare. Procedura de audit - o anumită ordine și succesiune a acțiunilor auditorului pentru a obține probele de audit necesare într-o anumită zonă de audit (obiectul auditului).

Directorul privind încălcările potențiale conține numele și descrierea încălcării potențiale. Dacă sunt detectate încălcări în întreprinderea auditată, cartea de referință este utilizată la generarea raportului auditorului.

Este necesar să se ia în considerare modul în care programul pune în aplicare cerințele de bază ale legilor federale.

Regula (standard) nr. 2 „Documentarea auditului”.

Program " Audit IT: Auditorul „oferă auditorului ample oportunități de a documenta dovezile obținute în timpul auditului, de a forma documentele de lucru necesare pentru a se conforma regulilor federale (standardelor) de audit, a asigura stocarea și copierea de rezervă, vizualizarea și tipărirea.

Cerințele date ale standardului sunt îndeplinite de program ca urmare a completării următoarelor formulare: „Planificarea auditului”, „Planul de audit”, „Programul de audit”, „Alocarea auditului”, „Descrierea operațiunilor comerciale ale clientului”.

Informațiile obținute în timpul auditului sunt stocate în următoarele secțiuni:

1) informații generale despre client;

2) informații legate de acordul încheiat;

3) informații legate de perioada pentru care se va forma opinia auditorului;

4) informații legate de o anumită perioadă a auditului.

Programul prevede diferențierea dreptului de acces la informații în contextul clienților, asigurând stocarea fiabilă a informațiilor despre client și etapele auditului.

Regula (standard) nr. 3 „Planificarea auditului”.

Într-un program " Audit IT: Auditorul "planificarea auditului este efectuată pentru a o desfășura eficient în programul de audit și în formularul" Descrierea tranzacțiilor comerciale ".

Este posibil să se formeze un plan de audit detaliat în programul de audit, care să țină cont de procedurile de audit aplicate, de distribuirea acestora între angajați și de succesiunea executării, se stabilește intensitatea planificată și efectivă a forței de muncă pentru efectuarea procedurilor de audit, o descriere a proceduri de monitorizare a progresului auditului. În același timp, este permis să se facă modificări pe toată durata auditului.

Regula (standard) nr. 4 „Materialitatea în audit”.

Program " Audit IT: Auditor "vă permite să calculați materialitatea în mai multe moduri: în general, pentru raportare, să distribuiți conturilor contabile în contextul materialității:

1) prin debitul contului;

2) cifra de afaceri debitoare a contului;

3) cifra de afaceri a creditului contului;

4) creditul contului.

Alegerea procedurilor de audit se face în formularele „Program de audit” și „Descrierea tranzacțiilor comerciale”. Agregatul de denaturări necorectate este rezumat sub forma „Raportare alternativă”.

Regula (standard) nr. 7 „Controlul calității auditului intern”.

Șeful auditului a avut ocazia să monitorizeze progresul auditului, să formeze sarcina și să comenteze în formularele „Descrierea tranzacțiilor comerciale”, „Programul de audit”, „Comunicarea auditorilor”.

În formularele „Descrierea tranzacțiilor comerciale”, „Programul de audit”, „Comunicarea auditorilor” există posibilitatea unei descrieri detaliate a acțiunilor auditorilor și a asistenților acestora atunci când îndeplinesc lucrările atribuite, precum și atașarea documentelor de lucru la a fi completat.

În prezent, se lucrează pentru a include noi reguli (standarde) în program.

Sub forma „Realizării unui sondaj de sondaj”, auditorul, pe baza populației auditate (generale), poate selecta elemente care depășesc nivelul de materialitate, elemente cheie și pot forma o populație de eșantion în diferite moduri.

Auditorul are, de asemenea, posibilitatea de a analiza tranzacțiile comerciale ale clientului, prezentate în formularul „Descrierea tranzacțiilor comerciale”, de a stabili metode de verificare a tranzacțiilor (inspecție solidă, inspecție aleatorie, eșecul efectuării unei inspecții, confirmarea unei nivel de risc).

Integrat în program " Audit IT: „Auditor” înseamnă filtrarea (selecția) datelor contabile vă permite să stratificați datele în funcție de orice criteriu, cu posibilitatea încărcării ulterioare a datelor pentru un studiu eșantion sau completarea documentului de lucru al unui auditor.

Programul permite auditorului să extrapoleze erorile identificate în timpul auditului către întreaga populație generală.

Avantajele utilizării unui program de automatizare a auditului:

· Programul este vândut și susținut direct de dezvoltatori (fără intermediari), ceea ce permite reducerea costurilor cumpărătorului pentru achiziționarea programului și întreținerea ulterioară a acestuia;

· Acoperă toate aspectele activității de audit (angajarea angajaților, organizarea lucrărilor contractuale, evidența clienților, planificarea auditului, munca în „domeniu” etc.);

· Vă permite să sistematizați toate informațiile pe baza rezultatelor auditului, a posibilității de arhivare și a accesului ulterior la date;

· Utilizat pe scară largă de sute de firme de audit (de la companii din primele zece până la firme de audit mici și auditori individuali);

· Este proiectant și permite utilizatorilor să personalizeze independent metodologia de audit;

· Conține un număr semnificativ de șabloane de documente de lucru ale auditorului;

· Oferă mijloace convenabile de încărcare în program pentru automatizarea auditului datelor contabile din cele mai comune programe de contabilitate: 1C Enterprise 7.7 (8.1) etc.

· Vă permite să completați automat documentele de lucru ale auditorului cu date contabile;

· Conține șabloane de potențiale încălcări, precum și instrumente pentru auto-completarea acestuia de către utilizatori;

Sunt furnizate diverse metode de cercetare a eșantionului statistic: metoda propriu-aleatorie (repetată și nerepetată), mecanică (sistematică), monetară propriu-aleatorie (repetată și nerepetată);

· Un fișier permanent (variabil) este generat automat pe baza rezultatelor unui audit;

· Are o interfață intuitivă, o cantitate mare de documentație dezvoltată pentru program și materiale de instruire (Flash-video), care vă permite să începeți rapid Kovaleva O.V. Audit. Manual / Ed. O.V. Kovaleva, Yu.P. Konstantinov. - M.: PRIOR, 2008 .-- p. 135 ..

Aplicarea programului de automatizare a auditului prevede:

· Sistematizarea muncii metodologice;

· Organizarea unei planificări eficiente a auditului;

· Îmbunătățirea calității auditului;

· Creșterea controlului operațional și ulterior pe parcursul auditului;

· Reducerea intensității muncii pentru audit;

· Respectarea standardelor de audit;

· Creșterea capacității de gestionare a companiei;

· Diferențierea drepturilor de acces la materialele de audit;

· Sistematizarea și arhivarea informațiilor.

Dezvoltarea sistemelor informatice aduce beneficii evidente companiei. Cu toate acestea, dacă sunt utilizate în mod incorect, acestea devin o sursă de riscuri specifice, a căror implementare nu numai că poate minimiza efectul implementării tehnologiei, ci presupune și pierderi semnificative. Auditul IT vă permite să identificați aceste riscuri, să evaluați eficacitatea sistemului IT și să selectați domeniile pentru îmbunătățirea acestuia.

Din punct de vedere istoric, termenul „risc tehnologic informațional” sau „risc IT” însemna probabilitatea unor evenimente negative datorită implementării unor amenințări specifice de securitate a informațiilor - viruși, atacuri de hacker, furt de informații și distrugerea deliberată a echipamentelor. Cu toate acestea, în ultimii ani, interpretarea acestui termen s-a extins semnificativ și ia în considerare nu numai riscurile de securitate a informațiilor, ci și riscurile nerealizării obiectivelor utilizării tehnologiilor informaționale pentru a îmbunătăți eficiența activităților de bază.

Aceste riscuri apar atât în ​​etapa de creare a sistemelor informaționale, cât și în procesul de funcționare a acestora. La proiectarea, documentarea, dezvoltarea și implementarea sistemelor informaționale, acest lucru se întâmplă datorită:

  • alegerea unei soluții de automatizare suboptimă;
  • erori de proiectare;
  • încălcarea termenilor și a bugetului estimat al proiectului;
  • neconcordanțe între infrastructură și soluții de automatizare;
  • erori tehnice și organizatorice în timpul instalării sistemelor. În etapa de funcționare a sistemelor informatice, factorii de risc semnificativi pentru eșecul îndeplinirii obiectivelor sunt:
  • interacțiune ineficientă între afaceri și IT în determinarea nivelului optim de asistență;
  • eșecul de a utiliza întregul potențial al tehnologiei;
  • imposibilitatea de a oferi cel mai acceptabil nivel de întreținere și dezvoltare a sistemelor;
  • proceduri de întreținere și de urgență suboptimă;
  • erori la calcularea sarcinii pe elementele de infrastructură și personalul de întreținere.

Pentru a evita astfel de amenințări, o întreprindere trebuie să creeze un sistem integrat care să integreze managementul riscurilor, control intern și audit intern atât la nivelul activității principale, cât și la nivelul tehnologiilor informaționale care o susțin, adică un sistem IT. Gradul de maturitate al acestei structuri este determinat de capacitatea sa de a asigura, la nivelul adecvat, utilizarea eficientă, rațională și sigură a tehnologiilor informaționale în scopul principalelor sale activități. Cu cât este mai ridicat nivelul de maturitate, cu atât este mai scăzut nivelul riscurilor IT și cu atât este mai eficientă utilizarea tehnologiilor informaționale. Atunci când se formează un sistem IT, ar trebui să se bazeze pe criterii (standarde) deja existente și în general recunoscute. De-a lungul celor peste 30 de ani de istorie a dezvoltării științei managementului IT, instituțiile internaționale de vârf (ISACA, OGC, ISO) au dezvoltat un set de cerințe detaliate sub formă de colecții de bune practici (de exemplu, ITIL) și standarde deschise (CobiT, ISO 20000 etc.)

Procesele IT ca obiect cheie de audit

Standardele internaționale pentru management și audit în domeniul tehnologiei informației recomandă evaluarea unui sistem IT în ceea ce privește totalitatea ierarhiei proceselor IT, obiectivele detaliate de control și procedurile standard de operare pentru a determina conformitatea sistemului cu sarcina de minimizare riscuri. În acest scop, procesele IT sunt supuse unei expertize detaliate, care sunt responsabile pentru minimizarea a peste 30 de riscuri IT la nivel înalt. Un fragment din lista riscurilor și proceselor IT în cadrul cărora se desfășoară activități de minimizare a acestora sunt prezentate în tabel. 1. Această activitate este luată în considerare atât asupra problemelor specifice fiecărui proces individual, cât și asupra elementelor standard de gestionare a proceselor, și anume:

  • distribuirea responsabilității între toate nivelurile de management și asigurarea unei interacțiuni adecvate între ele;
  • existența și eficacitatea mecanismelor de menținere a competenței personalului la nivelul cerut;
  • menținerea documentației complete și actualizate a proceselor la toate nivelurile;
  • disponibilitatea și caracterul complet al mecanismelor de măsurare a performanței și generarea de raportare internă pentru fiecare proces IT, care permite managementului serviciilor IT să evalueze gradul de realizare a indicatorilor țintă și, ca urmare, să ia decizii de management eficiente;
  • disponibilitatea procedurilor pentru monitorizarea operațională a activităților curente, asigurarea identificării în timp util a defecțiunilor operaționale de către managerii de linie, de exemplu, nerespectarea de către angajați a procedurilor regulate;
  • disponibilitatea procedurilor pentru schimbul de informații între procesele IT aferente;
  • metode și instrumente speciale pentru îmbunătățirea eficienței activităților, de exemplu, utilizarea instrumentelor de automatizare pentru înregistrarea și contabilitatea solicitărilor utilizatorilor;
  • îmbunătățirea activităților bazate pe analiza eficienței actuale și a planurilor de dezvoltare a tehnologiei informației.
tabelul 1

Proces IT

Semne posibile ale unei situații riscante

Planificare strategică IT

La etapa de planificare strategică a afacerii, problemele strategiei IT nu sunt luate în considerare, ceea ce nu permite optimizarea proactivă a activității departamentului IT pentru cerințele reale ale afacerii.

Planificarea strategică a activităților IT se realizează după cum este necesar ca răspuns la o cerință specifică de afaceri și, prin urmare, rezultatele sunt sporadice și inconsistente. Problemele de planificare strategică sunt uneori discutate la reuniuni doar la nivelul conducerii departamentului IT și nu la șefii unităților de afaceri. Reglarea aplicațiilor și a tehnologiilor pentru a satisface nevoile afacerii este o reacție la influențele externe, de exemplu, la propunerile furnizorilor și nu se bazează pe strategia dezvoltată de companie. Evaluarea strategică a riscurilor nu este formalizată și se realizează de la proiect la proiect.

Planificarea arhitecturii IT

Structura sistemelor informaționale nu a fost optimizată, ceea ce crește redundanța datelor (duplicarea) în sistemul corporativ și, de asemenea, reduce nivelul de compatibilitate a sistemelor și aplicațiilor.

Există o dezvoltare dispersată a componentelor structurii informaționale. Există o implementare parțială a schemelor de date, a documentației și a regulilor de sintaxă a datelor. Definițiile se referă mai degrabă la date decât la informații și sunt determinate de sugestiile furnizorilor de aplicații. Explicarea angajaților despre necesitatea arhitecturii informației este haotică și întâmplătoare.

Managementul personalului

Politica privind recrutarea și păstrarea (motivarea) personalului calificat nu a fost optimizată, ceea ce nu permite asigurarea contribuției maxime a personalului la rezultatul activităților IT.

Este utilizată o abordare informală a recrutării și gestionării personalului, condusă mai mult de nevoile proiectelor specifice decât de direcția dezvoltării tehnologiei și de un echilibru atent al propunerilor angajaților calificați din cadrul organizației și din exterior. Se desfășoară formare informală a noilor angajați.

Management de proiect

Abordările de gestionare a proiectelor nu au fost optimizate, ceea ce duce la neîndeplinirea obligațiilor în ceea ce privește timpul și costul muncii. Decizia de a utiliza metodologia și abordările pentru managementul proiectelor în domeniul IT este lăsată la discreția managerilor individuali.

Deciziile fundamentale de gestionare a proiectelor se iau fără managementul utilizatorilor sau contribuția clientului. Clienții și utilizatorii nu participă la definirea proiectelor IT sau participarea lor este nesemnificativă. Proiectele IT sunt slab organizate: rolurile și responsabilitățile participanților, precum și programul proiectului nu sunt definite, iar costurile forței de muncă nu sunt urmărite.

Achiziționarea infrastructurii IT

Achiziția și întreținerea infrastructurii IT nu au fost optimizate și standardizate. În timpul funcționării, acest lucru duce la o scădere a performanței sistemelor și la apariția riscurilor de securitate în raport cu datele și programele stocate în sistem.

Pentru fiecare aplicație nouă, se fac modificări la infrastructură fără niciun plan general. Serviciul este organizat ca răspuns la nevoile pe termen scurt. Mediul de testare este mediul de producție. Achiziționarea și întreținerea unei infrastructuri IT nu se bazează pe nicio strategie specifică și nu ia în considerare nevoile aplicațiilor de afaceri care trebuie suportate. Programele de întreținere nu sunt pe deplin dezvoltate, iar activitățile nu sunt coordonate.

Managementul furnizorului de servicii

Nu există relații contractuale clare (acorduri) cu furnizorii de servicii IT, inclusiv definirea rolurilor, responsabilităților și așteptărilor, precum și revizuirea și monitorizarea acordurilor conexe din punct de vedere al eficacității și conformității, ceea ce sporește amenințarea cu daune în caz de neîndeplinire a obligațiilor furnizorului.

Nu există o politică și o procedură formală pentru încheierea contractelor cu terți. Evaluarea activităților organizațiilor terțe nu este efectuată. Terțele părți nu furnizează rapoarte. În absența obligațiilor de raportare, conducerea superioară nu are cunoștințe despre calitatea serviciilor furnizate. Nu există condiții standard ale contractelor cu furnizorii de servicii. Evaluarea serviciilor furnizate se realizează într-un mod arbitrar și fragmentar. Metodologia depinde de experiența individuală a individului și de furnizor (de exemplu, la cerere).

Managementul continuității

Nu există o abordare formalizată pentru crearea (întreținerea și testarea) planurilor pentru asigurarea continuității activităților IT (inclusiv planuri de stocare a datelor de rezervă), ceea ce face foarte probabil ca întreruperile semnificative în furnizarea de servicii IT în domeniile cheie și procesele de afaceri apar în caz de urgență.

Reacțiile la încălcări majore nu sunt gândite sau pregătite în prealabil. Opririle planificate ale sistemului sunt practicate pentru a satisface nevoile serviciilor IT fără a lua în considerare îndeplinirea cerințelor de afaceri. Abordările privind continuitatea serviciilor sunt incomplete și fragmentate. Informațiile primite cu privire la disponibilitatea sistemului nu iau în considerare starea afacerii. Nu există suport documentar pentru acțiunile utilizatorilor sau pentru asigurarea funcționării continue.

Sursă: catalog de riscuri elaborat de expert IT

Standarde deschise

CobiT (Control Objectives for Information and related Technology) este un standard internațional pentru managementul tehnologiei informației corporative, care ajută la armonizarea strategiei de afaceri și IT, la construirea unui dialog între liderii de afaceri și managementul serviciilor de informații. Biblioteca de bune practici ITIL (IT Infrastructure Library) este un standard de management al tehnologiei informației care a fost utilizat în mod activ în multe țări în ultimii 15 ani. ISO 20000 (Tehnologia informației - Managementul serviciilor) este un standard care conține criterii universale prin care orice companie sau serviciu care furnizează servicii IT poate evalua eficacitatea și îndeplinirea cerințelor clienților, ținând cont de afacerea lor. Standardul a fost conceput ca un standard industrial - destinat serviciilor IT - un analog ISO 9001: 2000.

Etape de audit

La etapa preliminară a auditului - etapa de planificare („I” din Fig. 1), de regulă, sunt clarificate cerințele pentru rezultate, este convenită o listă a riscurilor care trebuie luate în considerare și evaluate și limitele a auditului sunt determinate, adică o listă a proceselor de afaceri și a departamentelor, care urmează să fie investigate. Etapa include:

  • clasarea preliminară a listei proceselor IT și a riscurilor IT asociate care trebuie evaluate;
  • coordonarea limitelor auditului: servicii IT, sisteme, software și hardware, departamente și specialiști în legătură cu care se va efectua analiza;
  • formarea și aprobarea unui plan detaliat de audit.

Auditorul formează de obicei o listă de referință a riscurilor IT, care, conform standardelor internaționale, sunt inerente etapelor de planificare, dezvoltare, implementare și operare a sistemelor automatizate de informații. Inițiatorul auditului (client), pe baza listei specificate, determină prioritățile evaluării. Dacă clientul auditului IT este reprezentanții conducerii companiei, atunci pentru a obține un rezultat mai exact, se recomandă formarea chestionarelor în termeni de afaceri (Tabelul 2). Ținând cont de parametrii de timp și de resurse ai auditului, se determină limitele auditului (servicii, sisteme, departamente etc.). În același timp, se recomandă luarea în considerare a celor mai semnificative în scopuri comerciale și / sau servicii și sisteme comune pentru a putea, pe baza evaluării unei anumite zone de audit (cheie), să tragă concluzii obiective despre managementul IT sistemul în ansamblu.

Tabelul 2. Extras din chestionarul pentru realizarea interviurilor cu conducerea companiei și utilizatorii cheie

Descrierea riscului IT (din catalogul de risc IT Expert)

Evaluarea importanței managementului riscurilor IT

Bifați opțiunea selectată

În etapa de planificare strategică a afacerii, problemele de strategie IT nu sunt considerate Consecințe:

  • răspunsul prematur al serviciului IT la inițiativele de afaceri (deschiderea de noi birouri, automatizarea proceselor de afaceri);
  • o creștere a costurilor financiare pentru traducerea inițiativelor de afaceri în soluții IT specifice (decizii suboptime și eronate luate de IT în grabă)

Riscul este nesemnificativ

Explicații pentru interviu: riscul este ipotetic și nesemnificativ pentru activitățile companiei (costul gestionării riscului va fi mai mare decât efectul obținut)

Risc moderat (acceptabil)

Explicații pentru interviu: este recunoscută importanța gestionării acestui risc într-o perspectivă strategică (în această etapă, este permis studiul preliminar al problemei, care nu necesită atragerea investițiilor financiare și cheltuirea resurselor semnificative de timp ale liderilor de afaceri)

Risc peste medie

Explicații ale interviului: recunoaște importanța gestionării acestui risc (inclusiv alocarea timpului și a resurselor financiare) pe termen scurt

Riscul este mare

Explicații pentru interviu: se presupune că realizarea acestui risc nu este posibilă doar pe termen scurt, dar a avut deja loc

Parametru de evaluare suplimentar

Este recunoscută necesitatea unei participări comune a IT și a companiilor la gestionarea acestui risc

Comentarii și explicații:

Ținând cont de informațiile primite, auditorul formulează chestionare în care indică parametrii procedurilor de audit pentru fiecare proces IT, inclusiv numele obiectivelor detaliate de control și numărul aproximativ de întrebări clarificatoare. Pentru ca evaluarea sistemului de management IT să fie cuprinzătoare, se formează o ierarhie de întrebări, de la cele private la cele de nivel înalt. Pentru a analiza evaluarea nivelului de maturitate a proceselor IT, sunt luate în considerare anumite probleme, grupate în obiective detaliate de control. Aceasta ia în considerare caracterul complet și fiabilitatea datelor și a dovezilor furnizate auditorilor.

De exemplu, vom oferi structura chestionarului pentru evaluarea procesului IT „Managementul serviciilor contractorilor”:

Riscurile de a nu atinge obiectivele procesului:

  • lipsa unor relații contractuale clare (acorduri) cu furnizorii de servicii IT (inclusiv definirea rolurilor, responsabilităților și așteptărilor, auditul și monitorizarea acordurilor relevante din punct de vedere al eficacității și conformității) mărește amenințarea cu daune în cazurile de implicire a furnizorului.

Impact asupra realizării obiectivelor

Activități IT:

  • asigurarea eficacității activităților IT - impact moderat;
  • asigurarea raționalității activităților IT - impact ridicat;
  • asigurarea securității activităților IT - impact ridicat.

Obiective detaliate de control:

  • definirea politicilor de proces și a procedurilor de operare;
  • distribuirea rolurilor;
  • managementul documentelor;
  • analiza contractelor;
  • gestionarea diferențelor contractuale;
  • transferul drepturilor;
  • responsabilitate și responsabilitate;
  • unelte;
  • acoperirea procesului;
  • raportare și valori. Următoarea etapă este un audit la fața locului („II” în Fig. 1), în timpul căruia se realizează interviuri cu angajații companiei clienți și se verifică rezultatele acestora (Tabelul 3). În această etapă, se recomandă rezolvarea următoarelor sarcini:
  • să efectueze proceduri de autoevaluare folosind chestionare elaborate anterior;
  • să efectueze interviuri cu angajații cheie ai entității auditate pentru a clarifica rezultatele autoevaluării;
Tabelul 3. Fragment al chestionarului pentru autoevaluarea procesului de „gestionare a configurației”

Criterii de audit

Stimă de sine

sau da / nu

Declarația unității organizaționale oferă îndrumări cu privire la sarcinile legate de gestionarea configurației.

Fișele posturilor celor responsabili cu gestionarea configurației includ înregistrări relevante

Acoperirea CMDB (baza de date de configurare) este definită și adecvată: servere, calculatoare personale, SGBD, software, LAN

Gradul de detaliere al atributelor elementului de configurare (nume, tip, loc, proprietar, număr de inventar, stare, documentație, licențe etc.) este determinat și adecvat.

Se înregistrează relații (relații) între elementele de configurare la nivel fizic și logic

Se aplică procedura de înregistrare a configurației de bază

Proceduri de control pentru adăugarea CI definite și implementate

Sunt definite evenimentele declanșatoare și frecvența auditului CMDB (verificând cât de exact se reflectă situația actuală în CMDB)

Sunt utilizate instrumente de audit care pot analiza automat stațiile de lucru și pot genera rapoarte privind situația actuală și starea infrastructurii IT
  • Verificați rezultatele interviurilor și autoevaluărilor ca parte a procedurilor de monitorizare a performanței și testarea detaliată a dovezilor furnizate (inclusiv reglementări, reglementări, rapoarte, înregistrări de evenimente etc.)

Clientul determină angajații care, în cadrul interviului cu privire la procesul IT considerat, vor face o evaluare oficială (autoevaluare) a gradului de conformitate a stării reale de fapt cu criteriile stabilite în chestionar. Auditorul realizează interviuri, în timpul cărora rezultatele autoevaluării sunt analizate și rafinate. Este analizată lista probelor care confirmă rezultate ridicate ale autoevaluării, inclusiv disponibilitatea reală de a furniza dovezile relevante este evaluată (Tabelul 4). Fiecare întrebare a chestionarului poate fi luată în considerare în funcție de următorii parametri: competența personalului, activitatea efectivă, documentarea, monitorizarea și automatizarea. Indicatorii sunt evaluați pe o scară de cinci puncte, distribuită, de exemplu, pentru indicatorul „activitate” după cum urmează:

  • 0 - activitatea nu se desfășoară și nu este recunoscută ca fiind necesară;
  • 1 - activitatea nu se desfășoară, dar este recunoscută ca fiind necesară;
  • 2 - activitatea se desfășoară fragmentar și are o acoperire minimă, este imposibil să se confirme cu dovezi, abaterile probabile sunt greu de identificat;
  • 3 - activitatea se desfășoară periodic, dar are un scop redus și poate fi susținută de dovezi numai în cazuri individuale sau prin demonstrație în modul de „observare a activității”;
  • 4 - activitatea se desfășoară în mod continuu. Acoperirea procesului este la un nivel satisfăcător și este planificată să crească, în majoritatea cazurilor există dovezi documentare ale activităților;
  • 5 - activitatea se desfășoară în mod continuu, are acoperire completă, există certificate în format electronic și pe hârtie, care sunt potrivite atât pentru control intern, cât și pentru audit. Atunci când se face o evaluare, este necesar să se ia în considerare caracterul adecvat al dovezilor documentare (pista de audit), pe baza cărora este posibil să se emită o opinie cu privire la activitatea evaluată. Acest grup de documente include, de exemplu, registre și inventare, jurnale de înregistrare, protocoale, foi de cunoștințe, acte și / sau rapoarte care indică performanța lucrării (comandă).

Răspunsurile primite sunt clasificate în funcție de caracteristicile de greutate și de rezultatele (punctele) autoevaluării. Urmează verificarea chestionarelor. Notele cu cele mai mari scoruri de ponderare și autoevaluare trec mai întâi examenul de fitness. În orice caz, cel puțin 50% din certificatele / răspunsurile cu cel mai mare punctaj și cel puțin 30% din restul trebuie să fie supuse acestei proceduri. Dacă se dovedește că stima de sine este supraestimată, auditorul își pune propria evaluare, care este apoi baza pentru calculele ulterioare. Verificarea se efectuează pe baza activităților de monitorizare și a condițiilor de muncă; solicitare de documente, evidențe (acte, procese-verbale) ale inspecțiilor, procese-verbale ale ședințelor, rapoarte (acte) privind auditurile, date sumare, analize și indicatori de performanță, rapoarte; acces la baze de date electronice și site-uri web. Dacă este necesar, auditorul generează cu promptitudine un chestionar detaliat de testare pentru desfășurarea procedurilor de audit de fond (analiza selectivă a totalității probelor de audit pe probleme specifice pentru a obține garanții suplimentare ale rezultatelor autoevaluării). În etapa finală a auditului („III” în Fig. 1), sunt analizate dovezile colectate, evaluări detaliate și constatările finale ale auditului. Standardul internațional CobiT caracterizează această etapă ca fiind „creativă”, deoarece auditorul se confruntă cu o sarcină dificilă de a efectua o transformare în mai multe etape a evaluărilor de la întrebări particulare individuale la formarea calculelor finale despre starea sistemului de management IT al organizația în ansamblu.

Lipsa incidentelor este un semnal de pericol

Un exemplu de recomandări pentru efectuarea verificării asupra unei probleme specifice - „Răspunsul la incidentele de securitate a informațiilor” - poate fi ghidul de audit cuprins în Ghidul de implementare și audit al BS 7799 elaborat de British Standards Institute: „Organizația ar trebui să aibă procedurile necesare au fost dezvoltate și implementate și au fost stabilite canale de comunicare cu conducerea pentru a raporta incidentele de securitate. Auditorii ar trebui să se asigure că aceste proceduri sunt aplicabile oricărui incident potențial și să se asigure că există un răspuns suficient de eficient. Dacă o organizație susține că nu are incidente de raportat și, prin urmare, nu poate demonstra un proces de raportare, atunci incidentele cel mai probabil au loc fără ca cineva să observe. Prin urmare, ar trebui furnizate proceduri de raportare a incidentelor de securitate, proceduri de raportare a incidentelor, indiferent dacă au existat sau nu incidente în trecut. Ar trebui să se verifice dacă organizația are o definiție clară a unui incident (incident) de securitate și dacă este înțeleasă de cei care ocupă funcții de responsabilitate. Este util să puneți întrebări de verificare, de exemplu: „Dacă descoperiți că seiful dvs. cu materiale clasificate este deschis și nu există nimeni în jur, ați considera acest lucru un caz de încălcare a securității?” Salariu, acesta poate fi considerat o garanție încălcare? "

Sarcina-cheie a auditorului în această etapă este de a asigura transparența mecanismului de formare a concluziilor finale ca principală condiție pentru încrederea în rezultatele auditului. Toate părțile interesate ar trebui să poată urmări relația de cauzalitate în lanțul de conversie a rezultatelor auditului din estimări private în estimări finale. Să ne oprim asupra celor mai specifice etape ale conversiei estimărilor.

Calculul nivelului de maturitate al procesului IT

Acest calcul poate fi efectuat folosind metodologia CobiT, care sugerează identificarea a cinci caracteristici cheie ale maturității procesului (Tabelul 5). Auditorul grupează probleme specifice în funcție de caracteristicile procesului specificate (competență, activitate efectivă, documentare, măsurare, îmbunătățire) și calculează un scor pentru fiecare grup. În acest caz, se recomandă să se țină seama de caracteristicile de greutate ale ambelor întrebări din cadrul grupului și ale grupurilor în sine. Determinarea valorilor specifice se realizează prin consultanță de specialitate și este convenită cu clientul de audit la începutul lucrării.

Tabelul 5. Formula pentru calcularea evaluării finale a nivelului de maturitate

L = L1 + L2 + L3 + L4 + L5

Nivel de maturitate pe secțiuni

Nume

K - greutatea secțiunii (suma punctelor este 5)

R (Tn) - scor de bază de la 0 la 1 pe baza rezultatelor chestionarului și a verificării (suma efectivă a notelor / suma maximă posibilă a notelor)

L1 = K × R (T1)

Competență

L2 = K × R (T2)

Activitate

L3 = K × R (T3) × R (T2)

Documentare

L4 = K × R (T4) × R (T2)

Măsurare

L5 = K × R (T5) × R (T2)

Îmbunătăţire

Calculul prezentat în Fig. 2, vă permite să construiți o tendință în nivelul de maturitate al procesului IT.

Vectorul de tendință negativ este construit luând în considerare nivelul documentației (scorul final pentru acest grup de întrebări). Cu cât nivelul de documentație este mai scăzut, cu atât este mai probabil ca, în cazul pierderii personalului cheie sau a schimbărilor în mediul de operare, obiectivele activității IT să nu fie atinse (de exemplu, noii angajați nu pot primi informații despre modul în care ar trebui efectuate anumite proceduri). În consecință, pentru o tendință pozitivă, măsurarea și îmbunătățirea sunt luate în considerare ca bază pentru îmbunătățirea performanței. Durata perioadei de post-verificare (timpul dintre audituri) în practică în majoritatea cazurilor variază de la unu la trei ani și se determină ținând seama de cerințele legislative și de reglementare pentru frecvență, precum și de principiul suficientei rezonabile - perioada care este de cel mai mare interes în scopul formării prognozelor pentru viitor este investigat.

Calculul nivelului riscurilor IT

Aceasta se referă la nivelul de risc după ce a fost tratat, de exemplu după aplicarea unor măsuri contrare pentru reducerea acestuia. Ca parte a acestei proceduri, auditorul întocmește o listă clasificată a riscurilor identificate și compară nivelul de bază al riscului cu nivelul de maturitate al procesului IT responsabil de gestionarea acestui parametru (Tabelul 6). Un risc rezidual (S) de 6 sau mai puțin este considerat acceptabil. Moderat - de la 7 la 11. Înalt - de la 12 la 16. Critic - de la 17 la 25.

Rezumând

Structurarea evaluărilor în toate etapele formării concluziilor auditului vă permite să formați o bază statistică pentru calcularea dinamicii așteptate a modificărilor diferiților indicatori de proces în perioada de după verificare. Rezultatele obținute pot fi utilizate pentru a forma un plan pe termen lung pentru investiții în tehnologia informației, interconectat cu o creștere a nivelului de maturitate al sistemului de gestionare a riscurilor. După cum sa menționat deja, cu cât este mai complex sistemul informațional, cu atât mai matur trebuie să îi corespundă sistemul de management IT. Dar există și o relație inversă. De exemplu, dacă o companie are un sistem local simplu, atunci își va atinge eficiența maximă la un nivel de maturitate de 2,8-3,2. Un nivel superior nu va oferi un avantaj decisiv, dar poate duce la costuri suplimentare de gestionare (Fig. 3). În plus față de recomandările standard pentru eliminarea neconcordanțelor (comentariilor) identificate în timpul auditului, rezultatele auditului pot fi utilizate pentru a elabora recomandări cheie privind tacticile și strategiile de îmbunătățire a sistemului de management IT în ansamblu și a proceselor IT individuale, precum și pentru a forma un baza metodologică pentru sistemele de control intern și auditul tehnologiei informației a organizației. Aplicarea metodologiei de audit de mai sus permite unei companii să analizeze sistemul său de management IT prin prisma standardelor internaționale și a experienței practice și, ca rezultat, să obțină o evaluare profesională de către experți:

  • gradul de conformitate cu cerințele standardelor, care poate fi utilizat pentru a determina disponibilitatea unei organizații de a face un audit de certificare;
  • adecvarea sa la obiectivele formării eficiente a valorii adăugate pentru afaceri atunci când se utilizează tehnologiile informaționale;
  • stabilitatea sa în implementarea diferitelor scenarii, de exemplu, dacă este luată în considerare extinderea afacerii, atunci este evaluată disponibilitatea serviciului IT de a-și scala activitățile, dacă vorbim despre o tranziție pe scară largă către noi sisteme informaționale, disponibilitatea să se asigure o tranziție fiabilă la noi sisteme în momentul optim este analizată, pentru a modifica valoarea finanțării, se evaluează gradul de adaptabilitate la condițiile relevante. Pe baza muncii desfășurate, se fac recomandări cu privire la strategia pentru dezvoltarea managementului departamentelor IT, inclusiv a proceselor specifice de management, prevenirea riscurilor, îmbunătățirea activității departamentelor IT și formarea unui sistem de control intern. Astfel, auditul IT pune bazele unei activități eficiente a companiei într-un domeniu care are o importanță primordială pentru nivelul competitivității sale, subliniază un plan de acțiune care poate fi implementat doar. Orice altceva va depinde deja de compania însăși sau, mai bine zis, de disponibilitatea acesteia de a urma în mod clar recomandările dezvoltate.
Tabelul 6. Evaluarea nivelului rezidual al riscului IT

Nivelul de risc inerent de la 0 la 5 (evaluarea expertului)

Influența nivelului de maturitate al procesului IT (în cadrul căruia este gestionat riscul) de la 0 la 5

Evaluarea riscului rezidual

S = 5 × R1 - L 2

Riscul creșterii timpului de la începutul dezvoltării până la disponibilitatea sistemelor din cauza lipsei unei infrastructuri flexibile

Risc de perioade de nefuncționare sporite ale infrastructurii

Riscul creșterii problemelor de performanță a aplicației cauzate de neconcordanțe în infrastructura tehnologică

Risc de lipsă de capacitate la introducerea de noi soluții IT

Riscul creșterii costurilor pentru infrastructura IT datorită creării de rezerve nerezonabile „în rezervă”

Se știe că adesea tehnologiile informaționale implementate la întreprindere încă de la început rămân sau devin în timp un „secret din spatele a șapte sigilii” atât pentru managerii companiei, cât și pentru angajați, și mai ales pentru terți, dar nicidecum părțile mai puțin interesate - clienți, investitori, parteneri. Desigur, acest lucru nu adaugă încredere companiei, nu garantează siguranța afacerii sale și nu ajută la atragerea clienților și a investitorilor. Auditul IT este unul dintre mecanismele care permit „aruncarea de lumină” asupra adevăratei situații a companiei, pentru optimizarea funcționării sistemelor informaționale și, în consecință, a activității în ansamblu.

Scopul principal al unui audit IT este de a evalua riscurile asociate cu utilizarea tehnologiilor informaționale, de a evalua controlul acestora și de a elabora recomandări pentru luarea măsurilor corective în domeniile în care riscurile ar trebui atenuate.

Vă oferim să efectuați un audit IT în compania dvs., care poate consta din următoarele lucrări:

Pentru a determina sfera activității de audit IT, calendarul și costul lucrărilor, se recomandă efectuarea diagnosticelor IT. Diagnosticul se efectuează în 3-5 zile lucrătoare. Diagnosticul colectează informațiile necesare pentru identificarea problemelor IT cheie. Pe baza acestor informații, sunt elaborate propuneri detaliate pentru efectuarea unui audit IT în cadrul companiei.

Rezultatul auditului este un set de concluzii cu privire la faptul dacă sistemul informațional existent (IS) din companie răspunde nevoilor afacerii, sunt elaborate recomandări pentru optimizarea și dezvoltarea ulterioară a IS.

În timpul auditului, se efectuează o analiză a conformității IS existent cu procesele de afaceri ale companiei, ceea ce implică o analiză a structurii organizatorice a companiei, a ierarhiei diviziilor, a fluxului de lucru intern, a politicii contabile, a corespondenței modulelor din IS utilizate pentru nevoile reale ale diviziunilor.

Auditul IP își propune să atingă următoarele obiective:

  • Reducerea costurilor de întreținere și dezvoltare a infrastructurii IT
  • Reducerea costului efectuării operațiunilor automate de afaceri
  • Îmbunătățirea eficienței IS
  • Creșterea eficienței investițiilor în IP-ul companiei

Ca parte a auditului IP, se efectuează următoarele lucrări:

  • Analiza corespondenței capabilităților și strategiei IP cu strategia companiei, obiectivele de afaceri și procesele de afaceri
  • Analiza serviciilor IT existente și a sistemelor informatice de sprijin ale acestora (produse software)
  • Identificarea zonelor cu probleme ale infrastructurii IT existente:
    • nivelul de conformitate al sistemului informațional cu cerințele afacerii
    • costul întreținerii și dezvoltării IP
    • conformitatea proceselor IT cu standardele ISO 9000
    • nivelul de securitate a informațiilor
  • Elaborarea de recomandări pentru îmbunătățirea infrastructurii IT:
    • o estimare a costului implementării fiecărei recomandări;
    • planul de implementare a recomandărilor.
    • recomandări pentru reproiectarea infrastructurii IT.

Ca parte a auditului și examinării infrastructurii IT, vor fi examinați următorii indicatori: performanța, caracterul complet al funcționalității, securitatea, integritatea proceselor IT etc.

Ca urmare, Compania va primi o descriere a inconsecvențelor identificate între infrastructura IT și nevoile de afaceri, problemele existente și riscurile dezvoltării infrastructurii IT, precum și recomandări pentru eliminarea celor identificate, cu o estimare a costurilor de implementare a recomandările propuse și un plan de lucru.

Aceste informații sunt baza pentru construirea unei strategii de automatizare și determinarea celor mai eficiente modalități de a investi în IT.

Permite clientului să primească o evaluare de specialitate a compoziției actuale și a nivelului de funcționare a platformelor tehnologice, sistemelor hardware și software, rețelelor și facilităților de comunicații (infrastructură IT), precum și să primească recomandări cu privire la modul de îmbunătățire a eficienței utilizării acestora, modernizarea și reducerea costurilor de proprietate.

De exemplu, un raport de audit poate conține concluzii despre corespondența încărcării serverului cu caracteristicile acestora, confirmând faptul că platforma serverului permite creșterea sarcinilor sau funcționează la limita capacității etc.

Auditul include formarea unei evaluări de către experți a stării actuale a sistemului de securitate a informațiilor (ISS), evaluarea riscurilor informaționale, recomandări pentru îmbunătățirea ISS, calcularea costului creării sau modernizării ISS. Auditul securității informațiilor permite companiilor clienți să reducă riscurile comerciale și să crească nivelul de securitate a informațiilor.

Rezultatele auditului ne permit să realizăm o serie de lucrări pentru creșterea eficienței departamentului IT, optimizarea costurilor IT, îmbunătățirea calității serviciilor furnizate în domeniul IT, reorganizarea departamentelor IT în conformitate cu obiectivele de afaceri ale companiei și modernizarea Metodologia de operare a infrastructurii IT.

Pe baza raportului de audit, în special, sunt emise recomandări detaliate privind organizarea planificării activității serviciilor IT în conformitate cu nevoile afacerii companiei.

Oportunități pentru o cooperare suplimentară

Rezultatele auditului IT ne vor permite să prezentăm direcțiile pentru o cooperare suplimentară între companiile noastre și, în special, pentru a determina necesitatea următoarelor serii de lucrări în domeniul consultanței IT:

  • Dezvoltarea strategiei IT
  • Dezvoltarea unui concept de sistem informațional, inclusiv dezvoltarea unui caz de afaceri pentru optimizare / dezvoltare IT
  • Optimizarea / dezvoltarea unui sistem informațional (IS), inclusiv:
    • Elaborarea termenilor de referință pentru revizuirea / crearea subsistemelor / modulelor IS existente / lipsă
    • Selectarea sistemelor software (furnizori) pentru sistemele de informații corporative
    • Organizarea și gestionarea unui proiect de optimizare IP
    • Elaborarea documentației metodologice / însoțitoare
    • Dezvoltarea / implementarea subsistemelor / modulelor IS modificate / noi
    • Pregătirea și educarea personalului. Consultanta personalului
  • Monitorizarea și întreținerea funcționării IS

Efectuarea unui audit cuprinzător vă permite să obțineți cele mai complete, sistematizate și fiabile informații despre starea infrastructurii IT a clientului. Este necesar un audit pentru a evalua IT, a lua decizii, a prezice dezvoltarea situației și a gestiona IT.

Când (în ce cazuri) este cerut acest serviciu?

  1. Achiziție de afaceri sau combinare de întreprinderi(formal sau informal) într-o structură de exploatație. Devine necesară integrarea infrastructurii IT a companiei achiziționate cu propria infrastructură. Efectuarea unui audit independent va reduce costurile și va accelera munca de integrare.
  2. Înainte de a vă actualiza infrastructura ITîntreprinderi. Este necesar să se optimizeze costurile modernizării și să se dezvolte o strategie de dezvoltare.
  3. Când creșterea afacerii depășește dezvoltarea IT... În acest caz, există o lipsă sau lipsă de informații de management privind compoziția și starea infrastructurii IT în managementul întreprinderii.
  4. Dacă infrastructura IT nu funcționează bine deocamdata. Un audit este cel mai bun mod de a identifica blocajele în infrastructură și de a primi recomandările necesare pentru eliminarea acestora.

Care sunt beneficiile acestui serviciu pentru client?

  1. Modernizare simplificată Infrastructura IT prin obținerea celor mai complete și actualizate informații despre resursele IT disponibile.
  2. Obținerea unei estimări a costurilor modernizarea infrastructurii IT. Cunoașterea gradului de necesitate și a domeniului de lucru proiectat reflectat în documentația de raportare permite clientului să ia o decizie în cunoștință de cauză.
  3. Îmbunătățirea eficienței utilizarea resurselor IT disponibile, după luarea în considerare a rezultatelor auditului și reducerea la minimum a riscurilor de afaceri asociate cu utilizarea tehnologiei informației.
  4. Îmbunătățirea manevrabilitățiiÎntreprindere IT. Conducerea primește informațiile de management necesare pentru luarea deciziilor, prognozarea dezvoltării situației și managementul IT. Crește eficiența serviciului IT al întreprinderii, reduce timpii de nefuncționare și numărul de situații anormale.
  5. Obținerea de sfaturi practice despre tehnologiile utilizate, echipamente și setările sale. Toate recomandările sunt legate de problemele specifice constatate în timpul auditului, prin urmare, implementarea fiecărei recomandări este extrem de benefică pentru companie.

Auditul securității informațiilor poate fi efectuat atât de către personal (audit intern), cât și prin angajarea unor specialiști independenți (audit extern). Valoarea unui audit extern de securitate a informațiilor pentru potențialii clienți este următoarea:

  1. Un audit este un studiu independent care crește obiectivitatea rezultatelor.
  2. Experții care efectuează auditul sunt mai calificați și mai experimentați în astfel de activități decât angajații obișnuiți ai organizației.
  3. Este mai ieftin să încredințezi activitatea de audit unei organizații specializate decât să o organizezi singur.

Descrierea serviciului

Realizarea unui audit cuprinzător include trei etape principale:

  • Colectare de date

Declarația problemei și clarificarea sferei de lucru

În etapa de stabilire a sarcinii, sunt luate măsuri organizatorice pentru pregătirea auditului:

  • Sunt specificate obiectivele și obiectivele auditului
  • Se formează un grup de lucru
  • Termenii de referință (TOR) pentru audit sunt pregătiți și conveniți

Uneori, un audit necesită acces la informații pe care clientul le consideră confidențiale. În acest caz, în paralel cu TK, se dezvoltă un acord de confidențialitate și se organizează interacțiunea cu serviciul de securitate al clientului.

Colectare de date

În această etapă, se efectuează intervievarea personalului clientului, inspecția și inventarul echipamentelor, colectarea informațiilor de configurare. O listă detaliată a lucrărilor efectuate este determinată în TOR pentru audit.

Se realizează o anchetă a tuturor componentelor tehnice și organizaționale ale infrastructurii IT:

  • Echipamente - hardware care creează și întreține tehnologiile informaționale: echipamente de rețea, servere și stații de lucru, sisteme de stocare etc .;
  • Facilități de asistență - resurse auxiliare, echipamente, spații necesare pentru a sprijini funcționarea infrastructurii IT;
  • Tehnologii - sisteme de operare, sisteme de gestionare a bazelor de date, integrarea aplicațiilor etc.
  • Aplicații - aplicații software utilizate în funcționarea întreprinderii;
  • Date - în sens larg - flux de documente, extern și intern, structurat și nestructurat, referință, multimedia etc;
  • Forța de muncă - se examinează personalul, abilitățile sale: abilități, înțelegerea sarcinilor și performanța muncii lor.

La sfârșitul etapei de colectare a datelor, compania care efectuează auditul deține un set de documente care descriu în detaliu infrastructura IT.

Analiza datelor și pregătirea raportului

În această etapă, sunt interpretate următoarele lucrări:

  • verificarea și analiza datelor colectate
  • pregătirea documentației operaționale
  • făcând recomandări
  • pregătirea unui raport de audit

Datele colectate sunt verificate pentru a fi complete și corecte, informațiile primite sunt analizate, concluziile și recomandările sunt întocmite, rezultatele sunt formatate și prezentate. În timpul analizei, se poate lua o decizie de colectare a datelor suplimentare.

Pe baza datelor colectate, este pregătită documentația operațională care conține date detaliate despre infrastructura IT a întreprinderii. Sunt elaborate recomandări pentru a îmbunătăți calitatea muncii și a crește eficiența infrastructurii IT

Raportul analitic este principalul document de raportare a auditului. Acesta include o descriere a stării actuale a infrastructurii IT, documentație operațională, o listă a problemelor detectate, recomandări pentru modernizarea și dezvoltarea infrastructurii IT.

Etapa se încheie cu transferul documentelor dezvoltate către client.

Rezultat

Rezultatul auditului este crearea unui pachet de documente care conțin date detaliate despre infrastructura IT, precum și recomandări pentru îmbunătățirea calității muncii și creșterea eficienței funcționării.

Principalul document de raportare este raportul de audit. Structura sa, de regulă, este convenită în stadiul dezvoltării TK. Acesta include o descriere a stării actuale a infrastructurii IT, concluzii cu privire la conformitatea infrastructurii IT cu sarcinile de rezolvat, recomandări pentru modernizare și dezvoltare.