Аудит it інфраструктури. IT-аудит - обстеження підприємств Аудит ит софт


відправити заявку

Якщо на підприємстві зародилася думка про те, що було б непогано автоматизувати ту чи іншу частину бізнес-процесів, то першим кроком має стати ІТ-аудит - незалежний аналіз відповідності IT-системи підприємства встановленим стандартам і критеріям.

Проведення ІТ-аудиту підприємства - це невід'ємна частина автоматизації. Саме передпроектний аналіз дозволяє зрозуміти, які ділянки бізнесу вимагають автоматизації, а удосконалення яких не приведе до позитивного результату.

Основними напрямками ІТ-аудиту є:

  • технологічна інфраструктура;
  • інформаційна безпека підприємства;
  • інформаційні системи;
  • ІТ-підрозділ.

Основні завдання ІТ-аудиту

Основним завданням інформаційного аудиту є організація і здійснення контролю над роботою технологічної бази підприємства. Крім цього, можна виділити наступні завдання:

  • допомога в підготовці
    документів;
  • запобігання та усунення
    збоїв в системі;
  • контроль над ризиками ІТ;
  • допомога в правильному
    управлінні компанією.

Підсумки передпроектного ІТ-аналізу інфраструктури підприємства:

  • Ви напевно знаєте, що плануєте автоматизувати.
  • Ви знаєте, скільки приблизно часу зажадає автоматизація.
  • Після передпроектного обстеження можна приступати до розробки Технічного завдання для створення системи.
  • Ви знаєте, приблизно в яку суму обійдеться автоматизація підприємства.
  • Найголовніше - Ви точно знаєте, що дасть автоматизація і виправдана вона економічно!

У разі, якщо на Вашому підприємстві вже є ІТ-інфраструктура, і Ви плануєте її розширювати, то передпроектний IT-аудит допоможе оцінити адекватність використання тих чи інших рішень, вкаже на потенційні проблеми при впровадженні нових інформаційних систем.

З огляду на те, що в сучасних умовах автоматизація бізнесу відіграє велику роль для його конкурентоспроможності та сталого розвитку, а також те, що постійне вдосконалення технологій і програмних рішень, на основі яких здійснюється автоматизація підприємства, значні кошти, вкладення яких вимагає автоматизація бізнесу на стадії впровадження та експлуатації, особливого значення набуває аналіз і контроль керівництвом компанії стану її IT-інфраструктури.

Види ІТ-аудиту

Фахівці нашої компанії готові провести ІТ-аудит наступних видів:

Тип

опис

Аудит ІТ-інфраструктури

Виявлення зносу обладнання, пошук слабких місць і визначення їх критичності для бізнесу.

Аналіз компетенції ІТ-персоналу

Інтерв'ювання системних адміністраторів, опис компетенцій і ризиків.

Опитування задоволеності користувачів

Аналіз скарг і побажань користувачів і виявлення на їх основі слабких місць в комунікаціях технічного персоналу з користувачами.

Перевірка SLA

Аналіз угоди про рівень послуг, якості його виконання (на основі практик ITIL), його складання (при відсутності).

Аудит інформаційної безпеки

Надання повноцінного звіту відповідно до стандартів ISO / IEC 27001.

Звіт про можливі ризики

Складається при впровадженні ризик-менеджменту на підприємстві.

Обгрунтування витрат в ІТ

Аналіз прямих і непрямих витрат на ІТ-інфраструктуру, структурування і надання рекомендацій.

Як ми працюємо?

Що необхідно? З'ясування цілей Підбір опцій для ІТ аудиту

робимо
Виконання робіт

показуємо презентація
результатів

Виправляємо?
Розробка плану заходівРеалізація плану

Що є підсумком IT-аудиту?

  1. Ви отримуєте аудиторський висновок
    по поточному стану
    ІТ-інфраструктури вашої компанії.
  2. Надається план для розвитку
    ІТ компанії на 1-3 роки.
  3. За наданим планом
    проводиться детальне опрацювання.

Тим часом, цілком очевидно, що далеко не кожен керівник може скласти об'єктивну й адекватну оцінку з даного питання. У зв'язку з цим можна говорити про головну функцію, виконання якої покладається на незалежних фахівців, що виконують IT-аудит: надання менеджменту компанії об'єктивного звіту про те, наскільки правильно здійснено розробку баз даних, що складають основу інформаційної системи, наскільки ефективно здійснена автоматизація виробничих процесів та управління компанією. Також одним з головних питань, відповідь на який повинен дати IT-аудит, є те, наскільки реалізовані рішення в області інформаційних технологій відповідають бізнесу компанії і стоїть перед нею завданням. В кінцевому підсумку ІТ-аудит інфраструктури дає оцінку ефективності інвестицій коштів, вкладених в автоматизацію, можливих шляхів, за допомогою яких ця автоматизація може бути оптимізована.

Чому варто замовити IT-аудит?

Реальну картину поточного стану програмно-цифрового і апаратного забезпечення підприємства можуть дати тільки незалежні фахівці. Власні співробітники не завжди об'єктивні при аналізі ІТ, оскільки можуть мати певну особисту зацікавленість з метою:


  • приховати недоліки в своїй роботі;
  • отримати вигоду при покупці програмно-апаратних компонентів у певних постачальників - навіть якщо необхідність придбання неочевидна або відсутній.

У разі незалежного аудиту ІТ-інфраструктури подібні нюанси виключені. Фахівці комплексно оцінюють стан корпоративної мережі, робочих станцій і комунікаційного устаткування і дають об'єктивний висновок з конкретними рекомендаціями.

Особливої ​​актуальності аналіз ІТ-інфраструктури набуває в зв'язку з розширенням бізнесу. Необхідно заздалегідь передбачити і сформулювати вимоги до її майбутньої продуктивності, а також рівню безпеки, надійності і безвідмовності з урахуванням зрослих навантажень.

Тому в розвинених європейських країнах, наприклад, аналіз ІТ підприємства вважається обов'язковим заходом, поведінка якого здійснюється з певною періодичністю. У нашій же країні IT-аудит інфраструктури замовляється головним чином в якості попередніх робіт зі створення нової або комплексної модернізації та оптимізації існуючої інформаційної інфраструктури компанії. В даному випадку це є дійсно необхідним заходом, оскільки саме ІТ-аудит дозволяє визначити основні критерії та вимоги, яким повинна відповідати ефективна автоматизація бізнесу в кожному конкретному випадку. Саме ці дані стають основою розробки конфігурації майбутньої системи, дають можливість запропонувати і узгодити з замовником можливі варіанти. У зв'язку з цим оптимальним рішенням можна вважати, якщо IT-аудит і автоматизація інфраструктури підприємства будуть виконуватися одним виконавцем, що дозволить забезпечити індивідуальний і комплексний підхід до вирішення цього завдання.

Програма «IT Audit: Аудитор»

програма « IT Audit: Аудитор »являє собою конструктор для розробки методики проведення аудиту, пропонуючи аудиторам гнучкий інструмент для допомоги в проведенні аудиту. програма « IT Audit: Аудитор »забезпечує автоматизацію діяльності аудиторської фірми, пов'язаної з проведенням аудиторських перевірок господарюючих суб'єктів.

програма « IT Audit: Аудитор »розроблялася з урахуванням вимог міжнародних стандартів аудиторської діяльності (постанова Уряду РФ від 23 вересня 2002 № 696).

При проведенні аудиту невеликого підприємства (період перевірки - 5 днів) застосування програми « IT Audit: Аудитор »дозволяє якісно спланувати, провести і запротоколювати виконані аудиторські процедури і результат перевірки; при проведенні аудиту на середньому і великому підприємстві - скоротити час на проведення аудиту на 10-30%.

Програма забезпечує:

1) ведення довідників за методологією аудиту;

2) ведення обліку клієнтів;

3) ведення спілкувань з клієнтами;

4) облік укладених договорів;

5) імпорт даних бухгалтерського обліку клієнтів;

6) планування аудиторських перевірок;

7) формування аудиторських перевірок;

8) складання плану аудиту;

9) складання програми аудиту;

10) опис господарських операцій клієнта;

11) розрахунок рівня суттєвості;

12) проведення вибірки та аналіз результатів;

13) форум аудиторів (спілкування аудиторів);

14) формування зведеної інформації про знайдені порушення;

15) формування альтернативної звітності;

16) контроль якості аудиту Ковальова О.В. Аудит. Навчальний посібник / За ред. О.В. Ковальової, Ю.П. Константинова. - М .: ПРІОР, 2008. - с. 128 ..

програма « IT Audit: Аудитор »дозволяє систематизувати інформацію по клієнтах аудиторської фірми (число не обмежена), зберігати інформацію про реквізити клієнта, фактичне і юридичну адресу, контактні особи, переговорах з клієнтом, укладених договорах, відповідальних за роботу з клієнтом особах і ін. Програма допускає сортування клієнтів за різними характеризує їх параметрами.

Відомості про клієнтів зберігаються у відповідному довіднику клієнтів . В Довідник клієнтів також заноситься інформація про співробітників аудиту.

Інформація про укладені з клієнтом договорах також може бути занесена в інформаційну базу системи.

У програмі значне місце відведено методологічним супроводу аудиту, причому супровід може здійснюватися як розробниками, так і самої аудиторською фірмою.

До складу програми « IT Audit: Аудитор »включені наступні довідники:

1) об'єкти аудиту (розділи аудиту);

2) аудиторські процедури;

3) потенційні порушення;

4) типові операції.

Програма дозволяє встановити взаємозв'язок між аудиторськими процедурами та порушеннями, об'єктами (завданнями) аудиту та аудиторськими процедурами. Взаємозв'язок встановлюється з використанням довідників.

Довідник об'єктів (розділів) аудиту є основним, а довідники аудиторських процедур, потенційних порушень і типових господарських операцій - підлеглими.

Довідник «Аудиторські процедури» використовується при формуванні програми аудиту і містить шаблони робочих документів аудитора, які заповнюються при проведенні аудиту. Значна частина робітників документів може бути заповнена автоматичними даними бухгалтерського обліку клієнта. З використанням даного довідника може бути встановлена ​​базова трудомісткість виконання відповідної аудиторської процедури. Аудиторська процедура - певний порядок і послідовність дій аудитора для отримання необхідних аудиторських доказів на конкретній ділянці аудиту (об'єкті аудиту).

Довідник «Потенційні порушення» містить найменування та опис потенційного порушення. При виявленні порушень на аудируемом підприємстві довідник використовується при формуванні звіту аудитора.

Необхідно розглянути, як в програмі реалізуються основні вимоги федеральних законів.

Правило (стандарт) №2 «Документування аудиту».

програма « IT Audit: Аудитор »дає аудитору широкі можливості щодо документального закріплення отриманих при проведенні аудиту доказів, формування необхідних робочих документів з метою виконання федеральних правил (стандартів) аудиторської діяльності, забезпечення зберігання та резервного копіювання, перегляду і виведення на друк.

Наведені вимоги стандарту виконуються програмою в результаті заповнення форм: «Планування аудиту», «План аудиту», «Програма аудиту», «Завдання на аудит», «Опис господарських операцій клієнта».

Отримана при проведенні аудиту інформація зберігається в розділах:

1) загальна інформація про клієнта;

2) інформація, що відноситься до укладеного договору;

3) інформація, що відноситься до періоду, за який буде сформовано висновок аудитора;

4) інформація, що відноситься до конкретного періоду проведення аудиту.

Програма передбачає розмежування права доступу до інформації в розрізі клієнтів, забезпечуючи надійне зберігання інформації по клієнту та етапів проведення аудиту.

Правило (стандарт) №3 «Планування аудиту».

В програмі " IT Audit: Аудитор »проводиться планування аудиту з метою його ефективного проведення в програмі аудиту та формі« Опис господарських операцій ».

Сформувати детальний план аудиту можна в програмі аудиту, де враховуються застосовувані аудиторські процедури, їх розподіл мжду співробітниками і черговість виконання, встановлюються планова і фактична трудомісткість виконання аудиторських процедур, опис процедур контролю ходу проведення аудиту. При цьому допускається внесення змін протягом всього часу проведення аудиту.

Правило (стандарт) №4 «Суттєвість в аудиті».

програма « IT Audit: Аудитор »дозволяє виконувати розрахунок суттєвості декількома способами: в цілому по звітності, розподіляти за рахунками бухгалтерського обліку в розрізі суттєвості:

1) за дебетом рахунка;

2) дебетовому обороту рахунку;

3) кредитові обороти рахунку;

4) кредиту рахунку.

Вибір аудиторських процедур проводиться в формах «Програма аудиту» і «Опис господарських операцій». Сукупність невиправлених спотворень узагальнюється у формі «Альтернативна звітність».

Правило (стандарт) №7 «Внутрішній контроль якості аудиту».

Керівнику перевірки надано можливість поточного контролю ходу проведення аудиту, формування завдання і зауважень в формах «Опис господарських операцій», «Програма аудиту», «Спілкування аудиторів».

У формах «Опис господарських операцій», «Програма аудиту», «Спілкування аудиторів» є можливість детального опису дій аудиторів і їх асистентів при виконанні дорученої роботи, а також прикріплення підлягають заповненню робочих документів.

В даний час ведеться робота по включенню в програму нових правил (стандартів).

У формі «Проведення вибіркового дослідження» аудитор на основі перевіряється (генеральної) сукупності може відбирати елементи, що перевищують рівень суттєвості, ключові елементи і формувати вибіркову сукупність різними способами.

Аудитору також надана можливість аналізувати господарські операції клієнта, представлені у формі «Опис господарських операцій», встановлювати способи перевірки операцій (суцільна перевірка, вибіркова перевірка, непроведення перевірки, підтвердження низького рівня ризику).

Вбудовані в програму « IT Audit: Аудитор »кошти фільтрації (відбору) даних бухгалтерського обліку дозволяють виконувати стратифікацію даних по будь-яким критеріям з можливістю подальшої вивантаження даних для вибіркового дослідження або заповнення робочого документа аудитора.

Програма дозволяє аудитору зробити екстраполяцію виявлених під час проведення аудиту помилок на всю генеральну сукупність.

Переваги застосування програми по автоматизації аудиту:

· Програма продається і супроводжується безпосередньо розробниками (без посередників), що дозволяє скоротити витрати покупця на придбання програми і її подальший супровід;

· Охоплює всі аспекти аудиторського бізнесу (зайнятість співробітників, організація договірної роботи, облік клієнтів, планування аудиту, робота в «поле» і т.д.);

· Дозволяє систематизувати всю інформацію за результатами аудиторської перевірки, можливість архівації та подальшого доступу до даних;

· Широко використовується сотнями аудиторських фірм (від компаній, що входять в першу десятку, до невеликих аудиторських компаній і індивідуальних аудиторів);

· Є конструктором і дозволяє користувачам самостійно налаштовувати методологію аудиторської перевірки;

· Містить значну кількість шаблонів робочих документів аудитора;

· Забезпечує зручні засоби завантаження в програму по автоматизації аудиту даних бухгалтерського обліку з найбільш поширених бухгалтерських програм: 1С Підприємство 7.7 (8.1) і т.д.

· Дозволяє автоматично заповнювати робочі документи аудитора даними бухгалтерського обліку;

· Містить шаблони потенційних порушень, а також інструменти для її самостійного наповнення користувачами;

· Передбачені різні способи статистичного вибіркового дослідження: власне-випадковий (повторний і бесповторний), механічний (систематичний), монетарний власне-випадковий (повторний і бесповторний) спосіб;

· Проводиться автоматичне формування постійного (змінного) файлу за результатами аудиторської перевірки;

· Має інтуїтивно зрозумілий інтерфейс, великий обсяг розробленої документації на програму і навчальні матеріали (Flash-ролики), що дозволяє швидко приступити до роботи Ковальова О.В. Аудит. Навчальний посібник / За ред. О.В. Ковальової, Ю.П. Константинова. - М .: ПРІОР, 2008. - с. 135 ..

Застосування програми по автоматизації аудиту забезпечує:

· Систематизацію методологічної роботи;

· Організацію ефективного планування аудиту;

· Підвищення якості проведення аудиту;

· Підвищення оперативного і подальшого контролю за ходом проведення аудиту;

· Зниження трудомісткості проведення аудиту;

· Виконання стандартів аудиторської діяльності;

· Підвищення керованості компанії;

· Розмежування прав доступу до матеріалів аудиторських перевірок;

· Систематизацію та архівування інформації.

Розвиток інформаційних систем приносить компанії очевидну користь. Але при неналежному використанні вони стають джерелом специфічних ризиків, реалізація яких може не тільки звести до мінімуму ефект від впровадження технологій, а й спричинити значні збитки. IT-аудит дозволяє виявити ці ризики, оцінити ефективність IT-системи та вибрати напрямки для її вдосконалення.

Історично під терміном «ризик інформаційних технологій», або «IT-ризик», малася на увазі ймовірність виникнення негативних подій через реалізацію специфічних загроз інформаційній безпеці - вірусів, хакерських атак, розкрадань інформації, умисного знищення обладнання. Однак останнім часом трактування даного терміна значно розширилася і враховує не тільки ризики інформаційної безпеки, але і ризики недосягнення цілей застосування інформаційних технологій для підвищення ефективності основної діяльності.

Зазначені ризики виникають як на етапі створення інформаційних систем, так і в процесі їх експлуатації. При проектуванні, документуванні, розробці та впровадженні інформаційних систем це відбувається внаслідок:

  • вибору неоптимального рішення по автоматизації;
  • помилок при проектуванні;
  • порушення розрахункових термінів і бюджету проекту;
  • невідповідності між інфраструктурою і рішеннями по автоматизації;
  • технічних і організаційних помилок при інсталяції систем. На стадії експлуатації інформаційних систем істотними факторами ризику недосягнення цілей є:
  • неефективне взаємодія між бізнесом і IT при визначенні оптимального рівня підтримки;
  • невикористання всього потенціалу технологій;
  • неможливість забезпечити найбільш прийнятний рівень супроводу та розвитку систем;
  • неоптимальні процедури технічного обслуговування і рішення позаштатних ситуацій;
  • помилки в розрахунках навантаження на елементи інфраструктури та обслуговуючий персонал.

Щоб уникнути подібних загроз, на підприємстві необхідно створити комплексну систему, інтегруючу ризик-менеджмент, внутрішній контроль та внутрішній аудит як на рівні основної діяльності, так і на рівні підтримують її інформаційних технологій, тобто IT-систему. Ступінь зрілості цієї структури визначається її здатністю забезпечити на належному рівні результативне, раціональне та безпечне використання інформаційних технологій для цілей основної діяльності. Чим вище рівень зрілості, тим менше рівень IT-ризиків і тим більше ефективність використання інформаційних технологій. При формування IT-системи слід спиратися на вже існуючі і загальновизнані критерії (стандарти). За більш ніж 30-річну історію розвитку науки про IT-управлінні провідними міжнародними інститутами (ISACA, OGC, ISO) вироблений набір деталізованих вимог у вигляді збірок кращих практик (наприклад, ITIL) і відкритих стандартів (CobiT, ISO 20000 та ін.)

IT-процеси як ключовий об'єкт аудиту

Міжнародні стандарти управління та аудиту в області інформаційних технологій рекомендують оцінювати IT-систему з точки зору сукупності ієрархії IT-процесів, деталізованих цілей контролю і типових процедур діяльності для того, щоб визначити відповідність системи завданню щодо мінімізації ризиків. З цією метою детальної експертизи піддаються IT-процеси, що відповідають за мінімізацію більш ніж 30 високорівневих IT-ризиків. Фрагмент переліку IT-ризиків і процесів, в рамках яких здійснюється діяльність по їх мінімізації, представлений в табл. 1. Дана діяльність розглядається як з питань, специфічним для кожного окремого процесу, так і за стандартними елементами процесного управління, а саме:

  • розподіл відповідальності між усіма рівнями управління і забезпечення адекватного взаємодії між ними;
  • наявність і ефективність механізмів підтримки компетентності персоналу на необхідному рівні;
  • підтримання в повному і актуальному стані процессной документації на всіх рівнях;
  • наявність і повнота механізмів вимірювання продуктивності і формування внутрішньої звітності для кожного IT-процесу, що дозволяє керівництву IT-служби оцінювати ступінь досягнення цільових показників і, як наслідок, приймати ефективні управлінські рішення;
  • наявність процедур оперативного моніторингу поточної діяльності, які забезпечують своєчасне ідентифікацію операційних збоїв лінійними менеджерами, наприклад невиконання співробітниками штатних процедур;
  • наявність процедур інформаційного обміну між суміжними IT-процесами;
  • методи і спеціальні інструменти, що дозволяють підвищити ефективність діяльності, наприклад використання засобів автоматизації для реєстрації та обліку звернень користувачів;
  • вдосконалення діяльності на основі аналізу поточної ефективності та планів розвитку інформаційних технологій.
Таблиця 1

IT-процес

Можливі ознаки ризикової ситуації

Стратегічне планування IT

На стадії стратегічного бізнес-планування не розглядаються питання IT-стратегії, що не дозволяє в проактивному режимі оптимізувати роботу IT-підрозділу під фактичні бізнес-вимоги.

Стратегічне планування IT-діяльності виконується в міру необхідності у відповідь на конкретну вимогу бізнесу, і тому результати є епізодичними і непослідовними. Питання стратегічного планування іноді обговорюються на зустрічах тільки на рівні керівництва департаменту IT, а не керівників бізнес-підрозділів. Налаштування додатків і технологій під потреби бізнесу є реакцією на зовнішній вплив, наприклад на пропозиції постачальників, а не здійснюється на базі стратегії, розробленої в компанії. Оцінка стратегічного ризику не формалізована і здійснюється від проекту до проекту.

Планування IT-архітектури

Чи не оптимізована структура інформаційних систем, що підвищує надмірність даних (дублювання) в корпоративній системі, а також знижує рівень сумісності систем і додатків.

Йде розрізнена розробка компонентів інформаційної структури. Є часткова реалізація схем даних, документації і правил синтаксису даних. Визначення ставляться скоріше до даних, ніж до інформації, і обумовлені пропозиціями постачальників додатків. Роз'яснення співробітникам необхідності інформаційної архітектури проводиться хаотично і безсистемно.

Управління персоналом

Чи не оптимізована політика щодо найму і збереження (мотивування) кваліфікованого персоналу, що не дозволяє забезпечувати максимальний внесок персоналу в результат IT-діяльності.

Використовується неформальний підхід до найму та управління персоналом, обумовлений швидше потребами конкретних проектів, ніж напрямком розвитку технології і продуманим співвідношенням пропозицій кваліфікованих співробітників усередині організації і на стороні. Здійснюється неформальне навчання нових співробітників.

Управління проектами

Чи не оптимізовані підходи до управління проектами, що призводить до невиконання зобов'язань за строками і вартості робіт. Рішення про використання методики і підходів до управління проектами в області IT залишено на розсуд окремих менеджерів.

Принципові рішення з управління проектами приймаються без управління користувачами і вихідних даних клієнта. Клієнти і користувачі не беруть участі у визначенні IT-проектів або їх участь носить незначний характер. IT-проекти погано організовані: ролі і обов'язки учасників, а також графік виконання проектів не визначені, не відслідковуються трудовитрати.

Придбання IT-інфраструктури

Чи не оптимізована і не стандартизована діяльність з придбання та обслуговування інфраструктури IT. При експлуатації це призводить до зниження продуктивності систем і виникненню ризиків безпеки щодо даних і програм, що зберігаються в системі.

Для кожного нового додатка в інфраструктуру вносяться зміни без будь-якого загального плану. Обслуговування організовується як реакція на короткострокові потреби. Середовищем для тестування є виробниче середовище. Придбання та обслуговування IT-інфраструктури не базується на будь-якої певної стратегії і не враховує потреби бізнес-додатків, які необхідно підтримувати. Графіки обслуговування не розроблені в повному обсязі, і діяльність не координується.

Управління послугами постачальників

Не встановлені чіткі договірні відносини (угоди) з постачальниками IT-послуг, включаючи визначення ролей, відповідальності і очікувань, а також проведення перевірок і моніторингу відповідних угод з точки зору ефективності та відповідності, що підвищує загрозу виникнення збитку для випадків невиконання постачальниками своїх зобов'язань.

Відсутня формальна політика і порядок укладення договорів зі сторонніми організаціями. Чи не здійснюється оцінка діяльності сторонніх організацій. Сторонні організації не надають звітність. За відсутності зобов'язань про надання звітності вище виконавче керівництво не володіє інформацією про якість послуг, що надаються. Відсутні типові умови договорів з постачальниками послуг. Оцінка наданих послуг здійснюється довільно і фрагментарно. Методика залежить від індивідуального досвіду окремо взятої особи і від постачальника (наприклад, за запитом).

управління безперервністю

Відсутня формалізований підхід до створення (підтримання та тестування) планів забезпечення безперервності IT-діяльності (в тому числі планів резервного зберігання даних), що робить у разі настання надзвичайної ситуації високоймовірним виникнення значних перерв у наданні IT-послуг за ключовими напрямами і процесам бізнесу.

Реакції на великі порушення заздалегідь не продумані і не підготовлені. Практикуються планові відключення системи для забезпечення потреб IT-обслуговування без урахування виконання вимог бізнесу. Підходи, які застосовуються до забезпечення безперервності надання послуг, характеризуються неповнотою і фрагментарністю. Надходить інформація щодо доступності системи не враховує стан бізнесу. Немає документального забезпечення щодо дій користувача або щодо забезпечення безперервної роботи.

Джерело: каталог ризиків, розроблений компанією «ІТ експерт»

відкриті стандарти

CobiT (Control Objectives for Information and related Technology) - міжнародний стандарт управління корпоративними інформаційними технологіями, який допомагає узгодити стратегію бізнесу і IT, вибудувати діалог між керівниками бізнес-підрозділів і менеджментом інформаційної служби. Бібліотека передового досвіду ITIL (IT Infrastructure Library) - стандарт з управління інформаційними технологіями, активно застосовується в багатьох країнах протягом останніх 15 років. ISO 20000 (Information technology - Service management) - стандарт, що містить універсальні критерії, за допомогою яких будь-яка фірма або служба, що надає IT-послуги, може оцінювати їх ефективність і виконання вимог замовників з урахуванням їх бізнесу. Стандарт замислювався як галузевий - націлений на IT-послуги - аналог ISO 9001: 2000.

етапи аудиту

На попередньому етапі аудиту - етапі планування ( «I» на рис. 1), як правило, уточнюються вимоги до результатів, узгоджується перелік ризиків, які необхідно розглянути і оцінити, а також визначаються межі аудиту, тобто список бізнес-процесів і підрозділів, які будуть досліджуватися. На етапі проводиться:

  • попереднє ранжування переліку IT-процесів і пов'язаних IT-ризиків, що підлягають оцінці;
  • погодження меж аудиту: IT-сервіси, системи, програмно-апаратне забезпечення, підрозділи і фахівці, щодо яких буде проведено аналіз;
  • формування та узгодження детального плану аудиту.

Аудитором зазвичай формується еталонний перелік IT-ризиків, які відповідно до міжнародних стандартів притаманні стадіях планування, розробки, впровадження та експлуатації інформаційних автоматизованих систем. Ініціатор аудиту (замовник) на основі зазначеного переліку визначає пріоритети для оцінки. Якщо замовником IT-аудиту виступають представники керівництва компанії, то для отримання більш точного результату рекомендується формувати анкети в бізнес-термінах (табл. 2). З урахуванням тимчасових і ресурсних параметрів проведення аудиту визначаються межі аудиту (сервіси, системи, підрозділи тощо). При цьому рекомендується розглядати найбільш значущі для цілей бізнесу та / або поширені сервіси та системи, щоб мати можливість на основі оцінки певної (ключовий) області аудиту зробити об'єктивні висновки про систему IT-управління в цілому.

Таблиця 2. Витяг з анкети для проведення інтерв'ю з керівництвом компанії і ключовими користувачами

Опис IT-ризику (з каталогу ризиків компанії «ІТ Експерт»)

Оцінка важливості управління IT-ризиком

Обраний варіант відзначити

На етапі стратегічного бізнес-планування не розглядаються питання IT-стратегії Наслідки:

  • несвоєчасне реагування IT-служби на бізнес-ініціативи (відкриття нових офісів, автоматизація бізнес-процесів);
  • збільшення фінансових витрат на переклад бізнес-ініціатив в конкретні IT-рішення (неоптимальні і помилкові рішення, що приймаються IT в спішному порядку)

ризик несуттєвий

Пояснення до інтерв'ю: ризик носить гіпотетичний характер і малозначим для діяльності компанії (витрати на управління ризиком будуть вище, ніж отриманий ефект)

Ризик помірний (прийнятний)

Пояснення до інтерв'ю: визнається важливість управління зазначеним ризиком в стратегічній перспективі (на даному етапі допускається попереднє опрацювання питання, що не вимагає залучення фінансових інвестицій і витрати істотних тимчасових ресурсів бізнес-керівників)

Ризик вище середнього

Пояснення до інтерв'ю: визнається важливість управління зазначеним ризиком (в тому числі виділення часових і фінансових ресурсів) вже в короткостроковій перспективі

ризик високий

Пояснення до інтерв'ю: допускається, що реалізація даного ризику не тільки можлива в короткостроковій перспективі, але і вже відбувалася

Додатковий параметр оцінки

Визнається необхідність спільної участі IT і бізнесу в управлінні даним ризиком

Коментарі та пояснення:

З урахуванням отриманої інформації аудитор формує анкети, в яких вказує параметри аудиторських процедур по кожному IT-процесу, в тому числі найменування деталізованих цілей контролю і приблизну кількість уточнюючих питань. Щоб оцінка системи IT-управління була всебічною, формується ієрархія питань від приватних до високорівневих. Для аналізу оцінки рівня зрілості IT-процесів розглядаються приватні питання, згруповані в деталізовані цілі контролю. При цьому враховується повнота і достовірність наданих аудиторам даних і свідчень.

Для прикладу наведемо структуру анкети для оцінки IT-процесу «Управління послугами підрядників»:

Ризики недосягнення цілей процесу:

  • відсутність чітких договірних відносин (угод) з постачальниками IT-послуг, (включаючи визначення ролей, відповідальності і очікувань, проведення перевірок і моніторингу відповідних угод з точки зору ефективності та відповідності) підвищує загрозу виникнення збитку для випадків невиконання постачальниками своїх зобов'язань.

Вплив на досягнення цілей

IT-діяльності:

  • забезпечення результативності IT-діяльності - помірний вплив;
  • забезпечення раціональності IT-діяльності - високий вплив;
  • забезпечення безпеки IT-діяльності - високий вплив.

Деталізовані цілі контролю:

  • визначення політик процесу і процедур діяльності;
  • розподіл ролей;
  • менеджмент документів;
  • аналіз контрактів;
  • управління договірними розбіжностями;
  • передача прав;
  • відповідальність і підзвітність;
  • інструментарій;
  • охоплення процесу;
  • звітність і метрики. Наступний етап - аудит на місці ( «II» на рис. 1), в рамках якого проводяться інтерв'ю з співробітниками компанії-замовника і верифицируются їх результати (табл. 3). На цьому етапі рекомендується вирішувати наступні завдання:
  • провести процедури самооцінки з використанням розроблених раніше анкет;
  • провести інтерв'ювання ключових співробітників об'єкта аудиту для уточнення результатів самооцінки;
Таблиця 3. Фрагмент анкети для самооцінки процесу «управління конфігураціями»

критерії аудиту

самооцінка

або так / ні

Положення про підрозділ містить вказівку на завдання, пов'язані з управлінням конфігураціями

До посадових інструкцій співробітників, що відповідають за управління конфігураціями, включені відповідні записи

Визначено і адекватний охоплення CMDB (конфигурационной бази даних): сервери, ПЕОМ, СУБД, ПО, ЛВС

Визначено і адекватна ступінь деталізації атрибутів конфигурационной одиниці (найменування, тип, місце, власник, інвентарний номер, статус, документація, ліцензії та ін.)

Реєструються взаємини (взаємозв'язку) між конфігураційними одиницями на фізичному і логічному рівні

Застосовується порядок реєстрації базисної конфігурації

Визначено і виконуються процедури контролю над додаванням конфигурационной одиниці

Визначено ініціюють події і періодичність проведення аудиту CMDB (перевірки того, наскільки точно відображена поточна ситуація в CMDB)

Застосовуються інструментальні засоби аудиту, які можуть автоматично виконувати аналіз робочих станцій і формувати звіти про поточну ситуацію і статус IT-інфраструктури
  • провести верифікацію результатів інтерв'ю та самооцінки в рамках процедур спостереження за діяльністю і детального тестування наданих свідчень (в тому числі регламентів, положень, звітів, записів про події і т.п.)

Замовник визначає співробітників, які будуть в рамках інтерв'ю з даного IT-процесу давати офіційну оцінку (самооцінку) ступеня відповідності фактичного стану справ викладеним в анкеті критеріям. Аудитор проводить інтерв'ювання, в рамках якого аналізуються і уточнюються результати самооцінки. Аналізується перелік свідчень, що підтверджують високі результати самооцінки, в тому числі оцінюється фактична готовність надати відповідні свідоцтва (табл. 4). Кожне питання анкети може бути розглянутий за такими параметрами: компетенція персоналу, фактична діяльність, документування, моніторинг та автоматизація. Оцінка показників здійснюється за п'ятибальною шкалою, розподіленої, наприклад, для показника «діяльність» наступним чином:

  • 0 - діяльність не здійснюється і не визнається необхідною;
  • 1 - діяльність не здійснюється, але визнається необхідною;
  • 2 - діяльність здійснюється фрагментарно і має мінімальний охоплення, підтвердити її свідченнями неможливо, ймовірні відхилення виявити складно;
  • 3 - діяльність здійснюється на періодичній основі, однак має невелике охоплення і може бути підтверджена свідченнями тільки в окремих випадках або за допомогою демонстрації в режимі «спостереження за діяльністю»;
  • 4 - діяльність здійснюється на постійній основі. Охоплення процесу знаходиться на задовільному рівні і запланований до збільшення, в більшості випадків є документальні свідчення діяльності;
  • 5 - діяльність здійснюється на постійній основі, має повне охоплення, є свідчення в електронному та паперовому вигляді, які придатні як для внутрішнього контролю, так і для аудиту. При виставленні оцінки необхідно враховувати адекватність документарних свідчень (аудиторський слід), на підставі яких можна дати висновок по оцінюваної діяльності. До цієї групи документів належать, наприклад, реєстри і опису, реєстраційні журнали, протоколи, листи ознайомлення, акти і / або звіти, які свідчать про виконання роботи (наряду).

Отримані відповіді ранжуються за ваговими характеристиками і результатами (балам) самооцінки. Далі відбувається верифікація анкет. Оцінки з найбільшою вагою і результатом самооцінки проходять іспит на відповідність в першу чергу. У будь-якому випадку цій процедурі повинно бути піддано не менше 50% свідоцтв / відповідей з вищим балом і не менше 30% інших. Якщо з'ясовується, що самооцінка завищена, аудитор проставляє свою оцінку, яка потім і є основою для подальших розрахунків. Верифікація проводиться на підставі спостереження за діяльністю та умовами роботи; запиту документів, записів (актів, протоколів) перевірок, протоколів нарад, звітів (актів) про аудити, підсумкових даних, показників аналізу та результативності, звітів; звернення до електронних баз даних і веб-сайтам. При необхідності аудитор оперативно формує анкету детального тестування для проведення аудиторських процедур по суті (вибірковий аналіз сукупності доказів аудиту з окремих питань для отримання додаткових гарантій результатів самооцінки) На заключному етапі аудиту ( «III» на рис. 1) проводиться аналіз зібраних свідчень, формуються детальні оцінки та підсумкові висновки аудиту. Міжнародний стандарт CobiT характеризує даний етап як «творчий», так як перед аудитором стоїть непросте завдання провести багатоступінчате перетворення оцінок від окремих приватних питань до формування підсумкових викладок про стан системи IT-управління організації в цілому.

Відсутність інцидентів - сигнал про небезпеку

Як приклад рекомендацій щодо проведення верифікації з конкретного питання - «Реагування на інциденти інформаційної безпеки» - може служити вказівка ​​з аудиту, що міститься в «Посібнику з впровадження та аудиту коштів контролю стандарту BS 7799», розробленому Британським інститутом стандартизації: «В організації повинні бути розроблені і впроваджені необхідні процедури і створені канали зв'язку з керівництвом для повідомлення про випадки порушення безпеки. Аудитори повинні упевнитися в тому, що ці процедури можуть застосовуватися для будь-яких можливих інцидентів і забезпечують прийняття досить ефективних заходів у відповідь. Якщо будь-яка організація заявляє, що у неї не буває інцидентів, про які потрібно повідомляти, і тому вона не може продемонструвати процес подання повідомлень, то, швидше за все, насправді інциденти відбуваються, тільки їх ніхто не помічає. Тому процедури повідомлення про випадки порушення безпеки, інцидент-reporting процедури, повинні бути передбачені незалежно від того, чи відбувалися в минулому будь-які інциденти або не відбувалися. Необхідно перевіряти, чи є в даній організації чітке визначення поняття «випадок порушення безпеки (інцидент)», і чи розуміють його співробітники, що займають відповідальні посади. Корисно ставити перевірочні питання, наприклад: «Якщо ви виявили, що ваш сейф із секретними матеріалами варто відкритий, а навколо нікого немає, то визнаєте ви це випадком порушення безпеки?», «Якщо службовець повідомив про те, що йому помилково видали чужу зарплату, чи можна це вважати випадком порушення безпеки? »

Ключовим завданням аудитора на даному етапі є забезпечення транспарентності механізму формування підсумкових висновків як основної умови довіри до результатів аудиту. Всі зацікавлені сторони повинні мати можливість відстежити причинно-наслідковий зв'язок в ланцюжку перетворення результатів аудиту від приватних до підсумкових оцінках. Зупинимося на найбільш специфічних етапах перетворення оцінок.

Розрахунок рівня зрілості IT-процесу

Даний розрахунок може бути проведений з використанням методології CobiT, що пропонує визначати п'ять ключових характеристик зрілості процесу (табл. 5). Аудитор проводить угруповання приватних питань за вказаними характеристиками процесу (компетенція, фактична діяльність, документування, вимір, вдосконалення) і розраховує оцінку для кожної групи. При цьому рекомендується враховувати вагові характеристики як питань всередині групи, так і самих груп. Визначення конкретних значень виконується експертним шляхом і узгоджується з замовником аудиту на початку роботи.

Таблиця 5. Формула розрахунку підсумкової оцінки рівня зрілості

L = L1 + L2 + L3 + L4 + L5

Рівень зрілості по розділу

Найменування

K - вага розділу (сума балів дорівнює 5)

R (Tn) - базова оцінка від 0 до 1 за підсумками анкетування та верифікації (фактична сума оцінок / максимально можлива сума оцінок)

L1 = K × R (T1)

компетенція

L2 = K × R (T2)

діяльність

L3 = K × R (T3) × R (T2)

документування

L4 = K × R (T4) × R (T2)

Вимірювання

L5 = K × R (T5) × R (T2)

Удосконалення

Розрахунок, представлений на рис. 2, дозволяє побудувати тренд рівня зрілості IT-процесу.

Негативний вектор тренда будується з урахуванням рівня документування (підсумкова оцінка для даної групи питань). Чим нижче рівень документування, тим більша ймовірність в разі втрати ключового персоналу або змін умов діяльності не досягти цілей IT-діяльності (наприклад, нові співробітники не можуть отримати інформацію про те, як повинні виконуватися ті чи інші процедури). Відповідно для позитивного тренда враховуються вимір і вдосконалення як основа поліпшення діяльності. Тривалість постпроверочного періоду (часу між аудитами) на практиці в більшості випадків становить від року до трьох років і визначається з урахуванням законодавчих та нормативних вимог по періодичності, а також принципу розумної достатності - досліджується період, який становить найбільший інтерес для цілей формування прогнозів на майбутнє.

Розрахунок рівня IT-ризиків

Йдеться про рівень ризику після його обробки, наприклад після застосування контрзаходів, спрямованих на його зниження. В рамках даної процедури аудитор складає ранжируваних перелік виявлених ризиків і зіставляє базовий рівень ризику з рівнем зрілості IT-процесу, що відповідає за управління даними параметром (табл. 6). Допустимим вважається залишковий ризик (S) 6 і менше. Помірним - від 7 до 11. Високим - від 12 до 16. Критичним - від 17 до 25.

Підбиваючи підсумки

Структурування оцінок на всіх етапах формування висновків аудиту дозволяє сформувати статистичну основу для розрахунку передбачуваної динаміки зміни різних процесних показників в постпроверочном періоді. Отримані результати можуть бути використані для формування перспективного плану інвестицій в інформаційні технології, взаємопов'язаного з підвищенням рівня зрілості системи управління ризиками. Як вже було сказано, чим складніше інформаційна система, тим більш зріла система IT-управління їй повинна відповідати. Але існує і зворотна залежність. Наприклад, якщо у компанії нескладна локальна система, то максимальної ефективності вона досягне при рівні зрілості 2,8-3,2. Більш високий рівень не дасть вирішальної переваги, але може привести до додаткових витрат на менеджмент (рис. 3). Крім стандартних рекомендацій щодо усунення виявлених в ході аудиту невідповідностей (зауважень), результати аудиту можуть бути використані для розробки ключових рекомендацій з тактики і стратегії вдосконалення системи IT-управління в цілому і окремих IT-процесів, а також для формування методичної основи систем внутрішнього контролю і аудиту за інформаційними технологіями організації. Застосування розглянутої вище методики аудиту дозволяє компанії поглянути на свою систему IT-управління через призму міжнародних стандартів та практичного досвіду і, як наслідок, отримати професійну експертну оцінку:

  • ступеня її відповідності вимогам стандартів, що може бути використано для визначення готовності організації до проходження сертифікаційного аудиту;
  • її адекватності цілям ефективного формування додаткової цінності для бізнесу при використанні інформаційних технологій;
  • її стійкості при реалізації різних сценаріїв, наприклад, якщо розглядається розширення бізнесу, то оцінюється готовність служби IT масштабувати свою діяльність, якщо мова йде про масштабне переході на нові інформаційні системи, аналізується готовність забезпечити надійний перехід на нові системи в оптимальний термін, для зміни обсягів фінансування оцінюється ступінь адаптивності до відповідних умов. На підставі проведеної роботи виробляються рекомендації по стратегії розвитку управління підрозділами IT, в тому числі конкретних процесів управління, запобігання ризиків, вдосконалення роботи IT-підрозділів і формування системи внутрішнього контролю. Таким чином, IT-аудит закладає основу для ефективної роботи компанії в сфері, що має першочергове значення для рівня її конкурентоспроможності, намічає план заходів, який залишається тільки втілити в життя. Все інше вже буде залежати від самої компанії, а точніше, від її готовності чітко слідувати виробленим рекомендаціям.
Таблиця 6. Оцінка залишкового рівня IT-ризику

Рівень невід'ємного ризику від 0 до 5 (експертна оцінка)

Вплив рівня зрілості IT-процесу (в рамках якого управляється ризик) від 0 до 5

Оцінка залишкового ризику

S = 5 × R1 - L 2

Ризик збільшення часу від початку розробки до готовності систем через відсутність гнучкої інфраструктури

Ризик збільшення часу простою інфраструктури

Ризик збільшення проблем, пов'язаних з продуктивністю роботи додатків і викликаних невідповідностями в технологічній інфраструктурі

Ризик нестачі потужностей при впровадженні нових IT-рішень

Ризик підвищення витрат на IT-інфраструктуру внаслідок створення необґрунтованих резервів «про запас»

Відомо, що найчастіше впроваджені на підприємстві інформаційні технології з самого початку залишаються або стають з часом "таємницею за сімома печатками" і для керівників компанії, і для співробітників, і особливо для сторонніх, але аж ніяк не менш зацікавлених осіб - клієнтів, інвесторів, партнерів. Звичайно ж, це не додає довіри до компанії, не гарантує безпеки її бізнесу, не сприяє залученню клієнтів та інвесторів. ІТ-аудит - один з механізмів, що дозволяють "пролити світло" на справжній стан справ в компанії, оптимізувати роботу інформаційних систем і, отже, бізнес в цілому.

Основна мета IT аудиту - це оцінка ризиків, пов'язаних з використанням інформаційних технологій, оцінка їх контролю і вироблення рекомендацій щодо прийняття коригувальних заходів в областях, де ризики повинні бути знижені.

Ми пропонуємо провести у Вашій компанії IT аудит, який може складатися з наступних робіт:

Для визначення складу робіт IT аудиту, термінів проведення і вартості робіт рекомендується провести IT-діагностику. Діагностика проводиться протягом 3-5ті робочих днів. В ході діагностики збирається інформація, необхідна для виявлення ключових проблем в області IT. На підставі цієї інформації розробляються детальні пропозиції про проведення IT аудиту в компанії.

Результатом аудиту є набір висновків про те, чи відповідає потребам бізнесу існуюча в компанії інформаційна система (ІС), виробляються рекомендації щодо оптимізації та подальшого розвитку ІС.

В ході аудиту виконується аналіз відповідності існуючої ІС бізнес-процесів компанії, який має на увазі аналіз оргструктури компанії, ієрархії підрозділів, внутрішнього документообігу, облікової політики, відповідності модулів використовуваної ІС реальним потребам підрозділів.

Аудит ІС спрямований на досягнення наступних цілей:

  • Скорочення витрат на супровід і розвиток IT-інфраструктури
  • Скорочення витрат на виконання автоматизованих бізнес-операцій
  • Підвищення ефективності роботи ІС
  • Підвищення ефективності вкладень в ІС компанії

В рамках аудиту ІС виконуються наступні роботи:

  • Аналіз соотсветсвія можливостей і стратегії ІС стратегії компанії, бізнес-цілям і бізнес-процесів
  • Аналіз існуючих IT-сервісів і підтримують їх інформаційних систем (програмних продуктів)
  • Визначення проблемних місць існуючої IT-інфраструктури:
    • рівень відповідності інформаційної системи бізнес-вимогам
    • вартість супроводу і розвитку ІВ
    • відповідність IT-процесів стандартам ISO 9000
    • рівень забезпечення інформаційної безпеки
  • Вироблення рекомендацій щодо поліпшення IT-інфраструктури:
    • оцінка вартості виконання кожної рекомендації;
    • план виконання рекомендацій.
    • рекомендації з реінжинірингу IT-інфраструктури.

В рамках аудиту та експертизи IT-інфраструктури будуть обстежені наступні показники: продуктивність, повнота функціональності, безпеку, цілісність IT-процесів та ін.

В результаті Компанія отримає опис виявлених невідповідностей між IT-інфраструктурою та потребами бізнесу, існуючих проблем та ризиків розвитку IT-інфраструктури, а також рекомендації щодо усунення виявлених, з оцінкою витрат на виконання запропонованих рекомендацій і плану роботи.

Ця інформація є основою для побудови стратегії автоматизації та визначення найбільш ефективних шляхів вкладення в IT.

Дозволяє замовнику отримати експертну оцінку поточного складу і рівня функціонування технологічних платформ, апаратно-програмних комплексів, мереж і засобів комунікації (IT-інфраструктури), а також отримати рекомендації щодо підвищення ефективності їх використання, модернізації, зниження вартості володіння.

Наприклад, аудиторський висновок, може містити висновки про відповідність завантаження серверів їх характеристикам, що підтверджують, що серверна платформа дозволяє нарощувати завдання, або працює на межі потужності і т. П.

Аудит включає в себе формування експертної оцінки поточного стану системи захисту інформації (СЗІ), оцінку інформаційних ризиків, рекомендації щодо вдосконалення СЗІ, розрахунок вартості по створенню або модернізації СЗІ. Проведення аудиту інформаційної безпеки дозволяє компаніям-замовникам знизити бізнес-ризики і підвищити рівень захищеності інформації.

Результати аудиту дозволяють провести ряд робіт по збільшенню ефективність діяльності IT-підрозділу, оптимізувати витрати на ІТ, підвищити якість послуг, що надаються в області ІТ, провести реорганізацію IT-підрозділів відповідно до бізнес-завдань компанії і сучасною методологією експлуатації IT-інфраструктури.

На підставі аудиторського висновку видаються, зокрема, детальні рекомендації щодо організації планування роботи ІТ-служб відповідно до потреб бізнесу компанії.

Можливості подальшої співпраці

Результати IT аудиту дозволять намітити напрямки подальшої співпраці між нашими компаніями і зокрема визначити необхідність проведення наступного ряду робіт в області IT консалтингу:

  • Розробка IT стратегії
  • Розробка Концепції інформаційної системи, в тому числі розробка економічного обгрунтування оптимізації / розвитку IT
  • Оптимізація / розвиток інформаційної системи (ІС), що включає в себе:
    • Розробка Технічного завдання на доопрацювання / створення існуючих / відсутніх підсистем / модулів ІС
    • Вибір програмних систем (вендорів) для КІС
    • Організація і управління проектом оптимізації ІС
    • Розробка методичної / супровідної документації
    • Розробка / впровадження доопрацьованих / нових підсистем / модулів ІС
    • Підготовка та навчання персоналу. консультації персоналу
  • Моніторинг та супровід експлуатації ІС

Проведення комплексного аудиту дозволяє отримати найбільш повну, систематизовану і достовірну інформацію про стан ІТ-інфраструктури замовника. Проведення аудиту необхідно для оцінки ІТ, прийняття рішень, прогнозування розвитку ситуації, управління ІТ.

Коли (в яких випадках) ця послуга затребувана?

  1. Придбання бізнесу, або об'єднання підприємств(Формальне, або неформальне) в холдингову структуру. Виникає необхідність інтеграції ІТ-інфраструктури купленої компанії з власною інфраструктурою. Проведення незалежного аудиту дозволить знизити витрати і прискорити терміни проведення робіт по інтеграції.
  2. Перед проведенням модернізації ІТ-інфраструктурипідприємства. Необхідно оптимізувати витрати на модернізацію і виробити стратегію розвитку.
  3. Коли зростання бізнесу випереджає розвиток ІТ. У цьому випадку спостерігається відсутність, або недолік у керівництва підприємства управлінської інформації про склад і стан ІТ-інфраструктури.
  4. Якщо ІТ-інфраструктура працює незадовільнона даний момент. Проведення аудиту - це найоптимальніший спосіб виявити проблемні місця інфраструктури та отримати необхідні рекомендації по їх усуненню

Які переваги ця послуга дає замовнику?

  1. спрощення модернізаціїІТ-інфраструктури за рахунок отримання найбільш повної та актуальної інформації про наявні ІТ-ресурсах.
  2. Отримання оцінки витратпо модернізації ІТ-інфраструктури. Знання відображаються в звітній документації ступеня необхідності та прогнозованих обсягів робіт, дозволяє замовнику приймати обгрунтоване рішення.
  3. Підвищення ефективностівикористання наявних ІТ-ресурсів, після врахування результатів аудиту, і мінімізація бізнес-ризиків, пов'язаних з використанням інформаційних технологій.
  4. підвищення керованостіІТ підприємства. Керівництво отримує необхідну управлінську інформацію, необхідну для прийняття рішень, прогнозування розвитку ситуації, управління ІТ. Зростає ефективність роботи ІТ-служби підприємства, скорочується час простоїв і кількість позаштатних ситуацій.
  5. Отримання практичних рекомендаційпо використовуваних технологіях, обладнання та його налаштувань. Всі рекомендації пов'язані з конкретними проблемами, виявленими під час проведення аудиту, тому реалізація кожної рекомендації приносить виключно користь для компанії.

Аудит інформаційної безпеки можна проводити як силами штатного персоналу (внутрішній аудит), так і залучаючи незалежних фахівців (зовнішній аудит). Цінність зовнішнього аудиту інформаційної безпеки для потенційних клієнтів полягає в наступному:

  1. Аудит представляє собою незалежне дослідження, що підвищує ступінь об'єктивності результатів.
  2. Експерти, які проводять аудит, мають більш високу кваліфікацію і більший досвід подібної роботи, ніж штатні співробітники організації.
  3. Дешевше доручити виконання робіт з аудиту спеціалізованої організації, ніж організовувати їх самостійно.

опис послуги

Проведення комплексного аудиту включає три основних етапи:

  • Збір даних

Постановка завдання та уточнення меж робіт

На етапі постановки завдання проводяться організаційні заходи щодо підготовки проведення аудиту:

  • Уточнюються мети і завдання аудиту
  • Формується робоча група
  • Готується і узгоджується технічне завдання (ТЗ) на проведення аудиту

Іноді для проведення аудиту необхідний доступ до інформації, яку замовник вважає конфіденційною. У цьому випадку паралельно з ТЗ розробляється угода про конфіденційність і організовується взаємодія зі службою безпеки замовника.

Збір даних

На цьому етапі проводять інтерв'ювання персоналу замовника, огляд і інвентаризацію обладнання, збір конфігураційної інформації. Детальний перелік виконуваних робіт визначається в ТЗ на аудит.

Виконується обстеження всіх технічних і організаційних складових ІТ-інфраструктури:

  • Устаткування - апаратне забезпечення, що створюють і підтримують інформаційні технології: мережеве обладнання, сервери і робочі станції, системи зберігання та ін .;
  • Засоби підтримки - допоміжні ресурси, обладнання, приміщення, необхідні для підтримки функціонування ІТ-інфраструктури;
  • Технології - операційні системи, системи управління базами даних, інтеграції додатків та інше;
  • Додатки - прикладне програмне забезпечення, що використовується в роботі підприємства;
  • Дані - в найширшому сенсі - документообіг, зовнішні і внутрішні, структуровані і неструктуровані, довідкова, мультимедійна та ін .;
  • Трудові ресурси - персонал, його навички: досліджуються навички, розуміння завдань і продуктивність їх роботи.

Після закінчення етапу збору даних компанія, яка проводить аудит, володіє набором документів, що детально описують ІТ-інфраструктуру.

Аналіз даних і підготовка звіту

На цьому етапі виконуються наступні роботи:

  • перевірка і аналіз зібраних даних
  • підготовка експлуатаційної документації
  • вироблення рекомендацій
  • підготовка звіту про аудит

Проводиться перевірка зібраних даних на повноту і коректність, аналіз отриманої інформації, формування висновків і рекомендацій, оформлення і презентація результатів. В ході аналізу може бути прийнято рішення про збір додаткових даних.

На основі зібраних даних готується експлуатаційна документація, яка містить деталізовані дані про ІТ-інфраструктурі підприємства. Виробляються рекомендації щодо поліпшення якості роботи і підвищення ефективності функціонування ІТ-інфраструктури

Аналітичний звіт є основним звітним документом про аудит. Він включає опис поточного стану ІТ-інфраструктури, експлуатаційну документацію, перелік виявлених проблем, рекомендації з модернізації та розвитку ІТ-інфраструктури.

Етап завершується передачею замовнику розроблених документів.

результат

Результатом аудиту є створення пакета документів, що містить деталізовані дані про ІТ-інфраструктурі, а так само рекомендації щодо поліпшення якості роботи і підвищення ефективності функціонування.

Основним звітним документом є звіт про аудит. Його структура, як правило, узгоджується ще на етапі розробки ТЗ. Він включає опис поточного стану ІТ-інфраструктури, висновки про відповідність ІТ-інфраструктури важливість справ, рекомендації з модернізації та розвитку.