Аудит it инфраструктуры
Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.
Когда (в каких случаях) эта услуга востребована?
- Приобретение бизнеса, либо объединение предприятий(формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
- Перед проведением модернизации ИТ-инфраструктурыпредприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
- Когда рост бизнеса опережает развитие ИТ. В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
- Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита – это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению
Какие преимущества эта услуга дает заказчику?
- Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
- Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
- Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
- Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
- Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.
Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:
- Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
- Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
- Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.
Описание услуги
Проведение комплексного аудита включает три основных этапа:
- Постановка задачи и уточнение границ работ
- Сбор данных
- Анализ данных и подготовка отчета
Постановка задачи и уточнение границ работ
На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:
- Уточняются цели и задачи аудита
- Формируется рабочая группа
- Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита
Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
Сбор данных
На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.
Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:
- Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
- Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
- Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
- Приложения — прикладное программное обеспечение, используемое в работе предприятия;
- Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
- Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.
По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.
Анализ данных и подготовка отчета
На этом этапе выполняются следующие работы:
- проверка и анализ собранных данных
- подготовка эксплуатационной документации
- выработка рекомендаций
- подготовка отчета об аудите
Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.
На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры
Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.
Этап завершается передачей заказчику разработанных документов.
Результат
Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.
Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.