Комплексный аудит ИТ

Проведение комплексного аудита – это наиболее оптимальный способ получить полную и достоверную картину состояния ИТ-инфраструктуры, оценить уровень технической и программной оснащённости компании, выявить проблемные места и получить необходимые рекомендации по их устранению от независимых высококвалифицированных специалистов, принять своевременное решение о замене и совершенствовании компьютерного оборудования, программного обеспечения, сервисов и подключений.

Проведение аудита позволяет:

  • Провести инвентаризацию существующей ИТ инфраструктуры, документирование бизнес-процедур, имеющихся лицензий на программное обеспечения;
  • Выявить факты использования нелицензионного ПО и оценить последствия нарушения лицензионных соглашений;
  • Оценить эффективность использования ПО, обоснованность покупки, пересекающийся или избыточный функционал программного обеспечения, правовые или юридические риски тех или иных лицензий на программное обеспечение;
  • Соотнести возможности имеющегося ПО и потребностей компании и, на основании этой информации, выбрать наиболее подходящее, в том числе и по ценовым критериям, программное обеспечение;
  • Составить полный список закупленного и установленного ПО, что позволит составить план закупок и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования;
  • Провести оценку соответствия конфигурации серверов и локальной сети в задачам бизнеса;
  • Провести оценку системы хранения информации, безопасности, отказоустойчивости и производительности серверов и всей сети в целом;
  • Провести к одному стандарту набор используемого ПО, группы пользователей и бизнес-задачи компании;
  • Оптимизировать затраты на закупку программного и аппаратного обеспечения, повысить эффективность использования имеющихся ИТ-ресурсов;


Основные этапы комплексного ИТ аудита

Вне зависимости от объекта обследования проведение аудита включает четыре основных этапа:

1. Проведение экспресс-обследования.

Этап предназначен для оценки сроков и стоимости основных этапов аудита, уточнения задач поставленных перед аудиторами.
Как правило, такое обследование проводится на основании отдельного соглашения с заказчиком, а его результаты позволяют заключить уточненный договор на проведение остальных этапов полного аудита.

В том случае, если для проведения аудита необходим доступ к конфиденциальной информации, то перед проведением обследования разрабатывается и утверждается  соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

2. Постановка задач аудита и уточнение состава работ.

  •  Уточняются цели и задачи аудита;
  • Формируется рабочая группа и проводятся все необходимые организационные мероприятия. В состав рабочей группы должны входить как специалисты компании-аудитора, так и сотрудники компании-заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его промежуточных и конечных результатов. Аудиторы отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования;
  • Подготавливается, согласовывается и утверждается техническое задание (ТЗ) на проведение аудита, а так же план-график проведения работ. В техническом задании на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам.


3. Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит.

  • анализ работы всех технических составляющих ИТ-инфраструктуры, включая:
  • аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения и др.);
  • оборудования и помещений, необходимых для поддержки функционирования ИТ-инфраструктуры (систем связи и кондиционирования, СКС и др.).
  • инвентаризация программного обеспечения как закупленного, так и установленного на компьютерах и серверах заказчика (операционных систем, систем управления базами данных, интеграции приложений и прочее). В ходе инвентаризации:
  • собирается информация о версиях имеющегося ПО, включая установленные обновления;
  • документируется конфигурационная информация;
  • анализируется имеющаяся документация на программное обеспечение, включая бухгалтерскую. Особое внимание обращается на наличие лицензионных соглашений и прочих документов, подтверждающих легальность использования  программного обеспечения.
  • проверка работы системы копирования и восстановления информации;
  • проверка соответствия требуемым стандартам параметров работы электропитания, включая электропитание серверов;
  • проверка параметров эксплуатации серверного помещения на соответствие стандартам, рекомендованным производителями оборудования;
  • обследование и документирование бизнес-процессов, затрагивающих используемое программное и аппаратное обеспечение;
  • сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг.

Сбор данных может осуществляться путем:

  •     интервьюирования персонала заказчика, непосредственно использующих ПО для решения своих задач, а так же ИТ специалистов;
  •     анализа предоставленных документов;
  •     осмотра и инвентаризации инфраструктуры;
  •     сбора конфигурационной информации, как в автоматическом, так и в ручном режиме;
  •     инструментального обследования.

В ходе интервьюирования необходимо учитывать, что видение одной и той же проблемы может существенно различаться с точки зрения, например, пользователя и системного администратора, а их общее мнение расходится с владельцами бизнеса, топ-менеджерами, руководством.

Дополнительно к сбору информации  может проводиться ряд тестов, таких как нагрузочное (стрессовое) тестирование локальной сети и серверов, сервисов, оценка качества канала связи с Internet, с удаленными офисами, если таковые существуют. А так же может быть произведен мониторинг работы и анализ журналов отчетов приложений и серверов, профилирование приложений, моделирование нагрузки на сеть и/или сервера путем проведения ряда тестов.

Детальный перечень выполняемых работ обычно определяется в ТЗ на аудит.

4. Анализ данных и подготовка отчета.

  •     сопоставление и анализ собранных данных;
  •     формирование выводов и рекомендаций;
  •     подготовка и оформление отчета об аудите.

Как правило результаты нашего ИТ аудита в большей мере готовятся для владельцев бизнеса или руководства. Так как зачастую ориентированы на вопросы бизнеса, что напрямую затрагивает работу рядовых сотрудников и особенно сотрудников ИТ департамента.

Итогом аудита является документация, содержащая:

  • детализированные данные о текущей ИТ-инфраструктуре предприятия, включая перечень имеющихся проблем, список закупленного и установленного программного обеспечения, имеющихся лицензий;
  • оценка правовых, юридических рисков.
  • оценка возможного ущерба из-за текущей настройки ИТ инфраструктуры, серверов, приложений, сервисов;
  • общую оценку рисков;
  • рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры, рекомендации по закупке лицензий либо замене на другие продукты, список мер по устранению либо снижению проявления выявленных первоочередных проблем, включая оценку длительности и стоимости их реализации.

 

Обратная связь

pic