Сложилось ошибочное впечатление, что ИТ-аудит - это проверка информационных систем и процессов компании на соответствие неким стандартам, таким как COBIT или ITIL. На самом же деле такой аудит, скорее, представляет собой сбор информации о текущем состоянии ИТ-систем и последующий анализ того, насколько эффективно они используются, где могут быть потенциальные риски и слабые места.
Для чего нужен ИТ-аудит:
- для оценки реальной ситуации в информационных системах компании, оценки текущей стоимости владения ими
- для оценки существующих рисков и последующих действий по их минимизации или устранению
- для понимания, насколько информационная система компании в ее теперешнем состоянии соответствует потребностям бизнеса, что возможно придется в ней менять и какова будет стратегия ее дальнейшего развития
- для подтверждения соответствия государственным законодательным требованиям - например, при сотрудничестве с некоторыми государственными компаниями или учреждениями может потребоваться пройти ИТ-аудит
- для работы с зарубежными партнерами (такое требование встречается достаточно часто, аудит в таком случае обычно поручают специализированной аудиторской компании, как например Ernst & Young)
ИТ-аудит можно проводить с помощью внутренних ресурсов предприятия или отдать на ИТ-аутсорсинг компании, которая занимается этим профессионально. Первый вариант обходится дешевле, второй может оказаться более объективным, так как собственные штатные сотрудники могут не иметь достаточной квалификации, чтобы выполнить аудит профессионально. Кроме того, при внутреннем аудите всегда существует угроза необъективности, стремления скрыть какие-либо ошибки и просчеты.
Если вы все же решили провести ИТ-аудит своими силами, можно начать со следующих шагов:
- инвентаризация - в ее ходе нужно будет проверить и описать все имеющееся аппаратное и программное обеспечение,
- оценка информационной безопасности - проверить, кто является администратором каждой системы, какие есть права доступа у сотрудников, в том числе у недавно уволенных, политику паролей, средства обеспечения ИБ (антивирусы, МСЭ и подобное)
- проверить настройки резервного копирования данных, дату последнего бэкапа и возможность восстановить систему из него
- изучить и оценить архитектуру системы, логику взаимодействия отдельных ее компонентов
- изучить процесс управления инцидентами и процесс управления изменениями в ИТ-системах компании
- оценить бюджет ИТ-составляющей бизнеса, в том числе в разрезе план/факт
66
