IT-аудит – обследование и оценка IT-инфраструктуры предприятия. Этот анализ позволяет руководству получить информацию об актуальном состоянии IT-системы, ее недостатках, возможных рисках и определить рациональность IT-расходов. Причем информирование подкрепляется составлением мер по улучшению эффективности работы IT-отдела в формате поэтапного плана.
Экспертизе подлежит все, что относится к IT-структуре:
- безопасность данных;
- компьютерное и серверное оборудование;
- СКС;
- зарплата сотрудников;
- покупка лицензионного ПО и т.д.
Точная область исследования определяется в ходе подготовки к IT-аудиту. Например, выбирается обследование определенного IT-проекта, а не всей структуры целиком. От предстоящего «фронта работ» напрямую зависит выбор стандарта проведения IT-аудита.
Стандарты IT-аудита
Мы перечислим несколько распространенных международных стандартов, т.к. их существует достаточно много и каждый призван охватить определенные области IT-структуры:
COBIT
Разработан некоммерческой организацией ISACA. Включает огромный пакет документов по управлению IT и информационной безопасности, основанных на десятках международных и национальных стандартах. Краткая выжимка основной идеи COBIT:
- устранение пропасти между IT-отделом и руководством компании:
- создание IT-структуры, соответствующей бизнесу, которая помогает предприятию и максимизирует его преимущества;
- оптимизация использования ИТ-ресурсов, например передать обязанности обслуживания компьютеров на ит-аутсорсинг ;
- достижение качественного менеджмента рисков;
ISO 20000
Разработан международной организацией по стандартизации ИСО в соавторстве с IEC. Является улучшенной версией британского стандарта BS 15000. Состоит из двух ключевых разделов:
- 20000-1. Подробно описывает требования к системе управления ИТ-инфраструктурой;
- 20000-2. Содержит практические рекомендации по материалу первой части.
ISO 19011
Аналогично представлен ИСО. Этот стандарт:
- базируется на управлении рисками (минимизации неблагоприятного результата);
- предполагает использование различных исследований, основанных на статистике и теории вероятности;
ISO 27001
Как и ISO 20000, данный стандарт разработал тандем ИСО и IEC. Он включает передовые практики и рекомендации по формированию системы управления информационной безопасностью;
ITIL
Представляет собой библиотеку книг с описанием лучших способов организации IT-подразделения. Последняя на сегодня версия (V4) выпущена в 2019 году. ITIL ориентирован на создание услуг, ценных для потребителя;
ARIS
Согласно этой методологии, принадлежащей компании Software AG, любое предприятие рассматривается с различных позиций:
- организационная;
- функциональная;
- обрабатываемые данные;
- структура процессов, продуктов и услуг.
В результате бизнес-процессы описываются с помощью иерархии моделей (их всего 85). Соответственно, ключевая идея ARIS – моделирование.
Заключение
Периодическое проведение IT-аудита – данность для бизнеса. Если, конечно, руководство организации стремится заполучить стабильно эффективную работу IT-инфраструктуры. А затем поддерживать IT-отдел в таком же продуктивном состоянии.
Процедура IT-аудита проводится по разным стандартам и крайне требовательна к компетентности исполнителя. Ведь неправильный анализ приведет к неверным выводам, следствием которых станет минимальный выхлоп от аудиторской экспертизы.
Потому лучше заказать IT-аудит у компании, проверенной временем – «Sky-Dynamics». Мы работаем с 2010 года и обслужили тысячи клиентов, в том числе, некоторые крупные предприятия РФ. Их положительные отзывы – наглядная демонстрация высокого качества услуг нашей организации.
