3d-moscow@mail.ru
+7 (903) 960-97-72

Единый центр IT решений
ОГРН 1067746128890 9 лет на рынке

Что такое IT - аудит?

Аудит – проверка сторонними компаниями различных аспектов работы организации. Несмотря на некоторые различия между внешним и внутренним аудитом – разница только в том, кто именно хочет его провести. В случае внутреннего аудита, он инициируется владельцем компании для получения уверенности в том, что компания работает в верном направлении или для получения рекомендацию по улучшению и оптимизации работы. Внешний аудит инициируется заказчиком, который желает удостовериться в качестве поставляемых услуг.

В обоих случаях по завершении аудита выставляется сводная оценка рисков и подается отчет, понятный неспециалисту. В отчет обычно включаются и рекомендации по оптимизации работы отдела, который подвергся аудиту.

IT аудит

Для каждой части компании существуют свои наборы проверок, у каждой из которых своя специфика. Для отдела ИТ, аудит состоит из нескольких частей:

• аудит ИТ инфраструктуры;
• аудит механизмов резервирования;
• аудит сотрудников на предмет владения рабочим инструментом (компьютером).

Аудит IT инфраструктуры

Аудит ИТ инфраструктуры – как правило внешне напоминает инвентаризацию, с той разницей, что кроме описи оборудования производится также проверка ее работоспособности и нагрузки. В процессе проверяется качество оборудования и его соответствия требованиям бизнес-процессов. Соответственно, оценка работы будет зависеть не только от возможностей бесперебойной работы, но и отсутствия излишеств (или, наоборот, недостающих компонентов).

Например, для фирмы, состоящей из 3-10 человек, не имеет смысла устанавливать мощный сервер, рассчитанный на обслуживание сотен компьютеров. Ничего кроме убытков такое решение не принесет, несмотря на то, что в целом система с поставленными задачами будет справляться на все 100%.

С другой стороны, для крупных компаний, наличие мощного сервера является необходимостью, причем некоторый запас мощности должен быть на случай расширений или других изменений в компании.

Существуют некоторые дополнительные проверки, которые неочевидны, но также относятся к ИТ-аудиту, например, качество настройки мини АТС, которая присутствует практически во всех компаниях, и тому подобного дополнительного оборудования.

Аудит компьютерной сети

В IT аудит входит и аудит компьютерной сети, как локальной, так и глобальной (если она есть в наличии). При этом проверяется не только скорость работы, но и соответствие компонентов необходимым стандартам. Так, вполне рабочая система может быть построена с нарушениями, которые не влияют на работу небольшой сети. Но в случае расширения или слияния эти нарушения могут принести множество неожиданных неприятностей. Устранение выявленных нарушений в цели аудита сети не входит, но они будут учтены в отчете.

В аудит локальной сети входит проверка всего оборудования, включая кабели, коммутаторы и роутеры. Среди выявленных нарушений могут оказаться как некачественные кабели, так и превышение стандартного расстояния между узлами сети. Так же, как и с сервером, может производиться оценка роутеров, которые могут быть как недостаточно надежны, так и излишне дороги для используемых целей.

В отличие от аудита локальной сети, проверка глобальной сети проверяет в основном программное обеспечение и настройку серверов, ответственных за выход в глобальную сеть. То есть проверяются настройки dns, маршрутов, защищенности входа и пересылки данных по глобальной сети. В этом случае могут быть исключения, если глобальная сеть не является сетью Интернет (построенные крупными компаниями междугородние магистрали оптического кабеля), но такие случае достаточно редки.

Мероприятия, входящие в аудит сети значительно зависят от уровня развития IT-инфраструктуры в отдельно взятой компании. Чем обширнее инфраструктура – тем больше аспектов приходится проверять аудиторам.

Аудит резервирования

Аудит инфраструктуры и аудит сети также включают в себя аудит резервирования. Резервирование данных – одна из самых важных задач ИТ-отдела, так как потеря базы данных может свести на нет длительную работу организации. Резервирование (чаще всего дублирование и коррекция ошибок) позволяет быстро восстановить данные с минимальными потерями. Задачей аудиторов в данном случае является оценка возможностей по восстановлению данных и оценка рисков, к которым приведет тот или иной сбой. Кроме оценки резервирования данных, также производится оценка резервирования питания (ИБП, дизель-генераторы и тому подобное оборудование) и линий связи.

Аудит сотрудников

Последняя часть IT аудита – аудит сотрудников компании (чаще всего только ИТ-отдела, но бывают и исключения), на предмет владения знаниями, необходимыми для работы. Кроме знаний проверяются также и права доступа всех пользователей. Оценка прав доступа, в основном, влияет на оценку защищенности сети. Так как каждый сотрудник должен выполнять свою часть работы, то права доступа к некоторым базам данных, программам и тому подобному, должны предоставляться только для выполнения обязанностей.

Абонентское обслуживание компьютеров также проверяется аудиторами. В связи с тем, что уязвимость на одном компьютере может повлечь проблемы в безопасности (а иногда и работоспособности) всей сети и компании в целом, такая проверка не менее важна, чем остальные части. Каждый сотрудник, имеющий компьютер на рабочем месте должен быть обеспечен качественной машиной, которая способна выполнять весь спектр задач данного пользователя. В данном разделе также нередки злоупотребления, например, установка мощных видеокарт на компьютеры бухгалтерии – излишняя трата средств компании. С другой стороны недостаток процессорной мощности может плохо сказаться на работоспособности сотрудника.

Результаты ИТ-аудита

Результаты ИТ-аудита очень важны как для заказчиков (при внешнем аудите), так и для владельцев компании, так позволяют своевременно выявлять различные проблемы или, наоборот, пути оптимизации и развития IT-отдела и инфраструктуры.

Copyright © 2003-2013 СервисМобиль - Организация правильной работы IT инфраструктуры на предприятии.