Этапы проведения комплексного внешнего аудита

Проведение комплексного аудита включает три основных этапа:

1. постановка задачи и уточнение границ работ;

2. сбор данных;

3. анализ данных и подготовка отчета.

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

- уточняются цели и задачи аудита;

- формируется рабочая группа;

- подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита.

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит. Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

- оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;

- средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;

- технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;

- приложения — прикладное программное обеспечение, используемое в работе предприятия;

- данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;

- трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

- проверка и анализ собранных данных,

- подготовка эксплуатационной документации,

- выработка рекомендаций,

- подготовка отчета об аудите.

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных. На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры. Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры, эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры. Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования. Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию. Результат аудита ИТ-инфраструктуры отражает текущее состояние технической инфраструктуры компании.

Информация группируется по следующим направлениям:

1. Компоненты инфраструктуры. Описание административной модели и сетевой инфраструктуры службы каталогов Active Directory, служебных сервисов и ИТ-систем компании.

2. Телекоммуникационное и сетевое обеспечение.

3. Серверное оборудование. Краткое описание имеющегося серверного оборудования на основе проведенной инвентаризации серверных помещений компании, статистика по моделям используемого серверного оборудования и операционным системам.

4. Оборудование рабочих мест. Требования к аппаратному и программному обеспечению рабочих станций офиса компании (с разбивкой по департаментам).

5. Телефония и каналы передачи данных.

6. Информационная безопасность. Анализ текущего состояния организации информационной безопасности компании на основе предоставленной документации, опроса компетентных сотрудников, а также инструментального анализа текущего состояния защищенности серверов.