Аудит ИТ – какой он

Нужно ли проводить ИТ-аудит? Что это такое, да и зачем он вообще нужен? Думаю, что многие сотрудники и руководители ИТ-служб задают себе этот вопрос. Прежде чем ответить, давайте попробуем определить: что понимается по аудитом ИТ.

В общем случае аудит ИТ можно разделить на несколько категорий.

  • Обследование ИТ. Сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ.

  • Технический аудит ИТ. Сбор и анализ сведений, а также подготовка рекомендаций для улучшения работы либо отдельного элемента ИТ – инфраструктуры, либо процедур деятельности. Характерные особенности — узкая прикладная специализация исследования: «железка» с ее входами-выходами, аудирование действий пользователей при обращении к информационным ресурсам (аудит информационной безопасности). Другой пример – верификация данных, содержащихся в конфигурационной базе данных (CMDB).

  • Аудит ИТ применительно к бизнес-процессу. Аудит ИТ-услуг, поддерживающих определенный бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы.

  • Аудит критерия ИТ. Сбор, анализ информации и выдача рекомендаций по одному из выбранных для оценки критериев ИТ: конфиденциальность, целостность, доступность, результативность, рациональность и т.п.

  • Аудит ИТ-процесса. Оценка отдельных ИТ-процессов. Например: Управление качеством, Управление проектами, Управление изменениями, Управление инцидентами, Управление безопасностью и др. Позволяет оценить влияние отдельных ИТ-процессов на бизнес-процессы через критерии ИТ и систему сбалансированных показателей. Зачастую используется при подготовке к сертификации, например по ISO 20000.

  • Комплексный аудит ИТ. Руководство организации должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-подразделении, сравнить адекватность ИТ-потребностям организации, прогнозировать развитие организации и соизмерять его с текущим состоянием. Задача комплексного аудита ИТ — изучить и оценить сложную многомерную матрицу взаимосвязей функциональных процессов и поддерживающих их информационных технологий, представив итоговое заключение в виде простого и понятного образа, при этом сохранив достоверность информации.

Думаю, что практически любая ИТ-служба использует тот или иной вид ИТ-аудита, просто так его не называет.

Автор: Павел Кудрявцев

Источник: Сообщество «ЖЖивой ITSM»

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.