Для успешного ведения бизнеса необходимо оценить степень информационной безопасности предприятия, выявить основные уязвимости IT-системы, принять своевременные меры для их устранения. В информационной системе предприятия могут быть уязвимые места, через которые происходит утечка конфиденциальной информации, что существенно влияет на работоспособность бизнеса. Руководитель предприятия может о них не знать, поэтому он должен пригласить специалистов, которые качественно проведут IT-аудит.
ИТ-аудит — комплекс мер, позволяющий проанализировать состояние компьютерной сети, серверов и периферийного оборудования и определить меры по защите от несанкционированного доступа.
План подготовки и проведения аудита
Вначале проводится IT-диагностика для того, чтобы определиться с целью проведения и перечнем необходимых работ, их сроков и стоимости. Проводится сбор информации для выявления проблем в информационной системе предприятия, затем разрабатывается конкретные задачи по проведению аудита. После проведение ИТ-аудита готовится отчетность по его результатам.
Этапы проведения IT-аудита
IT-аудит на предприятии проводится в несколько этапов:
- Собирается информация о компьютерах, периферийном оборудовании, серверах, способах коммуникации и программном обеспечении. Также проводятся интервью с сотрудниками, которые работают в IT-системе, для того чтобы выявить её недочеты.
- Второй этап включает анализ информации и составление отчетов, включающих список мероприятий по улучшению аппаратного и программного обеспечения компьютерной сети.
ИТ-аудит можно разделить по сферам проведения:
- Анализ оборудования. Проверяется состояние рабочих компьютеров сотрудников, периферийного оборудования и серверов, сеть и кабельная развилка. На этапе важен анализ достаточности источников питания.
- Анализ ПО. Проверяется используемое программное обеспечение, установленное на рабочих станциях клиентов и серверное оборудование, наличие лицензий и разграничение прав сотрудников.
- Анализ связи. Проверяется наличие функционирование и настройка электронной почты предприятия, каналов связи и телефонии.
- Анализ безопасности. Поводится проверка системы безопасности, используемой на предприятии, как производится хранение данных, архивирование и копирование информации. Анализируется возможность доступа злоумышленников к IT-системе предприятия и функционирование системы защиты. Проверяется работоспособность антивирусной системы и защиты от спама.
Типы ИТ-аудитов
ИТ-аудиты разделяют по времени, объему и типу выполняемых работ:
- По времени. Бывают плановые и внеплановые, проводящиеся перед или после проведения какого-либо проекта или во время него.
- По объему проводимых работ может быть комплексный аудит, когда проверяется вся система, в рамках которого проходит аудит ИТ- инфраструктуры и выборочный, когда проводится анализ отдельных проблемных узлов.
- По типу работ бывает технический или стратегический аудит. В первом случае проводится анализ состояния системы, а во втором — определяется стратегия работы компании в области информационной безопасности.
Выводы по результатам ИТ-аудита
Сразу после проведения аудита предоставляется отчет о текущем состоянии информационной системы предприятия и рекомендации по ее развитию и модернизации, а также необходимость улучшения инженерных коммуникаций. В долгосрочной перспективе IT–аудит должен помочь увеличить отдачу от вложения в бизнес и сократить соки внедрения новых технологий.
По завершению аудита станет понятно, насколько сотрудники удовлетворены качеством функционирования IT-системы, как она готова к внедрению бизнес-процессов компании, как проводятся коммуникации с поставщиками, насколько квалифицирован ИТ-персонал, кто за что отвечает, как проводится обучение коллег.