Какие существуют стандарты проведения ИТ аудита?

IT-аудит – обследование и оценка IT-инфраструктуры предприятия. Этот анализ позволяет руководству получить информацию об актуальном состоянии IT-системы, ее недостатках, возможных рисках и определить рациональность IT-расходов. Причем информирование подкрепляется составлением мер по улучшению эффективности работы IT-отдела в формате поэтапного плана.

Экспертизе подлежит все, что относится к IT-структуре:

• безопасность данных;
• компьютерное и серверное оборудование;
• СКС;
• зарплата сотрудников;
• покупка лицензионного ПО и т.д.

Точная область исследования определяется в ходе подготовки к IT-аудиту. Например, выбирается обследование определенного IT-проекта, а не всей структуры целиком. От предстоящего «фронта работ» напрямую зависит выбор стандарта проведения IT-аудита.

Стандарты IT-аудита

Мы перечислим несколько распространенных международных стандартов, т.к. их существует достаточно много и каждый призван охватить определенные области IT-структуры:

COBIT

Разработан некоммерческой организацией ISACA. Включает огромный пакет документов по управлению IT и информационной безопасности, основанных на десятках международных и национальных стандартах. Краткая выжимка основной идеи COBIT:

• устранение пропасти между IT-отделом и руководством компании:
• создание IT-структуры, соответствующей бизнесу, которая помогает предприятию и максимизирует его преимущества;
• оптимизация использования ИТ-ресурсов, например передать обязанности обслуживания компьютеров на ит-аутсорсинг ;
• достижение качественного менеджмента рисков;

ISO 20000

Разработан международной организацией по стандартизации ИСО в соавторстве с IEC. Является улучшенной версией британского стандарта BS 15000. Состоит из двух ключевых разделов:

• 20000-1. Подробно описывает требования к системе управления ИТ-инфраструктурой;
• 20000-2. Содержит практические рекомендации по материалу первой части.

ISO 19011

Аналогично представлен ИСО. Этот стандарт:

• базируется на управлении рисками (минимизации неблагоприятного результата);
• предполагает использование различных исследований, основанных на статистике и теории вероятности;

ISO 27001

Как и ISO 20000, данный стандарт разработал тандем ИСО и IEC. Он включает передовые практики и рекомендации по формированию системы управления информационной безопасностью;

ITIL

Представляет собой библиотеку книг с описанием лучших способов организации IT-подразделения. Последняя на сегодня версия (V4) выпущена в 2019 году. ITIL ориентирован на создание услуг, ценных для потребителя;

ARIS

Согласно этой методологии, принадлежащей компании Software AG, любое предприятие рассматривается с различных позиций:

• организационная;
• функциональная;
• обрабатываемые данные;
• структура процессов, продуктов и услуг.

В результате бизнес-процессы описываются с помощью иерархии моделей (их всего 85). Соответственно, ключевая идея ARIS – моделирование.

Заключение

Периодическое проведение IT-аудита – данность для бизнеса. Если, конечно, руководство организации стремится заполучить стабильно эффективную работу IT-инфраструктуры. А затем поддерживать IT-отдел в таком же продуктивном состоянии.

Процедура IT-аудита проводится по разным стандартам и крайне требовательна к компетентности исполнителя. Ведь неправильный анализ приведет к неверным выводам, следствием которых станет минимальный выхлоп от аудиторской экспертизы.

Потому лучше заказать IT-аудит у компании, проверенной временем – «Sky-Dynamics». Мы работаем с 2010 года и обслужили тысячи клиентов, в том числе, некоторые крупные предприятия РФ. Их положительные отзывы – наглядная демонстрация высокого качества услуг нашей организации.