Рейтинг@Mail.ru
logo

Планирование ИТ аудита

Перед проведением ИТ аудита сначала необходимо определиться с приоритетами и ответить на вопросы, зачем, собственно, он нужен, какие элементы информационной структуры особенно важны, и сформировать методику его проведения. Только в этом случае проведение ИТ аудита будет по-настоящему эффективным.

Ответ на вопрос, для чего вообще нужен ИТ аудит, определяется спецификой деятельности предприятия. Так, если для одних организаций важнее непрерывность ведения дела и оперативное разрешение возникающих вопросов, то для других приоритетным является обеспечение выполнения требований нормативов. Есть и такие, чьему руководству просто необходимо точно знать, в каком состоянии находится информационная структура компании.

На этапе определения целей и планирования ИТ аудита необходимо предпринять следующие действия.

Проведение инвентаризации систем и используемого оборудования, находящегося в ведении ИТ-подразделения. К таким активам относят компьютеры, мобильные устройства, сервера, системы хранения файлов и сетевые устройства – коммутаторы, роутеры и файрволлы. Во время инвентаризации нужно определить ценность информации, с которой работает тот или иной ИТ актив. Необходимо также дать предварительные оценки рисков каждого актива. Эксперты рекомендуют подключить к оценке юридический отдел и HR. Рекомендуется задокументировать проводимые действия и первоначальные результаты, так как на их основании будет составляться окончательный план IT аудита.

Нужно определить, проведение ИТ аудита каких именно активов может требовать дополнительных действий и затрат. Этот показатель принято называть степенью аудируемости. В итоге нужно сформировать базу активов с определенными для них степенями аудируемости: это поможет на следующем этапе свести их в более крупные категории.

Требуется разграничить неструктурированные базы активов по обозначенному показателю. Как правило, некоторые системы и оборудование требуют более глубокого аудита, чем другие. Необходимо сопоставить риски и степени аудируемости актива, так как это поможет выявить приоритетные области.

На основе анализа ИТ структуры нужно найти решение, которое обеспечит наибольшую эффективность финансирования построения системы ИТ аудита. Это решение должно соответствовать направлению развития информационных систем предприятия. Самым перспективным эксперты считают модульный метод, при котором при возникновении новых ИТ активов в существующую систему просто встраиваются новые модули, такие как модуль техподдержки пользователей и другие.