Проведение аудита позволяет:
- Выработать обоснованную политику в области предоставления IT-услуг внешним и внутренним пользователям локальной сети, использования, закупки либо замены аппаратно-программного обеспечения;
- Провести инвентаризацию существующей инфраструктуры, документирование бизнес-процедур, настроек программного и аппаратного обеспечения;
- Выявить факты использования нелицензионного ПО и оценить последствия нарушения лицензионных соглашений;
- Оценить эффективность использования ПО;
- Соотнести возможности имеющегося либо планируемого к закупке ПО и потребностей компании и, на основании этой информации, выбрать наиболее подходящее, в том числе и по ценовым критериям, программное обеспечение;
- Составить полный список закупленного и установленного ПО, что позволит составить план закупок и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования;
- Провести оценку соответствия конфигурации серверов и локальной сети в целом решаемым и перспективным задачам компании;
- Провести оценку системы хранения информации, отказоустойчивости и производительности серверов и всей сети в целом;
- Провести к одному стандарту набор используемого ПО, определив для каждой группы сотрудников оптимальные для них наборы программ, что в свою очередь позволит сократить расходы на тех поддержку и уменьшить время простоев;
- Минимизировать затраты на закупку программного и аппаратного обеспечения, повысить эффективность использования имеющихся ИТ-ресурсов;
- Повысить безопасность локальной сети за счет отказа от использования небезопасного ПО, установки необходимых заплат и изменения конфигураций.
Основные этапы аудита
Вне зависимости от объекта обследования проведение аудита включает четыре основных этапа:
1. Проведение экспресс-обследования.
Этап предназначен для оценки сроков и стоимости основных этапов аудита, уточнения задач поставленных перед аудиторами. Как правило, экспресс-обследование проводится на основании отдельного соглашения с заказчиком, а его результаты позволяют заключить уточненный договор на проведение остальных этапов полного аудита.
В том случае, если для проведения аудита необходим доступ к конфиденциальной информации, то перед проведением обследования разрабатывается и утверждается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
2. Постановка задач аудита и уточнение состава работ.
На данном этапе:
- Уточняются цели и задачи аудита;
- Формируется рабочая группа и проводятся все необходимые организационные мероприятия. В состав рабочей группы должны входить как специалисты компании-аудитора, так и сотрудники компании-заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его промежуточных и конечных результатов. Аудиторы отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования;
- Подготавливается, согласовывается и утверждается техническое задание (ТЗ) на проведение аудита, а так же план-график проведения работ. В техническом задании на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам.
3. Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит.
В ходе этапа производится:
- анализ работы всех технических составляющих ИТ-инфраструктуры, включая:
- аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения и др.);
- оборудования и помещений, необходимых для поддержки функционирования ИТ-инфраструктуры (систем связи и кондиционирования, СКС и др.).
- инвентаризация программного обеспечения как закупленного, так и установленного на компьютерах и серверах заказчика (операционных систем, систем управления базами данных, интеграции приложений и прочее). В ходе инвентаризации:
- собирается информация о версиях имеющегося ПО, включая установленные обновления;
- документируется конфигурационная информация;
- анализируется имеющаяся документация на программное обеспечение, включая бухгалтерскую. Особое внимание обращается на наличие лицензионных соглашений и прочих документов, подтверждающих легальность использования программного обеспечения.
- проверка работы системы копирования и восстановления информации;
- проверка соответствия требуемым стандартам параметров работы электропитания, включая электропитание серверов;
- проверка параметров эксплуатации серверного помещения на соответствие стандартам, рекомендованным производителями оборудования;
- документирование бизнес-процессов, затрагивающих используемое программное и аппаратное обеспечение;
- документирование этапов работы принятых систем документооборота, хранения данных и оказания услуг;
- сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг.
Сбор данных может осуществляться путем:
- интервьюирования персонала заказчика;
- анализа предоставленных документов;
- ручного осмотра и инвентаризации инфраструктуры;
- сбора конфигурационной информации;
- инструментального обследования.
- Интервьюирование персонала предназначено как для документирования бизнес-процедур, так и для выявления существующих проблем, связанных с использованием программного и аппаратного обеспечения. К интервьюированию обязательно привлекаются:
- сотрудники, непосредственно использующие ПО для решения своих задач;
- специалисты, связанные с предоставлением IT-услуг.
- В ходе интервьюирования необходимо учитывать, что видение одной и той же проблемы может существенно различаться с точки зрения, например, пользователя и системного администратора.
Дополнительно к сбору информации может проводиться ряд тестов, включая:
- нагрузочное (стрессовое) тестирование локальной сети и серверов;
- оценка качества канала связи с Internet, удаленными офисами.
- Оценка производительности может включать:
- Мониторинг работы и анализ журналов отчетов;
- Профилирование приложений;
- Моделирование нагрузки путем проведения ряда тестов.
Детальный перечень выполняемых работ обычно определяется в ТЗ на аудит.
4. Анализ данных и подготовка отчета.
На данном этапе производится:
- сопоставление и анализ собранных данных;
- формирование выводов и рекомендаций;
- подготовка и оформление отчета об аудите.
На основании анализа собранных данных может быть принято решение о сборе дополнительных данных.
Итог аудита
Итогом аудита является документация, содержащая:
- детализированные данные о текущей ИТ-инфраструктуре предприятия, включая перечень имеющихся проблем, список закупленного и установленного программного обеспечения, имеющихся лицензий;
- рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры, рекомендации по закупке лицензий либо замене на другие продукты, список мер по устранению либо снижению проявления выявленных первоочередных проблем, включая оценку длительности и стоимости их реализации.