4936

Необходимость ИТ-аудита

Реферат

Информатика, кибернетика и программирование

Необходимость ИТ-аудита Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным поль...

Русский

2012-11-29

58.5 KB

10 чел.

Необходимость ИТ-аудита

Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным пользователям...".

Аудит ИТ — системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям и предоставляющий результаты Заказчику.

 Что  интересует директора

Почему информационная система (ИС) предприятия требует постоянных денежных вложений, а руководитель не получает из нее никаких полезных данных?

Чем предлагаемое одним поставщиком ПО лучше аналогичного, предлагаемого другими?

Насколько эффективна работает ИТ-служба предприятия? Можно ли разработать ИС силами собственной службы ИТ?

Вопросы, которые волнуют начальника службы ИТ

если уволится ведущий специалист, не рухнет ли с его уходом существующее ПО

если внедряется или приобретается новое ПО - сможем ли мы сопровождать, дорабатывать ПО своими силами

если поизводится перевод АРМов на новое ПО - что будет с накопленными ранее данными

что волнует бухгалтера

Почему купленные программы надо постоянно дорабатывать? Стоят  ли предлагаемые  поставщиками услуги  запрашиваемых денег?

Действительно ли каждому сотруднику, работающему в управлении, нужен компьютер? Кому из них необходимо выделить более мощный компьютер? Насколько эффективно используется компьютерное оборудование?

 

ЧТО такое ISACA и ИТаудит?

 ИТаудит - один из видов неэкономического аудита. ИТаудит - процесс определения соответствия существующей на предприятии информационной инфраструктуры (ПО,  оргтехника, сети) требованиям и ожиданиям руководства в части эффективного получения информации для принятия управленческих решений.

Ассоциация Аудита и Контроля Информационных Систем (ISACA), к 2006 году объединяющая более 47 000 членов в 110 странах мира, является признанным мировым лидером в области управления, контроля и аудита информационных технологий.

Виды ИТ-аудита

Различают следующие виды ИТ-аудита по объектам анализа :

  1.  аудит безопасности информационных систем;
    1.  насколько система может повысить прозрачность деятельности и снизить негативное влияние человеческого фактора.
    2.  насколько система может предотвратить или уменьшить последствия намеренных злоупотреблений персонала
    3.  насколько система может противодействовать внешним угрозам – вторжения, вирусные атаки из ИНТЕРНЕТ, промышленный шпионаж
    4.  насколько система может противодействовать внутренним угрозам – инсайдеры, некорректные действия пользователей, действия в пользу конкурентов

  1.  аудит бизнес-приложений - программные платформы, базы данных. Включает:
    1.  Анализ эффективности программных платформ в решении задач бизнеса
    2.  Оценка совместимости необходимых приложений, анализ их настроек
    3.  Оценка стоимости эксплуатации системы

  1.  аудит рисков – анализ требований, невыполнение которых ведет к провалу внедрения информационных систем; Включает:
    1.  Оценка необходимости перестройки бизнес-процессов предприятия
    2.  Оценка потребности компетентных обслуживающих специалистов
    3.  Оценка возможности подстройки бизнес-логики под особенности предприятия
    4.  Оценка возможности поэтапного ввода в эксплуатацию функционала
    5.  Оценка зависимости от команды разработчиков
    6.  Оценка вероятности неудачного внедрения у системы, написанной с нуля

  1.  аудит информационной службы–анализ состава, квалификации и выполняемых функций сотрудниками ИТ подразделений. Включает:
    1.  Анализ эффективности структуры ИТ-подразделения
    2.  Оценка сложности выполняемых функций сотрудниками ИТ-подразделения
    3.  Оценка необходимости повышения квалификации персонала ИТ-подразделения

  1.  аудит инфраструктуры и производительности анализ инфраструктуры (вычислительная техника, локальная сеть, операционные системы, системы безопасности, телекоммуникации). Включает:
    1.  Анализ технического состояния вычислительной техники
    2.  Оценка состояния операционных систем, их совместимости, системного программного обеспечения, драйверов, систем безопасности.
    3.  Анализ архитектуры сети, оборудования, проверка соответствия стандартам, настройки протоколов, системных служб, оценка пропускной способности и паразитного трафика

  1.  аудит обеспечения непрерывности бизнеса и восстановления после сбоев;
    1.  возможность продолжения функционирования информационных систем при частичном разрушении инфраструктуры (программной и технической)
    2.  возможность восстановления функционирования информационных систем после сбоев или разрушения инфраструктуры без потери информации
    3.  возможность восстановления информации, потерянной в результате сбоев или разрушения инфраструктуры.

Виды аудитов в разрезе  жизненых циклов информационной системы:

  1.  Предпроектный аудит  - проводится по требованию заказчика. Результирующий документ - технические требования для тендера на проектирование (покупку) информационной системы. Включает в себя:
    1.  общее описание существующей информационной системы
    2.  требования к планируемой информационной системе
    3.  определение ресурсов для создания новой информационной системы

Цель: Определяется целесообразность модернизации существующей системы или построения новой информационной системы

  1.  Аудит проекта –  проводится по требованию разработчика (поставщика) информационной системы. Включает в себя:
    1.  общее описание существующей информационной системы (если не выполнялся предпроектный аудит)
    2.  определение соответствия  проекта техническим требованиям тендера (Заказчика)
    3.  определение организационно-технических мероприятий со стороны Заказчика, необходимых для успешного внедрения, определение всех видов затрат на создание (внедрение) новой информационной системы
    4.  анализ эффективности привлечения субподрядчиков (если они используются)

Цель: определение узких мест при внедрении и пути их устранения

  1.  Постпроектный аудит – проводится по требованию заказчика. Включает в себя:
    1.  выявление критически важных элементов ИТ, выявление и оценка факторов риска
    2.  определение необходимых затрат на поддержание внедренной (внедряемой) информационной системы (стоимость владения)
    3.  рекомендации по обеспечению бесперебойности функционирования ИТ

Цель: анализ соответствия внедренной (внедряемой) информационной системы требованиям бизнеса

Результаты проведения аудита

По результатам проведенного аудита составляются следующие документы:

Резюме для руководителей, включающее:

  1.  краткую оценку текущей ситуации, основные рекомендации с указанием ожидаемого эффекта, сопутствующие риски и указание ориентировочной стоимости.

Документ предоставляется высшему руководству на уровне генерального директора, финансового директора, исполнительного директора.

Отчет  о результатах аудита, который включает:

  1.  анализ эффективности существующего прикладного ПО с точки зрения удовлетворения потребности бизнеса
  2.  анализ эффективности существующей инфраструктуры для функционирования прикладного ПО
  3.  анализ эффективности структуры ИТ-службы для решения задач бизнеса и обеспечения информационной безопасности

Документ предоставляется менеджерам среднего звена Заказчика

Протокол  аудита, включающий

  1.  выявленные несоответствия существующего прикладного по целям и задачам бизнеса, возмоные пути их устранения
  2.  выявленные несоответствия инфраструктуры задачам эффективного функционирования прикладного ПО и пути их устранения
  3.  выявленные несоответствия структуры ИТ-службы задачам поддержания и развития информационной системы и обеспечения информационной безопасности

Документ предоставляется руководителям ИТ-подразделения Заказчика.

Результаты аудита ИТ позволяют:

  1.  Оценить соответствие ИТ требованиям бизнеса
    •  Выявить недостатки и упущения;
    •  Обосновать инвестиции в ИТ.
  2.  Прогнозировать развитие ситуации
    •  Эффективно планировать развитие ИТ-организации;
    •  Понимать выгоды и риск при внесении изменений в информационную систему;
    •  Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов).
  3.  Принимать решения
    •  Обоснованно решать проблемы безопасности и контроля;
    •  Обоснованно приобретать или модернизировать аппаратно-программные средства;
    •  Планировать повышение квалификации сотрудников ИТ-подразделений.
  4.  Контролировать исполнение решений
    •  О приобретении услуг (аутсорсинг);
    •  Управлять ИТ составляющей проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей);
    •  Контролировать стоимость владения ИС.

Кроме того, получив заключение аудита ИС, предприятие может обосновать использование средств инновационных фондов при модернизации существующей ИС  существенно снизив при этом налоговую нагрузку за счет отнесения НДС.

Выводы

Кто заинтересован в проведении аудита? Прежде всего, это коммерческие или бюджетные организации и предприятия для обоснования инвестиций в ИС, системные интеграторы, ИТ компании для оценки влияния ИС на основной бизнес-процесс и расширения спектра предлагаемых услуг.

Для компаний, проводящих финансовый аудит — аудит ИС, дополнительная услуга, которая способна повысить рейтинг компании на рынке.

Генеральным подрядчикам работ будет интересна возможность оценить работу субподрядчиков в сфере ИТ.

А также проведение аудита ИС по стандарту CoBiT будет интересно любым предприятиям и организациям, имеющим или планирующим создание ИС и которые заинтересованы в получении ответов на вопросы, приведенные выше.

Аудит Информационных процессов позволяет руководителю:

  •  Оценить степень соответствия ИС требованиям бизнеса.
  •  Определить приоритеты основных  ИТ-процессов.
  •  Выявить критически важные элементы ИТ.
  •  Выявить и оценить факторы риска.
  •  Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.
  •  Создать план работ по устранению недостатков и разработать способы их устранения.

Руководитель организации, заказавший аудит ИТ у внешней аудиторской компании, должен понимать, что через полгода-год (в зависимости от динамики развития) ситуация в организации изменится, результаты аудита потеряют свою актуальность.

Если в этот момент не провести повторный аудит для сравнения с предыдущими результатами, то деньги, вложенные в "первый" аудит, можно считать потерянными и придется проводить "первичный" аудит заново.

Основным преимуществом регулярного проведения  аудита является накопление знаний организации, создание собственной базы знаний, которая позволит быстро и достоверно ответить на большинство вопросов, возникающих в организации.


 

А также другие работы, которые могут Вас заинтересовать

80187. Узкополосные и широкополосные сигналы 187.5 KB
  Для классических АМ и ЧМ колебаний средняя частота совпадает с несущей частотой сигнала.2 Для сигнала вида сопряженная по Гильберту функция. Исходя из этих соотношений для гармонического сигналаогибающая и частота равны соответственно: как и следовало ожидать. Если же выбрать произвольным образом среднюю частоту то даже для гармонического сигнала можно получить некую достаточно сложную огибающую не соответствующую действительности.
80188. Физические основы работы полупроводниковых приборов 202.5 KB
  Связь между токами и напряжениями в транзисторе характеризуют тремя системами параметров: это системы z у и hпараметров. При такой схеме включения для расчетов применяют hпараметры экспериментально определяемые по статическим входным базовым и выходным коллекторным вольтамперным характеристикам ВАХ транзистора ВАХ зависимость напряжения на зажимах элемента электрической цепи от тока в нем. Статические характеристики в схеме с общим эмиттером: авходная; бвыходная Входные характеристики транзистора отражают зависимость...
80189. Принципы построения радиоэлектронных систем локации и навигации 155 KB
  К радиотехническим системам обнаружения и измерения относятся также так называемые пассивные радиосистемы когда радиопередатчик в системе отсутствует а информация извлекается радиоприемным устройством из сигналов поступающих от каких либо естественных источников электромагнитных колебаний. Радиолокационные системы Радиолокация от лат. Основной целью радиолокации является установление связи между параметрами передающей приемной системы и характеристиками отраженного и рассеянного радиолокационной целью излучения с учетом их взаимного...
80190. Современные системы подвижной радиосвязи 373.5 KB
  Особенно быстрыми темпами как в мире так и у нас в России идет развитие сетей сотовой радиосвязи. По числу абонентов системы мобильной связи уже можно судить об уровне и качестве жизни в данной стране. Однако темпы роста абонентов мобильной связи в России почти 200 в год вселяют оптимизм.
80191. Явление вариантности форм родительного падежа множественного числа в современном русском языке 159.62 KB
  В данной работе при анализе языкового материала были использованы такие общенаучные способы исследования, как наблюдение и эксперимент. Основной общенаучный метод анализа – описательный. Наиболее распространенный способ научного исследования – это наблюдение. Под лингвистическим наблюдением в свою очередь понимаются правила и техника выделения из текста (или потока речи) того или иного факта и включение его в изучаемую систему.
80192. Методы анализа линейных цепей 136 KB
  Все электрические цепи состоящие из сопротивлений емкостей индуктивностей и соединительных проводов линейны. Анализ отклика линейной цепи на известное входное воздействие сводится при этом к известной в математике задаче решения линейного дифференциального уравнения nго порядка с постоянными коэффициентами. Порядок n этого уравнения в радиотехнике принято называть порядком линейной цепи системы.
80193. Нелинейные и параметрические цепи 143.5 KB
  Наиболее часто используют метод анализа нелинейных цепей основанный на линеаризации характеристик НЭ при фильтрации высших гармоник сигнала на выходе цепи. В результате первой операции в безынерционном НЭ происходит такое преобразование формы входного сигнала при котором в его спектре появляются новые гармонические составляющие. Вторую операцию осуществляет линейный фильтр выделяя нужные спектральные составляющие преобразованного входного сигнала. Кусочнолинейная аппроксимация характеристики Нелинейный резонансный усилитель мощности...
80194. Генерация сигналов. Модуляция и детектирование сигналов 138 KB
  Колебательной системой или устройством с самовозбуждением называют динамическую систему преобразующую энергию источника постоянного тока в энергию незатухающих колебаний причем основные характеристики колебаний амплитуда частота форма колебаний и т. Процесс получения переменных сигналов требуемой формы и частоты называют генерированием электрических колебаний. Автогенератор часто просто генератор устройство преобразующее энергию постоянного тока в энергию электрических колебаний требуемой частоты и формы. Автогенератор можно...
80195. Типы и основные характеристики линий связи 357.5 KB
  Типы и основные характеристики линий связи Принципы построения радиоэлектронных систем связи Любую техническую систему действие которой основано на непосредственном использовании высокочастотных электромагнитных колебаний радиодиапазона для сбора передачи извлечения обработки или хранения информации называют радиотехнической системой упрощенно радиосистемой. Линией связи называют физическую среду космическое пространство свободное пространство воздух в нейтральном или ионизированном состояниях земная поверхность морская вода...