В предыдущей статье мы говорили о том когда нужно проводить аудит ИТ.
Как выглядит типичная процедура аудита.
Любой аудит начинается с того, что формируются цели задачи и границы ИТ аудита. Компания, которая выполняет аудит, должна понимать, ответы на какие вопросы должен дать аудит. Какие цели ставятся перед проведением аудита. Если мы говорим об аудите безопасности, там цель одна оценить текущую систему, оцените безопасность, понять какие тонкие места, риски существуют для этой системы и как от этих рисков избавиться, или каким образом их минимизировать. Когда точно понятно для чего проводится аудит начинается самое удивительное.
Аудит начинается с того что специалисты, проводящие аудит выезжают на площадку, либо удалённо собирают информацию с аудируемой системы. После того как информация собранная (она может собираться руками, может собираться автоматизировано) всё зависит от типа аудита. После того как информация собрана, начинается серия интервью. Интервьюируют здесь как технических сотрудников, так и представители бизнеса, и тех людей, которые с системой работают. После того как информация комплексно собрана, начинается написание отчета по аудиту.
Этап достаточно длинный, поскольку отчёты по аудиту могут быть в несколько десятков, а иногда и сотен страниц. Поскольку читать 200 страниц отчета по аудиту достаточно сложно, особенно для представителей бизнеса, у ИТ аудита всегда есть резюмирующая часть, где подводятся итоги аудита, описываются проблемы и пути их решения. То есть для людей принимающих решения в принципе достаточно читать последние 10-20 страниц. Хотя весь отчет конечно будет полезен для тех специалистов, в том числе технических специалистов, которые работают в компании, чтобы впоследствии следовать рекомендациям аудита и минимизировать риски, убрать все недостатки.
После того как отчет по аудиту написан, последний заключительный этап — это представление отчета по аудиту, выезд на площадку к заказчику, презентация этого отчета и ответы на все возможные вопросы, которые будут возникать в процессе аудита.