Примеры ИТ-стратегий. Как провести ИТ-аудит бизнеса?
После того, как ИТ-стратегия согласована с бизнес-целями, время перейти к ИТ-аудиту, чтобы понять, чего не хватает, а что можно оптимизировать.
Аудит бывает стратегическим и техническим:
- Стратегический – за короткое время охватываем широкую область с помощью анализа документов, анкетирования и опросов.
- Технический – выясняем, как именно устроены:
– Информационные системы
– Управление
– Инфраструктура
– Инфобез
Шаг 1: Проводим аудит информационных систем
Сначала определяем, какие системы есть в компании и насколько эффективно они поддерживают бизнес-процессы.
Далее выбираем конкретную ИС и оцениваем:
1. Функциональность
– Простота и удобство
– Соответствие бизнес-требованиям
2. Технологическую реализацию
– Архитектура приложений
– Качество технической реализации
3. Поддержку ИС
– Производительность и доступность инфраструктуры
– Качество эксплуатации программного обеспечения ИС
– Организация развития ИС
4. Документацию ИС
– Техническая
– Информационной безопасности
– Пользовательская
– Проектная
5. Интеграцию ИС
– Технологии интеграции ИС в зависимости от вида и потребностей бизнеса
| ИС | Гибкость | Соответствие требованиям | Средства отчётности | Оценка |
| ИС-1 | 2 | 2 | — | 2 |
| ИС-2 | 2 | 3 | 1 | 2 |
| ИС-3 | 2 | 3 | 2 | 2 |
| ИС-4 | 4 | 3 | 1 | 3 |
Смотрим на уровень технической поддержки
Оцениваем поддержку приложения со стороны инфраструктуры и технической эксплуатации.
Затем определяем RTO и RPO.
Пример оценки техподдержки:
| ИС | Инфраструктура | Эксплуатация | Развитие | Оценка |
| ИС-1 | 3 | 3 | 0 | 2 |
| ИС-2 | 3 | 2 | 1 | 2 |
Смотрим документацию ИС
Проверяем наличие и “соответствие реальности”:
– Технической документации – руководства администраторов, технические инструкции и описания.
– Руководства администратора информационной безопасности.
– Пользовательской документации.
– Проектной документации – технические задания, административная проектная документация, технический проект и т.д.
Составляем и проверяем архитектуру интеграции ИС
Может выглядеть так. На схеме – архитектура VDI, которую внедрили для заказчика в энергетическом комплексе.
Шаг 2: Проводим аудит инфраструктуры
Оцениваем надежность и способность поддерживать бизнес-процессы, идентифицируем проблемы с производительностью.
Аппаратная платформа и системное ПО:
– Соберите список серверов и рабочих станций – модель, серийные номера и характеристики каждого устройства.
– Проверьте лицензирование ОС и другого системного ПО на каждом устройстве.
– Оцените состояние физических серверов и рабочих станций, учитывая их возраст и ожидаемый срок службы.
– Проверьте наличие регулярных обновлений ОС и другого системного ПО, оцените их уровень актуальности.
Общесистемные сервисы:
– Оцените доступность и производительность доменных контроллеров, DNS, DHCP, LDAP и других общесистемных сервисов.
– Проверьте мониторинг и журналирование.
– Проверьте резервное копирование служб и конфигураций.
Виртуализация:
– Составьте список виртуальных серверов: количество виртуальных ЦПУ, объем оперативной памяти, и выделенное дисковое пространство.
– Оцените уровень использования ресурсов виртуализации и возможную необходимость масштабирования.
– Проверьте РК и восстановление.
Системы хранения данных:
– Изучите текущую архитектуру СХД, включая SAN и NAS.
– Проверьте состояние физических дисков, RAID-массивов и доступность данных.
– Оцените производительность СХД и проверьте наличие РК.
Резервное копирование:
– Проверьте настройки и расписания РК для критических данных.
– Оцените регулярность выполнения.
– Протестируйте восстановление для различных типов данных.
Сетевая инфраструктура:
Локальная вычислительная сеть:
– Создайте подробную схему сети, включая все сетевое оборудование, кабельную разводку и адресацию IP.
– Проверьте конфигурации маршрутизаторов, коммутаторов и файерволов, включая наличие адекватных правил безопасности.
– Оцените сетевую производительность, включая задержки и пропускную способность.
Корпоративная сеть передачи данных:
– Изучите архитектуру корпоративной сети и ее топологию, включая WAN и LAN сегменты.
– Проверьте настройки сетевых устройств, таких как маршрутизаторы и коммутаторы, и удостоверьтесь, что они соответствуют бизнес-требованиям.
– Оцените безопасность сети, включая меры защиты, такие как брандмауэры и системы обнаружения вторжений.
Телефония и системы видеоконференцсвязи:
– Проверьте состояние оборудования для телефонии и видеоконференцсвязи, включая IP-телефоны и видеокамеры.
– Оцените качество голосовой и видеосвязи, а также доступность соответствующих сервисов.
– Проверьте настройки и безопасность системы видеоконференцсвязи.
Подключение к интернету:
– Проверьте настройки интернет-подключения и его пропускную способность, а также наличие резервных интернет-линий.
– Оцените безопасность интернет-подключения и наличие средств защиты от внешних угроз, таких как фильтрация контента и межсетевые брандмауэры.
Переходим к инженерной инфраструктуре:
Структурированные кабельные системы:
– Проверьте состояние кабельной инфраструктуры, включая кабели, патч-панели и разъемы.
– Удостоверьтесь в соответствии кабельных систем стандартам и требованиям.
– Изучите документацию и маркировку кабельных систем для легкости обслуживания и отладки.
Электропитание:
– Проверьте состояние и обслуживание электроснабжения, включая генераторы, UPS и распределительные щиты.
– Оцените наличие плана аварийного питания и тестов процедур аварийного отключения и восстановления.
– Удостоверьтесь в соответствии электропитания стандартам и требованиям безопасности.
Пожаротушение:
– Проверьте состояние систем пожаротушения, включая сенсоры, спринклеры и средства оповещения.
– Оцените регулярность проверок и тестов системы пожаротушения и тренировки сотрудников по действиям в случае пожара.
– Проверьте соответствие системы пожаротушения стандартам и требованиям охраны труда.
Кондиционирование:
– Проверьте состояние систем кондиционирования в серверных и коммуникационных комнатах.
– Оцените способность систем обеспечивать оптимальную температуру и влажность для оборудования.
– Проверьте регулярность обслуживания систем кондиционирования и замены фильтров.
Возможная шкала оценки производительности и соответствия требованиям бизнеса:
– соответствуют;
– имеют недостатки, но работа по исправлению уже идет;
– требуют особого внимания.
По результатам фиксируем проблемы в отчете и составляем рекомендации с планом действий.
Шаг 3: Проводим аудит ИТ-управления
- Оцениваем эффективность управления ИТ-процессами и проектами, идентифицируем узкие места.
- Убеждаемся, что коммуникация между ИТ-отделом и бизнес-подразделениями оптимизирована и поддерживает цели компании.
Области анализа ИТ-управления:
– Организационно-штатная структура ДИТ
– Уровень развития процессов поддержки
– Уровень организации ИТ
– Уровень документированности процессов управления ИТ
– Уровень автоматизации деятельности ДИТ
Что дальше?
После аудита и подведения итогов – можно приступать к ИТ-стратегии. Первый шаг – согласовать результаты проверки с бизнес-целями. Об этом поговорим в следующем материале.
Об ИТ-стратегии рассказывали тут.
О согласовании целей бизнеса и ИТ-стратегии – тут.