Аудит ИТ

ISACAООО «РОССИННО» при участии сертифицированных специалистов по аудиту международной ассоциации профессионалов в области управления ИТ ISACA (Information Systems Audit and Control Association) предлагает организациям услуги по проведению ИТ аудита — обследования ИТ функций (подразделений) и процессов по COBIT, с соответствующей визуализацией выводов и рекомендациями.

Стандарт COBIT (Control Objectives for Information and Related Technologies или «Задачи управления для информационных и смежных технологий») позволяет сформировать адекватное представление бизнесу о стратегии, политиках, стандартах и процедурах ИТ-подразделений.

Аудит может выполнятся этапами, и каждый этап имеет три основные фазы — Обследование, Анализ, Подготовку отчёта. Перед началом этапа проводится Установочный брифинг, после окончания Финальная Презентация.

 

Используя схемы можно получить представление об используемом стандарте.

cobit5models

Ниже приведена цитата, позволяющая получить представление о терминологии.

Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:

PO1 Разработка стратегического плана
PO2 Определение ИТ архитектуры
PO3 Определение направлений развития технологий
PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
PO5 Управление инвестициями в ИТ
PO6 Согласованное управление целями и задачами
PO7 Управление ИТ персоналом
PO8 Управление качеством
PO9 Оценка и управление рисками ИТ
PO10 Управление проектами

Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:

AI1 Идентификация и выбор решений по автоматизации
AI2 Проектирование и разработка приложений
AI3 Проектирование и поддержка технической инфраструктуры
AI4 Обеспечение работы и использования ИС
AI5 Закупка ИТ ресурсов
AI6 Управление изменениями
AI7 Установка и утверждение решений и изменений

Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:

DS1 Определение и управление уровнями сервиса
DS2 Управление сервисами подрядчиков
DS3 Управление производительностью и мощностью
DS4 Обеспечение непрерывности сервисов
DS5 Обеспечение безопасности систем
DS6 Определение и распределение ИТ затрат
DS7 Обучение пользователей
DS8 Управление службой поддержки и инцидентами
DS9 Управление конфигурацией
DS10 Управление проблемами
DS11 Управление данными
DS12 Управление физическим оборудованием
DS13 Управление эксплуатацией

Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:

ME1 Отслеживать и оценивать производительность ИТ
ME2 Отслеживать и оценивать внутренние контроли
ME3 Гарантировать соответствие регулирующим требованиям
ME4 Обеспечивать руководство ИТ
http://www.itexpert.ru/rus/biblio/cobit

ISACA — https://www.isaca.org