Опишите, как должен проводиться аудит ИС организации, как он связан с целями организациями

Стр 1 из 3Следующая ⇒

Федеральное государственное образовательное бюджетное

Учреждение высшего образования

«ФИНАНСОВЫЙ УНИВЕРСИТЕТ

ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»

Смоленский филиал

Кафедра «Математика, информатика и общегуманитарные науки»

Контрольная работа

На тему: Основы управления ИТ-сервисами

Студент группы: СМЛС17-1Б-БИ02

Семенков И.Г.

Преподаватель:

Морозов А.А.

Смоленск 2021

Содержание

Введение 3

1.0 Описать как должен проводиться аудит ИС организации, как он связан с целями организации. 5

1.1 Практика проведения аудита ИС 10

2.0 Описать основные этапы разработки ИТ стратегии организации 12

Список использованной литературы 18

Введение

Информационные технологии (ИТ) за достаточно короткое время прошли путь от второстепенных вспомогательных элементов функционирования организаций до полноценных систем управления бизнес-процессами предприятия. Появление персональных компьютеров, локальных сетей, технологии клиент-сервер и сети Интернет позволило организациям быстрее выводить на рынок свои продукты и услуги.

Формирование устойчивого рынка ИТ-услуг началось с середины 50-х гг. XX века. Основными поставщиками ИТ-услуг были информационные службы академических, профессиональных и научно-технических сообществ, государственных учреждений, учебных заведений. Сегодня во многих компаниях ИТ-услуги обычно предоставляются внутренними подразделениями предприятий и связаны с их ИТ-инфраструктурой. Управление ИТ-услугами (IT Service Management – ITSM) определяет подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.

Изучение системы управления ИТ-услугами обусловлено поиском эффективного подхода к организации работы ИТ-подразделений предприятий с учетом накопленного опыта в данной сфере. Анализ существующих стандартов управления ИТ-услугами – первая ступень в моделировании деятельности ИТ-службы с применением процессного подхода. В дальнейшем выстроенная система процессов послужит основой для разработки информационно-документационного обеспечения функционирования комплексной системы ИТ на предприятии, которая сделает эту деятельность более прозрачной, а значит, доступной для контроля.

В связи с этим на передний план выходят вопросы управления ИТ, причем не на уровне отдельных систем или устройств, а на уровне предоставления ИТ-услуг.

В тех областях, где существует стандартизация, экономически выгоднее работать, поскольку проще добиться взаимодействия на разных уровнях. Для ИТ, где динамика очень велика и нет времени «изобретать колесо» несколько раз, это крайне важно.

Недаром, во многих областях ИТ существуют стандарты де-факто, наиболее важные из которых, по прошествии времени, становятся стандартами де-юре, подтверждая важность этой области знания.

За последние пятнадцать-двадцать лет были созданы и получили известность несколько различных структурированных подходов и методик в области управления ИТ-услугами. Среди них была создана Библиотека передового опыта организации ИТ (IT Infrastructure Library – ITIL), ставшая первоисточником в управлении ИТ-услугами.

Библиотека ITIL представляет собой набор стандартов по описанию наиболее важных видов деятельности ИТ-подразделений, а также полный перечень сфер ответственности, задач, процедур и контрольных списков действий, которые могут быть адаптированы для любой организации. Широкая предметная область публикаций ITIL делает полезным регулярное обращение к ним и использование при совершенствовании структуры ИТ-службы.

За последние десятилетия информационные технологии оказали большое влияние на бизнес-процессы. Появление персональных компьютеров, локальных сетей, технологи клиент-сервер и Интернета позволили организациям быстрее выводить на рынок свои продукты и услуги. Данные разработки возвестили о переходе от промышленного века к веку информации. В информационном веке все происходит намного динамичнее. В рамках традиционных иерархических организаций часто бывает трудно реагировать на условия быстроменяющихся рынков и это привело к появлению более гибких компаний с меньшей степенью иерархичности. В самих организациях основной акцент сместился от традиционных вертикальных функций или отделов к инновационным горизонтальным процессам, которые работают в рамках всей организации, а право принятия решения все больше переходит на более низкие уровни.

Опишите, как должен проводиться аудит ИС организации, как он связан с целями организациями

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Российский рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых – это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны – это полная замена ИС, что влечет за собой большие капиталовложения, с другой – модернизация ИС. Последний вариант решения этой проблемы – менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.

Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС. Кроме того, возросла уязвимость ИС за счет повышения сложности элементов ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных. Спектр угроз расширился. Это обусловлено следующими причинами:

· передача информации по сетям общего пользования;

· «информационная война» конкурирующих организаций;

· высокая (для России) текучка кадров

По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:

· идеи;

· знания;

· проекты;

· результаты внутренних обследований.

Все чаще и чаще у клиентов к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:

· Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).

· Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?

· Как оптимизировать инвестиции в ИС?

· Что происходит внутри этого «черного ящика» – ИС организации?

· Сбои в работе ИС, как выявить и локализовать проблемы?

· Как решаются вопросы безопасности и контроля доступа?

· Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?

· Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?

· Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?

· Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?

· Почему все время производится закупка дополнительного оборудования?

· Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?

· Какие действия предпринимать в случае возникновения внештатной ситуации?

· Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?

· Как снизить стоимость владения ИС?

· Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга – аудит Информационной Системы.

Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался. Крупные и средние аудиторские компании образовали ассоциации – союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое «ноу-хау».

Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС (рисунок 1).

Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.

Основная декларируемая цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

Рисунок – 1 Общая последовательность проведения аудита И

1.1Практика проведения аудита ИС

На рисунке 2 отражена блок-схема, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.

2. На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.

Контроль выполнения рекомендаций – немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.

Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Результаты аудита ИС организации можно разделить на три основных группы:

1.Организационные – планирование, управление, документооборот функционирования ИС.

2.Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.

3.Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

· Долгосрочный план развития ИС.

· Политика безопасности ИС организации.

· Методология работы и доводки ИС организации.

· План восстановления ИС в чрезвычайной ситуации

Дата добавления: 2021-07-19; просмотров: 59; Мы поможем в написании вашей работы!

Поделиться с друзьями:

12 3 Следующая ⇒

Мы поможем в написании ваших работ!