Опишите, как должен проводиться аудит ИС организации, как он связан с целями организациями
Федеральное государственное образовательное бюджетное
Учреждение высшего образования
«ФИНАНСОВЫЙ УНИВЕРСИТЕТ
ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»
Смоленский филиал
Кафедра «Математика, информатика и общегуманитарные науки»
Контрольная работа
На тему: Основы управления ИТ-сервисами
Студент группы: СМЛС17-1Б-БИ02
Семенков И.Г.
Преподаватель:
Морозов А.А.
Смоленск 2021
Содержание
Введение 3 |
1.0 Описать как должен проводиться аудит ИС организации, как он связан с целями организации. 5 |
1.1 Практика проведения аудита ИС 10 |
2.0 Описать основные этапы разработки ИТ стратегии организации 12 |
Список использованной литературы 18 |
Введение
Информационные технологии (ИТ) за достаточно короткое время прошли путь от второстепенных вспомогательных элементов функционирования организаций до полноценных систем управления бизнес-процессами предприятия. Появление персональных компьютеров, локальных сетей, технологии клиент-сервер и сети Интернет позволило организациям быстрее выводить на рынок свои продукты и услуги.
|
|
Формирование устойчивого рынка ИТ-услуг началось с середины 50-х гг. XX века. Основными поставщиками ИТ-услуг были информационные службы академических, профессиональных и научно-технических сообществ, государственных учреждений, учебных заведений. Сегодня во многих компаниях ИТ-услуги обычно предоставляются внутренними подразделениями предприятий и связаны с их ИТ-инфраструктурой. Управление ИТ-услугами (IT Service Management – ITSM) определяет подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.
Изучение системы управления ИТ-услугами обусловлено поиском эффективного подхода к организации работы ИТ-подразделений предприятий с учетом накопленного опыта в данной сфере. Анализ существующих стандартов управления ИТ-услугами – первая ступень в моделировании деятельности ИТ-службы с применением процессного подхода. В дальнейшем выстроенная система процессов послужит основой для разработки информационно-документационного обеспечения функционирования комплексной системы ИТ на предприятии, которая сделает эту деятельность более прозрачной, а значит, доступной для контроля.
|
|
В связи с этим на передний план выходят вопросы управления ИТ, причем не на уровне отдельных систем или устройств, а на уровне предоставления ИТ-услуг.
В тех областях, где существует стандартизация, экономически выгоднее работать, поскольку проще добиться взаимодействия на разных уровнях. Для ИТ, где динамика очень велика и нет времени «изобретать колесо» несколько раз, это крайне важно.
Недаром, во многих областях ИТ существуют стандарты де-факто, наиболее важные из которых, по прошествии времени, становятся стандартами де-юре, подтверждая важность этой области знания.
За последние пятнадцать-двадцать лет были созданы и получили известность несколько различных структурированных подходов и методик в области управления ИТ-услугами. Среди них была создана Библиотека передового опыта организации ИТ (IT Infrastructure Library – ITIL), ставшая первоисточником в управлении ИТ-услугами.
Библиотека ITIL представляет собой набор стандартов по описанию наиболее важных видов деятельности ИТ-подразделений, а также полный перечень сфер ответственности, задач, процедур и контрольных списков действий, которые могут быть адаптированы для любой организации. Широкая предметная область публикаций ITIL делает полезным регулярное обращение к ним и использование при совершенствовании структуры ИТ-службы.
|
|
За последние десятилетия информационные технологии оказали большое влияние на бизнес-процессы. Появление персональных компьютеров, локальных сетей, технологи клиент-сервер и Интернета позволили организациям быстрее выводить на рынок свои продукты и услуги. Данные разработки возвестили о переходе от промышленного века к веку информации. В информационном веке все происходит намного динамичнее. В рамках традиционных иерархических организаций часто бывает трудно реагировать на условия быстроменяющихся рынков и это привело к появлению более гибких компаний с меньшей степенью иерархичности. В самих организациях основной акцент сместился от традиционных вертикальных функций или отделов к инновационным горизонтальным процессам, которые работают в рамках всей организации, а право принятия решения все больше переходит на более низкие уровни.
Опишите, как должен проводиться аудит ИС организации, как он связан с целями организациями
|
|
Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Российский рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых – это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны – это полная замена ИС, что влечет за собой большие капиталовложения, с другой – модернизация ИС. Последний вариант решения этой проблемы – менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС. Кроме того, возросла уязвимость ИС за счет повышения сложности элементов ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных. Спектр угроз расширился. Это обусловлено следующими причинами:
· передача информации по сетям общего пользования;
· «информационная война» конкурирующих организаций;
· высокая (для России) текучка кадров
По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:
· идеи;
· знания;
· проекты;
· результаты внутренних обследований.
Все чаще и чаще у клиентов к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
· Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
· Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
· Как оптимизировать инвестиции в ИС?
· Что происходит внутри этого «черного ящика» – ИС организации?
· Сбои в работе ИС, как выявить и локализовать проблемы?
· Как решаются вопросы безопасности и контроля доступа?
· Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
· Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
· Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
· Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
· Почему все время производится закупка дополнительного оборудования?
· Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
· Какие действия предпринимать в случае возникновения внештатной ситуации?
· Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
· Как снизить стоимость владения ИС?
· Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга – аудит Информационной Системы.
Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался. Крупные и средние аудиторские компании образовали ассоциации – союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое «ноу-хау».
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС (рисунок 1).
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная декларируемая цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.
Рисунок – 1 Общая последовательность проведения аудита И
1.1Практика проведения аудита ИС
На рисунке 2 отражена блок-схема, хотя и не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
2. На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.
Контроль выполнения рекомендаций – немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.
Результаты аудита ИС организации можно разделить на три основных группы:
1.Организационные – планирование, управление, документооборот функционирования ИС.
2.Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.
3.Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Проведенный аудит позволит обоснованно создать следующие документы:
· Долгосрочный план развития ИС.
· Политика безопасности ИС организации.
· Методология работы и доводки ИС организации.
· План восстановления ИС в чрезвычайной ситуации
Дата добавления: 2021-07-19; просмотров: 59; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!