Книга знаний: Основные вопросы при проведении аудита ИТ отдела

Имхо, управление рисками и аудит ИТ отдела - вещи разные. Аудит входит в урпавление рисками, но это не тот аудит (не того).
п.п. 8,9,10,11(частично),13,14 решаются внедрением ITSM. Сам в настоящее время штудирую информацию по MOF.

это что статья... или просто какой то перечень?

(0) два раза про шифрование сказано; детальное расположение компьютеров невозможно указать, т.к. юзвери постоянно передвигаются  :)

5)
- Операционная система (среда работы корпоративной системы);
(MS Excel, MS Word) - это чаво такое?

судя по автору, чтобы составить такую документацию, нужно купить мс офис за 300 бакинских, визию или mindmanager

статья - фегня, мне не понравилось

(1) В данной статье я хочу раскрыть основные моменты которые помогут в организации ИТ отдела, и прохождении последующего Аудита.
(2) Учту, добавлю и расширю.
(3) Статья может и фигня, но это первая проба пера. Возможно не слишком удачная.

Для того, чтобы делать аудит, согласно всем пунктам из "статьи"... его придется делать круглосуточно и без перерывов круглый год, потом начинать с начала и далее по-циклу. Для обоснования своей "бурной" деятельности...ленивому вхлам директору IT отдела=пойдет.

ЗЫ ужель и в правду всё это кто-то будет делать?, имхо = врятли.

(4)Аудит ИС - функция ИТ-отдела, аудит самого ИТ-отдела - функция кого-то другого, внешнего по отношению к отделу ИТ. А в статье смешались люди, кони, имхо.
(5)Постоянный аудит ИС необходим, если нет желания постоянно бороться с последствиями. Профилактика легче лечения и практически всегда дешевле.

(5) +1. Для бездельников, ибо если заниматься таким аудитом - работать будет некогда. Напомнило:
Работа в больших компаниях.

Все стремятся устроится на работу в большую компанию. Бытует мнение, что
там сыто, тепло, и много платят. А главное, там можно получить бесценный
жизненный опыт. Всё это заблуждения. А вот про опыт - точно в цель.
Я работаю в одной крупной известной компании. Компания настолько крупна и
известна, что не может позволить себе отсталые методы. Передовое в компании
все: передовые технологии, передовая политика набора персонала, передовой
метод распределения финансов. Чтобы финансы не распределились куда не
попадя, в компании имеются специальные департаменты, отделы, подразделения,
которые планируют, экономят и контролируют.
Простой пример: покупка принтера.
В компании моего друга (не такой крупной и уж совсем неизвестной) покупают
принтер так: в четверг в 15:00 подписывают счет у директора, в 16:00 счет
оплачивают, в пятницу поставщик привозит и устанавливает принтер прямо в
офис.
Лопухи! У нас процесс намного более передовой:
1. Мы понимаем, что нам нужен принтер.
2. Идем к начальнику, спрашиваем, есть ли деньги в бюджете.
3. Денег на новый принтер нет, придумываем с начальником, как бы
этот принтер замаскировать.
4. Решаем, что принтер будет у нас называться "чайник", т.к. на
чайник деньги есть.
5. Выписываем счет у продавца, слезно просим его в счете написать
"чайник", а не <принтер>.
6. Продавец после долгих споров со своей бухгалтерией все-таки
выставляет счет на <чайник>.
7. Оформляем к этому счету кучу внутренних бумажек, причем, как в
электронном варианте (у нас система электронного документооборота), так и в
бумажном. Сочиняем служебную записку: "без чайника жить не можем", иначе
ход счету не дадут.
8. Подписываем счет и записку у начальника.
9. Подписываем у начальника начальника.
10. Подписываем у начальника по финансам.
11. Подписываем у начальника по закупкам.
12. Тот не подписывает, говорит, что чайники мы покупаем только у
компании Х и нигде больше, это корпоративная политика.
13. Звоним в компанию Х, узнаем, что принтер под видом чайника они
нам продать не могут.
14. Наш начальник убалтывает начальника по закупкам закрыть глаза
на правила закупок.
15. Счет теряется где-то.
16. Выписываем новый, проходим шаги 7-14.
17. Подписываем у генерального директора.
18. Отдаем в бухгалтерию на оплату.
19. Выясняется, что при оформлении внутренних документов мы
неправильно указали статью бюджета, чайники проходят по административному
департаменту, соответственно, на счете должны расписаться все начальники
этого департамента.
20. Переделываем счет на "чайник с управлением по USB", проходим
шаги 5-11, теперь это проходит по нашему департаменту.
21. Начальник по закупкам не подписывает, т.к. такие "чайники с
USB-портом" являются стандартным оборудованием и поставляются всем филиалам
компании централизовано раз в месяц.
22. Понимаем, что стройную систему не обмануть, оформляем заявку в
отдел закупок с просьбой приобрести "копировальный аппарат с USB-портом"
(он еще и печатать умеет), на него деньги в бюджете есть, как оказалось.
23. Подписываем у начальника.
24. Подписываем у начальника начальника.
25. Подписываем у начальника по финансам.
26. Подписываем у начальника по закупкам.
27. Не успеваем провести заявку до 25 числа текущего месяца (уже
26-ое), ждем месяц до следующего срока подачи заявок.
28. Заявка уходит в центральный филиал компании.
29. Про заявку ничего не слышно 2 месяца.
30. Выясняется, что заявка потерялась в центре, отдел закупок
просят оформить ее заново, проходим шаги 22-29.
31. Заявка возвращается из центра с пометкой <копировальные
аппараты с USB-портом> не являются стандартным оборудованием, т.к. уже
устарели, стандартны только <копировальные аппараты с ethernet-портом>.
32. Переделываем заявку на "копировальный аппарат с сетевой
картой", проходим шаги 22-29.
33. Статус заявки становится совсем непонятным, полное молчание со
стороны центрального филиала.
34. Пишем письма начальнику: "срочно нужен принтер, а то работа
стоит".
35. Начальник пытается узнать статус заявки "копировальный аппарат
с сетевой картой" в центре, ему говорят, что копир уже давно выслали.
36. Ждем месяц.
37. Изменяем бизнес-процесс так, чтобы принтер не был нужен
совсем. Печатаем документы, послав их самим себе на факс через электронную
систему отправки факсов.
38. Забываем про заказ, рвем отношения с первоначальными
поставщиками, которые нам выставили счет с таким трудом (кстати, они были
нашими хорошими партнерами на протяжении многих лет), ругаемся со всеми,
кто требует от нас печатные документы (факс печатает из рук вон плохо).
...
39. Через год в кабинет вваливаются какие-то грузчики и
загромождают помещение какими-то коробками.
40. Вскрываем их и обнаруживаем 5 кофеварок с портами FireWire и
PS/2, софт, лицензии к софту на 500 пользователей, дополнительные модули,
все это стоимостью 350 тысяч долларов... Ба! Да это ж наш заказ!........ А
принтера нет.

Вы все еще хотите к нам? Милости просим

(5)+1
(7) :):)

(7) как всё знакомо... до боли

Если на предприятии введена система качества, то нужно еще проверять соответствие всех бизнес-процессов в IT-отделе, этой системе качества

(7)Вот поэтому-то в крупных компаниях и внедряют ITSM/MOF. Одна из функций - исключение "хаотических" закупок, кода жареный петух ипёт в очко. При правильной организации потребность в принтере была бы спрогнозирована и стоимость включена в бюджет соотвествующего отдела или ИТ-службы.

(11) выход из строя тоже прогнозировать надо?

(12) Можно, или у тебя резервного принтера на полочке не стоит?
Я не против учета и регулярного аудита, для тоги и сам себе 1С учет в ит отдеде написал. Без этого функцинИрование такого отдела напоминает совковый колхоз. Порядок он и в ... порядок. Но возводить работу по "обслуживанию организации порядка" в положение "выше" собственно работы, приводит к ситуации (7) т.е. к бардаку. Важно, наверное, соблоюдать правильное соотношение можно\нужно\достаточно.

(12)Естественно. В MOF за это отвечает функция управления сервисом (SMF, Service Management Function) Управление непрерывностью ИТ сервиса (IT Service Continuity Management). В зависимости от потребностей бизнеса учитываются даже стихийные бедствия.

(11) На баланс нужно смотреть. MOF, сама по себе - пожиратель ресурса. Деньги (содержание MOF) + деньги (время других служб). Плюс - (в деньгах) снижение вероятности потерь за счет отсутствия финансов в нужное время.
Учитывая, что крупные фин.вложения - достаточно очевидны (обновление серверного парка, прокладка сети...) речь идет о мелочах. Принтер, комп, ремонт... т.е. внезапных трат до 1000$. При этом цена MOF (зарплата, ЕСН, социалка, рабочие места...) - в разы больше.
На предмет внезапности - у меня реализовано простой идеей. Я не держу на складе железо. На складе у меня лежат деньги. На пальцах:
Т.е. вместо содержания полусотни материнок под разные сокеты - лежит 3000 р. На которые в любой момент можно купить материнку с нужным сокетом. Ну и т.д.
Вывод. Депозит на сумму месячного содержания MOF - решает основные задачи MOF. Срок окупаемости - примерно 1 мес.
MOF, SMF и прочие АБВГД и ЁПРСТ - оно конечно звучит. Этакая смесь мистическо-романтическая. Но буржуи - все ж таки бараны.

(15)Всему своё время и место. Никто не требует внедрять АБВГДейки на ларьках, но в большой конторе при хаосе получаем (7). То ты пишешь, что не можешь купить принтер, то что у тебя лежит наличка на неотложку.
Далее. При чём тут
>>зарплата, ЕСН, социалка, рабочие места...?
MOF - лишь концепция. Тот же персонал, но работает по другому (в СССР была аббревиатура НИР).
И опять же, повторюсь, смотря какой договор заключает ИТ служба с бизнесом. Если доступность сервиса нужна 5*8, то ты можешь позволить себе иметь $100 на материнку, а если 7*24, то каковы шансы купить _подходящую_ мать в субботу вечером?
При внедрении ITSM и пр. учитывается стоимость простоя бизнеса, например когда час недоступности сервиса влетает в сумму покрывающую издержки на содержание доп. персонала и железяк. Железки можно не закупать, а заключить договор с поставщиком, который обеспечит тебя всем необходимым в любое время, как вариант.
Всё имеет свою стоимость. В том числе час простоя ларька дяди Ашота и час простоя Фондовой биржи. Это конечно крайности, суть в том, что любое решение следует принимать обдуманно, а не только по тому, что смесь мистическо-романтическая.

+
MOF это не только управление доступностью и непрерывности сервиса. Это, помимо прочего, управление инцидентами. Эволюционное развитие HelpDesk, поддержка пользователей. Создание базы данных инцидентов позволяет нанимать на работу по поддержке менее квалифицированный персонал. От этих людей не будет требоваться досконально разбираться в тонкостях процесса, а только навыки поиска ответов на уже имевшие место инциденты в базе знаний. Очевидно, что для решения более сложных задач или новых, не описанных инцидентов потребуется помощь спеца, но его уже не будут зайопывать по мелочам (типа "не могу ввести элемент в справочник", а иерархию кто будет включать?).
Примером можно привести http://www.forum.mista.ru. Зверёк задаёт вопрос. На элементарный или наибивший аскомину трабл ответь может дать даже бот! Не поможет он - есть поиск. Серьёзную проблему разрулят ОТЦЫ /если сочтут нужным и не пошлют накуй :)/. И, самое главное, инцидент будет занесён в базу знаний и в будущем на его решение не надо будет долго мучить судьбу.
/Написал аж сам в акуе ;)/
- - - -
Возращаясь к упомянутому аутором аудиту, могу сказать, что мониторинг позоляет уменьшить время обнаружения инцидента вплоть до нуля.
Если всё это не нужно бизнесу, то и не надо никуя внедрять...
Jedem Das Seine

(16) А с чего ты решил, что (7) это у меня? Это мне приятель на жисть как-то жаловался.
>Далее. При чём тут
Да при том, что в MOF - никакой, новой, концепции нет. Есть старая, как мир проблема - решение вопроса с возможными простоями. Проблема обсуждается, вырабатываются решения, все.
Т.е. это не нечто новое, даже не некий непрерывный процесс (как пытается позиционировать себя MOF, т.к. из такой позиции, автоматом вытекают ресурсы), а разовая акция + обычная текучка в пределах выполнения некоего регламента. При устаревании регламента - акция повторяется.
Все. Дык это было, есть и будет. Непонятно, нафига на велосипед наклеивать другую лейблу, выделяя для этого особые ресурсы?
Что до сути проблемы, то она решена и на уровне дяди Ашота, и на уровне ФБ.

COBIT oт  ISACF  для IT-аудита.
и никаких гвоздей, т.е статей.

(18):) Весёлый ты... Никто же не навязывает...
Ну не все же крутые перцы, есть те, кому надо подсказать:)...
Полно людей, которые дошли своими мозгами до того, чтобы положить в тумбочку $100 на мать и приобрели запасной картридж, ведут журналы обращения пользователей и пр. Учится на собственных попадосах гораздо эффективнее...
Можно принимать или не принимать что-либо, однако стоит хотя бы ознакомиться с тем, что сделали другие в этой же облпсти кроме тебя, имхо.
Что касается модных аббревиатур. ITIL - библиотека мирового передового опыта. Наверняка ты там обнружишь способы и приёмы, которые тебе покажутся очевидными, но энтузиасты этого дела решили собрать свой опыт в кучу, дабы другим постигать очевиднве (не для всех) истины было легче. Люди не клеят на велик новую лейблу, а систематизируют накопленные знания. А термины вводят (как, впрочем, и везде) для того, чтобы общаться на одном языке, называть вещи одинаково и понимать друг друга...
Сюда же зачем-то приходят участнеги? Наверняка ведь какую-то часть проблем каждый может разрешить сам? Никто ни кого не принуждает помогать, равно как и принимать советы. Однако очень редко имеют место быть заяления что это накуй никому не нужно, всё это уже изобрели до нас.
Далее. Туева куча контор существует без всяких навороченных технологий, а какая-то часть даже бе 1С :). Кому-то она нах не нужна, он в неё и не лезет.

Спасибо за обсуждение проблемы.

Предыстория появления статьи, прохождение моим предприятием аудита. В том числе аудита ИТ отдела. Были участнеги которым было интересно, для них прежде всего и была составлена статья...
Я не претендую на абсолютную истину, но неплохо было-бы приводить ссылки на информацию, которая поможет облегчить работу ИТ отдела...

(21) и этот аудит вам реально помог?

(0) 5-ый пункт попобробнее :)

+(23) поподробнее

(22) Сталивались когда-нибудь с подтверждением отчетности перед иностранными инвесторами?
Данный аудит проводился в рамках проверки бизнеса инвесторами. Иностранные инвесторы хотят знать насколько можно доверять предоставленной отчетности об использовании их денежных средств и эфективности работы.

(25) Вот этот твой пост необходимо включить в статью. Он ключевой.