Базовый (начальный) ИТ аудит

При приходе в компанию IT менеджера, либо если руководитель компании решил уделить внимание ИТ, возникает список вопросов, ответы на которые нужно получить. Нужно убедится, что эти вопросы разрешены, поскольку если эти базовые моменты не закрыты, нечего и думать о строительстве сложных бизнес систем. Это как в случае со строительством, если фундамент плохо спроктирован, здание может рухнуть, когда начнут надстраиваться этажи.

Если что-то в вопросах находится в подвешенном состоянии, то вопрос автоматически превращается в задачу. Не важно кто сопровождает IT в компании — внутренние сотрудники или аутсорсер. Примерный список базовых (начальных) вопросов прилагаю:

  1. Кто (внутренние или внешние специалисты) сопровождает IT сервисы:
    • Интернет (в т.ч. каналы связи между офисами).
    • Мобильную и фиксированную связь.
    • Печатающие устройства.
    • Системы безопасности (СКУД, видеонаблюдение и пр.).
    • Рабочие места пользователей.
    • Сервера (аппаратное и программное обеспечение).
    • Сетевое оборудование.
    • Бизнес-приложения (офисное и специализированное ПО).
    • Закупки полтьзовательского, серверного и сетевого оборудования.
    • и т.п.
  2. Доступ к серверам, принтерам, сетевому оборудованию, внешним IT сервисам:
    • У кого (кто-то в компании, аутсорсер) есть логины и пароли для административного доступа к серверам, принтерам, сетевому оборудованию, СКУД и пр., а также их IP адреса?
    • В каком виде эта информация задокументирована (Sharepoint, KeyPass, Excel, OneNote и т.п.) и где лежит?
  3. Удаленный доступ к корпоративной сети:
    • Имеется ли у сотрудников возможность удаленного доступа?
    • Доступ возможен с корпоративных и/или личных устройств?
    • С какого типа устройств (ноутбки, личные десктопы, планшеты)?
    • Кому предоставляется?
    • Кто дает?
    • Какие VPN технологии используются для доступа?
    • Используется терминальный доступ?
  4. Почтовые сервера:
    • Где размещается почтовый сервер (локальный, облачный, смешанный)?
    • У кого есть логины и пароли для администрирования почтового сервера?
    • В e-mail адресе используется корпоративный домен или почта с доменом: gmail.com, mail.ru и пр.?
    • Есть ли стандарт на заведение e-mail адресов сотрудников? Например, [фамилия]_[первая буква имени]@домен.ru.
    • Есть ли стандарт на подпись в сообщениях e-mail?
    • Проверить настройки SPF/DKIM. Если неправильно настроены, письма отправленные контрагентам могут попадать в спам.
  5. Видеонаблюдение и охранная система:
    • У кого-то есть логины/пароли с правами администратора, а также IP адреса (в случае IP оборудования) для доступа к камерам (видеорегистраторам)?
    • С внутренних камер ведется видеозапись? Для каких целей?
    • Кто-то в компании курирует системы видеонаблюдения (например, сотрудник АХО) в плане работоспособности или они сопровождаются сотрудниками IT?
  6. Лицензии:
    • У кого находятся лицензии (список и сами документы) на программное обеспечение?
    • У кого есть логины и пароли для регистрации программного обеспечения у различных вендоров?
    • Кто отслеживает и документирует какие лицензии приобретены, занимается продлением и пр.?
    • Офисное ПО Microsoft является стандартом компании? Условно-бесплатное (нередко худшей функциональности, качества и уровня сервиса) OpenSource ПО рассматривается для сокращения затрат?
  7. Отдел кадров/HR:
    • В компании есть выделенный сотрудник отдела кадров/HR?
    • Как получить список сотрудников компании с указанием должностей и контактной информацией?
    • Есть регламент у HR по приему/увольнению сотрудников, т.е. какие действия с т.з. ИТ выполняются. Например, информация отправляется … для заведения нового сотрудника/блокировки учетной записи уволенного и т.п.?
    • Сотрудники HR используют данные с СКУД (если есть) для учета рабочего времени? Они готовят табели рабочего времени для руководителей подразделений?
  8. Ноутбуки/десктопы/сервера/сетевое оборудование:
    • Как получить выгрузку из учетной системы по закупкам аппаратного обеспечения (сервера, ноутбуки, десктопы, сетевое оборудование и пр.) с суммами за … период работы компании?
    • Кто производит инвентаризацию оборудования (бухгалтерия сама обходит,  ИТ специалисты, аутсорсер и т.п.)?
    • Есть ли в компании (у аутсорсера) спецификация на приобретенное оборудование? Как получить?
  9. Резервные копии:
    • Кто осуществляет резервное копирование?
    • Кому приходят уведомления о успешном/не успешном резервном копировании?
    • Каков регламент резервного копирования?
    • Куда (на какие носители) осуществляется резервное копирование?
    • Есть ли георезервирование (типовая ошибка — копии сохраняюся на сервер/NAS неподалек от основного, в случае пожара погибает вся информация)?
    • Есть ли какие-то ограничения по месту хранения резервных копий? Например, подойдет ли вариант с хранением резервных копий на серверах (в «облаке») внешних поставщиков услуг (Microsoft, Google, Yandex, Mail.Ru)?
    • У компании есть желание выносить данные за пределы РФ (Microsoft, Google) или отечественные площадки предпочтительнее (Yandex, Mail.Ru)?
  10. Информация по Интернет и VPN каналам:
    • Какие провайдеры используются на указанных площадках (список: площадка, провайдер, контактное лицо)?
    • У кого есть параметры подключения (IP адреса и пр.)?
    • Какие условия подключения (тарифы)?
    • Какие домены принадлежат компании?
    • У кого есть административные логины и пароли для внесения изменений в информацию по доменам?
    • Кто отслеживает оплаты за услуги Интернет?
    • Кто отслеживает оплаты за домены?
    • У кого есть список контактов (менеджеров) от операторов предоставляющих услуги Интернет?
    • Как организован VPN (в случае филиалов)?
    • На корпоративном (каком?) оборудовании или на операторском?
  11. Веб-сайты:
    • Кто сопровождает (резервное копирование, внесение изменений в скрипты, правки в DNS и пр.) сайты?
    • У кого есть логин и пароль для доступа к панели администрирования хостинг провайдера?
    • Кто в компании (с т.з. наполнения, получения статистики посещаемости, анализ и пр.) отвечает за работу с сайтом?
    • Есть ли мониторинг сайтов на предмет отказов? Кто получает уведомления если сайты «падают»?
    • Кто занимается сопровождением Интернет-справочников (например, 2GIS)? 
  12. Адреса площадок компании, в т.ч. с указанием где есть IT сервисы.
  13. Мобильная связь:
    • Какой оператор(ы) используется в филиалах компании?
    • Какой корпоративный тариф, у кого есть условия?
    • Кто отслеживает оплаты и взаимодействует с оператором сотовой связи?
    • Компания компенсирует сотрудникам мобильную связь?
    • Есть регламент по использованию корпоративной связи (схема компенсации сотрудникам затрат)?
    • Когда в последний раз пересматривались тарифы? Какие операторы принимали участие в тендере?
    • Используется ли в компании конвергирование мобильной и фиксированной связи (FMC/FMTN)?
    • У кого есть список контактов (менеджеров) от оператора мобильной связи?
  14. Фиксированная телефония:
    • Кто отвечает за взаимодействие с оператором телефонии?
    • Какому оператору принадлежат номера 8 -800 (если имеется)?
    • Какие операторы обеспечивают фиксированную телефонную связь на площадках?
    • Где посмотреть тарифы по филиалам?
    • На каких технологиях построена телефония (локальная АТС, облачная телефония, только мобильные телефоны и т.п.).
    • Во всех филиалах используется единый способ работы?
    • Есть ли единая номерная емкость по всем филиалам?
    • Кто закупает (принимает решение о выборе модели) телефонов и др. телефонного оборудования?
    • У кого есть список контактов (менеджеров) от операторов?
  15. Картриджи/MPS:
    • Какая система сопровождения принтров: MPS, самостоятельная закупка/замена картриджей и т.п.
    • Кто меняет картриджи (сотрудники, IT специалисты, аутсорсер)?
    • Кто отвечает за поддержание неснижаемого остатка картриджей для принтеров на складе?
    • Картриджи заправляются или приобретаются новые?
    • Какой регламент в случае если картридж заканчивается, а на буферном складе он отсутствует, т. е. кто звонит, куда, какое приемлемое время реакции и т.п.?
  16. Клиент банки, системы электронного документооборота и пр. внешние финансовые системы:
    • Какие банки используются в компании для проведения платежей?
    • Используется ли системы клиент-банка (банк онлайн)?
    • Используется ли система проверки юрлиц («Контур-Фокус»)?
    • Используется ли системы электронного документооброта для обмена финансовыми документами между дилерами (например, Диадок, Сбис)?
    • Кто сопровождает такие системы?
  17. Клиентская и финансовая информация:
    • В каком виде содержится информация о контактах клиентов и взаимоотношениях с ними (почта, CRM, Excel, Sharepoint и т.п.)?
    • Где хранится информация о совершаемых сделках (финансовая сторона вопроса)? Кто к ней имеет доступ?
    • Какое количество продавцов (по регионам) работает в компании?
    • Какое количество сотрудников контакт-центра (отдела поддержки продаж) по регионам общается с клиентами по их вопросам (размещение заказа, проблемы и пр.)?
    • Какие способы контакта с клиентами используются (почта, on-line чат, Viber/Телеграм/ICQ/Skype и пр.)
    • Как обеспечивается регламент ответа (контролер, ServiceDesk и пр.)?
  18. АХО/АХЧ:
    • В компании есть ответственный за АХЧ или эти вопросы на аутсорсе?
    • Есть ли планы инженерных систем здания (трассы кабельной сети, кондиционирования, видеонаблюдения, охранные системы) и планы помещений?
    • Есть ли список компаний и контактов, которые ведут вопросы по сопровождению инженерных систем компании по филиалам (кому звонить в случае проблем с электричеством, кондиционированием, водоснабжением и пр.)?
Spread the love
Запись опубликована в рубрике IT рецепты. Добавьте в закладки постоянную ссылку.