| Цитата |
еще интересно ваше мнение, если приглашаются сторонние эксперты, возможно ли сделать ИТ-аудит в рамках одного проекта? Не слишком ли это укрупненно, чтоли? замахнуться сразу на все.
или же лучше раздробить тему на части, и проводить проверки пошагово? но тут может встать вопрос финансирования. |
Обычно выделяется тема, например, ИТ безопасность АСУ ТП. Или IT Operations, или внедрение крупного проекта (SAP, например), IT DRP/BCP. Можно проводить и укрупненно по всему ИТ, но тогда целью будет являться скорее оценка общей зрелости и эффективности ИТ, такое делают, как правило, перед и после крупных реорганизационных проектов в ИТ (например, переход на аутсорсинг), в таких случаях смотрится в основном как управляется ИТ, реализация основных ИТ процессов (таких как управление инцидентами, управление изменениями и тд) и делается сравнение с целевыми показателями (если есть) или бенчмаркинг.
| Цитата |
в случае аутсорсинга как лучше искать экспертов для ИТ-аудита? поделитесь опытом, как искали?
это должен быть просто поиск по резюме, ИТ-фирма? Если фирма крупная, то, вероятно, цена и сроки будут безумными, а если фирма маленькая, то будут ли в ней компетентные специалисты? ведь приглашает на аутсорс обычно тот, кто сам темой не владеет. |
Если нужны просто ИТ аудиторы, то годится любая фирма из четверки, если нужна специализация, то предметно нужно смотреть, я привлекал из SAP CIS, например.
По безопасности АСУ ТП есть в России, например, Positive Technologies, но (по результатам моей оценки) они дорогие раз, во вторых у них внутри есть четкое деление - обычные ИТ безопасники и спецы по АСУ ТП, т.е. нужно минимум два человека на проект, плюс они плохо понимают вообще, что такое внутренний аудит (они скорее спецы по обследованию, по выявлению конкретных косяков). Т.е. еще нужен над ними руководитель-внутренний аудитор. В результате мне оказалось проще притащить иностранцев. Сейчас в российском КПМГ появились спецы хорошие (натасканные иностранцами, в том числе и на моем проекте).
