Короткий ответ: IT-аудит офиса на 30-100 сотрудников должен быстро показать, где бизнес может остановиться: сеть, серверы, рабочие места, учетные записи, backup, мониторинг, документация и договоренности с подрядчиками. Результат аудита - не толстый отчет ради отчета, а список рисков с приоритетом, владельцем и понятным следующим действием.

Что проверить в первую очередь

ЗонаЧто смотретьСигнал риска
СетьСхема, точки отказа, оборудование, Wi-Fi, интернет-каналыНепонятно, через что идут критичные сервисы
СерверыРоли, загрузка, возраст, место, обновления, зависимостиОдин сервер держит несколько критичных функций без плана отказа
Рабочие местаТиповые конфигурации, износ, поддерживаемые ОС, локальные данныеВажные файлы живут только на компьютерах сотрудников
Учетные записиКто имеет доступ, как закрываются доступы бывших сотрудниковЕсть общие учетные записи или непонятные владельцы прав
BackupЧто копируется, куда, как часто и когда проверялось восстановлениеВидно только успешное выполнение задания, но нет проверки восстановления
МониторингКакие сервисы контролируются и кто реагирует на тревогиО проблемах узнают от пользователей
ДокументацияИнвентарь, схемы, контакты, договоры, инструкции восстановленияКлючевые сведения хранятся в памяти одного человека

Какой результат должен дать аудит

Хороший аудит разделяет наблюдения на три группы: критичные риски, плановые улучшения и технический долг, который можно принять на время. Это помогает не превращать проверку в бесконечный список замечаний.

  • Критичные риски: могут остановить продажи, склад, бухгалтерию, телефонию, доступ к документам или работу руководства.
  • Плановые улучшения: снижают вероятность сбоев, но не требуют немедленной аварийной реакции.
  • Принятый технический долг: известные ограничения, которые бизнес осознанно оставляет до следующего бюджета.

Минимальный состав отчета

РазделЧто должно быть внутри
Карта инфраструктурыКлючевые серверы, сеть, интернет, внешние сервисы и зависимости
Список рисковОписание, влияние на бизнес, вероятность, приоритет
План действийЧто сделать сейчас, что запланировать, что отложить
ОтветственныеКто принимает решение, кто выполняет, кто проверяет результат
Проверка восстановленияКакие данные и сервисы реально можно восстановить

Типовые ошибки

Проверять только железо. Офис может остановиться не из-за сервера, а из-за забытых доступов, слабой документации или непроверенного backup.

Не связывать риск с бизнесом. Фраза "устаревшее оборудование" мало помогает. Нужен ответ, какой процесс пострадает и сколько времени компания будет восстанавливаться.

Смешивать аудит и внедрение. Аудит должен сначала показать картину и приоритеты. Закупки и изменения идут отдельным планом после согласования.

Не проверять владельцев решений. Если никто не отвечает за сервер, интернет-канал или внешний сервис, риск остается даже при исправной технике.

Итог: для офиса на 30-100 сотрудников IT-аудит полезен тогда, когда после него понятно, что может остановить работу, что уже защищено, что нужно исправить первым и какие расходы действительно обоснованы.