Короткий ответ: IT-аудит нужно начинать с того, что может остановить работу компании: критичные сервисы, доступы, backup, сеть, серверы, рабочие места, мониторинг, документация и понятные владельцы. Полный список оборудования важен, но сначала нужно увидеть риски простоя и восстановления.

Карта приоритетов

ПриоритетЧто проверитьКакое доказательство нужно
1Критичные сервисыСписок сервисов, владельцы, зависимые серверы, допустимый простой
2Backup и восстановлениеПоследние успешные копии, тест восстановления, где лежат копии
3ДоступыКто администратор, какие общие учетные записи, как закрываются уволенные
4Сеть и интернетСхема, провайдеры, маршрутизатор, Wi-Fi, VPN, точки отказа
5Серверы и хранилищаРоли, свободное место, состояние дисков, зависимости
6Рабочие местаУправляемость парка, антивирус, обновления, типовые проблемы
7МониторингЧто контролируется, кто получает сигнал, как закрываются аварии
8ДокументацияАктуальные схемы, контакты, регламенты, договоры и зоны ответственности

Начинайте с бизнес-сервисов

Аудит не должен превращаться в перепись железа. Сервер может быть старым, но некритичным. А может выглядеть рабочим, но держать на себе 1С, файлы, DNS, VPN и единственную копию важной базы.

Для каждого критичного сервиса нужно понять: кто им пользуется, что произойдет при простое, от каких серверов и каналов он зависит, есть ли обходной вариант и кто принимает решение при аварии.

Что собрать как доказательства

  • список критичных систем и ответственных;
  • карту серверов, сетей, провайдеров и внешних сервисов;
  • последние отчеты backup и результат проверки восстановления;
  • список административных доступов и общих учетных записей;
  • перечень повторяющихся инцидентов за последние месяцы;
  • состояние свободного места, дисков, обновлений и сертификатов;
  • список незакрытых рисков, которые требуют плановых работ.

Что должно получиться после аудита

Хороший результат аудита - не длинная таблица находок без выводов. Нужна короткая карта рисков: что может остановить работу, насколько срочно, какой есть обходной путь, кто владелец решения и что делать первым.

Полезно делить выводы на три группы: срочно исправить, запланировать в ближайший цикл, принять как контролируемый риск. Так аудит превращается в план действий, а не в склад замечаний.

Типовые ошибки

  • Проверять только компьютеры пользователей и забыть про backup, сеть и доступы.
  • Искать максимум мелких замечаний вместо главных точек отказа.
  • Не связывать технический риск с влиянием на бизнес.
  • Не назначить владельца для каждого результата аудита.
  • Не отличать проблему эксплуатации от отдельного проекта модернизации.

Итог: первичный IT-аудит должен быстро показать, где компания может остановиться, как она восстановится и какие риски нужно закрыть в первую очередь.