Короткий ответ: IT-аудит нужно начинать с того, что может остановить работу компании: критичные сервисы, доступы, backup, сеть, серверы, рабочие места, мониторинг, документация и понятные владельцы. Полный список оборудования важен, но сначала нужно увидеть риски простоя и восстановления.
Карта приоритетов
| Приоритет | Что проверить | Какое доказательство нужно |
|---|---|---|
| 1 | Критичные сервисы | Список сервисов, владельцы, зависимые серверы, допустимый простой |
| 2 | Backup и восстановление | Последние успешные копии, тест восстановления, где лежат копии |
| 3 | Доступы | Кто администратор, какие общие учетные записи, как закрываются уволенные |
| 4 | Сеть и интернет | Схема, провайдеры, маршрутизатор, Wi-Fi, VPN, точки отказа |
| 5 | Серверы и хранилища | Роли, свободное место, состояние дисков, зависимости |
| 6 | Рабочие места | Управляемость парка, антивирус, обновления, типовые проблемы |
| 7 | Мониторинг | Что контролируется, кто получает сигнал, как закрываются аварии |
| 8 | Документация | Актуальные схемы, контакты, регламенты, договоры и зоны ответственности |
Начинайте с бизнес-сервисов
Аудит не должен превращаться в перепись железа. Сервер может быть старым, но некритичным. А может выглядеть рабочим, но держать на себе 1С, файлы, DNS, VPN и единственную копию важной базы.
Для каждого критичного сервиса нужно понять: кто им пользуется, что произойдет при простое, от каких серверов и каналов он зависит, есть ли обходной вариант и кто принимает решение при аварии.
Что собрать как доказательства
- список критичных систем и ответственных;
- карту серверов, сетей, провайдеров и внешних сервисов;
- последние отчеты backup и результат проверки восстановления;
- список административных доступов и общих учетных записей;
- перечень повторяющихся инцидентов за последние месяцы;
- состояние свободного места, дисков, обновлений и сертификатов;
- список незакрытых рисков, которые требуют плановых работ.
Что должно получиться после аудита
Хороший результат аудита - не длинная таблица находок без выводов. Нужна короткая карта рисков: что может остановить работу, насколько срочно, какой есть обходной путь, кто владелец решения и что делать первым.
Полезно делить выводы на три группы: срочно исправить, запланировать в ближайший цикл, принять как контролируемый риск. Так аудит превращается в план действий, а не в склад замечаний.
Типовые ошибки
- Проверять только компьютеры пользователей и забыть про backup, сеть и доступы.
- Искать максимум мелких замечаний вместо главных точек отказа.
- Не связывать технический риск с влиянием на бизнес.
- Не назначить владельца для каждого результата аудита.
- Не отличать проблему эксплуатации от отдельного проекта модернизации.
Итог: первичный IT-аудит должен быстро показать, где компания может остановиться, как она восстановится и какие риски нужно закрыть в первую очередь.