Аудит бизнес процессов на предприятии это

Аудит ИТ-процессов — это оценка информационных технологий предприятия или организации, связанных непосредственно с механизмами управления бизнесом или производством.

Проведение аудита ИТ процессов может быть составной частью комплексного ИТ аудита компании, но зачастую, заказ на этот вид оценочной экспертизы продиктован конкретными планами и бизнес-процессами, в которые информационная система предприятия тесно интегрирована.

Аудит IT процессов — стандартная процедура, в которой возможны незначительные изменения или дополнения в соответствии с профилем коммерческой или производственной деятельности компании.

Схема аудита IT процессов

Стандартная схема, по которой выполняется IT аудит, выглядит следующим образом:

• 1 Устанавливаются лица из числа персонала компании, ответственные за ИТ процессы;
• 2 Устанавливаются поставщики ИТ услуг, участники и пользователи ИТ процесса;
• 3 Устанавливается конфигурация сетей, количество и качество аппаратного и программного обеспечения участвующего в ИТ процессах;
• 4 Оценивается степень интеграции ИТ процессов в конкретные планы и управленческие механизмы компании;
• 5 Оцениваются действия всех участников ИТ процессов, пользователей и обслуживающего информационную структуру компании звена;
• 6 Анализируются регламентирующие документы по проектам связанным с ИТ инфраструктурой компании;
• 7 На основе собранной информации формируется детальный отчет о состоянии ИТ процессов в компании;
• 8 Формируется пакет рекомендаций по устранению негативных явлений в ИТ инфраструктуре, необходимой модернизации и возможной оптимизации;
• 9 По договоренности, внутреннему персоналу компании оказывается содействие в проведении мероприятий по реконфигурации сети в период после аудиторской проверки.

Итоговый отчет имеет три раздела, классифицирующих полученную информацию для удобства обработки:

Что Такое АУДИТ и Зачем Проводить АУДИТ БИЗНЕСА? Какие виды аудитов (audit) существуют? || ЮСТИКОМ

• 1 Организационный раздел — это планировка, механизмы управления, документооборот и отчетность, определение степени ответственности персонала ИТ и руководящих лиц
• 2 Технический раздел — это аппаратные и программные элементы инфраструктуры и все, что касается их работы и обслуживания;
• 3 Методологический раздел — это список рекомендаций, формирующих новую, более функциональную и безопасную ИТ систему.

Отчетная документация может быть двух типов: сокращенной и полной редакции. Первый — доносит общую картину до высшего звена управления компанией, второй, более развернутый, предназначен для технического и ИТ персонала.

Источник: stekspb.ru

Аудит ИБ в рамках отдельных бизнес-процессов

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам и предлагают оптимальные пути решения сложившейся ситуации.

Узнать стоимость?

Эксперты по аудиту информационной безопасности

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Задать вопрос эксперту: Музалевский Федор Александрович Задать вопрос эксперту Все эксперты

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Задать вопрос эксперту: Царев Евгений Олегович Задать вопрос эксперту Все эксперты

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Задать вопрос эксперту: Кобец Дмитрий Андреевич Задать вопрос эксперту Все эксперты

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Задать вопрос эксперту: Гончаров Андрей Михайлович Задать вопрос эксперту Все эксперты

В процессе развития организации повышаются риски нарушения одного из свойств ИБ, т.к. растет количество информационных потоков и бизнес процессов, связанных с обработкой информации в электронном виде. Специалисты службы информационной безопасности не всегда успевают пройти своевременное обучение и повышение квалификации по перспективным направлениям развития компании.

Также аудит необходим в тех случаях, когда в организации происходили нештатные ситуации, нарушение непрерывности деятельности отдельных бизнес-процессов, произошедших по причине уязвимостей системы обеспечения ИБ, инциденты ИБ на стадиях проектирования и введения в повседневную деятельность новых бизнес-процессов.

В таких ситуациях необходим аудит ИБ отдельных, уязвимых либо новых бизнес-процессов.

Для чего нужен аудит ИБ в рамках отдельного бизнес-процесса?

Аудит соответствия требованиям нормативных документов в области ИБ в рамках отдельного бизнес-процесса применяется для решения частных задач, например:

• Для получения независимого заключения по применению мер ИБ в рамках наиболее критичных процессов организации
• Для определения реального уровня безопасности в интересах третьей стороны (тендер, судебная инстанция, спор с регулятором)
• Для оценки состояния информационной безопасности после инцидента
• Для подтверждения эффективности применяемых мер на этапе приемки новых информационных систем
• и пр.

Как проходит аудит информационной безопасности по процессу

Для аудита в рамках бизнес-процессов на предприятии в первую очередь заполняется опросный лист по проверяемому бизнес-процессу. Запрашиваются или разрабатываются внутренние документы организации в направлении ИБ и производится анализ полноты выполнения требований нормативных документов (государственных и внутренних), регламентирующих деятельность организации в целом и проверяемого бизнес-процесса – в частности. Проводится интервью с ответственным за ИБ сотрудником, участников анализируемого бизнес-процесса организации.

После этого делается вывод о степени защищенности/безопасности бизнес-процесса организации, а также производится оценка рисков проверяемого бизнес-процесса. Также составляются рекомендации для устранения выявленных недостатков и нарушений.

Этапы проведения аудита

• Обработка информации, содержащаяся в опросном листе (2 недели)
• Анализ бизнес-процесса, оценка рисков ИБ бизнес-процесса (1 неделя)
• Интервьюирование участников бизнес-процесса (2 недели)
• Интервью с сотрудником, ответственным за ИБ (2 недели)
• Запрос или разработка внутренних нормативных документов организации в направлении ИБ (3 недели)
• Составление отчета по результатам аудита и рекомендации по повышению уровня соответствия определённому стандарту (1 неделя)

Результат выполнения работ

По окончании работ Заказчику предоставляется отчет, содержащий информацию по уровню защиты информации в масштабах анализируемого бизнес-процесса организации, оценку рисков таких бизнес-процессов и рекомендации по устранению выявленных недостатков.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:

• Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
• Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
• Лицензия ФСБ России на работу со средствами криптозащиты

Заказать аудит ИБ в рамках любого из бизнес-процессов

Для уточнения стоимости и сроков звоните или пишите нам:

Оглавление:

Видео по аудиту информационной безопасности

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по аудиту информационной безопасности

Аудит ИБ в рамках любого из бизнес-процессов

от —> 200 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.

Наши преимущества

3 лицензии

ФСТЭК России и ФСБ России

2700+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Нами проведено более 700 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Наши отзывы по аудиту информационной безопасности

Федотов Е.И. 21.04.2020 Компания ООО «РТМ ТЕХНОЛОГИИ» оказала услуги по аудиту информационной безопасности для АО Банк «Развитие-Столица» согласно требованиям Положения Банка России №382-П. Благодаря экспертам ООО «РТМ ТЕХНОЛОГИИ» все работы были выполнены качественно и в срок.

Тестирование на проникновение, прошедшее в рамках аудита, выполнено без сбоев в работе Банка и показало надежность инфраструктуры Банка. По результатам проведенных работ АО Банк «Развитие-Столица» выражает признательность компании ООО «РТМ ТЕХНОЛОГИИ» за проделанную работу и желает ей дальнейшего развития и процветания. Будем рады дальнейшему взаимовыгодному сотрудничеству. Начальник отдела технических средств и информационной безопасности Федотов Е.И.

Зарубин Г.И. 28.10.2019 Настоящим подтверждаем, что компания ООО «РТМ ТЕХНОЛОГИИ» выполнила в КБ «Байкалкредобанк» (ПАО) проект по проведению аудита информационной безопасности. В рамках аудита был проведен тест на проникновение, а также оценка уровня защищенности Интернет-портала Банка.

Банк получил исчерпывающую информацию о состоянии защищенности своих информационных активов в результате аудита информационной безопасности с моделированием внешних атак потенциальных злоумышленников, а также анализа уязвимостей в клиентских приложениях, сетях Wi-Fi и серверном ПО. Сотрудники ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как квалифицированные специалисты, хорошо осведомленные о современных информационных технологиях. Мы характеризуем результаты проделанной работы как положительные и хотим отметить высокую квалификацию специалистов компании, профессиональный подход к делу, оперативность в исполнении рабочих задач и строгое следование условиям заключенного договора. Начальник ОА и ИС КБ «Байкалкредобанк» (ПАО) Г.И. Зарубин

Источник: rtmtech.ru

Аудит бизнес процессов на предприятии

Чтобы выжить в жесточайшей конкурентной борьбе, современной компании жизненно необходимо быстро реагировать на изменения рынка и рационально использовать имеющиеся ресурсы. Однако со временем эффективность снижается — часть действий и процедур устаревает, отделы начинают дублировать задачи друг друга. Именно поэтому своевременный аудит бизнес-процессов так важен. Зная слабые места предприятия, руководство может предпринять соответствующие меры и оптимизировать работу.

Бизнес-процесс — это цепочка логически связанных, периодически повторяющихся операций, в ходе которых ресурсы организации используются для переработки объекта (виртуально или физически). Иными словами, это некий отрезок работы предприятия с реальными, измеримыми результатами.

Когда проводить

2. Плановый аудит. Проводится согласно установленному графику, не реже 1 раза в год.

• произошёл крупный сбой;
• периодически поступают жалобы от клиентов процесса (внешних и внутренних);
• есть предложения и идеи по улучшению процесса.

Виды бизнес-процессов

• производство товаров/предоставление услуг;
• маркетинг и продажи;
• логистика и сервис доставки;
• общение с поставщиками и посредниками;
• налоговый учёт;
• поддержка клиентов.

Бизнес-процессы: примеры и описание

К основным элементам любого БП относятся:

Кроме того, у каждого процесса должен быть назначенный владелец, ответственный за конечный результат.

Первая компания занимается продажей франшиз. В её работе с клиентами можно выделить 4 основных бизнес-процесса. В свою очередь, каждый из них состоит из нескольких операций.

Второй пример — рекламное агентство полного цикла, выпускающее полиграфическую продукцию, наружную рекламу, самоклеящиеся материалы, а также аксессуары для гостиниц. Здесь выполняется 3 базовых процесса:

Удобнее всего изобразить бизнес-процессы компании в схематическом виде, показав основные связи между ними (например, переход от первой презентации к этапу продажи). Также можно представить информацию в формате таблицы:

Проведение аудита состоит из следующих ключевых позиций:

2. Рабочие документы аудиторов. Сюда включаются все записи, которые аудиторы делают в ходе проверки, а также заполненные анкеты, результаты опросов, бланков интервью, тестов и т. д. Кроме того, на предприятии хранятся нормативные документы, в которых прописаны требования к рабочим документам. Они должны содержать:

Заполняются рабочие документы как в произвольной, так и в заранее установленной форме — например, в виде таблиц, графиков, текста и т. д.

4. Отчёт. В данном документе подводятся итоги проведённой работы, определяются сильные и слабые стороны предприятия. В первом разделе приводятся общие выводы, а во втором — подробная информация о затраченных ресурсах и результатах.

Участники

1. Инициатор и лицо, утверждающее аудит. Как правило, это кто-то из руководителей предприятия или их заместителей.
2. Аудиторская комиссия. Обязательные требования к участникам — высшее образование и опыт работы не менее установленного срока.
3. Руководитель комиссии. На эту должность назначают сотрудников одного из независимых подразделений компании (отделов, которые напрямую подчиняются владельцу предприятия и не участвуют в основном бизнес-процессе — служба безопасности, служба стратегического развития и т. д.). Иногда привлекают сторонних экспертов.
4. Аудируемые лица. Ими могут быть любые работники организации, имеющие необходимую для проверки информацию.

Порядок проведения

Этап 1: Изучение общих закономерностей

• структура организации;
• перечень основных бизнес-процессов;
• описание работы подразделений: названия, функции, входящие и исходящие документы, результаты деятельности.

Часто после составления отчёта проводятся интервью с персоналом. Это позволяет на ранних этапах обнаружить неточности, увидеть разницу между реальным положением вещей и тем, как представляют организацию сами сотрудники.

На этом этапе необходимо описать последовательность и особенности выполнения разных операций на предприятии. Для удобства составляются таблицы, описывающие каждый бизнес-процесс в отдельности.

Этап 3: Моделирование

Вначале подготавливается структурная модель, которая отображает взаимодействие подразделений, документацию, структуру бизнес-процессов (от общих групп к частным задачам). Кроме того, показывается, как именно перемещаются данные, ресурсы и документы между основными участниками.

На этом этапе разрабатывается подробная схема документооборота. Для этого каждому документу присваивают свой уникальный регистрационный номер/код. В упрощённом виде она выглядит так:

Этап 4: Подготовка отчёта и презентация результатов

• С какими отрицательными побочными эффектами можно столкнуться?
• Нужно ли обновлять всю документацию?
• Как долго придётся ждать, чтобы увидеть эффект от изменений?

Усовершенствование и разработка бизнес-процессов может включать в себя мероприятия по дополнительному обучению сотрудников, доработке ПО, предложения по поощрению персонала и кадровым перестановкам.

Начало бизнеса и любые значительные изменения на предприятии требуют использования максимально точной и достоверной информации. В основном это математические прогнозы, сравнение и пересчёт данных. В качестве источников данных выступают документы:

Также необходимо собрать информацию о показателях процесса — не только точные значения, но и то, как происходит расчёт плановых значений, какие меры предпринимаются в случае отклонений. Эти данные можно получить в процессе мониторинга за ходом работы, а также на интервью с сотрудниками, клиентами и поставщиками.

В зависимости от того, с какой целью проводится аудит бизнес-процессов, используются различные критерии и методы оценивания.

Источник: bizguid.ru