Audit IT na největší soukromé škole

Z důvodu velkého nárůstu studentů distančního vzdělávání během pandemie došla největší soukromá škola k rozhodnutí provést nezávislý audit IT.
  1. < Jiné příklady z praxe

Audit řízení IT

2021

Náš klient

  • Soukromá střední škola gastronomická a hotelová
  • 60 zaměstnanců
  • Organizace s největším počtem studentů v ČR
  • Více jak 10 000 studentů / rok

Potřeba klienta

Soukromá střední škola zaznamenala v jedné ze svých online divizí výrazný nárůst počtu studentů, který přesáhl 10 000 za rok. Vzhledem ke svému neustálému růstu rozvíjí vlastní informační systém a vyvíjí vlastní aplikace.

Na škole byl také prováděn finanční audit, který požadoval jasně zdokumentované procesy IT, a to především v rámci aplikací, které ovlivňují finance.

Škola si byla vědoma, že v jejich vzdělávacích službách i administrativním provozu jsou stále více závislí na informačních technologiích, a i proto si chtěla nechat provést nezávislý audit s cílem posoudit aktuální situaci provozu a bezpečnosti IT a získat doporučení pro další rozvoj. Cílem mělo být nejen zlepšení stavu řízení provozu IT, ale především úprava a rozvoj potřebné firemní IT dokumentace, kterou požadoval i finanční audit a na kterou nebyl doposud čas.

Jak projekt probíhal

Ze zkušeností jsme doporučili provést nejdříve Audit IT řízení, který ukáže stav řízení IT ve společnosti a celkový obraz fungování IT včetně identifikace základních rizik. Teprve následně případně provádět další již specificky zaměřené audity směrující k celkovému zvýšení bezpečnosti informací spravovaných společností. Klientovi jsme vysvětlili, že při tomto postupu budeme schopni lépe zhodnotit další potřeby a náročnost dalších potřebných činností a klient bude mít jistotu, že spolupracuje se správným týmem.

Požádali jsme klienta o krátký meeting, kde jsme mu vysvětlili naši představu a ujistili ho o tom, že sice se díváme na řízení z hlediska auditorského, ale velmi dobře si uvědomujeme velikost a potřeby klienta.

Časová osa projektu:

  • ½ června – nabídka a dohoda o výstupech auditu
  • konec června – prvotní meetingy se zástupci managementu školy (panem ředitelem) a s vedoucím IT
  • červenec – doplňující meeting a žádost o zaslání některých dohodnutých dokumentů
  • ½ srpna – prezentace výstupů a uzavření projektu
  • září a dále – další spolupráce na naplňování opatření

Výstupy auditu:

  • Manažerský přehled o stavu a způsobu fungování IT
  • Seznam identifikovaných rizik
  • Návrh opatření k eliminaci rizik včetně odhadu náročnosti
  • Doporučení dalšího postupu

Klíčové přínosy očima klienta

• Rychlé a nezávislé posouzení stavu IT
• Hodnocení pohledem klienta (vždy hodnotíme přínosy opatření, ekonomické hledisko i rizika co se může stát)
• Vysvětlení si situací, kdy je správné jít po dokumentaci (auditní pohled) a kdy je důležitější jít po reálné stránce (provozní pohled)

Proč si myslíme, že se vyplatí spolupracovat s BP v této oblasti?

  • Široký záběr každého z auditorů BP (bezpečnost, provoz, organizace IT, vývoj aplikací, personální otázky)
  • Vždy vám řekneme narovinu co si o dané věci opravdu myslíme
  • Orientace na výkon – upozorníme na důležité věci, i když jsou mohou vypadat jako detaily

Nakonec dvě obecné rady:

  • Rozdělujte dokumentaci dle cílového pohledu:
    • Manažerská a přehledová dokumentace – pohled seshora, kde jsou rychle a přehledně zásadní informace (např. dokumentace systémů, dokumentace procesů)
    • Systémová dokumentace – pohled zespoda, kde je potřeba mít detailní informace (DR plán, BCP)
  • Bezpečnost se vždy skládá z následujícího trojúhelníku, který je potřeba mít vyvážený:
    • Vzdělávání v uživatelské bezpečnosti – je potřeba aby si uživatelé uvědomili, že pouze technologie je neochrání a že oni sami jsou hlavní součástí bezpečnosti
    • Jednoduché a pochopitelné IT směrnice – vymezení základních odpovědností, princip co uživatel může a co ne nesmí
    • Bezpečnostní technologie – systémy zajišťující bezpečnost informací

Řešené potřeby

Související služby

Další příklady z praxe

Kontakt

Co můžeme udělat pro vás?