Аудит ИТ-инфраструктуры

Аудит ИТ-инфраструктуры за 4 недели с планом и бюджетом

Провожу аудит ИТ-инфраструктуры за 4 недели. На выходе не отчёт «вот тут у вас плохо», а карта зрелости по 9 доменам, план работ на 6–18 месяцев и бюджет на 12 месяцев. Смотрю инфраструктуру, безопасность, данные, приложения, процессы, команду, бюджет и риски. Работаю с компаниями 50–500 человек удалённо по всей России.

Это аудит ради решений, а не бумага для галочки. Нужен пентест с заключением для регулятора или у вас объект КИИ. Это другая услуга, честно скажу и порекомендую коллег.

Обсудить аудит за 30 минут Смотреть методику

Фиксированная цена за 4 недели · компании 50–500 человек · удалённо по РФ

Зачем это нужно

Обычный ИТ-аудит заканчивается отчётом. Мой — планом

Большинство аудитов ИТ-инфраструктуры заканчиваются толстым отчётом. В нём список проблем, оценки по чек-листу, иногда оценка рисков. Владелец читает первые пять страниц, остальное откладывает. Через месяц отчёт лежит в папке, а ИТ как было неуправляемым, так и осталось. Денег ушло, решений не прибавилось.

Я делаю аудит ради другого результата. Мне важно, чтобы после него вы понимали три вещи. Что у вас работает, а что нет. Что чинить первым, а что подождёт. И сколько денег на это закладывать в бюджет следующего года. Поэтому на выходе не описание проблем, а карта зрелости с приоритетами, план работ по месяцам и расчёт бюджета.

Разница простая. Формальный аудит отвечает на вопрос «что у нас плохо». Мой отвечает на вопрос «что делать дальше и в каком порядке». Первое можно положить в папку. Второе можно сразу взять в работу.

Результат

Что остаётся у вас после аудита

Аудит длится 4 недели. После него у вас на руках набор документов, по которым можно принимать решения и защищать бюджет перед советом директоров. Это не презентация на один показ, а рабочие артефакты, к которым вы возвращаетесь весь следующий год.

Карта зрелости по 9 доменам, оценка каждого по шкале 1–5

Бюджет на 12 месяцев с допущениями и обоснованием каждой статьи

План работ на 6–18 месяцев с приоритетами и оценкой стоимости

Сравнение ваших показателей с типовыми по отрасли

Шаблон ежемесячного отчёта владельцу

Презентация результатов владельцу и совету директоров

Карта зрелости выглядит как радарная диаграмма с девятью лучами. По ней за минуту видно, где у вас провал, а где порядок. План работ привязан к этой карте. Сначала идёт то, что горит, потом то, что можно отложить без риска.

Чаще всего аудит окупается первой же находкой. Лишний договор с подрядчиком, дубль лицензий, переплата за неиспользуемое. Карта показывает, где деньги уходят впустую, до того как вы заложите бюджет на следующий год.

Что смотрю

Девять доменов, по которым иду

За годы я пробовал разные нарезки. Чек-листы ITIL на 34 практики, COBIT 2019 на 40 целей, модели CMMI. Для компании 50–500 человек это перебор. За 4 недели по таким моделям успеваешь только интервью провести и не доходишь до главного — до приоритетов. Поэтому я свёл аудит к девяти доменам. Меньше нельзя, иначе данные растворятся в инфраструктуре, а риски в безопасности. Больше незачем, девять помещаются в одну страницу карты и в одно полуторачасовое совещание с владельцем.

Стратегия и управление ИТ

Есть ли у ИТ связка с целями бизнеса и тот, кто принимает решения по понятному ритму. Этот домен стоит первым и весит в оценке больше остальных.

Инфраструктура

Серверы, сеть, рабочие места, виртуализация, каналы связи.

Безопасность

Доступы, периметр, защита от шифровальщиков, обновления.

Данные

Где лежат, кто отвечает, как резервируются, что будет при потере.

Приложения

Учётные и бизнес-системы, их состояние и зависимости.

Процессы

Как обрабатываются заявки и инциденты, есть ли регламенты.

Команда

Кто что умеет, где дыры в компетенциях, кто незаменим.

Бюджет

Куда уходят деньги ИТ, что из этого даёт отдачу.

Риски

Что способно остановить бизнес и насколько вы к этому готовы.

Каждый домен оцениваю по шкале от 1 до 5, от «хаос» до «оптимизация». Подробный разбор каждого домена и шкалы зрелости есть в отдельной записи журнала про карту ИТ-зрелости.

Как это работает

Четыре недели по шагам

Аудит идёт по фиксированному плану. Каждую неделю короткая встреча на 30 минут, чтобы держать вас в курсе. В конце итоговая встреча с разбором карты и плана.

Этап	Что делаю
Неделя 1	Знакомство, осмотр инфраструктуры, интервью с командой и владельцем. Запрашиваю документацию. Договоры подрядчиков, лицензии, схемы сетей, бюджет последних двух лет.
Неделя 2	Анализ по девяти доменам. Считаю зрелость каждого по пятибалльной шкале, фиксирую находки.
Неделя 3	Составляю план работ на 6–18 месяцев с приоритетами. Считаю бюджет на 12 месяцев. Сравниваю с типовыми показателями отрасли.
Неделя 4	Презентация владельцу. Решаем вместе, продолжаем работу в формате постоянного сопровождения или расходимся с готовым планом.

Ритм. Еженедельная встреча 30 минут плюс итоговая встреча с владельцем.

Границы

Что входит в аудит, а что нет

Что входит

Карта зрелости по 9 доменам, оценка по пятибалльной шкале
Бюджет на 12 месяцев с допущениями и обоснованием
План работ на 6–18 месяцев с приоритетами и оценкой стоимости
Шаблон ежемесячного отчёта владельцу
До 6 интервью с командой и подрядчиками
Презентация результатов владельцу и совету директоров

Что НЕ входит

Реализация рекомендаций — это отдельный договор
Технические работы. Настройка, миграция, разработка
Юридические заключения по 152-ФЗ или 187-ФЗ КИИ
Регулярные проверки между неделями — это формат постоянного сопровождения
Глубокий аудит информационной безопасности по требованиям регулятора с тестами на проникновение

Граница честная. Я даю карту, план и бюджет. Руками настраивать серверы или мигрировать базы в рамках аудита не берусь, для этого есть отдельный проектный договор или постоянное сопровождение.

Для кого

Кому аудит нужен, а кому нет

Кому подходит

Компании 50–500 человек, где ИТ есть, но владелец не уверен, что работает, а что нет
Бизнесу перед крупными изменениями. Импортозамещение, переезд, рост, новые системы
Владельцу, которому нужно защитить ИТ-бюджет перед советом и понять, куда вкладывать в следующие 12 месяцев
Компании, где сменился или уходит ИТ-руководитель и нужна независимая оценка состояния дел

Кому НЕ подходит

Компаниям меньше 50 человек. Там обычно хватает разговора на пару часов, а не четырёхнедельного аудита
Тем, кому нужен аудит информационной безопасности с тестами на проникновение и заключением для регулятора. Это другая услуга и другой специалист
Тем, кто ищет формальную бумагу «для галочки». Я делаю аудит ради решений, а не ради отчёта в папку
Объектам критической информационной инфраструктуры под 187-ФЗ, где нужен штатный ответственный с аттестацией ФСТЭК

Одно и то же

«Аудит ИТ-инфраструктуры» и «Карта ИТ-зрелости» — это одна услуга

Я называю свой аудит Картой ИТ-зрелости. Это не отдельный продукт и не маркетинговая обёртка. Когда вы ищете «аудит ИТ-инфраструктуры», «ИТ-аудит» или «оценку зрелости ИТ», вы ищете именно то, что я делаю. Просто я довожу аудит до плана и бюджета, а не останавливаюсь на отчёте о проблемах.

Если вам ближе слово «аудит» — пусть будет аудит. Если «оценка зрелости» — тоже верно. Суть одна. За 4 недели я превращаю ощущение «ИТ не управляется» в карту с приоритетами и деньгами на год.

Тарифы постоянного сопровождения после аудита — на странице услуг.

Цена

Сколько стоит аудит

Точную цену называю после короткого разговора. Она зависит от размера бизнеса и состояния ИТ. У аудита фиксированная стоимость за 4 недели — вы заранее знаете сумму и не платите за час. Это удобно для планирования, в отличие от почасового консалтинга, где счёт растёт по ходу.

Диапазон и фиксированную цифру под ваш случай обсуждаем на бесплатном ознакомительном звонке. Гадать вслепую до разговора не берусь.

Фиксированная стоимость за этап, по результату разбора. Цена обсуждается на ознакомительном звонке, зависит от размера бизнеса.

Частые вопросы

Что обычно спрашивают про аудит

Сколько стоит аудит ИТ-инфраструктуры?

Цену называю после короткого разговора, она зависит от размера бизнеса и состояния ИТ. У аудита фиксированная стоимость за 4 недели, а не почасовая оплата. Точную цифру и условия обсуждаем на бесплатном ознакомительном звонке.

Сколько длится аудит?

Четыре недели по фиксированному плану. Каждую неделю короткая встреча на 30 минут, в конце итоговая встреча с разбором карты и плана. За месяц вы получаете полную картину и готовый план работ.

Что я получаю на выходе?

Карту зрелости по 9 доменам, бюджет на 12 месяцев, план работ на 6–18 месяцев с приоритетами, шаблон отчёта владельцу и презентацию для совета директоров. Это рабочие документы, а не презентация на один показ.

Чем это отличается от аудита информационной безопасности?

Аудит безопасности проверяет защищённость. Доступы, периметр, тесты на проникновение, соответствие требованиям регулятора. Мой аудит шире и про управление. Я смотрю все девять доменов, включая безопасность, но без тестов на проникновение и заключения для регулятора. Если вам нужна именно безопасность с пентестом, это другая услуга, скажу честно и порекомендую коллег.

Подойдёт ли аудит компании 50–500 человек?

Да, это мой основной сегмент. Девять доменов и четырёхнедельный формат собраны именно под такой масштаб. Для компаний меньше 50 человек аудит обычно избыточен, хватает разговора на пару часов.

Вы работаете удалённо по всей России?

Да. Аудит идёт дистанционно. На стартовом этапе по согласованию делаю один-два личных визита, остальное по видеосвязи. Большинство клиентов из Москвы и Санкт-Петербурга, но командировки в другие регионы обсуждаемы.

Что нужно от меня для старта?

Доступ к информации и время команды на интервью. На первой неделе запрашиваю документацию. Договоры подрядчиков, лицензии, схемы сетей, бюджет последних двух лет. Если чего-то нет, это само по себе находка для карты зрелости.

Ознакомительный звонок

Обсудим аудит за 30 минут

Расскажете ситуацию, отвечу за 4 часа в рабочее время. Звонок бесплатный, без обязательств. Если аудит вам не нужен или задача не моя, скажу прямо и порекомендую коллег, у которых она хорошо ляжет.

Записаться на звонок

Отвечу в рабочее время, Пн–Пт 09:00–19:00 MSK.