Audyt informatyczny  

dla małych i średnich przedsiębiorstw. 

 
 

Aby  mówić  o  audycie  informatycznym  w  pierwszej  kolejności 
musimy 

przytoczyć 

jego 

definicje, 

a 

wiec: 

„Audyt 

informatyczny jest to proces zbierania i oceniania dowodów w 
celu  określenia  czy  system  informatyczny  i  związane  z  nim 
zasoby  właściwie  chronią  majątek,  utrzymują  integralność 
danych  i  dostarczają  odpowiednich  i  rzetelnych  informacji, 
osiągają  efektywnie  cele  organizacji,  oszczędnie  wykorzystują 
zasoby  i  stosują  mechanizmy  kontroli  wewnętrznej,  tak  aby 

dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się 
przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane” 
 
Jak wiec przeprowadzić audyt aby był on zgodny z przytoczona tu definicja? Nie jest to na pewno 
rzecz  łatwa.  Istnieją  normy  takie  jak  ITIL,  ISO  9001  czy  COBIT  którymi  można  się  kierować    przy 
przeprowadzaniu audytu. Są one bardzo rozbudowanie dlatego jesteśmy wstanie w oparciu o nie 
przeprowadzić  bardzo  szczegółowy  audyt.    Oczywiście  przeprowadzenie  takiego  audytu  wymaga 
od  audytora  dokładnej  znajomości  przytoczonych  tu  norm  oraz  poświęcenia  dużej  ilości czasu co 
jest równoznaczne z dużymi kosztami.  Jest to na pewno idealne rozwiązanie  dla dużych korporacji 
bądź mniejszych firm w których z racji na dziedzinę która się zajmują taki audyt jest niezbędny. 
 
 
Realia pokazują jednak ze w przypadku małych i średnich przedsiębiorstw oczekiwania są trochę inne. 
Z  reguły  audyt  jest  przeprowadzany  w  celu    pozyskania  ogólnej  informacji  o  stanie  posiadanej 
infrastruktury  informatycznej  (  bezpieczeństwie,  legalności  ,  zabezpieczaniu  przed  ewentualnymi 
awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy bądź w przypadku 
korzystania z outsourcingu informatycznego firmy która te usługi świadczy.  Przeprowadzenie takiego 
audytu jest dużo łatwiejsze, mniej czasochłonne a co za tym idzie o wiele tańsze. 
 
Zakres  audyty powinien obejmować kluczowe elementy infrastruktury  informatycznej, jak np.: 



 

analizę architektury sieci, a tu m.in.: 

  Zabezpieczanie dostępu do sieci od strony LAN/WAN 
  Ograniczenie  dostępu  z  zewnątrz  tylko  do  usług  które  są  wymagane  (np.  www, 

poczta, ftp) 

  Zabezpieczenie urządzeń sieciowych ( switche, routery), weryfikacja złożoności haseł  

dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem. 

  Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN  
  Weryfikacja zdalnego dostępu do zasobów firmy przez pracowników.  
  Weryfikacja posiadania schematu sieci. 



 

analizę systemu backupowego   

  Harmonogram wykonywania kopii bezpieczeństwa. 
  Fizyczne zabezpieczenie nośników na których backup jest trzymany. 
  Weryfikacja zasobów objętych backupem . 
  Weryfikacja poprawności wykonywania backupu poprzez testowe odzyskanie. 
  Weryfikacja  posiadania  procedury  wykonywania  kopii  bezpieczeństwa  oraz 

procedury odzyskiwania środowiska w przypadku awarii. 



 

analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych 



 

analizę środowiska serwerowego 

  serwerownia 

  analiza kontroli dostępu do serwerowni 
  wyposażenie ( szafa rakowa, klimatyzacja, czujniki temperatury etc. ) 

  awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami 

w przypadku przerwy w dostawie prądu. 

  legalność posiadanego oprogramowania. 
  zabezpieczenie sprzętowe przed wystąpieniem awarii 
  analiza poprawności konfiguracji usług jakie pełnią serwery 



 

analizę stacji roboczych 

  weryfikacja legalności oprogramowania. 
  weryfikacja uprawnień jakie użytkownik posiada na stacji 
  łatwość  dostępu  do  stacji  przez  osoby  nieuprawnione  (  logowanie,  złożoność  i 

ważność  haseł ) 

 
 

Jest to oczywiście przykładowy i bardzo uproszony zakres audytu który dla każdej firmy musi 

zostać stworzony indywidualnie. W celu ograniczenia kosztów przeprowadzenia takiego audyt musi 
on zostać tak zaplanowany, aby wykonać go w jak najkrótszym czasie. 
 
 

Następstwem  przeprowadzenia  audytu  jest  sporządzenie  raportu.  Raport  przeznaczony  jest 

dla  osób  zarządzających  firma  czyli  z  reguły  mało  technicznych  dlatego  opis  i  słownictwo  użyte  w 
raporcie  powinno  być  zrozumiałe  dla  wszystkich.  Raport  powinien  być  zwięzły,  czytelny  i  zawierać 
podstawowe składniki: 

1. 

Opis  stanu  faktycznego

.  Jest  to  bardzo  ważny  element  raportu.  Bardzo  często  ,  nawet  w 

małych firmach dochodzi do sytuacji, gdzie zarząd firmy nie wie jakie zasoby informatyczne 
posiada  (  sprzętowe,  programowe)  i  jaką  funkcjonalności mógł  by  przy  użyciu ich  osiągnąć.  
Ponoszone  są  koszty  na  zakup  nowych  rozwiązań,  które  równie  dobrze  można  by  osiągnąć 
przy użyciu obecnie używanych zasobów. 
 

2. 

Opis  znalezionych  nieprawidłowości. 

W  informatyce  nie  ma  jednego  najlepszego 

rozwiązania  gdzie  odstępstwo  od  niego  można  by  wskazać  jako  nieprawidłowość.  Dlatego 
bardzo ważną kwestią ( a może i najważniejszą) jest podejście audytora do oceny środowiska. 
Nie powinna ona być robiona na zasadzie wyszukiwania owych odstępstw  lecz na dogłębnej 
ich analizie i znalezienia powodów dla których one występują. Nie oceniona w takiej sytuacji 
jest pomoc ze strony osób odpowiedzialnych za środowisko informatyczne, które brały udział  
w jego powstawaniu i są w stanie dane rozwiązanie uargumentować. 
 

3. 

Rekomendacje  zmian

.    Jeśli  przedstawiliśmy  już  słabe  strony  audytowanego  środowiska 

należy zaproponować rozwiązanie które wpłynie na jego poprawę. Proponowane rozwiązania 
można podzielić na etapy, np.: 

  Krytyczne  (zmiany które maja wpływ na bezpieczeństwo sieci, danych et.)  są to te 

zmiany, które powinny być wprowadzone natychmiast 

  Opcjonalne – po zapoznaniu się ze sposobem działania firmy można zaproponować 

rozwiązania wpływające na poprawienie wydajności pracy. 
 

W  dobie  powszechnej  informatyzacji  bardzo  ważne  jest  zachowanie  bezpieczeństwa  IT  w  każdej 
organizacji.  Łatwość  użytkowania  i  powszechność  Internetu  sprawia,  że  dostęp  do  informacji 
przechowywanych  w  systemach  informatycznych  jest  znacznie  łatwiejszy.  Niewłaściwe 
zabezpieczenia często skutkują utratą tajemnic firmowych, zawodowych, danych osobowych, innych 
informacji  niejawnych.  Jeśli  dojdzie  zaś  do  awarii  sprzętu  lub  systemu  informatycznego  może  to 
doprowadzić  do  niepożądanego  przestoju  w  funkcjonowaniu  firmy.  Infrastruktura  IT  musi  spełniać 

najwyższe  standardy  bezpieczeństwa.  Odpowiednio  przygotowane  i  przeprowadzone  audyty 
informatyczne pozwalają na uniknięcie awarii i sytuacji kryzysowych w infrastrukturze IT firmy. 

 
Artykuł opracował Andrzej Baranowski,  

Team Leader Support Online Sp. z o.o.

 

 
 

Firma  Support  Online  to  zespół  specjalistów  i  inżynierów  IT, 
którzy  kompleksowo  opiekują  się  infrastrukturą  IT  naszych 
Klientów.  W  ramach  opieki  oferujemy  audyty  i  monitorowanie 
wdrożonych  rozwiązań.  Jeśli  jesteś  zainteresowany  audytem 
informatycznym  w  Twojej  firmie  lub  innymi  rozwiązaniami 
informatycznymi - skontaktuj się z nami: 

Support Online Sp. z o.o.  

tel. + 22 335 28 00  
e-mail: support@so.com.pl 

www.support-online.pl

 

 
 

 
Źródła: 
Opracowanie własne