WikiDer > Аудит управления изменениями - Википедия

Изменить риски

Надлежащий аудит контроля изменений может снизить следующие риски:

• Безопасность функции сети отключаются.
• Пользователям распространяется вредоносный код.
• Чувствительный данные теряется или становится небезопасным.
• Финансовый отчет возникают ошибки.

Порядок контроля

Следующие функции обычно являются частью процедуры аудита управления изменениями:

Управление изменениями процедуры формально документируются и контролируются.

Изменения запрашиваются в рамках официального процесса.

Запросы записываются и хранятся для справки.

Оценивается эффект запрошенного изменения.

Каждое изменение оценивается на основе его предполагаемого воздействия на компьютерную систему и бизнес-операции. Оценка оформляется заявкой.

Приоритет определяется срочностью, потенциальными преимуществами и легкостью, с которой изменения могут быть исправлены.

На изменения накладываются средства контроля.

Изменения ограничиваются автоматическим или ручным управлением. В частности, периодически проводится поиск несанкционированных изменений.

Действует экстренный процесс изменения.

Политики четко определяют экстренные изменения. Как правило, это ошибки, которые значительно ухудшают работу системы и бизнес-операции, повышают уязвимость системы или и то, и другое. Экстренные изменения отменяют некоторые, но не все элементы управления. Например, предлагаемое изменение может быть задокументировано, но не разрешено без разрешения.

Документация по изменениям периодически обновляется.

Записываются задачи обслуживания и изменения.

Элементы управления применяются к новым программного обеспечения выпускает.

В целях безопасности для новых выпусков программного обеспечения часто требуются такие элементы управления, как резервное копирование, контроль версий и безопасная реализация.

Распространение программного обеспечения оценивается на соответствие.

Распространение ПО оценивается на соответствие лицензионным соглашениям. Несоблюдение может иметь катастрофические последствия финансовый и юридические результаты.

Изменения отправлены на утверждение.

Предлагаемые изменения представляются на утверждение после того, как аудиторы проверит необходимые ресурсы, другие изменения, влияние, срочность и стабильность системы.

Обязанности разделены

Ответственность за создание, утверждение и применение возложена на разный персонал, чтобы избежать нежелательных изменений.

Изменения рассматриваются.

Изменения отслеживаются для оценки эффективности управление изменениями политики.

Смотрите также

• Управление изменениями
• Аудит информационных технологий
• Аудит информационных технологий - операции

Рекомендации

внешняя ссылка

• Международная организация по стандартизации (ISO)
• Ассоциация аудита и контроля информационных систем (ISACA)