信息系统运营与维护审计

NANJINGAUDITUNIVERSITY第五章信息系统运营与维护审计由于信息系统在企业中的重要性与日俱增增，且信息系统规模日益增大，运营日趋复杂，因此在系统投入正常运行后，如何保证信息系统的正常运营与维护，并实施有效管理与控制，对企业的经营战略和业务目标的实现致关重要。从ISA角度，IS审计师通过审查系统运营与维护的安全性、有效性、效益性等，并对此进行评估，提出改进意见，从而确保系统能满足企业的业务目标需求并实现其效益。信息系统在日常运行过程中管理与维护内容主要涉及：1、信息系统运营的管理；2、信息系统变更管理；3、软件配置管理；4、项目管理；等。NANJINGAUDITUNIVERSITY第一节信息系统运营管理一、信息系统操作的管理职能要求：1、信息系统管理者有责任确保系统资源的可用性；2、信息系统管理者有责任依据整体业务策略，建立所有操作必须遵循的标准程序。信息部门操作员的工作主要包括：1、不正常中断后重新启动应用系统；2、及时备份计算机文件；3、监控信息处理设备未授权访问；4、监督IT部门与业务部门的管理层工作计划的遵守情况；5、参与灾难恢复与业务持续计划；6、受限制地访问计算机应用软件、数据及公用程序。NANJINGAUDITUNIVERSITY要做好信息系统的操作管理，主要应采取的管理控制措施包括：1、值班工作的详细计划；2、监控操作过程，以确保遵循标准；3、审核在系统关机与软硬件重新启动期间的控制台日志；4、审核每日操作员日志；5、确保信息系统在微小或严重的系统故障时都能及时复原；6、监控系统绩效及资源使用，最大化利用计算机资源；7、监控设备环境安全及变更，以保证设备在适宜的状态中工作IS审计师通过对操作管理控制的评价，从而保证计算机操作遵守相应的规程、系统的故障能够得到及时排除和恢复，从而保证系统可靠、有效的运行并满足企业的业务需求。NANJINGAUDITUNIVERSITY2、服务水平管理信息化部门是为企业各业务单位提供服务的部门，为了能更好地提供服务，以支持企业业务目标的实现，有必要对其服务的状况进行监督控制。IS审计师通过检查有关文档、询问、进行实地测试等方式检查和评价有关问题处理情况、提供服务情况等确保信息化部门能够及时、高效地提供服务，以保证系统支持企业业务目标的实现。为了实现有效的监督控制，通过运用各种工具记录有关情况，以衡量服务的正确性、完整性、及时性及对系统处理结果的适当分发。这些工具主要有：1、系统异常报告；2、操作员问题报告；3、输出、分发报告；4、控制台日志；5、操作员工作安排记录。NANJINGAUDITUNIVERSITY3、问题处理程序企业中的信息系统一旦出现异常，将会给企业的业务运作带来影响，甚至损失，因此在对异常状况的检查、记录、控制、解决及报告时，由于软硬件及其相互关系相当复杂，应设计一套机制以检查及记录任何异常现象。为此：1、应建立错误日志；（包括：程序错误、系统错误、操作错误、通信错误、硬件错误）2、适当的问题上报程序；3、问题解决程序方案。IS审计师通过审查了解有关错误日志记录的及时、完整性，问题处理的责则划分，问题处理程序的适当性，以及追踪实际处理情况，等。以审查和确认问题处理程序措施的有效性，并针存在的问题提出改进建议。NANJINGAUDITUNIVERSITY4、支持/服务台为了保证企业信息系统的正常运营，作为信息技术人员必须及时提供技术保障支持并协助解决系统问题。此外，信息技术支持人员还有责任做好系统有关的技术方面的服务和管理。技术支持功能主要包括：1、找出计算机问题并采取适当的改正措施；2、按规定提出问题报告，并确定问题及时解决；3、回答有关特定系统的查询；4、基于组织需求和计算机配置，设计并执行软件变更，以提高系统效率；5、为远程通信提供技术支持；6、控制和维护供应商和系统软件的变更实施。NANJINGAUDITUNIVERSITY服务台功能主要包括：1、立案并记录用户提出的包括硬、软件的各项问题；2、根据优先顺序将问题向上汇报；3、追踪尚未解决的软、硬件问题；4、将已解决的问题归档并通知相应的负责人。IS审计师通过对该方面地审计评价，以促使信息技术部门能够为系统提供有效地技术支持和服务。NANJINGAUDITUNIVERSITY第二节信息系统变更管理变更的原因：IT环境或业务环境发生变化；信息的敏感性与或重要性分类标准发生变化；来自审计的要求；由于缺乏控制而发生的入侵和病毒事件等。为了对系统变更进行有效控制，避免其带来的负面影响，应当建立一个标准流程来实施和记录变更，保证变更过程等得到适当的授权与管理层的批准，并对变更进行测试。对系统变更的管理控制措施主要包括：1、变更请求需要从适当的最终用户和系统管理层获得授权（如变更控制小组、配置控制委员会等）；2、用户需要采用正式书面申请信函，向系统管理层表达变更申请；3、变更申请表的格式、内容应该保证行动的所有变化都考虑在内，并为每个申请指定一个唯一的控制人员，将变化申请信息录入计算机系统；NANJINGAUDITUNIVERSITY4、变更程序需要遵循与全面系统开发项目同样的过程，保证新功能满足需求且不影响其他模块的功能；5、用户对系统测试结果和文档的充分性表示满意后，需要得到用户管理层的批准；6、所有变更请求和相关信息作为系统的永久文档由用户维护人员保留；7、当变更程序的程序员也是系统的操作者时，必须遵循变更管理步骤，且管理层还要安装自动变更控制软件，防止未经授权的程序变更；8、在紧急变更的情况下，要能够使系统问题得到及时解决或紧急修补，以保证系统的完整性；9、为保证有效利用维护系统，所有相关文档都需要及时更新。变更程序需要遵循与全面系统开发项目同样的验证和测试过程，保证新功能满足需求。除此之外，假如风险分析认为必要，需要进行额外测试以保证：1、已存在的功能没有被变更破坏；2、系统性能没有被破坏；3、没有产生不安全的风险。NANJINGAUDITUNIVERSITY对于紧急变更管理需关注：1、制定合适的紧急变更的处理流程；2、对获得特殊的登录ID号的紧急变更处理授权人员的监督控制；3、制定紧急变更事后跟踪程序。将变更移植到生产环境需关注：1、对系统要进行授权访问控制；（如使用OS安全功能和安全软件包）2、数据文件转换的控制；3、对员工使用修改后的软件提供培训支持；4、修改后的系统用户提供支持；5、风险发生的错误恢复措施。变更风险（非授权变更）的防范：1、程序员访问了生产库；2、负责应用的用户不知道变化；NANJINGAUDITUNIVERSITY3、变化需求表格和流程没有正式建立；4、管理层没有在变化表格上签字同意开始更新；5、用户没有在变化更新前在变更表格上签字同意；6、没有合适的编程人员审查变化的源代码；7、管理层没有在变更表格上签字批准将代码更新到生产环境；8、程序员为了个人利益添加额外程序代码；9、软件供应商进行的修改没有被测试，或供应商被允许直接将修改更新到生产环境。NANJINGAUDITUNIVERSITY在评估程序变更审计中，IS审计师需要审查是否有适当的控制能够保护产品应用程序和系统的有效运行，以防止未经授权的变更。为此，IS审计师应重点关注和审查：1、是否有限制对程序库的访问控制措施；2、变更申请是否有规范的报批流程并文档化；3、变更潜在影响的评估；4、变更是否经过用户和项目管理人员的审核和批准；5、变更涉及的各个方面均已经过控制/操作人员测试、审核及批准；6、紧急变更控制及恢复措施的有效性；7、对用户进行了培训，使用户能适应新系统；8、变更工作准备、排程和操作说明已建立；9、如需进行数据文件转换时，转换过程应完整并正确，且经过用户管理人员审核及批准。NANJINGAUDITUNIVERSITY第三节软件配置管理（SCM）为了克服对程序维护难于控制问题，许多组织实施了软件配置管理系统。通过为系统中的程序、文档和数据建立配置项，并赋予相应的配置号，通过软件配置管理系统进行管理，使任何维护请求必须正式记录并且由变更控制委员会（例如配置控制委员会）批准。从而实施有效的控制。通常将配置项移入受控环境被称作“载入”（checkin）。当需要更改时，配置项要由配置管理者“载出”（checkout）。为了使配置管理起作用，需要制定配置管理计划和操作程序。计划不仅仅局限于开发的软件，还应该包括所有的系统文档、测试计划和步骤。作为软件配置管理任务的一部分，维护人员要执行以下任务:NANJINGAUDITUNIVERSITY1、建立配置管理计划；2、将代码和相关文档基线化；3、分析并报告配置控制的结果；4、建立配置状态信息报告；5、建立发布流程；6、执行配置控制活动，例如识别和记录请求；7、更新配置状态数据库。在许多情况下，需要商业软件产品来进行配置管理。配置管理工具通过将下列活动自动化来支持变更管理和发布管理：1、识别受变更请求影响的配置项并帮助评估影响；2、记录受到变更影响的配置项；3、根据授权记录实施变更；4、当实施授权变更和发布时登记配置项发生的变化；5、记录与发布相关的基线，以便能够在变更失败时按照已知的结果进行恢复。NANJINGAUDITUNIVERSITY为了保证有效的实施配置管理，从而确保系统安全可靠的运行，必须通过采取一些与变更相关管理控制措施，包括：实施软件发布管理；使用程序库控制软件；保证执行码与源代码的完整性；进行源代码比较。一、软件发布管理：软件发布管理就是软件可以让用户使用的过程，发布用来描述授权变更集合。发布通常包括大量问题修改和服务改进，发布包括新的或修改的软件，发布通常被划分为：1、重要发布：通常包括重要的变化或增加了新功能。；2、小版本发布：升级，通常包含小的改进和补丁；3、紧急软件补丁：通常包括对一些已知问题的修改。NANJINGAUDITUNIVERSITY应该定义发布管理的主要角色和责任，以确保每个人都了解他们的角和权限级别，了解涉及到该过程的其他人。组织应该根据系统的规模和特性、发布版本的数量和频率、用户的特殊需求来制定最有合适的方法。所有的发布版本都有唯一的识别号，可以在配置管理中使用。计划发布包括：1、一致同意发布的内容；2、同意根据时间、地点、业务部门和客户划分阶段；3、建立高层发布进度；4、计划资源水平；5、同意角色和责任；6、建立备用计划；7、为发布的版本建立质量计划；8、计划支持部门和用户的接受度。NANJINGAUDITUNIVERSITY二、程序库控制软件：程序库控制软件来隔离测试库和日常作业程序库。主要目的是确保所有程序变更都是经过授权的。1、防止程序员访问产品源代码和对象库；2、防止整批的程序更新动作；3、要求程序员把要替换的源代码交给控制人员或操作员，来更新目标代码程序库或进行测试；4、要求控制人员或操作员在完成测试后要更新目标代码程序库的版本编号；5、对源代码做只读访问控制；6、要求程序命名要采用惟一的标识方式以将测试版和正式版区别开来；7、在作业控制语言中加入筛选控制，以避免因误用程序名称而让正常作业执行了测试程序；8、一旦错误发生时可以将修改恢复。NANJINGAUDITUNIVERSITY三、执行码及源代码的完整性：每个日常作业的执行代码模块应该有一相对应的原始代码模块。只要有源代码模块移人日常作业源代码库，就自动创建一个可执行代码的模块移入到日常作业程序库。控制可执行码与源代码的完整性能保证错误版本的程序不会被执行。从而把在变更控制流程中因职责划分不当所产生的风险尽量降低。通常可采用库管理软件产品可以实现这项功能。四、源代码比较：源代码比较是追踪源程序代码变化的有效易用的方法。IS审计师可通过运行源代码比较软件或手工审查源代码变更，来追踪控制版本的源代码和目前版本的源代码之间的区别，打印所有增、删及更改的清单。从而可以逐一审查有关这些变动的需求申请、批准及程序测试后的授权文件。从而确保变更得到有效控制。NANJINGAUDITUNIVERSITY第四节项目管理项目管理的目标:保证任务能够充分执行，资源有效利用，