Аудит управления изменениями - Википедия - Change management auditing
Изменить риски
Надлежащий аудит контроля изменений может снизить следующие риски:
- Безопасность функции сети отключаются.
- Пользователям распространяется вредоносный код.
- Чувствительный данные теряется или становится небезопасным.
- Финансовый отчет возникают ошибки.
Порядок контроля
Следующие функции обычно являются частью процедуры аудита управления изменениями:
- Управление изменениями процедуры формально документируются и контролируются.
- Изменения запрашиваются в рамках официального процесса.
- Запросы записываются и хранятся для справки.
- Оценивается эффект запрошенного изменения.
- Каждое изменение оценивается на основе его предполагаемого воздействия на компьютерную систему и бизнес-операции. Оценка оформляется заявкой.
- Приоритет определяется срочностью, потенциальными преимуществами и легкостью, с которой изменения могут быть исправлены.
- На изменения накладываются средства контроля.
- Изменения ограничиваются автоматическим или ручным управлением. В частности, периодически проводится поиск несанкционированных изменений.
- Действует экстренный процесс изменения.
- Политики четко определяют экстренные изменения. Как правило, это ошибки, которые значительно ухудшают работу системы и бизнес-операции, повышают уязвимость системы или и то, и другое. Экстренные изменения отменяют некоторые, но не все элементы управления. Например, предлагаемое изменение может быть задокументировано, но не разрешено без разрешения.
- Документация по изменениям периодически обновляется.
- Записываются задачи обслуживания и изменения.
- Элементы управления применяются к новым программного обеспечения выпускает.
- В целях безопасности для новых выпусков программного обеспечения часто требуются такие элементы управления, как резервное копирование, контроль версий и безопасная реализация.
- Распространение программного обеспечения оценивается на соответствие.
- Распространение ПО оценивается на соответствие лицензионным соглашениям. Несоблюдение может иметь катастрофические последствия финансовый и юридические результаты.
- Изменения отправлены на утверждение.
- Предлагаемые изменения представляются на утверждение после того, как аудиторы проверит необходимые ресурсы, другие изменения, влияние, срочность и стабильность системы.
- Обязанности разделены
- Ответственность за создание, утверждение и применение возложена на разный персонал, чтобы избежать нежелательных изменений.
- Изменения рассматриваются.
- Изменения отслеживаются для оценки эффективности управление изменениями политики.