信息系统运营与维护审计

信息系统运营与维护审计 由于信息系统在企业中的重要性与日俱增增 且信息系统规模日益增大 运营日趋复杂 因此在系统投入正常运行后 如何保证信息系统的正常运营与维护 并实施有效管理与控制 对企业的经营战略和业务目标的实现致关重要 从ISA角度 IS审计师通过审查系统运营与维护的安全性 有效性 效益性等 并对此进行评估 提出改进意见 从而确保系统能满足企业的业务目标需求并实现其效益 信息系统在日常运行过程中管理与维护内容主要涉及 1 信息系统运营的管理 2 信息系统变更管理 3 软件配置管理 4 项目管理 等 第一节信息系统运营管理一 信息系统操作的管理职能要求 1 信息系统管理者有责任确保系统资源的可用性 2 信息系统管理者有责任依据整体业务策略 建立所有操作必须遵循的标准程序 信息部门操作员的工作主要包括 1 不正常中断后重新启动应用系统 2 及时备份计算机文件 3 监控信息处理设备未授权访问 4 监督IT部门与业务部门的管理层工作计划的遵守情况 5 参与灾难恢复与业务持续计划 6 受限制地访问计算机应用软件 数据及公用程序 要做好信息系统的操作管理 主要应采取的管理控制措施包括 1 值班工作的详细计划 2 监控操作过程 以确保遵循标准 3 审核在系统关机与软硬件重新启动期间的控制台日志 4 审核每日操作员日志 5 确保信息系统在微小或严重的系统故障时都能及时复原 6 监控系统绩效及资源使用 最大化利用计算机资源 7 监控设备环境安全及变更 以保证设备在适宜的状态中工作 IS审计师通过对操作管理控制的评价 从而保证计算机操作遵守相应的规程 系统的故障能够得到及时排除和恢复 从而保证系统可靠 有效的运行并满足企业的业务需求 2 服务水平管理信息化部门是为企业各业务单位提供服务的部门 为了能更好地提供服务 以支持企业业务目标的实现 有必要对其服务的状况进行监督控制 IS审计师通过检查有关文档 询问 进行实地测试等方式检查和评价有关问题处理情况 提供服务情况等确保信息化部门能够及时 高效地提供服务 以保证系统支持企业业务目标的实现 为了实现有效的监督控制 通过运用各种工具记录有关情况 以衡量服务的正确性 完整性 及时性及对系统处理结果的适当分发 这些工具主要有 1 系统异常报告 2 操作员问题报告 3 输出 分发报告 4 控制台日志 5 操作员工作安排记录 3 问题处理程序企业中的信息系统一旦出现异常 将会给企业的业务运作带来影响 甚至损失 因此在对异常状况的检查 记录 控制 解决及报告时 由于软硬件及其相互关系相当复杂 应设计一套机制以检查及记录任何异常现象 为此 1 应建立错误日志 包括 程序错误 系统错误 操作错误 通信错误 硬件错误 2 适当的问题上报程序 3 问题解决程序方案 IS审计师通过审查了解有关错误日志记录的及时 完整性 问题处理的责则划分 问题处理程序的适当性 以及追踪实际处理情况 等 以审查和确认问题处理程序措施的有效性 并针存在的问题提出改进建议 4 支持 服务台为了保证企业信息系统的正常运营 作为信息技术人员必须及时提供技术保障支持并协助解决系统问题 此外 信息技术支持人员还有责任做好系统有关的技术方面的服务和管理 技术支持功能主要包括 1 找出计算机问题并采取适当的改正措施 2 按规定提出问题报告 并确定问题及时解决 3 回答有关特定系统的查询 4 基于组织需求和计算机配置 设计并执行软件变更 以提高系统效率 5 为远程通信提供技术支持 6 控制和维护供应商和系统软件的变更实施 服务台功能主要包括 1 立案并记录用户提出的包括硬 软件的各项问题 2 根据优先顺序将问题向上汇报 3 追踪尚未解决的软 硬件问题 4 将已解决的问题归档并通知相应的负责人 IS审计师通过对该方面地审计评价 以促使信息技术部门能够为系统提供有效地技术支持和服务 第二节信息系统变更管理变更的原因 IT环境或业务环境发生变化 信息的敏感性与或重要性分类标准发生变化 来自审计的要求 由于缺乏控制而发生的入侵和病毒事件等 为了对系统变更进行有效控制 避免其带来的负面影响 应当建立一个标准流程来实施和记录变更 保证变更过程等得到适当的授权与管理层的批准 并对变更进行测试 对系统变更的管理控制措施主要包括 1 变更请求需要从适当的最终用户和系统管理层获得授权 如变更控制小组 配置控制委员会等 2 用户需要采用正式书面申请信函 向系统管理层表达变更申请 3 变更申请表的格式 内容应该保证行动的所有变化都考虑在内 并为每个申请指定一个唯一的控制人员 将变化申请信息录入计算机系统 4 变更程序需要遵循与全面系统开发项目同样的过程 保证新功能满足需求且不影响其他模块的功能 5 用户对系统测试结果和文档的充分性表示满意后 需要得到用户管理层的批准 6 所有变更请求和相关信息作为系统的永久文档由用户维护人员保留 7 当变更程序的程序员也是系统的操作者时 必须遵循变更管理步骤 且管理层还要安装自动变更控制软件 防止未经授权的程序变更 8 在紧急变更的情况下 要能够使系统问题得到及时解决或紧急修补 以保证系统的完整性 9 为保证有效利用维护系统 所有相关文档都需要及时更新 变更程序需要遵循与全面系统开发项目同样的验证和测试过程 保证新功能满足需求 除此之外 假如风险分析认为必要 需要进行额外测试以保证 1 已存在的功能没有被变更破坏 2 系统性能没有被破坏 3 没有产生不安全的风险 对于紧急变更管理需关注 1 制定合适的紧急变更的处理流程 2 对获得特殊的登录ID号的紧急变更处理授权人员的监督控制 3 制定紧急变更事后跟踪程序 将变更移植到生产环境需关注 1 对系统要进行授权访问控制 如使用OS安全功能和安全软件包 2 数据文件转换的控制 3 对员工使用修改后的软件提供培训支持 4 修改后的系统用户提供支持 5 风险发生的错误恢复措施 变更风险 非授权变更 的防范 1 程序员访问了生产库 2 负责应用的用户不知道变化 3 变化需求表格和流程没有正式建立 4 管理层没有在变化表格上签字同意开始更新 5 用户没有在变化更新前在变更表格上签字同意 6 没有合适的编程人员审查变化的源代码 7 管理层没有在变更表格上签字批准将代码更新到生产环境 8 程序员为了个人利益添加额外程序代码 9 软件供应商进行的修改没有被测试 或供应商被允许直接将修改更新到生产环境 在评估程序变更审计中 IS审计师需要审查是否有适当的控制能够保护产品应用程序和系统的有效运行 以防止未经授权的变更 为此 IS审计师应重点关注和审查 1 是否有限制对程序库的访问控制措施 2 变更申请是否有规范的报批流程并文档化 3 变更潜在影响的评估 4 变更是否经过用户和项目管理人员的审核和批准 5 变更涉及的各个方面均已经过控制 操作人员测试 审核及批准 6 紧急变更控制及恢复措施的有效性 7 对用户进行了培训 使用户能适应新系统 8 变更工作准备 排程和操作说明已建立 9 如需进行数据文件转换时 转换过程应完整并正确 且经过用户管理人员审核及批准 第三节软件配置管理 SCM 为了克服对程序维护难于控制问题 许多组织实施了软件配置管理系统 通过为系统中的程序 文档和数据建立配置项 并赋予相应的配置号 通过软件配置管理系统进行管理 使任何维护请求必须正式记录并且由变更控制委员会 例如配置控制委员会 批准 从而实施有效的控制 通常将配置项移入受控环境被称作 载入 checkin 当需要更改时 配置项要由配置管理者 载出 checkout 为了使配置管理起作用 需要制定配置管理计划和操作程序 计划不仅仅局限于开发的软件 还应该包括所有的系统文档 测试计划和步骤 作为软件配置管理任务的一部分 维护人员要执行以下任务 1 建立配置管理计划 2 将代码和相关文档基线化 3 分析并报告配置控制的结果 4 建立配置状态信息报告 5 建立发布流程 6 执行配置控制活动 例如识别和记录请求 7 更新配置状态数据库 在许多情况下 需要商业软件产品来进行配置管理 配置管理工具通过将下列活动自动化来支持变更管理和发布管理 1 识别受变更请求影响的配置项并帮助评估影响 2 记录受到变更影响的配置项 3 根据授权记录实施变更 4 当实施授权变更和发布时登记配置项发生的变化 5 记录与发布相关的基线 以便能够在变更失败时按照已知的结果进行恢复 为了保证有效的实施配置管理 从而确保系统安全可靠的运行 必须通过采取一些与变更相关管理控制措施 包括 实施软件发布管理 使用程序库控制软件 保证执行码与源代码的完整性 进行源代码比较 一 软件发布管理 软件发布管理就是软件可以让用户使用的过程 发布用来描述授权变更集合 发布通常包括大量问题修改和服务改进 发布包括新的或修改的软件 发布通常被划分为 1 重要发布 通常包括重要的变化或增加了新功能 2 小版本发布 升级 通常包含小的改进和补丁 3 紧急软件补丁 通常包括对一些已知问题的修改 应该定义发布管理的主要角色和责任 以确保每个人都了解他们的角和权限级别 了解涉及到该过程的其他人 组织应该根据系统的规模和特性 发布版本的数量和频率 用户的特殊需求来制定最有合适的方法 所有的发布版本都有唯一的识别号 可以在配置管理中使用 计划发布包括 1 一致同意发布的内容 2 同意根据时间 地点 业务部门和客户划分阶段 3 建立高层发布进度 4 计划资源水平 5 同意角色和责任 6 建立备用计划 7 为发布的版本建立质量计划 8 计划支持部门和用户的接受度 二 程序库控制软件 程序库控制软件来隔离测试库和日常作业程序库 主要目的是确保所有程序变更都是经过授权的 1 防止程序员访问产品源代码和对象库 2 防止整批的程序更新动作 3 要求程序员把要替换的源代码交给控制人员或操作员 来更新目标代码程序库或进行测试 4 要求控制人员或操作员在完成测试后要更新目标代码程序库的版本编号 5 对源代码做只读访问控制 6 要求程序命名要采用惟一的标识方式以将测试版和正式版区别开来 7 在作业控制语言中加入筛选控制 以避免因误用程序名称而让正常作业执行了测试程序 8 一旦错误发生时可以将修改恢复 三 执行码及源代码的完整性 每个日常作业的执行代码模块应该有一相对应的原始代码模块 只要有源代码模块移人日常作业源代码库 就自动创建一个可执行代码的模块移入到日常作业程序库 控制可执行码与源代码的完整性能保证错误版本的程序不会被执行 从而把在变更控制流程中因职责划分不当所产生的风险尽量降低 通常可采用库管理软件产品可以实现这项功能 四 源代码比较 源代码比较是追踪源程序代码变化的有效易用的方法 IS审计师可通过运行源代码比较软件或手工审查源代码变更 来追踪控制版本的源代码和目前版本的源代码之间的区别 打印所有增 删及更改的清单 从而可以逐一审查有关这些变动的需求申请 批准及程序测试后的授权文件 从而确保变更得到有效控制 第四节项目管理项目管理的目标 保证任务能够充分执行 资源有效利用 系统质量能够保证 项目按时按目标完成 避免项目风险 项目管理要求 明确任务 跟踪进展情况 定期审查项目提交情况 保证项目的如期完成 项目管理知识和实践包括 发起 计划 执行和结束 成功的项目管理的共同特点 基于风险的管理流程和迭代 项目管理所涉及的整体内容 一般包括 总体项目管理 项目管理技术 人员管理 文档管理 等 一 总体项目管理1 项目发起必须明确 一个项目的发起应经过授权批准 项目章程中应明确项目的目标 项目的相关利益者 项目管理者和发起人 被批准后标志着项目得到授权可以开始 IS审计师应重点审查项目发起的合规性以及得到授权批准 2 项目计划软件开发或维护项目必须进行计划和控制 项目管理者需要决定 1 需要执行的任务 2 每个任务要多长时间 3 任务执行的次序 4 存在什么资源来执行任务 5 每项任务的成本和资金来源 IS审计师应重点审查项目计划的全面性 合理性及效益性 3 软件规模评估软件规模评估是决定应用软件相对的物理规模的方法 软件规模作为输入 导出成本 进度 质量矩阵的估计 用于指导资源分配 估计开发时间和资源 比较需要的资源和已有的资源 IS审计师应掌握软件规模评估的方法 以便对项目的进度 所需资源及资源分配情况进行评价和审计 方法 A 源代码行数 SLOC SourceLineofCode 的单点估计方法 局限 对于复杂系统不太适用B 功能点 FunctionPoint 分析技术 功能点 FunctionPoint 首先通过完成一个表来决定一个特殊的输入 输出等是否是简单 普遍适用的或是复杂的 共定义了5个功能点 1 用户输入数 对每个用户提供面向应用的数据输入进行计数 2 用户输出数 对每个用户提供面向应用的数据输出进行计数 3 用户请求数 对以联机输入和输出形式存在的每个请求进行计数 4 文件数 对每个逻辑主控文档进行计数 5 外部接口数 对系统与其他系统的所有传输信息的机读接口 如磁带或磁盘的数据文件 进行计数 建立 计算功能点矩阵 参见教材 计算功能点总数 根据一定算法 考虑影响复杂性的相关因素计算得出根据功能点总数计算衡量 成本 进度 生产力 质量 等 4 工作量 成本预算 系统开发计划应该根据评估每个任务所需要的工作量进行分析 每个任务消耗人力和机器时间 每个任务的评估包括下列因素 1 不同类型人员的小时数 系统分析员 程序员 员工 2 机器小时数 主要指计算机时间 复制设备 办公设备 通信设备 3 其他外部成本 诸如 第三方软件 工具的许可权 咨询费 培训费 认证成本 居住成本等 当项目需要额外的地方 5 软件成本评估成本评估是正确定义项目范围的必要步骤 在系统开发的每个阶段都有估计项目成本的自动化技术 为了使用这些技术 系统通常划分为主要的因数 建立一组成本动因 动因包括 在根据任务建立了预期工作量后 可以分两步来做成本预算 1 通过汇总每个阶段任务的预期工作量或阶段性的对人和机器工作量的评估 2 利用适当的小时生产率将工作量合计值计算成小时制 以得到阶段性开发费用 1 源代码语言 2 执行时间约束 3 主要存储约束 4 数据存储约束 5 计算机访问 6 用于开发的目标机器 7 安全环境 8 员工经验 一旦所有驱动因素被定义 程序将进行系统和整个项目的成本估计 IS审计师通过掌握工作量 成本预算 软件成本评估方法 以便对项目成本实施有效的评价和审计 6 结束项目管理项目结束时新的或修改的系统交付给用户或系统支持人员 结束时 可能还有些小问题需要解决 还要指定解决问题的负责人 还要确认以下工作 1 项目的资助人应该对系统表示满意 2 项目成果的所有权需要指定 3 文档要归档并转给需要的人 IS审计师应重点关注项目的条件是否具备 项目的目标是否实现以及项目的完成质量 另外 在这个阶段还要对项目组 开发组 用户和其他利益相关者进行调查 获得可以学习的经验和教训 向有关方提出建议 以便运用到将来的项目中去 二 项目管理技术在项目管理中制定进度计划的技术工具主要有 1 甘特图 GATT 也称横道图 是一种最直观的进度计划方法 它通过平面坐标显示每个活动 开始 结束时间 哪些活动可以同时进行 哪些活动要顺序进行 反映资源分配情况 显示项目的进度 反映项目提前了还是推迟了 2 项目评审技术 PERT 项目评审技术是系统开发中常用的一种先进的工程计划活动 它把工程计划的各项活动 它们之间的联系和约束 各活动之间在物理上 工程上和逻辑上的制约 经过组合分解 使工期最短 统筹安排 构成一个有机的整体 用网络模型形象地反映出来 力求在资源约束条件下 使工期最短 为了确定活动的结束时间 对每个活动估计了三个时间 第一个是乐观估计 假设所有事情都很顺利 第二个是最可能估计 第三个是悲观估计 使用下面的公式计算PERT图上每个活动时间估计 乐观 悲观 4 最可能估计 6PERT图示例 PERT网络图PERT 计划评审技术 3 关键路径法 CPM 也称为关键路径分析 CPA 其工作原理是 为每个最小任务单位计算工期 定义最早开始和结束日期 最迟开始和结束日期 按照活动的关系形成顺序的网络逻辑图 找出必须的最长路径 即为关键路径 计算方法 1 计算两节点间的关键路径 A 如两节点间只有一个工作项目任务 则此路线即为关键路径 B 如两节点间有多个工作项目任务 则所需最长时间的路线即为关键路径 2 将各节点间的关键路径相连 即可计算出整个项目的关键路径 示例 如前图 4 时间盒 Timebox 管理是一个