Audit správy změn - Change management auditing - Wikipedia

Změňte rizika

Správný audit kontroly změn může snížit následující rizika:

• Bezpečnostní funkce sítě vypnout.
• Škodlivý kód je distribuován uživatelům.
• Citlivý data je ztracen nebo se stává nejistým.
• Finanční zpráva dojde k chybám.

Kontrolní postup

Následující funkce jsou běžně součástí postupu auditu správy změn:

Řízení změn postupy jsou formálně zdokumentovány a kontrolovány.

Změny jsou požadovány ve formálním procesu.

Žádosti se zaznamenávají a ukládají pro případ potřeby.

Posuzuje se účinek požadované změny.

Každá změna je hodnocena na základě jejího předpokládaného účinku na počítačový systém a obchodní operace. Posouzení je dokumentováno spolu s žádostí.

Priorita je založena na naléhavosti, potenciálních výhodách a snadnosti, s jakou lze změny opravit.

Na změny se vztahují kontroly.

Změny jsou omezeny automatizovaným nebo manuálním ovládáním. Pravidelně se hledají zejména neoprávněné změny.

Je zaveden proces nouzové změny.

Zásady jasně definují nouzové změny. Obecně se jedná o chyby, které významně narušují funkci systému a obchodní operace, zvyšují zranitelnost systému nebo obojí. Nouzové změny mají přednost před některými, ale ne všemi ovládacími prvky. Například navrhovaná změna může být zdokumentována, ale bez povolení není povolena.

Dokumentace změn je pravidelně aktualizována.

Úkoly údržby a změny se zaznamenávají.

Ovládací prvky se aplikují na nové software zprávy.

Z důvodu zabezpečení nová vydání softwaru často vyžadují ovládací prvky, jako jsou zálohy, řízení verzí a bezpečná implementace.

Distribuce softwaru je posuzována z hlediska shody.

Distribuce softwaru je posuzována z hlediska souladu s licenčními smlouvami. Nedodržení může mít katastrofální následky finanční a právní výsledky.

Změny se odesílají ke schválení.

Navrhované změny jsou předloženy ke schválení poté, co auditoři zkontrolovali požadované zdroje, další změny, účinek, naléhavost a stabilitu systému.

Povinnosti jsou odděleny

Odpovědnost za vytvoření, schválení a aplikaci jsou přiřazeny různým pracovníkům, aby nedocházelo k nežádoucím změnám.

Změny jsou zkontrolovány.

Změny jsou sledovány za účelem posouzení účinnosti řízení změn opatření.

Viz také

• Řízení změn
• Audit informačních technologií
• Audit informačních technologií - operace

Reference

externí odkazy

• Mezinárodní organizace pro normalizaci (ISO)
• Asociace pro audit a kontrolu informačních systémů (ISACA)