信息系统运维与服务管理审计—第3205号内部审计实务指南第三章第2节

2021-01-24

内部审计 IT审计 3205号文

一、业务概述

信息系统运维与服务管理是指组织的信息部门采用相关的方法、手段、技术、制度、流程和文档等,对信息系统的运行环境(软件环境、网络环境等)、信息系统的运维进行的综合管理。组织应从信息系统运维和服务的日常管理、信息系统及其物理环境的监控和故障管理、日志管理、日常事件和问题管理、信息系统的容量管理和变更管理等方面开展工作。

(一)审计目标和内容

审计目标:通过对人员管理、职责分离、值班巡检与操作规范等方面的检查,评价组织信息系统的运维与服务的合理性、安全性和规范性。

审计内容:审计运维与服务机构人员的配置和职责分离情况,信息运维制度和规范的建立健全情况,系统运行报告、监控和记录的完善情况,出现问题时的应对措施。

(二)常见问题和风险

1、未对重要业务岗位或系统的运维管理岗位实施职责分离。

2、未制定详尽的日常信息系统运行操作规范说明,操作任务和步骤不明确、不清晰。

3、未定期生成信息系统运行报告并对其进行分析,特别是重要信息系统,或管理层未审阅有关报告。

4、运维过程中出现问题,无有效应急处理预案,导致系统运行效率低的风险。

(三)审计的主要方法和程序

1、人员及职责审计

(1)访谈信息系统部门负责人及信息系统风险审计负责人,调取组织岗位职责及人员名单,验证相关不相容岗位是否实现了分离,是否存在岗位分离但人员兼岗的现象。

(2)抽取部分应用系统,并从中取得操作系统用户清单、数据库用户清单、应用系统用户清单以及开发测试系统的相应清单,验证是否存在事实上的兼岗现象,是否存在开发人员在生产系统中存在账户的现象。

2、值班巡检

(1)访谈信息系统部门负责人,了解组织是否根据信息系统规模和水平建立信息系统运行值班和巡检制度。

(2)查阅组织的信息系统巡检记录,验证巡检内容、巡检频率是否与巡检制度相符,发现问题是否完整记录并上报。

3、操作规范访谈信息系统部门负责人,询问是否针对重要信息系统制定操作规范,并实地查看对比值班人员职责,验证其履职情况。

4.运行报告

(1)访谈信息系统部门负责人,是否针对日常运维与服务和重要信息系统,定期生成运行报告并提交管理层审阅。

(2)审计针对运行报告中的问题,有无有效的应急处理预案,是否存在未及时解决运行问题的情况。

二、日志管理审计

(一)业务概述

日志管理是指组织为满足法律和行业监管的合规要求,对日常的交易记录采取必要的程序和技术加以保存,确保存档数据信息的完整性,满足安全保存和可恢复的要求。

(二)审计目标和内容

审计目标:通过对日志管理的审计,合理地保证组织负责运营的信息系统所涉及的用户活动以及信息安全事件日志被记录,并按照规定的期限进行保留,以支持将来的调查和访问控制检查,确保对存在的问题及时采取措施纠正和防范。

审计内容:日志管理制度与策略体系的建立健全规范情况,用于日志信息及其存储介质安全防护的相关程序、技术和措施。

(三)常见问题和风险

1、未建立健全规范的日志管理制度与策略体系,或采取……



未完待续,登录后可查看全部内容。