信息系统审计(南京审计学院)chap5.pptVIP

第五章 信息系统运营与维护审计; 第一节 信息系统运营管理 一、信息系统操作的管理 职能要求： 1、信息系统管理者有责任确保系统资源的可用性； 2、信息系统管理者有责任依据整体业务策略，建立所有操作必须 遵循的标准程序。 ; 要做好信息系统的操作管理，主要应采取的管理控制措施包括： 1、值班工作的详细计划； 2、监控操作过程，以确保遵循标准； 3、审核在系统关机与软硬件重新启动期间的控制台日志； 4、审核每日操作员日志； 5、确保信息系统在微小或严重的系统故障时都能及时复原； 6、监控系统绩效及资源使用，最大化利用计算机资源； 7、监控设备环境安全及变???，以保证设备在适宜的状态中工作; 2、服务水平管理 信息化部门是为企业各业务单位提供服务的部门，为了能更好地提供 服务，以支持企业业务目标的实现，有必要对其服务的状况进行监督控制。 ; 3、问题处理程序 企业中的信息系统一旦出现异常，将会给企业的业务运作带来影响， 甚至损失，因此在对异常状况的检查、记录、控制、解决及报告时，由于 软硬件及其相互关系相当复杂，应设计一套机制以检查及记录任何异常现 象。为此： 1、应建立错误日志；（包括：程序错误、系统错误、操作错误、通信 错误、硬件错误） 2、适当的问题上报程序； 3、问题解决程序方案。 ; 4、支持/服务台 为了保证企业信息系统的正常运营，作为信息技术人员必须及时提供 技术保障支持并协助解决系统问题。此外，信息技术支持人员还有责任做 好系统有关的技术方面的服务和管理。 技术支持功能主要包括： ; 服务台功能主要包括： 1、立案并记录用户提出的包括硬、软件的各项问题； 2、根据优先顺序将问题向上汇报； 3、追踪尚未解决的软、硬件问题； 4、将已解决的问题归档并通知相应的负责人。; 第二节 信息系统变更管理 变更的原因：IT环境或业务环境发生变化；信息的敏感性与或重要 性分类标准发生变化；来自审计的要求；由于缺乏控制而发生的入侵和 病毒事件等。 为了对系统变更进行有效控制，避免其带来的负面影响，应当建立一 个标准流程来实施和记录变更，保证变更过程等得到适当的授权与管理层 的批准，并对变更进行测试。 对系统变更的管理控制措施主要包括： ; 4、变更程序需要遵循与全面系统开发项目同样的过程，保证新功能满 足需求且不影响其他模块的功能； 5、用户对系统测试结果和文档的充分性表示满意后，需要得到用户管 理层的批准； 6、所有变更请求和相关信息作为系统的永久文档由用户维护人员保留； 7、当变更程序的程序员也是系统的操作者时，必须遵循变更管理步骤， 且管理层还要安装自动变更控制软件，防止未经授权的程序变更； 8、在紧急变更的情况下，要能够使系统问题得到及时解决或紧急修补， 以保证系统的完整性； 9、为保证有效利用维护系统，所有相关