信息系统审计第五章.pptVIP

信 息 系 统 审 计 第六章 山东财经大学会计学院 李康昊 第六章 信息系统运营与维护审计 6.1 信息系统的运营与维护工作存在的问题 6.2 软件维护 6.3 信息系统变更管理 6.4 系统变更流程和迁移程序的审计 6.5 IT服务管理 6.6 信息系统生命周期的审计程序 6.1 信息系统的运营与维护工作存在的问题 ? 信息系统的运营与维护工作是信息系统生命周期的重要组成部分 ? IT管理大致经历了以下3个阶段： ? 设备管理阶段 ? 系统和网络管理阶段 ? 服务管理阶段 ? IT运营管理问题 6.2 软件维护 ? 6.2.1 软件维护的种类 ? 6.2.2 软件维护的实施 ? 6.2.3 软件维护申请报告 ? 6.2.4 维护档案记录 ? 6.2.5 维护阶段的审计 6.2.1 软件维护的种类 ? 纠错性维护 ? 适应性维护 ? 完善性维护 ? 预防性维护 6.2.2 软件维护的实施 ? 为有效进行软件维护，首先需要建立维护的机构；说明提出维护申请报告的过程及问题评价的过程；为每一个维护申请规定标准的处理步骤；还必须建立维护活动的等级制度以及规定评价和评审的标准。 ? 软件维护工作首先需确定维护需求，然后由维护组织管理员确认维护类型： ? 对纠错性维护申请，从评价错误的严重性开始。若存在严重错误，可进行“救火”式的紧急维护。 ? 对适应性维护和完善性维护申请，需要先确定每项申请的优先次序。 6.2.3 软件维护申请报告 ? 软件维护申请应按规定的方式提出。软件维护部门通常提供维护申请报告，由申请维护的用户填写。 ? 维护申请报告是由IT部门外部提交的文档，它是系统维护工作的基础。IT部门应相应的作出软件修改报告，指明： ? 修改变动的性质 ? 申请修改的优先级 ? 为满足某个维护申请报告所需的工作量 ? 预计修改后的状况 6.2.4 维护档案记录 ? 统计为了估计软件维护的有效程度，确定软件产品的质量，同时确定维护的实际开销，需要在维护的过程中做好维护档案记录。 6.2.5 维护阶段的审计 ? 建立明确的软件质量目标和优先级 ? 使用提高软件质量的技术和工具 ? 进行明确的质量保证审查 ? 周期性地维护审查 ? 健全的程序文档 6.3 信息系统变更管理 ? 1 变更管理过程 ? 2 实施变更 ? 3 文档化 ? 4 测试变更后的程序 ? 5 程序变更审计 ? 6 紧急变更 ? 7 将变更移植到生产环境 ? 8 变更风险（非授权变更） 6.4 系统变更流程和迁移程序的审计 ? 在系统维护阶段，对于变更管理，信息系统审计师的主要工作包括： ? 当用户提出系统变更需求时，应有授权、优先排序及跟踪的机制 ? 在日常工作手册中，是否明确指出紧急变更程序 ? 变更控制程序是否为用户及项目开发组所认可 ? 变更控制日志中记录的所有变更是否已完成 ? 评估访问产品源代码和可执行代码模块的安全访问控制是否充分 ? 评估企业在处理紧急情况下的程序变更的流程是否合理 ? 评估对使用紧急情况下登陆的安全访问控制是否充分 ? 变更确认现存文件均已反映变更后的系统环境 ? 评估系统变更的测试程序的适当性 ? 复核测试计划与测试结果等适当证据，确认该测试程序是依据企业的相关标准而制定的 6.4 系统变更流程和迁移程序的审计（续） ? 在系统维护阶段，对于变更管理，信息系统审计师的主要工作包括： ? 复核保证源代码与可执行码完整性的程序 ? 复核产品可执行模块，证实有且只有唯一与源代码对应的最新版本 ? 复核整个变更管理流程在时间成本、效率方面、用户满意度上是否有需改善之处 6.5 IT服务管理 ? 6.5.1 IT服务管理产生的背景 ? 6.5.2 IT服务管理的发展历史 ? 6.5.3 IT服务管理的定义 ? 6.5.4 ITIL ? 6.5.5 IT服务提供流程 ? 6.5.6 IT服务支持管理 ? 6.5.7 IT服务管理案例——如何建立一个基于ITIL的服务台 6.5.1 IT服务管理产生的背景 ? IT发展历程 ? IT的压力和挑战 ? IT服务管理产生的背景 6.5.2 IT服务管理的发展历史 ? 萌芽期 ? 发展期 ? 成熟期 6.5.3 IT服务管理的定义 ? IT的定义 ? 什么是服务 ? IT服务 ? IT服务管理 6.5.4 ITIL ? IT服务管理实施规划 ? 业务观点 ? IT基础设施架构 ? 应用管理 ? 安