配置审计要点.docVIP

配置管理审计 　　实施配置审计以维护配置基线的完整性。 　　配置审计确认最终的基线和文件有遵照特定标准或需求，并适当记录审计结果。 　　典型的工作产品 　　1. 配置审计结果 　　2. 纠正措施 　　子实践 　　1. 评定基线的完整性。 　　2. 确认配置管理记录已正确识别配置。 　　3. 审查配置管理系统中，配置的结构和一致性。 　　4. 确定配置管理系统中，配置的完整性和正确性。 　　依据计划中所述的需求和已核准的变更申请的处理为基础，来判断内容的完整性和正确性。 　　5. 确定符合适用的配置管理标准和程序。 　　6. 跟踪审计的行动直到结项。 　　----------- 　　最简单也是最有效的做法是 　　在打基线时，进行审计，预先设计好基线审计表或检查表 　　检查内容至少包括 　　1，配置库的目录结构是不是符合要求 　　2，基线对应的必须文件是不是到位 　　3，达成基线的前提要素（比如里程碑评审，变更申请，问题，bug）是否OK 　　还值得考虑的是定期审计（时间跨度要大些），重点是 　　1，抽查文件上的标签与基线是否对应 　　2，更改请求是否及时处理 　　3，以前审计问题是否及时处理 　　从信息安全角度出发，也有审计要求，关心重点是 　　1，权限的设置是否与记录一致，尤其关注调动的员工 　　2，备份是否有效 　　3，恢复计划是否可行 　　---------------------------- 　　一般在配置管理审计时，不必再看具体文件的内容，而是看达成配置项的过程产物。 　　以评审后的配置管理审计来说，检查点有： 　　1，评审结论是否有效，关键人员是否认可 　　2，评审时的问题是否已经解决 　　如果没有评审，比如代码提交测试前的配置管理审计，检查点有： 　　1，得到实现的需求是否对应跟踪，如果需求是有状态管理的，以Scrum来说，user story的剩余工作量是不是0。 　　2，有没有单元测试、集成测试或持续集成、每日构建的要求，如果有的话，结果行不行？ 3，代码目录结构是否符合要求，如果有的话通用审计? ?? ?目的? ? ? ? ? ? ? ? 验证配置审计活动，直到闭环。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ?适用对象? ? ? ? 配置管理员、QA人员。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ?审核时机? ? ? ? 每次配置审计（基线配置审计、物理配置审计、功能配置审计）。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 基线配置审计? ???目的? ? ? ? ? ? ? ? 保证后续工作开展的正确性，更加有效的控制变更。? ? ? ? ? ? ? ? ? ? 适用对象? ? ? ? 配置管理员、QA人员。? ? ? ? ? ? ? ? ? ? 审核时机? ? ? ? 基线审核时机按照项目配置管理计划进行审核。? ? ? ? ? ? ? ? 物理配置审计? ? 目的? ? ? ? ? ? ? ? 物理审核是用于确保配置管理系统工作的正确性的，并且在将来一段时间内继续正常? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???工 作。? ? ? ? ? ? ? ? ? ? 适用对象? ? ? ? 配置管理员、QA人员。? ? ? ? ? ? ? ? ? ? 审核时机? ? ? ? 按配置管理计划定期进行物理审核，与基线审计一起执行? ? ? ? ? ? ? ? 功能配置审计? ? 目的? ? ? ? ? ? ? ? 对配置项的功能与特性的审计，目的是检查是否达到需求说明书中所规定的功能和? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???非功能特性的要求。? ? ? ? ? ? ? ? ? ? 适用对象? ? ? ? 配置管理员、QA人员。? ? ? ? ? ? ? ? ? ? 审核时机? ? ? ? 按配置管理计划定期进行物理审核，但至少在交付之前必须进行一次功能? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???审计。?1、目的客观地检查项目组的“工作过程”和“工作成果”是否符合配置管理计划和相关规范。 2、角色SCM小组，各级配置库的配置管理员。 3、输入《SCM计划》、《软件变更报告单》 4、步骤1）SCM小组定期进行配置审计；2）审计内容包括：（a）按照《SCM计划》，审计已创建的配置项（配置）、基线，以确保在配置中包含的配置项的正确版本。（b）检查每个配置项（配置、基线）名称、版本标识、状态标识和注释是否按规定书写。（c）如有变更，按照《变更申请表》，检查