信息系统运维与服务管理审计.pdf

信息系统运维与服务管理审计--第1页

信息系统运维与服务管理审计

一、业务概述

信息系统运维与服务管理是指组织的信息部门采用

相关的方法、手段、技术、制度、流程和文档等,对信

息系统的运行环境(软件环境、网络环境等)、信息系统

的运维进行的综合管理。组织应从信息系统运维和服务

的日常管理、信息系统及其物理环境的监控和故障管

理、日志管理、日常事件和问题管理、信息系统的容量

管理和变更管理等方面开展工作。

（一）审计目标和内容

审计目标：通过对人员管理、职责分离、值班巡检

与操作规范等方面的检查，评价组织信息系统的运维

与服务的合理性、安全性和规范性。

审计内容：审计运维与服务机构人员的配置和职责

分离情况，信息运维制度和规范的建立健全情况，系统

运行报告、监控和记录的完善情况，出现问题时的应对

措施。

（二）常见问题和风险

1.未对重要业务岗位或系统的运维管理岗位实施职

责分离。

2.未制定详尽的日常信息系统运行操作规范说明，

操作任务和步骤不明确、不清晰。

信息系统运维与服务管理审计--第1页

信息系统运维与服务管理审计--第2页

3.未定期生成信息系统运行报告并对其进行分析，

特别是重要信息系统，或管理层未审阅有关报告。

4.运维过程中出现问题，无有效应急处理预案，导

致系统运行效率低的风险。

（三）审计的主要方法和程序

1.人员及职责审计

（1）访谈信息系统部门负责人及信息系统风险审

计负责人，调取组织岗位职责及人员名单，验证相关

不相容岗位是否实现了分离，是否存在岗位分离但人

员兼岗的现象。

（2）抽取部分应用系统，并从中取得操作系统用

户清单、数据库用户清单、应用系统用户清单以及开

发测试系统的相应清单，验证是否存在事实上的兼岗

现象，是否存在开发人员在生产系统中存在账户的现

象。

2.值班巡检

（1）访谈信息系统部门负责人，了解组织是否根

据信息系统规模和水平建立信息系统运行值班和巡检

制度。

（2）查阅组织的信息系统巡检记录，验证巡检内

容、巡检频率是否与巡检制度相符，发现问题是否完

整记录并上报。

3.操作规范

访谈信息系统部门负责人，询问是否针对重要信息

系统制定操作规范，并实地查看对比值班人员职责，

验证其履职情况。

信息系统运维与服务管理审计--第2页

信息系统运维与服务管理审计--第3页

4.运行报告

（1）访谈信息系统部门负责人，是否针对日常运

维与服务和重要信息系统，定期生成运行报告并提交

管理层审阅。

（2）审计针对运行报告中的问题，有无有效的应

急处理预案，是否存在未及时解决运行问题的情况。

二、日志管理审计

（一）业务概述

日志管理是指组织为满足法律和行业监管的合规要