信息系统运维安全审计策略与实践.pptxVIP

第五章信息系统运行与维护审计;第一节信息系统运行管理

一、信息系统操作的管理

职能要求：

1、信息系统管理者有责任确保系统资源的可用性；

2、信息系统管理者有责任依据整体业务方略，建立所有操作必须

遵循的标准程序。

;要做好信息系统的操作管理，主要应采用的管理控制办法涉及：

1、值班工作的详细计划；

2、监控操作过程，以确保遵循标准；

3、审核在系统关机与软硬件重新开启期间的控制台日志；

4、审核每日操作员日志；

5、确保信息系统在微小或严重的系统故障时都能及时复原；

6、监控系统绩效及资源使用，最大化利用计算机资源；

7、监控设备环境安全及变更，以确保设备在合适的状态中工作;2、服务水平管理

信息化部门是为企业各业务单位提供服务的部门，为了能更加好地提供

服务，以支持企业业务目标的实现，有必要对其服务的情况进行监督控制。

;3、问题处理程序

企业中的信息系统一旦出现异常，将会给企业的业务运作带来影响，

甚至损失，因此在对异常情况的检查、统计、控制、处理及报告时，因为

软硬件及其相互关系相当复杂，应设计一套机制以检查及统计任何异常现

象。为此：

1、应建立错误日志；（涉及：程序错误、系统错误、操作错误、通信

错误、硬件错误）

2、合适的问题上报程序；

3、问题处理程序方案。

;4、支持/服务台

为了确保企业信息系统的正常运行，作为信息技术人员必须及时提供

技术保障支持并协助处理系统问题。另外，信息技术支持人员还有责任做

好系统相关的技术方面的服务和管理。

技术支持功效主要涉及：

;服务台功效主要涉及：

1、立案并统计顾客提出的涉及硬、软件的各项问题；

2、依据优先次序将问题向上报告；

3、追踪尚未处理的软、硬件问题；

4、将已处理的问题归档并告知相应的责任人。;第二节信息系统变更管理

变更的原因：IT环境或业务环境发生变化；信息的敏感性与或主要

性分类标准发生变化；来自审计的要求；因为缺乏控制而发生的入侵和

病毒事件等。

为了对系统变更进行有效控制，避免其带来的负面影响，应当建立一

个标准流程来实施和统计变更，确保变更过程等得到合适的授权与管理层

的同意，并对变更进行测试。

对系统变更的管理控制办法主要涉及：

;4、变更程序需要遵循与全方面系统开发项目同样的过程，确保新功效满

足需求且不影响其它模块的功效；

5、顾客对系统测试成果和文档的充分性表示满意后，需要得到顾客管

理层的同意；

6、所有变更祈求和相关信息作为系统的永久文档由顾客维护人员保存；

7、当变更程序的程序员也是系统的操作者时，必须遵循变更管理环节，

且管理层还要安装自动变更控制软件，预防未经授权的程序变更；

8、在紧急变更的情况下，要能够使系统问题得到及时处理或紧急修补，

以确保系统的完整性；

9、为确保有效利用维护系统，所有相关