Аудит управления изменениями

Аудит управления изменениями — это процесс, с помощью которого компании могут эффективно управлять изменениями в своих системах информационных технологий . Изменения в компьютерном программном обеспечении необходимо отслеживать, чтобы снизить риск потери данных, повреждения, вредоносного ПО, ошибок и нарушений безопасности.

Правильный аудит контроля изменений может снизить следующие риски:

• Функции безопасности сети отключаются.
• Вредоносный код распространяется среди пользователей.
• Конфиденциальные данные теряются или становятся небезопасными.
• Возникают ошибки финансового отчета .

Следующие функции обычно являются частью процедуры аудита управления изменениями:

Процедуры управления изменениями официально документируются и контролируются.

Изменения запрашиваются в рамках формального процесса.

Запросы записываются и сохраняются для справки.

Оценивается эффект запрошенного изменения.

Каждое изменение оценивается на основе его прогнозируемого воздействия на компьютерную систему и бизнес-операции. Оценка документируется вместе с запросом.

Приоритет основан на срочности, потенциальных выгодах и легкости внесения изменений.

На изменения налагается контроль.

Изменения ограничиваются автоматическим или ручным контролем. В частности, периодически осуществляется поиск несанкционированных изменений.

Происходит процесс экстренных изменений.

Политика четко определяет чрезвычайные изменения. Как правило, это ошибки, которые существенно ухудшают функционирование системы и бизнес-операции, повышают уязвимость системы или и то, и другое. Экстренные изменения отменяют некоторые, но не все, элементы управления. Например, предлагаемое изменение может быть задокументировано, но не разрешено без разрешения.

Документация по изменениям периодически обновляется.

Задачи по техническому обслуживанию и изменения записываются.

Элементы управления применяются к новым выпускам программного обеспечения .

В целях безопасности новые версии программного обеспечения часто требуют таких средств управления, как резервное копирование, контроль версий и безопасная реализация.

Распространение программного обеспечения оценивается на предмет соответствия.

Распространение программного обеспечения оценивается на соответствие лицензионным соглашениям. Несоблюдение может иметь катастрофические финансовые и юридические последствия.

Изменения отправлены на утверждение.

Предлагаемые изменения передаются на утверждение после того, как аудиторы проверят необходимые ресурсы, другие изменения, эффект, срочность и стабильность системы.

Обязанности разделены

Ответственность за создание, утверждение и применение возлагается на разных сотрудников во избежание нежелательных изменений.

Изменения рассматриваются.

Изменения отслеживаются для оценки эффективности политики управления изменениями .

• Управление изменениями
• Информационный технологический аудит
• Аудит информационных технологий - операции

• Международная организация по стандартизации (ISO)
• Ассоциация аудита и контроля информационных систем (ISACA)