《配置管理审计》实施配置审计以维护配置基线的完整性。
配置审计确认最终的基线和文件有遵照特定标准或需求,并适当记录审计结果。
典型的工作产品
1. 配置审计结果
2. 纠正措施
子实践
1. 评定基线的完整性。
2. 确认配置管理记录已正确识别配置。
3. 审查配置管理系统中,配置的结构和一致性。
4. 确定配置管理系统中,配置的完整性和正确性。
依据计划中所述的需求和已核准的变更申请的处理为基础,来判断内容的完整性和正确性。
5. 确定符合适用的配置管理标准和程序。
6. 跟踪审计的行动直到结项。
-----------
最简单也是最有效的做法是
在打基线时,进行审计,预先设计好基线审计表或检查表
检查内容至少包括
1,配置库的目录结构是不是符合要求
2,基线对应的必须文件是不是到位
3,达成基线的前提要素(比如里程碑评审,变更申请,问题,bug)是否OK
还值得考虑的是定期审计(时间跨度要大些),重点是
1,抽查文件上的标签与基线是否对应
2,更改请求是否及时处理
3,以前审计问题是否及时处理
从信息安全角度出发,也有审计要求,关心重点是
1,权限的设置是否与记录一致,尤其关注调动的员工
2,备份是否有效
3,恢复计划是否可行
----------------------------
一般在配置管理审计时,不必再看具体文件的内容,而是看达成配置项的过程产物。
以评审后的配置管理审计来说,检查点有:
1,评审结论是否有效,关键人员是否认可
2,评审时的问题是否已经解决
如果没有评审,比如代码提交测试前的配置管理审计,检查点有:
1,得到实现的需求是否对应跟踪,如果需求是有状态管理的,以Scrum来说,user story的剩余工作量是不是0。
2,有没有单元测试、集成测试或持续集成、每日构建的要求,如果有的话,结果行不行?
3,代码目录结构是否符合要求,如果有的话