信息系統(tǒng)運維與服務(wù)管理審計

信息系統(tǒng)運維與服務(wù)管理審計

一、業(yè)務(wù)概述

信息系統(tǒng)運維與服務(wù)管理是指組織的信息部門采用

相關(guān)的方法、手段、技術(shù)、制度、流程和文檔等，對信

息系統(tǒng)的運行環(huán)境（軟件環(huán)境、網(wǎng)絡(luò)環(huán)境等）、信息系統(tǒng)

的運維進(jìn)行的綜合管理Q組織應(yīng)從信息系統(tǒng)運維和服務(wù)

的日常管理、信息系統(tǒng)及其物理環(huán)境的監(jiān)控和故障管

理、日志管理、日常事件和問題管理、信息系統(tǒng)的容量

管理和變更管理等方面開展工作。

（一）審計目標(biāo)和內(nèi)容

審計目標(biāo)：通過對人員管理、職責(zé)分離、值班巡檢

與操作規(guī)范等方面的檢查，評價組織信息系統(tǒng)的運維

與服務(wù)的合理性、安全性和規(guī)范性。

審計內(nèi)容；審計運維與服務(wù)機構(gòu)人員的配置和職責(zé)

分離情況，信息運維制度和規(guī)范的建立健全情況，系統(tǒng)

運行報告、監(jiān)控和記錄的完善情況，出現(xiàn)問題時的應(yīng)對

措施。

（二）常見問題和風(fēng)險

L未對重要業(yè)務(wù)崗位或系統(tǒng)的運維管理崗位實施職

責(zé)分離。

2.未制定詳盡的日常信息系統(tǒng)運行操作規(guī)范說明，

操作任務(wù)和步驟不明確、不清晰。

3.未定期生成信息系統(tǒng)運行報告并對其進(jìn)行分析，

特別是重要信息系統(tǒng)，或管理層未審閱有關(guān)報告。

4.運維過程中出現(xiàn)問題，無有效應(yīng)急處理預(yù)案，導(dǎo)

致系統(tǒng)運行效率低的風(fēng)險。

（三）審計的主要方法和程序

1.人員及職責(zé)審計

（1）訪談信息系統(tǒng)部門負(fù)責(zé)人及信息系統(tǒng)風(fēng)險審

計負(fù)責(zé)人，調(diào)取組織崗位職責(zé)及人員名單，驗證相關(guān)

不相容崗位是否實現(xiàn)了分離，是否存在崗位分離但人

員兼崗的現(xiàn)象。

（2）抽取部分應(yīng)用系統(tǒng)，并從中取得操作系統(tǒng)用

戶清單、數(shù)據(jù)庫用戶清單、應(yīng)用系統(tǒng)用戶清單以及開

發(fā)測試系統(tǒng)的相應(yīng)清單，驗證是否存在事實上的兼崗

現(xiàn)象，是否存在開發(fā)人員在生產(chǎn)系統(tǒng)中存在賬戶的現(xiàn)

象。

2.值班巡檢

（1）訪談信息系統(tǒng)部門負(fù)責(zé)人，了解組織是否根

據(jù)信息系統(tǒng)規(guī)模和水平建立信息系統(tǒng)運行值班和巡檢

制度。

（2）查閱組織的信息系統(tǒng)巡檢記錄，驗證巡檢內(nèi)

容、巡檢頻率是否與巡檢制度相符，發(fā)現(xiàn)問題是否完

整記錄并上報。

3.操作規(guī)范

訪談信息系統(tǒng)部門負(fù)責(zé)人，詢問是否針對重要信息

系統(tǒng)制定操作規(guī)范，并實地查看對比值班人員職責(zé)，

驗證其履職情況。

4.運行報告

（1）訪談信息系統(tǒng)部門負(fù)責(zé)人，是否鏟對日常運

維與服務(wù)和重要信息系統(tǒng)，定期生成運行報告并提交

管理層審閱。

（2）審計針對運行報告中的問題，有無有效的應(yīng)

急處理預(yù)案，是否存在未及時解決運行問題的情況。

二、日志管理審計

（一）業(yè)務(wù)概述

日志管理是指組織為滿足法律和行業(yè)監(jiān)管的合規(guī)要

求，對日常的交易記錄采取必要的程序和技術(shù)加以保

存，確保存檔數(shù)據(jù)信息的完整性，滿足安全保存和可

恢復(fù)的要求。

（二）審計目標(biāo)和內(nèi)容

審計目標(biāo)：通過對日志管理的審計，合理地保證組

織負(fù)責(zé)運營的信息系統(tǒng)所涉及的用戶活動以及信息安

全事件日志被記錄，并按照規(guī)定的期限進(jìn)行保留，以

支持將來的調(diào)查和訪問控制檢查，確保對存在的問題

及時采取措施糾正和防范。

審計內(nèi)容：日志管理制度與策略體系的建立健全規(guī)

范情況，用于日志信息及其存儲介質(zhì)安全防護的相關(guān)

程序、技術(shù)和措施°

（三）常見問題和風(fēng)險

1.未建立健全規(guī)范的日志管理制度與策略體系，或

采取必要的技術(shù)工具，對組織所負(fù)責(zé)的信息系統(tǒng)日志

進(jìn)行留存并符合監(jiān)管要求。

2.未對存儲的日志信息及其存儲介質(zhì)采取妥善的物

理和邏輯安全防護措施。

3.未定期對日志信息進(jìn)行分析，可能導(dǎo)致未對存在

的管理與技術(shù)漏洞采取糾正和防范措施。

（四）審計的主要方法和程序

1.日志管理制度與策略

（1）查閱組織日志管理規(guī)范與策略，檢查日志存

儲內(nèi)容、留存時間、訪問控制策略等內(nèi)容是否完整。

（2）對日志信息進(jìn)行抽樣檢查，檢查內(nèi)容是否與

規(guī)范要求相符以及日志留存時間是否符合規(guī)范要求。

其中，存儲的內(nèi)容應(yīng)至少包括：用戶ID、登錄和退出

的日期、時間和關(guān)鍵事件等細(xì)節(jié)，終端用戶的身份和

位置、成功和被拒絕的對系統(tǒng)和數(shù)據(jù)及其他資源的訪

問記錄、系統(tǒng)配置的變化、特權(quán)的使用、系統(tǒng)工具和

應(yīng)用的使用、訪問的文件和訪問類型、網(wǎng)絡(luò)地址和協(xié)

議、訪問控制系統(tǒng)引發(fā)的報警、防護系統(tǒng)的激活和停

用。

2.日志信息的保護審計

（1）訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否存在對信息

系統(tǒng)的日常運維操作及用戶登錄操作日志信息的管

理，是否有防止非法訪問和篡改的保護措施。

（2）查驗日志存儲信息是否存在日志信息被編輯

或刪除、日志保存介質(zhì)耗盡、或者不能記錄事件以及

自身覆蓋重寫的情況。

（3）檢查保存日志存儲介質(zhì)周圍的物理環(huán)境是否

存在安全隱患，并采取必要的物理防護措施，如防

火、防磁等。

3.日志檢查審計

（1）訪談系統(tǒng)運維負(fù)責(zé)人，詢問是否定期對系統(tǒng)

管理員和系統(tǒng)操作者的活動日志進(jìn)行了評審。

（2）抽樣調(diào)閱系統(tǒng)日志信息，查驗日志內(nèi)容是否

包括但不限于以下信息：事件發(fā)生的時間、關(guān)于事件

（例如處理的文件）或故障（發(fā)生的差錯和采取的糾

正措施）的信息、涉及的賬號和管理員或操作員、涉

及的過程，并調(diào)閱日志檢查記錄，核實相關(guān)日志是否

被定期評審。

（3）調(diào)閱系統(tǒng)錯誤日志，是否完整地記錄處理信

息、應(yīng)用系統(tǒng)以及通信系統(tǒng)的問題，并明確記錄故障

處理的相關(guān)措施。主要包括:評審故障日志，了解是否

已解決故障；評審糾正措施，評估方法的合理性。

三、系統(tǒng)監(jiān)控與故障管理審計

（一）業(yè)務(wù)概述

系統(tǒng)監(jiān)控，是指組織為確保信息系統(tǒng)的運行安全，

針對其所處的基礎(chǔ)物理環(huán)境、系統(tǒng)性能（如網(wǎng)絡(luò)、主

機等）及其運行狀況，明確并建立測評體系和監(jiān)控機

制，通過人工與自動化監(jiān)控系統(tǒng)相結(jié)合的方式加強安

全檢查，從而及時發(fā)現(xiàn)問題并采取適當(dāng)?shù)拇胧┻M(jìn)行處

置。

（二）審計目標(biāo)和內(nèi)容

審計目標(biāo)：通過對信息系統(tǒng)基礎(chǔ)物理環(huán)境、系統(tǒng)性

能、系統(tǒng)運行等三方面監(jiān)控的檢查，確保組織建立了

系統(tǒng)監(jiān)控的相關(guān)管理制度規(guī)范與測評體系，并部署了

相應(yīng)的自動化監(jiān)控系統(tǒng)與

工具；確保組織針對信息系統(tǒng)基礎(chǔ)環(huán)境（如溫濕

度、消防、防水、空調(diào)、電力）建立了監(jiān)控機制。

審計內(nèi)容：測評體系和監(jiān)控機制的建立情況，通過

人工與自動化監(jiān)控系統(tǒng)相結(jié)合的方式加強安全檢查的

應(yīng)用情況，發(fā)現(xiàn)問題并及時采取適當(dāng)?shù)拇胧┻M(jìn)行處置

的情況。

（三）常見問題和風(fēng)險

1.未建立完善的系統(tǒng)監(jiān)控與測評體系，測評指標(biāo)無

法完整地反映組織對信息系統(tǒng)基礎(chǔ)物理環(huán)境、系統(tǒng)性

能、系統(tǒng)運行的監(jiān)控要求。

2,未有效部署監(jiān)控系統(tǒng)，或監(jiān)控系統(tǒng)沒有按照既定

的監(jiān)控指標(biāo)對基礎(chǔ)物理環(huán)境、系統(tǒng)性能、系統(tǒng)運行實

施監(jiān)控，監(jiān)測內(nèi)容不完整。

3.監(jiān)控過程中出現(xiàn)的問題不能及時預(yù)警或無法得到

及時處置。

（四）審計的主要方法和程序

1.系統(tǒng)監(jiān)控與測評的制度規(guī)范體系建立

(1)訪談組織信息技術(shù)負(fù)責(zé)人，了解是否就信息

系統(tǒng)自身及其所處的基礎(chǔ)物理環(huán)境建立監(jiān)控相關(guān)制度

規(guī)范、運行和維護測評體系，以及是否有專門部門和

人員負(fù)責(zé)系統(tǒng)測評考核工作。

(2)查閱相關(guān)文檔，檢查監(jiān)控相關(guān)制度規(guī)范是否

覆蓋基礎(chǔ)物理環(huán)境、系統(tǒng)性能和系統(tǒng)運行等三方面；

查驗是否建立了針對系統(tǒng)運行的測評體系，測評指標(biāo)

和內(nèi)容是否覆蓋基本要求。

(3)通過訪談及文檔查閱，驗證針對測評指標(biāo)不

達(dá)標(biāo)的方面是否進(jìn)行了及時處置。

2.基礎(chǔ)物理環(huán)境監(jiān)控

(1)查閱組織基礎(chǔ)物理環(huán)境監(jiān)控相關(guān)制度，檢查

制度內(nèi)容是否明確規(guī)定了基礎(chǔ)環(huán)境監(jiān)測相關(guān)內(nèi)容。

(2)查閱組織日常巡檢登記簿，驗證是否按照相

關(guān)制度嚴(yán)格進(jìn)行監(jiān)控、登記簿登記是否完整。

(3)查閱組織的故障記錄，并對比日常巡查登記

簿，驗證是否能夠及時發(fā)現(xiàn)基礎(chǔ)環(huán)境中出現(xiàn)的問題。

3.系統(tǒng)性能監(jiān)控

(1)查閱組織系統(tǒng)性能監(jiān)控相關(guān)制度，檢查制度

內(nèi)容是否明確規(guī)定了系統(tǒng)性能監(jiān)測相關(guān)內(nèi)容。

(2)調(diào)閱組織日常巡檢登記簿，驗證是否按照相

關(guān)制度進(jìn)行監(jiān)控、登記簿登記是否完整。

(3)實地查看監(jiān)控系統(tǒng)，驗證其監(jiān)測內(nèi)容是否完

善，監(jiān)控指標(biāo)能否完整反映線路質(zhì)量、通信設(shè)備的處

理能力和網(wǎng)絡(luò)服務(wù)質(zhì)量的參數(shù)，如誤碼率、主機的

CPU、內(nèi)存、端口的使用率、吞吐量、傳輸和時延、響

應(yīng)時間等指標(biāo)。

(4)查驗監(jiān)控系統(tǒng)是否能夠及時監(jiān)測性能異常并

產(chǎn)生、發(fā)送警告，且與當(dāng)前系統(tǒng)的實際情況進(jìn)行驗

證。

(5)參照事件管理處置流程，驗證組織在監(jiān)測到

系統(tǒng)性能異常后能否及時處置。

(6)通過查詢紐織系統(tǒng)故障記錄驗證監(jiān)控的有效

性。

4,系統(tǒng)運行監(jiān)控

(1)查閱組織應(yīng)用系統(tǒng)監(jiān)控相關(guān)制度，檢查制度

內(nèi)容是否明確規(guī)定了應(yīng)用系統(tǒng)監(jiān)測相關(guān)內(nèi)容。

(2)調(diào)閱組織日常巡檢登記簿，驗證組織是否按

照相關(guān)制度嚴(yán)格進(jìn)行監(jiān)控、登記簿登記是否完整。

(3)實地查看監(jiān)控系統(tǒng)，驗證其監(jiān)測內(nèi)容是否完

善，監(jiān)控指標(biāo)能否完整反映系統(tǒng)運行狀態(tài)、并發(fā)用戶

數(shù)量、異常交易等。

(4)實地查看驗證數(shù)據(jù)中心網(wǎng)管工作站、系統(tǒng)性

能監(jiān)視屏、系統(tǒng)資源監(jiān)視屏、會話連接監(jiān)視屏、應(yīng)用

錯誤監(jiān)視屏是否有專人負(fù)責(zé)監(jiān)控。

(5)通過查詢紐稅系統(tǒng)故障記錄驗證監(jiān)控的有效

性，檢查在監(jiān)測到應(yīng)用中斷等異常時是否可以及時產(chǎn)

生告警。

(6)參照事件管理處置流程，驗證組織在監(jiān)測到

應(yīng)用異常后能否及時處置。

四、變更管理審計

（一）業(yè)務(wù)概述

變更管理，是指組織通過對信息系統(tǒng)服務(wù)組件的變

更實施管理和評審，從而確保變更的有效性，滿足業(yè)

務(wù)需求，以及降低變更對服務(wù)質(zhì)量的影響。

（二）審計目標(biāo)和內(nèi)容

審計目標(biāo)；通過對變更管理制度、變更流程、配置

文檔的審計，及時識別、控制風(fēng)險，確保達(dá)到信息系

統(tǒng)安全策略要求的安全水平。

審計內(nèi)容：變更管理制度的規(guī)范完整、重要變更評

估方法和結(jié)果、重要變更的應(yīng)急方案和措施Q

（三）常見問題和風(fēng)險

1.未建立健全變更管理制度規(guī)范，未對變更進(jìn)行明

確分類并據(jù)此制定嚴(yán)格的變更流程。

2.未針對生產(chǎn)系統(tǒng)的重要變更進(jìn)行影響評估。

3.變更前未制定應(yīng)急回退計劃。

4.由于系統(tǒng)更新升級不及時影響目標(biāo)實現(xiàn)。

（四）審計的主要方法和程序

L變更管理制度與流程

（1）訪談組織信息技術(shù)負(fù)責(zé)人，了解是否就信息

系統(tǒng)的變更制定相應(yīng)的制度規(guī)范和變更流程。

（2）查閱變更管理制度，檢查其內(nèi)容是否對變更

進(jìn)行明確分類（一般變更、重大變更和緊急變更），

并據(jù)此規(guī)范變更的管理流程、角色和職責(zé)。

（3）抽樣調(diào)閱變更文檔，查看是否包括以下部

分：變更的標(biāo)識和記錄；變更的策劃和測試；變更影

響的評估，包括安全影響；對變更的授權(quán)批準(zhǔn)程序；

向變更設(shè)計人員傳遞變更細(xì)節(jié)；反饋程序，包括從不

成功變更、未預(yù)料事件中退出及恢復(fù)的程序和職責(zé)；

驗證是否包括變更后的測試及評估報告。

2.變更評估與審批審計

（1）抽取組織部分變更記錄，查驗變更記錄中是

否有影響評估的內(nèi)容，以及評估內(nèi)容至少包括技術(shù)可

行性、業(yè)務(wù)影響、風(fēng)險等級等方面;查看評估報告是否

經(jīng)過管理層審閱。

（2）查驗變更記錄中的變更授權(quán)過程記錄是否清

楚，是否符合該機構(gòu)變更管理規(guī)定中有關(guān)授權(quán)級別的

規(guī)定;跟蹤變更流程，驗證是否能嚴(yán)格按照授權(quán)進(jìn)行變

更，是否存在超授權(quán)、無授權(quán)變更的情況。

（3）查閱變更記錄，驗證變更前是否制定了應(yīng)急

回退計劃，因特殊情況無法回退的，是否說明了原

因。

3.變更執(zhí)行審計

（1）查閱變更記錄，驗證相關(guān)變更是否定期安排

進(jìn)行。驗證除緊急變更外，常規(guī)變更時間安排是否合

理。

(2)查閱變更記錄，驗證組織是否盡量采用常規(guī)

變更、減少緊急變更。

(3)查閱變更記錄，驗證變更手續(xù)是否完備，特

殊情況無法書面申請的，是否在變更后及時補辦了相

關(guān)手續(xù)。

(4)緊急變更審計，查閱變更記錄，驗證緊急變

更后是否經(jīng)過相關(guān)負(fù)責(zé)人的補簽并對緊急變更進(jìn)行合

理性評估。

五、事件與問題管理審計

(一)業(yè)務(wù)概述

事件管理是指組織為防范任何可察覺和可識別的、

對信息系統(tǒng)基礎(chǔ)設(shè)施管理或者信息系統(tǒng)服務(wù)造成影響

的現(xiàn)象而采取的管理機制，對信息系統(tǒng)運行事故及時

響應(yīng)，逐級上報，記錄、分析和跟蹤事故進(jìn)展，直到

對事故進(jìn)行徹底的改正并完成根本原因分析。

問題管理是指組織為從根本上消除問題，定期組織

人員對事件進(jìn)行評估、分析，對有共源性的事件進(jìn)行

升級，通過建立問題管理臺賬機制，全面地追蹤、分

析和解決信息系統(tǒng)問題，分析問題發(fā)生的根源。

(二)審計目標(biāo)和內(nèi)容

審計目標(biāo)：通過對組織的事件與問題管理兩方面的

檢查，督促組織建立正常的信息安全事件報告、應(yīng)答

和分類機制,通過建立事件、問題管理臺賬機制，全

面地追蹤、分析和解決信息系統(tǒng)問題。

審計內(nèi)容：檢查信息安全事件、問題的管理機制，

信息安全事件、問題的響應(yīng)、評估、上報、處置情

況。

（三）常見問題和風(fēng)險

1.事件未進(jìn)行分類分級，導(dǎo)致事件處理不分大小、

輕重的風(fēng)險。

2.事件的響應(yīng)、處置、上報流程不明確的風(fēng)險。

3.未對事件進(jìn)行有效的分類、評估、分析從而上升

至問題管理流程，并采取措施從根本上消除問題。

（四）審計的主要方法和程序

1.事件管理

（1）查閱組織募件管理相關(guān)制度，了辭事件的分

類標(biāo)準(zhǔn)、事件記錄的內(nèi)容項、報告流程和反饋機制。

（2）查看歷史事件處置記錄，驗證；是否如實、

完整地記錄所有重要細(xì)節(jié)（如沖突類型、發(fā)生的故

障、屏幕上的信息、異常行為等）；及時依照既定事

件處理流程向相關(guān)聯(lián)系人報告；是否采取了合適的反

饋機制，以確保在信息安全事件處理完成后，能夠?qū)?/p>

處理結(jié)果通知事件報告方及相關(guān)方。

（3）查看歷史事件處置記錄，驗證相關(guān)規(guī)定和流

程是否包括：事件原因的分析和確認(rèn)；遏制事件再次

發(fā)生的策略；向監(jiān)管部門報告發(fā)生的行為。

（4）調(diào)閱組織歷史事件處置記錄，驗證是否收

集、保護審計蹤跡和類似的證據(jù)。

2.問題管理審計

(1)調(diào)閱組織相關(guān)文檔，驗證是否制定了完善的

問題管理制度和事件管理升級為問題管理的標(biāo)準(zhǔn)。

(2)調(diào)閱組織事件管理登記表及詳細(xì)記錄，驗證

是否能夠按照相關(guān)規(guī)定及時將事件管理升級為問題管

理流程。

(3)調(diào)閱組織問題管理記錄，驗證是否建立問題

管理臺賬，臺賬是否記錄了問題處理的全過程，包

括；對信息事件進(jìn)行分析、評估；抽驗組織是否及時

將事件升級為問題管理查證事件管理記錄，驗證升級

為問題管理流程并經(jīng)過處置的信息事件是否再次發(fā)

生，從而證明問題解決的有效性。

六、容量管理審計

(一)業(yè)務(wù)概述

容量管理，是指組織通過對容量的監(jiān)控、需求的識

別、預(yù)先的規(guī)劃和準(zhǔn)備，確保及時提供足夠的容量，

保證資源可用性，最終確保業(yè)務(wù)系統(tǒng)的可用性和效

率。

(二)審計目標(biāo)和內(nèi)容

審計目標(biāo)：通過對系統(tǒng)容量管理的檢查，判斷組織

是否通過對應(yīng)用系統(tǒng)的分析，監(jiān)控并掌握系統(tǒng)容量需

求，預(yù)測未來所需資源，以此制定容量規(guī)劃，并在盡

量減少對業(yè)務(wù)影響的前提下，通過規(guī)范的容量變更流

程合理擴充系統(tǒng)容量。

審計內(nèi)容：系統(tǒng)容量的監(jiān)控、分析、調(diào)整、應(yīng)急處

置情況。