Revision av förändringsledning

Revision av förändringsledning är den process genom vilken företag effektivt kan hantera förändringar inom sina IT- system. Ändringar av programvara måste övervakas för att minska risken för dataförlust, korruption, skadlig programvara, fel och säkerhetsintrång.

Förändringsrisker

Korrekt revision av förändringskontroll kan minska följande risker:

• Säkerhetsfunktionerna i nätverket stängs av.
• Skadlig kod distribueras till användare.
• Känslig data går förlorad eller blir osäker.
• Finansiella rapportersfel uppstår.

Kontrollförfarande

Följande funktioner är vanligtvis en del av en revisionsprocess för förändringshantering:

Förändringshanteringsrutiner är formellt dokumenterade och kontrollerade.

Ändringar begärs i en formell process.

Förfrågningar registreras och lagras för referens.

Effekten av den begärda ändringen bedöms.

Varje förändring bedöms utifrån dess förväntade effekt på datasystemet och affärsverksamheten. Bedömningen dokumenteras med begäran.

Prioritet baseras på brådska, potentiella fördelar och hur lätt förändringar kan korrigeras.

Kontroller åläggs förändringar.

Ändringar begränsas av automatiserade eller manuella kontroller. I synnerhet söker man med jämna mellanrum efter otillåtna ändringar.

En akut förändringsprocess är på plats.

Policyer definierar tydligt nödsituationer. Generellt handlar det om fel som avsevärt försämrar systemets funktion och affärsdrift, ökar systemets sårbarhet, eller både och. Nödändringar åsidosätter vissa, men inte alla, kontroller. Till exempel kan en föreslagen ändring dokumenteras, men inte tillåtas utan tillstånd.

Ändringsdokumentationen uppdateras med jämna mellanrum.

Underhållsuppgifter och ändringar registreras.

Kontroller tillämpas på nya programvaruversioner .

Av säkerhetsskäl kräver nya programvaruversioner ofta kontroller som säkerhetskopiering, versionskontroll och en säker implementering.

Programvarudistribution bedöms med avseende på överensstämmelse.

Programvarudistribution bedöms med avseende på överensstämmelse med licensavtal. Underlåtenhet att följa kan få katastrofala ekonomiska och juridiska resultat.

Ändringar lämnas in för godkännande.

Föreslagna ändringar lämnas in för godkännande efter att revisorerna har granskat erforderliga resurser, andra förändringar, effekten, brådskan och systemets stabilitet.

Arbetsuppgifterna är åtskilda

Ansvaret för skapande, godkännande och tillämpning tilldelas olika personal för att undvika oönskade förändringar.

Ändringar ses över.

Förändringar övervakas för att bedöma effektiviteten av policyer för förändringshantering .

Se även

• Förändringsledning
• Revision av informationsteknik
• Informationsteknikrevision - verksamhet

externa länkar

• International Organization for Standardization (ISO)
• Information Systems Audit and Control Association (ISACA)