运维服务管理制度
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇运维服务管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
运维服务管理制度范文第1篇
传统被动的、孤立的、分散的“救火队”式IT运维管理模式,让IT部门疲惫不堪。而且,随着公司业务模式的复杂化和多样化,更带来IT运营环境的复杂性和不确定性。在IT运维系统时,IT部门普遍面临多种新的复杂的情况和问题。主要有以下几个方面:
(1)运维人员被动救火,工作效率低下
在IT运维管理过程中, IT员工工作太被动,只有当事件已经发生并已造成业务影响时才能发现和着手处理。这种被动“救火”不但使IT服务人员终日忙碌,也使IT服务本身质量很难提高,导致IT和业务部门的满意度都不高等。
其中比较典型的例如IT部门响应服务需求时没有相应的时间记录工具,或者因为各种原因导致工作人员不愿使用工具记录工作情况,这样不仅不利于处理过程的跟踪,更不利于知识的积累和知识库的完善。
(2)流程规范不足,没有形成闭环跟踪
在运维流程方面,很多企业IT部门还一直处于原始的基础状态。例如在事件处理流程上,存在以下几种典型的问题:①没有明确的事件升级标准,例如满足怎样的条件后,事件必须从一线转到二线支持工程师,再转到三线研发工程师处理。②没有事件的有限级定义标准,没有建立优先级和解决时限的关联关系,从而不能保证事件解决的实效性和 IT 资源的有效利用。③事件产生后没有明确而唯一的责任人,从而缺乏对事件有效的监控和跟踪机制。④没有对事件统一的 IT 服务管理受理的界面,没有事件完整记录、没有及时反馈。
这些都使事件/服务请求处理过程中没有形成严格的闭环管理;没有建立明确的重大或紧急事件处理流程,从而不能保证在相应事件发生后有效及时地处理。对事件处理过程的记录比较分散,随意性很大,没有控制。更没有严格规范的流程政策和控制手段,使之存在太多的漏洞。整体运行维护情况不能够一目了然,无法清楚地知道各位员工的工作情况和工作状态,从而缺少对流程有效的监控和跟踪。
(3)缺乏运维技术工具
企业缺乏诸如事件监控和诊断工具等技术工具,事件不能在技术工具的支持下得到主动、快速处理。事件和工作任务在分派过程中没有相应的技术工具记录所有历史信息,不便于跟踪和分析;配置管理信息没有相关工具支持,不能为配置元素建立复杂的关系、状态等属性和提供相应查询功能。
总的来说,目前诸多企业在IT系统运维方面并没有高度重视,前期规划仅为解决短期IT建设问题。但随着企业规模的不断扩大,IT系统涉及的设备种类越来越多,对全系统的运营和维护管理提出了近乎苛刻的要求,而相对的则是IT运维的原始和落后的现状。
建立IT运维管理制度,关键在于规范
我们可以看出,在企业信息化发展到一定阶段,IT系统建设重点应该要从系统实施转向以应用运维提升为主,运维质量保障、安全机制变得重要起来,这时除了技术的保障以外,制度保障越显得重要。
作为CIO,建立完善的IT运维管理制度是最主要的工作内容,是企业信息化有效执行和监督的立足点。由此,CIO应首先是一位管理专家,其次才是技术专家。IT部门本身管理不好,就不可能为业务部门提供满意的IT服务,业务部门对IT部门的满意度就会低,满意度低又会影响IT投资及新项目的开展,使IT部门陷入困境。所以建立高效规范的IT运维管理机制,是CIO走向战略管理的第一步。对于IT部门来说,可从以下几个方面来进行IT运维制度化。
(1)转变运维观念,树立规范化意识。树立制度化的IT运维意识,才能在日常繁杂琐碎的工作中有效区分任务的优先级,将有限的资源投入到最能满足“客户”需要的工作中。
(2)建立事件处理流程,强化规范执行力度。首先需要建立故障和事件处理流程,利用表格工具等记录故障及其处理情况,以建立运维日志,并定期回顾从中辨识和发现问题的线索和根源。建立每种事件的规范化处理指南,减少运维操作的随意性,最大程度上降低故障发生的概率。
(3)设立ITIL(信息技术基础设施库)服务台,引入优先处理原则。设立服务台以确定服务要求和IT运维目标,ITIL指南要求企业定义服务台的关键流程,不仅仅定义流程是什么,还包括它们是如何运作的,还要指出每个流程对企业有什么影响和意义。应用ITIL中的IT服务台及服务级别协议思想,保证例行的事有相关责任人进行处理;有了服务级别协议,制定事件处理优先级次序,就可把事件再细分为例行事件和例外事件。
(4)最后要引入SLA管理。SLA(Service Level Agreement即服务水平协议),IT部门应该自发给自己负责管理的系统或者客户服务建立一个能够量化的运维目标,这样不仅能够务实地提高服务质量和管理水平,也能够在目标达成后作为团队工作改进的成绩得到肯定,提高IT人员的工作成就感。
参照ITIL建立成功运维管理体系的三要素
从IT运维的现状和发展趋势来看,ITIL已经成为推进IT运维体系建设和日常操作管理的首要标准和“最佳实践”参照。ITIL是起源于英国政府自身IT管理需求开发的标准。对照ITIL的九层评估模型,可以发现许多企业目前在人员、流程、技术等三个方面存在很多问题。也就是说,在进行IT运维管理时,要在这三个方面齐头并进才能从总体上提升IT运维服务管理。
(1)人员组织:在IT运维中人员因素应该是首要考虑的因素。因为ITIL的应用实际上是一个管理活动,特别依靠人的积极参与来完成。在管理过程中,可能涉及到人员的职能、利益、思维模式、工作方式等的转换,产生的误解、消极和阻力不容忽视。因此,除了在制度安排、企业文化方面的工作以外,更要积极采取多方面措施诱导和疏通,包括服务意识培训、ITIL运维技能培养、发展规划和激励等方式。
(2)管理流程:运维流程设计是ITIL实施核心之一,它必须结合现状,既不是现有管理流程的直接转述和电子化,也不是完全依照最佳实践的照搬拷贝。①流程是分阶段的目标定义、设计、固化、评价和改进过程。②ITIL作为IT部门内部管理的流程,存在和外部流程的接口整合衔接的问题,需要在运维流程设计和流程自动化处理等环节中妥善解决。另外,还应该充分了解:运维流程既有需要严格执行的僵化一面,也有面向效果灵活变通的一面。
(3)技术工具:管理工具是指在IT运维管理过程中能够借助的用来提高服务质量和效率的所有工具的总称。对于企业来说,要特别关注两类工具:①IT运维监控和诊断优化工具;②流程自动化工具。这里需要提醒的地方是,许多企业特别重视IT运维工具本身,而常常忽视了ITIL所倡导的通过流程等制度约束和引导,才能更好地发挥效益。因此,即使没有引入ITIL运维流程以及电子化平台,也应该建立并利用一些必要的运维纸质流程和制度,否则难以得到很好的应用。
结论
总之,CIO想在IT系统运维过程获得最佳的效果,不是单纯通过项目建设能够达到的,高效IT运维系统是需要一个持续改进、不断优化的长期过程,IT运维管理制度化也必不可少。(作者单位系中国海洋石油总公司)
参考文献:
【1】左天祖. 中国IT服务管理指南. 北京:北京大学出版社,2004.
运维服务管理制度范文第2篇
2008年,巨人网络与IRM全球信息科技服务部正式开展战略合作,依托ITIL对其服务管理进行“标准化改造”。ITIL是一套IT服务管理的最佳实践指南及标准,它从流程入手,将服务质量、效率等透明化,在可操作性的前提下保证IT服务管理成功实施,同时为IT服务质量衡量提供可审核的标准。
作为IT服务管理的全球领导者,IBM利用自身在ITIL方面的专业能力与深入经验,为巨人网络量身定制了端到端的fT服务管理解决方案,建立起了事件管理、问题管理、变更管理及资产与配置管理等几大流程,同时明确了服务级别、可用性、连续性、IT财物、能力管理以及业务关系和供应商管理等审核标准,还帮助巨人网络建立起了一支熟悉项目运作的运维工程师团队。
巨人网络CTO宋仕良表示“这一项目的成功经验将在更广的范围内推广,建立起一套更完善的文档管理制度和相应的文档模板,包括服务管理政策和计划、服务级别协议(SLAI、流程描述、相关记录等,以更加有效地对IT服务进行规划、实施、运行和控制。与IRM的进一步合作,将从成本、质量和风险等多个方面给公司带来更多显著的收益。”
宋仕良认为,网络游戏要为玩家提供更好的游戏体验,要从技术层面和策划层面两方面入手。技术层面要解决游戏中的问题,比如卡机、掉线、BUG等等,这些问题的解决一定要尽可能地快,对于724小时的网游运维系统来说,一个小时的停顿都是致命的。ITIL实施之后,用户数据、连接状态、网络状况等都可以实时显示出来,一出问题,马上可以接到报警。策划层面要及时把握玩家的需求,巨人网络在这方面非常注重。实施ITIL之前,公司一般需要经过四五天或一周的时间,对玩家的意见进行策划层面的反应,现在已经可以做到当天了解玩家对游戏功能的反馈意见,并于次日对玩家意见进行跟进。
运维服务管理制度范文第3篇
关键词:校园网;运维;DTSM
中图分类号:TP1 文献标识码:A 文章编号:1671—7597(2012)0510159-02
0 引言
近年来,许多学校把信息化的水平作为学校竞争力的核心要素之一,加大了信息化基础设施、数字化校园和各类应用系统的建设投入。随着数字化校园网建设的深入推进,信息系统的规模不断扩大,校园网用户对网络的体验和和依赖性不断加深,对校园网服务品质要求不断提升。随之而来的,是对承担学校信息化建设和校园网运维工作的网络中心(或信息中心)等部门,提出了更高的工作要求。
1 校园网的运维现状
1.1 运维特点
1)响应要求高,因校园网用户群体普遍比较年轻和活跃,对网络的依赖性很强并且网络体验较深,对网络质量和服务品质有较高的要求;
2)链路层故障比较集中,因设备室基础环境较差、线路老化和标识不清等原因,50%以上的网络报障集中在链路层面;
3)网络安全和行为管理工作很重要,
因校园网用户群体普遍比较活跃、文化教育程度很高,很多人喜欢尝试各类技术探索,如此一来,规避潜在的计算机网络业务风险,保障校园网信息平台系统高效的、安全的运行则是一项重要的工作;
4)缺少统一的运维系统,受限于经费和意识等因素,学校没有部署统一的运维系统,部分学校也仅部署了网络监控系统,即便如此,监控的层面和颗粒度都远远不能适应服务要求。
1.2 运维需求
按照运维的技术广度和深度,校园网运维问题主要体现在四个核心需求层面上,即核心层网络层面、接入层网络层面、应用数据层面和用户服务层面。
1)核心层网络层面包括:核心网(城域网)网络维护服务、机房环境(含动力系统)维护服务、服务器设备维护服务、网络安全服务等;
2)接入层网络层面包括:链路维护服务、接入层网络维护服务;
3)应用数据层面包括:数据库系统、应用系统和门户等;
4)用户服务层面:就是在教学、科研和生活方面提供优质快捷的网络质量和网络服务。
1.3 运维模式
校园网运维模式不尽相同,以淮安地区为例,主要运维类型包括以下三种:
1)自行维护:采用设备自行维修,维护工作量最大的链路维护交由学生团队,团队由网络中心的老师管理。这种维护模式最大益处是可以节约些经费。但网络中心困扰于从事低技术含量、重复性的工作等问题。
2)第三方专项维护:把服务器设备的维修维护、或则把网络链路的新增维护、或则把动力系统分包给第三方。这种维护模式的益处是让学校的老师有更多的精力从事业务系统和关键系统的维护,花较少的经费把工作量大而繁琐,技术含量较低的工作交由第三方负责。但也存在流程脱节、服务不到位等问题。
3)第三方整体外包维护:学校把核心层网络层面、接入层网络层面和用户服务层面整体打包给专业的第三方机构,网络中心的老师主要关注于业务系统、应用数据层面和科研。这种模式的益处非常明显,服务方通过各类规范机制,能够预警或则第一时间处理各类问题,可给用户提供高质量的网络、高水平的网络服务,学校的各个群体对此都很满意。
2 基于点易科技运维体系的统一运维方案
点易科技运维体系遵循ITIL国际规范和ITSM规范,以IT资源配置管理为核心,紧密围绕校园网用户的各项需求,进行了全面的设计。在面对用户日益复杂的IT环境,整合IT资源,通过运维体系实现对IT基础架构的统一全面监控和管理,能够及时采集各类告警数据、性能数据和配置数据,进行集成统一的分析、查询、报告和展示,帮助运维管理人员方便有效的定位系统问题,直观快速的诊断和分析问题,将运维模式由被动的支持转为主动式服务。通过服务台接收各类告警事件,按照预先定义的事件管理流程完成事件的处理。建立故障管理、问题管理、变更管理、配置管理等八个服务工作流程,通过管理人员、技术和流程的有机结合,实现IT运维管理标准化和规范化,形成一个整体的IT运维体系。
该体系实现了IT服务支持过程的标准化、流程化、规范化,极大地提高了故障应急处理能力,提升了信息部门的管理效率和服务水平。
2.1 统一运维服务体系
整个运维服务体系包括运维技术力量、管理人员、IT综合资源和IT运维系统(DTSM)四大部分。通过IT运维系统的标准化、流程化的管理方法,实现人管流程,以客户为中心、以流程为导向的运维服务目的。
2.1.1 统一运维管理体系
统一运维管理采用基于ITIL的服务管理方法论作为指导,建立完善的IT资源综合维护管理体系。主要包括:服务台、事件管理、问题管理、资源管理、变更和管理、服务水平管理、知识库/方案库管理和绩效考核管理等。
2.1.2 统一运维技术力量
按照统一运维技术力量的分布方式和专业性特点,分为一线、二线和三线服务团队。
1)一线服务团队:一线服务团队是指现场驻点或最靠近现场的所有技术维护人员、服务台人员、项目经理和相关其他服务人员组成的服务团队。通过统一的运维服务中心对整个校园的各种信息化设备和系统资源进行运维。
2)二线服务团队:二线服务团队支持是指点易科技流动服务团队。具有较高水平的故障分析能力以及丰富的实践经验。
3)三线服务团队:三线服务团队支持是指合作伙伴和合约厂家。三线服务团队具有较高的专业技术水平以及丰富的专属产品实践经验和解决方案。
2.2 校园网运维管理平台(DTSM)
点易科技校园网综合运维管理平台(DTSM)是为整合校园网系统运行环境、网络、服务器与业务应用等的分割管理,实现对IT资源的集中、统一、全面流程管理的专业平台。平台系统设计遵循FCAPS、eTOM、ITIL等国际服务管理标准和规范,达到技术、功能、服务三方面的有机整合。以IT资源基础架构为基础,实现对各种IT资源的管理、数据采集和实时监控。通过服务台管理、事件管理、问题管理、变更管理和知识库管理等各种规范流程和管理方法,实现IT运维的自动化、标准化和规范化。有效融合IT运维管理中的IT资源、监控、运维流程、人力资源和服务各个重要元素。有效提高故障应急处理能力,提升系统运维的管理效率和服务水平。实现校园网用户入网流程管理、网络服务流程管理、网络资源管理和各种视图展现,平台能够与收费系统和主流802.1x厂商认证系统对接并实现数据交互。目前该平台已经部署在国内多所高校,管理运行情况良好。
2.3 校园网统一运维的特点
校园网实施统一运维后,主要特点包括:1)统一IT运维门户,资源管理、资源监控、运维流程和服务一体化;2)应需而动、随需而动的动态业务平台;可以根据客户要求二次开发;3)与主流802.1x厂商认证系统对接并实现数据交互;4)可视化、仪表化、智能化导航管理的运维模式;5)丰富的行业经验、专业的服务管理。
3 校园网统一运维应用案例
3.1 案例说明
某高校有大学城、本部两个校区,网络信息点60000多个,接入层设备2000多台,服务器100多台,安全和出口设备若干台,出口带宽2G。学校的网络与现代教育技术中心承担校园网、数字化校园应用系统、基础教学实验室和300多间多媒体课室的建设、管理和维护。在2010年度之前各类故障的响应和处理占据了老师和相关技术骨干的主要工作时间。
自从2010年点易科技接手该大学统一运维后,利用前期的调研结果,即着手部署运维平台(DTSM)、采集和建立统一资源配置库,建立和规范相关管理制度和流程。将各种IT管理活动按照流程的方式加以组织,并且赋予每个流程以特定的目标、范围和职能,从而加强了IT管理的全面性和综合性。
1)采集和建立IT资源配置库,从工作区的端口编号到设备间的配线架表和对应的接入层交换机、中心机房的服务器、安全设备、应用系统、数据库、机房动力系统和统一录入和配置到运维系统的资源配置库。
2)完善IT资源监控系统和运维系统,通过统一资源配置库,对网络设备、服务器设备、服务应用、数据库系统等资源进行实时采集和监控。值班人员能做通过统一展现平台,提前发现和解决问题。
3)根据用户IT管理的特点而建立的各类制度。建立和执行中心机房管理和巡检制度、变更制度、风险和应急管理制度和服务台制度。
3.2 校园网统一运维的成效
通过点易统一运维体系实现对IT基础架构的统一全面监控和管理,以及建立基于流程的标准化服务体系,使该大学IT系统得到稳定、可靠、安全的运行,使该校校园网运维工作步入一个有序的、规范的层次,使IT系统更好的为该大学校园网业务系统提供服务,从而提高整体运行效率,提升运行服务水平。
参考文献:
[1]王革明、肖琳,基于ITIL的校园网运维服务体系设计与实践[J].西北工业大学学报(自然科学版),2010(12).
运维服务管理制度范文第4篇
关键词:IT运维,一站式运维,服务标准,响应时间,优点
引言:一站式运维管理服务围绕IT运维的最新需求,在提供专业支持能力的同时,覆盖了IT业务和系统,使得IT资源最大化地作用于企业核心业务发展,促进企业业务收益。本文从服务内容、服务人员、服务方式和相应时间四个方面阐述了一站式运维的内涵,指出一站式运维服务内容具有全面性和多样性,给出了人员配置的最佳实践,按照客户的不同要求订制的不同服务方式以及制定了服务响应时间的标准。本人最后总结了一站式运维的优点,对一站式运维的前景进行了展望。
目前IT运维业务的日益繁荣,当IT建设的热潮过后,IT系统的运行维护越发显得重要。客观地说,目前企业信息化建设重点已从大规模网络、平台、业务系统的建设阶段转向以深化应用、提升应用效益为主要特征的“运行维护”阶段。IT建设大潮最终为企业带来的是IT系统的日益庞大和IT系统支持的业务越来越纷繁复杂。大型企业迫切地需要整合处理IT业务支持和系统支持的服务能力,需要通过对IT运维的统一接口管理来简化IT运维管理流程,降低故障发生频率,提高问题处理效率,需要以业务和系统为对象的服务来覆盖所支持业务运行的IT需求。
一站式运维管理服务方案很好的帮助用户解决了上述问题。一站式运维管理服务围绕IT运维的最新需求,在提供专业支持能力的同时,覆盖了IT业务和系统,使得IT资源最大化地作用于企业核心业务发展,促进企业业务收益。
一站式运维管理服务团队将针对业务和系统IT现状进行分析,灵活地订制服务流程、管理制度及标准交付物,使得所有服务均可追溯、可交付、可量化,提升企业IT的可管理性。同时,针对信息系统特点提出相应的改进建议。用户只需要一个运维窗口,就能解决所有问题,不再需要针对不同服务内容对口多个服务对象。通过一站式服务管理流程将用户遇到的所有IT问题进行统一消化处理,明确责任界面,提升处理速度。这样,在帮助企业合理降低IT运维成本的同时,也为IT系统优化升级提供保障,为用户提供可靠的IT咨询服务,降低客户成本,高效运维,从而在用户中获得较高评价。
一站式运维从四个方面关注运维质量和运维结果。它们分别是服务人员、服务内容、服务方式、响应时间。下面我们分别上述四个方面来说明一站式运维的具体内涵。
一、服务内容
一站式运维的服务内容不但涉及服务器硬件也涉及了操作系统、数据库等基础环境,更重要的是一站式运维是最关注用户感受的,一站式运维的核心内容在于对应用系统的运维,它的内容包括:
* 服务器、存储运维
* 操作系统运维
* 数据库运维
* 应用系统支撑环境运维(如WebSphere、WebLogic等中间件)
* 应用系统调整、变更
* 应用系统深化应用
* 用户支持
正是因为运维服务内容的全面性和多样性,引入一站式运维才能使IT资源最大化地作用于企业核心业务发展,促进企业业务收益。
二、服务人员
一站式运维人员采用前端+团队的方式进行服务。前端人员在运维中主要承担IT业务支持和应用层面运维的任务,这些工程师是服务的窗口,他们对业务有着相当程度的了解,用户与他们的沟通采用业务语言,极大地提高了沟通效率,保障了系统的生命力。
对系统辅助工具的开发,数据库、操作系统、服务器的运维是通过后端支持团队实现的。前端应用人员具有专业化的特点,后端运维团队具有标准化的特点,二者形成了金字塔式的服务团队,完整的对应用系统的深化应用和运维提供支持。
三、服务方式
一站式运维采用了现场支持服务、远程服务支持、定期客户回访和用户培训多种方式相结合的服务方式。在一站式运维中,将按照客户不同的要求订制不同的服务方式。
四、响应时间
不管采用一站式运维,还是引入很多新的运维工具,其根本都是为了提高响应时间和客户满意度,保障系统的生命力。
在系统运维时根据问题类型划分严重级别,按照严重级别做出相应响应。以下是响应承诺示例:
优先级
情况
响应时间
优先级1(P1)系统不能工作,影响用户业务;
2小时内
优先级2(P2)系统能够工作,但部分功能失效,数据出现明显错误,性能下降,但不止中断用户业务。
4小时内
优先级3(P3)软件运行尚可,但出现系统报错或安装出现问题;
24小时内
优先级4(P4)用户对产品使用方面的问题、疑问或建议。
48小时内
一站式运维服务管理流程将用户遇到的所有IT问题进行统一消化处理,明确责任界面,提升处理速度。用户只需要一个运维窗口,就能解决所有问题,不再需要针对不同服务内容对口多个服务对象。我们相信,一站式运维服务将会得到越来越广的应用,也将为企业的信息化建设做出更大贡献。
参考文献:
[1] 牛新庄. 循序渐进DB2——DBA系统管理、运维与应用案例.北京:清华大学出版社,2009
运维服务管理制度范文第5篇
目前,现代企业经营越来越依赖信息系统,信息系统管理信息、处理业务以及存储大量的数据。也迫切需要对信息化管理现状进行全面的审计,以分析评估存在的问题,提出解决方案,完善IT风险控制,保障各信息系统的规范运作,降低信息化风险,提高业务运营的经济性和有效性。IT审计虽然区别于财务审计,运营审计等常规审计,但其审计方法论仍不可能脱离常规审计所用的方法论。也就是必须对审计目标,审计范围,审计计划等等均需进行清晰阐述,并在实施IT审计后,出具具有充分、适当的审计证据支持的IT审计报告。
一般来说,实现全面的IT审计,应当从审计对象的整个生命周期领域、审计对象及组织层次来开展。
一.IT审计范围
进行IT审计的对象包括但不限于以下领域:1.管理组织与制度;2.项目管理流程规范性 ,包括应用系统的开发、测试与上线管理;3.基础设施及运维管理;4.信息安全管理;
IT审计涉及的应用系统包括但不限于以下领域:1.生产系统;2.营销系统;3.办公自动化系统;
IT审计涉及的组织层次包括但不限于以下领域:1.高层决策者;2.中层管理者;3.技术部门员工;4.业务部门员工。
二.IT审计具体实施
ELC(entity level control)控制。关注客户在IT治理方面的相关组织架构是否合理,管理制度是不是健全,具体的审计程序就是获取客户的组织结构图,及一些比较虚的总纲类的书面管理制度如《IT管理制度》等等。
系统开发和变更。关注系统开发和系统后续变更实施中的控制,具体的审计程序首先就是获取系统开发及变更相关的管理制度,该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第522期2013年第39期-----转载须注名来源如调阅《系统开发制度》《系统变更管理制度》,二是关注系统开发过程的合理性,如是否经过了需求提出、可行性研究、领导层审批,系统上线之前是否经过了充分的测试,获取一些内控痕迹和表单,如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》,《变更审批单》,采取抽样后穿行测试。
操作系统及数据库控制。关注操作系统和数据库的控制,如登录时密码控制强度、敏感操作的权限分配、日志的保存。
应用系统控制。关注应用系统控制的合理性。如银行使用的综合业务系统(有的叫核心业务系统)、国际结算系统、大小额系统、信贷管理系统等等,关注其安全配置和用户权限。
接口控制与信息安全。关注其数据准确性、完整性、以及组织级的网络管理的相关制度,如防火墙的架构,内外网分离程度等。
三.IT审计依据
IT审计依据的来源基本上业界都有很充分的理论依据以及最佳实践,以下IT控制标准、法律法规、行业最佳实践都可作为IT审计的依据。
IT标准、规范及最佳实践; 企业内控框架-COSO;IT治理-COBIT、ISO 38500;IT规划与架构设计-Zachman、TOGAF、FEA;IT应用系统开发与运维-软件开发规范、CMMI、ISO9126;IT基础设施生命周期管理-网络、主机、安全等设备管理规范;IT服务管理-ITIL、ISO20000;IT项目控制-PMP、Prince2、项目监理规范;信息安全管理-ISO27001、ISO27002;业务连续性计划-BS25999、ANSI/NFPA 1600;IT应用控制-输入控制、处理控制及输出控制;IT资源协同-EAI、SOA、共享中心等……
目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
IT与其他如财务审计等不同之处,主要在于审计框架是否全面。审计过程仍遵循常规审计步骤,包括审计策划、审计准备、审计对象调查、实施审计、审计发现复核及沟通、审计报告六大步骤。
