配置审计报告

…… …… 余下全文

配置审计

配置审计是指在配置标识、配置控制、配置状态记录的基础上对所有配置项的功能及内容进行审查，以保证软件配置项的可跟踪性。

1. 配置审计的任务

配置审计是对软件进行验证的一种方法，其目的是检查软件产品和过程是否符合标准、规格说明和规程。配置审计的对象既可以是软件产品，又可以是软件过程；既可以是整个软件产品或过程，又可以是部分软件产品或过程。其主要任务是： ① 检查配置项是否完备，特别是关键的配置项是否遗漏；

② 检查所有配置项的基线是否存在，基线产生的条件是否齐全；

③ 检查每份技术文档作为某个配置项版本的描述是否精确，是否与相关版本一致； ④ 检查每项已批准的更改是否都已实现；

⑤ 检查每项配置项更改是否按配置更改规程或有关标准进行；

⑥ 检查每个配置管理人员的责任是否明确，是否尽到了应尽的责任； ⑦ 检查配置信息安全是否受到破坏，评估安全保护机制的有效性。

2. 配置审计的类型

配置审计的类型包括功能配置审计和物理配置审计等。

功能配置审计是验证一个配置项的实际工作性能是否符合它的需求规格说明的一项审查，以便为软件的设计和编程建立一个基线。即，通过对软件测试方法、测试流程及测试报告的评价，鉴定软件配置项的实际功能、性能是否达到了软件设计文档所规定的要求。

功能审计的主要内容：验证是否已经完成了产品构建；验证产品实现的用户功能是否正确；审核软件功能是否与需求一致，并符合基线文档要求；通常要审查 测试方法、流程、报告和设计文档等。

物理配置审计是对照设计规格说明检验已建立的某个配置项，其目的是为软件的设计和编码建立一个基线。即，通过对软件配置项交付版本的检测，鉴定文、图、物的一致性，并保证软件更改的完整性，所有要求的程序、数据、规程和文档都包括其中。

物理审计的主要内容：评估软件基线的完整性；评审配置管理库系统的结构；验证软件配置库内容的完备性和正确性；验证与适用的配置管理标准和规程的符合型。审核要交付的组成项是否存在，是否包含所有必需的项目，如正确 版本的源代码、资源、文档等等。

…… …… 余下全文

Configuration Audit Findings

配置审计报告

分类:审核

使用者:项目经理

?四川华迪信息技术有限公司,2009

配置审计报告

项目编号: CMS2009

Configuration Audit Findings

Version 1.0

作者:李春华

Configuration Audit Findings 配置审计报告

Configuration Audit Findings

1. 审核信息

2. 物理审核

2.1 产品目录结构与实际配置项的比较

Configuration Audit Findings

配置审计报告

测试/复审结果的填写： A— 通过 B— 未通过 C— 未进行

3. 功能审核求与测试过程

3.1.1

系统功能审核

Configuration Audit Findings

A:B:基本完善

C:未达标

配置审计报告

3.1.2 变更请求符合审核

填写内容： A— 通过 B— 未通过 C— 没进行 D— 不适用

…… …… 余下全文

配置管理审计

实施配置审计以维护配置基线的完整性。

配置审计确认最终的基线和文件有遵照特定标准或需求，并适当记录审计结果。

典型的工作产品

1. 配置审计结果

2. 纠正措施

子实践

1. 评定基线的完整性。

2. 确认配置管理记录已正确识别配置。

3. 审查配置管理系统中，配置的结构和一致性。

4. 确定配置管理系统中，配置的完整性和正确性。

依据计划中所述的需求和已核准的变更申请的处理为基础，来判断内容的完整性和正确性。

5. 确定符合适用的配置管理标准和程序。

6. 跟踪审计的行动直到结项。

-----------

最简单也是最有效的做法是

在打基线时，进行审计，预先设计好基线审计表或检查表 检查内容至少包括

1，配置库的目录结构是不是符合要求

2，基线对应的必须文件是不是到位

3，达成基线的前提要素（比如里程碑评审，变更申请，问题，bug）是否OK

还值得考虑的是定期审计（时间跨度要大些），重点是 1，抽查文件上的标签与基线是否对应

2，更改请求是否及时处理

3，以前审计问题是否及时处理

从信息安全角度出发，也有审计要求，关心重点是 1，权限的设置是否与记录一致，尤其关注调动的员工 2，备份是否有效

3，恢复计划是否可行

----------------------------

一般在配置管理审计时，不必再看具体文件的内容，而是看达成配置项的过程产物。

以评审后的配置管理审计来说，检查点有：

1，评审结论是否有效，关键人员是否认可

2，评审时的问题是否已经解决

如果没有评审，比如代码提交测试前的配置管理审计，检查点有： 1，得到实现的需求是否对应跟踪，如果需求是有状态管理的，以Scrum来说，user story的剩余工作量是不是0。

2，有没有单元测试、集成测试或持续集成、每日构建的要求，如果有的话，结果行不行？

…… …… 余下全文

审计报告格式

一、引言

随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。

在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。

本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。

二、什么是安全审计

国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖)，简称“五性”。安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施。

近几年，涉密系统规模不断扩大，系统中使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，如：操作系统的审计、数据库审计系统、网络安全审计系统、应用程序审计系统等，但是都无法做到对计算机信息系统全面的安全审计，另外审计数据格式不统一、审计分析规则无法统一定制也给系统的全面综合审计造成了一定的困难。如果在当前的系统条件下希望全面掌握信息系统的运行情况，就需要对每种设备的审计模块熟练操作，并且结合多种专用审计产品才能够做到。

…… …… 余下全文

集团有限公司 监察中心审计报告

监审综[ ]第 号 签发人：

关于A房地产开发有限公司综合审计报告

根据监察中心审计部工作安排，审计组于年月日至月日对A房地产开发有限公司（下称A）年度的经营情况进行综合审计，现将审计情况报告如下：

一、A基本情况：

1、项目基本情况：

“ 公寓”位于 市 区，该项目用地总面积为 平方米，分为A、B、C、D四个区，其中A区用地面积为 平方米，B区用地面积为 平方米，C区用地面积为 平方米，D区用地面积为 平方米，我司根据规划对该项目进行分期开发，截止目前C、A区已建设完工。BB区一期工程进度缓慢，原计划于月日向业主交房，但由于前期工程延误导致延期交房，A内部预计将于月日前向业主交付。BB区二期一标段工程已经全部封顶， #楼主体结构，以及楼层以下主体结构验收完成。BB区二期二、三标段

工程于年月开始进行土石方工程，并于年月将平整场地移交二期总包方重庆市 （集团）有限公司（下称C），年月中旬开始试桩打孔工程，截止至年月日楼正在打桩过程中，楼由于高边坡工程安全问题，正在协商工程方案桩基工程尚未开工建设。

2、销售以及欠收情况：

AC区住宅已销售完毕，A区住宅基本销售完毕，A区车库正在销售中，商业部分尚未销售；B区住宅和别墅正在预售过程中；D区处于前期筹备阶段尚未开工建设。截止至 年底A可销售楼盘总套数为套，已实现签约总数为套，合同总成交金额累计达万元，其中年在售楼盘共计销售套，合同签约金额为万元。（详见下表）

集团有限公司

监察中心审计报告

AA区销售无按揭付款方式未收款情况，区除业主因房屋整改问题不满意而未签署万按揭合同外，无按揭方式未收回房款的情况。但是由于受政策环境和银根紧缩的影响，房交所对合同监管力度加强，各银行个人贷款额度急剧收缩，使公司按揭回款速度严重滞后，现B区截止至年底按揭付款方式销售额累计为 万元，按揭付款方式销售占总销售额的 %，按揭付款方式未收款金额为 万元，占按揭付款总额的 %。

…… …… 余下全文

审 计 报 告

审字20##年第[004]号

对某某人力资源的审计报告

根据工作安排，审计人员于20##年11月18日-12月25日对某某的人力资源进行审计，本次审计重点是了解某某人力资源各项工作的开展情况，明确人力资源各项规章制度、流程是否建立健全，基础工作是否落实，人员资质是否符合岗位要求，及审核相关内部控制流程的规范性。

一、   人力基本情况：按某某对《审计报告（征求意见稿）》的反馈意见分析

（一） 截止至20##年11月5日，某某（含集团总后勤）共有42个部门，员工963人。见表一、二、三：（明细见附件一）

（二） 员工分别按工种、学历、籍贯划分：

备注：1、管理：指总经理、副总、厂长、经理、主管、主管助理、正副班长、领班、主任、领队、正副队长等职务。

2、文职：指文员、跟单员、统计员，及财务部、人力部职员。

3、技工：指操作各种机械设备的生产一线员工。

l  管理人员大专以下学历的占管理人员总数的83.04%，素质有待提升。见下表：（明细见附件二）

（三） 20##年1月1日-11月5日，全年离职率为24.92%，离职人数321人。见下表：（明细见附件三）

备注：离职率=全年离职人数/(统计期末的在职人数+全年离职人数)

l  离职人数排在前5名的依次为A车间28人、B车间28人、C车间27人、D车间25人、E23人，离职原因：①认为工资低（普工以此为由离职是正常情况）；②影响身体；③同行业挖角；④车间主管与员工沟通少，管理不细致。

l  10年以上工龄员工离职10人，人力部所述离职原因简单，未见详细的离职面谈记录。见下表：

二、   审计发现：

审计人员抽取了60位员工的人事资料进行检查，抽查人数占员工总人数的6.2%，发现：

1、 岗位测评做得较好。

…… …… 余下全文