配置審計
出自 MBA智库百科(https://wiki.mbalib.com/)
配置審計(configuration audit)
目錄 |
什麼是配置審計[1]
配置審計是指在配置標識、配置控制、配置狀態記錄的基礎上對所有配置項的功能及內容進行審查,以保證軟體配置項的可跟蹤性。
配置審計的任務[2]
配置審計是對軟體進行驗證的一種方法,其目的是檢查軟體產品和過程是否符合標準、規格說明和規程。配置審計的對象既可以是軟體產品,又可以是軟體過程;既可以是整個軟體產品或過程,又可以是部分軟體產品或過程。其主要任務是:
a.檢查配置項是否完備,特別是關鍵的配置項是否遺漏;
b.檢查所有配置項的基線是否存在,基線產生的條件是否齊全;
c.檢查每份技術文檔作為某個配置項版本的描述是否精確,是否與相關版本一致;
d.檢查每項已批准的更改是否都已實現;
e.檢查每項配置項更改是否按配置更改規程或有關標準進行;
f.檢查每個配置管理人員的責任是否明確,是否盡到了應盡的責任;
g.檢查配置信息安全是否受到破壞,評估安全保護機制的有效性。
配置審計的類型[2]
配置審計的類型包括功能配置審計和物理配置審計等。
功能配置審計是驗證一個配置項的實際工作性能是否符合它的需求規格說明的一項審查,以便為軟體的設計和編程建立一個基線。即,通過對軟體測試方法、測試流程及測試報告的評價,鑒定軟體配置項的實際功能、性能是否達到了軟體設計文檔所規定的要求。
物理配置審計是對照設計規格說明檢驗已建立的某個配置項,其目的是為軟體的設計和編碼建立一個基線。即,通過對軟體配置項交付版本的檢測,鑒定文、圖、物的一致性,並保證軟體更改的完整性,所有要求的程式、數據、規程和文檔都包括其中。
配置審計活動應證實產品的完整性,規定每次配置審計的時機、要求和解決發現的問題的工作規程。此外,還應考慮軟體配置項的存放媒體、保存和使用的安全保護方法和設施,防止非法存取、意外損壞或自然老化。例如,可規定如下:
a.配置管理系統所用電腦專人專用,不得進行與配置管理工作無關的活動。
b.電腦硬碟上的配置項必須有軟盤(或光碟)作為副本,而且每隔半年應重新拷貝。
c.軟體配置管理小組要對所有由第三方提供的軟體進行物理配置審計。
d.軟體研製周期中轉段時對系統及其各個子系統的每一個新的釋放(所提供的上一階段的產品)進行功能配置審計和物理配置審計。
e.對宿主電腦系統所提供的軟體和硬體配置要每隔半年審計一次;軟體驗收前要對宿主電腦系統、各個子系統及其專用支持軟體的配置進行綜合審計。
f.在軟體開發周期各階段的評審和審計工作中,要對該階段所進行的配置管理工作進行必要的評審和審計。
g.在型號轉段和軟體參加飛行試驗之前,應對配置項進行功能配置審計和物理配置審計。
配置審計的措施[3]
為確保變更的實現,有兩種措施:正式技術覆審和軟體配置審計。正式技術覆審主要考慮所變更對象在技術上的正確性。軟體配置審計作為一種補充,主要考慮那些通常不在覆審過程考慮的因素。例如,是否遵循了軟體工程標準,是否說明瞭變更日期和作者等。
配置審計的作用[4]
配置審計的主要作用是作為變更控制的補充手段,來確保某一變更需求已被切實實現。在某些情況下,它被作為正式的技術覆審的一部分,但當軟體配置管理是一個正式的活動時,該活動由軟體質量管理人員單獨執行。審計機制保證修改的動作被完整地記錄,也就是說,記錄了誰修改了這個工件,什麼時候做的修改,為什麼原因作出這個改動以及修改了哪些地方。在版本控制過程中,如果利用一些配置管理工具(或者版本控制工具)的支持,則可以自動地記錄審計工作所需的4個W(Who、When、Why、What)。同時配置審計工作應當可以說明如下信息:
·變更要求被完成,並且對附加的修改已經執行了。
·採用了正確的正式驗證手段。
·遵循了標準的要求。
·變更的4W信息被完整記錄,並和相關配置項關聯。