配置管理審計

典型的工作產品

1. 配置審計結果

2. 糾正措施

子實踐

1. 評定基線的完整性。

2. 確認配置管理記錄已正確識別配置。

3. 審查配置管理系統中，配置的結構和一致性。

4. 確定配置管理系統中，配置的完整性和正確性。

依據計畫中所述的需求和已核准的變更申請的處理為基礎，來判斷內容的完整性和正確性。

5. 確定符合適用的配置管理標準和程式。

6. 跟蹤審計的行動直到結項。

-----------

最簡單也是最有效的做法是

在打基線時，進行審計，預先設計好基線審計表或檢查表

檢查內容至少包括

1，配置庫的目錄結構是不是符合要求

2，基線對應的必須檔案是不是到位

3，達成基線的前提要素（比如里程碑評審，變更申請，問題，bug）是否OK

還值得考慮的是定期審計（時間跨度要大些），重點是

1，抽查檔案上的標籤與基線是否對應

2，更改請求是否及時處理

3，以前審計問題是否及時處理

從信息安全形度出發，也有審計要求，關心重點是

1，許可權的設定是否與記錄一致，尤其關注調動的員工

2，備份是否有效

3，恢復計畫是否可行

----------------------------

一般在配置管理審計時，不必再看具體檔案的內容，而是看達成配置項的過程產物。

以評審後的配置管理審計來說，檢查點有：

1，評審結論是否有效，關鍵人員是否認可

2，評審時的問題是否已經解決

如果沒有評審，比如代碼提交測試前的配置管理審計，檢查點有：

1，得到實現的需求是否對應跟蹤，如果需求是有狀態管理的，以Scrum來說，user story的剩餘工作量是不是0。

2，有沒有單元測試、集成測試或持續集成、每日構建的要求，如果有的話，結果行不行？

3，代碼目錄結構是否符合要求，如果有的話