扫码阅读
手机扫码阅读

把专业化的“可审计需求”分析明白究竟有多香?

77 2024-03-22


#
产品经理必聊的100个话题



第24期:可审计需求

现实里很多情况是由于系统改名移交账号,而不是新建账号,导致的历史篡改问题。例如,账号移交前张三的工作日志,在账号移交后张三的工作日志变成了李四的。



什么是可审计需求


Business Analysis





根据国家政策、企业规定,某些单位在使用涉及大量安全信息的软件需要满足系统安全要求。同时还要求系统的数据满足可审计的要求,防止非法传播公众信息、商业信息、企业内部信息等,避免造成泄露。

因此很多产品都需要满足审计的要求,存储充分的历史记录、系统的运行记录、用户的访问记录以及系统的操作记录等,来满足可追溯历史的要求,以便未来审计的时候使用。

财务审计:比如,财务系统或者仓储系统等涉及费用、有价物等管理的系统。也需要有明确的库存记录,审计方式。
并且一般采用复式记账法,防止账务被篡改。以及对于各种账本还可以采用了区块链技术,确保防止被篡改。

合规审计:比如,软件项目的CMMI评审时要在系统里对很多符合合规的行为进行记录。并且通过审计确认的确是能够保证软件开发团队符合了设定的项目管理规则,从而确保项目符合合规的要求。


可审计需求的意义



Business Analysis





1.对于发生的历史都全面完整地记录,以便审计的时候能够清楚地知道曾经发生了什么。

2.确保系统操作、信息采取的合规性和安全性。一般指对用户进行跟踪,例如数据传输等,确保符合相关规定,同时历史可追溯,满足审计要求。

3.降低安全事件的发生频率,避免造成对系统的潜在威胁。


如何分析可审计需求



Business Analysis





1.确定是否需要记录

完整日志以便今后审计同时要考虑是否需要提供数据的中间接口,以便第三方介入时进行审计。

2.确认需要记录的日志类型

除了添加,更新,删除之外,还有查询也可能需要进入审计。比如说,谁曾经检索过什么信息也是需要进入审计的,甚至当时的查询结果都要记录在案。

3.确认日志信息的详尽程度

比如说,有的日志需要记录当时的设备信息,包括浏览器信息,操作系统信息,IP地址信息。

4.是否支持相关审计要求

例如是否支持实时的监控、用户行为监控、流量监控等。

5.日志的存储方式、写入和查询速度

分析是否有的日志记录需要频繁审计。比如说仓库的盘点,可能需要定期盘点,加上每天入出库的信息很大,因此日志的容量会非常大。有的日志单次需要记录的信息非常多。比如说,查询日志,需要记录查询的时间,用户信息,检索条件,以及检索结果。如果日志的写入比较频繁,而查询的频率没有那么高,那么,采用读写分离的方式进行数据存储是个比较好的方案。但是前提是要确认写入和查询的相应的速度要求。


解决方案



Business Analysis





1.避免篡改历史

系统只有增加和删除,没有变更,比如:四川省重庆市变成重庆直辖市;比如:换人的情况,张三的账户不能直接过户给李四。而是把张三的信息留存,然后给李四建立一条新的数据,把张三的任务和权限全部过渡给李四并且全面记录相关的日志。

2.记录充分的日志

为了满足审计的需要,需要记录充分的日志,并且确认日志完整详实,防止被篡改,以只读方式提供服务。日志要存放在数据库,便于检索查询;日志要记录完整的信息;日志要有防止篡改的方法。比如:任务管理系统的修改日志、软件需求变更履历、代码提交履历。但要注意的是,

记录日志需要明确日志的保存时间。不同类型的日志需要保留的时间长度不同。比如说,有的日志需要随时可查,但是一般一个月之内的就可以了,那么更久的日志需要备份到另外一个低速存储设备上去。

3.是否需要审计需要和相关部门进行充分确认
在需求分析的时候如果涉及对应的业务部门,需要跟业务部门确认,是否有相关的审计要求,以便设计需求的时候,防止这部分的遗漏。

注意事项


Business Analysis





不能篡改历史,因此需要做冗余存储。比如说:审批流。当用户信息变更的时候,谁审批的不能只记录id,需要记录真实姓名、部门,职位等各种信息。比如说:基础数据。当产品信息变了的时候,曾经购买过某个产品的记录不能因为这个变更而变更,因此购买的时候要做冗余存储。即使产品信息发生了变更也不会造成购买记录的篡改。


原文链接: http://mp.weixin.qq.com/s?__biz=Mzk0MzM2OTQzOA==&mid=2247484319&idx=1&sn=2035daa8f99bd21e5d01d7f6b88d1763&chksm=c335be2ef44237381e3e34ecc6ffcd462727f613bdcd4d7caab4cdfef37e4c0a9de7b689de06#rd