把专业化的“可审计需求”分析明白究竟有多香？

产品经理必聊的100个话题第24期：可审计需求摘要

在现实场景中，系统中账号的移交而不是新建，常常导致历史信息的篡改问题，如工作日志的归属错误。可审计需求意味着使用涉及敏感信息的软件的单位需要确保系统的安全性，并保持数据的审计能力，以防止信息的非法传播和泄露。

为了满足审计要求，许多产品需要记录详尽的历史、运行、用户访问和操作日志，以确保历史的可追溯性。特定系统如财务和仓储系统需有明确的库存记录和审计方式，甚至采用复式记账法和区块链技术以提高安全性。软件项目合规性审计如CMMI评审也要求记录符合合规行为的证据。

可审计需求的价值在于全面记录历史事件，保证系统操作和信息的合规性与安全性，以及降低安全事件发生的频率。分析可审计需求时，需要确定日志记录的必要性、类型、详尽程度以及是否支持实时监控等审计需求，同时分析日志的存储方式、写入和查询速度。

为避免篡改历史，系统设计应只允许增加和删除操作，避免直接的账号过户，确保日志记录的充分性和完整性。此外，日志的保存时间应该根据类型不同而有所差异，需要与业务部门确认相关的审计要求，以避免设计需求时的遗漏。

在确保数据安全和防篡改方面，需要实现冗余存储，例如记录审批流程中的真实姓名、部门和职位等信息，以及在产品信息变更时保持购买记录的一致性。最后，文章提及了即将举办的可视化需求分析课程，该课程旨在解决市场上录播无实时互动、大班课结束即走以及缺乏持续学习服务等问题，并鼓励读者扫描海报二维码了解更多信息。