IT 过程控制的基本原则

　　我们这里所介绍的控制对于IT过程的可审核性来说是极为关键的，因此是法规遵循领域的基本原则。他们是：

　　•正式列入并附有文档的过程。在审核员可选的各种任务中，他们往往首先选择熟悉企业的软件开发过程。因此，详细的法规遵循资产清单应包括现有过程的文档。

　　•工作产品控制。这是一种依据特定过程生产的工作产品所指定的工作流控制。这种工作流描述了修订的概况及最终满意的工作产品。

　　•记录控制。 记录是种只写一次，只读的文档，它提供了正式的所实现内容的依据。记录控制指出了哪些记录是必须有的，如何产生的，哪些人有权利创建它们。

　　•可追踪性。 工作产品并不是独立开发或凭空产生的：他们具有依赖性与关联性。 追踪的目的就是确保相关工作产品的连续性。

　　•法规遵循管理相关信息的分离 。 这由定义面向法规遵循的工作产品实现。这有利于审核且将控制集中于面向法规遵循信息。

　　•基于角色的责任分离。 这是高级控制环境的基本原则。它的基础是工件的开发、复查和使用不能由同一人执行，且可以质疑流程的公平性。

　　•正式的把关过程（定义控制点）。 随着项目与产品变得越来越复杂，单独的计划已不能保证实现全部项目目标。可以定义控制点以管理以下行为：

　　　o确保满足重要标准

　　　o评估为实现目标所做的决定及改变

　　　o审核与目标（风险、质量、内容，等等）关联的度量

　　　o由（与责任分开）接收者全面评价目标内容

　　　o通过电子标签批准实现的控制环节。

应用于RUP的法规遵循管理规程

　　法规遵循管理的整体范围是一个长期的目标，已超过了单个项目的范围。 为支持软件开发项目，IBM Rational 公司首先倡议开发 Rational Method Composer (RMC) 插件以增强RUP过程体系的可审核性 -- RUP for Compliance Management Plug-in。 这种插件支持之前我们所介绍了过程控制实现。这将适应安全与控制都必须增强的高可信度条件下RUP的应用。图 3提供了为企业创建过程体系时的一些高级标准。

图 3： 为企业创建正确的过程级别

　　插件支持本部分所描述的法规遵循管理IT过程控制。