私は、ASP.NETアプリケーションの展開の実践に関して、SOX監査人がかなり苦労している顧客を抱えています。適切なファイルレベルおよびフォルダレベルのセキュリティと承認を使用するように注意します。デプロイメント特権を持つ少数のユーザーだけが製品サーバーまでコピーできます(通常はセキュアFTPを使用して行われます)。ASP.NETの展開と規制への準拠(SOX、その他)
しかし、ファイル/フォルダレベルのセキュリティと安全なFTPの要件では、Beanカウンタでは十分ではありません。彼らは、誰がいつバージョンを、どのバージョンをどのバージョンに(そしてなぜ)置き換えたのか、そして一般的に、ビジネスをオフィススペースから守るために設計された多くの他の細目をシステムログに記録したいと考えています(豆カウンターは、
監査人を幸せにするための提案はありますか?私たちはこれに少しドルを投げても構いません(実際には、十分な解決策で大きなドルを投げていると思います)。
NTFSで提供されている監査機能を見てみるとよいでしょう。
おそらく自動化されたデプロイメントソリューションを見て、正式な変更管理プロセスが必要になるでしょう。我々はanthill proを使用します。それはどのバージョンといつ展開されたかを追跡することができます。
私たちはいつsoxを配備していたのかについて週に1回の会議を持っていました。コンプライアンスマネージャーの承認を得なければならず、それぞれの展開には、何が何が変更されているのか、なぜ、どのように変更されたのかを記入したフォームが必要でした。フォームが記入されたら、第三者が関与する必要があります(要求または承認する人ではなく、どちらも生産環境にアクセスできません)。変更は、要求を行った人からの外部の通信がない「文書の変更」にあったものに基づいていました。配備されたら、すべての人はそれが完了したことをいつも署名しなければなりません。
要件を満たすことは難しいことではありません。開発プロセスに若干の変更が必要な場合もありますが、確かに可能です。
は何が必要です:
また、監査を有効にし、定期的なセキュリティテストを実行し、ほぼすべてを文書化します。
これはすべてのシステムで可能ですが、最も大きな変更は内部プロセスの変更です。