ASP.NET 배포 및 규제 준수 (SOX, 외)

Question

ASP.NET 응용 프로그램의 배포 관행에 관해 SOX 감사원이 상당히 어려움을 겪고있는 고객이 있습니다. 적절한 파일 및 폴더 수준 보안 및 권한 부여를 사용하도록주의해야합니다. 배포 권한이있는 제품 중 일부만 제품 서버 (일반적으로 보안 FTP를 사용하여 수행)에 복사 할 수 있습니다.

그러나 파일/폴더 수준 보안 및 보안 FTP 요구 사항은 Bean 카운터에 충분하지 않습니다. 그들은 누가 배포했는지, 어떤 버전이 어떤 버전을 (그리고 왜) 대체했는지, 그리고 일반적으로 비즈니스가 Office Spaced가되는 것을 막기 위해 고안된 많은 다른 세부 사항 (빈 카운터는 모두 자신에게 둥근 센트를 원한다)의 시스템 로그를 원합니다.

감사원을 행복하게 만들기위한 귀하의 제안은 무엇입니까? 우리는 이것에 약간의 달러를 던지기를 꺼리지 않는다. (사실 우리는 충분히 좋은 해결책으로 큰돈을 버릴 것이라고 생각한다.)

Answer 1

NTFS에서 제공하는 감사 기능에 대해 알아보십시오.

Answer 2

자동 배포 솔루션을 살펴보고 정식 변경 제어 프로세스가 필요할 것입니다. anthill pro을 사용합니다. 그것은 어떤 버전과 언제 배포되었는지 추적 할 수 있습니다.

우리는 sox를 ​​만족시키기 위해 언제 배포되고 있는지에 대한 주간 회의를 가졌습니다. 규정 준수 관리자가 승인해야했으며 각 배포에는 무엇이, 왜, 어떻게 변경되었는지 설명하는 양식이 있어야했습니다. 양식을 작성하고 나면 변경 사항을 적용하기 위해 제 3자를 참여시켜야합니다 (요구하거나 승인하는 사람이 아니며, 둘 다 준수해야하는 직무 규칙의 분리로 인해 생산 환경에 액세스 할 수 없습니다) 변경을 요청한 사람과의 외부 의사 소통없이 "변경 문서"에 있던 내용을 기반으로 변경되었습니다. 일단 배치되면, 모든 사람들은 그것이 완료되었음을 승인해야합니다.

Answer 3

요구 사항을 충족하기가 너무 어려워서는 안되며 개발 프로세스를 일부 변경해야 할 수도 있습니다.

는 당신이 필요로하는 것은 :

• 태스크 추적 시스템, 작업의 설명 및 승인
• 이 시스템에 문서뿐만 아니라 패키지를 연결 할 수있는 능력을 보여주는.
• 배포를 테스트 할 테스트 시스템.
• 마지막으로 모든 배포는 설치 패키지 및 다른 스크립팅 된 방법을 통해 수행해야합니다.
• 수동 변경 사항은 문서화되고 승인되어야합니다.

감사 기능을 켜고 정기적 인 보안 테스트를 실행하고 거의 모든 것을 문서화하십시오.

이 모든 것은 많은 시스템에서 가능합니다. 가장 큰 변화는 내부 프로세스의 변경입니다.