私たちの ASP.NET アプリケーションの展開方法に関して、SOX 監査人からかなり厳しい目で見られている顧客がいます。適切なファイル レベルおよびフォルダー レベルのセキュリティと承認を確実に使用するように注意が払われます。製品サーバーにファイルをコピーできるのは、展開権限を持つ少数のユーザーだけです (通常はセキュア FTP を使用して行われます)。
ただし、ファイル/フォルダー レベルのセキュリティとセキュア FTP の要件は、Bean カウンターには十分ではありません。彼らは、誰がいつ何を展開したか、どのバージョンがどのバージョンを置き換えたか (およびその理由) のシステム ログを必要としており、一般的に、ビジネスが Office Spaced にならないように設計された他の多くの細目 (Bean カウンターは丸められたセントをすべて自分自身に望んでいるようです) を求めています。
審査員を喜ばせるための提案は何ですか? 私たちはこれにいくらかのお金を投じることを気にしません (実際、十分に優れた解決策に多額のお金を投じることになると思います)。
おそらく、自動化された展開ソリューションを検討したいと考えており、正式な変更管理プロセスが必要になるでしょう。蟻塚プロを使用しています。どのバージョンがいつデプロイされたかを追跡できます。
ソックスを満足させるために、何がいつ展開されるかについて毎週ミーティングを行いました。コンプライアンス マネージャーによって承認される必要があり、各展開では、何が、なぜ、どのように変更されたかを説明するフォームに記入する必要がありました。フォームに記入したら、第三者が関与する必要がありました (要求または承認した人ではありません。義務の分離ルールに従う必要があるため、どちらも本番環境にアクセスできません)。変更は、「変更文書」の内容に基づいており、要求を行った人からの外部通信はありません。展開が完了すると、すべての人が、それがいつ完了したかを承認する必要がありました。
要件を満たすのはそれほど難しくないはずです。開発プロセスにいくつかの変更が必要になる場合がありますが、それは間違いなく可能です。
必要なものは次のとおりです。
また、監査を有効にし、定期的なセキュリティ テストを実行し、ほぼすべてを文書化します。
これはすべて、多くのシステムで可能です。最大の変更は、内部プロセスの変更です。
NTFS が提供する監査機能を確認することをお勧めします。