实施配置审计以维护配置基线的完整性。

配置审计确认最终的基线和文件有遵照特定标准或需求，并适当记录审计结果。

典型的工作产品

1. 配置审计结果

2. 纠正措施

子实践

1. 评定基线的完整性。

2. 确认配置管理记录已正确识别配置。

3. 审查配置管理系统中，配置的结构和一致性。

4. 确定配置管理系统中，配置的完整性和正确性。

依据计划中所述的需求和已核准的变更申请的处理为基础，来判断内容的完整性和正确性。

5. 确定符合适用的配置管理标准和程序。

6. 跟踪审计的行动直到结项。

-----------

最简单也是最有效的做法是

在打基线时，进行审计，预先设计好基线审计表或检查表

检查内容至少包括

1，配置库的目录结构是不是符合要求

2，基线对应的必须文件是不是到位

3，达成基线的前提要素（比如里程碑评审，变更申请，问题，bug）是否OK

还值得考虑的是定期审计（时间跨度要大些），重点是

1，抽查文件上的标签与基线是否对应

2，更改请求是否及时处理

3，以前审计问题是否及时处理

从信息安全角度出发，也有审计要求，关心重点是

1，权限的设置是否与记录一致，尤其关注调动的员工

2，备份是否有效

3，恢复计划是否可行

----------------------------

一般在配置管理审计时，不必再看具体文件的内容，而是看达成配置项的过程产物。

以评审后的配置管理审计来说，检查点有：

1，评审结论是否有效，关键人员是否认可

2，评审时的问题是否已经解决

如果没有评审，比如代码提交测试前的配置管理审计，检查点有：

1，得到实现的需求是否对应跟踪，如果需求是有状态管理的，以Scrum来说，user story的剩余工作量是不是0。

2，有没有单元测试、集成测试或持续集成、每日构建的要求，如果有的话，结果行不行？

3，代码目录结构是否符合要求，如果有的话