GRC10.0访问控制管理方案

SAP GRC10.0SAP GRC项目访问控制方案设计SAP GRC项目组2012年至2010年文档版本历史记录版本号更新日期更新摘要更新者V1.0V2.0V2.1V2.3文件核准与参考记录版本号审核日期审查者职位评论员备注V1.0V2.0V2.0V2.1V2.2目录1整个项目的介绍51.1 GRC项目实施背景5什么是1.1.1grc？ 51.1.2为什么要实施GRC？ 51.2 GRC AC的应用价值62项目目标如何实现权限管制72.1 GRC10.0技术体系结构72.2访问控制风险分析和改进访问风险管理(ara ) 72.2.1规则体系结构82.2.1.1 FunctionSAP中的业务运用82.3企业角色管理业务角色管理(brm ) 102.3.1功能列表102.3.2重组项目中的角色和设计112.3.4角色的日常维护和风险分析，改进122.4用户认证管理ARQ(Access Request)132.5特权用户紧急登录生产系统管理EAM (emergencyaccessmanagement ) 172.5.1特权用户范围172.5.2基本功能和体系结构概述183项目的实施和管制20项目准备20蓝图设计21构成安装部21面线211整个项目的介绍1.1 GRC项目实施背景什么是1.1.1grc？GRC是Governance，Risk，Compliance这3个单词的缩写。 Governance是指治理，Risk与公司治理、包含IT治理相关内容的风险，根据业界的不同，风险的定义也稍有不同，因此在此认为风险是负面事件，可能会导致损失的Compliance是合规性1.1.2为什么要实施GRC？(一)企业自身业务发展需求，具体包括：企业管制需求：越来越多的业务运行在信息系统上，因此需要一个统一的平台来分析和处理系统和业务存在的风险。风险管理需要改进：企业风险管理不是孤立的，不仅仅是一个部门考虑的问题，还需要形成全体人员的参与乃至企业文化的一部分。 因此，需要一个向各部门、各员工传达风险思想的信息平台。业务和IT部门之间的差距需要一个工具来确保低效率和控制能力的缺失、有效控制和提高效率。(二)外部法律法规要求：目前，许多法律法规严格要求内部控制(见下表)。 GRC_AC有助于我们迅速有效地遵守这些法律法规。名字发布机构公开时间实施范围实施时间企业内部控制基本规范财政部、审计局等机构联合发表2008年至2008年6月28日国内上市公司2009年至2009年7月1日企业内部控制应用指引财政部、审计局等机构联合发表2008年6月发表的国内上市公司2009年至2009年7月1日企业管治常规守则香港联合车站2004年11月香港上市公司2005年至2005年1月1日企业管治报告香港联合车站2004年11月香港上市公司2005年至2005年1月1日1.2 GRC AC的应用价值等级管理规则制定集团管理VS企业个性化需求信息系统认可不是根据企业的各行，而是根据集团认可的部门设置、职责分离的原则进行认可，在控制集团存在于系统中的风险的同时，还要考虑企业自身的需求。实时违规分析与批准企业风险责任与批准要求要把风险管理意识扩展到集团层面，下属企业不要单纯考虑权限需求，要关注其中存在的风险。定期检查和评估持续审计和审计取证实时监测信息系统可以及时警告，保证审计跟踪的完整性，实现信息系统和相关业务的持续审计。持续优化技术支持安全管理和许可操作使信息系统管理员更全面地履行安全管理职责，而不是简单地执行授权的操作。2项目目标如何实现权限管制2.1 GRC10.0技术体系结构2.2访问控制风险分析和改进访问风险管理(ara )集中式访问分析引擎和直观界面，支持最终用户定制和定制。 新功能支持分布式维护、自动化和审计，新的风险补偿选项为法规遵从性提供了更快、更高效的方法。解决方案概述优势要点新的界面可以帮助您明确风险分析，包括部署、编辑和重用风险分析标准更高效、灵活的访问风险分析选项和能力提高了分析结果新功能允许您自定义和定制访问风险的结果快速部署和简化数据维护您可以分析业务角色和cua composite角色的风险缩短应用程序之间的访问控制时间新功能允许您在系统级别补偿风险或使用RULE ID进行补偿工作流包括路由和升级逻辑，并利用标准化的工作流引擎进行集成批量补偿包括分配、更改和批量更新每个模块的工作流增强审计功能2.2.1规则体系结构GRC风险分析的前提是标识事项，即建立风险分析的规则结构，并定义规则和关键操作，以分离责任，包括组织SAP中的操作(功能)。FunctionSAP中的业务运营函数是SAP中一组具有类似功能的操作，包括与这些操作相关的对象和值。 这些是构成风险分析规则的基础，也是重组角色的依据之一例如函数目录(Function Category )函数idDescription中文说明SDAR04战斗机AR04 - Credit Management信用管理SDAR05战斗机ar05 -主建筑文档维护系统发票SDAR06战斗机ar06-process customer credit memos处理客户贷款证书FICO公司CC01cc01-maintaincostcenter分发维护成本中心分配FICO公司CC02战斗机cc02 -主cc or ce组维护成本中心或成本要素组FICO公司CC03cc03 -主成本中心维护成本中心MMPR01pr01 -厂商主要维护供应商主数据维护MMPR02pr02 -主要采购订单采购单维护MMPR03pr03 -服务主机维护服务主机的数据维护PPPP01PP01 - Confirm Production Order确认生产订单PPPP02pp02 -产品报告生产订货处理说明：(1) Function Category是指Function按业务模块分类。(2) Function ID指系统中的ID号。(3) Function在实施过程中结合了我们集团自身的业务，追加了定制的程序、报告、需要特别管理的对象、值。 详情请参照附件。(4)系统在日常运行期间，实际业务多发生变化。 因此，对应的检查函数是否需要变更，详细的流程如1.1.3所示。2.2.2风险识别在上一节中对Function的整理基础上，根据SOD (职务分离)原则，定义了不同Function组合带来的风险和值得关注的重要操作ristinidFunction Description (函数描述)Risk LevelRisk TypeDetailed Description (详细描述)中文说明F001gl02-maintainglmasterdatagl 01-postjournalentrymedium.mediumSegregation of Dutiescreateaficitiousgl帐户和generationjoractionactionactionorhadingactionactiona过帐条目以创建虚拟总帐、生成日记帐活动或隐藏活动。F002cc06-costransferprocessingcc 03 -主costcentersmedium.mediumSegregation of Dutiesalteracostitycenterwithentationandprocesunthedcostransferstothiscenter，posibleydistortioncoreporting。如果未经授权地更改成本中心并处理未经授权的成本转移，则更可能篡改CO报告。说明：(1)ristinID是系统中该风险规则的id。(2) Function Description是与该规则有关的需要分离的功能(Function )或者重要的操作的记述。(3) Risk Level在风险水平上，可以根据自己的风险喜好进行调整。(4) Risk Type是风险的类型，具体分为Segregation of Duties和Critical Action。(5)在项目在线后的日常运行中，业务的变更会导致风险规则的变更，因此需要检查规则是否被适当地调整2.3企业角色管理业务角色管理(brm )访问控制提供了可扩展性和协作业务角色模型，并支持技术和业务用户。 支持设计集中，服从角色通过顽强的角色管理过程。解决方案概述优势要点新的集中化业务角色管理和嵌入式访问风险分析协作的角色治理和定义的设计流程可以避免业务和技术拥有者之间的设计流程迭代增强映射过程和技术化业务访问许可功能执行职务分离，监视最基本的角色设计，使用清洁的角色新的角色设计和灵活的角色构建工作流，包括预防性模拟过程流线型角色设计简化管理新功能分析角色使用情况，优化角色分配，并实时更新角色定义优化角色定义，减少角色冗馀改进角色比较，检测后端变化，提供角色一致性、同步和合规性报告新进程的定期角色认证进程2.3.1功能列表新增功能认证资格启动设定增强管理系统Role Mapping (角色映射)sap角色维护Role Derivation (角色解析)Role Update/Mass Role DerivationCUA Composite RolesAdditional FeaturesRole Management Customizing (角色管理定制)Settings (设定)BRF工作流程Role Owner2.3.2重组和设计项目中的角色重组和设计角色的目的(一)消除作用水平的风险；(2)便于迅速提供无风险的用户帐户。(3)建立明确、基于风险分析的便于长期维护的角色体系，为SAP应用奠定安全基础。角色重组与设计原则(1)结合业务类型、组织结构：在Role重组过程中充分考虑集团业务类型和组织结构。 例如Role根据公司和组织的类型分为工厂、共享服务中心等，名字有所不同。(2)结合实际业务中的岗位设置：整理各岗位职责，避免人为设置岗位。 例如，使用共享服务中心集团设置的标准的财务工作场所。(3)可再利用性：将实际业务和风险分析的规则结合起来，定义粒度小的模板Role，为了派生或组合新的Role可以重复使用。(4)职务分离：充分考虑职务分离的规则，在单一的Role水平上实现无SOD冲突。(5)统一性：充分考虑集团整体的所有业务，各公司的Role按照统一的规则派生复合。2.3.3重组后的参考作用体系模板ROLE模板Role说明衍生角色复合ROLE职场说明T_FI_GL01_Post.Doc一般证明书登记D_FI_LG_GL01_Post Docs_01C_FI_LG_GL POST记账凭证T_FI_GL01_Doc.Dsp一般证书显示D_FI_LG_GL01_Doc.Dsp_01T_FI_GL01_Doc.Rev一般凭证冲销D_FI_LG_GL01_Doc.Rev_01T_FI_Doc.Chg修改一般证书D_FI_LG_GL01_Doc.Chg_01T_FI_Park