NC国际化推进部NC6产品手册IT监控与报告NC国际化推进部构建幸福企业创新改变未来1目录名词解释.3一概述.31.1产品概述..31.2产品价值..4二应用场景.52.1授权情况监控.52.2特权监控.82.3帐号实时管理与监控.92.4密码安全监控.112.5不相容职责互斥稽核.122.6访问安全日志.16三初始准备.173.1基础设置.17四操作指南.18NC国际化推进部构建幸福企业创新改变未来2导读此手册面向实施顾问以及企业关键用户,旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开,并以此为依托展现产品的关键应用功能,提供客户业务需求如何与产品功能相匹配的思路。本手册包括四大部分,第一部分是对产品及其价值的概要介绍;第二部分是对有关IT监控与报告的主要业务场景、流程、以及对应的产品功能的介绍;第三部分介绍了IT监控与报告启用前的初始准备设置;第四部分列举出关于IT监控与报告产品的功能点的重要操作,此部分未就详细条目展开,详情可查阅产品相关模块的在线帮助说明。为突出重点,本手册定位于方案性说明,仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用,可结合本手册,查阅如下资料:1.《组织建模手册》-----深入阐述了产品关键概念(如集团、组织、业务委托关系等)以及建模思路,是实施规划、蓝图设计的重要参考资料;2.产品帮助----针对具体功能点的关键字段、按钮操作进行详细解释,并提供关键应用示例。NC国际化推进部构建幸福企业创新改变未来3名词解释内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。IT控制IT控制是信息技术控制的简称,是指对以下信息技术资源实施的旨在实现控制目标的过程。COBIT文件——信息技术控制目标中定义的信息技术资源,包括:•数据(Data)——指最广义(例如,表面的和内在的)的对象,包括结构化和非结构化、图表、声音等等。•应用系统(ApplicationSystems)——人工程序和电脑程序的总和。•技术(Technology)——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。•设备(Facilities)——用来存放和支持信息系统的一切资源。•人员(People)——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。不相容职责分离/职责互斥不相容职责分离,也称职责互斥。是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。一概述1.1产品概述企业治理是使用NC系统进行全面风险管理、内部控制监控以及进行风险控制测试和评价的平台,它由以下模块组成:全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进等。IT控制监控及报告是企业对软件系统的访问安全方面进行内部控制监控和管理,包括监控系统的权限授权信息、稽核系统中的不相容职责、账号的实时管理、查询系统的授权操作日志记录等内容,满足IT内控及审计的要求。NC国际化推进部构建幸福企业创新改变未来4图1.1-1产品功能架构图1.2产品价值自动执行职责互斥稽核:根据内部牵制原则,对企业要求的不相容职责的授权自动进行互斥稽核,并可以按照业务流程进行稽核结果查询,提供按照公司或业务流程输出完整的职责互斥报告;系统授权全景报告:便于管理层及时全面了解企业的权限分配管理状况,作为企业权限管理控制的依据,提供基于用户、角色、业务流程多角度的授权全景查询和报告;重点授权的检查及监控:通过对关键角色、关键人员、关键功能、关键业务流程的授权情况的实时检查和报告,实施重点授权监控,保证重点业务操作的安全性;特权管理与监控:通过对特权用户如root级、系统管理员和集团管理员和普通管理员的实时监控,保证管理员层级的用户管理操作的安全性;帐号实时管理与监控:通过对人员离职或调岗的情况以及不明身份账户,与其对应的系统应用权限实时稽核检查,及时处理人员权限,保证企业信息数据的安全;提供系统的密码规则设置情况以及用户密码重组修改情况;授权操作完整细致的日志记录和报告:作为审计线索的一部分内容,将系统中关于授权的所有操作自动保留详细的日志记录,并支持企业权限管理员角度、权限变更角度、系统权限配置角度,权限配置变更角度进行查询和监控。NC国际化推进部构建幸福企业创新改变未来5二应用场景2.1授权情况监控I.业务描述当企业的大部分权限内容均体现在软件系统中后,则需要软件系统能够透明简洁的提供权限全景查询并输出权限全景报告,以作为企业权限管理控制的依据;企业的关键岗位或者业务的授权情况体现为系统中的关键角色、关键业务流程及功能点的权限分配情况,用户要求对于这些权限分配情况需要能够方便的查询及报告,以满足企业对授权进行检查和监控的目的;II.业务流程授权情况监控关键设置授权监控关键用户设置关键角色设置关键流程设置关键功能设置关键用户授权监控关键流程授权监控授权全景监控关键功能授权监控关键角色授权监控图2.1-1III.功能清单领域产品模块功能节点企业治理IT监控与报告授权全景监控关键用户授权监控关键角色授权监控关键流程授权监控关键功能授权监控NC国际化推进部构建幸福企业创新改变未来6IV.产品解决方案1)授权全景监控【授权全景监控】列示IT系统中所有业务用户及其对应的角色、职责和功能权限;【授权全景监控】列示IT系统中所有业务角色及其对应的用户、职责和功能权限;图2.1-22)关键用户授权监控对于用户需要特别关注的关键用户的授权情况,通过【关键用户授权监控】进行查看;支持查看关键用户对应的角色、职责以及功能权限信息;3)关键角色授权监控对于用户需要特别关注的关键角色的授权情况,通过【关键角色授权监控】进行查看;支持查看关键角色对应的用户、职责以及功能权限信息;4)关键流程授权监控对于用户需要特别关注的关键流程的授权情况,通过【关键流程授权监控】进行查看。支持查看关键流程对应的用户、角色以及包含的业务活动中的权限信息;NC国际化推进部构建幸福企业创新改变未来7图2.1-35)关键功能授权监控对于用户需要特别关注的关键功能的授权情况,通过【关键功能授权监控】进行查看;支持查看关键功能对应的用户和角色;图2.1-4注意:【关键流程授权监控】中的关键流程为建立业务流程时确认,具体请参见应用场景“初始准备-基础设置-业务流程”;【关键流程授权监控】中对应的功能权限为流程包含的业务活动中的功能权限并集。NC国际化推进部构建幸福企业创新改变未来82.2特权监控I.业务描述根据软件系统的应用特点,在系统中通常会存在一些超级用户或者系统管理员,专门对系统的初始化进行处理,或者专门对软件系统中的授权、密码规则、数据卸载、数据恢复、日志记录等进行操作和管理;由于超级用户或者系统管理员的权限高度影响应用系统的安全性,因此将该类用户称为特权用户,并进行重点监控;II.业务流程特权监控管理员设置特权监控设置系统管理员特权管理与监控图2.2-1III.功能清单领域产品模块功能节点企业治理IT监控与报告特权管理与监控IV.产品解决方案1)特权监控通过【特权管理与监控】能够监控超级管理员、业务中心管理员、集团管理员、普通管理员的权限信息;NC国际化推进部构建幸福企业创新改变未来9图2.2-22.3帐号实时管理与监控I.业务描述当企业员工离职时,可查看对应用户是否及时封存相关信息系统的权限;当企业员工职务变更时,可查看对应用户是否及时变更相关信息系统的权限;支持IT部门定期检查人员权限处理的及时性;支持查看年终IT审计时,审计人员权限处理的及时性;II.业务流程注意:【特权管理与监控】涉及的管理员档案均为NC系统设置的管理员。NC国际化推进部构建幸福企业创新改变未来10帐号实时管理与监控离职人员权限检查报告人员调配报告不明身份用户帐号查询报告图2.3-1III.功能清单领域产品模块功能节点企业治理IT监控与报告离职人员权限检查报告人员调配报告不明身份用户帐号查询报告IV.产品解决方案1)离职人员权限检查通过【离职人员权限检查报告】查看离职人员对应用户是否及时封存相关信息系统的权限;使用〖自动稽核〗可检查到人员离职但用户未停用的记录;图2.3-22)人员调配监控通过【人员调配报告】查看人员职务变动后,对应用户是否及时变更相关信息系统的权限;NC国际化推进部构建幸福企业创新改变未来11图2.3-33)不明身份用户帐号查询报告通过【不明身份用户帐号查询报告】查看临时用户的权限是否及时变更或停用等相关信息系统的权限;图2.3-42.4密码安全监控I.业务描述支持用户了解系统当前已有的密码策略;记录密码变更信息,以防止管理员通过修改用户邮箱盗取密码;注意:需要安装HR产品,才能实现【离职人员权限检查报告】和【人员调配报告】展现;对于NC系统的不明身份用户为没有关联人员的用户。NC国际化推进部构建幸福企业创新改变未来12II.业务流程密码安全监控密码策略分析报告用户密码重置修改报告图2.4-1III.功能清单领域产品模块功能节点企业治理IT监控与报告密码策略分析报告用户密码重置修改报告IV.产品解决方案1)密码安全监控通过【密码策略分析报告】查看系统的密码策略;通过【用户密码重置修改报告】用户密码变更的详情;图2.4-22.5不相容职责互斥稽核I.业务描述支持对不相容职责的事前控制支持对不相容职责的事后控制;支持按组织维度不同进行的权限稽核;支持以业务活动为互斥规则的权限稽核;NC国际化推进部构建幸福企业创新改变未来13II.业务流程不相容职责互斥稽核设置执行互斥设置执行稽核图2.5-1III.功能清单领域产品模块功能节点企业治理IT监控与报告互斥设置执行稽核IV.产品解决方案1)互斥设置在【互斥设置】中使用〖设置〗针对业务流程设置互斥规则;支持对【互斥设置】中已经设置完成的规则进行审核;可在【互斥设置】中查看业务流程下各流程环节的互斥规则;已设置好的互斥规则将在用户授权时进行互斥稽核,事前控制;NC国际化推进部构建幸福企业创新改变未来14图2.5-22)互斥稽核在【执行稽核】中使用〖执行稽核〗针对业务流程进行自动稽核;稽核结果包括正常、冲突、设置错误;正常表示业务活动间不存在互斥;冲突表示业务活动间存在互斥点;设置错误表示两个互斥的业务活动的功能权限设置有问题;图2.5-3在冲突点中可查看造成互斥的用户、角色、职责详情;NC国际化推进部构建幸福企业创新改变未来15图2.5-4可对稽核日志进行查看和管理;图2.5-5NC国际化推进部构建幸福企业创新改变未来162.6访问安全日志I.业务描述记录系统管理员root在系统管理中对于系统安全的一系列配置;记录权限管理员在系统中对授权的所有操作;记录IT系统中所有权限变更的日志详情;II.业务流程访问安全日志权限管理员日志权限变更报告图2.6-1III.功能清单领域产品模块功能节点企业治理IT监控与报告权限管理员日志权限变更报告IV.产品解决方案1)访问安全日志通过【权限管理员日志】查看system用户、集团管理员和普通管理员的业务日志;注意:需在【互斥设置】对业务流程设置完成互斥规则并审核通过后,才能执行稽核;不需要针对流程环节单独设置互斥规则,系统会自动根据业务流程的互斥规则自动填补。NC国际化推进部构建幸福企业创新改变未来17图2.6-2通过【权限变更报告】查看用户新增、角色新增、用户授权变更、角色授权变更、职责授权变更的业务日志详情;图2.6-3三初始准备3.1基础设置1.关键用户企业内审人员则需要对系统中的关键用户的授权情况单独予以关注和监控。2.关键角色企业内审人员则需要对系统中的关键角色的授权情况单独予以关注和监控。3.关键功能注意:访问安全日志须在企业建模平台中设置启用日志才可展现日志详情;NC国际化推进部构建幸福企业创新改变未来18企业内审人员则需要对系统中的关键的功能的授权情况单独予以关注和监控。4.互斥设置定义在业务流程、流程环节中必须分离的职责或者权限。该基础设置也是为后续互斥职责稽核功能的应用提供准备。四操作指南本手册具体详细操作应用,请登录NC系统参见相关产品帮助,或登录在线帮助网站。(http://help.ufida.com)
