Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Die grossgeschriebenen Bezeichnungen (z.B. ENDUSER) kommen bei der Rechtesynchronisation via LDAP zum Tragen, siehe LDAP (Active Directory) Systemparameter, Parameter LDAP_SECURITY_GROUPS_MAPPING.


Übersicht:

BerechtigungEnduserViewerExpertAdminIT Support
(ENDUSER)(VIEWER)(EXPERT)(ADMIN)(IT_SUPPORT)
AnwendungsbeispielMitarbeiterinternal AuditIKS-VerantwortlicherAdmin für BereichSystem Verantwortlicher
Lesen Kontroll-Setup
XX
X
Bearbeiten Kontroll-Setup

X
X
Lesen Kontroll-TaskX 11)XX
X
Support leisten für Kontroll-Task 8)



X
Bearbeiten eigener/delegierter Kontroll-TasksX



Abschliessen eigener/delegierter1) Kontroll-TasksX



Lesen BerichtX 13)XX
X
Bearbeiten Action/Bericht

X
X
Erstellen ActionX2)
X
X
Lesen ActionX 11)XX
X
Support leisten für Action 8)



X
Erfassen Implementierungs-ForschrittX3)
X
X
Abschliessen ActionX4)


X
Lesen Risiko/Prozess
XX
X
Bearbeiten Risiko/Prozess

X
X
Verknüpfen Risiko/Prozess

X
X
Lesen Risiko AssessmentXXX
X
Bearbeiten Risiko Assessment

X
X
Benutzer wechseln



X
Bearbeiten StellvertreterX

XX
Lesen Benutzerrechte


XX
Bearbeiten Benutzerrechte


XX
Bearbeiten Mitarbeiter/Organisationseinheiten


XX
Lesen Bereich

XXX
Erstellen Bereich


XX
Bearbeiten Bereich

XXX
Bearbeiten System Konfiguration


XX
Lesen System Parameter/BatchJobs


XX
Bearbeiten System Parameter/BatchJobs



X
Lesen EreignisseX 11)X 12)X 12)
X
Bearbeiten Ereignisse

X 12)
X
Lesen Dokument  9)X 11)XXXX
Bearbeiten (zentrales) Dokument  9) 10)


XX


Weitere Rollen, feingranular aufgeteilt je nach Tätigkeitsgebiet:

Berechtigung


Control ExpertControl ViewerAction ExpertAction ViewerRisk ExpertRisk ViewerIncident ExpertIncident ViewerDocument AdminDocument ViewerUser AdminSystem AdminCoordinatorControl CoordinatorAction Coordinator

(CONTROL_
EXPERT)

(CONTROL_
VIEWER)

(ACTION_
EXPERT)

(ACTION_
VIEWER)

(RISK_
EXPERT)

(RISK_
VIEWER)

(INCIDENT_
EXPERT)
(INCIDENT_
VIEWER)

(DOCUMENT_ADMIN)*

(DOCUMENT_VIEWER)*

(USER_
ADMIN)
(SYSTEM_
ADMIN)
(COORDINATOR)(CONTROL_
COORDINATOR)
(ACTION_
COORDINATOR)
HinweiseIKS (Interne Kontrollen)IA (Issues & Actions)RiskikomanagementOperationelle EreignissseDMS (Dokumente)AdministrationSehr selten verwendet
Lesen Kontroll-SetupXX









XX
Bearbeiten Kontroll-SetupX













Lesen Kontroll-TaskXX









XX
Support leisten für Kontroll-Task 8)











XX
Bearbeiten eigener/delegierter Kontroll-Tasks














Abschliessen eigener/delegierter1) Kontroll-Tasks














Lesen Bericht

XX










Bearbeiten Action/Bericht

X











Erstellen Action

X











Lesen Action

XX







X
X
Support leisten für Action 8)











X
X
Erfassen Implementierungs-Forschritt

X








X
X
Abschliessen Action











X
X
Lesen Risiko/Prozess



XX








Bearbeiten Risiko/Prozess



X









Verknüpfen Risiko/ProzessX
X
X









Lesen Risiko Assessment



XX








Bearbeiten Risiko Assessment



X









Benutzer wechseln











XXX
Bearbeiten Stellvertreter









X
XX5)X6)
Lesen Benutzerrechte









X
XXX
Bearbeiten Benutzerrechte









X



Bearbeiten Mitarbeiter/Organisationseinheiten









X



Lesen BereichX
X







X


Erstellen Bereich










X


Bearbeiten BereichX
X







X


Bearbeiten System Konfiguration










X


Lesen System Parameter/BatchJobs










X


Bearbeiten System Parameter/BatchJobs










 X


Lesen Ereignisse





X 12)X 12)






Bearbeiten Ereignisse





X 12)







Lesen Dokument 9)XXXXXXXXXXXXXXX
Bearbeiten (zentrales) Dokument 9) 10)








X





*noch nicht umgesetzt in der Rechte-Synchronisation


Fussnoten und Details:

1) wenn delegiert mit Abschliessen
2) wenn der Actiontyp die Erstellung von Enduser erlaubt
3) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist
4) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist & Enduser = Primary Action Owner ist
5) nur für Kontrollen
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen
8) via Benutzer wechseln
9) Reichweiten sind: OE
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Tasks / Actions, ...) wird dieses Recht nicht abgefragt
11) mit eigener OE
12) geprüft werden Area UND Incident Type oder OE UND Incident Type 
13) nur wenn der Enduser in einem spezifischen Bericht "zusätzliche Leseberechtigung" erhält


Scopes bestimmen die Reichweiten der Berechtigungen

Je nach Rolle sind verschiedene Scope-Einschränkungen möglich. Scopes bestimmen die Reichweite / Gültigkeitsgebiet der Rechte.
So können Rechte nur für einen bestimmten Bereich vergeben und sehr fein granular gemäss "Need-to-know"-Prinzip vergeben werden. 

Nachfolgend die in der Applikation vorhandenen Scopes zur Übersicht. Hinweis: nicht alle Scopes sind für jede Rolle relevant.


ScopeErklärungDetails und Hinweise
OEbestimmt für welche Organisationseinheiten die Rolle vergeben wirdDie genannte OE’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich.
Bereichbestimmt für welche Bereiche die Rolle vergeben wirdDie genannte Bereiche und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich.
Ereignis-Typenermöglicht die Einschränkung auf bestimmte Ereignistypen nur relevant für das Modul OpLoss (Operationelle Ereignisse)
Risiko Assessment-Typenermöglicht die Einschränkung auf bestimmte Risiko Assessment-TypenDiese Reichweite wird mit OE und Bereich kombiniert - falls weder OE noch Bereich gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risiko Assessments.
Dokument-Typenermöglicht die Einschränkung auf bestimmte Dokument-Typennur relevant für das Modul DMS, falls es relevante Dokumenten-Typen gibt


Zusatzinformationen

Es gibt an einzelnen Stellen zusätzliche Regelungen die betreffend Benutzer-Rechten relevant sein können:

  • In Produktion kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon. 
  • Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
  • teilweise gibt es zusätzliche Einstellungen in den Konfigurationen um weitere Vertraulichkeitsstufen zu definieren, zwei Beispiele:
    • "Geschlossener Benutzerkreis" in den OE's
    • "Immer sichtbar für eigene OE" im Dokumenten-Typ (DMS)