...
| Permission | Enduser | Viewer | Expert | Admin | IT Support |
| (ENDUSER) | (VIEWER) | (EXPERT) | (ADMIN) | (IT_SUPPORT) | |
| Example employee position --> | Normal user | Internal Audit | ICS Responsible | Admin for Area | IT Support |
| Read Control Setup | X | X | X | ||
| Edit Control Setup | X | X | |||
| Read Control Task | X 11) | X | X | X | |
| Provide support for Control Task 8) | X | ||||
| Edit own/delegated Control Task | X | ||||
| Submit own/delegated1) Control Task | X | ||||
| Read Report | X 13) | X | X | X | |
| Edit Action/Report | X | X | |||
| Create Action | X2) | X | X | ||
| Read Action | X 11) | X | X | X | |
| Provide support for Action 8) | X | ||||
| Capture implementation progress | X3) | X | X | ||
| Close Action | X4) | X | |||
| Read Risk/Process | X | X | X | ||
| Edit Risk/Process | X | X | |||
| Link Risk/Process | X | X | |||
| Read Risk Assessment | X | X | X | X | |
| Edit Risk Assessment | X | X | |||
| Switch User | X | ||||
| Edit Deputation | X | X | X | ||
| Read User Rights | X | X | |||
| Edit User Rights | X | X | |||
| Edit Employees/OrgUnits | X | X | |||
| Read Area | X | X | X | ||
| Create Area | X | X | |||
| Edit Area | X | X | X | ||
| Edit System KonfigurationConfiguration | X | X | |||
| Read System Parameter/BatchJobs | X | X | |||
| Edit System Parameter/BatchJobs | X | ||||
| Read Incidents | X 11) | X 12) | X 12) | X | |
| Edit Incidents | X 12) | X | |||
| Read Dokument Document 9) | X 11) | X | X | X | X |
| Edit (zentralescentral) Dokument Document 9) 10) | X | X |
...
Further roles, fine-grained according to functional scope:
| Berechtigung | Control Expert | Control Viewer | Action Expert | Action Viewer | Risk Expert | Risk Viewer | Incident Expert | Incident Viewer | Document Admin | Document Viewer | User Admin | System Admin | Coordinator | Control Coordinator | Action Coordinator | |||||
(CONTROL_ | (CONTROL_ | (ACTION_ | (ACTION_ | (RISK_ | (RISK_ | (INCIDENT_ EXPERT) | (INCIDENT_ VIEWER) | (DOCUMENT_ADMIN)* | (DOCUMENT_VIEWER)* | (USER_ ADMIN) | (SYSTEM_ ADMIN) | (COORDINATOR) | (CONTROL_ COORDINATOR) | (ACTION_ COORDINATOR) | ||||||
| Hints --> | IcS (Internal Controls | Hinweise | IKS (Interne Kontrollen) | IA (Issues & Actions) | Riskikomanagement | Risk Management | Operationel IncidentsOperationelle Incidentsse | DMS (DokumenteDocuments) | Administration | Sehr selten verwendetRarely used | ||||||||||
| Read Kontroll-Control Setup | X | X | X | X | ||||||||||||||||
| Edit Kontroll-Control Setup | X | |||||||||||||||||||
| Read Control Task | X | X | X | X | ||||||||||||||||
| Support leisten für Provide support for Control Task 8) | X | X | ||||||||||||||||||
| Edit eigenerown/delegierter delegated Control Tasks | ||||||||||||||||||||
| Close eigenerown/delegierterdelegated1) Control Tasks | ||||||||||||||||||||
| Read Report | X | X | ||||||||||||||||||
| Edit Action/Report | X | |||||||||||||||||||
| Create Action | X | |||||||||||||||||||
| Read Action | X | X | X | X | ||||||||||||||||
| Support leisten für Provide support for Action 8) | X | X | ||||||||||||||||||
| Erfassen Implementierungs-ForschrittCapture implementation progress | X | X | X | |||||||||||||||||
| Close Action | X | X | ||||||||||||||||||
| Read Risk/Process | X | X | ||||||||||||||||||
| Edit Risk/Process | X | |||||||||||||||||||
| Link Risk/Process | X | X | X | |||||||||||||||||
| Read Risk Assessment | X | X | ||||||||||||||||||
| Edit Risk Assessment | X | |||||||||||||||||||
| Switch User | X | X | X | |||||||||||||||||
| Edit Deputation | X | X | X5) | X6) | ||||||||||||||||
| Read User Rights | X | X | X | X | ||||||||||||||||
| Edit User Rights | X | |||||||||||||||||||
| Edit Employees/OrgUnits | X | |||||||||||||||||||
| Read Area | X | X | X | |||||||||||||||||
| Create Area | X | |||||||||||||||||||
| Edit Area | X | X | X | |||||||||||||||||
| Edit System KonfigurationConfiguration | X | |||||||||||||||||||
| Read System Parameter/BatchJobs | X | |||||||||||||||||||
| Edit System Parameter/BatchJobs | X | |||||||||||||||||||
| Read Incidents | X 12) | X 12) | ||||||||||||||||||
| Edit Incidents | X 12) | |||||||||||||||||||
| Read DokumentDocument 9) | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | |||||
| Edit (zentralescentral) DokumentDocument 9) 10) | X | |||||||||||||||||||
*noch nicht umgesetzt in der Rechte-SynchronisationLDAP synchronization not yet implemented
Footnotes and detailsFussnoten und Details:
1) wenn delegiert mit Close if delegated including Submit
2) wenn der Actiontyp die Erstellung von Enduser erlaubt if action type allows creation by Enduser
3) nur wenn only if "darf May Edit" Checkbox für checkbox is selected for Action Owner selektiert ist
4) nur wenn only if "darf May Edit" Checkbox für checkbox is selected for Action Owner selektiert ist & Enduser = Primary Action Owner ist
5) nur für Kontrollen only for Controls
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen only for Actions
8) via Switch User
9) Reichweiten sind Scopes are: OrgUnit
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Relevant for «central» documents – for attachments (e.g. of Tasks / Actions, ...) wird dieses Recht nicht abgefragtthis right is not
11) mit eigener with own OrgUnit
12) geprüft werden checked are Area UND AND Incident Type oder or OrgUnit UND AND Incident Type
13) nur wenn der Enduser in einem spezifischen Report "zusätzliche Leseberechtigung" erhält only if the Enduser receives "additional read right" in a specific Report
Scopes bestimmen die Reichweiten der Berechtigungen
...
| Scope | Erklärung | Details und Hinweise |
|---|---|---|
| OrgUnit | bestimmt für welche OrgUnits die Rolle vergeben wird | Die genannte OrgUnit’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Area | bestimmt für welche Areae die Rolle vergeben wird | Die genannte Areae und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Incident-Typen | ermöglicht die Einschränkung auf bestimmte Incidenttypen | nur relevant für das Modul OpLoss (Operationelle Incidents) |
| Risk Assessment-Typen | ermöglicht die Einschränkung auf bestimmte Risk Assessment-Typen | Diese Reichweite wird mit OrgUnit und Area kombiniert - falls weder OrgUnit noch Area gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risk Assessments. |
| DokumentDocument-Typen | ermöglicht die Einschränkung auf bestimmte DokumentDocument-Typen | nur relevant für das Modul DMS, falls es relevante DokumentenDocumenten-Typen gibt |
Zusatzinformationen
...
- In Produktion kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon.
- Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
- teilweise gibt es zusätzliche Einstellungen in den Konfigurationen Configurationen um weitere Vertraulichkeitsstufen zu definieren, zwei Beispiele:
- "Geschlossener Benutzerkreis" in den OrgUnit's
- "Immer sichtbar für eigene OrgUnit" im DokumentenDocumenten-Typ (DMS)