Als erstes haben wir eine Übersicht der Verschiedenen Rollen erstellt.
Diese ist hierarchich aufgebaut: klicken Sie die Rolle auf und Sie sehen unterliegende(n) Rolle(n) zum Vorschein kommen:As a quick introduction, here is a hierarchical view of the different Roles. Click on the different levels to see subjacent roles:
Eine Übersicht über die wichtigsten Rollen und deren Rechte sind in der ersten Tabelle ersichtlich. Primäres Ziel ist es hier, eine einfache Lösung für die wichtigsten Rollen anzubieten, um eine transparente und effiziente Benutzerverwaltung inklusive Berechtigungen zu ermöglichen. Die Rollen Expert, Viewer, Coordinator und Admin können bei Bedarf feingranularer aufgeteilt werden, Details dazu mit den entsprechenden Berechtigungs-Zuteilungen sind in der zweiten Tabelle dargestellt.
In the following table, you find an overview over the most important roles and rights, to offer a simple glance of the the most important roles. For more advanced needs, you can further divide the roles of Expert, Viewer and Admin into more fine-grained roles, details of which are listed in the second table at the end of the page.
The roles in capital letters are used for user rights synchronisation via LDAP, see Die grossgeschriebenen Bezeichnungen (z.B. ENDUSER) kommen bei der Rechtesynchronisation via LDAP zum Tragen, siehe LDAP (Active Directory) Systemparameter, Parameter LDAP_SECURITY_GROUPS_MAPPING.
Übersicht:
Most important roles
Berechtigung | Enduser | Viewer | Expert | Admin | IT Support |
| (ENDUSER) | (VIEWER) | (EXPERT) | (ADMIN) | (IT_SUPPORT) |
| Anwendungsbeispiel | Mitarbeiter | internal Audit | IKS-Verantwortlicher | Admin für Bereich | System Verantwortlicher |
Lesen Kontroll-| Example employee position --> | Normal user | Internal Audit | ICS Responsible | Admin | IT Support |
| Read Control Setup |
| X | X |
| X |
Bearbeiten Kontroll-Lesen Kontroll-| Read Control Task | X 11) | X | X |
| X |
Support leisten für Kontroll-| Provide support for Control Task 8) |
|
|
|
| X |
Bearbeiten eigener/delegierter Kontroll-Tasks| Edit own/delegated Control Task | X |
Abschliessen eigenerdelegierter Kontroll-TasksLesen BerichtBearbeiten BerichtErstellen Lesen Support leisten für Action | Provide support for Action 8) |
|
|
|
| X |
Erfassen Implementierungs-Forschritt| Capture implementation progress | X3) |
| X |
| X |
Abschliessen Lesen RisikoProzessBearbeiten RisikoProzessVerknüpfen RisikoProzessLesen Risiko Bearbeiten Risiko Benutzer wechselnBearbeiten StellvertreterLesen BenutzerrechteBearbeiten BenutzerrechteBearbeiten MitarbeiterOrganisationseinheitenLesen Bereich | X | X | X | Erstellen Bereich | X | X | Bearbeiten Bereich | X | X | X | Bearbeiten System Konfiguration| Edit System Configuration |
|
|
| X | X |
Lesen | Read System Parameter/BatchJobs |
|
|
| X | X |
Bearbeiten | Edit System Parameter/BatchJobs |
|
|
|
| X |
Lesen Ereignisse| Read Incidents | X 11) | X 12) | X 12) |
| X |
Bearbeiten EreignisseLesen Dokument | Read Document 9) | X 11) | X | X | X | X |
Bearbeiten zentrales Dokument ...
Further roles, fine-grained according to functional scope:
| Berechtigung
| Control Expert | Control Viewer | Action Expert | Action Viewer | Risk Expert | Risk Viewer | Incident Expert | Incident Viewer | Document Admin | Document Viewer | User Admin | System Admin | Coordinator | Control Coordinator | Action Coordinator |
(CONTROL_
EXPERT) | (CONTROL_
VIEWER) | (ACTION_
EXPERT) | (ACTION_
VIEWER) | (RISK_
EXPERT) | (RISK_
VIEWER) | (INCIDENT_
EXPERT) | (INCIDENT_
VIEWER) | (DOCUMENT_ADMIN)* | (DOCUMENT_VIEWER)* | (USER_
ADMIN) | (SYSTEM_
ADMIN) | (COORDINATOR) | (CONTROL_
COORDINATOR) | (ACTION_
COORDINATOR) |
Hinweise | IKS (Interne Kontrollen| Hints --> | IcS (Internal Controls) | IA (Issues & Actions) |
Riskikomanagement | Operationelle Ereignissse| Risk Management | Operationel Incidents | DMS ( |
DokumenteSehr selten verwendet | Lesen Kontroll-| Rarely used |
| Read Control Setup | X | X |
|
|
|
|
|
|
|
|
|
| X | X |
Bearbeiten Kontroll-Lesen Kontroll-Support leisten für Kontroll-
|
| Provide support for Control Task 8) |
|
|
|
|
|
|
|
|
|
|
|
| X | X |
Bearbeiten eigener/delegierter Kontroll-Tasks | Abschliessen eigener/delegierter1) Kontroll-Tasks |
|
| Edit own/delegated Control Tasks |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Close own/delegated1) Control Tasks |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Read Report |
Lesen BerichtBearbeiten BerichtErstellen Lesen Support leisten für | Provide support for Action 8) |
|
|
|
|
|
|
|
|
|
|
|
| X |
| X |
Erfassen Implementierungs-Forschritt| Capture implementation progress |
|
| X |
|
|
|
|
|
|
|
|
| X |
| X |
Abschliessen Lesen RisikoProzessBearbeiten RisikoProzessVerknüpfen RisikoProzessLesen Risiko Bearbeiten Risiko Benutzer wechselnBearbeiten StellvertreterLesen BenutzerrechteBearbeiten BenutzerrechteBearbeiten MitarbeiterOrganisationseinheitenLesen Bereich | X | X | X | Erstellen Bereich | X | Bearbeiten Bereich | X | X | X | Bearbeiten System Konfiguration
|
|
|
|
| Edit System Configuration |
|
|
|
|
|
|
|
|
|
|
| X |
Lesen
|
|
|
| Read System Parameter/BatchJobs |
|
|
|
|
|
|
|
|
|
|
| X |
Bearbeiten
|
|
|
| Edit System Parameter/BatchJobs |
|
|
|
|
|
|
|
|
|
|
| X |
Lesen EreignisseBearbeiten EreignisseLesen Dokument
|
|
|
|
|
|
|
|
| Read Document 9) | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
Bearbeiten zentrales Dokument*noch nicht umgesetzt in der Rechte-SynchronisationLDAP synchronization not yet implemented
Footnotes and detailsFussnoten und Details:
1) wenn delegiert mit Abschliessen if delegated including Submit
2) wenn der Actiontyp die Erstellung von Enduser erlaubt if action type allows creation by Enduser
3) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist only if "May Edit" checkbox is selected for Action Owner
4) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist only if "May Edit" checkbox is selected for Action Owner & Enduser = Primary Action Owner ist
5) nur für Kontrollen only for Controls
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen only for Actions
8) via Benutzer wechselnSwitch User
9) Reichweiten sind Scopes are: OEOrgUnit
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Relevant for «central» documents – for attachments (e.g. of Tasks / Actions, ...) wird dieses Recht nicht abgefragtthis right is not
11) mit eigener OE with own OrgUnit
12) geprüft werden Area UND Incident Type oder OE UND Incident checked are OrgUnit AND Incident Type
13) nur wenn der Enduser in einem spezifischen Bericht "zusätzliche Leseberechtigung" erhält
Scopes bestimmen die Reichweiten der Berechtigungen
only if the Enduser receives "additional read right" in a specific Report
Scopes determine the reach of the role
Depending on the role it is possible to limit the reach of the role via scopes.
This way, user rights can be given for a certain part in the organization in accordance with the Je nach Rolle sind verschiedene Scope-Einschränkungen möglich. Scopes bestimmen die Reichweite / Gültigkeitsgebiet der Rechte.
So können Rechte nur für einen bestimmten Bereich vergeben und sehr fein granular gemäss "Need-to-know" -Prinzip vergeben werdenprinciple.
Nachfolgend die in der Applikation vorhandenen Scopes zur Übersicht. Hinweis: nicht alle Scopes sind für jede Rolle relevantFollowing is an overview of the available scopes. Hint: not all scopes are relevant for all roles.
Erklärung Hinweise| OE | bestimmt für welche Organisationseinheiten die Rolle vergeben wird | Die genannte OE’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Bereich | bestimmt für welche Bereiche die Rolle vergeben wird | Die genannte Bereiche und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Ereignis-Typen | ermöglicht die Einschränkung auf bestimmte Ereignistypen | nur relevant für das Modul OpLoss (Operationelle Ereignisse) |
| Risiko Assessment-Typen | ermöglicht die Einschränkung auf bestimmte Risiko Assessment-Typen | Diese Reichweite wird mit OE und Bereich kombiniert - falls weder OE noch Bereich gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risiko Assessments. |
| Dokument-Typen | ermöglicht die Einschränkung auf bestimmte Dokument-Typen | nur relevant für das Modul DMS, falls es relevante Dokumenten-Typen gibt |
Zusatzinformationen
Es gibt an einzelnen Stellen zusätzliche Regelungen die betreffend Benutzer-Rechten relevant sein können:
| OrgUnit | specifies for which OrgUnit the role is given (hierarchical scope) | multiple selection possible |
| Incident Types | limits the role to certain incident types | only relevant für module OpLoss (Operational Incidents) |
| Risk Assessment-Typen | limits the role to certain risk assessment types | this scope is combined with OrgUnit |
| Document-Typen | limits the role to certain document types | only relevant for module DMS |
Additional info
There are some specific points that need to be mentioned:
- A User Admin cannot change its own In Produktion kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon.
- Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
- Some roles / scopes are only relevant for specific modules
- In some places there are additional settings that restrict user rights further, e.g.:
- "Closed user group" in OrgUnits
- "Always visible for own OrgUnit" im Document Type
teilweise gibt es zusätzliche Einstellungen in den Konfigurationen um weitere Vertraulichkeitsstufen zu definieren, zwei Beispiele:- "Geschlossener Benutzerkreis" in den OE's
- "Immer sichtbar für eigene OE" im Dokumenten-Typ (DMS)