...
The roles in capital letters are used for user rights synchronisation via LDAP, see LDAP (Active Directory) Systemparameter, Parameter LDAP_SECURITY_GROUPS_MAPPING.
Übersicht:
Most important roles
| PermissionBerechtigung | Enduser | Viewer | Expert | Admin | IT Support | |||||||||||
| (ENDUSER) | (VIEWER) | (EXPERT) | (ADMIN) | (IT_SUPPORT) | ||||||||||||
| Anwendungsbeispiel | Mitarbeiter | internal Audit | IKS-Verantwortlicher | Admin für Bereich | System Verantwortlicher | |||||||||||
| Example employee position --> | Normal user | Internal Audit | ICS Responsible | Admin | IT Support | |||||||||||
| Read Control Lesen Kontroll- Setup | X | X | X | |||||||||||||
| Bearbeiten Kontroll-Edit Control Setup | X | X | ||||||||||||||
| Lesen Kontroll-Read Control Task | X 11) | X | X | X | ||||||||||||
| Support leisten für Kontroll-Provide support for Control Task 8) | X | |||||||||||||||
| Bearbeiten eigener/delegierter Kontroll-TasksEdit own/delegated Control Task | X | |||||||||||||||
| Abschliessen eigenerSubmit own/delegierterdelegated1) Kontroll-Tasks Control Task | X | |||||||||||||||
| Lesen BerichtRead Report | X 13) | X | X | X | ||||||||||||
| Bearbeiten Edit Action/BerichtReport | X | X | ||||||||||||||
| Erstellen Create Action | X2) | X | X | |||||||||||||
| Lesen Read Action | X 11) | X | X | X | ||||||||||||
| Support leisten für Action Provide support for Action 8) | X | |||||||||||||||
| Erfassen Implementierungs-ForschrittCapture implementation progress | X3) | X | X | |||||||||||||
| Abschliessen Close Action | X4) | X | ||||||||||||||
| Lesen RisikoRead Risk/ProzessProcess | X | X | X | |||||||||||||
| Bearbeiten RisikoEdit Risk/ProzessProcess | X | X | ||||||||||||||
| Verknüpfen RisikoLink Risk/ProzessProcess | X | X | ||||||||||||||
| Lesen Risiko Read Risk Assessment | X | X | X | X | ||||||||||||
| Bearbeiten Risiko Edit Risk Assessment | X | X | ||||||||||||||
| Benutzer wechselnSwitch User | X | |||||||||||||||
| Bearbeiten StellvertreterEdit Deputation | X | X | X | |||||||||||||
| Lesen BenutzerrechteRead User Rights | X | X | ||||||||||||||
| Bearbeiten BenutzerrechteEdit User Rights | X | X | ||||||||||||||
| Bearbeiten MitarbeiterEdit Employees/OrganisationseinheitenOrgUnits | X | X | ||||||||||||||
| Lesen Bereich | X | X | X | Erstellen Bereich | X | X | Bearbeiten Bereich | X | X | X | Bearbeiten System KonfigurationEdit System Configuration | X | X | |||
| Lesen Read System Parameter/BatchJobs | X | X | ||||||||||||||
| Bearbeiten Edit System Parameter/BatchJobs | X | |||||||||||||||
| Lesen EreignisseRead Incidents | X 11) | X 12) | X 12) | X | ||||||||||||
| Bearbeiten EreignisseEdit Incidents | X 12) | X | ||||||||||||||
| Lesen Dokument Read Document 9) | X 11) | X | X | X | X | |||||||||||
| Bearbeiten Edit (zentralescentral) Dokument Document 9) 10) | X | X |
...
Further roles, fine-grained according to functional scope:
| Berechtigung | Control Expert | Control Viewer | Action Expert | Action Viewer | Risk Expert | Risk Viewer | Incident Expert | Incident Viewer | Document Admin | Document Viewer | User Admin | System Admin | Coordinator | Control Coordinator | Action Coordinator | ||||||||||
(CONTROL_ | (CONTROL_ | (ACTION_ | (ACTION_ | (RISK_ | (RISK_ | (INCIDENT_ EXPERT) | (INCIDENT_ VIEWER) | (DOCUMENT_ADMIN)* | (DOCUMENT_VIEWER)* | (USER_ ADMIN) | (SYSTEM_ ADMIN) | (COORDINATOR) | (CONTROL_ COORDINATOR) | (ACTION_ COORDINATOR) | |||||||||||
| Hints --> | IcS (Internal Controls | Hinweise | IKS (Interne Kontrollen) | IA (Issues & Actions) | Riskikomanagement | Risk Management | Operationel IncidentsOperationelle Ereignissse | DMS (DokumenteDocuments) | Administration | Sehr selten verwendet | Rarely used | ||||||||||||||
| Read Control Lesen Kontroll- Setup | X | X | X | X | |||||||||||||||||||||
| Bearbeiten Kontroll-Edit Control Setup | X | ||||||||||||||||||||||||
| Lesen Kontroll-Read Control Task | X | X | X | X | |||||||||||||||||||||
| Support leisten für Kontroll-Provide support for Control Task 8) | X | X | Bearbeiten eigener/delegierter Kontroll-Tasks | Abschliessen eigener/delegierter1) Kontroll-Tasks | |||||||||||||||||||||
| Edit own/delegated Control Tasks | |||||||||||||||||||||||||
| Close own/delegated1) Control Tasks | |||||||||||||||||||||||||
| Read ReportLesen Bericht | X | X | |||||||||||||||||||||||
| Bearbeiten Edit Action/BerichtReport | X | ||||||||||||||||||||||||
| Erstellen Create Action | X | ||||||||||||||||||||||||
| Lesen Read Action | X | X | X | X | |||||||||||||||||||||
| Support leisten für Provide support for Action 8) | X | X | |||||||||||||||||||||||
| Erfassen Implementierungs-ForschrittCapture implementation progress | X | X | X | ||||||||||||||||||||||
| Abschliessen Close Action | X | X | |||||||||||||||||||||||
| Lesen RisikoRead Risk/ProzessProcess | X | X | |||||||||||||||||||||||
| Bearbeiten RisikoEdit Risk/ProzessProcess | X | ||||||||||||||||||||||||
| Verknüpfen RisikoLink Risk/ProzessProcess | X | X | X | ||||||||||||||||||||||
| Lesen Risiko Read Risk Assessment | X | X | |||||||||||||||||||||||
| Bearbeiten Risiko Edit Risk Assessment | X | ||||||||||||||||||||||||
| Benutzer wechselnSwitch User | X | X | X | ||||||||||||||||||||||
| Bearbeiten StellvertreterEdit Deputation | X | X | X5) | X6) | |||||||||||||||||||||
| Lesen BenutzerrechteRead User Rights | X | X | X | X | |||||||||||||||||||||
| Bearbeiten BenutzerrechteEdit User Rights | X | ||||||||||||||||||||||||
| Bearbeiten MitarbeiterEdit Employees/OrganisationseinheitenOrgUnits | X | ||||||||||||||||||||||||
| Lesen Bereich | X | X | X | Erstellen Bereich | X | Bearbeiten Bereich | X | X | X | Bearbeiten System KonfigurationEdit System Configuration | X | ||||||||||||||
| Lesen Read System Parameter/BatchJobs | X | ||||||||||||||||||||||||
| Bearbeiten Edit System Parameter/BatchJobs | X | ||||||||||||||||||||||||
| Lesen EreignisseRead Incidents | X 12) | X 12) | |||||||||||||||||||||||
| Bearbeiten EreignisseEdit Incidents | X 12) | ||||||||||||||||||||||||
| Lesen DokumentRead Document 9) | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X | ||||||||||
| Bearbeiten Edit (zentralescentral) DokumentDocument 9) 10) | X | ||||||||||||||||||||||||
*noch nicht umgesetzt in der Rechte-SynchronisationLDAP synchronization not yet implemented
Footnotes and detailsFussnoten und Details:
1) wenn delegiert mit Abschliessen if delegated including Submit
2) wenn der Actiontyp die Erstellung von Enduser erlaubt if action type allows creation by Enduser
3) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist only if "May Edit" checkbox is selected for Action Owner
4) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist only if "May Edit" checkbox is selected for Action Owner & Enduser = Primary Action Owner ist
5) nur für Kontrollen only for Controls
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen only for Actions
8) via Benutzer wechselnSwitch User
9) Reichweiten sind Scopes are: OEOrgUnit
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Relevant for «central» documents – for attachments (e.g. of Tasks / Actions, ...) wird dieses Recht nicht abgefragtthis right is not
11) mit eigener OE with own OrgUnit
12) geprüft werden Area UND Incident Type oder OE UND checked are OrgUnit AND Incident Type
13) nur wenn der Enduser in einem spezifischen Bericht "zusätzliche Leseberechtigung" erhält
Scopes bestimmen die Reichweiten der Berechtigungen
only if the Enduser receives "additional read right" in a specific Report
Scopes determine the reach of the role
Depending on the role it is possible to limit the reach of the role via scopes.
This way, user rights can be given for a certain part in the organization in accordance with the Je nach Rolle sind verschiedene Scope-Einschränkungen möglich. Scopes bestimmen die Reichweite / Gültigkeitsgebiet der Rechte.
So können Rechte nur für einen bestimmten Bereich vergeben und sehr fein granular gemäss "Need-to-know" -Prinzip vergeben werdenprinciple.
Nachfolgend die in der Applikation vorhandenen Scopes zur Übersicht. Hinweis: nicht alle Scopes sind für jede Rolle relevantFollowing is an overview of the available scopes. Hint: not all scopes are relevant for all roles.
| Scope | ErklärungExplanation | Details und Hinweisehints |
|---|---|---|
| OE | bestimmt für welche Organisationseinheiten die Rolle vergeben wird | Die genannte OE’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Bereich | bestimmt für welche Bereiche die Rolle vergeben wird | Die genannte Bereiche und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Ereignis-Typen | ermöglicht die Einschränkung auf bestimmte Ereignistypen | nur relevant für das Modul OpLoss (Operationelle Ereignisse) |
| Risiko Assessment-Typen | ermöglicht die Einschränkung auf bestimmte Risiko Assessment-Typen | Diese Reichweite wird mit OE und Bereich kombiniert - falls weder OE noch Bereich gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risiko Assessments. |
| Dokument-Typen | ermöglicht die Einschränkung auf bestimmte Dokument-Typen | nur relevant für das Modul DMS, falls es relevante Dokumenten-Typen gibt |
Zusatzinformationen
Es gibt an einzelnen Stellen zusätzliche Regelungen die betreffend Benutzer-Rechten relevant sein können:
| OrgUnit | specifies for which OrgUnit the role is given (hierarchical scope) | multiple selection possible |
| Incident Types | limits the role to certain incident types | only relevant für module OpLoss (Operational Incidents) |
| Risk Assessment-Typen | limits the role to certain risk assessment types | this scope is combined with OrgUnit |
| Document-Typen | limits the role to certain document types | only relevant for module DMS |
Additional info
There are some specific points that need to be mentioned:
- A User Admin cannot change its own In Produktion kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon.
- Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
- Some roles / scopes are only relevant for specific modules
- In some places there are additional settings that restrict user rights further, e.g.:
- "Closed user group" in OrgUnits
- "Always visible for own OrgUnit" im Document Type
- "Geschlossener Benutzerkreis" in den OE's
- "Immer sichtbar für eigene OE" im Dokumenten-Typ (DMS)