Als erstes haben wir eine Übersicht der Verschiedenen Rollen erstellt.
Diese ist hierarchich aufgebaut: klicken Sie die Rolle auf und Sie sehen unterliegende(n) Rolle(n) zum Vorschein kommen:
Eine Übersicht über die wichtigsten Rollen und deren Rechte sind in der ersten Tabelle ersichtlich. Primäres Ziel ist es hier, eine einfache Lösung für die wichtigsten Rollen anzubieten, um eine transparente und effiziente Benutzerverwaltung inklusive Berechtigungen zu ermöglichen. Die Rollen Expert, Viewer, Coordinator und Admin können bei Bedarf feingranularer aufgeteilt werden, Details dazu mit den entsprechenden Berechtigungs-Zuteilungen sind in der zweiten Tabelle dargestellt.
Die grossgeschriebenen Bezeichnungen (z.B. ENDUSER) kommen bei der Rechtesynchronisation via LDAP zum Tragen, siehe LDAP (Active Directory) Systemparameter, Parameter LDAP_SECURITY_GROUPS_MAPPING.
Übersicht:
| Berechtigung | Enduser | Viewer | Expert | Admin | IT Support |
| (ENDUSER) | (VIEWER) | (EXPERT) | (ADMIN) | (IT_SUPPORT) | |
| Anwendungsbeispiel | Mitarbeiter | internal Audit | IKS-Verantwortlicher | Admin für Bereich | System Verantwortlicher |
| Lesen Kontroll-Setup | X | X | X | ||
| Bearbeiten Kontroll-Setup | X | X | |||
| Lesen Kontroll-Task | X 11) | X | X | X | |
| Support leisten für Kontroll-Task 8) | X | ||||
| Bearbeiten eigener/delegierter Kontroll-Tasks | X | ||||
| Abschliessen eigener/delegierter1) Kontroll-Tasks | X | ||||
| Lesen Bericht | X 13) | X | X | X | |
| Bearbeiten Action/Bericht | X | X | |||
| Erstellen Action | X2) | X | X | ||
| Lesen Action | X 11) | X | X | X | |
| Support leisten für Action 8) | X | ||||
| Erfassen Implementierungs-Forschritt | X3) | X | X | ||
| Abschliessen Action | X4) | X | |||
| Lesen Risiko/Prozess | X | X | X | ||
| Bearbeiten Risiko/Prozess | X | X | |||
| Verknüpfen Risiko/Prozess | X | X | |||
| Lesen Risiko Assessment | X | X | X | X | |
| Bearbeiten Risiko Assessment | X | X | |||
| Benutzer wechseln | X | ||||
| Bearbeiten Stellvertreter | X | X | X | ||
| Lesen Benutzerrechte | X | X | |||
| Bearbeiten Benutzerrechte | X | X | |||
| Bearbeiten Mitarbeiter/Organisationseinheiten | X | X | |||
| Lesen Bereich | X | X | X | ||
| Erstellen Bereich | X | X | |||
| Bearbeiten Bereich | X | X | X | ||
| Bearbeiten System Konfiguration | X | X | |||
| Lesen System Parameter/BatchJobs | X | X | |||
| Bearbeiten System Parameter/BatchJobs | X | ||||
| Lesen Ereignisse | X 11) | X 12) | X 12) | X | |
| Bearbeiten Ereignisse | X 12) | X | |||
| Lesen Dokument 9) | X 11) | X | X | X | X |
| Bearbeiten (zentrales) Dokument 9) 10) | X | X |
Weitere Rollen, feingranular aufgeteilt je nach Tätigkeitsgebiet:
| Berechtigung | Control Expert | Control Viewer | Action Expert | Action Viewer | Risk Expert | Risk Viewer | Incident Expert | Incident Viewer | Document Admin | Document Viewer | User Admin | System Admin | Coordinator | Control Coordinator | Action Coordinator |
(CONTROL_ | (CONTROL_ | (ACTION_ | (ACTION_ | (RISK_ | (RISK_ | (INCIDENT_ EXPERT) | (INCIDENT_ VIEWER) | neu | neu | (USER_ ADMIN) | (SYSTEM_ ADMIN) | (COORDINATOR) | (CONTROL_ COORDINATOR) | (ACTION_ COORDINATOR) | |
| Hinweise | IKS (Interne Kontrollen) | IA (Issues & Actions) | Riskikomanagement | Operationelle Ereignissse | DMS (Dokumente) | Administration | Sehr selten verwendet | ||||||||
| Lesen Kontroll-Setup | X | X | X | X | |||||||||||
| Bearbeiten Kontroll-Setup | X | ||||||||||||||
| Lesen Kontroll-Task | X | X | X | X | |||||||||||
| Support leisten für Kontroll-Task 8) | X | X | |||||||||||||
| Bearbeiten eigener/delegierter Kontroll-Tasks | |||||||||||||||
| Abschliessen eigener/delegierter1) Kontroll-Tasks | |||||||||||||||
| Lesen Bericht | X | X | |||||||||||||
| Bearbeiten Action/Bericht | X | ||||||||||||||
| Erstellen Action | X | ||||||||||||||
| Lesen Action | X | X | X | X | |||||||||||
| Support leisten für Action 8) | X | X | |||||||||||||
| Erfassen Implementierungs-Forschritt | X | X | X | ||||||||||||
| Abschliessen Action | X | X | |||||||||||||
| Lesen Risiko/Prozess | X | X | |||||||||||||
| Bearbeiten Risiko/Prozess | X | ||||||||||||||
| Verknüpfen Risiko/Prozess | X | X | X | ||||||||||||
| Lesen Risiko Assessment | X | X | |||||||||||||
| Bearbeiten Risiko Assessment | X | ||||||||||||||
| Benutzer wechseln | X | X | X | ||||||||||||
| Bearbeiten Stellvertreter | X | X | X5) | X6) | |||||||||||
| Lesen Benutzerrechte | X | X | X | X | |||||||||||
| Bearbeiten Benutzerrechte | X | ||||||||||||||
| Bearbeiten Mitarbeiter/Organisationseinheiten | X | ||||||||||||||
| Lesen Bereich | X | X | X | ||||||||||||
| Erstellen Bereich | X | ||||||||||||||
| Bearbeiten Bereich | X | X | X | ||||||||||||
| Bearbeiten System Konfiguration | X | ||||||||||||||
| Lesen System Parameter/BatchJobs | X | ||||||||||||||
| Bearbeiten System Parameter/BatchJobs | X | ||||||||||||||
| Lesen Ereignisse | X 12) | X 12) | |||||||||||||
| Bearbeiten Ereignisse | X 12) | ||||||||||||||
| Lesen Dokument 9) | X | X | X | X | X | X | X | X | X | X | X | X | X | X | X |
| Bearbeiten (zentrales) Dokument 9) 10) | X | ||||||||||||||
Fussnoten und Details:
1) wenn delegiert mit Abschliessen
2) wenn der Actiontyp die Erstellung von Enduser erlaubt
3) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist
4) nur wenn "darf bearbeiten" Checkbox für Action Owner selektiert ist & Enduser = Primary Action Owner ist
5) nur für Kontrollen
6) nur für Action
7) inkl. Überwachung / Hochladen von Bewertungsgrundlagen
8) via Benutzer wechseln
9) Reichweiten sind: OE
10) im Sinne von «zentralen» Dokumenten – bei Attachments (z.B. bei Tasks / Actions, ...) wird dieses Recht nicht abgefragt
11) mit eigener OE
12) geprüft werden Area UND Incident Type oder OE UND Incident Type
13) nur wenn der Enduser in einem spezifischen Bericht "zusätzliche Leseberechtigung" erhält
Scopes bestimmen die Reichweiten der Berechtigungen
Je nach Rolle sind verschiedene Scope-Einschränkungen möglich. Scopes bestimmen die Reichweite / Gültigkeitsgebiet der Rechte.
So können Rechte nur für einen bestimmten Bereich vergeben und sehr fein granular gemäss "Need-to-know"-Prinzip vergeben werden.
Nachfolgend die in der Applikation vorhandenen Scopes zur Übersicht. Hinweis: nicht alle Scopes sind für jede Rolle relevant.
| Scope | Erklärung | Details und Hinweise |
|---|---|---|
| OE | bestimmt für welche Organisationseinheiten die Rolle vergeben wird | Die genannte OE’s und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Bereich | bestimmt für welche Bereiche die Rolle vergeben wird | Die genannte Bereiche und alle darunter liegenden werden dem Benutzer freigeschaltet. Mehrfach-Nennungen sind möglich. |
| Ereignis-Typen | ermöglicht die Einschränkung auf bestimmte Ereignistypen | nur relevant für das Modul OpLoss (Operationelle Ereignisse) |
| Risiko Assessment-Typen | ermöglicht die Einschränkung auf bestimmte Risiko Assessment-Typen | Diese Reichweite wird mit OE und Bereich kombiniert - falls weder OE noch Bereich gefüllt oder das Dropdown bei "Nur ausgewählte RA-Typen" leer ist, erhält der Benutzer keine Rechte auf Risiko Assessments. |
| Dokument-Typen | ermöglicht die Einschränkung auf bestimmte Dokument-Typen | nur relevant für das Modul DMS, falls es relevante Dokumenten-Typen gibt |
Zusatzinformationen
Es gibt an einzelnen Stellen zusätzliche Regelungen die betreffend Benutzer-Rechten relevant sein können:
- In Produktion kann ein Administrator seine eigenen Rechte nicht ändern, in den Test-Umgebungen hingegen schon.
- Einzelne Rollen / Scopes sind nur relevant wenn die entsprechenden Module genutzt werden
- teilweise gibt es zusätzliche Einstellungen in den Konfigurationen um weitere Vertraulichkeitsstufen zu definieren, einige Beispiele:
- "Geschlossener Benutzerkreis" in den OE's
- "Immer sichtbar für eigene OE" im Dokumenten-Typ (DMS)
- System-Parameter EXCLUDE_DEFAULT_OUS_FROM_NON_ENDUSER_PERMISSION
- ...