GRC访问控制解决方案介绍

1、GRC访问控制解决方案介绍有效管理和较低访问风险议程企业ERP系统访问权限管理难点SAP GRC访问控制介绍访问权限违规分析及问题处理实时预防权限问题发生超级用户帐号管控企业角色设计与管理用户访问权限生命周期管理SAP GRC访问控制案例分享SAP GRC最佳业务实践包远程健康检查服务问答环节企业ERP系统访问权限管理难点ERP系统环境下的企业信息安全管理企业内部信息安全漏洞对企业造成的重大损失：2002年，富士通公司内部人员泄露了日本防卫厅的机密系统设计文档，导致公司损失了5000万美元。更致命的是，富士通在五年之内都不可能承揽到日本军方的任何项目。据事后调查，这次泄密主要是因为富士通的工程

2、师在做设计的时候，复制了共享的设计文档，然后通过移动硬盘带到了公司外部并卖给外国情报机构。凯恩股份国家火炬计划重点高新技术企业，也是全球范围内仅有的两家能够系列化生产电解电容器纸的厂家之一，因为公司研究人员将产品机密设计图纸私自售于山东鲁南纸业公司牟取个人利益，市场上出现大量价低价格的同类产品，凯恩股份公司净利润从2003年的3784万元 ，下降至2005年的2558万元 。巴林银行交易员尼克里森身兼ERP系统中交易与清算两种互斥职能，他利用清算的权限来掩盖自己金融衍生品交易造成的损失，待被发现时由于损失金额巨大已无法挽回，导致了这家银行业的“百年老店”的破产。Nick Lison应用系统权限

3、管理的普遍问题应用系统帐号和角色众多，管理复杂，权限过大的情况时有发生，手工维护极易出错，给企业应用系统安全带来隐患企业内审部门无法通过人工方式有效的检测所有用户帐号和权限分配的合规性以及合理性，对超级用户的审计取证困难企业IT部门每天花费大量的时间和人力维护应用系统中的用户帐号和权限，进行密码重置等繁琐的工作企业业务部门在权限审批过程中没有审批依据，业务部门和IT部门在权限管理的过程中沟通不畅企业员工从入职到离职的帐号管理通常通过手工完成，容易出错且管理效率较低12345访问权限管理难点访问权限分散管理业务部门与IT部门无法有效协同工作权限审计费时费力企业无法积极预防权限管理漏洞的发生Cau

4、tion: Access RisksAhead访问权限问题合理恰当的分配访问授权，预防问题的发生简化及预防提升业务部门和IT部门的协作嵌入和集成降低合规成本自动化、流程化形成实时洞察力持续性监控如何解决？访问权限管理计划监控应对分析评估集中管理超级用户紧急访问完整的用户分析、分析、预警和报告功能与流程控制和风险管理集成，提供统一的企业治理和合规平台在用户管理和角色维护中提供嵌入式风险分析功能与目前市场上现有主导的身份管理系统集成标准化、自动化用户访问权限复核工作为SAP和非SAP系统提供实时风险分析和修复能力完整的预配置规则集，企业并非从“零”开始持续监控访问权限问题和用户权限分配SAP GR

5、C访问控制形成实时洞察力降低访问权限管理时间和成本合理分配访问授权预防问题发生SAP GRC访问控制介绍访问权限违规分析及问题处理实时预防权限问题发生超级用户帐号管控企业角色设计与管理用户访问权限生命周期管理应用系统权限管理解决方案SAP GRC访问控制持续预防职责冲突风险，保护企业敏感信息的安全访问规则跨平台跨功能领域功能模块管理复核保护信息，防范舞弊通过软件包标准提供的规则自动清除访问授权风险在各部门、各应用系统之间强制职责分离预防不正确的授权出现，以替代原先被动的解决问题的方式优化运营流程自动化的职责分离管控自动化的访问授权管理提升IT与业务部门的协同工作通过复核和审批流程强制责任意识防

6、范授权风险，简化合规流程财务合规的时间和成本最小化为职责分离控制测试和跟踪提供有力的证据监控和报告系统访问权限方面的关键风险报表展现统一化用户管理平台企业角色管理平台超级帐号管控风险检测风险防范例外管理职责冲突规则库公司政策要求行业最佳实践经验FINSCMSRMMFGHR用户复核及违规预警风险分析与修复即时制止安全问题和风险违规发生，提供实时合规通过企业范围内的预防性控制防范访问权限风险 通过自动化方式，降低企业合规成本 使用完整的预定义规则库，企业能够快速上手234561提供端到端的自动化方案“访问权限问题清理的过程为我们提供了一个管理用户访问权限的全新视角” Deepak Mehrotra

7、, SOX Compliance Manager, Synopsys Inc.识别访问控制风险创建及维护访问控制风险规则检测访问控制风险风险清除与补偿报告风险预防识别访问控制风险创建及维护访问控制风险规则检测访问控制风险风险清除与补偿报告风险预防SAP GRC RARSAP GRC ERMSAP GRC SPMSAP GRC CUPReduces cost of Compliance with Automated Controls访问权限风险分析防范访问权限问题的发生快速建立自动化访问权限风险分析机制。SAP提供一套完整的访问权限风险分析规则，该套规则业务最佳实践进行设计。分析评估对SAP系统

8、和非SAP系统以及跨系统之间的访问权限风险进行实时分析，并提交分析报告。应对应对或弥补访问权限风险监控持续性监控访问权限风险以及用户权限分配中所出现的问题计划Reduces cost of Compliance with Automated Controls访问权限风险分析防范访问权限问题的发生计划分析评估应对监控完整的SoD和关键权限规则库通过业务化的语言描述技术化的规则，提升IT和业务部门之间的协同性执行细颗粒度的用户层面、角色层面风险分析基于SAP、Oracle、JD Edward、PeopleSoft、历史遗留系统和自开发系统的实时数据进行分析通过可视化报表展现分析结果Smurfit

9、Kappa在6个月内完成了对170个系统的访问权限风险清理工作。” Johan Kroone VP, Information Systems, Smurfit Kappa Group PLC“Reduces cost of Compliance with Automated ControlsAccess Risk Analysis防范访问权限问题的发生计划分析评估应对监控Waters完成了99%的职责分离问题和关键权限滥用违规问题的清理。” Susan Holleran - Vice President, Audit and Risk Management, Waters Corporatio

10、n“迅速应对所发现的权限违规补偿性控制的主动化管理支持补偿性控制定期认证机制支持用户和角色访问变更的模拟分析机制通过定期的职责分离风险复核，对访问权限问题进行监控“SAPOraclePeopleSoftJD EdwardsHR（人力资源）Procure to Pay（采购到付款）Order to Cash（现款销售）Finance（财务）General Accounting（总帐）Project Systems （项目管理）Fixed Assets（固定资产）Basis, Security and System Administration（系统基础管理、安全管理等）Materials Man

11、agement（物料管理）APOSRMCRMConsolidations（合并）HR（人力资源）Procure to Pay（采购到付款）Order to Cash （现款销售）Finance（财务）General Accounting（总帐）Project Systems（项目管理）Fixed Assets（固定资产）System Administration（系统管理）HR（人力资源）Procure to Pay（采购到付款）Order to Cash（现款销售）Finance（财务）General Accounting （总帐）Fixed Assets（固定资产）System Admin

12、istration（系统管理）HR/Payroll（人力资源）Procure to Pay（采购到付款）Order to Cash（现款销售）Finance（财务）General Accounting（总帐）Consolidations（合并）SAP GRC访问控制提供符合行业最佳实践的、跨企业应用的规则库12大业务流程，150标准职责，281风险点，133600+详细分析规则SAP GRC访问控制预置规则举例合规化用户管理提供用户帐号全生命周期的合规管理方案“通过使用访问控制，我们的用户申请流程从原来的2周减少到现在的2天” Web Seminar Rockwell Collins内嵌于业务

13、流程中的跨企业预防性合规管理大大降低用户管理成本提升最终用户的工作效率提供清晰而完整的审计痕迹访问申请经理审批关键用户审批信息安全审批手工创建电子邮件电子邮件电子表格、纸质单据电子表格、纸质单据当前管理方法：低效率、不合规动态的工作流，合规化管理基于申请类型和用户属性的工作流动态工作流动态工作流电子邮件通知单键点击进行模拟风险分析，方便易用100%自动化100%自动化员工入职或离职HR 事件自动创建请求经理审批风险分析自动创建手工自动SAP GRC RARSAP GRC ERMSAP GRC SPMSAP GRC CUPReduces cost of Compliance with Autom

14、ated Controls自动化合规用户管理降低访问权限管理成本，提升管理效率计划用户访问申请流程定义，密码重置服务流程定义，等分析评估用户访问权限申请过程中的嵌入式风险分析应对 自动化工作流提升访问权限审批效率监控标准化及自动化的用户访问权限复核Reduces cost of Compliance with Automated Controls自动化合规用户管理降低访问权限管理成本，提升管理效率计划分析评估应对监控自助服务引擎使访问权限申请流程标准化嵌入式实时风险分析功能能够预防访问权限风险的发生与当前市场中领先的身份管理方案集成，帮助企业建立合规化的身份管理平台Allegheny Ener

15、gy通过减少用户申请审批所需时间降低IT成本，同时减少20%的管理成本。” James Bowman - Manager IT Security, Allegheny Energy“Reduces cost of Compliance with Automated Controls自动化合规用户管理降低访问权限管理成本，提升管理效率计划分析评估应对监控Newell Rubbermaid将92%的用户权限复核流程自动化。” Dina Dayal - Director of Security and Quality Assurance, Newell Rubbermaid Inc.“自动化工作流提

16、升用户申请审批效率完整的审计日志和审批报表支持内部和外部审批要求标准化、自动化用户访问权限复核“SAP GRC访问控制实时风险分析和预防用户管理SAP GRC访问控制实时风险分析和预防用户管理SAP GRC访问控制实时风险分析和预防用户管理SAP GRC访问控制实时风险分析和预防用户管理SAP GRC访问控制企业角色管理提供企业应用系统角色管理的统一平台节约企业角色管理成本防范访问权限风险，简化合规强制执行最佳实践，减少错误发生提供可审计的日志记录和安全检查“为角色管理节省28%的时间” 客户调查集中化的角色管理跨应用系统企业政策角色管理角色企业角色合规角色角色角色角色角色角色角色角色角色审计

17、日志SAP GRC RARSAP GRC ERMSAP GRC SPMSAP GRC CUPReduces cost of Compliance with Automated Controls与业务岗位相适应的角色定义降低访问权限管理成本，提升管理效率计划统一的业务角色管理平台，灵活配置的角色定义流程分析评估角色层面的访问权限模拟分析帮助企业从源头控制访问权限风险的发生，制作干净的角色应对业务部门和技术部门协同工作，建立闭环的角色管理流程监控定期角色认证流程，优化角色定义，降低角色冗余比例Reduces cost of Compliance with Automated Controls与业务

18、岗位相适应的角色定义降低访问权限管理成本，提升管理效率计划分析评估应对监控通过集成化的工作流，记录角色变更和审批同时支持技术用户和业务用户将技术性的访问授权与业务化的岗位职责相匹配支持业务角色的定义，一个业务角色能够包含来自不同系统的技术角色通过跨系统风险分析功能支持对业务角色的风险分析访问控制系统为我们带来了巨大收益，帮助Valero确认我们的IT系统具有良好的权限控制，降低我们的总体合规成本。” William Webber - Manager SAP, Valero Energy Corporation“Reduces cost of Compliance with Automated

19、Controls与业务岗位相适应的角色定义降低访问权限管理成本，提升管理效率计划分析评估应对监控全系统的有效控制必须包含对于访问权限违规风险的控制，这样的权限控制只有通过SAP GRC访问控制来实现。” Tetsuya Yamada - General Manager of IT Controller Division, Combi Corporation“分析角色使用，优化角色分配在角色变更时，自动更新用户权限分配定期重新复核角色授权和角色分配“合规化的超级用户访问New sessionNew sessionNew sessionNew session日志日志日志日志SAP_ALL预定义和预

20、分配的超级特权帐号访问限制有效期控制审计日志中的详细跟踪日志信息（精确至授权对象层面）提供针对SAP系统的超级用户合规化管理Firecall ID SDFirecall ID MMFirecall ID FICOFirecall ID 超级用户解决了“第一号”审计问题通过快速紧急应对预案，避免业务中断降低审计时间成本减少关键任务的执行时间“超级用户和审计人员的最爱” Web Seminar Lincoln ElectricSAP GRC访问控制超级用户权限管理SAP GRC RARSAP GRC ERMSAP GRC SPMSAP GRC CUPReduces cost of Complian

21、ce with Automated Controls统一的紧急且超级的访问权限管理高效且严格管理紧急（超级）权限使用计划自助化的紧急（超级权限）访问工作流和审批工作流分析评估对所有的SAP系统超级访问权限进行统一的审批和管理应对 详细的使用日志信息帮助审核人对超级权限使用情况进行全面审核监控闭环管理流程对超级用户操作执行情况和异常情况进行管理Reduces cost of Compliance with Automated Controls统一的紧急且超级的访问权限管理高效且严格管理紧急（超级）权限使用计划分析评估应对 监控追踪和审批紧急（超级）访问权限申请工作流，保留完整审计日志根据有效期进

22、行临时权限分配自动化分配紧急（超级）帐号GRUMA在解决审计发现问题上有90%的效率提升。” Juan Carlos Vela - CIO, GRUMA“Reduces cost of Compliance with Automated Controls统一的紧急且超级的访问权限管理高效且严格管理紧急（超级）权限使用计划分析评估应对 监控我认为，SAP GRC解决方案给我们带来的主要收益是我们不会在年底审计的过程中出现没有预计到的大问题。“ Dr. Justin Lim CIO, STATS ChipPAC Ltd.“Firefighting过程中的所有操作均被记录，并由系统出具报表闭环工作流

23、支持对日志报表的复核工作 通过工作流，管理预期操作和实际操作间的差异“SAP GRC访问控制超级用户权限管理审计人员能够轻松的获得对于超级用户的审计证据用户访问权限生命周期管理主要集成特性SAP HRSAP BW / BO商务智能身份管理系统SAP Netweaver IdMIBMSUNLegacySAP GRC访问控制HR集成特性一（访问请求自动化触发）SAP HRSAP GRC访问控制AC通过后台作业定期自动检查HR系统中的相应变更，例如“新员工”、“员工换岗”、“员工离职”等AC抓取到HR系统中相应员工变化信息AC根据其自身所设置的判断规则自动触发相应的请求，例如：HR系统新员工创建 A

24、C新员工帐号请求HR系统员工换岗 AC员工帐号变更请求HR系统员工离职 AC员工帐号锁定/删除请求123SAP GRC访问控制HR集成特性二（ERP系统密码自助）SAP HRSAP GRC访问控制ERP用户在AC系统中提交相应密码自助服务请求，并输入所需验证信息（如身份证号码）。12AC根据所设置的HR系统信息类型进行身份验证匹配。3HR系统返回以下结果：身份验证匹配成功与否用户相应ERP系统帐号用户电子邮件信息若匹配成功则进行ERP系统密码重置若匹配不成功，则返回出错信息45通过电子邮件通知用户新密码合规化身份管理身份管理基于员工职位判断所需授权信息HR应用系统新入职 / 职位变更经理审批权

25、限分配创建用户分配角色异构系统架构分配SAP GRC访问控制合规风险检查与补救创建用户分配授权HR创建用户分配角色创建用户分配角色与IDM集成的访问权限管理流程创建权限申请请求SAP系统和非SAP系统或者创建创建权限申请秋千HRSAP应用系统OS审批工作流风险应对风险分析访问权限治理流程SAP GRC身份管理系统与IDM集成的角色管理流程（情景一）用户可以申请该角色SAP系统和非SAP系统OR用户可以申请该角色SAP应用系统OSSAP GRC身份管理平台导入企业角色设计业务角色风险分析应对风险发布角色角色治理流程角色抽取与IDM集成的角色管理流程（情景二）用户可以申请该角色SAP系统和非SAP

26、系统OS身份管理平台导入企业角色设计业务角色IDM角色管理发布角色角色抽取风险分析与应对风险应对风险分析角色治理流程SAP GRC审批工作流实现企业统一GRC策略的唯一方案 提供访问风险的实时洞察力在VCP，我们已经从一种风险整改的企业文化演化至风险弥补的企业文化。当前我们所有的业务部门均深知尚未治理的企业风险所可能带来的潜在影响。” Celso Yao - Risk Manager, Votorantim Celulose e Papel“嵌入式SAP仪表盘和水晶报表为用户提供管理企业访问权限问题的洞察力。开放式报表架构允许客户进行客户定制化报表开发。客户也可以使用另外的分析和报表开发工具进

27、行报表开发。与SAP GRC流程控制和风险管理模块进行集成，提供统一的企业治理、风险与合规解决方案“SAP GRC访问控制案例分享购买SAP GRC访问控制的国内用户中国大陆客户案例制定企业级的职责分离冲突和敏感访问权限规范通过进行职责分离冲突风险分析，大力推动SAP ERP系统中的权限清理工作通过SAP GRC访问控制，实时预防职责分离冲突风险的发生，监督敏感权限的授予，有效的控制访问风险，防范舞弊事件的发生通过用户自动创建、自动权限变更功能和密码自助服务功能，大大降低IT部门权限组的工作量对超级权限帐号的使用进行了有效的监督HGVSEPGLES采购生产仓储管理销售物流半成品财务项目管理国内

28、知名白色家电企业SAP GRC最佳业务实践包SAP 最佳业务实践介绍SAP 最佳业务实践是一个提供了可预置业务流程和项目加速器的包装，为客户提供简化了的SAP消费方案。SAP最佳业务实践包括:业务流程以及其系统配置文档和培训材料安装执行工具包的类型:ERP核心系统需求通用包行业方案包跨行业包 (客户关系管理、人才资本管理、 商务智能等等)收益:收集了世界一流的业务实践80%已完成的框架，余下20%依靠伙伴公司独特实现未来可进一步定制或扩充的可能完成原型以日计数而非以月计数加速SAP 项目的实施适用于多种项目:开发、原型、砂箱/培训、蓝图等等SAP 最佳业务实践 公司治理、风险管理与合规业务情景范围风险管理