iT邦幫忙

DAY 11
9

IT上櫃心法系列 第 11

[IT上櫃心法]-10.應用系統之使用者清單

重大營運系統(如:ERP)的帳號管控,關係著公司的重要營運系統是否安全?使用者的操作歷程是否可被追蹤?除了系統的帳號需要特別列入稽核項目之外,人員的使用權限使否有被清楚的規範也是會計師稽核的重點,若機密資料是隨手可以取得,那麼就跟沒有設定權限是一樣的意思。

稽核重點:重大營運系統使用者清單與組織人員是否一致?新進人員與離職人員帳號申請與移除是否確實?系統角色/群組是否有清楚的定義其可執行的權限範圍?是否規範最高權限使用群組?該群組的使用者為何?

提供資料:系統使用者清單與人員登錄記錄、系統角色/群組清單、各角色/群組的執行權限清單、最高權限使用者清單以及使用者登錄執行畫面、年度權限檢核表
一般公司在人員報到與離職都會有相關的人事處理程序需要辦理,人員依其負責之業務,申請屬於該業務範圍可以使用之系統權限,並於離職時刪除相關系統的帳號及使用權限。除了帳號的建立與刪除之外,使用者是否只能看到負責業務範圍所能夠看到的資訊,也是相關的稽核重點之一。

會計師的審計人員,藉由新進人員清冊、離職人員清冊以及系統使用者清單的相互勾稽,來查核帳號的對應關係;新進人員其申請的帳號與權限是否確實於系統中建立或移除?使用者最近一次的登錄時間為何?如果使用者很久沒有登錄或者從未登入過系統,這樣帳號是否有申請的必要?或者是人員已經離職,而相關帳號移除的動作沒有處理?

系統是否提供登錄畫面?人員登錄系統後,是否僅能執行系統賦予的功能與權限?離職人員帳號是否能夠登入?如果人員已離職卻還有登錄記錄,這樣資安上面就有重大缺失,表示系統安全管控做得不確實。

由於我們公司的系統目前屬於各自獨立的狀態,相關帳號的建立,不是藉由系統自動執行帳號的建立與刪除工作,所以人為處理的過程中,難免會有遺忘或遺漏的動作,這時候就要藉由流程的機制,落實這部份的處理,以避免產生資安上面的漏洞。

也可以藉由會計師半年度的審查,讓資訊部門主管再次清查相關的帳號管控動作是否落實。

除了帳號的管控如何執行,會計師審計人員稽核的重點更著重在使用者的權限是否被清楚的定義與規範。業務單位人員的角色與會計單位人員的角色是完全不同的;例如:業務人員可以於系統中新增訂單與出貨明細,會計人員只可以在系統中查詢訂單與出貨明細,系統出貨後立帳及傳票拋轉,非業務單位同仁權限,相對的他也不可以擁有該功能的執行權限。(這邊僅簡單的舉例,實際權限設定要複雜太多了)

所以公司針對各項業務所負責的工作去規範每一種角色可以執行的系統功能,人員再依據角色的賦予而擁有系統的使用權限。而有些工作因為涵蓋層面較廣(如資訊單位),其可能擁有系統的最高權限,而擁有這樣權限的人,其系統操作行為,更應該被管理與掌控,以避免不當的人為弊端產生。

除了提供角色/群組清單以及其執行權限清單外,帳號登錄後的執行過程也是被稽核的項目之一。以我們公司的 ERP 系統為例,我們是架設在 Linux 平台,使用者以 Telent 的方式登錄系統,登錄後直接進入系統選單畫面,所以在這個部分,審計人員會要求我們提供使用者帳號密碼輸入後的執行畫面以及離開系統的結束畫面,帳號的 profile 檔案,以確保使用者無法進入到作業系統層面去對系統執行指令的操作。

另外一個稽核重點是:是否有定期檢討使用者的帳號與權限,是否各部門主管都清楚部門人員的系統權限與角色定義。這樣做的好處讓各單位主管可以了解該部門人員所擁有的系統執行權限,如果發現人原因業務所需,需要擁有更多的權限時,就可以與資訊單位討論如何設定人員的權限,以利人員工作的執行。建議最少一年檢討一次,這樣也可以檢查出很多系統管控上沒有注意到的事情。

我們公司的作法是年底的時候將各部門的使用者與權限清單提供給各部門主管 Review,部門主管回簽表示已 Review,或者有意見時可以在上面註記,再由資訊部門主管與該部門主管溝通,如需做權限變更,則依照使用者帳號權限申請辦理。

全系列文章列表


上一篇
[IT上櫃心法]-9.系統文件
下一篇
[IT上櫃心法]-11.應用系統之使用者權限申請單
系列文
IT上櫃心法31
0
海綿寶寶
iT邦大神 1 級 ‧ 2010-10-11 08:54:20

看到這篇
真是全身都無力了

有這麼多要注意的事項
筆記

jamesjan iT邦高手 1 級 ‧ 2010-10-11 08:59:56 檢舉

其實整個稽查最重要的部份就在這邊...其他就...落寞
不過還是很多值得討論的XD

0
0
doesjudas
iT邦新手 2 級 ‧ 2010-10-12 10:59:50

"權限"確實是系統管理者重要的管制工作, 有時細到煩死人, 開個新帳號可能需要花半天時間, 這就是小公司不容易落實權限控管的主因.
這是小弟權限的設計(包含多公司的狀況)
http://tw.myblog.yahoo.com/jw!Y7ATdESRGBhwYNIoVojccy4-/article?mid=115&prev=122&next=83&l=f&fid=6
簡單說:
1 作業(模組)設定不同群組
2 設定作業群組中各個程式的權限 (增刪修, 列印, 下載, 單價, 成本..)
3 設定帳號所屬作業的群組
PS: 有多公司的作業, 再設定帳號在每家公司所屬的群組

我要留言

立即登入留言