浅谈用户权限管理中内控检查.docVIP

浅谈用户权限管理中内控检查 　　《中国石油人力资源管理系统》(以下简称HR系统)是基于SAP平台开发的符合中石油管理模式的人力资源管理系统，系统包括八大功能模块，涵盖了中石油大部分人事业务。用户权限是否合理，关系到权限范围内数据的安全性，因此权限管理是HR系统内控测试中的重中之重。下面笔者就如何做好权限管理内控检查谈谈经验做法。 　　 　　1、用户权限管理的内控检查依据 　　 　　HR系统权限管理是依据《中国石油天然气股份有限公司用户权限管理规章制度(试行稿)》和《中国石油天然气股份有限公司信息系统总体控制实施办法SAP系统补充版》执行。内控检查按照补充版进行检查。 　　 　　2、内控检查方式 　　 　　2.1　提前下发审计提纲 　　外部审计公司会提前一周将审计提纲发给各地区公司，要求地区公司做好准备。在此期间关键用户需要整理并核对要检查的表单。保证表单完整性。 　　2.2　进驻地区公司检查 　　2.2.1　询问存在疑问的样本 　　审计人员一般会从总部BAISC那儿选取一些样本(审计人员认为有疑问的用户和角色)。正式进驻检查后会与关键用户沟通，确认这些样本是否存在问题。如审计人员认为某些用户不应用具备某些敏感权限，但目前拥有此权限，那么关键用户需要给出合理的解释。 　　2.2.2　抽取一定比例样本检查 　　每次检查必然会抽取一定比例权限变更和解锁的样本，主要有：《SAP系统口令重置及解锁申请表》、《SAP系统用户权限变更请求表》、《SAP系统用户帐号新增请求表》、《SAP系统用户帐号注销请求表》。这些表单是各单位权限变更、新增、撤消时填写上报的表单，平时做好表单收集和检查，特别是注意填写表单的时间不能与系统里处理角色的时间相悖。 　　2.2.3　检查权限管理情况 　　检查关键用户对权限的管理情况，主要是检查以下内容： 　　(1)《SAP系统角色分配日志检查表》，要求关键用户每月检查一次。检查方法：从系统中导出当月所有角色分配的日志(执行“SUIM_+Change DocumentS→For Role ASSignment”)，与当月所有的用户角色变更请求以及用户删除请求(因为用户删除的同时也将删除该用户与角色之间的分配关系)进行核对，检查是否存在未经授权的角色变更操作，并检查每次角色分配的正确性。 　　(2)《SAP应用系统用户权限检查表》，要求关键用户三个月检查一次。检查内容和方法：一是从系统中导出所有超过90天未登录的用户(执行“SUIM→用户By Logon Date and PaSSword Change”)，对超过90天未登录的帐号进行对比分析，对不需要的帐号和权限进行清理。二是权限互斥检查情况。使用事务代码：zhrrpll8，检查用户是否存在互斥角色，如果有就需要与二级单位沟通，删除互斥角色。三是检查用户权限分配是否符合岗位职责。 　　(3)《xx地区分公司岗位与SAP系统中角色的对应规则)、《中国石油SAP系统职责分离矩阵》以及《SAP系统敏感事务访问权限设置规则》是半年检查一次。关键用户每六个月审核上述文档是否恰当，主要是根据业务调整情况，以及在使用过程中发现职责与权限的问题，检查完毕填写相关文档记录，交本单位SAP系统信息安全管理负责人，并由其负责归档；影响权限分配规则、职责分离矩阵以及敏感事务访问权限设置规则的因素可以包括： 　　☆业务流程变化或岗位设置变化导致角色的变更； 　　☆新启用的事务代码涉及到财务报告数据的创建和修改； 　　☆对已有事务代码处理逻辑的修改等； 　　(4)《SAP系统新增用户、删除用户和角色变更日志检查表》。每月检查。按照规定此表中新增用户和删除用户是由总部检查并填写，角色变更是由地区公司关键用户填写。对于删除用户建议地区公司关键用户定期检查，避免内控检查产生问题。检查方法执行“SUIM→Change DocumentSFor USerS”，在一个时间段内检查用户是否存在：USer deleted，如果有那么表明此用户已经被删除，如果没有则还没有被删除，这时需要关键用户及时发邮件或通过SLM督促总部对这些用户进行处理。 　　 　　3、权限日常管理中注意事项 　　 　　3.1　严格按照内控流程处理权限 　　权限日常管理中要严格按照内控流程处理权限，包括新增用户、撤消帐号、权限变更、用户解锁等。 　　3.1.1　新增用户和撤消帐号处理流程 　　下图是新增用户和撤消帐号的管理流程。流程的发起人是基层单位的系统管理人员，经过基层领导、关键用户、劳资处主管领导审核，最终上报集团权限管理组，由权限组创建帐号并反馈给关键用户，关键用户再对新建帐号配置角色，分配结构授权，最后下发给基层单位的系统管理人员。在这个流程里我们需要注意以下几方