着公司治理部控制(例目前谈萨色变萨班斯法案海深圳证券交易出台市公司部控制指引)越越中国企业接受应信息安全风险控制企业信息系统实施项目中(SAP实施项目)正扮演着越越重角色 作全球领先ERP软件SAP正越越中型企业企业整价值链实现高度动化SAP全面覆盖企业业务运作财务处理提供丰富决策支持功时SAP提供全面灵活功模块强化企业部控制企业操作均运作高效控应台正SAP庞复杂实现相关安全控制数安全企业面巨挑战 SAP系统控制安全实施简单着项目进行够然然系统里实现需具定专业技控制安全团队通风险评估设计定控制框架完成SAP系统控制安全实施企业实现IT治理部控制信息安全必手段评估企业否采取足够IT控制方法减少业务流程风险控制安全团队项重务SAP实施程中权限控制系统配置职责分离设置数校验监控报告采取IT控制方法 许中国企业已开始SAP实施项目中独立控制安全团队致力系统安全设计实现效进行SAP系统控制安全实施三方面项目理技术理利益方(Stakeholder)理三方面加阐述 项目理符合利益方期 效安全风险控制进行项目理站利益方立场考虑问题控制安全团队负责必须清晰解利益方重信息安全控制需求重利益方部业务流程控制方面进行访谈解企业需保护信息失直接方法控制安全团队需保证制定安全策略方法体现企业目前IT业务方面变化样控制安全团队需业务流程实施组进行紧密合作 企业部业务流程信息安全优先度考虑利益方SAP信息控制安全着期解利益方业务需求会控制安全团队解项目复杂程度安全实施范围益控制安全设计时间工作量估计 SAP信息控制安全作业务流程控制代言解业务流程成控制安全团队必修课举例子说企业防止舞弊设计业务流程户时创建批准采购订单接收入库单付款维护供应商档实现样业务流程控制安全团队需设计权限限制互斥业务操作达职责分离企业说做善美职责分离公司数少变种情况控制安全团队需设计补偿性控制(CompensatingControl)减少职责集中带风险说控制安全团队需SAP系统中考虑设置定门槛值旦超门槛相关理层需户进行业务操作前进行定批准授权职责分离部控制监制度尤萨班斯法案中理层审计师说焦点 取高级理层业务者(般言业务理)认支持安全风险控制项目理方面高级理层SAP信息安全策略方法进行探讨取认建立整SAP项目团队接受度权责感关键 二技术理实现系统中部控制 项目团队中拥解部控制监环境深谙SAP相关系统控制设置技术骨干必少实际SAP实施项目中绝数信息安全部门尤SAP控制安全团队常缺少必员工作量工作难度低估计控制安全团队项目中忽略者甚解部控制技术员代进行权限设置安全策略撰写样直接结果SAP系统控制设置足符合业务流程需户权限职责没完全分离等等系统线企业理层发现SAP部控制问题想重新改正劳民伤财二积重难返难通部外部审计见拥合适系统安全员SAP项目实施质量控制会作项目程中控制安全团队须常企业部审计部门安全策略方法进行沟通进行定文档撰写安全测试 控制安全团队利益方谈SAP权限实现选安全控制方案时控制安全团队必须确保利益方仅解权限限制结果明白果没设定必权限限制带风险企业部控制影响外职责分离分析基SAP角色(Role)基础职责分离分析帮助企业确定分析列举户访问企业敏感区域权限提供互相突业务许SAP职责分离工具已开发出动SAP角色户权限进行分析提高效率减少企业成国际较流行SAP职责分离工具包括VirsaApprova等企业咨询公司德勤开发专工具eQSmart够进行职责分离分析 三利益方理沟通带成功 项目实施程中理利益方尤业务户常SAP安全效实施中重疑复杂环果控制安全团队业务团队技术员理层效进行沟通话控制安全团队获业务需求更业务需求翻译成安全技术语言系统加实现果样话实施效果折扣更提IT治理部控制信息安全 户立场控制安全时感觉捆住手脚权限限制欲系统功进行访问修改操作难理解控立场安全控制保证系统访问安全户欲控户系统方便直相互制衡话题更控制然会限制户系统方便系统方便利控实现求控制安全团队够实际业务需求出发业务团队理层进行沟通达户部控制更理解实际工作中注重提高安全控制意识SAP实施项目企业说综合庞工程加强项目中安全控制防范未然企业面竞争时会千里堤毁蚁穴决胜千里外
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档