由于公司要上马
SoD
的项目
,
所以在网络上搜寻些
SoD
相关的资料来对
SoD
有个直接的了解
,
也发现了些不错的
paper,
和大家分享下吧
.
A framework for SoD in an SAP R3 environment
是
2003
年发表在
Managerial Auditing Journal
上的一篇
paper,
作者
Adam Little
和
Peter J.Best,
一个是来自
Ernst&Young
的资深
IT Auditor,
一个是来自
QUT
的学者
,
西方的学术论文好象大多都是这类的组合
,
也可以说是咱们的理论加上实践吧
.
由于时限性
,
文章的平台
SAP R/3
使用的公司应该不多了
,
不过文章的主体思想还是非常的有用
,
所以向想了解
SoD
的朋友们推荐下
.
还是西方论文体的标准格式
,
首先的
background
介绍了文章的平台是基于
SAP R/3,
以及
SoD
被应用的原因
,
首先当前的
IT
环境中
,
不少的
IT
公司都面临着信息安全的问题
,
大致包括以下
,Passive techniques, Attempted break-ins, Browsing, and Viruses and worms,
这篇文章主要是基于
Browsing
来讲
.
那么什么是
Browsing
呢
,
打个简单的比方
,
应该很多人都遇到过
,
你在公司的系统中操作的时候
,
突然发现系统中有些你不熟悉的业务操作
,
而你又没有这些权限
,
你去尝试使用这些业务操作的时候就是
Browsing
了
,
这个应该是非常普遍的
case.
然后作者通过提出一些比较普遍的应对措施
(
应该是所有的信息安全中都会提到的
Authentication, Access control, Cryptography, Auditor trail log)
来引出对
SoD
的介绍
, SoD
通俗的说就是职权分离
,
就是在一个组织环境下
,
所有的人都应该获得的是也仅仅是与他的业务相关的权限
,
不仅仅是在系统中的分配
,
在
business
环境下
,
也应该做到不违背
SoD
的一些基本原则
,
包括以下
: 1. Separation of the custody of assets from accounting, 2. Separation of the authorization if transactions from the custody of related assets, 3. Separation of operational responsibility from record-keeping responsibility, 4. Separation of IT duties from duties of key users out of IT.
基于本文的主要方向
separation of duties with in the general ledger(GL), accounts receivable(AR), and accounts payable (AR),
作者又提出了以下的准则来作为
SoD
的依据
:
1.
Users who can create and modify master records should not be able to post transactions.
2.
Credit management should be separated from master record maintenance in accounts receivable.
3.
Dunning and credit management should be separated from invoice and receipt data entry.
4.
Receipt data entry should be separated from invoice and credit memo data entry.
5.
In accounts payable, cheques should be managed any payments performed by someone other than the person who enters vendor invoices.
6.
Writing off an account receivable as a bad debt should be separated from receipt data entry.
7.
Users’ activities should not cross boundaries between GL , AR , and AP.
在这些依据的基础上
,
本文的作者
,
通过分析
SAP R/3
的权限设计的原理
,
来设计出一个比较具体的如何在
R/3
系统中给用户分配权限的模型
,
通过与这个模型的对比
, internal auditor
或者
consultant
可以来判断
, SoD
是否偏离了方向
.
总的来说,这篇文章还是说得比较的
general
的
,
尤其是对
SAP
的权限设计的讲述
,
以及如何在
SAP
中配置用户权限来实现
SoD
的介绍
,
但是对希望对
SoD
能有个直观印象的朋友来说
,
文章的理论描述以及丰富的
case study
还是很有帮助
.