A framework for separation of duties in an SAP R/3 environment

由于公司要上马 SoD 的项目 , 所以在网络上搜寻些 SoD 相关的资料来对 SoD 有个直接的了解 , 也发现了些不错的 paper, 和大家分享下吧 .
 
A framework for SoD in an SAP R3 environment 2003 年发表在 Managerial Auditing Journal 上的一篇 paper, 作者 Adam Little Peter J.Best, 一个是来自 Ernst&Young 的资深 IT Auditor, 一个是来自 QUT 的学者 , 西方的学术论文好象大多都是这类的组合 , 也可以说是咱们的理论加上实践吧 . 由于时限性 , 文章的平台 SAP R/3 使用的公司应该不多了 , 不过文章的主体思想还是非常的有用 , 所以向想了解 SoD 的朋友们推荐下 .
 
还是西方论文体的标准格式 , 首先的 background 介绍了文章的平台是基于 SAP R/3, 以及 SoD 被应用的原因 , 首先当前的 IT 环境中 , 不少的 IT 公司都面临着信息安全的问题 , 大致包括以下 ,Passive techniques, Attempted break-ins, Browsing, and Viruses and worms, 这篇文章主要是基于 Browsing 来讲 . 那么什么是 Browsing , 打个简单的比方 , 应该很多人都遇到过 , 你在公司的系统中操作的时候 , 突然发现系统中有些你不熟悉的业务操作 , 而你又没有这些权限 , 你去尝试使用这些业务操作的时候就是 Browsing , 这个应该是非常普遍的 case.
 
然后作者通过提出一些比较普遍的应对措施 ( 应该是所有的信息安全中都会提到的 Authentication, Access control, Cryptography, Auditor trail log) 来引出对 SoD 的介绍 , SoD 通俗的说就是职权分离 , 就是在一个组织环境下 , 所有的人都应该获得的是也仅仅是与他的业务相关的权限 , 不仅仅是在系统中的分配 , business 环境下 , 也应该做到不违背 SoD 的一些基本原则 , 包括以下 : 1. Separation of the custody of assets from accounting, 2. Separation of the authorization if transactions from the custody of related assets, 3. Separation of operational responsibility from record-keeping responsibility, 4. Separation of IT duties from duties of key users out of IT.
 
基于本文的主要方向 separation of duties with in the general ledger(GL), accounts receivable(AR), and accounts payable (AR), 作者又提出了以下的准则来作为 SoD 的依据 :
1.       Users who can create and modify master records should not be able to post transactions.
2.       Credit management should be separated from master record maintenance in accounts receivable.
3.       Dunning and credit management should be separated from invoice and receipt data entry.
4.       Receipt data entry should be separated from invoice and credit memo data entry.
5.       In accounts payable, cheques should be managed any payments performed by someone other than the person who enters vendor invoices.
6.       Writing off an account receivable as a bad debt should be separated from receipt data entry.
7.       Users’ activities should not cross boundaries between GL , AR , and AP.
 
在这些依据的基础上 , 本文的作者 , 通过分析 SAP R/3 的权限设计的原理 , 来设计出一个比较具体的如何在 R/3 系统中给用户分配权限的模型 , 通过与这个模型的对比 , internal auditor 或者 consultant 可以来判断 , SoD 是否偏离了方向 .
 
总的来说,这篇文章还是说得比较的 general , 尤其是对 SAP 的权限设计的讲述 , 以及如何在 SAP 中配置用户权限来实现 SoD 的介绍 , 但是对希望对 SoD 能有个直观印象的朋友来说 , 文章的理论描述以及丰富的 case study 还是很有帮助 .

你可能感兴趣的:(职场,Security,SAP,休闲,Management)