Risikomindernde Maßnahmen an SAP Funktionsdefinitionen zuweisen
HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul SAP R/3 Compliance Add-on vorhanden ist.
Mit dieser Aufgabe legen Sie fest, für welche Funktionsdefinitionen eine risikomindernde Maßnahme gilt. Auf dem Zuweisungsformular können Sie nur die Arbeitskopien der Funktionsdefinitionen zuweisen.
Um SAP Funktionsdefinitionen an eine risikomindernde Maßnahme zuzuweisen
-
Wählen Sie im Manager die Kategorie Risikoindex-Berechnungsvorschriften > Risikomindernde Maßnahme.
-
Wählen Sie in der Ergebnisliste die risikomindernde Maßnahme.
-
Wählen Sie die Aufgabe Funktionsdefinitionen zuweisen.
Weisen Sie im Bereich Zuordnungen hinzufügen die Funktionsdefinitionen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Funktionsdefinitionen entfernen.
Um eine Zuweisung zu entfernen
- Speichern Sie die Änderungen.
Überblick über risikomindernde Maßnahmen anzeigen
Auf dem Überblicksformular erhalten Sie auf einen Blick die wichtigsten Informationen zu einer risikomindernden Maßnahme.
Um einen Überblick über eine risikomindernde Maßnahme zu erhalten
-
Wählen Sie im Manager die Kategorie Risikoindex-Berechnungsvorschriften > Risikomindernde Maßnahmen.
-
Wählen Sie in der Ergebnisliste die risikomindernde Maßnahme.
-
Wählen Sie die Aufgabe Überblick über die risikomindernde Maßnahme.
Risikominderung berechnen
Die Signifikanzminderung einer risikomindernden Maßnahme gibt den Wert an, um den sich der Risikoindex einer Complianceregel, SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie reduziert, wenn die Maßnahme umgesetzt wird. Auf Basis des erfassten Risikoindex und der Signifikanzminderung errechnet der One Identity Manager einen reduzierten Risikoindex. Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Berechnung der reduzierten Risikoindizes. Diese Berechnungsvorschriften können mit den One Identity Manager-Werkzeugen nicht bearbeitet werden.
Der reduzierte Risikoindex berechnet sich aus dem Risikoindex der SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie und der Summe der Signifikanzminderungen aller zugewiesenen risikomindernden Maßnahmen.
Die Berechnung der Risikominderung für Regelverletzungen ist abhängig vom Konfigurationsparameter QER | CalculateRiskIndex | MitigatingControlsPerViolation.
Tabelle 10: Wirkung des Konfigurationsparameters auf die Berechnung der Risikominderung
|
Deaktiviert |
Es wird der reduzierte Risikoindex der Complianceregeln berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die einer Complianceregel zugewiesen sind. |
|
Aktiviert |
Der Risikoindex der Complianceregeln wird nicht reduziert. Damit entspricht der reduzierte Risikoindex dem erfassten Risikoindex der Complianceregeln.
Es wird der reduzierte Risikoindex von Personen mit Regelverletzungen berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die bei einer Ausnahmegenehmigung an eine Regelverletzung zugewiesen wurden. |
Risikoindex (reduziert) = Risikoindex - Summe der Signifikanzminderungen
Wenn die Summe der Signifikanzminderung größer als der Risikoindex ist, wird der reduzierte Risikoindex auf den Wert 0 gesetzt.
Verwandte Themen
Beispiel für eine Risikoindexberechnung
Die Risikoindexberechnung wird anhand einer Person mit Berechtigungen in einem SAP System und mit zugewiesener Software erläutert. Die Person ist ein Manager.
Clara Harris ist
- ein interner Mitarbeiter
- primäres Mitglied der Abteilung "Personal"
- Kunde im IT Shop "Software"
Der Abteilung "Personal" sind zugewiesen
- eine Kontendefinition KRSAP für den SAP Mandanten "SAPMandant"
- eine SAP Gruppe SAPG1
Außerdem gilt
- Über den IT Shop hat Clara Harris drei Software-Anwendungen bestellt. Die Bestellungen wurden genehmigt; die Software ist zugewiesen.
- Über die Kontendefinition wurde das Benutzerkonto CLARAH (SAP R/3) erzeugt.
- Das Benutzerkonto CLARAH ist direktes Mitglied der SAP Gruppe SAPG2.
- Dem Benutzerkonto CLARAH ist das strukturelle Profil SAPSP direkt zugewiesen.
- Clara Harris ist Leiterin einer Arbeitsgruppe und damit Manager von 10 Mitarbeitern.
- Personen werden regelmäßig attestiert.
An den Unternehmensressourcen sind folgende Risikoindizes erfasst:
| KRSAP |
0,0 |
| SAPG1 |
0,7 |
| SAPG2 |
0,2 |
| SAPSP |
0,5 |
| Software 1 |
0,1 |
| Software 2 |
0,2 |
| Software 3 |
0,3 |
Der One Identity Manager berechnet über die Standard-Berechnungsvorschriften Risikoindizes für folgende Objekttypen:
| Personen |
alle zugewiesenen Objekte |
| Softwarezuweisungen |
Software-Anwendungen |
| Zuweisungen Kontendefinitionen |
Kontendefinitionen |
| SAP Benutzerkonten |
SAP Gruppen, Strukturelle Profile |
| Rollen und Organisationen |
Software (für die Produktknoten der drei Software-Anwendungen)
SAP Gruppen (für die Abteilung R)
Kontendefinitionen (für die Abteilung R) |
Die Berechnungsart ist Maximum (gewichtet). Der Wichtungsfaktor ist 1.
Ablauf der Berechnung
- Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an Gruppen ermitteln.
Die Tabelle enthält zwei Einträge für das Benutzerkonto CLARAH. Die Risikoindizes entsprechen den Risikoindizes der zugewiesenen SAP Gruppen SAPG1 und SAPG2. Da die SAP Gruppe SAPG1 durch Vererbung zugewiesen ist, wird der Risikoindex dieser SAP Gruppe vermindert.
- Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an strukturelle Profile ermitteln.
Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex entspricht dem Risikoindex des zugewiesenen strukturellen Profils SAPSP.
- Risikoindex der Tabelle SAP Benutzerkonten berechnen.
Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex wird aus den in Schritt 1 und 2 ermittelten Risikoindizes berechnet.
- Risikoindex der Tabelle Softwarezuweisungen ermitteln.
Die Tabelle enthält drei Einträge für Clara Harris für die drei zugewiesenen Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.
- Risikoindex der Tabelle Zuweisungen Kontendefinitionen ermitteln.
Die Tabelle enthält einen Eintrag für Ines Franz. Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.
- Risikoindex der Tabelle Personen berechnen.
Die Tabelle enthält einen Eintrag für Clara Harris. Der Risikoindex wird aus den in den Schritten 3, 4 und 5 berechneten Risikoindizes berechnet. Da Clara Harris Manager anderer Personen ist, wird der berechnete Risikoindex erhöht. Da der zuletzt abgeschlossene Attestierungsvorgang für Clara Harris genehmigt wurde, wird der berechnete Risikoindex vermindert.
Tabelle 11: Ergebnisse der Risikoindexberechnung
|
1 |
CLARAH: SAPG1 |
0,7 |
-0,05 |
0,65 |
Verminderung, da vererbt |
|
CLARAH: SAPG2 |
0,2 |
|
0,2 |
direkt zugewiesen |
|
2 |
CLARAH: SAPSP |
0,5 |
|
0,5 |
direkt zugewiesen |
|
3 |
CLARAH |
0,65 |
|
0,65 |
maximaler Wert aus Schritt 1 und 2 |
|
0,5 |
|
|
4 |
Clara Harris: Software 1 |
0,1 |
|
0,1 |
|
|
Clara Harris: Software 2 |
0,2 |
|
0,2 |
|
|
Clara Harris: Software 3 |
0,3 |
|
0,3 |
|
|
5 |
Clara Harris: KRSAP |
0,0 |
|
0,0 |
|
|
6 |
Clara Harris |
0,65 |
|
0,65 |
maximaler Wert aus Schritt 3, 4 und 5 |
|
0,3 |
|
|
0,0 |
|
|
|
+0,2 |
0,85 |
Erhöhung, da Clara Harris Manager anderer Personen ist |
|
|
-0,33 |
0,52 |
Verminderung, da die Attestierung genehmigt ist |
|
Legende: # – Schritt, +/- – Erhöhung/Verminderung |
- Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Software ermitteln.
Die Tabelle enthält je einen Eintrag für die bestellten Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.
- Risikoindex der Tabelle Rollen und Organisationen berechnen.
Die Tabelle enthält je einen Eintrag für die Produktknoten der drei Software-Anwendungen. Die Risikoindizes werden aus den in Schritt 7 ermittelten Risikoindizes berechnet.
- Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Kontendefinitionen ermitteln.
Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.
- Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen SAP Gruppen ermitteln.
Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen SAP Gruppe SAPG1.
- Risikoindex der Tabelle Rollen und Organisationen berechnen.
Die Tabelle enthält je einen Eintrag für die Abteilung "Personal". Der Risikoindex wird aus den in Schritt 9 und 10 ermittelten Risikoindizes berechnet. Da der Abteilung kein Manager zugeordnet ist, wird der berechnete Risikoindex erhöht.
- Risikoindex der Tabelle Personen: Mitgliedschaften in Rollen und Organisationen ermitteln.
Die Tabelle enthält drei Einträge für Clara Harris, da sie Mitglied der drei Produktknoten ist. Die Risikoindizes werden aus den in Schritt 8 berechneten Risikoindizes ermittelt. Die Tabelle enthält keinen Eintrag für die Abteilung R, da Clara Harris kein sekundäres Mitglied dieser Abteilung ist (sondern primäres).
Tabelle 12: Ergebnisse der Risikoindexberechnung
|
7 |
Produktknoten 1:
Software 1 |
0,1 |
|
0,1 |
|
| Produktknoten 2:
Software 2 |
0,2 |
|
0,2 |
|
| Produktknoten 3:
Software 3 |
0,3 |
|
0,3 |
|
|
8 |
Produktknoten 1 |
0,1 |
|
0,1 |
|
|
Produktknoten 2 |
0,2 |
|
0,2 |
|
|
Produktknoten 3 |
0,3 |
|
0,3 |
|
|
9 |
Personal: KRSAP |
0,0 |
|
0,0 |
|
|
10 |
Personal: SAPG1 |
0,5 |
|
0,5 |
|
|
11 |
Personal |
0,0 |
|
0,5 |
maximaler Wert aus Schritt 9 und 10 |
|
0,5 |
|
|
0,5 |
+0,05 |
0,55 |
Erhöhung, da die Abteilung keinen Manager hat |
|
12 |
Clara Harris:
Produktknoten 1 |
0,1 |
|
0,1 |
|
| Clara Harris:
Produktknoten 2 |
0,2 |
|
0,2 |
|
| Clara Harris:
Produktknoten 3 |
0,3 |
|
0,3 |
|
|
Legende: # – Schritt, +/- – Erhöhung/Verminderung |
.