Berechtigungsprüfung
Die meisten Unternehmen schützen sich nicht ausreichend gegen Gefahren von Zugriffrechten. Ein detailliertes Berechtigungsmanagement kann dagegen Abhilfe schaffen.
Ich unterstütze sie dabei, indem ich einen Audit über das aktuelle Berechtigungsmanagement in Ihrem Unternehmen durchführen werde. Nachdem der Audit abgeschlossen ist, erhalten sie über meine Prüfungshandlungen und deren Feststellungen einen Bericht incl. einem Maßnamenkatalog.
Folgende Prüfungstätigkeiten biete ich zu dem Thema "Berechtigungsprüfung" an:
- Gibt es
- ein Notfall-User und wie ist der Notfall-Prozess aufgebaut
- es Regelungen wie das Berechtigungsmanagement aktualisiert wird
- Haben Mitarbeiter Zugriff auf Systeme und Daten erhalten, zu denen sie keine Berechtigung benötigen
- Ist das Berechtigungskonzept unzureichenden, sodass eine unübersichtliche Zugriffslage in ihrem Unternehmen entstanden ist.
- Sind die
- Zugriffsrechte für die notwendigen Aufgabenwahrnehmung gegeben („Need-to-know-Prinzip“) und/oder sind weitreichendere Berechtigungen vergeben worden.
- Rollen nicht oder nur unzureichend definiert
- Vertretungsfälle berücksichtigt worden
- Zugriffe vergeben, die zu einer Verletzung der Vertraulichkeit und Integrität der Daten führen
- Welche
- Person im Rahmen ihrer Funktion sind wie bevollmächtigt
- Regelung der Zugriffsrechte gibt es in ihrem Unternehmen
- Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) sind in ihren IT-Anwendungen, Teilanwendungen und Daten vergeben und welche Funktion sind abhängig wie
abhängig
- Wie ist der Berechtigungsprozess für ihre Benutzer definieren (Beantragung, Genehmigung und das Anlegen der neuen Nutzer sowie löschen von Benutzer)
- Wie sind die
- Regelungen für Berechtigungen vergeben
- Rollen und deren Berechtigungen definiert und zugeordnet
- Vorgaben für die Kennwörter definieren
- Wie werden
- die Berechtigungen erteilt und gelöscht
- die Berechtigungen festgelegt
- die IT-Anwendungen oder Daten genutzt