FIN_KAIO 10747 v2 Rahmenorganisation

Transcription

Amt für Informatik
und Organisation
des Kantons Bern
Office d'informatique
et d'organisation
du canton de Berne
Finanzdirektion
Direction des finances
Applikationen- und Datenmanagement
Finanz- und Supportsysteme
Wilhainweg 9
3012 Bern
Telefon
031 633 59 28
Service Desk 031 633 44 44
Telefax
031 633 59 69
www.kaio.fin.be.ch
Benutzeradministration FIS
Rahmenorganisation
Bearbeitungs-Datum: 20.10.2010
Version:
5.2
Dokument-Nummer:
10747
Registraturplan Nr.
4-01-03-05-01
Dokument-Status:
Freigegeben
Klassifizierung:
unklassifiziert
Ersteller:
KAIO-FB F+S
Verteiler:
Servicedesk KAIO,
Intranet FV
Rahmenorganisation
Inhaltsverzeichnis
1
Allgemeines ..................................................................................................................3
1.1
Zweck des Dokuments ........................................................................................3
1.2
Gültigkeitsbereich ................................................................................................3
1.3
Verantwortung ..................................................................................................... 3
1.4
Auftrag.................................................................................................................3
1.5
Verwendete Begriffe / Abkürzungen .................................................................... 4
1.6
Referenzierte Dokumente ...................................................................................5
2
Management-Übersicht................................................................................................6
3
Verfahren für die Zugriffsberechtigung und Benutzerverwaltung ...........................7
3.1
Unterscheidung der Finanzinformationssysteme KOFINA / FIS..........................7
3.2
Berechtigungsrollen FIS erteilen .........................................................................8
3.2.1 Berechtigungsanträge FIS mit elektronischem Workflow, eBERE (DIR/STA) ... 10
3.2.2 Berechtigungsanträge FIS mit Papierlaufweg (UNI, BFH)................................. 11
3.3
Passwort zurücksetzen ..................................................................................... 13
3.4
Passwort (ad-bedag-ch) ändern durch Benutzer/in ........................................... 15
3.5
Berechtigungsrollen Branchenbetrieb (UNI/BFH) erteilen ................................. 16
3.6
Berechtigungsrollen FIS deaktivieren ................................................................ 17
4
Periodische Überprüfung der Benutzerberechtigungen......................................... 19
4.1
Standard User ................................................................................................... 19
4.2
Administratoren ................................................................................................. 21
4.3
Technischer Datenbank User (TDBU) ............................................................... 22
4.4
Technische System-System User (TSSU) ........................................................ 22
5
Rollenprofile ............................................................................................................... 23
5.1
Berechtigungsrollen FIS .................................................................................... 23
5.1.1 Mitarbeiter(innen) Stufe Kreis ............................................................................ 23
5.1.2 Mitarbeiter(innen) Stufe Funktionsbereich......................................................... 26
5.1.3 Mitarbeiter(innen) DIR/STA ............................................................................... 26
5.1.4 Mitarbeiter(innen) Konzern (Finanzverwaltung GS/FIN) ................................... 27
5.1.5 Mitarbeiter(innen) Support- und Betriebsorganisation FIS ................................ 29
5.2
Spezialfälle bei der Rollenvergabe .................................................................... 29
5.2.1 Vergabe von eingeschränkten Zugriffsberechtigungen ..................................... 29
5.2.2 Funktionentrennung bei externen Dienstleistern ............................................... 30
5.3
Rolleninhaber .................................................................................................... 32
6
Technische User TDBU und TSSU ........................................................................... 33
6.1
Zugriffsberechtigung Technische Datenbank-User (TDBU) .............................. 33
6.2
Passwort zurücksetzen für Technische Datenbank-User (TDBU) ..................... 34
6.3
Zugriffsberechtigung Technische System-System-User (TSSU)....................... 34
7 Zugriffsberechtigungen nach einer Datenkopie von der Produktion in die
Teststufen ......................................................................................................................... 35
8
Zugriffsberechtigungen verwandter Applikationen ................................................ 36
8.1
Applikation Finaus II .......................................................................................... 36
9
Dokument-Protokoll ................................................................................................... 37
FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010
Seite 2 von 37
Rahmenorganisation
1 Allgemeines
1.1 Zweck des Dokuments
Dieses Dokument regelt die Abläufe und Zuständigkeiten der Benutzeradministration des
FIS (FIS und KOFINA).
1.2 Gültigkeitsbereich
Die im vorliegenden Dokument beschriebenen Punkte gelten für alle Tätigkeiten im Zusammenhang mit der Realisierung der zentralen Zugriffsberechtigung / Benutzeradministration für das FIS des Kanton Bern.
1.3 Verantwortung
Der FB F&S des KAIO ist verantwortlich für die Redaktion des vorliegenden Dokumentes.
Anpassungen und Aktualisierung erfolgen nach Rücksprache mit dem Servicedesk FIN
des KAIO als „ausführende“ Organisation der Benutzeradministration.
1.4 Auftrag
Die zu erbringenden Leistungen zu Gunsten der FV im Bereich der Berechtigungsverwaltung sind im SLA02 zum Rahmenvertrag 02 beschrieben. Anlässlich der Quartalsreportings des KAIO wird über den Umfang und den Erfolg der erbrachten Leistungen detailliert
rapportiert.
Seite 3 von 37
Rahmenorganisation
1.5 Verwendete Begriffe / Abkürzungen
ADS
AS
Aufab
BEA BI
BEA BR
BEA D/S
SDK
BEDAG
Bewegungsdaten
BR
DIR/STA
eBERE
F&S
FIN/FV
FIS
KOFINA
KoSt BEWAN
LV D/S
MA
PB
PD D/S
RACF
SD D/S
Stammdaten
TDBU
TP
TSO
TSSU
Umsystem
Active Directory Services
Antragsteller
Auftragsabwicklung im TSO
Benutzeradministration Bedag AG
Benutzeradministration Besondere Rechnung
Benutzeradministration DIR/STA
Service Desk KAIO, Zuständig für die Benutzeradministration FIS
Bedag AG
Buchungen für einen Geschäftsprozess
Besondere Rechnung (Branchenlösung, UNI, BFH, GEF)
Direktionen / Staatskanzlei
Berechtigungsanträge mit elektronischem Workflow
Fachbereich Finanz- und Supportsysteme des KAIO
Finanzdirektion / Finanzverwaltung
Finanzinformationssystem
Anwendung für Kosten und Finanzen
Koordinationsstelle BEWAN
Lösungsverantwortlicher DIR/STA
Mitarbeiter
Projektbegleiter
Personaldienst DIR/STA
Resource Access Control Facility; Zugriffsverwaltung auf
dem S/390 System der Bedag AG
Servicedesk in den Direktionen/Staatskanzlei
Daten zum Aufbau und zur Parametrisierung der FISLösungen
Technischer Datenbank-User
Teilprojekt
Time Sharing Option
Technischer System/System-User
Autonome Applikation einer RFOE, welche mittels elektronischer Schnittstelle Finanz- und Stammdaten zwecks Verbuchung, ins FIS übermittelt.
Seite 4 von 37
Rahmenorganisation
1.6 Referenzierte Dokumente
[1]
Berechtigungsanträge FIS mit Papierlaufweg
http://a27-www-tools-b.be.ch/zubev3/
[2]
Richtlinie „Anforderungen der Revision an Informatik-Projekte“.
Finanzkontrolle des Kantons Bern, Bern, vom 02.10.1992
[3]
Benutzerhandbuch „Intranet Password Manager, ad-bedag-ch“
Bedag AG, Bern, Version 1.1, vom 03.01.2002
http://a27a-www-itimefin-b.be.ch/iisadmpwd/manual/ipm_user_v1_1.doc
[5]
Koordinatoren-Benutzeradministration gegenüber der Bedag Informatik
Autor: Bedag AG
[6]
Anträge direkte DB Zugriffe
Anträge für die direkte Zugriffsberechtigung auf DB2-Tabellen KOFINA/FIS via QMF,
ProEdit:
http://wwwin.fv.fin.be.ch/nef/doc-nef-antrag__db2.doc
Anträge für direkte Zugriffe auf SQL-Datenbanken FIS:
http://wwwin.fv.fin.be.ch/nef/doc-nef-antrag_sql-2.doc
[7]
BEWAN Remotezugriff
Koordinationsstelle BEWAN, Version vom 24.05.02
[8]
Rollenkonzept-FIS
Übersicht sämtlicher Berechtigungsrollen FIS inkl. fachlichen Funktionen
http://wwwin.fv.fin.be.ch/nef/pdf-nef-fis2000_rollenkonzept-fis2000-v4_5.pdf
[9]
ISDS-Konzept FIS
http://wwwin.fv.fin.be.ch/index/fis-begruessungsseite/fisnews/fisu_business_continuity_management-2.htm
[11] Antrag zur Erteilung von Zugriffsberechtigungen für Gemeinden und kantonale Stellen im Intranet IT-Services FIN.
http://wwwin.itservices.fin.be.ch/index/unser-angebot/bestellungen/bestellungberechtigungen.htm
[12] Berechtigungsanträge FIS mit elektronischem Workflow, eBERE
http://wwwin.ebere.be.ch/ebere oder http://wwwin.ebere-bedag.be.ch/ebere
Seite 5 von 37
Rahmenorganisation
2 Management-Übersicht
In diesem Dokument werden die Verfahren und Abläufe für die Zugriffsberechtigung / Benutzeradministration FIS beschrieben.
In der Berechtigungsverwaltung FIS unterscheiden wir folgende Benutzertypen:
Standard-User:
Diese Benutzer sind Anwender der FIS Applikationen und werden mittels Berechtigungsrollen FIS berechtigt.
Remote-Anschluss:
Standard-User der über einen BEWAN Remote-Anschluss auf
die FIS Applikationen zugreift
Technischer DB-User:
Hier handelt es sich um Produktionsbetreuer des FB F+S sowie einige wenige Mitarbeiter
der Entwicklerfirmen und des Betreibers. Dieser direkte Zugriff auf die Datenbanken (A20
– A27 und MS-SQL) wird zur Fehlerevaluation und –Behebung sowie für die Ausführung
von Produktionsaufträgen benötigt.
Technischer System/System User:
Automatische Zugriffe von Systemen innerhalb des BEWAN auf die FIS Systeme (Mainund Winframe)
Benutzertypen
Bewilligungsinstanz
Antragsformular
Verbundene Rechte
Kapitel
Standard-User
KAIO/FB F&S
FV/PA für spez. Rollen
Ref. Dok. [12] und
Berechtigungsrollen FIS
3.2
KAIO/FB F&S
Ref. Dok [6]
Read, Read/Write und Update
Rechte auf DB-Tabellen
6.1
KAIO/FB F&S und
Dateneigentümer des
Quellsystems
Schriftliche Spezialvereinbarung
Online Zugriff Server-Server
6.3
Technischer
User (TDBU)
Datenbank-
Technischer System
/System-User (TSSU)
Ref. Dok. [1]
Seite 6 von 37
Rahmenorganisation
3 Verfahren für die Zugriffsberechtigung und Benutzerverwaltung
3.1 Unterscheidung der Finanzinformationssysteme KOFINA / FIS
Für die Zugriffsberechtigung der Finanzinformationssysteme KOFINA und FIS werden
zwei unabhängige Verfahren eingesetzt. In der Folge sind ausschliesslich die Verfahren
für FIS beschrieben.
Beachten Sie folgende Randbedingung
Damit eine FIS Fachrolle erteilt werden kann, muss der Benutzer eine User-ID innehaben.
Eine solche User-ID muss bei der zuständigen Supportorganisation der entsprechenden
Direktion/Staatskanzlei bestellt werden. Der Prozess für die Bestellung einer solchen
User-ID ist direktionsabhängig geregelt.
Seite 7 von 37
Rahmenorganisation
3.2 Berechtigungsrollen FIS erteilen
Input
Funktionsschritte
Output
Beschreibung
MA benötigt Zugriff auf die Applikationen von
FIS. Der MA muss im Besitz einer gültigen
RACF User-ID sein.
Der Antragssteller füllt ein Antragsformular
(Ref. [12]) oder (Ref. [1]) aus.
Der Lösungsverantwortliche Applikation FIS
DIR/STA validiert den Antrag und genehmigt
die applikatorische Rollenzuteilung des MA.
Pro MA sind mehrere „Berechtigungsrollen
FIS" möglich.
A
mA
AS
PD D/S
EK D/S
LV D/S
Werden direktionsübergreifende Rollen vergeben, bedarf es einer Einwilligung seitens
FV. Für die Rolle Personalverantwortung
muss der Antrag zusätzlich vom PA unterzeichnet werden.
LV D/S
In der Benutzeradministration FIS wird der
Antrag auf Vollständigkeit kontrolliert. Der
gültige Antrag wird im System TSO (Aufab)
z.Hd. der BEDAG als Auftrag erfasst
SDK
Die Benutzeradministration Bedag erteilt der
User-ID in RACF und im Active Directory der
Bedag die erforderlichen Zugriffsrechte auf
die Datenbanken.
.
Der MA wird in der Applikation erfasst (User
ID, Name/Vorname, eMail)
Die Benutzeradministration FIS prüft ob der
Antrag für einen Branchenbetrieb (UNI/BFH)
stammt und leitet diesen ggf. an die Institution weiter.
Der neuen Benutzerkennung werden in der
Applikation die beantragten Rechte zugeteilt
und der Antragsteller über den erledigten
Auftrag per Mail informiert.
I
BEA BI
SDK
SDK
SDK
SDK
BEA BR
AS
Der abgeschlossene Antrag wird zentral
archiviert.
SDK
Beachten Sie die Randbedingungen auf der Folgeseite!
Seite 8 von 37
Rahmenorganisation
Es gelten die folgenden Randbedingungen:
•
•
•
•
•
•
Es können ausschliesslich für bestehende und gültige User-ID’s welche im AD der
BEDAG registriert sind, Fachrollen FIS zugeteilt werden.
Werden Berechtigungsrollen für eine/n Lösungsverantwortlichen (LV) bestellt, so muss
das Formular durch den/die stellvertretenden LV resp. eines anderen LV der DIR/STA
genehmigt werden.
F&S verwaltet das technische Rollenkonzept welches zur Bestimmung der Berechtigungsrollen FIS angewandt wird. Änderungen werden den Rolleninhabern und Berechtigungsinstanzen mitgeteilt.
Sofern direktionsübergreifende Berechtigungsrollen wie Planung III, Konzern-RW,
Konzern-Controlling und Anwendungsadministrator beantragt werden, erfolgt die Vergabe nur nach Freigabe durch die zuständigen Stellen der FV. Die Zuteilung der Rolle
„Personalverantwortung“ bedarf neben dem zuständigen Personaldienst noch der Zustimmung des Personalamtes des Kantons.
Anträge für neue Remote-Anschlüsse, welche auf FIS zugreifen, werden von der
BEWAN Koordinationsstelle (KAIO) auf das Vorhandensein der FIS Genehmigung geprüft. Die Verarbeitung dieser Anträge erfolgt gemäss den Verfahren für BEWAN Anschlüsse. Im standardisierten Antragsformular müssen die Server aufgeführt werden
auf welche der Standard-User per Remote neu Zugriff haben soll. In dieser Rubrik genügt der Vermerk „FIS“. Damit werden sämtliche notwendigen Berechtigungen auf
WAN-Ebene für den Zugriff auf FIS und die Intranet von FIN KAIO, FIN FV, FIN PA
und FIN SV erteilt.
Berechtigungen welche durch die inova.solutions AG an ihre Mitarbeiter auf Basis von
Supportaufträgen erteilt werden, müssen nicht mittels Berechtigungsformular dokumentiert werden. Hier erfolgt eine Direkterfassung im System durch die designierten
„Anwendungsadministratoren“ der inova.solutions AG.
•
Die Direktionen können beantragen, dass die Rolle Time V9 Web oder TimePacker
WEB in einem vereinfachten Verfahren bewilligt werden kann. Dieses Verfahren kann
die Rollenvergabe ohne Genehmigung TV D/S vorsehen. In der FIN kann diese Rolle
als Teil der Grundversorgung integriert werden.
•
Werden ausschliesslich fehlende RACF-Verbindungen - ohne Berechtigungsrolle- benötigt so können diese durch den FB F&S schriftlich (mit Unterschrift) bei BEA FIS bestellt werden (Angabe der User-ID und RACF-Bezeichnung).
Für Berechtigungsanträge innerhalb der Branchenbetriebe werden ausschliesslich die
RACF-Verbindungen sowie die erstmalige Erfassung des MA durch den SDK erfasst.
Die Zuteilung der Fachrolle erfolgt durch den BEA BR.
•
Seite 9 von 37
Rahmenorganisation
3.2.1 Berechtigungsanträge FIS mit elektronischem Workflow, eBERE
(DIR/STA)
Die Bestellung der Zugriffsberechtigung für die FIS Applikationen erfolgt über das Antragsformular eBERE [12], welches auf dem Intranet publiziert ist.
Alle Angaben sind erhältlich unter:
http://wwwin.fv.fin.be.ch/nef/index/proj-d/proj-d-d3/proj-d-d3-zg.htm
Die Erfassung, Prüfung und Archivierung des Antrags erfolgt elektronisch und am Bildschirm.
Entsprechende Anleitungen zur Bedienung von eBERE sind im Intranet publiziert.
Beispiel der Erfassungsmaske eBERE
Seite 10 von 37
Rahmenorganisation
3.2.2 Berechtigungsanträge FIS mit Papierlaufweg (UNI, BFH)
Die Bestellung der Zugriffsberechtigung für die FIS Applikationen der Branchen UNI, BFH
erfolgt über das Antragsformular [1] von F&S, welches auf dem Intranet der FV erhältlich
ist.
Das Antragsformular wird direkt am Bildschirm ausgefüllt und anschliessend ausgedruckt.
Als Voraussetzung für die Bestellung
der Applikatorischen Zugriffsberechtigungen für die Applikationen von FIS
muss jede/r potentielle/r Benutzer/in
über eine gültige Benutzerkennung
(RACF User-ID) der Bedag verfügen.
Im Bemerkungsfeld wird explizit vermerkt, dass der Antrag die Branche
UNI bzw. BFH betrifft.
Die Auswahl der Rollen erfolgt um die
benötigten RACF-Gruppen für den Antrag zu generieren.
Zum Fertigstellen des Antrags hier klicken
Rahmenorganisation
Zu druckender und visierender Antrag
Das folgende Formular wird gedruckt und über den ordentlichen Laufweg an das Servicedesk FIN c/o Amt für Informatik und Organisation des Kantons Bern, Wildhainweg 9, 3012
Bern, gesandt.
Dieses Formular wird ausschliesslich für die Branchen UNI/BFH benutzt. Für neue Mitarbeiter wird gemäss Prozessbeschrieb der User in der Berechtigungsverwaltung erfasst.
Ansonsten werden ausschliesslich die Systemberechtigungen(RACF-Gruppen) durch den
Servicedesk erfasst, und dem Aussteller anschliessend der Vollzug zurückgemeldet.
Seite 12 von 37
Rahmenorganisation
3.3 Passwort zurücksetzen
Input
Funktionsschritte
Output Beschreibung
Ein Benutzer kann sich mit seinem Account
/ Passwort nicht mehr an FIS anmelden.
Start
mA
I
Der MA gibt beim zentralen Servicedesk
DIR/STA oder bei seinem EDV-Koordinator
SD D/S
telefonisch, per E-Mail oder per Fax den
Auftrag sein Passwort zurückzusetzen.
Auftrag
annehmen
Auftrag für
PasswortReset
A
Der zentrale Servicedesk DIR/STA resp. der
EDV-Koordinator authentifiziert mit einem
SD D/S
geeigneten Verfahren (z.B. Callback, perEK D/S
sönlich vor Ort) den MA. Der Auftrag wird
ggf. im Service Management Tool der
DIR/STA erfasst.
Authentifizierung des
Benutzers
Auftrag
erfassen
TSO PWReset
vorhanden?
Wenn vorhanden, kann das Passwort direkt
durch den Servicedesk DIR/STA mittels
TSO-PW-Reset im Active Directory zurückSD D/S
gesetzt werden. Die ausführende Stelle
muss mit der entsprechenden PW-ResetGuppe der Bedag verknüpft sein.
Der Auftrag zum Zurücksetzen eines Passwortes wird vom Servicedesk DIR/STA per
Mail an die BEA BI erteilt.
N
J
Auftrag
durchführen
Auftrag
durchführen
Das Passwort wird mittels TSO-PW Reset
zurückgesetzt.
SD D/S
BEA BI
Die Benutzeradministration Bedag informiert
den Auftraggeber (Benutzeradministration
Rückmeldung DIR/STA oder EDV-Koordinator DIR/STA)
BEA BI
per Mail über das neu gesetzte Passwort
neues PW
Auftrag
abschliessen
Der Servicedesk DIR/STA resp. der EDVRückmeldung Koordinator DIR/STA meldet das neue
neues PW an Passwort an den betroffenen Benutzer.
Benutzer
SD D/S
BEA D/S
EK D/S
Benutzer
Der abgeschlossene Auftrag wird vom Servicedesk DIR/STA archiviert.
Antrag
archivieren
Zur Sicherung der Nachvollziehbarkeit, wird SD D/S
der Vorgang des PW-Resets im Active Directory der Bedag in Logfiles dokumentiert.
BEA BI
Ende
Bitte beachten Sie die Randbedingungen auf der Folgeseite!
Seite 13 von 37
Rahmenorganisation
•
•
•
Auftragsannahme durch Benutzeradministration Bedag erfolgt nur, wenn als Auftraggeber ein der Benutzeradministration Bedag bekannter und autorisierter EDVKoordinator DIR/STA auftritt. Dieser muss mit der entsprechenden PW-Reset-Gruppe
verknüpft sein um UserID’s mittels TSO-PW-Reset zurücksetzten zu können.
Ausserdem müssen die folgenden Angaben zwingend mit dem Auftrag mitgegeben
werden: Name, Vorname, RACF User-ID, Systemangabe (S/390 und/oder ADS).
Die Aufbewahrung der Logfiles für die Dokumentation des Passwort-Resets wird entsprechend den Richtlinien „Anforderungen der Revision an Informatik-Projekte“ [2] der
Finanzkontrolle des Kantons Bern und den darin referenzierten Dokumenten sichergestellt
Die aufgeführten Aufgaben der Rolle Servicedesk DIR/STA (SD D/S) gemäss Prozessbeschreibung kann in den DIR/STA durch andere Organisationseinheiten wahrgenommen werden. Die DIR/STA sind verantwortlich, dass diese Ansprechpersonen den
Benutzern bekannt sind.
Seite 14 von 37
Rahmenorganisation
3.4 Passwort (ad-bedag-ch) ändern durch Benutzer/in
Die Benutzer/innen der FIS Lösungen haben jederzeit die Möglichkeit, ihr Passwort im
Active Directory ad-bedag-ch der BEDAG selber zu ändern bzw. zurückzusetzen1. Die
entsprechenden Verfahren und Abläufe sind im Dokument „Intranet Password Manager,
ad-bedag-ch, Benutzerhandbuch“ [3] der Bedag beschrieben. Die aktuelle Version dieses
Dokumentes befindet sich jeweils auf der entsprechenden Intranet-Seite unter dem Link
„Hilfe“ (s. untenstehende Abbildung).
Abbildung 1: Intranet-Seite für Passwort-Änderung
1
https://osspwmgr.be.ch/iisadmpwd/aexp2.asp
Seite 15 von 37
Rahmenorganisation
3.5 Berechtigungsrollen Branchenbetrieb (UNI/BFH) erteilen
Input
Funktionsschritte
Output
Beschreibung
MA mit gültiger User-ID benötigt Zugriff auf
die Branchenlösung FIS.
A
mA
Der Antragssteller füllt ein Antragsformular
(Ref. [1]) aus.. Der gedruckte Antrag muss
vom Vorgesetzten unterschrieben werden.
AS
BEA BR
Die Benutzeradministration Branche prüft
den Antrag auf Vollständigkeit und gültige
RACF User-ID.
BEA BR
I
Die Benutzeradministration BR prüft ob für BEA BR
diese Person zum ersten Mal Rechte beantragt werden.
Die Benutzeradministration BR prüft ob für
diese Person Fachrollen im GSP beantragt
werden.
Ist der Antrag erstmalig und/oder werden
administrative Rechte im GSP beantragt,
wird der Antrag an SDK weitergeleitet.
BEA BR
BEA BR
SDK
Für GSP-Rollen erfolgt im Servicedesk der
Antrag gemäss dem Prozess “Berechtigungsrollen FIS erteilen”, Kapitel 3.2.
Die Benutzeradministration BR erteilt der
User-ID in der Branche die erforderlichen
Zugriffsrechte und informiert den Antragsteller entsprechend.
BEA BR
AS
Der abgeschlossene Antrag wird archiviert.
BEA BR
Es gelten folgende Randbedingungen:
•
•
Die Benutzerorganisationen der Branchenbetriebe sind verantwortlich, dass auf
dem Berechtigungsformular spezifiziert ist, dass es sich um Rechte innerhalb der
Branche handelt. In diesem Fall wird durch den SDK ausschliesslich die RACFVerbindungen aktiviert und der Benutzer in die Benutzerverwaltung aufgenommen..
Die Zuteilung der Fachrolle erfolgt anschliessend durch die Benutzerorganisation
der Branche.
Benötigen Mitarbeiter der Branchenbetriebe Fachrollen im GSP, so werden diese
gemäss ordentlichem Verfahren für die entsprechende Direktion (ERZ für UNI und
BFH) beantragt.
Seite 16 von 37
Rahmenorganisation
3.6 Berechtigungsrollen FIS deaktivieren
Input
Funktionsschritte
Output
Beschreibung
Ein MA verlässt die DIR/STA. Die Systemzugriffsrechte FIS, die applikatorischen
Zugriffsrechte FIS sowie die User-ID müssen deaktiviert werden. Die Verantwortung
hierfür liegt beim Vorgesetzten des/der
Mitarbeiter/in.
Der Antragssteller füllt ein Formular (Ref.
[12]) oder (Ref. [1]) aus.
A
mA
I
AS
Der Lösungsverantwortliche Applikation FIS LV D/S
DIR/STA validiert den Antrag und genehmigt die Deaktivierung der Rollenzuteilung
des MA.
Antrag auf Vollständigkeit kontrolliert.
SDK
SDK löscht (Status: gelöscht) die zugeteilten Fachrollen der User-ID in der Zugriffsverwaltung der Applikation FIS. Die User-ID
wird mit dem Status gesperrt deaktiviert.
SDK
AS
LV D/S
.
Der Antragsteller wird über den erledigten
SDK
archiviert.
SDK
BEA BI
Es gelten folgende Randbedingungen:
•
Die Deaktivierung von User-IDs der Branche erfolgt auf demselben Weg. In diesem
Fall fungiert die Benutzeradministration Branche als LV D/S in obigem Prozess.
•
Das Löschen der RACF-Gruppen nach einer Benutzerdeaktivierung erfolgt im Rahmen
des ordentlichen Austrittprozesses. Ein Deaktivierungsauftrag im FIS löst lediglich das
Löschen der Fachrollen, sowie das Sperren des Users in der Berechtigungsverwaltung
aus.
Seite 17 von 37
Rahmenorganisation
•
Es ist nicht gestattet, die Benutzererkennung von austretenden Mitarbeitern und die
damit verbundenen Zugriffsberechtigungen durch andere Mitarbeiter weiter zu verwenden.
•
Benutzererkennungen im FIS dürfen nach frühestens 10 Jahren gelöscht werden. Als
Deaktivieren wird das Setzen des Status „gesperrt“ verstanden.
•
Die Aktivierung oder Deaktivierung von TDB Usern erfolgt über das in Kapitel 6.1 beschriebene Verfahren und das dort genutzte Bestellformular. Das Antragsformular
muss durch den Antragssteller sowie den FB F+S visiert werden.
•
Bei jeder Deaktivierung muss überprüft werden, ob ein Remote Anschluss ebenfalls
deaktiviert werden muss. Der Antrag zur Deaktivierung muss der BEWAN Koordinationsstelle zugestellt werden.
•
Die Branchen sind für die Deaktivierung von User-ID’s der Branchen zuständig. Für
Berechtigungen im GSP von Mitarbeitern der Branchenbetriebe ist dieser Prozess gültig.
Seite 18 von 37
Rahmenorganisation
4 Periodische Überprüfung der Benutzerberechtigungen
4.1 Standard User
• Die Überprüfung erfolgt jährlich. Bei Bedarf wird die Überprüfung mehr als einmal
durchgeführt.
• Die LV versehen die Liste mit den entsprechenden Bemerkungen (deaktivieren, Ändern der Berechtigungsrolle).
• Anpassungen von Berechtigungsrollen und User-IDs erfolgen über die in Kapitel 3 beschriebenen ordentlichen Verfahren und deren Hilfsmittel. Es werden keine Änderungen, Deaktivierungen oder Neudefinitionen aufgrund der visierten Liste durchgeführt.
• Für eine periodische Prüfung der Berechtigungen der Branchebetriebe ist die Branche
zuständig.
• Die Berechtigungslisten werden ungeschützt versendet. Damit ist sichergestellt, dass
diese für den direktionsinternen Weitergebrauch verwendet werden können.
• Die Bestätigung des LV DIR/STA erfolgt mittels Unterschrift auf der ersten Seite der
Liste. Diese Seite wird dem SDK retourniert.
Seite 19 von 37
Rahmenorganisation
•
•
Pro DIR/STA wird eine Liste versendet und auch nur eine Liste bzw. Deckblatt zur Bestätigung retourniert.
Auf den Direktionslisten werden die E- und die R-User (Entwickler und BEDAG-User)
ausgeblendet. Die Überprüfung dieser User erfolgt zentral und vierteljährlich gemäss
Kapitel 5.2.2.
Seite 20 von 37
Rahmenorganisation
4.2 Administratoren
Es gelten die folgenden Rahmenbedingungen:
•
Die Überprüfung erfolgt quartalsweise, d.h. viermal im Jahr.
•
Die FV und FB F+S versehen die Liste mit den entsprechenden Bemerkungen. Änderungen, Deaktivierungen und Neudefinitionen müssen nach dem ordentlichen
Verfahren bestellt werden.
•
Die Prüfung der Administrationen von externen DL (inova) wird durch den FB F+S
sichergestellt.
Für eine periodische Prüfung der Berechtigungen der Branchebetriebe ist die Branche zuständig.
•
Seite 21 von 37
Rahmenorganisation
4.3 Technischer Datenbank User (TDBU)
• Die Überprüfung erfolgt quartalsweise.
• F+S versieht die Liste mit den entsprechenden Bemerkungen. Änderungen, Neudefinitionen und Deaktivierung müssen mit Antragsformularen nach dem ordentlichen Verfahren gemäss Kapital 6.1 bestellt werden.
• Es werden keine Deaktivierungen oder Änderungen aufgrund der visierten Liste durchgeführt.
4.4 Technische System-System User (TSSU)
Technische System-System User werden durch FB F+S bei der Aufhebung oder Ablösung
einer Schnittstelle deaktiviert resp. zur Deaktivierung in Auftrag gegeben.
Seite 22 von 37
Rahmenorganisation
5 Rollenprofile
5.1 Berechtigungsrollen FIS
Folgende Berechtigungsrollen können beantragt und dem zukünftigen Benutzer zugeteilt
werden. Das KAIO/FB F&S verwaltet im Auftrag der Finanzverwaltung den Umfang je Berechtigungsrolle FIS.
5.1.1 Mitarbeiter(innen) Stufe Kreis
Auf Stufe Kreis werden Berechtigungen vergeben, welche die Verwaltung sämtlicher
Stamm- und Bewegungsdaten ermöglichen. Die Rechte umfassen alle Systeme. Die
Rechte umfassen alle Systeme, mit der im Kap. 5.1.2 genannten Ausnahme bei Berechtigungen auf Stufe Funktionsbereiche.
Planung I
•
•
•
•
Verwaltung von Stammdaten (inova.score, inova.cost, inova.object, inova.subject).
Verwaltung von Planbuchungen (inova.plan).
Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Planungsprozess
(inova.process)
Durchführung von Abschlüssen: einfacher Monatsabschluss (MA), erweiterter MA,
Hochrechnung, Jahresabschluss
IKS (internes Kontroll System)
•
•
•
•
Verwaltung von individuellen Buchungsregeln (inova.rules).
IKS-Freigabe im inova.credi sicherstellen
Leserecht für Buchungen sowie Dossiers im Aufgabenbereich des IKS-Prozesses
Leserecht in Object, Subject, Rules sowie Zugriff auf Cost-Reporter
Amts-Controlling
•
Sämtliche Daten des Kreises können gelesen und gedruckt werden.
Personalverantwortung
Es handelt sich um eine Kombinationsrolle, d.h. diese Berechtigungsrolle kann ausschliesslich in Kombination mit einer weiteren Berechtigungsrolle FIS (Planung l oder RW
l) zugeteilt werden. Diese Rolle kann auf allen Stufen (Konzern/DIR/Kreis) erteilt werden.
In Kombination mit einer Rolle aus dem IST-Prozess (RW bzw. Contolling) können Personaldossiers gelesen werden. Mit gleichzeitiger Zuteilung einer Rolle aus dem Planungsprozess (Planung 1-3) können im PKP Buchungen abgesetzt werden.
•
•
Zugriff bzw. Verwaltung von Bewegungsdaten der Personaldossiers im Ist- bzw. Planprozess(inova.salary).
Kein Zugriff auf Stammdaten von PERSISKA.
Rechnungswesen I
•
•
Verwaltung von Stammdaten aller Systeme auf Stufe Kreis.
Verwaltung von Ist-Buchungen.
Seite 23 von 37
Rahmenorganisation
•
•
Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Ist-Prozess
Durchführung von Abschlüssen (einfacher Monatsabschluss (MA), erweiterter MA,
Diese Rolle kann nicht mit der Rolle IKS kombiniert werden.
Rechnungswesen I A
•
•
•
•
Verwaltung von Stammdaten aller Systeme auf Stufe Kreis (ohne inova.credi)
Verwaltung von Ist-Buchungen (ohne inova.credi)
Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Ist-Prozess
Durchführung von Abschlüssen (einfacher Monatsabschluss (MA), erweiterter MA,
Diese Rolle kann mit der Berechtigungsrolle IKS kombiniert werden.
In Kombination mit IKS ist es mit dieser Rolle möglich das interne Kontrollsystem sowie
andere Prozesse wie z.B. Ist-Abschlüsse sicherzustellen.
Buchungsregeladministrator
•
Buchungsregeln lesen und verwalten (erfassen, mutieren, löschen)
Fakturierung temporär
• Mutationsmöglichkeit des Debitorendossiers
• Es handelt sich um eine Kombinationsrolle d.h. diese Rolle kann ausschliesslich in
Kombination mit einer weiteren Berechtigungsrolle FIS erteilt werden. In Kombination
mit einer Rechnungswesen-Rolle ergibt sich ein Schreibrecht in der Debitorenbuchhaltung inova.debi. Die Kombination mit der Rolle Amtscontrolling ergibt ein Leserecht in
inova.debi.
Diese Rolle ist temporär und soll nach Abschluss der Produktionsaufnahme sämtlicher
Debi-Betriebe im inova.debi aufgelöst werden.
Debi-Controller temporär
Es handelt sich um eine Kombinationsrolle d.h. diese Rolle kann ausschliesslich in Kombination mit einer weiteren Berechtigungsrolle FIS erteilt werden.
In Kombination mit einer Rechnungswesen-Rolle ergibt sich ein Schreibrecht in der Debitorenbuchhaltung inova.debi. Die Kombination mit der Rolle Amtscontrolling ergibt ein Leserecht in inova.debi.
Im Gegensatz zur Rolle Fakturierung temporär ist es nicht möglich der Inhalt von Debitorendossiers zu lesen oder mutieren.
Diese Rolle ist temporär und soll nach Abschluss der Produktionsaufnahme sämtlicher
Debi-Betriebe im inova.debi aufgelöst werden.
Schalterkasse
Die Rolle Schalterkasse ist ausschliesslich für Mitarbeiter relevant, welche eine Schalterkasse in ihrem Debi-Betrieb implementiert haben. Folgende Funktionen stehen mit dieser
Rolle anschliessend zur Verfügung:
• Barkassenverkauf
• Gutschriftenauszahlung
• Schalterkasse öffnen, schliessen, abrechnen, übernehmen und bebuchen.
Seite 24 von 37
Rahmenorganisation
Inkassostellen Debi
Sämtliche Daten des Debitorenbetriebes stehen lesend zur Verfügung. Zusätzliches Leserecht im inova.object und inova.subject.
Time V9 Web
Kann Arbeitsrapporte erfassen und freigeben. Mit Zusat Linienverantwortung können die
Rapporte auch visiert werden. Detailberechtigung erfolgt dezentral durch die Verantwortlichen des Timebetriebs.
Time V9 Citrix
Verwaltung und Administration des Timebetriebs. Detailberechtigung erfolgt dezentral
durch die Verantwortlichen des Timebetriebs.
Time Administrator v5.2
Kann Betriebe, Abteilungsgliederung und Arbeitszeitmodelle bearbeiten, Betriebseinstellungen festlegen und Kostenrechnungsverbindung erstellen.
Time Controller v5.2
Kann Mitarbeiter und Anstellungen, Rubriken und Tätigkeiten bearbeiten, Aufträge erteilen, Rapporte visieren, stornieren und umbuchen.
Time Visierer v5.2
Kann Rapporte visieren, stornieren und umbuchen (Berechtigung auf die Rubrik des Rapportes erforderlich)
Time Rapportierer v5.2
Kann eigene und Rapporte der berechtigten Anstellungen erfassen und freigeben sowie
darüber sämtliche Auswertungen erstellen.
TimePackerWeb Leistungserfassung v5.2
Zeit- und/oder Leistungserfassung mit inova.time mittels Intranet und Freigabe der eigenen Rapporte z.Hd. des Vorgesetzten.
Benutzer Time-Packer citrix v5.2
Diese Rolle wird nur dann benötigt, wenn Mitarbeiter(innen) keinen Zugriff auf das Intranet
haben. Andernfalls ist die Rolle Time-Packer WEB Leistungserfassung zu beantragen.
•
Zeit- und/oder Leistungserfassung und Freigabe der eigenen Rapporte z.Hd. des Vorgesetzten.
Kredite anzeigen
Mit dieser Rolle können alle Kreditdaten der OE und untergeordneten angezeigt bzw. Notizen hinzugefügt und bearbeitet werden.
Seite 25 von 37
Rahmenorganisation
Kreditwesen l
Zusätzlich zu „Kredite anzeigen“ können alle Kreditarten der OE’s erfasst und bearbeitet
(Weitere
Kredite
zuordnen
und
entfernen,
Kreditbeziehungen
und
–
verwendungsbuchungen hinzufügen, bearbeiten und löschen) werden. Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb anzeigen“ auf
der entsprechenden Hierarchiestufe inne haben.
Betrieb anzeigen (Kreditmanagement)
Alle Stammdaten des Betriebes werden angezeigt. Damit im Kreditmanagement gebarbeitet werden kann, muss der Benutzer zusätzlich zu einer Fachrolle Kreditwesen l – lll mit
dieser Rolle auf der entsprechenden Hierarchiestufe berechtigt werden.
5.1.2 Mitarbeiter(innen) Stufe Funktionsbereich
Die in Kap. 5.1.1 aufgeführten Berechtigungen können für einen oder mehrere Funktionsbereiche eingeschränkt werden. Für die Bearbeitung von inova.cost und inova.score wird
eine Berechtigung auf Stufe Kreis benötigt. Dies gilt auch für das Erfassen/Verwalten von
Buchungsregeln.
Auf Stufe Funktionsbereich werden Berechtigungen vergeben, welche die Verwaltung von
Bewegungsdaten ermöglichen. Die Stammdaten können nur in folgenden Systemen erfasst und mutiert werden:
• inova.object: Erfassung von Anlageobjekten auf Stufe Funktionsbereich
• inova.subject: Uneingeschränkte Erfassung und Mutation eigener Daten
Zusätzlich können Bewegungsdaten auf Stufe Funktionsbereich erfasst und mutiert werden für
•
•
•
inova.plan
inova.credi
inova.debi
Es können keine Daten gelesen und mutiert werden in den folgenden Systemen:
•
•
inova.cost
inova.score
5.1.3 Mitarbeiter(innen) DIR/STA
Auf Stufe Direktion werden Berechtigungen vergeben, welche das Mutieren, Lesen und
Ausdrucken sämtlicher Stamm- und Bewegungsdaten ermöglichen. Die Rechte umfassen
alle Systeme und alle Kreise.
Planung II
Verwaltung der Stammdaten von inova.subject, inova.cost, sowie inova.score (eingeschränkte Funktion: Zwingende Vorgaben an die Kreise wie z.B. Soll-Reportingstruktur
können ausschliesslich mit dieser Rolle mutiert bzw. definiert werden.
Seite 26 von 37
Rahmenorganisation
Rechnungswesen II
Verwaltung der Stammdaten von inova.subject, inova.cost, sowie inova.score (eingeschränkte Funktion: Zwingende Vorgaben an die Kreise wie z.B. Soll-Reportingstruktur
können ausschliesslich mit dieser Rolle mutiert bzw. definiert werden.
Abschluss durchführen auf Direktionsebene
Direktions-Controlling
Daten der Direktion und Kreise können gelesen und gedruckt werden.
Kreditwesen ll
Zuzüglich zu den Rollen „Kredite anzeigen“ und „Kreditwesen l“ können abgerechnete
Kredite zurückgesetzt werden.
Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb
anzeigen“ auf der entsprechenden Hierarchiestufe inne haben.
5.1.4 Mitarbeiter(innen) Konzern (Finanzverwaltung GS/FIN)
Planung III
•
•
•
•
•
Der Zugriff auf Stammdaten ist beschränkt auf Berechtigungen der Planungsaktivitäten
auf Stufe Konzern:
Verwalten der Planbuchungen Stufe Konzern
Bewegungsdaten sämtlicher Direktionen können konsultiert und gedruckt werden.
Export des Abschlusses im XML-Format
Konzern-Controlling
•
Daten des Konzerns und aller Direktionen können konsultiert und gedruckt werden.
Konzernrechnungswesen
Verwaltung konzernweiter Vorgaben wie z.B. Allgemeine Buchungsregeln. Bewegungsdaten sämtlicher Direktionen und Kreise können konsultiert und gedruckt werden. Zusätzlich
können a) Nachtragsbuchungen ausserhalb der aktiven Periode sowie b) das CashManagement verwaltet werden.
Cash Tresorerie ll
Freigabe des Prozessschrittes "Cash Management Tresorerie" in inova.process bei Abschlüssen des Ist-Prozesses. Verwaltung von Stammdaten des Cash-Managements sowie
Sicherstellung der zentralen Zahlungsfreigabe. Zusätzlich stehen die Finanzreports bis auf
Stufe Konzern zur Verfügung.
Salary PA (Berechtigung für Mitarbeiter/innen des PA)
Freigabe des Prozessschrittes "Salary PA" in inova.process bei Abschlüssen des IstProzesses.
Budgetkorrektur (Berechtigung für Mitarbeiter/innen des PA)
Definieren des Prozentsatzes welcher bei der Berechnung der Budgetkorrektur im Planungsprozess zur Anwendung kommt.
Seite 27 von 37
Rahmenorganisation
Publisher
Nach erfolgreichem Konzernabschluss im inova.process, exportiert der Publisher die XMLDateien zur Weiterbearbeitung im externen Publishing-Tool
Kreditwesen lll
Zuzüglich zu den Rollen „Kredite anzeigen“ und „Kreditwesen l“ können beendete Kredite
zurückgesetzt werden.
Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb
anzeigen“ auf der entsprechenden Hierarchiestufe inne haben.
Seite 28 von 37
Rahmenorganisation
5.1.5 Mitarbeiter(innen) Support- und Betriebsorganisation FIS
Folgende Rollen sind für Mitarbeiter der ordentlichen Support- und Betriebsorganisation
des FIS reserviert:
Anwendungsadministrator technisch
•
Administration von Betriebsdaten der Debi- und Credi-Betriebe
Anwendungsadministrator organisatorisch
•
•
•
Verwaltung der Benutzeradministration.
Sicherstellung der Perioden- und Variantensteuerung
Administration des inovaDesktops
Im Rollenkonzept sind sämtliche Berechtigungsrollen FIS mit den dazugehörigen fachlichen Funktionen aufgeführt.
Von der Übersicht ausgenommen sind die in V1.0 gültigen Rollen „Time Administrator“,
„Time Controller“, „Time Visierer“, „Time Rapportierer“, „TimePackerWeb Leistungserfassung“ und „Benutzer TimePacker Citrix“.
5.2 Spezialfälle bei der Rollenvergabe
5.2.1 Vergabe von eingeschränkten Zugriffsberechtigungen
•
•
•
•
•
•
Mitarbeiter/innen des KAIO/FB F&S und der FIN FV können in den Teststufen des Systems Rechte an sich selber oder andere Personen für eine begrenzte Zeit zu Test- und
Supportzwecken vergeben. Für den Support wird damit die Eingrenzung von Problemfällen beschleunigt.
Mitarbeiter/innen des KAIO/FB F&S und der FIN FV können in der Produktionsstufe
des Systems Rechte an sich selber für eine begrenzte Zeit erteilen. Davon darf jedoch
ausschliesslich Gebrauch gemacht werden, falls dies für einen unmittelbaren Produktionssupport zu Gunsten von FIS Benutzern unumgänglich ist. In der Abteilung DHF der
FV sind zwei Personen designiert, welche bei Bedarf andere Mitarbeiter der Abt. DHF
temporär berechtigen dürfen. Selbstverständlich dürfen keine anderen Daten auf irgendeine Weise manipuliert werden.
Die Rolle Personalverantwortung darf in keinem Fall von Mitarbeiter/innen der FIN FV
oder des KAIO/FB F&S erteilt werden.
Mitarbeiter/innen der FIN FV und vom KAIO/FB F+S können Zugriffsberechtigungen an
Schulungsuser und Kursteilnehmer/innen in der Schulungsumgebung erteilen.
Die Umgebung „H“ ist nicht Teil der vorliegenden Rahmenorganisation. Diese Umgebung „H“ steht ausschliesslich dem Betreiber KAIO/FB F&S sowie durch ihn beauftrage
DL-Anbieter zur Verfügung. Die notwendigen DB-Verknüpfungen (RACF-Gruppen)
können ausschliesslich durch Mitarbeiter des KAIO/FB F&S beim Call Desk KAIO
schriftlich bestellt werden und benötigen keiner weiteren Bewilligung.
Werden für Produktionsaufträge der Fachorganisation temporäre Berechtigungen benötigt, so erfolgt dies ausschliesslich mit schriftlicher Genehmigung des Finanzchefs
der DIR/STA.
Seite 29 von 37
Rahmenorganisation
5.2.2 Funktionentrennung bei externen Dienstleistern
5.2.2.1 Sicherstellung der Funktionentrennung im FIS
Mitarbeiter von externen DL-Anbietern können Rechte für einen FIS-Zugriff beantragen.
Ein solches Verfahren bedingt die Einwilligung des FB F+S als Betreiber des FIS.
Ein solcher Zugriff kann auf verschiedene Arten erfolgen:
Zugriff 1: Zugriff als Standarduser auf die Applikation des FIS
Zugriff 2: Zugriff auf die Mainframe Umgebung im RZ als TDBU-User
Zugriff 3: Zugriff auf den DB Server des FIS als TDBU-User
Die Funktionentrennung (Entwickler-, Betreiber-, Endbenutzerrolle) bei externen DLAnbietern muss jederzeit sichergestellt sein, und schlägt sich auch in der Rollenvergabe
im FIS nieder.
Die Umsetzung im FIS ist wie folgt sichergestellt:
Zugriff 1: Zugriff auf die Applikation FIS
Warum:
Die Inova.solutions AG hat gemäss Rahmenvertrag und Jahresdisposition einen Supportauftrag zu Gunsten des 2nd Level Support des KAIO. Damit die zuständigen MA der inova.solutions AG schnell und effizient Fehlerbilder in der
Produktion aus Benutzersicht nachvollziehen können, werden temporär auf Basis von Supportaufträgen diese Rechte zugeteilt.
Wer:
Zwei designierte Inova-Mitarbeiter haben die Berechtigungsrolle „Benutzeradministrator organisatorisch“ und „Benutzeradministrator technisch“ inne. Diese
sind berechtigt bei direkten Supportaufträgen durch das KAIO/FB F&S temporär
andere Inova Mitarbeiter mit den notwendigen Berechtigungen als Standarduser auszustatten, so dass der Support wahrgenommen werden kann. Sämtliche involvierten inova Mitarbeiter unterstehen dem Datenschutz- und Geheimhaltungsvorschriften gemäss Rahmenvertrag Art. 8.3.
Prüfung: gemäss Kapitel 4.2
Seite 30 von 37
Rahmenorganisation
Zugriffe 2 und 3: Zugriff der TDBU
Warum:
Zugriffe für TDBU-User werden ausschliesslich für interne und externe Partner
bewilligt, welche Aufgaben im Verfahrenscontrolling und Betriebsbetreuung
gemäss ordentlicher Jahresdisposition oder gemäss Auftrag KAIO wahrnehmen. In der Produktionsumgebung werden prinzipiell nur Read Rechte genehmigt. Auf den Teststufen ist zusätzlich die Zuteilung von Write oder DB-Owner
Rechten zulässig. In Ausnahmefällen können Write-Rechte in der Produktion
(DB2 und SQL) vergeben werden. Für diese Fälle wird neben dem ordentlichen
Antragsformular noch ein Verzeichnis im FB F+S geführt, in welchem ersichtlich
ist für welchen Arbeitsauftrag und Zeitbereich diese Berechtigung notwendig ist.
Wer:
Sämtliche Anträge müssen durch den FB F+S bewilligt werden. Die Erfassung
erfolgt gemäss Kapitel 6.1
Prüfung: Prüfung gemäss Kapitel 4.3
Es muss sichergestellt sein, dass die Zugriffsvarianten 1, 2 und 3 von einer zentralen Stelle geprüft werden, damit die Gesamtübersicht sichergestellt ist. Im FIS übernimmt diese
Aufgabe der FB F+S.
5.2.2.2 Sicherstellung der Funktionentrennung bei Umsystemen
Analog der Sicherstellung der Funktionentrennung im FIS, müssen die DIR/STA für ihre
Umsysteme Verfahren vorsehen, welche die Funktionentrennung bei Systemzugriffen
durch externe Dienstleister berücksichtigt.
Im Bewilligungsverfahren bei neuen Schnittstellenanträgen wird diesem Umstand besonders Rechnung getragen. Organisatorische und systemtechnische Massnahmen müssen
im 2IKS-Konzept der zuständigen Institution definiert sein.
Die Mindestanforderungen an ein solches IKS-Konzept diesbezüglich sind die folgenden:
1- Führung einer vollständigen Liste der berechtigten Personen mit
a. User-ID, Name, Vorname
b. Beschreibung der Fach- und/oder technischen Rolle
c. Beschreibung der wahrgenommen Aufgaben (z.B. 3rd Level Support)
2- Ablaufprozessbeschreibungen
a. Beschreibung des Bewilligungs- und Deaktivierungprozesses
b. Beschreibung der periodischen Überprüfung
3- Rahmenorganisation
a. Stillschweigevereinbarung
b. Designation einer zuständigen Stelle für die Sicherstellung der Gesamtsicht
über den einzelnen User
2
Diese Vorgaben können auch im ISDS-Konzept der entsprechenden Applikation definiert sein.
Seite 31 von 37
Rahmenorganisation
5.3 Rolleninhaber
Rolleninhaber mit Prüfaufgaben werden in eBERE zentral geführt und verwaltet. Im automatisierten Workflow werden diese Personen direkt via eMail informiert um Aufträge abzuarbeiten.
Auch Mutationen in der Rollenzuweisung werden mittels eBERE beantragt und bewilligt.
Rolle
Rolleninhaber
EK D/S
Die Bedag unterhält eine Liste aller bezeichneten EDV-Koordinatoren.
Die Rolle der EDV-Koordinatoren ist zentral für das Zurücksetzen der Passwörter gemäss
Kapitel 3.3. Der Lösungsverantwortliche der Direktion meldet der Bedag Mutationen dieser
Liste. Die Bedag ist besorgt diese Liste laufend zu aktualisieren und den betroffenen Koordinatoren mitzuteilen.
BEA D/S
Die Benutzeradministration DIR/STA ist zentral in den Direktionen angesiedelt.
AS
Der Antragssteller ist i.d.R. der oder die Vorgesetzte des Benutzers resp. der Benutzerin
KoSt BEWAN
Koordinationsstelle BEWAN
LV D/S
Der/die Lösungsverantwortliche innerhalb der DIR/STA ist zuständig für die fachliche
Überprüfung des Berechtigungsantrages FIS
031 999 92 59
FAX: 031 999 96 97
Verwaltung in eBERE
PV D/S
Der/die Personalverantwortliche FIS innerhalb der DIR/STA ist zuständig für die Überprüfung der Berechtigung zur Einsicht in Personaldaten (Rolle Personalverantwortung).
Verwaltung in eBERE
TV D/S
Der/die Timeverantwortliche innerhalb der DIR/STA ist zuständig für die fachliche Überprüfung des Berechtigungsantrages TIME
Verwaltung in eBERE
FIN FV
Die Verantwortlichen in der Finanzverwaltung überprüfen den Berechtigungsantrag bei
Erteilung von Konzernrollen.
Verwaltung in eBERE
FIN PA
Die Verantwortlichen im Personalamt überprüfen den Berechtigungsantrag bei Erteilung
der Rolle Personalverantwortung.
Verwaltung in eBERE
SDK
Der Service Desk FIN führt die Berechtigungsanträge aus.
Verwaltung in eBERE
BEA BR
Für die applikatorische Benutzeradministration Besondere Rechnung (Uni/BFH) sind die
Institutionen selber zuständig (in Zusammenarbeit mit SDK)
Seite 32 von 37
Rahmenorganisation
6 Technische User TDBU und TSSU
6.1 Zugriffsberechtigung Technische Datenbank-User (TDBU)
Bei Nutzern dieser Zugriffsberechtigung, handelt es sich um Produktionsbetreuer des FB
F+S sowie Mitarbeiter der Entwickler die direkten Zugriff auf DB-Tabellen (SQL und DB2)
erhalten. Der direkte Zugriff wird zur Fehlerevaluation und –behebung benötigt und wird
nach folgendem Verfahren erteilt und deaktiviert:
Input
Funktionsschritte
Output
Beschreibung
Eine Person benötigt einen direkten DB
Zugriff zu Wartungszwecken. Die Person
muss im Besitz einer gültigen RACF UserID sein.
A
Der Antragssteller füllt eines der Antragsformulare (Ref. [6]) aus. Der Antrag muss
vom Antragsteller unterschrieben werden.
AS
Das KAIO/FB F&S validiert den Antrag und
gibt mit seiner Unterschrift das Einverständnis zur Erteilung direkter DB Zugriffe.
Antrag auf Vollständigkeit kontrolliert.
Der gültige Antrag wird gescannt und mittels
Mail an [email protected] übermittelt. Ist
das Scannen nicht möglich, wird das Formular per Fax übermittelt und Benadmin
zusätzlich per Mail darüber in Kenntnis gesetzt.
mA
I
KAIO/FB
F&S
SDK
SDK
Die Benutzeradministration Bedag erteilt der
User-ID die erforderlichen Rechte auf DB2
BEA BI
Tabellen und/oder SQL Server-Tabellen.
SDK wird per Mail über den erfolgten Auftrag informiert.
SDK
Der Antragssteller wird über den erledigten
archiviert.
SDK
AS
Seite 33 von 37
Rahmenorganisation
6.2 Passwort zurücksetzen für Technische Datenbank-User (TDBU)
•
•
•
•
Der Nutzende beantragt die Passwortrücksetzung bei der Benutzeradministration
FIS telefonisch oder per Mail. Die folgenden Angaben sind hierzu zwingend notwendig:
o User-ID
o Stufe (Instanz)
o Angabe dass es sich um eine User-ID mit direkter DB Zugriffsberechtigung
handelt
Der Auftrag „Passwortrücksetzung“ wird von der Benutzeradministration FIS per
Mail an Benadmin ([email protected]) übermittelt und enthält zwingend die folgenden Angaben:
o User-ID
o Stufe (Instanz)
o Angabe, dass es sich um eine User-ID SQL Server FIS handelt
Benadmin meldet die erfolgte Rücksetzung des Passwortes und das neue Initialpasswort an Benutzeradministration FIS
Benutzeradministration FIS informiert den Nutzenden über die erfolgte Rücksetzung
und das neu gesetzte Initialpasswort.
6.3 Zugriffsberechtigung Technische System-System-User (TSSU)
Die technischen Rechte werden benötigt, um Zugriffe von Fremdsystemen über Schnittstellen zu steuern. Es handelt sich hierbei um reine System-System Zugriffe über MQSeries (HOST) oder Stored Procedures (SQL Server) auf Daten, die in einem Fremdsystem weiterverwendet werden können. (z.B. Adressdaten)
Sämtliche System/System Zugriffe bedürfen einer schriftlichen Vereinbarung zwischen
dem Dateneigentümer und dem Betreiber des Abholsystems. Der Ansprechpartner ist der
KAIO/FB F&S.
Seite 34 von 37
Rahmenorganisation
7 Zugriffsberechtigungen nach einer Datenkopie von der Produktion in die Teststufen
Periodisch (ca. zwei Mal pro Jahr) wird der Datenbestand der Produktion FIS in die Testumgebung und Schulungsumgebung kopiert. Diese Massnahme dient dazu einen aktuellen Datenbestand für Testzwecke bereitzustellen, Fehlerquellen bei Tests zu eliminieren
und die ordnungsgemässe Weiterentwicklung der Applikation sicherzustellen.
Nach einer solchen Kopie entsprechen die Zugriffsberechtigungen in der Test und Schulungsumgebung exakt denjenigen der Produktion.
Personen die in der Test- und/oder Schulungsumgebung andere Berechtigungen benötigen als in der Produktion müssen diese nach einer Kopie erneut beantragen.
Für bestehende Schulungs-User-IDs und User-IDs für Testzwecke beantragt die FIN FV
die Berechtigungen mittels Excel Liste unter Angabe
• der Direktion
• der Name(n)/Vorname(n)
• der User-IDs
• des Kler Kreises
• der benötigten Berechtigungsrollen und
• dem gewünschten Aktivierungsdatum
per eMail beim Servicedesk des KAIO [email protected].
Seite 35 von 37
Rahmenorganisation
8 Zugriffsberechtigungen verwandter Applikationen
8.1 Applikation Finaus II
Mit der Applikation Finaus II wird jährlich der Finanzausgleich der Gemeinden berechnet.
Die Gemeinden erfassen ihre Daten mittels der Applikation Finaus II. Zugriffsberechtigungen für die Mitarbeiter/innen der Abteilung Finanzausgleich werden mittels FIS Antragsformular bestellt und folgen dem ordentlichen Berechtigungsverfahren.
Zugriffsberechtigungen für Mitarbeiter/innen einer Gemeinde werden nach dem folgenden
Verfahren erteilt und deaktiviert.
Input
Funktionsschritte
Output
Beschreibung
Gemeindemitarbeiter/in mit gültiger RACF
User-ID benötigt Zugriff auf Applikation Finaus II.
Die Gemeinde füllt das Antragsformular
(Ref. [11]) aus und sendet dieses an das
Helpdesk KAIO, Wildhainweg.
A
mA
I
AS
Der Antrag wird in der Benutzeradministration FIS auf Vollständigkeit geprüft.
BEA FIS
Der gültige Antrag wird gescannt.
BEA FIS
BEA FIS
Die Benutzeradministration FIS erteilt der
User-ID die erforderlichen Rechte im RACF
und nimmt die User-ID in FIS ohne Rollenzuteilung auf.
BEA FIS
Der Antrag wird an die Abteilung Finanzausgleich zur Erteilung der applikatorischen
Rechte weitergeleitet.
Finaus
Der User-ID werden in der Applikation Finaus II die erforderlichen Rollen zugeteilt.
Die Erledigungsmeldung geht an die Benutzeradministration FIS.
Finaus
BEA FIS
Die Benutzeradministration FIS informiert
den Antragsteller (die Gemeinde) über den
Ausgeführten Auftrag.
BEA FIS
AS
archiviert.
BEA FIS
Seite 36 von 37
Rahmenorganisation
9 Dokument-Protokoll
Dokument-Ablage: FIN_KAIO 10747
FIS.DOCX
Autor:
v2
Rahmenorganisation
Zugriffsberechtigungs
Peter Schnyder
Änderungskontrolle
Version
Name
Datum
Bemerkungen
5.1
P. Schnyder
12.06.09
5.2
5.2
A. Wälti
P. Schnyder
30.09.10
06.10.10
A. Wälti
20.10.10
Inkl. Funktionentrennung der Entwickler sowie Anpassung der Rollenbezeichnungen. Elimination der
Prozesse „Bestellung User-ID“ sowie „Bestellung
Remote-Anschluss“.
Aktualisierung, Anpassung eBERE
Funktionentrennung bei Umsystemen, Einbau Input
SDK
Aktualisierung
Version
Stelle
Datum
Visum
5.1
5.2
FBL BRM/KAIO
FBL F+S/KAIO
09.07.09
20.10.10
Sig.mm
Sig.aw
Prüfung
Bemerkungen
Freigabe
Version
Stelle
Datum
Visum
5.1
5.2
FBL F+S/KAIO
AL ADM/KAIO
09.07.09
20.10.10
Sig.ps
Sig.mm
Bemerkungen
Seite 37 von 37

FIN_KAIO 10747 v2 Rahmenorganisation

Transcription

Documents pareils

Liebe Fans

FIS HEER in der mobilen Anwendung: ein Prinzipversuch

Basic Information Sheet

Nordische Ski-WM 2015 fast ausvermarktet

Finale NotePad 2008 - [Mose und ich

Frankfurt International School e. V. Programm zur

Arbeitsmaterialien zum Thema Tetrachord

fischer Befestigungskompass Porenbeton.