FIN_KAIO 10747 v2 Rahmenorganisation
Transcription
FIN_KAIO 10747 v2 Rahmenorganisation
Amt für Informatik und Organisation des Kantons Bern Office d'informatique et d'organisation du canton de Berne Finanzdirektion Direction des finances Applikationen- und Datenmanagement Finanz- und Supportsysteme Wilhainweg 9 3012 Bern Telefon 031 633 59 28 Service Desk 031 633 44 44 Telefax 031 633 59 69 www.kaio.fin.be.ch Benutzeradministration FIS Rahmenorganisation Bearbeitungs-Datum: 20.10.2010 Version: 5.2 Dokument-Nummer: 10747 Registraturplan Nr. 4-01-03-05-01 Dokument-Status: Freigegeben Klassifizierung: unklassifiziert Ersteller: KAIO-FB F+S Verteiler: Servicedesk KAIO, Intranet FV Rahmenorganisation Benutzeradministration FIS Inhaltsverzeichnis 1 Allgemeines ..................................................................................................................3 1.1 Zweck des Dokuments ........................................................................................3 1.2 Gültigkeitsbereich ................................................................................................3 1.3 Verantwortung ..................................................................................................... 3 1.4 Auftrag.................................................................................................................3 1.5 Verwendete Begriffe / Abkürzungen .................................................................... 4 1.6 Referenzierte Dokumente ...................................................................................5 2 Management-Übersicht................................................................................................6 3 Verfahren für die Zugriffsberechtigung und Benutzerverwaltung ...........................7 3.1 Unterscheidung der Finanzinformationssysteme KOFINA / FIS..........................7 3.2 Berechtigungsrollen FIS erteilen .........................................................................8 3.2.1 Berechtigungsanträge FIS mit elektronischem Workflow, eBERE (DIR/STA) ... 10 3.2.2 Berechtigungsanträge FIS mit Papierlaufweg (UNI, BFH)................................. 11 3.3 Passwort zurücksetzen ..................................................................................... 13 3.4 Passwort (ad-bedag-ch) ändern durch Benutzer/in ........................................... 15 3.5 Berechtigungsrollen Branchenbetrieb (UNI/BFH) erteilen ................................. 16 3.6 Berechtigungsrollen FIS deaktivieren ................................................................ 17 4 Periodische Überprüfung der Benutzerberechtigungen......................................... 19 4.1 Standard User ................................................................................................... 19 4.2 Administratoren ................................................................................................. 21 4.3 Technischer Datenbank User (TDBU) ............................................................... 22 4.4 Technische System-System User (TSSU) ........................................................ 22 5 Rollenprofile ............................................................................................................... 23 5.1 Berechtigungsrollen FIS .................................................................................... 23 5.1.1 Mitarbeiter(innen) Stufe Kreis ............................................................................ 23 5.1.2 Mitarbeiter(innen) Stufe Funktionsbereich......................................................... 26 5.1.3 Mitarbeiter(innen) DIR/STA ............................................................................... 26 5.1.4 Mitarbeiter(innen) Konzern (Finanzverwaltung GS/FIN) ................................... 27 5.1.5 Mitarbeiter(innen) Support- und Betriebsorganisation FIS ................................ 29 5.2 Spezialfälle bei der Rollenvergabe .................................................................... 29 5.2.1 Vergabe von eingeschränkten Zugriffsberechtigungen ..................................... 29 5.2.2 Funktionentrennung bei externen Dienstleistern ............................................... 30 5.3 Rolleninhaber .................................................................................................... 32 6 Technische User TDBU und TSSU ........................................................................... 33 6.1 Zugriffsberechtigung Technische Datenbank-User (TDBU) .............................. 33 6.2 Passwort zurücksetzen für Technische Datenbank-User (TDBU) ..................... 34 6.3 Zugriffsberechtigung Technische System-System-User (TSSU)....................... 34 7 Zugriffsberechtigungen nach einer Datenkopie von der Produktion in die Teststufen ......................................................................................................................... 35 8 Zugriffsberechtigungen verwandter Applikationen ................................................ 36 8.1 Applikation Finaus II .......................................................................................... 36 9 Dokument-Protokoll ................................................................................................... 37 FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 2 von 37 Rahmenorganisation Benutzeradministration FIS 1 Allgemeines 1.1 Zweck des Dokuments Dieses Dokument regelt die Abläufe und Zuständigkeiten der Benutzeradministration des FIS (FIS und KOFINA). 1.2 Gültigkeitsbereich Die im vorliegenden Dokument beschriebenen Punkte gelten für alle Tätigkeiten im Zusammenhang mit der Realisierung der zentralen Zugriffsberechtigung / Benutzeradministration für das FIS des Kanton Bern. 1.3 Verantwortung Der FB F&S des KAIO ist verantwortlich für die Redaktion des vorliegenden Dokumentes. Anpassungen und Aktualisierung erfolgen nach Rücksprache mit dem Servicedesk FIN des KAIO als „ausführende“ Organisation der Benutzeradministration. 1.4 Auftrag Die zu erbringenden Leistungen zu Gunsten der FV im Bereich der Berechtigungsverwaltung sind im SLA02 zum Rahmenvertrag 02 beschrieben. Anlässlich der Quartalsreportings des KAIO wird über den Umfang und den Erfolg der erbrachten Leistungen detailliert rapportiert. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 3 von 37 Benutzeradministration FIS Rahmenorganisation 1.5 Verwendete Begriffe / Abkürzungen ADS AS Aufab BEA BI BEA BR BEA D/S SDK BEDAG Bewegungsdaten BR DIR/STA eBERE F&S FIN/FV FIS KOFINA KoSt BEWAN LV D/S MA PB PD D/S RACF SD D/S Stammdaten TDBU TP TSO TSSU Umsystem Active Directory Services Antragsteller Auftragsabwicklung im TSO Benutzeradministration Bedag AG Benutzeradministration Besondere Rechnung Benutzeradministration DIR/STA Service Desk KAIO, Zuständig für die Benutzeradministration FIS Bedag AG Buchungen für einen Geschäftsprozess Besondere Rechnung (Branchenlösung, UNI, BFH, GEF) Direktionen / Staatskanzlei Berechtigungsanträge mit elektronischem Workflow Fachbereich Finanz- und Supportsysteme des KAIO Finanzdirektion / Finanzverwaltung Finanzinformationssystem Anwendung für Kosten und Finanzen Koordinationsstelle BEWAN Lösungsverantwortlicher DIR/STA Mitarbeiter Projektbegleiter Personaldienst DIR/STA Resource Access Control Facility; Zugriffsverwaltung auf dem S/390 System der Bedag AG Servicedesk in den Direktionen/Staatskanzlei Daten zum Aufbau und zur Parametrisierung der FISLösungen Technischer Datenbank-User Teilprojekt Time Sharing Option Technischer System/System-User Autonome Applikation einer RFOE, welche mittels elektronischer Schnittstelle Finanz- und Stammdaten zwecks Verbuchung, ins FIS übermittelt. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 4 von 37 Rahmenorganisation Benutzeradministration FIS 1.6 Referenzierte Dokumente [1] Berechtigungsanträge FIS mit Papierlaufweg http://a27-www-tools-b.be.ch/zubev3/ [2] Richtlinie „Anforderungen der Revision an Informatik-Projekte“. Finanzkontrolle des Kantons Bern, Bern, vom 02.10.1992 [3] Benutzerhandbuch „Intranet Password Manager, ad-bedag-ch“ Bedag AG, Bern, Version 1.1, vom 03.01.2002 http://a27a-www-itimefin-b.be.ch/iisadmpwd/manual/ipm_user_v1_1.doc [5] Koordinatoren-Benutzeradministration gegenüber der Bedag Informatik Autor: Bedag AG [6] Anträge direkte DB Zugriffe Anträge für die direkte Zugriffsberechtigung auf DB2-Tabellen KOFINA/FIS via QMF, ProEdit: http://wwwin.fv.fin.be.ch/nef/doc-nef-antrag__db2.doc Anträge für direkte Zugriffe auf SQL-Datenbanken FIS: http://wwwin.fv.fin.be.ch/nef/doc-nef-antrag_sql-2.doc [7] BEWAN Remotezugriff Koordinationsstelle BEWAN, Version vom 24.05.02 [8] Rollenkonzept-FIS Übersicht sämtlicher Berechtigungsrollen FIS inkl. fachlichen Funktionen http://wwwin.fv.fin.be.ch/nef/pdf-nef-fis2000_rollenkonzept-fis2000-v4_5.pdf [9] ISDS-Konzept FIS http://wwwin.fv.fin.be.ch/index/fis-begruessungsseite/fisnews/fisu_business_continuity_management-2.htm [11] Antrag zur Erteilung von Zugriffsberechtigungen für Gemeinden und kantonale Stellen im Intranet IT-Services FIN. http://wwwin.itservices.fin.be.ch/index/unser-angebot/bestellungen/bestellungberechtigungen.htm [12] Berechtigungsanträge FIS mit elektronischem Workflow, eBERE http://wwwin.ebere.be.ch/ebere oder http://wwwin.ebere-bedag.be.ch/ebere FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 5 von 37 Benutzeradministration FIS Rahmenorganisation 2 Management-Übersicht In diesem Dokument werden die Verfahren und Abläufe für die Zugriffsberechtigung / Benutzeradministration FIS beschrieben. In der Berechtigungsverwaltung FIS unterscheiden wir folgende Benutzertypen: Standard-User: Diese Benutzer sind Anwender der FIS Applikationen und werden mittels Berechtigungsrollen FIS berechtigt. Remote-Anschluss: Standard-User der über einen BEWAN Remote-Anschluss auf die FIS Applikationen zugreift Technischer DB-User: Hier handelt es sich um Produktionsbetreuer des FB F+S sowie einige wenige Mitarbeiter der Entwicklerfirmen und des Betreibers. Dieser direkte Zugriff auf die Datenbanken (A20 – A27 und MS-SQL) wird zur Fehlerevaluation und –Behebung sowie für die Ausführung von Produktionsaufträgen benötigt. Technischer System/System User: Automatische Zugriffe von Systemen innerhalb des BEWAN auf die FIS Systeme (Mainund Winframe) Benutzertypen Bewilligungsinstanz Antragsformular Verbundene Rechte Kapitel Standard-User KAIO/FB F&S FV/PA für spez. Rollen Ref. Dok. [12] und Berechtigungsrollen FIS 3.2 KAIO/FB F&S Ref. Dok [6] Read, Read/Write und Update Rechte auf DB-Tabellen 6.1 KAIO/FB F&S und Dateneigentümer des Quellsystems Schriftliche Spezialvereinbarung Online Zugriff Server-Server 6.3 Technischer User (TDBU) Datenbank- Technischer System /System-User (TSSU) Ref. Dok. [1] FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 6 von 37 Rahmenorganisation Benutzeradministration FIS 3 Verfahren für die Zugriffsberechtigung und Benutzerverwaltung 3.1 Unterscheidung der Finanzinformationssysteme KOFINA / FIS Für die Zugriffsberechtigung der Finanzinformationssysteme KOFINA und FIS werden zwei unabhängige Verfahren eingesetzt. In der Folge sind ausschliesslich die Verfahren für FIS beschrieben. Beachten Sie folgende Randbedingung Damit eine FIS Fachrolle erteilt werden kann, muss der Benutzer eine User-ID innehaben. Eine solche User-ID muss bei der zuständigen Supportorganisation der entsprechenden Direktion/Staatskanzlei bestellt werden. Der Prozess für die Bestellung einer solchen User-ID ist direktionsabhängig geregelt. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 7 von 37 Benutzeradministration FIS Rahmenorganisation 3.2 Berechtigungsrollen FIS erteilen Input Funktionsschritte Output Beschreibung MA benötigt Zugriff auf die Applikationen von FIS. Der MA muss im Besitz einer gültigen RACF User-ID sein. Der Antragssteller füllt ein Antragsformular (Ref. [12]) oder (Ref. [1]) aus. Der Lösungsverantwortliche Applikation FIS DIR/STA validiert den Antrag und genehmigt die applikatorische Rollenzuteilung des MA. Pro MA sind mehrere „Berechtigungsrollen FIS" möglich. A mA AS PD D/S EK D/S LV D/S Werden direktionsübergreifende Rollen vergeben, bedarf es einer Einwilligung seitens FV. Für die Rolle Personalverantwortung muss der Antrag zusätzlich vom PA unterzeichnet werden. LV D/S In der Benutzeradministration FIS wird der Antrag auf Vollständigkeit kontrolliert. Der gültige Antrag wird im System TSO (Aufab) z.Hd. der BEDAG als Auftrag erfasst SDK Die Benutzeradministration Bedag erteilt der User-ID in RACF und im Active Directory der Bedag die erforderlichen Zugriffsrechte auf die Datenbanken. . Der MA wird in der Applikation erfasst (User ID, Name/Vorname, eMail) Die Benutzeradministration FIS prüft ob der Antrag für einen Branchenbetrieb (UNI/BFH) stammt und leitet diesen ggf. an die Institution weiter. Der neuen Benutzerkennung werden in der Applikation die beantragten Rechte zugeteilt und der Antragsteller über den erledigten Auftrag per Mail informiert. I BEA BI SDK SDK SDK SDK BEA BR AS Der abgeschlossene Antrag wird zentral archiviert. SDK Beachten Sie die Randbedingungen auf der Folgeseite! FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 8 von 37 Rahmenorganisation Benutzeradministration FIS Es gelten die folgenden Randbedingungen: • • • • • • Es können ausschliesslich für bestehende und gültige User-ID’s welche im AD der BEDAG registriert sind, Fachrollen FIS zugeteilt werden. Werden Berechtigungsrollen für eine/n Lösungsverantwortlichen (LV) bestellt, so muss das Formular durch den/die stellvertretenden LV resp. eines anderen LV der DIR/STA genehmigt werden. F&S verwaltet das technische Rollenkonzept welches zur Bestimmung der Berechtigungsrollen FIS angewandt wird. Änderungen werden den Rolleninhabern und Berechtigungsinstanzen mitgeteilt. Sofern direktionsübergreifende Berechtigungsrollen wie Planung III, Konzern-RW, Konzern-Controlling und Anwendungsadministrator beantragt werden, erfolgt die Vergabe nur nach Freigabe durch die zuständigen Stellen der FV. Die Zuteilung der Rolle „Personalverantwortung“ bedarf neben dem zuständigen Personaldienst noch der Zustimmung des Personalamtes des Kantons. Anträge für neue Remote-Anschlüsse, welche auf FIS zugreifen, werden von der BEWAN Koordinationsstelle (KAIO) auf das Vorhandensein der FIS Genehmigung geprüft. Die Verarbeitung dieser Anträge erfolgt gemäss den Verfahren für BEWAN Anschlüsse. Im standardisierten Antragsformular müssen die Server aufgeführt werden auf welche der Standard-User per Remote neu Zugriff haben soll. In dieser Rubrik genügt der Vermerk „FIS“. Damit werden sämtliche notwendigen Berechtigungen auf WAN-Ebene für den Zugriff auf FIS und die Intranet von FIN KAIO, FIN FV, FIN PA und FIN SV erteilt. Berechtigungen welche durch die inova.solutions AG an ihre Mitarbeiter auf Basis von Supportaufträgen erteilt werden, müssen nicht mittels Berechtigungsformular dokumentiert werden. Hier erfolgt eine Direkterfassung im System durch die designierten „Anwendungsadministratoren“ der inova.solutions AG. • Die Direktionen können beantragen, dass die Rolle Time V9 Web oder TimePacker WEB in einem vereinfachten Verfahren bewilligt werden kann. Dieses Verfahren kann die Rollenvergabe ohne Genehmigung TV D/S vorsehen. In der FIN kann diese Rolle als Teil der Grundversorgung integriert werden. • Werden ausschliesslich fehlende RACF-Verbindungen - ohne Berechtigungsrolle- benötigt so können diese durch den FB F&S schriftlich (mit Unterschrift) bei BEA FIS bestellt werden (Angabe der User-ID und RACF-Bezeichnung). Für Berechtigungsanträge innerhalb der Branchenbetriebe werden ausschliesslich die RACF-Verbindungen sowie die erstmalige Erfassung des MA durch den SDK erfasst. Die Zuteilung der Fachrolle erfolgt durch den BEA BR. • FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 9 von 37 Rahmenorganisation Benutzeradministration FIS 3.2.1 Berechtigungsanträge FIS mit elektronischem Workflow, eBERE (DIR/STA) Die Bestellung der Zugriffsberechtigung für die FIS Applikationen erfolgt über das Antragsformular eBERE [12], welches auf dem Intranet publiziert ist. Alle Angaben sind erhältlich unter: http://wwwin.fv.fin.be.ch/nef/index/proj-d/proj-d-d3/proj-d-d3-zg.htm Die Erfassung, Prüfung und Archivierung des Antrags erfolgt elektronisch und am Bildschirm. Entsprechende Anleitungen zur Bedienung von eBERE sind im Intranet publiziert. Beispiel der Erfassungsmaske eBERE FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 10 von 37 Rahmenorganisation Benutzeradministration FIS 3.2.2 Berechtigungsanträge FIS mit Papierlaufweg (UNI, BFH) Die Bestellung der Zugriffsberechtigung für die FIS Applikationen der Branchen UNI, BFH erfolgt über das Antragsformular [1] von F&S, welches auf dem Intranet der FV erhältlich ist. Das Antragsformular wird direkt am Bildschirm ausgefüllt und anschliessend ausgedruckt. Als Voraussetzung für die Bestellung der Applikatorischen Zugriffsberechtigungen für die Applikationen von FIS muss jede/r potentielle/r Benutzer/in über eine gültige Benutzerkennung (RACF User-ID) der Bedag verfügen. Im Bemerkungsfeld wird explizit vermerkt, dass der Antrag die Branche UNI bzw. BFH betrifft. Die Auswahl der Rollen erfolgt um die benötigten RACF-Gruppen für den Antrag zu generieren. Zum Fertigstellen des Antrags hier klicken Rahmenorganisation Benutzeradministration FIS Zu druckender und visierender Antrag Das folgende Formular wird gedruckt und über den ordentlichen Laufweg an das Servicedesk FIN c/o Amt für Informatik und Organisation des Kantons Bern, Wildhainweg 9, 3012 Bern, gesandt. Dieses Formular wird ausschliesslich für die Branchen UNI/BFH benutzt. Für neue Mitarbeiter wird gemäss Prozessbeschrieb der User in der Berechtigungsverwaltung erfasst. Ansonsten werden ausschliesslich die Systemberechtigungen(RACF-Gruppen) durch den Servicedesk erfasst, und dem Aussteller anschliessend der Vollzug zurückgemeldet. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 12 von 37 Benutzeradministration FIS Rahmenorganisation 3.3 Passwort zurücksetzen Input Funktionsschritte Output Beschreibung Ein Benutzer kann sich mit seinem Account / Passwort nicht mehr an FIS anmelden. Start mA I Der MA gibt beim zentralen Servicedesk DIR/STA oder bei seinem EDV-Koordinator SD D/S telefonisch, per E-Mail oder per Fax den Auftrag sein Passwort zurückzusetzen. Auftrag annehmen Auftrag für PasswortReset A Der zentrale Servicedesk DIR/STA resp. der EDV-Koordinator authentifiziert mit einem SD D/S geeigneten Verfahren (z.B. Callback, perEK D/S sönlich vor Ort) den MA. Der Auftrag wird ggf. im Service Management Tool der DIR/STA erfasst. Authentifizierung des Benutzers Auftrag erfassen TSO PWReset vorhanden? Wenn vorhanden, kann das Passwort direkt durch den Servicedesk DIR/STA mittels TSO-PW-Reset im Active Directory zurückSD D/S gesetzt werden. Die ausführende Stelle muss mit der entsprechenden PW-ResetGuppe der Bedag verknüpft sein. Der Auftrag zum Zurücksetzen eines Passwortes wird vom Servicedesk DIR/STA per Mail an die BEA BI erteilt. N J Auftrag durchführen Auftrag durchführen Das Passwort wird mittels TSO-PW Reset zurückgesetzt. SD D/S BEA BI Die Benutzeradministration Bedag informiert den Auftraggeber (Benutzeradministration Rückmeldung DIR/STA oder EDV-Koordinator DIR/STA) BEA BI per Mail über das neu gesetzte Passwort neues PW Auftrag abschliessen Der Servicedesk DIR/STA resp. der EDVRückmeldung Koordinator DIR/STA meldet das neue neues PW an Passwort an den betroffenen Benutzer. Benutzer SD D/S BEA D/S EK D/S Benutzer Der abgeschlossene Auftrag wird vom Servicedesk DIR/STA archiviert. Antrag archivieren Zur Sicherung der Nachvollziehbarkeit, wird SD D/S der Vorgang des PW-Resets im Active Directory der Bedag in Logfiles dokumentiert. BEA BI Ende Bitte beachten Sie die Randbedingungen auf der Folgeseite! FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 13 von 37 Rahmenorganisation Benutzeradministration FIS Es gelten die folgenden Randbedingungen: • • • Auftragsannahme durch Benutzeradministration Bedag erfolgt nur, wenn als Auftraggeber ein der Benutzeradministration Bedag bekannter und autorisierter EDVKoordinator DIR/STA auftritt. Dieser muss mit der entsprechenden PW-Reset-Gruppe verknüpft sein um UserID’s mittels TSO-PW-Reset zurücksetzten zu können. Ausserdem müssen die folgenden Angaben zwingend mit dem Auftrag mitgegeben werden: Name, Vorname, RACF User-ID, Systemangabe (S/390 und/oder ADS). Die Aufbewahrung der Logfiles für die Dokumentation des Passwort-Resets wird entsprechend den Richtlinien „Anforderungen der Revision an Informatik-Projekte“ [2] der Finanzkontrolle des Kantons Bern und den darin referenzierten Dokumenten sichergestellt Die aufgeführten Aufgaben der Rolle Servicedesk DIR/STA (SD D/S) gemäss Prozessbeschreibung kann in den DIR/STA durch andere Organisationseinheiten wahrgenommen werden. Die DIR/STA sind verantwortlich, dass diese Ansprechpersonen den Benutzern bekannt sind. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 14 von 37 Rahmenorganisation Benutzeradministration FIS 3.4 Passwort (ad-bedag-ch) ändern durch Benutzer/in Die Benutzer/innen der FIS Lösungen haben jederzeit die Möglichkeit, ihr Passwort im Active Directory ad-bedag-ch der BEDAG selber zu ändern bzw. zurückzusetzen1. Die entsprechenden Verfahren und Abläufe sind im Dokument „Intranet Password Manager, ad-bedag-ch, Benutzerhandbuch“ [3] der Bedag beschrieben. Die aktuelle Version dieses Dokumentes befindet sich jeweils auf der entsprechenden Intranet-Seite unter dem Link „Hilfe“ (s. untenstehende Abbildung). Abbildung 1: Intranet-Seite für Passwort-Änderung 1 https://osspwmgr.be.ch/iisadmpwd/aexp2.asp FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 15 von 37 Benutzeradministration FIS Rahmenorganisation 3.5 Berechtigungsrollen Branchenbetrieb (UNI/BFH) erteilen Input Funktionsschritte Output Beschreibung MA mit gültiger User-ID benötigt Zugriff auf die Branchenlösung FIS. A mA Der Antragssteller füllt ein Antragsformular (Ref. [1]) aus.. Der gedruckte Antrag muss vom Vorgesetzten unterschrieben werden. AS BEA BR Die Benutzeradministration Branche prüft den Antrag auf Vollständigkeit und gültige RACF User-ID. BEA BR I Die Benutzeradministration BR prüft ob für BEA BR diese Person zum ersten Mal Rechte beantragt werden. Die Benutzeradministration BR prüft ob für diese Person Fachrollen im GSP beantragt werden. Ist der Antrag erstmalig und/oder werden administrative Rechte im GSP beantragt, wird der Antrag an SDK weitergeleitet. BEA BR BEA BR SDK Für GSP-Rollen erfolgt im Servicedesk der Antrag gemäss dem Prozess “Berechtigungsrollen FIS erteilen”, Kapitel 3.2. Die Benutzeradministration BR erteilt der User-ID in der Branche die erforderlichen Zugriffsrechte und informiert den Antragsteller entsprechend. BEA BR AS Der abgeschlossene Antrag wird archiviert. BEA BR Es gelten folgende Randbedingungen: • • Die Benutzerorganisationen der Branchenbetriebe sind verantwortlich, dass auf dem Berechtigungsformular spezifiziert ist, dass es sich um Rechte innerhalb der Branche handelt. In diesem Fall wird durch den SDK ausschliesslich die RACFVerbindungen aktiviert und der Benutzer in die Benutzerverwaltung aufgenommen.. Die Zuteilung der Fachrolle erfolgt anschliessend durch die Benutzerorganisation der Branche. Benötigen Mitarbeiter der Branchenbetriebe Fachrollen im GSP, so werden diese gemäss ordentlichem Verfahren für die entsprechende Direktion (ERZ für UNI und BFH) beantragt. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 16 von 37 Benutzeradministration FIS Rahmenorganisation 3.6 Berechtigungsrollen FIS deaktivieren Input Funktionsschritte Output Beschreibung Ein MA verlässt die DIR/STA. Die Systemzugriffsrechte FIS, die applikatorischen Zugriffsrechte FIS sowie die User-ID müssen deaktiviert werden. Die Verantwortung hierfür liegt beim Vorgesetzten des/der Mitarbeiter/in. Der Antragssteller füllt ein Formular (Ref. [12]) oder (Ref. [1]) aus. A mA I AS Der Lösungsverantwortliche Applikation FIS LV D/S DIR/STA validiert den Antrag und genehmigt die Deaktivierung der Rollenzuteilung des MA. In der Benutzeradministration FIS wird der Antrag auf Vollständigkeit kontrolliert. SDK SDK löscht (Status: gelöscht) die zugeteilten Fachrollen der User-ID in der Zugriffsverwaltung der Applikation FIS. Die User-ID wird mit dem Status gesperrt deaktiviert. SDK AS LV D/S . Der Antragsteller wird über den erledigten Auftrag per Mail informiert. SDK Der abgeschlossene Antrag wird zentral archiviert. SDK BEA BI Es gelten folgende Randbedingungen: • Die Deaktivierung von User-IDs der Branche erfolgt auf demselben Weg. In diesem Fall fungiert die Benutzeradministration Branche als LV D/S in obigem Prozess. • Das Löschen der RACF-Gruppen nach einer Benutzerdeaktivierung erfolgt im Rahmen des ordentlichen Austrittprozesses. Ein Deaktivierungsauftrag im FIS löst lediglich das Löschen der Fachrollen, sowie das Sperren des Users in der Berechtigungsverwaltung aus. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 17 von 37 Rahmenorganisation Benutzeradministration FIS • Es ist nicht gestattet, die Benutzererkennung von austretenden Mitarbeitern und die damit verbundenen Zugriffsberechtigungen durch andere Mitarbeiter weiter zu verwenden. • Benutzererkennungen im FIS dürfen nach frühestens 10 Jahren gelöscht werden. Als Deaktivieren wird das Setzen des Status „gesperrt“ verstanden. • Die Aktivierung oder Deaktivierung von TDB Usern erfolgt über das in Kapitel 6.1 beschriebene Verfahren und das dort genutzte Bestellformular. Das Antragsformular muss durch den Antragssteller sowie den FB F+S visiert werden. • Bei jeder Deaktivierung muss überprüft werden, ob ein Remote Anschluss ebenfalls deaktiviert werden muss. Der Antrag zur Deaktivierung muss der BEWAN Koordinationsstelle zugestellt werden. • Die Branchen sind für die Deaktivierung von User-ID’s der Branchen zuständig. Für Berechtigungen im GSP von Mitarbeitern der Branchenbetriebe ist dieser Prozess gültig. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 18 von 37 Rahmenorganisation Benutzeradministration FIS 4 Periodische Überprüfung der Benutzerberechtigungen 4.1 Standard User Es gelten die folgenden Randbedingungen: • Die Überprüfung erfolgt jährlich. Bei Bedarf wird die Überprüfung mehr als einmal durchgeführt. • Die LV versehen die Liste mit den entsprechenden Bemerkungen (deaktivieren, Ändern der Berechtigungsrolle). • Anpassungen von Berechtigungsrollen und User-IDs erfolgen über die in Kapitel 3 beschriebenen ordentlichen Verfahren und deren Hilfsmittel. Es werden keine Änderungen, Deaktivierungen oder Neudefinitionen aufgrund der visierten Liste durchgeführt. • Für eine periodische Prüfung der Berechtigungen der Branchebetriebe ist die Branche zuständig. • Die Berechtigungslisten werden ungeschützt versendet. Damit ist sichergestellt, dass diese für den direktionsinternen Weitergebrauch verwendet werden können. • Die Bestätigung des LV DIR/STA erfolgt mittels Unterschrift auf der ersten Seite der Liste. Diese Seite wird dem SDK retourniert. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 19 von 37 Rahmenorganisation • • Benutzeradministration FIS Pro DIR/STA wird eine Liste versendet und auch nur eine Liste bzw. Deckblatt zur Bestätigung retourniert. Auf den Direktionslisten werden die E- und die R-User (Entwickler und BEDAG-User) ausgeblendet. Die Überprüfung dieser User erfolgt zentral und vierteljährlich gemäss Kapitel 5.2.2. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 20 von 37 Rahmenorganisation Benutzeradministration FIS 4.2 Administratoren Es gelten die folgenden Rahmenbedingungen: • Die Überprüfung erfolgt quartalsweise, d.h. viermal im Jahr. • Die FV und FB F+S versehen die Liste mit den entsprechenden Bemerkungen. Änderungen, Deaktivierungen und Neudefinitionen müssen nach dem ordentlichen Verfahren bestellt werden. • Die Prüfung der Administrationen von externen DL (inova) wird durch den FB F+S sichergestellt. Für eine periodische Prüfung der Berechtigungen der Branchebetriebe ist die Branche zuständig. • FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 21 von 37 Rahmenorganisation Benutzeradministration FIS 4.3 Technischer Datenbank User (TDBU) Es gelten die folgenden Randbedingungen: • Die Überprüfung erfolgt quartalsweise. • F+S versieht die Liste mit den entsprechenden Bemerkungen. Änderungen, Neudefinitionen und Deaktivierung müssen mit Antragsformularen nach dem ordentlichen Verfahren gemäss Kapital 6.1 bestellt werden. • Es werden keine Deaktivierungen oder Änderungen aufgrund der visierten Liste durchgeführt. 4.4 Technische System-System User (TSSU) Technische System-System User werden durch FB F+S bei der Aufhebung oder Ablösung einer Schnittstelle deaktiviert resp. zur Deaktivierung in Auftrag gegeben. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 22 von 37 Rahmenorganisation Benutzeradministration FIS 5 Rollenprofile 5.1 Berechtigungsrollen FIS Folgende Berechtigungsrollen können beantragt und dem zukünftigen Benutzer zugeteilt werden. Das KAIO/FB F&S verwaltet im Auftrag der Finanzverwaltung den Umfang je Berechtigungsrolle FIS. 5.1.1 Mitarbeiter(innen) Stufe Kreis Auf Stufe Kreis werden Berechtigungen vergeben, welche die Verwaltung sämtlicher Stamm- und Bewegungsdaten ermöglichen. Die Rechte umfassen alle Systeme. Die Rechte umfassen alle Systeme, mit der im Kap. 5.1.2 genannten Ausnahme bei Berechtigungen auf Stufe Funktionsbereiche. Planung I • • • • Verwaltung von Stammdaten (inova.score, inova.cost, inova.object, inova.subject). Verwaltung von Planbuchungen (inova.plan). Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Planungsprozess (inova.process) Durchführung von Abschlüssen: einfacher Monatsabschluss (MA), erweiterter MA, Hochrechnung, Jahresabschluss IKS (internes Kontroll System) • • • • Verwaltung von individuellen Buchungsregeln (inova.rules). IKS-Freigabe im inova.credi sicherstellen Leserecht für Buchungen sowie Dossiers im Aufgabenbereich des IKS-Prozesses Leserecht in Object, Subject, Rules sowie Zugriff auf Cost-Reporter Amts-Controlling • Sämtliche Daten des Kreises können gelesen und gedruckt werden. Personalverantwortung Es handelt sich um eine Kombinationsrolle, d.h. diese Berechtigungsrolle kann ausschliesslich in Kombination mit einer weiteren Berechtigungsrolle FIS (Planung l oder RW l) zugeteilt werden. Diese Rolle kann auf allen Stufen (Konzern/DIR/Kreis) erteilt werden. In Kombination mit einer Rolle aus dem IST-Prozess (RW bzw. Contolling) können Personaldossiers gelesen werden. Mit gleichzeitiger Zuteilung einer Rolle aus dem Planungsprozess (Planung 1-3) können im PKP Buchungen abgesetzt werden. • • Zugriff bzw. Verwaltung von Bewegungsdaten der Personaldossiers im Ist- bzw. Planprozess(inova.salary). Kein Zugriff auf Stammdaten von PERSISKA. Rechnungswesen I • • Verwaltung von Stammdaten aller Systeme auf Stufe Kreis. Verwaltung von Ist-Buchungen. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 23 von 37 Rahmenorganisation • • Benutzeradministration FIS Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Ist-Prozess Durchführung von Abschlüssen (einfacher Monatsabschluss (MA), erweiterter MA, Hochrechnung, Jahresabschluss Diese Rolle kann nicht mit der Rolle IKS kombiniert werden. Rechnungswesen I A • • • • Verwaltung von Stammdaten aller Systeme auf Stufe Kreis (ohne inova.credi) Verwaltung von Ist-Buchungen (ohne inova.credi) Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Ist-Prozess Durchführung von Abschlüssen (einfacher Monatsabschluss (MA), erweiterter MA, Hochrechnung, Jahresabschluss Diese Rolle kann mit der Berechtigungsrolle IKS kombiniert werden. In Kombination mit IKS ist es mit dieser Rolle möglich das interne Kontrollsystem sowie andere Prozesse wie z.B. Ist-Abschlüsse sicherzustellen. Buchungsregeladministrator • Buchungsregeln lesen und verwalten (erfassen, mutieren, löschen) Fakturierung temporär • Mutationsmöglichkeit des Debitorendossiers • Es handelt sich um eine Kombinationsrolle d.h. diese Rolle kann ausschliesslich in Kombination mit einer weiteren Berechtigungsrolle FIS erteilt werden. In Kombination mit einer Rechnungswesen-Rolle ergibt sich ein Schreibrecht in der Debitorenbuchhaltung inova.debi. Die Kombination mit der Rolle Amtscontrolling ergibt ein Leserecht in inova.debi. Diese Rolle ist temporär und soll nach Abschluss der Produktionsaufnahme sämtlicher Debi-Betriebe im inova.debi aufgelöst werden. Debi-Controller temporär Es handelt sich um eine Kombinationsrolle d.h. diese Rolle kann ausschliesslich in Kombination mit einer weiteren Berechtigungsrolle FIS erteilt werden. In Kombination mit einer Rechnungswesen-Rolle ergibt sich ein Schreibrecht in der Debitorenbuchhaltung inova.debi. Die Kombination mit der Rolle Amtscontrolling ergibt ein Leserecht in inova.debi. Im Gegensatz zur Rolle Fakturierung temporär ist es nicht möglich der Inhalt von Debitorendossiers zu lesen oder mutieren. Diese Rolle ist temporär und soll nach Abschluss der Produktionsaufnahme sämtlicher Debi-Betriebe im inova.debi aufgelöst werden. Schalterkasse Die Rolle Schalterkasse ist ausschliesslich für Mitarbeiter relevant, welche eine Schalterkasse in ihrem Debi-Betrieb implementiert haben. Folgende Funktionen stehen mit dieser Rolle anschliessend zur Verfügung: • Barkassenverkauf • Gutschriftenauszahlung • Schalterkasse öffnen, schliessen, abrechnen, übernehmen und bebuchen. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 24 von 37 Rahmenorganisation Benutzeradministration FIS Inkassostellen Debi Sämtliche Daten des Debitorenbetriebes stehen lesend zur Verfügung. Zusätzliches Leserecht im inova.object und inova.subject. Time V9 Web Kann Arbeitsrapporte erfassen und freigeben. Mit Zusat Linienverantwortung können die Rapporte auch visiert werden. Detailberechtigung erfolgt dezentral durch die Verantwortlichen des Timebetriebs. Time V9 Citrix Verwaltung und Administration des Timebetriebs. Detailberechtigung erfolgt dezentral durch die Verantwortlichen des Timebetriebs. Time Administrator v5.2 Kann Betriebe, Abteilungsgliederung und Arbeitszeitmodelle bearbeiten, Betriebseinstellungen festlegen und Kostenrechnungsverbindung erstellen. Time Controller v5.2 Kann Mitarbeiter und Anstellungen, Rubriken und Tätigkeiten bearbeiten, Aufträge erteilen, Rapporte visieren, stornieren und umbuchen. Time Visierer v5.2 Kann Rapporte visieren, stornieren und umbuchen (Berechtigung auf die Rubrik des Rapportes erforderlich) Time Rapportierer v5.2 Kann eigene und Rapporte der berechtigten Anstellungen erfassen und freigeben sowie darüber sämtliche Auswertungen erstellen. TimePackerWeb Leistungserfassung v5.2 Zeit- und/oder Leistungserfassung mit inova.time mittels Intranet und Freigabe der eigenen Rapporte z.Hd. des Vorgesetzten. Benutzer Time-Packer citrix v5.2 Diese Rolle wird nur dann benötigt, wenn Mitarbeiter(innen) keinen Zugriff auf das Intranet haben. Andernfalls ist die Rolle Time-Packer WEB Leistungserfassung zu beantragen. • Zeit- und/oder Leistungserfassung und Freigabe der eigenen Rapporte z.Hd. des Vorgesetzten. Kredite anzeigen Mit dieser Rolle können alle Kreditdaten der OE und untergeordneten angezeigt bzw. Notizen hinzugefügt und bearbeitet werden. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 25 von 37 Rahmenorganisation Benutzeradministration FIS Kreditwesen l Zusätzlich zu „Kredite anzeigen“ können alle Kreditarten der OE’s erfasst und bearbeitet (Weitere Kredite zuordnen und entfernen, Kreditbeziehungen und – verwendungsbuchungen hinzufügen, bearbeiten und löschen) werden. Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb anzeigen“ auf der entsprechenden Hierarchiestufe inne haben. Betrieb anzeigen (Kreditmanagement) Alle Stammdaten des Betriebes werden angezeigt. Damit im Kreditmanagement gebarbeitet werden kann, muss der Benutzer zusätzlich zu einer Fachrolle Kreditwesen l – lll mit dieser Rolle auf der entsprechenden Hierarchiestufe berechtigt werden. 5.1.2 Mitarbeiter(innen) Stufe Funktionsbereich Die in Kap. 5.1.1 aufgeführten Berechtigungen können für einen oder mehrere Funktionsbereiche eingeschränkt werden. Für die Bearbeitung von inova.cost und inova.score wird eine Berechtigung auf Stufe Kreis benötigt. Dies gilt auch für das Erfassen/Verwalten von Buchungsregeln. Auf Stufe Funktionsbereich werden Berechtigungen vergeben, welche die Verwaltung von Bewegungsdaten ermöglichen. Die Stammdaten können nur in folgenden Systemen erfasst und mutiert werden: • inova.object: Erfassung von Anlageobjekten auf Stufe Funktionsbereich • inova.subject: Uneingeschränkte Erfassung und Mutation eigener Daten Zusätzlich können Bewegungsdaten auf Stufe Funktionsbereich erfasst und mutiert werden für • • • inova.plan inova.credi inova.debi Es können keine Daten gelesen und mutiert werden in den folgenden Systemen: • • inova.cost inova.score 5.1.3 Mitarbeiter(innen) DIR/STA Auf Stufe Direktion werden Berechtigungen vergeben, welche das Mutieren, Lesen und Ausdrucken sämtlicher Stamm- und Bewegungsdaten ermöglichen. Die Rechte umfassen alle Systeme und alle Kreise. Planung II Verwaltung der Stammdaten von inova.subject, inova.cost, sowie inova.score (eingeschränkte Funktion: Zwingende Vorgaben an die Kreise wie z.B. Soll-Reportingstruktur können ausschliesslich mit dieser Rolle mutiert bzw. definiert werden. Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Planungsprozess FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 26 von 37 Rahmenorganisation Benutzeradministration FIS Rechnungswesen II Verwaltung der Stammdaten von inova.subject, inova.cost, sowie inova.score (eingeschränkte Funktion: Zwingende Vorgaben an die Kreise wie z.B. Soll-Reportingstruktur können ausschliesslich mit dieser Rolle mutiert bzw. definiert werden. Abschluss durchführen auf Direktionsebene Direktions-Controlling Daten der Direktion und Kreise können gelesen und gedruckt werden. Kreditwesen ll Zuzüglich zu den Rollen „Kredite anzeigen“ und „Kreditwesen l“ können abgerechnete Kredite zurückgesetzt werden. Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb anzeigen“ auf der entsprechenden Hierarchiestufe inne haben. 5.1.4 Mitarbeiter(innen) Konzern (Finanzverwaltung GS/FIN) Planung III • • • • • Der Zugriff auf Stammdaten ist beschränkt auf Berechtigungen der Planungsaktivitäten auf Stufe Konzern: Verwalten der Prozess-Steuerung für den Gesamtstaatlichen Planungsprozess Verwalten der Planbuchungen Stufe Konzern Bewegungsdaten sämtlicher Direktionen können konsultiert und gedruckt werden. Export des Abschlusses im XML-Format Konzern-Controlling • Daten des Konzerns und aller Direktionen können konsultiert und gedruckt werden. Konzernrechnungswesen Verwaltung konzernweiter Vorgaben wie z.B. Allgemeine Buchungsregeln. Bewegungsdaten sämtlicher Direktionen und Kreise können konsultiert und gedruckt werden. Zusätzlich können a) Nachtragsbuchungen ausserhalb der aktiven Periode sowie b) das CashManagement verwaltet werden. Cash Tresorerie ll Freigabe des Prozessschrittes "Cash Management Tresorerie" in inova.process bei Abschlüssen des Ist-Prozesses. Verwaltung von Stammdaten des Cash-Managements sowie Sicherstellung der zentralen Zahlungsfreigabe. Zusätzlich stehen die Finanzreports bis auf Stufe Konzern zur Verfügung. Salary PA (Berechtigung für Mitarbeiter/innen des PA) Freigabe des Prozessschrittes "Salary PA" in inova.process bei Abschlüssen des IstProzesses. Budgetkorrektur (Berechtigung für Mitarbeiter/innen des PA) Definieren des Prozentsatzes welcher bei der Berechnung der Budgetkorrektur im Planungsprozess zur Anwendung kommt. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 27 von 37 Rahmenorganisation Benutzeradministration FIS Publisher Nach erfolgreichem Konzernabschluss im inova.process, exportiert der Publisher die XMLDateien zur Weiterbearbeitung im externen Publishing-Tool Kreditwesen lll Zuzüglich zu den Rollen „Kredite anzeigen“ und „Kreditwesen l“ können beendete Kredite zurückgesetzt werden. Um im Kreditmanagement arbeiten zu können muss der User zusätzlich die Rolle „Betrieb anzeigen“ auf der entsprechenden Hierarchiestufe inne haben. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 28 von 37 Rahmenorganisation Benutzeradministration FIS 5.1.5 Mitarbeiter(innen) Support- und Betriebsorganisation FIS Folgende Rollen sind für Mitarbeiter der ordentlichen Support- und Betriebsorganisation des FIS reserviert: Anwendungsadministrator technisch • Administration von Betriebsdaten der Debi- und Credi-Betriebe Anwendungsadministrator organisatorisch • • • Verwaltung der Benutzeradministration. Sicherstellung der Perioden- und Variantensteuerung Administration des inovaDesktops Im Rollenkonzept sind sämtliche Berechtigungsrollen FIS mit den dazugehörigen fachlichen Funktionen aufgeführt. Von der Übersicht ausgenommen sind die in V1.0 gültigen Rollen „Time Administrator“, „Time Controller“, „Time Visierer“, „Time Rapportierer“, „TimePackerWeb Leistungserfassung“ und „Benutzer TimePacker Citrix“. 5.2 Spezialfälle bei der Rollenvergabe 5.2.1 Vergabe von eingeschränkten Zugriffsberechtigungen • • • • • • Mitarbeiter/innen des KAIO/FB F&S und der FIN FV können in den Teststufen des Systems Rechte an sich selber oder andere Personen für eine begrenzte Zeit zu Test- und Supportzwecken vergeben. Für den Support wird damit die Eingrenzung von Problemfällen beschleunigt. Mitarbeiter/innen des KAIO/FB F&S und der FIN FV können in der Produktionsstufe des Systems Rechte an sich selber für eine begrenzte Zeit erteilen. Davon darf jedoch ausschliesslich Gebrauch gemacht werden, falls dies für einen unmittelbaren Produktionssupport zu Gunsten von FIS Benutzern unumgänglich ist. In der Abteilung DHF der FV sind zwei Personen designiert, welche bei Bedarf andere Mitarbeiter der Abt. DHF temporär berechtigen dürfen. Selbstverständlich dürfen keine anderen Daten auf irgendeine Weise manipuliert werden. Die Rolle Personalverantwortung darf in keinem Fall von Mitarbeiter/innen der FIN FV oder des KAIO/FB F&S erteilt werden. Mitarbeiter/innen der FIN FV und vom KAIO/FB F+S können Zugriffsberechtigungen an Schulungsuser und Kursteilnehmer/innen in der Schulungsumgebung erteilen. Die Umgebung „H“ ist nicht Teil der vorliegenden Rahmenorganisation. Diese Umgebung „H“ steht ausschliesslich dem Betreiber KAIO/FB F&S sowie durch ihn beauftrage DL-Anbieter zur Verfügung. Die notwendigen DB-Verknüpfungen (RACF-Gruppen) können ausschliesslich durch Mitarbeiter des KAIO/FB F&S beim Call Desk KAIO schriftlich bestellt werden und benötigen keiner weiteren Bewilligung. Werden für Produktionsaufträge der Fachorganisation temporäre Berechtigungen benötigt, so erfolgt dies ausschliesslich mit schriftlicher Genehmigung des Finanzchefs der DIR/STA. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 29 von 37 Rahmenorganisation Benutzeradministration FIS 5.2.2 Funktionentrennung bei externen Dienstleistern 5.2.2.1 Sicherstellung der Funktionentrennung im FIS Mitarbeiter von externen DL-Anbietern können Rechte für einen FIS-Zugriff beantragen. Ein solches Verfahren bedingt die Einwilligung des FB F+S als Betreiber des FIS. Ein solcher Zugriff kann auf verschiedene Arten erfolgen: Zugriff 1: Zugriff als Standarduser auf die Applikation des FIS Zugriff 2: Zugriff auf die Mainframe Umgebung im RZ als TDBU-User Zugriff 3: Zugriff auf den DB Server des FIS als TDBU-User Die Funktionentrennung (Entwickler-, Betreiber-, Endbenutzerrolle) bei externen DLAnbietern muss jederzeit sichergestellt sein, und schlägt sich auch in der Rollenvergabe im FIS nieder. Die Umsetzung im FIS ist wie folgt sichergestellt: Zugriff 1: Zugriff auf die Applikation FIS Warum: Die Inova.solutions AG hat gemäss Rahmenvertrag und Jahresdisposition einen Supportauftrag zu Gunsten des 2nd Level Support des KAIO. Damit die zuständigen MA der inova.solutions AG schnell und effizient Fehlerbilder in der Produktion aus Benutzersicht nachvollziehen können, werden temporär auf Basis von Supportaufträgen diese Rechte zugeteilt. Wer: Zwei designierte Inova-Mitarbeiter haben die Berechtigungsrolle „Benutzeradministrator organisatorisch“ und „Benutzeradministrator technisch“ inne. Diese sind berechtigt bei direkten Supportaufträgen durch das KAIO/FB F&S temporär andere Inova Mitarbeiter mit den notwendigen Berechtigungen als Standarduser auszustatten, so dass der Support wahrgenommen werden kann. Sämtliche involvierten inova Mitarbeiter unterstehen dem Datenschutz- und Geheimhaltungsvorschriften gemäss Rahmenvertrag Art. 8.3. Prüfung: gemäss Kapitel 4.2 FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 30 von 37 Rahmenorganisation Benutzeradministration FIS Zugriffe 2 und 3: Zugriff der TDBU Warum: Zugriffe für TDBU-User werden ausschliesslich für interne und externe Partner bewilligt, welche Aufgaben im Verfahrenscontrolling und Betriebsbetreuung gemäss ordentlicher Jahresdisposition oder gemäss Auftrag KAIO wahrnehmen. In der Produktionsumgebung werden prinzipiell nur Read Rechte genehmigt. Auf den Teststufen ist zusätzlich die Zuteilung von Write oder DB-Owner Rechten zulässig. In Ausnahmefällen können Write-Rechte in der Produktion (DB2 und SQL) vergeben werden. Für diese Fälle wird neben dem ordentlichen Antragsformular noch ein Verzeichnis im FB F+S geführt, in welchem ersichtlich ist für welchen Arbeitsauftrag und Zeitbereich diese Berechtigung notwendig ist. Wer: Sämtliche Anträge müssen durch den FB F+S bewilligt werden. Die Erfassung erfolgt gemäss Kapitel 6.1 Prüfung: Prüfung gemäss Kapitel 4.3 Es muss sichergestellt sein, dass die Zugriffsvarianten 1, 2 und 3 von einer zentralen Stelle geprüft werden, damit die Gesamtübersicht sichergestellt ist. Im FIS übernimmt diese Aufgabe der FB F+S. 5.2.2.2 Sicherstellung der Funktionentrennung bei Umsystemen Analog der Sicherstellung der Funktionentrennung im FIS, müssen die DIR/STA für ihre Umsysteme Verfahren vorsehen, welche die Funktionentrennung bei Systemzugriffen durch externe Dienstleister berücksichtigt. Im Bewilligungsverfahren bei neuen Schnittstellenanträgen wird diesem Umstand besonders Rechnung getragen. Organisatorische und systemtechnische Massnahmen müssen im 2IKS-Konzept der zuständigen Institution definiert sein. Die Mindestanforderungen an ein solches IKS-Konzept diesbezüglich sind die folgenden: 1- Führung einer vollständigen Liste der berechtigten Personen mit a. User-ID, Name, Vorname b. Beschreibung der Fach- und/oder technischen Rolle c. Beschreibung der wahrgenommen Aufgaben (z.B. 3rd Level Support) 2- Ablaufprozessbeschreibungen a. Beschreibung des Bewilligungs- und Deaktivierungprozesses b. Beschreibung der periodischen Überprüfung 3- Rahmenorganisation a. Stillschweigevereinbarung b. Designation einer zuständigen Stelle für die Sicherstellung der Gesamtsicht über den einzelnen User 2 Diese Vorgaben können auch im ISDS-Konzept der entsprechenden Applikation definiert sein. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 31 von 37 Benutzeradministration FIS Rahmenorganisation 5.3 Rolleninhaber Rolleninhaber mit Prüfaufgaben werden in eBERE zentral geführt und verwaltet. Im automatisierten Workflow werden diese Personen direkt via eMail informiert um Aufträge abzuarbeiten. Auch Mutationen in der Rollenzuweisung werden mittels eBERE beantragt und bewilligt. Rolle Rolleninhaber EK D/S Die Bedag unterhält eine Liste aller bezeichneten EDV-Koordinatoren. Die Rolle der EDV-Koordinatoren ist zentral für das Zurücksetzen der Passwörter gemäss Kapitel 3.3. Der Lösungsverantwortliche der Direktion meldet der Bedag Mutationen dieser Liste. Die Bedag ist besorgt diese Liste laufend zu aktualisieren und den betroffenen Koordinatoren mitzuteilen. BEA D/S Die Benutzeradministration DIR/STA ist zentral in den Direktionen angesiedelt. AS Der Antragssteller ist i.d.R. der oder die Vorgesetzte des Benutzers resp. der Benutzerin KoSt BEWAN Koordinationsstelle BEWAN LV D/S Der/die Lösungsverantwortliche innerhalb der DIR/STA ist zuständig für die fachliche Überprüfung des Berechtigungsantrages FIS 031 999 92 59 FAX: 031 999 96 97 Verwaltung in eBERE PV D/S Der/die Personalverantwortliche FIS innerhalb der DIR/STA ist zuständig für die Überprüfung der Berechtigung zur Einsicht in Personaldaten (Rolle Personalverantwortung). Verwaltung in eBERE TV D/S Der/die Timeverantwortliche innerhalb der DIR/STA ist zuständig für die fachliche Überprüfung des Berechtigungsantrages TIME Verwaltung in eBERE FIN FV Die Verantwortlichen in der Finanzverwaltung überprüfen den Berechtigungsantrag bei Erteilung von Konzernrollen. Verwaltung in eBERE FIN PA Die Verantwortlichen im Personalamt überprüfen den Berechtigungsantrag bei Erteilung der Rolle Personalverantwortung. Verwaltung in eBERE SDK Der Service Desk FIN führt die Berechtigungsanträge aus. Verwaltung in eBERE BEA BR Für die applikatorische Benutzeradministration Besondere Rechnung (Uni/BFH) sind die Institutionen selber zuständig (in Zusammenarbeit mit SDK) FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 32 von 37 Benutzeradministration FIS Rahmenorganisation 6 Technische User TDBU und TSSU 6.1 Zugriffsberechtigung Technische Datenbank-User (TDBU) Bei Nutzern dieser Zugriffsberechtigung, handelt es sich um Produktionsbetreuer des FB F+S sowie Mitarbeiter der Entwickler die direkten Zugriff auf DB-Tabellen (SQL und DB2) erhalten. Der direkte Zugriff wird zur Fehlerevaluation und –behebung benötigt und wird nach folgendem Verfahren erteilt und deaktiviert: Input Funktionsschritte Output Beschreibung Eine Person benötigt einen direkten DB Zugriff zu Wartungszwecken. Die Person muss im Besitz einer gültigen RACF UserID sein. A Der Antragssteller füllt eines der Antragsformulare (Ref. [6]) aus. Der Antrag muss vom Antragsteller unterschrieben werden. AS Das KAIO/FB F&S validiert den Antrag und gibt mit seiner Unterschrift das Einverständnis zur Erteilung direkter DB Zugriffe. In der Benutzeradministration FIS wird der Antrag auf Vollständigkeit kontrolliert. Der gültige Antrag wird gescannt und mittels Mail an [email protected] übermittelt. Ist das Scannen nicht möglich, wird das Formular per Fax übermittelt und Benadmin zusätzlich per Mail darüber in Kenntnis gesetzt. mA I KAIO/FB F&S SDK SDK Die Benutzeradministration Bedag erteilt der User-ID die erforderlichen Rechte auf DB2 BEA BI Tabellen und/oder SQL Server-Tabellen. SDK wird per Mail über den erfolgten Auftrag informiert. SDK Der Antragssteller wird über den erledigten Auftrag per Mail informiert. Der abgeschlossene Antrag wird zentral archiviert. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 SDK AS Seite 33 von 37 Rahmenorganisation Benutzeradministration FIS 6.2 Passwort zurücksetzen für Technische Datenbank-User (TDBU) • • • • Der Nutzende beantragt die Passwortrücksetzung bei der Benutzeradministration FIS telefonisch oder per Mail. Die folgenden Angaben sind hierzu zwingend notwendig: o User-ID o Stufe (Instanz) o Angabe dass es sich um eine User-ID mit direkter DB Zugriffsberechtigung handelt Der Auftrag „Passwortrücksetzung“ wird von der Benutzeradministration FIS per Mail an Benadmin ([email protected]) übermittelt und enthält zwingend die folgenden Angaben: o User-ID o Stufe (Instanz) o Angabe, dass es sich um eine User-ID SQL Server FIS handelt Benadmin meldet die erfolgte Rücksetzung des Passwortes und das neue Initialpasswort an Benutzeradministration FIS Benutzeradministration FIS informiert den Nutzenden über die erfolgte Rücksetzung und das neu gesetzte Initialpasswort. 6.3 Zugriffsberechtigung Technische System-System-User (TSSU) Die technischen Rechte werden benötigt, um Zugriffe von Fremdsystemen über Schnittstellen zu steuern. Es handelt sich hierbei um reine System-System Zugriffe über MQSeries (HOST) oder Stored Procedures (SQL Server) auf Daten, die in einem Fremdsystem weiterverwendet werden können. (z.B. Adressdaten) Sämtliche System/System Zugriffe bedürfen einer schriftlichen Vereinbarung zwischen dem Dateneigentümer und dem Betreiber des Abholsystems. Der Ansprechpartner ist der KAIO/FB F&S. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 34 von 37 Rahmenorganisation Benutzeradministration FIS 7 Zugriffsberechtigungen nach einer Datenkopie von der Produktion in die Teststufen Periodisch (ca. zwei Mal pro Jahr) wird der Datenbestand der Produktion FIS in die Testumgebung und Schulungsumgebung kopiert. Diese Massnahme dient dazu einen aktuellen Datenbestand für Testzwecke bereitzustellen, Fehlerquellen bei Tests zu eliminieren und die ordnungsgemässe Weiterentwicklung der Applikation sicherzustellen. Nach einer solchen Kopie entsprechen die Zugriffsberechtigungen in der Test und Schulungsumgebung exakt denjenigen der Produktion. Personen die in der Test- und/oder Schulungsumgebung andere Berechtigungen benötigen als in der Produktion müssen diese nach einer Kopie erneut beantragen. Für bestehende Schulungs-User-IDs und User-IDs für Testzwecke beantragt die FIN FV die Berechtigungen mittels Excel Liste unter Angabe • der Direktion • der Name(n)/Vorname(n) • der User-IDs • des Kler Kreises • der benötigten Berechtigungsrollen und • dem gewünschten Aktivierungsdatum per eMail beim Servicedesk des KAIO [email protected]. FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 35 von 37 Benutzeradministration FIS Rahmenorganisation 8 Zugriffsberechtigungen verwandter Applikationen 8.1 Applikation Finaus II Mit der Applikation Finaus II wird jährlich der Finanzausgleich der Gemeinden berechnet. Die Gemeinden erfassen ihre Daten mittels der Applikation Finaus II. Zugriffsberechtigungen für die Mitarbeiter/innen der Abteilung Finanzausgleich werden mittels FIS Antragsformular bestellt und folgen dem ordentlichen Berechtigungsverfahren. Zugriffsberechtigungen für Mitarbeiter/innen einer Gemeinde werden nach dem folgenden Verfahren erteilt und deaktiviert. Input Funktionsschritte Output Beschreibung Gemeindemitarbeiter/in mit gültiger RACF User-ID benötigt Zugriff auf Applikation Finaus II. Die Gemeinde füllt das Antragsformular (Ref. [11]) aus und sendet dieses an das Helpdesk KAIO, Wildhainweg. A mA I AS Der Antrag wird in der Benutzeradministration FIS auf Vollständigkeit geprüft. BEA FIS Der gültige Antrag wird gescannt. BEA FIS BEA FIS Die Benutzeradministration FIS erteilt der User-ID die erforderlichen Rechte im RACF und nimmt die User-ID in FIS ohne Rollenzuteilung auf. BEA FIS Der Antrag wird an die Abteilung Finanzausgleich zur Erteilung der applikatorischen Rechte weitergeleitet. Finaus Der User-ID werden in der Applikation Finaus II die erforderlichen Rollen zugeteilt. Die Erledigungsmeldung geht an die Benutzeradministration FIS. Finaus BEA FIS Die Benutzeradministration FIS informiert den Antragsteller (die Gemeinde) über den Ausgeführten Auftrag. BEA FIS AS Der abgeschlossene Antrag wird zentral archiviert. BEA FIS FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 36 von 37 Benutzeradministration FIS Rahmenorganisation 9 Dokument-Protokoll Dokument-Ablage: FIN_KAIO 10747 FIS.DOCX Autor: v2 Rahmenorganisation Zugriffsberechtigungs Peter Schnyder Änderungskontrolle Version Name Datum Bemerkungen 5.1 P. Schnyder 12.06.09 5.2 5.2 A. Wälti P. Schnyder 30.09.10 06.10.10 A. Wälti 20.10.10 Inkl. Funktionentrennung der Entwickler sowie Anpassung der Rollenbezeichnungen. Elimination der Prozesse „Bestellung User-ID“ sowie „Bestellung Remote-Anschluss“. Aktualisierung, Anpassung eBERE Funktionentrennung bei Umsystemen, Einbau Input SDK Aktualisierung Version Stelle Datum Visum 5.1 5.2 FBL BRM/KAIO FBL F+S/KAIO 09.07.09 20.10.10 Sig.mm Sig.aw Prüfung Bemerkungen Freigabe Version Stelle Datum Visum 5.1 5.2 FBL F+S/KAIO AL ADM/KAIO 09.07.09 20.10.10 Sig.ps Sig.mm Bemerkungen FIN_KAIO 10747 v2 Rahmenorganisation Zugriffsberechtigung FIS.DOCX / 5.2 / 20.10.2010 Seite 37 von 37