V56新特性讲训内控工具.ppt

关键用户授权监控 角色信息 用户权限树 关键角色授权监控 用户信息 角色权限树 关键流程授权监控 用户信息 角色信息 功能信息 关键功能授权监控 用户信息 角色信息 生成报告 发送邮件 生成报告 发送邮件 生成报告 发送邮件 生成报告 发送邮件 1、系统权限检查及报告-关键授权检查及报告 三、产品功能简介 3.关键日志查询及报告 3、关键日志查询及报告-场景介绍 该场景将主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查，从而形成完整的访问安全控制循环。 在NCv56系统中，对于授权操作相关的内容包括两个部分： 系统管理员root在系统管理中对于系统安全的一系列配置。 权限管理员在系统中对授权的所有操作。 对授权操作完整细致的日志记录和报告包括： 对权限管理员授权操作的详细日志及独立报告。 系统中所有权限变更的日志及报告。 系统中与权限设置相关的参数的报告。 将负责在系统中授权的系统管理员的行为准确完整地记录下来，从而从第一个控制环节保证系统授权的安全性。 系统维护 开启记录 管理员操作 权限管理员日志 操作时间 管理员用户名 事件类型 权限操作日志 权限管理员 日志报告 3、关键日志查询及报告-权限管理员日志 对权限变更操作的有痕迹记录。 提供系统权限设置的安全监督机制，使具有权限操作的人员谨慎的进行授权操作，并避免其进行舞弊。 系统维护 设置明细级别 开启日志 系统角色新增 系统用户新增 用户变更角色 角色授权变更 系统角色新增报告 系统用户新增报告 用户变更角色报告 角色授权变更报告 3、关键日志查询及报告-权限变更日志 权限配置是在用户进行角色、用户等的授权操作之前，为使系统授权环境符合用户的要求，而对系统授权的部分规则、访问安全规则进行的一些设置。 权限配置内容 启用按钮控制的节点 启用按钮权限的组织 参数配置 密码策略 权限配置报告 3、关键日志查询及报告-权限配置报告 将【权限配置报告】中密码策略、参数配置、启用按钮权限的组织和启用按钮控制的节点四个领域权限配置的变动，进行系统记录日志并输出日志报告。 作为事后进行系统权限配置安全检查的依据和监控手段。 权限配置 变更内容 启用按钮控制的节点 启用按钮权限的组织 参数配置 密码策略 权限配置 变更报告 开启权限配置 变更日志 3、关键日志查询及报告-权限配置变更报告 NCv56企业治理-访问安全控制 产品介绍 NC产品管理与应用规划部 付建华 2010年01月07日 产品研发背景及发展关系 产品总体说明 主要功能介绍 一、产品研发背景及发展关系 市场分析-国际《萨班斯法案》 4、第302节 公司对财务报告的责任 要求公司首要官员及首要财务官在季度/年度报告中保证 对信息披露的控制和程序负责（含刑事责任） 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 对披露控制的有效性进行评估，评估结果需存档 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 存档描述内部控制的重大变化 介绍信息披露的控制和程序 强调财务人员的正直和财务报告系统控制的完整性 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼 美国证券管理委员会要求 扩大信息披露的控制和财务报告系统内部控制程序的认证 将内控评估日改为财务报告截止日 市场分析-我国内部控制相关法规 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。 五部委：《企业内部控制规范》 二、产品总体说明 V56访问安全控制-应用目标 企业内部控制管理的领域划分： 管理控制 流程控制 IT控制 访问安全控制 软件系统 权限体系 的严密性 软件系统 权限体系 的可监督性 不相容 职责稽核 及报告 对授权 操作完整 细致的日志 记录及报告 V56访问安全控制-应用目标 应用目标1 应用目标2 应用目标3 NC系统的用户利用该工具查询并输出系统授权全景报告； NC系统的用户利用该工具对系统的权限体系进行检查和监控 NC系统的用户利用该工具完成不相容职责的自动稽核及报告 NC系统的用户利用该工具对系统授权操作的日志进行监控 三、产品功能简介 V56访问安全控制-产品形态清单 关键用户授权监控 权限全景