NC61产品手册-IT监控与报告.docVIP

构建幸福企业 创新改变未来 构建幸福企业 创新改变未来 NC6产品手册 IT监控与报告 PAGE PAGE 2 PAGE PAGE 3 目录 TOC \o 1-3 \h \z \u 名词解释 2 一 概述 2 1.1 产品概述 2 1.2 产品价值 3 二 应用场景 4 2.1授权情况监控 4 2.2特权监控 7 2.3帐号实时管理与监控 8 2.4密码安全监控 10 2.5不相容职责互斥稽核 11 2.6访问安全日志 15 三 初始准备 16 3.1基础设置 16 四 操作指南 17 导读 此手册面向实施顾问以及企业关键用户，旨在为实施规划、解决方案制定和落实提供指导。手册围绕产品能够解决的主要业务场景展开，并以此为依托展现产品的关键应用功能，提供客户业务需求如何与产品功能相匹配的思路。 本手册包括四大部分，第一部分是对产品及其价值的概要介绍；第二部分是对有关IT监控与报告的主要业务场景、流程、以及对应的产品功能的介绍；第三部分介绍了IT监控与报告启用前的初始准备设置；第四部分列举出关于IT监控与报告产品的功能点的重要操作，此部分未就详细条目展开，详情可查阅产品相关模块的在线帮助说明。 为突出重点，本手册定位于方案性说明，仅对产品操作中的重要控制点有所描述。若读者希望深入了解特定板块的产品应用，可结合本手册，查阅如下资料： 1.??《组织建模手册》深入阐述了产品关键概念（如集团、组织、业务委托关系等）以及建模思路，是实施规划、蓝图设计的重要参考资料； 2.??产品帮助针对具体功能点的关键字段、按钮操作进行详细解释，并提供关键应用示例。 名词解释 内部控制 由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 IT控制 IT控制是信息技术控制的简称，是指对以下信息技术资源实施的旨在实现控制目标的过程。 COBIT文件——信息技术控制目标中定义的信息技术资源，包括： ?数据（Data）——指最广义（例如，表面的和内在的）的对象，包括结构化和非结构化、图表、声音等等。 ?应用系统（Application Systems）——人工程序和电脑程序的总和。 ?技术（Technology）——包括硬件、操作系统、数据库管理系统、网络、多媒体等等。 ?设备（Facilities）——用来存放和支持信息系统的一切资源。 ?人员（People）——包括用来计划、组织、获取、传送、支持和监控信息系统和服务所需要的人员技能、意识和生产力。 不相容职责分离/职责互斥 不相容职责分离，也称职责互斥。是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。 一 概述 1.1 产品概述 企业治理是使用NC系统进行全面风险管理、内部控制监控以及进行风险控制测试和评价的平台，它由以下模块组成：全面风险管理、内控手册管理、IT控制监控及报告、风险控制评价及改进等。 IT控制监控及报告是企业对软件系统的访问安全方面进行内部控制监控和管理，包括监控系统的权限授权信息、稽核系统中的不相容职责、账号的实时管理、查询系统的授权操作日志记录等内容，满足IT内控及审计的要求。 图1.1-1 产品功能架构图 1.2 产品价值 自动执行职责互斥稽核：根据内部牵制原则，对企业要求的不相容职责的授权自动进行互斥稽核，并可以按照业务流程进行稽核结果查询，提供按照公司或业务流程输出完整的职责互斥报告； 系统授权全景报告：便于管理层及时全面了解企业的权限分配管理状况，作为企业权限管理控制的依据，提供基于用户、角色、业务流程多角度的授权全景查询和报告； 重点授权的检查及监控：通过对关键角色、关键人员、关键功能、关键业务流程的授权情况的实时检查和报告，实施重点授权监控，保证重点业务操作的安全性； 特权管理与监控：通过对特权用户如root级、系统管理员和集团管理员和普通管理员的实时监控，保证管理员层级的用户管理操作的安全性； 帐号实时管理与监控：通过对人员离职或调岗的情况以及不明身份账户，与其对应的系统应用权限实时稽核检查，及时处理人员权限，保证企业信息数据的安全； 提供系统的密码规则设置情况以及用户密码重组修改情况； 授权操作