Lập kế hoạch checklist rà soát quyền truy cập cho kiểm kê quyền, xác nhận của người phụ trách, ngoại lệ, gỡ quyền, bằng chứng và theo dõi kiểm toán.
Việc rà soát quyền truy cập người dùng sẽ dễ chứng minh hơn khi mỗi quyền đều có người phụ trách nghiệp vụ, quyết định, ghi chú ngoại lệ và trạng thái theo dõi tiếp. Hãy dùng hướng dẫn này để xác định checklist trước khi bắt đầu đợt rà soát trong Jodoo hoặc kết nối quy trình với các hệ thống IT hiện có.
Bắt đầu từ: Biểu mẫu yêu cầu cấp quyền truy cậpChecklist rà soát chỉ hữu ích khi mỗi hạng mục quyền truy cập có đủ ngữ cảnh để người phụ trách đưa ra quyết định.
Mỗi người rà soát cần chọn một kết quả rõ ràng và để lại đủ bằng chứng cho việc xem xét kiểm toán sau này.
Việc rà soát chưa hoàn tất cho đến khi các tác vụ gỡ bỏ hoặc thay đổi được đóng. Ngoại lệ cần có người phụ trách và ngày rà soát.
Rà soát quyền truy cập nên hỗ trợ cho các biện pháp kiểm soát yêu cầu và cấp quyền trong tương lai. Kết quả rà soát thường cho thấy thiếu phê duyệt, quyền truy cập cũ hoặc trách nhiệm sở hữu chưa rõ ràng.
Dùng các trường dữ liệu này để các quyết định xác nhận quyền truy cập luôn có thể rà soát lại và gắn với hành động khắc phục.
Dùng checklist để xác định người phụ trách hệ thống, quyết định của người rà soát, tác vụ khắc phục và bằng chứng trước khi mở các mẫu Jodoo tương ứng.
Bắt đầu từ đây khi đội ngũ của bạn cần một bản ghi được kiểm soát cho yêu cầu cấp quyền, phê duyệt của người phụ trách, ghi chú rủi ro, thời hạn hết hiệu lực và trạng thái cấp quyền.
Biểu mẫu yêu cầu cấp quyền truy cậpThu thập chi tiết yêu cầu cấp quyền truy cập, định tuyến từng yêu cầu đến đúng người phụ trách và hiển thị rõ trạng thái yêu cầu từ tiếp nhận đến theo dõi tiếp trong một Jodoo có thể tùy chỉnh.
Biểu mẫu yêu cầu tài khoản người dùngThu thập chi tiết yêu cầu tài khoản, định tuyến phê duyệt quyền truy cập, phân công người phụ trách cấp quyền và đảm bảo mọi yêu cầu tài khoản người dùng đều có thể truy vết từ lúc tiếp nhận đến khi kích hoạt.
Yêu cầu cấp quyền truy cập VPNThu thập thông tin yêu cầu truy cập VPN, định tuyến phê duyệt của quản lý và bộ phận bảo mật IT, đồng thời theo dõi trạng thái truy cập và thời hạn hết hiệu lực.
Yêu cầu cấp quyền truy cập đặc quyềnQuản lý yêu cầu cấp quyền truy cập đặc quyền với phê duyệt bảo mật, thời hạn truy cập, theo dõi trạng thái và lịch sử quyết định sẵn sàng cho kiểm toán.
Mẫu biểu mẫu yêu cầu quyền truy cập thư mụcThu thập yêu cầu truy cập thư mục dùng chung kèm lý do nghiệp vụ, mức quyền, phê duyệt của người phụ trách dữ liệu, ngày hết hạn, xử lý cấp quyền và theo dõi thu hồi.
Mẫu biểu mẫu yêu cầu giấy phép phần mềmTiếp nhận yêu cầu giấy phép phần mềm với thông tin sản phẩm, số lượng, trung tâm chi phí, trạng thái phê duyệt, ngày gia hạn, kế hoạch thu hồi và theo dõi xử lý.
Yêu cầu ngoại lệ chính sáchDùng mẫu yêu cầu ngoại lệ chính sách để ghi nhận chính sách được miễn áp dụng, lý do kinh doanh, biện pháp kiểm soát rủi ro, điều kiện phê duyệt và ngày hết hạn.
Biểu mẫu xác nhận chính sáchThu thập xác nhận chính sách của nhân viên theo phiên bản, hạn chót, chữ ký, ghi chú ngoại lệ và trạng thái hoàn tất sẵn sàng cho kiểm toán.Nên bao gồm ngữ cảnh người dùng, hệ thống hoặc thư mục, cấp quyền, người phụ trách dữ liệu, quyết định của người rà soát, lý do ngoại lệ, tác vụ gỡ quyền, hạn hoàn thành và bằng chứng.
Tần suất phụ thuộc vào mức độ rủi ro. Các hệ thống rủi ro cao và quyền truy cập đặc quyền có thể cần rà soát hàng quý, trong khi quyền truy cập rủi ro thấp hơn có thể được rà soát nửa năm một lần hoặc hàng năm.
Jodoo có thể quản lý quy trình rà soát, bằng chứng, ngoại lệ và theo dõi khắc phục. Không nên giới thiệu Jodoo như một giải pháp thay thế cho nhà cung cấp danh tính, SSO, cấp quyền tự động hoặc các nền tảng IAM.
Xem trước mẫu khởi đầu, sau đó điều chỉnh các trường quyền truy cập, phần rà soát của người phụ trách, trạng thái ngoại lệ, tác vụ gỡ quyền và bằng chứng theo chu kỳ rà soát của bạn.
