先建立访问清单
只有当每个访问项都包含足够的背景信息,负责人才能做出判断,审查清单才真正有用。
- 用户、部门、经理、雇佣类型和业务角色。
- 系统、文件夹、应用、权限级别、数据敏感性和负责人。
- 访问来源、授予日期、到期日或审查日期,以及可用时的最近活动记录。
- 业务依据,以及关联的申请、例外或资产记录。
手册
用户访问审查清单手册
规划用于访问清单、负责人确认、例外情况、移除操作、证据和审计跟进的用户访问审查清单。
当每项权限都有业务负责人、处理决定、例外说明和后续状态时,用户访问审查会更容易通过审计和复核。使用本手册可在 Jodoo 中发起审查活动或围绕现有 IT 系统连接工作流之前,先定义好审查清单。
从这里开始: 访问权限申请表让审查决定清晰明确
每位审查人都应选择明确的处理结果,并留下足够证据,便于后续审计审查。
- 确认保留、修改、移除、例外、重复、未知或需要调查。
- 审查人、决定日期、决定说明和支持证据。
- 当权限属于高风险或不常见情况时,继续保留访问权限的原因。
- 当审查人无法确认访问权限时的升级负责人。
在认证后跟踪移除和例外
只有在移除或变更任务关闭后,审查才算完成。例外情况应有负责人和审查日期。
- 移除任务负责人、到期日、完成日期和验证说明。
- 例外原因、审批人、到期时间、补偿控制措施和下次审查日期。
- 无法移除的原因和升级状态。
- 用于审计或合规审查的证据导出。
将审查连接到申请工作流
访问审查应反哺后续的申请和权限开通控制。审查结果往往会暴露审批缺失、陈旧权限或负责关系不清的问题。
- 将移除操作关联到账户或文件夹访问申请记录。
- 对高风险审查流使用 VPN 和特权访问模板。
- 当访问必须保留在常规规则之外时,创建策略例外记录。
- 使用仪表板查看逾期审查、待移除事项和例外到期情况。
清单字段
用户访问审查清单字段
使用这些字段,让访问认证决定可审查、可追踪,并与整改措施关联。
字段范围需记录内容审查问题负责人
用户背景用户、经理、部门、角色、雇佣类型。谁拥有访问权限?经理或 HR
访问范围系统、文件夹、应用、权限级别、数据敏感性。正在审查什么访问权限?系统或数据负责人
处理决定确认保留、修改、移除、例外、审查说明。这项访问是否应继续保留?审查人
整改移除负责人、到期日、状态、验证证据。变更是否已完成?IT 或安全团队
例外原因、审批人、到期时间、控制措施、下次审查日期。为什么允许保留这项访问?合规团队或负责人
模板
将访问认证转成工作流
在打开对应的 Jodoo 模板之前,先用这份清单定义系统负责人、审查决定、整改任务和证据。
最适合开始使用的模板最佳起点:访问申请表单
当您的团队需要用一条受控记录管理访问申请、负责人审批、风险说明、到期时间和开通状态时,请从这里开始。
访问权限申请表集中采集访问权限申请详情,将每条申请分派给合适的负责人,并在 Jodoo 的可自定义应用中,让申请状态从受理到跟进始终清晰可见。
用户账号申请表收集账号申请详情,分派访问权限审批,指派开通负责人,并让每一条用户账号申请从受理到启用全程可追踪。
VPN 访问申请收集 VPN 访问申请详情,分派经理和 IT 安全审批,并跟踪访问状态和到期时间。
特权访问申请通过安全审批、访问时段、状态跟踪和可供审计的决策历史,管理特权访问申请。
文件夹访问申请表模板收集共享文件夹访问申请,包括业务原因、权限级别、数据负责人审批、到期日期、执行处理和移除跟踪。
软件许可证申请表模板收集软件许可证申请,包括产品详情、数量、成本中心、审批状态、续订日期、回收计划和交付跟踪。
政策例外申请使用政策例外申请模板,记录申请豁免的政策、业务原因、风险控制措施、审批条件和到期日期。
政策确认表单收集员工政策确认信息,包括版本、截止日期、签名、例外说明和可供审计的完成状态。探索相关的访问与安全工作流
查看访问申请控制工作流
常见问题
关于用户访问审查的常见问题
用户访问审查清单应包含哪些内容?
应包括用户背景、系统或文件夹、权限级别、数据负责人、审查决定、例外原因、移除任务、到期日和证据。
用户访问审查应多久进行一次?
频率取决于风险。高风险系统和特权访问可能需要按季度审查,而低风险访问可按半年或一年审查一次。
Jodoo 能否替代用于访问审查的 IAM 软件?
Jodoo 可以管理审查工作流、证据、例外和整改跟踪,但不应被描述为可替代身份提供商、SSO、自动化权限开通或 IAM 平台。
下一步
打开访问控制模板
先预览起始模板,再根据您的审查周期调整访问字段、负责人审查、例外状态、移除任务和证据。