SAP實(shí)施項(xiàng)目中的風(fēng)險(xiǎn)控制和安全管理

1、SAP實(shí)施項(xiàng)目中的風(fēng)險(xiǎn)控制和安全管理 隨著公司治理、內(nèi)部掌握（例如目前談“薩”色變的薩班斯法案以及X市深圳證券交易所出臺(tái)的上市公司內(nèi)部掌握指引）越來(lái)越多地被中國(guó)企業(yè)所接受并應(yīng)用，信息安全和風(fēng)險(xiǎn)掌握在企業(yè)信息系統(tǒng)實(shí)施項(xiàng)目中（如SAP實(shí)施項(xiàng)目）正扮演著越來(lái)越重要的角色。 作為全球領(lǐng)先的ERP軟件，SAP正在為越來(lái)越多的大中型企業(yè)所使用，并使企業(yè)的整個(gè)價(jià)值鏈實(shí)現(xiàn)高度自動(dòng)化。SAP可全面掩蓋企業(yè)的業(yè)務(wù)運(yùn)作和財(cái)務(wù)處理，乃至供應(yīng)豐富的決策支持功能。同時(shí)，SAP也供應(yīng)了全面、敏捷的功能/模塊來(lái)強(qiáng)化企業(yè)的內(nèi)部掌握，使企業(yè)的全部操作均可運(yùn)作在一個(gè)高效且可控的應(yīng)用平臺(tái)上。正是因?yàn)镾AP的浩大與復(fù)雜，如何實(shí)現(xiàn)相關(guān)的

2、安全掌握及數(shù)據(jù)安全往往是企業(yè)所面臨的一個(gè)巨大挑戰(zhàn)。 SAP系統(tǒng)掌握和安全的實(shí)施不是簡(jiǎn)潔地隨著項(xiàng)目進(jìn)行就能夠自然而然地在系統(tǒng)里實(shí)現(xiàn)，這些都需要具有一定專業(yè)技能的掌握和安全團(tuán)隊(duì)通過(guò)風(fēng)險(xiǎn)評(píng)估以及設(shè)計(jì)一定的掌握框架來(lái)完成。SAP系統(tǒng)掌握和安全的實(shí)施也是企業(yè)實(shí)現(xiàn)IT治理、內(nèi)部掌握和信息安全的必要的手段。評(píng)估企業(yè)是否采取足夠的IT掌握方法來(lái)削減業(yè)務(wù)流程風(fēng)險(xiǎn)也是掌握和安全團(tuán)隊(duì)的一項(xiàng)重要任務(wù)。在SAP實(shí)施過(guò)程中，權(quán)限掌握、系統(tǒng)配置、職責(zé)分別設(shè)置、數(shù)據(jù)校驗(yàn)以及監(jiān)控報(bào)告都是可以采取的IT掌握方法。 很多中國(guó)企業(yè)已經(jīng)開(kāi)頭在SAP實(shí)施項(xiàng)目中使用獨(dú)立的掌握和安全團(tuán)隊(duì)致力于對(duì)系統(tǒng)安全的設(shè)計(jì)和實(shí)現(xiàn)。為了有效地進(jìn)行SAP系統(tǒng)

3、掌握和安全的實(shí)施，我們將從三個(gè)方面，也就是項(xiàng)目管理、技術(shù)管理及利益方（Stakeholder）管理三方面加以闡述。 一、項(xiàng)目管理 - 符合利益方的期望 有效的對(duì)安全和風(fēng)險(xiǎn)掌握進(jìn)行項(xiàng)目管理就是要站在利益方的立場(chǎng)上考慮問(wèn)題。掌握和安全團(tuán)隊(duì)負(fù)責(zé)人必需清楚了解利益方重要的信息安全和掌握需求。因此，對(duì)重要的利益方從內(nèi)部業(yè)務(wù)流程掌握方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個(gè)直接的方法。掌握和安全團(tuán)隊(duì)需要保證制定的安全策略和方法來(lái)體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化。同樣的，掌握和安全團(tuán)隊(duì)也需要很好地和業(yè)務(wù)流程實(shí)施小組進(jìn)行緊密地合作。 由于企業(yè)內(nèi)部業(yè)務(wù)流程和對(duì)于信息安全的優(yōu)先度考慮不一，不同的利益

4、方對(duì)于SAP信息掌握和安全有著不同的期望。了解利益方的業(yè)務(wù)需求會(huì)讓掌握和安全團(tuán)隊(duì)很好地了解項(xiàng)目的復(fù)雜程度以及安全實(shí)施的范圍，并因此有益于對(duì)掌握安全設(shè)計(jì)的時(shí)間和工作量的估計(jì)。 SAP信息掌握和安全，作為業(yè)務(wù)流程掌握的“代言人”，使得了解業(yè)務(wù)流程成為了掌握和安全團(tuán)隊(duì)的必修課。舉個(gè)例子來(lái)說(shuō)，一個(gè)企業(yè)為了防止舞弊，設(shè)計(jì)了業(yè)務(wù)流程使得同一個(gè)用戶不能同時(shí)創(chuàng)建以及批準(zhǔn)選購(gòu)訂單，接收入庫(kù)單，付款，以及維護(hù)供應(yīng)商主檔。為了實(shí)現(xiàn)這樣的業(yè)務(wù)流程，掌握和安全團(tuán)隊(duì)就需要設(shè)計(jì)權(quán)限來(lái)限制這些互斥的業(yè)務(wù)操作來(lái)達(dá)到職責(zé)分別。對(duì)一些小的企業(yè)來(lái)說(shuō)，做到盡善盡美的職責(zé)分別由于公司人數(shù)過(guò)少而變得不可能，在這種狀況下，掌握和安全團(tuán)隊(duì)就需

5、要設(shè)計(jì)一些補(bǔ)償性掌握（Compensating Control）來(lái)削減職責(zé)過(guò)于集中所帶來(lái)的風(fēng)險(xiǎn)。比如說(shuō)，掌握和安全團(tuán)隊(duì)需要在SAP系統(tǒng)中考慮設(shè)置一定的“門(mén)檻值”，一旦超過(guò)這個(gè)“門(mén)檻”，相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)。職責(zé)分別在內(nèi)部掌握監(jiān)管制度，尤其是薩班斯法案中對(duì)管理層和審計(jì)師來(lái)說(shuō)都是焦點(diǎn)之所在。 取得高級(jí)管理層和業(yè)務(wù)全部者（一般而言是那些業(yè)務(wù)經(jīng)理）的認(rèn)同和支持是安全和風(fēng)險(xiǎn)掌握項(xiàng)目管理的另一個(gè)主要的方面。同高級(jí)管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對(duì)于建立整個(gè)SAP項(xiàng)目團(tuán)隊(duì)的接受度，全部權(quán)和責(zé)任感都是至為關(guān)鍵的。 二、技術(shù)管理 -實(shí)現(xiàn)系統(tǒng)中的內(nèi)部掌

6、握 在項(xiàng)目團(tuán)隊(duì)中擁有既了解內(nèi)部掌握監(jiān)管環(huán)境，又深諳與SAP相關(guān)的系統(tǒng)掌握設(shè)置的技術(shù)骨干是必不可少的。不過(guò)，在實(shí)際的SAP實(shí)施項(xiàng)目中，絕大多數(shù)的信息安全部門(mén)，尤其是SAP的掌握和安全團(tuán)隊(duì)，經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過(guò)低地估計(jì)了。掌握和安全團(tuán)隊(duì)在項(xiàng)目中往往被忽視，或者甚至由不了解內(nèi)部掌握的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫(xiě)。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的掌握設(shè)置不足或不符合業(yè)務(wù)流程需要，用戶權(quán)限過(guò)大而且職責(zé)沒(méi)有完全分別等等。當(dāng)系統(tǒng)上線，企業(yè)管理層再發(fā)覺(jué)SAP內(nèi)部掌握問(wèn)題之后，再想重新改正，一來(lái)“勞民傷財(cái)”，二來(lái)“積重難返”，很難通過(guò)內(nèi)部和外部的審計(jì)?？梢?jiàn)，擁有合適的

7、系統(tǒng)安全人員對(duì)于SAP項(xiàng)目實(shí)施質(zhì)量掌握會(huì)有多大的作用。在項(xiàng)目過(guò)程中，掌握和安全團(tuán)隊(duì)也須經(jīng)常同企業(yè)內(nèi)部審計(jì)部門(mén)就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫(xiě)和安全測(cè)試。 當(dāng)掌握和安全團(tuán)隊(duì)同利益方談?wù)揝AP權(quán)限如何實(shí)現(xiàn)以及可選的安全掌握方案時(shí)，掌握和安全團(tuán)隊(duì)必需確保利益方不僅了解可能的權(quán)限限制的結(jié)果，而且明白假如沒(méi)有設(shè)定必要的權(quán)限限制所帶來(lái)的風(fēng)險(xiǎn)以及對(duì)企業(yè)內(nèi)部掌握的影響。另外，職責(zé)分別分析可以基于SAP角色(Role)基礎(chǔ)上。職責(zé)分別分析可以幫助企業(yè)確定，分析并列舉用戶訪問(wèn)企業(yè)敏感區(qū)域的權(quán)限，并且供應(yīng)相互沖突的業(yè)務(wù)。很多SAP職責(zé)分別工具已經(jīng)被開(kāi)發(fā)出來(lái)用以自動(dòng)地對(duì)SAP角色以及用戶權(quán)限進(jìn)行分析來(lái)提高

8、效率并削減企業(yè)成本。國(guó)際上較為流行的SAP職責(zé)分別工具包括Virsa及Approva等，一些企業(yè)咨詢公司如德勤開(kāi)發(fā)的專有工具eQSmart也能夠很好地進(jìn)行職責(zé)分別分析。 三、利益方管理 - 溝通帶來(lái)成功 項(xiàng)目實(shí)施過(guò)程中管理好利益方，尤其是業(yè)務(wù)用戶經(jīng)常是SAP安全有效實(shí)施中最重要但無(wú)疑也是最復(fù)雜的一環(huán)。假如掌握和安全團(tuán)隊(duì)不能和業(yè)務(wù)團(tuán)隊(duì)，技術(shù)人員以及管理層不能有效進(jìn)行溝通的話，掌握和安全團(tuán)隊(duì)也不可能獲得全部的業(yè)務(wù)需求，更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語(yǔ)言在系統(tǒng)內(nèi)加以實(shí)現(xiàn)。假如這樣的話，實(shí)施的效果就要打 管理層不能有效進(jìn)行溝通的話，掌握和安全團(tuán)隊(duì)也不可能獲得全部的業(yè)務(wù)需求，更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語(yǔ)言在系統(tǒng)內(nèi)加以實(shí)現(xiàn)。假如這樣的話，實(shí)施的效果就要打上一個(gè)很大的折扣，更不要提IT治理、內(nèi)部掌握和信息安全了。 從用戶的立場(chǎng)上來(lái)看，掌握和安全有時(shí)感覺(jué)像捆住了他們的手腳，權(quán)限的限制使得他們不能“為所欲為”地對(duì)系統(tǒng)功能進(jìn)行訪問(wèn)、修改和操作，這不難理解。但從內(nèi)控的立場(chǎng)上來(lái)看，安全掌握就是保證系統(tǒng)訪問(wèn)的安全，不能讓用戶“為所欲為”。內(nèi)控和用戶對(duì)系統(tǒng)的便利使用一直以來(lái)都是一個(gè)相互制衡的話題，更多的掌握當(dāng)然會(huì)限制用戶對(duì)系統(tǒng)的便利使用，但對(duì)系統(tǒng)過(guò)于便利的使用則不利于內(nèi)控的實(shí)現(xiàn)。這就要求掌握和安全團(tuán)隊(duì)能夠從實(shí)際的