Unsere Organisation hat kürzlich die IT umstrukturiert und Netzwerktechniker in neue Rollen wie Architekt, Implementierungsingenieur und Betriebsunterstützungsingenieur unterteilt.
Es gibt Bedenken hinsichtlich der SOX-Konformität und wie / ob wir geeignete Kontrollen implementieren würden, um den Zugriff auf das Produktionsumfeld für Mitarbeiter auf Architektenebene zu beschränken, da deren Hauptaufgabe Strategie und Planung sind. Meines Wissens nach sind SOX-Kontrollen für die Aufgabentrennung spezifischer für Finanz- oder Buchhaltungsdaten - und der Zugriff auf (zum Beispiel) eine Produktionsdatenbank nur für Entwickler / QS-Mitarbeiter.
Was sind SOX-Anforderungen für den Zugang zu Routen- / Weichen- / Transportgeräten? Wo würde eine Aufgabentrennung für Netzwerktechniker gelten?
quelle
Antworten:
Nachdem ich diesen Prozess für einige Clients durchlaufen habe, würde ich im Allgemeinen zunächst sicherstellen, dass Sie mindestens die folgenden Steuerelemente implementiert haben. Beachten Sie, dass keines davon für SOX spezifisch ist, da Route / Switch / Transport im Allgemeinen nicht abgespielt wird eine Rolle in der Finanzberichterstattung neben einem reinen Verfügbarkeitsstandpunkt:
Um Ihre Frage zu beantworten, ob Ihre Architect-Ressource Zugriff auf das Produktionsnetzwerk hat, würde ich dies nicht als von den SOX-Anforderungen diktiert ansehen.
Andererseits würde unter Sicherheitsgesichtspunkten wahrscheinlich das Prinzip der geringsten Berechtigung gelten, und daher ist ein schreibgeschütztes Konto möglicherweise angemessener.
quelle