典型案例

中银保险

中银保险有限公司应用授权管理系统建设项目

项目背景

保监会在《保险公司信息系统安全管理指引(试行)》文件中明确规定:“建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录”,“明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险”。

BOCI 面临信息化建设的诸多困难: 缺乏对权限的统一管理,各系统各自为政、管理分散、效率较低;缺乏权限申请管理规范,无统一明确的授权机制;申请过程较为随意,无规则限定与权限限制,存在较大系统性风险;审批过程中无权限互斥、岗位互斥等校验,无法满足监管要求;缺乏统一的监控审计平台,难于生成有效、统一的审计报表;缺乏对身份与权限的全生命周期管理的有效机制,导致无法及时地禁用离职员工的所有权限等等。

面对公司内部管理需求和外部行业监管要求,BOCI 希望提高公司治理水平与合规安全,通过构建一套权限管理与授权规范平台,从而建立完善的业务管理体系架构,规范信息系统的安全风险管理。

解决方案

在充分了解 BOCI 的业务需求之后,依托多年安全管理及身份认证经验,结合国内保险行业实际,分析 BOCI 风险合规部、稽核部、人力资源部及信科部在业务、监管、用户管理及 IT 架构上的需求,在自身已有产品“统一身份管理平台(UIM–Universal Identity Management)”的基础上,进一步开发和扩展了一套完整的“统一权限管理和统一授权规范解决方案”,并与 HR 系统集成,可满足入离职自动化、岗位权限对照规则、360 环形互斥检验等需求,计划将应用系统全部接入。同时设计了一套完整的契约体系,为后续新系统接入提供规范和便利。

客户收益

  • 建立完整成熟的信息系统安全运营体系:包括建立完整的岗位职责、组织变动运营模式,从而节省运营成本,提高业务效率,优化客户及员工体验
  • 最大限度地节省 IT 运营成本:通过细化角色管理来实现对用户进行精细粒度的权限管理,统一设计理念,对整个 IT 系统的建设具有里程碑式的指导性意义
  • 完全满足保监会《保险公司信息系统安全管理指引(试行)》要求,协助公司梳理岗位职责,规范化运营
  • 通过提供多样化的、丰富的报表及权限时间切片,方便查看各种类型的审计报表并查看任意员工、任意时间的权限视图
  • 无缝支持 SOA 架构体系:统一信息系统集成规范,降低了与权限信息系统集成的风险、提升集成效率、降低维护成本,实现完善的契约体系,通过各类组件实现与其他子系统的无缝衔接,无需更改任何代码

客户评价

北京安讯奔设计开发的统一身份管理平台,借助公司内部互联网及移动网络平台,实现自上而下的统一身份管理和授权自动化,满足业务发展内外审要求,提升公司员工IT应用效率,加强权限管理监管和合规性,从根本上杜绝僵尸账户、特权账户,实现了业务部门、监管部门及IT运维部门当初对系统的构想。

中银保险

– 中银保险有限公司, BOCI 的项目经理

2018-02-13T15:59:35+00:00