Access Management: Unterschied zwischen den Versionen

Aus IT Process Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 11: Zeile 11:
<meta property="fb:admins" content="100002592864414" />
<meta property="fb:admins" content="100002592864414" />
<meta property="og:image" content="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" />
<meta property="og:image" content="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" />
<meta property="og:image:width" content="980" />
<meta property="og:image:width" content="1200" />
<meta property="og:image:height" content="584" />
<meta property="og:image:height" content="900" />
<meta name="twitter:card" content="summary">
<meta name="twitter:site" content="@itprocessmaps">
<meta name="twitter:creator" content="@itprocessmaps">
<meta name="twitter:title" content="Access Management | IT Process Wiki">
<meta name="twitter:description" content="Access Management bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender.">
<meta name="twitter:image" content="https://wiki.de.it-processmaps.com/images/thumb/4/46/Itil-access-management.jpg/800px-Itil-access-management.jpg">
<meta name="twitter:image:alt" content="Übersicht zum ITIL Access Management: Dieses Bild illustriert den Prozess Access Management nach ITIL. Es zeigt die relevanten Schnittstellen von ITIL Access Management, die Teil-Prozesse sowie deren wechselseitige Verknüpfungen.">
<link href="https://plus.google.com/103931183857349076198/posts" rel="publisher" />
<link href="https://plus.google.com/103931183857349076198/posts" rel="publisher" />
</itpmch>
</itpmch>
Zeile 39: Zeile 46:
==Prozess-Beschreibung==
==Prozess-Beschreibung==


[[Image:Itil-access-management.jpg|right|thumb|500px|alt=Access Management ITIL|link=https://wiki.de.it-processmaps.com/index.php/Datei:Itil-access-management.jpg|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_access_management_itilv3.pdf ITIL Access Management (.pdf)]]]
Access Management ist als neuer Prozess in ITIL V3 hinzugekommen. Aspekte der Informations-Sicherheit waren ausschlaggebend für die Entscheidung, diese dedizierten Prozess einzubinden: Aus Gründen der Informations-Sicherheit ist es ganz besonders wichtig, dass nur autorisierten Anwendern die Nutzung eines IT Service bzw. eines Anwendungssystems gestattet werden darf.
Access Management ist als neuer Prozess in ITIL V3 hinzugekommen. Aspekte der Informations-Sicherheit waren ausschlaggebend für die Entscheidung, diese dedizierten Prozess einzubinden: Aus Gründen der Informations-Sicherheit ist es ganz besonders wichtig, dass nur autorisierten Anwendern die Nutzung eines IT Service bzw. eines Anwendungssystems gestattet werden darf.


<p>&nbsp;</p>
[[Image:Itil-access-management.jpg|right|thumb|370px|alt=Access Management ITIL|link=https://wiki.de.it-processmaps.com/index.php/Datei:Itil-access-management.jpg|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_access_management_itilv3.pdf ITIL Access Management]]]
In ITIL 2011 unterstreicht eine neue Schnittstelle zwischen Access Management und Event Management, dass (einige) [[Event Management#Regeln Event-Kategorisierung Event-Korrelation|Regeln für Event-Kategorisierung und -Korrelation]] vom Access Management entworfen werden sollten - dies ist wichtig, um einen nicht authorisierten Zugriff auf Services aufzudecken. Das Übersichts-Diagramm zu [[Media:Itil-access-management.jpg|ITIL Access Management (.JPG)]] illustriert die wichtigsten Schnittstellen des Prozesses (siehe Abb. 1).
In ITIL 2011 unterstreicht eine neue Schnittstelle zwischen Access Management und Event Management, dass (einige) [[Event Management#Regeln Event-Kategorisierung Event-Korrelation|Regeln für Event-Kategorisierung und -Korrelation]] vom Access Management entworfen werden sollten - dies ist wichtig, um einen nicht authorisierten Zugriff auf Services aufzudecken. Das Übersichts-Diagramm zu [[Media:Itil-access-management.jpg|ITIL Access Management (.JPG)]] illustriert die wichtigsten Schnittstellen des Prozesses (siehe Abb. 1).


Dafür, dass [[Access Management#Zugriffsrechte|Zugriffsrechte]] - falls erforderlich - zurückgenommen werden können, sorgt nun eine dedizierte Aktivität.
Dafür, dass [[Access Management#Zugriffsrechte|Zugriffsrechte]] - falls erforderlich - zurückgenommen werden können, sorgt nun eine dedizierte Aktivität. Zudem wird klar darauf hingewiesen, dass in den Prozessen Request Fulfilment und Incident Management die Autorisierung des Anfragenden geprüft werden muss.
 
Zudem wird in ITIL 2011 klar darauf hingewiesen, dass in den Prozessen Request Fulfilment und Incident Management die Autorisierung des Anfragenden geprüft werden muss.  


<p>&nbsp;</p>
In [[ITIL 4]] wird Access Management als [[ITIL_4#Allgemeine_Management-Praktiken|allgemeine Management-Praktik]] aufgeführt - als ein Teilbereich von "Information Security Management".
<p style="clear:both;">&nbsp;</p>


==Teil-Prozesse==
==Teil-Prozesse==
Zeile 58: Zeile 62:
<p><span itemprop="name" content="Access Management Teil-Prozesse:"><strong class="selflink">ITIL Access Management</strong> umfasst die folgenden Teil-Prozesse:</span>
<p><span itemprop="name" content="Access Management Teil-Prozesse:"><strong class="selflink">ITIL Access Management</strong> umfasst die folgenden Teil-Prozesse:</span>
</p>
</p>
<p>&#160;</p>
<p><b><span id="ITIL_Access_Management_Profile" itemprop="itemListElement">Verwalten von Anwender-Rollen und Berechtigungs-Profilen</span></b>
<p><b><span id="ITIL_Access_Management_Profile" itemprop="itemListElement">Verwalten von Anwender-Rollen und Berechtigungs-Profilen</span></b>
</p>
</p>
<ul><li itemprop="description">Prozessziel: Sicherstellen, dass der Katalog der <a href="/index.php/Access_Management#Benutzer-Rolle" title="Access Management">Benutzer-Rollen</a> und <a href="/index.php/Access_Management#User_Role_Access_Profile" title="Access Management">Berechtigungs-Profile</a> zur Palette der IT-Services und Anwendungssysteme passt, sowie Verhindern einer ungewollten Anhäufung von Zugriffs-Berechtigungen.
<ul><li itemprop="description">Prozessziel: Sicherstellen, dass der Katalog der <a href="/index.php/Access_Management#Benutzer-Rolle" title="Access Management">Benutzer-Rollen</a> und <a href="/index.php/Access_Management#User_Role_Access_Profile" title="Access Management">Berechtigungs-Profile</a> zur Palette der IT-Services und Anwendungssysteme passt, sowie Verhindern einer ungewollten Anhäufung von Zugriffs-Berechtigungen.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="Access_Management_ITIL_Berechtigung" itemprop="itemListElement">Bearbeiten von Berechtigungs-Anträgen</span></b>
</p><p><b><span id="Access_Management_ITIL_Berechtigung" itemprop="itemListElement">Bearbeiten von Berechtigungs-Anträgen</span></b>
</p>
</p>
<ul><li itemprop="description">Prozessziel: Bearbeiten von Anfragen zum Hinzufügen, Ändern oder Löschen von <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechten</a> und Sicherstellen, dass nur autorisierten Anwendern das Recht zur Nutzung eines Service gewährt wird.
<ul><li itemprop="description">Prozessziel: Bearbeiten von Anfragen zum Hinzufügen, Ändern oder Löschen von <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechten</a> und Sicherstellen, dass nur autorisierten Anwendern das Recht zur Nutzung eines Service gewährt wird.
</li></ul>
</li></ul>
</div><!-- end of schema.org/ItemList --><p></html>
</div><!-- end of schema.org/ItemList --><p></html>
<p>&nbsp;</p>


==Definitionen==
==Definitionen==
Zeile 77: Zeile 78:
<p><span itemprop="name">Die folgenden <a href="/index.php/ITIL-Glossar#ITIL-Glossar_A_bis_Z" title="ITIL-Glossar">ITIL-Begriffe und Acronyme</a> (<i>Informations-Objekte</i>) werden in Access Management zur Darstellung der Prozess-Outputs und -Inputs verwendet:</span>
<p><span itemprop="name">Die folgenden <a href="/index.php/ITIL-Glossar#ITIL-Glossar_A_bis_Z" title="ITIL-Glossar">ITIL-Begriffe und Acronyme</a> (<i>Informations-Objekte</i>) werden in Access Management zur Darstellung der Prozess-Outputs und -Inputs verwendet:</span>
</p>
</p>
<p>&#160;</p>
<p><b><span id="Anforderungen_Benutzer-Rollen" itemprop="itemListElement">Anforderungen für Benutzer-Rollen</span></b>
<p><b><span id="Anforderungen_Benutzer-Rollen" itemprop="itemListElement">Anforderungen für Benutzer-Rollen</span></b>
</p>
</p>
<ul><li itemprop="description">Anforderungen aus Geschäftssicht an den Katalog oder die hierarchische Struktur aller Benutzer-Rollen (Benutzer-Typen). <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechte</a> basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.
<ul><li itemprop="description">Anforderungen aus Geschäftssicht an den Katalog oder die hierarchische Struktur aller Benutzer-Rollen (Benutzer-Typen). <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechte</a> basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="Antrag_zur_Benutzer-Einrichtung" itemprop="itemListElement">Antrag zur Benutzer-Einrichtung</span></b>
</p><p><b><span id="Antrag_zur_Benutzer-Einrichtung" itemprop="itemListElement">Antrag zur Benutzer-Einrichtung</span></b>
</p>
</p>
<ul><li itemprop="description">Ein Antrag zur Einrichtung, Änderung oder Löschung eines Benutzers, identifiziert durch eine Benutzer-ID.
<ul><li itemprop="description">Ein Antrag zur Einrichtung, Änderung oder Löschung eines Benutzers, identifiziert durch eine Benutzer-ID.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="Benutzer-Berechtigungs-Antrag" itemprop="itemListElement">Benutzer-Berechtigungs-Antrag</span></b>
</p><p><b><span id="Benutzer-Berechtigungs-Antrag" itemprop="itemListElement">Benutzer-Berechtigungs-Antrag</span></b>
</p>
</p>
<ul><li itemprop="description">Ein Antrag auf Einrichtung, Änderung oder Löschung von Rechten zum Zugriff auf bestimmte Services oder Systeme.
<ul><li itemprop="description">Ein Antrag auf Einrichtung, Änderung oder Löschung von Rechten zum Zugriff auf bestimmte Services oder Systeme.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="Benutzer-Rolle" itemprop="itemListElement">Benutzer-Rolle</span></b>
</p><p><b><span id="Benutzer-Rolle" itemprop="itemListElement">Benutzer-Rolle</span></b>
</p>
</p>
<ul><li itemprop="description">Eine Rolle aus einem Katalog oder einer hierarchischen Struktur aller Benutzer-Rollen (Benutzer-Typen). <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechte</a> basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.
<ul><li itemprop="description">Eine Rolle aus einem Katalog oder einer hierarchischen Struktur aller Benutzer-Rollen (Benutzer-Typen). <a href="/index.php/Access_Management#Zugriffsrechte" title="Access Management">Zugriffsrechte</a> basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="User_Identity_Record" itemprop="itemListElement">User Identity Record</span></b>
</p><p><b><span id="User_Identity_Record" itemprop="itemListElement">User Identity Record</span></b>
</p>
</p>
<ul><li itemprop="description">Ein Datensatz mit allen Informationen, die einen Anwender bzw. eine Person identifizieren. Er wird zur Vergabe von Berechtigungen an diesen Anwender oder diese Person verwendet.
<ul><li itemprop="description">Ein Datensatz mit allen Informationen, die einen Anwender bzw. eine Person identifizieren. Er wird zur Vergabe von Berechtigungen an diesen Anwender oder diese Person verwendet.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="User_Role_Access_Profile" itemprop="itemListElement">User Role Access Profile (Berechtigungsprofil)</span></b>
</p><p><b><span id="User_Role_Access_Profile" itemprop="itemListElement">User Role Access Profile (Berechtigungsprofil)</span></b>
</p>
</p>
<ul><li itemprop="description">Ein Datensatz, in dem definiert ist, auf welche Weise und in welchem Umfang Anwender Zugriff auf Services, Daten oder andere Assets haben. Berechtigungsprofile tragen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und anderen Assets bei, indem sie die Nutzung bestimmter Anwendungssysteme freigeben und festlegen, auf welche Daten Computeranwender lesend bzw. schreibend zugreifen können.
<ul><li itemprop="description">Ein Datensatz, in dem definiert ist, auf welche Weise und in welchem Umfang Anwender Zugriff auf Services, Daten oder andere Assets haben. Berechtigungsprofile tragen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und anderen Assets bei, indem sie die Nutzung bestimmter Anwendungssysteme freigeben und festlegen, auf welche Daten Computeranwender lesend bzw. schreibend zugreifen können.
</li></ul>
</li></ul>
<p><br />
<p><b><span id="Zugriffsrechte" itemprop="itemListElement">Zugriffsrechte</span></b>
</p><p><b><span id="Zugriffsrechte" itemprop="itemListElement">Zugriffsrechte</span></b>
</p>
</p>
<ul><li itemprop="description">Ein Datensatz, der festlegt, auf welche Services ein Benutzer zugreifen kann. Diese Festlegung wird erreicht, indem einem Benutzer (identifiziert durch seine Benutzer-ID) eine oder mehrere <a href="/index.php/Access_Management#Benutzer-Rolle" title="Access Management">Benutzer-Rollen</a> zugewiesen werden.  
<ul><li itemprop="description">Ein Datensatz, der festlegt, auf welche Services ein Benutzer zugreifen kann. Diese Festlegung wird erreicht, indem einem Benutzer (identifiziert durch seine Benutzer-ID) eine oder mehrere <a href="/index.php/Access_Management#Benutzer-Rolle" title="Access Management">Benutzer-Rollen</a> zugewiesen werden.  
</li></ul>  
</li></ul>  
</div><!-- end of schema.org/ItemList --><p></html>
</div><!-- end of schema.org/ItemList --><p></html>
<p>&nbsp;</p>


==Rollen | Verantwortlichkeiten==
==Rollen | Verantwortlichkeiten==
Zeile 119: Zeile 112:
'''<span id="Access Manager">Access Manager - Prozess-Verantwortlicher</span>'''
'''<span id="Access Manager">Access Manager - Prozess-Verantwortlicher</span>'''
*Der Access Manager bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender. Er führt im Wesentlichen Vorgaben aus, die im [[IT Security Management|Information Security Management]] definiert worden sind.
*Der Access Manager bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender. Er führt im Wesentlichen Vorgaben aus, die im [[IT Security Management|Information Security Management]] definiert worden sind.
<br />


'''<span id="1st Level Support">1st Level Support</span>'''
'''<span id="1st Level Support">1st Level Support</span>'''
* Der Bearbeiter im 1st Level Support sorgt bei eingehenden Störungsmeldungen für die Registrierung und Einordnung und unternimmt einen unmittelbaren Lösungsversuch zur schnellstmöglichen Wiederherstellung des definierten Betriebszustands eines Service. Ist dies nicht möglich, leitet er die Störung an spezielle Bearbeitergruppen im [[Rollen in ITIL#2nd Level Support|2nd Level Support]] weiter. Der 1st Level Support bearbeitet auch [[Request_Fulfilment#ITIL_Service_Request|Service-Requests]] und informiert die User regelmäßig über den Bearbeitungsstand der Incidents.
* Der Bearbeiter im 1st Level Support sorgt bei eingehenden Störungsmeldungen für die Registrierung und Einordnung und unternimmt einen unmittelbaren Lösungsversuch zur schnellstmöglichen Wiederherstellung des definierten Betriebszustands eines Service. Ist dies nicht möglich, leitet er die Störung an spezielle Bearbeitergruppen im [[Rollen in ITIL#2nd Level Support|2nd Level Support]] weiter. Der 1st Level Support bearbeitet auch [[Request_Fulfilment#ITIL_Service_Request|Service-Requests]] und informiert die User regelmäßig über den Bearbeitungsstand der Incidents.
<p>&nbsp;</p>
<p>&nbsp;</p>


{| border="1" cellpadding="5" cellspacing="0" style="margin-left: auto; margin-right: auto; text-align:center;" valign="top"
{| class="wikitable" style="background: white;"
|-
|-
|style="vertical-align:top; text-align:center" colspan="3" style="background:#ffffdd;"| '''Verantwortlichkeits-Matrix: ITIL Access Management'''
|+ style="background:#013b5e; color:#ffffff; font-size: 120%" colspan="3"| '''<span id="RACI-Matrix-Access-Management">Verantwortlichkeits-Matrix: ITIL Access Management</span>'''
|-
|-
!style="background:#ffffee; width: 70%; text-align:center"" | ITIL-Rolle / Teil-Prozess
! style="background:#ffffee; width: 70%; text-align:center"" | ITIL-Rolle / Teil-Prozess
! style="background:#ffffee;" | [[Access Management#Access Manager|Access Manager]]
! style="background:#eeeeee" | [[Access Management#Access Manager|Access Manager]]
! style="background:#ffffee;" | [[Access Management#1st Level Support|1st Level Support]]
! style="background:#eeeeee" | [[Access Management#1st Level Support|1st Level Support]]
|-
|-
|style="text-align:left;" |[[#ITIL Access Management Profile|Verwalten von Anwender-Rollen und Berechtigungs-Profilen]]
|style="text-align:left;" |[[#ITIL Access Management Profile|Verwalten von Anwender-Rollen und Berechtigungs-Profilen]]
Zeile 143: Zeile 134:
|-
|-
|}
|}
<p>&nbsp;</p>


'''Erläuterungen'''
'''Erläuterungen'''
Zeile 153: Zeile 142:


<span id="Verantwortung-delegiert">[3] Gemäß ITIL ist es durchaus üblich, das Gewähren von Zugriffsrechten für einfache Services an das Service Desk / 1st Level Support zu delegieren.</span>
<span id="Verantwortung-delegiert">[3] Gemäß ITIL ist es durchaus üblich, das Gewähren von Zugriffsrechten für einfache Services an das Service Desk / 1st Level Support zu delegieren.</span>
<p>&nbsp;</p>


== Prozess-Implementierung: Anmerkung ==
== Prozess-Implementierung: Anmerkung ==
Zeile 160: Zeile 148:


Klar definierte Schnittstellen zwischen den Kundenprozessen und Access Management sind unabdingbar, um hohe Sicherheitsstandards zu erreichen. Typischerweise werden die Verantwortungen beider Seiten in einer spezifischen Informationssicherheits-Richtlinie geregelt: Dort wird z.B. festgelegt, dass der Personalbereich das Access Management umgehend informiert, wenn Mitarbeiter ins Unternehmen eintreten oder es verlassen.
Klar definierte Schnittstellen zwischen den Kundenprozessen und Access Management sind unabdingbar, um hohe Sicherheitsstandards zu erreichen. Typischerweise werden die Verantwortungen beider Seiten in einer spezifischen Informationssicherheits-Richtlinie geregelt: Dort wird z.B. festgelegt, dass der Personalbereich das Access Management umgehend informiert, wenn Mitarbeiter ins Unternehmen eintreten oder es verlassen.
<p>&nbsp;</p>


==Anmerkungen==
==Anmerkungen==
Zeile 200: Zeile 186:
   <link itemprop="isPartOf" href="https://wiki.de.it-processmaps.com/index.php/ITIL_Service_Operation_-_Servicebetrieb" />
   <link itemprop="isPartOf" href="https://wiki.de.it-processmaps.com/index.php/ITIL_Service_Operation_-_Servicebetrieb" />
   <link itemprop="primaryImageOfPage" href="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" />
   <link itemprop="primaryImageOfPage" href="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" />
  <span id="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" itemprop="image" itemscope itemtype="https://schema.org/ImageObject">
  <meta itemprop="caption" content="ITIL Access Management">
  <meta itemprop="contentUrl" content="https://wiki.de.it-processmaps.com/images/4/46/Itil-access-management.jpg" />
  <meta itemprop="width" content="1200" />
  <meta itemprop="height" content="900" />
  <meta itemprop="representativeOfPage" content="true"/>
  <meta itemprop="dateCreated" content="2011-09-19" />
  <meta itemprop="dateModified" content="2020-06-20" />
  <span itemprop="thumbnail" itemscope itemtype="https://schema.org/ImageObject">
    <meta itemprop="url" content="https://wiki.de.it-processmaps.com/images/thumb/4/46/Itil-access-management.jpg/800px-Itil-access-management.jpg" />
    <meta itemprop="width" content="800" />
    <meta itemprop="height" content="600" />
  </span>
  <meta itemprop="keywords" content="Access Management" />
  <meta itemprop="keywords" content="ITIL Access Management" />
  </span>
   <link itemprop="author" href="https://www.linkedin.com/in/stefankempter" />
   <link itemprop="author" href="https://www.linkedin.com/in/stefankempter" />
   <meta itemprop="author" content="Stefan Kempter" />
   <meta itemprop="author" content="Stefan Kempter" />
Zeile 206: Zeile 208:


<!-- Diese Seite liegt in folgenden Kategorien: -->
<!-- Diese Seite liegt in folgenden Kategorien: -->
[[Kategorie:ITIL V3]][[Kategorie:ITIL 2011]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Operation]][[Kategorie:Access Management|!]]
[[Kategorie:ITIL 2011]][[Kategorie:ITIL V3]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Operation]][[Kategorie:Access Management|!]]
<!-- keine Inhalte nach diesem Kommentar! -->
<!-- keine Inhalte nach diesem Kommentar! -->

Version vom 2. August 2020, 16:38 Uhr

diese Seite teilendiese Seite auf LinkedIn teilendiese Seite auf Twitter teilen
diese Seite teilen
ES - EN - Access Managementesta página en españolthis Page in English
ES - EN - Access Management


Ziel: Access Management bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender. Dieser ITIL-Prozess führt im Wesentlichen Vorgaben aus, die im Information Security Management definiert worden sind. Access Management wird hin und wieder auch als Rights Management (Rechte-Management) oder als Identity Management (Identitäts-Management) bezeichnet.

Deutsche Bezeichnung: Access Management

Teil von: Service Operation (Servicebetrieb)

Prozess-Verantwortlicher: Access Manager

 

Prozess-Beschreibung

Access Management ITIL
ITIL Access Management (.pdf)

Access Management ist als neuer Prozess in ITIL V3 hinzugekommen. Aspekte der Informations-Sicherheit waren ausschlaggebend für die Entscheidung, diese dedizierten Prozess einzubinden: Aus Gründen der Informations-Sicherheit ist es ganz besonders wichtig, dass nur autorisierten Anwendern die Nutzung eines IT Service bzw. eines Anwendungssystems gestattet werden darf.

In ITIL 2011 unterstreicht eine neue Schnittstelle zwischen Access Management und Event Management, dass (einige) Regeln für Event-Kategorisierung und -Korrelation vom Access Management entworfen werden sollten - dies ist wichtig, um einen nicht authorisierten Zugriff auf Services aufzudecken. Das Übersichts-Diagramm zu ITIL Access Management (.JPG) illustriert die wichtigsten Schnittstellen des Prozesses (siehe Abb. 1).

Dafür, dass Zugriffsrechte - falls erforderlich - zurückgenommen werden können, sorgt nun eine dedizierte Aktivität. Zudem wird klar darauf hingewiesen, dass in den Prozessen Request Fulfilment und Incident Management die Autorisierung des Anfragenden geprüft werden muss.

In ITIL 4 wird Access Management als allgemeine Management-Praktik aufgeführt - als ein Teilbereich von "Information Security Management".

 

Teil-Prozesse

ITIL Access Management umfasst die folgenden Teil-Prozesse:

Verwalten von Anwender-Rollen und Berechtigungs-Profilen

  • Prozessziel: Sicherstellen, dass der Katalog der Benutzer-Rollen und Berechtigungs-Profile zur Palette der IT-Services und Anwendungssysteme passt, sowie Verhindern einer ungewollten Anhäufung von Zugriffs-Berechtigungen.

Bearbeiten von Berechtigungs-Anträgen

  • Prozessziel: Bearbeiten von Anfragen zum Hinzufügen, Ändern oder Löschen von Zugriffsrechten und Sicherstellen, dass nur autorisierten Anwendern das Recht zur Nutzung eines Service gewährt wird.

Definitionen

Die folgenden ITIL-Begriffe und Acronyme (Informations-Objekte) werden in Access Management zur Darstellung der Prozess-Outputs und -Inputs verwendet:

Anforderungen für Benutzer-Rollen

  • Anforderungen aus Geschäftssicht an den Katalog oder die hierarchische Struktur aller Benutzer-Rollen (Benutzer-Typen). Zugriffsrechte basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.

Antrag zur Benutzer-Einrichtung

  • Ein Antrag zur Einrichtung, Änderung oder Löschung eines Benutzers, identifiziert durch eine Benutzer-ID.

Benutzer-Berechtigungs-Antrag

  • Ein Antrag auf Einrichtung, Änderung oder Löschung von Rechten zum Zugriff auf bestimmte Services oder Systeme.

Benutzer-Rolle

  • Eine Rolle aus einem Katalog oder einer hierarchischen Struktur aller Benutzer-Rollen (Benutzer-Typen). Zugriffsrechte basieren auf den Benutzer-Rollen, die einem Anwender zugewiesen sind.

User Identity Record

  • Ein Datensatz mit allen Informationen, die einen Anwender bzw. eine Person identifizieren. Er wird zur Vergabe von Berechtigungen an diesen Anwender oder diese Person verwendet.

User Role Access Profile (Berechtigungsprofil)

  • Ein Datensatz, in dem definiert ist, auf welche Weise und in welchem Umfang Anwender Zugriff auf Services, Daten oder andere Assets haben. Berechtigungsprofile tragen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und anderen Assets bei, indem sie die Nutzung bestimmter Anwendungssysteme freigeben und festlegen, auf welche Daten Computeranwender lesend bzw. schreibend zugreifen können.

Zugriffsrechte

  • Ein Datensatz, der festlegt, auf welche Services ein Benutzer zugreifen kann. Diese Festlegung wird erreicht, indem einem Benutzer (identifiziert durch seine Benutzer-ID) eine oder mehrere Benutzer-Rollen zugewiesen werden.

Rollen | Verantwortlichkeiten

Access Manager - Prozess-Verantwortlicher

  • Der Access Manager bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender. Er führt im Wesentlichen Vorgaben aus, die im Information Security Management definiert worden sind.

1st Level Support

  • Der Bearbeiter im 1st Level Support sorgt bei eingehenden Störungsmeldungen für die Registrierung und Einordnung und unternimmt einen unmittelbaren Lösungsversuch zur schnellstmöglichen Wiederherstellung des definierten Betriebszustands eines Service. Ist dies nicht möglich, leitet er die Störung an spezielle Bearbeitergruppen im 2nd Level Support weiter. Der 1st Level Support bearbeitet auch Service-Requests und informiert die User regelmäßig über den Bearbeitungsstand der Incidents.

 

Verantwortlichkeits-Matrix: ITIL Access Management
ITIL-Rolle / Teil-Prozess Access Manager 1st Level Support
Verwalten von Anwender-Rollen und Berechtigungs-Profilen A[1]R[2]
Bearbeiten von Berechtigungs-Anträgen A R[3]

Erläuterungen

[1] A: Accountable i.S.d. RACI-Modells: Verantwortlich dafür, dass ITIL Access Management als Gesamt-Prozess korrekt und vollständig ausgeführt wird.

[2] R: Responsible i.S.d. RACI-Modells: Verantwortlich für die Ausführung bestimmter Aufgaben in Access Management.

[3] Gemäß ITIL ist es durchaus üblich, das Gewähren von Zugriffsrechten für einfache Services an das Service Desk / 1st Level Support zu delegieren.

Prozess-Implementierung: Anmerkung

Für die Implementierung von Access Management gibt es eine Reihe von unterschiedlichen Ansätzen. Die ausgewählte Methodik kann, je nach Größe des Unternehmens, sehr komplex werden. ITIL kann deshalb in diesem Bereich keine detaillierten Beschreibungen aller Aspekte des Access Managements liefern.

Klar definierte Schnittstellen zwischen den Kundenprozessen und Access Management sind unabdingbar, um hohe Sicherheitsstandards zu erreichen. Typischerweise werden die Verantwortungen beider Seiten in einer spezifischen Informationssicherheits-Richtlinie geregelt: Dort wird z.B. festgelegt, dass der Personalbereich das Access Management umgehend informiert, wenn Mitarbeiter ins Unternehmen eintreten oder es verlassen.

Anmerkungen

Von:  Stefan Kempter , IT Process Maps.

 

Überblick  › Prozess-Beschreibung  › Teil-Prozesse  › Definitionen