Zum Hauptinhalt springen

Role Lifecycle Management

Management der Rollen und Berechtigungen

Rollen dienen als Bausteine für die Definition von Prozessen. Jede Rolle hat spezifische Aufgaben und Verantwortlichkeiten innerhalb eines Prozesses. Das Rollen-Verzeichnis zählt zu den Stammdaten im Prozessmanagement.

RLM

Role Lifecycle Management beschreibt den gesamten Prozess der Verwaltung von Rollen innerhalb einer Organisation, von der Erstellung bis zur Deaktivierung.

Role LifeCycle Management umfasst die die Definition, Spezifikation, Modifikation, Tests, Suspendierung bis zur Terminierung oder Archivierung von Rollen und Berechtigungen. Prozessmodelle spezifizieren dabei funktionalen Rollen, welche u.a. auch die Berichtigungen (CRUDE - create, read, update, delete, execute,…) zur Ausführung von Prozessaktivitäten umfassen. Die Aufbauorganisationen spezifiziert strukturellen Rollen mit Ihren organisatorischen Hierarchien, welche unterschiedliche Ebenen des Zugriffs (Level of Access) spezifizieren.

Bei RLM geht es darum, die Rollen so zu gestalten und zu verwalten, dass sie den aktuellen Geschäftsanforderungen entsprechen.

Die Phasen des Role Lifecycle Management

Der RLM-Prozess umfasst in der Regel folgende Phasen:

  1. Rollendefinition:
    • Identifizierung: Welche (funktionale) Rollen sind für die Geschäftsprozesse notwendig?
    • Beschreibung: Beschreibung der Aufgaben, Verantwortlichkeiten und Befugnisse jeder Rolle in Form von Role-Canvas und/oder Rollen-Steckbriefen. Definition der Jobgrades und Bereitstellung von Trainingsunterlagen und Wissensressourcen zu Onboarding und Entwicklung.
    • Zuordnung: Zuordnung von Mitarbeitern zu den jeweiligen Rollen. Nominierung von Rollenträgern. Durchführung eines Assessments
  2. Rollenzertifizierung: (Process Controls zu Aktualität und Relevanz)
    • Regelmäßige Überprüfung: Überprüfung, ob die Rollendefinitionen noch aktuell sind und den Geschäftsanforderungen entsprechen. Hier ist insbesondere der Bezug zu den Unterlagen es Kompetenzmanagements zu berücksichtigen.
    • Berechtigungsüberprüfung: Überprüfung, ob die zugewiesenen Berechtigungen für die Rolle angemessen sind.
  3. Rollenaktivierung:
    • Zugriffsberechtigungen: Zuweisung der erforderlichen Zugriffsberechtigungen auf Systeme, Anwendungen und Daten. Überprüfen der Logs.
    • Onboarding: Unterstützung neuer Mitarbeiter bei der Übernahme ihrer Rolle.
  4. Rollenänderung:
    • Anpassung: Anpassung von Rollen bei organisatorischen Veränderungen oder neuen Aufgaben.
    • Berechtigungsänderungen: Anpassung der Zugriffsberechtigungen entsprechend der neuen Aufgaben.
  5. Rollendeaktivierung:
    • Trennung: Entzug aller Zugriffsberechtigungen bei Beendigung des Arbeitsverhältnisses oder einer Änderung der Rolle.
    • Archivierung: Archivierung der Rolleninformationen für rechtliche und auditbezogene Zwecke.

Durch die Analyse von Rollen und deren Interaktionen können Engpässe und Ineffizienzen in Prozessen identifiziert und behoben werden. Die Einhaltung von Compliance-Vorschriften wird durch eine klare Zuordnung von Verantwortlichkeiten erleichtert.

Das Role Lifecycle Management (RLM) spielt eine entscheidende Rolle in der IT-Sicherheit, da es einen strukturierten Ansatz zur Verwaltung von Benutzerzugriffen bietet. Durch die klare Definition und Verwaltung von Rollen können Unternehmen die Sicherheit ihrer IT-Systeme erheblich verbessern.

Best Practices

  • Klare Rollendefinition: Jede Rolle sollte eine Beschreibung ihrer Aufgaben, Ziele sowie Befugnisse und Verantwortlichkeiten enthalten.
  • Regelmäßige Überprüfung: Rollen sollten regelmäßig überprüft und aktualisiert werden.
  • Schulung: Mitarbeiter sollten über die Bedeutung des RLM und ihre Rolle darin informiert werden.