Bearbeitungsreglement Versicherungswesen - ÖKK

Weitere Magazine

Empfehlungen

Info

Benutzerberechtigungen oder Löschungen müssen schriftlich oder elektronisch durch autorisierte Personen genehmigt werden. Im Falle der Berechtigungsvergabe ist zu spezifizieren, welche Berechtigungen der Benutzer erhalten soll. Im Falle einer Anpassung in den Benutzerberechtigungen ist zu spezifizieren, welche Berechtigungen gelöscht werden sollen bzw. welche Berechtigungen neu vergeben werden sollen. • Bei der Benutzerverwaltung muss folgende Gewaltentrennung eingehalten werden: o o o o o Der Antragsteller darf nicht gleichzeitig den Antrag genehmigen. Derjenige, der den Antrag genehmigt, muss dem Antragsteller hierarchisch übergeordnet sein. Ausnahmen bestehen auf Stufe Bereichsleiter. Der Antragsteller und derjenige, der den Antrag genehmigt, dürfen den Antrag nicht ausführen. Derjenige, der Zugriffsverstösse überwacht, darf nicht Antragssteller sein. Er darf auch nicht derjenige sein, der die Anträge genehmigt oder ausführt. Diejenigen, die Administratoren-Aktionen durchführen können, dürfen nicht die Überwachung der Administratoren-Aktionen ausführen. Die geforderte Gewaltentrennung wird wie folgt umgesetzt: Tabelle 8: Gewaltentrennung bei Vergabe von Zugriffsberechtigungen Rolle Verantwortlich Antragsteller • Personalwesen • Fachbereich Mitarbeiter oder Leiter • ÖKK Mitarbeiter Fachbereich • ÖKK Leiter Privatkunden/Finanzen/Controlling oder Stv. • ÖKK Leiter Unternehmenskunden/Marketing oder Stv. • ÖKK Leiter Schadenabwicklung oder Stv. • ÖKK Leiter IT: Die Berechtigung für den ÖKK SYRIUS Support oder Stv. ÖKK Support (1st und 2nd Level) -> Umsetzung ÖKK Support setzt den Berechtigungsauftrag um oder leitet diesen an den Outsourcer weiter. Beim Outsourcer ist definiert, von welchen Personen Berechtigungsaufträge entgegengenommen werden dürfen. Der Standardzugriff (Terminalclient, E-Mail) am ÖKK-Arbeitsplatz wird durch die Abteilung Betrieb Informatik vorgenommen. Im Anhang 2: Prozess Zugriffsberechtigungen ist der Prozess zur Vergabe/Mutation/Entzug von Zugriffsberechtigungen am Beispiel von Syrius dokumentiert. Der gesamte Prozess ist formularbasiert und kann somit nachvollzogen werden. Nach Abschluss des Prozesses wird das Formular im Personaldossier abgelegt. Für den Zugriff auf Syrius ist ein Username und Passwort notwendig. Die Vergabe der Zugriffsberechtigungen in Syrius ist wie folgt geregelt: 1. User wird einer Rolle zugewiesen. 2. Den Rollen werden entsprechende Zugriffsberechtigungen in Form von Tasks und Processes erteilt. ÖKK| Bearbeitungsreglement ÖKK- Informationssystem Versicherungswesen Version 4.0 28/44
Die Zuordnung der einzelnen Rollen zu Task und Processes ist im System hinterlegt und kann bei der Centris AG eingefordert werden. Die Liste der Zuordnungen von Personen zu Rollen kann bei ÖKK eingesehen werden 1 . Die Vergabeprozess für Zugriffsberechtigungen weitere Subsysteme (auf welche ÖKK zugriffsberechtigt ist) erfolgt analog dem Zugriffsberechtigungsprozess für Syrius. 5.2.3. Aufhebung der Zugriffsberechtigung Die Benutzer des ÖKK-Informationssystems Versicherungswesen sind nur so lange zugriffsberechtigt, als sie die Daten für die Ausübung ihrer Arbeitsfunktion benötigen. Bei Austritten sowie bei Aufgabenwechseln innerhalb von ÖKK wird die Zugriffsberechtigung entzogen und die für den neuen Aufgabenbereich benötigten Zugriffsberechtigungen müssen neu beantragt werden. Die Aufhebung der Zugriffe erfolgt analog der Erteilung der Zugriffsberechtigung durch die Vorgesetzten mittels formalisiertem Prozess (siehe auch Bearbeitungsreglement VAD [03.0014] und Liste Rollenverteilung Syrius (vgl. Fussnote 1). 5.2.4. Zugriffskontrolle in der Test-Umgebung Die Test- und Produktionssysteme werden strikt getrennt. Die Zugriffsberechtigungen auf den Testsystemen sind analog den Produktionssystemen zu handhaben. 5.2.5. Administrative Zugriffe Administratoren des ÖKK-Informationssystems Versicherungswesen verfügen über persönliche und dedizierte Administratoren-Accounts. Im Rahmen des IKS wird festgelegt, dass Log-Aufzeichnungen von Administratoren-Aktionen geführt werden müssen (siehe Infrastruktur Benutzerverwaltung, Realisierungskonzept [14.0023]) Administrative Zugriffe auf das Subsystem Syrius und Sumex II hat nur die Centris AG. 5.3. Periodische Kontrollen Im Rahmen des IKS [14.0023] und dem Realisierungskonzept Syrius Benutzerverwaltung 2 werden jährlich folgende Kontrollen durchgeführt und Nachweise gefordert: • Ablage und Nachvollziehbarkeit des formalisierten Zugriffsberechtigungsprozesses. • Erstellung einer Benutzerliste aus den Subsystemen mit entsprechenden Berechtigungen, die von den Fachbereichen zu prüfen und zu genehmigen ist. • Nachweis, dass die Überwachung von Zugriffsverstössen periodisch erfolgt ist. • Nachweis, dass die Log-Aufzeichnungen von Administratoren-Aktionen periodisch überprüft werden. • Nachweis, dass die geforderten Passwort- und Sicherheitseinstellungen erfüllt wurden. Zusätzlich werden folgenden Kontrollen durchgeführt. • Stichproben bezüglich der Einhaltung von Weisungen. • Periodische Stichproben durch die Vorgesetzten. 1 Ersichtlich unter Laufwerk N \ 01_SHP-SYRIUS \ 07_Security \ Syrius_User \ Gesamtliste_Rollen_definiert_Betrieb_R2.xlsx. 2 Dokument ÖKK IKS IT Standards & Prozesse, Syrius Benutzerverwaltung, Realisierungskonzept, vgl. Laufwerk N / IKS- Betrieb / ITGC / 20_Syrius / IKS_IT_Realisierungskonzept_Benutzerverwaltung_SYRIUS_V6 0_20130814.docx. ÖKK| Bearbeitungsreglement ÖKK- Informationssystem Versicherungswesen Version 4.0 29/44
Seite 1 und 2: Legal & Compliance Datenschutz Bear
Seite 3 und 4: Inhaltsverzeichnis 1. Begriffe/Abk
Seite 5 und 6: Anhang 1: Kontaktadressen .........
Seite 7 und 8: Art. 84a Datenbekanntgabe 1 Sofern
Seite 9 und 10: Art. 3 Informationspflicht des Vers
Seite 11 und 12: 2.4. Zweck der Datenbearbeitung Der
Seite 13 und 14: Rechnungen, generelle Buchhaltungsf
Seite 15 und 16: MediData Medgate OFAC ÖKK DWH Cogn
Seite 17 und 18: 3.2. Technische Schnittstellen Vers
Seite 19 und 20: 3.3. Genutzte Informatikmittel (Kon
Seite 21 und 22: Organisationseinheit Kurzbeschreibu
Seite 23 und 24: Organisationseinheit Kurzbeschreibu
Seite 25 und 26: 4.6. Zugriffe der Organisationeinhe
Seite 27: Funktionen (Daten) der Applikation
Seite 31 und 32: Tabelle 9: Datenkategorien Subsyste
Seite 33 und 34: 6.3. Datenbearbeitung, Datenbearbei
Seite 35 und 36: Medgate RVK Leistungsdaten, Rechnun
Seite 37 und 38: 8. Technische und organisatorische
Seite 39 und 40: Für die Protokollierung und dein s
Seite 41 und 42: 10.2. Änderungen des Reglements Da
Seite 43 und 44: Anhang 3: Datenkategorien Im Anmeld

Bearbeitungsreglement Versicherungswesen - ÖKK

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?