机构名称:
¥ 1.0
观察 1 – 用户访问审查 安全管理员并未按照 UT Austin 企业信息技术解决方案团队 (eBITS) 安全组半年一次的审计程序 3 的要求持续审查授予 Workday 内敏感数据的访问权限。因此,未经授权访问存储在 Workday 中的敏感员工信息的风险增加。尽管 eBITS 通过向学院、学校和单位 (CSU) 的负责人员发送电子邮件来启动用户访问审查流程,但 eBITS 没有流程来验证审查是否完成。相反,eBITS 假定用户访问审查已完成并且访问权限合适,除非请求更改访问权限。此外,审查人员无需保留文件来证明已执行审查并已完成必要的访问更改。建议:UT Austin 应通过实施程序来确认已执行审查,从而加强用户访问审查流程。此流程可以包括一些选项,例如从审查人员那里获得肯定的确认或定期向审查人员样本请求支持文档。管理层的纠正措施计划:根据使用样本时间段的进一步分析,有 41 人被分配到安全角色,自 2024 年 1 月 19 日以来一直没有登录。经理和功绩角色被排除在外,因为经理在技术上没有被分配;他们根据报告继承该角色。功绩角色每年仅用于年度功绩处理。只有一个人被分配到可以访问信息安全办公室定义的机密或敏感数据的角色。因此,看起来单位中的安全合作伙伴正在管理角色分配。但是,该流程需要改进以减轻大学的风险。在审查审计结果并进行额外分析后,我们确定人力资源和 eBITS 团队将实施以下行动和时间安排:
Workday 信息技术一般控制
主要关键词
相关文件推荐
