Gå til indhold
Dansk
Gå til www.northgrc.dk
  • Der er ingen forslag, da søgefeltet er tomt.

Roller, adgangsrettigheder og teams i NorthGRC

Oprettelse af brugere

Nye brugere oprettes i Indstillinger > Brugere > Tilføj bruger ved at indtaste brugernavn, e-mailadresse og give dem et brugerlogin.

Når en bruger oprettes, modtager hun et login via e-mail. Logget ind vil hun være i stand til at arbejde med de opgaver, dokumenter og kontroller, der er tildelt hende og/eller hendes team(s). Dette betyder, at ikke alle brugere har adgang til det samme indhold eller de samme sider i NorthGRC. Det er ikke nødvendigt at tildele manager-roller for at en bruger kan få adgang til sine egne opgaver, kontroller og dokumenter.

 

Teams

NorthGRC har som standard et antal foruddefinerede teams svarende til de grupper og enkeltpersoner, der typisk arbejder med informationssikkerhed og GDPR-efterlevelse. Disse teams kan omdøbes, slettes og redigeres for at imødekomme din organisations behov, ligesom nye teams kan oprettes. Dette gøres i Indstillinger > Teams. Teamet er tildelt en række opgaver, dokumenter og kontroller, som teamet enten er ansvarlig, ejer, informeret eller konsulteret på (se kapitlet Adgang til en opgave, dokument eller kontrol). Når en bruger tildeles et team, arver hun automatisk teamets adgangsrettigheder og ansvar.

Standard-teams og eksempler på deres ansvar

It-afdeling

Ansvarlig for organisationens tekniske it-opsætning. Eksempler: Regler vedrørende de tekniske aspekter af informationssikkerhed. Beredskabsplaner og disaster recovery procedurer.

Beredskabs-team

Ansvarlig for beredskab i tilfælde af systemnedbrud, databrud osv. Eksempler: Regler for beredskab og beredskab ved databrud.

Informationssikkerhedschef

Ansvarlig for informationssikkerhed og ISO 2700X-efterlevelse i organisationen. Eksempler: Beskrivelse af politikker og regler for informationssikkerhed, Statement of Applicability, informationssikkerheds-awareness.

DPO

Ansvarlig for efterlevelse af GDPR i organisationen. Eksempler: Regler og politikker til beskyttelse af personoplysninger, beredskabsplan ved databrud, fortegnelse over behandlingsaktiviteter.

Auditor

Ansvarlig for intern revision i organisationen. Eksempler: Planlægning af og rapportering på intern revision.

Informationssikkerhedsforum 

Informationssikkerhedsforum er ofte der den overordnede planlægning af informationssikkerheds- og databeskyttelsesarbejdet finder sted. Informationssikkerhedsforummet er overordnet ansvarlig for de fleste opgaver i ISMS og skal ofte godkende ethvert dokument vedrørende informationssikkerhed og databeskyttelse. I mange organisationer består informationssikkerhedsforum af:

  • Informationssikkerhedschefen/-koordinatoren
  • It-chefen eller driftschefen
  • En repræsentant fra topledelsen såsom CEO, CFO eller COO
  • En eller flere afdelingsledere

Systemejere

Systemejere har ikke - som standard - opgaver og dokumenter i NorthGRC.

Medarbejdere

Teamet ”Medarbejdere” bruges til alle medarbejdere i organisationen. Dette er nyttigt, når hele virksomheden har brug for at læse og kvittere for awareness-materiale osv.

 

Roller

Manager-roller giver en bruger adgang til et område i NorthGRC. Når du starter NorthGRC, modtager den første bruger alle manager-roller og vil derefter være i stand til at oprette og tildele roller til andre brugere.

Der eksisterer 9 overordnede rolleområder:

Compliance, User(admin), Vendor(leverandør), Task(Årshjul), Document(Dokument), Asset(Aktiver), Risk(Risiko), Organisation, Incident(Hændelser).

Til disse rolleområder eksisterer 3 roller: Manager, Creator og Auditor.

Manager-rollen: Giver adgang til ALT i det specifikke modul, kan slette, redigere, tilføje m.v.
En Task Manager kan fx oprette nye opgaver, se alle eksisterende opgaver, slette disse, ændre på ejerskab m.v. 

Creator-rollen: Giver adgang til at oprette nye ting, fx oprette opgaver i opgavemodulet, eller oprette nye dokumenter i biblioteket. Man får automatisk ejerskab af oprettede dokumenter. Man kan ikke se andres dokumenter, opgaver m.v, og rollen kan derfor med fordel bruges til de enkelte afdelinger, som arbejder med NorthGRC, og som bare skal kunne oprette ting til deres egne teams, uden at have adgang til alt (Managerrollen).

Auditor-rollen: Giver adgang til at kunne se alt i det specifikke modul, men kan hverken oprette, redigere eller slette noget.

Roller til brugere

Roller tildeles i Indstillinger > Brugere ved at klikke i feltet Vælg roller til højre for en brugers navn og vælge den eller de nødvendige manager-roller. Hvis brugeren er logget ind, når rollerne tilføjes, skal hun logge ud og igen for at rollerne kan træde i kraft.

Roller til teams.

Indstillinger -> Sikkerhed -> Roller

Her kan man se alle tilgængelige roller, og kan her se både Manager, Creator og Auditor roller for alle modulerne. Man kan tilføje enkelte brugere  eller teams på hver enkelt rubrik. Hvis de tilføjes her, kan det også ses under teams.

Man kan via Sikkerhed -> Team, tilknytte rollerne til de enkelte teams Her kan man i højre side, vælge hvilke roller der skal tilknyttes direkte til teamet. Brugere og AD grupper der tildeles dette team, vil automatisk få tildelt de tildelte roller.

 

Eksempler på Manager-rollens muligheder.

Task Manager

Har adgang til årshjulssiderne Årshjul, Gantt og Opgaveliste

Kan se og overtage ejerskab af enhver:

  • Opgave
  • Fase (fra Indstillinger)
  • Link (fra indstillinger)

Document Manager

Har adgang til Biblioteket

Kan se og overtage ejerskab af enhver:

  • Dokument
  • Dataliste (fra Indstillinger)
  • Skabelon (fra Indstillinger)

Compliance Manager

Har adgang til siden Compliance

Kan se og overtage ejerskab af enhver:

  • Kontrol
  • Dataliste (fra Indstillinger)
  • Skabelon (fra Indstillinger)

User Manager (admin role)

Kan se, redigere, oprette og slette enhver:

  • Bruger (fra Indstillinger)
  • Team (fra Indstillinger)

Kan se logfiler

Kan nulstille NorthGRC og starte forfra med standardindstillinger.

Vendor Manager

Har adgang til siden Leverandører

Kan se, redigere og oprette slette enhver:

  • Leverandør
  • Vurdering

Kan planlægge leverandørvurderinger og tildele disse internt eller eksternt.

Incident Manager

Har adgang til siden Hændelser

kan se, redigere, oprette og slette enhver:

  • Hændelse

Kan redigere i hændelsesskabeloner i Indstillinger.
Kan flytte hændelser igennem faserne og tildele disse til enhver bruger.

Organisation Manager

Har adgang til siden Organisation

Kan se, redigere, oprette og slette enhver:

  • Organisation

Kan lave nye underorganisationer og registrere afdelingeres tilhørsforhold i organisationen. Bruges til at allokere aktiver korrekt i organisationen for at få et overblik over hvilke aktiver der hører til hvor.

Asset Manager

Har adgang til siden Risiko

kan se, redigere, oprette og slette enhver:

  • Aktiv og deres relationer imellem

Brugt til at oprette eller importere aktiver og tildele de korrekte ejere til disse.

Risk Manager

Har adgang til siden Risiko

Kan se, redigere, og oprette:

  • Risiko analyser/evalueringer/håndtering

Planlægger risiko analyser på aktiverne under Risiko analyse fanen.

 

Adgang til en opgave, dokument eller kontrol

Adgang til specifikke opgaver, dokumenter og kontroller er som standard givet til et eller flere teams (se kapitlet Teams). Dette kan ændres ved at klikke på Rediger og fjerne eller tilføje teams eller brugere til opgaven, dokumentet eller kontrolelementet.

TIP! Brug teams i stedet for individuelle brugere. Når en bruger skifter job, vil det være let for dig at tilføje en anden bruger til teamet i stedet for at skulle ændre hver eneste opgave, dokument og kontrol, hun på nogen måde er involveret i.

Adgang til en opgave

  • Udførende: Den bruger, der har ansvaret for at udføre opgaven. Kan ændre en opgaves status, kommentere den og oprette links.
  • Ansvarlig: Kan se, redigere og slette en opgave.

Adgang til et dokument

  • Ejer: Kan se dokumentet og alle dets overliggende mapper. Kan redigere alt i et dokument og anmode om godkendelse af det.
  • Ansvarlig: Kan se dokumentet og alle dets overliggende mapper. Kan redigere alt i et dokument pånær adgangsrettigheder. I særlige tilfælde har de ansvarlige brugere IKKE tilladelse til at redigere. Dette er når feltet "Ansvarlige brugere kan IKKE redigere" er markeret (åbn dokumentet i redigeringstilstand for at finde det). Dette er nyttigt, når dokumentet indeholder en formular eller spørgsmål, som du ønsker, at den ansvarlige bruger skal udfylde, men hvor du ikke ønsker, at hun skal kunne ændre formularen. Den ansvarlige bruger kan også anmode om godkendelse af dokumentet.
  • Konsulteret: Kan se dokumentet - både som kladde og versioneret dokument - samt alle dets overliggende mapper.
  • Informeret: Kan se dokumentet og alle dets overliggende mapper, når dokumentet er godkendt.

Adgang til en mappe

  • Ejer: Kan omdøbe, flytte og slette mappen.

Adgang til en leverandør

  • Ejer: Kan se leverandøren og alt den  er knyttet til. Kan redigere, og slette alt.
  • Ansvarlig: Kan se leverandøren og alt den er knyttet til. Kan redigere alt i det hele men ikke slette.
  • Informeret: Kan se leverandøren og hvad den er knyttet til.

 Adgang til et aktiv

  • Ejer: Kan se, redigere og slette aktivet, tilføje og editere risiko analyser, er automatisk tildelt konsekvensanalyse, evalueringer, håndteringer m.v. på aktivet.
  • Ansvarlig: Kan se, og redigere aktivet, tilføje og editere risiko analyser, er automatisk tildelt sandsynlighedsanalyse, evalueringer, håndteringer m.v. på aktivet.
  • Informeret: Kan se aktivet og risikoanalyserne.

 

Adgang til en kontrol

  • Ejer: Kan se kontrollen og alle de krav, det er knyttet til. Kan redigere alt i en kontrol.
  • Ansvarlig: Kan se kontrollen og alle de krav, som det er knyttet til, kan redigere alt i en kontrol på nær adgangsrettigheder.

Informeret: Kan se kontrollen og alle de krav, den er knyttet til.