1、RPA AND IT COMPLIANCE1?IT?RPA?IT?2?(RPA)?RPA?RPA?IT?IT?IT?UiPath?3RPA?IT?/?1?UIPATH?IT?RPA?IT?RPA?IT?RPA?IT?RPA?IT?UiPath?RPA?4?UiPath?UiPath?UiPath?Salesforce?ERP?UiPath?UiPath?RPA?UiPath?RPA?UiPath Studio?�����UiPath Orchestrator?UiPath���� Robots?UiPath Studio?UiPath Studio?UiPath Orchestrator?UiPath Orch
2、estrator?RPA?UiPath Robots?UiPath Studio?UiPath StudioUiPath OrchestratorUiPath Robot?2?UIPATH?RPA?RPA?IT?5?UiPa������th?(SOX)?/?3?RPA?RPA?IT?3?6手工流程自动化流程 流程合规A1.控件识别摘要UiPa�����th建议摘要UiPath建议A2.访问控件RPA与IT合规流程的自动化并不一定要求采取不同的控制措施。如果一个现有的流程已然受到很好的控制,那么它的任何自动化项目也应该采用同等水平的控件。关键业务系统的访问控件必须至少每季度审核一次,以满足财务和IT要求。这些审核应检
3、查最低权限访问,并确保所有高权限账户(HPA)均已得到正确������配置。机器人是执行重复性任务以改进日常工作的数字化工作者。就像人类员工一样,机器人的访问也应遵循最佳实践,即最低权限和HPA审核。通过UiPath平台访问机器人遵循一种基于用户的安全模型,其架构方式便于企业安全地保护自己的应用。每个机器人都有自己的凭证,而不会使用共享账户。如果用户名和密码在客户端计算机上本地存储,那么UiPath平台将使用Windows集成的身份验证。在界定新的自动化流程时,应将风险和控件列为新流程的一个组成部分,以顺利实现现有手工流程的自动化。举例来说,某公司正在实施RPA,目的是验证财务系统的所有访问权限。原来的手
4、工流程包括下载访问请求、过滤批复、确保获得正确批复,以及与系统中创建的账户进行比较。如果发现不一致,那么协调人必须弄清楚问题发生的原因。这个手工流程存在着一定的风险:审核人有可能没有获得所有访问记录,或者忽略了某条访问记录。自动化流程将通过机器人检查日志记录的批复情况,从而验证财务系统中的每一条记录。但是,上述风险依然存在,那么要想减轻这些风险,就必须实施新的控件:1.为了解决无法获得所有访问记录的情况,必须通过UiPath平台完成对帐。这将作为访问权限审核流程的一部分内容进行发布和审核。2.为了解决忽略某条访问记录的情况,必须审核完整的错误报告,这也是流程的���一部分内容。这样控制人员/安全人员
5、就能够全面了解所需的控件,从而实现自动化流程的完全合规。7客户实例A4.流程责任摘要UiPath建议摘要UiPath建议A3.治理A5.职责划分摘要Ui�������Path建议RPA与IT合规财务和IT控件可以阻止对重要系统的不当访问。要想实施合规的流程,经办人就必须与批准人不同。另外,批准人必须拥有管理权限,才能够准确评估特定经办人的访问权限。当这个控件专门针对机器人访问的应用进行部署时,所有标准的控件也应部署到位(例如:数据隔离、访问审核等)。如需访问,则机器人的凭证必须经过管理控件批准。授予UiPath Orchestrator凭证时也应遵循相同的流程。这种访问应通过标准流程进行�����控制;在标准流程中,
6、经办人与批准人不同。与企业内部存在的任何手工流程一样,自动化流程也应该有一个责任人,负责流程的设计、维护和发展。部署新的自动化流程时,应指定一个责任人,负责确定何时自动化流程因业务需求(例如:出现一种新的收入确认方式)发生变化而需要变更,以及因环境发生变化而需要维护。现金申请等受控流程必须通过标准操作程序(SOP)进行治理。SOP要求进行版本控制������,以便向审核人员/安全专业人员表明获批的版本没有任何变更。对于业务运营至关重要的自动化项目应存储在受控的环境中。这涉及到使用UiPath Orchestrator对获批的流程进行版本控制,以及使用SVN系统对自动化流程进行版本控制。每当自动化流程发生变
7、更时,都应使用一致的批准、更新和版本控制流程。某大型医疗机构通过UiPath Orchestrat�����or存储系统与机器人交互的所有凭证。在评估UiPath的哈希算法后,该机构认定Orchestrator是一个安全的密码存放位置。此外,该机构每90天更改一次这些密码,以确保它们不会被滥用。8?B1.?UiPath?RPA?IT?/?UiPath?ReFramework?SonarQube?UiPath?/?(SoD)?UiPath?UiPath?UiPath?B2.?B3.?9B4.?UiPath?UiPath?UiPath?B5.?B6.?RPA?IT?/?UiPath?UiPath?IT?10
8、C2.?C3.?UiPath?UiPath?4?C1.UIPATH?RPA?IT?UiPath?UiPath?UiPath Orchestrator URL?UiPath Orchestrator?30?UiPath Orchestrator?UiPath Orchestrator?“?”?UiPath Orchestrator?�������Web Socket?Orchestrator?UiPath?UiPath Studio?UiPath?CyberArk?UiPath Orchestrator?UiPath?UiPath Orchestrator?AES_CBC_256?HTTPS?11?D1.?5
9、?/?UiPath Orchestrator?UiPath Robots?UiPath RobotUiPath RobotUiPath RobotUiPath RobotUiP������ath RobotUiPath RobotUiPath RobotUiPath RobotUiPath RobotUiPath RobotOrchestrator?SQL?Redis?1Redis?2Redis?3SQL?UiPath RobotUiPath RobotUiPath RobotUiPath RobotUiPath Robot?1?+?Elasticsearch&Kibana(?)?1?+?2?+?3?+?
10、Elasticsearch&Kibana(?)UiPath Orchestrator*NUGET?UiPath OrchestratorUiPath Orchestrator*NUGET Packages PathUiPath OrchestratorUiPath Orchestrator*NUGET?SQL?SQL?SQL?Elasticsearch?/?RPA?IT?UiPath?12?UiPath?IT?https:/ Active Directory?ISO 27001:2013?:9001:2008HIPAA/SOX/PCI-DSSGDPRRPA?IT?1?UiPath?ISO 27001?ISO?ISO 27001?(ISMS)?ISO 27001?ISMS?SSAE 16?(SOC)?SOC?ISO27001?SOC 2?SOC 2?ISO27k?I?II?SaaS?UiPath?9?SSAE 16?UiPath?/?PCI-DSS?HIPA������A?SOX?/?/?OWASP?OWASP?UiPath?UiPath?PII?PII?UiPath?UiPath?2018.1?Elastic Shield?Orchestrator?SQL?14RPA?IT?GDPR?GDPR?UiPath?GDPR?Sypher?G�����DPR?GDPR?
sgpjbg002
工作日 8:30 - 17:30
报告分类
