Beschreibung der Beschaffung
Die Berliner Wasserbetriebe haben die Module SAST SUITE for ERP R/3 und S/4HANA im Einsatz.
Der Antrags- und Genehmigungsprozess wurde automatisiert und dokumentiert.
Der technische SAP-Bereich wird bezüglich Parametrisierung und Schwachstellen via Auditpläne rollierend geprüft bzw. teilweise "in Echtzeit" überwacht.
Dementsprechend soll für die im Leistungsverzeichnis beschriebenen Themenfelder ein Rahmenvertrag mit einem Bieter abgeschlossen werden.
Leistungsumfang Betriebsunterstützung
Laufendes, zeitnahes Monitoring von Ereignissen im Kontext SAP Security & Compliance, Vorqualifikation und Ableitung notwendiger Folgeschritte. Damit verbundene Berichterstattung und Empfehlung von Handlungsmaßnahmen auf Basis der aktuell im Einsatz befindlichen GRC Software:
- Security Intelligence
Regelmäßiges Aufzeigen von Schwachstellen im Kontext SAP Security & Compliance, und Ableitung notwendiger Folgeschritte. Damit verbundene Berichterstattung und Empfehlung von Handlungsmaßnahmen auf Basis der aktuell im Einsatz befindlichen GRC Software:
- System Security / Cybersecurity
- User Access & Identity Management
Regelmäßiges Upgrade der bestehenden, im Einsatz befindlichen SAP Security &
Compliance Tools samt damit verbundener, notwendiger Anpassungsschritte,
Wissenstransfer an den Kunden in Bezug auf Änderungen / Neuheiten.
- Vorbereitungsmaßnahmen / Kommunikation
- Sicherung Kataloge, Vor- / Nachlaufprogramme
- Transportbereitstellung je Systemverband
- Kontrolle (Jobs, RFCs, User, Lizenz) vor und nach dem Upgrade etc.
Korrekturen bzw. notwendige Vor- und Nacharbeiten im Kontext der Benutzerverwaltung bzw. SAST GRC Suite aufgrund von kundenseitig eingeplanten Systemkopien.
SAST Content update: Bereitstellen und Einspielen von neuem SAST Content, sofern nicht im Zuge von SAST Upgrades bedient.
Bei kundenseitig durchgeführten SAP Release Wechseln bzw. eingespielten SAP Service
Packs erfolgt eine Prüfung der aktuellen SAST Konfiguration, Empfehlung und Umsetzung eventuell notwendiger Maßnahmen (Jobs, RFCs, SAST Hintergrundbenutzer, Kataloge)
Quartalsweise wird je SAP System in Bezug auf eingerichtete SAST Jobs / Job Logs /
Hintergrundbenutzer / RFCs die aktuelle Konfiguration geprüft und validiert, um
sicherzustellen, dass die SAST Suite lauffähig bleibt. Sollte eine Konfiguration nicht dem aktuellen Stand der SAST Technik entsprechen, wird der Kunde darüber informiert und notwendige Korrekturschritte, in Abstimmung mit dem Kunden eingeleitet. Initial wird der Status quo, über die komplette Systemlandschaft einmalig erhoben (Status quo) um zukünftige Abweichungen nachvollziehbar festhalten zu können.
SAST Berechtigungsrollen: Abhängig von Anforderungen in Bezug auf die Abbildung von Teilfunktionalitäten aus den SAST Standard Rollen werden diese berechtigungstechnisch in separaten Rollen abgebildet und bereitgestellt. Unterstützung im Zuge von Testschritten, Testkoordination, Abstimmung sowie den Einsatz von SAST Safe go Live Management (SGM).
Weitere Unterstützungstätigkeiten auf Basis regelmäßiger Abstimmungen
- z.B. Neuinstallation der SAST Suite auf weiteren Systemen / Plattformen bzw.
Anpassungstätigkeiten an bestehenden SAST Konfigurationen
- Servicebasierte Problemlösung im Umfeld SAP Security & Compliance
Leistungsumfang Projektunterstützung
Verfeinerung des aktuell ausgerollten Berechtigungsmodells bzw. damit verbundener
Konzepte zur Erhöhung des unternehmensinternen Sicherheitsanspruchs in Bezug auf:
- Funktionstrennungskonflikte (Segregation of Duties / SoDs)
- Einzelne kritische Berechtigungen (Sensitive Transactions / STs)
- Lesende Zugriffe auf besonders schützenswerte Daten
- RFC
- Tatsächliche Rollennutzung im Verhältnis zu vergebenen Berechtigungen
Automatisierte Rollenoptimierung / Optimierungsmechanismen
- Master Data Governance
Lizenzoptimierung
- Automatisierte Lizenzanalyse / Nutzungsabgleich / Konzeptoptimierung
Dateneigner
Risikomanagement-Handbuch
Verfeinerung der aktuell ausgerollten Security & Compliance Maßnahmen zur Erhöhung des unternehmensinternen Sicherheitsanspruchs über rollenbasierte Zugriffssteuerung (RBAC - Role based access control) hinaus.
Laufendes, zeitnahes Monitoring von Ereignissen im Kontext SAP Security & Compliance, Vorqualifikation und Ableitung notwendiger Folgeschritte. Damit verbundene Berichterstattung und Empfehlung von Handlungsmaßnahmen auf Basis der aktuell im Einsatz befindlichen GRC Software. Anbindung bzw. Integration in bestehende Unternehmensprozesse bzw. Abläufe.
Erweiterung des aktuell ausgerollten Benutzer-Berechtigungsprozesses zur Erhöhung des unternehmensinternen Sicherheitsanspruchs in Bezug auf:
- Rezertifizierung aktuell zugewiesener Berechtigungen
- Benutzer-Berechtigungsbeantragung und Zuordnung
Etablieren einer Monitoring Plattform in Form von Dashboards, um SAP Security &
Compliance relevante Ereignisse bzw. Schwachstellen automatisiert Reporten zu können.
Durchführung von Beratungstätigkeiten, Schulungen und Wissenstransfers im Kontext SAP
Security & Compliance mit Fokus auf:
- SAP Standard
- Prüfcontent Harmonisierung
- Automatisierungsmechanismen für Security & Compliance
- Automatisierungsmechanismen für Master Data Governance
- Risikoidentifikationund kompensierende Maßnahmen (Mitigationen)