角色与权限矩阵

1 目的

角色与权限矩阵用于通过指明责任来确保活动的覆盖范围，以识别角色、发现缺失的角色，并传达计划更改的结果。

2 描述

角色和权限分配涉及识别角色、将这些角色与解决方案活动相关联，然后指定可以执行这些活动的实体。 角色是对具有共同功能的一组人的标签。 每个功能都表示为一个或多个解决方案活动。 通过指定权限，单个活动可以关联到一个或多个角色。 被分配此权限的每个用户都可以执行相关的操作。

3 元素

.1 识别角色

要识别内部或外部涉众 ¹的角色，商业分析师：

• 审查任何组织模式、工作描述、程序手册和系统用户指南，以及
• 与涉众会面，以发现其他角色。

通过这个审查和讨论，商业分析师认为，拥有相同职称的人可能有不同的角色，而拥有不同职称的人可能有相同的角色。

在识别角色时，商业分析师寻找 由有相似需求的人 执行的常见功能。

.2 识别活动

商业分析师经常使用 功能分解 技术来分解每个功能， 用 过程建模 ² 来更好地理解工作流程和用户之间的分工，并且用 案例分析 来表示任务。通过这些技术，商业分析师可以确保所有的功能都被考虑到， 并且在各种案例场景中确定他们的活动。

根据商业分析视角，角色和权限矩阵可能有不同的抽象级别。主动性层次的角色和职责可以在一个RACI（负责、有权、咨询、知情）矩阵中确定。特定的信息技术 ³系统中的角色和职责可以在一个CRUD（创建、读取、更新和删除）矩阵中确定。

.3 确定权威

权限 是角色所允许执行的操作。 对于每个活动，商业分析师会为每个角色确定 权限 。 在识别权限时，商业分析师会考虑需要的安全级别以及工作如何在流程中流动。 商业分析师与涉众合作，验证已识别出的权限。

.4 优化

代理委托

商业分析师还可以确定哪些权限可以由一个人在短期或永久的基础上委托给另一个人。

继承

涉众可以要求在组织层次结构中为个人分配权限时，该分配仅适用于该用户的组织级别以及任何子组织单位级别。

4 考虑因素

.1 优势

• 通过限制个人执行某些操作，提供程序检查和平衡以及数据安全。
• 促进更准确地审查交易历史，因为审计日志可以捕获任何已分配权限的详细信息。
• 为活动提供有记录的角色和职责。

.2 限制

• 需要识别特定倡议或活动所需的详细程度；过多的细节会浪费时间，而且没有价值；太少的细节可能会排除必要的角色或职责。