То как может работать и взаимодействовать такая система, можно проследить по алгоритму ее функционирования:
1. Новый сотрудник принимается на работу и заводится в необходимые начальные ИС как объект информации;
2. Новый сотрудник добавляется в ИС обучения, допуска и контроля, где в соответствии с регламентом и штатным расписанием ему устанавливается пакет из ИС компании, с которыми он будет работать в будущем;
3. На рабочем месте с помощью инструктора и/или самостоятельно сотрудник в интерактивном режиме изучает материалы по предстоящей работе с соответствующими ИС;
4. После прохождения тренинга, так же на рабочем месте и/или в специальном центре, сотрудник сдает итоговые авторизованные тесты, которые выполнены в виде защищенной компьютерной программы;
5. По результатам тестов и в соответствии с заявленными категориями, сама система автоматически определяет успешность пройденной проверки и уровень знаний сотрудника в заданной области;
6. На основе определенного уровня выдается предписание (программное или иное) для предоставления данному сотруднику минимально необходимого и достаточного доступа к той или иной ИС компании уже как субъекту информации;
7. На основе предписания в каждую ИС вносятся данные (программно или по-иному) для организации доступа сотрудника к работе с ИС как субъекту информации;
8. В процессе дальнейшей работы сотрудник может/должен проходить регулярные тренинги или новые курсы, результате которых может/должен изменяться уровень доступа к ИС и их число, как в большую, так и меньшую сторону;
9. При существовании системы фиксации ошибок в различных ИС компании, данная информация может быть направлена в ИС обучения, допуска и контроля, где на ее основе будет инициироваться вопрос о дополнительном тренинге/тесте;
10. В случаи увольнения сотрудника в обязательном порядке обхода должно быть получено заключение об удалении учетных записей сотрудника, как из ИС обучения, допуска и контроля, так и из остальных ИС компании. При этом желательно, чтобы удаление учетных записей из остальных ИС компании было произведено автоматически именно ИС обучения, допуска и контроля.
Преимущества и недостатки концепции внешней надстройки
Необходимо понимать, что любая ИС, а тем более выполняющая роль интеллектуальной надстройки над существующими, должна быть не только хорошо продумана и реализована, но и отвечать нуждам самой компании с понимаем необходимости ее внедрения вообще. Помимо критериев определения потребности компании в новой ИС, описанных выше, отметим возможные основные преимущества и недостатки, связанные с разработкой и эксплуатацией.
Преимущества:
1. Сосредоточение всей информации о сотрудниках и их отношению к ИС компании, что исключает дублирование части информации о сотрудниках в каждой ИС;
2. Сосредоточение учебных материалов по каждой ИС, что позволяет гарантировать единообразие методов подготовки и организовать дистанционное обучение персонала прямо на рабочем месте, вне зависимости от размера компании;
3. Организация вводного обучения и последующего обмена опытом через систему специальных сотрудников-тренеров и/или самостоятельно на основе четкого учебного плана;
4. Ведение данных об изученном сотрудниками материале и уровне сданных тестов, что должно обеспечить обратную связь и объективную историю развития сотрудника в период после прохождения обучения и во время дальнейшей работы;
5. Предоставление доступа в определенную ИС согласно регламента и на основе уровня показанных знаний, что снижает риск причинения ущерба от некорректных действий сотрудника, не имевшего необходимые знания, но получившего излишний доступ к ИС компании. Недостатки:
1. Самостоятельная реализация данной надстройки в компании потребует качественное проведение комплексного анализа всех ИС, технологических схем, создания и разработки новой ИС, что будет стоить немалых усилий и может быть недоступно компаниям с малым бюджетом и/или не имеющих соответствующих квалифицированных специалистов;
2. Не качественная реализация в целом или одного участка цепочки новой ИС, может привести к сбою и ошибке в работе с другими ИС компании. Это в свою очередь, может принести ощутимые убытки для компании, т.к. помимо нарушения безопасности информации может быть отказано в технической поддержке тех ИС, которые были приобретены у сторонних производителей и пострадали от действий новой программной надстройки;
3. При попытке приобрести и внедрить существующие готовые коммерческие решение в области конгломерации персональных данных сотрудников и управления уровнем доступов для ИС, возможны большие несоответствия требованиям и особенностям данной компании, что не позволит в полной мере реализовать задуманное, а затраты будут существенно выше чем при самостоятельной разработке.
Заключение
При решении вопроса о необходимости реализации в той или иной компании описанной интеллектуальной надстройки, необходимо руководствоваться, прежде всего, интересами компании и ее возможностями.
Не стоит городить лишнюю систему там, где существует одна или две малые ИС, или же в них самих хорошо реализованы методики доступа и контроля.
Если в компании налицо необходимость приведения всего ассортимента ИС к единому принципу управления, то сначала должны быть разработаны логичные документальные регламенты, которые в новой ИС просто примут форму программного продукта. Нужно учесть, что регламенты должны еще и соблюдаться самой компанией, а то может быть так, что если кого из новых сотрудников руководство "захочет" принять на работу, то потребуют выдать ему доступ к нужным ИС без всякого обучения и тестов!
Так что "… думайте сами, решайте сами, иметь или не иметь…".