Skill

performing-access-review-and-certification

Conducts systematic access reviews and certifications to ensure role-appropriate user permissions. Covers activity design, risk-based prioritization, reviewer selection, micro-certification, and remediation tracking for SOX, HIPAA, PCI DSS compliance.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

开展系统性的访问审查和认证，确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略，以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

performing-access-review-and-certification

Conducts systematic access reviews and certifications to ensure users have role-aligned access rights. Covers campaign design, reviewer selection, risk prioritization, and remediation for SOX, HIPAA, PCI DSS compliance.

asi

performing-access-review-and-certification

5.9k

Conducts systematic access reviews and certifications for IAM compliance, including campaign design, risk-based prioritization, reviewer selection, remediation tracking, and reporting.

7 files

cybersecurity-skills

performing-entitlement-review-with-sailpoint-iiq

Executes SailPoint IdentityIQ entitlement reviews including manager certifications, targeted access reviews, role verification, SoD remediation, and automated revocation workflows. For IGA compliance and access governance.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行访问审查和认证

概述

目标

跨企业应用程序设计和执行访问审查活动
实现基于风险的审查范围优先级排序
配置审查员选择（经理、应用所有者、混合模式）
自动化权限数据收集和展示
跟踪不当访问发现的整改情况
为审计人员生成合规证据

关键概念

访问审查类型

用户访问审查：经理认证其直属下属的所有权限
权限审查：应用所有者认证拥有特定权限的所有用户
角色审查：角色所有者认证角色成员资格和权限
特权访问审查：安全团队审查高风险/特权访问
SoD 审查：验证没有用户存在职责分离冲突

基于风险的优先级排序

高风险：特权访问、财务系统、PII/PHI 系统、面向外部的应用
中风险：内部业务应用、共享驱动器、协作工具
低风险：标准员工工具、只读访问、公共信息系统

审查活动生命周期

规划：定义范围、审查员、时间线、升级流程
数据收集：聚合所有身份来源的权限数据
分发：将审查项目分配给适当的认证员
认证：审查员批准或撤销每个权限
整改：撤销不当访问，执行时间线
报告：生成合规证据和指标
关闭：归档活动，将发现结果反馈到下一周期

实施步骤

第 1 步：定义审查范围和计划

识别在范围内的应用程序和系统
确定审查频率：季度（SOX）、半年、年度
定义活动时间线：审查期、升级日期、硬关闭
建立针对无响应审查员的升级链

第 2 步：数据收集和聚合

从每个应用程序提取用户-权限映射
与 HR 数据关联（在职员工、角色、部门、经理）
识别仍持有访问权限的离职/转岗用户
标记高风险权限（管理员、DBA、系统、特权）
根据权限敏感性和用户角色计算风险评分

第 3 步：审查员分配

经理审查：直属经理认证下属的访问
应用所有者审查：应用所有者认证其应用的所有用户
混合模式：经理审查标准访问，应用所有者审查特权访问
委派管理：允许审查员带审计跟踪地委派

第 4 步：执行认证活动

向审查员发送包含明确说明的通知
呈现带背景信息的权限（最后使用日期、风险级别、角色理由）
要求审查员明确批准或撤销每个项目
跟踪完成百分比并发送提醒
超过截止日期后升级至管理层

第 5 步：整改和跟踪

自动为撤销操作创建 IT 运维工单
设置撤销执行 SLA（高风险 24-48 小时）
验证撤销完成（重新检查权限）
异常管理用于有业务理由的偏差
记录所有带到期日期的异常

第 6 步：报告和证据

生成活动完成指标
生成每个应用程序的合规报告
创建审计就绪的证据包
跨审查周期跟踪趋势
将发现结果反馈到风险评估流程

安全控制

控制项	NIST 800-53	描述
访问审查	AC-2(3)	定期审查账户权限
账户管理	AC-2	账户生命周期管理
最小权限	AC-6	强制执行最小必要访问
职责分离	AC-5	SoD 冲突识别
审计日志	AU-6	访问审计记录审查

常见误区

橡皮图章：审查员不加审查地批准所有访问
范围不完整：审查活动遗漏关键应用程序
无整改跟踪：纸面上撤销访问但系统中未执行
审查员分配不一致导致覆盖缺口
未包含服务账户和非人类身份

验证清单

所有在范围内的应用程序已包含在活动中
已为 100% 的权限分配审查员
活动完成率超过 95%
撤销在 SLA 内执行
审计证据包完整且已归档
SoD 违规已识别并记录
异常已记录业务理由和到期日期