This is an HTML version of an attachment to the Freedom of Information request 'Security and Compliance Software'.


 
 
 
 
27 November 2018 
 
By email to:  xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xxx 
 
 
 
Dear Thomas 
 
I refer to your Freedom of Information request received on 19 November 2018 about security 
and compliance software. 
 
Details  of  any  exemptions  applied  are  below.    Where  any  information  is  “not  held”,  this  is 
explained below.  Those parts of the University’s response (together with the details of how 
to  ask  the  University  to  review  the  management  of  your  request,  or  thereafter  to  seek  a 
review  by  the  Scottish  Information  Commissioner,  should  you  wish  to  do  so  –  please  see 
below)  constitutes  the  notice  in  writing  that  the  information  specified  is  not  held  by  the 
University  which is required under section 17 of the Freedom of Information (Scotland) Act 
2002 (“FOISA”). 
 
Your enquiry and the University’s response. 
 
Please refer to appendix. 
 
This concludes the University’s response. 
 
Your right to seek a review of how your information request was managed 
  
If  you  are  not  satisfied  with  our  response  or  our  reasoning  set  out  above,  you  have  40 
working days in which to require a review of our decision. Any such request should be put in 
writing  and  should  be  sent  to  the  University  Secretary,  Abertay  University,  at  the  address 
provided below. The request should:  
  
(a) detail your request for a review of our decision to be undertaken 
(b) describe the nature of your original request 
(c) explain the reasons why you are dissatisfied with our response 
  
University Secretary 
Abertay University 
Bell Street 
Dundee 
DD1 1HD 
Tel (01382) 308016 
  
E-mail:  x.xxxxxxx@xxxxxxx.xx.xx 
  
If you remain dissatisfied with how your request for information has been dealt with, you also 
have the right, in terms of section 47 of FOISA, and within 6 months, to apply to the Scottish 

Information  Commissioner  for  a  decision  as  to  whether  we  have  handled  your  request 
properly. 
  
Information  relating  to  your  right  to  seek  review  is  available  from  the  Scottish  Information 
Commissioner's website: 
  
http://www.itspublicknowledge.info 
 
or by contacting the Scottish Information Commissioner's Office at the following address: 
  
Scottish Information Commissioner, 
Kinburn Castle, 
Doubledykes Road, St Andrews, 
Fife KY16 9DS 
 
Telephone: 01334 464610 
 
Fax: 01334 464611 
 
E-mail: mailto:xxxxxxxxx@xxxxxxxxxxxxxxxxxx.xxxx 
  
Website: http://www.itspublicknowledge.info 
 
Or via the SIC’s online appeals service:  
 
http://www.itspublicknowledge.info/YourRights/Unhappywiththeresponse/AppealingtoCommi
ssioner.aspx 
 
If  you  are  unhappy  with  the  Commissioner’s  decision,  you  also  have  the  right  to  appeal 
further to the Court of Session, on a point of law only, under section 56 of FOISA.  Please 
refer to the Commissioner’s website (details above) for further information about your right of 
appeal to the Court of Session. 
 
Yours sincerely, 
  
FOI Processing 
 
Academic Registry 
Abertay University 
 
Abertay University is a registered Scottish charity, no. SC016040 
 
Appendix 
 
Request: 
 
Can you confirm the SAP ERP version you are currently using? 
 
Who provides your SAP Security, Authorisations and Role Design support? 
 
Can you please confirm if you currently use SAP Access Control? 
 
If you do use Access Control, what version is installed (options are v5.3, v10.0, v10.1 
or v12.0)? 

  
Do  you  have  a  support  contract  with  an  external  provider  to  support  SAP  Access 
Control install? 
 
Can you please confirm if you currently use SAP Process Control? 
 
If  you  do  use  Process  Control,  what  version  is  installed  (options  are  v5.3,  v10.0, 
v10.1 or v12.0)? 
 
Do  you  have  a  support  contract  with  an  external  provider  to  support  SAP  Process 
Control install? 
 
Can you please confirm if you currently use SAP Risk Management? 
 
If  you  do  use  Risk  Management,  what  version  is  installed  (options  are  v5.3,  v10.0, 
v10.1 or v12.0)? 
 
Do  you  have  a  support  contract  with  an  external  provider  to  support  SAP  Risk 
Management install? 
 
Can you confirm if you currently have any other SAP GRC software installed? 
 
List of SAP GRC software includes, but not exclusive to: 
i. Business Integrity Screening 
ii. Single Sign-On 
iii. Identity Management 
iv. Audit Management 
v. UI Masking 
vi. UI Logging 
vii. Read Access Logging 
viii. BusinessObjects Access Control 
ix. Versa GRC 
 
If you do not have any SAP GRC installed/utilised, are there any plans to purchase 
and install the GRC software? 
 
If  you  have  implemented  any  of  the  aforementioned  software  and  have  a  support 
contract what is the renewal date of that contract? 
 
Where is your SAP infrastructure located and in what format? 
 
When  is  the  contract  for  third  party  support  of  your  SAP  infrastructure  due  for 
renewal? 
 
Where do you advertise any SAP related procurement opportunities? 
 
Abertay University stopped using SAP over a year ago, so these questions are inapplicable 
(information not held). 
 
_________________