Las empresas requieren el departamento de entrenar, no tengo la formación preparado sobre la auditoría de SAP, ha sido cuatro años de no tener contacto con las operaciones conexas de SAP, y luego la información para la auditoría de SAP de la moda de vanguardia, pero un buen número de empresas que preocuparse por este , los auditores capacidad y experiencia limitados no pueden ser tomadas en cuenta. Me recuerda a participar en este proceso, porque los resultados de la directora del Ministerio de Información, lo que realmente es un suspiro.
Primer año en conjunto con material que sale de la consulta de HP comenzó a introducir Kazajstán:
1, la auditoría interna de SAP se divide en seguridad de los derechos del usuario, la seguridad del sistema eran dos categorías
2, los derechos del usuario:
2.1 SAP lleva a cabo principalmente a través de PAPEL control administrativo, el perfil de dos maneras en que el sistema está instalado en la etapa inicial ya se ha incluido algunos importantes funciones definidas por el sistema y los archivos de parámetros y archivos de parámetros Una vez se asignan estas funciones, el titular puede hacer que las operaciones de gestión de los sistemas internos apropiados, por supuesto, tendrá un riesgo muy grande para todo el sistema, por lo tanto, debemos tener para ser utilizado con precaución en el principio, y en línea con su propio conjunto de normas de gestión
2.2 aparecen en primer lugar hay que señalar que el uso de los archivos de parámetros:
Todos los derechos SAP_ALL ----- todo el sistema SAP (no incluye el recién generado)
sistema SAP toda sap_new ---- para todos los privilegios de objeto de nueva creación
S_A.ADMIN ----------- autoridad de operación del sistema SAP
S_A.CUSTOMIZ ----- Toda la configuración fondo derechos
S_A.DEVELOP ------ niveles ilimitados de derechos de desarrollo
privilegios de administración del sistema SAP S_A.SYSTEM -------- (superusuario)
sistema SAP S_A.USER -------- para todas las aplicaciones de negocio que operan autoridad
2.3 Para los parámetros anteriores favor usarse adecuadamente de acuerdo con la siguiente estrategia de control:
1) tan poco como sea posible para reducir el número de súper administrador y usuario
2) En relación a querer lograr como nuevos permisos de función para copiar los archivos de parámetros, control y ajuste, evitar el uso del archivo de parámetros originales trae la vulnerabilidad de control
3) Los administradores, empresarios, desarrolladores clasifican los permisos, roles y permisos a los permisos del sistema de evitar el archivo de parámetros de la mezcla debe atenerse a las unidades de negocio desarrollado en conjunto con el departamento de auditoría para evitar CCA (funciones incompatibles redundante) aparecerá
Una vez instalado SAP 2.4, habrá unos pocos usuarios especiales, fase de establecimiento de la instalación del sistema, debe completar una función especial, entonces estamos al final de la fase de configuración, los gerentes deben estar adecuadamente varios usuarios:
1) SAP * ----- los usuarios del sistema iniciales, tiene todo el sistema de permisos
Usuario 2) DDIC ---- inicialización del sistema configurado para utilizar, con todo el sistema de permisos
3) sistema de comunicación super-usuario utiliza SAPCPIC ----
4) EarlyWatch ----- utilizado para superusuario análisis del sistema
la configuración de seguridad del sistema ERP 2.5
los administradores de sistemas SAP y cuenta de administrador de base de datos y sistema de operación por separado;
SAP_ALL, sap_new, S_A.ADMIN, S_A.CUSOMIZ, S_A.DEVELOP, S_A.SYSTEM, S_A.USER otros parámetros no se pueden asignar una autoridad más grande de cualquier usuario normal;
SAP *, DDIC y otra super usuario será congelado ya no se utiliza, generada por el nombre de superusuario Presidente custodia, el cambio de la contraseña de usuario y el nombre de usuario y contraseña en la caja fuerte por el presidente; el usuario no se utiliza en circunstancias normales sólo cuando el usuario está habilitado cuando el fallo catastrófico del sistema de la reparación del sistema;
Los administradores de cuentas deben cada 90 días (tres meses) ser reemplazados una vez que la contraseña de la cuenta, la nueva contraseña y la contraseña no pueden ser los mismos que los cinco anteriores, establecer la contraseña para ser, en principio, letras + números y la contraseña deben ser ocho dígitos o más, falla la conexión del usuario seis veces el sistema se bloqueará automáticamente la cuenta hasta que el administrador del sistema para desbloquear la cuenta ERP desbloqueo favor vaya proceso cabeza OA (cuenta de usuario de sistema ERP-SAP y privilegios del proceso de aplicación) para desbloquear la aplicación, el usuario dentro de los 30 minutos, ya que el sistema no tiene ningún operación, el sistema se eliminará el usuario;
3, la seguridad del sistema
3.1 SAP en las operaciones de la empresa, los sistemas de producción de SAP en toda la empresa es fundamental, el cambio modificar los datos, cambiar la configuración del fondo, los parámetros del sistema, tendrá un gran impacto en toda la empresa flujo de datos, flujo de negocios, por lo que para la producción después de que el sistema de datos en línea deben tener una estricta política de control de exportaciones
3.2 Producción de seguridad del sistema
1) dentro del sistema de producción de SAP, actualice todas las sociedades para el tipo de "producción", mediante la realización de OBR3, para comprobar y garantizar la configuración correcta
En el interior • 2) sistema de producción de SAP, asegúrese de establecer la marca para el grupo no permite cambios de programa y configuración, juego realizando el SCC4 y SE06
En el interior • 3) sistema de producción de SAP, todos los cambios deben hacerse sobre el mecanismo de transmisión de la política del sistema, la aplicación del control sTMS número de solicitud de carga.
3.3 Funciones de auditoría de SAP incluyen:
• 1) de inicio de sesión de usuario y el proceso de supervisión
• 2) tipo de archivo se ha cambiado archivo de grabación
• 3) Registro de desarrollo
• 4) de auditoría de archivos de registro del sistema
• (CCA sentido de la seguridad, ya que SAP se almacenan como archivos en el servidor de SAP, debe ser separado del verdadero sentido de registro de auditoría de administrador de SAP principio con el administrador del sistema operativo con el control)
3.4 Estrategias básicas de monitoreo:
1) El administrador del sistema a haga una inspección de rutina de un día, a través de acciones dentro de ST22, SM21, OY18, ST02, ST04 ver el sistema, controlar el funcionamiento diario del estado
2) el administrador del sistema para vigilar a STAT cada tres días por la operación del usuario del sistema, cooperan para controlar más detalles de la SM20, y se puede lograr mediante el control de SUIM para alguna operación inapropiada del usuario
3) un departamento de auditoría para cualquier acción administrador del sistema puede también SM20 retroalimentación en detalle, cada dos semanas para enumerar una lista de acciones para entrar en el administrador del sistema para el monitor
3.5 Sistema de especificación de auditoría de permisos
Ø comisionado de información de auditoría interna que tiene la autoridad para auditar todas las cuentas del sistema SAP, el Departamento de Control Interno del sistema ERP requiere al menos una vez al año, la autoridad de auditoría, los resultados de la auditoría han de ser comunicados a la unidad de gestión de la información y el liderazgo empresarial y el registro correspondiente archivados para su inspección;
Ø como resultado de las necesidades de gestión, especialmente la necesidad de realizar un seguimiento de las transacciones, las solicitudes de pista hecha, después de la aprobación por el presidente, el personal de base, a no perder de vista y la salida del informe de correlación de seguimiento de auditoría de la información por el Comisionado para el Departamento de Control Interno;
Departamento de Control Interno Ø información mensual de las exportaciones a los auditores tienen que realizar un seguimiento de todas las acciones del usuario y ser archivada en el sistema ERP, para prepararse para la inspección;
Departamento de Control Interno comisionado de información de auditoría que se exportarán pista operativo semanal al personal de TI en el sistema ERP, el informe del análisis del informe de síntesis mostró liderazgo y el departamento de gestión de información para el presidente de la compañía de grabación y archivado para la inspección.
