信息系统审计师和SAP实施与控制[2]
本文关键字:
审计
培训 对各级用户的培训是非常必要的,SAP环境将改变许多员工的角色,需要增加新的技能。工作变更的本质要求管理者通过新工作的定义,报酬认可,重新评估薪酬体系等方式来支持新的工作环境,培训和培训能够提高用户解决问题的能力。 此外,也有必要对项目培训进行培训,包括技术、业务、变更管理等培训。由于系统非常复杂,很难掌握,模式固定,因此实验是进行尝试的最好选择。 跟上变化 项目团队要能预期到实施R/3的问题。项目团队要跟得上信息系统变化,这样才能克服问题,今天的C/S环境中,公司实施SAP需要了解所有关键成功因素。信息系统培训师和项目团队要鼓励考虑到这些关键因素,为R/3实施确定一个成功的路线。 建立培训和控制 SAP和R/3为组织创建了一个变更的、对网络计算更多依赖的环境,因此需要重新评估信息安全体系,安全体系是各种计算和网络要素的基础,安全体系提供一个日常管理和监督工具以及技术,授权验证过程等。 基本组件的安全特点 信息系统审计师要保证有足够的控制减少业务培训和安全漏洞,幸运的是SAP BC模型有内置的安全特点,提供应用、数据、培训等安全解决方案,SAP安全控制能够支持身份培训、授权、验证机制,保证只有授权用户才能访问特殊的交易与R/3系统。此外,SAP程序和数据也进行了内部保护,由于SAP的安全与控制特性,R/3的复杂环境能够受到充分保护。 安全系统有效性取决于安全措施的组合,安全措施需要确定使用系统的用户身份,以下是信息系统审计师需要审查的领域,这些是SAP独特的安全组件: ◆ 登录过程 ◆ 用户交控记录 ◆ SAP ◆ TSTC ◆ 授权对象 ◆ 授权价值集合 ◆ 授权轮廓 ◆ 附加授权检验 ◆ 变更 ◆ 访问控制总量 总之,R/3的用户访问过程非常详细,在用户发起交易时,SAP执行访问校验过程,通过ID号与密码获取访问权限,但进入系统后,如果交易没有被定义或被锁在TSTC表内,也不能进行交易。此外,如果定义了附加授权检验,则授权集合也要接受检验,如果用户没有被授权附加检验,则拒绝。最后还要检验详细的用户授权,决定用户是否有权访问某个对象。
责编:
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
专业博客
|
|