扫描二维码

订阅kaiyun体育官方人口 微信

信息系统审计师和SAP实施与控制[2]

作者:孙强 郝晓玲
2007/1/29 0:00:00
本文关键字: 审计

 培训

  对各级用户的培训是非常必要的,SAP环境将改变许多员工的角色,需要增加新的技能。工作变更的本质要求管理者通过新工作的定义,报酬认可,重新评估薪酬体系等方式来支持新的工作环境,培训和培训能够提高用户解决问题的能力。

  此外,也有必要对项目培训进行培训,包括技术、业务、变更管理等培训。由于系统非常复杂,很难掌握,模式固定,因此实验是进行尝试的最好选择。

 跟上变化

  项目团队要能预期到实施R/3的问题。项目团队要跟得上信息系统变化,这样才能克服问题,今天的C/S环境中,公司实施SAP需要了解所有关键成功因素。信息系统培训师和项目团队要鼓励考虑到这些关键因素,为R/3实施确定一个成功的路线。

建立培训和控制

  SAP和R/3为组织创建了一个变更的、对网络计算更多依赖的环境,因此需要重新评估信息安全体系,安全体系是各种计算和网络要素的基础,安全体系提供一个日常管理和监督工具以及技术,授权验证过程等。

基本组件的安全特点

  信息系统审计师要保证有足够的控制减少业务培训和安全漏洞,幸运的是SAP BC模型有内置的安全特点,提供应用、数据、培训等安全解决方案,SAP安全控制能够支持身份培训、授权、验证机制,保证只有授权用户才能访问特殊的交易与R/3系统。此外,SAP程序和数据也进行了内部保护,由于SAP的安全与控制特性,R/3的复杂环境能够受到充分保护。

  安全系统有效性取决于安全措施的组合,安全措施需要确定使用系统的用户身份,以下是信息系统审计师需要审查的领域,这些是SAP独特的安全组件:

  ◆ 登录过程

  ◆ 用户交控记录

  ◆ SAP

  ◆ TSTC

  ◆ 授权对象

  ◆ 授权价值集合

  ◆ 授权轮廓

  ◆ 附加授权检验

  ◆ 变更

  ◆ 访问控制总量

  总之,R/3的用户访问过程非常详细,在用户发起交易时,SAP执行访问校验过程,通过ID号与密码获取访问权限,但进入系统后,如果交易没有被定义或被锁在TSTC表内,也不能进行交易。此外,如果定义了附加授权检验,则授权集合也要接受检验,如果用户没有被授权附加检验,则拒绝。最后还要检验详细的用户授权,决定用户是否有权访问某个对象。

[1] [2] [3]

责编:
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
专业博客
畅享
首页
返回
顶部
×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
Baidu
map