包含sap系统下的内部控制的词条

如何利用SAP系统加强电力行业的内部控制

国家电网实施的都差不多了，当然包括北京在内，二期马上都要做完了。北京中电普华就负责这个实施，然后这个公司人手不够，再外包很多顾问进来，比如浙江益合，四川启明星，北京友强，上海科莱特，汉普，最强大的外部顾问都来自AC，你想进这行吗？看网上中电普华还在招人，你可以试试看哦

创新互联公司是一家集网站建设,富县企业网站建设,富县品牌网站建设,网站定制,富县网站建设报价,网络营销,网络优化,富县网站推广为一体的创新建站企业，帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿，时刻以成就客户成长自我，坚持不断学习、思考、沉淀、净化自己，让我们为更多的企业打造出实用型网站。

SAP上线后如何管理？

我以自己多年的经验总结来分析这个问题,SAP上线不是终点,而是应用的起点.一个好的系统运作离不开三个方面:一、高层领导的支持；二、强有力的技术支持团队；三、KPI考核。（是按重要点来排序的，第一条是做不做的问题，第二条能不能做的问题，第三条能不能做好的问题）

请教：针对SAP系统应该如何进行年报审计

SAP审计功能主要包括：

1)用户登陆及进程监控

2)文件类型已经文件变更纪录

3)开发纪录

4)系统日志文件审计

(从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)

因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

系统安全控制策略如下：

1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。

2)手工用SM19设置TRACE内容与时间段，将系统的每一步操作都控制起来。

基本监控策略：

1)每天作一次日常检查，通过ST22,SM21,OY18,ST02,ST04查看系统内的动作，控制每日的运行状态。

2)系统管理员通过STAT 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。

3)对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

关于SAP审计：

广义其实指SAP basis security以及其OS，DB的audit，而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。

SAP自带的审计功能有两个，一个是event level的audit log，参数 rsau/enable = 1开启该功能，再用SM19 configure 要审计的event，SM20来做audit log analysis。

另外一个是对table的审计，也就是对重要的数据参数表的变动进行审计，参数rec/client开启功能，根据管理层定义的SAP系统关键的数据表列表，使用SE13配置数据表的属性，启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。

audit log 在操作系统上以文件形式存储的,因此没有sap_all却有操作系统root权限的一样可以删除日志.

所以OS admin 一定要进可能与 SAP admin 分开。

如果能做到这个SOD的话，即使有SAP_ALL在SAP上删除了audit log，但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。