中中中中中中中中
中中中中中中中中中中
中中中中中中中中 中中中中中中中
中中中中中中
中中中中中中
SAP中 中 中 中 中 中
中中中中
SAP中 中 中 中 SAP中 中 中 中
SAP中 中 中 中
SAP中 中 中 中
SAP中 中 中 中
Page 3
安全管理职责
安全管理委员会
✓ 制定公司层面SAP整体安全策略和方向 ✓ 定期检查和监督SAP信息系统的安全状况 ✓ 批准公司的SAP安全解决方案，包括预算和人员、系统部署
角色的建立必须符合以下原则：
1. 满足业务处理的要求
2. 在满足跨模块业务需求的基础上，尽量避免重复
3. 责任和工作范围清晰无误
4. 具有高可重复利用度，在上线后的授权管理中只需给用户ID分配相应的 角色便能够完成权限分配
Page 6
应对的策略
SAP系统安全管理策略
业务集中在一个client中处理，信息面临被越权读取的危险
3. 在进行跨部门授权请求时，最终用户不仅仅需要获得本部门业务经理的 批准，也同时必须获得需访问模块负责人的批准。
Page 7
应对的策略
SAP系统安全管理策略
海外并购所带来的额外授权要求
1. 如果xxx对被并购方进行信息系统的整合，将之纳入现有的中央SAP信息 系统，在进行授权管理时除了如前所述要严格定义所并购最终用户的角 色权限之外，必须制定严格的角色命名规则以方便管理
安全管理内部控制 机构
SAP安全管理经理
✓ 对公司SAP安全策略、方案和流程进行审核 ✓ 确保公司的SAP安全策略同国家和世界管制条令/法律相符合 ✓ 保留所有SAP用户的授权记录，以供外部审计调用
✓ 管理SAP安全管理小组 ✓ 管理SAP权限管理流程和标准 ✓ 协助安全管理委员会和内部控制机构进行工作
6. 及时响应最终用户的授权请求，保证最终用户的生产效率
7. 在各二级单位设立安全管理协调员，在获得业务部门经理审批的前提下， 负责将最终用户请求与SAP系统权限角色对应，并向上汇报给内部控制 机构
Page 9
用户ID身份识别标准
建立用户角色分类
推荐使用目前NOTES ID（不包括电子邮件域名） 用户主数据中必须标明真实姓名，公司，部门，电话，用户类型 密码至少每90天更换一次 密码长度至少6位 密码连续5次输入错误，则将被锁定
SAP安全管理小组✓Fra bibliotek管理SAP系统中所有权限相关具体事务，包括用户ID创建，用户角色相关权限的生成、修改和删除 ，密码管理，滥用权限侦测等
业务经理 关键用户
✓ 批准SAP最终用户的账户生成请求或者权限改变请求 ✓ 配合SAP安全管理经理进行工作
✓ 协助最终用户确定具体权限改变请求的内容，协助用户确定所属角色 ✓ 配合SAP安全管理小组进行工作
2. xxx内部控制机构进行定期内部审计，监测权限和帐号非法使用情况、安 全管理流程控制、与国家和世界相关法令（如SOA）的一致性等
3. 设定并优化SAP安全管理相关参数（见附录1）
4. 记录、维护并更新现有用户角色和相关系统权限文件
5. 定期利用SAP标准工具进行系统安全管理检查扫描（标准工具见附录2）
Page 4
面临的挑战
SAP系统安全管理策略
复杂的业务环境中存在大量的用户 业务集中在一个client中处理，信息面临被越权读取的危险 上线后的大量支持工作 海外并购所带来的额外授权要求 。。。。。。
Page 5
应对的策略
SAP系统安全管理策略
复杂的业务环境中存在大量的用户
针对不同功能模块的需求，与xxx各级单位领导和功能组一起分析并规划 出适合xxx各级功能岗位的用户角色，并基于这些角色创建相应的用户权 限。
Page 11
采用下列工具表格作为样本对用户进行角色分类：
建立用户角色分类
在角色清理过程中必须注明用户所属角色所属的公司代码，业务组织，用 户要用到的交易代码，并且区分显示、修改或者创建权限。
Page 10
用户角色识别标准
建立用户角色分类
用户分类：xxx员工和非xxx员工，由用户组（USER GROUP)确定， xxx员工用户组为ZCNOOC， 非xxx员工为ZNONCNOOC. 用户角色命名规范：功能组在定义用户角色时，必须在角色描述中指明用 户所属的国家、模块、公司、组织、具体角色，例如用户A，属于海油工 程财务部应收帐款管理，则在角色描述表单中注明此用户为中国FI，海油 工程应收帐款，海油工程和财务部可以文件名和工作表名的方式记录。 在SAP中的代码标准为：Z_CC_MN_CN_NNNNNNNN.其中： 1. Z-标准xxx代码 2. CC- ISO 国家代码 3. MN-模块名称，如 FI,CO,MM等 4. CN-公司代码，如海油工程为xxxx， 化学公司为xxxx，等 5. NNNNNNNNN-最终用户的角色定义，如应收帐款管理为accntrcvbl. 上述例子中的最终用户可编码为：Z_CN_FI_xxxx_ACCNTRCVBL.
xxx SAP 系统安全管理策略
2005.12.01
简介
协助xxx建立简洁而有效的SAP系统安全管理组织 制定符合xxx实际要求的高效SAP系统安全管理策略 协助xxx建立用户角色分类 协助xxx的支持团队建立未来SAP 上线后的用户权限管理流程
Page 2
xxx安全管理组织建议
中中中中中中 中中中中
1. 在权限设计的最初阶段，严格定义各个最终用户的角色，将权限管理在 最终用户所属于的功能模块、公司代码、工厂代码或者功能组织如销售 组织、采购组织等层面，以避免最终用户能够读取其他组织的信息
2. 在权限生成过程中，为了解决单一client的安全问题，在测试和开发系统 中将按细分的组织结构（如上文1所述）为最终用户生成权限文件，然后 传输至生产系统，目的是为了避免在开发和测试系统中所产生的权限文 件未经组织结构细分而分配给最终用户
2. 如果决定采用分离的信息系统来运行商业活动，则必须将被并购方的最 终用户权限管理纳入xxx的安全管理流程，由xxx安全管理团队统一领导， 而且必须由xxx内部安全控制机构进行内部审计
Page 8
应对的策略
SAP系统安全管理策略
上线后的大量支持工作
1. 建立安全管理团队，在总部统一进行对下属各分公司的安全管理