1、SAP 运维管理制度模板 Deloitte Consulting ChinaAugust 目 录1.目标02.适用范围03.管理内容和要求01. 目标加强菜百SAP系统管理,确保系统安全、稳定、规范运行,实现对系统访问控制、程序变更等日常运维工作标准化管理和规范化操作,特制订本措施。2. 适用范围菜百全部SAP系统。3. 管理内容和要求 3.1. 用户和权限管理3.1.1. 各部门关键用户要做好本部门SAP用户统计登记工作。用户在申请新帐户时,其所在部门关键用户要严格审核此用户所在岗位操作权限,合理提交用户申请SAP操作内容,并做好新申请帐户统计工作。任何一个有SAP权限用户进行调岗或离职时,
2、均要第一时间提交对应申请,按步骤进行帐户删除申请。3.1.2. 创建用户账户仅授权指定用户使用,任何人不得共享用户账户进行业务操作。3.1.3. 用户因为岗位或业务调整原因,需要对其账户进行维护(增加、修改、停用)时,必需填写申请表,并根据SAP权限管理措施定义审批步骤进行审核,最终由SAP系统管理员在系统中对对应用户账户进行创建,修改,停用等操作,并根据SAP权限管理措施定义步骤将维护结果通知账户用户本人及其部门,操作完成后,申请单需由信息技术部存档并统一编号进行管理。编号规则:SAPURMXXXXX(URM代表账户角色管理,XXXXX为编号,从00001开始)。3.1.4. 用户在得到账号
3、和初始密码后,在首次登陆SAP系统时,需要更改初始密码,更改密码需要符合企业密码策略,密码策略为: 密码长度大于等于8位; 密码要包含数字,字母,大写,小写; 密码90天过期,需重新设置密码; 重设新密码需和最近5次密码不一样; 重设新密码必需有2位以上和旧密码不一样; 密码输错10次,用户会被锁定3.1.5. 用户不得将账户密码泄露给无权使用该账户其它人。因为本身保密意识不严,造成密码泄露,而且给企业造成损失者;或有意泄露密码给她人或独自、伙同其它人利用本身在SAP系统中权限,窃取企业机密,造成企业蒙受损失者;将依据企业要求进行严厉处理3.1.6. 如需要使用临时账号,申请人需要根据SAP权
4、限管理措施审批步骤,填写申请表选择账户类型为“临时账户”,并填写账户使用起始和使用结束时间。审核步骤经过后,系统管理员需设置帐户过期日期,以确保在结束时间过后账户失效。3.1.7. 在提出账户权限申请时,需填写申请表,并根据SAP权限管理措施进行步骤审批。申请人须遵照最小授权标准,即仅授予该用户账户完成对应工作所需要最低权限职责。审核人需对申请人职责申请进行评定,对于申请过大权限要给予拒绝或重新修改反馈。3.1.8. 系统运维部门在收到申请时,应根据SAP权限管理措施步骤对权限申请进行操作,在评定审核经过后,系统管理员依据用户申请在系统中调整账户权限,维护完成后,需将维护结果通知账户用户本人及
5、其部门。3.1.9. 若需要添加新角色和维护现有角色,需填写申请表,再根据SAP权限管理措施步骤进行角色管理。申请单需由信息技术部存档并统一编号进行管理。编号规则:SAPROMXXXXX(ROM代表角色管理,XXXXX为编号,从00001开始)。3.1.10. 业务部门审核人,财务部审核人和系统运维部门审核人需定时对各部门用户和角色进行联合复合审计,审计周期为6个月1次。审计需遵照以下审计内容进行,包含: 用户安全参数审计 超级用户审计 SAP* DDIC BASIS 最终用户审计 用户账号检验系统中用户账号和用户账号清单是否完全一致。并同时将审核后用户清单交由业务部门确定账户有效性。 用户权
6、限匹配经过对系统中用户权限进行抽查查对,确保用户信息有效性和正确性。包含:用户和角色对照匹配(BASIS负责) 长时间未登录用户具体审计内容见:SAP权限管理措施3.2. SAP系统系统超级用户管理3.2.1. SAP*现在全部非系统标准Client(系统标准Client包含000,001,066),全部不包含真实SAP*用户,不过SAP后台有个参数控制能够打开改sap*后门账户,即,设置参数后,能够使用SAP*/pass登陆系统非000,001,066 client。所以,SAP*用户在每个集团是SAP系统预留用户,由参数login/no_automatic_user_sapstar控制,应
7、严格限制对该参数更改,预防激活该预留用户。为了降低SAP*用户风险应做以下处理: 修改密码 修改实例参数文件中login_no_automatic_user_sapstar参数值为1,取消SAP*用户访问特权。 3.2.2. DDICDDIC用户是每个SAP系统自带标准用户。和SAP*用户不一样是,DDIC用户有定义用户主数据,DDIC用户有SAP数据字典相关特殊权限,它是系统升级时唯一能够登陆用户。所以,这个用户也应该预防滥用和误用: 修改密码 确保DDIC用户分配给了SUPER用户组3.3. ABAP管理3.3.1. 全部开发只能在开发系统(DEV) 开发Client中进行。3.3.2.
8、报表开发、系统二次开发或相关程序修改等,在传入生产系统(PRD)前,均要有完整测试汇报和程序逻辑功效文档。3.4. 变更管理3.4.1. 系统变更包含程序变更和配置变更两类。3.4.2. 全部程序变更和配置变更全部需要在开发系统中产生,严禁在测试系统和生产系统直接进行程序和配置变更。全部对测试系统和生产系统变更全部应由系统管理员经过传输系统,以变更传输方法从开发系统传到目标系统。3.4.3. 当在开发系统产生变更请求后,如需将该变更传输到测试系统进行功效测试,需首先将该变更请求在开发系统中释放,并以电子邮件形式发送给信息技术部系统管理员申请进行变更传输,邮件中需明确表述变更原因、变更内容及需要
9、传输到测试系统目标集团号。系统管理员在接到请求传输邮件后,需统计该请求号到电子版SAP变更传输请求管理列表,并严格依据邮件中表述目标集团号对该变更进行到测试系统传输。并在传输请求管理列表中统计该请求传输状态。3.4.4. 在测试系统功效测试完成后,如需将该变更传输到生产系统,申请人需填写申请表,包含:传输类型,传输变更号,生产系统目标集团,申请传输时间;在申请描述一栏中,需说明变更原因、变更内容;在测试系统测试结果一栏中,需说明测试系统功效测试结果;在对现有生产系统影响评定一栏中,需经过在测试系统功效测试评定对现有生产系统变更影响和可能带来潜在风险;在填写完成后,需将变更申请表提交给信息技术部
10、。3.4.5. 信息技术部业务部门审核人需对该变更申请表进行审核。审核经过后,系统管理员依据该变更申请表,对该变更请求进行到生产系统传输,并统计该请求号到电子版SAP变更传输请求管理列表。变更申请单需由信息技术部存档并统一编号进行管理。编号规则:SAPTRMXXXXX(TRM代表传输请求管理,XXXXX为编号,从00001开始)。3.4.6. 为确保变更在测试环境进行功效测试时能够模拟生产环境,测试环境和生产环境配置应定时同时,同时周期为每6个月1次。3.4.7. 信息技术部审核人需定时审核变更统计,审核周期为每6个月1次。3.5. 系统运行维护管理3.5.1. 系统运维人员负责SAP系统日常
11、维护和管理。3.5.2. 系统运维人员天天需要根据SAP运维日检报表做系统检验。并在第一时间将监控或巡查到异常反馈给各相关人员。3.5.3. 若在做“在线系统日志分析”等检验时发觉错误统计,需分析、处理;若是新出现问题,应登记到电子版日检验问题汇总中,并立即填写“问题处理”项。3.5.4. SAP系统数据按备份策略,备份至磁带库进行保留。3.5.5. 备份保留策略为异地存放,即:SAP备份磁带应分为两套,一套放在磁带机内,另一套需和SAP服务器异地保留,每2周更换一次。系统运维人员需对SAP系统备份保留备份日志。 3.5.6. 备份介质中数据在有条件时应每六个月进行SAP系统灾难恢复测试,以验
12、证备份可用性和评定SAP灾难恢复方法可行性和恢复时间。3.6. 事件处理3.6.1. 用户如发觉SAP系统故障,若为业务问题应先找关键用户处理;若为其它故障,联络当地SAP责任人。3.6.2. SAP责任人深入区分问题,若为当地问题则自行处理;若为其它问题以邮件形式发到SAP系统协调员。3.6.3. Basis对问题进行处理,并反馈SAP系统协调员。3.6.4. SAP系统协调员验证为题处理结果,并将结果反馈用户。3.6.5. SAP系统协调员应随时跟踪、督促问题处理过程。3.7. 重大事件紧急处理:3.7.1. 若SAP系统发生重大问题,应立即开启紧急处理步骤,快速处理问题。3.7.2. “SAP问题协调员”负责依据问题性质,联络相关问题处理教授(包含BASIS、内部顾问、外部顾问等),并跟踪问题处理。3.7.3. 对影响系统稳定运行故障,运维责任人需如实反应情况给部门责任人,并跟踪问题处理。3.7.4. 如有必需停机,应在停机前在企业邮件和SAP系统公布停机公告。3.7.5. 企业SAP运维部门、SAP技术服务企业相关教授和人员必需立即定出处理方案,立即实施处理,并立即使系统恢复。
浙ICP备2021020529号-1 | 浙B2-20240490 
