Каковы "best practice" по распределению полномочий в БД Oracle с точки зрения информационной безопасности?

Подскажите, пожалуйста, какое распределение полномочий и какие параметры логирования для различных типов учётных записей соответствует стандартам де-факто или лучшим практикам?



Если я правильно понимаю, каждый администратор должен иметь персональную учётную запись, для которой включено логирование и отключен доступ к бизнес-данным.

Учётные записи пользователей, если таковые создаются, не должны иметь доступ к таблице приложения, и журналирование операций, опять-таки, должно быть включено.



Сейчас администраторы в сферической компании заходят под dcsdba или sys, а логирование отключено, что не соответствует ни то чтобы стандартам, а минимальным требованиям безопасности.