Думаю этот вопрос является общим для всех БД. Распишу идеальный вариант:
— все owners схем на промышленной БД заблокированы. Доступ под этими пользователями не возможен.
— для проведения установки каждый администратор БД должен обладать собственным логином, с правами позволяющими ему проводить все необходимые операции в этих схемах
— логирование действия настраивается стандартными средствами Oracle aka Audit
— там логируются все действия данных пользователей
— пароль от аккаунта sys должен лежать в сейфе у главного боса и его использование должно быть регламентировано, ибо согласно политики Oracle его действия не могут быть залогированы, иначе он не сможет зайти в систему при возникновении непредвиденных ситуаций, к примеру переполнения табличного пространства для Audit
— из таблицы AUD все данные должны в онлайне стекаться на мониторинг администратору по безопасности
— успешные и неуспешные комманды должны выделаться признаками для возможности предотвращения несанкционированного доступа к данным
Ну вот вроде все что вспомнил согласно PCI DSS