《关于计算机化系统权限管理的几个误区(一).docx》由会员分享,可在线阅读,更多相关《关于计算机化系统权限管理的几个误区(一).docx(3页珍藏版)》请在第一文库网上搜索。
1、关于计算机化系统权限管理的几个误区(一)Q1:权限管理就是要求三级权限A:三级权限是一种口语化的描述,没有任何法规指南描述要求三级权限。指南 一般推荐职责分离和最小权限,翻译过来就是本质工作内够用就行。比如一 个维修员,他维修最少要用到点动、停机、试机等操作,那就分配他这个几个权 限即可。对于工艺配方建立啥的尽量不要分配给他。Q2:设备仪器一定要有管理员权限A:权限管理本质是要避免非受控操作,只要你能控制住非受控操作的风险,不 一定非要管理员权限。如电子天平,操作人员正常就三个操作:校准、去皮、称 量。对于这些操作可能被操纵的数据和元数据来看,主要就是称量时间和称量单 位等信息被修改,这些参数
2、本质上操作人员日常操作无需操作的,完全可以单独 设置一个密码进行管控(由专人,一般为IT)管控就行。这个不一定非要管理 员权限。Q3:设备操作系统也要进行权限管理A:操作系统要不要进行权限管理,本质上取决于其是否可以进行数据操纵,如 时间、数据存储文件夹的操纵等。但是有些设备开机后,操作人员无法通过常规 手段进入到操作系统,这样风险就是可控的,无需进行操作实现权限管控。Q4:系统管理员权限一定要交给IT部门A:法规指南没有明确一定要交付哪个部门,期望是交付于非利益相关部门(推 荐是IT或工程),PIC/S指南描述对于较小的组织也可以交给业务部门。Q5:权限管控就是系统独立账户进行追溯A:从系统
3、和数据安全角度说,保证系统管理的策略分物理安全和逻辑安全,进 行独立账户的操作只是物理管控的一个手段。但是还要匹配物理安全(别硬盘被 人拆了),某些情况下可能物理安全就够了(比如某仪器专人操作,设立单独的 房间,只有他可以进入)。Q6:权限管控就是系统独立账户进行追溯A:从系统和数据安全角度说,保证系统管理的策略分物理安全和逻辑安全,进 行独立账户的操作只是逻辑管控的一个手段。但是还要匹配物理安全(别硬盘被 人拆了),某些情况下可能物理安全就够了(比如某仪器专人操作,设立单独的 房间,只有他可以进入)。Q7:最高管理员权限交给IT就可以了A:从系统角度说,系统管理员可以交付IT,只是从应用层面
4、解决的独立账户的 风险。但是从数据完整性角度,还有很多权限要进行管控,如数据库权限、远程 访问权限等,所以IT也要进行合规管理。Q8:权限管理中管理员权限、QA专员等都是权限的代名词A:这些都是口语化说法,权限的意思是访问的能力,比如修改参数的权限。对于QA专员等以岗位等命名方式称呼为权限组,比如QA专员权限组 分配了 质量状态转换和取样下架等权限。Q9: PLC要不要纳入权限管理A:基于数据风险角度看,PLC涉及程序的重新下装,其需要进行权限管控。当然,如果物理安全模式管控或者上传下装进行密码管控也是适当的。Q10: B/S架构的客户端,浏览器可以自动记住密码,这个是否符合要求A:不符合,APlC数据完整性FAQ描述,不允许浏览器记住密码。
免费区 
