《如何从源头保障仪器设备系统的合规?.docx》由会员分享,可在线阅读,更多相关《如何从源头保障仪器设备系统的合规?.docx(3页珍藏版)》请在第一文库网上搜索。
1、如何从源头保障仪器/设备/系统的合规?前言:在DI审计/差距分析期间经常会发现很多仪器/设备/系统自身不满足很多合规要求,只能通过其他的控制措施来弥补,但是从风险控制水平上来讲(参见PDATR84),人工/程序的控制措施是比不上仪器/设备/系统自带的合规功能。因此,对于新建厂房,实验室等引入的仪器/设备/系统,需要从选型阶段考虑仪器/设备/系统自身的合规水平。Part1:明确仪器/设备/系统中需考量哪些合规因素合规因素是在仪器/设备/系统选型和供应商审计时可考虑的因素:1 .设置密码长度2 .设置密码复杂度3 .设置密码历史限制4 .账户失活/激活5 .禁止删除用户6 .禁止创建相同用户名7
2、.权限分级8 .账户锁定阈值9 .仅经授权且激活状态用户能登录10 .新用户首次登录时应强制其修改密码。11 .系统应支持设置密码有效期,到期后强制用户修改密码才能访问系统。12 .账户锁定后发送警告信息。13 .一定时间内无操作,自动登出该用户。14 .禁止自动保存用户的登录密码和电子签名密码。15 .审计追踪禁止用户手动关闭16 .审计追踪基本要素应具备17 .审计跟踪无法被修改、删除或覆盖。18 .系统日志或审计跟踪记录用户的登录登出操作19 .系统记录用户管理(用户创建、隐藏、激活和失活)和用户权限配置操作。20 .审计跟踪记录应可导出和打印。21 .审计跟踪应具备等同于电子记录的保护
3、措施。22 .新生成的审计跟踪记录不能够覆盖原有的审计跟踪记录。23 .系统中的审计跟踪应记录所有数值的修改。24 .系统中新生成的电子记录不能覆盖原有的电子记录。25 .系统中生成的每个电子记录应有唯一的名称或代号。26 .系统中不允许创建与已有电子记录同名的电子记录。27 .电子记录的版本控制。28 .必须录入全部的必填字段才能保存数据,未录入完保存时应弹出提示信息。29 .系统应阻止用户添加/修改/删除报告中的数据。30 .系统应阻止非管理员用户更改数据存储路径。31 .系统中应能够识别被更改的记录(如版本号、颜色、图标、审计跟踪记录).32 .电子签名功能不能被最终用户关闭。33 .电
4、子签名至少由用户名和密码构成。34 .电子签名应能链接/关联到签名的电子记录报告中。35 .电子签名信息:签名人姓名;电子签名日期和时间;电子签名的含义等。36 .已签名的电子记录在修改后,电子签名失效,需重新执行电子签名。37 .电子签名密码设置时应为不可读形式。38 .执行电子签名时,密码应为不可读形式。39 .电子签名的密码不可被剪切,拷贝。40 .不允许通过剪切+粘贴或复制+粘贴的方式录入电子签名密码。41 .电子签名的用户名应是唯一的。42 .打印已签名的电子记录应能够将电子签名信息打印出来。43 .打印的电子记录应能够显示打印人和打印时间。44 .仅管理员能够执行用户管理和修改日期/时间。45 .系统期录入字段类型限制,如数值字段不能输入字母、字符、汉字等。Part2:仪器/设备/系统仅具备合规功能就充足了吗?不充足。A.有功能未启用。例如系统具备审计追踪功能但未启用,不合规。系统支持审计追踪功能,需要额外购买,但未购买,等于没有。B.设定值的合规性。例如密码有效期设为1年,最短密码字符数设定为2个,这样的设定值形同虚设。C.合规功能设置遗漏。例如有的系统的合规设置是分别在不同位置/界面设置,很容易遗漏部分合规设置。以前写的内容:识坑避坑系列一1.系统管理员合规设置时需同时考虑整体+个体
免费区 
