金币
UID541
帖子
主题
积分40517
注册时间2011-6-11
最后登录1970-1-1
听众
性别保密
|
欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
<p class=\"MsoNormal\" style=\"text-indent:26.25pt;\">
<span style=\"font-size:14px;line-height:21px;\">本文来自蒲公英小一班微信群分享,分享者:衣龙成 整理:张晓燕</span>
</p>
<p class=\"MsoNormal\" style=\"text-indent:26.25pt;\">
<span style=\"font-size:14px;\">访问权限管理是计算机化系统管理的一个基本管理要求。其必要性,就跟房间需要加锁(指纹锁),禁区出入需要通行证一样。它的基本目的就是为了保护某些东西(数据权限管理,比如信息的保密)或者限制某些东西(功能权限管理,比如限制某些系统操作)。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">站在制药行业的角度,我们有</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">,这些高大上的要求,往往会把制药的专业人士甚至检查员搞懵。所以才有了法规解读,我一直很纳闷这个</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">为什么需要这么多解读呢?</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">行业有非常成熟的权限管理,我们只需要利用其原则。但是我们需要搞清楚我们用权限管理来管理什么。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">言归正传,我也来解读一下制药行业的访问权限管理。我们先看法规要求。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">中国</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">:附录
计算机化系统:</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">“第五条</span><span style=\"font-size:14px;\"> </span><span style=\"font-size:14px;\">计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等,需要各相关的职能部门人员之间的紧密合作。应当明确所有使用和管理计算机化系统人员的职责和权限,并接受相应的使用和管理培训。”</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">欧盟</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">:附录</span><span style=\"font-size:14px;\">11</span><span style=\"font-size:14px;\">计算机化系统</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">“</span><span style=\"font-size:14px;\">There</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">should be close cooperation between all
relevant personnel such as Process</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">Owner, System Owner, Qualified Persons and
IT. All personnel should have</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">appropriate qualifications, level of access
and defined responsibilities to</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">carry out their assigned duties.</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">相关人员如业务负责人,系统负责人,质量授权人和</span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">应该紧密合作。所有人员应该有合适的资质,适当的权限和适当的确定好的职责以行使他们各自的责任。”</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">法规的要求往往很概括,让人不明就里。看得懂,却不知怎么做。原因就在于做</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">的人往往以“药学”知识为主,反而忽视了其它领域的专业。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">从</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">法规的要求看权限管理有三个基本要素:</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">1. </span><span style=\"font-size:14px;\">恰当的职责(与岗位职责匹配)</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">2. </span><span style=\"font-size:14px;\">具有资质(具有操作资格)</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3. </span><span style=\"font-size:14px;\">合适的权限(跟职责匹配的访问权限水平)</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">围绕这三个要素,企业需要做很多基础工作,来保证这三个要素的实现。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">好的权限管理,公司需要有相应的管理系统来支持。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">1. </span><span style=\"font-size:14px;\">职责</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">1.1. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">系统能区分履行职责的人,通常使用个人账号,企业最好为每个人确定一个唯一的账号,这个账号代表了员工在公司的身份。也有只用员工卡或者指纹的系统。这些员工卡或指纹也代表员工的身份。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">1.2. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">公司有相应的岗位职责说明书,个人在系统中的职责应该和其岗位的业务职责相匹配。比如仓库管理人员具有系统中产品放行的权限明显是不恰当的。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">2. </span><span style=\"font-size:14px;\">资质(具有操作资格)</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">2.1. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">培训管理,使操作人有合适的资质,没有资质的人是不能获得权限的</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">我遇见过一些企业的资质管理,往往把一些不合适的权限给领导。觉得领导权限就应该高一些。这种做法是错误的。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">往往是,给了领导高的权限,但领导从来不学习系统操作。所以啥都不会。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">实际上他也从来不用。所以这种权限还是不给的好!</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3. </span><span style=\"font-size:14px;\">权限(跟职责匹配的访问权限水平)</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3.1. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">权限的取得应经过评估,通常是权限申请和批准的过程</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3.2. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">系统中每个人的权限应该被记录下来以便后期维护</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3.3. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">系统中的个人权限应定期的回顾,以便识别人员的职责变化(离职,降职或升迁)。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">总结以上的要素的管理我们可以用</span><span style=\"font-size:14px;\"> DCA</span><span style=\"font-size:14px;\">来总结权限管理的整个过程。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">lan</span><span style=\"font-size:14px;\">:</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">权限的申请,评估过程。任何人获得权限,必须要申请。不能凭关系,这个评估过程是由系统负责人和你的领导来完成的,评估你的工作职责是否真的需要这个权限,需要获得这些权限你需要学习什么(完成什么培训)。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">Do</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">权限的赋予过程,包括培训和结果的记录核实,系统中权限的分配,和实际权限的记录</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">Check</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">定期的回顾权限,看看有权限的人是不是还从事原来的工作,职责是否有变化。系统是不是有新的要求。是不是有人莫名其妙的获得了权限。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">Adjust</span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">根据回顾或者识别出的变化进行权限的调整</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">以上是权限管理的做法指导。但实际操作过程中,会有一些局限。因为有些设备厂商和软件供应商也不是很了解权限管理的原则,所以其权限的设计会有一些跟工厂业务不适应的地方。这需要我们共同努力来推动行业的完善。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">现实中的局限性和给系统供应商的建议:</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">1. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">系统中的各级权限中的功能是固定的,业主无法根据公司自身的需要进行调整。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">建议系统供应商设置不同功能权限模块,业主可以根据自己需要进行组合。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">这里我不是专业的人,因此无法提供专业技术解决方案。但是有的厂商确实能做到,他们把基础模块做的很细,企业可以根据自己的需要进行组合</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">2. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">系统中无帐号设置的功能,业主只需输入不同权限级别的密码即可进行相应的系统操作。这样比较难以识别系统操作的人。不利于记录和结果的管理。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">解决方案就增加帐号设置的功能</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">3. </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">还有一些高级的复杂系统应设置防止利益冲突的权限限制功能。最明显的一个例子就是自己不能批准自己做的结果。比如记录的复核,报告,文件的审核批准。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">如果一个人是这些记录的执行人或者报告文件的作者,那么他的号帐在复核或者审核批准流程中就应该被屏蔽掉。</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">以上是分享内容!</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\">讨论问题汇总:</span><span></span>
</p>
<p class=\"MsoNormal\">
<span style=\"font-size:14px;\"> </span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:-18.0pt;\">
<span style=\"font-size:14px;\">1、 </span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">的权限由谁来管控?</span><span></span>
</p>
<p class=\"MsoNormal\" style=\"margin-left:21.0pt;text-indent:-21.0pt;\">
<span style=\"font-size:14px;\">答:通常</span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">拥有很高的权限,因为他们来负责维护</span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">系统。这个时候企业需通过程序管理来控制,他们跟</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">活动的结果没有利益关系。所以这一点不需要太担心。</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:0cm;\">
<span style=\"font-size:14px;\">系统可以将管理员权限“添加删除用户”和系统功能操作分开管理。</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:0cm;\">
<span style=\"font-size:14px;\">就是,</span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">拥有添加删除用户的权限,但是没有放行管理的权限,当然,</span><span style=\"font-size:14px;\">IT</span><span style=\"font-size:14px;\">可以给自己创造一个账号以拥有放行权限,这种情况下,公司可以用一个独立的系统,创建员工个人账号。由另外的人员来管理这个账号系统。</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:-18.0pt;\">
<span style=\"font-size:14px;\">2、 </span><span style=\"font-size:14px;\">如果有人离职,权限怎么注销和收回?</span><span></span>
</p>
<p class=\"MsoNormal\" style=\"margin-left:21.0pt;text-indent:-21.0pt;\">
<span style=\"font-size:14px;\">答:是的 这是权限变更的管理,应该申请注销,对于管理员我建议设两个。有个备用的!这样也是为了避免企业经营风险,万一这个人看公司不顺眼,胡搞一通。对于</span><span style=\"font-size:14px;\">SAP</span><span style=\"font-size:14px;\">这样的系统,公司怎么办?</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:-18.0pt;\">
<span style=\"font-size:14px;\">3、 </span><span style=\"font-size:14px;\">密码的设置有何规则?</span><span></span>
</p>
<p class=\"MsoNormal\" style=\"margin-left:21.0pt;text-indent:-21.0pt;\">
<span style=\"font-size:14px;\">答:密码的设置 通常应有足够的位数,并且定期变更,每次密码不应重复,并且不能告诉他人,避免密码被盗用,因为通常账号是公开的。这个频率没有强制标准
通常风险高的 变化频率高 举例说 网银的动态密码 每次都不一样。密码的管理跟钥匙的管理有点像,我相信没有人为了保护自己的东西把宝贝锁在宝箱里,但是在锁旁边挂一把开锁的钥匙。这个权限的管理一定是找个可靠的人(职责匹配,比如老婆,老娘或老爹),告诉他什么时候能开锁(培训,只有得到我的允许才能开)至于钥匙给谁了记不记,就不是</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">了,如果是大家族,会有个授权仪式,也就是个记录了。为了防止开锁的权限滥用,可能还要加两把锁,只有两个人同时开锁,宝箱才能打开,这就是权限的限制。</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:0cm;\">
<span style=\"font-size:14px;\">这里向国内的软件供应商强烈建议
把权限模块做的细一些,另外加一些用户管理的模块,让那些长时间不访问系统的用户被自动锁定,还有系统增加密码变更提醒功能。</span><span></span>
</p>
<p class=\"MsoListParagraph\" style=\"margin-left:18.0pt;text-indent:-18.0pt;\">
<span style=\"font-size:14px;\">4、 </span><span style=\"font-size:14px;\">是否所有的电脑都要进行验证?</span><span></span>
</p>
<p class=\"MsoNormal\" style=\"margin-left:21.0pt;text-indent:-21.0pt;\">
<span style=\"font-size:14px;\">答:不是所有的电脑都需要验证,要看你的电脑是不是用于</span><span style=\"font-size:14px;\">GMP</span><span style=\"font-size:14px;\">的业务管理,如果你的电脑安装了应用软件并且应用软件不适用</span><span style=\"font-size:14px;\">Windows</span><span style=\"font-size:14px;\">的权限功能去管理(软件自带),那么你只需要保证你的电脑配置符合应用软件的要求,在安装确认是核实一下即可。</span><span></span>
</p> |
|
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2017-4-28 10:23:11
置顶卡
变色卡
楼主
,供技术人员查看,请大家忽略此帖
