广泛征求意见，关于XRD计算机化系统验证方案。

lvshui

请注意：下载本附件，不要广泛传播，仅作为浏览提供意见。   意见包括但不限于：风险评估是否合理，验证的内容是否合理，测试用例是否合理。

1622579739

学习了 这个验证做的还是比较好的，尤其是计算机windows这块，公司有IT人员还是好

lvshui

1622579739 发表于 2020-5-8 11:55
学习了 这个验证做的还是比较好的，尤其是计算机windows这块，公司有IT人员还是好

感谢您得点评，如果有不好得地方一定帮我指出，万分感谢。

lvshui

各位同仁们，下载走得都帮忙点评一下吧，最好多提提意见哈。希望能得到有质量得点评。万分感谢

一世英名

谢谢分享

lvshui

一世英名 发表于 2020-5-8 13:02
谢谢分享

别走啊，还没有提建议呢

山顶洞人

我来学习一下，看楼上评论不错哈，意见回头给

山顶洞人

我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即可了吧。
其次，你的风评，不太合适，当然作为理解系统的阐述，是可以了。但是，你的服务商已经做了3Q了，我不知道你的验证内容和他提供的有多少区别。
此外，很多奇怪的感觉，例如，审计追踪开启与否的评估，严重性肯定是最高级啊，可能性应该是基于软件设计，应该不可能存在才对，没风评必要吧？至于检测性？我也不知道你不开，你的系统难道还会自己跳出来报警？
这个应该是强制要求，不做风评，必须确认。
感觉风评很奇怪。
另外，灾难恢复呢？数据的保存安全性呢？我觉得大概还是个表面的东西吧，不过格式蛮不错的。

syhorchid

谢谢分享

山顶洞人

另外，我觉得很有意思的一点，大多数确认方案，缺少测试账号的申请和关闭的描述，本身就是新的风险。

lvshui

山顶洞人 发表于 2020-5-8 14:34
我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即 ...

首先感谢您的点评哈，非常有质量。点赞。然后我做这个验证的想法是：关于审计追踪，有的软件有审计追踪但有可能采购的时候没有购买，不过我的软件做了3Q了，这里面应提到了开启审计追踪事宜。这项应该是重复了，感谢提醒。我理解的风险评估是我先整体评估一下目前存在什么风险，然后基于评估的风险级别进行验证。不知道对不对，你说的风评怪怪的，您能说一下风评应该是怎么样的么？灾难恢复怎么做验证呢？我的逻辑是：我的备份是分为系统级别备份，数据备份，如果机器坏了，直接换了一台电脑，用备份系统立即恢复即可。这个过程要怎么验证呢？对了，我备份系统是经过验证的，验证系统级备份可以恢复到任意一台电脑，这样就说明了，可以灾难恢复吧。

lvshui

山顶洞人 发表于 2020-5-8 14:34
我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即 ...

还有数据安全方面，我们有一个整体性的IT系统验证，里面验证我们的IT系统架构，比如如何做IT的变更，IT的数据安全，异地备份，机房安全，逻辑安全，物理安全等，这是在另外一个文件里。

lvshui

山顶洞人 发表于 2020-5-8 14:36
另外，我觉得很有意思的一点，大多数确认方案，缺少测试账号的申请和关闭的描述，本身就是新的风险。

测试账号在没有做验证之前就已经申请存在了。所以我没有体现在方案里

lvshui

山顶洞人 发表于 2020-5-8 14:36
另外，我觉得很有意思的一点，大多数确认方案，缺少测试账号的申请和关闭的描述，本身就是新的风险。

对于IT人员，测试账号申请之后不需要关闭，因为我们有时候更改策略需要验证策略生效。所以这个账号会一直存在。

lvshui

山顶洞人 发表于 2020-5-8 14:34
我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即 ...

你让我考虑了一个问题：哪些应该出现在风险评估表里？那些肯定会做的，软件一定会设计到的不需要在风险评估表里么？还有我们已经做到了需要在风险评估表里么？风险评估表本质上找出所有的风险，不管我系统是否有，也不管我有没有做到，先列出来，然后评估现在的做法，风险水平，然后提出验证的要求。到底哪些东西应该出现在风险评估表里？

lvshui

山顶洞人 发表于 2020-5-8 14:36
另外，我觉得很有意思的一点，大多数确认方案，缺少测试账号的申请和关闭的描述，本身就是新的风险。

如果你说审计追踪开启是否不需要放在风险评估里面，那么我觉得密码策略，权限什么的都不需要放风险评估里。因为软件设计好了，权限分配了，用户肯定是跟着权限走的。这样就好像没有什么东西需要放在风险评估里面了？？？大师，请指导一下哈。

lvshui

山顶洞人 发表于 2020-5-8 14:34
我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即 ...

windows的功能能不能生效，当然不需要验证。我觉得GAMP5里面直接说windows不需要验证，但是没有提到，应该确认你是否启用了windows的策略配置，比如组策略，禁用U盘，禁用控制模板。你只需要证明启用策略即可，无需要证明你启用了策略之后还是否生效。我理解windows验证就是这样的。

山顶洞人

lvshui 发表于 2020-5-8 14:57
如果你说审计追踪开启是否不需要放在风险评估里面，那么我觉得密码策略，权限什么的都不需要放风险评估里 ...

对，哪些我懒得继续说了而已。
风评要基于本身系统的设计来评估其失控的可能性，还有某些功能的可靠性方面吧。
必须达成的，就免了，要针对哪些不确定的

lvshui

山顶洞人 发表于 2020-5-8 15:06
对，哪些我懒得继续说了而已。
风评要基于本身系统的设计来评估其失控的可能性，还有某些功能的可靠性方 ...

那我感觉系统设计几乎没有失控的可能啊，功能也很可靠，咱们还风险评估啥？

yuansoul

山顶洞人 发表于 2020-5-8 14:34
我先说一句，我觉得你可能搞复杂化了，或者跑偏了方向。
首先windows不需要你来验证，只要确认正版与否即 ...

看完以后，有如下恶心柑橘：

1、3q都做了啥？都3q之后还做了很多重复3q内容，要么被骗钱了；要么就是质量自己娱乐自己应付差事，完成kpi。
2、一个典型的只会玩手机游戏水平人写的。
3、这就是 据说可以跟米老鼠抗衡的国内水平，还是比较大的城市，竟然买的起win10