計算機系統(tǒng)風(fēng)險控制文件

計算機系統(tǒng) 制度編

KF…目錄總則職責(zé)細則附則

等 級 C更改碼 0起草人質(zhì)量

起草部門審核日期

總經(jīng)理簽發(fā)：年 月 日計算機系統(tǒng) 第1

共8風(fēng)險控制文件

等 級 C更改碼 0總則目的為避免計算機配置不到位、運行不穩(wěn)定、數(shù)據(jù)丟失、系統(tǒng)攔截失效等影響，造成藥品經(jīng)營過程中的質(zhì)量風(fēng)險，特制定本管理文件。依據(jù)《質(zhì)量風(fēng)險管理制度》《質(zhì)量風(fēng)險管理程序》適用范圍適用于公司計算機系統(tǒng)的風(fēng)險管理。職責(zé)詳見《質(zhì)量風(fēng)險管理職責(zé)》。細則：計算機管理各風(fēng)險點描述1：計算機系統(tǒng)未實現(xiàn)各經(jīng)營流程及環(huán)節(jié)的質(zhì)量控制功能風(fēng)險描述：計算機系統(tǒng)未設(shè)置各環(huán)節(jié)（如采購、收貨、驗收、儲存養(yǎng)護、運輸配送、銷售、售后、不合格品管理、特殊管理藥品管理等）的質(zhì)量控制控制功能，公計算機系統(tǒng) 第2

共8風(fēng)險控制文件司質(zhì)量管理控制人為管控，出現(xiàn)系統(tǒng)漏洞。風(fēng)險評估：

等 級 C更改碼 0風(fēng)險優(yōu)先指數(shù)RPN16，處理等級中級，采用風(fēng)險預(yù)防控制。風(fēng)險控制措施：3.1.3.1（如采購、品管理等）的質(zhì)量控制功能；3.1.3.2有效、準確。2：系統(tǒng)配置達不到要求，未提供適宜的硬件,運行不穩(wěn)定風(fēng)險描述：系統(tǒng)配置達不到要求，服務(wù)器或?qū)Ｓ媒K端設(shè)備配備不足；未提供適宜的硬件，公司服務(wù)器容量不夠，運行不穩(wěn)定；絡(luò)攻擊，造成服務(wù)器癱瘓或數(shù)據(jù)丟失。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN20，處理等級低級，采用風(fēng)險預(yù)防控制。風(fēng)險控制措施：計算機系統(tǒng) 第3

共8風(fēng)險控制文件

等 級 C更改碼 0建立計算機系統(tǒng)管理制度，明確計算機操作行為規(guī)范；展；建立可靠的信息平臺，安裝殺毒軟件進行系統(tǒng)的防護；在內(nèi)部網(wǎng)和外全管理措施、記錄所有可疑事件。3：火災(zāi)、設(shè)施設(shè)備故障、損壞等造成數(shù)據(jù)丟失風(fēng)險描述：存放服務(wù)器的機房發(fā)生火災(zāi)、設(shè)施設(shè)備故障、機房門禁系統(tǒng)密碼外泄、其他人非法進入等原因，造成數(shù)據(jù)損壞或丟失。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN20，處理等級中級，采用風(fēng)險預(yù)防控制。風(fēng)險控制措施：定期檢查消防設(shè)施設(shè)備，制定消防應(yīng)急預(yù)案；5子進入機房造成破壞；定期對計算機系統(tǒng)數(shù)據(jù)備份場所安全、數(shù)據(jù)保存期限進行檢查，發(fā)現(xiàn)計算機系統(tǒng) 第4

共8風(fēng)險控制文件

等 級 C更改碼 0問題，及時糾正。4：員工個人行為影響系統(tǒng)的穩(wěn)定性員工設(shè)置用戶口令或密碼過于簡單，易被猜測爆破；,鎖定，其他人員可以操作，造成數(shù)據(jù)被惡意篡改與刪除。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN16，處理等級中級，采用風(fēng)險預(yù)防控制。風(fēng)險控制措施：建立計算機系統(tǒng)管理制度，明確員工計算機操作行為規(guī)范；員工應(yīng)定期對密碼進行修改，防止密碼泄漏；對違反人員進行通報并予以扣罰，規(guī)范員工行為。5：未及時清理離職、轉(zhuǎn)崗員工系統(tǒng)賬號員工離職、轉(zhuǎn)崗未及時清理其系統(tǒng)賬號，造成數(shù)據(jù)泄露或被篡改、刪除。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN16，處理等級中級，采用風(fēng)險預(yù)防控制。計算機系統(tǒng) 第5

共8風(fēng)險控制文件風(fēng)險控制措施：

等 級 C更改碼 0離職手續(xù)后，及時通知信息部取消其系統(tǒng)操作賬號及即時通賬號；員工轉(zhuǎn)崗時，企管部通知信息部刪除其系統(tǒng)操作賬戶權(quán)限；賬號及即時通賬號，發(fā)現(xiàn)未清理及時通知信息部處理。6：信息部員工安全意識欠缺信息部員工安全意識欠缺，不能正確理解并履行職責(zé)，未對系統(tǒng)數(shù)據(jù)進行有效備份。該風(fēng)險點的風(fēng)險優(yōu)先指數(shù)RPN18，處理等級中級，采用風(fēng)險預(yù)防控制技術(shù)。風(fēng)險控制措施：加強信息部員工的安全意識培訓(xùn)，明確其安全管理職責(zé)；進行檢查。7：質(zhì)量管理攔截功能失效因系統(tǒng)漏洞，質(zhì)量管理攔截功能失效，造成超范圍購銷、資質(zhì)過期購銷或無效購銷。計算機系統(tǒng) 第6

共8風(fēng)險控制文件

等 級 C更改碼 0該風(fēng)險點的風(fēng)險優(yōu)先指數(shù)RPN20，處理等級低級，采用風(fēng)險預(yù)防控制技術(shù)。風(fēng)險控制措施：漏洞；加強全員質(zhì)量風(fēng)險意識，各崗位發(fā)現(xiàn)異常及時報質(zhì)量管理部處理；建立可靠的信息平臺，安裝殺毒軟件進行系統(tǒng)的防護。8：系統(tǒng)技術(shù)人員操作權(quán)限過大系統(tǒng)技術(shù)人員操作權(quán)限過大，后臺數(shù)據(jù)存在被篡改、刪除的風(fēng)險。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN16，處理等級中級，采用風(fēng)險預(yù)防控制技術(shù)。風(fēng)險控制措施：集團信息總部協(xié)助公司信息部梳理公司系統(tǒng)技術(shù)人員操作權(quán)限；信息部部長定期檢查，發(fā)現(xiàn)漏洞及時采取補救、預(yù)防措施。9：未建立計算機系統(tǒng)管理制度，人員操作不規(guī)范公司未建立計算機系統(tǒng)管理制度和操作規(guī)程；計算機系統(tǒng) 第7

共8風(fēng)險控制文件各項記錄的真實準確性無法保證。風(fēng)險評估：

等 級 C更改碼 0風(fēng)險優(yōu)先指數(shù)RPN12，處理等級低級，采用風(fēng)險預(yù)防控制技術(shù)。風(fēng)險控制措施：制定計算機系統(tǒng)管理制度和操作規(guī)程；信息部定期組織相關(guān)人員進行培訓(xùn)，讓員工熟悉本崗位系統(tǒng)操作；對計算機系統(tǒng)管理制度的執(zhí)行情況定期進行檢查、考核。10：系統(tǒng)操作權(quán)限、數(shù)據(jù)修改未經(jīng)質(zhì)量管理部審核、監(jiān)督計算機操作權(quán)限、系統(tǒng)數(shù)據(jù)的修改未經(jīng)質(zhì)量管理部審核；系統(tǒng)修改時質(zhì)量管理部未監(jiān)督，未能核實系統(tǒng)修改是否有效；系統(tǒng)更改過程未留有記錄，不能有效追溯質(zhì)量過程。風(fēng)險評估：風(fēng)險優(yōu)先指數(shù)RPN16，處理等級中級，采用風(fēng)險預(yù)防控制技術(shù)。風(fēng)險控制措施：須經(jīng)質(zhì)量管理部審核；數(shù)據(jù)修改時應(yīng)在質(zhì)量管理部監(jiān)督下進行，修改應(yīng)留存記錄；計算機系統(tǒng)計算機系統(tǒng)風(fēng)險控