系统管理员、数据完整性和业务功能 — 被忽视的需求
自 2018 年fda发布数据完整性指南最终版本以来,似乎大多数公司都收到了这样的信息:系统管理员不应该对他们所管理的系统的数据感兴趣(也就是所谓管理员只能给非利益相关方,甚至结合权责匹配,引生出诸如国内 数据管理规范里 po不得拥有任何操作系统 应用 数据库等的特权)。更直接地说,系统管理员不应该试图操纵系统中的任何数据。 这是一种人工缓解控制措施,因为必须有人具有配置和管理访问权限的方法。管理员可以“猥琐(为所)欲为”,因此至关重要的是,不要滥用此类访问权限来使数据的完整性受到怀疑。
但是,大多数公司都没有实施一个隐含的要求:确保管理员无法在电子系统上执行任何业务功能。 这是从指南中得出的结论:如果系统管理员对系统数据没有既得利益,那么他们应该无法执行系统的业务功能,例如识别样品、启动业务流程、停止/暂停业务流程、生成报告报表等。 某些系统的设计使管理员角色无法执行此操作;某些可以将操作分配给角色的系统允许从系统管理员角色中删除业务操作。 在不允许技术(安全)删除访问权限的系统中,必须修改系统管理员程序以禁止此操作。
根据个人在业内的了解,超过 90% 的 国内正经医药设施(百人以上规模)遵守了系统管理员独立性指南,但对于不允许在系统中进行业务操作的合规性,这一比例下降到不到 25%。 因此,在对电子系统进行数据完整性评估时,您会将此加到您的需求里么。
周末刚出完车险的西某,搓搓小手机,吐个吐槽,缓解下放人家鸽子的郁闷哈哈哈🤣
