第五十九条  各类数据的录入、修改、保存等操作应当符合授权范围、操作规程和管理制度的要求,保证数据原始、真实、准确、安全和可追溯。

【条款释义】

由于计算机管理信息系统是基于数据库共享的多岗位协同系统,各个系统用户都有机会增加、删除或修改系统中的数据。本条款的目的就是针对不同的岗位职责设定不同的操作权限,严格信息管理员对岗位操作人员的合理授权;制定与各岗位职责相对应的管理制度和标准操作规程(SOP),严格各岗位操作人员对各类数据的录入、修改、保存等的操作权限。以保证数据操作的有序性和可控性,保证数据真实可信,安全可靠和可追溯。

【检查要点】

现场检查内容:

1.企业应制定计算机系统数据管理、操作授权管理等制度。

2.为确保各岗位操作过程中录入、修改、删除和保存各类数据的原始性、真实性、准确性、安全性和可追溯性。企业应根据不同岗位、不同职责、不同操作功能制定明确的标准操作规程(SOP)。

3.系统管理员给岗位操作人员的计算机授权应进行审批并建立审批记录,系统管理员应根据岗位操作人员的工作职责建立相对应的功能授权(被授权操作某一功能模块)和数据授权(被授权查阅某一数据模块),并给予相应的账号密码。

(1)未经过系统管理员预先建立并通过账号密码的岗位操作人员不能进入某个授权功能点进行系统操作或进入某个数据点进行数据查询。

(2)各岗位操作人员应使用自己的账号密码登陆操作,不得窃取他人的账号和密码登陆;

(3)为防止各岗位操作人员密码泄露,系统管理员应不定期更换各岗位操作人员密码。

针对以上要求,重点检查:岗位操作规程与文件规定的内容是否一致;各岗位软件系统授权范围是如何划分的;各岗位操作人员的系统授权是否符合其工作需要,是否进行审批并记录;各岗位职责及对应的软件系统授权范围是否一致;信息应用系统是否支持对操作者的操作范围授权,防止越权操作;检查系统管理员是否按照规定对操作者进行了操作范围授权。

4.系统应建立用户登陆使用系统的日志,包括各用户登陆时间,退出时间等等。检查信息应用系统是否具备操作跟踪日志。

5.企业对增加、更改和删除的数据应在系统记录中体现。

现场检查方法:

  1. 对照各岗位人员的实际操作是否与本企业制度、岗位职责相符。
  2. 检查各岗位人员的实际操作是否与本企业业务流程相符。
  3. 检查各岗位人员的操作是否与授权范围相符。
  4. 数据保存的方法、时限。
  5. 现场提问内容举例:

(1)如何保证数据的真实、准确、安全和可追溯?

(2)在没有授权的情况下,是否可以录入、修改、保存和删除数据?

(3)系统管理员设定权限的手续?是否只有经过系统管理员预先建立并通过口令认证的用户才能进入进行系统操作?

(4)系统能否支持对操作者的功能授权和数据授权?管理员是否已对操作者进行相应授权?

(5)系统能否提供用户登陆使用系统的日志(信息包括各用户登陆时间,退出时间等等)?

常见问题及现象:

1.企业未制定计算机系统数据管理、操作授权管理等制度或标准操作规程。

2.系统管理员没有按规定限制操作者的操作范围。

3.系统不能提供用户登陆使用系统和使用功能的日志。

4.增加、更改和删除数据的过程不能在记录中体现。

5.岗位授权与其工作性质不相符合。

6.岗位授权无相关部门和人员审批。

7.没有明确的岗位系统软件授权范围划分。

8.岗位操作人员授权与计算机管理制度中规定的工作岗位职责不相符。

【注意事项】(包括关联条款)

1.对于系统内质量控制权限只能授权给质量管理人员。

2.一个岗位操作人员具有质量管理、验收、出库复核、销售等多个职能,取得多个操作权限,具有篡改数据的条件。

3.系统管理员不经审批随意给岗位操作人员授权。