关于计算机化系统权限管理的几个误区（一）.docx

《关于计算机化系统权限管理的几个误区（一）.docx》由会员分享，可在线阅读，更多相关《关于计算机化系统权限管理的几个误区（一）.docx（3页珍藏版）》请在第一文库网上搜索。

1、关于计算机化系统权限管理的几个误区（一）Q1：权限管理就是要求三级权限A：三级权限是一种口语化的描述，没有任何法规指南描述要求三级权限。指南 一般推荐职责分离和最小权限，翻译过来就是本质工作内够用就行。比如一 个维修员，他维修最少要用到点动、停机、试机等操作，那就分配他这个几个权 限即可。对于工艺配方建立啥的尽量不要分配给他。Q2：设备仪器一定要有管理员权限A：权限管理本质是要避免非受控操作，只要你能控制住非受控操作的风险，不 一定非要管理员权限。如电子天平，操作人员正常就三个操作：校准、去皮、称 量。对于这些操作可能被操纵的数据和元数据来看，主要就是称量时间和称量单 位等信息被修改，这些参数

2、本质上操作人员日常操作无需操作的，完全可以单独 设置一个密码进行管控（由专人，一般为IT）管控就行。这个不一定非要管理 员权限。Q3：设备操作系统也要进行权限管理A：操作系统要不要进行权限管理，本质上取决于其是否可以进行数据操纵，如 时间、数据存储文件夹的操纵等。但是有些设备开机后，操作人员无法通过常规 手段进入到操作系统，这样风险就是可控的，无需进行操作实现权限管控。Q4：系统管理员权限一定要交给IT部门A：法规指南没有明确一定要交付哪个部门，期望是交付于非利益相关部门（推 荐是IT或工程），PIC/S指南描述对于较小的组织也可以交给业务部门。Q5：权限管控就是系统独立账户进行追溯A：从系统

3、和数据安全角度说，保证系统管理的策略分物理安全和逻辑安全，进 行独立账户的操作只是物理管控的一个手段。但是还要匹配物理安全（别硬盘被 人拆了），某些情况下可能物理安全就够了（比如某仪器专人操作，设立单独的 房间，只有他可以进入）。Q6：权限管控就是系统独立账户进行追溯A：从系统和数据安全角度说，保证系统管理的策略分物理安全和逻辑安全，进 行独立账户的操作只是逻辑管控的一个手段。但是还要匹配物理安全（别硬盘被 人拆了），某些情况下可能物理安全就够了（比如某仪器专人操作，设立单独的 房间，只有他可以进入）。Q7：最高管理员权限交给IT就可以了A：从系统角度说，系统管理员可以交付IT,只是从应用层面

4、解决的独立账户的 风险。但是从数据完整性角度，还有很多权限要进行管控，如数据库权限、远程 访问权限等，所以IT也要进行合规管理。Q8：权限管理中管理员权限、QA专员等都是权限的代名词A：这些都是口语化说法，权限的意思是访问的能力，比如修改参数的权限。对于QA专员等以岗位等命名方式称呼为权限组，比如QA专员权限组 分配了 质量状态转换和取样下架等权限。Q9： PLC要不要纳入权限管理A：基于数据风险角度看，PLC涉及程序的重新下装，其需要进行权限管控。当然，如果物理安全模式管控或者上传下装进行密码管控也是适当的。Q10： B/S架构的客户端，浏览器可以自动记住密码，这个是否符合要求A：不符合，APlC数据完整性FAQ描述，不允许浏览器记住密码。