制药厂系统权限定期审查制度.doc

制药厂系统权限定期审查制度

一、总则

1.目的

本制度旨在确保制药厂信息系统权限的合理性、安全性与合规性，保障系统的稳定运行，防止因权限设置不当导致的数据泄露、操作失误等风险，提高运营效率，促进制药厂整体业务的健康发展，同时契合制药厂“质量至上、创新驱动、以人为本、追求卓越”的企业文化与经营理念。

2.适用范围

本制度适用于制药厂全体员工，包括正式员工、临时工、实习生以及所有有权访问制药厂信息系统的外部合作伙伴和第三方服务提供商。

3.审查原则

-必要性原则：权限的授予必须基于员工的工作职责和业务需求，确保最小化权限，仅授予完成工作所需的最低权限级别。

-合规性原则：权限设置应符合国家法律法规、行业规范以及制药厂内部的各项规章制度，包括但不限于药品生产质量管理规范（GMP）、数据保护法规等。

-动态性原则：随着员工岗位变动、业务流程调整以及系统升级等情况，及时对系统权限进行相应的调整和审查，确保权限与实际工作情况相匹配。

二、组织架构与职责划分

1.审查小组组成

-组长：由行政主管担任，负责全面领导和协调系统权限定期审查工作，对审查结果进行最终决策，并与制药厂高层沟通相关事宜。

-成员：包括信息部门负责人、各业务部门负责人以及内部审计人员。信息部门负责提供系统权限相关的技术支持和数据统计；各业务部门负责人对本部门员工的工作内容和权限需求进行评估；内部审计人员从合规性和风险管理角度对权限审查工作进行监督和评估。

2.职责分工

-信息部门

-负责收集和整理系统权限数据，包括用户账号、权限列表、权限变更记录等信息。

-协助审查小组进行技术层面的分析，如权限冲突检测、系统漏洞排查等。

-根据审查结果，及时调整和更新系统权限设置，确保系统权限与审查结果一致。

-各业务部门

-负责对本部门员工的系统权限进行初审，根据员工的岗位说明书和实际工作需求，确认权限的合理性。

-及时向审查小组反馈本部门业务变化导致的权限需求变更情况，如新增业务流程、岗位调整等。

-内部审计人员

-制定审查计划和审计标准，确保审查工作按照预定的程序和规范进行。

-对审查过程和结果进行监督，检查是否存在违规授予权限、权限滥用等风险，并提出改进建议。

-跟踪审查结果的执行情况，确保问题得到有效整改。

三、管理流程

1.审查周期

系统权限定期审查每季度进行一次，在每个季度末的最后一个月开展。如遇特殊情况，如重大系统升级、组织架构调整等，应及时进行临时审查。

2.审查准备阶段

-信息收集：信息部门在审查开始前两周，收集系统权限相关数据，并将整理后的权限清单分发给各业务部门负责人。

-通知发布：审查小组组长发布审查通知，明确审查的范围、标准、流程和时间节点，要求各部门做好准备工作。

3.部门自查阶段

-各业务部门负责人组织本部门员工对系统权限进行自查，对照岗位说明书和实际工作内容，填写《系统权限自查表》，详细说明每个员工的权限是否合理，是否需要调整，以及调整的原因等。

-各业务部门在自查过程中，如发现权限设置与实际工作不符或存在权限滥用等问题，应及时进行内部沟通和初步整改，并在《系统权限自查表》中记录整改情况。

4.联合审查阶段

-各业务部门完成自查后，将《系统权限自查表》提交给审查小组。审查小组召开联合审查会议，对各部门提交的自查结果进行集中审查。

-在联合审查过程中，信息部门提供技术支持和数据解释，各业务部门负责人对本部门的权限情况进行说明。内部审计人员根据审查标准，对权限设置的合规性、必要性进行评估。

-审查小组对存在争议的权限设置问题进行讨论和决策，必要时可向相关员工或部门进一步了解情况。

5.审查结果处理阶段

-根据联合审查结果，审查小组编制《系统权限审查报告》，详细记录审查情况、发现的问题、处理建议以及整改要求等。

-《系统权限审查报告》经审查小组组长审核后，提交给行政主管审批。审批通过后，信息部门按照报告中的处理建议，在一周内完成系统权限的调整和更新。

-对于审查中发现的权限违规问题，内部审计人员按照相关规定进行调查和处理，并将处理结果记录在案。

四、权利与义务

1.员工权利

-员工有权了解自己所拥有的系统权限范围以及权限变更的原因。

-员工如认为自己的权限设置不合理，影响工作开展，有权向本部门负责人提出申诉，部门负责人应及时进行核实和处理。

-员工有权要求信息部门提供关于系统操作和权限使用的培训，以确保正确使用