如何理解权限管理11.10条职责分离原则,即参与GMP活动的用户不得拥有管理权限。QA也是GMP活动的参与者,是否可以拥有管理权限?在公司规模较小,没有独立IT部门的情况下,是否可以将生产设备的管理权限授权给QA?
How should the principle of segregation of duties in access privileges management (11.10) be understood, i.e., users who are involved in GMP activities do not have administrative privileges? Since QA is also involved in GMP activities, can they have administrative privileges? In the case of a small company without an independent IT department, can administrative privileges for production equipment be assigned to QA?
Peter:
这是一个非常非常重要的问题。指南在这一点上很明确,它指出,如果你要成为管理员,你就不能对系统中生成的数据有直接的利益关系。所以大多数公司的做法是在IT部门中设立一个名为IT QA的部门,但并不是每家公司都有资源这样做。正如我们在这里看到的,对于小公司来说,可能没有能力做到这一点。在这种情况下,监管机构的期望是公司尽最大可能做到职责分离。所以,可能不是IT部门,这可能没问题,但你必须证明,在你这个小型组织内部,你已经尽力做到了职责分离。
所以,是的,QA可以拥有管理权限,但应该尽量避免,因为QA的职责是审查审计追踪。这是一个复杂的问题。这非常复杂。所以,是的,他们可以。但同样地,如果有些系统非常复杂,比如要查看审计记录,你必须拥有管理权限或类似的权限。因此,如果QA没有管理权限,他们就无法完成自己的工作。无论如何,你必须有风险评估,来评估你设置系统的方式。所以,如果你的场地允许QA成为管理员,那么必须有风险评估来说明这意味着什么。
这{{threadTextType}}正{{isAdminText}}
为帮助审核人员更快处理,请填写举报原因:
为帮助审核人员更快处理,请填写举报原因:
这个问题国内一直存在 ,且大多数小企业没有IT,管理员都是给到QA的,风险只是程度不同,拥有管理员权限就已经参与到GMP活动了。目前有些检查老师,以及国际检查员是不太认可管理员权限给到QA的,这种情况下,建议给到人事、行政之类的,大约不会有问题了。