计算机化系统风险评估报告_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
计算机化系统风险评估报告
上传于||文档简介
&&计算机GMP 风险评估报告 2016年
阅读已结束，如果下载本文需要使用5下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩6页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢(window.slotbydup=window.slotbydup || []).push({
id: '2014386',
container: s,
size: '234,60',
display: 'inlay-fix'
&&|&&0次下载&&|&&总6页&&|
您的计算机尚未安装Flash，点击安装&
阅读已结束，如需下载到电脑，请使用积分（）
下载：5积分
1人评价1页
1人评价2页
0人评价147页
2人评价492页
0人评价30页
所需积分：（友情提示：大部分文档均可免费预览！下载之前请务必先预览阅读，以免误下载造成积分浪费！）
（多个标签用逗号分隔）
文不对题，内容与标题介绍不符
广告内容或内容过于简单
文档乱码或无法正常显示
若此文档涉嫌侵害了您的权利，请参照说明。
评价文档：
下载：5积分计算机信息系统安全风险评估标准与方法的研究--《吉林大学》2007年硕士论文
计算机信息系统安全风险评估标准与方法的研究
【摘要】：
随着信息化程度的发展,信息系统应用的领域越来越广,信息系统安全的重要性也越发重要。目前国内的信息系统安全测评刚刚起步,正经历一个从无到有的阶段。通过大量的工作实践和总结国内外的成功经验,我所工作的测评中心初步建立起一套风险评估的应用体系。本人参与风险评估标准和方法的研究,结合国际通用标准与国内的实际情况,完成了计算机信息系统安全风险评估的标准依据的确定。同时针对这套标准,在不断的实践中总结出可操作的评估方法;差距分析法,使风险评估工作与计算机信息系统安全等级保护工作紧密结合起来。对以后开展信息系统测评工作、信息系统风险评估工作、信息系统安全等级保护工作打下坚实的基础。
【关键词】：
【学位授予单位】：吉林大学【学位级别】：硕士【学位授予年份】：2007【分类号】：TP309【目录】：
内容提要5-7
第一章 国际发展及现状9-19
一、美国信息安全风险评估9-16
二、其他国家和地区的情况16-19
第二章 计算机信息系统安全风险评估的重要地位和作用19-23
第三章 计算机信息系统安全风险评估的标准23-40
一、等级保护标准24
二、信息系统安全保障评估框架24-33
三、计算机信息系统安全风险评估33-36
四、风险评估原则36-37
五、风险评估过程以及输出文档37-40
第四章 计算机信息系统安全风险评估的方法40-49
一、定性评估和定量评估40-41
二、基于知识的评估和基于模型的评估41-42
三、系统安全风险动态分析与评估方法42
四、典型的风险评估方法42-45
五、风险评估方法-差距分析法45-49
第五章 实例铁路客票发售和预订系统评估49-58
一、安全需求的分析49-51
二、安全目的说明51-54
三、能力成熟度说明54-55
四、安全要求说明55-57
五、风险评估57-58
第六章 小结58-59
参考文献59-60
中文摘要60-64
ABSTRACT64-68
欢迎：、、)
支持CAJ、PDF文件格式
【引证文献】
中国硕士学位论文全文数据库
葛慧;[D];南京理工大学;2012年
车祺丰;[D];北京邮电大学;2011年
尤一名;[D];北京交通大学;2010年
【共引文献】
中国期刊全文数据库
潘平;杨平;何朝霞;;[J];信息安全与技术;2011年11期
王世华;全宇翔;;[J];北京交通大学学报;2007年06期
项文新;;[J];办公自动化;2011年22期
卜振兴;;[J];才智;2009年28期
项文新;;[J];档案学通讯;2008年01期
吴涛;马军;;[J];东北师大学报(自然科学版);2010年01期
李伟英,高强;[J];电力系统通信;2005年09期
李伟英;高强;田捷;;[J];电力系统通信;2005年12期
邱宏;;[J];电脑知识与技术(学术交流);2007年21期
刘翠翠;王云;;[J];电脑知识与技术;2008年36期
中国重要会议论文全文数据库
刘欢;;[A];第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集[C];2009年
李陶深;严毅;曾亮;黄国石;蔡世平;黄顶源;;[A];广西计算机学会2006年年会论文集[C];2006年
詹锋;;[A];广西计算机学会2006年年会论文集[C];2006年
王永红;;[A];全国第21届计算机技术与应用学术会议（CACIS·2010）暨全国第2届安全关键技术与应用学术会议论文集[C];2010年
姜东兴;叶震;;[A];第六届中国测试学术会议论文集[C];2010年
王辉柏;陈兴;;[A];第九届中国通信学会学术年会论文集[C];2012年
中国博士学位论文全文数据库
马健丽;[D];北京邮电大学;2010年
赵元;[D];天津大学;2009年
赵亮;[D];上海交通大学;2011年
张峰;[D];电子科技大学;2004年
刘益和;[D];四川大学;2005年
赵文;[D];四川大学;2006年
胡勇;[D];四川大学;2007年
谢同祥;[D];南京师范大学;2008年
刘培培;[D];西南交通大学;2008年
叶振军;[D];天津大学;2008年
中国硕士学位论文全文数据库
邹亮;[D];哈尔滨工程大学;2010年
韩珝;[D];昆明理工大学;2009年
武俊芳;[D];中原工学院;2011年
李金武;[D];中原工学院;2011年
乔荣庆;[D];西安电子科技大学;2009年
赵元;[D];北京交通大学;2011年
刘承;[D];兰州大学;2011年
郭琳;[D];陕西师范大学;2011年
宋红梅;[D];河北师范大学;2011年
李伟丽;[D];天津财经大学;2011年
【同被引文献】
中国期刊全文数据库
崔蔚,徐铁钢,韩卫华,郝军;[J];成都信息工程学院学报;2005年02期
邱宏;;[J];电脑知识与技术(学术交流);2007年21期
,叶铭;[J];信息技术与标准化;2003年04期
郝强,朱梅林;[J];系统工程;1995年05期
高翔;[J];国际电力;2003年01期
李嵩,孟亚平,孙铁,刘海峰;[J];计算机工程与应用;2005年29期
孙鹏鹏;张玉清;韩臻;;[J];计算机工程与应用;2007年09期
孙铁,张玉清,孟祥武;[J];计算机工程;2004年22期
刘宝旭;王晓箴;池亚平;;[J];计算机工程;2007年16期
陆余良,夏阳;[J];计算机学报;2005年05期
中国硕士学位论文全文数据库
叶翔;[D];华中科技大学;2004年
陈慧勤;[D];同济大学;2006年
张晓婷;[D];北京交通大学;2006年
林杨毅;[D];浙江大学;2006年
吴兰;[D];江南大学;2007年
肖晖;[D];重庆大学;2008年
刘正萱;[D];暨南大学;2009年
【相似文献】
中国期刊全文数据库
张振强;;[J];电脑知识与技术;2009年12期
刘霞;;[J];电脑知识与技术;2010年10期
岳小金;徐军;;[J];大众科技;2010年04期
孟笑然;[J];科研管理;1994年03期
吴昌伦,王毅刚;[J];中国计算机用户;2003年44期
罗璎珞,李晓勇;[J];计算机安全;2004年08期
敖挺,胡昌振;[J];计算机安全;2004年10期
汪楚娇,陆鑫炎,王拓,管晓宏;[J];计算机工程;2004年17期
王祯学,戴宗坤,肖龙,王标;[J];四川大学学报(自然科学版);2004年05期
郑新东;[J];华南金融电脑;2005年07期
中国重要会议论文全文数据库
程艳;陈会明;张静;于文莲;周新;宋乃宁;王立峰;李晞;李蕾;孙鑫;王琤;;[A];中国环境科学学会2009年学术年会论文集（第一卷）[C];2009年
卢友发;朱晓东;;[A];天气、气候与可持续发展——河南省气象学会2010年年会论文集[C];2010年
毛捍东;陈锋;张维明;黄金才;;[A];中国信息协会信息安全专业委员会年会文集[C];2004年
周振宇;沈建京;;[A];2005年中国智能自动化会议论文集[C];2005年
杨亚伟;刘刚;;[A];2005通信理论与技术新进展——第十届全国青年通信学术会议论文集[C];2005年
程艳;李怀林;唐英章;王军兵;陈会明;于文莲;王立峰;孙鑫;王琤;李晞;;[A];中国毒理学会环境与生态毒理学专业委员会成立大会会议论文集[C];2008年
黄亮;丁爱萍;彭小燕;黄新时;刘爱兵;;[A];第六届长三角气象科技论坛论文集[C];2009年
刘峰贵;马玉玲;魏本勇;侯光良;张镱锂;周强;张海峰;;[A];中国地理学会百年庆典学术论文摘要集[C];2009年
刘春霞;;[A];2008年度标准化学术研究论文集[C];2009年
范济秋;;[A];2009航海技术理论研究论文集[C];2009年
中国重要报纸全文数据库
东方地球物理勘探公司安全副总监、HSE部主任
田国发;[N];中国石油报;2009年
付德友　孔博昌;[N];中国石油报;2007年
;[N];中国纺织报;2009年
陈军　吴建武
李湘;[N];泰州日报;2009年
董利平　本报记者
宋黎胜;[N];健康报;2011年
本报记者 王世鹏 实习生 王莹 通讯员 赵俊明 王维;[N];联合日报;2009年
风帆　马丹;[N];宝鸡日报;2010年
简工博;[N];解放日报;2011年
刘菁;[N];经济参考报;2007年
胡笑红;[N];农资导报;2006年
中国博士学位论文全文数据库
刘经伟;[D];东北林业大学;2004年
张明;[D];华中农业大学;2005年
仇广乐;[D];中国科学院研究生院（地球化学研究所）;2005年
侯刚;[D];西北农林科技大学;2009年
刘宏业;[D];天津大学;2004年
李彤;[D];中国地质大学（北京）;2009年
陈李宏;[D];武汉理工大学;2008年
王侃;[D];华中科技大学;2009年
关勇;[D];华北电力大学（北京）;2009年
兰荣娟;[D];北京交通大学;2010年
中国硕士学位论文全文数据库
宋森涛;[D];浙江大学;2005年
刘坤坤;[D];西南政法大学;2006年
卜淑珍;[D];厦门大学;2006年
郝润强;[D];北京交通大学;2008年
胡岚岚;[D];大连海事大学;2008年
钟恢明;[D];南昌大学;2009年
周波;[D];南京航空航天大学;2010年
王克研;[D];沈阳工业大学;2005年
胡浩亮;[D];大连海事大学;2005年
李红亮;[D];湖南大学;2005年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊（光盘版）》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址：北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线：400-819-82499
服务热线：010--
在线咨询：
传真：010-
京公网安备75号GMP附录生效前计算机化系统合规整改方案
郑茜+王新玲+严伟民摘 要 《药品生产质量管理规范附录-计算机化系统》是药品生产企业必须遵循的重要法规之一。对法规生效前的计算机化系统，首先应针对计算机化系统生命周期的各阶段要素建立文件体系，其次是根据差距分析识别出缺陷项目，然后再针对缺陷项目进行逐项整改。本文为操作系统安全、应用程序、备份及备份检查、审计跟踪的整改方案提供参考。关键词 法规生效前计算机化系统 操作系统安全 应用程序 备份及备份检查 审计跟踪中图分类号：R951 文献标识码：C 文章编号：（8-03ZHENG Xi1， WANG Xinling1， YAN Weimin2[1. Sinopharm Geptech （Shanghai） Engineering Co. Ltd.， Shanghai 200235， China； 2. School of Pharmacy， Fudan University， Shanghai 201203， China]ABSTRACT “Chinese GMP Annex-computerized system” is one of the most fundamental regulations which should be followed by the pharmaceutical industry. For the legacy system before the entry into force of the regulations， the documents system should be established for the elements at the various stages in the life cycle of a computerized system and the defects in the project should be identified according to gap analysis and finally the defect items should be rectified one by one. This article can provide a reference for the rectification program including operation system， application program， backup and its check and audit trail.KEY WORDS legacy computerized； operation system； application program； backup and backup check； audit trail国家食品药品监督管理总局颁布了《药品生产质量管理规范附录-计算机化系统》[1]，于日生效执行。对于在法规生效前的计算机化系统合规步骤如下：计算机化系统分类风险评估[2]；进行差距分析[3]；制定《GMP相关计算机化系统验证清单》；进行系统验证；系统整改。本文为法规生效前的计算机化系统合规性整改提供一些参考方案。1 主要定义1.1 简单系统[4]简单的计算机化系统往往是非定制的商用成品软件，这类计算机化系统应用非常广泛。这类系统没有存储功能，记录分类为纸质记录，软件分类为第三类软件[3]。1.2 复杂系统复杂的计算机化系统应用软件往往是系统定制软件或企业自行开发的软件，这类系统具有存储功能，记录分类为混合记录或电子记录，软件分类为第三、四或五类软件[5]。2 整改方案在对法规生效前的计算机化系统进行差距分析结束后，首先应针对计算机化系统生命周期的各阶段要素建立文件体系。计算机化系统的生命周期主要由以下4个阶段组成[5]：概念提出，项目实施，系统运行及系统退役。GMP相关的活动主要集中在项目实施，系统运行及系统退役阶段。其中项目实施为4个部分组成：计划，规范、配置和代码审核，安装、调试与验证，系统交付。2.1 计算机化系统项目实施阶段计划部分整改措施计划阶段需完成初步计算机化系统风险评估，并在风险评估的基础上进行供应商审计，审计内容包括供应商质量体系，软件权限设置，审计跟踪功能，商业通用软件出厂测试报告，定制软件基础架构证书等。指导文件为《GMP相关计算机化系统供应商管理程序》。2.2 计算机化系统项目实施阶段规范、配置和代码审核部分整改措施在规范，配置和代码审核阶段，需对供应商提供的软件设计规范、硬件设计规范、系统功能说明等规范性文件进行审核，并对商业通用应用软件的功能进行审核。指导文件为《GMP相关计算机化系统规范，配置和代码审核管理程序》。2.3 计算机化系统项目实施阶段安装、调试与验证部分整改措施在规范，配置和代码审核阶段结束后，进入系统安装，调试与验证阶段，安装及调试活动的主体是供应商。在安装及调试结束后，进行关键功能风险评估，根据风险评估中得出的风险优先级别项，开展验证活动。指导文件为《GMP相关计算机化系统验证管理程序》。在验证结束后，系统由供应商交付用户并投入使用。2.4 计算机化系统运行阶段整改措施在系统投入运行后，为了保障系统正常运行及数据的安全性、有效性及完整性。需进行以下活动：更新系统运行操作及维护保养程序；根据系统风险评估及验证文件，编写系统运行操作及维护保养程序，并根据程序进行日常操作，系统运行操作文件需包括计算机化系统权限设置，审计跟踪功能等内容。2.4.1 日常维护对系统的控制需求进行日常维护[2]。具体包括校验，数据安全、备份、归档及恢复和审计跟踪等，指导文件为《GMP相关计算机化系统安全控制管理程序》、 《GMP相关计算机化系统电子数据备份、归档及恢复管理程序》及《GMP相关计算机化系统校准及审计跟踪管理程序》。
2.4.2 系统异常处理在系统运行中发生偏离等异常事件时，发生的偏差都应该在偏差报告中进行汇总并对产生的影响进行评估。对偏差的处理结果最终需由质量保证部负责人批准。为了正确处置偏差，避免偏差的再次发生，还可制定纠正和预防措施。指导文件为《偏差调查程序》及《纠正预防措施管理程序》。2.4.3 业务持续性计划为了减少突发事件对系统运行及数据的影响，需制定业务持续性计划，以应对各类突发事件。指导文件为《GMP相关计算机化系统业务持续性计划及灾难恢复管理程序》。2.4.4 系统变更在系统运行过程中发生的变更，其执行的流程为：变更申请，变更评估，变更批准和变更执行。指导文件为《变更控制管理程序》。2.4.5 系统定期回顾系统运行一段时间后，需定期对系统审计跟踪记录、用户清单、系统验证状态、系统变更、自上次回顾以来发生的相关事件、系统操作维护程序和数据备份等进行回顾。指导文件为《GMP相关计算机化系统定期回顾管理程序》。2.5 计算机化系统退役阶段整改措施在计算机化系统退役前，需根据变更控制管理程序执行，按《GMP相关计算机化系统电子数据备份、归档及恢复管理程序》对数据进行备份。退役流程指导文件为《GMP相关计算机化系统定期回顾及退役管理程序》。2.6 整改中需重点关注的控制需求2.6.1 操作系统操作系统为第一类软件，其安装的应用程序可完成控制、报警及监测等功能。此类系统的管理重点是可保存数据及修改时钟的Windows系统。而建立权限表及进行人员授权是普遍的整改方法。对操作系统，重点是对硬盘中存储的数据及时钟进行防护。在权限表中可以仅设两级权限，操作人员具有运行应用程序的权限，而管理员对文件夹及时钟具有权限。在具体整改时可以将权限表修订进入系统维护程序或各部门所有法规生效前的计算机化系统的权限文件中。根据权限对相应人员授权，授权需填写申请表。根据批准的申请表为相应人员建立Windows账户，一般要求每个用户都需有独立的用户名和密码。人员账户发生变化时，需及时删除失效账户。账户清单需定期进行回顾。2.6.2 应用程序应用程序指的是第三、四或五类软件。应用程序的整改重点为3个部分：权限表、人员授权及参数调用或修改的复核。因应用程序涉及参数修改及电子数据备份，所以一般至少需有三级权限。系统管理员和操作者的主要区别是操作者仅能进行日常操作维护及数据浏览而管理员可以有权限分配、设置参数及备份等的管理权限。而部门负责人需对权限分配，参数设置及备份进行复核或批准。2.6.3 参数修改及调用所有系统，即使设置的参数是固定的，在系统重新运行前也应进行检查确认。当系统的应用程序输入或调用参数时，需进行复核。检查、确认、修改及复核需有记录。各级人员需按照各自权限进行操作。需注意的是在法规生效前的计算机化系统应用程序存在缺陷时，理想的整改方法是对程序进行升级，使其在逻辑功能上满足规范要求。在对于简单设备及以纸质记录为主记录的混合记录的系统，通过制定文件及在纸质记录上体现关键操作的方式，也可达到权限控制及参数调用或修改的复核要求。2.6.4 电子数据备用对于复杂系统而言，可将电子数据保存为电子记录。而对电子记录的备份的要求包括：备份计划制定；电子数据备份存储介质的编号管理；备份操作的记录；备份文件的复核；原始数据清除的申请及批准；数据恢复申请及批准；备份数据清除的申请及批准。2.6.5 审计跟踪对于以电子记录为主的混合记录的系统以及纯电子记录系统，应用系统需生成完整的审计跟踪功能系统，该功能不得被关闭。审计跟踪记录包括：系统关键操作（如经修改或调用参数）的操作人，时间，操作原因，复核人等信息。操作结束后将审计跟踪记录打印成纸质记录，并由专人进行复核，审计跟踪记录作为GMP文件进行管理，在保存期限内清晰可读，并能方便查阅。对于其他系统应在《系统用户操作日志》中记录用户进入、退出，系统使用，参数修改设定和数据打印等情况。需有操作人员及专人复核签字。3 结语法规生效前的计算机化系统合规性整改需基于《分类风险评估表》、《差距分析报告》和《GMP相关计算机化系统验证清单》等已批准的文件基础上进行。在根据差距分析中识别出的缺陷，进行逐项整改时，首选对应用程序进行升级，在逻辑功能上对系统的安全性进行保证。同时，对于纸质记录及纸质记录为主记录的系统，可采用文件及记录的方式对系统的权限、参数修改及审计跟踪进行规范。参考文献[1] 国家食品药品监督管理总局. 药品生产质量管理规范附件-计算机化系统[EB/OL]. （） []. http：//www./WS01/CL.html.[2] 郑茜， 严伟民. GMP附录生效前计算机化系统合规策略探讨[J]. 上海医药， 2016， 37（5）： 69-71.[3] 郑茜， 李莺， 严伟民. 差距分析法检查GMP附录生效前计算机化系统的合规性[J]. 上海医药， 2016， 37（11）： 78-80.[4] European compliance academy. GMP advisor- the GMP question & answers guide version 01 april 2014[EB/OL].[]. http：//www.gmp-compliance.org/eca_gmpguide.html.[5] International society for pharmaceutical engineering. GMA P5 a risk-based approach to compliant GxP computerised systems[EB/OL]. []. https：// www2.ispe.org/imis/ISPE/Store/Category_Search_Results. aspx？InitialText=GAMP%205.
2016年17期
上海医药的其它新闻您当前位置：&->&&->&
更新时间：
文件大小:13.9MB
语言要求：简体中文
浏览次数:人浏览
同类热门资料
资料下载地址
(确认已经开启迅雷或电驴)
评论处1楼有网盘链接
内容介绍：
　　本书从国内外风险评估发展状况、信息安全政策法规、风险评估理论方法、管理框架与流程以及实践与探索的经验等方面，系统和科学地阐述信息安全风险评估这一系统工程管理方法，为在我国全面推进信息安全风险评估工作提供切实可行的业务指导。.
　　 本书主要面向信息化建设管理者与工程技术人员，同时可为信息安全管理决策者提供参考。可用作行业、省市信息安全风险评估培训教材，也可作为高校和科研院所教学科研工作的参考用书。...
内容截图：
相关学习资料
友情链接：
&&&& &&&&&&&&&&&&&&&&
学习资料库，由广大资源爱好者通过共享互助而共享各种学习资料，但学习资料库无法保证所共享资料的完整性和合理性
版权所有 Gzip enabled