关于计算机系统权限分配的问题请教

cxz123147

请教各位大佬，目前公司实验室对各类仪器正在进行系统权限分配的设计，目前具体大概是分三级，最高的系统管理员由IT人员掌握，用来添加账户、设置权限；第二级是专门进行实验室管理的账号，主要用来新建和编辑检测方法和分析方法；第三级就是检验员，用来日常检测。现在领导不知道从哪儿看到一个”对于较小的组织，可能允许质量部门或生产部门的指定人员作为系统管理员持有访问权限;但是，在这些情况下，不应使用管理员访问权限来执行日常操作并且用户应该持有第二个受限访问权限来执行日常操作。在这些情况下，所有管理人员进行的活动都应在质量体系内进行记录和批准“这样的说法，认为可以将第二级和第三级权限同时给一个实验室人员，日常做检验的时候登录第三级权限账号进行操作，需要新建或者编辑方法的时候登录第二级权限进行操作，不知道这样是否合规，请大神们帮忙判断一下

鬼使神差

一个人，怎么还有两个不同级别账号，听起来，就挺没道理

A110

鬼使神差 发表于 2025-4-14 16:47
一个人，怎么还有两个不同级别账号，听起来，就挺没道理

人员配置不足呗，本应分离的权限，落到同一个人手里掌握了，这种情况下，为了防止误操作，又分离成了2个不同权限的账号

linchk

A110 发表于 2025-4-14 16:52
人员配置不足呗，本应分离的权限，落到同一个人手里掌握了，这种情况下，为了防止误操作，又分离成了2个 ...

应该是可以的.

cxz123147

linchk 发表于 2025-04-14 17:18
应该是可以的.

我这是到一家新公司，在以前的公司曾经也有过这样的情况，一个qc主管需要进行检验操作，有单独的检验员账号，同时编辑方法的账号也在他手里，有一次检查的时候检查员看到这个情况就提出“两个级别账号都在一个人手里，怎么避免他在做检验操作的时候不会为了检验结果合格私自使用高的权限去修改参数”，这方面如果一定要把两级权限放在同一个人手里应该怎么采取措施呢

来自苹果APP客户端

xsl19881106

鬼使神差 发表于 2025-4-14 16:47
一个人，怎么还有两个不同级别账号，听起来，就挺没道理

是可以的，控制好风险，做好追踪就可以。

chinsss

经历过省局、市局检查，表示 可以的
这种情况可以用一个现实的例子去解释下，就是  上级管理人员是岗位操作人员的岗位替代人，岗位操作人员无法继续完成工作的时候可由岗位替代人完成，此时岗位替代人应使用操作人员权限相同的账户进行操作。

鬼使神差

xsl19881106 发表于 2025-4-15 09:33
是可以的，控制好风险，做好追踪就可以。

，行，检查没人管就行。

wsx

比如你的实验室只有一个人有能力进行仪器操作。。

wudizzx

前提是你们的确是属于“较小的组织”，人员的确不够，并且能确保主管不会用其主管或者管理员账号去执行实验就行。
本质还是一个风险控制，如果真觉得没啥风险，也不用分什么三级权限或者将部分角色分给IT了

羽雁

任何做法都是基于风险的，如果利益相关方有了管理员和操作员账号，那么风险就是如何确保数据完整性。如果你的风险评估的控制措施到位，举个极端的例子，摄像头24小时监控并且有人核查，只要你的理由有充足的说服力，否则还是不建议这样做。

流火如夏

法规明确规定了管理权限不得授予利益方

cxz123147

流火如夏 发表于 2025-04-15 16:58
法规明确规定了管理权限不得授予利益方

能否告诉一下是在哪个法规里，我去学习一下

来自苹果APP客户端

sssff

容易被挑战，遇到认死理的检查员，必给你落缺陷，既然有IT，为什么不给IT

南栀

不行........

Lily_VIP

其实人性很难把控，没有硬性规定大概率会图省事，钻空子，除非没风险

白天的星星v2r

有风险，国内审计可能看审计官，国外审计基本没救。

现场小跟班

可以的，做到下面这几条：1、实施严格的电子签名规程（符合21 CFR 11.100）2、配置不可更改的审计追踪系统 3、确保每次权限使用均有独立的QA审批记录 4、建立差异化的培训考核体系（普通检验员与双重权限人员分开考核）

零下

审计追踪走起，不管哪级权限，首先是不能编辑原始数据，不能删除数据，全部进网络数据备份。打个比方，修改数据违法，那首先你得不违法，这是红线。有权限又能怎样。

天真

IT有IT 的职责，质量受权人有质量受权人的职责，IT和质量受权人不分最高权限，各司其职。