21 CFR part 11关于计算机化系统用户密码管理的疑问

红耳仙僧

21 CFR part 11 中 § 11.300 Controls foridentification codes/passwords.
其中提到了几点关于密码控制的内容。但是实际使用过程中有些系统中的密码设置的相当复杂，比如密码长度，大小写，数字，密码周期，首次登录改变密码，自动登出时间等等内容。非得这么多要求吗？

xmango

个人觉得法规只是给出了应该达到的目标，但是具体通过什么方法就需要结合实际了，如考虑风险大小，可操作性等

西文

  这个是必须的 我们公司也开始这么做了

东方文明

和你的系统的重要性和安保程度相关联。

菜鸟砖家

给大家推荐一下交流群 计算机化系统验证CSV 367741409（群）

走姿派

实现这个不难吧

红耳仙僧

走姿派 发表于 2015-1-5 17:03
实现这个不难吧

不是说实现起来难不难，而是说是不是需要搞这么复杂呢。

玻璃杯

单独有规程，上边按要求执行。

peanut05

只是过程繁琐了些，但还是很有必要的。

叶非

密码的管理对于Part11里面，我认为最基本的是密码的唯一性，也就是说一个密码对应的是一个账号，而不能一个密码可以开启多个账号；另外一个是密码的可靠性，也就是说密码不容易被获得或者破解，这个你可以采取的方式很多，例如：定期更换密码，授权密码由专人对人员授权，再修改等，但是这些功能，其实不一定是软件自带，通过SOP一样可以做到！

abc678

法规说的比较清楚，必须按照法规来做

蓝色星期六

西文 发表于 2015-1-5 16:39
这个是必须的 我们公司也开始这么做了

你们公司的设备也这样要求密码吗？一般国外的仪器可能这样，国内设备不多吧

abc678

xcl308 发表于 2015-1-5 17:39
你们公司的设备也这样要求密码吗？一般国外的仪器可能这样，国内设备不多吧

这条说得是IT基础管理，属于底层管理，您说的仪器上的软件还属于上层软件。这个法规是美国的要求，对密码管理有指导意义，如果不做美国市场可不做要求，但对公司质量管理来说还是有不错的指导意义，毕竟IT基础和我们的质量数据完整性关系较大。

蓝色星期六

abc678 发表于 2015-1-5 17:44
这条说得是IT基础管理，属于底层管理，您说的仪器上的软件还属于上层软件。这个法规是美国的要求，对密码 ...

您对该条法规理解的很透彻啊，那您感觉什么IT基础管理需要符合该法规呢？可以举个例子吗？

叶非

xcl308 发表于 2015-1-5 17:39
你们公司的设备也这样要求密码吗？一般国外的仪器可能这样，国内设备不多吧

国外的仪器，也并非所有的仪器都有这些功能，这些功能，也并非法规的必须要求。

叶非

abc678 发表于 2015-1-5 17:44
这条说得是IT基础管理，属于底层管理，您说的仪器上的软件还属于上层软件。这个法规是美国的要求，对密码 ...

密码管理的方式有很多种，一种是通过软件来实现，一种是通过SOP，而且，密码的长度和周期性的改变，似乎也并非法规的强制性的要求。

蓝色星期六

uiofer 发表于 2015-1-5 17:54
国外的仪器，也并非所有的仪器都有这些功能，这些功能，也并非法规的必须要求。

是的，我用的温度验证仪有这项功能，用起来感觉不是很顺畅

叶非

xcl308 发表于 2015-1-5 17:56
是的，我用的温度验证仪有这项功能，用起来感觉不是很顺畅

kaye?

蓝色星期六

uiofer 发表于 2015-1-5 17:58
kaye?

看来你也用，呵呵

一沙一叶

有密码控制，且分级别（操作者、监管者或者更高级），要保证密码有效其中之一就是自己的密码不被别人知道