计算机系统风险评估打分表
风险分析 序 号 风险识别项目 造成的影响 原因分析 P 姓名: S D R P 姓名: S D R P 姓名: S D R P 平均 S D R 风 险 级 别 控制措施 目前需要 采取的降 低风险措 施 公司使用的ERP 不能够实时控 制并记系统不能够 保证实现药 品经营全联系计算机软 1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 件客服,增加 缺无需额外 控制陷环节;或 更换医药系统 措施 计算机软件 系1 过 程的控制,不 统缺陷 录药品 经营各环节能保证质量 管理和 质量官理全过 程 的实施 系统对药品采 购、收货、验收、 储存、销售、运 输等环节的经 营不能保证全 环节2 流程环节无 法设置过程都 得到有效质量控 制功能,自有 效控制 动识 别及控制法规 控制点 计算机软件 系统缺陷 联系计算机软 1 5 2 10 1 5 2 10 1 5 2 10 1 5 1.8 8.8 低 件客服,增加 缺无需额外 控制陷项目;或 更换医药系统 措施 1.联系网络服 务局域网内部无 3 法实现数据实 时交互 不能确保质 量控制功能 的及时和有 效 1. 断网; 2. 计算机软 件无法实现 各部门数据 交互 中心,尽快 恢复网络连 2 5 2 20 2 5 2 20 2 5 2 20 2 5 1.8 18 低 接;2. 连 接计算机软件 客服,修复数 据共享功能 无需额外 控制措施 蛀涉:
4 无计算机软件 的服不能保证运 行无计算机 软件务器 正常、数 据女全 的服 务器 1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 配置计算机软 件无需额外 控制低 措施 服务器 药品收货、验 收、储存、养护、 出库不能保证全 环5 复核以及 质量管理节、过程 的控等岗 位未配备专用 制,不 能保证质的终端设备 量 管理的实施 未按GSP要 求设置各 岗位2 专用 终端设备 4 1 8 2 4 1 8 2 4 1 8 2 4.3 1 8.5 按GSF要求设 低 置各岗位专用 终端设备 无需额外 控制措施 未通过电信、联 通、不能保证接 入未按GSP要 移动、铁通 等规范6 网络的安 全和求安装安 全稳1 宽带服 务商提供接定的 网络 稳定 入 互联网端口 未通过宽带、光 纤不能保证信 息未按GSP要 7 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 安装安全稳定 无需额外 控制的网络 措施 等固定接入 方式接交互的速 度,和求安装安 全稳入互联 网 连接的 稳定 定的 网络 未按GSP要 求设置实 现相2 5 1 10 2 5 1 10 2 5 1 10 2 5 1 10 低 安装安全稳定 无需额外 控制的网络 措施 无实现相关部 门之8 间、岗位之 间信息传输和 数据共享的局 域网 不能确保质 量控制功能 的及时和有 效 关部 门之间、岗 位之间信 息传输和 数据共享 的局域网 2 5 1 10 2 5 1 10 1 5 1 5 1.5 5 1 7.5 设置实现相关 部门之间、岗 位低 之间信息传 输和数据共享 的局域网 无需额外 控制措施 系统受到恶 意9 无专业的杀毒 软件和防火墙 病毒侵入 的风险,有 可能造成计 算机瘫痪或 数据丢失 未安装杀 毒软件和 防火墙 安装360或其 他2 5 2 20 2 5 2 20 2 5 1 10 2 5 1.5 15 低 杀毒软件和 防火墙 无需额外 控制措施 计算机各 环节没有药品经营 业务不能满足业 务10 票据生成、 打印和要求和记 录的数据 未设置打 印功能;或 未安装打 印机 1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 联系计算机软 件客服设置打 无需额外 控制低 措施 印功能;安装 打印机 管理功 能 真实性 不能保证数 据求,完善各 环11 要求或企 2 业经营要的完整性 节记录 项目 求 数据库不符合 规范未按GSP要 5 2 20 2 5 2 20 2 5 2 20 2 5 2 20 根据GSP要 低 求,完善各类 记录项目 1. 完善计算机 系无需额外 控制措施 各操作岗位不 通过12 1. 计算机 系统2 5 1 10 2 5 1 10 2 5 1 10 2 5 1.3 13 低 统登录设置 2. 员工妥善保 无需额外 控制管各自登录密 码,不得泄漏 他人 措施 输入用户 名及密码不能确保记 录缺陷 操作的真 实性 2. 员工登 录等身 份确认方式登 录,或密码泄漏 密码保 管不善 不能保证修 改13 数据时,不 经质量修改数据 不经2 的合法性 管理人 员审核批准 质量 管理部人 修改各类业务 经营5 1 10 1 5 1 5 1 5 2 10 1.3 5 1.3 7.8 无需额外 控制低 质量管理部 人员措施 审核批准 需修改数据应 经员审核批 准 不能保证数 据陷,未 能记录14 未能在系 2 统日志中的真实有 效性 数 记录 据修改历 史 修改的原因和 过程计算机系 统缺5 2 20 2 5 2 20 2 5 2 20 2 5 1.8 18 低 联系计算机软 件客服,完善 记无需额外 控制录修改日志 功能 措施 操作人员姓名、 时间、日期的记 录采15 用手工编 辑或采单联系计算机软 不能保证数 据计算机系 统缺件客服,不能 设1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 置有采用手 工编辑或采单 选择等方式录 入 无需额外 控制措施 的真实有 效性 陷 选择 等非自动关联 方式录入 不能保证计 算求,采用安 全、(移动硬盘、 硬盘)16 1 机系统数 据的等存储器 存储备份可靠方 式备份稳定、 安全 各类 记录和数据 数 据 不能保证计 算17 未按日备份数 据 未按规定用磁 盘未按GSP要 米用移动硬盘 备5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 份计算机系 统数据 无需额外 控制措施 机系统数 据的稳定、 安全 未按GSP要 求,每日备 份2 数据 5 2 20 2 5 2 20 2 5 2 20 2 5 2 20 低 按要求每日备 份无需额外 控制数据 措施 18 在服务器上备 份或备份与服 务器在同一处 保存 无法起到备 份的安全保 险作用 备份数据 未放在安 全场所 未按GSP要 备份数据不能 放1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 在服务器同 一个地方 备份数据保存 至2 5 2 20 2 5 2 20 2 5 2 20 1.8 5 2 18 无需额外 控制措施 19 备份数据保存 时间不符合要 求 不能保证药 品求,存储数 据经营的可 追溯至药品 性 有效期后2 年,至少5 药品有效期 后2无需额外 控制低 年,至少 措施 5年 年 质量管理基础 数据未包括委 托方及收货单 位、配送品种不能保证相 关5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 联系计算机软 件客服,完善 基础无需额外 控制数据和审 批流程功能 措施 质量控制 关键计算机系 统缺20 资 质等相关内容,1 点受到 系统实陷 或未经质量负 责人时控 制 审批 未能对委托方 或收21 货单位的 经营范围联系计算机软 不能保证配 送计算机系 统缺1 5 1 5 1 5 1 5 1 4 1 4 1 4.5 1 4.5 低 件客服,完善 基无需额外 控制础数据提示 功能 措施 药品的合 法性 陷 进行 系统自动识别 与控制 未对质量管理 基础数据进行 提示、预联系计算机软 不能保证药 品计算机系 统缺1 5 2 10 2 5 2 20 2 5 2 20 1.8 4.8 2 17 低 件客服,完善 基无需额外 控制础数据提示 功能 措施 22 警和; 或数据失效经营的合 法性 陷 时, 未对该数据相 关的业务功能 自动锁定 未能及时对库 存近联系计算机软 件陷 1 5 1 5 1 5 1 5 1 5 1 5 1 5 1 5 低 客服,完善 近效无需额外 控制期药品提 示功能 措施 23 效期药品 预警,或不能保证出 库计算机系 统缺过期药 品的自动锁药品的质 量 定 功能
计算机系统风险评估打分表
