医药公司计算机系统基础数据库存在安全隐患

（一）案例1

2018年12月××日，××医药有限公司在年度内审中发现本企业建立了计算机系统的基础数据，但计算机系统基础数据库内容存在未经相关岗位人员审核批准确认，岗位操作人员即可任意修改、删除、录入相关数据并生效。

1.风险分析　企业设置的计算机管理权限可以任意修改、删除、录入计算机系统的基础数据库内容，数据更改未严格按照相应的管理制度审核和监督，难以保证计算机系统记录数据的真实性和可追溯性，可能导致经营质量管理过程中差错事件发生及药品流通过程不可追溯的风险。

2.纠正措施

（1）完善计算机管理系统的功能设置。增加计算机系统修改、删除、录入后进入质量管理人员审核流程，经质量管理人员审核同意后，相应数据方可生效的功能。所有修改、删除记录均自动保留痕迹。

（2）完善公司计算机数据管理制度及操作规程，增加计算机系统修改、删除、录入后进入质量管理人员审核流程，经质量管理人员审核同意后，相应数据方可生效的内容。

（3）对各计算机操作岗位人员进行计算机数据管理制度及操作规程相关内容培训，并督导严格执行，确保各岗位人员执行修改、删除、录入等操作规范可控。

3.预防措施

（1）按照内审计划开展企业年度内审与专项内审，根据《药品经营质量管理规范》及企业实际情况，持续改进计算机系统各项功能设置，确保计算机系统对各环节的有效管控。

（2）督促各部门或岗位工作人员严格按照公司规定的计算机系统管理制度及操作规程执行相应操作，定期或不定期进行抽查，确保计算机信息及数据的真实、准确及可追溯。

（二）案例2(www.xing528.com)

2019年5月××日，××市市场监督管理局在对××医药有限公司进行日常监督检查时，检查人员发现该企业计算机系统登录日志显示：2019年1月25日10：40，保管员王××分别使用自己和验收员刘××的口令在同一台计算机上登录不同权限，该保管员代替验收员进行了一批中药饮片黄芪（批号：20180506，500克／袋）验收记录的录入。经查，该批药品的随货同行联上有验收员刘××的签名和验收痕迹。

1.风险分析　该企业未按要求设置相关岗位计算机系统操作权限，造成计算机授权管理混乱，难以保证关键岗位人员在职在岗并有效履职，导致企业计算机系统管控失效。

2.纠正措施

（1）进行计算机系统专项内审，完善验收员、保管员计算机系统权限的设置，信息管理员收回或者更改相关人员的系统操作权限，并经质量管理部审核。

（2）质量管理部责令验收员重新设置密码，监督各岗位人员严格按照授权使用各自的用户名及密码的身份确认方式登录，在设定的权限范围内录入、查询数据，并将此项工作纳入员工日常工作考核。

（3）对该保管员进行计算机系统授权相关管理制度的培训，提高其责任意识与风险管理意识。

3.预防措施

（1）对企业所有具备计算机系统授权的岗位人员进行相关计算机系统授权管理制度、操作规程及相关法律法规的培训、考核，确保各岗位人员严格执行。

（2）定期抽查计算机系统日志，确保各操作岗位及相关人员只能通过各自的用户名及密码的身份确认方式登录，在设定的权限范围内录入、查询数据。