Q1:某些系统、各种PLC面板上的密码是由厂家设定的,自己无法更改,因此定期更改密码难以实现,如何解决?
1.找厂家定期修改或是升级程序包含密码管理等;
2.设置分级密码,如两级密码,打开程序需要第二级密码,进入程序后操作员账户管理等不变,在第二级密码管理上做文章;
3.把厂家的管理员账号要过来(一般不会给)。
Q2:有关密码及其他的相关法规要求?
1.FDA Sec.11.300(a)中要求维持每个账户名和密码组合的唯一性,如没有两个人拥有相同的账户名和密码组合——这里要求密码不能重复使用(至少不能和上次密码相同),不然定期更新密码就没有意义。MHRA中只强调采用相同的登录名和密码是不能接受的。
2.FDA Sec.11.300(b)中要求确保识别码和密码的发放是定期检查、召回或修改的(例如使用密码的有效期)。
3.FDA Sec.11.300(c)中要求对于电子授权丢失、被盗、失踪或受到潜在影响的代币、卡片和其他拥有和产生识别码和密码信息的设备遵守遗失管理程序,并根据适当和严格的控制发放临时或永久的替代物。
4.中国GMP附录中只有第二十三条:“电子数据可以采用电子签名的方式,电子签名应当遵循相应法律法规的要求。”提及到相关密码登录要求,也是参考CFR Part11相关要求照抄的,中国GMP上说的废话,不用参考。只需注意此处提到的法律是《中华人民共和国电子签名法》。
5.EU GMP中Annex11中第十二条:采用物理和/或逻辑控制以限制对计算机化系统的访问,具备人员授权管理系统。防止未经授权用户的进入,系统可能包括使用钥匙、通行证、用户登录密码、生物学等方式,限制未经授权用户进入计算机设备和数据存储区的行为,账户访问授权的创建、更改和取消应当被记录。
Q3:总结
最近工作比较忙,所以文章写得比较乱、没有好好的整理,只是想到哪里就随便写写。对于密码设置上有很多问题,暂时笔者就写这么多,若以后时间充裕会仔细研究一下的。
1.简单说密码相关的问题主要是:
1.1密码设置的原则——一般采用至少6位,数字加字母的组合且不应包含特殊字符且密码不可以设置太过简单(如123456等)。CFR中要求密码唯一性,不同用户的密码不应相同,且修改的密码也要保持唯一性,至少不能与上次的所有用户的密码相同。
1.2最长使用周期——即CFR中要求的定期修改密码,法规没有做明确的周期定义,一般执行6个月或3个月,具体可参考实际情况来确定。
(部分法规由笔者自己翻译,可能有些许不准确的地方)
1.3密码如何保证没有泄露的风险(此处主要讲管理员是否应该知道用户密码,这里涉及到有关更换密码记录同时记录中不体现具体的密码是多少)——两种具体情况
1.3.1系统有首次登陆强制要求修改密码功能,此处又分两种情况
1.3.1.1账户状态更改(如密码定期被IT管理员修改后)后用户的首次登陆系统会要求强制修改登录密码,这是最完美的情况,即使管理员定期修改操作用户的密码而知晓了该密码,用户首次登陆也会修改密码,由于更改记录中不会体现密码是多少,所以保证了该密码只有操作员本身知道。
1.3.1.2账户状态更改(如密码定期被IT管理员修改后)后用户的首次登陆系统不会要求强制修改登录密码,也就是说只有创建账户的时候首次登陆强制更改密码有效,以后定期修改的系统不再要求首次登陆修改密码,这种时候,我们可以采取的方法是在管理员定期修改密码时更改的密码有操作用户来输入,这样也可以确保该密码只有操作员本身知道。
1.3.2、系统无首次登陆强制要求修改密码
这种情况可以直接参考1.3.1.2做法。
1.3.3细心的读者可能会发现问题——即如何保证操作员自己输入的密码是符合我们的密码设定的规则呢?如果密码更改记录上直接记录上更改后的密码就可以解决这个问题,但这样的做法又增加了风险,如何保证这份文件的保存就成了规避风险需要考虑的问题,仅仅将密码记录处涂黑二等做法是不够的,保存更改密码记录的场所、人员需要是利益无关方。
最后:笔者建议密码策略要根据实际情况、依据风险来,不要盲目追求法律、法规,而做的太过严苛,6位足够了,毕竟银行系统也是这么做的。所以上面提到的问题可以在密码更改记录上显示出密码的位数符合要求就可以,记录保存归档时候将密码填写处按位数涂黑就可以作为折中的做法。
其实最重要的还是应该在URS中就提出来系统应该带有定期自动修改密码的功能,我们做的就是打印出审计日志来证明密码的定期修改的行为确实发生。