GMP檢查對電腦和電子數據(不僅限于QC)的關注度越來越高,GMP相關電腦需要進行設置以確保必要的控制。GMP辦公室建議,至少QC實驗室、QA人員、倉庫管理員、生產管理員和生產現場的電腦應該進行設置,以下要求可供參考:
密碼設置
a) 密碼長度最小值(要求 6 位數)
b) 密碼最長使用期限(建議 3 個月)
c) 密碼必須符合復雜性要求(包含數字,大小寫字母,個人建議可選)
d) 強制密碼歷史(2 個記住的密碼)
設置方法:在運行中輸入gpedit.msc,打開本地組策略編輯器-計算機配置-Windows設置-安全設置-賬戶策略-密碼策略。
BIOS設置
上面設置了windows系統的用戶密碼,但僅僅設置windows密碼還不夠,電腦仍然可以通過重裝系統或者使用PE系統(帶有有限服務的最小Win32子系統,放到可移動存儲設備如CD上,將BIOS中設置成光驅引導,并開始啟動系統,當屏幕畫面上出現“Press any key boot from cd”時,按任意鍵從光驅上的Windows PE引導啟動)訪問數據。
而且進入BIOS(Base Input Output System,基本輸入輸出系統,開機界面按Esc/Del或其他鍵可進入)系統后還可以修改系統時間,清除硬盤數據等,對數據完整性風險極大。
這需要通過設置BIOS系統密碼和禁用BIOS光驅引導來實現。
設置管理用戶密碼和設置普通用戶密碼。
不要認為設置了密碼就沒事了哦,有一點必須注意,BIOS默認啟動項不應為CD/DVD啟動。需要將默認啟動項改為硬盤。
帳戶要求
a) 一人一帳戶
b) 給系統 administrator 帳號改名
c) 創建陷阱帳號(帳號命名為:administrator,賦予低級用戶組)
d) 停用 guest 帳號
e) 每月檢查已經不用的帳戶、測試帳戶并注銷掉
f) 每個帳號均需歸納為已設定好的用戶組
用戶組要求
a) IT 人員用戶組
b) 質量管理負責人用戶組
c) 部門主管/經理用戶組
d) 班組長用戶組
e) 操作人員用戶組
f) 陷阱用戶組
登陸要求
1. 禁止任何用戶組允許通過遠程桌面服務登陸(如果鏈接局域網,僅允許 IT 人員用戶組登陸)
2. 設定允許本地登陸的用戶組
3. 鎖定
帳戶鎖定閾值(輸入錯誤密碼 5 次鎖定)
帳戶鎖定時間(輸入錯誤達到次數后鎖定 9999 分鐘)
4. 提示用戶在密碼過期之前更改密碼(5 天)
5. 開啟:不顯示最后的用戶名
6. 設置:試圖登錄的用戶的消息標題(標題為:禁止使用他人帳號登陸)
7. 設置:試圖登錄的用戶的消息文本(內容為:任何登陸事件都將會被記錄,濫用公司信息將收到處罰)
8. 設置:計算機非活動限制(就是屏幕保護程序,如300 秒)
9. 任何人員完成操作后,需注銷帳戶或關機
10. 推薦使用智能卡替代密碼
界面要求
1. 非 IT 用戶組,均只顯示與工作相關的軟件和圖標
a) 如液相配套電腦只顯示液相工作站、我的電腦、回收站
2. 非 IT 用戶組,均只顯示與工作相關的存儲路徑
a) 如液相配套的電腦只顯示存儲液相數據的路徑,不顯示其他硬盤
3. 只有 IT 用戶組、質量管理負責人用戶組、部門/經理用戶組、班組長用戶組可以顯示關機、睡眠、休眠、重啟按鈕。
4. 開啟:強制顯示特定的默認鎖屏圖像
5. 開啟:阻止更改鎖屏圖像
6. 禁止非 IT 用戶組訪問“控制面板”和“PC 設置”、“組策略“
7. 刪除開始菜單欄中的”游戲“
8. 刪除開始菜單欄中的”程序“
9. 刪除開始菜單欄中的”音樂“
10. 刪除開始菜單欄中的”運行“
11. 禁止非 IT 用戶組修改系統時間
設備要求
1. 授權特定移動存儲設備接入計算機
2. 禁止未經授權的移動存儲設備接入計算機
3. 授權特定的外設接入計算機
4. 靜止未經授權的外設接入計算機
5. 禁止允許非管理員用戶安裝指定設備安裝程序類的驅動程序
軟件要求
1. 安裝一款殺毒軟件
2. 不得安裝圖像編輯類軟件,如Photoshop
3. 不得安裝PDF編輯軟件,如福昕PDF編輯器,Adobe Acrobat Professional等
4. 不建議安裝破解版軟件
審核模塊
1. 開啟以下項目的審核
a) 策略更改
b) 登陸事件
c) 對象訪問
d) 進程跟蹤(這個可以讓計算機也記錄進樣的問題)
e) 特權使用
f) 系統事件
g) 帳戶管理
h) 帳戶鎖定
i) 帳戶注銷
j) 特殊登陸