J-QP-18-警戒系统控制程序-v1.0

1. 目的 (4)

2. 范围 (4)

3. 定义 (4)

4. 职责 (4)

5. 判断 (4)

5.1 应上报事故的分类 (5)

5.2 应上报的资料 (5)

5.3 事故报告的时间限制 (5)

5.4 安全纠正措施 (6)

5.5 初始报告 (6)

5.6 调查结果和相应措施 (7)

5.7 医疗器械警戒系统进行定期总结报告的条件： (7)

6. 忠告性通知 (8)

6.1 国内产品召回与忠告性通知 (8)

6.2 发送到欧盟或其他国家的忠告性通知 (8)

6.3 发生在欧盟国家的产品召回 (8)

7. 相关文件 (8)

8. 相关记录 (9)

1.目的

遵照98/79/EEC法规要求，为保证需要上报的质量事故及时得到鉴别并报告国家主管当局，以防止医疗器械同类种类事故再次发生，保证患者和使用者的健康和安全，特制定本程序。

2.范围

2.1本程序适用于我公司产品在欧共体和欧洲经济区内发生的医疗质量事故。

2.2若发生在欧共体外的我公司产品，事故导致对在欧共体内销售或使用的带有CE标志的我公司产品采取纠正措施，本公司应通知相应的国家主管当局。

3.定义

对涉及医疗器械的不良事件的通知、评估和市场安全纠正措施的欧盟体系。

4.职责

4.1属上报性质的质量事故应由管理者代表确定并通知国家主管当局和欧盟代表。

4.2本公司任何部门包括欧盟代表、销售员、批发商、服务人员或服务单位等发现的事故应迅速告知管理者代表，以便及时分析事故的严重性。

4.3管理者代表组织相关职能部门调查事故的原因并作出措施评估，并报总裁、欧盟主管当局和欧盟代表。

4.4质量管理部：将事故信息传递到相关部门并迅速组织相关人员进行分析、制定解决方案；负责起草不良反应事件报告、忠告性通知、产品召回通知并监督各相关方按要求执行。

4.5销售部：销售部负责保管产品的销售记录，并负责产品召回的执行。

4.6仓储物流部：负责召回产品的处理。

5.判断

管理者代表应对事故的有关信息和申诉责令相关职能部门进行调查，并对下列内容进行评估以决定是

否把事故报告给国家主管当局：

1)事故类型；

2)我公司的产品是否卷入事故中；

3)事故是否由产品本身引起的或可能引起的。

5.1应上报事故的分类

在对事故类别进行评估时，管理者代表应在欧盟代表或销售商的帮助下，与所涉及的医生或护理人员商讨，当事故满足下列条件时，公司将向主管当局报告：

1)发生事故；

2)公司的产品可能是造成事故的原因之一；

3)事故将导致或者可能导致下列情况的发生：

4)患者、使用者或其他人员的死亡；

5)患者、使用者或者其他人员严重的健康受损。

5.2应上报的资料

5.2.1在评估我公司产品和事故的关系时，应考虑：

1)医生或专家的观点（基于所得到的证据）；

2)本公司对事故初步评估的结果；

3)以前类似事故的证据；

4)我公司所掌握的其它证据与事故相关的资料，与事故一起上报。

5.2.2事故报告中的信息，可能包括以下方面：

1)产品的性能和/或特性的变质；

2)产品的性能和/或特性没有变质，但某一特性可能会导致事故，则应作一件“准事故报告”；

3)产品的使用说明书不够确切，或有遗漏和不足。

5.3事故报告的时间限制

本公司在收到事故通知后，由管理者代表组织相关职能部门应在以下时间内写出最初事故报告，并通过欧盟授权代表上交到欧洲国家主管当局：

1)严重威胁公共卫生安全：立即上报(不允许任何无正当理由延误)，最迟不应迟于发现该威胁后2个自然日；

2)死亡或意外的健康状况严重恶化：立即上报(不允许任何无正当理由延误)，报告时限在确认医疗器械和事故关联后，但是不应迟于发现该事件之日起10个自然日；

3)其他：立即上报(不允许任何无正当理由延误)，报告时限在确认医疗器械和事故关联后，但是不应迟于发现该事件之日起30个自然日。

如果一个潜在的安全事件发生后，对报告类型不确定，管理者代表应该在规定的时间内，先对事件提交一份报告。

5.4安全纠正措施

安全纠正措施是公司采取的降低已上市产品引起的死亡或者健康严重受损几率的行为，一般包括：

1)医疗器械退回供应商

2)产品变更；

3)产品交换；

4)产品销毁或回收；

5)购买者根据公司的变更或者新设计进行翻新；

6)公司提出与器械使用和/或随访患者、使用者或其它（例如器械已经不在市场销售或已撤回但仍可能使用的变更）相关的建议。

由于以上原因导致的产品的收回，应由我公司通过欧盟授权代表通知国家主管当局。

5.5初始报告

相关职能部门按要求将初步报告上交到事故发生国家的国家主管当局，填写最初事故报告的表。

5.5.1初次报告后的调查

管理者代表应与欧盟授权代表一起根据初次报告的内容对事故进行调查，并向国家主管当局及时报告进程；

5.5.2若我公司无法对事故进行调查，应及时通知主管当局由其展开调查并提供所需帮助，不得延误；

5.5.3若事故由国家主管当局介入或展开独立调查时，管理者代表应及时跟进事故调查。

5.6调查结果和相应措施

5.6.1正常情况下，我公司根据调查结果采取必要的措施，并与国家主管当局或公告机构咨询，进行产品回收等措施。

5.6.2若调查时间超过了主管当局给予的时间线，则公司需要提交一份跟进报告至国家主管当局表明现状；

5.6.3管理者代表在欧盟授权代表的帮助下，作出书面最终报告，此报告应包括调查结果和采取的相应措施，并由欧盟授权代表上交国家主管当局。

5.6.4如果事件国家主管当局执行调查，则管理者代表应及时跟进调查结果，并制定措施。

5.6.5调查后所得出的结论措施应包括：

1)不采取措施；

2)对正在使用的器械进行检测和跟踪；

3)对后继产品采取预防措施；

4)现场安全的纠正措施。

5.7医疗器械警戒系统进行定期总结报告的条件：

5.7.1当完成多个事件的报告和纠正后，可通过欧盟授权代表与国家主管当局达成一致协议，定期提交产品的定期总结报告；

5.7.2将达成的一致协议，由欧盟代表通知其他主管当局；

5.7.3当获得国家主管当局同意，可将定期总结报告交给其它主管当局；

6.忠告性通知

6.1国内产品召回与忠告性通知

对国内发生的召回与忠告性通知，应按照《产品召回与忠告性通知管理程序》执行。

6.2发送到欧盟或其他国家的忠告性通知

6.2.1对忠告性通知的接收者的要求，如要求经销商将产品忠告性内容的信息通知其客户。

6.2.2由指定联系人负责和国家主管当局、欧盟代表、公告机构进行联系并发布忠告性通知。

6.3发生在欧盟国家的产品召回

6.3.1当产品因质量原因所引发的事故的评价和调查结果显示需要召回时，公司质量部负责起草召回

通知和忠告性通知，由最高管理者批准并签署。由质量部负责向国家主管当局和公告机构递交忠告性通知。由市场部在欧盟代表的的协助下会同经销商对产品进行召回。

6.3.2召回的程序：

1)由市场部根据销售记录调查该批需召回的产品的销售情况，应包括数量、规格、发货日期和联系

方式；

2)市场部根据以上销售记录和客户进行联系，对产品进行召回并明确时间要求；

3)经销商根据分销记录对已售出的产品进行召回；

4)仓储物流部负责封存库房中的该批产品；

5)当产品已经使用无法召回的情况发生时，应及时通知质量管理部会同销售部进行调查，并采取相

关措施。

6)对已召回的产品，由仓储物流部负责对其进行标识和存放，防止和其他产品混淆。

7)对召回产品的处理，应由质管部会同研发部、生产部、技术支持部、市场部共同协商制定处理方

案，交总裁审核无误并批准后，由仓储物流部人员在质量管理部的监督下对产品进行处理。

7.相关文件

8.相关记录

突发事件和应急响应控制程序

突发事件和应急响应控制程序1目的本程序的目的是当影响食品安全质量事件突然发生时，能够迅速、准确、有效的予以识别、控制和保护产品，最大限度的消除或降低食品安全事故的危害。 2适用范围本程序适用于公司预防食品安全事故的发生和食品安全突发事件发生时的应急处理控制。 3术语突发事件：在影响食品安全质量方面导致或可能导致产品的不合法、不安全的异常事件。如：食品安全卫生事故（食源性疾病）、国内外预警信息、蓄意污染破坏、关键服务中断、自然灾害影响等。 4 职责突发事件的发生部门（人员）或发现部门（人员）负责突发事件的紧急报告。食品安全小组组长兼任突发事件处理小组组长，负责对突发事件的受理和应急处理的协调指挥。发生突发事件时，在应急现场的最高职务的人员负责按本程序在第一时间做出响应。有关部门/人员无条件按本程序和职责要求执行相应应急处理工作。 5 工作程序突发事件处理小组成立公司突发事件处理小组并确定职责，由小组识别并建立突发事件发生时需寻求的有关外部组织及联系方式，组长由食品安全小组组长兼任。小组成员及其职责见附表“食品安全突发事件处理小组成员及职责”。突发事件识别突发事件处理小组负责根据公司生产实际情况，对可预见的可能影响食品安全的潜在事故和紧急情况进行识别，并根据公司、社会和环境的变化不断进行完善。公司识别的应急状况包括：

①突然停水：清洁工序的质量无法保证和食品加工无法继续进行； ②火灾发生：影响现场产品质量安全和以后生产卫生条件不符合要求； ③突然停电：由电力支持的正在运作的设施设备停止工作，可能导致原料、半成品和成品的积压变质； ④重要生产设备故障：造成产品积压变质、污染或不合格； ⑤主风险区域玻璃、易碎物品爆碎：污染产品，损害人体健康； ⑥蓄意的污染破坏：污染产品、导致影响健康或生命危险； ⑦关键人员的空岗：影响正常加工，造成产品积压变质或不合格； ⑧关键原辅料的供应中断：影响正常生产，造成过程产品积压变质； ⑨发生食品安全事故：导致影响健康或生命危险； ⑩与公司有关的国内外预警：可能导致产品的不安全不合法；应急准备（预案）由突发事件处理小组针对识别的突发事件情况制定相应的应急准备（预案），如下。国内外食品安全预警信息的应急预案品控部（食品安全小组）通过网络连接主管部门的安全预警信息系统，作为固定的国内外预警识别渠道，确保周至少一次进入预警信息系统进行查询识别，当有上级主管部门的有关指令或外部危害预警信息时，必须立即组织对其预警信息进行调查、分析和评估，确定对我公司产品的影响范围、重点、类型和性质，评估结论对公司有影响时，应根据影响的范围、重点、类型和性质研究制定相应的控制措施。食品安全事件的应急预案当公司产品发生食品安全事故时，必须按《撤回控制程序》立即启动召回程序，对有关产品实施召回。同时报告政府主管部门，获得援助、支持和指导，更有力的控制事态发展。应考虑对其它可能受影响产品的控制，按《产品标识和追溯控制程序》进行追溯并控制或召回，防止次生、衍生安全事故发生，控制或切断事故灾害链。火灾的应急预案各主要区域及库房等配置消防器材或灭火装置，安装应急灯、设立安全通道及标志，并对有关人员进行防火、灭火、安全撤离的培训教育。发

药物警戒--药物警戒体系内审管理规程

药物警戒体系内审管理规程一．目的：规范药物警戒体系内审管理规程。二．责任：质量保证部三．范围：适用于本公司药物警戒体系内审管理规程的确认。四．内容： 1、药物警戒体系内审应通过客观证据的审查和评估，核实药物警戒体系的实施和运行的适宜性和有效性。 2、药物警戒体系内审是一个系统的、有纪律性的、独立的、文件化的过程，用于客观的获取证据和评价证据，以内审标准的实现程度，有助于改进风险管理、控制和治理过程。 3、药物警戒内审应反映药物警戒系统的要求。 4、基于风险的药物警戒内审方法基于风险的方法是使用技术来确定风险区域，风险被定义为事件发生的可能性，这会影响实现目标，考虑到其结果的严重性和/或其他方法未检出的可能性。基于风险的审计方法侧重于组织药物警戒系统的最高风险领域，包括药物警戒活动的质量体系。 4.1战略层面审计计划审计战略是审计活动如何在一段时间内提交的高级别声明，比年度计划更长，通常为2-5年。审计战略包括可合理执行的审计清单。审计战略用于概述审计重点领域，审计主题以及审计程序所依据的方法和假设（包括风险评估）。审计战略应涵盖药物警戒体系各个部分的治理，风险管理和内部控制，包括： 4.1.1所有药物警戒程序和任务； 4.1.2药物警戒活动的质量体系； 4.1.3适时的互动交流并且与其他部门进行互动和交流； 4.2策略层面的审计计划审计计划是一个或多个计划在特定时间范围内审计的集合，通常为一年。应该根据长期的审计策略来准备。审计计划应有上级管理部门批准，全面负责运营和治理结构。基于风险的审计计划应以适当的风险评估为基础，重点应放在： 4.2.1药物警戒活动的质量体系； 4.2.2关键的药物警戒程序； 4.2.3在控制措施已到位或采取缓解措施后，被认定为高风险的领域。基于风险的审计计划还应考虑过去审计覆盖面不足的管理层和/或负责药物警戒活

浅谈访问控制策略

浅谈访问控制策略身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而，对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。在GB17859中．身份鉴别指的是用户身份的鉴别，包括用户标识和用户鉴别。在这里．用户标识解决注册用户在一个信息系统中的惟一性问题．用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下．当用户注册到一个系统时，系统应给出其惟一性的标识．并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的．一方面以一定方式提供给用户．另一方面由系统保存)。当用户登录到该系统时，用户应提供鉴别信息，系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。其实．从更广义的范围来讲．信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别．用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下，又要确认对方身份的真实、可信．从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别．其实与注册用户的身份鉴别没有多大区别．只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别．同样要先对其进行注册，并在注册时确定鉴别信息(鉴别信息既与设备相关联．又由系统保留)。当需要将设备接入系统时．被接入设备需提供鉴别信息，经系统确认其身份的真实性后方可接入。访问控制在GB17859中同样有其特定的含义．并对自主访问控制和强制访问控制的策略做了具体的说明。其实．访问控制在更广的范围有着更广泛的含义。在许多情况下．人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问．把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因

系统访问控制程序

信息科技部系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施

目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误！未定义书签。 6 记录 (6)

1 目的为规范阜新银行信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试；

QEHS综合管理体系记录控制程序

QEHS综合管理体系记录控制程序（根据GB/T19001-2008 idt ISO9001-2008质量管理体系 GB/T24001-2004idtISO14001：2004环境管理体系及GB/T28001-2011职业健康安全管理体系标准） 1.目的对质量、环境、职业健康安全管理体系运行所要求的记录予以控制，提供管理体系运行符合性、有效性及适宜性的证据，并为持续改进管理体系提供信息。 2.适用范围适用于公司质量、环境、职业健康安全管理体系运行中所产生的所有记录的编制、收集、编目、归档、贮存、保管及处理。 3.职责 3.1企划部负责记录控制要求的编制、评审、更改及监督执行。 3.2公司各部门和项目经理部负责本单位记录的管理。 4.程序 4.1记录内容：包括公司质量、环境、职业健康安全管理运行所有记录。 4.2记录方式：可采用文字记录、磁带、磁盘、光盘、胶片和照片等方式记录。 4.3记录的要求： 4.3.1所有的记录应当清晰整洁、内容完整、及时准确； 4.3.2标识清楚、明确，便于查询；真实可靠、具有可追溯性；

4.3.3记录时应注明日期、记录人；需审批的，审批手续应齐全； 4.3.4记录应用黑色（蓝黑色）钢笔或签字笔填写，不得用铅笔书写，不得随意涂改； 4.3.5记录应妥善保管，注意环境适宜、安全，避免损坏、变质或遗失。 4.4记录的传递：管理记录需要传递时，发放部门应明确需发送的人员及单位，通过公司行政部按照文件发放程序，统一发放。 4.5记录更改：由于笔误记录需要更正时，应用标记划去原记录（如：ABC），并写上正确的记录，更正的记录通过签名得到认可。 4.6记录的收集 4.6.1公司企划部负责编制《质量、环境、职业健康安全管理记录控制清单》（BG —ZH—07），将公司所有与质量、环境、职业健康安全相关的记录汇总，包括名称、编号、保存期等，并汇集备案记录的原始样本。 4.6.2项目经理部指定相关人员负责及时收集和整理与项目质量、环境、职业健康安全相关的记录，保证记录与工程管理同步。 4.6.3记录的保存期限：公司体系管理运行记录通常保存期限为三年；项目经理部体系管理运行记录一般保存到项目竣工验收结束，且工程结算及索赔项目完成，竣工回访、保修记录保存到工程保修期结束；项目施工记录及工程档案按照国家档案馆的要求确定保存期限，档案馆没有规定保存期限的施工记录，保存至项目竣工验收结束，且工程结算及索赔项目完成，竣工回访、保修施工记录保存到工程保修期结束。 4.7记录的处置：记录保存到期后，由各单位列出记录清单，经公司企划部审核确认后作废销毁，有价值作为参考的记录及作为知识积累的记录可标识清楚，延长保存期。

CE警戒系统控制程序

9.6 CE警戒系统控制程序 1目的：对所有报告的事故进行评估，并发布可能有助于防止同类事故的重复发生或减轻事故影响和后果的信息，改善对病人或使用者的安全与健康的保护。 2适用范围：本程序适用于欧洲共同体和欧洲经济区内发生的医疗器械质量事故，这类医疗器械为：带有CE标志的产品；带有CE标志的产品在欧洲国家以外的销售；无CE标志的产品、但这类事故导致带有CE标志产品采取纠正措施。 3职责 3.1欧洲授权代表：收到事故报告后应及时与制造商及主管当局联系，及时把客户的抱怨和事故报告传递给制造商，并负责保持产品销售记录。 3.2制造商 3.2.1外贸部：负责收集已发生的事故信息及与产品有关的所有信息，同时将信息反馈到各部门，将公司对事故所采取的措施传递给欧洲授权代表。 3.2.2管理者代表：负责确认有效的事故处理文档，以便外贸部及时传递给服务机构、欧洲授权代表。 4工作程序 4.1 管理者代表负责对事故报告信息进行分析，会同企管部、品管部调查后，确定需要报告主管当局的事项。 4.2 公司在决定某项事故是否需要报告主管当局时，应考虑如下方面因素：事故的类型；是否与公司生产的任何医疗器械有关；事故是否有或可能有因器械或提供的有关器械的信息的缺陷引起的。 FIELD SAFETY CORRECTIVE ACTION (FSCA)：表示制造商采取的减少由器械引起的死亡或严重健康衰退风险的措施。这种措施应通过Field safety notice来通知。（详见附录） FIELD SAFETY NOTICE (FSN)：表示制造商（或其代表）就FIELD SAFETY CORRECTIVE ACTION (FSCA)与顾客或用户的沟通。 4.3管理者代表针对事故符合以下特征之一或组合时，应向主管当局报告。 4.3.1导致死亡。 4.3.2导致健康严重受损。 a)严重威胁生命的疾病或损伤。 b)身体功能的永久性损伤怒火身体组织的永久性损伤。 c)需要医疗或外科手术一避免对人体功能或人体的永久性损伤。 4.3.3 会导致死亡 4.4 在评估本厂产品和事故的关系时，应考虑： a)医生或专家的观点（基于所得到的证据）； b)以前类似事故的证据； c)本公司对事故初步评估结果； d)本公司掌握是其它信息。 4.5 事故报告中的信息，可能包括以下方面：

基于安全策略的信息系统一体化管理的

基于安全策略的信息系统一体化管理的摘要：随着企业信息化建设的多年发展和不断推进，电网企业已建设推广了众多信息系统，并已深入到企业日常业务和管理的各个角落。各类信息系统的高效访问集成是提高公司员工工作效率的有效途径，信息系统安全稳定的运行是整个企业正常运转的重要保障，自动化、不间断的监控报警系统是及时发现隐患、保证系统正常工作的有效手段。因此，建设一个集信息系统监控、预警、全生命周期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。关键词：安全策略；信息系统；现象描述 1、现象描述随着公司信息化建设的不断推进，公司已上线了各类国网公司、省公司统推系统，且各类系统版本较为复杂，造成在管理过程中存在诸多的问题。（1）依靠手工Excel方式对这些数量众多的信息系统进行监管，监管力度不够，对信息系统上下线管理缺乏有效管控工具，一些不应继续使用的遗留系统仍在运行并局部使用。（2）信息系统能否正常使用只能依靠管理员人工查看或用户报修，缺乏有效手段及时发现系统故障，对各子系统运行状况无实时监控，发生故障后无法及时察觉，恢复速度慢导致故障排除周期较长，信息运维用户满意度降低。（3）公司所有的信息子系统缺乏统一入口，不少信息系统还没有与统一门户集成，各个子系统使用各自的访问控制手段，杂乱难记，用户日常使用时只能靠输入链接地址进行访问，系统访问不方便，带来安全隐患。 2、处理过程设计信息系统一体化管理工具，实现信息系统资源统筹管理，消除信息孤岛，促进各信息系统间互通互联，实现数据集中、文档集中、资源整合；实现信息系统实时监控及风险预警缩短系统故障响应周期，提供信息运维服务水平，提高用户满意度；实现信息系统全生命周期管理，确保系统安全稳定可靠运行。 1）、通过“信息系统访问控制管理”研究，基于安全访问控制策略，合理设置各类用户的权限，构建公司各类信息系统的统一入口，建立信息系统快速搜索功能，方便用户准确快速链接到需要使用的信息系统，无需刻意记忆，提高工作效率。 ● 面向方面的应用程序访问控制利用运行时织入（runtime weaving）手段，可以将访问控制逻辑实现为AOP 方面模块后，在部署平台上织入到应用系统中，而不用修改应用系统的源代码。安全方面代码织入之后，即可拦截过滤用户对系统的访问，实现按规则的访问控制。 AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库，此库可结合Spring框架及Spring Security子框架，实现高品质的安全控制特性。在.NET环境，有通过MSIL动态注入来实现AOP的PostSharp库。这样，公司多数应用都可以在同一种技术框架下实现访问控制了。 ● 基于Apache的访问控制方案 Apache服务器集成了访问控制能力，通过编辑.htaccess文件，可以设定特定来源的用户对特定资源的访问允许和禁止规则，Apache将会执行该文件中设定的规则，对某些请求进行拦截。此外，读取.htaccess文件并作出拦截或放行决定的，并不是Apache核心代码，而是Apache中的几个模块（以mod_auth为核心）提

ISO27001信息网络访问控制程序

ISO27001信息网络访问控制程序 1 目的为加强内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。 2 范围本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写《市行机关办公楼、内外网络接入申请单》备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。

5.1.2 IT各部（包括信息科技部）后续需要增加使用内外网结点数量，开展IT 业务，要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网，应当具备下列条件之一。（1）IT开展的营业活动必须要通过网上查询交易的。（2）助理以上的机关领导干部工作需要上网的。（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损IT形象的行为； 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1）外泄IT内部商业机密；（2）反对宪法所确定的基本原则的；（3）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4）损害国家荣誉和利益的；（5）煽动民族仇恨、民族歧视，破坏民族团结的；（6）破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7）散布谣言，扰乱社会秩序，破坏社会稳定的；（8）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9）侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。

企业药物警戒体系构建方案

全生命周期的企业药物警戒体系构建方案

目录一、药物警戒概览 (3) 二、业内现状及国内外法规/政策要求 (6) 三、药物警戒体系搭建 (11)

一、药物警戒概览近几年来，我国不断的推行法规和政策，鼓励医药研发和创新。政策环境的利好，为研发药企的发展，创造了良好的机遇期。在获得机遇的同时，也必然面临挑战。我国原食品药品监督管理总局、国家药品监督管理局加入ICH之后，对于医药研发各个阶段，提出了更严和更高的与国际水平接轨的要求。我国医药研发企业要如何紧抓机遇和迎接挑战，需要做好方方面面的工作。其中，药物警戒就是一个非常重要的方面。药物警戒在全球范围内的发展和起步是非常早的。在上个世纪的五六十年代，国外医药研发中对于药物警戒就有了领先的认识并逐步完善，在我国则起步比较晚，当前，有一定比例的国内药企，在药物警戒方面与国际水平仍有一定的差距。综上所述，在国家不断出台法规鼓励研发的政策背景下，我国药企研发要与世界先进水平接轨，就药物警戒领域来说，需要高度重视，并做大量的实际工作。通过两个典型案例（海豹胎事件和千手观音的聋哑人表演者），以诠释药物警戒的定义及其重要性。

WHO对于药物警戒的定义，是发现、评价、理解和预防不良反应或其他药物相关问题的研究与活动。通过这个概念我们可以看到，药物警戒的关注点在于通过一定的行为发现药物的不良反应，并作出评价与评估，理解该药物的安全性，并进一步采取行动来预防不良反应。药物警戒的核心目的，是最大程度的保障风险获益平衡，最终保障患者的用药安全。

在药品种类方面，药物警戒覆盖的不仅仅是化药，其范围更包括处方药和非处方药、生物制品（如疫苗、重组药物、生物类似药等）、植物药和其他传统药物、化妆品、医疗器械等，都需要通过药物警戒来保障使用者的使用安全。李总指出，“药物警戒是贯穿于药品全生命周期的活动，药物警戒是从药物进入人体开始，涵盖新药研发的临床试验Ⅰ期、Ⅱ期、Ⅲ期，直到药品上市，以及上市后药品在更大规模人群的使用，需要持续性的对于该药品的安全性进行监测和风险获益评估，以保障患者用药安全。因此，企业需要在I期之前就做好药物警戒体系的搭建和工作的规划“。药物警戒涵盖了药品全生命周期，但是，在不同的研发阶段的侧重点又不同。

ISO27001系统访问控制程序

ISO27001系统访问控制程序 1 目的为规范IT信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；

（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试； 3）断开数据链路链接； 4）如果达到登录的最大尝试次数，向系统控制台（或向中心机房管理员）发送警报消息； 5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值）设置口令重试的次数；（e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录；（f）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节；（g）不显示输入的口令或考虑通过符号隐蔽口令字符；（h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后，任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后，对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态，防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要，需登录信息科技部核心系统或外围系统时，必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。

设备操作规范(全)

编号：xx-QSM-S001 版本：A/0 作业名称抛磨操作说明序号01 使用设备打磨机制作日期作业步骤 1.生产现场保持整洁、照明充足。 2.插入电源线插头之前务必将设备开关置于“关闭”位置。 3.工作前先将打磨机空转约60秒，检查有无故障。 4.工作时必须佩戴正确劳保用品。 5.工作时保持良好的站姿或坐姿，保持身体平衡。 6.在完成一件产品后，操作人员应仔细检查一遍后再放入成品区域或转下一工序。 7.产品要摆放整齐，产品与产品之间有一定间距，轻拿轻放。 8.下班后应将工具放入工具柜，摆放整齐并清扫台面及地板，将未完成的产品摆放整齐 9.注意安全，不用打磨抛光时，要关机摆放好。制表：审核：核准：

编号：xx-QSM-S002 版本：A/0 作业名称数冲操作说明序号01 使用设备冲床机制作日期作业步骤 1.合上电源开头、合上气压机、合上冷水机电源、合上机床总电源与控制系统电源； 2.等N C、RFADY灯和TOP、DEAD、CENTER灯亮，根据程序员提供程序，插上磁盘，读出号码，并相应准备好上下冲模，根据图纸要求的板厚，配好下模的间隙，并按刀模号码装上，装完后，再次检查是否与程序号码不符的刀模号，修改正确，以避免调出不符的冲模，冲坏零件； 3.按RETRACT按钮，再次按下＋X、＋Y、T按钮，使机床回复原点状态灯亮； 4.工作台（TABLE）在开机之前注意工作台周围是否影响工作台移动的杂物、废物，保证工作台平滑移动； 5.踩下脚踏开头，（CLAMPS）当夹钳夹紧加工板料时，要注意保证不在被冲到夹钳的位置上，间隔必须按程序上的间距，调整夹钳距离； 6.注意事项： A．工作台所移动之区域为危险区，不得站人； B．冲床发生故障危险时，示警控制器则自动中断冲模操作并亮指示灯，不了解清楚情况下，不能强制进行冲切，解除故障或原因后，才能执行冲切动作按钮； C．严格按照操作规则进行操作，有权阻止其它无关人员动用设备；制表：审核：核准：

QP1601 ISO9000全套质量体系文件2020年,质量记录控制程序

1.目的确保质量记录的有效性、完整性，为质量体系有效运行和产品质量是否符合要求提供客观证据，并为有追溯要求的场合提供证实. 2.适用范围本程序适用于本公司所有与质量有关的质量记录以及来自分承包方和顾客质量记录的控制. 3.定义 3.1 记录――为已完成的活动或达到的结果提供客观证据的文件. 4.职责 4.1质保部QA负责重要质量记录的归档. 4.2各职能部门负责本职能范围内的专业性质量记录的收集、整理、编目、归档、分发、贮存、保管、处理. 4.3质保部QA负责对质量记录标识,样式适用性的审核和确认,并负责对重要质量记录的归档. 5.工作程序 5.1凡是用于证明产品是否符合规定的要求和质量体系是否有效运行的质量记录,都属于需控制的范围,包括但不限于: a.合同评审记录; b.检验/试验记录(包括检验记录、试验报告等)； c.产品认可/过程认可记录（包括样品认可报告、生产部批准/批量认可报告、Cmk/Cpk能力测定报告、人员培训/鉴定记录等）； d.质量审核（体系/过程/产品/供应商评审报告）； e.材料检验/试验报告；

f.质量控制图； g.顾客索赔记录； h.与纠正预防措施有关记录； i.质量成本报告和记录； j.设备/模具/工夹具保养、维修记录； k.测量设备校准记录. 5.2质量记录形式的设计和审定 5.2.1各部门根据工作需要,可自行设计质量记录,其格式应简明、清晰完整，内容应满足所记录的质量活动的要求. 5.2.2质量记录经本部门负责人审核后，需报管理者代表批准，由质保部QA处登记,编号后归档启用. 5.2.3产品/过程的质量记录须按产品生产过程为顺序以批号归档，如停产的产品记录对新产品认可有必要时，由技术课负责将停产产品记录的复印件与新产品资料一同归档保存. 5.3质量记录的标识 5.3.1为保证质量记录具有唯一性的标识,由QA负责编制《质量记录清单》明确每一种质量记录的名称、编号、保存期、保存部门.控制清单应分发各部门，作为控制的依据，并且QA每年对各部门使用表格的适用性进行一次核查，作适当增删. 5.4质量记录的管理 5.4.1质量记录应按要求正确填写,字迹应清晰,不得任意涂改,内容完整,并应有记录者的签名. 更改时,要在更改处划横线,并及时盖章或签字. 5.4.2质量记录由职能部门(包括车间)每月收集一次,审查记录的完整性和准确性.并进行分类整理、登记立卡，按先后顺序装订成册由资料室归档保管.对需要集中归档的质量记录,各职能部门在每年的一月份将上年度的质量记录交质保部立卷归档.包括: a.合同评审的证明; b.检验和试验的记录; c.不合格的处理记录; d.能力证明(人/设备/过程);

药物警戒管理规程

标准管理规程 STANDARD MANAGEMENT PROCEDURE 一．目的：为规范药物警戒工作开展，确保药品风险效益平衡，保障公众用药安全有效，《中华人民共和国药品管理法》、《中华人民共和国药品管理法实施条例》等法律法规以及药物警戒相关文件制定本规范。二．责任：药物警戒总负责人、ADR专员、ADR监测员以及其他部门负责人三．范围：适用于本公司药物警戒管理规程的确认。四．内容： 1、药物警戒体系，是指一个组织用来完成与药物警戒有关的法定任务和职责的系统；该系统旨在监测（已获批准）药品的安全性，以及这些药品的风险获益平衡的任何变化；药物警戒体系有自己的结构、流程和结果目标。 2、要建立药品不良反应报告和监测管理制度，设立专门机构并配备专职人员，承担本单位的药品不良反应报告和监测工作。 2.1、从事药品不良反应报告和监测的工作人员应当具有医学、药学、流行病学或者统计学等相关专业知识，具备科学分析评价药品不良反应的能力。 2.2、建立健全的相关管理制度，直接报告药品不良反应，持续开展药品风险获益评估，采取有效的风险控制措施。 2.3药品不良反应监测负责人条件。药品不良反应监测负责人是持有人指定的直接主管药品不良反应监测工作，且具有一定领导职务的人员。该人员应当具备多年从事药品不良反应监测工作经验，熟悉相关法律法规及政策，能够负责药品不良反应检测体系的建立、运行和维护，确保监测工作持续合规。 3、药物警戒工作人员的综合素质 3.1职责：个例安全性报告的收集、随访、录入、评估和法规递交； PSUR、其他安全性报告的撰写；信号检测、分析；风险管理计划撰写、评估、管理；上市前、上市后研究的管理；培训的计划、实施、管理；制度、程序文件的制定、更新。 3.2具备的知识：医学知识、药学知识、流行病学知识、PV法规知识。 3.3技能：时间管理、项目管理、沟通技巧、培训技巧、写作技巧。

忠告性通知发布和实施控制程序

1 目的当产品发生事故/或由于某种质量缺陷怀疑产品可能造成严重后果时发布通告和回收产品，以防止同类事故的重复发生，或预防潜在伤害的发生，或减轻事故的影响或后果 2 适用范围适用于已售出产品发布通告和回收以及发布注意事项。 3 职责 3.1经销商负责对已售出产品发布通告和回收以及发布注意事项。 3.2制造商的职责 3.2.1管理者代表负责组织相关部门对信息（来源于经销商/患者或使用者及科学文献）和事故的分析，对产品通告的发布和回收进行监控，监督产品的回收进程和回收数量。负责将通告、注意事项、事故报告在规定的时间内向主管当局报告，必要时通知公告机构。 3.2.2市场部负责将所采取的措施传递给经销商，必要时将这些措施传递给患者或使用者。 3.2.3品质部负责文件的有效控制。 3.2.4仓管员负责回收产品的管理工作。 4程序要求 4.1由管理者代表负责组织对售出产品的有关信息及事故报告进行分析，根据问题的严重程度确定采取必要的措施。采取的措施包括： a)发布产品注意事项 b)发布产品通告 c)回收产品 d)回收产品的处置 4.2发布产品注意事项 4.2.1通过有关信息的分析，对于符合产品预期用途而产品所提供的信息未明确提出的事项，由管理者代表负责发布产品注意事项。 4.2.2市场部负责将注意事项通知经销商和用户。 4.3产品通告 4.3.1对有助于改善售出产品的使用、或预防潜在危害的发生、或可能防止同类事故的重复发生、或减轻事故的影响及后果等情况，由管理者代表负责发布产品通告，市场部通知经销商和用户。必要时管理者代表通知有关主管当局及公告机构。 4.3.2产品通告包括以下内容： 3.3.2.1产品的名称和型号

质量体系记录控制工作程序 - 制度大全

质量体系记录控制工作程序-制度大全质量体系记录控制工作程序之相关制度和职责，质量体系记录控制程序1目的对质量管理体系所要求的记录予以控制。2适用范围适用于证明服务符合要求和质量管理体系有效运行的记录。3职责3.1管理者代表负责外来人员查阅质量... 质量体系记录控制程序 1 目的对质量管理体系所要求的记录予以控制。 2 适用范围适用于证明服务符合要求和质量管理体系有效运行的记录。 3 职责 3.1管理者代表负责外来人员查阅质量记录的审批,批准保存期满的记录的销毁。 3.2各部门负责编制、填写、收集、整理、保管本部门的质量记录。 3.3质量管理部负责保管超过一年的质量记录。 4 工作程序 4.1 质量记录表式的标识编号质量记录表式的标识编写按《文件控制程序》执行。 4.2 质量记录填写 4.2.1质量记录填写要及时、真实、内容完整、字迹清晰,不得随意涂改;如因某种原因不能填写的项目,应能说明理由,并将该项用单杠划去;各相关栏目应当有负责人签名。 4.2.2如因笔误或计算错误要修改原数据,应采用单杠划去原数据,在其上方写上更改后的数据,加盖或签上更改人的印章或姓名及日期。 4.3质量记录的保存、保护 4.3.1各部门必须把所有质量记录分类,依日期顺序整理好,存放于通风、干燥的地方,所有的质量记录保持清洁,字迹清晰。质量记录一年以内由各部门保管,超过一年后,各部门应将质量记录交质量管理部保存。 4.3.2 质量管理部编制《质量记录清单》,将公司所有与质量管理体系运行有关的记录表式汇总,包括名称、编号,保存期、使用部门等内容,交管理者代表审批,并汇集备案记录的原始样本。 4.4质量记录借阅和复制各部门保管的质量记录应便于检索,需借阅要经相应部门负责人批准并填写《文件借阅、复制记录》,由记录管理人登记备案。 4.5 质量记录的销毁处理质量记录如超过保存期或其他特殊情况需要销毁时,由质量管理部填写《文件销毁申请》,报管理者代表批准,由授权人执行销毁。 5 相关文件 5.1《文件控制程序》 6 相关记录 QR-002-01

预防措施控制程序(含记录)

预防措施控制程序（ISO13485-2016） 1.0目的对潜在的不合格采取措施，消除潜在不合格的原因，防止不合格的发生。 2.0范围适用于公司所有部门对潜在不合格采取预防措施的控制。 3.0职责 3.1质量管理部负责潜在不合格的收集、汇总和分析，提出预防措施要求，并组织实施、验证。 3.2各部门负责本部门预防措施的制定和实施。 4.0程序 4.1识别并确定潜在不合格并分析原因。信息来源可包括： a)采购物资的拒收； b)要求返工的产品； c)过程中的问题，消耗水平； d)最终检验不合格； e)顾客反馈和市场分析信息； f)过程测量和过程控制的统计资料； g)由供方问题带来的困难； h)服务报告； i)让步需求； j)风险分析方法的应用，如故障模式和影响分析；

k)提供运作条件失控的早期报警过程； l)管理评审的输出等。 4.2质量管理部每月收集各种质量统计数据、质量反馈信息，分析、发现潜在不合格事实后，应进行调查，根据潜在问题的影响程度，确定优先次序，必要时组织召开质量分析会对潜在不合格进行评审，分析原因（可参照《纠正措施控制程序》4.3内容），形成质量分析报告，落实责任部门，下发《预防措施处理单》，并确定完成日期。 4.3责任部门对潜在的问题进行分析，并提出预防措施计划，经管理者代表批准后实施。预施应与潜在问题的影响程度相适应（权衡风险、利益和成本）。 4.4质量管理部跟踪验证预防措施实施的有效性。 4.5对有效的预防措施引起的文件更改，执行《文件控制程序》，对效果不明显的应进一步分析原因。 4.6质量管理部编制《改进，纠正措施和预防措施实施一览表》，记录各次措施发出时间、责任部门、完成时间及验证结果，逾期未完成的，要报告管理者代表，分析原因，督促其完成。 4.7重要的改进、纠正措施和预防措施的记录作为下次管理评审的输入之一。 5.0相关文件 5.1产品实现的策划程序 5.2数据分析控制程序 5.3不合格品控制程序 5.4文件控制程序 5.5警戒系统控制程序

警戒系统控制程序

【MeiWei_81重点借鉴文档】警戒系统控制程序 1、目的通过对事故的及时报告和评估并发布相关信息，以降低同类事故的重复发生，使病人或使用者的安全及健康得以保护。 2、范围本程序规定警戒系统控制的职责、工作程序、内容和要求。本程序适用于带有 CE标志的产品和不带 CE标志的产品，但事故会导致采取与带有CE标志有关产品的纠正措施以及欧盟市场出现事故及报告的责任。本程序同时适用于带有CE标志的产品在欧盟以外国家发生的事故。 3、职责 3.1制造商的职责：收到事故通知后进行处理，确定责任部门和欧盟授权代表及主管当局的关系。 3.2欧盟授权代表的职责：收到事故信息及时通知制造商并协助其处理，同时向欧盟所在国主管当局递交初始报告、调查结果及最终报告。 3.3销售商的职责：及时把顾客的抱怨和事故报告传递给制造商，并负责保存产品的售销记录。 4、控制程序 4.1管理者代表负责对事故报告信息进行分析，技术部、质检部、生产部会同调查后，确定需要报告主管当局的事项。 4.2制造商在决定某项事故是否需要报告主管当局时，应考虑如下方面因素： a）事故的类型； b）是否与制造商生产的任何医疗器械有关； c）事故是否有或可能有因器械或提供的有关器械的信息的缺陷引起的。 4.3管理者代表针对事故符合以下特征之一或组合时，应向主管当局报告。 4.3.1导致死亡。 4.3.2导致健康严重受损。 a）严重威胁生命的疾病或损伤。 b）身体功能的永久性损伤或身体组织的永久性损伤。 c）需要医疗或外科手术以避免对人体功能或人体组织的永久性损伤。 4.3.3会导致死亡或健康严重恶化，但侥幸没有发生的事故（称为准事故”）或发现器械方面的缺陷。 4.4在评估本厂产品和事故的关系时，应考虑： a）医生或专家的观点（基于所得到的证据）； b ）以前类似事故的证据； c）本公司对事故初步评估结果； d ）本公司掌握的其它信息证据。 4.5事故报告中的信息，可能包括以下方面： 4.5.1器械性能和/或特性的失灵或变质。 4.5.2器械没有失灵或变质，但某一特性可能会导致事故，则应做一件准事故”报告。 4.5.3器械的说明书不够确切，或有遗漏或不足。 4.6事故报告的时间限制制造商在收到事故通知后，由管理者代表组织，在完成了初步评估报告后，应在下列的规定时间内通知主管当局：a）事故：10天； b ）准事故：30天。 4.7应报告的医疗器械主管当局 4.7.1如发生在欧盟国家，应向器械发生事故的国家的主管当局报告。 4.7.2如发生在欧盟以外的其他国家，应向公告机构所在国的主管当局报告。 4.7.3必要时，在警戒系统下制造商应通知欧盟的授权代表及其他机构代表报告事故。 4.7.4制造商也应报告对其进行认证的公告机构。 4.8产品的系统性收回 4.8.1技术上或医学上的原因而导致产品的收回，应通知主管当局。 4.8.2产品的收回，应发出《忠告性通知》并发送至有关国家的主管当局。【MeiWei 81重点借鉴文档】

访问控制策略V1.0

北京华胜天成科技股份有限公司管理体系文件Array 2009年03月01日发布2009年03月01日生效

目录 1 目的 (1) 2 适用范围 (1) 3 术语表 (1) 4 访问控制方针 (1) 4.1 通用方针 (1) 4.2 网络访问控制 (2) 4.2.1 网络区域划分 (2) 4.2.2 网络区域隔离 (2) 4.3 身份授予与鉴别 (2) 4.3.1 账户管理 (2) 4.4 外部信息交换控制 (3) 4.4.1 公开信息披露 (3) 4.4.2 外部信息交换 (3) 5 相关过程、模板、指导、检查表 (3)

1目的访问控制方针旨在基于华胜天成的业务需求，为信息资产的访问控制制定方针原则。各信息安全控制措施的选择和实施，以及信息安全管理规定的编写，应依据本方针进行。 2适用范围本方针适用于华胜天成信息安全管理体系范围内的各类型访问控制，包括但不限于：信息资产访问控制；权限及密码管理；网络访问控制；物理安全访问控制；应用系统访问控制等。 3术语表 4访问控制方针访问控制应依据以下两个原则进行：最小授权原则当没有明确授予访问权限时，应为禁止访问。应仅对用户授予他们开展业务活动所必需的访问权限。需要时获取访问权限应仅当使用者必须要访问信息时授予。 4.1 通用方针信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施；访问控制角色应进行分离，包括如下角色： ?访问请求 ?访问授权 ?访问管理 ?访问控制审计；访问控制应包括如下管理过程： ?访问控制措施的部署； ?访问控制权限的申请、审批及授予

文件记录控制程序

1目得规范公司记录得管理，为追溯、改进与提高产品质量提供依据，证实质量管理体系运行得持续性、适宜性与有效性，确保其符合标准要求。 2范围适用于本公司质量管理体系所要求得所有记录得管理与控制。 3职责 3、1 行政部负责记录得统一编号、发放与管理,建立《记录管理一览表》。 3、2 品质部负责产品检验记录得管理。 3、3 各部门负责各自相关联记录得管理. 4流程图见附件 5内容 5、1 记录得分类凡就是质量管理体系运行中得记录、报告及与产品相关得质量数据均属于记录范围。 5。1。1 与质量管理体系管理有关得记录主要有: 管理评审记录、内部审核记录、文件控制记录、纠正与预防措施记录、人力资源管理与培训记录、设施管理记录、产品与过程监视与测量记录等等。 5。1。2与采购、销售、生产、检验与交付有关得记录主要有：产品要求得评审记录、供方评价记录、产品检验记录、监视与测量装置得校准记录、统计技术得应用记录、顾客投诉及服务记录等等。 5.1.３记录得形式为书面形式（如:书面得表格形式、报告文件形式等）、硬拷贝、磁盘等电子媒体等形式。５、2 文件记录表格得设计、审批、印制与领用。５。2。1 各部门设计自己所需得记录表格，并将空白表格交行政部审核后报管理者代表或其授权人审批后交行政部印制. 5.２.2 印制好得记录表格由仓库负责保管，各部门根据需要从仓库领用. 5、3 文件记录得填写文件记录由开展该项活动得直接责任人按要求及时填写，填写要求如下: 5。3.1 正确:质量记录所记内容必须真实准确,填写方法必须符合规定要求,字迹清晰，不随意涂改。需更改得部分采取划改，但需更改人签字并注明更改时间。 5。3.２及时:按规定时间填写、传递,发现问题应立即纠正。