A8.300 IT-systemet
A8.301  Der bør være udarbejdet en detaljeret beskrivelse af systemet
med diagrammer, hvor det er hensigtsmæssigt. Beskrivelsen
skal holdes ajour. Beskrivelsen bør omhandle:- systemets principper, formål, sikkerhedsforanstaltninger og anvendelse
– betjening af maskiner
– interaktioner med andre systemer og procedurer
– navn og indkøbsdato for både hardware og software
A8.302 Der skal findes en registergodkendelse.
A8.303 Inden IT-systemet tages i brug skal det være omhyggeligt afprøvet. Det skal dokumenteres, at det giver de ønskede resultater. Det skal være afprøvet for fejl, også fejl opstået ved utilsigtet betjening.
A8.310  Systemet skal registrere al anvendelse af systemet med personidentifikation, tid og tilføjelse eller ændring af data. Ligeledes skal forsøg på uautoriseret adgang registreres.
A8.311  Data skal ved fysiske og/eller elektroniske midler sikres mod
forsætlig eller uforsætlig skade.
A8.312 Systemet skal anvende personlige adgangskoder. Der bør endvidere være mulighed for anvendelse af forskellige sikkerhedsniveauer med tilhørende adgangsnøgler.
A8.313 Der skal være en instruktion for udstedelse, tilbagetrækning og
ændring af en bemyndigelse til at indlæse og ændre data, samt
for ændring af personlige koder.
A8.314 Data skal beskyttes ved regelmæssig back-up. Kopien skal
gemmes så længe som nødvendigt på et særskilt og sikkert
sted.
A8.320  Hardware skal være placeret på en sådan måde, at der ikke er
adgang til dem for uvedkommende. Vitale dele, fx servere bør
være placeret i særligt beskyttede rum, som også er sikrede
mod udefrakommende faktorer, der kan være ødelæggende, fx
brand eller vandskade.
A8.330 Programmer bør være udarbejdet i overensstemmelse med et
kvalitetssikringssystem for udarbejdelse af IT-programmer.
A8.331  Programmerne bør om muligt have indbyggede kontroller, der
sikrer overensstemmelse mellem de indtastede data og sikrer
korrekt databehandling.
A8.332  Ændringer i programmer skal udføres efter særlig instruktion
og skal være beskrevet i en særlig rapport. Rapporten bør indeholde oplysninger om årsag til samt validering, kontrol, godkendelse og implementering af ændringen. Ændringen skal være godkendt af den for systemet ansvarlige person. Ved ændringer bør man sikre sig integriteten af de registrerede data.
A8.340  Manuel indlæsning af kritiske data bør udføres med en yderligere kontrol af rigtigheden af de indlæste data. Den yderligere
kontrol kan udføres af en anden operatør eller med validerede
elektroniske midler. Identiteten af en evt. anden kontrollerende operatør skal registreres.
A8.341 Ændring af data må kun udføres af brugere med særlig bemyndigelse. Ved ændring af kritiske data skal herudover årsagen til
ændringen registreres.
A8.342 Det skal være muligt at få umiddelbart forståelige udskrifter af
de registrerede data. Disse udskrifter skal bla. anvendes i forbindelse med validering af systemet.
A8.343 Fejl opdaget ved anvendelse af systemet skal registreres i afvigelsesrapporter.