A8.300 | IT-systemet |
A8.301 | Der bør være udarbejdet en detaljeret beskrivelse af systemet med diagrammer, hvor det er hensigtsmæssigt. Beskrivelsen skal holdes ajour. Beskrivelsen bør omhandle:- systemets principper, formål, sikkerhedsforanstaltninger og anvendelse – betjening af maskiner – interaktioner med andre systemer og procedurer – navn og indkøbsdato for både hardware og software |
A8.302 | Der skal findes en registergodkendelse. |
A8.303 | Inden IT-systemet tages i brug skal det være omhyggeligt afprøvet. Det skal dokumenteres, at det giver de ønskede resultater. Det skal være afprøvet for fejl, også fejl opstået ved utilsigtet betjening. |
A8.310 | Systemet skal registrere al anvendelse af systemet med personidentifikation, tid og tilføjelse eller ændring af data. Ligeledes skal forsøg på uautoriseret adgang registreres. |
A8.311 | Data skal ved fysiske og/eller elektroniske midler sikres mod forsætlig eller uforsætlig skade. |
A8.312 | Systemet skal anvende personlige adgangskoder. Der bør endvidere være mulighed for anvendelse af forskellige sikkerhedsniveauer med tilhørende adgangsnøgler. |
A8.313 | Der skal være en instruktion for udstedelse, tilbagetrækning og ændring af en bemyndigelse til at indlæse og ændre data, samt for ændring af personlige koder. |
A8.314 | Data skal beskyttes ved regelmæssig back-up. Kopien skal gemmes så længe som nødvendigt på et særskilt og sikkert sted. |
A8.320 | Hardware skal være placeret på en sådan måde, at der ikke er adgang til dem for uvedkommende. Vitale dele, fx servere bør være placeret i særligt beskyttede rum, som også er sikrede mod udefrakommende faktorer, der kan være ødelæggende, fx brand eller vandskade. |
A8.330 | Programmer bør være udarbejdet i overensstemmelse med et kvalitetssikringssystem for udarbejdelse af IT-programmer. |
A8.331 | Programmerne bør om muligt have indbyggede kontroller, der sikrer overensstemmelse mellem de indtastede data og sikrer korrekt databehandling. |
A8.332 | Ændringer i programmer skal udføres efter særlig instruktion og skal være beskrevet i en særlig rapport. Rapporten bør indeholde oplysninger om årsag til samt validering, kontrol, godkendelse og implementering af ændringen. Ændringen skal være godkendt af den for systemet ansvarlige person. Ved ændringer bør man sikre sig integriteten af de registrerede data. |
A8.340 | Manuel indlæsning af kritiske data bør udføres med en yderligere kontrol af rigtigheden af de indlæste data. Den yderligere kontrol kan udføres af en anden operatør eller med validerede elektroniske midler. Identiteten af en evt. anden kontrollerende operatør skal registreres. |
A8.341 | Ændring af data må kun udføres af brugere med særlig bemyndigelse. Ved ændring af kritiske data skal herudover årsagen til ændringen registreres. |
A8.342 | Det skal være muligt at få umiddelbart forståelige udskrifter af de registrerede data. Disse udskrifter skal bla. anvendes i forbindelse med validering af systemet. |
A8.343 | Fejl opdaget ved anvendelse af systemet skal registreres i afvigelsesrapporter. |