浅析药品生命周期内计算机化系统的权限控制
2018-04-14乔香君
王 军 乔香君
(1.扬子江药业集团有限公司,江苏泰州225300;2.郑州市高新区食品药品监督管理局,河南郑州450000)
0 引言
计算机化系统的权限控制,旨在通过计算机化系统软件,控制人员登录/退出系统、操作关键系统、修改参数及用户管理等,以此保证关键工艺参数、检测操作及电子数据管理处于受控状态,防止由非授权操作带来的不可追溯的药品质量风险。近几年,多家大型药品相关企业(以下简称为GxP企业)因权限控制缺陷收到FDA(美国食品药品监督管理总局)的警告信,逐渐引起了制药行业对权限控制的重视。
1 法规指南
CFDA的2010版GMP附件1《计算机化系统》第十四条指出:只有经许可的人员才能进入和使用系统;企业应当采取适当的方式,杜绝未经许可的人员进入和使用系统;应当就进入和使用系统,制定授权、取消以及授权变更的操作规程。
CFDA《数据管理规范》(征求意见稿)指出:只有经授权许可的人员才可以进行数据存储或处理及进入档案室等区域;用户名仅释放给有业务需要且经授权批准的员工;用户通过其唯一的用户名和密码登录系统。
FDA 21CFR Part 11《电子记录和电子签名》指出:使用权限检查以确保只有被授权的用户才能:(1)使用系统;(2)以电子方式签名;(3)使用操作功能或计算机系统的输入输出设备;(4)变更电子记录;(5)其他操作。
WHO数据完整性指南《良好的数据和记录规范》指出:限制自动化系统的用户访问权限以避免(或审计追踪)数据修改。
2 权限的生命周期
ISPE GAMP5《良好的自动化生产实践指南》将计算机化系统生命周期(图1)分为4个阶段:概念阶段、项目阶段、运行阶段和退役阶段。权限控制作为计算机化系统的一个软件模块,应遵守计算机化系统的生命周期原则。
3 权限的需求
作为GxP企业,对于权限的需求往往被忽视,企业大多在系统的URS里面描述“系统需要具备三级权限”或者描述“系统具备权限管理”,这样的需求描述使系统供应商无法确定企业的实际需求,从而进行相应的权限模块设计,造成系统实际设计的权限与企业要求的权限相差甚远。例如,供应商的权限控制模块中用户管理的三级权限全部具备,这是不符合现行规范要求的。
图1 计算机化系统生命周期
在URS编写阶段,需要描述清楚对关键权限的要求,如用户管理仅适用于最高权限来控制。关于权限管理的需求条款如表1所示。
4 权限的确认
计算机化系统的软件供应商会根据GxP企业的用户需求进行权限的设计、组态和编程,最终得到需要的权限,并形成权限分配操作说明书。
对于供应商给予的设计、组态和编程的权限是否真实地符合企业的实际需求,需要通过确认文件来进一步证明软件模块在最终放行给GxP企业时,不会给患者用药安全、药品质量和数据完整性造成负面影响。
权限确认一般包括设计确认和功能确认。其中,设计确认是证明软件设计符合用户需求,且不会增加额外的风险;功能确认是证明系统软件组态或编辑的权限模块符合设计要求。
权限设计确认,通过检查供应商设计的权限清单与GxP企业的URS要求进行比对,确认URS每条权限要求均在设计文件中得到清晰体现。表2为权限设计清单。
权限功能确认,逐一检查权限设计清单中的每一条权限的可行性。
表3为权限功能确认清单。
对于软件的功能测试,仅仅测试以上内容是不够的,还需要根据风险级别增加额外的测试。例如,软件不允许建立重复的用户名,不允许用户名、密码被重置,修改需要有审计追踪记录,涉及电子签名的账户删除后,其用户名不得被重复使用等。
5 权限的管理
确认软件权限模块的合规性后,其账户权限的分配、变更及删除应受到规范管理,共用账户和管理员权限滥用是目前监管的重点,权限的管理一般包含以下内容:
表1 权限管理的需求条款
表2 权限设计清单
5.1 权限清单的建立
根据已经确认的权限,建立权限清单,权限清单需包含权限的名称和描述,清单应根据软件模块的变更及时升级。
5.2 管理员权限归属的确立
管理员权限应进行特殊管理,不得分配给利益相关部门,如QC主管不得拥有QC仪器的管理员权限,一般应该分配给直接产生数据的部门(如生产部门)和质量体系外的其他部门(如IT部门)。有一点要注意,如果要先通过登录操作软件(如Windows系统)才能进入系统软件时,其涉及数据安全的操作软件最高权限也应当授予非利益相关部门。管理员权限应在系统交付使用前交付给管理员权限归属部门,此权限应只能用于账户权限的分配、变更、禁用和删除,不直接应用于日常操作。
5.3 账户的分配、变更、禁用和删除
(1)计算机化系统的账户建立及权限的任何变化均需得到QA及管理员权限归属部门审核和批准,不得将管理员权限随意分配给其他人员。若因系统软件本身原因,导致日常操作必须使用到管理员权限时,可以分配一个管理员权限给使用部门进行日常操作,但不允许使用此账户进行权限分配操作。
(2)涉及电子签名的账户,在其签名的电子记录有效期内不得被删除。
满足以上要求后,账户权限处于一个受控的状态。对于权限管理还要注意一些细节,比如,管理员权限要建立备用账户,防止权限丢失无法找回,系统自带的一些无法处理的账户要由管理员归属部门进行统一管理等。
6 权限控制的常见误区
6.1 所有系统都要有多级权限管理
(1)很多系统本身根本无法实现权限多级管理,如电子天平。当遇到权限管理可行性不高或者成本高的情况时,可以通过严格的物理控制及完整的纸质记录,来保证人员操作和记录的一致性。
(2)鉴于监管要求越来越严格,对用于成品检测的分析仪器,需要具备完善的权限管理体系。
6.2 权限管理就是三级权限管理
系统的权限需求要考虑到系统的复杂性,不能一概而论。一般的单机设备,三级权限基本就可满足日常权限管理需求。对于复杂系统,如WMS系统,涉及多个部门协作的,需要较多的特殊权限,物料放行需分配给QC部门,物料有效期管理分配给QA部门,物料库存管理分配给仓库部门等,其权限级别均是独立的,不存在权限分级的状况。
表3 权限功能确认清单
7 结语
随着目前药品监管日趋严格以及药品研发、生产和运输过程的自动化和信息化水平越来越高,企业需要最大限度地避免关键系统的非授权操作,虽然通过手工记录的方法可以解决一部分问题,但是其管理严谨性是远远不够的,必须通过先进的自动化和信息化软件来控制人员的不合规操作,以确保药品生命周期内的数据可靠性。