制药行业计算机化系统的权限控制.doc

药品生命周期内的计算机化系统的权限控制 计算机化系统的权限控制，旨在通过计算机化系统软件来控制人员登 入登出系统、关键系统操作、参数修改及用户管理等。来保证关键工艺、 检测操作及电子数据管理处于受控状态，防止非授权的操作带来的不可追 溯的药品质量风险。近几年出现多起大型药品相关企业（以下简称GxP企 业）因权限控制缺陷收到FDA （美国食品药品监督管理总局）警告信的事 件，权限控制逐渐引起制药行业内重视。 法规指南 1.1CFDA 2010版GMP附录10《计算机化系统》第十四条指出“只有经许 可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的 人员进入和使用系统。应当就进入和使用系统制订授权、取消以及授权变 更的操作规程/ CFDA《数据管理规范》（征求意见稿）“经授权许可人员才可以进行数 据存储或处理及进入档案室等区域。用户名仅释放给有业务需要且经授权 批准的员工。用户通过其唯一的用户名和密码登录进入系统。” FDA 21CFR part 11《电子记录和电子签名》11.10 （g）部分指出“使用 权限检查以确保只有被授权的用户才能：1）使用系统；2）以电子方式签 名；3）使用操作功能或计算机系统的输入输岀设备；4）变更电子记录; 5）其他操作。” WHO数据完整性指南《良好的数据和记录规范》4.12部分指出“限制 自动化系统的用户访问权限以避免（或审计追踪）数据修改。” 权限的生命周期 ISPEGAMP5《良好自动化生产实践指南》对计算机化系统生命周期分为四 个阶段：概念阶段、项冃阶段、运行阶段和退役阶段。权限控制作为计算 机化系统的一个软件模块，其应遵守计算机化系统的生命周期原则进行控 制。如下图： 3.权限的需求 3.1作为GxP企业，对于权限的需求往往被忽视，企业大多在系统的URS 里面描述“系统需要具备三级权限”或者描述“系统具备权限管理”，这 样的需求使系统供应商无法确定企业的实际需求而进行权限模块的设计, 造成系统实际设计的权限与企业要求的权限相差甚远，如供应商的权限控 制模块里面的用户管理，三级权限全部具备，这种设计是不符合现行规范 要求的。 3.2在需求阶段需要描述清楚对于关键权限的要求，如用户管理仅适用于 最高权限来控制。下图关于权限管理的需求条款供参考： 编号 用户需求说明 URS025 系统分三级使用权限，包括管理员级、工程师级、操作员级，管理 员级至少能够行使对其他人员授权、注销等权限管理的权利，工程 师级至少能够行使参数修改、系统操作等的权利，操作员级至少能 够行使系统操作、报警确认等的权利。仅管理级才应具备人员授权、 注销的权限。 4.权限的确认 4.1计算机化系统软件供应商会根据GxP企业的用户需求进行权限的设计、 组态和编程，最终得到我们需要的权限，并形成权限分配操作说明书。 4.2对于供应商给予我们设计、组态和编程的权限是否真实的符合我们的 实际需求，我们需要通过确认文件来进一步的证明软件模块在最终放行给 GxP企业时，不会给将来的患者安全、药品质量和数据完整性造成负面影 响。 4.3权限确认一般包括设计确认和功能确认，设计确认是证明软件设计符 合用户需求且不会增加额外的风险；功能确认是证明系统软件组态或编辑 的权限模块符合设计要求。 ?权限设计确认通过检查供应商设计的权限清单与GxP企业的URS要求 进行比对，确认URS每条权限要求均在设计文件中得到清晰的体现，以 下提供一个权限设计清单供参考： 操作权限 描述 操作员 工程师 管理员 用户管理 调用用户管理，进行更改 N N Y 区域授权 允许用户触发画面切换 Y Y Y 系统更改 变更系统状态 N N Y 监视 查看各个监测点位 Y Y Y 过程控制 变更过程值（用户自定义） N N N 高级过程控制 变更/设置参数（包括系统温湿度 设定值修改、阀门调节、手自动 切换、工作模式切换等） N Y Y 报表系统 允许用户查询报表 Y Y Y 远程激活 归档内容进行设置（用戸自是 义） N N N 远程组态 允许用户远程组态（用户自定 义） N N N Web访问-仅监 视 允许用户Web访问?仅监视（用 户自定义） N N N 最高级过程控制 允许用户报警上下限修改 N N Y 高级操作1 允许用户报警确认 Y Y Y 高级操作2 允许用户高级操作（用户自定 义） N N N  ?权限功能确认通过检查权限设计清单中的每一条权限的可行性，并逐 一进行检查，以下提供一个权限功能确认清单供参考： 人员权限 测试结果 确认人签字 /日期 操作权 限 描述 操作 员 工程 师 管理 员 操作 员 工程 师 管理 员 X 用户管 理 调用用户管理， 进行更改 N N Y □合格 □不合格 区域授 权 允许用户触发 画面切换 Y Y