文/ 乔晓芳 耿祥彬
信息技术改变了社会生产、生活形态,信息资源成为医药企业发展中非常关键且活跃的资源——随之而来的是,信息系统越发复杂化,信息资源面临着越来越严峻的安全形势。因此,信息安全风险评估和权限控制工作在保障信息资产安全方面显得尤为重要。计算机化系统在药品生产过程中有着广泛的应用,随着GMP(生产质量管理规范)附录《计算机化系统》的颁布和实施[1],药品生产企业进一步加强了对计算机化系统的管控,尤其是在计算机化系统的权限管理方面——其在计算机化系统的管理中尤为重要。计算机化系统的权限管理,旨在通过计算机化系统软件控制人员登入/退出系统、关键数据操作、主要参数修改、权限管理与用户管理等,保证关键工艺、检测操作及电子数据管理始终处于受控状态,防止非授权的操作带来的不可追溯的药品质量风险。近几年出现过多起大型药品相关企业因权限管理缺陷收到美国食品药品监督管理局(FDA)警告信的事件,制药行业应对此予以高度重视。
信息安全风险评估和权限管理工作在信息安全保障体系建设过程中起着至关重要的作用,既是信息安全保障体系建设评价与决策机制的安全标准和评价体系,也是信息安全工作的核心内容。为加强药品监督管理、保证药品质量、保障人体用药安全、维护人民身体健康和用药安全有效的合法权益,多个国家和机构均对计算机化系统权限管理工作提出了明确的要求[2-4],如针对电子记录和电子签名的《FDA 21 CFR part 11》中的11.10(g)部分、《中华人民共和国电子签名法》以及WHO《数据完整性指南》中“良好的数据和记录规范”4.12部分。本文依据以上法规条款,对如何建立药品生产设备计算机化系统权限管理工作进行了详尽的研究分析,以提高药品生产设备计算机化系统权限管理水平,降低药品质量风险和用药安全风险,保障人民用药的安全有效,同时建立企业计算机化系统权限管理方案,为维护药品生产企业的社会声誉提供参考依据。
药品生产企业往往会忽略权限的需求。大多数企业在系统的URS(用户需求说明)中将其描述为“系统需要具备三级权限”或“系统具有权限管理功能”,这样的描述很可能使得系统设计人员无法确定用户的实际需求,造成系统设计权限与用户的要求相差甚远,最终导致计算机系统不符合权限管理要求[5]。在需求阶段,系统设计人员应根据用户的实际需求构建计算机化系统管理权限,以适应用户对计算机化系统的操作。以温度监控系统为例,权限设计详见表1。
计算机化系统软件开发人员应根据系统设计人员的需求进行权限开发,以此设计出所需的管理员权限,进而形成权限配置操作说明书。对于开发人员设计的权限管理策略是否符合用户的实际需求,则需要通过验证文件作进一步验证,且这一过程应不会给将来的操作安全、药品质量和数据完整性造成负面影响[6,7]。计算机化系统权限的确认一般包括设计确认和功能确认,设计确认旨在证明软件设计是否符合用户需求且不会增加额外的风险;功能确认则是为了证明计算机化系统的权限策略是否符合设计要求。权限设计确认通过对权限清单与URS要求进行对比,以确认URS的每条权限要求均在设计文件中得到清晰的体现。权限功能确认通过检查权限设计清单中权限的可行性,逐条对其进行检查。以温度监控系统为例,确认权限详见表2。
表1:温度监控系统权限设计
值得一提的是,对于计算机化系统的权限功能测试,仅仅完成上述测试还远远不够,还需根据风险评估增加额外的测试项目,如进入系统部署环境是否受控、计算机系统安全是否受控及权限修改是否受控等。
在完成计算机化系统的权限确认后,其账户权限的分配、变更及禁用,同样要符合相关规范。公共账号和管理员权限是否滥用是目前监管部门检查的重点,权限管理应该包括以下内容:
需根据已确认的权限建立权限清单。权限清单应包含权限名称、功能列表及描述,当系统功能升级后,需要根据功能变更,对权限清单进行及时更新。
系统管理员权限需进行特殊管理,因此该权限不能分配给利益相关的部门,如实验仪器负责人不能拥有实验仪器的系统管理员权限。通常来说,这项权限理应分配给数据产生部门和质量体系以外的其他部门,如IT部门。
需要注意的是,受仪器制造水平、信息化发展程度和法规要求等多个因素的影响,某些仪器软件在操作过程中必须使用操作系统的系统管理员账号登录电脑,然后再使用软件账号登录仪器软件。对于这类仪器,可以使用公共的管理员账号(不能是administrator)登录电脑,但应加强管理,如建立线下台账、记录登录/退出记录、备份系统日志。
计算机化系统的账号建立及权限的任何变更均需要得到质量保证部及系统管理员权限归属部门的审核和批准,不得将系统管理员权限随意分配给其他人员,若因系统软件本身原因,导致日常操作必须使用系统管理员权限时,可以分配一个与系统管理员拥有同等权限的账号,给予使用部门进行日常操作,但是不允许此账号进行权限分配、用户管理、系统设置、网络设置、时间设置等只有系统管理员才可进行的操作[8,9]。所有账号的分配、变更及禁用都需要建立完整的流程,记录变更前后的详尽权限,将其作为对应计算机化系统的台账。账号变更申请、变更台账、系统日志及培训记录需与实际情况保持一致。
表2:温度监控系统权限确认
计算机网络的系统化管理模式会因计算机系统平台的类型有所区别。这里以主流的Windows系统为例进行分析。
3.4.1 用户在登录系统时需要进行授权检查
在使用计算机时,用户需要在进入系统之前登录系统,这时用户的账户可能是一个或多个。系统登录作为系统安全的重要环节,需引起企业的重视。其中,就包括了强制登录的情况。在管理用户的授权时,计算机系统应根据具体的授权状态对登录行为做出允许或禁止的决定。
3.4.2 通过管理员账户管理普通用户的账户
Windows系统是以管理员账户为核心进行账户管理的。用户在创建用户名与密码时,需符合网络安全的要求。账户创建的意义在于,将有效的授权管理落到用户手中。当权限分配关系对账户的安全性产生安全隐患时,管理员需对账户进行修改或删除。
3.4.3 管理多用户
管理多用户指的是管理用户组。用户组的管理会直接影响到网络信息的共享。在进行用户设置相关选项的操作中,要谨慎考虑,三思而行。
药品生产企业的权限管理不仅决定着谁有权做什么,还应体现权利间的相互制约关系。药品生产设备计算机化系统应做到事前控制,在系统的设计阶段,就应考虑到系统功能项在生产应用场景中是否会出现功能互斥的情况。在实施过程中,规则并不是绝对的,权责互斥的粗细,取决于企业内外部风险管控的需要,标准并不唯一。集团型企业的分公司能够根据自身的实际业务及管理需求进行动态的参数配置,并进行严格控制,是其考核的重点。对于功能互斥参数,集团型企业应采取集中控制的策略,分公司及下一级组织提需求,由一级系统管理员进行分组织设置。系统管理员则可通过互斥功能参数对互斥功能进行管理,从而达到可持续化改进、控制风险的目的,同时满足审计要求。
信息化时代的到来,标志着制药生产的更进一步,建立在计算机基础上的信息化设备与系统已成为制药企业日常生产的重要组成部分,并为其发挥着积极的作用。这是一场效率与安全的革新,但与此同时,制药企业更应关注其中潜在的管理问题。技术人员应积极学习相关知识,掌握技术核心,同时避免非法访问及信息入侵等问题,以保证计算机化系统的安全与数据的完整性。