扫一扫 添加小助手
服务热线
13818320332
扫一扫 关注我们
前言:各类法规的背景框
① 美国GMP在21 CFR 211.68(b)中对授权人员的描述:应对计算机或有关系统实施适当的控制,以确保只有经授权的人员才能更改主生产和控制记录或其他记录。
② FDA 21 CFR 11 该规例B部第11.10(d)条:对授权个体进行受限的系统访问。
③ FDA指南:临床调查计算机化系统:我们建议该系统的每个用户拥有一个个人帐户(第D1条)。应使工作人员充分了解系统安全措施和限制接触授权人员的重要性(第E条)。维护一个累积记录,在任何时间点显示授权人员的姓名、头衔和访问权限的描述(第E条)。
④ 欧盟GMP附件11:条款2。人员:流程所有者、系统所有者、合格人员和IT等所有相关人员之间应密切合作。所有人员都应具有适当的资格、访问等级和明确的责任,以履行其指定的职责。第12.3条应记录访问授权的创建、更改和取消。
⑤ MHRA数据完整性指南关于计算机化系统的用户访问/系统管理员的规定:
应该充分利用访问控制,以确保人们只能访问适合他们的工作角色的功能,并确保操作是属于特定个人的。公司必须能够演示授予单个员工的访问级别,并确保有关用户访问级别的历史信息是可用的。
不应使用共享登录或通用用户访问。
当计算机化的系统设计支持单个用户访问时,必须使用此功能。这可能需要购买额外的许可证。……考虑到组织的规模和性质,系统管理员的访问权限应该限制在尽可能少的人。一般系统管理员帐户不应可供使用。
⑥ FDA关于数据完整性和cGMP符合性的指南的问题4:应该如何限制访问CGMP计算机系统:FDA建议您在可能的情况下,通过技术手段(例如,通过限制更改设置或数据的权限)来限制更改规范、……测试方法的能力。FDA建议将系统管理员角色(包括修改文件和设置的任何权利)分配给独立于负责记录内容的人员(personnel应理解为不止一个人,但应尽可能少)。
⑦ 世卫组织关于良好数据和记录管理做法的指南 附录1 ALCOA部分:限制对增强的安全权限的访问的配置设置……仅对与电子记录内容无关的人员开放。
⑧ 国内的计算机化系统附录及《数据和记录管理规范》(征求意见稿)虽然是重点,但不再详述,自己啃吧。
注意事项
1、用户帐户管理目标:将帐户分配给特定的个人,以便将CDS中的所有操作都归于该个人。用户帐户管理的先决条件:
1.1首先是在CDS应用程序中定义用户类型/组以及与每种类型相关联的相应访问特权。这将由系统的IT管理员负责实现。
1.2第二种是针对单个的色谱师或其他个人,一旦他们建立了自己的账户,分配了自己的角色,他们可能会受到更多的限制,比如他们可以访问哪些项目、色谱仪等。例如,参与方法开发、验证和转移的色谱师可能会接触到常规批量放行或限制级的稳定性项目,因为这些不需要他们知道。这部分将由实验室管理员负责。
1.3 IT管理员不能承担所有的管理任务,实验室管理员有一个角色,有时被称为超级用户。见表1。表1 CDS的IT管理员和实验室管理员的主要职责
| IT管理员 | 实验室管理员 |
| •管理配置设置•用户账户管理•维护系统的累计用户列表•实施变更控制 |
•为用户分配cds资源•创建和管理主项目/默认项目•从主项目创建工作项目•管理实验室数据服务器•创建和验证自定义计算•创建和验证自定义报告 |
2.授权用户
个人要想使用cds,需要有一个正式的申请来创建一个帐户。此外,由于角色的更改或用户离开部门或公司时,需要有其他正式请求来修改或禁用现有用户帐户。通常,此请求将来自实验室管理人员或流程所有者,由其实现
3.个人用户账号
每个用户都有一个单独的帐户。这是常识,因为这是唯一的方法,让任何计算机系统唯一地识别个人和他们的行动。它是规范实验室中对数据完整性和工作真实性要求的核心。在共享用户身份的情况下,这意味着系统无法区分用户,数据完整性严重受损。如康科德实验室的警告信。在用户被训练使用系统时,除非明确要求,否则应该禁止访问任何内容。随着成功获得正确使用系统的技能而增加的特权,最后一个阶段可能会限制访问。
4.用户累计列表
在这里,FDA要求使用系统内部或外部的一种方法来维护一个累积的记录,该记录在任何时间点显示授权人员的姓名、头衔和访问权限的描述。它涉及到数据完整性的原则,如果审计跟踪中的一个条目使用用户标识来链接用户操作,那么用户标识可能不够详细,无法识别个人,因此需要一个累计列表。进一步考虑一下,什么时候个人第一次被授予对系统的访问权,什么时候终止了对系统的使用?这些信息将极大地帮助数据的完整性。理想情况下,CDS应该能够提供这些信息,但是,由于用户没有在软件中请求此功能,大多数CDS不能够提供这些信息。因此,为了满足这一建议,大多数系统管理员将只剩下一个纸质的备选方案,它可以是编译电子表格或定期更新的文字处理程序列表。每个用户的信息应该是:●姓名和职位/头衔;●部门/站点(仅当cds跨多个部门甚至站点运行时才需要);●用户名(如果用于审计跟踪等,用户名很重要);●用户组(如果跨部门和/或站点使用);●用户角色(此角色应与个人的访问权限相关联);●创建日期;●数据访问权限更改(例如从实习生变为分析师);●数据账户被禁用(或删除)。
5.员工安全意识:应使工作人员充分了解系统安全措施和限制接触授权人员的重要性。这突出了对用户进行初步和持续培训的重要性。6.定期审核账号:作为定期审查或IT审计的一部分,CDS账户需要定期进行审查,以确保所有账户都是必需的,且访问权限适合系统内的个人功能。这将是一个文件化的过程,包括调节步骤,以确保cds和纸质记录是相同的。
用户账号管理实践
1、流程化工作流
用户账户管理流程,包括如下三个主要阶段,其中两个阶段需要IT和实验室管理员的交互。
2创建新用户帐户
这首先是基于实验室经理为创建cds的新用户帐户的提出的正式请求,此外,还有对网络访问的请求以及与用户角色相关的其他应用程序,如电子邮件帐户、LIMS访问等。
重要的是,cds有足够的用户许可来为新用户分配一个账号,并避免共享身份的诱惑。当有几个服务/维修工程师的帐户时,可能需要所有的帐户都禁用,除了现场提供服务的人,以节省用户许可证。
创建帐户并分配用户类型或角色后,IT管理员需要通知实验室管理员,实验室管理员负责将CDS资源分配给个人,如项目、方法、色谱仪等。例如,一个受训者可能只被允许进入一个培训项目,学习如何使用数据系统和执行分析方法,直到他们足够熟练,可以进行日常工作时,他们对资源的访问将被实验室管理员更改。
3修改现有用户帐号
在第二阶段,可以修改现有的用户帐户。分析师可以晋升为主管,他们的帐户可以由IT管理员修改。同样,这需要来自实验室经理的正式请求,以便管理员执行。在适当的情况下,实验室管理员可以更新对CDS资源的访问权限,例如对特定项目、方法的访问权限等。
4禁用用户帐户
如果用户离开或延长休息时间,实验室经理必须发出正式请求,通过禁用而不是删除帐户来终止对该用户的cds访问。收到指令后,IT管理员将执行该指令并相应地更新用户记录。对于离职的用户来说,一个更好的方法是带一张离职表,以便签名记录一些事项,比如将安全通行证交还给IT部门。这样,IT管理员可以在其离开公司之前禁用其网络和cds访问。
5维护累计用户列表
IT部门应该维护cds的累积用户列表,在每次接收到正式请求并执行时更新文档。必须向负责人员强调本清单的重要性、准确性和可维持性。
6用户帐户的定期审查或审计
无论是作为定期审查的一部分,还是作为单独的审计活动,都需要定期审查CDS内的账户,并与系统外的正式申请(指账户变更等历史记载)进行核对。至于“常规”的定义,则留给了各个实验室或组织。然而,鉴于目前色谱数据系统在监管机构的高度重视,建议采用12,尽管,这样做增加了负担。
审查可以通过如下三种方式进行
●获取正式的申请和用户累计列表,并将它们与系统中的记录(包括适用的审计跟踪项)进行匹配。
●采取相反的策略,将CDS账户记录与正式申请和累计列表匹配起来。
●最后,将审计跟踪项记录到系统的账户记录、用户的累计列表和正式申请中。
理想情况下,所有数据都应该匹配,不应该有差异。但是,如果有,就需要有一个正式的解决进程,以便不存在任何疏漏。应该有一份与CAPA一起的正式报告。
密码管理
与账户管理齐头并进的是密码管理。通常需要遵循一个公司标准,其中定义了最小密码长度、复杂性、重用次数和过期标准。如果基于网络使用单点登录方法,那么这些标准将在Active Directory中实现。但是,如果基于CDS安全性,那么这些控件将在配置标准中指定,并在执行用户验收测试之前实现。如果网络或CDS应用程序在技术上无法强制实施密码控制,那么使用密码控制就没有什么意义。
2密码悖论
使用复杂当然很好,但是现在有些左倾:密码悖论。简单的密码容易记住,也容易猜到。密码越复杂,用户越容易把它写下来而被别有目的的获取。每年都会公布一些排名前20位的密码,比如:●12345;●Password;●123456;●Iloveyou;●1234567;●Letmein;●123456789
●Qwerty。因此,密码需要足够复杂,而且对于实验室用户来说,最好不要太频繁地更换密码。在制药行业,90天似乎是密码过期的合理时间。
3忘记密码?假期过得愉快吗?这么长假期,你很有可能忘记了你的密码,而且,在试图尝试输入以记起它的时候,你已经锁定了你的账户。噢,亲爱的!在这里,你必须拿出卑微的态度,并要求IT重置你的帐户和密码。然而,有一个潜在的安全漏洞可能发生在这里,任何人都可以打电话给IT要求访问一个帐户。为了防止这种情况发生,在一些应用程序中,每个用户都可以输入个人问题的答案,如果答案正确,可以授予临时访问权限来重置密码。或者,您可能必须将面见IT管理员提出重置请求。当然,有一些软件需要将数据库发给厂家,由其帮你解密,但:你放心吗;还有的,只有锁定,未开发出重置密码的功能;以上,自求多福吧。
注:本文参考了R.D.McDowall先生的部分观点
作者介绍:
vabs(李):以后就是“歪把子李”了, 被某国际不要脸组织除名的中医药大学毕业的药剂系网管就是屈屈在下了。 通过研究标准和关键工艺参数,优化了一些工艺;干过一些出口日本的中药提取物,出口美国的原料药;改造企业现有计算机化系统,先省他100万。正业算是没有耽误吧。目前打杂儿的高级工程师一枚。
文章来源:蒲公英制药论坛
本网站刊载的所有内容,包括文字、图片、音频、视频、软件等,如非标注为“原创”,则相关版权归原作者所有,如原作者不愿意在本网站刊登相关内容,请及时通知本站,我们将第一时间予以删除。
分享精彩资讯