淺析藥品生命周期內(nèi)計(jì)算機(jī)化系統(tǒng)的權(quán)限控制

摘

要：結(jié)合制藥行業(yè)計(jì)算機(jī)化系統(tǒng)的相關(guān)法規(guī)和指南，從權(quán)限的生命周期、權(quán)限的需求、權(quán)限的確認(rèn)、權(quán)限的管理、權(quán)限控制的常見(jiàn)誤區(qū)方面，對(duì)藥品生命周期內(nèi)計(jì)算機(jī)化系統(tǒng)的權(quán)限控制進(jìn)行了解讀。關(guān)鍵詞：計(jì)算機(jī)化系統(tǒng)；權(quán)限控制；GxP企業(yè)；確認(rèn)；管理

0

引言計(jì)算機(jī)化系統(tǒng)的權(quán)限控制，旨在通過(guò)計(jì)算機(jī)化系統(tǒng)軟件，控制人員登錄/退出系統(tǒng)、操作關(guān)鍵系統(tǒng)、修改參數(shù)及用戶(hù)管理等，以此保證關(guān)鍵工藝參數(shù)、檢測(cè)操作及電子數(shù)據(jù)管理處于受控狀態(tài)，防止由非授權(quán)操作帶來(lái)的不可追溯的藥品質(zhì)量風(fēng)險(xiǎn)。近幾年，多家大型藥品相關(guān)企業(yè)（以下簡(jiǎn)稱(chēng)為GxP企業(yè)）因權(quán)限控制缺陷收到FDA（美國(guó)食品藥品監(jiān)督管理總局）的警告信，逐漸引起了制藥行業(yè)對(duì)權(quán)限控制的重視。1

法規(guī)指南CFDA的2010版GMP附件1《計(jì)算機(jī)化系統(tǒng)》第十四條指出：只有經(jīng)許可的人員才能進(jìn)入和使用系統(tǒng)；企業(yè)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞?，杜絕未經(jīng)許可的人員進(jìn)入和使用系統(tǒng)；應(yīng)當(dāng)就進(jìn)入和使用系統(tǒng)，制定授權(quán)、取消以及授權(quán)變更的操作規(guī)程。CFDA《數(shù)據(jù)管理規(guī)范》（征求意見(jiàn)稿）指出：只有經(jīng)授權(quán)許可的人員才可以進(jìn)行數(shù)據(jù)存儲(chǔ)或處理及進(jìn)入檔案室等區(qū)域；用戶(hù)名僅釋放給有業(yè)務(wù)需要且經(jīng)授權(quán)批準(zhǔn)的員工；用戶(hù)通過(guò)其唯一的用戶(hù)名和密碼登錄系統(tǒng)。FDA21CFRPart11《電子記錄和電子簽名》指出：使用權(quán)限檢查以確保只有被授權(quán)的用戶(hù)才能：（1）使用系統(tǒng)；（2）以電子方式簽名；（3）使用操作功能或計(jì)算機(jī)系統(tǒng)的輸入輸出設(shè)備；（4）變更電子記錄；（5）其他操作。WHO數(shù)據(jù)完整性指南《良好的數(shù)據(jù)和記錄規(guī)范》指出：限制自動(dòng)化系統(tǒng)的用戶(hù)訪問(wèn)權(quán)限以避免（或?qū)徲?jì)追蹤）數(shù)據(jù)修改。2

權(quán)限的生命周期ISPEGAMP5《良好的自動(dòng)化生產(chǎn)實(shí)踐指南》將計(jì)算機(jī)化系統(tǒng)生命周期（圖1）分為4個(gè)階段：概念階段、項(xiàng)目階段、運(yùn)行階段和退役階段。權(quán)限控制作為計(jì)算機(jī)化系統(tǒng)的一個(gè)軟件模塊，應(yīng)遵守計(jì)算機(jī)化系統(tǒng)的生命周期原則。3

權(quán)限的需求作為GxP企業(yè)，對(duì)于權(quán)限的需求往往被忽視，企業(yè)大多在系統(tǒng)的URS里面描述“系統(tǒng)需要具備三級(jí)權(quán)限”或者描述“系統(tǒng)具備權(quán)限管理”，這樣的需求描述使系統(tǒng)供應(yīng)商無(wú)法確定企業(yè)的實(shí)際需求，從而進(jìn)行相應(yīng)的權(quán)限模塊設(shè)計(jì)，造成系統(tǒng)實(shí)際設(shè)計(jì)的權(quán)限與企業(yè)要求的權(quán)限相差甚遠(yuǎn)。例如，供應(yīng)商的權(quán)限控制模塊中用戶(hù)管理的三級(jí)權(quán)限全部具備，這是不符合現(xiàn)行規(guī)范要求的。在URS編寫(xiě)階段，需要描述清楚對(duì)關(guān)鍵權(quán)限的要求，如用戶(hù)管理僅適用于最高權(quán)限來(lái)控制。關(guān)于權(quán)限管理的需求條款如表1所示。

4

權(quán)限的確認(rèn)計(jì)算機(jī)化系統(tǒng)的軟件供應(yīng)商會(huì)根據(jù)GxP企業(yè)的用戶(hù)需求進(jìn)行權(quán)限的設(shè)計(jì)、組態(tài)和編程，最終得到需要的權(quán)限，并形成權(quán)限分配操作說(shuō)明書(shū)。對(duì)于供應(yīng)商給予的設(shè)計(jì)、組態(tài)和編程的權(quán)限是否真實(shí)地符合企業(yè)的實(shí)際需求，需要通過(guò)確認(rèn)文件來(lái)進(jìn)一步證明軟件模塊在最終放行給GxP企業(yè)時(shí)，不會(huì)給患者用藥安全、藥品質(zhì)量和數(shù)據(jù)完整性造成負(fù)面影響。權(quán)限確認(rèn)一般包括設(shè)計(jì)確認(rèn)和功能確認(rèn)。其中，設(shè)計(jì)確認(rèn)是證明軟件設(shè)計(jì)符合用戶(hù)需求，且不會(huì)增加額外的風(fēng)險(xiǎn)；功能確認(rèn)是證明系統(tǒng)軟件組態(tài)或編輯的權(quán)限模塊符合設(shè)計(jì)要求。權(quán)限設(shè)計(jì)確認(rèn)，通過(guò)檢查供應(yīng)商設(shè)計(jì)的權(quán)限清單與GxP企業(yè)的URS要求進(jìn)行比對(duì)，確認(rèn)URS每條權(quán)限要求均在設(shè)計(jì)文件中得到清晰體現(xiàn)。表2為權(quán)限設(shè)計(jì)清單。權(quán)限功能確認(rèn)，逐一檢查權(quán)限設(shè)計(jì)清單中的每一條權(quán)限的可行性。表3為權(quán)限功能確認(rèn)清單。對(duì)于軟件的功能測(cè)試，僅僅測(cè)試以上內(nèi)容是不夠的，還需要根據(jù)風(fēng)險(xiǎn)級(jí)別增加額外的測(cè)試。例如，軟件不允許建立重復(fù)的用戶(hù)名，不允許用戶(hù)名、密碼被重置，修改需要有審計(jì)追蹤記錄，涉及電子簽名的賬戶(hù)刪除后，其用戶(hù)名不得被重復(fù)使用等。5

權(quán)限的管理確認(rèn)軟件權(quán)限模塊的合規(guī)性后，其賬戶(hù)權(quán)限的分配、變更及刪除應(yīng)受到規(guī)范管理，共用賬戶(hù)和管理員權(quán)限濫用是目前監(jiān)管的重點(diǎn)，權(quán)限的管理一般包含以下內(nèi)容：5.1

權(quán)限清單的建立根據(jù)已經(jīng)確認(rèn)的權(quán)限，建立權(quán)限清單，權(quán)限清單需包含權(quán)限的名稱(chēng)和描述，清單應(yīng)根據(jù)軟件模塊的變更及時(shí)升級(jí)。5.2

管理員權(quán)限歸屬的確立管理員權(quán)限應(yīng)進(jìn)行特殊管理，不得分配給利益相關(guān)部門(mén)，如QC主管不得擁有QC儀器的管理員權(quán)限，一般應(yīng)該分配給直接產(chǎn)生數(shù)據(jù)的部門(mén)（如生產(chǎn)部門(mén)）和質(zhì)量體系外的其他部門(mén)（如IT部門(mén)）。有一點(diǎn)需要注意，如果要先通過(guò)登錄操作軟件（如Windows系統(tǒng)）才能進(jìn)入系統(tǒng)軟件時(shí)，其涉及數(shù)據(jù)安全的操作軟件最高權(quán)限也應(yīng)當(dāng)授予非利益相關(guān)部門(mén)。管理員權(quán)限應(yīng)在系統(tǒng)交付使用前交付給管理員權(quán)限歸屬部門(mén)，此權(quán)限應(yīng)只能用于賬戶(hù)權(quán)限的分配、變更、禁用和刪除，不直接應(yīng)用于日常操作。5.3

賬戶(hù)的分配、變更、禁用和刪除（1）計(jì)算機(jī)化系統(tǒng)的賬戶(hù)建立及權(quán)限的任何變化均需得到QA及管理員權(quán)限歸屬部門(mén)審核和批準(zhǔn)，不得將管理員權(quán)限隨意分配給其他人員。若因系統(tǒng)軟件本身原因，導(dǎo)致日常操作必須使用到管理員權(quán)限時(shí)，可以分配一個(gè)管理員權(quán)限給使用部門(mén)進(jìn)行日常操作，但不允許使用此賬戶(hù)進(jìn)行權(quán)限分配操作。（2）涉及電子簽名的賬戶(hù)，在其簽名的電子記錄有效期內(nèi)不得被刪除。滿足以上要求后，賬戶(hù)權(quán)限處于一個(gè)受控的狀態(tài)。對(duì)于權(quán)限管理還要注意一些細(xì)節(jié)，比如，管理員權(quán)限要建立備用賬戶(hù)，防止權(quán)限丟失無(wú)法找回，系統(tǒng)自帶的一些無(wú)法處理的賬戶(hù)要由管理員歸屬部門(mén)進(jìn)行統(tǒng)一管理等。6

權(quán)限控制的常見(jiàn)誤區(qū)6.1

所有系統(tǒng)都要有多級(jí)權(quán)限管理（1）很多系統(tǒng)本身根本無(wú)法實(shí)現(xiàn)權(quán)限多級(jí)管理，如電子天平。當(dāng)遇到權(quán)限管理可行性不高或者成本高的情況時(shí)，可以通過(guò)嚴(yán)格的物理控制及完整的紙質(zhì)記錄，來(lái)保證人員操作和記錄的一致性。（2）鑒于監(jiān)管要求越來(lái)越嚴(yán)格，對(duì)用于成品檢測(cè)的分析儀器，需要具備完善的權(quán)限管理體系。6.2

權(quán)限管理就是三級(jí)權(quán)限管理系統(tǒng)的權(quán)限需求要考慮到系統(tǒng)的復(fù)雜性，不能一概而論。一般的單機(jī)設(shè)備，三級(jí)權(quán)限基本就可滿足日常權(quán)限管理需求。對(duì)于復(fù)雜系統(tǒng)，如WMS系統(tǒng)，涉及多個(gè)部門(mén)協(xié)作的，需要較多的特殊權(quán)限，物料放行需分配給QC部門(mén)，物料有效期管理分配給QA部門(mén)，物料庫(kù)存管理分配給倉(cāng)庫(kù)部門(mén)等，其權(quán)限級(jí)別均是獨(dú)立的，不存在權(quán)限分級(jí)的狀況。7

結(jié)語(yǔ)隨著目前藥品監(jiān)管日趨嚴(yán)格以及藥