淺析藥品生命周期內(nèi)計算機化系統(tǒng)的權(quán)限控制

王 軍 喬香君

（1.揚子江藥業(yè)集團有限公司，江蘇泰州225300；2.鄭州市高新區(qū)食品藥品監(jiān)督管理局，河南鄭州450000）

0 引言

計算機化系統(tǒng)的權(quán)限控制，旨在通過計算機化系統(tǒng)軟件，控制人員登錄/退出系統(tǒng)、操作關(guān)鍵系統(tǒng)、修改參數(shù)及用戶管理等，以此保證關(guān)鍵工藝參數(shù)、檢測操作及電子數(shù)據(jù)管理處于受控狀態(tài)，防止由非授權(quán)操作帶來的不可追溯的藥品質(zhì)量風險。近幾年，多家大型藥品相關(guān)企業(yè)（以下簡稱為GxP企業(yè)）因權(quán)限控制缺陷收到FDA（美國食品藥品監(jiān)督管理總局）的警告信，逐漸引起了制藥行業(yè)對權(quán)限控制的重視。

1 法規(guī)指南

CFDA的2010版GMP附件1《計算機化系統(tǒng)》第十四條指出：只有經(jīng)許可的人員才能進入和使用系統(tǒng)；企業(yè)應當采取適當?shù)姆绞?，杜絕未經(jīng)許可的人員進入和使用系統(tǒng)；應當就進入和使用系統(tǒng)，制定授權(quán)、取消以及授權(quán)變更的操作規(guī)程。

CFDA《數(shù)據(jù)管理規(guī)范》（征求意見稿）指出：只有經(jīng)授權(quán)許可的人員才可以進行數(shù)據(jù)存儲或處理及進入檔案室等區(qū)域；用戶名僅釋放給有業(yè)務需要且經(jīng)授權(quán)批準的員工；用戶通過其唯一的用戶名和密碼登錄系統(tǒng)。

FDA 21CFR Part 11《電子記錄和電子簽名》指出：使用權(quán)限檢查以確保只有被授權(quán)的用戶才能：（1）使用系統(tǒng)；（2）以電子方式簽名；（3）使用操作功能或計算機系統(tǒng)的輸入輸出設(shè)備；（4）變更電子記錄；（5）其他操作。

WHO數(shù)據(jù)完整性指南《良好的數(shù)據(jù)和記錄規(guī)范》指出：限制自動化系統(tǒng)的用戶訪問權(quán)限以避免（或?qū)徲嬜粉櫍?shù)據(jù)修改。

2 權(quán)限的生命周期

ISPE GAMP5《良好的自動化生產(chǎn)實踐指南》將計算機化系統(tǒng)生命周期（圖1）分為4個階段：概念階段、項目階段、運行階段和退役階段。權(quán)限控制作為計算機化系統(tǒng)的一個軟件模塊，應遵守計算機化系統(tǒng)的生命周期原則。

3 權(quán)限的需求

作為GxP企業(yè)，對于權(quán)限的需求往往被忽視，企業(yè)大多在系統(tǒng)的URS里面描述“系統(tǒng)需要具備三級權(quán)限”或者描述“系統(tǒng)具備權(quán)限管理”，這樣的需求描述使系統(tǒng)供應商無法確定企業(yè)的實際需求，從而進行相應的權(quán)限模塊設(shè)計，造成系統(tǒng)實際設(shè)計的權(quán)限與企業(yè)要求的權(quán)限相差甚遠。例如，供應商的權(quán)限控制模塊中用戶管理的三級權(quán)限全部具備，這是不符合現(xiàn)行規(guī)范要求的。

圖1 計算機化系統(tǒng)生命周期

在URS編寫階段，需要描述清楚對關(guān)鍵權(quán)限的要求，如用戶管理僅適用于最高權(quán)限來控制。關(guān)于權(quán)限管理的需求條款如表1所示。

4 權(quán)限的確認

計算機化系統(tǒng)的軟件供應商會根據(jù)GxP企業(yè)的用戶需求進行權(quán)限的設(shè)計、組態(tài)和編程，最終得到需要的權(quán)限，并形成權(quán)限分配操作說明書。

對于供應商給予的設(shè)計、組態(tài)和編程的權(quán)限是否真實地符合企業(yè)的實際需求，需要通過確認文件來進一步證明軟件模塊在最終放行給GxP企業(yè)時，不會給患者用藥安全、藥品質(zhì)量和數(shù)據(jù)完整性造成負面影響。

權(quán)限確認一般包括設(shè)計確認和功能確認。其中，設(shè)計確認是證明軟件設(shè)計符合用戶需求，且不會增加額外的風險；功能確認是證明系統(tǒng)軟件組態(tài)或編輯的權(quán)限模塊符合設(shè)計要求。

權(quán)限設(shè)計確認，通過檢查供應商設(shè)計的權(quán)限清單與GxP企業(yè)的URS要求進行比對，確認URS每條權(quán)限要求均在設(shè)計文件中得到清晰體現(xiàn)。表2為權(quán)限設(shè)計清單。

權(quán)限功能確認，逐一檢查權(quán)限設(shè)計清單中的每一條權(quán)限的可行性。

表3為權(quán)限功能確認清單。

對于軟件的功能測試，僅僅測試以上內(nèi)容是不夠的，還需要根據(jù)風險級別增加額外的測試。例如，軟件不允許建立重復的用戶名，不允許用戶名、密碼被重置，修改需要有審計追蹤記錄，涉及電子簽名的賬戶刪除后，其用戶名不得被重復使用等。

5 權(quán)限的管理

確認軟件權(quán)限模塊的合規(guī)性后，其賬戶權(quán)限的分配、變更及刪除應受到規(guī)范管理，共用賬戶和管理員權(quán)限濫用是目前監(jiān)管的重點，權(quán)限的管理一般包含以下內(nèi)容：

表1 權(quán)限管理的需求條款

表2 權(quán)限設(shè)計清單

5.1 權(quán)限清單的建立

根據(jù)已經(jīng)確認的權(quán)限，建立權(quán)限清單，權(quán)限清單需包含權(quán)限的名稱和描述，清單應根據(jù)軟件模塊的變更及時升級。

5.2 管理員權(quán)限歸屬的確立

管理員權(quán)限應進行特殊管理，不得分配給利益相關(guān)部門，如QC主管不得擁有QC儀器的管理員權(quán)限，一般應該分配給直接產(chǎn)生數(shù)據(jù)的部門（如生產(chǎn)部門）和質(zhì)量體系外的其他部門（如IT部門）。有一點要注意，如果要先通過登錄操作軟件（如Windows系統(tǒng)）才能進入系統(tǒng)軟件時，其涉及數(shù)據(jù)安全的操作軟件最高權(quán)限也應當授予非利益相關(guān)部門。管理員權(quán)限應在系統(tǒng)交付使用前交付給管理員權(quán)限歸屬部門，此權(quán)限應只能用于賬戶權(quán)限的分配、變更、禁用和刪除，不直接應用于日常操作。

5.3 賬戶的分配、變更、禁用和刪除

（1）計算機化系統(tǒng)的賬戶建立及權(quán)限的任何變化均需得到QA及管理員權(quán)限歸屬部門審核和批準，不得將管理員權(quán)限隨意分配給其他人員。若因系統(tǒng)軟件本身原因，導致日常操作必須使用到管理員權(quán)限時，可以分配一個管理員權(quán)限給使用部門進行日常操作，但不允許使用此賬戶進行權(quán)限分配操作。

（2）涉及電子簽名的賬戶，在其簽名的電子記錄有效期內(nèi)不得被刪除。

滿足以上要求后，賬戶權(quán)限處于一個受控的狀態(tài)。對于權(quán)限管理還要注意一些細節(jié)，比如，管理員權(quán)限要建立備用賬戶，防止權(quán)限丟失無法找回，系統(tǒng)自帶的一些無法處理的賬戶要由管理員歸屬部門進行統(tǒng)一管理等。

6 權(quán)限控制的常見誤區(qū)

6.1 所有系統(tǒng)都要有多級權(quán)限管理

（1）很多系統(tǒng)本身根本無法實現(xiàn)權(quán)限多級管理，如電子天平。當遇到權(quán)限管理可行性不高或者成本高的情況時，可以通過嚴格的物理控制及完整的紙質(zhì)記錄，來保證人員操作和記錄的一致性。

（2）鑒于監(jiān)管要求越來越嚴格，對用于成品檢測的分析儀器，需要具備完善的權(quán)限管理體系。

6.2 權(quán)限管理就是三級權(quán)限管理

系統(tǒng)的權(quán)限需求要考慮到系統(tǒng)的復雜性，不能一概而論。一般的單機設(shè)備，三級權(quán)限基本就可滿足日常權(quán)限管理需求。對于復雜系統(tǒng)，如WMS系統(tǒng)，涉及多個部門協(xié)作的，需要較多的特殊權(quán)限，物料放行需分配給QC部門，物料有效期管理分配給QA部門，物料庫存管理分配給倉庫部門等，其權(quán)限級別均是獨立的，不存在權(quán)限分級的狀況。

表3 權(quán)限功能確認清單

7 結(jié)語

隨著目前藥品監(jiān)管日趨嚴格以及藥品研發(fā)、生產(chǎn)和運輸過程的自動化和信息化水平越來越高，企業(yè)需要最大限度地避免關(guān)鍵系統(tǒng)的非授權(quán)操作，雖然通過手工記錄的方法可以解決一部分問題，但是其管理嚴謹性是遠遠不夠的，必須通過先進的自動化和信息化軟件來控制人員的不合規(guī)操作，以確保藥品生命周期內(nèi)的數(shù)據(jù)可靠性。