王 軍 喬香君

（1.揚(yáng)子江藥業(yè)集團(tuán)有限公司，江蘇泰州225300；2.鄭州市高新區(qū)食品藥品監(jiān)督管理局，河南鄭州450000）

0 引言

計(jì)算機(jī)化系統(tǒng)的權(quán)限控制，旨在通過(guò)計(jì)算機(jī)化系統(tǒng)軟件，控制人員登錄/退出系統(tǒng)、操作關(guān)鍵系統(tǒng)、修改參數(shù)及用戶管理等，以此保證關(guān)鍵工藝參數(shù)、檢測(cè)操作及電子數(shù)據(jù)管理處于受控狀態(tài)，防止由非授權(quán)操作帶來(lái)的不可追溯的藥品質(zhì)量風(fēng)險(xiǎn)。近幾年，多家大型藥品相關(guān)企業(yè)（以下簡(jiǎn)稱為GxP企業(yè)）因權(quán)限控制缺陷收到FDA（美國(guó)食品藥品監(jiān)督管理總局）的警告信，逐漸引起了制藥行業(yè)對(duì)權(quán)限控制的重視。

1 法規(guī)指南

CFDA的2010版GMP附件1《計(jì)算機(jī)化系統(tǒng)》第十四條指出：只有經(jīng)許可的人員才能進(jìn)入和使用系統(tǒng)；企業(yè)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞?，杜絕未經(jīng)許可的人員進(jìn)入和使用系統(tǒng)；應(yīng)當(dāng)就進(jìn)入和使用系統(tǒng)，制定授權(quán)、取消以及授權(quán)變更的操作規(guī)程。

CFDA《數(shù)據(jù)管理規(guī)范》（征求意見(jiàn)稿）指出：只有經(jīng)授權(quán)許可的人員才可以進(jìn)行數(shù)據(jù)存儲(chǔ)或處理及進(jìn)入檔案室等區(qū)域；用戶名僅釋放給有業(yè)務(wù)需要且經(jīng)授權(quán)批準(zhǔn)的員工；用戶通過(guò)其唯一的用戶名和密碼登錄系統(tǒng)。

FDA 21CFR Part 11《電子記錄和電子簽名》指出：使用權(quán)限檢查以確保只有被授權(quán)的用戶才能：（1）使用系統(tǒng)；（2）以電子方式簽名；（3）使用操作功能或計(jì)算機(jī)系統(tǒng)的輸入輸出設(shè)備；（4）變更電子記錄；（5）其他操作。

WHO數(shù)據(jù)完整性指南《良好的數(shù)據(jù)和記錄規(guī)范》指出：限制自動(dòng)化系統(tǒng)的用戶訪問(wèn)權(quán)限以避免（或?qū)徲?jì)追蹤）數(shù)據(jù)修改。

2 權(quán)限的生命周期

ISPE GAMP5《良好的自動(dòng)化生產(chǎn)實(shí)踐指南》將計(jì)算機(jī)化系統(tǒng)生命周期（圖1）分為4個(gè)階段：概念階段、項(xiàng)目階段、運(yùn)行階段和退役階段。權(quán)限控制作為計(jì)算機(jī)化系統(tǒng)的一個(gè)軟件模塊，應(yīng)遵守計(jì)算機(jī)化系統(tǒng)的生命周期原則。

3 權(quán)限的需求

作為GxP企業(yè)，對(duì)于權(quán)限的需求往往被忽視，企業(yè)大多在系統(tǒng)的URS里面描述“系統(tǒng)需要具備三級(jí)權(quán)限”或者描述“系統(tǒng)具備權(quán)限管理”，這樣的需求描述使系統(tǒng)供應(yīng)商無(wú)法確定企業(yè)的實(shí)際需求，從而進(jìn)行相應(yīng)的權(quán)限模塊設(shè)計(jì)，造成系統(tǒng)實(shí)際設(shè)計(jì)的權(quán)限與企業(yè)要求的權(quán)限相差甚遠(yuǎn)。例如，供應(yīng)商的權(quán)限控制模塊中用戶管理的三級(jí)權(quán)限全部具備，這是不符合現(xiàn)行規(guī)范要求的。

圖1 計(jì)算機(jī)化系統(tǒng)生命周期

在URS編寫階段，需要描述清楚對(duì)關(guān)鍵權(quán)限的要求，如用戶管理僅適用于最高權(quán)限來(lái)控制。關(guān)于權(quán)限管理的需求條款如表1所示。

4 權(quán)限的確認(rèn)

計(jì)算機(jī)化系統(tǒng)的軟件供應(yīng)商會(huì)根據(jù)GxP企業(yè)的用戶需求進(jìn)行權(quán)限的設(shè)計(jì)、組態(tài)和編程，最終得到需要的權(quán)限，并形成權(quán)限分配操作說(shuō)明書。

對(duì)于供應(yīng)商給予的設(shè)計(jì)、組態(tài)和編程的權(quán)限是否真實(shí)地符合企業(yè)的實(shí)際需求，需要通過(guò)確認(rèn)文件來(lái)進(jìn)一步證明軟件模塊在最終放行給GxP企業(yè)時(shí)，不會(huì)給患者用藥安全、藥品質(zhì)量和數(shù)據(jù)完整性造成負(fù)面影響。

權(quán)限確認(rèn)一般包括設(shè)計(jì)確認(rèn)和功能確認(rèn)。其中，設(shè)計(jì)確認(rèn)是證明軟件設(shè)計(jì)符合用戶需求，且不會(huì)增加額外的風(fēng)險(xiǎn)；功能確認(rèn)是證明系統(tǒng)軟件組態(tài)或編輯的權(quán)限模塊符合設(shè)計(jì)要求。

權(quán)限設(shè)計(jì)確認(rèn)，通過(guò)檢查供應(yīng)商設(shè)計(jì)的權(quán)限清單與GxP企業(yè)的URS要求進(jìn)行比對(duì)，確認(rèn)URS每條權(quán)限要求均在設(shè)計(jì)文件中得到清晰體現(xiàn)。表2為權(quán)限設(shè)計(jì)清單。

權(quán)限功能確認(rèn)，逐一檢查權(quán)限設(shè)計(jì)清單中的每一條權(quán)限的可行性。

表3為權(quán)限功能確認(rèn)清單。

對(duì)于軟件的功能測(cè)試，僅僅測(cè)試以上內(nèi)容是不夠的，還需要根據(jù)風(fēng)險(xiǎn)級(jí)別增加額外的測(cè)試。例如，軟件不允許建立重復(fù)的用戶名，不允許用戶名、密碼被重置，修改需要有審計(jì)追蹤記錄，涉及電子簽名的賬戶刪除后，其用戶名不得被重復(fù)使用等。

5 權(quán)限的管理

確認(rèn)軟件權(quán)限模塊的合規(guī)性后，其賬戶權(quán)限的分配、變更及刪除應(yīng)受到規(guī)范管理，共用賬戶和管理員權(quán)限濫用是目前監(jiān)管的重點(diǎn)，權(quán)限的管理一般包含以下內(nèi)容：

表1 權(quán)限管理的需求條款

表2 權(quán)限設(shè)計(jì)清單

5.1 權(quán)限清單的建立

根據(jù)已經(jīng)確認(rèn)的權(quán)限，建立權(quán)限清單，權(quán)限清單需包含權(quán)限的名稱和描述，清單應(yīng)根據(jù)軟件模塊的變更及時(shí)升級(jí)。

5.2 管理員權(quán)限歸屬的確立

管理員權(quán)限應(yīng)進(jìn)行特殊管理，不得分配給利益相關(guān)部門，如QC主管不得擁有QC儀器的管理員權(quán)限，一般應(yīng)該分配給直接產(chǎn)生數(shù)據(jù)的部門（如生產(chǎn)部門）和質(zhì)量體系外的其他部門（如IT部門）。有一點(diǎn)要注意，如果要先通過(guò)登錄操作軟件（如Windows系統(tǒng)）才能進(jìn)入系統(tǒng)軟件時(shí)，其涉及數(shù)據(jù)安全的操作軟件最高權(quán)限也應(yīng)當(dāng)授予非利益相關(guān)部門。管理員權(quán)限應(yīng)在系統(tǒng)交付使用前交付給管理員權(quán)限歸屬部門，此權(quán)限應(yīng)只能用于賬戶權(quán)限的分配、變更、禁用和刪除，不直接應(yīng)用于日常操作。

5.3 賬戶的分配、變更、禁用和刪除

（1）計(jì)算機(jī)化系統(tǒng)的賬戶建立及權(quán)限的任何變化均需得到QA及管理員權(quán)限歸屬部門審核和批準(zhǔn)，不得將管理員權(quán)限隨意分配給其他人員。若因系統(tǒng)軟件本身原因，導(dǎo)致日常操作必須使用到管理員權(quán)限時(shí)，可以分配一個(gè)管理員權(quán)限給使用部門進(jìn)行日常操作，但不允許使用此賬戶進(jìn)行權(quán)限分配操作。

（2）涉及電子簽名的賬戶，在其簽名的電子記錄有效期內(nèi)不得被刪除。

滿足以上要求后，賬戶權(quán)限處于一個(gè)受控的狀態(tài)。對(duì)于權(quán)限管理還要注意一些細(xì)節(jié)，比如，管理員權(quán)限要建立備用賬戶，防止權(quán)限丟失無(wú)法找回，系統(tǒng)自帶的一些無(wú)法處理的賬戶要由管理員歸屬部門進(jìn)行統(tǒng)一管理等。

6 權(quán)限控制的常見(jiàn)誤區(qū)

6.1 所有系統(tǒng)都要有多級(jí)權(quán)限管理

（1）很多系統(tǒng)本身根本無(wú)法實(shí)現(xiàn)權(quán)限多級(jí)管理，如電子天平。當(dāng)遇到權(quán)限管理可行性不高或者成本高的情況時(shí)，可以通過(guò)嚴(yán)格的物理控制及完整的紙質(zhì)記錄，來(lái)保證人員操作和記錄的一致性。

（2）鑒于監(jiān)管要求越來(lái)越嚴(yán)格，對(duì)用于成品檢測(cè)的分析儀器，需要具備完善的權(quán)限管理體系。

6.2 權(quán)限管理就是三級(jí)權(quán)限管理

系統(tǒng)的權(quán)限需求要考慮到系統(tǒng)的復(fù)雜性，不能一概而論。一般的單機(jī)設(shè)備，三級(jí)權(quán)限基本就可滿足日常權(quán)限管理需求。對(duì)于復(fù)雜系統(tǒng)，如WMS系統(tǒng)，涉及多個(gè)部門協(xié)作的，需要較多的特殊權(quán)限，物料放行需分配給QC部門，物料有效期管理分配給QA部門，物料庫(kù)存管理分配給倉(cāng)庫(kù)部門等，其權(quán)限級(jí)別均是獨(dú)立的，不存在權(quán)限分級(jí)的狀況。

表3 權(quán)限功能確認(rèn)清單

7 結(jié)語(yǔ)

隨著目前藥品監(jiān)管日趨嚴(yán)格以及藥品研發(fā)、生產(chǎn)和運(yùn)輸過(guò)程的自動(dòng)化和信息化水平越來(lái)越高，企業(yè)需要最大限度地避免關(guān)鍵系統(tǒng)的非授權(quán)操作，雖然通過(guò)手工記錄的方法可以解決一部分問(wèn)題，但是其管理嚴(yán)謹(jǐn)性是遠(yuǎn)遠(yuǎn)不夠的，必須通過(guò)先進(jìn)的自動(dòng)化和信息化軟件來(lái)控制人員的不合規(guī)操作，以確保藥品生命周期內(nèi)的數(shù)據(jù)可靠性。