欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
本帖最后由 蒲公英 于 2015-8-30 09:47 编辑
质量管理信息化是制药行业发展趋势,随着新版GMP计算机化系统附录发布,国内外药物监管力度不断加强,计算机化软件系统中电子签名的必要性、法规适应性、安全性等验证内容开始普及,并越来越受到业内重视,同时对QA业务需求部门和IT技术部门也提出了新的挑战。
本文遵照美国食品及药物管理局(FDA)的21 CFR Part 11条款中电子签名电子记录法规控制要求的重要环节,以实际案例基于IBM Domino 9.0平台的GMP文件管理系统为例,来描述制药行业计算机化系统中电子签名的实现方式,最终以按照21 CFR Part 11的规范,解决电子签名(和电子记录方面,会在未来加以描述)的兼容问题。
下面的文档针对理解制药行业计算机化系统的电子签名和电子记录管理相关的规章或者行业做法的读者。[注意:下面的斜体表明这些话是从联邦规则法典Title 21 Part 11 原文引用的规则, 蓝色字体为 IBM Domino平台及GMP文件系统对该规则的理解和实现手段。 如:11.300(a)保持每一识别码和密码结合的唯一性,即不会有两个人有相同的识别码和密码。 IBM Domino平台提供了唯一的用户ID/密码组合。
11.3电子签名的定义 11.3(b)(7)电子签名是指一种由一个人执行、采用或批准成为与其个人的手写签名具有相同的法律效力的计算机数据的任意符号或一系列符号的编译。 基于IBM Domino 社交协同平台开发的GMP文件管理系统,采用无生物特征的电子签名技术,需要有认证机制来保证服务器和个人用户的身份和信息安全。要求每个服务器和个人都拥有唯一的ID文件,即标识符,而所有这些ID文件都是由一个根certifier ID发放的。在GMP文件审批管理软件系统中的每一步环节中,都使用以上ID文件来完成文件按的加解密、身份验证。
上图例:唯一的ID标识符文件(相当于银行的数字证书)
上图例:唯一的ID标识符文件(相当于银行的数字证书)
11.50电子签名的表现 11.50(a)当一个签名被实施时,签名者的姓名、时间/日期和其含义(如检查、批准、职责、作者)都被审计跟踪存储; (b)、(a)中所列的项应该受到与电子记录同样的控制,并且应该作为可读形式的电子记录(比如电子显示或打印输出)的一部分被包括进去。 11.50(a)到(b)中所需的全部数据可以存储在IBM Domino 非结构化数据库中,在安全的不可更改的环境中,为文档数据记录元数据等信息提供存储并可以得到最佳控制(跟踪和审计)。
11.70签名/记录链接 电子签名和手写签名应该与它们相应的电子记录链接,以保证签名不被分割、复制或传输,从而避免了通过普通手段伪造电子记录。 在IBM《彩蝶GMP文件系统》环境里,电子签名可直接存储在每个已签署的记录上,从而建立了与正在签署数据的直接链接。系统将加密的签名作为元数据存储在给定文档的实际版本上,从而将(SOP、STP等)文档的具体实例与它的适当签名链接。通常建议将签名作为最终的信息实体插入源文档。该方法对于接收某些类型的最终批准的文件来说有意义,并且绝不再更改。 系统支持每个用户执行某个重要确认动作(如新建、审核通过、审核拒绝、追加审批、培训完成、签收、发布、复审等)都会形成相应的可读的不可修改的电子记录,方便审计跟踪查询,确保电子签名与电子记录不被分割、复制、伪造等。
11.200电子签名的组成和控制 (a)非基于生物特征识别的电子签名应该: (1)至少使用两种截然不同的标识组件,比如标识码和密码。 (2)只被它们的真正拥有者使用; (3)并且被管理和执行,以保证除真正拥有者之外的任何人要想使用电子签名必须两个或更多人的合作。 在IBMDomino平台里,采用无生物特征的电子签名,执行电子签名动作时需要一个核心的ID标识符文件和密码,管理员注册用户或服务器时,或者创建验证者标识时,可使用 0 到 16 的等级来指定要强制标识使用的密码强度级别。级别越高,密码越复杂,未经授权的用户也就越难猜中该密码。要获得最佳安全性,至少应将密码强度级别指定为8。用户密钥以加密形式存储在 IBM Domino 标识文件中,并且是使用从标识文件密码派生的密钥进行加密的。用户可以为标识文件加密选择使用 128 位 RC2 或 AES 密钥,或使用 256 位 AES 密钥。
上图例:6486bit加密选项
上图例:64\128\256bit加密选项
同时系统内置的时间延迟和反电子欺骗机制,可以使密码猜测程序难以成功,并防止类似密码提示对话框的程序窃取密码。当一个新ID首次执行某个新的签名动作时,系统可弹出安全窗口询问是否授权或强制其修改密码。 自定义定时自动锁定,可以自定义设置最短1分钟的系统锁定,防止他人非法操作利用,进一步保障用户安全;IBM Domino ID标识的所有密码都有时间延迟机制,将在用户键入错误密码后延迟可以持续输入密码的时间。
11.300识别码/密码的控制 (a)保持每一识别码和密码结合的唯一性,即不会有两个人有相同的识别码和密码。 IBM Domino平台提供了唯一的用户ID/密码组合。 (b)保证标识码和密码被定期检查、召回或修订(比如,以覆盖像密码过期这样的事件)。 IBM Domino 平台经过配置,可根据需要定期评估、召回密码和/或使其过期。用户标识符ID过期是通过初始注册用户设置,密码则可限制其周期性地终止修改。 (c)采取遗失管理步骤,以便对那些携带和生成标识码或密码信息的丢失、失窃或潜在危险的令牌、卡和设备进行电子化地取消授权,并利用适当的严格控制进行暂时或永久替代。 IBM Domino平台可在签名过程中通知签名或登录管理员的误用/滥用。当用户发觉自己的ID和密码被人盗用,可立即在系统上重置密码,系统会通知该用户必须更改此标识副本中的密码,以便与其另一标识副本中的密码(未经授权的用户并不知道此密码)相匹配。使其他拷贝的ID文件永久失效。 (d)使用事务保护防止对密码和/或标识码的非授权使用,并在对系统的安全单元和机构管理进行非授权使用时进行及时的检测和报告。 IBM Domino为验证者和服务器标识提供更强的安全性,可为他们指定多个密码。使用多个密码要求一组管理员一起访问某个标识。例如,使用此功能可避免将验证者标识的权力授予一个人,使用高级别安全加密的标识符和多级要求密码,多重安全保障;系统在每个关键决策的业务流程中,需要二次再输入密码,又多一层安全确认操作保障。 (e)对携带或生成标识码或密码信息的设备(比如令牌或卡)进行初始和周期性测试,以保证它们正确发挥作用,并且未经授权不会被更改。 IBM Domino平台为用户设置密码安全性等级使用智能卡确保标识符的安全(可选项),使用智能卡登录到 Notes 时,用户实质上是在锁定和解锁其用户标识。将智能卡用于 Notes 的优点是,用户的因特网专用密钥可以存储在智能卡中而不是工作站上。这样,当用户离开计算机时,可以随身带走智能卡。无论是常规用户还是漫游用户,智能卡都增强了其用户标识的安全性。
小结:必须具备的安全性URS参考:
小结
综上所述,建立在IBM Domino 9.0 协同平台上的GMP文件管理系统全面引进了为符合FDA21 CFR Part11电子签名规则而设计的控制手段,满足安全性的最高级别要求,为电子签名和法规铺平道路。克服了传统电子签名容易被修改,难以发现修改痕迹,容易丢失难处理等缺点。企业用户使用这些控制手段的同时,应采取适应企业自身和法规的管理规程和行政控制手段,确保可以安全的使用自己的电子签名及行为,真正实现等同于手写签名。
说明: 本文于蒲公英论坛与彩蝶软件微信公众号同步首发,转载请注明出处。 | 
[复制链接]
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2015-8-29 21:32:56
置顶卡
变色卡
楼主
