文/ 喬曉芳 耿祥彬

信息技術(shù)改變了社會生產(chǎn)、生活形態(tài)，信息資源成為醫(yī)藥企業(yè)發(fā)展中非常關(guān)鍵且活躍的資源——隨之而來的是，信息系統(tǒng)越發(fā)復(fù)雜化，信息資源面臨著越來越嚴(yán)峻的安全形勢。因此，信息安全風(fēng)險評估和權(quán)限控制工作在保障信息資產(chǎn)安全方面顯得尤為重要。計算機(jī)化系統(tǒng)在藥品生產(chǎn)過程中有著廣泛的應(yīng)用，隨著GMP（生產(chǎn)質(zhì)量管理規(guī)范）附錄《計算機(jī)化系統(tǒng)》的頒布和實施［1］，藥品生產(chǎn)企業(yè)進(jìn)一步加強(qiáng)了對計算機(jī)化系統(tǒng)的管控，尤其是在計算機(jī)化系統(tǒng)的權(quán)限管理方面——其在計算機(jī)化系統(tǒng)的管理中尤為重要。計算機(jī)化系統(tǒng)的權(quán)限管理，旨在通過計算機(jī)化系統(tǒng)軟件控制人員登入/退出系統(tǒng)、關(guān)鍵數(shù)據(jù)操作、主要參數(shù)修改、權(quán)限管理與用戶管理等，保證關(guān)鍵工藝、檢測操作及電子數(shù)據(jù)管理始終處于受控狀態(tài)，防止非授權(quán)的操作帶來的不可追溯的藥品質(zhì)量風(fēng)險。近幾年出現(xiàn)過多起大型藥品相關(guān)企業(yè)因權(quán)限管理缺陷收到美國食品藥品監(jiān)督管理局（FDA）警告信的事件，制藥行業(yè)應(yīng)對此予以高度重視。

信息安全風(fēng)險評估和權(quán)限管理工作在信息安全保障體系建設(shè)過程中起著至關(guān)重要的作用，既是信息安全保障體系建設(shè)評價與決策機(jī)制的安全標(biāo)準(zhǔn)和評價體系，也是信息安全工作的核心內(nèi)容。為加強(qiáng)藥品監(jiān)督管理、保證藥品質(zhì)量、保障人體用藥安全、維護(hù)人民身體健康和用藥安全有效的合法權(quán)益，多個國家和機(jī)構(gòu)均對計算機(jī)化系統(tǒng)權(quán)限管理工作提出了明確的要求［2-4］，如針對電子記錄和電子簽名的《FDA 21 CFR part 11》中的11.10(g)部分、《中華人民共和國電子簽名法》以及WHO《數(shù)據(jù)完整性指南》中“良好的數(shù)據(jù)和記錄規(guī)范”4.12部分。本文依據(jù)以上法規(guī)條款，對如何建立藥品生產(chǎn)設(shè)備計算機(jī)化系統(tǒng)權(quán)限管理工作進(jìn)行了詳盡的研究分析，以提高藥品生產(chǎn)設(shè)備計算機(jī)化系統(tǒng)權(quán)限管理水平，降低藥品質(zhì)量風(fēng)險和用藥安全風(fēng)險，保障人民用藥的安全有效，同時建立企業(yè)計算機(jī)化系統(tǒng)權(quán)限管理方案，為維護(hù)藥品生產(chǎn)企業(yè)的社會聲譽(yù)提供參考依據(jù)。

1 計算機(jī)化系統(tǒng)權(quán)限的設(shè)計

藥品生產(chǎn)企業(yè)往往會忽略權(quán)限的需求。大多數(shù)企業(yè)在系統(tǒng)的URS（用戶需求說明）中將其描述為“系統(tǒng)需要具備三級權(quán)限”或“系統(tǒng)具有權(quán)限管理功能”，這樣的描述很可能使得系統(tǒng)設(shè)計人員無法確定用戶的實際需求，造成系統(tǒng)設(shè)計權(quán)限與用戶的要求相差甚遠(yuǎn)，最終導(dǎo)致計算機(jī)系統(tǒng)不符合權(quán)限管理要求［5］。在需求階段，系統(tǒng)設(shè)計人員應(yīng)根據(jù)用戶的實際需求構(gòu)建計算機(jī)化系統(tǒng)管理權(quán)限，以適應(yīng)用戶對計算機(jī)化系統(tǒng)的操作。以溫度監(jiān)控系統(tǒng)為例，權(quán)限設(shè)計詳見表1。

2 計算機(jī)化系統(tǒng)權(quán)限的確認(rèn)

計算機(jī)化系統(tǒng)軟件開發(fā)人員應(yīng)根據(jù)系統(tǒng)設(shè)計人員的需求進(jìn)行權(quán)限開發(fā)，以此設(shè)計出所需的管理員權(quán)限，進(jìn)而形成權(quán)限配置操作說明書。對于開發(fā)人員設(shè)計的權(quán)限管理策略是否符合用戶的實際需求，則需要通過驗證文件作進(jìn)一步驗證，且這一過程應(yīng)不會給將來的操作安全、藥品質(zhì)量和數(shù)據(jù)完整性造成負(fù)面影響［6,7］。計算機(jī)化系統(tǒng)權(quán)限的確認(rèn)一般包括設(shè)計確認(rèn)和功能確認(rèn)，設(shè)計確認(rèn)旨在證明軟件設(shè)計是否符合用戶需求且不會增加額外的風(fēng)險；功能確認(rèn)則是為了證明計算機(jī)化系統(tǒng)的權(quán)限策略是否符合設(shè)計要求。權(quán)限設(shè)計確認(rèn)通過對權(quán)限清單與URS要求進(jìn)行對比，以確認(rèn)URS的每條權(quán)限要求均在設(shè)計文件中得到清晰的體現(xiàn)。權(quán)限功能確認(rèn)通過檢查權(quán)限設(shè)計清單中權(quán)限的可行性，逐條對其進(jìn)行檢查。以溫度監(jiān)控系統(tǒng)為例，確認(rèn)權(quán)限詳見表2。

表1：溫度監(jiān)控系統(tǒng)權(quán)限設(shè)計

值得一提的是，對于計算機(jī)化系統(tǒng)的權(quán)限功能測試，僅僅完成上述測試還遠(yuǎn)遠(yuǎn)不夠，還需根據(jù)風(fēng)險評估增加額外的測試項目，如進(jìn)入系統(tǒng)部署環(huán)境是否受控、計算機(jī)系統(tǒng)安全是否受控及權(quán)限修改是否受控等。

3 計算機(jī)化系統(tǒng)權(quán)限的管理

在完成計算機(jī)化系統(tǒng)的權(quán)限確認(rèn)后，其賬戶權(quán)限的分配、變更及禁用，同樣要符合相關(guān)規(guī)范。公共賬號和管理員權(quán)限是否濫用是目前監(jiān)管部門檢查的重點，權(quán)限管理應(yīng)該包括以下內(nèi)容：

3.1 建立權(quán)限清單

需根據(jù)已確認(rèn)的權(quán)限建立權(quán)限清單。權(quán)限清單應(yīng)包含權(quán)限名稱、功能列表及描述，當(dāng)系統(tǒng)功能升級后，需要根據(jù)功能變更，對權(quán)限清單進(jìn)行及時更新。

3.2 確定系統(tǒng)管理員權(quán)限歸屬

系統(tǒng)管理員權(quán)限需進(jìn)行特殊管理，因此該權(quán)限不能分配給利益相關(guān)的部門，如實驗儀器負(fù)責(zé)人不能擁有實驗儀器的系統(tǒng)管理員權(quán)限。通常來說，這項權(quán)限理應(yīng)分配給數(shù)據(jù)產(chǎn)生部門和質(zhì)量體系以外的其他部門，如IT部門。

需要注意的是，受儀器制造水平、信息化發(fā)展程度和法規(guī)要求等多個因素的影響，某些儀器軟件在操作過程中必須使用操作系統(tǒng)的系統(tǒng)管理員賬號登錄電腦，然后再使用軟件賬號登錄儀器軟件。對于這類儀器，可以使用公共的管理員賬號（不能是administrator）登錄電腦，但應(yīng)加強(qiáng)管理，如建立線下臺賬、記錄登錄/退出記錄、備份系統(tǒng)日志。

3.3 分配、變更、禁用賬號

計算機(jī)化系統(tǒng)的賬號建立及權(quán)限的任何變更均需要得到質(zhì)量保證部及系統(tǒng)管理員權(quán)限歸屬部門的審核和批準(zhǔn)，不得將系統(tǒng)管理員權(quán)限隨意分配給其他人員，若因系統(tǒng)軟件本身原因，導(dǎo)致日常操作必須使用系統(tǒng)管理員權(quán)限時，可以分配一個與系統(tǒng)管理員擁有同等權(quán)限的賬號，給予使用部門進(jìn)行日常操作，但是不允許此賬號進(jìn)行權(quán)限分配、用戶管理、系統(tǒng)設(shè)置、網(wǎng)絡(luò)設(shè)置、時間設(shè)置等只有系統(tǒng)管理員才可進(jìn)行的操作［8,9］。所有賬號的分配、變更及禁用都需要建立完整的流程，記錄變更前后的詳盡權(quán)限，將其作為對應(yīng)計算機(jī)化系統(tǒng)的臺賬。賬號變更申請、變更臺賬、系統(tǒng)日志及培訓(xùn)記錄需與實際情況保持一致。

表2：溫度監(jiān)控系統(tǒng)權(quán)限確認(rèn)

3.4 系統(tǒng)化管理

計算機(jī)網(wǎng)絡(luò)的系統(tǒng)化管理模式會因計算機(jī)系統(tǒng)平臺的類型有所區(qū)別。這里以主流的Windows系統(tǒng)為例進(jìn)行分析。

3.4.1 用戶在登錄系統(tǒng)時需要進(jìn)行授權(quán)檢查

在使用計算機(jī)時，用戶需要在進(jìn)入系統(tǒng)之前登錄系統(tǒng)，這時用戶的賬戶可能是一個或多個。系統(tǒng)登錄作為系統(tǒng)安全的重要環(huán)節(jié)，需引起企業(yè)的重視。其中，就包括了強(qiáng)制登錄的情況。在管理用戶的授權(quán)時，計算機(jī)系統(tǒng)應(yīng)根據(jù)具體的授權(quán)狀態(tài)對登錄行為做出允許或禁止的決定。

3.4.2 通過管理員賬戶管理普通用戶的賬戶

Windows系統(tǒng)是以管理員賬戶為核心進(jìn)行賬戶管理的。用戶在創(chuàng)建用戶名與密碼時，需符合網(wǎng)絡(luò)安全的要求。賬戶創(chuàng)建的意義在于，將有效的授權(quán)管理落到用戶手中。當(dāng)權(quán)限分配關(guān)系對賬戶的安全性產(chǎn)生安全隱患時，管理員需對賬戶進(jìn)行修改或刪除。

3.4.3 管理多用戶

管理多用戶指的是管理用戶組。用戶組的管理會直接影響到網(wǎng)絡(luò)信息的共享。在進(jìn)行用戶設(shè)置相關(guān)選項的操作中，要謹(jǐn)慎考慮，三思而行。

4 計算機(jī)化系統(tǒng)權(quán)限的動態(tài)配置

藥品生產(chǎn)企業(yè)的權(quán)限管理不僅決定著誰有權(quán)做什么，還應(yīng)體現(xiàn)權(quán)利間的相互制約關(guān)系。藥品生產(chǎn)設(shè)備計算機(jī)化系統(tǒng)應(yīng)做到事前控制，在系統(tǒng)的設(shè)計階段，就應(yīng)考慮到系統(tǒng)功能項在生產(chǎn)應(yīng)用場景中是否會出現(xiàn)功能互斥的情況。在實施過程中，規(guī)則并不是絕對的，權(quán)責(zé)互斥的粗細(xì)，取決于企業(yè)內(nèi)外部風(fēng)險管控的需要，標(biāo)準(zhǔn)并不唯一。集團(tuán)型企業(yè)的分公司能夠根據(jù)自身的實際業(yè)務(wù)及管理需求進(jìn)行動態(tài)的參數(shù)配置，并進(jìn)行嚴(yán)格控制，是其考核的重點。對于功能互斥參數(shù)，集團(tuán)型企業(yè)應(yīng)采取集中控制的策略，分公司及下一級組織提需求，由一級系統(tǒng)管理員進(jìn)行分組織設(shè)置。系統(tǒng)管理員則可通過互斥功能參數(shù)對互斥功能進(jìn)行管理，從而達(dá)到可持續(xù)化改進(jìn)、控制風(fēng)險的目的，同時滿足審計要求。

5 結(jié)果與討論

信息化時代的到來，標(biāo)志著制藥生產(chǎn)的更進(jìn)一步，建立在計算機(jī)基礎(chǔ)上的信息化設(shè)備與系統(tǒng)已成為制藥企業(yè)日常生產(chǎn)的重要組成部分，并為其發(fā)揮著積極的作用。這是一場效率與安全的革新，但與此同時，制藥企業(yè)更應(yīng)關(guān)注其中潛在的管理問題。技術(shù)人員應(yīng)積極學(xué)習(xí)相關(guān)知識，掌握技術(shù)核心，同時避免非法訪問及信息入侵等問題，以保證計算機(jī)化系統(tǒng)的安全與數(shù)據(jù)的完整性。