上期文章,我們針對21 CFR Part 11封閉系統(tǒng)部分進(jìn)行解讀,幫助客戶厘清法規(guī)背后的審查點(diǎn)。
本期迦楠驗(yàn)證專家將繼續(xù)和大家探討21 CFR Part 11開放系統(tǒng)部分檢查要點(diǎn),幫助企業(yè)深入了解驗(yàn)證法規(guī),確保藥品的質(zhì)量和安全!
電子記錄(開放系統(tǒng)的管理)
使用開放式系統(tǒng)來生成、修改、維護(hù)或傳送電子記錄的人員應(yīng)采用能夠保證記錄從創(chuàng)建點(diǎn)至接收點(diǎn)的真實(shí)性、完整性以及必要時(shí)的機(jī)密性的規(guī)程和個(gè)人管理方式,必要時(shí)應(yīng)包括封閉系統(tǒng)管理中明確的內(nèi)容,以及額外的措施,例如文檔加密和運(yùn)用相應(yīng)的數(shù)字簽名標(biāo)準(zhǔn)以確保記錄必要的真實(shí)性、完整性和保密性。
注意點(diǎn)
確保電子記錄的真實(shí)性、完整性和保密性;
創(chuàng)建至接收過程中的安全應(yīng)當(dāng)做到保證;
計(jì)算機(jī)化系統(tǒng)(包括網(wǎng)絡(luò))具備對加密數(shù)據(jù)或電子記錄進(jìn)行數(shù)字簽名的能力
簽名形式:
a)簽署的電子記錄應(yīng)清楚表明與簽名相關(guān)的信息,內(nèi)容包括:簽名者的印刷體姓名;簽名的日期和時(shí)間;和簽名相關(guān)的含義(例如審核、批準(zhǔn)、職責(zé)、編寫人)
b)前面中明確的內(nèi)容應(yīng)采用電子記錄相同的管理方式,且應(yīng)作為易讀電子記錄(電子顯示或打印輸出)的一部分。
注意點(diǎn)
簽署的電子簽名應(yīng)當(dāng)包含完整的信息;
在輸出電子記錄時(shí)以可讀的形式顯示以上內(nèi)容
電子簽名(總要求)
a)每個(gè)電子簽名應(yīng)對應(yīng)唯。一的個(gè)體,且不應(yīng)被他人重新使用或重新分配給他人。
注意點(diǎn)
確保防止電子簽名偽造的措施有效;
保證電子簽名不被剝離、拷貝、替換
b)建立、分配、證明或批準(zhǔn)個(gè)體的電子簽名或電子簽名的任何要素前,應(yīng)核實(shí)個(gè)人身份。
注意點(diǎn)
應(yīng)當(dāng)有措施或者方法保證在分配電子簽名時(shí)校驗(yàn)本人身份
c)使用電子簽名前或期間應(yīng)向主管部門證明 1997 年 8 月 20 日或之后再系統(tǒng)中使用的電子簽名與傳統(tǒng)手寫簽名具有同等的法律效力。
注意點(diǎn)
應(yīng)當(dāng)確保電子簽名的唯。一性
電子簽名的組成部分及管理
a) 不依據(jù)生物識(shí)別技術(shù)的的電子簽名應(yīng):至少采用兩種不同的識(shí)別方式,例如識(shí)別碼和密碼;僅被其真正的所有者使用;采用管理和簽署,以確保除真正所有者外的其他人嘗試使用電子簽名時(shí)需要兩個(gè)或多個(gè)個(gè)體的協(xié)作。
b) 依據(jù)生物識(shí)別技術(shù)的電子簽名,其設(shè)計(jì)目的應(yīng)確保不被真正所有者之外的其他人使用。
注意點(diǎn)
簽名至少包含兩種元素,例如:ID和密碼;
具備措施或方法(例如密碼隱藏)保證電子簽名為真正的所有人使用;
如非真正的所有人使用電子簽名時(shí),應(yīng)該保證其過程至少有兩個(gè)人見證
識(shí)別代碼/密碼的管理
同時(shí)使用識(shí)別碼和密碼的電子簽名應(yīng)給予管理以確保其安全性和完整性,管理內(nèi)容應(yīng)包括:
a) 保持每一組的識(shí)別碼和密碼的唯。一性,即不存在兩個(gè)個(gè)體擁有同組識(shí)別碼和密碼的現(xiàn)象。
注意點(diǎn)
應(yīng)當(dāng)確保過去發(fā)行的ID今后無法再次發(fā)行并賦予他人;
ID和密碼的組合應(yīng)該確保唯。一性
b)保證定期檢查、收回或修訂識(shí)別碼和密碼(例如,解決密碼老化)。
注意點(diǎn)
應(yīng)當(dāng)有相應(yīng)措施確保ID和密碼被定期檢查、回收或修改
c) 按照損失管理過程對丟失、失竊、遺漏或存在其他損壞可能的記號(hào)、卡及其他含有或生成識(shí)別碼或密碼信息裝置采取電子失效,并采用適當(dāng)和嚴(yán)格的管理發(fā)生臨時(shí)或永。久的代用品。
注意點(diǎn)
計(jì)算機(jī)化系統(tǒng)應(yīng)當(dāng)具備ID及密碼泄露、篡改等情況下的失效管理方法
d) 利用事項(xiàng)處理防護(hù)避免未經(jīng)授權(quán)使用密碼和/或識(shí)別碼,及時(shí)發(fā)現(xiàn)并報(bào)告試圖未經(jīng)授權(quán)使用系統(tǒng)安全裝置乃至組織管理的情況。
注意點(diǎn)
輸入賬號(hào)密碼時(shí)系統(tǒng)進(jìn)行檢查,檢查是否存在該ID與密碼的組合,若不是則禁止操作
e)初始和定期的設(shè)備檢測,例如含有或生成識(shí)別碼或密碼信息的記號(hào)或卡,以確保其運(yùn)行正常,且未遭受未經(jīng)授權(quán)的修改。
注意點(diǎn)
該檢查結(jié)果應(yīng)當(dāng)以文檔的形式進(jìn)行保存,并有相應(yīng)的管理