GMP 體系下Windows 操作系統(tǒng)合規(guī)性探索

胡 順，鄭 瑩，劉澤倫，鄧 宇，安定國，蔣瓊霞

（1. 湖北省食品藥品監(jiān)督管理局東湖新技術(shù)開發(fā)區(qū)分局，湖北 武漢 430075； 2. 武漢華龍生物制藥有限公司，湖北 武漢 430043）

2016 年，美國食品和藥物管理局（FDA）共發(fā)布了44 封關(guān)于藥品生產(chǎn)質(zhì)量問題的警告信，涉及162 項缺陷，其中有98 項與制藥企業(yè)質(zhì)量控制（QC）實驗室的數(shù)據(jù)可靠性問題相關(guān)，包括我國15 家制藥企業(yè)的38 項缺陷（38.78%）［1］。2015年11月13日，原國家食品藥品監(jiān)督管理總局（CFDA）在官方網(wǎng)站上發(fā)布了《關(guān)于8 家企業(yè)11 個藥品注冊申請不予批準的公告》，原因是在對這些企業(yè)進行現(xiàn)場核查時發(fā)現(xiàn)“原始記錄缺失，隱瞞棄用試驗數(shù)據(jù)，修改調(diào)換試驗數(shù)據(jù)，試驗數(shù)據(jù)不可溯源，分析測試數(shù)據(jù)存疑，臨床試驗數(shù)據(jù)存在不真實、不完整的情況”等涉及數(shù)據(jù)可靠性的問題。

近年來，數(shù)據(jù)可靠性成為藥品生產(chǎn)領(lǐng)域的研究熱點，國內(nèi)外一系列法規(guī)指南相繼出臺，眾多培訓(xùn)檢查，言必提及數(shù)據(jù)可靠性。各大儀器設(shè)備開發(fā)商以此為契機，加大了軟硬件升級的力度，其中以Waters，Agilent，Diamond 及Shimadzu 為代表的設(shè)備軟件開發(fā)商由于長期以來的技術(shù)優(yōu)勢，在數(shù)據(jù)可靠性方面占有先機，獲得了巨大的經(jīng)濟收益，同時也極大地提高了國內(nèi)藥品生產(chǎn)企業(yè)藥品數(shù)據(jù)管理質(zhì)量水平。整個行業(yè)從認識到管理水平均得到了很大提升，其中以計算機化系統(tǒng)為代表的數(shù)據(jù)可靠性內(nèi)容發(fā)展最迅速，計算機化系統(tǒng)大多不可避免地跟電腦操作系統(tǒng)聯(lián)系在一起，Windows 操作平臺更是不可缺少的基礎(chǔ)平臺，在確保軟件正常工作及數(shù)據(jù)安全上的作用不可忽視。1 Windows 平臺合規(guī)性控制的必要性

1.1 相關(guān)法規(guī)指南的要求

2003 年，美國聯(lián)邦法規(guī)第21 章第11 款（21CFRPart11）對食品、藥品生產(chǎn)過程數(shù)據(jù)安全性進行了要求［2］，指出應(yīng)利用限制訪問或防止非授權(quán)人員訪問以實現(xiàn)對數(shù)據(jù)的保護。人員若要進入系統(tǒng)須經(jīng)授權(quán)，且每個經(jīng)過授權(quán)的人員都應(yīng)有與其姓名相關(guān)聯(lián)的獨立用戶名和密碼，并具有唯一性。設(shè)置訪問權(quán)限，每個用戶只能訪問特定的程序、文件和記錄。2016年4月，美國FDA 發(fā)布了《數(shù)據(jù)可靠性及其動態(tài)藥品生產(chǎn)管理規(guī)范符合性行業(yè)指南》［3］，該指南在21CFRPart 11 的基礎(chǔ)上對數(shù)據(jù)可靠性在動態(tài)藥品生產(chǎn)質(zhì)量管理規(guī)范（CGMP）中的作用進行了進一步闡述和要求。

2015 年3 月，英國藥品和醫(yī)療保健用品管理局（MHRA）發(fā)布了《關(guān)于GMP 數(shù)據(jù)可靠性的行業(yè)指南》［4］。該指南認為，就藥品生產(chǎn)企業(yè)而言，最重要的是設(shè)計出一套合理的數(shù)據(jù)管理程序來降低數(shù)據(jù)可靠性的風(fēng)險，而不只是對數(shù)據(jù)進行常規(guī)核對，如對帶有計時功能的計算機化系統(tǒng)等儀器設(shè)備進行進入權(quán)限設(shè)置，防止操作人員為了便于重復(fù)試驗隨意更改時間；控制計算機化系統(tǒng)中用戶的權(quán)限，防止未經(jīng)授權(quán)人員訪問、修改數(shù)據(jù)等。

2015 年12 月1 日起實施的我國藥品生產(chǎn)質(zhì)量管理規(guī)范（GMP）附錄《計算機化系統(tǒng)》要求，計算機化系統(tǒng)的驗證應(yīng)包含應(yīng)用程序的驗證和基礎(chǔ)架構(gòu)確認。原CFDA食品藥品審核查驗中心于2016 年10 月10 日在其官方網(wǎng)站上發(fā)布了《藥品數(shù)據(jù)管理規(guī)范（征求意見稿）》，規(guī)定計算機化系統(tǒng)應(yīng)當按相應(yīng)質(zhì)量管理規(guī)范要求進行驗證，并至少確認以應(yīng)用程序和操作系統(tǒng)中保障數(shù)據(jù)可靠性的設(shè)計和配置（如審計追蹤）已啟用并有效運行，登錄控制、權(quán)限設(shè)置及系統(tǒng)配置符合數(shù)據(jù)可靠性要求，應(yīng)控制日期和時間的更改。

《良好自動化生產(chǎn)實踐指南》第五版（GAMP5）認為，不同類別的計算機化系統(tǒng)是由不同系統(tǒng)組件構(gòu)成的。目前，GAMP5 將計算機化系統(tǒng)的組件分為操作系統(tǒng)、不可配置組件、可配置組件與定制組件。這些組件又由硬件和軟件構(gòu)成，其中軟件分4 個類別［5］：第1 類為基礎(chǔ)設(shè)施軟件，分為市場售賣的分層式軟件和基礎(chǔ)設(shè)施軟件工具，包括操作系統(tǒng)、數(shù)據(jù)庫引擎等；第2 類為不可配置軟件產(chǎn)品，分為不能通過配置以適應(yīng)具體業(yè)務(wù)流程的系統(tǒng)或只可使用默認配置的可配置系統(tǒng)，包括商用貨架產(chǎn)品（COTS）軟件、儀表儀器等；第3 類為可配置軟件產(chǎn)品，此類產(chǎn)品提供了標準化的界面和功能，以使配置適合用戶的具體業(yè)務(wù)流程，具體包括實驗室信息管理系統(tǒng)（LIMS）、管理控制與數(shù)據(jù)獲?。⊿CADA）、企業(yè)資源規(guī)劃（ERP）等；第4 類為定制應(yīng)用軟件，為滿足客戶特殊需求而開發(fā)的軟件。Windows 操作系統(tǒng)屬第一類軟件。

1.2 技術(shù)上有效的控制手段

按照GAMP5 關(guān)于計算機化系統(tǒng)的分類，在GMP體系下不同級別的計算機化系統(tǒng)組成結(jié)構(gòu)復(fù)雜程度是不一樣的。如Waters 色譜工作站的Power 系統(tǒng)成熟度很高，能完全按計算機化系統(tǒng)關(guān)于數(shù)據(jù)可靠性的要求進行用戶分級、權(quán)限控制、審計追蹤、數(shù)據(jù)備份和存儲。但如紫外、紅外檢測儀器，其應(yīng)用程序本身不具備用戶權(quán)限、審計追蹤控制的功能，無法實現(xiàn)對數(shù)據(jù)安全的良好保護，除制訂管理文件，通過人工記錄的方式進行數(shù)據(jù)可靠的控制外，還需對軟件使用平臺Windows 操作系統(tǒng)進行必要控制，在一定程度上防止無關(guān)人員登錄、使用電腦對數(shù)據(jù)安全造成危害。Windows 操作系統(tǒng)的有效控制也是保證軟件安全運行的基礎(chǔ)，若數(shù)據(jù)安全可靠保證較高的色譜工作站處在一個安全、穩(wěn)定性很差的平臺上，隨時有錯誤、崩潰的風(fēng)險，數(shù)據(jù)的安全可靠也就無從談起。

2 存在的問題

從近年來國內(nèi)制藥行業(yè)檢查情況看，國內(nèi)企業(yè)在數(shù)據(jù)可靠性方面還存在很多問題。原山東省食品藥品監(jiān)督管理局審評認證中心2016 年4 月至9 月開展的山東省無菌藥品生產(chǎn)企業(yè)數(shù)據(jù)可靠性調(diào)研結(jié)果顯示，目前電腦系統(tǒng)的賬戶分級工作開展較少，53 家調(diào)研企業(yè)中只有6 家以文件形式進行了相關(guān)規(guī)定，實際進行分級管理的僅2 家［6］。

權(quán)限控制的關(guān)鍵是權(quán)限分配的合理性。目前企業(yè)對電腦系統(tǒng)權(quán)限分配工作開展較少，原云南省食品藥品監(jiān)督管理局食品藥品審核查驗中心選取云南省12 家制藥企業(yè)開展了現(xiàn)場調(diào)研［7］。結(jié)果顯示，83.33%的企業(yè)建立了檢驗儀器工作站的權(quán)限分級管理，有利于對檢驗數(shù)據(jù)操作人進行追溯。但對于計算機設(shè)備本身（特別是檢驗儀器工作軟件不具備審計追蹤或權(quán)限分級的計算機設(shè)備），僅1/4 的企業(yè)開展了計算機系統(tǒng)權(quán)限分級管理；其余企業(yè)存在的主要問題包括共用用戶登錄計算機系統(tǒng)、對修改系統(tǒng)時間或刪除文件等權(quán)限未進行限制管理等，多數(shù)企業(yè)未考慮計算機系統(tǒng)的權(quán)限管理，操作人員可以修改刪除電腦硬盤中的數(shù)據(jù)，不符合數(shù)據(jù)可靠性的管理要求，數(shù)據(jù)歸屬至人是數(shù)據(jù)可靠性管理的基本要求。其實現(xiàn)的基礎(chǔ)是清晰的用戶劃分及權(quán)限管理。這些問題也是原CFDA 開展跟蹤檢查過程中計算機系統(tǒng)數(shù)據(jù)可靠性方面的常見問題［8］。

3 原因分析

3.1 對相關(guān)法規(guī)指南理解的誤區(qū)

現(xiàn)場檢查中發(fā)現(xiàn)，不少制藥企業(yè)人員在計算機化系統(tǒng)管理方面平時的培訓(xùn)學(xué)習(xí)流于形式，未按相關(guān)法規(guī)指南如GMP 計算機化系統(tǒng)附錄、GAMP5 的相關(guān)規(guī)定對GMP 相關(guān)的計算機化系統(tǒng)軟硬件進行分級，認為電腦Windows 操作系統(tǒng)平臺與GMP 體系無關(guān)，或按照GAMP5 電腦操作系統(tǒng)作為基礎(chǔ)設(shè)施軟件，不作為驗證控制對象，只對GAMP5 中不可配置軟件、可配置軟件、定制軟件進行數(shù)據(jù)可靠性的要求管理。

3.2 專業(yè)技術(shù)人員的缺失

原CFDA 2015 年5 月26 日公告《關(guān)于發(fā)布＜藥品生產(chǎn)質(zhì)量管理規(guī)范（2010 年修訂版） ＞計算機化系統(tǒng)和確認與驗證公告兩個附錄的公告》中明確規(guī)定，應(yīng)確保有適當?shù)膶I(yè)人員，對計算機化系統(tǒng)的設(shè)計、驗證、安裝和運行等方面進行培訓(xùn)和指導(dǎo)。計算機化系統(tǒng)的要求，驗證、使用等方面涉及多學(xué)科計算機、GMP 的綜合知識，相當部分中小企業(yè)執(zhí)行GMP 的藥學(xué)人員對涉及IT的相關(guān)知識知之甚少，以至于企業(yè)花重金購買了價值不菲的計算機化系統(tǒng)。關(guān)于儀器設(shè)備的工作軟件計算機化系統(tǒng)驗證確認，廠商一般會提供相應(yīng)的培訓(xùn)、驗證服務(wù)，而電腦操作系統(tǒng)的安全權(quán)限設(shè)置不在服務(wù)范圍。另外，即使有企業(yè)配備有專門的IT 部門人員，具備專業(yè)的IT知識，但其對GMP 的相關(guān)要求學(xué)習(xí)不夠，不能按GMP要求對涉及的電腦操作系統(tǒng)進行有效管控。

4 符合GMP 要求的Windows 操作系統(tǒng)控制

Windows 操作系統(tǒng)符合數(shù)據(jù)有效性的設(shè)置同樣重要，內(nèi)容分為用戶分級、權(quán)限分配及審計追蹤，通過Windows 操作系統(tǒng)提供的“本地安全策略”功能，可為計算機創(chuàng)建出不同安全級別的環(huán)境，在一定程度上有效、完整、安全地保護信息。安全策略是影響計算機安全性的安全設(shè)置組合，通過本地安全策略可以控制訪問計算機的用戶及是否在事件日志中記錄用戶或組的操作，也可有效限制用戶訪問權(quán)限，阻止?jié)撛诘钠茐恼邔ο到y(tǒng)進行惡意改動；通過建立用戶職能，將權(quán)限進行分級管理，設(shè)定不同的用戶組、用戶級別，賦予不同的權(quán)限，并對權(quán)限級別進行受控管理；通過審計跟蹤記錄不同用戶的行為活動，記錄并保存用戶對電子數(shù)據(jù)改動前和改動后的情況，以有效鑒別對數(shù)據(jù)的不恰當改動［9-10］?；诎踩L(fēng)險考慮，制藥行業(yè)GMP 體系下大部分搭載設(shè)備儀器軟件的電腦操作系統(tǒng)一般是單機或局域網(wǎng)環(huán)境，很少有連接互聯(lián)網(wǎng)的。在此也是基于單機版系統(tǒng)進行說明，下面只提供一種基于Windows 7 專業(yè)版操作系統(tǒng)下可行的操作方法（某些設(shè)置可能對家庭版無效），對涉及的專業(yè)深層IT 知識不過多介紹。

用戶分級：系統(tǒng)的常用用戶一般有管理員用戶（Administrator），普通用戶或標準用戶（User），以及來賓用戶（Guest）。目前與制藥設(shè)備儀器配套的商用電腦出廠基本已經(jīng)安裝好了Windows 操作系統(tǒng)，系統(tǒng)默認賬戶為管理員賬戶，賬號名為Administrator，密碼為空。使用管理員賬戶進行必要的工作站軟件安裝調(diào)試后，即可配置電腦普通操作人員賬戶。創(chuàng)建賬戶時，選擇密碼并保證密碼的安全。按數(shù)據(jù)可靠性的要求，賬戶密碼的設(shè)置要求和方法如下，在Windows 7 桌面左下角打開“開始”菜單，選擇“控制面板”，在彈出窗口中，依次點擊“控制面板”“管理工具”“本地安全策略”“本地策略”“賬戶策略”“密碼策略”，此時可見界面右邊對應(yīng)的內(nèi)容，密碼須符合復(fù)雜性要求，需開啟；密碼長度最小值，一般6～8位；密碼最長使用期限，可設(shè)置3 個月；密碼最短使用期限，設(shè)為默認；強制密碼歷史，可默認；用可還原的加密來儲存密碼，可默認。

創(chuàng)建操作人員賬戶：一般有2 種方法。方法1，桌面左下角打開“開始”菜單，選擇“控制面板”，在彈出的控制面板窗口選擇“添加或刪除用戶賬戶”，在彈出的管理賬戶窗口中可看到現(xiàn)有賬戶，在“新增賬戶”選擇下面的“創(chuàng)建一個新賬戶”，在彈出的創(chuàng)建用戶窗口選擇“創(chuàng)建標準用戶”即可，點擊新創(chuàng)建的賬號，接下來可設(shè)置登錄密碼等其他操作。方法2，在桌面右鍵單擊“計算機”，選擇“管理”，在彈出的計算機管理窗口，選擇“本地用戶和組”，選擇用戶，這時可在右側(cè)看到計算機里已有的電腦賬號，在下面的空白處點擊右鍵，選擇創(chuàng)建新用戶即可。在彈出的新用戶窗口，輸入新用戶的信息，然后點擊“創(chuàng)建”，點擊后創(chuàng)建成功，這時窗口上還有一個創(chuàng)建新用戶的窗口，可以接著創(chuàng)建，若不用可直接關(guān)閉。賬戶策略，可以不管。需注意的是，通過賬戶管理來添加Windows 新用戶對于普通Windows 7 家庭版操作系統(tǒng)并不適用，需要Windows7 專業(yè)版或Windows7 旗艦版高級版本等才可行。

權(quán)限分配：權(quán)限管理是計算機化系統(tǒng)驗證和法規(guī)的基本要求。默認情況下，Administrator 用戶對計算機/域有不受限制的完全訪問權(quán)。分配給該組的默認權(quán)限允許對整個系統(tǒng)進行完全控制。所以，管理員賬戶一般應(yīng)由與計算機化系統(tǒng)使用、操作無關(guān)的人員掌控，如IT 部門。標準賬戶為受控賬戶，其權(quán)限因受到限制，以杜絕標準賬戶可能的違反規(guī)定的操作。如禁止修改系統(tǒng)日期、事件、刪除數(shù)據(jù)等。這些權(quán)限控制也需通過本地安全策略來實現(xiàn)。同上文操作依次點擊“本地安全策略”“本地策略”“用戶權(quán)限分配”，找到“更改系統(tǒng)時間”將標準賬戶所在的組（Users）刪除，即取消了標準用戶更改系統(tǒng)事件的權(quán)限；接下來在“本地策略”下的安全選項中，找到“交互式登錄，不顯示用戶名”，安全設(shè)置中選擇開啟（防止使用已有賬號列舉式試密碼）。重要數(shù)據(jù)通常會保存在電腦某個盤下的某個文件夾內(nèi)，為了防止刪除數(shù)據(jù)的操作，可控制不同賬戶操作相應(yīng)文件夾的權(quán)限。具體方法為，鼠標右鍵單擊相應(yīng)文件夾，選擇“屬性”，在彈出的對話框中選擇“安全”標簽，點擊“高級”，在彈出的對話框中會看到不同用戶組對文件夾的不同操作權(quán)限，選中標準用戶所在組，點擊“更改權(quán)限”，在彈出的對話框中選擇組進行編輯，這時會看到選中用戶對該對象擁有的操作權(quán)限，在“刪除”“刪除子文件夾及文件”項勾選拒絕，點擊“確定”。即完成了禁止標準用戶對特定保存數(shù)據(jù)的刪除權(quán)限。

審計追蹤：計算機化系統(tǒng)中的關(guān)鍵數(shù)據(jù)操作（如參數(shù)修改、錄入關(guān)鍵數(shù)據(jù)）等通?？紤]建立數(shù)據(jù)審計追蹤系統(tǒng)，用于記錄數(shù)據(jù)的輸入人員的身份和修改數(shù)據(jù)。Windows 7 系統(tǒng)事件日志是以特定的數(shù)據(jù)結(jié)構(gòu)的方式存儲有關(guān)系統(tǒng)、安全、應(yīng)用程序的記錄，每個記錄事件的數(shù)據(jù)結(jié)構(gòu)中包含了9 個元素（可以理解成數(shù)據(jù)庫中的字段），即日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)等信息。通過事件日志，可以了解計算機上發(fā)生的具體行為［11］。開啟審核追蹤功能，配合事件查看器中事件日志記錄，可達到審計追蹤的目的。Windows 系統(tǒng)中可以通過“本地安全策略”來規(guī)定必要的審計內(nèi)容。通常情況下，主要關(guān)注系統(tǒng)非法登錄、日期，時間修改，數(shù)據(jù)刪除等可疑的操作?；诖丝紤]，可這樣配置，同上文操作，依次點擊“本地安全策略”“本地策略”“審核策略”，分別勾選“審核登錄事件”（可審核應(yīng)用此策略系統(tǒng)中發(fā)生的登錄和注銷事件），“審核系統(tǒng)事件”（確定是否審核用戶重新啟動、或關(guān)閉計算機及對系統(tǒng)安全或安全日志有影響的事件）中的成功和失敗選項。

5 結(jié)語

到目前為止，隨著歐盟、世界衛(wèi)生組織、美國FDA、國家藥品監(jiān)督管理局等國內(nèi)外藥政監(jiān)管機構(gòu)對數(shù)據(jù)完整性的日益重視，經(jīng)過幾年的發(fā)展，我國大部分制藥企業(yè)按GMP 及附錄、數(shù)據(jù)可靠性的要求建立了相關(guān)的計算機化系統(tǒng)的管理制度，并進行了硬件、軟件的更新升級，能完成必要的驗證、管控，但實施、實踐中仍存在一些問題，本文針對數(shù)據(jù)可靠性要求的管理進行了闡述，旨在給制藥同行提供幫助和啟發(fā)，使需要進行數(shù)據(jù)可靠性要求的計算機化系統(tǒng)在管理、運用及合規(guī)性上能做得更好，提升藥品數(shù)據(jù)的準確性、安全性、可靠性。