GMP 體系下Windows 操作系統合規性探索

胡 順，鄭 瑩，劉澤倫，鄧 宇，安定國，蔣瓊霞

（1. 湖北省食品藥品監督管理局東湖新技術開發區分局，湖北 武漢 430075； 2. 武漢華龍生物制藥有限公司，湖北 武漢 430043）

2016 年，美國食品和藥物管理局（FDA）共發布了44 封關于藥品生產質量問題的警告信，涉及162 項缺陷，其中有98 項與制藥企業質量控制（QC）實驗室的數據可靠性問題相關，包括我國15 家制藥企業的38 項缺陷（38.78%）［1］。2015年11月13日，原國家食品藥品監督管理總局（CFDA）在官方網站上發布了《關于8 家企業11 個藥品注冊申請不予批準的公告》，原因是在對這些企業進行現場核查時發現“原始記錄缺失，隱瞞棄用試驗數據，修改調換試驗數據，試驗數據不可溯源，分析測試數據存疑，臨床試驗數據存在不真實、不完整的情況”等涉及數據可靠性的問題。

近年來，數據可靠性成為藥品生產領域的研究熱點，國內外一系列法規指南相繼出臺，眾多培訓檢查，言必提及數據可靠性。各大儀器設備開發商以此為契機，加大了軟硬件升級的力度，其中以Waters，Agilent，Diamond 及Shimadzu 為代表的設備軟件開發商由于長期以來的技術優勢，在數據可靠性方面占有先機，獲得了巨大的經濟收益，同時也極大地提高了國內藥品生產企業藥品數據管理質量水平。整個行業從認識到管理水平均得到了很大提升，其中以計算機化系統為代表的數據可靠性內容發展最迅速，計算機化系統大多不可避免地跟電腦操作系統聯系在一起，Windows 操作平臺更是不可缺少的基礎平臺，在確保軟件正常工作及數據安全上的作用不可忽視。1 Windows 平臺合規性控制的必要性

1.1 相關法規指南的要求

2003 年，美國聯邦法規第21 章第11 款（21CFRPart11）對食品、藥品生產過程數據安全性進行了要求［2］，指出應利用限制訪問或防止非授權人員訪問以實現對數據的保護。人員若要進入系統須經授權，且每個經過授權的人員都應有與其姓名相關聯的獨立用戶名和密碼，并具有唯一性。設置訪問權限，每個用戶只能訪問特定的程序、文件和記錄。2016年4月，美國FDA 發布了《數據可靠性及其動態藥品生產管理規范符合性行業指南》［3］，該指南在21CFRPart 11 的基礎上對數據可靠性在動態藥品生產質量管理規范（CGMP）中的作用進行了進一步闡述和要求。

2015 年3 月，英國藥品和醫療保健用品管理局（MHRA）發布了《關于GMP 數據可靠性的行業指南》［4］。該指南認為，就藥品生產企業而言，最重要的是設計出一套合理的數據管理程序來降低數據可靠性的風險，而不只是對數據進行常規核對，如對帶有計時功能的計算機化系統等儀器設備進行進入權限設置，防止操作人員為了便于重復試驗隨意更改時間；控制計算機化系統中用戶的權限，防止未經授權人員訪問、修改數據等。

2015 年12 月1 日起實施的我國藥品生產質量管理規范（GMP）附錄《計算機化系統》要求，計算機化系統的驗證應包含應用程序的驗證和基礎架構確認。原CFDA食品藥品審核查驗中心于2016 年10 月10 日在其官方網站上發布了《藥品數據管理規范（征求意見稿）》，規定計算機化系統應當按相應質量管理規范要求進行驗證，并至少確認以應用程序和操作系統中保障數據可靠性的設計和配置（如審計追蹤）已啟用并有效運行，登錄控制、權限設置及系統配置符合數據可靠性要求，應控制日期和時間的更改。

《良好自動化生產實踐指南》第五版（GAMP5）認為，不同類別的計算機化系統是由不同系統組件構成的。目前，GAMP5 將計算機化系統的組件分為操作系統、不可配置組件、可配置組件與定制組件。這些組件又由硬件和軟件構成，其中軟件分4 個類別［5］：第1 類為基礎設施軟件，分為市場售賣的分層式軟件和基礎設施軟件工具，包括操作系統、數據庫引擎等；第2 類為不可配置軟件產品，分為不能通過配置以適應具體業務流程的系統或只可使用默認配置的可配置系統，包括商用貨架產品（COTS）軟件、儀表儀器等；第3 類為可配置軟件產品，此類產品提供了標準化的界面和功能，以使配置適合用戶的具體業務流程，具體包括實驗室信息管理系統（LIMS）、管理控制與數據獲?。⊿CADA）、企業資源規劃（ERP）等；第4 類為定制應用軟件，為滿足客戶特殊需求而開發的軟件。Windows 操作系統屬第一類軟件。

1.2 技術上有效的控制手段

按照GAMP5 關于計算機化系統的分類，在GMP體系下不同級別的計算機化系統組成結構復雜程度是不一樣的。如Waters 色譜工作站的Power 系統成熟度很高，能完全按計算機化系統關于數據可靠性的要求進行用戶分級、權限控制、審計追蹤、數據備份和存儲。但如紫外、紅外檢測儀器，其應用程序本身不具備用戶權限、審計追蹤控制的功能，無法實現對數據安全的良好保護，除制訂管理文件，通過人工記錄的方式進行數據可靠的控制外，還需對軟件使用平臺Windows 操作系統進行必要控制，在一定程度上防止無關人員登錄、使用電腦對數據安全造成危害。Windows 操作系統的有效控制也是保證軟件安全運行的基礎，若數據安全可靠保證較高的色譜工作站處在一個安全、穩定性很差的平臺上，隨時有錯誤、崩潰的風險，數據的安全可靠也就無從談起。

2 存在的問題

從近年來國內制藥行業檢查情況看，國內企業在數據可靠性方面還存在很多問題。原山東省食品藥品監督管理局審評認證中心2016 年4 月至9 月開展的山東省無菌藥品生產企業數據可靠性調研結果顯示，目前電腦系統的賬戶分級工作開展較少，53 家調研企業中只有6 家以文件形式進行了相關規定，實際進行分級管理的僅2 家［6］。

權限控制的關鍵是權限分配的合理性。目前企業對電腦系統權限分配工作開展較少，原云南省食品藥品監督管理局食品藥品審核查驗中心選取云南省12 家制藥企業開展了現場調研［7］。結果顯示，83.33%的企業建立了檢驗儀器工作站的權限分級管理，有利于對檢驗數據操作人進行追溯。但對于計算機設備本身（特別是檢驗儀器工作軟件不具備審計追蹤或權限分級的計算機設備），僅1/4 的企業開展了計算機系統權限分級管理；其余企業存在的主要問題包括共用用戶登錄計算機系統、對修改系統時間或刪除文件等權限未進行限制管理等，多數企業未考慮計算機系統的權限管理，操作人員可以修改刪除電腦硬盤中的數據，不符合數據可靠性的管理要求，數據歸屬至人是數據可靠性管理的基本要求。其實現的基礎是清晰的用戶劃分及權限管理。這些問題也是原CFDA 開展跟蹤檢查過程中計算機系統數據可靠性方面的常見問題［8］。

3 原因分析

3.1 對相關法規指南理解的誤區

現場檢查中發現，不少制藥企業人員在計算機化系統管理方面平時的培訓學習流于形式，未按相關法規指南如GMP 計算機化系統附錄、GAMP5 的相關規定對GMP 相關的計算機化系統軟硬件進行分級，認為電腦Windows 操作系統平臺與GMP 體系無關，或按照GAMP5 電腦操作系統作為基礎設施軟件，不作為驗證控制對象，只對GAMP5 中不可配置軟件、可配置軟件、定制軟件進行數據可靠性的要求管理。

3.2 專業技術人員的缺失

原CFDA 2015 年5 月26 日公告《關于發布＜藥品生產質量管理規范（2010 年修訂版） ＞計算機化系統和確認與驗證公告兩個附錄的公告》中明確規定，應確保有適當的專業人員，對計算機化系統的設計、驗證、安裝和運行等方面進行培訓和指導。計算機化系統的要求，驗證、使用等方面涉及多學科計算機、GMP 的綜合知識，相當部分中小企業執行GMP 的藥學人員對涉及IT的相關知識知之甚少，以至于企業花重金購買了價值不菲的計算機化系統。關于儀器設備的工作軟件計算機化系統驗證確認，廠商一般會提供相應的培訓、驗證服務，而電腦操作系統的安全權限設置不在服務范圍。另外，即使有企業配備有專門的IT 部門人員，具備專業的IT知識，但其對GMP 的相關要求學習不夠，不能按GMP要求對涉及的電腦操作系統進行有效管控。

4 符合GMP 要求的Windows 操作系統控制

Windows 操作系統符合數據有效性的設置同樣重要，內容分為用戶分級、權限分配及審計追蹤，通過Windows 操作系統提供的“本地安全策略”功能，可為計算機創建出不同安全級別的環境，在一定程度上有效、完整、安全地保護信息。安全策略是影響計算機安全性的安全設置組合，通過本地安全策略可以控制訪問計算機的用戶及是否在事件日志中記錄用戶或組的操作，也可有效限制用戶訪問權限，阻止潛在的破壞者對系統進行惡意改動；通過建立用戶職能，將權限進行分級管理，設定不同的用戶組、用戶級別，賦予不同的權限，并對權限級別進行受控管理；通過審計跟蹤記錄不同用戶的行為活動，記錄并保存用戶對電子數據改動前和改動后的情況，以有效鑒別對數據的不恰當改動［9-10］?；诎踩L險考慮，制藥行業GMP 體系下大部分搭載設備儀器軟件的電腦操作系統一般是單機或局域網環境，很少有連接互聯網的。在此也是基于單機版系統進行說明，下面只提供一種基于Windows 7 專業版操作系統下可行的操作方法（某些設置可能對家庭版無效），對涉及的專業深層IT 知識不過多介紹。

用戶分級：系統的常用用戶一般有管理員用戶（Administrator），普通用戶或標準用戶（User），以及來賓用戶（Guest）。目前與制藥設備儀器配套的商用電腦出廠基本已經安裝好了Windows 操作系統，系統默認賬戶為管理員賬戶，賬號名為Administrator，密碼為空。使用管理員賬戶進行必要的工作站軟件安裝調試后，即可配置電腦普通操作人員賬戶。創建賬戶時，選擇密碼并保證密碼的安全。按數據可靠性的要求，賬戶密碼的設置要求和方法如下，在Windows 7 桌面左下角打開“開始”菜單，選擇“控制面板”，在彈出窗口中，依次點擊“控制面板”“管理工具”“本地安全策略”“本地策略”“賬戶策略”“密碼策略”，此時可見界面右邊對應的內容，密碼須符合復雜性要求，需開啟；密碼長度最小值，一般6～8位；密碼最長使用期限，可設置3 個月；密碼最短使用期限，設為默認；強制密碼歷史，可默認；用可還原的加密來儲存密碼，可默認。

創建操作人員賬戶：一般有2 種方法。方法1，桌面左下角打開“開始”菜單，選擇“控制面板”，在彈出的控制面板窗口選擇“添加或刪除用戶賬戶”，在彈出的管理賬戶窗口中可看到現有賬戶，在“新增賬戶”選擇下面的“創建一個新賬戶”，在彈出的創建用戶窗口選擇“創建標準用戶”即可，點擊新創建的賬號，接下來可設置登錄密碼等其他操作。方法2，在桌面右鍵單擊“計算機”，選擇“管理”，在彈出的計算機管理窗口，選擇“本地用戶和組”，選擇用戶，這時可在右側看到計算機里已有的電腦賬號，在下面的空白處點擊右鍵，選擇創建新用戶即可。在彈出的新用戶窗口，輸入新用戶的信息，然后點擊“創建”，點擊后創建成功，這時窗口上還有一個創建新用戶的窗口，可以接著創建，若不用可直接關閉。賬戶策略，可以不管。需注意的是，通過賬戶管理來添加Windows 新用戶對于普通Windows 7 家庭版操作系統并不適用，需要Windows7 專業版或Windows7 旗艦版高級版本等才可行。

權限分配：權限管理是計算機化系統驗證和法規的基本要求。默認情況下，Administrator 用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認權限允許對整個系統進行完全控制。所以，管理員賬戶一般應由與計算機化系統使用、操作無關的人員掌控，如IT 部門。標準賬戶為受控賬戶，其權限因受到限制，以杜絕標準賬戶可能的違反規定的操作。如禁止修改系統日期、事件、刪除數據等。這些權限控制也需通過本地安全策略來實現。同上文操作依次點擊“本地安全策略”“本地策略”“用戶權限分配”，找到“更改系統時間”將標準賬戶所在的組（Users）刪除，即取消了標準用戶更改系統事件的權限；接下來在“本地策略”下的安全選項中，找到“交互式登錄，不顯示用戶名”，安全設置中選擇開啟（防止使用已有賬號列舉式試密碼）。重要數據通常會保存在電腦某個盤下的某個文件夾內，為了防止刪除數據的操作，可控制不同賬戶操作相應文件夾的權限。具體方法為，鼠標右鍵單擊相應文件夾，選擇“屬性”，在彈出的對話框中選擇“安全”標簽，點擊“高級”，在彈出的對話框中會看到不同用戶組對文件夾的不同操作權限，選中標準用戶所在組，點擊“更改權限”，在彈出的對話框中選擇組進行編輯，這時會看到選中用戶對該對象擁有的操作權限，在“刪除”“刪除子文件夾及文件”項勾選拒絕，點擊“確定”。即完成了禁止標準用戶對特定保存數據的刪除權限。

審計追蹤：計算機化系統中的關鍵數據操作（如參數修改、錄入關鍵數據）等通?？紤]建立數據審計追蹤系統，用于記錄數據的輸入人員的身份和修改數據。Windows 7 系統事件日志是以特定的數據結構的方式存儲有關系統、安全、應用程序的記錄，每個記錄事件的數據結構中包含了9 個元素（可以理解成數據庫中的字段），即日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數據等信息。通過事件日志，可以了解計算機上發生的具體行為［11］。開啟審核追蹤功能，配合事件查看器中事件日志記錄，可達到審計追蹤的目的。Windows 系統中可以通過“本地安全策略”來規定必要的審計內容。通常情況下，主要關注系統非法登錄、日期，時間修改，數據刪除等可疑的操作?；诖丝紤]，可這樣配置，同上文操作，依次點擊“本地安全策略”“本地策略”“審核策略”，分別勾選“審核登錄事件”（可審核應用此策略系統中發生的登錄和注銷事件），“審核系統事件”（確定是否審核用戶重新啟動、或關閉計算機及對系統安全或安全日志有影響的事件）中的成功和失敗選項。

5 結語

到目前為止，隨著歐盟、世界衛生組織、美國FDA、國家藥品監督管理局等國內外藥政監管機構對數據完整性的日益重視，經過幾年的發展，我國大部分制藥企業按GMP 及附錄、數據可靠性的要求建立了相關的計算機化系統的管理制度，并進行了硬件、軟件的更新升級，能完成必要的驗證、管控，但實施、實踐中仍存在一些問題，本文針對數據可靠性要求的管理進行了闡述，旨在給制藥同行提供幫助和啟發，使需要進行數據可靠性要求的計算機化系統在管理、運用及合規性上能做得更好，提升藥品數據的準確性、安全性、可靠性。