1. 要求

应配置和实施用户访问控制，以禁止未经授权访问、更改和删除数据。安全控制的程度取决于计算机化系统的重要性。例如：

应为所有需要访问和使用特定电子系统的员工设置和分配个人登录ID和密码。共享登录凭据无法跟踪执行活动的个人。因此，即使出于节省资金的原因，也应该禁止共享密码。应在电子系统验证期间查证登录参数，以确保明确定义登录配置文件、配置和密码格式并按预期运行。

数据输入和计算机化记录的更改只能由授权人员进行。公司应为每个使用中的电子系统保留一份授权人员及其访问权限的列表。

应该对密码的格式和使用进行适当的控制，以确保系统得到有效保护。

在最初被授予系统访问权限后，系统应允许用户按照正常的密码规则创建新密码。

系统应支持不同的用户访问角色(级别)，角色的分配应遵循最低权限规则，即

为任何工作职能分配必要的最低访问级别。简单系统至少应该有普通用户和管理员用户，但复杂系统通常需要更多级别的用户(例如层次结构)来有效支持访问

控制。

应严格控制授予管理员访问用于运行GMP/GDP关键应用程序的计算机化系统

和基础设施的权限。不应将管理员访问权限授予系统上的普通用户(即职责分

离)。

普通用户不应访问计算机化系统的关键领域，例如系统时钟、文件删除功能等。

系统应该能够生成对系统具有实际访问权限的用户列表，包括用户ID和角色。用户列表应包括允许识别特定个人的姓名或唯一标识符。对用户进行定期审核时应使用该列表。

系统应该能够生成成功和失败的登录尝试列表，包括：

o用户身份

o用户访问角色

o尝试登录的日期和时间，可以是本地时间或可追溯至本地时间

o任务长度，如果是成功登录的话

用户访问控制应确保严格的职责分离(即系统上执行正常工作任务的所有用户应仅具有正常访问权限)。通常，具有较高访问权限的用户(例如管理员)不应在系统上执行正常的工作任务。

系统管理员通常应该独立于执行任务的用户，并且不参与或不关心电子系统中生成或可用数据的结果。例如，不应将QC主管和经理指定为其实验室电子系统(例如HPLC、GC、UV-Vis) 的系统管理员。通常，应由质量和生产组织之外的个人(例如信息技术管理员)担任系统管理员并具有更高的权限级别。

对于较小的组织，可能允许质量部门或生产部门的指定人员作为系统管理员持有访问权限；但是，在这些情况下，不应使用管理员访问权限来执行日常操作，并且用户应该持有第二个受限访问权限来执行日常操作。在这些情况下，所有管理人员进行的活动都应在质量体系内进行记录和批准。

任何对新用户、用户新权限的请求应由相关人员(例如直线经理和系统所有者)

授权，并按照标准程序以可追溯的方式转交给系统管理员。

允许访问GMP/GDP关键数据或操作的计算机化系统应具有不活动注销功能，

无论是在应用程序还是操作系统级别，都会将不活动时间超过预定义时间的用户注销。时间应该更短，而不是更长，并且通常应该设置为防止对系统的未授权访问。激活非活动注销后，系统应要求用户通过正常的身份验证程序再次登录。

潜在不符合要求风险/需检查的项目：

检查公司是否采取了所有合理的步骤来确保使用中的计算机化系统是安全的，并且不会受到有意或无意的更改。

没有物理和管理安全的系统容易受到数据完整性问题的影响。检查员应确认存在管理系统安全的经过验证的程序，确保计算机化系统保持在其经过验证的状态并防止被操纵。

检查个人用户登录ID是否正在使用中。如果系统配置允许使用个人用户登录

ID，则应使用这些ID。

众所周知，一些旧的计算机化系统仅支持单个用户登录或有限数量的用户登录。

在没有合适的替代计算机化系统可用的情况下，可以通过第三方软件或纸质方法追溯(带版本控制)提供等效控制。应证明并记录替代系统的适用性。混合系统可能需要更多的数据审查。

检查员应验证密码策略是否到位，以确保系统执行良好的密码规则并要求强密码。应考虑对生成或处理关键数据的系统使用更强的密码。

用户无法更改新密码而只能由管理员创建的系统不符合数据完整性要求，因为无法维护密码的机密性。

检查用户访问级别是否得到适当定义、记录和控制。在系统上使用单个用户访问级别并为所有用户分配此角色(根据定义将是管理员角色)是不可接受的。

查证系统是否使用权限检查以确保只有经过授权的个人才能使用系统、对记录进行电子签名、访问操作或计算机化系统输入或输出设备、更改记录或执行手头的操作。

2. 要求

应保护计算机化系统免受意外更改或故意操纵。公司应评估系统及其设计，以防止未经授权更改可能最终影响数据完整性的已验证设置。应考虑：

计算机化系统硬件的物理安全：

服务器的位置和访问权限；

限制对PLC模块的访问， 例如通过锁定检修面板。

网络系统受到本地和外部攻击的脆弱性；

远程网络更新，例如供应商自动更新联网系统。

系统设置、配置和关键数据的安全性。应适当限制对系统关键数据/操作参数的访问，并由授权人员通过变更管理流程控制对设置/配置的任何更改。

应保护计算机化系统免受意外更改或故意操纵。公司应评估系统及其设计，以防止未经授权更改可能最终影响数据完整性的已验证设置。应考虑：

操作系统时钟应与连接系统的时钟同步，并且仅限授权人员访问所有时钟。

采用适当的网络安全措施，包括入侵防御和检测系统。

设置防火墙以保护关键数据和操作。端口开放(防火墙规则)应基于最低权

限策略，使防火墙规则尽可能严密，从而只接受所允许流量。

受监管的用户应定期审查网络安全措施的持续适当性和有效性(例如，通过使用

IT基础设施的网络漏洞扫描来识别潜在的安全弱点)，并确保使用当前的安全措

施维护操作系统。

潜在不符合要求风险/需检查的项目：

检查对硬件和软件的访问是否得到适当保护，并且仅限于授权人员。

查证是否实施了合适的身份验证方法。这些方法应包括用户ID和密码，但其他方法也是可能的，并且可能是必需的。但是，用户的可识别性至关重要。

用于对包含可通过互联网获得的关键数据的系统进行远程身份验证；查证是否采用了其他身份验证技术，例如使用密码令牌或生物识别技术。

查证对系统关键操作参数的访问是否得到适当控制，并且在适当的情况下，系统在GMP/GDP步骤的关键序列中强制执行正确的事件和参数顺序。

3. 要求(网络保护)

网络系统安全应该包括适当的方法用于检测和防止对数据的潜在威胁。

所实施的网络保护级别应基于对数据风险的评估。

应使用防火墙防止未经授权的访问，应根据规范定期审查其规则，以确保将其设置为必要的限制，只接受允许的流量。审查应记录在案。

防火墙应辅以适当的病毒保护或入侵防御/检测系统，以保护数据和计算机化系统免受企图攻击和恶意软件的侵害。

潜在不符合要求风险/需检查的项目：

网络安全不足会带来与系统因无授权访问、误用或修改而易受攻击相关的风险。

检查控制网络访问的适当措施是否到位。应该有适当的授权、监控和取消访问流程。

系统的设计应该能够防止威胁并检测对网络的入侵企图，并且应该安装、监控和维护这些措施。

防火墙规则通常会随时间发生变化，例如由于服务器维护等原因暂时开放端口。

如果从未审查，防火墙规则可能会过时，允许不需要的流量或入侵。

4. 要求（签名）

代替手写签名使用的电子签名应有适当的控制，以确保其真实性和可追溯至电子签名记录的具体个人。

电子签名应与其各自的记录永久链接，即如果以后对签名记录进行了更改，记录应指明修订并显示为未签名。

在使用时，电子签名功能应自动记录应用签名的日期和时间。

使用高级形式的电子签名正变得越来越普遍(例如，公司越来越普遍地使用生

物识别技术)。应鼓励使用高级形式的电子签名。

潜在不符合要求风险/需检查的项目：

检查电子签名是否经过适当验证，发放给员工时是否受控，所有时间、电子签名是否易于追溯至具体个人。

在电子签名完成之后对数据所做的任何变更均应让签名无效，除非该数据被重

新审核和重新签名。

5. USB设备的限制

为系统安全起见， 应对计算机化系统进行配置， 以防止在托管GMP/GDP关

键数据的计算机客户端和服务器上使用U盘和存储设备造成漏洞。如有必要，应

仅出于已批准的目的打开端口，并且在使用前应正确扫描所有USB设备。

应控制在托管GMP/GDP数据的公司计算机客户端和服务器上使用私人USB

设备(闪存驱动器、相机、智能手机、键盘等)，或在私人计算机上使用公司

USB设备， 以防止安全违反。

【END】

申明：本文来源于GMP课程学习，内容仅供学习使用，如不希望传播请联系删除，谢谢~