GMP计算机系统安全管理规程.pdf

GMP 计算机系统安全管理规程 1。目的：本规程的目的是描述我公司在药品生产质量管理过程中，与 GMP 相关的计算机和自动化系统的规范化安全管理程序，建立适当的安全措施，保持其处于掌控状态，确保其运行稳定，数据准确、真实、可靠。2.范围:本操作规程适用于公司所有 GMP 计算机和自动化系统的管理，此类系统用于或为 GMP 法规环境提供支持。3。职责 序号 活动 职责 1 计算机化系统的设备管理，包括规划、选型、供应商选择、安装、确认、维护保养、退役等 设备部/IT 2 物理与环境安全 系统使用者/工程部 3 互联网络安全,系统补丁、防病毒程序的安装，技术支持 IT 4 操作系统和应用程序的安全管理（用户管理及权限分配)IT/部门主管/QA 5 数据安全（备份、恢复等)部门主管/IT/QA 4。术语和定义 计算机化系统：由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系.5。程序 GMP 计算机系统的安全必须被控制,可通过各类机制来实现，一般包括但不限于如下内容:5。1 物理与环境安全 5。1。1 访问存放大型机、服务器、易受影响的网络设备和连接的机房,只有被授权的人员才可以进入。这些特定的房间、空间或是存放系统的控制面板，应采取上锁或门禁系统等安全措施进行限制访问保护。5.1.2 系统部件/设备需要存放在安全的区域，以减少环境威胁和危害。5.1。3 重要的系统应配备 UPS 以保证计算机系统失电时的数据安全。5.1。4 访问控制工具(如钥匙、胸卡、指纹等)的分配与收回由使用部门领导进行管理。5.1.5 厂区和办公楼的访问管理遵循门卫工作管理办法(Q/CDG3。181）。5.2 网络安全 必须采取以下措施以应对未经授权的访问,确保网络安全：只有经过授权的 IT 管理人员才允许拥有网络工作相关的功能，且必须使用一个用户名和一个密码才可以访问该网络.提供网络连接的部件（开关或集线器）在物理上必须是安全的，所有网络部件预设的密码必须被更改和管理。5.3 操作系统安全 5.3。1 操作系统账户的设置与分配由质量部门负责人指定专人负责；除系统管理员外，所有操作人员均应设置为标准账户，不得以系统管理员的权限登录操作系统。5。3。2 个人标准账户：原则上应为每个用户单独地设定账户，如果没有其它途径来控制未授权用户随意地调用或设置参数时，必须为每个用户设置独立账户。5.3。3 当账户设置的目的只是为了防止用户删除或修改与 GMP 相关的数据文件，一个通用的标 准账户可以被使用.这样做不仅简化了登录权限分配,还可以避免系统账户的频繁交换导致正在运行的程序的中断。5。3.4 如果工作站本身可以为每一个操作者设置独立的账户，其功能足以确保参数修改和调用权限的控制，windows 公用标准账户也是适用的。下表对以上内容进行归纳总结，以方便对系统进行评估 账户分类 适用范围 系统管理员 所有的 windows 操作系统只能设置一个系统管理员 公用标准账户 账户设置的目的是为了防止用户删除或修改与 GMP 相关的文件 如果工作站本身具有访问权限控制，可以为每一个操作者设置独立的账户 独立标准账户 账户的设置除了可以防止用户删除或修改与 GMP 相关的文件，而且也要限制操作参数的调用或修改;5。4 应用程序安全 5。4。1GMP 应用程序通常应具有逻辑访问控制的能力，只限于被授予权限的用户使用。访问应用程序是典型的通过控制被授权的用户名和密码来控制的,但是，也可以通过其他的方式来控制，这包括：生物控制和物理控制.被授予权限的个人只可以做其他/她权限内的事情。5。4。2 当系统的运行参数可能被修改、贮存，并可以调用执行时，系统应有至少两个用户级别，分别用于日常操作和系统管理.5。4。3 系统管理员和操作者的主要区别是操作者没有指定用户权限及修改和设置参数的权限。5.4.4 原则上要求为每个用户建立一个帐户。但当系统无法满足这一要求时，一个公用的账户可以被使用，但打印的纸质记录必须由实际的操作者签名。5.4。5 属于电子记录的工作站或软件必须实现可以为每个操作者建立独立的账户。5.4.6 当系统提供不只两级权限的用户组时，用户权限的分配可根据软件的功能和需要进行分配。5.4.7 当系统为用户分配权限时，对权限的分配采用复选框选择时，则权限分配表必须打印出来签名确认.5。5 磁盘数据安全 一般地,用于存贮与 GMP 相关的文件夹应由系统管理员设置安全保护，所有标准用户不得直接从磁盘删除、修改文件或文件夹的内容。设置后的文件夹应进行简单的确认以证实文件夹确实被有效保护。5。6 安全控制程序 5。6。1 当操作系统和应用程序均不能通过用户名/密码进行权限控制,在操作时需要输入的参数或调用的程序必须由操作者在执行前进行确认并记录；关键参数或程序，必须由操作者及第二人在执行前进行确认并记录；如输入的参数或调用的程序的执行结果可以被打印或显示（且显示的结果被记录），在风险可控的前提下，可以采用事后复核的方式进行第二人确认,但程序执行前必须至少有一个人确认和记录这些设置。5.6。2 连续运行的系统,在没有重新设置时不需要进行检查确认,但如果是不连续运行,即使是设置的参数是固定的,在系统重新运行前也应进行检查确认。5.6。3 当系统需要保护的数据使用技术手段无法保护时，一个明显的提示必须放置于设备附近以随时提醒操作者不得删除数据.5.6.4 任何在前台（被程序调用后）可以修改数据的系统不得被使用。5.6。5 BIOS 应设置密码进行保以阻止蓄意的程序进入，开机启动顺序在系统安装后应进行设置以防止由外部媒介启动（如 DVD，USB 等移动存贮设备）。如果操作系统或应用程序可以设置用户账号,则可以不设置 BIOS 开机密码.5.6.6 与外网连接的电脑关键安全补丁应被测试，一旦供应商发布就应实施.5.6.7 系统时钟和时区应该被保护以防止用户或供应商有意无意的改变。5.6.8 具备审计跟踪功能的系统和应用程序，必须开启审计跟踪功能，由系统自动记录使用日志。5。6.9 密码保护是防止未授权访问，篡改,毁坏，泄密或复制的重要预防手段。系统用户必须通过培训了解秘密保护机制的重要性和不可妥协性.密码保护机制如下：默认的安全设置和众人皆知的访问机制应立即更改。只要可能自动化控制或强制措施应被实施.周期性的更改密码，建议与系统密码周期一致，期限最长不超过 90 天。当发现任何异常和可疑操作时立即更改密码.如果系统允许，密码长度不得少于 6 个字符。密码不能包含常见和易被猜出的单词。用户 ID 和密码必须是唯一不可重复的.5。6。10 操作系统和应用软件超出预先规定的不活动状态（待机）时间后，用户需要再次输入用户名和密码来重新进入系统，通常这个时间不超过 5 分钟。