В разделе 21 части 11 Свода федеральных законоположений (cfr)
 Скачать 112.51 Kb.
|
|
Обзор В Разделе 21 части 11 Свода федеральных законоположений (CFR) Управления по санитарному надзору за качеством пищевых продуктов и медикаментов США и его европейском аналоге, Главе 4, Приложении 11 Нормативно-правовой базы обращения лекарственных средств в рамках Законодательства Европейского Союза, описываются требования к электронным записям и электронным подписям для подконтрольных фармацевтических организаций. Раздел 21 CFR часть 11 был выпущен в 1997 году и введен в действие в 1999 году. Назначением данных руководств было обеспечение обусловленности, законности, современности, оригинальности, точности и целостности электронных записей. Настоящая техническая документация является ресурсом для пользователей систем Agilent OpenLAB CDS версии 2.0, чьи организации обязаны обеспечивать соответствие требованиям указанных нормативных актов. OpenLAB CDS осуществляет управление сбором и обработкой данных ВЭЖХ, ГХ, одноквадрупольными ВЭЖХ-МС и ГХ-МС и АЦ. К обязанностям пользователя и его организации относится обеспечение корректности использования функционала OpenLAB CDS в целях достижения согласованности при выполнении сбора и обработки данных в лаборатории. Помимо технических элементов управления, обеспечиваемых CDS OpenLAB, организация пользователя должна установить процедурные элементы управления — типовые регламенты испытаний — для соблюдения значимых нетехнических требований. Например, необходимо также установить такие элементы управления, как программы внутреннего аудита, для обеспечения выполнения операторами системы требований типовых регламентов испытаний. В Приложении 1 представлено подробное описание способов обеспечения OpenLAB CDS версии 2.0 технической поддержки пользователей и их организаций в соблюдении требований каждого раздела 21 CFR часть 11 и соответствующих разделов Приложения 11 европейского стандарта. В описании предполагается, что доступ к системе, включая аппаратное и программное обеспечение прибора, контролируется персоналом, ответственным за электронные записи, содержащиеся в системе. Таким образом, система разработана как «закрытая система», как определено в Разделе 21 CFR часть 11.3(b)(4). Техническая поддержка по обеспечению соответствия Разделу 21 CFR часть 11 и Приложению 11: Agilent OpenLAB CDS версия 2.0 Техническая документация 2 Атрибуция работы Атрибуция работы означает, «кем, что, когда, где и почему» будет выполняться. В автоматизированных протокол ревизии независимо записываются действия пользователей, таким образом связывая лабораторный персонал с выполняемой им работой. Записи в протоколе ревизии позволяют персоналу и проверяющим инспекторам воспроизводить полную историю электронных записей. • Кем: точно определяет человека, ответственного за конкретное действие, создающее, изменяющее или удаляющее запись. • Что: это действие, которое имеет место, включая, если это возможно, старое значение и новое значение, содержащееся в записи. • Когда: однозначно указывает на дату и время совершения действия. • Где: точно определяет запись, подвергшуюся воздействию. • Почему: объясняет причину изменения подконтрольной записи. Причина зачастую выбирается из списка заранее определенных причин для обеспечения единообразия и возможности поиска и сортировки записей. Соответствие 21 CFR часть 11 21 CFR часть 11 содержит информацию о трех отдельных элементах функционирования подконтрольной лаборатории: • безопасность электронных записей; • атрибуция работы; • электронные подписи (если используются). Безопасность Безопасность может трактоваться следующим образом: «необходимые люди имеют необходимый доступ к необходимой информации». Подконтрольные организации должны иметь возможность подтверждать и идентифицировать пользователей системы и предоставлять доступ в систему исключительно обученным уполномоченным сотрудникам (11.10(d), (i) и (g); 11.100(b)). Поскольку лабораторный персонал имеет различные обязанности в зависимости от своих должностных инструкций, необходимо выполнять сортировку и определение доступа к данным таким образом, чтобы определенные пользователи имели определенные виды доступа к определенным наборам данных, одновременно потенциально обладая другим типом доступа к другим наборам данных. Электронные подписи Несмотря на то, что в 21 CFR часть 11 не требуется использование электронных подписей, в этом документе приведены нормативы по их использованию в том случае, если они все-таки используются. В этом случае система должна обеспечить, что электронные подписи: • неразрывно связаны с соответствующими им записями; • включают в себя полное имя подписанта, дату и время, а также значение или причину подписи (например, проверка, утверждение, ответственность или авторство); • присутствуют там, где отображаются или печатаются подписанные записи. « Первоочередной задачей разделения обязанностей, как принципа безопасности, является предотвращение случаев мошенничества и возникновения ошибок. Эта цель достигается за счет распределения задач и соответствующих полномочий для конкретных бизнес-процессов среди нескольких пользователей». Botha, Eloff, IBM Systems Journal [1] 3 Столбец 2 Для полноты в столбце 2 перечислены все требования 21 CFR часть 11 и прочие сопутствующие общие требования. Под «системой» подразумевается аналитическая система, используемая для сбора и обработки данных. Большинство требований выполняются либо посредством технических элементов управления (т. е. функционал ПО), либо процедурных элементов управления (т. е. типовых регламентов испытаний). Технические элементы управления представляют собой элементы управления, предоставляемые ПО, то есть поставщиком ПО, тогда как за процедурные элементы управления несет ответственность организация пользователя. Требования 21 CFR часть 11, выделенные жирным шрифтом, являются требованиями, относящимися к техническим элементам управления. Другие общие требования напечатаны обычным шрифтом. Требования, относящиеся к процедурным элементам управления, выделены синим Столбец 3 Некоторые требования относятся и к техническим, и к процедурным элементам управления. Ответственность за каждое из требований приведена в столбце 3. «S» относится к поставщику аналитической Приложение 1. Соответствие требованиям, установленным в Разделе 21 CFR часть 11 Управления по санитарному надзору за качеством пищевых продуктов и медикаментов США и соответствующих глобальных нормативных актах с использованием OpenLAB CDS версии 2.0. Приложение 1 Таблица: Примечания Столбец 1 В таблице описываются требования 21 CFR часть 11 в том порядке, в котором они представлены в справочном документе Управления по санитарному надзору за качеством пищевых продуктов и медикаментов США. [2] Сопутствующие требования, например те, которые содержатся в Приложения 11 европейского стандарта [3], соответствуют каждому из разделов части 11. системы. «U» относится к организации пользователя. Строки, содержащие требования, которые должны относиться исключительно к организации пользователя, выделены синим . Синим также могут быть выделены технические элементы управления, за внедрение которых будет нести ответственность пользователь. Столбец 4 При наличии и необходимости сопутствующие общие требования и комментарии представлены в столбце 4. Столбец 5 В столбце 5 посредством отметок «да» и «нет» указывается, будут ли удовлетворены требования при использовании технических элементов управления OpenLAB CDS версии 2.0. «Не прим.» означает неприменимость к CDS. Столбец 6 В столбце 6 поясняется, как могут быть удовлетворены нормативные требования при использовании технических элементов управления OpenLAB CDS версии 2.0. В столбце 6 также при необходимости приводятся дополнительные рекомендации к организации пользователя. 1. Валидация Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация? Часть 11 11.10(a) 1.1 Была ли выполнена валидация системы для обеспечения точности, надежности, единообразия запланированной работы и возможности различать недействительные и измененные записи? S, U Требуется всеми нормативными актами. Это характерный пример разделения ответственности между поставщиком системы и организацией пользователя. Хотя на организации пользователя лежит полная ответственность за валидацию, некоторое задачи могут и должны быть выполнены исключительно поставщиком ПО, например действия по валидации во время разработки и составление сопутствующей документации. Да Компания Agilent Technologies выполнила обширную проверку производительности OpenLAB CDS версии 2.0 с применением испытаний для оценки точности, надежности и единообразия работы. Однако организация пользователя обязана выполнить валидацию своей аналитической системы в соответствии с нормативами. Относительно Agilent OpenLAB CDS к «подконтрольным записям» относятся следующие: • Параметры настройки прибора • Методы сбора данных • Собранные данные • Методы анализа • Результаты анализа • Шаблоны отчетов • Шаблон последовательности • Выполненная последовательность • Соответствующие протокол ревизии и электронная подпись OpenLAB CDS проверяет и обобщает эти записи с целью поиска «недействительных и измененных записей». При обнаружении недействительных и измененных записей отображается ошибка и пользователь не может открыть файлы. Приложение 11 1.2 Аттестована ли инфраструктура? U Приложение 11 Положение B Бразилия GMP 577 Не прим. Аттестация таких инфраструктур, как серверы и сети, является обязанностью организации пользователя. 4 2. Точность копирования и безопасность хранения и поиска записей Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(b) 2.1 Может ли система формировать точные и полные копии записей как в читаемой, так и в электронной форме, подходящей для проверки, анализа и копирования Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США? S Да Записи доступны в печатной версии или в электронной версии в виде файла PDF. Приложение 11 2.2 Можно ли получить чистые печатные копии электронных записей? S Приложение 11.8.1 Бразилия GMP 583 Да Записи доступны в печатной версии или в электронной версии в виде файла PDF. Бразилия 2.3 Обеспечивают ли эти элементы управления должное выполнение процессов резервного копирования данных, поиска и технического обслуживания? S, U Бразилия 585.2 Да Несмотря на то, что резервное копирование данных является обязанностью организации пользователя, система OpenLAB CDS разработана таким образом, чтобы обеспечивать резервное копирование значимых файлов. Часть 11 11.10(c) 2.4 Защищает ли система записи, чтобы обеспечить их точное и своевременное извлечение в ходе всего периода хранения? S, U Китай GMP 163 Да Все необработанные данные, метаданные и результаты, сформированные CDS OpenLAB, хранятся в защищенном расположении. За физическую безопасность (управление физическим доступом к рабочим станциям и серверам) несет ответственность организация пользователя. Приложение 11 2.5 Проверяются ли данные во время архивации на доступность, читаемость и целостность? U Приложение 11.17 Не прим. Организация пользователя несет ответственность за обеспечение проверки данных во время архивации на доступность, читаемость и целостность. Приложение 11 2.6 Выполняется ли проверка возможности поиска и испытания данных при внесении существенных изменений в систему (например, компьютерное оборудование и программы)? S, U Приложение 11.17 Да Система разработана таким образом, чтобы считывать данные с традиционных версий CDS OpenLAB. Организация пользователя несет ответственность за обеспечение читаемости этих данных во время процессов их внедрения и валидации. Приложение 11 2.7 Защищены ли данные физически и электронно от повреждения? S, U Приложение 11.7.1 Бразилия GMP 584 Да Все необработанные данные, метаданные и результаты, сформированные системой, хранятся в защищенном расположении. За физическую безопасность несет ответственность организация пользователя. 5 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Клиническое руководство 2.8 Внедрены ли элементы управления, обеспечивающие восстановление электронного источника / необработанной документации для проверки (клинических) исследований и результатов лабораторных испытаний Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США? S Клиническое руководство для ПО F2 Контроль качества Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США Да Все необработанные данные хранятся в безопасном хранилище, что позволяет при необходимости восстанавливать результаты лабораторных испытаний. Клиническое руководство 2.9 Полностью ли информация, предоставляемая Управлению по санитарному надзору за качеством пищевых продуктов и медикаментов США, описывает и объясняет получение и управление исходными/ необработанными данными и использование электронных записей для получения данных? U Клиническое руководство для ПО F2 Контроль качества Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США Не прим. Организация пользователя несет ответственность за описание и объяснение получения и управления исходными/необработанными данными и использования электронных записей для получения данных? Приложение 11 2.10 Позволяет ли система регулярно выполнять резервное копирование всех значимых данных? S Приложение 11.7.1 Китай GMP 163 Бразилия GMP 585 Часть 211, 68 b Да Несмотря на то, что резервное копирование данных является обязанностью организации пользователя, система OpenLAB CDS разработана таким образом, чтобы обеспечивать резервное копирование значимых файлов. Приложение 11 2.11 Регулярно ли выполняется проверка, контроль и мониторинг целостности и точности резервных данных, а также возможности их восстановления? U Приложение 11.7.2 Китай GMP 163 Бразилия GMP 585 Часть 211, 68 b Не прим. Несет ли организация пользователя ответственность за обеспечение целостности и точности резервных данных, периодические проверки, валидацию и мониторинг восстановленных данных? Клиническое руководство для ПО 2.12 Имеются ли процедуры и элементы управления для предотвращения изменения, просмотра, составления запросов и отчетов по данным через внешние приложения, не проходящие через ПО защитной системы? S, U Клиническое руководство для ПО E Да OpenLAB CDS версии 2.0 имеет предварительные настройки, включающие услуги FTP, способствующие выполнению операций с большим объемом данных. В связи с присущими услугам FTP ограничениями разрешения могут не согласовываться с разрешениями, даваемыми в CDS. Поэтому компания Agilent рекомендует отключение услуг FTP при отсутствии необходимости в них. Для получения дополнительной информации см. Руководство администратора. Клиническое руководство для ПО 2.13 Внедрены ли элементы управления для предотвращения, обнаружения и снижения влияния компьютерных вирусов, червей и другого потенциально опасного для данных исследований и программного обеспечения программного кода? S, U Клиническое руководство для ПО F Да Компания Agilent выполнила испытание OpenLAB CDS версии 2.0 совместно со стандартными для отрасли антивирусными приложениями. Однако за внедрение антивирусного программного обеспечения несет ответственность организация пользователя. 3. Разрешенный доступ к системам, функциям и данным Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(d) 3.1 Имеют ли доступ к системе только уполномоченные лица? S, U Китай GMP 183 163 Бразилия GMP 579, ICH Q7.5.43 Да Каждый пользователь идентифицируется по уникальному сочетанию идентификатора и пароля. Для доступа в систему требуется ввод и того, и другого. 3.2 Имеет ли каждый пользователь однозначную идентификацию, например посредством его/ее идентификатора пользователя и пароля? S, U Несколько предупреждающих писем Да Каждый пользователь идентифицируется по уникальному сочетанию идентификатора и пароля. Для доступа в систему требуется ввод и того, и другого. Клинические испытания 3.3 Имеются ли элементы управления для сохранения общей записи, в которой приводятся для любого момента времени имена уполномоченного персонала, их должности и описание их разрешений на доступ? S, U Клиническое руководство для ПО 4 Да OpenLAB CDS может определять подлинность пользователей посредством домена Windows или локально в самом приложении. Разрешения на доступ заданы в приложении, и все изменения записываются в журнал производимых операций. Доступны отчеты, в которых указаны индивидуальные и унаследованные групповые разрешения на доступ пользователей. Эти отчеты нужны организациям, в которых требуется проведение периодических проверок безопасности. 2. Точность копирования и безопасность хранения и поиска записей продолжение 6 4. Электронный протокол ревизии Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(e) 4.1 Имеется ли защищенный, формируемый компьютером протокол ревизии с временными метками для независимой регистрации времени и даты введения данных, а также действий по созданию, изменению и удалению электронных записей? S Китай GMP 163 Да Все действия пользователя записываются в защищенных, формируемых компьютером протокола ревизий с временной меткой. Протоколы ревизии создаются для всех результатов, методов и последовательностей. Нормативы надлежащей лабораторной практики Управления по санитарному надзору за ка- чеством пище- вых продуктов и медикамен- тов США 4.2 Указывается ли в записях протокола ревизийпротокола ревизии , кто внес какие изменения, когда и почему? S Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США 21 CFF 58.130 e Клиническое руководство для ПО 2 Исходные клинические данные 3 Да В протокол ревизии входит идентификатор пользователя, дата и время внесения изменений, а также исходные и конечные значения с указанием причины внесения изменений. Приложение 11 4.3 Может ли система формировать распечатки с информацией о том, были ли внесены изменения в электронные записи с момента создания исходной записи? S Приложение 11, 8.2 Нет Это требование не поддерживается в OpenLAB CDS версии 2.0. Изменения, вносимые в подконтрольные записи, записываются в протоколах ревизии. Нормативы надлежащей производствен- ной практики Управления по санитарному надзору за ка- чеством пище- вых продуктов и медикамен- тов США 4.4 Входят ли в протокол ревизии изменения, внесенные в установленный метод, применяемый в испытаниях? 4.5 Входят ли в такие записи причины внесения изменений? S Часть 211.194 8b Да Методики имеют полные протоколы ревизий , включая причину внесения в методику изменений. 4.6 Настроена ли функция протокола ревизии протокола ревизии таким образом, чтобы быть постоянно включенной, и может ли она быть отключена пользователями системы? S, U Предупреждающее письмо Да После активации протоколов ревизиидля проекта ни один из пользователей не сможет их деактивировать. Приложение 11 4.7 Доступен ли протокол ревизии в понятной форме для регулярного просмотра? S Приложение 11, 9 Да Журналы аудита легко доступны в настраиваемом средстве просмотра, доступ к которому можно получить из центрального расположения. В средстве просмотра протокола ревизии протокола ревизии указывается, какие записи протокола ревизии протокола ревизиипросматривались. 4.8 Может ли содержимое протокола ревизии протокола ревизии быть настроено таким образом, чтобы записывались только существенные действия для обеспечения целесообразности и предметности просмотра информации о протоколе ревизии? S В неявном виде требуется Приложением 11, с многочисленными предупреждающими письмами, связанными с просмотром протокола ревизии . Да OpenLAB CDS версии 2.0 позволяет фильтровать протокол ревизиипред отображением его содержимого согласно предпочтениям пользователя, просматривающего информацию. Часть 11 11.10(e) 4.9 Остается ли ранее записанная информация без изменений при изменении записей? S Да Изменения хранятся в качестве новых поправок к оригиналу, остающемуся без изменений. Во время выбора результатов для дальнейшей обработки или создания отчетов версия использованного результата может выбираться пользователем (на основании разрешений). Часть 11 11.10(e) 4.10 Сохраняется ли информация протокола ревизии протокола ревизиив течение периода времени не менее требуемого для соответствующей электронной записи? S, U Да Информация протокола ревизии протокола ревизиихранится в электронной записи и не может быть отделена от нее. 7 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(e) 4.11 Доступен ли протокол ревизиидля просмотра и копирования Управлением по санитарному надзору за качеством пищевых продуктов и медикаментов США? S Да Протоколы ревизии доступны для просмотра и печати. Приложение 11 4.12 Можно ли получить чистые печатные копии электронных записей (например протокола ревизии )? S Приложение 11, 8.1 Да Протоколы ревизии доступны для просмотра и печати. 5. Проверки работы и устройств Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(f) 5.1 Могут ли по необходимости проводиться проверки операционной системы для внедрения разрешенной последовательности шагов и мероприятий? S Да Система поддерживает стандартный хроматографический рабочий процесс, в котором за одним шагом неизбежно следует другой: 1. Сбор измерений 2. Идентификация пиков 3. Определение площади пика 4. Определение количества каждого присутствующего материала с применением калибровки 5. Настраиваемые вычисления, хранящиеся в качестве части записи 6. Создание отчетов Часть 11 11.10(g) 5.2 Имеют ли место проверки полномочий, гарантирующие, что использовать систему, ставить электронную подпись, получать доступ к работе или входным и выходным устройствам компьютерной системы, изменять записи и выполнять текущие действия могут только авторизованные пользователи? S Часть 211, 68 b Да Система поддерживает настраиваемые пользовательские роли, которые осуществляют детальное управление доступом в систему. Доступ может быть отсортирован и определен таким образом, что определенные пользователи имеют определенные виды доступа к определенным видам наборов данных, одновременно имея другой вид доступа к другим видам наборов данных. 5.3 Ведет ли система запись идентификаторов операторов, вводящих, изменяющих, подтверждающих или удаляющих данные, включая дату и время? S Приложение 11, 12.4 Да Личность операторов, выполняющих действия в системе, записывается и в протокол ревизии, и в журнал производимых операций. Часть 11 11.10(h) 5.4 Разрешает ли система применение проверок устройств для определения соответствующим образом действительности источника входных данных или рабочей инструкции? S Существует две равнозначные интерпретации этого требования. Системы должны быть разработаны таким образом, чтобы выполнялось следующее: 1. Правильное сообщение установлено между компьютером и «источником» входных данных (т. е. прибором) перед передачей инструкций к «источнику» или данных от «источника». 2. Подконтрольные записи, создаваемые системой, должны однозначно указывать на «источник» данных (т. е. какой инструмент или компонент сформировал данные). Частично 1. Система создана для непрерывного обеспечения действующего соединения между прибором и компьютерной рабочей станцией. 2. Идентификация определенных компонентов оборудования, например, блока системы ВЭЖХ и приборов МС, не поддерживается OpenLAB CDS версии 2.0 и поэтому не обозначена в электронных записях как источник данных. 4. Электронный протокол ревизии продолжение 8 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.10(i) 5.5 Существует ли задокументированное доказательство того, что лица, разрабатывающие, обслуживающие и использующие системы электронной записи или электронной подписи, имеют образование, квалификацию и опыт, необходимые для выполнения назначенных им заданий? U Китай GMP 18 Бразилия 571 Не прим. За хранение задокументированного доказательства того, что лица, разрабатывающие, обслуживающие и использующие системы электронной записи и электронной подписи, имеют образование, квалификацию и опыт, необходимые для выполнения назначенных им заданий, несет ответственность организация пользователя. Программисты компании Agilent, принимающие участие в разработке CDS OpenLAB, проходят обучение в области значимых аспектов целостности данных. Часть 11 11.10(j) 5.6 Существуют ли письменные правила, в которых устанавливается ответственность отдельных лиц за действия, начатые на основании их электронных подписей, в целях выявления фальсификации записей и подписей? U Не прим. Организация пользователя несет ответственность за введение письменных правил (типового регламента испытаний), в которых устанавливается ответственность персонала за действия, начатые на основании их электронных подписей. 5.7 Проходили ли сотрудники обучение в рамках этой процедуры? U Неявное требование Части 11 11.10(j) Не прим. Несет ли ответственность организация пользователя за обучение персонала? Часть 11 11.10(k) 5.8 Имеются ли подходящие элементы управления документацией систем, включая следующие: (1) Подходящие элементы управления распределением, доступом и использованием документации по работе и техническому обслуживанию системы. (2) Проверка и изменение процедур управления для ведения протокола ревизии , в котором указывается последовательность разработки и изменения документации системы. U Китай GMP 161 Не прим. Организация пользователя несет ответственность за введение документации систем. Часть 11 11.10(i) 5.9 Выполняется ли проверка и изменение процедур управления для ведения протокола ревизии, в котором указывается последовательность разработки и изменения документации системы? S, U Да Компания Agilent продолжает разработку и испытание документации для CDS OpenLAB. Эта документация доступна для просмотра пользователями по запросу. Организация пользователя должна вести документацию своей системы и сопутствующих изменений на месте. 6. Целостность данных, точность даты и времени Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Приложение 11 6.1 Входят ли в компьютеризированные системы электронного обмена данными с другими системами соответствующие встроенные проверки на точность и защищенность записей и обработки данных? S Приложение 11.5 Не прим. В этом контексте OpenLAB CDS не обменивается данными с другими системами. 5. Проверки работы и устройств продолжение 9 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Приложение 11 6.2 Имеет ли место дополнительная проверка точности данных? Эта проверка может проводиться вторым оператором или прошедшими валидацию электронными средствами. S, U Приложение 11-6 Бразилия GMP 580 ICHQ7-5.45 В контексте этого нормативного акта OpenLAB CDS не обменивается данными с другими системами. Клиническое руководство для ПО 6.3 Установлены ли элементы управления, обеспечивающие правильность даты и времени системы? S, U Клиническое руководство для ПО D.3 Да Компания Agilent рекомендует настроить систему таким образом, чтобы получать данные с сервера времени для обеспечения точности даты и времени системы. Это настроено и управляется операционной системой. Клиническое руководство для ПО 6.4 Могут ли дата и время меняться исключительно уполномоченным персоналом, и уведомляется ли этот персонал в том случае, если обнаруживается несоответствие даты или времени системы? S Клиническое руководство для ПО D.3 Да Обычно это касается только системного администратора. Это настроено и управляется операционной системой. Клиническое руководство для ПО l 6.5 Применяются ли в системах, охватывающих различные часовые пояса, метки времени с точным определением принадлежности к часовому поясу? S, U Клиническое руководство для ПО D.3 Нет Это требование не поддерживается в OpenLAB CDS версии 2.0. Все данные по времени хранятся в формате Всемирного координированного времени (UTC) / Среднего гринвичского времени (GMT) и отображаются в формате местного времени используемого компьютера. 7. Управление открытыми системами (применимо только для открытых систем) Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.30 7.1 Имеются ли процедуры и элементы управления, созданные для обеспечения подлинности, целостности и должной конфиденциальности электронных записей с момента создания до момента получения? S, U Не прим. OpenLAB CDS не предназначена для применения в качестве «открытой» системы согласно 21 CFR Часть 11.3(b)(9). Часть 11 11.30 7.2 Существуют ли дополнительные меры, например кодировка документа и использование соответствующих стандартов цифровой подписи, для обеспечения необходимых при некоторых обстоятельствах подлинности, целостности и конфиденциальности записи? S Не прим. OpenLAB CDS не предназначена для применения в качестве «открытой» системы согласно 21 CFR Часть 11.3(b)(9). 6. Целостность данных, точность даты и времени продолжение 10 8. Электронные подписи — реализация подписи и связь между подписью и записью Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Приложение 11 8.1 При использовании электронных подписей имеют ли они такую же значимость, что и рукописные в пределах компании? Связаны ли они неразрывно с соответствующей записью? Включают ли они в себя время и дату своего применения? S, U Приложение 11.14 ICH Q7.6.18 Да Организация пользователя должна официально установить значимость электронных подписей. Подписи неразрывно связаны с соответствующими записями, в которые может входить конечный отчет. В подписанных электронных записях указывается имя и фамилия подписанта, дата, время и значение подписи. Часть 11 11.50(a) 8.2 Содержат ли подписанные электронные записи информацию, связанную с подписанием, в которой ясно указывается следующее: (1) Имя и фамилия подписанта (2) Дата и время подписи (3) Значение подписи (например, проверка, утверждение, ответственность и авторство)? S Да В подписанных электронных записях указывается имя и фамилия подписанта, дата, время и значение подписи. Часть 11 11.50 (b) 8.3 Относятся ли элементы, указанные в пунктах (a)(1), (a) (2) и (a)(3) этого раздела, к тем же элементам управления, что и электронные записи, и входят ли они в читаемый вид электронной записи (например, электронный вариант распечатки)? S Да Все компоненты электронной подписи отображаются и печатаются. Часть 11 11.70 8.4 Связаны ли все электронные и рукописные подписи с соответствующими электронными записями для обеспечения невозможности удаления, копирования или иного перенесения с целью фальсификации электронной записи традиционными способами? S Да Электронные подписи вставлены в результаты. Часть 11 Преамбула 8.5 Существует ли автоматическая функция отключения отдельных пользователей, принудительно осуществляющая «выход» в том случае, если в течение определенного короткого промежутка времени не выполнялось никаких действий? S Часть 11 Преамбула раздел 124 Да Автоматическая блокировка сеанса позволяет организации пользователя настроить время, после которого будет автоматически осуществлен выход пользователя. 11 9. Общие требования к электронным подписям, компоненты и элементы управления подписи Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.100(a) 9.1 Является ли каждая электронная подпись уникальной, принадлежащей отдельному лицу, и может ли она использоваться повторно или быть передана кому-то другому? S, U Да Каждый пользователь имеет уникальные учетные данные и, следовательно, уникальную подпись, которая не может применяться другим пользователем. Часть 11 11.100(b) 9.2 Проверяет ли организация личность сотрудника перед тем, как установить, назначить, сертифицировать или иным образом санкционировать электронную подпись сотрудника или ее элемент? U Не прим. В обязанности организации входит проверка личности сотрудника перед тем, как установить, назначить, сертифицировать или иным образом санкционировать электронную подпись сотрудника или ее элемент. Часть 11 11.100(c) 9.3 Могут ли электронные подписи до и во время их использования сертифицированные в агентстве, внесшем электронные подписи в свою систему, начиная с 20 августа 1997 года, официально приравниваться к традиционным рукописным подписям? 9.4 Предоставляют ли лица, использующие электронную подпись, по запросу агентства дополнительную сертификацию или свидетельство того, что электронная подпись официально приравнивается к рукописной? U Не прим. В обязанности организации пользователя ходит проверка соответствия этим требованиям электронных подписей, используемых персоналом. Часть 11 11.200(a) (1) 9.5 Используются ли в электронных подписях, не основанных на биометрике, как минимум два определенных компонента идентификации, например идентификационный код и пароль? S, U Да Для создания электронной подписи требуется учетная запись (идентификатор пользователя) и пароль. Часть 11 11.200(a) (1) (i) 9.6 При проставлении сотрудником серии электронных подписей в течение одного продолжительного промежутка времени управляемого системой доступа используются ли при создании первой подписи все компоненты электронной подписи? S Да Для создания всех электронных подписей требуется учетная запись (идентификатор пользователя) и пароль. Часть 11 11.200(a) (1) (i) 9.7 При проставлении сотрудником серии электронных подписей в течение одного продолжительного промежутка времени управляемого системой доступа создаются ли последующие подписи с применением как минимум одного компонента электронной подписи, который предназначен исключительно для применения этим сотрудником? S Да Для создания всех электронных подписей требуется учетная запись (идентификатор пользователя) и пароль. Часть 11 11.200(a) (1) (ii) 9.8 При проставлении сотрудником одной или нескольких электронных подписей не в течение одного продолжительного промежутка времени управляемого системой доступа используются ли при создании каждой подписи все компоненты электронной подписи? S Да Для создания всех электронных подписей требуется учетная запись (идентификатор пользователя) и пароль. Часть 11 11.200(a) (2) 9.9 Имеются ли элементы управления, обеспечивающие использование электронных подписей, не основанных на биометрике, исключительно их подлинными владельцами? S Да Для создания всех электронных подписей требуется учетная запись (идентификатор пользователя) и пароль. 12 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.200(a) (3) 9.10 Выполняется ли администрирование и создание электронных подписей таким образом, чтобы обеспечить необходимость участия в попытке несанкционированного использования электронной подписи двух и более лиц? S, U Да Неправомерное использование электронных подписей лицами, отличными от их владельцев, потребует целенаправленного сотрудничества пользователя и системного администратора. Часть 11 11.200(b) 9.11 Созданы ли электронные подписи, основанные на биометрике, таким образом, чтобы обеспечить невозможность их использования никем иным, кроме подлинных владельцев? S Не прим. Биометрическая проверка подлинности не поддерживается в OpenLAB CDS версии 2.0. 10. Элементы управления для идентификационных кодов и паролей Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.300(a) 10.1 Имеются ли элементы управления для сохранения уникальности каждого объединенного идентификационного кода и пароля, таким образом, чтобы не было двух лиц с одинаковой комбинацией идентификационного кода и пароля? S, U Да OpenLAB CDS не разрешает дублировать идентификационные номера пользователей. Часть 11 11.300(b) 10.2 Имеются ли элементы управления, обеспечивающие периодическую проверку, отзыв и пересмотр выдачи идентификационных кодов и паролей (например, чтобы компенсировать такие события, как устаревание пароля)? S, U Да Истечение срока действия пароля может настраиваться и в системах, основанных на локальных учетных записях, и в системах, защита которых основана на домене Windows. Организация пользователя должна настроить истечение срока действия пароля на основании документированной оценки рисков. Часть 11 11.300(c) 10.3 Имеются ли процедуры для электронной отмены авторизации потерянных, украденных, пропавших или иным образом потенциально нерабочих токенов, карточек и иных устройства, которые несут в себе или формируют информацию об идентификационном коде или пароле, и для создания временных или постоянных замен с применением подходящих надежных элементов управления. U Не прим. Организация пользователя несет ответственность за введение этих процедур. Часть 11 11.300(d) 10.4 Имеют ли место средства защиты передачи данных для предотвращения несанкционированного использования паролей и (или) идентификационных кодов и для обнаружения и немедленного уведомления блока системы безопасности и, соответственно, руководства организации, о несанкционированном использовании? U Не прим. Организация пользователя несет ответственность за введение этих средства защиты передачи данных. 9. Общие требования к электронным подписям, компоненты и элементы управления подписи продолжение 13 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Часть 11 11.300(e) 10.5 Имеются ли элементы управления для начального и периодического испытания таких устройств, как токены и карты, которые несут в себе или формируют информацию об идентификационном коде или пароле для обеспечения их корректного функционирования и во избежание их несанкционированного изменения? U Не прим. Организация пользователя несет ответственность за установку элементов управления для начального и периодического испытания устройств для обеспечения их корректного функционирования и во избежание несанкционированного изменения. 11. Разработка системы и техническая поддержка Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? Приложение 11 11.1 Выполнялась ли разработка ПО или системы в соответствии с положениями системы управления качеством? S, U Приложение 114,5 Бразилия GMP 577 Надлежащая автоматизированная производственная практика Имеет место разделение ответственности между поставщиком системы и организацией пользователя. Пользователь должен потребовать от поставщика предоставления документированных доказательств того, что ПО разрабатывалось в инфраструктуре системы управления качеством. Да Система OpenLAB CDS разработана в рамках стандарта управления качеством ISO 9001 (см. раздел 2.2 Руководства по качеству LSCA по адресу agilent.com/quality). Бразилия 11.2 Существует ли официальное соглашение, в рамках которого поставщик ПО передает субподрядчику работы по установке и техническому обслуживанию ПО? Включен ли в соглашение пункт об ответственности подрядчика? S, U Brazil GMP 589 Имеет место разделение ответственности между поставщиком системы и организацией пользователя. У поставщика должно быть такое соглашение с подрядчиком, а пользователь должен убедиться в наличии этого соглашения. Да Компания Agilent требует заключения официальных соглашений со всеми поставщиками. (см. раздел 7.4 Руководства по качеству LSCA, размещенного по адресу agilent. com/quality). 10. Элементы управления для идентификационных кодов и паролей продолжение 14 Часть 11 и другие Требование S, U Другие сопутствующие нормативные акты и комментарии да/нет Если да, то как конкретно удовлетворяется требование при использовании CDS OpenLAB? Если нет, то какова рекомендация пользователям? ICH Q10 11.3 В случае применения аутсорсинга (разработки и технической поддержки) существует ли письменное соглашение между контрактодателем и подрядчиком? S, U ICHQ10, 2.7 c Да Компания Agilent требует заключения официальных соглашений со всеми поставщиками (см. раздел 7.4 Руководства по качеству LSCA по адресу agilent.com/ quality). ICH Q10 11.4 Определены ли ответственность и способы связи для мероприятий по управлению качеством вовлеченных сторон (подрядчиков)? S, U ICHQ10, 2.7 c Да Компания Agilent определяет ответственность поставщиков (см. раздел 7.4 Руководства по качеству LSCA по адресу agilent.com/quality). Часть 11 11.10(i) 11.5 Прошел ли обучение персонал, занимающийся разработкой и технической поддержкой ПО? S, U Имеет место разделение ответственности между поставщиком системы и организацией пользователя. Поставщик должен обеспечить обучение собственного персонала, а пользователь должен иметь гарантию, например в виде аудитов, что разработчики ПО прошли обучение и это обучение задокументировано. Да Весь персонал компании Agilent обязан проходить обучение (см. раздел 6.0 Руководства по качеству LSCA по адресу agilent.com/quality). 11. Разработка системы и техническая поддержка продолжение 15 3. European Commission Health and Consumers Directorate-General. Public Health and Risk Assessment. Pharmaceuticals. EudraLex. The Rules Governing Medicinal Products in the European Union. Volume 4. Good Manufacturing Practice. Medicinal Products for Human and Vetrinary Use. Annex 11. Computerised Systems. [Online] http://ec.europa. eu/health/files/eudralex/vol-4/ annex11_01-2011_en.pdf (accessed November 4, 2015). Литература 1. R. A. Botha and J. H. P Eloff. Separation of duties for access control enforcement in workflow environments. IBM Systems Journal – End-to-end security. 40 (3), 666-682. (2001). 2. U.S. Food and Drug Administration. CFR - Code of Federal Regulations Title 21. Title 21—Food and Drugs, Chapter I—Food and Drug Administration Department of Health and Human Services, Subchapter A—General. Part 11 Electronic Records; Electronics Signatures [Online] https://www.accessdata. fda.gov/scripts/cdrh/cfdocs/ cfcfr/CFRSearch.cfm?CFRPart=11 (accessed November 4, 2015). www.agilent.com/chem/OpenLAB Информация может быть изменена без предупреждения. © Agilent Technologies, Inc., 2016 Напечатано в США 27 января 2016 г. 5991-6492RU |