收录 被收录2次
设备工程 信息与⾃动化

Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7

信息安全 - 信息化系统的合规基石
评分 评分评分评分评分评分
阅读 1155 收藏 10 赞同 6
手机端查看
使用微信 “扫一扫” 即可在手机上查看
1.背景
随着ERPMESLIMSeDMS
但是正如一枚硬币具有两面:新技术同时滋生着新型威胁-网络安全危机。参考先前网络安全事故新闻不断的金融,银行,保险行业一样;网络病毒,黑客入侵,商业间谍等等来自网络的威胁也开始引起各国监管机关和ISPE等机构的注意。
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
图一:2017年爆发的WannaCry勒索病毒和早年中国大面积流行的熊猫烧香病毒都是 网络感染-》锁定-》勒索金钱-》解锁 的牟利方式
2.现实与困境
但是对于一个可能是集中了全人类最多doctor的医药制造研发行业,这次网络信息化的技术升级却同样面临人才难觅的窘境。
现实:Quality Unit作为GMP的监管方,监管机构会要求其需要确保网络安全措施在GxP系统中设计足够且运行得当但是Quality Unit的人一般不会有系统管理员的权限和知识储备ISMS – Information Security Management System
困难:GxP系统本身的开发与实施由IT部门或供应商完成同时该ISMS人士,必须有足够GMP知识储备以配合Quality Unit
3.网络安全对GxP合规的意义和手段
针对数据完整性Data Integrity和系统本身的安全缺陷system vulnerabilities, ISACA*等机构定义网络安全Cybersecurity的作用为:
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
*Information Systems Audit and Control Association国际信息系统审计协会
4.网络安全在GxP系统的实现路径
那么如何在GxP系统中实现网络安全,满足监管机构的要求呢?实现路径如下图:
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
图三:为了实现GxP系统的网络安全,需要企业从人员结构,IT设施和风险管理三方面着手
4.1 GxP系统网络安全 - 人员结构
根据国际惯例,ISMS人员的核心职责是监督和参与IT工作与组织的建立,确保其能充分支持企业QMS的需求的同时,公司的信息安全要求得以充分遵守。ISMS人员必需平衡业务拓展需求和网络安保限制,所有一般ISMS人员职责包括:•IT管理框架•信息化战略•企业架构•合规性•人力资源•关系 (公司内)•服务协议(供应商)
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
图四:一个企业内的ISMS信息安全管理人员,多具有IT知识背景,监督IT的工作同时,和QualityUnit 质量部门人士合作,保障GxP系统的正常运转和数据完整性
4.2 GxP系统网络安全 - IT基础设施确认
关于监管机构对GxP系统IT基础设施的要求(Requirements of IT Infrastructure Qualification),收集总结如下:GxP的网络访问途径必须有一个受过验证的认证机制来控制访问权限[EU Annex 11-12.1]GxP网络的用户账户管理的流程必须有对应SOP及相关申请表,且由受过相关培训的系统管理人员(一般是系统所有者 IT)执行;系统管理的相关技术文件,人员培训,运维SOP以及纸质证据都是检查的重点[EU Annex 11-2]流程控制 – 定义了网络安全如何被管理,应该被建立和书面化。网络用户也必须完成对应网络安全章程,标准和流程的培训[21 CFR Part11.10(i)]网络用户管理是关键控制流程;它包括用户权限的新增,修改和移除[EU Annex 11-12.3],举例:其申请应由用户部门经理(流程所有者 )批准,并有完善的文件记录保存,最终上传给系统管理员完成对应用户管理操作ISMS应有相应流程管理临时授权某一个GxP系统的临时访问权限/远程访问权限[21 CFR Part 11.10(d)];举例:譬如供应商远程访问/现场来整改GxP系统,如何申请账号,账号命名规则是怎么样,怎样写记录等 – 这些都应该提前考虑当某个用户离职时,ISMS必须存在某一个机制:在此人正式离开之前,成功通知系统管理员[EU Annex 11-12.3] 举例:该机制需要满足:1,成功及时通知系统管理;2,成功冻结/禁用该用户涉及所有系统的账号系统应有一个机制去日常监控网络访问情况,并有应急流程去处理发现的网络非常访问/入侵[EU Annex 11-13] 举例:对应措施包括 – 事先防止:系统检测并锁定连续3次登入失败的账号;事后调查:定期回顾审计追踪记录,调查异常信息所有网络安全管理员的操作必须有记录,可追溯。举例:纸质操作日志,电子审计追踪,变更申请,用户申请等;相较于成熟的生产,QC操作员的GDP意识,系统ISMS管理员多为IT人员,可能 GDP意识并不强;人员要有培训,操作前要申请批准,操作中要写操作日志(纸质本或者电子审计追踪备注)等等 – 这些都会被EU和FDA检查员挑战系统的远程访问行为要受管控:权限限制可以限定可接触数据范围,陪同者制度可以确保供应商工程师行为受控,专业远程软件可以保证公司数据,应用与网络安全。带时间戳的审计追踪功能必须监控网络安全管理员修改电子数据的相关行为,并产生对应审计追踪记录[EU Annex 11-9]网络服务器时间不得被未授权人员非法修改[21 CFR Part11.10[d]] 举例:建议采取技术手段:如权限隔离-仅系统管理员可以修改时间 或者是连入世界服务器时间统一
4.3 GxP系统网络安全 - 风险管理
对于网络安全的风险管理,主要参考Confidentiality保密性, Integrity完整性 Availability可用性 – “CIA”三要素。
系统的安全级别SC(Security Category),是基于数据类别,设施评估,可能面临威胁大小以及系统本身的影响评估等的综合考量。评估公式如下
SC = {(confidentiality, impact), (integrity, impact),(availability, impact)}
如上,NIST*因此建议某个系统的网络安全风险等级由其CIA三要素中的风险最高一项所决定;
所以类比GAMP5, EU GMP Annex11 和 21 CFR Part11 对计算机化系统的风险管理方法,GxP系统的网络安全风险管理方法也遵循着:
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
*National Institute of Standards and Technology,NIST 美国国家标准与技术研究院
同时由于医药信息化系统诸如ERP,E-order等系统常常用于安排和监控位于不同国家和地区的工厂和职员工作,系统日常工作也可能使用和存储了大量顾客的私隐信息(如送货地址,订货电话等);所以在设计网络安全需求时,需要特别关注不同国家和地区对PII( personally identifiable information 个人鉴别信息)的法规要求,例如GDPR等;同时清晰地了解从客户收集了PII信息后,所有经手的和最终存储的网络系统和IT基础设施,做好加密保密工作,避免触发私隐保护条例。
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
图五:新闻截图 - 欧盟GDPR法案生效后,以滥用用户数据为由,向谷歌和脸书罚款76亿美元
5.结语
随着网络安全威胁的频率和强度不断增加,与此同时医药界越来越多地引入网络信息化系统,指南机构跨界合作 - 如ISACA和ISPE之间的合作将在理解生命科学界在网络时代面临的譬如网络安全,信息保护等诸多挑战的准备工作向前迈出一大步。
作为计算机化系统合规人员,我们的目标是学习从IT专业角度分析系统网络化,数据信息化这一趋势对GMP合规的新影响。灵活使用GAMP 5,明确ISMS在CSV验证和日常使用阶段的作用,以更具包容性的方式应对GxP相关系统和数据的风险。
未完待续,持续更新!
《大侠科普Pharm 4.0》系列科普:
1.PLC,SCADA及DCS – 工业自控的基础
2.全流程信息化追溯系统-药品监管码vs药械UDI
3.MES – 制造业工业软件的灵魂
4.Cloud Service - 云服务如何保障合规
5.IT Infrastructure - IT基础设施的设计与管理学习视频需GMP办公室公众号会员
6.LIMS - 实验室信息化典型代表系统
7.Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7
发布于 2021-12-24 15:12:19 © 著作权归作者所有
评分
评论
6
收藏
更多