21 CFR Part 11 Whitepaper WinCC
Transcription
21 CFR Part 11 Whitepaper WinCC
01/2008 GMP-Engineering Handbuch Compliance Response Ausgabe 07/2009 SIMATIC WinCC V7.0 SIMATIC WinCC Konformitätserklärung Elektronische Aufzeichnungen Elektronische Unterschriften Siemens Aktiengesellschaft Industry Sector Industry Automation VMM Pharmaceutical 76187 KARLSRUHE DEUTSCHLAND A5E02545359-01 [email protected] www.siemens.com/simatic-wincc simatic winCC DOKUMENTATION Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry Sector I IA VMM Pharma D-76187 Karlsruhe, Deutschland Email: [email protected] Juli 2009 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 1 Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis ................................................................................................................................. 2 Einleitung ............................................................................................................................................... 3 1 Die Anforderungen im Überblick................................................................................................. 4 2 Erfüllung der Anforderungen durch SIMATIC WinCC............................................................... 5 3 2 2.1 Systemlösung für den Zugriffsschutz..................................................................................... 5 2.2 Systemlösung für Audit Trails ................................................................................................ 6 2.3 Systemlösung zum Archivieren und Abrufen archivierter Daten ........................................... 8 2.4 Systemlösung für Elektronische Unterschriften ..................................................................... 9 Bewertungsliste für SIMATIC WinCC........................................................................................ 10 3.1 Verfahrensanweisungen und Maßnahmen für geschlossene Systeme .............................. 10 3.2 Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme ....................... 13 3.3 Signierte elektronische Aufzeichnungen.............................................................................. 13 3.4 3.4.1 3.4.2 Elektronische Unterschriften (allgemein) ............................................................................. 14 Elektronische Unterschriften (nicht-biometrisch) ................................................................. 15 Elektronische Unterschriften (biometrisch) .......................................................................... 15 3.5 Kontrollen für Benutzerkennungen und Passworte ............................................................. 16 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Einleitung Einleitung Am 20. August 1997 trat die Vorschrift 21 CFR Part 11 zu "Elektronischen Aufzeichnungen und Elektronischen Unterschriften" der US-Aufsichtsbehörde Food and Drug Administration (FDA) in Kraft. 21 CFR Part 11 (kurz: Part 11) definiert die Akzeptanzkriterien der FDA an die Verwendung von elektronischen Aufzeichnungen und elektronischen Unterschriften anstelle von Aufzeichnungen in Papierform und handschriftlichen Unterschriften auf Papier. Dabei müssen elektronische Aufzeichnungen und Unterschriften ebenso vertrauenswürdig, verlässlich und gleichwertig sein wie traditionelle Aufzeichnungen. FDA-Vorschriften finden über die pharmazeutische Industrie hinaus auch in anderen sog. Life Sciences (bspw. Lebensmitteltechnologie, Kosmetik und Pflegemittel, etc.) Anwendung. Bereits 1992 hatte die Kommission der Europäischen Gemeinschaft zuvor im Anhang 11 zum EUGMP-Leitfaden 1 (kurz Annex 11) ihre Anforderungen an den Einsatz computergestützter Systeme definiert. Dieser umfasst im Gegensatz zum Part 11 der FDA zwar Anforderungen an alle Themengebiete rund um computergestützte Systeme, geht jedoch bei den Anforderungen nicht so weit ins Detail wie 21 CFR Part 11 bei elektronischen Aufzeichnungen und elektronischen Unterschriften. Die Anwendung von Vorschriften wie Part 11 und EU-GMP-Leitfaden (bzw. dessen jeweilige Umsetzung in nationales Recht) ist bei der Verwendung elektronischer Aufzeichnungen und Unterschriften zwingend erforderlich. Sie gelten jedoch nur in ihrem jeweiligen nationalen Kontext und dort auch nur für "regulierte" elektronische Aufzeichnungen. Über die Verwendung elektronischer Aufzeichnungen und Unterschriften hinaus besteht die Möglichkeit, herkömmliche Papierdokumente und handschriftliche Unterschriften oder eine Kombination der beiden auch weiterhin zu verwenden. Über die Gesetzestexte hinaus existieren zu dieser Thematik verschiedene Interpretationshilfen und Empfehlungen von Regulierungsbehörden wie der FDA und von Industrieverbänden wie der ISPE und PDA. Dieses Dokument stützt sich auf die weltweit anerkannte aktuelle Interpretation der ISPE-CoP 2 3 GAMP und der PDA . Wenn die Interpretation einer Anforderung bei einem Unternehmen von dem hier angegebenen abweicht, wenden Sie sich bitte für nähere Informationen an das I IA VMM Pharma der Siemens AG in Karlsruhe (Kontaktdaten siehe oben). Als Hilfe für unsere Kunden hat Siemens als Anbieter von SIMATIC WinCC das System in der Version 7.0 anhand dieser Anforderungen evaluiert. Aufgrund des höheren Detaillierungsgrades basiert diese Untersuchung auf den Detailanforderungen des Part 11 (FDA), berücksichtigt jedoch auch implizit die Anforderungen des Annex 11 (EU). Die Ergebnisse dieser Bewertung werden mit dem vorliegenden Dokument veröffentlicht. SIMATIC WinCC V7.0 erfüllt die funktionalen Anforderungen an elektronische Aufzeichnungen und elektronische Unterschriften umfassend. In Verbindung mit durch den Kunden zu etablierenden organisatorischen Maßnahmen und Verfahrensanweisungen ist der vorschriftskonforme Betrieb gewährleistet. Die Empfehlungen von Siemens für die Systemarchitektur, Konzeption und Konfiguration werden dem Anwender dabei helfen, die Konformität zu erreichen. Weitere Informationen und Hilfen finden sich im "GMP-Engineering Handbuch SIMATIC WinCC" 4 . Das vorliegende Dokument ist in drei Teile gegliedert: Der erste Teil enthält einen kurzen Überblick über die Anforderungen von Part 11, der zweite Teil stellt Funktionalitäten von SIMATIC WinCC V7.0 im Kontext dieser Anforderungen vor, und der dritte Teil beinhaltet eine detaillierte Systembewertung auf Basis der einzelnen Anforderungen des Part 11. 1 EU Guidelines to Good Manufacturing Practice, Volume 4, Medicinal Products for Human and Veterinary Use, Annex 11 Computerised Systems; European Commission Brussels, 2005 2 GAMP Good Practice Guide “A Risk-Based Approach to Compliant Electronic Records and Signatures”; ISPE 2005 3 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften, Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 4 GMP-Engineering Handbuch SIMATIC WinCC; Siemens AG, I IA VMM Pharma SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 3 Die Anforderungen im Überblick 1 Die Anforderungen im Überblick 21 CFR Part 11 trägt der Tatsache Rechnung, dass die Gefahr von Manipulation, Fehlinterpretationen und nicht nachvollziehbaren Änderungen bei elektronischen Aufzeichnungen und Unterschriften größer ist als bei herkömmlichen Papieraufzeichnungen und handschriftlichen Unterschriften bzw. schwerer zu entdecken sind. Aus diesem Grund sind zusätzliche Maßnahmen notwendig. Die Begriffe "elektronische Aufzeichnung" / "elektronisches Dokument" meinen jede Kombination von Text, Grafik, Daten, Audio, bildliche oder andere Formen von Informationen in digitaler Form, die mit einem Computersystem erstellt, modifiziert, gewartet, archiviert, zurückgewonnen oder verteilt werden. 5 Der Begriff "elektronische Unterschrift" meint ein computertechnisch verarbeitetes Symbol oder eine Reihe von Symbolen, die von einer Person angefertigt, übernommen oder genehmigt wurde, um ein rechtlich bindendes Äquivalent einer handschriftlichen Unterschrift zu sein.5 Forderung Beschreibung Validierung Alle GMP-relevanten automatisierten Systeme müssen validiert werden, um eine präzise, zuverlässige und durchgängige Datenaufbereitung entsprechend den Vorgaben zu gewährleisten. Audit Trails Alle regulierten Bedienereinträge, die elektronische Aufzeichnungen erstellen, ändern oder löschen, müssen in einem sicheren, mit Zeitstempel versehenen, computergenerierten Audit Trail aufgezeichnet werden. Aufbewahrung, Schutz, Reproduzierbarkeit und Abrufbarkeit Die Systeme müssen in der Lage sein, während der konfigurierbaren Aufbewahrungsdauer die Aufzeichnungen zu archivieren, zu schützen und auf Abruf bereitzustellen. Die elektronischen Aufzeichnungen müssen sowohl in einer menschenlesbaren als auch in elektronischer Form reproduzierbar sein. Dokumentenlenkung Für die Systembetriebs- und Wartungsdokumentation muss es Kontrollen im Hinblick auf ihren Zugang, Überprüfung, Verteilung und Verwendung geben. Zugriffsschutz Der Zugriff auf elektronische Aufzeichnungen muss ausschließlich auf autorisierte und qualifizierte Personen beschränkt sein. Innerhalb von offenen Systemen müssen zusätzliche Sicherheitsmaßnahmen implementiert werden, um dies zu gewährleisten (siehe auch 21 CFR 11.30). Elektronische Unterschrift Die Systeme müssen Maßnahmen anbieten, die sicherstellen, dass die Benutzung der elektronischen Unterschrift nur auf den echten Eigentümer beschränkt ist und dass eine versuchte Benutzung durch Dritte sofort entdeckt und aufgezeichnet wird. Nichtbiometrische Systeme müssen zwei unterschiedliche Identifizierungskomponenten einsetzen (z. B. Benutzerkennung und Passwort), die beim Signieren eingegeben werden. Zumindest das Passwort ist bei jeder nachfolgenden Signierungshandlung während der gleichen Sitzung erneut einzugeben. Die elektronische Unterschrift darf nicht wiederverwendet oder weitergegeben werden. Der Zweck der elektronischen Unterschrift muss klar und deutlich angegeben sein. Schließlich soll das System Funktionen enthalten, um eine Fälschung der elektronischen Unterschrift durch Standardtools zu vermeiden. Es müssen schriftliche Bestimmungen vorhanden sein, um die Personen für die Handlungen zur Verantwortung ziehen zu können, die unter ihrer elektronischen Unterschrift getätigt wurden. Bescheinigung für die FDA Eine schriftliche Bescheinigung muss dem regionalen FDA-Büro übergeben werden mit der Bestätigung, dass die elektronischen Unterschriften mit den herkömmlichen handschriftlichen Unterschriften übereinstimmen und demnach ebenso rechtlich bindend sind. 5 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 4 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Erfüllung der Anforderungen durch SIMATIC WinCC 2 Erfüllung der Anforderungen durch SIMATIC WinCC Die Anforderungen, die von Systemeigenschaften erfüllt werden können, lassen sich in vier Themen zusammenfassen: • Zugriffsschutz • Audit Trail • Archivieren und Abrufen archivierter Daten • Elektronische Unterschrift 2.1 Systemlösung für den Zugriffsschutz Mit der WinCC-Basisfunktionalität SIMATIC Logon wird eine auf MS-Windows Sicherheitsmechanismen basierende Benutzerverwaltung eingerichtet: • Die einzelnen Nutzer und deren Zuordnung zu Windows-Benutzergruppen werden in der Benutzerverwaltung von Windows definiert. • SIMATIC Logon stellt die Verbindung zwischen den Windows-Benutzergruppen und den WinCCBenutzergruppen her. • Basierend auf den Benutzergruppen werden die Berechtigungen mit Berechtigungsstufen in der Benutzerverwaltung von SIMATIC WinCC definiert. Auf diese Weise werden die folgenden Anforderungen an den Zugriffsschutz erfüllt: • Zentrale Verwaltung der Benutzer (Einrichten, Deaktivieren, Sperren, Entsperren, Zuordnen zu Benutzergruppen) durch den Administrator • Eindeutige Kombination von Benutzerkennung (User-ID) und Passwort • Definition von Zugriffsberechtigungen für Gruppen und Benutzer • Anlagenbereichsabhängiger Zugriff und Berechtigungsstufen • Passwortalterung: Der Benutzer muss sein Passwort nach einer einstellbaren Zeit ändern; das Passwort kann erst nach n Generationen wieder verwendet werden. • Das System kann vom Benutzer verlangen, während des ersten Einloggens ein neues Passwort zu definieren (Initialpasswort). • Der Benutzer wird automatisch nach einer einstellbaren Anzahl von fehlerhaften Anmeldeversuchen gesperrt und kann nur durch den Administrator wieder entsperrt werden. • Automatisches Abmelden (Auto-Logout) nach einer konfigurierbaren Zeit, in der weder Tastatur noch Maus benutzt werden • Log-Funktionen für Aktionen hinsichtlich Zugriffsschutz, z. B. Anmelden, manuelles und automatisches Abmelden, Eingabe einer falschen Benutzerkennung oder eines falschen Passwortes, Sperrung des Benutzers nach mehrfacher Falscheingabe des Passwortes, Passwortänderung durch den Benutzer SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 5 Erfüllung der Anforderungen durch SIMATIC WinCC Abbildung 1: SIMATIC Logon Konfiguration SIMATIC Logon erfüllt die Anforderungen hinsichtlich des Zugriffsschutzes in Kombination mit Verfahrensanweisungen, wie z. B. "Festlegung der Zuständigkeit und Zugriffsberechtigung der Systembenutzer". Darüber hinaus sollten unerlaubte Zugriffe auf die Verzeichnisstrukturen der einzelnen Systemprogramme verhindert und somit ungewünschte Manipulationen ausgeschlossen werden, indem dem Benutzer auf Betriebssystemebene entsprechende Zugriffsrechte zugewiesen werden. Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet. Falls es einen "offenen Pfad" gibt, muss dieser Pfad zusätzlich abgesichert werden. Grundprinzipien des Sicherheitskonzepts und detaillierte Konfigurationsempfehlungen enthält das Handbuch "Sicherheitskonzept PCS 7 und WinCC". 2.2 Systemlösung für Audit Trails Audit Trails sind vor allem dort besonders wichtig, wo durch Bedieneingriffe des Benutzers Daten während des normalen Betriebes erzeugt, geändert oder gelöscht werden. Wird eine elektronische Aufzeichnung automatisch generiert, ohne dass diese durch den Bediener geändert oder gelöscht werden kann, ist kein Audit Trail erforderlich. Solche elektronischen Aufzeichnungen werden systemseitig durch SIMATIC WinCC gesichert (z. B. Zugriffsschutz). Im nachfolgenden Abschnitt wird beschrieben, wie das System SIMATIC WinCC die Umsetzung der Anforderungen hinsichtlich des Audit Trails im laufenden Betrieb unterstützt. Darüber hinaus wird zusätzlich aufgezeigt, welche Hilfsmittel das System für die Nachvollziehbarkeit von Änderungen im Engineeringsystem bietet. Im laufenden Betrieb Aufzeichnung von Prozessdaten Prozessdaten (z. B. Prozesswerte, Prozess- oder Bedienmeldungen) werden gespeichert, ohne dass der Bediener die Möglichkeit hat, Änderungen vorzunehmen. 6 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Erfüllung der Anforderungen durch SIMATIC WinCC Änderungen bei laufendem Betrieb Änderungen und Eingaben, die der Bediener im Prozessvisualisierungssystem im laufenden Betrieb ausführt, müssen in Form eines Audit Trails erfasst werden. Hierzu stehen bei SIMATIC WinCC verschiedene Möglichkeiten zur Verfügung. Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels WinCC-Meldearchiv: Abbildung 2: Anzeige der Audit Trails über Alarm Logging Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels der Option "WinCC/Audit": Abbildung 3: Anzeige der Audit Trails über WinCC/Audit Während der Projektierung Änderungen in der Projektierung Zur Unterstützung eines formalen Change Control Verfahrens kann die Option WinCC/ChangeControl Änderungen in den WinCC-Projekten aufzeichnen (z. B. Archive, Grafiken, Einstellung der Benutzerrechte, etc.). WinCC/ChangeControl ist als separate Option oder als Bestandteil von WinCC/Audit erhältlich. Die in WinCC/ChangeControl integrierte Funktion Document Control von WinCC/Audit ermöglicht eine umfassende Kontrolle über Einchecken, Auschecken, Löschen, Zurücksetzen (Rollback) und Wiederherstellung von Applikations- und Benutzerdokumenten. In einer sicheren Datenbank werden Kopien aller Projektierungsstati eines Dokuments abgelegt. SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 7 Erfüllung der Anforderungen durch SIMATIC WinCC Änderungen in der Benutzerverwaltung Die Änderungen im Rahmen der Benutzerverwaltung (wie z. B. das Einrichten neuer Benutzer, das Sperren von Benutzern, etc.) werden im Ereignisprotokoll von Windows aufgezeichnet. Zu diesem Zweck muss das Ereignisprotokoll entsprechend konfiguriert werden. 2.3 Systemlösung zum Archivieren und Abrufen archivierter Daten Kontinuierliche Archivierung SIMATIC WinCC bietet ein konfigurierbares und skalierbares Archivierungskonzept. In lokalen WinCC-Archiven werden Meldungen und Messwerte kontinuierlich gespeichert. Diese lokal gespeicherten Daten können automatisch in Langzeitarchive überführt werden. Die Bildung einer Prüfsumme verhindert die Manipulation der archivierten Daten. Über die gesamte Dauer des definierten Aufbewahrungszeitraums können die archivierten Daten abgerufen werden. Der Abruf ist innerhalb von SIMATIC WinCC mit Standardfunktionen oder über zusätzliche Standardschnittstellen oder Optionspakete (z. B. DataMonitor, Connectivity Pack) möglich. Abbildung 4: Archivkonfiguration 8 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Erfüllung der Anforderungen durch SIMATIC WinCC Chargenorientierte Archivierung Das WinCC Premium Add-on PM-QUALITY wird eingesetzt, um eine chargenorientierte Datenarchivierung durchzuführen. PM-QUALITY verwaltet selbstständig lokale Archive und Langzeitarchive. Um auf WinCC-Daten zugreifen zu können, verwendet PM-QUALITY die Standardschnittstellen von SIMATIC WinCC. Diese stehen auch anderen Archivierungstools (von Siemens oder Drittherstellern) zur Verfügung. 2.4 Systemlösung für Elektronische Unterschriften SIMATIC WinCC bietet Funktionen zur Konfiguration einer elektronischen Unterschrift. Die elektronische Unterschrift wird in einem Dialog ausgeführt. Zur Identifizierung werden die Benutzerkennung und das Passwort abgefragt und überprüft. SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 9 Bewertungsliste für SIMATIC WinCC 3 Bewertungsliste für SIMATIC WinCC Die folgende Checkliste zur Bewertung eines Systems stammt aus einem Dokument der ISPE / PDA 6 . Die Checkliste zur Systembewertung deckt alle Anforderungen ab und nicht nur diejenigen, die durch Systemlösungen erfüllt werden können. Zur Erfüllung einzelner Anforderungen des Regelwerkes 21 CFR Part 11 muss das pharmazeutische Unternehmen entsprechende Verfahrensanweisungen in seinem Unternehmen einführen. Die Vorgaben der Regelwerke beziehen sich immer auf die kundenspezifische Applikation, die mit SIMATIC WinCC realisiert wurde. Daher sind die nachfolgend angegebenen Lösungen nur in Verbindung mit spezifischen Verfahrensanweisungen und organisatorischen Maßnahmen gültig. 3.1 Verfahrensanweisungen und Maßnahmen für geschlossene Systeme Wenn der Systemzugang von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "geschlossen" bezeichnet und muss auf die Anforderungen dieses Kapitels hin bewertet werden. Absatz/ Punkt Fragen / Anforderungen Kommentare 11.10(a) Punkt 1 Ist das System validiert? Der Kunde ist für die Validierung der Applikationen / des Systems verantwortlich. Die Validierung sollte nach einem gängigen Systemlebenszyklus-Modell (System Life Cycle, SLC) erfolgen, wie z. B. im GAMP-Leitfaden beschrieben. SIMATIC WinCC wurde gemäß dem Qualitätsmanagementsystem von Siemens (ISO 9001:2008 zertifiziert) entwickelt. Die Validierung der Applikation kann von Siemens während der Projekte unterstützt werden. 11.10(a) Punkt 2 Ist es möglich, ungültige oder veränderte Aufzeichnungen zu erkennen? Ja. Für jeden Bedieneingriff kann ein Eintrag im Audit Trail erzeugt werden (wenn beispielsweise der Bediener Sollwerte / Alarmgrenzwerte / den Überwachungsmodus, etc. verändert oder Alarme quittiert). Alle relevanten Änderungen werden aufgezeichnet, inklusive Zeitstempel, Benutzerkennung, altem und neuem Wert und Kommentar. Unberechtigte Änderungen werden durch den Zugriffsschutz des Systems verhindert. Archivierte Aufzeichnungen sind mit einem PrüfsummenMechanismus zur Entdeckung von unbefugten Änderungen geschützt. Änderungen in der Projektierung von SIMATIC WinCC können mit WinCC/Audit zurückverfolgt werden. 6 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 10 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Bewertungsliste für SIMATIC WinCC Absatz/ Punkt Fragen / Anforderungen Kommentare 11.10(b) Punkt 1 Kann das System exakte und komplette Kopien von elektronischen Aufzeichnungen auf Papier erzeugen? Ja. 11.10(b) Punkt 2 Kann das System exakte und komplette Kopien von Aufzeichnungen in elektronischer Form erzeugen für die Inspektion, die Überprüfung und das Kopieren durch die FDA? Ja. 11.10(c) Können die Aufzeichnungen während der Dauer Ihrer Aufbewahrung lesbar gemacht werden? Ja. SIMATIC WinCC liefert Ausdrucke von Prozesswerten, Meldungen und Audit Trails. Die Prozesswerte, Meldungen und Audit Trails können in elektronischer Form exportiert werden und mit WinCC oder der Option DataMonitor angezeigt werden. Mit der Option WinCC/Audit kann der Audit Trail in die Formate Microsoft Excel, PDF, CSV oder XML exportiert werden. Aufzeichnungen können in einem lesbaren Format z. B. auf CD oder DVD gesichert werden. Wir gehen davon aus, dass diese Ausgabegeräte und Formate auch künftig lesbar sein werden. Die ausgelagerten Aufzeichnungen können dann entweder mit der Option DataMonitor angezeigt oder wieder in WinCC eingespielt werden. Weiterhin sollte der Kunde die Aufbewahrungszeiten definieren, sowie Verfahren für Archivierung, Backup und Zurücklesen für elektronische Aufzeichnungen festlegen. 11.10(d) Ist der Zugriff zum System auf berechtigte Personen beschränkt? Ja. Beim Einsatz von SIMATIC Logon greifen alle Möglichkeiten der Benutzerverwaltung von Windows (siehe Kapitel 2.1 Systemlösung für den Zugriffsschutz). Der Kunde sollte sicherstellen, dass nur Personen mit legitimiertem geschäftlichem Nutzungsbedarf einen physischen Zugang zum System haben sollten (z. B. Server, Systemkonsole). Da diese Anforderung praktisch die gleiche wie 11.10(g) ist, wird sie allgemein so ausgelegt, dass sie sich jeweils sowohl auf den physischen Zugang als auch auf den logischen Zugriff bezieht. 11.10(e) Punkt 1 Gibt es einen sicheren, vom Computer erzeugten, mit Zeitstempel versehenen Audit Trail, der das Datum und die Zeit von Eingaben und Aktionen des Benutzers aufzeichnet, der elektronische Aufzeichnungen erstellt, verändert oder löscht? Ja. 11.10(e) Punkt 2 Ist nach einer Änderung einer elektronischen Aufzeichnung die zuvor aufgezeichnete Information noch verfügbar? (z. B. nicht durch die Änderung verdeckt?) Ja. 11.10(e) Punkt 3 Ist der Audit Trail zu einer elektronischen Aufzeichnung während der Aufbewahrungszeit der Aufzeichnung verfügbar? Ja. SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Der Audit Trail ist innerhalb des Systems sicher und kann nicht durch einen Benutzer geändert werden. Die Änderungen während der Produktion werden vom System selbst rückverfolgt und enthalten die Informationen mit Zeitstempel, Benutzerkennung, altem und neuem Wert und Kommentar. Die aufgezeichnete Information bleibt immer in der Datenbank verfügbar. Der Audit Trail kann während der gesamten Aufbewahrungsdauer bereitgestellt werden. (siehe 11.10 (c)) 11 Bewertungsliste für SIMATIC WinCC Absatz/ Punkt Fragen / Anforderungen Kommentare 11.10(e) Punkt 4 Steht der Audit Trail für Überprüfung und Kopieren durch die FDA zur Verfügung? Ja. Mit der Option WinCC/Audit kann der Audit Trail in die Formate Microsoft Excel, PDF, CSV oder XML exportiert werden. Wurde der Audit Trail im Alarm Logging aufgezeichnet, kann er in PDF oder CSV Format exportiert werden. 11.10(f) 11.10(g) 11.10(h) Wenn die Reihenfolge von Systemschritten oder Ereignissen wichtig ist, wird dies durch das System erzwungen? (z. B. wie das bei Prozessleitsystemen der Fall ist) Ja. Stellt das System sicher, dass: nur berechtigte Personen das System nutzen und elektronische Aufzeichnungen unterschreiben, auf die Bedienung oder Geräte zur Ein- oder Ausgabe zugreifen, Aufzeichnungen ändern oder andere Tätigkeiten durchführen können? Ja. Sofern es ein Erfordernis des Systems ist, dass Eingabedaten oder Befehle nur von bestimmten Eingabegeräten (z. B. Terminals) kommen können, prüft das System die Gültigkeit der Quelle aller eingehenden Daten und Befehle? Ja. (Anmerkung: Dies ist anzuwenden, wenn die Daten oder Befehle von mehr als einem Gerät stammen können und daher das System die Integrität der Quelle, wie Waage oder entfernte über Funk verbundene Terminals, verifizieren muss.) 11.10(i) Gibt es Dokumentation über die Schulungen, einschließlich tätigkeitsbezogener Schulungen für SystemBenutzer, Entwickler und IT-ServicePersonal? Eine bestimmte Abfolge von Bedieneingriffen kann durch eine entsprechende Konfiguration der Applikation berücksichtigt werden. Das Software-Paket SIMATIC Logon stützt sich auf das Sicherheitssystem von MS-Windows. Benutzerkennung und Passwort werden verwendet. Hierzu wird eine zentrale Benutzerverwaltung für die Pflege von Benutzern und Benutzergruppen eingesetzt. Außerdem sollte der Kunde festlegen, wie der Zugriff ausschließlich auf autorisierte Personen beschränkt wird (z. B. wer hat Zugriff innerhalb der WinCC-Runtime auf welche Objekte oder Funktionen?), einschließlich der Sonderrechte für die Administratoren. Die WinCC-Arbeitsstationen sind so projektierbar, dass spezielle Eingabedaten / Befehle nur von einer einzelnen dedizierten oder einer Gruppe von dedizierten Arbeitsstationen ausgeführt werden können. Alle anderen Arbeitsstationen verfügen höchstens über Lesezugriffsrechte. Das System führt Gültigkeitsüberprüfungen durch, da die Anbindung der Stationen innerhalb des Systems erfolgen muss. Ja. Siemens bietet zum einen Standardkurse an, aber auch Schulungen zu Kundenprojekten, welche gesondert geplant und ausgeführt werden. Es liegt in der Verantwortung des Kunden, die Kurse zu planen und durchzuführen. 11.10(j) Gibt es schriftlich festgelegte Grundsätze, mit denen der Einzelne voll haftbar gemacht wird für Aktivitäten, die unter seiner elektronischen Unterschrift eingeleitet werden? Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. 11.10(k) Punkt 1 Ist die Verteilung von, der Zugriff auf und die Benutzung der Dokumentation zum Betrieb und zur Wartung des Systems kontrolliert? Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. 12 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Bewertungsliste für SIMATIC WinCC Absatz/ Punkt Fragen / Anforderungen Kommentare 11.10(k) Punkt 2 Gibt es ein formelles Verfahren des Change Control für die Systemdokumentation, das ein Audit Trail in zeitlicher Folge für diejenigen Änderungen bewahrt, die von der pharmazeutischen Organisation vorgenommen wurden? Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. 3.2 Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet und muss nach den Anforderungen bewertet werden, die in diesem Kapitel beschrieben sind. SIMATIC WinCC kann sowohl in einer geschlossenen als auch in einer offenen Umgebung betrieben werden. Bei offenen Systemen müssen zusätzliche Anforderungen bei der Implementierung eingehalten werden. Absatz/ Punkt Fragen / Anforderungen Kommentare 11.30 Punkt 1 Sind die Daten verschlüsselt? Im Falle von offenen Systemen sollte das System zusätzlich abgesichert werden; Konfigurationshinweise im Handbuch "Sicherheitskonzept PCS 7 und WinCC" sowie marktübliche Standardtools z. B. zur Verschlüsselung unterstützen dabei. 11.30 Punkt 2 Werden digitale Unterschriften benutzt? SIMATIC WinCC beinhaltet keine Funktionalität zur digitalen (verschlüsselten) Signierung. Es gibt Standardtools auf dem Markt, die eine digitale Signierung von Aufzeichnungen ermöglichen (z. B. für PDF-Dateien). 3.3 Signierte elektronische Aufzeichnungen Absatz/ Punkt Fragen / Anforderungen Kommentare 11.50 Punkt 1 Enthalten unterschriebene elektronische Aufzeichnungen die folgenden verbundenen Informationen? Ja. a) Gedruckter Name des Unterzeichnenden b) Datum und Zeit der Unterschrift c) Bedeutung der Unterschrift (wie Genehmigung, Überprüfung, Verantwortlichkeit) SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Signierte elektronische Aufzeichnungen beinhalten neben anderen Informationen auch folgende: a) gedruckter Name oder Benutzerkennung des Unterzeichnenden b) Datum und Uhrzeit der Unterschriftsausführung c) einschließlich der Bedeutung 13 Bewertungsliste für SIMATIC WinCC Absatz/ Punkt Fragen / Anforderungen Kommentare 11.50 Punkt 2 Erscheinen die oben genannten Informationen auf den angezeigten und gedruckten Kopien der elektronischen Aufzeichnung? Ja. 11.70 Ist die elektronische Unterschrift mit der elektronischen Aufzeichnung verknüpft, auf die sie sich bezieht, um sicherzustellen, dass die elektronische Unterschrift nicht in betrügerischer Absicht getrennt, kopiert oder auf andere Weise auf andere Aufzeichnungen übertragen werden kann? Ja. Die oben genannten Informationen können als Komponente der elektronischen Aufzeichnung angezeigt und gedruckt werden. Sobald eine elektronische Aufzeichnung signiert ist, wird sie in der WinCC-Datenbank abgelegt. Diese Aufzeichnung kann nicht getrennt, kopiert, verändert oder gelöscht werden. Der externe Zugang zur Datenbank ist passwortgeschützt. Ergänzend hierzu empfehlen wir, den Zugriff auf die Datenbank durch die Sicherheitsfunktionen von Windows einzuschränken. 3.4 Elektronische Unterschriften (allgemein) Absatz/ Punkt Fragen / Anforderungen Kommentare 11.100(a) Punkt 1 Sind die elektronischen Unterschriften eindeutig für eine Person? Ja. Die elektronische Unterschrift verwendet die Benutzerkennung und das Passwort des Benutzers. Die Eindeutigkeit der Benutzerkennung wird durch das MSWindows-Sicherheitssystem sichergestellt. Es ist nicht möglich einen Benutzer mit der gleichen Benutzerkennung innerhalb einer Arbeitsgruppe / Domäne zu definieren. Zusätzlich muss der Kunde die Eindeutigkeit der elektronischen Unterschrift zur Person gewährleisten. 11.100(a) Punkt 2 Werden die elektronischen Unterschriften durch jemanden Anderen wiederverwendet oder neu zugeordnet? Der Kunde muss sicherstellen und ist dafür verantwortlich, dass eine Benutzerkennung immer nur einer Person zugeteilt wird. 11.100(b) Wird die Identität einer Person überprüft, bevor eine elektronische Unterschrift zugeteilt wird? Dieses liegt in der Verantwortung des Kunden. Er muss organisatorische Maßnahmen ergreifen. 14 SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Bewertungsliste für SIMATIC WinCC 3.4.1 Elektronische Unterschriften (nicht-biometrisch) Absatz/ Punkt Fragen / Anforderungen Kommentare 11.200 (a)(1)(i) Besteht die Unterschrift aus mindestens zwei Komponenten wie einer Benutzerkennung und Passwort oder eine Chipkarte und Passwort? Ja. 11.200 (a)(1)(ii) Wird, wenn mehrere Unterschriften während einer kontinuierlichen Sitzung gemacht werden, das Passwort für jede Unterschrift eingegeben? (Anmerkung: beide Komponenten sind zu Beginn der Sitzung auszuführen) Ja. 11.200 (a)(1)(iii) Werden, wenn Unterschriften nicht in einer kontinuierlichen Sitzung geleistet werden, beide Komponenten der elektronischen Unterschrift bei jeder Unterschrift ausgeführt? Ja. 11.200 (a)(2) Werden nicht-biometrische elektronische Unterschriften nur durch ihren authentischen Eigentümer genutzt? Der Kunde ist für die Bereitstellung von Verfahrensanweisungen verantwortlich, die eine Offenlegung von Passwörtern verbieten. 11.200 (a)(3) Erfordert der Versuch, eine elektronische Unterschrift zu fälschen, die Zusammenarbeit von mindestens zwei Personen? Ja. SIMATIC Logon identifiziert die Person durch zwei unterschiedliche Komponenten: Benutzerkennung und Passwort oder Chipkarte und Passwort. Jede Unterschrift benötigt mindestens zwei Komponenten (Benutzerkennung und Passwort). Jede Unterschrift benötigt mindestens zwei Komponenten (Benutzerkennung und Passwort). Es ist nicht möglich, eine elektronische Unterschrift bei der Unterzeichnung und nachdem das System sie aufgezeichnet hat zu fälschen. Der Administrator kann die Unterschrift nicht missbrauchen, obwohl er Benutzerkennung und Initialpasswort einrichtet, weil der Benutzer gezwungen wird, das Passwort beim ersten Einloggen zu ändern. Die nicht autorisierte Benutzung von Benutzerkennungen / Passwörtern (fehlgeschlagene Anmeldeversuche) wird sofort festgestellt und aufgezeichnet. Zusätzlich benötigt der Kunde Verfahrensanweisungen, die eine Offenlegung von Passwörtern verbieten. 3.4.2 Elektronische Unterschriften (biometrisch) Absatz/ Punkt Fragen / Anforderungen Kommentare 11.200(b) Wurde bewiesen, dass biometrische elektronische Unterschriften nur durch ihren authentischen Eigentümer genutzt werden können? Standardtools von Drittherstellern können für die Erzeugung von biometrischen elektronischen Unterschriften verwendet werden. Die Integrität einer solchen Lösung sollte gesondert bewertet werden. SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 15 Bewertungsliste für SIMATIC WinCC 3.5 Kontrollen für Benutzerkennungen und Passworte Absatz/ Punkt Fragen / Anforderungen Kommentare 11.300(a) Sind Kontrollen vorhanden, um die Einzigartigkeit einer jeden Kombination Benutzerkennung und Passwort zu erhalten, so dass keine Person die gleiche Kombination von Benutzerkennung und Passwort hat? Siehe 11.100(a). 11.300(b) Punkt 1 Sind Verfahren vorhanden, um sicherzustellen, dass die Gültigkeit von Benutzerkennung regelmäßig überprüft wird? Der Kunde ist für die Erstellung von Verfahrensanweisungen zuständig. 11.300(b) Punkt 2 Laufen Passwörter regelmäßig ab und sind diese regelmäßig zu überprüfen? Ja. 11.300(b) Punkt 3 Gibt es ein Verfahren zur Zurücknahme von Benutzerkennungen und Passwörtern, wenn eine Person ausscheidet oder wechselt? Der Kunde ist für die Erstellung von Verfahrensanweisungen verantwortlich. Gibt es ein Verfahren, um eine Benutzerkennung oder ein Passwort elektronisch zu inaktivieren, falls es potentiell kompromittiert oder verloren wurde? Der Kunde ist für die Erstellung von Verfahrensanweisungen verantwortlich. 11.300(c) Ein Passwort erlischt nach einer bestimmten Anzahl von Tagen und kann für eine bestimmte Anzahl von Generationen nicht mehr benutzt werden, entsprechend den Sicherheitsrichtlinien von MS-Windows. Die Passwortalterung beeinflusst nicht die vorhergehende Benutzung (Aufzeichnungen, Unterschriften). Mit dem MS-Windows Sicherheitssystem können Benutzerkonten deaktiviert werden. Mit dem MS-Windows Sicherheitssystem können Benutzerkonten geändert werden. Der Benutzer kann über SIMATIC Logon jederzeit sein Passwort ändern. 11.300(d) Punkt 1 11.300(d) Punkt 2 16 Gibt es ein Verfahren, mit dem Versuche einer unberechtigten Nutzung entdeckt werden und eine Information der für die Sicherheit verantwortlichen Personen erfolgt? Unbefugte Zugangsversuche werden im MS-Windows Sicherheitsprotokoll aufgezeichnet. Das Benutzerkonto wird nach einer bestimmten Anzahl von unbefugten Versuchen gesperrt. Gibt es ein Verfahren mit dem wiederholte oder ernsthafte Versuche einer unberechtigten Nutzung dem Management berichtet werden? Der Kunde ist für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig. Zusätzlich ist der Kunde für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig. SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 Bewertungsliste für SIMATIC WinCC Für Tokens, Karten und andere Geräte, die eine Information über Benutzerkennung oder Passwort enthalten oder generieren Absatz/ Punkt Fragen / Anforderungen Kommentare 11.300(c) Punkt 1 Gibt es ein Verfahren zur Handhabung von Verlusten, das zu befolgen ist, wenn ein Gerät verloren ging oder gestohlen wurde? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC 11.300(c) Punkt 2 Gibt es ein Verfahren, um ein verlorenes, gestohlenes oder potentiell kompromittiertes Gerät elektronisch zu inaktivieren? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC 11.300(c) Punkt 3 Gibt es Kontrollen für die Ausgabe von temporärem oder dauerhaftem Ersatz? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC 11.300(e) Punkt 1 Gibt es anfängliche oder regelmäßige Tests von Tokens und Karten? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC 11.300(e) Punkt 2 Beinhaltet dieses Testen Prüfungen, dass es keine ungenehmigten Änderungen gab? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 17 01/2008 GMP-Engineering Handbuch Compliance Response Ausgabe 02/2009 SIMATIC WinCC V7.0 SIMATIC WinCC Konformitätserklärung Elektronische Aufzeichnungen Elektronische Unterschriften Siemens AG Industry Sector Industry Automation VMM Pharma 76181 KARLSRUHE DEUTSCHLAND A5E02545359-01 [email protected] www.siemens.com/simatic-wincc simatic winCC DOKUMENTATION