21 CFR Part 11 Whitepaper WinCC

Transcription

01/2008
GMP-Engineering Handbuch
Compliance Response Ausgabe 07/2009
SIMATIC WinCC V7.0
SIMATIC WinCC
Konformitätserklärung
Elektronische Aufzeichnungen
Elektronische Unterschriften
Siemens Aktiengesellschaft
Industry Sector
Industry Automation
VMM Pharmaceutical
76187 KARLSRUHE
DEUTSCHLAND
A5E02545359-01
[email protected]
www.siemens.com/simatic-wincc
simatic
winCC
DOKUMENTATION
Elektronische Aufzeichnungen / Elektronische Unterschriften
für SIMATIC WinCC V7.0
SIEMENS AG
Industry Sector
I IA VMM Pharma
D-76187 Karlsruhe, Deutschland
Email: [email protected]
Juli 2009
SIMATIC WinCC V7.0 - Konformitätserklärung
A5E02545359-01
1
Inhaltsverzeichnis
Inhaltsverzeichnis
Inhaltsverzeichnis ................................................................................................................................. 2
Einleitung ............................................................................................................................................... 3
1
Die Anforderungen im Überblick................................................................................................. 4
2
Erfüllung der Anforderungen durch SIMATIC WinCC............................................................... 5
3
2
2.1
Systemlösung für den Zugriffsschutz..................................................................................... 5
2.2
Systemlösung für Audit Trails ................................................................................................ 6
2.3
Systemlösung zum Archivieren und Abrufen archivierter Daten ........................................... 8
2.4
Systemlösung für Elektronische Unterschriften ..................................................................... 9
Bewertungsliste für SIMATIC WinCC........................................................................................ 10
3.1
Verfahrensanweisungen und Maßnahmen für geschlossene Systeme .............................. 10
3.2
Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme ....................... 13
3.3
Signierte elektronische Aufzeichnungen.............................................................................. 13
3.4
3.4.1
3.4.2
Elektronische Unterschriften (allgemein) ............................................................................. 14
Elektronische Unterschriften (nicht-biometrisch) ................................................................. 15
Elektronische Unterschriften (biometrisch) .......................................................................... 15
3.5
Kontrollen für Benutzerkennungen und Passworte ............................................................. 16
A5E02545359-01
Einleitung
Einleitung
Am 20. August 1997 trat die Vorschrift 21 CFR Part 11 zu "Elektronischen Aufzeichnungen und Elektronischen Unterschriften" der US-Aufsichtsbehörde Food and Drug Administration (FDA) in Kraft.
21 CFR Part 11 (kurz: Part 11) definiert die Akzeptanzkriterien der FDA an die Verwendung von elektronischen Aufzeichnungen und elektronischen Unterschriften anstelle von Aufzeichnungen in Papierform und handschriftlichen Unterschriften auf Papier. Dabei müssen elektronische Aufzeichnungen
und Unterschriften ebenso vertrauenswürdig, verlässlich und gleichwertig sein wie traditionelle Aufzeichnungen. FDA-Vorschriften finden über die pharmazeutische Industrie hinaus auch in anderen
sog. Life Sciences (bspw. Lebensmitteltechnologie, Kosmetik und Pflegemittel, etc.) Anwendung.
Bereits 1992 hatte die Kommission der Europäischen Gemeinschaft zuvor im Anhang 11 zum EUGMP-Leitfaden 1 (kurz Annex 11) ihre Anforderungen an den Einsatz computergestützter Systeme
definiert. Dieser umfasst im Gegensatz zum Part 11 der FDA zwar Anforderungen an alle Themengebiete rund um computergestützte Systeme, geht jedoch bei den Anforderungen nicht so weit ins Detail
wie 21 CFR Part 11 bei elektronischen Aufzeichnungen und elektronischen Unterschriften.
Die Anwendung von Vorschriften wie Part 11 und EU-GMP-Leitfaden (bzw. dessen jeweilige Umsetzung in nationales Recht) ist bei der Verwendung elektronischer Aufzeichnungen und Unterschriften
zwingend erforderlich. Sie gelten jedoch nur in ihrem jeweiligen nationalen Kontext und dort auch nur
für "regulierte" elektronische Aufzeichnungen. Über die Verwendung elektronischer Aufzeichnungen
und Unterschriften hinaus besteht die Möglichkeit, herkömmliche Papierdokumente und handschriftliche Unterschriften oder eine Kombination der beiden auch weiterhin zu verwenden.
Über die Gesetzestexte hinaus existieren zu dieser Thematik verschiedene Interpretationshilfen und
Empfehlungen von Regulierungsbehörden wie der FDA und von Industrieverbänden wie der ISPE und
PDA. Dieses Dokument stützt sich auf die weltweit anerkannte aktuelle Interpretation der ISPE-CoP
2
3
GAMP und der PDA . Wenn die Interpretation einer Anforderung bei einem Unternehmen von dem
hier angegebenen abweicht, wenden Sie sich bitte für nähere Informationen an das I IA VMM Pharma
der Siemens AG in Karlsruhe (Kontaktdaten siehe oben).
Als Hilfe für unsere Kunden hat Siemens als Anbieter von SIMATIC WinCC das System in der
Version 7.0 anhand dieser Anforderungen evaluiert. Aufgrund des höheren Detaillierungsgrades basiert diese Untersuchung auf den Detailanforderungen des Part 11 (FDA), berücksichtigt jedoch auch
implizit die Anforderungen des Annex 11 (EU). Die Ergebnisse dieser Bewertung werden mit dem
vorliegenden Dokument veröffentlicht.
SIMATIC WinCC V7.0 erfüllt die funktionalen Anforderungen an elektronische Aufzeichnungen
und elektronische Unterschriften umfassend.
In Verbindung mit durch den Kunden zu etablierenden organisatorischen Maßnahmen und Verfahrensanweisungen ist der vorschriftskonforme Betrieb gewährleistet.
Die Empfehlungen von Siemens für die Systemarchitektur, Konzeption und Konfiguration werden dem
Anwender dabei helfen, die Konformität zu erreichen. Weitere Informationen und Hilfen finden sich im
"GMP-Engineering Handbuch SIMATIC WinCC" 4 .
Das vorliegende Dokument ist in drei Teile gegliedert: Der erste Teil enthält einen kurzen Überblick
über die Anforderungen von Part 11, der zweite Teil stellt Funktionalitäten von SIMATIC WinCC V7.0
im Kontext dieser Anforderungen vor, und der dritte Teil beinhaltet eine detaillierte Systembewertung
auf Basis der einzelnen Anforderungen des Part 11.
1
EU Guidelines to Good Manufacturing Practice, Volume 4, Medicinal Products for Human and Veterinary Use, Annex 11 Computerised Systems; European Commission Brussels, 2005
2
GAMP Good Practice Guide “A Risk-Based Approach to Compliant Electronic Records and Signatures”; ISPE 2005
3
Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften, Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002
4
GMP-Engineering Handbuch SIMATIC WinCC; Siemens AG, I IA VMM Pharma
A5E02545359-01
3
Die Anforderungen im Überblick
1
Die Anforderungen im Überblick
21 CFR Part 11 trägt der Tatsache Rechnung, dass die Gefahr von Manipulation, Fehlinterpretationen
und nicht nachvollziehbaren Änderungen bei elektronischen Aufzeichnungen und Unterschriften größer ist als bei herkömmlichen Papieraufzeichnungen und handschriftlichen Unterschriften bzw. schwerer zu entdecken sind. Aus diesem Grund sind zusätzliche Maßnahmen notwendig.
Die Begriffe "elektronische Aufzeichnung" / "elektronisches Dokument" meinen jede Kombination von
Text, Grafik, Daten, Audio, bildliche oder andere Formen von Informationen in digitaler Form, die mit
einem Computersystem erstellt, modifiziert, gewartet, archiviert, zurückgewonnen oder verteilt werden. 5
Der Begriff "elektronische Unterschrift" meint ein computertechnisch verarbeitetes Symbol oder eine
Reihe von Symbolen, die von einer Person angefertigt, übernommen oder genehmigt wurde, um ein
rechtlich bindendes Äquivalent einer handschriftlichen Unterschrift zu sein.5
Forderung
Beschreibung
Validierung
Alle GMP-relevanten automatisierten Systeme müssen validiert werden, um eine präzise, zuverlässige und durchgängige Datenaufbereitung entsprechend den Vorgaben zu
gewährleisten.
Audit Trails
Alle regulierten Bedienereinträge, die elektronische Aufzeichnungen erstellen, ändern
oder löschen, müssen in einem sicheren, mit Zeitstempel versehenen, computergenerierten Audit Trail aufgezeichnet werden.
Aufbewahrung,
Schutz,
Reproduzierbarkeit
und Abrufbarkeit
Die Systeme müssen in der Lage sein, während der konfigurierbaren Aufbewahrungsdauer die Aufzeichnungen zu archivieren, zu schützen und auf Abruf bereitzustellen. Die
elektronischen Aufzeichnungen müssen sowohl in einer menschenlesbaren als auch in
elektronischer Form reproduzierbar sein.
Dokumentenlenkung
Für die Systembetriebs- und Wartungsdokumentation muss es Kontrollen im Hinblick auf
ihren Zugang, Überprüfung, Verteilung und Verwendung geben.
Zugriffsschutz
Der Zugriff auf elektronische Aufzeichnungen muss ausschließlich auf autorisierte und
qualifizierte Personen beschränkt sein. Innerhalb von offenen Systemen müssen zusätzliche Sicherheitsmaßnahmen implementiert werden, um dies zu gewährleisten (siehe
auch 21 CFR 11.30).
Elektronische
Unterschrift
Die Systeme müssen Maßnahmen anbieten, die sicherstellen, dass die Benutzung der
elektronischen Unterschrift nur auf den echten Eigentümer beschränkt ist und dass eine
versuchte Benutzung durch Dritte sofort entdeckt und aufgezeichnet wird. Nichtbiometrische Systeme müssen zwei unterschiedliche Identifizierungskomponenten einsetzen (z. B. Benutzerkennung und Passwort), die beim Signieren eingegeben werden.
Zumindest das Passwort ist bei jeder nachfolgenden Signierungshandlung während der
gleichen Sitzung erneut einzugeben. Die elektronische Unterschrift darf nicht wiederverwendet oder weitergegeben werden. Der Zweck der elektronischen Unterschrift muss
klar und deutlich angegeben sein. Schließlich soll das System Funktionen enthalten, um
eine Fälschung der elektronischen Unterschrift durch Standardtools zu vermeiden. Es
müssen schriftliche Bestimmungen vorhanden sein, um die Personen für die Handlungen zur Verantwortung ziehen zu können, die unter ihrer elektronischen Unterschrift
getätigt wurden.
Bescheinigung
für die FDA
Eine schriftliche Bescheinigung muss dem regionalen FDA-Büro übergeben werden mit
der Bestätigung, dass die elektronischen Unterschriften mit den herkömmlichen handschriftlichen Unterschriften übereinstimmen und demnach ebenso rechtlich bindend sind.
5
Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002
4
A5E02545359-01
Erfüllung der Anforderungen durch SIMATIC WinCC
2
Erfüllung der Anforderungen durch SIMATIC
WinCC
Die Anforderungen, die von Systemeigenschaften erfüllt werden können, lassen sich in vier Themen
zusammenfassen:
•
Zugriffsschutz
•
Audit Trail
•
Archivieren und Abrufen archivierter Daten
•
Elektronische Unterschrift
2.1
Systemlösung für den Zugriffsschutz
Mit der WinCC-Basisfunktionalität SIMATIC Logon wird eine auf MS-Windows Sicherheitsmechanismen basierende Benutzerverwaltung eingerichtet:
•
Die einzelnen Nutzer und deren Zuordnung zu Windows-Benutzergruppen werden in der Benutzerverwaltung von Windows definiert.
•
SIMATIC Logon stellt die Verbindung zwischen den Windows-Benutzergruppen und den WinCCBenutzergruppen her.
•
Basierend auf den Benutzergruppen werden die Berechtigungen mit Berechtigungsstufen in der
Benutzerverwaltung von SIMATIC WinCC definiert.
Auf diese Weise werden die folgenden Anforderungen an den Zugriffsschutz erfüllt:
•
Zentrale Verwaltung der Benutzer (Einrichten, Deaktivieren, Sperren, Entsperren, Zuordnen zu
Benutzergruppen) durch den Administrator
•
Eindeutige Kombination von Benutzerkennung (User-ID) und Passwort
•
Definition von Zugriffsberechtigungen für Gruppen und Benutzer
•
Anlagenbereichsabhängiger Zugriff und Berechtigungsstufen
•
Passwortalterung: Der Benutzer muss sein Passwort nach einer einstellbaren Zeit ändern; das
Passwort kann erst nach n Generationen wieder verwendet werden.
•
Das System kann vom Benutzer verlangen, während des ersten Einloggens ein neues Passwort
zu definieren (Initialpasswort).
•
Der Benutzer wird automatisch nach einer einstellbaren Anzahl von fehlerhaften Anmeldeversuchen gesperrt und kann nur durch den Administrator wieder entsperrt werden.
•
Automatisches Abmelden (Auto-Logout) nach einer konfigurierbaren Zeit, in der weder Tastatur
noch Maus benutzt werden
•
Log-Funktionen für Aktionen hinsichtlich Zugriffsschutz, z. B. Anmelden, manuelles und automatisches Abmelden, Eingabe einer falschen Benutzerkennung oder eines falschen Passwortes, Sperrung des Benutzers nach mehrfacher Falscheingabe des Passwortes, Passwortänderung durch
den Benutzer
A5E02545359-01
5
Abbildung 1: SIMATIC Logon Konfiguration
SIMATIC Logon erfüllt die Anforderungen hinsichtlich des Zugriffsschutzes in Kombination mit Verfahrensanweisungen, wie z. B. "Festlegung der Zuständigkeit und Zugriffsberechtigung der Systembenutzer".
Darüber hinaus sollten unerlaubte Zugriffe auf die Verzeichnisstrukturen der einzelnen Systemprogramme verhindert und somit ungewünschte Manipulationen ausgeschlossen werden, indem dem
Benutzer auf Betriebssystemebene entsprechende Zugriffsrechte zugewiesen werden.
Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen
Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet. Falls es einen "offenen
Pfad" gibt, muss dieser Pfad zusätzlich abgesichert werden. Grundprinzipien des Sicherheitskonzepts
und detaillierte Konfigurationsempfehlungen enthält das Handbuch "Sicherheitskonzept PCS 7 und
WinCC".
2.2
Systemlösung für Audit Trails
Audit Trails sind vor allem dort besonders wichtig, wo durch Bedieneingriffe des Benutzers Daten
während des normalen Betriebes erzeugt, geändert oder gelöscht werden. Wird eine elektronische
Aufzeichnung automatisch generiert, ohne dass diese durch den Bediener geändert oder gelöscht
werden kann, ist kein Audit Trail erforderlich. Solche elektronischen Aufzeichnungen werden systemseitig durch SIMATIC WinCC gesichert (z. B. Zugriffsschutz).
Im nachfolgenden Abschnitt wird beschrieben, wie das System SIMATIC WinCC die Umsetzung der
Anforderungen hinsichtlich des Audit Trails im laufenden Betrieb unterstützt. Darüber hinaus wird zusätzlich aufgezeigt, welche Hilfsmittel das System für die Nachvollziehbarkeit von Änderungen im
Engineeringsystem bietet.
Im laufenden Betrieb
Aufzeichnung von Prozessdaten
Prozessdaten (z. B. Prozesswerte, Prozess- oder Bedienmeldungen) werden gespeichert, ohne dass
der Bediener die Möglichkeit hat, Änderungen vorzunehmen.
6
A5E02545359-01
Änderungen bei laufendem Betrieb
Änderungen und Eingaben, die der Bediener im Prozessvisualisierungssystem im laufenden Betrieb
ausführt, müssen in Form eines Audit Trails erfasst werden. Hierzu stehen bei SIMATIC WinCC verschiedene Möglichkeiten zur Verfügung.
Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels WinCC-Meldearchiv:
Abbildung 2: Anzeige der Audit Trails über Alarm Logging
Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels der Option "WinCC/Audit":
Abbildung 3: Anzeige der Audit Trails über WinCC/Audit
Während der Projektierung
Änderungen in der Projektierung
Zur Unterstützung eines formalen Change Control Verfahrens kann die Option WinCC/ChangeControl
Änderungen in den WinCC-Projekten aufzeichnen (z. B. Archive, Grafiken, Einstellung der Benutzerrechte, etc.). WinCC/ChangeControl ist als separate Option oder als Bestandteil von WinCC/Audit
erhältlich. Die in WinCC/ChangeControl integrierte Funktion Document Control von WinCC/Audit ermöglicht eine umfassende Kontrolle über Einchecken, Auschecken, Löschen, Zurücksetzen (Rollback)
und Wiederherstellung von Applikations- und Benutzerdokumenten. In einer sicheren Datenbank werden Kopien aller Projektierungsstati eines Dokuments abgelegt.
A5E02545359-01
7
Änderungen in der Benutzerverwaltung
Die Änderungen im Rahmen der Benutzerverwaltung (wie z. B. das Einrichten neuer Benutzer, das
Sperren von Benutzern, etc.) werden im Ereignisprotokoll von Windows aufgezeichnet. Zu diesem
Zweck muss das Ereignisprotokoll entsprechend konfiguriert werden.
2.3
Systemlösung zum Archivieren und Abrufen archivierter
Daten
Kontinuierliche Archivierung
SIMATIC WinCC bietet ein konfigurierbares und skalierbares Archivierungskonzept. In lokalen
WinCC-Archiven werden Meldungen und Messwerte kontinuierlich gespeichert. Diese lokal gespeicherten Daten können automatisch in Langzeitarchive überführt werden. Die Bildung einer Prüfsumme
verhindert die Manipulation der archivierten Daten. Über die gesamte Dauer des definierten Aufbewahrungszeitraums können die archivierten Daten abgerufen werden. Der Abruf ist innerhalb von
SIMATIC WinCC mit Standardfunktionen oder über zusätzliche Standardschnittstellen oder Optionspakete (z. B. DataMonitor, Connectivity Pack) möglich.
Abbildung 4: Archivkonfiguration
8
A5E02545359-01
Chargenorientierte Archivierung
Das WinCC Premium Add-on PM-QUALITY wird eingesetzt, um eine chargenorientierte Datenarchivierung durchzuführen. PM-QUALITY verwaltet selbstständig lokale Archive und Langzeitarchive. Um
auf WinCC-Daten zugreifen zu können, verwendet PM-QUALITY die Standardschnittstellen von
SIMATIC WinCC. Diese stehen auch anderen Archivierungstools (von Siemens oder Drittherstellern)
zur Verfügung.
2.4
Systemlösung für Elektronische Unterschriften
SIMATIC WinCC bietet Funktionen zur Konfiguration einer elektronischen Unterschrift. Die elektronische Unterschrift wird in einem Dialog ausgeführt. Zur Identifizierung werden die Benutzerkennung
und das Passwort abgefragt und überprüft.
A5E02545359-01
9
Bewertungsliste für SIMATIC WinCC
3
Die folgende Checkliste zur Bewertung eines Systems stammt aus einem Dokument der ISPE / PDA 6 .
Die Checkliste zur Systembewertung deckt alle Anforderungen ab und nicht nur diejenigen, die durch
Systemlösungen erfüllt werden können. Zur Erfüllung einzelner Anforderungen des Regelwerkes
21 CFR Part 11 muss das pharmazeutische Unternehmen entsprechende Verfahrensanweisungen in
seinem Unternehmen einführen. Die Vorgaben der Regelwerke beziehen sich immer auf die kundenspezifische Applikation, die mit SIMATIC WinCC realisiert wurde. Daher sind die nachfolgend angegebenen Lösungen nur in Verbindung mit spezifischen Verfahrensanweisungen und organisatorischen
Maßnahmen gültig.
3.1
Verfahrensanweisungen und Maßnahmen für geschlossene
Systeme
Wenn der Systemzugang von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "geschlossen" bezeichnet und muss auf die
Anforderungen dieses Kapitels hin bewertet werden.
Absatz/
Punkt
Fragen / Anforderungen
Kommentare
11.10(a)
Punkt 1
Ist das System validiert?
Der Kunde ist für die Validierung der Applikationen / des
Systems verantwortlich. Die Validierung sollte nach einem gängigen Systemlebenszyklus-Modell (System Life
Cycle, SLC) erfolgen, wie z. B. im GAMP-Leitfaden beschrieben.
SIMATIC WinCC wurde gemäß dem Qualitätsmanagementsystem von Siemens (ISO 9001:2008 zertifiziert)
entwickelt. Die Validierung der Applikation kann von
Siemens während der Projekte unterstützt werden.
11.10(a)
Punkt 2
Ist es möglich, ungültige oder veränderte Aufzeichnungen zu erkennen?
Ja.
Für jeden Bedieneingriff kann ein Eintrag im Audit Trail
erzeugt werden (wenn beispielsweise der Bediener Sollwerte / Alarmgrenzwerte / den Überwachungsmodus, etc.
verändert oder Alarme quittiert). Alle relevanten Änderungen werden aufgezeichnet, inklusive Zeitstempel,
Benutzerkennung, altem und neuem Wert und Kommentar. Unberechtigte Änderungen werden durch den
Zugriffsschutz des Systems verhindert.
Archivierte Aufzeichnungen sind mit einem PrüfsummenMechanismus zur Entdeckung von unbefugten Änderungen geschützt.
Änderungen in der Projektierung von SIMATIC WinCC
können mit WinCC/Audit zurückverfolgt werden.
6
Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002
10
A5E02545359-01
Absatz/
Punkt
Kommentare
11.10(b)
Punkt 1
Kann das System exakte und komplette Kopien von elektronischen
Aufzeichnungen auf Papier erzeugen?
Ja.
11.10(b)
Punkt 2
Kann das System exakte und komplette Kopien von Aufzeichnungen in
elektronischer Form erzeugen für die
Inspektion, die Überprüfung und das
Kopieren durch die FDA?
Ja.
11.10(c)
Können die Aufzeichnungen während
der Dauer Ihrer Aufbewahrung lesbar
gemacht werden?
Ja.
SIMATIC WinCC liefert Ausdrucke von Prozesswerten,
Meldungen und Audit Trails.
Die Prozesswerte, Meldungen und Audit Trails können in
elektronischer Form exportiert werden und mit WinCC
oder der Option DataMonitor angezeigt werden. Mit der
Option WinCC/Audit kann der Audit Trail in die Formate
Microsoft Excel, PDF, CSV oder XML exportiert werden.
Aufzeichnungen können in einem lesbaren Format z. B.
auf CD oder DVD gesichert werden. Wir gehen davon
aus, dass diese Ausgabegeräte und Formate auch künftig lesbar sein werden. Die ausgelagerten Aufzeichnungen können dann entweder mit der Option DataMonitor
angezeigt oder wieder in WinCC eingespielt werden.
Weiterhin sollte der Kunde die Aufbewahrungszeiten
definieren, sowie Verfahren für Archivierung, Backup und
Zurücklesen für elektronische Aufzeichnungen festlegen.
11.10(d)
Ist der Zugriff zum System auf berechtigte Personen beschränkt?
Ja.
Beim Einsatz von SIMATIC Logon greifen alle Möglichkeiten der Benutzerverwaltung von Windows (siehe Kapitel 2.1 Systemlösung für den Zugriffsschutz).
Der Kunde sollte sicherstellen, dass nur Personen mit
legitimiertem geschäftlichem Nutzungsbedarf einen physischen Zugang zum System haben sollten (z. B. Server,
Systemkonsole).
Da diese Anforderung praktisch die gleiche wie 11.10(g)
ist, wird sie allgemein so ausgelegt, dass sie sich jeweils
sowohl auf den physischen Zugang als auch auf den
logischen Zugriff bezieht.
11.10(e)
Punkt 1
Gibt es einen sicheren, vom Computer erzeugten, mit Zeitstempel versehenen Audit Trail, der das Datum und
die Zeit von Eingaben und Aktionen
des Benutzers aufzeichnet, der elektronische Aufzeichnungen erstellt,
verändert oder löscht?
Ja.
11.10(e)
Punkt 2
Ist nach einer Änderung einer elektronischen Aufzeichnung die zuvor
aufgezeichnete Information noch
verfügbar? (z. B. nicht durch die Änderung verdeckt?)
Ja.
11.10(e)
Punkt 3
Ist der Audit Trail zu einer elektronischen Aufzeichnung während der
Aufbewahrungszeit der Aufzeichnung
verfügbar?
Ja.
A5E02545359-01
Der Audit Trail ist innerhalb des Systems sicher und kann
nicht durch einen Benutzer geändert werden.
Die Änderungen während der Produktion werden vom
System selbst rückverfolgt und enthalten die Informationen mit Zeitstempel, Benutzerkennung, altem und neuem
Wert und Kommentar.
Die aufgezeichnete Information bleibt immer in der Datenbank verfügbar.
Der Audit Trail kann während der gesamten Aufbewahrungsdauer bereitgestellt werden. (siehe 11.10 (c))
11
Absatz/
Punkt
Kommentare
11.10(e)
Punkt 4
Steht der Audit Trail für Überprüfung
und Kopieren durch die FDA zur
Verfügung?
Ja.
Mit der Option WinCC/Audit kann der Audit Trail in die
Formate Microsoft Excel, PDF, CSV oder XML exportiert
werden.
Wurde der Audit Trail im Alarm Logging aufgezeichnet,
kann er in PDF oder CSV Format exportiert werden.
11.10(f)
11.10(g)
11.10(h)
Wenn die Reihenfolge von Systemschritten oder Ereignissen wichtig ist,
wird dies durch das System erzwungen? (z. B. wie das bei Prozessleitsystemen der Fall ist)
Ja.
Stellt das System sicher, dass: nur
berechtigte Personen das System
nutzen und elektronische Aufzeichnungen unterschreiben, auf die Bedienung oder Geräte zur Ein- oder
Ausgabe zugreifen, Aufzeichnungen
ändern oder andere Tätigkeiten
durchführen können?
Ja.
Sofern es ein Erfordernis des Systems ist, dass Eingabedaten oder
Befehle nur von bestimmten Eingabegeräten (z. B. Terminals) kommen
können, prüft das System die Gültigkeit der Quelle aller eingehenden
Daten und Befehle?
Ja.
(Anmerkung: Dies ist anzuwenden,
wenn die Daten oder Befehle von
mehr als einem Gerät stammen können und daher das System die Integrität der Quelle, wie Waage oder
entfernte über Funk verbundene
Terminals, verifizieren muss.)
11.10(i)
Gibt es Dokumentation über die
Schulungen, einschließlich tätigkeitsbezogener Schulungen für SystemBenutzer, Entwickler und IT-ServicePersonal?
Eine bestimmte Abfolge von Bedieneingriffen kann durch
eine entsprechende Konfiguration der Applikation berücksichtigt werden.
Das Software-Paket SIMATIC Logon stützt sich auf das
Sicherheitssystem von MS-Windows. Benutzerkennung
und Passwort werden verwendet.
Hierzu wird eine zentrale Benutzerverwaltung für die
Pflege von Benutzern und Benutzergruppen eingesetzt.
Außerdem sollte der Kunde festlegen, wie der Zugriff
ausschließlich auf autorisierte Personen beschränkt wird
(z. B. wer hat Zugriff innerhalb der WinCC-Runtime auf
welche Objekte oder Funktionen?), einschließlich der
Sonderrechte für die Administratoren.
Die WinCC-Arbeitsstationen sind so projektierbar, dass
spezielle Eingabedaten / Befehle nur von einer einzelnen
dedizierten oder einer Gruppe von dedizierten Arbeitsstationen ausgeführt werden können. Alle anderen Arbeitsstationen verfügen höchstens über Lesezugriffsrechte.
Das System führt Gültigkeitsüberprüfungen durch, da die
Anbindung der Stationen innerhalb des Systems erfolgen
muss.
Ja.
Siemens bietet zum einen Standardkurse an, aber auch
Schulungen zu Kundenprojekten, welche gesondert geplant und ausgeführt werden.
Es liegt in der Verantwortung des Kunden, die Kurse zu
planen und durchzuführen.
11.10(j)
Gibt es schriftlich festgelegte Grundsätze, mit denen der Einzelne voll
haftbar gemacht wird für Aktivitäten,
die unter seiner elektronischen Unterschrift eingeleitet werden?
Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig.
11.10(k)
Punkt 1
Ist die Verteilung von, der Zugriff auf
und die Benutzung der Dokumentation zum Betrieb und zur Wartung des
Systems kontrolliert?
12
A5E02545359-01
Absatz/
Punkt
Kommentare
11.10(k)
Punkt 2
Gibt es ein formelles Verfahren des
Change Control für die Systemdokumentation, das ein Audit Trail in zeitlicher Folge für diejenigen Änderungen
bewahrt, die von der pharmazeutischen Organisation vorgenommen
wurden?
3.2
Zusätzliche Verfahrensanweisungen und Maßnahmen für
offene Systeme
Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen
Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet und muss nach den Anforderungen bewertet werden, die in diesem Kapitel beschrieben sind. SIMATIC WinCC kann sowohl
in einer geschlossenen als auch in einer offenen Umgebung betrieben werden. Bei offenen Systemen
müssen zusätzliche Anforderungen bei der Implementierung eingehalten werden.
Absatz/
Punkt
Kommentare
11.30
Punkt 1
Sind die Daten verschlüsselt?
Im Falle von offenen Systemen sollte das System zusätzlich abgesichert werden; Konfigurationshinweise im
Handbuch "Sicherheitskonzept PCS 7 und WinCC" sowie
marktübliche Standardtools z. B. zur Verschlüsselung
unterstützen dabei.
11.30
Punkt 2
Werden digitale Unterschriften benutzt?
SIMATIC WinCC beinhaltet keine Funktionalität zur digitalen (verschlüsselten) Signierung. Es gibt Standardtools
auf dem Markt, die eine digitale Signierung von Aufzeichnungen ermöglichen (z. B. für PDF-Dateien).
3.3
Signierte elektronische Aufzeichnungen
Absatz/
Punkt
Kommentare
11.50
Punkt 1
Enthalten unterschriebene elektronische Aufzeichnungen die folgenden
verbundenen Informationen?
Ja.
a)
Gedruckter Name des
Unterzeichnenden
b)
Datum und Zeit der Unterschrift
c)
Bedeutung der Unterschrift (wie
Genehmigung, Überprüfung,
Verantwortlichkeit)
A5E02545359-01
Signierte elektronische Aufzeichnungen beinhalten neben
anderen Informationen auch folgende:
a)
gedruckter Name oder Benutzerkennung des Unterzeichnenden
b)
Datum und Uhrzeit der Unterschriftsausführung
c)
einschließlich der Bedeutung
13
Absatz/
Punkt
Kommentare
11.50
Punkt 2
Erscheinen die oben genannten Informationen auf den angezeigten und
gedruckten Kopien der elektronischen
Aufzeichnung?
Ja.
11.70
Ist die elektronische Unterschrift mit
der elektronischen Aufzeichnung
verknüpft, auf die sie sich bezieht, um
sicherzustellen, dass die elektronische Unterschrift nicht in betrügerischer Absicht getrennt, kopiert oder
auf andere Weise auf andere Aufzeichnungen übertragen werden
kann?
Ja.
Die oben genannten Informationen können als Komponente der elektronischen Aufzeichnung angezeigt und
gedruckt werden.
Sobald eine elektronische Aufzeichnung signiert ist, wird
sie in der WinCC-Datenbank abgelegt. Diese Aufzeichnung kann nicht getrennt, kopiert, verändert oder gelöscht werden. Der externe Zugang zur Datenbank ist
passwortgeschützt.
Ergänzend hierzu empfehlen wir, den Zugriff auf die
Datenbank durch die Sicherheitsfunktionen von Windows
einzuschränken.
3.4
Elektronische Unterschriften (allgemein)
Absatz/
Punkt
Kommentare
11.100(a)
Punkt 1
Sind die elektronischen Unterschriften
eindeutig für eine Person?
Ja.
Die elektronische Unterschrift verwendet die Benutzerkennung und das Passwort des Benutzers. Die Eindeutigkeit der Benutzerkennung wird durch das MSWindows-Sicherheitssystem sichergestellt. Es ist nicht
möglich einen Benutzer mit der gleichen Benutzerkennung innerhalb einer Arbeitsgruppe / Domäne zu definieren.
Zusätzlich muss der Kunde die Eindeutigkeit der elektronischen Unterschrift zur Person gewährleisten.
11.100(a)
Punkt 2
Werden die elektronischen Unterschriften durch jemanden Anderen
wiederverwendet oder neu zugeordnet?
Der Kunde muss sicherstellen und ist dafür verantwortlich, dass eine Benutzerkennung immer nur einer Person
zugeteilt wird.
11.100(b)
Wird die Identität einer Person überprüft, bevor eine elektronische Unterschrift zugeteilt wird?
Dieses liegt in der Verantwortung des Kunden. Er muss
organisatorische Maßnahmen ergreifen.
14
A5E02545359-01
3.4.1
Elektronische Unterschriften (nicht-biometrisch)
Absatz/
Punkt
Kommentare
11.200
(a)(1)(i)
Besteht die Unterschrift aus mindestens zwei Komponenten wie einer
Benutzerkennung und Passwort oder
eine Chipkarte und Passwort?
Ja.
11.200
(a)(1)(ii)
Wird, wenn mehrere Unterschriften
während einer kontinuierlichen Sitzung gemacht werden, das Passwort
für jede Unterschrift eingegeben?
(Anmerkung: beide Komponenten
sind zu Beginn der Sitzung auszuführen)
Ja.
11.200
(a)(1)(iii)
Werden, wenn Unterschriften nicht in
einer kontinuierlichen Sitzung geleistet werden, beide Komponenten der
elektronischen Unterschrift bei jeder
Unterschrift ausgeführt?
Ja.
11.200
(a)(2)
Werden nicht-biometrische elektronische Unterschriften nur durch ihren
authentischen Eigentümer genutzt?
Der Kunde ist für die Bereitstellung von Verfahrensanweisungen verantwortlich, die eine Offenlegung von
Passwörtern verbieten.
11.200
(a)(3)
Erfordert der Versuch, eine elektronische Unterschrift zu fälschen, die
Zusammenarbeit von mindestens
zwei Personen?
Ja.
SIMATIC Logon identifiziert die Person durch zwei unterschiedliche Komponenten: Benutzerkennung und Passwort oder Chipkarte und Passwort.
Jede Unterschrift benötigt mindestens zwei Komponenten
(Benutzerkennung und Passwort).
Jede Unterschrift benötigt mindestens zwei Komponenten
(Benutzerkennung und Passwort).
Es ist nicht möglich, eine elektronische Unterschrift bei
der Unterzeichnung und nachdem das System sie aufgezeichnet hat zu fälschen.
Der Administrator kann die Unterschrift nicht missbrauchen, obwohl er Benutzerkennung und Initialpasswort
einrichtet, weil der Benutzer gezwungen wird, das Passwort beim ersten Einloggen zu ändern.
Die nicht autorisierte Benutzung von Benutzerkennungen
/ Passwörtern (fehlgeschlagene Anmeldeversuche) wird
sofort festgestellt und aufgezeichnet.
Zusätzlich benötigt der Kunde Verfahrensanweisungen,
die eine Offenlegung von Passwörtern verbieten.
3.4.2
Elektronische Unterschriften (biometrisch)
Absatz/
Punkt
Kommentare
11.200(b)
Wurde bewiesen, dass biometrische
elektronische Unterschriften nur durch
ihren authentischen Eigentümer genutzt werden können?
Standardtools von Drittherstellern können für die Erzeugung von biometrischen elektronischen Unterschriften
verwendet werden. Die Integrität einer solchen Lösung
sollte gesondert bewertet werden.
A5E02545359-01
15
3.5
Kontrollen für Benutzerkennungen und Passworte
Absatz/
Punkt
Kommentare
11.300(a)
Sind Kontrollen vorhanden, um die
Einzigartigkeit einer jeden Kombination Benutzerkennung und Passwort zu
erhalten, so dass keine Person die
gleiche Kombination von Benutzerkennung und Passwort hat?
Siehe 11.100(a).
11.300(b)
Punkt 1
Sind Verfahren vorhanden, um sicherzustellen, dass die Gültigkeit von
Benutzerkennung regelmäßig überprüft wird?
Der Kunde ist für die Erstellung von Verfahrensanweisungen zuständig.
11.300(b)
Punkt 2
Laufen Passwörter regelmäßig ab
und sind diese regelmäßig zu überprüfen?
Ja.
11.300(b)
Punkt 3
Gibt es ein Verfahren zur Zurücknahme von Benutzerkennungen und
Passwörtern, wenn eine Person ausscheidet oder wechselt?
Der Kunde ist für die Erstellung von Verfahrensanweisungen verantwortlich.
Gibt es ein Verfahren, um eine Benutzerkennung oder ein Passwort
elektronisch zu inaktivieren, falls es
potentiell kompromittiert oder verloren
wurde?
Der Kunde ist für die Erstellung von Verfahrensanweisungen verantwortlich.
11.300(c)
Ein Passwort erlischt nach einer bestimmten Anzahl von
Tagen und kann für eine bestimmte Anzahl von Generationen nicht mehr benutzt werden, entsprechend den
Sicherheitsrichtlinien von MS-Windows. Die Passwortalterung beeinflusst nicht die vorhergehende Benutzung
(Aufzeichnungen, Unterschriften).
Mit dem MS-Windows Sicherheitssystem können Benutzerkonten deaktiviert werden.
Mit dem MS-Windows Sicherheitssystem können Benutzerkonten geändert werden.
Der Benutzer kann über SIMATIC Logon jederzeit sein
Passwort ändern.
11.300(d)
Punkt 1
11.300(d)
Punkt 2
16
Gibt es ein Verfahren, mit dem Versuche einer unberechtigten Nutzung
entdeckt werden und eine Information
der für die Sicherheit verantwortlichen
Personen erfolgt?
Unbefugte Zugangsversuche werden im MS-Windows
Sicherheitsprotokoll aufgezeichnet. Das Benutzerkonto
wird nach einer bestimmten Anzahl von unbefugten Versuchen gesperrt.
Gibt es ein Verfahren mit dem wiederholte oder ernsthafte Versuche
einer unberechtigten Nutzung dem
Management berichtet werden?
Der Kunde ist für die Bereitstellung der entsprechenden
organisatorischen Maßnahmen zuständig.
Zusätzlich ist der Kunde für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig.
A5E02545359-01
Für Tokens, Karten und andere Geräte, die eine Information über Benutzerkennung
oder Passwort enthalten oder generieren
Absatz/
Punkt
Kommentare
11.300(c)
Punkt 1
Gibt es ein Verfahren zur Handhabung von Verlusten, das zu befolgen
ist, wenn ein Gerät verloren ging oder
gestohlen wurde?
Nicht anwendbar für ein reines Software-Produkt wie
SIMATIC WinCC
11.300(c)
Punkt 2
Gibt es ein Verfahren, um ein verlorenes, gestohlenes oder potentiell kompromittiertes Gerät elektronisch zu
inaktivieren?
SIMATIC WinCC
11.300(c)
Punkt 3
Gibt es Kontrollen für die Ausgabe
von temporärem oder dauerhaftem
Ersatz?
SIMATIC WinCC
11.300(e)
Punkt 1
Gibt es anfängliche oder regelmäßige
Tests von Tokens und Karten?
SIMATIC WinCC
11.300(e)
Punkt 2
Beinhaltet dieses Testen Prüfungen,
dass es keine ungenehmigten Änderungen gab?
SIMATIC WinCC
A5E02545359-01
17
01/2008
GMP-Engineering Handbuch
Compliance Response Ausgabe 02/2009
SIMATIC WinCC V7.0
SIMATIC WinCC
Elektronische Aufzeichnungen
Elektronische Unterschriften
Siemens AG
Industry Sector
Industry Automation
VMM Pharma
76181 KARLSRUHE
DEUTSCHLAND
A5E02545359-01
[email protected]
www.siemens.com/simatic-wincc
simatic
winCC
DOKUMENTATION

21 CFR Part 11 Whitepaper WinCC

Transcription

Documents pareils

Umstellung von S5 auf S7

SIMATIC Rack PC 647B - Höchste Kompaktheit bei

Kfz-Vollmacht

90725_E20001-A820-P200_WS TIA_Wasser.indd

SIMATIC Sensors

SIMATIC Sensors

Netzwerkrouter.de - Die Nr. 1 wenn es um Router geht