19
Compliance Response Ausgabe 07/2009 SIMATIC WinCC V7.0 Konformitätserklärung Elektronische Aufzeichnungen Elektronische Unterschriften simatic winCC DOKUMENTATION

21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Embed Size (px)

Citation preview

Page 1: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Compliance Response Ausgabe 07/2009

SIMATIC WinCC V7.0Konformitätserklärung

Elektronische AufzeichnungenElektronische Unterschriften

SIM

ATI

C W

inC

C

01

/20

08

GM

P-En

gin

eeri

ng

Han

db

uch

Siemens AktiengesellschaftIndustry SectorIndustry AutomationVMM Pharmaceutical76187 KARLSRUHEDEUTSCHLAND [email protected]/simatic-wincc

simatic winCC DOKUMENTATION

A5E02545359-01

Page 2: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Konformitätserklärung

Elektronische Aufzeichnungen / Elektronische Unterschriften

für SIMATIC WinCC V7.0

SIEMENS AG

Industry Sector

I IA VMM Pharma

D-76187 Karlsruhe, Deutschland

Email: [email protected]

Juli 2009

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 1

Page 3: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Inhaltsverzeichnis

Inhaltsverzeichnis

Inhaltsverzeichnis ................................................................................................................................. 2

Einleitung ............................................................................................................................................... 3

1 Die Anforderungen im Überblick................................................................................................. 4

2 Erfüllung der Anforderungen durch SIMATIC WinCC............................................................... 5

2.1 Systemlösung für den Zugriffsschutz..................................................................................... 5 2.2 Systemlösung für Audit Trails ................................................................................................ 6 2.3 Systemlösung zum Archivieren und Abrufen archivierter Daten ........................................... 8 2.4 Systemlösung für Elektronische Unterschriften ..................................................................... 9

3 Bewertungsliste für SIMATIC WinCC........................................................................................ 10

3.1 Verfahrensanweisungen und Maßnahmen für geschlossene Systeme .............................. 10 3.2 Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme ....................... 13 3.3 Signierte elektronische Aufzeichnungen.............................................................................. 13 3.4 Elektronische Unterschriften (allgemein) ............................................................................. 14 3.4.1 Elektronische Unterschriften (nicht-biometrisch) ................................................................. 15 3.4.2 Elektronische Unterschriften (biometrisch) .......................................................................... 15 3.5 Kontrollen für Benutzerkennungen und Passworte ............................................................. 16

SIMATIC WinCC V7.0 - Konformitätserklärung 2 A5E02545359-01

Page 4: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Einleitung

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 3

Einleitung

Am 20. August 1997 trat die Vorschrift 21 CFR Part 11 zu "Elektronischen Aufzeichnungen und Elek-tronischen Unterschriften" der US-Aufsichtsbehörde Food and Drug Administration (FDA) in Kraft. 21 CFR Part 11 (kurz: Part 11) definiert die Akzeptanzkriterien der FDA an die Verwendung von elek-tronischen Aufzeichnungen und elektronischen Unterschriften anstelle von Aufzeichnungen in Papier-form und handschriftlichen Unterschriften auf Papier. Dabei müssen elektronische Aufzeichnungen und Unterschriften ebenso vertrauenswürdig, verlässlich und gleichwertig sein wie traditionelle Auf-zeichnungen. FDA-Vorschriften finden über die pharmazeutische Industrie hinaus auch in anderen sog. Life Sciences (bspw. Lebensmitteltechnologie, Kosmetik und Pflegemittel, etc.) Anwendung.

Bereits 1992 hatte die Kommission der Europäischen Gemeinschaft zuvor im Anhang 11 zum EU-GMP-Leitfaden1 (kurz Annex 11) ihre Anforderungen an den Einsatz computergestützter Systeme definiert. Dieser umfasst im Gegensatz zum Part 11 der FDA zwar Anforderungen an alle Themenge-biete rund um computergestützte Systeme, geht jedoch bei den Anforderungen nicht so weit ins Detail wie 21 CFR Part 11 bei elektronischen Aufzeichnungen und elektronischen Unterschriften.

Die Anwendung von Vorschriften wie Part 11 und EU-GMP-Leitfaden (bzw. dessen jeweilige Umset-zung in nationales Recht) ist bei der Verwendung elektronischer Aufzeichnungen und Unterschriften zwingend erforderlich. Sie gelten jedoch nur in ihrem jeweiligen nationalen Kontext und dort auch nur für "regulierte" elektronische Aufzeichnungen. Über die Verwendung elektronischer Aufzeichnungen und Unterschriften hinaus besteht die Möglichkeit, herkömmliche Papierdokumente und handschriftli-che Unterschriften oder eine Kombination der beiden auch weiterhin zu verwenden.

Über die Gesetzestexte hinaus existieren zu dieser Thematik verschiedene Interpretationshilfen und Empfehlungen von Regulierungsbehörden wie der FDA und von Industrieverbänden wie der ISPE und PDA. Dieses Dokument stützt sich auf die weltweit anerkannte aktuelle Interpretation der ISPE-CoP GAMP2 und der PDA3. Wenn die Interpretation einer Anforderung bei einem Unternehmen von dem hier angegebenen abweicht, wenden Sie sich bitte für nähere Informationen an das I IA VMM Pharma der Siemens AG in Karlsruhe (Kontaktdaten siehe oben).

Als Hilfe für unsere Kunden hat Siemens als Anbieter von SIMATIC WinCC das System in der Version 7.0 anhand dieser Anforderungen evaluiert. Aufgrund des höheren Detaillierungsgrades ba-siert diese Untersuchung auf den Detailanforderungen des Part 11 (FDA), berücksichtigt jedoch auch implizit die Anforderungen des Annex 11 (EU). Die Ergebnisse dieser Bewertung werden mit dem vorliegenden Dokument veröffentlicht.

SIMATIC WinCC V7.0 erfüllt die funktionalen Anforderungen an elektronische Aufzeichnungen und elektronische Unterschriften umfassend.

In Verbindung mit durch den Kunden zu etablierenden organisatorischen Maßnahmen und Verfah-rensanweisungen ist der vorschriftskonforme Betrieb gewährleistet.

Die Empfehlungen von Siemens für die Systemarchitektur, Konzeption und Konfiguration werden dem Anwender dabei helfen, die Konformität zu erreichen. Weitere Informationen und Hilfen finden sich im "GMP-Engineering Handbuch SIMATIC WinCC"4.

Das vorliegende Dokument ist in drei Teile gegliedert: Der erste Teil enthält einen kurzen Überblick über die Anforderungen von Part 11, der zweite Teil stellt Funktionalitäten von SIMATIC WinCC V7.0 im Kontext dieser Anforderungen vor, und der dritte Teil beinhaltet eine detaillierte Systembewertung auf Basis der einzelnen Anforderungen des Part 11.

1 EU Guidelines to Good Manufacturing Practice, Volume 4, Medicinal Products for Human and Veterinary Use, Annex 11 Com-puterised Systems; European Commission Brussels, 2005 2 GAMP Good Practice Guide “A Risk-Based Approach to Compliant Electronic Records and Signatures”; ISPE 2005 3 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften, Teil 2 “Erfüllung der An-forderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 4 GMP-Engineering Handbuch SIMATIC WinCC; Siemens AG, I IA VMM Pharma

Page 5: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Die Anforderungen im Überblick

1 Die Anforderungen im Überblick

21 CFR Part 11 trägt der Tatsache Rechnung, dass die Gefahr von Manipulation, Fehlinterpretationen und nicht nachvollziehbaren Änderungen bei elektronischen Aufzeichnungen und Unterschriften grö-ßer ist als bei herkömmlichen Papieraufzeichnungen und handschriftlichen Unterschriften bzw. schwe-rer zu entdecken sind. Aus diesem Grund sind zusätzliche Maßnahmen notwendig.

Die Begriffe "elektronische Aufzeichnung" / "elektronisches Dokument" meinen jede Kombination von Text, Grafik, Daten, Audio, bildliche oder andere Formen von Informationen in digitaler Form, die mit einem Computersystem erstellt, modifiziert, gewartet, archiviert, zurückgewonnen oder verteilt wer-den.5

Der Begriff "elektronische Unterschrift" meint ein computertechnisch verarbeitetes Symbol oder eine Reihe von Symbolen, die von einer Person angefertigt, übernommen oder genehmigt wurde, um ein rechtlich bindendes Äquivalent einer handschriftlichen Unterschrift zu sein.5

Forderung Beschreibung

Validierung Alle GMP-relevanten automatisierten Systeme müssen validiert werden, um eine präzi-se, zuverlässige und durchgängige Datenaufbereitung entsprechend den Vorgaben zu gewährleisten.

Audit Trails Alle regulierten Bedienereinträge, die elektronische Aufzeichnungen erstellen, ändern oder löschen, müssen in einem sicheren, mit Zeitstempel versehenen, computergene-rierten Audit Trail aufgezeichnet werden.

Aufbewahrung, Schutz, Reproduzierbarkeit und Abrufbarkeit

Die Systeme müssen in der Lage sein, während der konfigurierbaren Aufbewahrungs-dauer die Aufzeichnungen zu archivieren, zu schützen und auf Abruf bereitzustellen. Die elektronischen Aufzeichnungen müssen sowohl in einer menschenlesbaren als auch in elektronischer Form reproduzierbar sein.

Dokumentenlenkung Für die Systembetriebs- und Wartungsdokumentation muss es Kontrollen im Hinblick auf ihren Zugang, Überprüfung, Verteilung und Verwendung geben.

Zugriffsschutz Der Zugriff auf elektronische Aufzeichnungen muss ausschließlich auf autorisierte und qualifizierte Personen beschränkt sein. Innerhalb von offenen Systemen müssen zusätz-liche Sicherheitsmaßnahmen implementiert werden, um dies zu gewährleisten (siehe auch 21 CFR 11.30).

Elektronische Unterschrift

Die Systeme müssen Maßnahmen anbieten, die sicherstellen, dass die Benutzung der elektronischen Unterschrift nur auf den echten Eigentümer beschränkt ist und dass eine versuchte Benutzung durch Dritte sofort entdeckt und aufgezeichnet wird. Nicht-biometrische Systeme müssen zwei unterschiedliche Identifizierungskomponenten ein-setzen (z. B. Benutzerkennung und Passwort), die beim Signieren eingegeben werden. Zumindest das Passwort ist bei jeder nachfolgenden Signierungshandlung während der gleichen Sitzung erneut einzugeben. Die elektronische Unterschrift darf nicht wiederver-wendet oder weitergegeben werden. Der Zweck der elektronischen Unterschrift muss klar und deutlich angegeben sein. Schließlich soll das System Funktionen enthalten, um eine Fälschung der elektronischen Unterschrift durch Standardtools zu vermeiden. Es müssen schriftliche Bestimmungen vorhanden sein, um die Personen für die Handlun-gen zur Verantwortung ziehen zu können, die unter ihrer elektronischen Unterschrift getätigt wurden.

Bescheinigung für die FDA

Eine schriftliche Bescheinigung muss dem regionalen FDA-Büro übergeben werden mit der Bestätigung, dass die elektronischen Unterschriften mit den herkömmlichen hand-schriftlichen Unterschriften übereinstimmen und demnach ebenso rechtlich bindend sind.

5 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der An-forderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 SIMATIC WinCC V7.0 - Konformitätserklärung 4 A5E02545359-01

Page 6: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Erfüllung der Anforderungen durch SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 5

2 Erfüllung der Anforderungen durch SIMATIC WinCC

Die Anforderungen, die von Systemeigenschaften erfüllt werden können, lassen sich in vier Themen zusammenfassen:

• Zugriffsschutz

• Audit Trail

• Archivieren und Abrufen archivierter Daten

• Elektronische Unterschrift

2.1 Systemlösung für den Zugriffsschutz

Mit der WinCC-Basisfunktionalität SIMATIC Logon wird eine auf MS-Windows Sicherheitsmechanis-men basierende Benutzerverwaltung eingerichtet:

• Die einzelnen Nutzer und deren Zuordnung zu Windows-Benutzergruppen werden in der Benut-zerverwaltung von Windows definiert.

• SIMATIC Logon stellt die Verbindung zwischen den Windows-Benutzergruppen und den WinCC-Benutzergruppen her.

• Basierend auf den Benutzergruppen werden die Berechtigungen mit Berechtigungsstufen in der Benutzerverwaltung von SIMATIC WinCC definiert.

Auf diese Weise werden die folgenden Anforderungen an den Zugriffsschutz erfüllt:

• Zentrale Verwaltung der Benutzer (Einrichten, Deaktivieren, Sperren, Entsperren, Zuordnen zu Benutzergruppen) durch den Administrator

• Eindeutige Kombination von Benutzerkennung (User-ID) und Passwort

• Definition von Zugriffsberechtigungen für Gruppen und Benutzer

• Anlagenbereichsabhängiger Zugriff und Berechtigungsstufen

• Passwortalterung: Der Benutzer muss sein Passwort nach einer einstellbaren Zeit ändern; das Passwort kann erst nach n Generationen wieder verwendet werden.

• Das System kann vom Benutzer verlangen, während des ersten Einloggens ein neues Passwort zu definieren (Initialpasswort).

• Der Benutzer wird automatisch nach einer einstellbaren Anzahl von fehlerhaften Anmeldeversu-chen gesperrt und kann nur durch den Administrator wieder entsperrt werden.

• Automatisches Abmelden (Auto-Logout) nach einer konfigurierbaren Zeit, in der weder Tastatur noch Maus benutzt werden

• Log-Funktionen für Aktionen hinsichtlich Zugriffsschutz, z. B. Anmelden, manuelles und automati-sches Abmelden, Eingabe einer falschen Benutzerkennung oder eines falschen Passwortes, Sper-rung des Benutzers nach mehrfacher Falscheingabe des Passwortes, Passwortänderung durch den Benutzer

Page 7: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Erfüllung der Anforderungen durch SIMATIC WinCC

Abbildung 1: SIMATIC Logon Konfiguration

SIMATIC Logon erfüllt die Anforderungen hinsichtlich des Zugriffsschutzes in Kombination mit Verfah-rensanweisungen, wie z. B. "Festlegung der Zuständigkeit und Zugriffsberechtigung der Systembe-nutzer".

Darüber hinaus sollten unerlaubte Zugriffe auf die Verzeichnisstrukturen der einzelnen Systempro-gramme verhindert und somit ungewünschte Manipulationen ausgeschlossen werden, indem dem Benutzer auf Betriebssystemebene entsprechende Zugriffsrechte zugewiesen werden.

Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet. Falls es einen "offenen Pfad" gibt, muss dieser Pfad zusätzlich abgesichert werden. Grundprinzipien des Sicherheitskonzepts und detaillierte Konfigurationsempfehlungen enthält das Handbuch "Sicherheitskonzept PCS 7 und WinCC".

2.2 Systemlösung für Audit Trails

Audit Trails sind vor allem dort besonders wichtig, wo durch Bedieneingriffe des Benutzers Daten während des normalen Betriebes erzeugt, geändert oder gelöscht werden. Wird eine elektronische Aufzeichnung automatisch generiert, ohne dass diese durch den Bediener geändert oder gelöscht werden kann, ist kein Audit Trail erforderlich. Solche elektronischen Aufzeichnungen werden system-seitig durch SIMATIC WinCC gesichert (z. B. Zugriffsschutz).

Im nachfolgenden Abschnitt wird beschrieben, wie das System SIMATIC WinCC die Umsetzung der Anforderungen hinsichtlich des Audit Trails im laufenden Betrieb unterstützt. Darüber hinaus wird zu-sätzlich aufgezeigt, welche Hilfsmittel das System für die Nachvollziehbarkeit von Änderungen im Engineeringsystem bietet.

Im laufenden Betrieb Aufzeichnung von Prozessdaten

Prozessdaten (z. B. Prozesswerte, Prozess- oder Bedienmeldungen) werden gespeichert, ohne dass der Bediener die Möglichkeit hat, Änderungen vorzunehmen.

SIMATIC WinCC V7.0 - Konformitätserklärung 6 A5E02545359-01

Page 8: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Erfüllung der Anforderungen durch SIMATIC WinCC

Änderungen bei laufendem Betrieb

Änderungen und Eingaben, die der Bediener im Prozessvisualisierungssystem im laufenden Betrieb ausführt, müssen in Form eines Audit Trails erfasst werden. Hierzu stehen bei SIMATIC WinCC ver-schiedene Möglichkeiten zur Verfügung.

Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels WinCC-Meldearchiv:

Abbildung 2: Anzeige der Audit Trails über Alarm Logging

Aufzeichnung und Ansicht durchgeführter Bedienereingaben mittels der Option "WinCC/Audit":

Abbildung 3: Anzeige der Audit Trails über WinCC/Audit

Während der Projektierung Änderungen in der Projektierung

Zur Unterstützung eines formalen Change Control Verfahrens kann die Option WinCC/ChangeControl Änderungen in den WinCC-Projekten aufzeichnen (z. B. Archive, Grafiken, Einstellung der Benutzer-rechte, etc.). WinCC/ChangeControl ist als separate Option oder als Bestandteil von WinCC/Audit erhältlich. Die in WinCC/ChangeControl integrierte Funktion Document Control von WinCC/Audit er-möglicht eine umfassende Kontrolle über Einchecken, Auschecken, Löschen, Zurücksetzen (Rollback) und Wiederherstellung von Applikations- und Benutzerdokumenten. In einer sicheren Datenbank wer-den Kopien aller Projektierungsstati eines Dokuments abgelegt.

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 7

Page 9: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Erfüllung der Anforderungen durch SIMATIC WinCC

Änderungen in der Benutzerverwaltung

Die Änderungen im Rahmen der Benutzerverwaltung (wie z. B. das Einrichten neuer Benutzer, das Sperren von Benutzern, etc.) werden im Ereignisprotokoll von Windows aufgezeichnet. Zu diesem Zweck muss das Ereignisprotokoll entsprechend konfiguriert werden.

2.3 Systemlösung zum Archivieren und Abrufen archivierter Daten

Kontinuierliche Archivierung SIMATIC WinCC bietet ein konfigurierbares und skalierbares Archivierungskonzept. In lokalen WinCC-Archiven werden Meldungen und Messwerte kontinuierlich gespeichert. Diese lokal gespei-cherten Daten können automatisch in Langzeitarchive überführt werden. Die Bildung einer Prüfsumme verhindert die Manipulation der archivierten Daten. Über die gesamte Dauer des definierten Aufbe-wahrungszeitraums können die archivierten Daten abgerufen werden. Der Abruf ist innerhalb von SIMATIC WinCC mit Standardfunktionen oder über zusätzliche Standardschnittstellen oder Options-pakete (z. B. DataMonitor, Connectivity Pack) möglich.

Abbildung 4: Archivkonfiguration

SIMATIC WinCC V7.0 - Konformitätserklärung 8 A5E02545359-01

Page 10: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Erfüllung der Anforderungen durch SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 9

Chargenorientierte Archivierung Das WinCC Premium Add-on PM-QUALITY wird eingesetzt, um eine chargenorientierte Datenarchi-vierung durchzuführen. PM-QUALITY verwaltet selbstständig lokale Archive und Langzeitarchive. Um auf WinCC-Daten zugreifen zu können, verwendet PM-QUALITY die Standardschnittstellen von SIMATIC WinCC. Diese stehen auch anderen Archivierungstools (von Siemens oder Drittherstellern) zur Verfügung.

2.4 Systemlösung für Elektronische Unterschriften

SIMATIC WinCC bietet Funktionen zur Konfiguration einer elektronischen Unterschrift. Die elektroni-sche Unterschrift wird in einem Dialog ausgeführt. Zur Identifizierung werden die Benutzerkennung und das Passwort abgefragt und überprüft.

Page 11: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

3 Bewertungsliste für SIMATIC WinCC

Die folgende Checkliste zur Bewertung eines Systems stammt aus einem Dokument der ISPE / PDA6.

Die Checkliste zur Systembewertung deckt alle Anforderungen ab und nicht nur diejenigen, die durch Systemlösungen erfüllt werden können. Zur Erfüllung einzelner Anforderungen des Regelwerkes 21 CFR Part 11 muss das pharmazeutische Unternehmen entsprechende Verfahrensanweisungen in seinem Unternehmen einführen. Die Vorgaben der Regelwerke beziehen sich immer auf die kunden-spezifische Applikation, die mit SIMATIC WinCC realisiert wurde. Daher sind die nachfolgend ange-gebenen Lösungen nur in Verbindung mit spezifischen Verfahrensanweisungen und organisatorischen Maßnahmen gültig.

3.1 Verfahrensanweisungen und Maßnahmen für geschlossene Systeme

Wenn der Systemzugang von Personen kontrolliert wird, die für den Inhalt der elektronischen Auf-zeichnungen verantwortlich sind, wird das System als "geschlossen" bezeichnet und muss auf die Anforderungen dieses Kapitels hin bewertet werden.

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.10(a) Punkt 1

Ist das System validiert? Der Kunde ist für die Validierung der Applikationen / des Systems verantwortlich. Die Validierung sollte nach ei-nem gängigen Systemlebenszyklus-Modell (System Life Cycle, SLC) erfolgen, wie z. B. im GAMP-Leitfaden be-schrieben.

SIMATIC WinCC wurde gemäß dem Qualitätsmanage-mentsystem von Siemens (ISO 9001:2008 zertifiziert) entwickelt. Die Validierung der Applikation kann von Siemens während der Projekte unterstützt werden.

11.10(a) Punkt 2

Ist es möglich, ungültige oder verän-derte Aufzeichnungen zu erkennen?

Ja.

Für jeden Bedieneingriff kann ein Eintrag im Audit Trail erzeugt werden (wenn beispielsweise der Bediener Soll-werte / Alarmgrenzwerte / den Überwachungsmodus, etc. verändert oder Alarme quittiert). Alle relevanten Ände-rungen werden aufgezeichnet, inklusive Zeitstempel, Benutzerkennung, altem und neuem Wert und Kommen-tar. Unberechtigte Änderungen werden durch den Zugriffsschutz des Systems verhindert.

Archivierte Aufzeichnungen sind mit einem Prüfsummen-Mechanismus zur Entdeckung von unbefugten Änderun-gen geschützt.

Änderungen in der Projektierung von SIMATIC WinCC können mit WinCC/Audit zurückverfolgt werden.

6 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 “Erfüllung der An-forderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften”; ISPE und PDA 2001/2002 SIMATIC WinCC V7.0 - Konformitätserklärung 10 A5E02545359-01

Page 12: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 11

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.10(b) Punkt 1

Kann das System exakte und kom-plette Kopien von elektronischen Aufzeichnungen auf Papier erzeu-gen?

Ja.

SIMATIC WinCC liefert Ausdrucke von Prozesswerten, Meldungen und Audit Trails.

11.10(b) Punkt 2

Kann das System exakte und kom-plette Kopien von Aufzeichnungen in elektronischer Form erzeugen für die Inspektion, die Überprüfung und das Kopieren durch die FDA?

Ja.

Die Prozesswerte, Meldungen und Audit Trails können in elektronischer Form exportiert werden und mit WinCC oder der Option DataMonitor angezeigt werden. Mit der Option WinCC/Audit kann der Audit Trail in die Formate Microsoft Excel, PDF, CSV oder XML exportiert werden.

11.10(c) Können die Aufzeichnungen während der Dauer Ihrer Aufbewahrung lesbar gemacht werden?

Ja.

Aufzeichnungen können in einem lesbaren Format z. B. auf CD oder DVD gesichert werden. Wir gehen davon aus, dass diese Ausgabegeräte und Formate auch künf-tig lesbar sein werden. Die ausgelagerten Aufzeichnun-gen können dann entweder mit der Option DataMonitor angezeigt oder wieder in WinCC eingespielt werden.

Weiterhin sollte der Kunde die Aufbewahrungszeiten definieren, sowie Verfahren für Archivierung, Backup und Zurücklesen für elektronische Aufzeichnungen festlegen.

11.10(d) Ist der Zugriff zum System auf be-rechtigte Personen beschränkt?

Ja.

Beim Einsatz von SIMATIC Logon greifen alle Möglich-keiten der Benutzerverwaltung von Windows (siehe Kapi-tel 2.1 Systemlösung für den Zugriffsschutz).

Der Kunde sollte sicherstellen, dass nur Personen mit legitimiertem geschäftlichem Nutzungsbedarf einen phy-sischen Zugang zum System haben sollten (z. B. Server, Systemkonsole).

Da diese Anforderung praktisch die gleiche wie 11.10(g) ist, wird sie allgemein so ausgelegt, dass sie sich jeweils sowohl auf den physischen Zugang als auch auf den logischen Zugriff bezieht.

11.10(e) Punkt 1

Gibt es einen sicheren, vom Compu-ter erzeugten, mit Zeitstempel verse-henen Audit Trail, der das Datum und die Zeit von Eingaben und Aktionen des Benutzers aufzeichnet, der elekt-ronische Aufzeichnungen erstellt, verändert oder löscht?

Ja.

Der Audit Trail ist innerhalb des Systems sicher und kann nicht durch einen Benutzer geändert werden.

Die Änderungen während der Produktion werden vom System selbst rückverfolgt und enthalten die Informatio-nen mit Zeitstempel, Benutzerkennung, altem und neuem Wert und Kommentar.

11.10(e) Punkt 2

Ist nach einer Änderung einer elekt-ronischen Aufzeichnung die zuvor aufgezeichnete Information noch verfügbar? (z. B. nicht durch die Än-derung verdeckt?)

Ja.

Die aufgezeichnete Information bleibt immer in der Da-tenbank verfügbar.

11.10(e) Punkt 3

Ist der Audit Trail zu einer elektroni-schen Aufzeichnung während der Aufbewahrungszeit der Aufzeichnung verfügbar?

Ja.

Der Audit Trail kann während der gesamten Aufbewah-rungsdauer bereitgestellt werden. (siehe 11.10 (c))

Page 13: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

Absatz/ Fragen / Anforderungen Kommentare Punkt

11.10(e) Punkt 4

Steht der Audit Trail für Überprüfung und Kopieren durch die FDA zur Verfügung?

Ja.

Mit der Option WinCC/Audit kann der Audit Trail in die Formate Microsoft Excel, PDF, CSV oder XML exportiert werden.

Wurde der Audit Trail im Alarm Logging aufgezeichnet, kann er in PDF oder CSV Format exportiert werden.

11.10(f) Wenn die Reihenfolge von System-schritten oder Ereignissen wichtig ist, wird dies durch das System erzwun-gen? (z. B. wie das bei Prozessleit-systemen der Fall ist)

Ja.

Eine bestimmte Abfolge von Bedieneingriffen kann durch eine entsprechende Konfiguration der Applikation be-rücksichtigt werden.

11.10(g) Stellt das System sicher, dass: nur berechtigte Personen das System nutzen und elektronische Aufzeich-nungen unterschreiben, auf die Be-dienung oder Geräte zur Ein- oder Ausgabe zugreifen, Aufzeichnungen ändern oder andere Tätigkeiten durchführen können?

Ja.

Das Software-Paket SIMATIC Logon stützt sich auf das Sicherheitssystem von MS-Windows. Benutzerkennung und Passwort werden verwendet.

Hierzu wird eine zentrale Benutzerverwaltung für die Pflege von Benutzern und Benutzergruppen eingesetzt.

Außerdem sollte der Kunde festlegen, wie der Zugriff ausschließlich auf autorisierte Personen beschränkt wird (z. B. wer hat Zugriff innerhalb der WinCC-Runtime auf welche Objekte oder Funktionen?), einschließlich der Sonderrechte für die Administratoren.

11.10(h) Sofern es ein Erfordernis des Sys-tems ist, dass Eingabedaten oder Befehle nur von bestimmten Einga-begeräten (z. B. Terminals) kommen können, prüft das System die Gültig-keit der Quelle aller eingehenden Daten und Befehle?

(Anmerkung: Dies ist anzuwenden, wenn die Daten oder Befehle von mehr als einem Gerät stammen kön-nen und daher das System die Integ-rität der Quelle, wie Waage oder entfernte über Funk verbundene Terminals, verifizieren muss.)

Ja.

Die WinCC-Arbeitsstationen sind so projektierbar, dass spezielle Eingabedaten / Befehle nur von einer einzelnen dedizierten oder einer Gruppe von dedizierten Arbeitssta-tionen ausgeführt werden können. Alle anderen Arbeits-stationen verfügen höchstens über Lesezugriffsrechte.

Das System führt Gültigkeitsüberprüfungen durch, da die Anbindung der Stationen innerhalb des Systems erfolgen muss.

11.10(i) Gibt es Dokumentation über die Schulungen, einschließlich tätigkeits-bezogener Schulungen für System-Benutzer, Entwickler und IT-Service-Personal?

Ja.

Siemens bietet zum einen Standardkurse an, aber auch Schulungen zu Kundenprojekten, welche gesondert ge-plant und ausgeführt werden.

Es liegt in der Verantwortung des Kunden, die Kurse zu planen und durchzuführen.

11.10(j) Gibt es schriftlich festgelegte Grund-sätze, mit denen der Einzelne voll haftbar gemacht wird für Aktivitäten, die unter seiner elektronischen Unter-schrift eingeleitet werden?

Der Kunde ist für die Bereitstellung von Verfahrensan-weisungen zuständig.

11.10(k) Punkt 1

Ist die Verteilung von, der Zugriff auf und die Benutzung der Dokumentati-on zum Betrieb und zur Wartung des Systems kontrolliert?

Der Kunde ist für die Bereitstellung von Verfahrensan-weisungen zuständig.

SIMATIC WinCC V7.0 - Konformitätserklärung 12 A5E02545359-01

Page 14: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 13

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.10(k) Punkt 2

Gibt es ein formelles Verfahren des Change Control für die Systemdoku-mentation, das ein Audit Trail in zeitli-cher Folge für diejenigen Änderungen bewahrt, die von der pharmazeuti-schen Organisation vorgenommen wurden?

Der Kunde ist für die Bereitstellung von Verfahrensan-weisungen zuständig.

3.2 Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme

Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet und muss nach den An-forderungen bewertet werden, die in diesem Kapitel beschrieben sind. SIMATIC WinCC kann sowohl in einer geschlossenen als auch in einer offenen Umgebung betrieben werden. Bei offenen Systemen müssen zusätzliche Anforderungen bei der Implementierung eingehalten werden.

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.30 Punkt 1

Sind die Daten verschlüsselt? Im Falle von offenen Systemen sollte das System zusätz-lich abgesichert werden; Konfigurationshinweise im Handbuch "Sicherheitskonzept PCS 7 und WinCC" sowie marktübliche Standardtools z. B. zur Verschlüsselung unterstützen dabei.

11.30 Punkt 2

Werden digitale Unterschriften be-nutzt?

SIMATIC WinCC beinhaltet keine Funktionalität zur digi-talen (verschlüsselten) Signierung. Es gibt Standardtools auf dem Markt, die eine digitale Signierung von Aufzeich-nungen ermöglichen (z. B. für PDF-Dateien).

3.3 Signierte elektronische Aufzeichnungen

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.50 Punkt 1

Enthalten unterschriebene elektroni-sche Aufzeichnungen die folgenden verbundenen Informationen?

a) Gedruckter Name des Unterzeichnenden

b) Datum und Zeit der Unterschrift

c) Bedeutung der Unterschrift (wie Genehmigung, Überprüfung, Verantwortlichkeit)

Ja.

Signierte elektronische Aufzeichnungen beinhalten neben anderen Informationen auch folgende:

a) gedruckter Name oder Benutzerkennung des Unter-zeichnenden

b) Datum und Uhrzeit der Unterschriftsausführung

c) einschließlich der Bedeutung

Page 15: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

Absatz/ Fragen / Anforderungen Kommentare Punkt

11.50 Punkt 2

Erscheinen die oben genannten In-formationen auf den angezeigten und gedruckten Kopien der elektronischen Aufzeichnung?

Ja.

Die oben genannten Informationen können als Kompo-nente der elektronischen Aufzeichnung angezeigt und gedruckt werden.

11.70 Ist die elektronische Unterschrift mit der elektronischen Aufzeichnung verknüpft, auf die sie sich bezieht, um sicherzustellen, dass die elektroni-sche Unterschrift nicht in betrügeri-scher Absicht getrennt, kopiert oder auf andere Weise auf andere Auf-zeichnungen übertragen werden kann?

Ja.

Sobald eine elektronische Aufzeichnung signiert ist, wird sie in der WinCC-Datenbank abgelegt. Diese Aufzeich-nung kann nicht getrennt, kopiert, verändert oder ge-löscht werden. Der externe Zugang zur Datenbank ist passwortgeschützt.

Ergänzend hierzu empfehlen wir, den Zugriff auf die Datenbank durch die Sicherheitsfunktionen von Windows einzuschränken.

3.4 Elektronische Unterschriften (allgemein)

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.100(a) Punkt 1

Sind die elektronischen Unterschriften eindeutig für eine Person?

Ja.

Die elektronische Unterschrift verwendet die Benutzer-kennung und das Passwort des Benutzers. Die Eindeu-tigkeit der Benutzerkennung wird durch das MS-Windows-Sicherheitssystem sichergestellt. Es ist nicht möglich einen Benutzer mit der gleichen Benutzerken-nung innerhalb einer Arbeitsgruppe / Domäne zu definie-ren.

Zusätzlich muss der Kunde die Eindeutigkeit der elektro-nischen Unterschrift zur Person gewährleisten.

11.100(a) Punkt 2

Werden die elektronischen Unter-schriften durch jemanden Anderen wiederverwendet oder neu zugeord-net?

Der Kunde muss sicherstellen und ist dafür verantwort-lich, dass eine Benutzerkennung immer nur einer Person zugeteilt wird.

11.100(b) Wird die Identität einer Person über-prüft, bevor eine elektronische Unter-schrift zugeteilt wird?

Dieses liegt in der Verantwortung des Kunden. Er muss organisatorische Maßnahmen ergreifen.

SIMATIC WinCC V7.0 - Konformitätserklärung 14 A5E02545359-01

Page 16: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 15

3.4.1 Elektronische Unterschriften (nicht-biometrisch)

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.200 (a)(1)(i)

Besteht die Unterschrift aus mindes-tens zwei Komponenten wie einer Benutzerkennung und Passwort oder eine Chipkarte und Passwort?

Ja.

SIMATIC Logon identifiziert die Person durch zwei unter-schiedliche Komponenten: Benutzerkennung und Pass-wort oder Chipkarte und Passwort.

11.200 (a)(1)(ii)

Wird, wenn mehrere Unterschriften während einer kontinuierlichen Sit-zung gemacht werden, das Passwort für jede Unterschrift eingegeben? (Anmerkung: beide Komponenten sind zu Beginn der Sitzung auszufüh-ren)

Ja.

Jede Unterschrift benötigt mindestens zwei Komponenten (Benutzerkennung und Passwort).

11.200 (a)(1)(iii)

Werden, wenn Unterschriften nicht in einer kontinuierlichen Sitzung geleis-tet werden, beide Komponenten der elektronischen Unterschrift bei jeder Unterschrift ausgeführt?

Ja.

Jede Unterschrift benötigt mindestens zwei Komponenten (Benutzerkennung und Passwort).

11.200 (a)(2)

Werden nicht-biometrische elektroni-sche Unterschriften nur durch ihren authentischen Eigentümer genutzt?

Der Kunde ist für die Bereitstellung von Verfahrensan-weisungen verantwortlich, die eine Offenlegung von Passwörtern verbieten.

11.200 (a)(3)

Erfordert der Versuch, eine elektroni-sche Unterschrift zu fälschen, die Zusammenarbeit von mindestens zwei Personen?

Ja.

Es ist nicht möglich, eine elektronische Unterschrift bei der Unterzeichnung und nachdem das System sie aufge-zeichnet hat zu fälschen.

Der Administrator kann die Unterschrift nicht missbrau-chen, obwohl er Benutzerkennung und Initialpasswort einrichtet, weil der Benutzer gezwungen wird, das Pass-wort beim ersten Einloggen zu ändern.

Die nicht autorisierte Benutzung von Benutzerkennungen / Passwörtern (fehlgeschlagene Anmeldeversuche) wird sofort festgestellt und aufgezeichnet.

Zusätzlich benötigt der Kunde Verfahrensanweisungen, die eine Offenlegung von Passwörtern verbieten.

3.4.2 Elektronische Unterschriften (biometrisch)

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.200(b) Wurde bewiesen, dass biometrische elektronische Unterschriften nur durch ihren authentischen Eigentümer ge-nutzt werden können?

Standardtools von Drittherstellern können für die Erzeu-gung von biometrischen elektronischen Unterschriften verwendet werden. Die Integrität einer solchen Lösung sollte gesondert bewertet werden.

Page 17: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

3.5 Kontrollen für Benutzerkennungen und Passworte

Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.300(a) Sind Kontrollen vorhanden, um die Einzigartigkeit einer jeden Kombinati-on Benutzerkennung und Passwort zu erhalten, so dass keine Person die gleiche Kombination von Benutzer-kennung und Passwort hat?

Siehe 11.100(a).

11.300(b) Punkt 1

Sind Verfahren vorhanden, um si-cherzustellen, dass die Gültigkeit von Benutzerkennung regelmäßig über-prüft wird?

Der Kunde ist für die Erstellung von Verfahrensanwei-sungen zuständig.

11.300(b) Punkt 2

Laufen Passwörter regelmäßig ab und sind diese regelmäßig zu über-prüfen?

Ja.

Ein Passwort erlischt nach einer bestimmten Anzahl von Tagen und kann für eine bestimmte Anzahl von Genera-tionen nicht mehr benutzt werden, entsprechend den Sicherheitsrichtlinien von MS-Windows. Die Passwortal-terung beeinflusst nicht die vorhergehende Benutzung (Aufzeichnungen, Unterschriften).

11.300(b) Punkt 3

Gibt es ein Verfahren zur Zurück-nahme von Benutzerkennungen und Passwörtern, wenn eine Person aus-scheidet oder wechselt?

Der Kunde ist für die Erstellung von Verfahrensanwei-sungen verantwortlich.

Mit dem MS-Windows Sicherheitssystem können Benut-zerkonten deaktiviert werden.

11.300(c) Gibt es ein Verfahren, um eine Be-nutzerkennung oder ein Passwort elektronisch zu inaktivieren, falls es potentiell kompromittiert oder verloren wurde?

Der Kunde ist für die Erstellung von Verfahrensanwei-sungen verantwortlich.

Mit dem MS-Windows Sicherheitssystem können Benut-zerkonten geändert werden.

Der Benutzer kann über SIMATIC Logon jederzeit sein Passwort ändern.

11.300(d) Punkt 1

Gibt es ein Verfahren, mit dem Ver-suche einer unberechtigten Nutzung entdeckt werden und eine Information der für die Sicherheit verantwortlichen Personen erfolgt?

Unbefugte Zugangsversuche werden im MS-Windows Sicherheitsprotokoll aufgezeichnet. Das Benutzerkonto wird nach einer bestimmten Anzahl von unbefugten Ver-suchen gesperrt.

Zusätzlich ist der Kunde für die Bereitstellung der ent-sprechenden organisatorischen Maßnahmen zuständig.

11.300(d) Punkt 2

Gibt es ein Verfahren mit dem wie-derholte oder ernsthafte Versuche einer unberechtigten Nutzung dem Management berichtet werden?

Der Kunde ist für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig.

SIMATIC WinCC V7.0 - Konformitätserklärung 16 A5E02545359-01

Page 18: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Bewertungsliste für SIMATIC WinCC

SIMATIC WinCC V7.0 - Konformitätserklärung A5E02545359-01 17

Für Tokens, Karten und andere Geräte, die eine Information über Benutzerkennung oder Passwort enthalten oder generieren Absatz/ Punkt

Fragen / Anforderungen Kommentare

11.300(c) Punkt 1

Gibt es ein Verfahren zur Handha-bung von Verlusten, das zu befolgen ist, wenn ein Gerät verloren ging oder gestohlen wurde?

Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC

11.300(c) Punkt 2

Gibt es ein Verfahren, um ein verlore-nes, gestohlenes oder potentiell kom-promittiertes Gerät elektronisch zu inaktivieren?

Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC

11.300(c) Punkt 3

Gibt es Kontrollen für die Ausgabe von temporärem oder dauerhaftem Ersatz?

Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC

11.300(e) Punkt 1

Gibt es anfängliche oder regelmäßige Tests von Tokens und Karten?

Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC

11.300(e) Punkt 2

Beinhaltet dieses Testen Prüfungen, dass es keine ungenehmigten Ände-rungen gab?

Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC

Page 19: 21 CFR Part 11 Whitepaper WinCC - industry.siemens.com · Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC V7.0 SIEMENS AG Industry

Compliance Response Ausgabe 02/2009

SIMATIC WinCC V7.0Konformitätserklärung

Elektronische AufzeichnungenElektronische Unterschriften

SIM

ATI

C W

inC

C

01

/20

08

GM

P-En

gin

eeri

ng

Han

db

uch

Siemens AGIndustry SectorIndustry AutomationVMM Pharma76181 KARLSRUHEDEUTSCHLAND [email protected]/simatic-wincc

simatic winCC DOKUMENTATION

A5E02545359-01