在制药行业中，数据完整性和权限管理始终是关键环节，尤其是在涉及设备与信息系统时。许多制药企业在设备URS中明确提出了“三级权限”的要求，但对这一要求的具体解释和实施细节往往缺乏统一的标准。这使得不同公司在理解和实施“三级权限”时存在较大的差异。那么，究竟什么是“三级权限”？如何设计和落实这一权限架构，才能确保系统安全与数据完整性？

 一、“三级权限”的来源

1.《药品记录与数据管理要求（试行）》：“第二十二条  电子记录应当实现操作权限与用户登录管理，至少包括：建立操作与系统管理的不同权限，业务流程负责人的用户权限应当与承担的职责相匹配，不得赋予其系统（包括操作系统、应用程序、数据库等）管理员的权限；”。

2.PIC/S《受监管 GMP/GDP 环境下数据管理和完整性优良规范》：“系统应支持不同的用户访问角色(级别)，角色的分配应遵循最低权限规则，即为任何工作职能分配必要的最低访问级别。简单系统至少应该有普通用户和管理员用户，但复杂系统通常需要更多级别的用户(例如层次结构)来有效支持访问控制。”

3.PDA TR 84《数据完整性要求在生产制造和包装过程中的应用》：“对于低关键系统，例如，辅助包装线上控制输送机速度但不存储数据的HMI，访问控制可能远没那么严格。对于这些类型的系统，可以使用密码或组账户。但是，必须有控制措施来确保用户级别之间的职责划分(即，管理员与，工程师，操作员)。密码或组账户应每年更改一次。这些控制措施也可用于不需要采取相应措施的其他低关键活动。例如，当系统需要登录以激活停止1启动功能时，可以使用组账户按下包装线上的开始/停止按钮。”

从相关指南可以看出，对于应用在药企的系统而言，都需要进行权责分离，即相应的职责匹配相应的权限，如普通用户不需要设置设备配置参数，就不要把配置参数的权限分配给此用户。在PIC/S指南里面描述用户级别为不同的层次结构，如需要三个层次，口语化可能称呼为“三级权限”。

二、设备设置“三级权限”是否充分

实际上，用户需求仅仅要求“三级权限”是不充分的，笼统的“三级权限”不一定能满足最低权限职责匹配，而且有些设备仅仅能进行三个层次的权限，不能设定多层次权限，存在一定风险性。所以，从用户需求角度仅仅描述“三级权限”是不充分的，至少还应描述以下需求：

1.多层分级要求

多个指南均有描述，至少需要有两个明显的职责分离，即管理权限和业务权限；如果提需求时，仅要求管理权限和业务权限独立分开，则业务流程所有者需要有除管理权限外的权限，会导致账户级别设置不符合公司内部架构的职责分离的问题发生。所以，两大明显的职责分离是远远不够的，需求需要提及设备账户级别的设置需对应公司内部架构职责划分。比如：一个温湿度在线监测系统，在账户级别设置上可实现任意添加、删除和编辑权限层级名称，且级别设置数量不限制，满足用户公司内部架构职责对应的同时做到了职责分离。（可见图，如下）

2.重点关注权责分离

几级权限不是关注重点，重点是要权限分离；除上述管理权限和业务权限分离外，业务权限也要进行必要分离，一般设备最基本的是具备菜单访问权限设置，此功能在实际应用中是否能满足呢？这个一般针对设备可能涉及的岗位来考虑。

以一个温湿度在线监测系统举例：

普通用户分级：设备管理/监控管理/报警管理/数据报告的菜单访问；

QA/QC层级：设备管理/监控管理/报警管理/用户管理/年度校准/审计追踪/数据报告/组织管理的菜单访问；

QA/QC经理层级：设备管理/监控管理/报警管理/用户管理/年度校准/审计追踪/数据报告/组织管理的菜单访问、增加、修改以及电子签名；

生产/质量总监层级：设备管理/监控管理/报警管理/用户管理/年度校准/审计追踪/数据报告/组织管理的菜单访问、增加、修改、删除以及电子签名；

IT管理员层级：用户管理/基础设置/物联平台/组织管理的菜单访问、增加、修改、删除、管理以及电子签名。

通过举例可看出，此系统根据公司岗位职责要求实现自定义每级别用户的具体权限分配，以符合指南重点关注的权责分离。这一系统功能满足了用户需求两种形式的实现：

（1）软件具备独立建立角色的方式，并对权限进行独立分配。

（2）固定的角色匹配相应的权限。

总的来说，“三级权限”是一种口语化描述的解释，设备与信息系统需满足最低权限可分配和重点关注权责分离，以降低风险。所以，任意添加、删除、编辑用户级别名称和自定义每级别用户权限的系统设计非常重要。

备注：

1. 本文部分内容来源于微信公众号“GXP CSQ”2024年12月23日发布的《URS中的“三级权限”是什么》一文，原作者为Dennis Wang。如若本文对您造成影响，可随时与我司工作人员联系删除或修改。

2.本文观点仅代表作者本人，文内信息仅供参考。