기기(equipment)는 크게 소프트웨어와 하드웨어로 구분합니다. 이들 기기에 대한 적격성 평가는 일관된 방식으로 설정한 매개 변수(parameter)를 실행하고, 그 결과의 조작(manupulation) 또는 변동성(variation)을 관리하는 것이 목적입니다.
기기(소프트웨어 또는 하드웨어)는 적격성의 범위가 정해져야 하며, 아래 요인들에 기반하여 시스템의 위험을 평가하게 됩니다.
- 시스템은 접근관리(access control)를 요구하는가?
- 시스템의 기능은 복잡한 통합 절차(integrited process)에 의존하는가?
- 시스템의 산출물(output)은 최종 결과에 직접적인 영향을 주는가?
- 특정 결과값을 얻기 위해 특별히 조절해야 하는 시스템의 입력값(input)이 있는가?
(쉽지 않지만) 쉽게 말하면 상기 기준 등에 따라 위험 평가를 하고, 중요도를 판단하여 기기 적격성평가의 수준을 결정할 수 있는 것입니다.
우선 소프트웨어 기기 적격성 평가의 주요 목적은 '데이터 완전성'의 요구사항을 충족시키는 것입니다. 데이터 완전성(Data Integrity)은 향후 다시 언급할 예정입니다. 이 적격성 평가는 CSV(computer system validation)와도 연관이 있습니다.
소프트웨어의 기본 요구사항은 아래와 같습니다.
1. 사용자 관리(User control)
- 접근이 허용된 사용자만이 소프트웨어에 접근
- 사용자 계정별(직급별) 권한의 분리 필요
- CSV에서는 권한 제어에 대해 검증 필요
2. 감사 추적(Audit trail)
- 소프트웨어에 대한 접속, 변경 사항, 수행된 작업, 승인 등 모든 작업에 대한 추적하여 누가, 언제, 무엇을 수행했는지 확인할 수 있어야 함
- CSV에서는 audit trail을 조작할 수 없음을 검증 필요
3. 데이터 관리(Data control)
- 데이터의 이관 시 정확하게 전송되었는지 확인 필요
- 모든 데이터는 삭제가 가능하면 안됨
* 소프트웨어에서가 아닌 윈도우와 같은 운영 체제에서 삭제가 안되도록 방지 필요
4. 백업 및 복구(Backup & Recovery)
- 백업의 방법(특정 소프트웨어 활용 or 윈도우에서 외장하드 사용)에 관계 없이 백업 파일이 제대로 실행되는지 확인 필요
- 파일의 조작 방지를 위한 관리절차 필요
* 특히 분석기기의 소프트웨어에 자동 백업이 없는 경우 절차화된 관리방법 필요
소프트웨어의 복잡성에 따라 CSV를 위한 추가 요소가 있을 수 있으며, 위험평가를 통해 조작(manipulation) 가능한 부분을 파악하고 이를 제거할 수 있도록 검증해야 합니다.
다음 시간에는 하드웨어 측면을 살펴보겠습니다.
감사합니다!