cubeLMS_FDA 21 CFR Part 11 Self Check List

Regulation

Compliance

Persons who use closed systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, when appropriate, the confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed record as not genuine. Such procedures and controls shall include the following:

[11.10a] Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability to discern invalid or altered records.

CRScube 시스템은 Closed system으로 한번 생성된 데이터 파일은 변경될 수 없습니다. Audit Trail 기능은 data logger를 포함하여 시스템의 모든 상호 작용을 캡처 하여 수정 기록이 작성됩니다.

시스템 Validation(검증)은 정확성, 신뢰성, 일관된 성능 그리고 무효화 하거나 변경 기록을 식별 할 수 있는 능력을 보장하며 두 가지 형태의 시스템 검증과 전자 레코드의 검증 기능을 제공합니다.

1. 시스템 검증 절차는 SOP 151 Software Development에 따라 시스템 개발하며 요구사항, 디자인 설계와 설계에 입각하여 수행된 테스트 문서 등 중요한 활동을 문서화 합니다.

2. 전자 레코드의 검증을 수행합니다.
   입력된 데이터의 검증 절차 수행 기능문자, 숫자, 날짜 Type 입력 데이터 체크Field Check: 필수 데이터 입력 체크Edit Check: 정상 범위 값을 벗어날 경우 Warning Message나 확인 작업 수행토록 함

[11.10b] The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. Persons should contact the agency if there are any questions regarding the ability of the agency to perform such review and copying of the electronic records.

Role & Privilege에 따라 설정 된 사용자에 의해 전자 레코드 확인 및 복사본 생성 가능합니다. 다운로드 한 파일은 사람이 읽을 수 있고 완전하며 정확합니다. 필요에 따라 휴대용 매체 (예 : CD-ROM)에 인쇄하거나 복사 할 수 있으며 나중에 감사 / 검사를 위해 보관할 수 있습니다.

[11.10c] Protection of records to enable their accurate and ready retrieval throughout the records retention period.

데이터 보호를 위한 절차 제공합니다.

• 데이터 상 변경에 대해 확인 및 경고 메시지 출력

• 데이터 수정에 대한 이유(Editing Reason) 입력 기능 제공

[11.10d] Limiting system access to authorized individuals.

인증된 개인에 대해서만 시스템에 접근할 수 있도록 하며 ID/PW 를 사용합니다.

• ID/PW 입력을 통한 시스템 접근

• 5번 Login 실패시 사용자 잠금 (Lock) → 비밀번호 재설정을 통해 접근 가능

• 설정된 Role & Privilege에 의해 사용자의 시스템 접근이 제한 됨

[11.10e] Use of secure, computer-generated, time-stamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. Record changes shall not obscure previously recorded information. Such audit trail documentation shall be retained for a period at least as long as that required for the subject electronic records and shall be available for agency review and copying.

cubeLMS는 운영 중 발생한 변경사항은 감사 추적(Audit Trail)을 통해 시스템 자체에 의한 타임 스탬프, 사용자 ID, 입력값, 변경 사유에 대한 정보를 통해 추적이 가능합니다.

Data Audit Trail 항목은 다음과 같이 구성되어 있습니다.

• No. : Audit Trail에 대한 Row Number

• Date/Time : Data가 입력 & 수정 된 Date & Time

• User : Data를 입력 & 수정한 User

• Value : 입력 & 수정된 Value 값

• Reason : Data 수정 시 User가 입력한 사유

1. Data에 대한 삭제는 List에 노출되지 않으나 실제로 Data가 삭제되지는 않습니다.

2. Audit Trail은 read-only 로 보여지며, 수정 및 삭제가 불가능 합니다.

3. Audit Trail은 Data가 보관되는 기간만큼 보관되면 시스템 내에서 언제든지 접근이 가능합니다.

[11.10f] Use of operational system checks to enforce permitted sequencing of steps and events, as appropriate.

cubeLMS는 각 개인별 Training Record를 관리하는 시스템입니다.

사용자 Flow는 관리자와 일반 사용자에 따라 구분되며, 관리자는 Lecture 생성 → 수정 → 수강 내용 관리의 절차로 진행됩니다.

일반 사용자는 등록된 강의 확인 → 수강 → 수강 내용 관리의 절차로 진행됩니다.

[11.10g] Use of authority checks to ensure that only authorized individuals can use the system, electronically sign a record, access the operation or computer system input or output device, alter a record, or perform the operation at hand.

cubeLMS는 허가된 사람만 ID를 생성할 수 있으며, 사용자를 특정할 수 있습니다. 등록된 사용자는 Role & Privilege에 따라 시스템 사용이 제한됩니다.

• 접근 권한이 부여된 Company에 한해 접근 조회, 수정 가능합니다.

• 조회 권한만 가지는 경우 수정, 입력 기능 제한됩니다.

• 강의 생성 및 수정에 대한 권한 제어됩니다.

• 관리적인 활동(사용자 관리, 시스템 설정 등)을 수행하는데 대한 권한 제어됩니다.

[11.10h] Use of device (e.g., terminal) checks to determine, as appropriate, the validity of the source of data input or operational instruction.

cubeLMS는 별도의 device를 사용하지 않으므로 적용대상이 아닙니다.

[11.10i] Determination that persons who develop, maintain, or use electronic record / electronic signature systems have the education, training, and experience to perform their assigned tasks.

SOP 102 Personal Training에 따라 작업과 관련한 교육을 수행하며, 그 수행 기록은 각자의 교육 기록으로 문서화 하고 있습니다.

End User에 대한 Training을 실시하며, 시스템상에 User Manual을 제공하고 있습니다.

[11.10j] The establishment of, and adherence to, written policies that hold individuals accountable and responsible for actions initiated under their electronic signatures, in order to deter record and signature falsification.

Sponsor 와 CRO 조직에 해당하는 프로세스입니다.

[11.10k] Use of appropriate controls over systems documentation including:

(1) Adequate controls over the distribution of, access to, and use of documentation for system operation and maintenance.

(2) Revision and change control procedures to maintain an audit trail that documents time-sequenced development and modification of systems documentation.

cubeLMS는 다음의 SOP에 따라 시스템 관련 문서를 작성, 관리 및 배포하고 있습니다.

• 시스템 개발과 연관된 산출물 생성 관리SOP 151 Software Development

• 문서의 배포, 관리, 접근에 관한 관리 프로시저 제공SOP 112 Document ControlSOP 121 System ManualSOP 155 Change and Configuration Management

Regulation

Compliance

[11.30] Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in 11.10, as appropriate and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.

cubeLMS는 Closed System으로 적용대상이 아닙니다.

Regulation

Compliance

[11.50a] Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:

(1) The printed name of the signer;

(2) The date and time when the signature was executed; and

(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.

cubeLMS는 전자 서명을 진행하지 않으므로 적용대상이 아닙니다.

[11.50b] The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same controls as for electronic records and shall be included as part of any human readable form of the electronic record (such as electronic display or printout).

cubeLMS는 전자 서명을 진행하지 않으므로 적용대상이 아닙니다.

Regulation

Compliance

[11.70] Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.

cubeLMS는 전자 서명을 진행하지 않으므로 적용대상이 아닙니다.

Regulation

Compliance

[11.100a] Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned to, anyone else.

cubeLMS는 전자 서명을 진행하지 않으므로 적용대상이 아닙니다.

[11.100b] Before an organization establishes, assigns, certifies, or otherwise sanctions an individual's electronic signature, or any element of such electronic signature, the organization shall verify the identity of the individual.

Sponsor 와 CRO 조직에 해당하는 프로세스입니다.

[11.100c] Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.

(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD 20857.

(2) Persons using electronic signatures shall, upon agency request, provide additional certification or testimony that a specific electronic signature is the legally binding equivalent of the signer's handwritten signature.

Sponsor 와 CRO 조직에 해당하는 프로세스입니다.

Regulation

Compliance

[11.200a] Electronic signatures that are not based upon biometrics shall:

(1) Employ at least two distinct identification components such as an identification code and password.

(i)  When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.

(ii)  When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.

(2) Be used only by their genuine owners;

(3) Be administered and executed to ensure that attempted use of an individual's electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals.

cubeLMS는 전자 서명을 진행하지 않으므로 적용대상이 아닙니다.

[11.200b] Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.

cubeLMS는 생체인식을 지원하지 않습니다.

Regulation

Compliance

Persons who use electronic signatures based upon use of identification codes in combination with passwords shall employ controls to ensure their security and integrity. Such controls shall include:

[11.300a] Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.

cubeLMS는 사용자 ID / Password 조합이 항상 고유한지 확인합니다. 사용자 ID 변경은 불가능합니다.

[11.300b] Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).

cubeLMS는 로그인 Password가 90일마다 변경되도록 제어됩니다.

[11.300c] Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially compromised tokens, cards, and other devices that bear or generate identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.

cubeLMS는 ID나 Password를 생성하는 디바이스 제공하지 않습니다. ID나 Password를 잊어버렸을 시 Find your ID, Reset Password를 통해 비밀번호 초기화 후 시스템 접속이 가능합니다.

[11.300d] Use of transaction safeguards to prevent unauthorized use of passwords and / or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.

시스템 로그인 실패 시 남은 시도횟수 보여주며, 5회 로그인 실패 시 사용자 계정 Lock 후 접근을 제어합니다.

[11.300e] Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not been altered in an unauthorized manner.

cubeLMS는 토큰 또는 카드 같은 장치를 사용하지 않습니다.