قواعد السجلات الإلكترونية لغرفة الاستقرار البيئي

الجزء الفرعي أ - أحكام عامة
ثانية. 11.1 النطاق.

(أ) تحدد اللوائح الواردة في هذا الجزء المعايير التي بموجبها تعتبر الوكالة السجلات الإلكترونية والتوقيعات الإلكترونية والتوقيعات المكتوبة بخط اليد المنفذة على السجلات الإلكترونية موثوقة وموثوقة ومعادلة بشكل عام للسجلات الورقية والتوقيعات المكتوبة بخط اليد المنفذة على الورق.

(ب) ينطبق هذا الجزء على السجلات الإلكترونية التي يتم إنشاؤها أو تعديلها أو صيانتها أو أرشفتها أو استردادها أو نقلها ، بموجب أي متطلبات سجلات منصوص عليها في لوائح الوكالة ، وينطبق هذا الجزء أيضًا على السجلات الإلكترونية المقدمة إلى وكالة متطلبات الوكالة الفيدرالية للأغذية ، وقانون الأدوية ومستحضرات التجميل وقانون خدمات الصحة العامة ، حتى لو لم يتم تحديد هذه السجلات على وجه التحديد في لوائح الوكالة. ومع ذلك ، لا ينطبق هذا الجزء على السجلات الورقية التي تم نقلها أو تم إرسالها بالوسائل الإلكترونية.

(ج) عندما تفي التوقيعات الإلكترونية والسجلات الإلكترونية المرتبطة بها بمتطلبات هذا الجزء ، ستعتبر الوكالة التوقيعات الإلكترونية معادلة للتوقيعات المكتوبة بالكامل والأحرف الأولى والتوقيعات العامة الأخرى كما هو مطلوب من قبل لوائح الوكالة ، ما لم تستثني ذلك اللائحة (اللوائح) على وجه التحديد onor بعد 20 أغسطس 1997.

(د) يمكن استخدام السجلات الإلكترونية التي تفي بمتطلبات هذا الجزء بدلاً من السجلات الورقية ، بما يتوافق مع 11.2 ، ما لم تكن السجلات الورقية مطلوبة على وجه التحديد.

(هـ) يجب أن تكون أنظمة الكمبيوتر (بما في ذلك الأجهزة والبرمجيات) والضوابط والوثائق المصاحبة التي يتم الاحتفاظ بها في إطار هذا الجزء متاحة بسهولة وتخضع لفحص إدارة الغذاء والدواء.

(و) لا يطبق هذا الجزء على السجلات المطلوب إنشاؤها أو الاحتفاظ بها بحلول 1.326 حتى 1.368 من هذا الفصل. تظل السجلات التي تفي بمتطلبات الجزء 1 ، الجزء الفرعي ي من هذا الفصل ، ولكنها مطلوبة أيضًا بموجب الأحكام أو اللوائح القانونية المعمول بها ، خاضعة لهذا الجزء.

ثانية. 11.2 التنفيذ.

(أ) بالنسبة للسجلات المطلوبة للمحافظة عليها ولكن لم يتم تقديمها إلى الوكالة ، يجوز للأشخاص استخدام السجلات الإلكترونية بدلاً من السجلات الورقية أو التوقيعات الإلكترونية بدلاً من التوقيعات التقليدية ، كليًا أو جزئيًا ، بشرط استيفاء متطلبات هذا الجزء.

(ب) بالنسبة للسجلات المقدمة للوكالة ، يجوز للأشخاص استخدام السجلات الإلكترونية بدلاً من السجلات الورقية أو التوقيعات الإلكترونية بدلاً من التوقيعات التقليدية ، كليًا أو جزئيًا ، شريطة:

(1) تم استيفاء متطلبات هذا الجزء ؛ و
(2) تم تحديد المستند أو أجزاء من المستند المطلوب تقديمه في السجل العام رقم 92S-0251 باعتباره نوع التقديم الذي تقبله الوكالة في شكل إلكتروني. سيحدد هذا السجل على وجه التحديد أنواع المستندات أو أجزاء من المستندات المقبولة لتقديمها في شكل إلكتروني بدون سجلات ورقية ووحدة (وحدات) استلام الوكالة (على سبيل المثال ، مركز معين ، مكتب ، قسم ، فرع) التي يمكن تقديم مثل هذه الطلبات. لن يتم اعتبار المستندات إلى وحدة (وحدات) مستلمة للوكالة غير محددة في جدول الأعمال العام على أنها وثائق رسمية إذا تم تقديمها في شكل إلكتروني ؛ سيتم اعتبار النماذج الورقية لهذه المستندات على أنها رسمية ويجب أن تكون مصحوبة بأي سجلات إلكترونية. يُتوقع من الأشخاص التشاور مع الوحدة المستقبلة للوكالة المقصودة للحصول على تفاصيل حول كيفية (على سبيل المثال ، طريقة الإرسال والوسائط وتنسيقات الملفات ،

ثانية. 11.3 التعريفات.

(أ) التعريفات والتفسيرات للمصطلحات الواردة في القسم 201 من القانون تنطبق على هذه الشروط عند استخدامها في هذا الجزء.

(ب) تنطبق التعريفات التالية للمصطلحات أيضًا على هذا الجزء:
(1) القانون يعني القانون الفيدرالي للأغذية والأدوية ومستحضرات التجميل (المواد 201-903 (21 USC 321-393)).
(2) الوكالة تعني إدارة الغذاء والدواء.
(3) القياسات الحيوية تعني طريقة للتحقق من هوية الفرد بناءً على قياس الميزة (السمات) الجسدية للفرد أو الإجراء (الإجراءات) القابل للتكرار حيث تكون هذه الميزات و / أو الإجراءات فريدة بالنسبة لذلك الفرد وقابلة للقياس.
(4) يعني النظام المغلق البيئة التي يتم فيها التحكم في الوصول إلى النظام من قبل الأشخاص المسؤولين عن محتوى السجلات الإلكترونية الموجودة على النظام.
(5) يعني التوقيع الرقمي التوقيع الإلكتروني القائم على أساليب التشفير لمصادقة المنشئ ، ويتم حسابه باستخدام مجموعة من القواعد ومجموعة من المعلمات مثل التي يمكن من خلالها التحقق من هوية الموقّع وسلامة البيانات.
(6) يُقصد بالسجل الإلكتروني أي مجموعة من النصوص أو الرسوم البيانية أو البيانات أو الصوت أو الصور أو غيرها من تمثيل المعلومات في شكل رقمي يتم إنشاؤه أو تعديله أو صيانته أو أرشفته أو استرداده أو توزيعه بواسطة نظام كمبيوتر.
(7) التوقيع الإلكتروني: يُقصد به تجميع بيانات الكمبيوتر لأي رمز أو سلسلة من الرموز المنفذة أو المعتمدة أو المصرح بها من قبل أي فرد ليكون بمثابة المعادل الملزم قانونًا للتوقيع بخط اليد.
(8) التوقيع بخط اليد هو الاسم المكتوب أو العلامة القانونية لفرد مكتوب بخط اليد بواسطة ذلك الفرد وتم تنفيذه أو اعتماده بقصد توثيق الكتابة بشكل دائم. يتم الاحتفاظ بعملية التوقيع باستخدام أداة الكتابة أو الوسم مثل القلم أو القلم. يمكن أيضًا تطبيق الاسم المكتوب أو العلامة القانونية ، على الرغم من تطبيقها تقليديًا على الورق ، على الأجهزة الأخرى التي تلتقط الاسم أو العلامة.
(9) يُقصد بالنظام المفتوح البيئة التي لا يتم فيها التحكم في الوصول إلى النظام من قبل الأشخاص المسؤولين عن محتوى السجلات الإلكترونية الموجودة على النظام.

الجزء الفرعي ب - السجلات الإلكترونية
ثانية. 11.10 ضوابط للأنظمة المغلقة.
يجب على الأشخاص الذين يستخدمون أنظمة مغلقة لإنشاء السجلات الإلكترونية أو تعديلها أو صيانتها أو نقلها ، استخدام الإجراءات والضوابط المصممة لضمان أصالة السجلات الإلكترونية وسلامتها ، وعند الاقتضاء ، سرية السجلات الإلكترونية ، ولضمان عدم تمكن الموقّع من التنصل بسهولة من السجل الموقع باعتباره غير أصلي. يجب أن تشمل هذه الإجراءات والضوابط ما يلي:

(أ) التحقق من صحة الأنظمة لضمان الدقة والموثوقية والأداء المقصود المتسق والقدرة على تمييز السجلات غير الصالحة أو المعدلة.

(ب) القدرة على إنشاء نسخ دقيقة وكاملة من السجلات بشكليها الإلكتروني المقروء والإلكتروني بحيث تكون قابلة للتفتيش والمراجعة والنسخ من قبل الهيئة. يجب على الأشخاص الاتصال بالوكالة في حالة وجود أي أسئلة تتعلق بقدرة الوكالة على إجراء مثل هذه المراجعة ونسخ السجلات الإلكترونية.

(ج) حماية السجلات لتمكين استرجاعها بشكل دقيق وسهل طوال فترة الاحتفاظ بالسجلات.

(د) تقييد وصول النظام إلى الأفراد المصرح لهم.

(هـ) استخدام مسارات تدقيق آمنة ومُنشأة بالحاسوب ومختومة بالوقت للتسجيل المستقل لتاريخ ووقت إدخالات المشغل والإجراءات التي تنشئ أو تعدل أو تحذف السجلات الإلكترونية. يجب ألا تحجب التغييرات التي تم تسجيلها المعلومات التي تم تسجيلها مسبقًا. يجب الاحتفاظ بوثائق مسار التدقيق هذه لفترة على الأقل طالما كانت مطلوبة للسجلات الإلكترونية المعنية ويجب أن تكون متاحة لمراجعة الوكالة ونسخها.

(و) استخدام فحص نظام التشغيل لإنفاذ التسلسل المسموح به للخطوات والأحداث ، حسب الاقتضاء.

(ز) استخدام عمليات التحقق من السلطة للتأكد من أن الأفراد المصرح لهم فقط هم من يمكنهم استخدام النظام ، أو تسجيل الدخول إلكترونيًا ، أو الوصول إلى العملية أو إدخال نظام الكمبيوتر أو جهاز الإخراج ، أو سجل بديل ، أو إجراء العملية في متناول اليد.

(ح) فحص استخدام الجهاز (على سبيل المثال ، المحطة الطرفية) لتحديد ، حسب الاقتضاء ، صحة مصدر التعليمات التشغيلية لمدخل البيانات.

(ط) تحديد أن الأشخاص الذين يطورون أو يحتفظون أو يستخدمون أنظمة السجل الإلكتروني / التوقيع الإلكتروني لديهم التعليم والتدريب والخبرة لأداء المهام الموكلة إليهم.

(ي) وضع سياسات مكتوبة والالتزام بها تجعل الأفراد يخضعون للمساءلة والمسؤولية عن الإجراءات التي تتم بموجب توقيعاتهم الإلكترونية ، لردع تزوير السجلات والتوقيعات.

(ك) استخدام وثائق أنظمة الرقابة المناسبة بما في ذلك:
(1) ضوابط كافية على توزيع الوثائق والوصول إليها واستخدامها لتشغيل النظام وصيانته.
(2) مراجعة وتغيير إجراءات التحكم للحفاظ على مسار تدقيق يوثق التطوير المتسلسل الزمني وتعديل وثائق الأنظمة.

ثانية. 11.30 ضوابط الأنظمة المفتوحة.

يجب على الأشخاص الذين يستخدمون أنظمة مفتوحة لإنشاء السجلات الإلكترونية أو تعديلها أو الاحتفاظ بها أو نقلها ، استخدام الإجراءات والضوابط المصممة لضمان أصالة السجلات الإلكترونية وسلامتها وسريتها ، حسب الاقتضاء ، من نقطة إنشائها إلى نقطة استلامها. يجب أن تشمل هذه الإجراءات والضوابط تلك المحددة في 11.10 ، حسب الاقتضاء ، والتدابير الإضافية مثل تشفير المستندات واستخدام معايير التوقيع الرقمي المناسبة لضمان صحة التسجيل وسلامته وسريته ، حسب الضرورة في ظل الظروف.

ثانية. 11.50 مظاهر التوقيع.

(أ) يجب أن تحتوي السجلات الإلكترونية الموقعة على معلومات مرتبطة بالتوقيع تشير بوضوح إلى كل ما يلي:

(1) الاسم المطبوع للموقّع ؛
(2) تاريخ ووقت تنفيذ التوقيع ؛ و
(3) المعنى (مثل المراجعة أو الموافقة أو المسؤولية أو التأليف) المرتبط بالتوقيع.

(ب) تخضع العناصر المحددة في الفقرات (أ) (1) و (أ) (2) و (أ) (3) من هذا القسم لضوابط الضوابط نفسها بالنسبة للسجلات الإلكترونية ويجب أن تُدرج كجزء من أي شخص يمكن قراءته. شكل السجل الإلكتروني (مثل العرض الإلكتروني أو المطبوع).

ثانية. 11.70 ربط التوقيع / التسجيل.
يجب ربط التوقيعات الإلكترونية والتوقيعات المكتوبة بخط اليد المنفذة على السجلات الإلكترونية بالسجلات الإلكترونية المعنية لضمان عدم إمكانية إزالة التوقيعات أو نسخها أو نقلها بطريقة أخرى لتزوير سجل إلكتروني بالوسائل العادية.

الجزء الفرعي ج - التوقيعات الإلكترونية

ثانية. 11.100 المتطلبات العامة.

(أ) يجب أن يكون كل توقيع إلكتروني فريدًا لفرد واحد ولا يجوز إعادة استخدامه أو إعادة تعيينه لأي شخص آخر.

(ب) قبل أن تنشئ المنظمة ، أو تخصص ، أو تصدق ، أو تعاقب بطريقة أخرى التوقيع الإلكتروني للفرد ، أو أي عنصر من عناصر هذا التوقيع الإلكتروني ، يجب على المنظمة التحقق من هوية الفرد.

(ج) يجب على الأشخاص الذين يستخدمون التوقيعات الإلكترونية ، قبل أو في وقت هذا الاستخدام ، أن يشهدوا للوكالة على أن التواقيع الإلكترونية في نظامهم ، المستخدمة في أو بعد 20 أغسطس 1997 ، تهدف إلى أن تكون المكافئ الملزم قانونًا للتوقيعات التقليدية المكتوبة بخط اليد.
(1) يجب تقديم الشهادة في شكل ورقي وموقعة بتوقيع تقليدي مكتوب بخط اليد ، إلى مكتب العمليات الإقليمية (HFC-100) ، 5600 Fishers Lane ، Rockville ، MD20857.
(2) يجب على الأشخاص الذين يستخدمون التوقيعات الإلكترونية ، بناءً على طلب الوكالة ، تقديم شهادة إضافية أو شهادة على أن التوقيع الإلكتروني المحدد هو المعادل الملزم قانونًا للتوقيع المكتوب بخط اليد للموقّع.

ثانية. 11.200 مكونات وضوابط التوقيع الإلكتروني.

(أ) التوقيعات الإلكترونية التي لا تستند إلى القياسات الحيوية يجب أن:
(1) تستخدم ما لا يقل عن عنصرين مميزين لتحديد الهوية مثل رمز التعريف وكلمة المرور.

(1) عندما ينفذ فرد سلسلة من التوقيعات خلال فترة واحدة مستمرة من الوصول إلى النظام الخاضع للرقابة ، يجب تنفيذ التوقيع الأول باستخدام جميع مكونات التوقيع الإلكتروني ؛ يجب تنفيذ التوقيعات اللاحقة باستخدام مكون توقيع إلكتروني واحد على الأقل يكون قابلاً للتنفيذ فقط ومصممًا للاستخدام من قبل الفرد فقط.

(2) عندما ينفذ فرد واحد أو أكثر من الإشارات التي لم يتم إجراؤها خلال فترة واحدة مستمرة للوصول إلى النظام المتحكم فيه ، يجب تنفيذ كل توقيع باستخدام جميع مكونات التوقيع الإلكتروني.

(2) لا تستخدم إلا من قبل أصحابها الأصليين ؛ و

(3) أن تتم إدارتها وتنفيذها للتأكد من أن محاولة استخدام التوقيع الإلكتروني للفرد من قبل أي شخص آخر غير مالكه الأصلي تتطلب تعاون شخصين أو أكثر.

(ب) يجب تصميم التوقيعات الإلكترونية المستندة إلى القياسات الحيوية لضمان عدم إمكانية استخدامها من قبل أي شخص آخر غير مالكيها الحقيقيين.

ثانية. 11.300 ضوابط لتحديد رموز / كلمات المرور.
يجب على الأشخاص الذين يستخدمون التوقيعات الإلكترونية بناءً على استخدام رموز التعريف مع كلمات المرور أن يستخدموا ضوابط لضمان أمنهم وسلامتهم. يجب أن تشمل هذه الضوابط:

(أ) الحفاظ على تفرد كل رمز تعريف وكلمة مرور مدمجين ، بحيث لا يكون لدى شخصين نفس المجموعة من رمز التعريف وكلمة المرور.

(ب) التأكد من أن عمليات إصدار رمز التعريف وكلمة المرور يتم فحصها أو استعادتها أو مراجعتها بشكل دوري (على سبيل المثال ، لتغطية أحداث مثل تقادم كلمة المرور).

(ج) اتباع إجراءات إدارة الخسارة لإلغاء التصريح الإلكتروني للرموز المميزة والبطاقات والأجهزة الأخرى التي تم اختراقها بشكل محتمل ، والتي تُنشئ أو تُنشئ رمز تحديد الهوية أو معلومات كلمة المرور ، وإصدار بدائل مؤقتة أو دائمة باستخدام عناصر تحكم مناسبة وصارمة.

(د) استخدام ضمانات المعاملات لمنع الاستخدام غير المصرح به لكلمات المرور و / أو رموز التعريف ، والكشف والإبلاغ الفوري والعاجل عن أي محاولات لاستخدامها غير المصرح به إلى وحدة أمن النظام ، وعند الاقتضاء ، إلى إدارة المنظمة.

(هـ) الاختبار الأولي والدوري للأجهزة ، مثل الرموز المميزة أو البطاقات ، التي تحمل أو تنشئ رمز تعريف أو معلومات كلمة المرور للتأكد من أنها تعمل بشكل صحيح ولم يتم تغييرها بطريقة غير مصرح بها.