数据完整性与计算机化系统验证课件讲义02.ppt

1、数据完整性与计算机化系统Wednesday,December 07,2022汇报内容一、计算机化系统管理二、数据完整性检查及典型案例（国内）三、FDA案例分析四、QC试验室的基本要求计算机系统化管理计算机化系统特殊性及其风险控制计算机化系统特殊性及其风险控制计算机化系统基本管理要求与原则计算机化系统基本管理要求与原则计算机化系统附录解读计算机化系统附录解读 相关法规指南中国法规的要求中国法规的要求 药品生产质量管理规范（2010年版）GMP附录美国美国FDA的要求的要求 21CFR Part211，药品制剂cGMP 21CFR Part11，电子记录和电子签名欧盟法规的要求欧盟法规的要求 欧盟

2、GMP附录11，计算机化系统澳大利亚法规的要求澳大利亚法规的要求 TGA GMP附录11日本法规的要求日本法规的要求 厚生省，药品生产中计算机化系统控制指南ISPE GAMP5(自动化指南自动化指南)MHRA(英国药监机构英国药监机构)指南指南计算机系统特殊性及其风险控制计算机化系统的软件特点计算机化系统的软件特点l软件是一种逻辑实体，不是具体的物理实体l软件的开发没有明显的制造过程l软件的实效模式与硬件不同l软件的开放与运行受计算机系统限制l软件本身的复杂性计算机系统特殊性及其风险控制 药品生产企业如何控制计算机化系统的灾害药品生产企业如何控制计算机化系统的灾害l 我们它干什么（公司业务要求

3、）l 要什么样的流程（系统要求）怎么用好它（项目管理）l 用不好会有什么后果（风险）l 怎么控制-建立计算机化系统相关管理流程（采购控制、IT供应商管理、IT系统操作与维护授权管理、数据备份、系统数据维护、系统日常维护管理、应急灾难控制等）-系统验证管理与系统测试（系统的URS、DQ、IQ、OQ、PQ）-培训-IT的基础管理-变更控制、IT审计、偏差管理计算机系统特殊性及其风险控制可靠性：系统成熟性、容错、易恢复可维护性：系统稳定、易测试可移植性：系统适应性、易安装、共存性可靠性：系统成熟性、容错、易恢复易用性：易掌握、易学可维护性：稳定、易测试可移植性：适应性、易安装、共存性效率：时间特征、

4、资源利用功能的适合、准确、互操作、安全性易恢复、数据追溯、数据备份功能实现功能操作操作应用层工程应用层系统开发层内应用层次系统质量特性系统质量特性控制方法项目管理体系人员与资格评定阶段性评审与测试版本控制售后服务设备开发管理人员培训与资格评定供应商选择与评定系统设计代码测试系统测试项目管理IQ、OQ、PQ供应商评估变更控制系统软件技术平台系统设计计算机系统特殊性及其风险控制药品生产企业计算机系统的用途药品生产企业计算机系统的用途l 系统是否用于产品工艺控制、监测、检测l 是否用于物料与产品放行与控制l 是否进行相关药品生产记录采集、记录、保存于备份l 是否用于药品生产工艺过程的条件的监测与控制

5、，如HAVC、制药用水系统计算机系统特殊性及其风险控制计算机化系统：计算机化系统：是建立、修改、维护、归档、检索和传送是建立、修改、维护、归档、检索和传送数字信息的计算机硬件、软件、和相关文数字信息的计算机硬件、软件、和相关文件（用户手册）的集合。件（用户手册）的集合。计算机系统的组成：计算机系统的组成：硬件、软件、外围设备、操作人员、相关硬件、软件、外围设备、操作人员、相关文件资料如操作手册、文件资料如操作手册、SOP等。等。计算机系统特殊性及其风险控制计算机系统的优点：计算机系统的优点：判断判断 存储存储 精确精确 快速快速 通用通用 易用易用 联网联网计算机系统特殊性及其风险控制计算机化

6、系统的目的计算机化系统的目的l 提高效率l 改进质量l 减少人的负担和风险l 达到使用技术以无人干涉的控制一个过程 技术=机械的、气动的、电动的、电子的/数字的、计算机 控制=基本控制（闭路控制）、程序控制（顺序控制、逻辑控制）、协调控制 过程=离散过程、批过程、连续过程计算机系统特殊性及其风险控制计算机化系统可能带来的问题计算机化系统可能带来的问题l 在操作人员不知晓的情况下控制失控l 操作不方便l 信息丢失l 非法操作l 黑客侵犯l 停电l 程序繁琐，处理周期长l 软件升级的困惑计算机化基本管理要求与原则计算机化系统的要求计算机化系统的要求l 系统的功能性：满足产品工艺控制、质量检测的适合

7、性、准确性、互操作性、保密安全性l 系统的可靠性：系统的成熟性、容错性、易恢复性l 系统的追溯性：信息的输入、无效信息识别、信息更改控制、备份l 文件的完整性、证实性GMP法规的要求 国家食品药品监督管理总局关于发布药品生产质量管理规范（2010年修订）计算机化系统和确认与验证两个附录的公告（2015年第54号）根据药品生产质量管理规范（2010年修订）第三百一十条规定，现发布计算机化系统和确认与验证两个附录，作为药品生产质量管理规范（2010年修订）配套文件，自2015年12月1日起施行。特此公告。附件：1.计算机化系统 2.确认与验证 食品药品监管总局2015年5月26日GMP附录解读l附

8、录的基本情况l附录的解读第一章 范围第二章 原则第三章 人员第四章 验证第五章 系统附录的基本情况l计算计算机化系统附录的起草背景科技发展，自动化程度越来越高专业属性强，风险识别困难数据完整性越来越被重视多个国家/组织已将其作为单独附录发布是GMP（2010年修订）的计划组成部分附录的基本情况l 药品生产企业中可能存在的计算机化系统药品生产企业中可能存在的计算机化系统 文件管理系统 自动化生产设备系统 自动化实验室设备系统 ERP 实验室信息管理系统（LIMS）BMS/EMS 仓储配送系统 电子批生产记录附录的基本情况l修订的特点修订的特点引入了风险管理和生命周期的概念提出了对计算机化系统供应

9、商管理的要求对计算机化系统的术语进行了解释附录的基本情况l附录概要附录概要第一章 范围，规定了附录计算机化系统应用范围第二章 原则，提出了风险管理应当贯穿计算机化系统的生命周期全过程。第三章 人员，对计算机化系统的人员提出了应当接受相应的使用和管理培训的要求。第四章 验证，针对计算机化系统的特殊性提出了也验证的特殊要求及原则。第五章 系统，针对计算机化系统关键控制点如系统运行和变更的要求，关键数据及其修改、电子数据和电子签名等提出了相关的管理要求。附录的基本情况l 七个术语七个术语 数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报

10、告或事件，或从记录、报告、事件追溯到原始数据。数据完整性：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。电子签名：是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子数据：也称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。附录的基本情况l 七个术语七个术语 计算机化系统生命周期：计算机化系统从提出用户需求到终止使用的过程，包括设计、设定标准、编程、测试、安装、运行、维护等阶段。基础架构：为应用程序提供平台使其实现功能的一系列硬件和基础软件，如网络软件和操作系统。应用程序：安装在既定的平台/硬件上，提供特定

11、功能的软件。附录的基本情况l修订的主要内容修订的主要内容对于专属性强的部分，强调了供应商的管理：企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果，对于所采用软件进行分级管理，评估供应商质量保证体系，保证软件符合企业要求。附录的基本情况l修订的主要内容修订的主要内容对不同计算机化系统提出不同的要求：企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能，清单应及时更新。企业应当制定专人对通用的商业化计算机软件进行审核，确认满足用户需求。在对定制的计算机化系统进行验证时，企业

12、应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。附录的基本情况l 修订的主要内容修订的主要内容对进入和使用系统的人员进行了规定：只用经过许可得人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制定授权、取消以及授权变更的操作规程。必要时，应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录本及相关物理隔离手段，保证只有经许可的人员方能进行操作。附录的基本情况l修订的主要内容修订的主要内容对数据完整性提出详细的要求：计算机化系统应当记录输入或确认关键数据人员的身份。只有

13、经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。附录的基本情况l 修订的主要内容修订的主要内容对数据完整性提出详细的要求：当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。对于电子数据和纸质打印文稿同时存在的情况，应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。附录的基本情况l 修订

14、的主要内容修订的主要内容 对数据完整性提出详细的要求：以电子数据为主数据时，应当满足以下要求：（一）为满足质量审计的目的，存储的电子数据应当能够打印成清晰易懂的文件。（二）必须采用物理或者电子方法保证数据的安全，以防止故意或意外的损害。日常运行维护和系统发生变更（如计算机设备或其程序）时，应当检查所存储数据的可访问性及数据完整性。（三）应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。附录的解读第一章第一章 范围范围GMP，软件，软件+硬件，分类硬件，分类附录的解读

15、第一章第一章 范围范围举例举例企业资源计划系统企业资源计划系统 ERP实验室信息管理系统实验室信息管理系统LIMS制造执行系统制造执行系统MES楼宇管理系统楼宇管理系统BMS环境监控系统环境监控系统EMS仓储与配送系统仓储与配送系统WMS文件管理系统文件管理系统DMSPLC高效液相色谱仪高效液相色谱仪HPLC附录的解读第一章第一章 范围范围审计要点审计要点是否建立计算机化系统管理流程是否建立计算机化系统管理流程是否建立计算机化系统清单是否建立计算机化系统清单易被忽略的系统易被忽略的系统-Excel-ERP附录的解读第二章第二章 原则原则关键词：风险，供应商关键词：风险，供应商附录的解读第二章第

16、二章 原则原则计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。附录的解读第二章第二章 原则原则企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。附录的解读第二章第二章 原则原则 合同中应该包

17、含的内容 交付内容及费用 承诺的交付日期 提供文档修补程序升级新版本通知和培训 数据迁移 交付内容不包括源代码时，可考虑第三方托管协议（五类软件）安装定制期间的支持 用户验收验收测试期 变更 维护 其他：付款计划保密条款附录的解读第二章第二章 原则原则审计要点供应商管理应针对IT供应商的特殊性，建立相应的流程和评估方法。供应商应定期进行评估附录的解读第三章第三章 人员人员关键词：权限、资质附录的解读第三章第三章 人员人员计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用

18、和管理培训。应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。附录的解读第三章第三章 人员人员访问权限的原则按需授权最小特权职责分离附录的解读第三章第三章 人员人员强制和自主访问控制强制访问控制（MAC）：只有管理员可以根据政策进行相关更改。同时没有人可以授予访问控制政策中明确禁止的访问权限。MAC起禁止作用，将禁止所有为获得明确许可的行为。自主访问权（DAC）：可由数据所有者自行激活和修改的保护。例如，在数据所有者定义的共享信息资源中，数据所有者可以选择谁能够访问他的资源，以及相应访问的安全等级。DAC无法覆盖MAC，DAC将作为附加过滤器，使用相同的排除

19、原则禁止访问更多。附录的解读第三章第三章 人员人员用户识别和身份认证最佳实践对默认的账户进行重命名。如果登录ID在经过一段时间后为未被使用，则应该将其禁用，以免出现被勿用的情况。这可以有系统自动完成或有安全管理员手动完成。如果在一段时间内未执行任何活动，系统应自动断开登录会话。这可以减少勿用当前登录会话的风险，因为当前登录会话可能因为用户吃饭、开会忘记注销等而处于无人监视状态。这通常称为会话超时。重新获得访问权限时，应该要求重新输入身份认证方法、密码等。附录的解读第三章第三章 人员人员用户识别和身份认证最佳实践密码语法规则包括：理想情况下，密码至少应包含八个字符。密码长度有时取决于要保护的系统

20、和数据敏感性以及所用系统的能力密码应至少应该是以下任意三种字符的组合：字母数字、大小写和特殊字符。密码不应采用能够识别出用户的内容（如名字、姓氏）系统应强制要求一定间隔时间定期更改密码一次，并且以前的密码在更改至少一年内不得使用。附录的解读第三章第三章 人员人员审计要点可以从系统中导出权限列表，根据权限列表来要求企业提供职责说明，应遵循最小权限原则职责分离培训记录、资质证明资源是否足够附录的解读第四章第四章 验证验证关键词：确认与验证，通用与定制，验证状态维护。附录的解读第四章第四章 验证验证计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充

21、分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。附录的解读第四章第四章 验证验证计划报告标准配置确认风险管理附录的解读（软件类别）软件类别）类别描述示例典型方法1基础设施软件分层式软件用于管理操作环境的软件操作系统版本控制工具记录版本号，按照所批准的安装规程验证正确的安装方式3非配置软件可以输入并储存运行参数，但是并不能对软件进行配置以适合业务流程基于固定的应用程序COTS简化的生命周期法URS用户需求说明基于风险的供应商评估记录版本号，验证正确的安装方式基于风险进行测试4可配置软件这种软件通常比较复杂，可以由用户来进行配置以满足用户具体业务流程的特殊要求，这种

22、软件的编码不能更改。ERP、LIMS、DCS、EDMS、BMS、CRS、HMI生命周期法基于风险的供应商评估法供应商的质量管理系统记录版本号，验证正确的安装方式在测试环境中根据风险进行测试在业务流程中根据风险进行测试具有维持复合型的规程5定制软件定制设计和编码以适用于业务流程的软件VB or CJavaSpreadsheets与第4类相同，在加上更严格的公用设施评估，包括肯能进行供应商审计完整生命周期附录的解读第四章第四章 验证验证企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。清单应当及时更新。应当在计算机化系统生命周期中保持其验证状态。企

23、业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。附录的解读第四章第四章 验证验证计算机化系统清单计算机化系统清单系统位置GMP功能负责人其他信息百万分之一电子天平车间化验室高张三德国赛托利斯百分之一天平车间化验室中李四北京赛托利斯CPA225D高效液相色谱仪车间化验室高赵五安捷伦1260附录的解读第四章第四章 验证验证验证方案要点验证方案要点在在URS完成前制定验证计划完成前制定验证计划流程所有者和质量部门批准流程所有者和质量部门批准需要哪些活动需要哪些活动如何实施如何实施谁

24、来负责谁来负责活动的结果活动的结果系统被接受应符合哪些要求系统被接受应符合哪些要求系统生命周期中应如何维持合规性系统生命周期中应如何维持合规性附录的解读第四章第四章 验证验证验证方案验证方案1介绍介绍2范围范围 3系统简介系统简介4验证方法验证方法5角色和职责角色和职责6验证文档验证文档文档签字审批文档签字审批文档保存文档保存附录的解读第四章第四章 验证验证验证方案验证方案7验证工作计划验证工作计划用户需求和功能设计用户需求和功能设计配置文档配置文档IQ、OQ、PQ验证结果评估验证结果评估8变更控制变更控制9培训培训10检验状态定期审查检验状态定期审查11词汇表词汇表12附件附件附录的解读第四

25、章第四章 验证验证可配置系统可配置系统验证方案验证方案 风险分析风险分析 验证报告验证报告用户需求用户需求需求测试需求测试功能设计功能设计功能测试功能测试配置设计配置设计配置测试配置测试配置产品配置产品设计审查设计审查附录的解读 第四章第四章 验证验证 风险评估模板风险评估模板风险编号功能组成风险评估风险处置需求编号需求描述可能故障导致结果严重级别可能性风险级别发现几率风险严重程度附录的解读 第四章第四章 验证验证 数据转换格式或迁移时，应当确认数据的数值及含义没有改变。数据迁移 迁移的完整性 数据的完整性 提前备份 一致性 连续性 回退策略 并行 分阶段分模块 一次性转换附录的解读第四章第四

26、章 验证验证验证文件的审计 三类软件：是否涵盖软件部分，如软件版本、安装位置，软件特有的功能，故障或特殊情况的验证 四类/五类软件：按照V字形的相关要求进行验证，并要看验证时间、验证结果等关键点 验证维护：是否有流程、是否有审核附录的解读第五章第五章 系统系统关键词：数据完整性附录的解读第五章第五章 系统系统 系统应当安装在适当的位置，以防止外来因素干扰。键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。附录的解读第五章第五章 系统系统 软件是计算机化系统的重要组成部

27、分。企业应当根据风险评估的结果，对所采用软件进行分级管理（如针对软件供应商的审计），评估供应商质量保证系统，保证软件符合企业需求。类型GAMP4GAMP51操作系统基础结构软件2固件不再使用3标准软件包不可配置产品4可配置软件包可配置产品5定制（预定）软件定制程序附录的解读第五章第五章 系统系统 在计算机化系统使用之前，应当对系统进行全面测试，并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时，可采用两个系统（人工和计算机化）平行运行的方式作为测试和验证内容的一部分。附录的解读第五章第五章 系统系统 测试类型举例测试类型举例 常规案例测试：做应该做的 无效案例测试：没有不该做的 可

28、重复性测试：重复完成预期工作 性能测试：速度和效率 容量/负载测试：压力 回归测试：针对调整是否完成预期工作，是否造成负面影响附录的解读第五章第五章 系统系统 只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制订授权、取消以及授权变更的操作规程。必要时，应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录本及相关物理隔离手段，保证只有经许可的人员方能进行操作。附录的解读第五章第五章 系统系统 审计要点审计要点 是否建立授权流程 将权限申请记录与系统实际使用记录进行比对

29、 对于单机版的系统，是否只是使用开机密码进行权限管理，这种方式无法达到授权的管控目的 权限应当定期审核，转岗、离职的人员应尽快撤销权限附录的解读 第五章第五章 系统系统 当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改

30、以及系统的使用和变更。附录的解读第五章第五章 系统系统 审计追踪方面常见问题审计追踪方面常见问题 有审计追踪功能但不使用 审计追踪可更改 操作人员可删除审计追踪功能 审计追踪作为元数据没有经过审核和备份附录的解读第五章第五章 系统系统 审查要点审查要点 系统是否有审计追踪功能 如果有，是否开启了审计追踪功能 如果没有，有什么其他的控制手段 审计追踪是否定期审核附录的解读第五章第五章 系统系统 计算机化系统的变更应当根据预定的操作规程进计算机化系统的变更应当根据预定的操作规程进行，操作规程应当包括评估、验证、审核、批准行，操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更

31、，应经和实施变更等规定。计算机化系统的变更，应经过该部分计算机化系统相关责任人员的同意，变过该部分计算机化系统相关责任人员的同意，变更情况应有记录。更情况应有记录。附录的解读第五章第五章 系统系统 变更管理变更管理 变更应经过授权变更应经过授权 文件形式存档文件形式存档 经过测试切得到批准经过测试切得到批准 更新文件是变更的组成部分之一更新文件是变更的组成部分之一 培训和沟通培训和沟通 紧急变更紧急变更附录的解读第五章第五章 系统系统 变更常见问题变更常见问题 IT系统的变更管理没有纳入到系统的变更管理没有纳入到GMP范围内范围内 变更没有经过评估、批准和验证变更没有经过评估、批准和验证 变更

32、没有按照计划进行变更没有按照计划进行审计要点审计要点 是否有计算机化系统变更的管理流程是否有计算机化系统变更的管理流程 是否按照流程进行计算机化系统的变更，如打补是否按照流程进行计算机化系统的变更，如打补丁，升级功能，重新安装。丁，升级功能，重新安装。附录的解读第五章第五章 系统系统 对于电子数据和纸质打印文稿同时存在的情况，对于电子数据和纸质打印文稿同时存在的情况，应当有文件明确规定以电子数据为主数据还是以应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。纸质打印文稿为主数据。审计中有时出现与声明不符的情况审计中有时出现与声明不符的情况文件管理系统文件管理系统放行时间不一定与纸

33、质记录一致放行时间不一定与纸质记录一致批次总计文件批次总计文件附录的解读第五章第五章 系统系统 审计要点审计要点 按流程追踪时否有仅适用电子数据的情况，但声按流程追踪时否有仅适用电子数据的情况，但声明以纸质记录为主数据，如文档管理系统明以纸质记录为主数据，如文档管理系统 根据数据完整性的要求，有些复杂的系统打印输根据数据完整性的要求，有些复杂的系统打印输出不能完全代表系统电子数据的情况。出不能完全代表系统电子数据的情况。附录的解读 第五章第五章 系统系统 以电子数据为主数据时，应当满足以下要求：以电子数据为主数据时，应当满足以下要求：（一）为满足质量审计的目的，存储的电子数据应当能（一）为满足

34、质量审计的目的，存储的电子数据应当能够打印成清晰易懂的文件。够打印成清晰易懂的文件。（二）必须采用物理或者电子方法保证数据的安全，以（二）必须采用物理或者电子方法保证数据的安全，以防止故意或意外的损害。日常运行维护和系统发生变更防止故意或意外的损害。日常运行维护和系统发生变更（如计算机设备或其程序）时，应当检查所存储数据的（如计算机设备或其程序）时，应当检查所存储数据的可访问性及数据完整性。可访问性及数据完整性。（三）应当建立数据备份与恢复的操作规程，定期对数（三）应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当据备份，以保护存储的数据供将来调用。备份

35、数据应当储存在另一个单独的、安全的地点，保存时间应当至少储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。满足本规范中关于文件、记录保存时限的要求。附录的解读第五章第五章 系统系统 目前药厂普遍适用不安全的备份方法和介质目前药厂普遍适用不安全的备份方法和介质 USB、移动硬盘、电脑硬盘（没有备份）、移动硬盘、电脑硬盘（没有备份）、SD卡卡 有些备份数据是可更改的格式，如有些备份数据是可更改的格式，如excell 如有条件，应尽早采用服务器备份如有条件，应尽早采用服务器备份 备份的运送和保存应符合安全原则备份的运送和保存应符合安全原则附录的解读第五章第五章

36、 系统系统 审计要点审计要点 是否有备份的操作规程是否有备份的操作规程 是否按照备份计划进行备份是否按照备份计划进行备份 备份是否有确认备份是否有确认 备份文件如何保管备份文件如何保管 是否选用不安全的介质保管备份数据是否选用不安全的介质保管备份数据 是否定期恢复测试是否定期恢复测试 备份能否满足数据完整性的要求备份能否满足数据完整性的要求附录的解读第五章第五章 系统系统 企业应当建立应急方案，以便系统出现损坏时启企业应当建立应急方案，以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如，影响召回产品的相关案的紧急程度相

37、关。例如，影响召回产品的相关信息应当能够及时获得。是否有备份的操作规程。信息应当能够及时获得。是否有备份的操作规程。审计要点审计要点 是否有应急方案是否有应急方案 应急方案是否经过测试，是否可行应急方案是否经过测试，是否可行附录的解读第五章第五章 系统系统 应当建立系统出现故障或损坏时进行处理的操作应当建立系统出现故障或损坏时进行处理的操作规程，必要时对该操作规程的相关内容进行验证。规程，必要时对该操作规程的相关内容进行验证。包括系统故障和数据错误在内的所有事故都应当包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查，被记录和评估。重大的事故应当进行彻底调查，识

38、别其根本原因，并采取相应的纠正措施和预防识别其根本原因，并采取相应的纠正措施和预防措施。措施。附录的解读第五章第五章 系统系统 故障处理容易引发变更故障处理容易引发变更 应关注故障处理记录应关注故障处理记录 供应商权限过高，为消除故障可能对系统做出不供应商权限过高，为消除故障可能对系统做出不符合符合GMP的变更的变更审计要点审计要点 故障处理流程是否建立故障处理流程是否建立 是否有相同故障反复出现是否有相同故障反复出现 故障记录检查，有些故障会与变更相关联故障记录检查，有些故障会与变更相关联附录的解读第五章第五章 系统系统 当采用计算机化系统放行产品时，计算机化系统当采用计算机化系统放行产品时

39、，计算机化系统应当能明示和记录放行产品人员的身份。应当能明示和记录放行产品人员的身份。电子数据可以采用电子签名的方式，电子签名应电子数据可以采用电子签名的方式，电子签名应当遵循相应法律法规的要求。当遵循相应法律法规的要求。附录的解读 第五章第五章 系统系统 电子签名控制点电子签名控制点 必须采用如下形式之一必须采用如下形式之一1 用户名用户名+密码密码2 生物识别生物识别 明确签名的含义明确签名的含义 签名必须是独特的，能追溯到个人的签名必须是独特的，能追溯到个人的 错误输入用户名后密码能够被系统拒绝错误输入用户名后密码能够被系统拒绝 签名与所签的电子记录必须永久连接，不可被系签名与所签的电子

40、记录必须永久连接，不可被系统标准功能所消除后重签统标准功能所消除后重签附录的解读 第五章第五章 系统系统 电子签名控制点电子签名控制点 计算机化系统应该能够显示：计算机化系统应该能够显示：1 该记录已被签字该记录已被签字2 签名人的名字签名人的名字3 日期和时间日期和时间4 签名的含义签名的含义 需要考虑的安全措施需要考虑的安全措施1 对设备进行初始化检测并定期检测对设备进行初始化检测并定期检测2 要有流程规定当用户忘记密码或丢失设备时如何处理，要有流程规定当用户忘记密码或丢失设备时如何处理，包括将设备设为失活状态以及重置密码等措施包括将设备设为失活状态以及重置密码等措施附录的解读第五章第五章

41、 系统系统 移交移交 有文档，双方认可有文档，双方认可 项目经理项目经理流程所有者流程所有者/系统所有者系统所有者 特别关注没有达到满意标准的事项特别关注没有达到满意标准的事项 回退策略回退策略附录的解读第五章第五章 系统系统 系统退役系统退役 系统撤销系统撤销 系统退出使用系统退出使用 系统销毁系统销毁 数据迁移数据迁移 识别受影响的范围：包括接口的系统、设备识别受影响的范围：包括接口的系统、设备 验证验证 更新相关文档：流程、支持维护合同、灾难恢复更新相关文档：流程、支持维护合同、灾难恢复计划、业务连续性计划、用户管理计划、业务连续性计划、用户管理附录的解读数据完整性调研发现的主要问题数据

42、完整性调研发现的主要问题 只用开机密码，没有用户名只用开机密码，没有用户名 有审计追踪功能但没有开有审计追踪功能但没有开 没有备份流程没有备份流程 没有安全防护措施没有安全防护措施 Excell表位做验证表位做验证 系统时间可以更改系统时间可以更改附录的解读 附录中提到的书面文件附录中提到的书面文件书面的风险评估书面的风险评估计算机化系统供应商的管理操作规程计算机化系统供应商的管理操作规程正式协议正式协议供应商质量体系和审计相关的文件供应商质量体系和审计相关的文件计算机化系统清单计算机化系统清单关键系统详细阐述的文件关键系统详细阐述的文件授权、取消以及授权变更的操作规程授权、取消以及授权变更的

43、操作规程变更操作规程变更操作规程变更记录变更记录主数据说明主数据说明数据备份与恢复的操作规程数据备份与恢复的操作规程应急方案应急方案故障或损坏时进行处理的操作规程故障或损坏时进行处理的操作规程附录的解读验证文件验证文件 验证状态维护文件验证状态维护文件 权限与职责列表权限与职责列表 培训记录培训记录 资质证明资质证明 权限审批记录权限审批记录 备份恢复测试记录备份恢复测试记录 故障记录故障记录数据完整性检查及典型案例 数据完整性的意义数据完整性的意义诚信缺失无法保证药品安全、功效和质量诚信缺失无法保证药品安全、功效和质量打破了法规部门对药品企业的信任打破了法规部门对药品企业的信任影响公司的业务

44、和名誉影响公司的业务和名誉数据完整性是药品质量体系的基本要求数据完整性是药品质量体系的基本要求数据管理系统提供的努力和资源应与产品质量数据管理系统提供的努力和资源应与产品质量风险相对应风险相对应数据管理应与公司其他质量保证资源相平衡数据管理应与公司其他质量保证资源相平衡数据完整性检查及典型案例 数据完整性（data integrity）：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。并不是计算机化系统实施后才出现的适用于电子数据和手工（纸质）数据企业应当处于一种基于数据完整性风险的可接受控制状态数据完整性检查及典型案例 数据人工观察填写的纸质记录仪器、设备通过复杂的计

45、算机化系统产生的图谱或电子记录。数据完整性检查及典型案例 数据的属性 A（attributable）可溯源 L（legible）清晰 C（contemporaneous）同步 O（original or true copy）原始或真实复制 A（accurate）准确数据完整性检查及典型案例 不同仪器设备产生原始数据情况不同仪器设备产生原始数据情况数据完整性检查及典型案例 仪器分类分类采集原理A简单的、不可配置的“仪器仪表、在线传感器、测试工具”直接测量或显示数据，人工读取记录到纸质介质上，形成纸质的记录，可以直接作为原始记录存档。B简单的、不可配置的“仪器仪表、在线传感器、测试工具”直接测量或

46、显示数据，连接打印机将数据打印在纸质介质上，形成纸质的记录，可以直接作为原始记录存档。C一般的、可配置系统的“仪器仪表、测试工具、计算机系统”通过“仪器参数的设置、软件程序的计算”生成可显示的数据，并直接打印在纸质介质上，形成纸质的记录，可以作为原始记录存档。D复杂的、可配置系统的“仪器仪表、测试工具、计算机系统”通过“复杂的参数设置、程序计算、数据处理”后得到的具有一系列“动态数据或隐含信息”的数据，直接打印出来的图谱或曲线，失去了被再处理的能力，也不能对其动态数据或隐含的信息进行审核或检查。数据完整性检查及典型案例 仪器适用范围分类适用范围A“简单的、不可配置系统”的“非连续数据”的人工读

47、取、人工记录。一次性读取、一次性记录，或者定时周期性读取和记录。比如“天平、台称、温度、湿度、手持式工具”等的数据记录。B“简单的、不可配置系统”的“连续数据”的自动化记录和打印，比如“连续的在线监测数据（洁净室温湿度记录、水系统在线记录、灭菌温度压力的记录）。C适用于大部分“可配置系统”的不含“动态数据或隐含信息”数据的自动化获取、自动化打印记录。比如大部分生产过程控制设备、大部分检验检测设备。D可配置系统”的含有“动态数据或隐含信息”数据的存储管理。数据完整性检查及典型案例“审计追踪功能”并不是用来“控制”数据的“采集、录入、存储、备份、转移、检索、恢复、计算、处理、输出、引用、失效、修改

48、、删除”等过程的。审计追踪功能只是对“数据事件”的一种记录，能够对“违法犯罪行为”进行“追踪”，能够快速锁定“犯罪分子”，能够还原“历史真相”，但是并不能有效“控制”和“降低”有“犯罪动机”的“犯罪行为”的发生，也不能降低“犯罪行为”对“社会”的危害！广义的审计追踪是能够追踪数据的采集、录入、存储、备份、转移、检索、恢复、计算、处理、输出、引用、失效、修改、删除”等过程数据完整性检查及典型案例 纸质记录对文件和记录版本（变更）进行控制对原始空白记录进行控制对空白记录的发放进行控制对已填写记录的变更进行控制数据完整性检查及典型案例 图谱或电子记录 电子方式产生的原始数据采用纸质或PDF格式保存应

49、当显示数据的留存过程，以包括所有原始数据信息、相关审计跟踪和结果文件、每一分析运行过程中软件/系统设置标准 一个给定的原始数据系列重建所需的所有数据处理运行情况（包括方法和审计跟踪），经过确认的复本。一旦打印或转换成静态PDF，图谱记录则失去了其被再处理的能力，不能对基线或隐藏区域进行更详细的审核或检查。以数据库格式存在的动态电子记录则可以进行追踪、趋势分析和查询、查看隐藏区域，放大基线以将积分情况查看的更清楚。数据完整性检查及典型案例 数据审计跟踪数据审计跟踪（audit trial）：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件

50、，或从记录、报告、事件追溯到原始数据。如果计算机系统用于电子捕获、处理、报告或存贮原始数据，系统设计应能保持提供全面审计追踪的保存，能够显示对数据进行的所有更改。随对数据的所有更改，应可以显示做这些更改的人，更改均应有时间记录，并给出理由。用户不应具备修订或关闭审计追踪的能力数据完整性检查及典型案例 数据审计跟踪不需要包括每个系统活动（例如，用户登录/退出，键盘敲击等）通过对经过设计和验证的系统报告进行审核来达到目的必须是商业电子管理系统吗？只要能够达到GMP的要求，纸质追踪和半纸质半电子系统也能被接受。行业发展，将来 检查案例主要集中以下几点：不能追踪原始数据，真实性存疑数据安全性不足，不能