计算机化系统管理
Good practices for data management and integrity in regulated GMP/GDP environments( PIC/S,适用范围:GMP/GDP)从七方面讲解计算机化系统的要求,本文仅概述系统安全、审计追踪与数据采集输入。
系统安全
01
要求
User access controls shall be configured and enforced to prohibit unauthorized access to, changes to and deletion of data.
应配置和实施用户访问控制,以禁止未经授权访问、更改和删除数据。
不合规示例或需检查项目
应配置和实施用户访问控制,以禁止未经授权访问、更改和删除数据。
检查公司是否采取了所有合理的步骤来确保使用中的计算机化系统是安全的,并且不会受到有意或无意的更改。
检查个人用户登录ID是否正在使用中。如果系统配置允许使用个人用户登录ID,则应使用这些ID。
检查用户访问级别是否得到适当定义、记录和控制。在系统上使用单个用户访问级别并为所有用户分配此角色(根据定义将是管理员角色)是不可接受的。
查证系统是否使用权限检查。
02
要求
Computerised systems should be protected from accidental changes or deliberate manipulation.
应保护计算机化系统免受意外更改或故意操纵。
不合规示例或需检查项目
操作系统时钟与连接系统的时钟同步,却未限授权人员访问所有时钟。
检查对硬件和软件的访问是否得到适当保护,并且仅限于授权人员。
查证是否实施了合适的身份验证方法。
03
要求
Network system security should include appropriate methods to detect and prevent potential threats to data.
应有适当的方法用于检测和防止对数据的潜在威胁。(如:防火墙)
不合规示例或需检查项目
检查控制网络访问的适当措施是否到位。应该有适当的授权、监控和取消访问流程。
04
要求
Electronic signatures used in the place of handwritten signatures should have appropriate controls to ensure their authenticity and traceability to the specific person who electronically signed the record. Electronic signatures should be permanently linked to their respective record.
电子签名应有适当的控制,以确保其真实性和可追溯至电子签名记录的具体个人;应与其各自的记录永久链接。
不合规示例或需检查项目
检查电子签名是否经过适当验证,发放给员工时是否受控,所有时间、电子签名是否易于追溯至具体个人。
在电子签名完成之后对数据所做的任何变更均应让签名无效,除非该数据被重新审核和重新签名。
审计追踪
01
要求
Companies should select software that includes appropriate electronic audit trail functionality. Audit trail functionalities should be enabled and locked at all times. If it is possible for administrative users to deactivate, delete or modify the audit trail functionality, an automatic entry should be made in the audit trail indicating that this has occurred.
公司应该选择具备合适的电子审计追踪功能的软件。所有时间均应激活并锁定审计追踪。如果管理员可关闭、删除或修改审计追踪,则审计追踪中应该自动生成信息显示发生过此类事件。
不合规示例或需检查项目
验证文件应该证明审计追踪功能正常,系统内部的所有活动、修改和其它转录均和所有相关元数据一起被记录。
查证审计追踪是否经过定期审核(根据质量风险管理原则),偏差是否经过调查。
02
要求
Audit trails should be configured to record all manually initiated processes related to critical data. The audit trail should allow for reconstruction of the course of events relating to the creation, modification, or deletion of an electronic record.
审计追踪应设置为记录与关键数据有关的所有手动启动的流程;应允许重建与电子记录创建、修改或删除有关的事件的过程。
不合规示例或需检查项目
查验审计追踪的格式,是否确保采集到所有相关的关键信息。
审计追踪应包括之前所有的值,记录变更不应覆盖或遮盖之前已记录的信息。
数据采集/输入
01
要求
Systems should be designed for the correct capture of data whether acquired through manual or automated means.
系统设计应该保证正确采集数据(无论是人工还是自动方式采集)。
不合规示例或需检查项目
确保人工输入关键数据至计算机化系统经过恰当的第二人检查。
审核自动采集数据系统的验证记录,确保实施了数据核查和完整性措施且有效。
02
要求
Any necessary changes to data should be authorised and controlled in accordance with approved procedures. Any change and modifications to raw data should be fully documented and should be reviewed and approved by at least one appropriately trained and qualified individual.
对数据的任何必须修改均应根据已批准的程序进行授权和控制。原始数据的任何变更和修改均应有完整记录,并应由至少一位经过合适培训和确认的人员审核和批准。
不合规示例或需检查项目
查证是否存在合适的程序,对数据的所有修改或重新处理进行控制。应有证据证明所拟修改有正式恰当的批准流程,所做变更受控/受限/有规定并有正式审核。
