1、单机版合规心得,信息合规小组陈智,本讲座内容纯属个人观点不代表公司立场欢迎交流讨论,目录,网络版趋势?单机合规要求常见的警告信应对策略,Why?网络版,科学技术不断发展仪器厂家和制药行业不断进步制药行业合规需要?,常见法规 指南,MHRA数据完整性指南FDA行业指南草案-数据完整性和CGMP合规性WHO 优良数据与记录管理规范EU 数据完整性问答集CFDA计算机化系统附录,电子记录的完整性与真实性,数据完整性要求,数据可靠性:数据真实的、安全的、可追溯的数据。所有的数据均处于客观真实的状态Data integrityThe degree to which a collection of dat
2、a is complete,consistent and accurate throughout the data lifecycle。 2015:guidance on good data and record management practices,CFDA计算机化系统审计跟踪,第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员,方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由。应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更。,CFDA计算机化系统计算机系统验证,
3、第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。,单机版不合规案例,修改HPLC/GC工作站的系统时间未能提供备份数据未能防止未经授权即进入系统 擅自删除系统数据 重复积分直至数据合格,单机版合规的问题,数据完整性角度:单机版工作站老旧,存在一些天然的缺陷:共享用户、权限分配、审计追踪、数据覆盖计算机验证的角度:单机版工作站在实施过程中仅完成了IQ ,OQ ,PQ,而不是基于风险的计算机系统验证(在整个系统生命周期内),如何实现单机版工作站的合规性?,思
4、路:保证数据的物理安全保证数据的逻辑安全基于风险的计算机系统验证,基于文件服务器的单机合规方案,方案介绍,组建实验室计算机以域服务器为中心的资源管理网络,通过域用户的权限控制实现数据的逻辑安全,并辅以文件服务器提供原始数据实时备份的方案解决文件原始数据的合规性问题。采用文件服务器将原始数据存储于更为安全的IT机房(机柜),并采用服务器的硬件镜像技术,确保数据的物理安全性。此外,通过服务器可以实现数据的自动备份,并且可以将备份周期从原来的一个月或半年提高到每小时,显著提高便利性和效率。,应用本地文件夹和文件的审核策略,每当用户执行了指定的修改的某些操作,审核日志就会记录一个审核项。可以审核操作中
5、的成功尝试和失败尝试。通过使用审核日志来说明是否发生了违法安全的事件。应用安捷伦 chemstation文件夹举例,应用本地文件夹和文件的审核策略,应用本地文件夹和文件的审核策略,应用本地文件夹和文件的审核策略,应用权限设置,禁止删除权限计算机数据只增加,不减少设置不同用户类型和用户权限,工作站用户组的权限分配,QC不应掌握管理员权限启用审计追踪,应用NTP时钟同步服务,NTP服务器,解释来源百度【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标
6、准间差小于1毫秒,WAN上几十毫秒)所有单机版电脑与中央服务器时钟同步,禁止有意或无意调整系统时间,数据定期备份,备份的策略基于文件格式的数据备份基于数据库格式的数据备份,启用备份系统的书面程序备份规程应该包含的内容备份类型备份频率备份存储的位置备份历史记录,应当建立数据备份与恢复的操作规程,定期对数据备份,以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。,数据还原测试,对于备份数据的确认推荐使用虚拟机检查备份的有效性,对单机的计算机系统进行验证,正确的安装系统配置基于风险与供应商评估,支持具体业务流程的功能测试
7、表明系统符合预订用途并允许进行系统需求验收测试根据分线和供应商评估结果实施进一步测试,第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。,单机版系统验证文档,(VP)验证计划URS风险分析供应商审计报告(可选)IQ,OQ,PQ管理规程(用户与权限管理,自定义计算的验证规程,数据备份与恢复)用户培训与操作规程验证报告,色谱工作站性能验证重点(PQ),验证色谱仪器是否能正常连接到系统校正方法的计算是否正确分析样品的计算工作站中的自定义计算公式确认系统适用性(SST)样品分析的连续性报告模板确认,自动化功能执行的宏程序审计跟踪工作站安全与访问控制不同的类型的用户所具有的权限确认分析员、分析经理、系统管理员电子记录的备份和数据存储的确认系统容量测试(在一个批次里设置最大可能量的样品,最大用户在线),对审计跟踪功能验证的要点,审计追踪记录的信息是不是全(何时何人修改内容)关键操作,风险操作是不是都有审计记录是否可查找,可导出是否有变更理由审计记录的安全性,是不是不可删除,不可修改审计动作能自动运行,用户不应具备修订或关闭审计追踪的能力。审计记录与原始记录的关联性要紧密。,Thanks!,
