pics gmp gdp监管环境下数据管理和可靠性的良好实践指

1 纸质系统具体的数据完整性注意事项1.1 质量管理系统的结构、空白表格/模板/记录的控制1.1.1 对纸质文件的有效管理是GMP的关键部分。因此文档系统的涉及应该满足GMP要求，确保有效控制文件和记录，维持其完整性。1.1.2 纸质记录必须受控。在整个数据的生命周期中，记录必须保持可追溯性、清晰、不可消除、同步、原始和准确（ALCOA）。1.1.3 质量管理系统中应该有良好文档实践的规程和文档控制措施，这些规程应说明以下内容： 如何创建、审核以及批准主文件和规程 用于记录数据的模板的生成、分发和控制（主模板、日志等） 记录的检索和灾难恢复 日常使用文件的副本生成过程，应确保文件（如SOP和空白表格）副本的分发和使用受控和可追溯。 纸质文件完成的指南、操作员的标识、数据填写形式、记录的修改 记录的提交（filing）、检索（retrieval）、保留（retention）、归档（archival）及销毁（disposal）程序 在数据生命周期中如何保持数据完整性1.2 为什么记录的控制很重要？ 所执行活动的证明； 符合GMP要求和公司政策、规程和工作指南的证明； 药品质量管理系统（QMS）的有效性； 可追溯性； 流程真实性和一致性； 产品具有良好质量属性的证据， 如果有投诉，记录可以用于调查。1.3 记录模板的生成、分发和控制1.3.1 为什么管理和控制主记录是必要的？为了确保将不恰当使用记录和/或通过“普通方式”（如，无需使用专门的诈欺技能）伪造记录所产生的风险降至可接受水平，管理和控制主记录是必要的。考虑到记录数据的风险和关键性，应该使用质量风险管理的方式满足以下期望（见5.4和5.5）。1.4 对记录模板的生成、分发和控制的期望？期望不符合期望/待检项的潜在风险项目生成Generation1 所有的文件应有唯一的标识码（包括版本、编号），且应被检查、批准 禁止使用非受控的文件、临时记录（如废纸）等。 不受控的文件增加了关键数据遗漏或丢失的可能性，因为这些文件的设计可能不能确保正确地记录关键数据。 更容易伪造不受控的记录。 如果没有版本控制或发行控制，存在使用作废文件的风险。2 记录的设计应有足够的空间用于数据填写。 如果没有充分的空间填写数据，则手填的数据可能不清楚或不清晰。 如果需要附加页，才能形成完整的文件，那么应该把附加的页数和附加页各页的页码清楚地记录在主记录页上并签名。3 文件的设计应清楚说明输入哪种数据。 模糊的说明会导致不一致/不准确的数据记录 确保输入的数据清晰、同步和不可消除/持久。4 文件的储存方式应该能确保合理的版本控制。 应该避免对的主副本（软拷贝）进行未授权或无意变更。 例如：以电子方式储存的记录模板应该注意以下内容：n 应该控制主模板的访问权限n 版本创建和更新过程的控制应该清楚且实际地应用/确认n 主文件的储存应该避免未授权的变更 不当的储存条件可能会造成未授权的更改、过期文件和/或草稿的使用或是主文件的丢失。 执行的流程和有效沟通和文件同等重要。 主副本应该包含独特的标记，以便与副本进行区分，如，使用彩纸或彩色墨水，防止意外使用。项目分发和控制Distribution and control5 应该及时分发更新的版本。 旧版的主文档和文件应该存档且访问受限。 任何发布和未使用的物理文件应该进行相应的收回和销毁。 如果旧版本可用，则可能存在误用的风险。6 文件分发应该由书面规程控制，包括： 使用安全戳或纸张颜色代码（在工作区不可用）或其他适当的系统，控制文件的分发。 确保只有现行的、批准的版本可用 为发布的每个空白文件分配特殊的识别号，在登记簿中记录每一份文件的发布 给每个分发的副本编号（如：副本2/共两份副本），在装订成册的文档中按顺序给每页编上页码。 如果需要重新分发空白模板的副本，应该遵守重新分发的受控流程。所有分发的副本应该保存，如果需要额外副本，应说明原因，并应获得批准，如，“之前分发的记录模板受损”。 所有分发的记录应符合其后续使用，以便确保记录的准确性和完整性。 如果没有使用安全措施，则在影印或扫描记录模板之后（另一个模板副本供用户使用），存在重写或伪造数据的风险。1.4.1 所有模板记录的索引应该由QA组织保存。该索引应该至少提及每种模板记录的以下信息：标题、参考编号（包括版本号）、位置（如，文档数据库、有效期、下次审核日期等）1.5 使用和控制生产区内的记录1.5.1 生产区内的记录应该由指定人员或通过指定流程进行适当地控制。这些控制应该将记录损毁或丢失的风险最小化且确保数据完整性。如有需要，必须采取措施，避免弄脏记录（如，弄湿或有污渍等）。1.6 填写记录Filling out1.6.1 应该控制下表所列的项目，确保合理地填写记录。期望不符合期望/待检项的潜在风险项目填写记录Completion of records1 任务执行人应填写记录。 应该删除文件中的未使用的、空白字段，且注明日期和签名。 记录的填写应该清楚和清晰。 应该使用指定的格式填写日期，如，dd/mm/yyyy或者mm/dd/yyyy。 检查笔迹的一致性，确保由同一人员填写。 确认填写内容清晰（如，不含糊；不使用未知的符号/缩写，例如双点号（“）。 检查数据的完整性。 检查记录的正确页数，并检查记录是否有遗漏页。2 记录的填写和操作应该同步。用抄写员代表另一个操作人员记录所实施的活动应只在例外下发生，如： 操作人员进行同步记录时会影响产品或活动，例如，由无菌操作者进行生产线记录。 为了应对文化受限或员工读写能力/语言受限的情况，如一种活动由操作人员实施，但由主管或管理人员进行证明和记录。在两种情形下，监督记录必须与所执行的任务同步进行，且必须识别任务执行人和记录填写人。只要可能，进行工作执行人也应在记录上签字，即使执行人在记录上的签字被认为具有回顾性质。监督（抄写）记录完成的过程应在一个已批准规程里进行描述，还应说明该规程适用的活动。 确认记录在其使用的当前区域可用，如，检查官应该期望在操作现场是按照顺序记录的。如果在使用点表格不可用，则操作员在事件生时就无法填写记录。3 记录应不可消除 确认填写内容时所使用的墨水能够确保填写内容不可消除和/或不会模糊或褪色（在保存期内）。 检查在使用钢笔之前，不用铅笔填写记录（覆盖）。 注意：系统的某些纸质打印文件可能会随着时间推移而褪色，如，热敏纸。4 记录应该签名并注明日期，所使用的特殊标识符可以追踪到记录填写人。 检查是否有签名列表，且签名列表是否受控并被及时更新，是否体现了签名的独特示例，而不是只有标准化的打印字母。 确保所有关键的填写内容有签名和日期，如果是跨时段的步骤，那么不应仅是在记录结尾和/或流程结束时签名。 通常不鼓励使用私人印章；但是，如果使用，则印章的使用权限必须受控。应该有日志清楚地展示个人和其印章之间的可追踪性。私人印章的使用必须由印章所有人注明日期，才可被接受。1.7 纠正记录 Correct记录的纠正必须保持完全的可追踪性。期望不符合期望/待检项的潜在风险项目如何纠正记录？records corrected1 使用一条线划掉要变更的内容 如果合适，必须清楚地记录和确认纠正的理由，如果重要的话 变更人使用首字母签名并注明变更日期 检查原始数据可读且不会被遮盖（如，不允许使用修正液遮盖原始数据；不允许覆盖原始数据） 如果对填写的关键数据进行变更，则确认已记录有效的变更原因，且变更的支持性证据可用。 检查记录中的不清楚的符号或填写内容。2 必须使用不可消除的墨水进行纠正 确认填写内容时所使用的墨水能够确保填写内容不可消除和/或不会模糊或褪色（在保存期内）。 检查在使用钢笔之前，不用铅笔填写记录（覆盖）。1.8 确认记录（二次检查）Verify ( secondary checks)期望不符合期望/待检项的潜在风险项目在何时由何人确认记录？Verify records1关键流程步骤的A批生产记录应该： 在操作进行时，由指定人员审核/证明（如，生产主管） 在记录发送到QC部门之前，由生产部门的授权人员审核 在生产的批次放行或销售之前，由质量保证部门（如，授权人员/质量授权人）审核和批准通常，根据批准的规程，非关键流程步骤的B批生产记录由生产人员审核。在执行与生产相关的任何工作和活动之后，必须进行确认。该确认必须由合适的人员签名或首字母签名并注明日期。必须有本地SOPs描述书面文件的审核流程。 确认加工区内生产记录的处理流程，确保在进行与记录相关的活动时，指定人员可使用这些记录。 确认加工期间的二次检查由适当的、合格和独立的人员进行，如，生产主管或QA。 检查文件在操作活动完成后，是否由生产部门和质量人员分别审核。项目如何复查记录？double Checked records2 检查是否已使用当前（批准的）模板准确地填写了所有字段，且是否已将数据与可接受标准进行严格比对。 检查8.5部分的1、2、3和4项以及8.6部分中的1和2项目。 检查官审核手工数据之前应该审阅公司规程，确定流程的合适性。 检查数据的二次审核是否包括对使用的计算结果的确认。 查看原始数据（如果可能），确认计算中使用的是正确数据。1.9 保存记录 Maintain期望不符合期望/待检项的潜在风险项目如何保存记录？maintain records1 公司应该使用指定的系统，用于保存和恢复记录。 所有的记录必须保存在指定位置，且可以追踪和访问。 系统应该确保所有GMP/GDP相关记录的保存期符合GMP/GDP要求。 检查记录是否按顺序保存且易于识别。项目如何复查记录？double Checked records2应该保护所有记录，避免损坏或销毁： 火灾 液体（如，水、溶剂和缓冲液） 啮齿动物 空气湿度等 非授权人员访问，该人员可能会试图修改、销毁或替换记录 检查是否有系统用于保护记录（如，害虫控制和喷水系统） 注意：如果喷水系统的设计可以防止损坏文件，则可以使用该系统，如，可以保护文件被水淋湿（如，使用塑料膜覆盖文件）3 灾难恢复的策略 检查在灾难出现时，是否有系统用于恢复记录。1.10 电子系统的直接打印输入1.10.1 （简单电子系统（如，天平、pH计）或不能储存数据的简单设备生成的）纸质记录很少会通过电子日期/时间戳的（再）处理和变更影响数据的呈现。在这些情况下，原始记录应该由生成记录的人员签名并注明日期，且该原始记录应该附加到批记录中。1.11 真实副本1.11.1 通常，原始纸质记录副本（如，分析总结报告、验证报告等）有利于沟通，如，不同厂址的公司之间的沟通。必须在记录的生命周期内对记录进行控制，如果可能，确保将从另一个地点（姐妹公司、合同商等）接收的数据作为“真实副本”保存，或者，如果数据不符合“真实副本”的要求（如，复杂分析数据的总结），则将从另一个地点接收的数据作为“总结报告”使用。1.11.2 如果可以证明静态记录能够保持原始数据的完整性，那么可以将电子方式生成的数据以可接受的纸质或PDF形式保存。但是，数据保存过程必须包括所有原始数据、元数据、相关审计追踪和结果文件的已确认副本、每次分析的软件/系统配置设置、原始数据集重现所必须的所有数据处理过程（例如方法和审计追踪）。另外，还需要采用规定的方法确认打印记录是准确的。如果要得到符合GMP的记录，这种方法可能会很复杂。1.11.3 对于很多电子记录来说，使用动态（电子）格式保存这些电子记录是很重要的，因为这样人员可以与数据互动。如果数据对完整性或后续确认很重要，则数据必须以动态形式保存。数据的重要性应该基于风险来进行证明。1.11.4 在接收地，可以以纸质形式或是电子形式（如，PDF）管理这些记录（真实副本），并应该根据批准的QA规程控制这些记录。1.11.5 无论是使用手写签名或是电子签名，应当注意确保文件是“真实副本”。期望不符合期望/待检项的潜在风险项目如何发布和控制“真实副本”1 创建纸质文件的“真实副本”。在发布真实副本的公司中：n 获得备份文件的原件n 影印原始文件，确保没有遗漏任何信息n 确认副本的真实性，在新的硬拷贝文件上签名并注明日期，将其作为“真实副本” “真实副本”被发送至预期接收人。 创建电子文件的“真实副本”。 电子记录的“真实副本”应该使用电子方式（电子文件副本）创建，包括所有必需的元数据。不鼓励创建电子数据的pdf版本，因为pdf版和电子系统中打印的文件相同，这样可能有丢失元数据的风险。 “真实副本”被发送至预期接收人。 应该有所有“真实副本”（软/硬拷贝）的分发清单。 确认真实副本的生成规程。 确认发布的真实副本与原始记录相同（完整和准确）。应该根据原始记录检查复印的记录，确保扫描件没有被篡改。 确认对扫描或保存记录进行的保护能够确保数据完整性。 在扫描纸质记录且确认“真实副本”的创建后，可销毁扫描件的原始文件。销毁应该有批准流程。项目如何复查记录？double Checked records2 在接收真实副本的公司n 应该根据良好文件管理流程，审核和存档纸质文件、扫描件或电子文件。、 文件应该清楚体现其是真实副本而非原始记录。 检查接受的记录是否被适当审核和保存。 应有适当的系统，用于确认“真实副本”的真实性，如，可通过确认签名人是否正确来确认“真实副本”的真实性。1.11.6 应该存在质量协议，说明“真实副本”生成和转移以及数据完整性控制的职责。“真实副本”的发布和控制系统应该由委托方和受托方审计，确保流程完善且符合数据完整性原则。1.12 总结报告远程审核的局限性1.12.1 远程审核总结报告内的数据通常是必要的；但是，必须充分理解远程数据审核的局限性，以便充分控制数据完整性。1.12.2 数据的总结报告通常在地处偏远的生产地、上市许可证持有人和其他相关方之间提供。但是，必须承认总结报告本质上是有局限的，总结报告通常不包括关键支持数据和元数据，因此，不能审核原始数据。1.12.3 因此，最重要的是仅可以将总结报告视为数据转移过程的一个要素，但相关方和检查官不能完全依靠总结报告数据。1.12.4 在总结数据被接受前，如果觉得总结数据重要，应在质量风险管理的基础上，通过现场检查，进行供应商质量系统评估和数据完整性原则合规性评估。检查应该确保公司生成数据的真实性，且检查中，还应对总结数据和报告的生成和分发机制进行审核。1.13 文件保存（确定记录保存要求和把记录存档）retention1.13.1 每种记录的保存保存期限应该（至少）符合GMP/GDP要求中规定的期限。也应考虑其他本地或国家法规，这些法规规定的保存期限可能更长。1.13.2 公司可以自己保存记录，也可以委托符合质量协议的外部服务商保存记录。应该进行风险评估，证明记录保存系统/企业/服务商适用且剩余风险被理解。期望不符合期望/待检项的潜在风险项目记录存档位置和方式 archived1 应有相应的系统对记录存档的不同步骤进行说明（档案盒的标识，每个档案盒的记录清单、保存时间、存档位置等）。 检查用于检索存档记录的系统是否有效且可追溯。 检查存档文件是否仅限于有权限的人员访问从而保证所存记录的完整性。 所用的存储方式要允许文件在需要时能够进行有效检索。项目如何复查记录？double Checked records2 硬拷贝的质量记录应n 在防止损坏和丢失的安全位置保存n 以易于检索的方式保存n 确保在其存档期限内可用 对于外包的存档操作，检查是否有适当的质量协议，存放位置是否已被审计。 保证对文件在整个存档期间是否可读/可用进行了评估。 检查存档文件是否仅限于有权限的人员访问从而保证所存记录的完整性。 所用的存储方式要允许文件在需要时能够进行被有效检索。1.14 原始记录的清除Disposal1.14.1 应将记录清除的过程形成适当的书面化文件，从而确保原始记录在规定的保存期后被正确清除。系统应保证当前记录不会被意外销毁，历史记录不会意外返回到当前记录流中（例如，历史记录与当期记录混淆/混合）1.14.2 应有相应的记录/登记表明过期的记录已及时按合适的方式被销毁。1.14.3 应有相应的措施来降低错删文件的风险。应仅有少数指定人员有删除文件的权利。1.14.4 如果打印输出不具有永久性（如：热敏纸），可以保存一份经确认的（真实）复件，且非永久性原件可以废弃。1.14.5 如果符合“真实复件”的原则，可用扫描件代替纸质记录（见8.11.5）。2 计算机系统数据完整性的特别注意项2.1 质量管理系统的结构和计算机系统的控制2.1.1 公司采用许多计算机系统为大量的操作活动提供帮助。从简单的单机到复杂的大型综合系统，这些计算机系统大多都会对产品质量产生影响。每个受监管的实体应按照GMP和GDP要求，对所有的计算机系统进行充分评估、控制和管理。2.1.2 各组织机构应充分了解所使用计算机系统的性质和范围，针对每个系统、系统预期用途和功能、数据完整性风险或影响系统操作的缺陷，应有适当评估。对于关系到产品质量的计算机系统及其相关数据，应特别注意确定它们的关键性。2.1.3 所有可能会对产品质量造成影响的计算机系统，应通过成熟的质量管理系统被有效管理。质量管理系统的设计要能保证计算机系统不会被意外或故意篡改、修改或者确保不会出现其他可能影响计算机系统数据完整性的活动。2.1.4 在确定数据缺陷和风险时，考虑该计算机系统在业务流程中的使用背景尤为重要。例如，（有计算机界面的）分析方法的数据完整性受以下因素的影响：样品的制备、输入计算机系统的样品重量、计算机系统的使用（计算机系统用于生成数据）、最终结果（使用计算机系统生成的数据作为最终结果）的处理和记录。2.1.5 该文件的指导原则旨在提供计算机系统数据完整性的特殊注意事项。可在“GxP受监管环境下计算机系统的PIC/S良好规范”中查找更多有关计算机系统良好规范的指导原则。2.2 计算机系统的确认和验证2.2.1 应依据相关的GMP/GDP指南执行计算机系统的确认和验证；为了确保符合计算机系统的良好数据管理规范，下表说明了具体的期望。期望不符合期望/待检项的潜在风险项目验证文件1 受监管用户应有一份所有在用计算机系统的详细清单，该清单应包含：n 每个计算机系统的名称、位置和主要功能n 系统以及相关数据的功能和关键性的评估（如直接GMP/GDP影响、间接影响、无影响）n 每个系统的当前验证状态和对现有验证文件的参考 每个系统应有相应的风险评估，特别是应评估确保数据完整性的必要控制措施。应依据流程和系统的关键性以及对产品质量的潜在风险确定数据完整性验证的水平和程度，例如，产生或控制批放行数据的流程和系统所需要的控制措施要严于非关键数据和流程管理系统的控制措施。 对易发生灾难、故障或易无法运行的系统应特别加以注意。 还应审核关键配置的无意或未授权变更或数据的篡改对系统造成的缺陷问题。所有的控制措施都应被记录且有效性应被确认。 如果对所有相应的计算机系统没有足够了解，则公司可能会忽视系统的关键性并可能在数据生命周期内造成缺陷。 详细的目录清单能够清晰的列出所有的系统及其关键性，从而确保系统的变更或修改都受控。 确认对所有的关键处理设备和数据获取系统都有相应的风险评估。缺乏系统影响的全面评估可能会导致缺乏相应的验证和系统控制。需审核的关键系统包括：n 用于控制产品和物料采购和状态的系统n 关键生产工艺控制和数据获取系统n 产生、储存或处理用于确定批质量的数据的系统n 生成批处理或包装记录中数据的系统n 用于决定产品放行的系统2 应有相应的质量部门编写的计算机系统验证总结报告，其中至少包含以下内容：n 限制配置和任何变更（变更控制）的关键系统配置信息和控制措施n 当前已批准的用户列表，包括用户姓名和姓氏以及具体的用户名n 系统每个用户的身份和允许的活动（特权）n 系统管理员的身份和职位n 审计追踪和系统日志的审核频率n 以下规程：u 产生新的系统用户的方式u 对现有用户进行修改（权限变更）的流程u 删除用户的流程u 备份和频率的安排u 出现意外时的恢复流程的说明u 数据存档的流程和职责u 数据存储的批准位置n 要明确说明原始数据与相关的元数据应一同保存，且保存形式可以使生产流程或分析活动再现。 按照GMP/GDP要求和ALCOA原则，检查验证系统和验证报告是否明确符合数据完整性要求。 应在验证之前规定系统配置和职责分配（例如，生成数据的权限和确认数据的权限应分开），并确认测试期间系统配置和职责分配是否同样有效。 检查系统访问相关规程，从而保证系统的修订或变更受限且符合变更控制管理。 保证系统管理员访问仅限于被授权人员且不可用于常规操作。 检查计算机系统访问权限的授予、变更和撤销规程从而保证这些活动受控。检查用户访问日志和权限等级。系统应不存在未批准的用户且访问账号应实时更新。还应有相应的限制来防止用户修改审计追踪功能。3 公司应有相应的验证主计划，其中包含计算机系统、这些系统及其相关数据完整性的具体政策和验证需求。 应根据风险来确定计算机系统的验证程度。可在PI011中查找有关计算机系统验证要求评估的更多指导内容。 在进行日常使用之前，应对系统进行规定的挑战测试，确保其符合接受标准。 通常期望对计算机系统进行前摄性验证；但是对于已安装的系统，也可根据现有计算机系统的所有历史记录评估，对计算机系统进行回顾性验证。 对于回顾性确认，要对系统历史文件（如：错误日志、变更）以及系统的用户手册和SOP进行评估。 应根据GMP附件15设计IT验证以及URS、FAT、SAT、IQ、OQ和PQ测试。 确认测试包括：设计确认（DQ）、安装确认（IQ）、运行确认（OQ）和性能确认（PQ）。尤其是针对存在数据完整性风险的方面，应设计具体的挑战测试。 公司应当确保计算机系统按照其预期用途被确认。因此，公司不应只依赖于供应商提供的确认信息包；验证活动应包括具体的测试，从而确保在执行反映一般和预期用途的计算机操作期间，维持数据完整性。 风险评估应对测试数量有指导性作用，但是至少要对关键功能进行识别和测试，例如，某些以基本算法和逻辑设定为基础的PLCs和系统，功能测试为计算机系统的可靠性提供了充分保证。对于关键和/或较为复杂的系统，IQ、OQ&PQ阶段会要求有详细的确认测试。 检查验证文件是否包含数据完整性的具体规定；验证报告应明确符合数据完整性原则并通过设计和测试证明已有充分的控制措施。 未验证的系统可能会造成数据完整性的重大缺陷，因为用户访问和系统配置可能允许数据修改。 检查终端用户测试是否包括为测试脚本（设计测试脚本的目的是表明该软件不仅满足供应商需求还符合其预期用途。）4 定期评估 为了确认计算机系统一直处于已验证状态且符合GMP，应对计算机系统进行定期评估。评估内容包括偏差、变更、升级历史、性能和维护。 检查验证计划中是否提出了计算机系统的再验证审核。 确认是否对系统进行了定期审核，特别是针对任何数据完整性缺陷。 如发现任何问题，如，当前软件/硬件局限性，要及时处理且应制定并执行相应的纠正预防措施和临时控制措施，控制所识别的任何风险。期望不符合期望/待检项的潜在风险项目系统之间的数据转移1 验证时要对接口进行评估和处理，从而确保数据的正确和完整转移。 在数据转移的过程中，计算机系统之间的接口可能会因数据意外丢失、错误修改记录造成风险。2 如系统软件被安装或更新，用户应确保新软件可以读取存档的数据。如有必要，可能需要将现有存档数据转化成新的数据格式。 如果使用新版本软件时，无法将存档数据转化为新的数据格式，那么为了在调查时能够读取存档的数据，一定要将旧版软件安装在一台PC上，并确保旧版软件可以和硬拷贝（例如：安装CD）一样被使用。 如果新软件不可以转化新的数据格式，应在一台PC机中保存安装旧的软件且有硬拷贝（如安装CD），以便在有调查时能够读取存档的数据。 在数据生命周期内，原始格式的数据一定要可读，因此用户必须维持数据的可读性和作废软件的使用。2.3 计算机系统安全期望不符合期望/待检项的潜在风险项目系统安全1 应配置和采取用户访问物理控制措施和电子控制措施，禁止未授权的数据访问、更改和删除。例如：n 应为所有需要访问和使用特定电子系统的员工设定和分配个人登录ID和密码。共用登录信息无法追溯至活动的执行人，因此即使出于节约财政的原因，也不得共用密码。n 数据输入和计算机记录变更必须由经授权的人员进行。公司应维护有一份授权人员名单，且在该名单中应列出授权人员对每个在用电子系统的访问权限。n 对于用于运行应用程序的计算机系统，应控制管理员的访问。一般用户应不得访问软件的关键内容，例如，系统时钟、文件删除功能等。n 系统管理员一般应独立于任务执行用户，且与电子系统中生产的或可用的数据结果无关。例如，QC管理员和经理不能是该实验室电子系统（例如HPLC、GC、UV-Vis）的管理员。通常，质量和生产部门之外的人员（例如信息技术管理员）应作为系统管理员且拥有较高的权限级别。n 对于规模较小的组织，可指定一个人员具有系统管理员访问权限；但是该管理员访问权限不得用于进行日常操作，而用户应另有一个受限的访问权限进行日常操作。n 如要申请新用户，新用户权限应根据标准规程以可追溯的方式提交至IT管理员。 检查公司是否已采取合理的措施保证在用计算机系统是安全的，且不会受到有意或无意的更改。 系统如果没有物理安全和管理安全设置，易受数据完整性问题的影响。检查官应确认是否有已批准的系统安全管理规程，从而确保计算机系统维持已验证状态且不会被任意篡改。 一些计算机系统仅支持单个用户登录或有限数量的用户登录。如没有合适的替换计算机系统，应有第三方软件或具有可追溯（有版本控制）性的纸质方式提供相等的控制。 替换系统的适用性应被证明并记录。混合系统可能要求加强数据审核。2 必须保护计算机系统免受意外变更或随意篡改。公司应对系统及其设计进行评估，防止对已验证设置进行未经授权的变更，因为未授权的变更可能会最终影响数据完整性。应注意：n 计算机系统硬件的物理安全n 服务器位置和访问n 限制访问PLC结节，例如，锁住PLC盖板n 网络系统受到本地和外部攻击的安全隐患n 远程网络更新，例如供应商对网络系统的自动更新3 使用电子签名代替手写签名时，必须有相应的控制措施，从而确保电子签名的真实性和可追溯性（即追溯到使用电子签名签署电子记录的人员）。 使用电子签名的高级形式变得较为普遍，例如，公司越来越流行使用生物识别技术。应推荐使用高级形式的电子签名。 检查电子签名是否被适当验证，电子签名的发放是否受控，电子签名是否总能追溯到相应人员。 一旦电子签名被签署，任何的数据变更只在该数据被再审核并重新签署电子签名后才有效。2.4 计算机系统审计追踪期望不符合期望/待检项的潜在风险项目审计追踪1 公司应尽量购买和将旧版软件升级为具有电子审计追踪功能的软件。 如公司的软件具有审计追踪功能，电子系统的审计追踪功能应合理配置从而能够捕获系统事件以及任何有关数据获取、删除、重写和变更的活动，以便审计。 通常一些简单的系统缺乏相应的审计追踪，但是，要另有措施来确认数据的真实性，如，管理规程、复查和控制措施。 审计追踪在系统验证时应被确认。 必须激活审计追踪功能，且确保其一直处于锁定状态。例如，涉及HPLC数据输入和更改的人员不得按自己意愿激活或关闭审计追踪。 对于有关审计追踪审核策略和审核过程的规程，企业应依据风险管理原则，执行这些规程。与每批次生产有关的审计追踪，应在批放行之前，独立于其他该批次产品的记录进行审核，从而保证关键数据和数据变更可接受。该审核应由审计追踪发起部门执行，并在需要时，由质量部门在自检或调查期间进行确认。 验证文件应表明数据追踪发挥了作用且审计追踪记录了所有的活动、变更和系统内的其他处理及所有元数据。 确认对审计追踪进行了定期审核（根据质量风险管理原则）且对偏差进行了调查。 如果没有电子审计追踪系统，那么在企业拥有全面的数据追踪系统（综合系统或采用已验证界面的独立审计软件）之前，都可使用纸质记录证明数据的变更。也可采用混合系统（例如：PIC/SGMP指南附件11所描述混合系统），只要其具有和全面审计追踪相同的功能。 如果不能对审计追踪进行充分审核，可能导致质量部门和/或授权人无意间接受篡改或错误的数据。2 公司的质量部门应根据审计追踪的关键性和系统的复杂性，建立并持续执行审核项目和计划。 应有相应的规程对审计追踪偏差进行处理和调查，如需要，规程应包括向高级管理层及国家监管机构上报偏差的流程。 确认自检项目包含对审计追踪的随机和定向检查，目的是确认现有控制措施的有效性和数据审核相关的内部规程的符合性。2.5 计算机系统数据采集/输入期望不符合期望/待检项的潜在风险项目数据采集/输入1 系统的设计应能确保正确采集到手动或自动方式获取的数据。 手动输入:n 只应由授权人员输入数据，且系统应记录下输入的详细信息、输入人员以及输入时间。n 应以软件控制的特定格式输入数据，验证活动应确认系统不会允许输入无效格式的数据。n 所有手动输入的数据都应由另一操作人员或通过已验证的计算机进行确认。n 应在审计追踪中收集所有输入数据的变更，并由独立的授权人员进行审核。 自动数据收集n 初始系统与数据获取和记录系统之间的接口应被验证从而保证数据的准确性。n 系统收集的数据在存储器中，且其存储方式应避免数据的篡改、丢失或变更。n 系统软件应验证，从而保证所获取数据以及与该数据相关的元数据的完整性。 确保由第二人对手动输入计算机的数据进行确认检查。 对于自动获取数据的计算机系统，应审核其验证记录，从而确保数据确认措施和数据完整性措施被执行且有效。2 应按照已批准的规程，批准或控制任何必要的数据变更。 例如，必须按照已批准的受控方式，对实验室结果进行手动积分和再处理。公司的质量部门必须制定措施，确保数据变更只在必要时由指定人员进行。 必须完整记录任何以及所有原始数据的变更和修改，并至少由一名培训合格的资质人员对记录进行审核和批准。 确认有相应的规程对数据的修改和处理进行控制。对于建议的变更、控制/限制/规定的变更的正式批准以及对所做变更的正式审核，都应提供证据表明其流程合适。2.6 计算机系统内的数据审核期望不符合期望/待检项的潜在风险项目电子数据审核1 受监管的用户应进行评估来识别计算机系统生成的所有GMP/GDP相关电子数据。识别后，受监管的用户应对关键数据进行审计和确认，判断操作是否正确执行以及电子记录中的原始信息是否发生变更（修改、删除或重写）。所有变更都必须被正式批准。 数据相关的审计追踪的审核为批准流程中日常数据审核工作的一部分。 审计追踪记录应清晰明确且至少包含以下信息：n 进行数据变更的人员姓名n 变更描述n 变更时间和日期n 变更原因n 批准变更的人员姓名 审计追踪审核的频率、人员和职责应以风险评估为基础，遵循GMP/GDP计算机系统中数据记录相关的原则。例如，对直接影响药品质量的电子数据变更，需要在每次生成数据时进行审核。 受监管的用户应建立SOP，说明审计追踪审核的详细信息。该规程应详细确定负责审核审计追踪的人员应遵守的流程。审计追踪审核活动应有文件记录。该记录应与其他GMP/GDP相关文件一同保存。 审计追踪审核期间发现任何不同于预期结果的重大偏差都要进行充分调查并记录。如在审计追踪审核时发现会对药品质量产生影响的重大问题，应有相应规程说明需采取的措施。 公司的质量部门在日常自检时也应抽样审核审计追踪记录。 检查本地规程从而保证依据数据的关键性（对产品质量和/或决策的影响），对数据进行审核。每次审核审计应有记录证明且检查官可以查看这些记录。 如内部或外部报告中进行了数据总结，应有证据表明该总结已确认与原始数据一致。2.7 电子数据存储、存档和清除期望不符合期望/待检项的潜在风险项目电子数据存储、存档和清除1 必须采用安全、经验证的流程对全部原始数据和元数据以及审计追踪进行存储。 如果数据有备份或副本，则必须对备份和副本采取相同水平的控制措施，从而防止数据发生任何未经授权的访问、变更、删除和修改。例如，如果公司将数据备份至移动硬盘中，则必须防止从该硬盘上删除数据。数据存储和备份的其他注意项包括：n 可制备动态电子记录的真实副本，其需保存原始记录的所有内容（即包含所有的数据和元数据）和原始记录的含义。n 须有合适的软件和硬件用于访问数据的备份或副本。n 日常备份副本应保存在远离灾难事件的位置（物理分离）。n 即使软件被更新或被替换成了更高性能的软件，备份数据也应在规定的保存期限内随时可读。 检查数据存储、备份和存档系统的设计是否能够收集所有的数据和元数据。应有文件证明这些系统已经被验证和确认。2 记录保存规程必须包含有关元数据保存的规定，这样就能够在之后询问或调查过程中重选某一批次的相关活动。3 应按照书面规程定期存档数据。存档的数据和备份的数据应分开保存，且两者的物理存放位置应保持较远的距离。 在整个存档期内，数据应可访问且可读，并保持其完整性。 如需进行调查，应有相应的规程来恢复存档数据。存档数据的恢复程序应定期进行测试。 如果存档流程需要某一机构，应实施特定的环境控制措施且只有批准授权的人员可访问，从而避免记录的故意或意外修改或丢失。如果因数据的长期存取访问，系统必须下线，应有规程保证存档的数据持续可读。例如，可规定将数据转移至另一系统中。 如果因软件应用更新或设备替换而导致数据无法访问和不可读，那么存档的数据就会面临一定风险。确认公司能够访问存档的数据，并能够访问必要的软件，对存档的数据进行审核。 如果由外部机构或第三方对数据进行存档，应对服务提供方进行评估，并在质量技术协议中记录所有相应职责。检查协议和评估记录，确认已经进行了充分考虑，从而确保存档数据的完整性。4 计算机系统生成的所有数据（包括元数据）的记录应可以被清晰且完整打印。 如果记录发生变更，也应可以打印出记录的变更，打印件上应显示原始数据的变更时间和方式。 检查系统验证文件从而保证已对系统是否能够生成清晰且完整记录进行了验证。 可对打印件的样本进行确认。5 应有规程说明电子存储数据的清除流程。这些规程应为数据评估和保存期限的设定提供指导，并说明对不再需要的数据应采取何种清除方式。 检查规程是否明确规定了数据清除的条件，并检查企业在数据生命周期内是否注意到应避免对必需数据的无意清除。