picsgmpgdp监管环境下数据管理和可靠性的良好实践指(20210309223853)

1、质量管理系统的结构、空白表格/ /模板/ /记录的控制纸质系统具体的数据完整性注意事项对纸质文件的有效管理是GMPGMP的关键部分。因此文档系统的涉及应该满足GMPGMP _要求，确保有效控制文件和记录，维持其完整性。纸质记录必须受控。在整个数据的生命周期中，记录必须保持可追溯性、清晰、不 _可消除、同步、原始和准确（ALCOAALCOA ）。质量管理系统中应该有良好文档实践的规程和文档控制措施，这些规程应说明以下 内容：如何创建、审核以及批准主文件和规程用于记录数据的模板的生成、分发和控制（主模板、日志等） 记录的检索和灾难恢复日常使用文件的副本生成过程，应确保文件（如SOPSOP和空白表格

2、）副本的分发和使用受控和可追溯。纸质文件完成的指南、操作员的标识、数据填写形式、记录的修改记录的提交（filingfiling）、检索（retrievalretrieval ）、保留（retentionretention ）、归档（archivalarchival）及销毁 （disposaldisposal ）程序在数据生命周期中如何保持数据完整性所执行活动的证明；符合GMPGMP要求和公司政策、规程和工作指南的证明; 药品质量管理系统（QMSQMS ）的有效性； 可追溯性；流程真实性和一致性； 产品具有良好质量属性的证据， 如果有投诉，记录可以用于调查。记录模板的生成、分发和控制为什么管理和

3、控制主记录是必要的？为了确保将不恰当使用记录和/ /或通过“普通方式”（如，无需使用专门的诈欺技能）伪造记录 所产生的风险降至可接受水平，管理和控制主记录是必要的。考虑到记录数据的风险和关键性, 应该使用质量风险管理的方式满足以下期望（见 5.45.4和5.55.5）期望不符合期望/ /待检项的潜在风险项目生成 GenerationGeneration1 1所有的文件应有唯一的标识码（包括版 本、编号），且应被检查、批准禁止使用非受控的文件、临时记录（如 废纸）等。? ? 不受控的文件增加了关键数据遗漏 或丢失的可能性，因为这些文件的设 计可能不能确保正确地记录关键数 据。? ? 更容易伪造不

4、受控的记录。? ? 如果没有版本控制或发行控制，存在 使用作废文件的风险。2 2记录的设计应有足够的空间用于数据填 写。? ? 如果没有充分的空间填写数据，则手 填的数据可能不清楚或不清晰。? ? 如果需要附加页，才能形成完整的文 件，那么应该把附加的页数和附加页 各页的页码清楚地记录在主记录页 上并签名。3 3文件的设计应清楚说明输入哪种数据。? ? 模糊的说明会导致不一致/ /不准确的 数据记录? ? 确保输入的数据清晰、同步和不可消 除/ /持久。4 4文件的储存方式应该能确保合理的版本 控制。应该避免对的主副本（软拷贝）进行未 授权或无意变更。例如：以电子方式储存的记录模板应该 注意以

5、下内容：应该控制主模板的访问权限版本创建和更新过程的控制应该 清楚且实际地应用/ /确认主文件的储存应该避免未授权的 变更? ?不当的储存条件可能会造成未授权 的更改、过期文件和/ /或草稿的使用 或是主文件的丢失。? ? 执行的流程和有效沟通和文件同等 重要。? ? 主副本应该包含独特的标记，以便与 副本进行区分，女口，使用彩纸或彩色 墨水，防止意外使用。项目分发和控制 DistributionDistribution andand controlcontrol5 5应该及时分发更新的版本。旧版的主文档和文件应该存档且访冋? ? 如果旧版本可用，则可能存在误用的 风险。对记录模板的生成、分发

6、和控制的期望?受限。任何发布和未使用的物理文件应该进 行相应的收回和销毁。6 6文件分发应该由书面规程控制，包括： 使用安全戳或纸张颜色代码（在工作区 不可用）或其他适当的系统，控制文件 的分发。确保只有现行的、批准的版本可用为发布的每个空白文件分配特殊的识 别号，在登记簿中记录每一份文件的发 布给母个分发的副本编号（如：副本2/2/共两份副本），在装订成册的文档中按 顺序给每页编上页码。如果需要重新分发空白模板的副本，应 该遵守重新分发的受控流程。所有分发 的副本应该保存，如果需要额外副本， 应说明原因，并应获得批准，如，“之 前分发的记录模板受损”。所有分发的记录应符合其后续使用，以 便确

7、保记录的准确性和完整性。? ? 如果没有使用安全措施，则在影印或 扫描记录模板之后（另一个模板副本 供用户使用），存在重写或伪造数据 的风险。有模板记录的索引应该由QAQA组织保存。该索引应该至少提及每种模板记录的以下信息：标题、参考编号（包括版本号）、位置（如，文档数据库、有效期、下次 审核日期等）使用和控制生产区内的记录生产区内的记录应该由指定人员或通过指定流程进行适当地控制。这些控制应该将记录损毁或丢失的风险最小化且确保数据完整性。如有需要，必须采取措施，避免 弄脏记录（如，弄湿或有污渍等）。填写记录FillingFilling outout该控制下表所列的项目，确保合理地填写记录。期望

8、不符合期望/ /待检项的潜在风险项目填写记录 CompletionCompletion ofof recordsrecords1 1任务执行人应填写记录。? ? 检查笔迹的一致性，确保由同一人员应该删除文件中的未使用的、空白字段， 且注明日期和签名。记录的填写应该清楚和清晰。应该使用指定的格式填写日期，如， dd/mm/yyyydd/mm/yyyy 或者 mm/dd/yyyymm/dd/yyyy。填写。? ? 确认填写内容清晰（如,不含糊；不 使用未知的符号/ /缩写，例如双点号“）。? ? 检查数据的完整性。? ? 检查记录的正确页数，并检查记录是 否有遗漏页。2 2记录的填写和操作应该同步

9、。用抄写员代表另一个操作人员记录所实施 的活动应只在例外下发生，如：? ? 操作人员进行同步记录时会影响产品 或活动，例如，由无菌操作者进行生产 线记录。? ? 为了应对文化受限或员工读写能力/ /语 言受限的情况，如一种活动由操作人员 实施，但由主管或管理人员进行证明和 记录。在两种情形下，监督记录必须与所执行的 任务同步进行，且必须识别任务执行人和 记录填写人。只要可能，进行工作执行人 也应在记录上签字，即使执行人在记录上 的签字被认为具有回顾性质。监督（抄写） 记录完成的过程应在一个已批准规程里进 行描述，还应说明该规程适用的活动。? ? 确认记录在其使用的当前区域可用， 女口，检查官应

10、该期望在操作现场是按 照顺序记录的。如果在使用点表格不 可用，则操作员在事件生时就无法填 写记录。3 3记录应不可消除? ? 确认填写内容时所使用的墨水能够 确保填写内容不可消除和/ /或不会模 糊或褪色（在保存期内）。? ?检查在使用钢笔之前，不用铅笔填写 记录（覆盖）。? ? 注意：系统的某些纸质打印文件可能 会随着时间推移而褪色，女口，热敏纸。4 4记录应该签名并注明日期，所使用的特 殊标识符可以追踪到记录填写人。? ? 检查是否有签名列表，且签名列表是 否受控并被及时更新，是否体现了签名的独特示例，而不是只有标准化的 打印字母。? ? 确保所有关键的填写内容有签名和 日期，如果是跨时段

11、的步骤，那么不 应仅是在记录结尾和/ /或流程结束时 签名。? ? 通常不鼓励使用私人印章；但是，如 果使用，则印章的使用权限必须受 控。应该有日志清楚地展示个人和其 印章之间的可追踪性。私人印章的使 用必须由印章所有人注明日期，才可 被接受。纠正记录CorrectCorrect记录的纠正必须保持完全的可追踪性。期望不符合期望/ /待检项的潜在风险项目如何纟片正记录? recordsrecords correctedcorrected1 1使用一条线划掉要变更的内容如果合适，必须清楚地记录和确认纠正 的理由，如果重要的话变更人使用首字母签名并注明变更日期? ? 检查原始数据可读且不会被遮盖（如

12、，不允许使用修正液遮盖原始数 据；不允许覆盖原始数据）? ? 如果对填写的关键数据进行变更，则 确认已记录有效的变更原因，且变更 的支持性证据可用。? ? 检查记录中的不清楚的符号或填写 内容。2 2必须使用不可消除的墨水进行纠正? ? 确认填写内容时所使用的墨水能够 确保填写内容不可消除和/ /或不会模 糊或褪色（在保存期内）。? ?检查在使用钢笔之前，不用铅笔填写 记录（覆盖）。期望不符合期望/ /待检项的潜在风险项目在何时由何人确认记录？ VerifyVerify recordsrecords1 1关键流程步骤的A A批生产记录应该：? ? 确认加工区内生产记录的处理流程，确认记录（二次

13、检查） VerifyVerify （ secsec ondaryondary checkschecks）? ? 在操作进行时，由指定人员审核/ /证明 （如，生产主管）? ? 在记录发送到QCQC部门之前，由生产部 门的授权人员审核? ?在生产的批次放行或销售之前，由质量 保证部门（如，授权人员/ /质量授权人） 审核和批准通常，根据批准的规程，非关键流程步骤的B B批生产记录由生产人员审核。在执行与生产相关的任何工作和活动之后，必须进行确认。该确认必须由合适的 人员签名或首字母签名并注明日期。必须有本地SOPsSOPs描述书面文件的审核流 程。确保在进行与记录相关的活动时，指 定人员可使用这

14、些记录。? ? 确认加工期间的二次检查由适当的、 合格和独立的人员进行，女口，生产主 管或QAQA。? ? 检查文件在操作活动元成后，是否由 生产部门和质量人员分别审核。项目女 M M可复查记录？ doubledouble CheckedChecked recordsrecords2 2检查是否已使用当前（批准的）模板准 确地填写了所有字段，且是否已将数据 与可接受标准进行严格比对。检杳8.58.5部分的1 1、2 2、3 3和4 4项以及8.68.6部分中的1 1和2 2项目。? ? 检查官审核手工数据之前应该审阅 公司规程，确定流程的合适性。? ? 检查数据的二次审核是否包括对使 用的计算

15、结果的确认。? ? 查看原始数据（如果可能），确认计 算中使用的是正确数据。保存记录 MaMa inin taintain期望不符合期望/ /待检项的潜在风险项目女M M可保存记录？ maimai ntanta inin recordsrecords1 1公司应该使用指定的系统，用于保存和 恢复记录。所有的记录必须保存在指定位置，且可 以追踪和访问。系统应该确保所有 GMP/GDPGMP/GDP相关记 录的保存期符合GMP/GDPGMP/GDP要求。? ? 检查记录是否按顺序保存且易于识 别。项目女 M M可复查记录？ doubledouble CheckedChecked recordsre

16、cords2 2应该保护所有记录，避免损坏或销毁：? ? 火灾? ? 液体（如，水、溶剂和缓冲液）? ? 检查是否有系统用于保护记录（如， 害虫控制和喷水系统）? ? 注意：如果喷水系统的设计可以防止（简单电子系统（如，天平、pHpH计）或不能储存数据的简单设备生成的）纸质记 录很少会通过电子日期/ /时间戳的（再）处理和变更影响数据的呈现。在这些情况下， 原始记录应该由生成记录的人员签名并注明日期，且该原始记录应该附加到批记录 中。真实副本通常，原始纸质记录副本（如，分析总结报告、验证报告等）有利于沟通，如，不 同厂址的公司之间的沟通。必须在记录的生命周期内对记录进行控制，如果可能， 确保将

17、从另一个地点（姐妹公司、合同商等）接收的数据作为“真实副本”保存， 或者，如果数据不符合“真实副本”的要求（如，复杂分析数据的总结），则将从另一个地点接收的数据作为“总结报告”使用。如果可以证明静态记录能够保持原始数据的完整性，那么可以将电子方式生成的数 据以可接受的纸质或PDFPDF形式保存。但是，数据保存过程必须包括所有原始数据、 元数据、相关审计追踪和结果文件的已确认副本、每次分析的软件/ /系统配置设置、原始数据集重现所必须的所有数据处理过程（例如方法和审计追踪）。另外，还需要采用规定的方法确认打印记录是准确的。如果要得到符合GMPGMP的记录，这种方法可能会很复杂。对于很多电子记录来

18、说，使用动态（电子）格式保存这些电子记录是很重要的，因 为这样人员可以与数据互动。如果数据对完整性或后续确认很重要，则数据必须以 动态形式保存。数据的重要性应该基于风险来进行证明。在接收地，可以以纸质形式或是电子形式（如，PDFPDF）管理这些记录（真实副本）， 并应该根据批准的QAQA规程控制这些记录。无论是使用手写签名或是电子签名，应当注意确保文件是“真实副本”期望不符合期望/ /待检项的潜在风险项目如何发布和控制“真实副本”1 1创建纸质文件的“真实副本”。在发布 真实副本的公司中：? ? 确认真实副本的生成规程。? ? 确认发布的真实副本与原始记录相? ? 啮齿动物? ? 空气湿度等?

19、 ? 非授权人员访问，该人员可能会试图修 改、销毁或替换记录损坏文件，则可以使用该系统，如，可以保护文件被水淋湿（如,使用塑料膜覆盖文件）3 3灾难恢复的策略? ? 检查在灾难出现时，是否有系统用于 恢复记录。电子系统的直接打印输入获得备份文件的原件影印原始文件，确保没有遗漏任何 信息确认副本的真实性，在新的硬拷贝 文件上签名并注明日期，将其作为 “真实副本”“真实副本”被发送至预期接收人。 创建电子文件的“真实副本”。 电子记录的“真实副本”应该使用电子 方式（电子文件副本）创建，包括所有 必需的兀数据。不鼓励创建电子数据的 pdfpdf版本，因为pdfpdf版和电子系统中打 印的文件相同，

20、这样可能有丢失元数据 的风险。“真实副本”被发送至预期接收人。 应该有所有“真实副本”（软/ /硬拷贝） 的分发清单。同（完整和准确）。应该根据原始记 录检查复印的记录，确保扫描件没有 被篡改。? ? 确认对扫描或保存记录进行的保护能够确保数据完整性。? ?在扫描纸质记录且确认“真实副本” 的创建后，可销毁扫描件的原始文 件。销毁应该有批准流程。项目女 M M可复查记录？ doubledouble CheckedChecked recordsrecords2 2在接收真实副本的公司应该根据良好文件管理流程，审核 和存档纸质文件、扫描件或电子文 件。、文件应该清楚体现其是真实副本而非 原始记录。

21、? ? 检查接受的记录是否被适当审核和 保存。? ? 应有适当的系统，用于确认“真实副 本”的真实性，女口，可通过确认签名 人是否正确来确认“真实副本”的真 实性。文件保存（确定记录保存要求和把记录存档）reterete ntinti onon应该存在质量协议，说明“真实副本”生成和转移以及数据完整性控制的职责。“真 实副本”的发布和控制系统应该由委托方和受托方审计，确保流程完善且符合数据 完整性原则。总结报告远程审核的局限性远程审核总结报告内的数据通常是必要的；但是，必须充分理解远程数据审核的局 _限性，以便充分控制数据完整性。数据的总结报告通常在地处偏远的生产地、上市许可证持有人和其他相关

22、方之间提 供。但是，必须承认总结报告本质上是有局限的，总结报告通常不包括关键支持数 据和元数据，因此，不能审核原始数据。因此，最重要的是仅可以将总结报告视为数据转移过程的一个要素，但相关方和检 查官不能完全依靠总结报告数据。在总结数据被接受前，如果觉得总结数据重要，应在质量风险管理的基础上，通过 现场检查，进行供应商质量系统评估和数据完整性原则合规性评估。检查应该确保 公司生成数据的真实性，且检查中，还应对总结数据和报告的生成和分发机制进行 审核。每种记录的保存保存期限应该（至少）符合GMP/GDPGMP/GDP要求中规定的期限。也应考 虑其他本地或国家法规，这些法规规定的保存期限可能更长。公

23、司可以自己保存记录，也可以委托符合质量协议的外部服务商保存记录。应该进 行风险评估，证明记录保存系统/ /企业/ /服务商适用且剩余风险被理解。期望不符合期望/ /待检项的潜在风险项目记录存档位置和方式 archivedarchived1 1应有相应的系统对记录存档的不同步 骤进行说明（档案盒的标识，每个档案 盒的记录清单、保存时间、存档位置 等）。? ? 检查用于检索存档记录的系统是否 有效且可追溯。? ?检查存档文件是否仅限于有权限的 人员访问从而保证所存记录的完整 性。? ?所用的存储方式要允许文件在需要 时能够进行有效检索。项目女 M M可复查记录？ doubledouble Chec

24、kedChecked recordsrecords2 2硬拷贝的质量记录应在防止损坏和丢失的安全位置保 存? ? 对于外包的存档操作，检查是否有适 当的质量协议，存放位置是否已被审 计。以易于检索的方式保存 确保在其存档期限内可用? ? 保证对文件在整个存档期间是否可 读/ /可用进行了评估。? ?检查存档文件是否仅限于有权限的 人员访问从而保证所存记录的完整 性。? ?所用的存储方式要允许文件在需要 时能够进行被有效检索。(见 8.11.58.11.5 )。原始记录的清除DisposalDisposal应将记录清除的过程形成适当的书面化文件，从而确保原始记录在规定的保存期后 被正确清除。系统

25、应保证当前记录不会被意外销毁，历史记录不会意外返回到当前 记录流中（例如，历史记录与当期记录混淆/ /混合）应有相应的记录/ /登记表明过期的记录已及时按合适的方式被销毁。应有相应的措施来降低错删文件的风险。应仅有少数指定人员有删除文件的权利。口果打印输出不具有永久性（如：热敏纸），可以保存一份经确认的（真实）复件, 且非永久性原件可以废弃。|如果符合“真实复件”的原则，可用扫描件代替纸质记录计算机系统数据完整性的特别注意项质量管理系统的结构和计算机系统的控制公司采用许多计算机系统为大量的操作活动提供帮助。从简单的单机到复杂的大型 综合系统，这些计算机系统大多都会对产品质量产生影响。每个受监管

26、的实体应按 照GMPGMP和GDPGDP要求，对所有的计算机系统进行充分评估、控制和管理。各组织机构应充分了解所使用计算机系统的性质和范围，针对每个系统、系统预期 用途和功能、数据完整性风险或影响系统操作的缺陷，应有适当评估。对于关系到 产品质量的计算机系统及其相关数据，应特别注意确定它们的关键性。所有可能会对产品质量造成影响的计算机系统，应通过成熟的质量管理系统被有效 管理。质量管理系统的设计要能保证计算机系统不会被意外或故意篡改、修改或者 确保不会出现其他可能影响计算机系统数据完整性的活动。在确定数据缺陷和风险时，考虑该计算机系统在业务流程中的使用背景尤为重要。例如，（有计算机界面的）分析

27、方法的数据完整性受以下因素的影响： 样品的制备、 输入计算机系统的样品重量、计算机系统的使用（计算机系统用于生成数据）、最终结果（使用计算机系统生成的数据作为最终结果）的处理和记录。该文件的指导原则旨在提供计算机系统数据完整性的特殊注意事项。可在“GxPGxP受 监管环境下计算机系统的PIC/SPIC/S良好规范”中查找更多有关计算机系统良好规范的 指导原则。应依据相关的GMP/GDPGMP/GDP指南执行计算机系统的确认和验证；为了确保符合计算机 系统的良好数据管理规范，下表说明了具体的期望。期望不符合期望/ /待检项的潜在风险项目验证文件1 1受监管用户应有一份所有在用计算机? ?如果对所

28、有相应的计算机系统没有系统的详细清单，该清单应包含：足够了解，则公司可能会忽视系统的每个计算机系统的名称、位置和主关键性并可能在数据生命周期内造要功能成缺陷。系统以及相关数据的功能和关键? ?详细的目录清单能够清晰的列出所性的评估（如直接 GMP/GDPGMP/GDP影有的系统及其关键性，从而确保系统响、间接影响、无影响）的变更或修改都受控。每个系统的当前验证状态和对现? ?确认对所有的关键处理设备和数据有验证文件的参考获取系统都有相应的风险评估。缺之每个系统应有相应的风险评估，特别是系统影响的全面评估可能会导致缺应评估确保数据完整性的必要控制措乏相应的验证和系统控制。需审核的施。应依据流程和

29、系统的关键性以及对关键系统包括：产品质量的潜在风险确定数据完整性用于控制产品和物料米购和状验证的水平和程度，例如，产生或控制态的系统批放行数据的流程和系统所需要的控关键生产工艺控制和数据获取制措施要严于非关键数据和流程管理系统系统的控制措施。产生、储存或处理用于确定批质对易发生灾难、故障或易无法运行的系量的数据的系统统应特别加以注意。生成批处理或包装记录中数据还应审核关键配置的无意或未授权变的系统更或数据的篡改对系统造成的缺陷问 题。所有的控制措施都应被记录且有效 性应被确认。用于决定产品放行的系统2 2应有相应的质量部门编写的计算机系? ?按照GMP/GDPGMP/GDP要求和ALCOAAL

30、COA原统验证总结报告，其中至少包含以下内贝检查验证系统和验证报告是否明容：确符合数据完整性要求。限制配置和任何变更（变更控制）? ?应在验证之前规定系统配置和职责的关键系统配置信息和控制措施分配（例如，生成数据的权限和确认当前已批准的用户列表，包括用户数据的权限应分开），并确认测试期姓名和姓氏以及具体的用户名间系统配置和职责分配是否同样有系统每个用户的身份和允许的活效。动（特权）? ?检查系统访冋相关规程，从而保证系系统管理员的身份和职位统的修订或变更受限且符合变更控审计追踪和系统日志的审核频率制管理。以下规程：产生新的系统用户的方式 对现有用户进行修改（权限变 更）的流程删除用户的流程备份

31、和频率的安排出现意外时的恢复流程的说明 数据存档的流程和职责 数据存储的批准位置 要明确说明原始数据与相关的元 数据应一同保存，且保存形式可以 使生产流程或分析活动再现。? ? 保证系统管理员访问仅限于被授权 人员且不可用于常规操作。? ? 检查计算机系统访问权限的授予、变 更和撤销规程从而保证这些活动受 控。检查用户访问日志和权限等级。 系统应不存在未批准的用户且访问 账号应实时更新。还应有相应的限制 来防止用户修改审计追踪功能。3 3公司应有相应的验证主计划，其中包含 计算机系统、这些系统及其相关数据完 整性的具体政策和验证需求。应根据风险来确定计算机系统的验证 程度。可在PI011PI0

32、11中查找有关计算机系 统验证要求评估的更多指导内容。在进行日常使用之前，应对系统进行规 定的挑战测试，确保其符合接受标准。通常期望对计算机系统进行前摄性验 证；但是对于已安装的系统，也可根据 现有计算机系统的所有历史记录评估， 对计算机系统进行回顾性验证。对于回顾性确认，要对系统历史文件（如：错误日志、变更）以及系统的用 户手册和SOPSOP进行评估。应根据GMPGMP附件1515设计ITIT验证以及 URSURS、FATFAT、SATSAT、IQIQ、OQOQ 和 PQPQ 测 试。确认测试包括：设计确认（DQDQ ）、安装 确认（IQIQ）、运行确认（0Q0Q）和性能 确认（PQPQ ）

33、。尤其是针对存在数据完整 性风险的方面，应设计具体的挑战测? ? 检查验证文件是否包含数据完整性 的具体规定；验证报告应明确符合数 据完整性原则并通过设计和测试证 明已有充分的控制措施。? ? 未验证的系统可能会造成数据完整 性的重大缺陷，因为用户访问和系统 配置可能允许数据修改。? ?检查终端用户测试是否包括为测试 脚本（设计测试脚本的目的是表明该 软件不仅满足供应商需求还符合其 预期用途。）试。公司应当确保计算机系统按照其预期 用途被确认。因此，公司不应只依赖于 供应商提供的确认信息包；验证活动应 包括具体的测试，从而确保在执行反映 一般和预期用途的计算机操作期间，维 持数据完整性。风险评

34、估应对测试数量有指导性作用， 但是至少要对关键功能进行识别和测 试，例如，某些以基本算法和逻辑设定 为基础的PLCsPLCs和系统，功能测试为计 算机系统的可靠性提供了充分保证。对 于关键和/ /或较为复杂的系统，IQIQ、 OQ&PQOQ&PQ阶段会要求有详细的确认测 试。4 4定期评估为了确认计算机系统一直处于已验证 状态且符合GMPGMP，应对计算机系统进 行定期评估。评估内容包括偏差、变更、 升级历史、性能和维护。? ? 检查验证计划中是否提出了计算机 系统的再验证审核。? ? 确认是否对系统进行了定期审核，特 别是针对任何数据完整性缺陷。? ? 如发现任何冋题，如，当前软件/ /硬

35、件局限性，要及时处理且应制定并执 行相应的纠正预防措施和临时控制 措施，控制所识别的任何风险。期望不符合期望/ /待检项的潜在风险项目系统之间的数据转移1 1验证时要对接口进行评估和处理，从而 确保数据的正确和完整转移。? ? 在数据转移的过程中，计算机系统之 间的接口可能会因数据意外丢失、错 误修改记录造成风险。2 2如系统软件被安装或更新，用户应确保 新软件可以读取存档的数据。如有必 要，可能需要将现有存档数据转化成新 的数据格式。如果使用新版本软件时，无法将存档数? ? 在数据生命周期内，原始格式的数据 一定要可读，因此用户必须维持数据 的可读性和作废软件的使用。据转化为新的数据格式，那

36、么为了在调 查时能够读取存档的数据，一定要将旧 版软件安装在一台PCPC上，并确保旧版 软件可以和硬拷贝（例如：安装 CDCD） 一样被使用。如果新软件不可以转化新的数据格式， 应在一台PCPC机中保存安装旧的软件且有硬拷贝（如安装 CDCD），以便在有 调查时能够读取存档的数据。期望不符合期望/ /待检项的潜在风险项目系统安全1 1应配置和米取用户访问物理控制措施 和电子控制措施，禁止未授权的数据访 问、更改和删除。例如：应为所有需要访问和使用特定电 子系统的员工设定和分配个人登 录IDID和密码。共用登录信息无法 追溯至活动的执行人，因此即使出 于节约财政的原因，也不得共用密 码。数据输入

37、和计算机记录变更必须 由经授权的人员进行。公司应维护 有一份授权人员名单，且在该名单 中应列出授权人员对每个在用电 子系统的访问权限。对于用于运行应用程序的计算机 系统，应控制管理员的访问。一般 用户应不得访问软件的关键内容， 例如，系统时钟、文件删除功能等。 系统管理员一般应独立于任务执 行用户，且与电子系统中生产的或 可用的数据结果无关。例如，QCQC管理员和经理不能是该实验室电? ? 检查公司是否已采取合理的措施保 证在用计算机系统是安全的，且不会 受到有意或无意的更改。? ? 系统如果没有物理安全和管理安全 设置，易受数据完整性问题的影响。 检查官应确认是否有已批准的系统 安全管理规程

38、，从而确保计算机系统 维持已验证状态且不会被任意篡改。? ? 一些计算机系统仅支持单个用户登 录或有限数量的用户登录。如没有合 适的替换计算机系统，应有第三方软 件或具有可追溯（有版本控制）性的 纸质方式提供相等的控制。? ? 替换系统的适用性应被证明并记录。 混合系统可能要求加强数据审核。子系统（例女口 HPLCHPLC、GCGC、UV-VisUV-Vis） 的管理员。通常，质量和生产部门 之外的人员（例如信息技术管理 员）应作为系统管理员且拥有较高 的权限级别。对于规模较小的组织，可指定一个 人员具有系统管理员访问权限；但 是该管理员访问权限不得用于进 行日常操作，而用户应另有一个受 限的

39、访问权限进行日常操作。如要申请新用户，新用户权限应根 据标准规程以可追溯的方式提交 至ITIT管理员。2 2必须保护计算机系统免受意外变更或 随意篡改。公司应对系统及其设计进行 评估，防止对已验证设置进行未经授权 的变更，因为未授权的变更可能会最终 影响数据完整性。应注意：计算机系统硬件的物理安全服务器位置和访问限制访问PLCPLC结节，例如，锁住PLCPLC盖板网络系统受到本地和外部攻击的安全隐患远程网络更新，例如供应商对网络 系统的自动更新? ?3 3使用电子签名代替手写签名时，必须有 相应的控制措施，从而确保电子签名的 真实性和可追溯性（即追溯到使用电子 签名签署电子记录的人员）。使用电

40、子签名的高级形式变得较为普 遍，例如，公司越来越流行使用生物识 别技术。应推存使用咼级形式的电子签 名。? ? 检查电子签名是否被适当验证，电子 签名的发放是否受控，电子签名是否 总能追溯到相应人员。? ? 一旦电子签名被签署，任何的数据变 更只在该数据被再审核并重新签署 电子签名后才有效。期望不符合期望/ /待检项的潜在风险项目审计追踪1 1公司应尽量购买和将旧版软件升级为 具有电子审计追踪功能的软件。 如公司的软件具有审计追踪功能，电子 系统的审计追踪功能应合理配置从而 能够捕获系统事件以及任何有关数据 获取、删除、重写和变更的活动，以便 审计。通常一些简单的系统缺乏相应的审计 追踪，但是

41、，要另有措施来确认数据的 真实性，女口，管理规程、复查和控制措 施。审计追踪在系统验证时应被确认。必须激活审计追踪功能，且确保其一直 处于锁定状态。例如，涉及 HPLCHPLC数 据输入和更改的人员不得按自己意愿 激活或关闭审计追踪。对于有关审计追踪审核策略和审核过 程的规程，企业应依据风险管理原则， 执行这些规程。与每批次生产有关的审 计追踪，应在批放行之前，独立于其他 该批次产品的记录进行审核，从而保证 关键数据和数据变更可接受。该审核应 由审计追踪发起部门执行，并在需要 时，由质量部门在自检或调查期间进行 确认。? ? 验证文件应表明数据追踪发挥了作 用且审计追踪记录了所有的活动、变 更

42、和系统内的其他处理及所有元数 据。? ? 确认对审计追踪进行了定期审核（根 据质量风险管理原则）且对偏差进行 了调查。? ? 如果没有电子审计追踪系统，那么在 企业拥有全面的数据追踪系统（综合 系统或采用已验证界面的独立审计 软件）之前，都可使用纸质记录证明 数据的变更。也可采用混合系统（例 女口： PIC/SGMPPIC/SGMP指南附件1111所描述 混合系统），只要其具有和全面审计 追踪相同的功能。? ? 如果不能对审计追踪进行充分审核， 可能导致质量部门和/ /或授权人无意 间接受篡改或错误的数据。2 2公司的质量部门应根据审计追踪的关 键性和系统的复杂性，建立并持续执行 审核项目和计

43、划。应有相应的规程对审计追踪偏差进行 处理和调查，如需要，规程应包括向高 级管理层及国家监管机构上报偏差的? ? 确认自检项目包含对审计追踪的随 机和定向检查，目的是确认现有控制 措施的有效性和数据审核相关的内 部规程的符合性。计算机系统审计追踪期望不符合期望/ /待检项的潜在风险项目数据米集/ /输入1 1系统的设计应能确保正确米集到手动 或自动方式获取的数据。手动输入：只应由授权人员输入数据，且系统 应记录下输入的详细信息、输入人 员以及输入时间。应以软件控制的特定格式输入数 据，验证活动应确认系统不会允许 输入无效格式的数据。所有手动输入的数据都应由另一 操作人员或通过已验证的计算机 进

44、行确认。应在审计追踪中收集所有输入数 据的变更，并由独立的授权人员进 行审核。自动数据收集初始系统与数据获取和记录系统 之间的接口应被验证从而保证数 据的准确性。系统收集的数据在存储器中，且其 存储方式应避免数据的篡改、丢失 或变更。系统软件应验证，从而保证所获取 数据以及与该数据相关的元数据 的完整性。? ?确保由第二人对手动输入计算机的 数据进行确认检查。? ? 对于自动获取数据的计算机系统，应 审核其验证记录，从而确保数据确认 措施和数据完整性措施被执行且有 效。2 2应按照已批准的规程，批准或控制任何 必要的数据变更。例如，必须按照已批准的受控方式，对 实验室结果进行手动积分和再处理。

45、公 司的质量部门必须制定措施，确保数据? ? 确认有相应的规程对数据的修改和 处理进行控制。对于建议的变更、控 制/ /限制/ /规定的变更的正式批准以 及对所做变更的正式审核，都应提供 证据表明其流程合适。流程。计算机系统数据采集/ /输入变更只在必要时由指定人员进行。必须完整记录任何以及所有原始数据 的变更和修改，并至少由一名培训合格 的资质人员对记录进行审核和批准。期望不符合期望/ /待检项的潜在风险项目电子数据审核1 1受监管的用户应进行评估来识别计算 机系统生成的所有 GMP/GDPGMP/GDP相关电 子数据。识别后，受监管的用户应对关 键数据进行审计和确认，判断操作是否 止确执行以及电子记录中的原始信息 是否发生变更（修改、删除或重写）。 所有变更都必须被正式批准。数据相关的审计追踪的审核为批准流 程中日常数据审核工作的一部分。审计追踪记录应清晰明确且至少包含 以下信息：进行数据变更的人员姓名变更描述变更时间和日期变更原因批准变更的人员姓名审计追踪审核的频率、人员和职责应以 风险评估为基础，遵循 GMP/GDPGMP/GDP计 算机系统中数据记录相关的原则。例 女口，