picsgmpgdp监管环境下数据管理和可靠性的良好实践指(20210314194923)

1、 纸质系统具体的数据完整性注意事项 质量管理系统的结构、空白表格/模板/记录的控制 对纸质文件的有效管理是GMP的关键部分。因此文档系统的涉及应该满足GMP 要求，确保有效控制文件和记录，维持其完整性。 纸质记录必须受控。在整个数据的生命周期中，记录必须保持可追溯性、清晰、不 可消除、同步、原始和准确（ALCOA ）。 质量管理系统中应该有良好文档实践的规程和文档控制措施，这些规程应说明以下 内容： 如何创建、审核以及批准主文件和规程 用于记录数据的模板的生成、分发和控制（主模板、日志等） 记录的检索和灾难恢复 日常使用文件的副本生成过程，应确保文件（如SOP和空白表格）副本的分发和使 用受控

2、和可追溯。 纸质文件完成的指南、操作员的标识、数据填写形式、记录的修改 记录的提交（filing）、检索（retrieval ）、保留（retention ）、归档（archival）及销毁 （disposal ）程序 在数据生命周期中如何保持数据完整性 所执行活动的证明； 符合GMP要求和公司政策、规程和工作指南的证明; 药品质量管理系统（QMS ）的有效性； 可追溯性； 流程真实性和一致性； 产品具有良好质量属性的证据， 如果有投诉，记录可以用于调查。 记录模板的生成、分发和控制 为什么管理和控制主记录是必要的？ 为了确保将不恰当使用记录和/或通过“普通方式”（如，无需使用专门的诈欺技能）

3、伪造记录 所产生的风险降至可接受水平，管理和控制主记录是必要的。考虑到记录数据的风险和关键性, 应该使用质量风险管理的方式满足以下期望（见 5.4和5.5） 期望 不符合期望/待检项的潜在风险 项目 生成 Generation 1 所有的文件应有唯一的标识码（包括版 本、编号），且应被检查、批准 禁止使用非受控的文件、临时记录（如 废纸）等。 ? 不受控的文件增加了关键数据遗漏 或丢失的可能性，因为这些文件的设 计可能不能确保正确地记录关键数 据。 ? 更容易伪造不受控的记录。 ? 如果没有版本控制或发行控制，存在 使用作废文件的风险。 2 记录的设计应有足够的空间用于数据填 写。 ? 如果没

4、有充分的空间填写数据，则手 填的数据可能不清楚或不清晰。 ? 如果需要附加页，才能形成完整的文 件，那么应该把附加的页数和附加页 各页的页码清楚地记录在主记录页 上并签名。 3 文件的设计应清楚说明输入哪种数据。 ? 模糊的说明会导致不一致/不准确的 数据记录 ? 确保输入的数据清晰、同步和不可消 除/持久。 4 文件的储存方式应该能确保合理的版本 控制。 应该避免对的主副本（软拷贝）进行未 授权或无意变更。 例如：以电子方式储存的记录模板应该 注意以下内容： 应该控制主模板的访问权限 版本创建和更新过程的控制应该 清楚且实际地应用/确认 主文件的储存应该避免未授权的 变更 ?不当的储存条件可

5、能会造成未授权 的更改、过期文件和/或草稿的使用 或是主文件的丢失。 ? 执行的流程和有效沟通和文件同等 重要。 ? 主副本应该包含独特的标记，以便与 副本进行区分，女口，使用彩纸或彩色 墨水，防止意外使用。 项目 分发和控制 Distribution and control 5 应该及时分发更新的版本。 旧版的主文档和文件应该存档且访冋 ? 如果旧版本可用，则可能存在误用的 风险。 对记录模板的生成、分发和控制的期望? 受限。 任何发布和未使用的物理文件应该进 行相应的收回和销毁。 6 文件分发应该由书面规程控制，包括： 使用安全戳或纸张颜色代码（在工作区 不可用）或其他适当的系统，控制文件

6、 的分发。 确保只有现行的、批准的版本可用 为发布的每个空白文件分配特殊的识 别号，在登记簿中记录每一份文件的发 布 给母个分发的副本编号（如：副本2/ 共两份副本），在装订成册的文档中按 顺序给每页编上页码。 如果需要重新分发空白模板的副本，应 该遵守重新分发的受控流程。所有分发 的副本应该保存，如果需要额外副本， 应说明原因，并应获得批准，如，“之 前分发的记录模板受损”。 所有分发的记录应符合其后续使用，以 便确保记录的准确性和完整性。 ? 如果没有使用安全措施，则在影印或 扫描记录模板之后（另一个模板副本 供用户使用），存在重写或伪造数据 的风险。 有模板记录的索引应该由QA组织保存。

7、该索引应该至少提及每种模板记录的以 下信息：标题、参考编号（包括版本号）、位置（如，文档数据库、有效期、下次 审核日期等） 使用和控制生产区内的记录 生产区内的记录应该由指定人员或通过指定流程进行适当地控制。这些控制应该将 记录损毁或丢失的风险最小化且确保数据完整性。如有需要，必须采取措施，避免 弄脏记录（如，弄湿或有污渍等）。 填写记录Filling out 该控制下表所列的项目，确保合理地填写记录。 期望 不符合期望/待检项的潜在风险 项目 填写记录 Completion of records 1 任务执行人应填写记录。 ? 检查笔迹的一致性，确保由同一人员 应该删除文件中的未使用的、空白

8、字段， 且注明日期和签名。 记录的填写应该清楚和清晰。 应该使用指定的格式填写日期，如， dd/mm/yyyy 或者 mm/dd/yyyy。 填写。 ? 确认填写内容清晰（如,不含糊；不 使用未知的符号/缩写，例如双点号 “）。 ? 检查数据的完整性。 ? 检查记录的正确页数，并检查记录是 否有遗漏页。 2 记录的填写和操作应该同步。 用抄写员代表另一个操作人员记录所实施 的活动应只在例外下发生，如： ? 操作人员进行同步记录时会影响产品 或活动，例如，由无菌操作者进行生产 线记录。 ? 为了应对文化受限或员工读写能力/语 言受限的情况，如一种活动由操作人员 实施，但由主管或管理人员进行证明和

9、 记录。 在两种情形下，监督记录必须与所执行的 任务同步进行，且必须识别任务执行人和 记录填写人。只要可能，进行工作执行人 也应在记录上签字，即使执行人在记录上 的签字被认为具有回顾性质。监督（抄写） 记录完成的过程应在一个已批准规程里进 行描述，还应说明该规程适用的活动。 ? 确认记录在其使用的当前区域可用， 女口，检查官应该期望在操作现场是按 照顺序记录的。如果在使用点表格不 可用，则操作员在事件生时就无法填 写记录。 3 记录应不可消除 ? 确认填写内容时所使用的墨水能够 确保填写内容不可消除和/或不会模 糊或褪色（在保存期内）。 ?检查在使用钢笔之前，不用铅笔填写 记录（覆盖）。 ?

10、注意：系统的某些纸质打印文件可能 会随着时间推移而褪色，女口，热敏纸。 4 记录应该签名并注明日期，所使用的特 殊标识符可以追踪到记录填写人。 ? 检查是否有签名列表，且签名列表是 否受控并被及时更新，是否体现了签 名的独特示例，而不是只有标准化的 打印字母。 ? 确保所有关键的填写内容有签名和 日期，如果是跨时段的步骤，那么不 应仅是在记录结尾和/或流程结束时 签名。 ? 通常不鼓励使用私人印章；但是，如 果使用，则印章的使用权限必须受 控。应该有日志清楚地展示个人和其 印章之间的可追踪性。私人印章的使 用必须由印章所有人注明日期，才可 被接受。 纠正记录Correct 记录的纠正必须保持完

11、全的可追踪性。 期望 不符合期望/待检项的潜在风险 项目 如何纟片正记录? records corrected 1 使用一条线划掉要变更的内容 如果合适，必须清楚地记录和确认纠正 的理由，如果重要的话 变更人使用首字母签名并注明变更日期 ? 检查原始数据可读且不会被遮盖 （如，不允许使用修正液遮盖原始数 据；不允许覆盖原始数据） ? 如果对填写的关键数据进行变更，则 确认已记录有效的变更原因，且变更 的支持性证据可用。 ? 检查记录中的不清楚的符号或填写 内容。 2 必须使用不可消除的墨水进行纠正 ? 确认填写内容时所使用的墨水能够 确保填写内容不可消除和/或不会模 糊或褪色（在保存期内）。

12、?检查在使用钢笔之前，不用铅笔填写 记录（覆盖）。 期望 不符合期望/待检项的潜在风险 项目 在何时由何人确认记录？ Verify records 1 关键流程步骤的A批生产记录应该： ? 确认加工区内生产记录的处理流程， 确认记录（二次检查） Verify （ sec ondary checks） ? 在操作进行时，由指定人员审核/证明 （如，生产主管） ? 在记录发送到QC部门之前，由生产部 门的授权人员审核 ?在生产的批次放行或销售之前，由质量 保证部门（如，授权人员/质量授权人） 审核和批准 通常，根据批准的规程，非关键流程步骤 的B批生产记录由生产人员审核。 在执行与生产相关的任何工

13、作和活动之 后，必须进行确认。该确认必须由合适的 人员签名或首字母签名并注明日期。 必须有本地SOPs描述书面文件的审核流 程。 确保在进行与记录相关的活动时，指 定人员可使用这些记录。 ? 确认加工期间的二次检查由适当的、 合格和独立的人员进行，女口，生产主 管或QA。 ? 检查文件在操作活动元成后，是否由 生产部门和质量人员分别审核。 项目 女 M可复查记录？ double Checked records 2 检查是否已使用当前（批准的）模板准 确地填写了所有字段，且是否已将数据 与可接受标准进行严格比对。 检杳8.5部分的1、2、3和4项以及 8.6部分中的1和2项目。 ? 检查官审核手

14、工数据之前应该审阅 公司规程，确定流程的合适性。 ? 检查数据的二次审核是否包括对使 用的计算结果的确认。 ? 查看原始数据（如果可能），确认计 算中使用的是正确数据。 保存记录 Ma in tain 期望 不符合期望/待检项的潜在风险 项目 女M可保存记录？ mai nta in records 1 公司应该使用指定的系统，用于保存和 恢复记录。 所有的记录必须保存在指定位置，且可 以追踪和访问。 系统应该确保所有 GMP/GDP相关记 录的保存期符合GMP/GDP要求。 ? 检查记录是否按顺序保存且易于识 别。 项目 女 M可复查记录？ double Checked records 2 应

15、该保护所有记录，避免损坏或销毁： ? 火灾 ? 液体（如，水、溶剂和缓冲液） ? 检查是否有系统用于保护记录（如， 害虫控制和喷水系统） ? 注意：如果喷水系统的设计可以防止 ? 啮齿动物 ? 空气湿度等 ? 非授权人员访问，该人员可能会试图修 改、销毁或替换记录 损坏文件，则可以使用该系统，如， 可以保护文件被水淋湿（如,使用塑 料膜覆盖文件） 3 灾难恢复的策略 ? 检查在灾难出现时，是否有系统用于 恢复记录。 电子系统的直接打印输入 （简单电子系统（如，天平、pH计）或不能储存数据的简单设备生成的）纸质记 录很少会通过电子日期/时间戳的（再）处理和变更影响数据的呈现。在这些情况下， 原始

16、记录应该由生成记录的人员签名并注明日期，且该原始记录应该附加到批记录 中。 真实副本 通常，原始纸质记录副本（如，分析总结报告、验证报告等）有利于沟通，如，不 同厂址的公司之间的沟通。必须在记录的生命周期内对记录进行控制，如果可能， 确保将从另一个地点（姐妹公司、合同商等）接收的数据作为“真实副本”保存， 或者，如果数据不符合“真实副本”的要求（如，复杂分析数据的总结），则将从 另一个地点接收的数据作为“总结报告”使用。 如果可以证明静态记录能够保持原始数据的完整性，那么可以将电子方式生成的数 据以可接受的纸质或PDF形式保存。但是，数据保存过程必须包括所有原始数据、 元数据、相关审计追踪和结

17、果文件的已确认副本、每次分析的软件/系统配置设置、 原始数据集重现所必须的所有数据处理过程（例如方法和审计追踪）。另外，还需 要采用规定的方法确认打印记录是准确的。如果要得到符合GMP的记录，这种方 法可能会很复杂。 对于很多电子记录来说，使用动态（电子）格式保存这些电子记录是很重要的，因 为这样人员可以与数据互动。如果数据对完整性或后续确认很重要，则数据必须以 动态形式保存。数据的重要性应该基于风险来进行证明。 在接收地，可以以纸质形式或是电子形式（如，PDF）管理这些记录（真实副本）， 并应该根据批准的QA规程控制这些记录。 无论是使用手写签名或是电子签名，应当注意确保文件是“真实副本”

18、期望 不符合期望/待检项的潜在风险 项目 如何发布和控制“真实副本” 1 创建纸质文件的“真实副本”。在发布 真实副本的公司中： ? 确认真实副本的生成规程。 ? 确认发布的真实副本与原始记录相 获得备份文件的原件 影印原始文件，确保没有遗漏任何 信息 确认副本的真实性，在新的硬拷贝 文件上签名并注明日期，将其作为 “真实副本” “真实副本”被发送至预期接收人。 创建电子文件的“真实副本”。 电子记录的“真实副本”应该使用电子 方式（电子文件副本）创建，包括所有 必需的兀数据。不鼓励创建电子数据的 pdf版本，因为pdf版和电子系统中打 印的文件相同，这样可能有丢失元数据 的风险。 “真实副本

19、”被发送至预期接收人。 应该有所有“真实副本”（软/硬拷贝） 的分发清单。 同（完整和准确）。应该根据原始记 录检查复印的记录，确保扫描件没有 被篡改。 ? 确认对扫描或保存记录进行的保护 能够确保数据完整性。 ?在扫描纸质记录且确认“真实副本” 的创建后，可销毁扫描件的原始文 件。销毁应该有批准流程。 项目 女 M可复查记录？ double Checked records 2 在接收真实副本的公司 应该根据良好文件管理流程，审核 和存档纸质文件、扫描件或电子文 件。、 文件应该清楚体现其是真实副本而非 原始记录。 ? 检查接受的记录是否被适当审核和 保存。 ? 应有适当的系统，用于确认“真实

20、副 本”的真实性，女口，可通过确认签名 人是否正确来确认“真实副本”的真 实性。 应该存在质量协议，说明“真实副本”生成和转移以及数据完整性控制的职责。“真 实副本”的发布和控制系统应该由委托方和受托方审计，确保流程完善且符合数据 完整性原则。 总结报告远程审核的局限性 远程审核总结报告内的数据通常是必要的；但是，必须充分理解远程数据审核的局 限性，以便充分控制数据完整性。 数据的总结报告通常在地处偏远的生产地、上市许可证持有人和其他相关方之间提 供。但是，必须承认总结报告本质上是有局限的，总结报告通常不包括关键支持数 据和元数据，因此，不能审核原始数据。 因此，最重要的是仅可以将总结报告视为

21、数据转移过程的一个要素，但相关方和检 查官不能完全依靠总结报告数据。 在总结数据被接受前，如果觉得总结数据重要，应在质量风险管理的基础上，通过 现场检查，进行供应商质量系统评估和数据完整性原则合规性评估。检查应该确保 公司生成数据的真实性，且检查中，还应对总结数据和报告的生成和分发机制进行 审核。 文件保存（确定记录保存要求和把记录存档） rete nti on 每种记录的保存保存期限应该（至少）符合GMP/GDP要求中规定的期限。也应考 虑其他本地或国家法规，这些法规规定的保存期限可能更长。 公司可以自己保存记录，也可以委托符合质量协议的外部服务商保存记录。应该进 行风险评估，证明记录保存系

22、统/企业/服务商适用且剩余风险被理解。 期望 不符合期望/待检项的潜在风险 项目 记录存档位置和方式 archived 1 应有相应的系统对记录存档的不同步 骤进行说明（档案盒的标识，每个档案 盒的记录清单、保存时间、存档位置 等）。 ? 检查用于检索存档记录的系统是否 有效且可追溯。 ?检查存档文件是否仅限于有权限的 人员访问从而保证所存记录的完整 性。 ?所用的存储方式要允许文件在需要 时能够进行有效检索。 项目 女 M可复查记录？ double Checked records 2 硬拷贝的质量记录应 在防止损坏和丢失的安全位置保 存 ? 对于外包的存档操作，检查是否有适 当的质量协议，存

23、放位置是否已被审 计。 以易于检索的方式保存 确保在其存档期限内可用 ? 保证对文件在整个存档期间是否可 读/可用进行了评估。 ?检查存档文件是否仅限于有权限的 人员访问从而保证所存记录的完整 性。 ?所用的存储方式要允许文件在需要 时能够进行被有效检索。 原始记录的清除Disposal 应将记录清除的过程形成适当的书面化文件，从而确保原始记录在规定的保存期后 被正确清除。系统应保证当前记录不会被意外销毁，历史记录不会意外返回到当前 记录流中（例如，历史记录与当期记录混淆/混合） 应有相应的记录/登记表明过期的记录已及时按合适的方式被销毁。 应有相应的措施来降低错删文件的风险。应仅有少数指定人

24、员有删除文件的权利。 口果打印输出不具有永久性（如：热敏纸），可以保存一份经确认的（真实）复件, 且非永久性原件可以废弃。 (见 8.11.5 )。 |如果符合“真实复件”的原则，可用扫描件代替纸质记录 计算机系统数据完整性的特别注意项 质量管理系统的结构和计算机系统的控制 公司采用许多计算机系统为大量的操作活动提供帮助。从简单的单机到复杂的大型 综合系统，这些计算机系统大多都会对产品质量产生影响。每个受监管的实体应按 照GMP和GDP要求，对所有的计算机系统进行充分评估、控制和管理。 各组织机构应充分了解所使用计算机系统的性质和范围，针对每个系统、系统预期 用途和功能、数据完整性风险或影响系

25、统操作的缺陷，应有适当评估。对于关系到 产品质量的计算机系统及其相关数据，应特别注意确定它们的关键性。 所有可能会对产品质量造成影响的计算机系统，应通过成熟的质量管理系统被有效 管理。质量管理系统的设计要能保证计算机系统不会被意外或故意篡改、修改或者 确保不会出现其他可能影响计算机系统数据完整性的活动。 在确定数据缺陷和风险时，考虑该计算机系统在业务流程中的使用背景尤为重要。 例如，（有计算机界面的）分析方法的数据完整性受以下因素的影响： 样品的制备、 输入计算机系统的样品重量、计算机系统的使用（计算机系统用于生成数据）、最 终结果（使用计算机系统生成的数据作为最终结果）的处理和记录。 该文件

26、的指导原则旨在提供计算机系统数据完整性的特殊注意事项。可在“GxP受 监管环境下计算机系统的PIC/S良好规范”中查找更多有关计算机系统良好规范的 指导原则。 应依据相关的GMP/GDP指南执行计算机系统的确认和验证；为了确保符合计算机 系统的良好数据管理规范，下表说明了具体的期望。 期望 不符合期望/待检项的潜在风险 项目 验证文件 1 受监管用户应有一份所有在用计算机 ? 如果对所有相应的计算机系统没有 系统的详细清单，该清单应包含： 足够了解，则公司可能会忽视系统的 每个计算机系统的名称、位置和主 关键性并可能在数据生命周期内造 要功能 成缺陷。 系统以及相关数据的功能和关键 ? 详细的

27、目录清单能够清晰的列出所 性的评估（如直接 GMP/GDP影 有的系统及其关键性，从而确保系统 响、间接影响、无影响） 的变更或修改都受控。 每个系统的当前验证状态和对现 ? 确认对所有的关键处理设备和数据 有验证文件的参考 获取系统都有相应的风险评估。缺之 每个系统应有相应的风险评估，特别是 系统影响的全面评估可能会导致缺 应评估确保数据完整性的必要控制措 乏相应的验证和系统控制。需审核的 施。应依据流程和系统的关键性以及对 关键系统包括： 产品质量的潜在风险确定数据完整性 用于控制产品和物料米购和状 验证的水平和程度，例如，产生或控制 态的系统 批放行数据的流程和系统所需要的控 关键生产工

28、艺控制和数据获取 制措施要严于非关键数据和流程管理 系统 系统的控制措施。 产生、储存或处理用于确定批质 对易发生灾难、故障或易无法运行的系 量的数据的系统 统应特别加以注意。 生成批处理或包装记录中数据 还应审核关键配置的无意或未授权变 的系统 更或数据的篡改对系统造成的缺陷问 题。所有的控制措施都应被记录且有效 性应被确认。 用于决定产品放行的系统 2 应有相应的质量部门编写的计算机系 ? 按照GMP/GDP要求和ALCOA原 统验证总结报告，其中至少包含以下内 贝检查验证系统和验证报告是否明 容： 确符合数据完整性要求。 限制配置和任何变更（变更控制） ? 应在验证之前规定系统配置和职责

29、 的关键系统配置信息和控制措施 分配（例如，生成数据的权限和确认 当前已批准的用户列表，包括用户 数据的权限应分开），并确认测试期 姓名和姓氏以及具体的用户名 间系统配置和职责分配是否同样有 系统每个用户的身份和允许的活 效。 动（特权） ? 检查系统访冋相关规程，从而保证系 系统管理员的身份和职位 统的修订或变更受限且符合变更控 审计追踪和系统日志的审核频率 制管理。 以下规程： 产生新的系统用户的方式 对现有用户进行修改（权限变 更）的流程 删除用户的流程 备份和频率的安排 出现意外时的恢复流程的说明 数据存档的流程和职责 数据存储的批准位置 要明确说明原始数据与相关的元 数据应一同保存，

30、且保存形式可以 使生产流程或分析活动再现。 ? 保证系统管理员访问仅限于被授权 人员且不可用于常规操作。 ? 检查计算机系统访问权限的授予、变 更和撤销规程从而保证这些活动受 控。检查用户访问日志和权限等级。 系统应不存在未批准的用户且访问 账号应实时更新。还应有相应的限制 来防止用户修改审计追踪功能。 3 公司应有相应的验证主计划，其中包含 计算机系统、这些系统及其相关数据完 整性的具体政策和验证需求。 应根据风险来确定计算机系统的验证 程度。可在PI011中查找有关计算机系 统验证要求评估的更多指导内容。 在进行日常使用之前，应对系统进行规 定的挑战测试，确保其符合接受标准。 通常期望对计

31、算机系统进行前摄性验 证；但是对于已安装的系统，也可根据 现有计算机系统的所有历史记录评估， 对计算机系统进行回顾性验证。 对于回顾性确认，要对系统历史文件 （如：错误日志、变更）以及系统的用 户手册和SOP进行评估。 应根据GMP附件15设计IT验证以及 URS、FAT、SAT、IQ、OQ 和 PQ 测 试。 确认测试包括：设计确认（DQ ）、安装 确认（IQ）、运行确认（0Q）和性能 确认（PQ ）。尤其是针对存在数据完整 性风险的方面，应设计具体的挑战测 ? 检查验证文件是否包含数据完整性 的具体规定；验证报告应明确符合数 据完整性原则并通过设计和测试证 明已有充分的控制措施。 ? 未验

32、证的系统可能会造成数据完整 性的重大缺陷，因为用户访问和系统 配置可能允许数据修改。 ?检查终端用户测试是否包括为测试 脚本（设计测试脚本的目的是表明该 软件不仅满足供应商需求还符合其 预期用途。） 试。 公司应当确保计算机系统按照其预期 用途被确认。因此，公司不应只依赖于 供应商提供的确认信息包；验证活动应 包括具体的测试，从而确保在执行反映 一般和预期用途的计算机操作期间，维 持数据完整性。 风险评估应对测试数量有指导性作用， 但是至少要对关键功能进行识别和测 试，例如，某些以基本算法和逻辑设定 为基础的PLCs和系统，功能测试为计 算机系统的可靠性提供了充分保证。对 于关键和/或较为复杂

33、的系统，IQ、 OQ&PQ阶段会要求有详细的确认测 试。 4 定期评估 为了确认计算机系统一直处于已验证 状态且符合GMP，应对计算机系统进 行定期评估。评估内容包括偏差、变更、 升级历史、性能和维护。 ? 检查验证计划中是否提出了计算机 系统的再验证审核。 ? 确认是否对系统进行了定期审核，特 别是针对任何数据完整性缺陷。 ? 如发现任何冋题，如，当前软件/硬 件局限性，要及时处理且应制定并执 行相应的纠正预防措施和临时控制 措施，控制所识别的任何风险。 期望 不符合期望/待检项的潜在风险 项目 系统之间的数据转移 1 验证时要对接口进行评估和处理，从而 确保数据的正确和完整转移。 ? 在数

34、据转移的过程中，计算机系统之 间的接口可能会因数据意外丢失、错 误修改记录造成风险。 2 如系统软件被安装或更新，用户应确保 新软件可以读取存档的数据。如有必 要，可能需要将现有存档数据转化成新 的数据格式。 如果使用新版本软件时，无法将存档数 ? 在数据生命周期内，原始格式的数据 一定要可读，因此用户必须维持数据 的可读性和作废软件的使用。 据转化为新的数据格式，那么为了在调 查时能够读取存档的数据，一定要将旧 版软件安装在一台PC上，并确保旧版 软件可以和硬拷贝（例如：安装 CD） 一样被使用。 如果新软件不可以转化新的数据格式， 应在一台PC机中保存安装旧的软件 且有硬拷贝（如安装 CD

35、），以便在有 调查时能够读取存档的数据。 期望 不符合期望/待检项的潜在风险 项目 系统安全 1 应配置和米取用户访问物理控制措施 和电子控制措施，禁止未授权的数据访 问、更改和删除。例如： 应为所有需要访问和使用特定电 子系统的员工设定和分配个人登 录ID和密码。共用登录信息无法 追溯至活动的执行人，因此即使出 于节约财政的原因，也不得共用密 码。 数据输入和计算机记录变更必须 由经授权的人员进行。公司应维护 有一份授权人员名单，且在该名单 中应列出授权人员对每个在用电 子系统的访问权限。 对于用于运行应用程序的计算机 系统，应控制管理员的访问。一般 用户应不得访问软件的关键内容， 例如，系

36、统时钟、文件删除功能等。 系统管理员一般应独立于任务执 行用户，且与电子系统中生产的或 可用的数据结果无关。例如，QC 管理员和经理不能是该实验室电 ? 检查公司是否已采取合理的措施保 证在用计算机系统是安全的，且不会 受到有意或无意的更改。 ? 系统如果没有物理安全和管理安全 设置，易受数据完整性问题的影响。 检查官应确认是否有已批准的系统 安全管理规程，从而确保计算机系统 维持已验证状态且不会被任意篡改。 ? 一些计算机系统仅支持单个用户登 录或有限数量的用户登录。如没有合 适的替换计算机系统，应有第三方软 件或具有可追溯（有版本控制）性的 纸质方式提供相等的控制。 ? 替换系统的适用性应

37、被证明并记录。 混合系统可能要求加强数据审核。 子系统（例女口 HPLC、GC、UV-Vis） 的管理员。通常，质量和生产部门 之外的人员（例如信息技术管理 员）应作为系统管理员且拥有较高 的权限级别。 对于规模较小的组织，可指定一个 人员具有系统管理员访问权限；但 是该管理员访问权限不得用于进 行日常操作，而用户应另有一个受 限的访问权限进行日常操作。 如要申请新用户，新用户权限应根 据标准规程以可追溯的方式提交 至IT管理员。 2 必须保护计算机系统免受意外变更或 随意篡改。公司应对系统及其设计进行 评估，防止对已验证设置进行未经授权 的变更，因为未授权的变更可能会最终 影响数据完整性。应

38、注意： 计算机系统硬件的物理安全 服务器位置和访问 限制访问PLC结节，例如，锁住 PLC盖板 网络系统受到本地和外部攻击的 安全隐患 远程网络更新，例如供应商对网络 系统的自动更新 ? 3 使用电子签名代替手写签名时，必须有 相应的控制措施，从而确保电子签名的 真实性和可追溯性（即追溯到使用电子 签名签署电子记录的人员）。 使用电子签名的高级形式变得较为普 遍，例如，公司越来越流行使用生物识 别技术。应推存使用咼级形式的电子签 名。 ? 检查电子签名是否被适当验证，电子 签名的发放是否受控，电子签名是否 总能追溯到相应人员。 ? 一旦电子签名被签署，任何的数据变 更只在该数据被再审核并重新签

39、署 电子签名后才有效。 期望 不符合期望/待检项的潜在风险 项目 审计追踪 1 公司应尽量购买和将旧版软件升级为 具有电子审计追踪功能的软件。 如公司的软件具有审计追踪功能，电子 系统的审计追踪功能应合理配置从而 能够捕获系统事件以及任何有关数据 获取、删除、重写和变更的活动，以便 审计。 通常一些简单的系统缺乏相应的审计 追踪，但是，要另有措施来确认数据的 真实性，女口，管理规程、复查和控制措 施。 审计追踪在系统验证时应被确认。 必须激活审计追踪功能，且确保其一直 处于锁定状态。例如，涉及 HPLC数 据输入和更改的人员不得按自己意愿 激活或关闭审计追踪。 对于有关审计追踪审核策略和审核过

40、 程的规程，企业应依据风险管理原则， 执行这些规程。与每批次生产有关的审 计追踪，应在批放行之前，独立于其他 该批次产品的记录进行审核，从而保证 关键数据和数据变更可接受。该审核应 由审计追踪发起部门执行，并在需要 时，由质量部门在自检或调查期间进行 确认。 ? 验证文件应表明数据追踪发挥了作 用且审计追踪记录了所有的活动、变 更和系统内的其他处理及所有元数 据。 ? 确认对审计追踪进行了定期审核（根 据质量风险管理原则）且对偏差进行 了调查。 ? 如果没有电子审计追踪系统，那么在 企业拥有全面的数据追踪系统（综合 系统或采用已验证界面的独立审计 软件）之前，都可使用纸质记录证明 数据的变更。

41、也可采用混合系统（例 女口： PIC/SGMP指南附件11所描述 混合系统），只要其具有和全面审计 追踪相同的功能。 ? 如果不能对审计追踪进行充分审核， 可能导致质量部门和/或授权人无意 间接受篡改或错误的数据。 2 公司的质量部门应根据审计追踪的关 键性和系统的复杂性，建立并持续执行 审核项目和计划。 应有相应的规程对审计追踪偏差进行 处理和调查，如需要，规程应包括向高 级管理层及国家监管机构上报偏差的 ? 确认自检项目包含对审计追踪的随 机和定向检查，目的是确认现有控制 措施的有效性和数据审核相关的内 部规程的符合性。 计算机系统审计追踪 流程。 计算机系统数据采集/输入 期望 不符合期

42、望/待检项的潜在风险 项目 数据米集/输入 1 系统的设计应能确保正确米集到手动 或自动方式获取的数据。 手动输入： 只应由授权人员输入数据，且系统 应记录下输入的详细信息、输入人 员以及输入时间。 应以软件控制的特定格式输入数 据，验证活动应确认系统不会允许 输入无效格式的数据。 所有手动输入的数据都应由另一 操作人员或通过已验证的计算机 进行确认。 应在审计追踪中收集所有输入数 据的变更，并由独立的授权人员进 行审核。 自动数据收集 初始系统与数据获取和记录系统 之间的接口应被验证从而保证数 据的准确性。 系统收集的数据在存储器中，且其 存储方式应避免数据的篡改、丢失 或变更。 系统软件应

43、验证，从而保证所获取 数据以及与该数据相关的元数据 的完整性。 ?确保由第二人对手动输入计算机的 数据进行确认检查。 ? 对于自动获取数据的计算机系统，应 审核其验证记录，从而确保数据确认 措施和数据完整性措施被执行且有 效。 2 应按照已批准的规程，批准或控制任何 必要的数据变更。 例如，必须按照已批准的受控方式，对 实验室结果进行手动积分和再处理。公 司的质量部门必须制定措施，确保数据 ? 确认有相应的规程对数据的修改和 处理进行控制。对于建议的变更、控 制/限制/规定的变更的正式批准以 及对所做变更的正式审核，都应提供 证据表明其流程合适。 变更只在必要时由指定人员进行。 必须完整记录任

44、何以及所有原始数据 的变更和修改，并至少由一名培训合格 的资质人员对记录进行审核和批准。 期望 不符合期望/待检项的潜在风险 项目 电子数据审核 1 受监管的用户应进行评估来识别计算 机系统生成的所有 GMP/GDP相关电 子数据。识别后，受监管的用户应对关 键数据进行审计和确认，判断操作是否 止确执行以及电子记录中的原始信息 是否发生变更（修改、删除或重写）。 所有变更都必须被正式批准。 数据相关的审计追踪的审核为批准流 程中日常数据审核工作的一部分。 审计追踪记录应清晰明确且至少包含 以下信息： 进行数据变更的人员姓名 变更描述 变更时间和日期 变更原因 批准变更的人员姓名 审计追踪审核的频率、人员和职责应以 风险评估为基础，遵循 GMP/GDP计 算机系统中数据记录相关的原则。例 女口，对直接影响药品质量的电子数据变 更，需要在每次生成数据时进行审核。 受监管的用