单机版合规心得讲述.pptx

单机版合规心得 信息合规小组 陈智 本讲座内容纯属个人观点 不代表公司立场 欢迎交流讨论 目录 网络版趋势？ 单机合规要求 常见的警告信 应对策略 Why？网络版 科学技术不断发展 仪器厂家和制药行业不断进步 制药行业合规需要？ 常见法规 指南 MHRA数据完整性指南 FDA行业指南草案-数据完整性和CGMP合规性 WHO 优良数据与记录管理规范 EU 数据完整性问答集 CFDA计算机化系统附录 电子记录的完整性与真实性 数据完整性要求 数据可靠性：数据真实的、安全的、可追溯的数据。所有的数据均处于客观真实的状态 Data integrity The degree to which a collection of data is complete，consistent and accurate throughout the data lifecycle。 2015：guidance on good data and record management practices CFDA计算机化系统——审计跟踪 第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。 CFDA计算机化系统——计算机系统验证 第六条 计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。 单机版不合规案例 修改HPLC/GC工作站的系统时间 未能提供备份数据 ?未能防止未经授权即进入系统 擅自删除系统数据 重复积分直至数据合格 单机版合规的问题 数据完整性角度： 单机版工作站老旧，存在一些天然的缺陷：共享用户、权限分配、审计追踪、数据覆盖 计算机验证的角度： 单机版工作站在实施过程中仅完成了IQ ,OQ ,PQ，而不是基于风险的计算机系统验证（在整个系统生命周期内） 如何实现单机版工作站的合规性？ 思路： 保证数据的物理安全 保证数据的逻辑安全 基于风险的计算机系统验证 基于文件服务器的单机合规方案 方案介绍 组建实验室计算机以域服务器为中心的资源管理网络，通过域用户的权限控制实现数据的逻辑安全，并辅以文件服务器提供原始数据实时备份的方案解决文件原始数据的合规性问题。 采用文件服务器将原始数据存储于更为安全的IT机房（机柜），并采用服务器的硬件镜像技术，确保数据的物理安全性。此外，通过服务器可以实现数据的自动备份，并且可以将备份周期从原来的一个月或半年提高到每小时，显著提高便利性和效率。 应用本地文件夹和文件的审核策略 每当用户执行了指定的修改的某些操作，审核日志就会记录一个审核项。可以审核操作中的成功尝试和失败尝试。通过使用审核日志来说明是否发生了违法安全的事件。 应用安捷伦 chemstation文件夹举例 应用本地文件夹和文件的审核策略 应用本地文件夹和文件的审核策略 应用本地文件夹和文件的审核策略 应用权限设置 禁止删除权限 计算机数据只增加，不减少 设置不同用户类型和用户权限，工作站用户组的权限分配，QC不应掌握管理员权限 启用审计追踪 应用NTP时钟同步服务 NTP服务器，解释来源百度 【Network Time Protocol（NTP）】是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒） 所有单机版电脑与中央服务器时钟同步，禁止有意或无意调整系统时间 数据定期备份 备份的策略 基于文件格式的数据备份 基于数据库格式的数据备份 启用备份系统的书面程序 备份规程应该包含的内容 备份类型 备份频率 备份存储的位置 备份历史记录 应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。 数据还原测试 对于备份数据的确认 推荐使用虚拟机检查备份的有效性 对单机的计算机系统进行验证 正确的安装 系统配置 基于风险与供应商评估，支持具体业务流程的功能测试 表明系统符合预订用途并允许进行系统需求验收测试 根据分线和供应商评估结果实施进一步测试 第六条 计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。 单机版系