計算機系統(tǒng)驗證和記錄電子簽名

計算機化系統(tǒng)驗證同步目錄1.定義2.驗證的目的3.驗證的范圍4.驗證的生命周期5.驗證活動6.系統(tǒng)管理（變更、偏差、安全、備份、預案）7.GMP現(xiàn)場檢查關注的重點8.GMP現(xiàn)場檢查迎檢準備1.定義計算機系統(tǒng)：由硬件、軟件以及相關外圍設備組成的，可執(zhí)行某一功能或一組功能的系統(tǒng)。計算機化系統(tǒng)：由計算機控制系統(tǒng)、受控系統(tǒng)組成的組合系統(tǒng)。1.定義計算機系統(tǒng)驗證驗證：證明任何操作規(guī)程（或方法）、生產(chǎn)工藝或系統(tǒng)能夠達到預期結果的一系列活動。計算機化系統(tǒng)驗證：ComputerSystemValidation（CSV），證明計算機化系統(tǒng)能夠達到預期結果的一系列活動。軟件驗證：確認項目開發(fā)的成果即最終的程序或軟件是否滿足用戶的要求。通常是通過對軟件開發(fā)生命周期的各階段的驗證來完成的。1322.驗證的目的計算機系統(tǒng)驗證保證計算機化系統(tǒng)正確連續(xù)的工作保證計算機化系統(tǒng)能滿足用戶的要求保證計算機化系統(tǒng)符合法規(guī)的要求GMP.GLP.GCP.GSP.3.驗證的范圍計算機系統(tǒng)驗證計算機化系統(tǒng)實現(xiàn)GMP功能的模塊，需要做驗證：應用軟件被看作“記錄”硬件被看作“設備”特定軟件應進行驗證，通用軟件不需要驗證。特定軟件：自行購買的為特定目的開發(fā)的是特定軟件通用軟件：WindowsExcelWord被看作通用軟件

宏計算機系統(tǒng)驗證系統(tǒng)的生命周期：系統(tǒng)從構思階段到使用終結的過程構思設計編程測試安裝使用退役4.驗證的生命周期構思設計編碼測試安裝使用退役4.驗證的生命周期計算機系統(tǒng)驗證根據(jù)計算機化系統(tǒng)的難易程度確定驗證的活動每一個驗證活動都應有相應的驗證文件。供應商審查DQIQOQPQ培訓、起草SOP變更管理供應商審計URS5.驗證活動計算機系統(tǒng)驗證制定驗證計劃根據(jù)驗證對象的特點來規(guī)定計算機系統(tǒng)驗證活動、分工和職責成立驗證小組，小組中應包括有相應決策權限的管理人員，必要時可以對重要的項目或商務上的事情作出決定具有與項目相關業(yè)務知識的人員有GMP法規(guī)方面知識的人員有計算機的基礎知識，掌握IT領域的最新動向的人員IT技術支持系統(tǒng)使用者QA5.驗證活動計算機系統(tǒng)驗證系統(tǒng)原理、系統(tǒng)操作的培訓系統(tǒng)故障的分析和解決系統(tǒng)URS的編寫保證符合相關法規(guī)的要求驗證結果的評估和批準確定驗證的分工和職責系統(tǒng)驗證的執(zhí)行5.驗證活動（供應商審計）計算機系統(tǒng)驗證供應商審計目的：判斷該公司提供的系統(tǒng)以及售后服務技術支持是否可靠根據(jù)供應商的工作內(nèi)容和提供的文件資料能減少甲方驗證的工作量同供應商建立良好的關系供應商審計可以采取的形式：郵件審查現(xiàn)場審查業(yè)績評估5.驗證活動（供應商審計）計算機系統(tǒng)驗證供應商審計時必須評估：有無質量管理體系，執(zhí)行情況關于系統(tǒng)開發(fā)、測試、安裝的管理（SOP）人員的技能和所受培訓（有了解GMP的人員？）安裝后的服務（系統(tǒng)升級、增加新模塊、新功能）5.驗證活動（系統(tǒng)設計確認）計算機系統(tǒng)驗證

功能設計確認硬件設計確認軟件設計確認配置設計確認

IT基本結構設計確認

儲存設備的最小容量數(shù)據(jù)庫的構造服務器、臺式機、網(wǎng)絡核對URS的功能要求核對配置清單5.驗證活動（系統(tǒng)設計確認）計算機系統(tǒng)驗證系統(tǒng)設計確認后應給出書面設計確認報告：設計是否滿足了用戶所有的要求整改方案系統(tǒng)測試是用戶直接參與的活動系統(tǒng)測試目的：驗證系統(tǒng)是否滿足需求系統(tǒng)測試要做的事情：編制系統(tǒng)測試方案實施系統(tǒng)測試方案不僅用正常值進行測試，異常處理也要測試解決測試中發(fā)現(xiàn)的問題或缺陷最后由合適的人選對測試結果進行評價5.驗證活動（系統(tǒng)測試）計算機系統(tǒng)驗證測試過程文件化并存檔5.驗證活動（測試）系統(tǒng)測試方法包括黑盒法和白盒法。C↓D↓E↓F↓G黑盒法白盒法ABAB5.驗證活動（系統(tǒng)放行）計算機系統(tǒng)驗證系統(tǒng)放行使用的條件：所有系統(tǒng)測試時發(fā)現(xiàn)的問題都已記錄、調查、解決、批準系統(tǒng)的使用、管理、維護所需要的所有SOP都已經(jīng)起草并批準必要的培訓都已實施并有記錄驗證報告以及驗證實施過程中遇到的各種偏差一起記錄并歸檔6.系統(tǒng)管理（變更控制）計算機系統(tǒng)驗證變更原因：系統(tǒng)使用部門報告問題需要改善，或系統(tǒng)使用部門需要新增功能變更管理的目的：即使系統(tǒng)有變更也應保持驗證狀態(tài)變更不影響系統(tǒng)的正確性、可靠性提供變更的可追溯性關鍵的工作：對變更進行評估和批準對變更進行驗證（測試）編寫變更報告6.系統(tǒng)管理（偏差管理）計算機系統(tǒng)驗證系統(tǒng)使用過程中發(fā)生的問題和偏差均要留下記錄和評價，并采取適當?shù)募m正和預防措施。系統(tǒng)故障偏差情況6.系統(tǒng)管理（安全管理）計算機系統(tǒng)驗證制定并遵守公司內(nèi)部的系統(tǒng)安全管理制度登陸密碼的管理系統(tǒng)權限的管理系統(tǒng)用戶均應進行相關管理規(guī)程的培訓

6.系統(tǒng)管理（備份管理）計算機系統(tǒng)驗證定期備份：周期長短視數(shù)據(jù)的重要性而定備份還原：定期確認數(shù)據(jù)能否從備份進行還原異地備份：防止水災、火災導致數(shù)據(jù)丟失6.系統(tǒng)管理（緊急預案）計算機系統(tǒng)驗證制定緊急預案的目的：遭遇全面損害時系統(tǒng)的恢復系統(tǒng)無法運行時，業(yè)務能繼續(xù)開展恢復系統(tǒng)，重開業(yè)務緊急狀態(tài)：停電致命的軟硬件故障天災（火災、水災、雷擊）安全系統(tǒng)受到攻擊7.GMP現(xiàn)場檢查關注的重點計算機系統(tǒng)驗證1.驗證記錄包括詳細的驗證計劃、驗證方案、驗證報告2.用戶需求說明書（URS）軟件或自動化設備的”用途”制藥企業(yè)對用該軟件或設備的依賴程度3.系統(tǒng)安全性相關的功能報警、密碼、權限等8.GMP現(xiàn)場檢查迎檢準備計算機系統(tǒng)驗證1.將整個系統(tǒng)繪制成圖來顯示其內(nèi)容和模塊2.顯示模塊和程序界面間的相互作用3.標識出與GMP相關的模塊原料采購計算機系統(tǒng)生產(chǎn)計劃財務庫存管理實驗室測試和放行GMP相關模塊8.GMP現(xiàn)場檢查迎檢準備計算機系統(tǒng)驗證4.標明系統(tǒng)實現(xiàn)GMP功能的模塊自動產(chǎn)生批號自動產(chǎn)生質檢單號自動產(chǎn)生復檢日期存貨周轉的自動分配（先進先出、近效期先出）自動記錄滅菌參數(shù)、工藝參數(shù)等5.各模塊的權限人名單以及其權限范圍列表離職、退休收回權限要有相應的SOP規(guī)定流程1.沒有用戶需求說明書（URS）和驗證方案2.驗證測試時輸入的數(shù)據(jù)沒有全部存檔3.測試數(shù)據(jù)不全，如沒有做異常裝態(tài)的測試4.對預期的結果沒有描述5.對測試的結果是否接受沒有結論6.信息中心的主任雖然具有很高的訪問權限，但卻沒有直接接受過計算機系統(tǒng)的培訓。7.驗證資料中沒有原始的驗證計劃、也沒有計算系化系統(tǒng)設計確認的文件。計算機系統(tǒng)驗證超出范圍的數(shù)值不合適的負數(shù)除以零9.常見缺陷舉例總結計算機系統(tǒng)驗證計算機化系統(tǒng)驗證不僅僅是3Q確認，而是貫穿于系統(tǒng)整個系統(tǒng)生命周期的活動和管理，包括供應商的選擇和審計、系統(tǒng)URS的編制、供應商測試活動的監(jiān)督檢查、3Q確認、系統(tǒng)投入運行后的變更、偏差等管理。驗證思路和現(xiàn)場檢查重點是保證系統(tǒng)自動實現(xiàn)GMP功能的可靠性、穩(wěn)定性、安全性和法規(guī)符合性。提問計算機系統(tǒng)驗證？電子記錄和電子簽名目錄1.定義2.法律法規(guī)3.電子記錄的保存4.迎檢電子記錄5.計查軌跡（AuditTrail)6.安全管理7.系統(tǒng)時間的管理8.培訓和文件管理9.電子簽名的種類10.電子簽名的要求11.電子簽名的管理12.常見問題舉例1.定義電子記錄：由電子計算機系統(tǒng)制作、修正、保存、管理、讀取或傳送的文本、圖表、數(shù)據(jù)、聲音、圖像或其他用數(shù)字形式表現(xiàn)的信息。電子簽名：與手工簽名具有同等法律效力的由本人采用、實施、認可的用計算機數(shù)據(jù)編輯的符號。電子記錄和電子簽名2.法律法規(guī)中國：中華人民共和國電子簽名法（主席令第18號）歐盟：GuidetoGMPAnnex11美國：21CFRPart11日本：日本厚生勞動省電子記錄電子簽名指南2.法律法規(guī)第一百六十三條如使用電子數(shù)據(jù)處理系統(tǒng)、照相技術或其他可靠方式記錄數(shù)據(jù)資料，應當有所用系統(tǒng)的操作規(guī)程；記錄的準確性應當經(jīng)過核對。使用電子數(shù)據(jù)處理系統(tǒng)的，只有經(jīng)授權的人員方可輸入或更改數(shù)據(jù)，更改和刪除情況應當有記錄；應當使用密碼或其他方式來控制系統(tǒng)的登錄；關鍵數(shù)據(jù)輸入后，應當由他人獨立進行復核。用電子方法保存的批記錄，應當采用磁帶、縮微膠卷、紙質副本或其他方法進行備份，以確保記錄的安全，且數(shù)據(jù)資料在保存期內(nèi)便于查閱。3.電子記錄的保存電子記錄在整個保存期內(nèi)要求：能讀取電子記錄保證電子記錄的完整審計追蹤（AuditTrail)應和電子記錄一起保存

電子記錄審計追蹤＝何時、誰、做了什么、怎樣了3.電子記錄的保存1.制定規(guī)章制度，對保存期內(nèi)的電子記錄的管理、數(shù)據(jù)的存取等做出詳細的規(guī)定電子記錄與紙記錄的保存期相同保存媒介的壽命和堅固性保存環(huán)境和安全的管理災害風險電子記錄（光盤壽命）（溫濕度、柜子上鎖）（火災、水災等～異地備份）3.電子記錄的保存2.與GMP有關的電子記錄能隨時讓檢查官調閱3.銷毀電子記錄時必須按照文件規(guī)定的程序操作4.用其他格式代替電子記錄保存時應做到：不改變或失去記錄原來的意思電子記錄PDF轉word符號丟失Word中的紅體字黑白打印機打印3.電子記錄的保存5.在各公司制定的文件保存期內(nèi)，必須對電子記錄進行妥善保存和管理，公司的保存期必須大于等于法規(guī)的保存期批記錄應當由質量管理部門負責管理，至少保存至藥品有效期后一年。電子記錄4.迎檢電子記錄方便讀?。核械碾娮佑涗浺约皺z查官要求提供的記錄要求準確的、以人們能夠閱讀的方式顯示出來（畫面顯示、紙張打?。┩ㄓ密浖茏x專用軟件的電子記錄要求有轉換功能，轉換后通用軟件能讀。

電子記錄5.安全管理用戶帳號管理和密碼管理發(fā)放個人帳號和密碼的流程應有相應的SOP員工職務變更后權限應急時變更，相應SOP電子記錄員工應注意防止密碼泄露給他人輸入帳號密碼時注意（窺屏）不要把密碼寫在紙條上并貼在電腦顯示器上5.安全管理密碼要不易被猜測密碼的最低字數(shù)----建議6位以上建議密碼使用字母、數(shù)字、特殊符號組合電子記錄系統(tǒng)要求輸入密碼時畫面不顯示數(shù)次登陸失敗后賬戶自動失效（防黑客攻擊）5.安全管理不能進行密碼管理時進行代替管理，例如用物理方法進行安全管理出入建筑物的管理進出房間的管理電子記錄6.計查軌跡(Audittrail)定義：計查軌跡＝何時、誰、做了什么、怎樣了作用：記錄電子記錄的制作、變更、刪除信息要求：計查軌跡要求系統(tǒng)具有以下功能：安全保護（不能修改）自動記錄（強制記錄）電子記錄說明：并不是所有電子記錄都要求有計查軌跡，只要求與GMP相關的、影響產(chǎn)品質量的重點的電子記錄有計查軌跡7.系統(tǒng)時間的管理要求：系統(tǒng)時間應采用統(tǒng)一的標準時間原因：時間先后順序與GMP緊密相關，如文件起草、審核、批準的時間順序物料入庫、請驗、取樣、放行、領料的時間順序電子記錄有時是采集終端系統(tǒng)的時間作為記錄的時間，終端系統(tǒng)時間來自終端用戶，但每個終端用戶的系統(tǒng)時間是有差別的或可以修改的，那么就要求局域網(wǎng)的服務器對終端用戶的系統(tǒng)時間進行定期校準、或者系統(tǒng)時間統(tǒng)一采集服務器的時間。電子記錄8.培訓和文件管理員工應受到業(yè)務知識、操作系統(tǒng)、相關法規(guī)知識等培訓，并有培訓記錄和培訓合格的考核標準對系統(tǒng)應用、操作和維護手冊的發(fā)放、閱讀和使用應加以管理電子記錄9.電子簽名的種類利用生物識別技術的電子簽名生物識別技術:根據(jù)對每個獨特的物理特征以及可以重復的動作而進行的對象確認技術指紋、虹膜、聲音、臉電子簽名其他方式的電子簽名用戶ID、密碼、電子鑰匙10.電子簽名的要求電子簽名信息中應包含以下內(nèi)容簽名者的人名電子簽名的日期及時間電子簽名的意義電子簽名(批準、放行、起草、復核等)11.電子簽名的管理系統(tǒng)管理員給員工分配帳戶和密碼與員工聯(lián)系并合理的確認帳戶和密碼監(jiān)視非正常的使用電子簽名使用者接受電子簽名的相關培訓遵守電子簽名的使用管理制度管理好自己的密碼企業(yè)如果采用電子記錄電子簽名系統(tǒng)，那么必須在公司級文件中書面闡明