2021020计算机化系统的日常维护和验证方法

计算机化系统的日常维护和验证方法计算机化系统的日常维护和验证方法 计算机化系统重点在计算机化系统管理，不在计算机化系统验证，验证好 了只证明了应用程序好，不证明计算机化系统就好。 一、计算机化系统生命周期良好管理一、计算机化系统生命周期良好管理 1、文件架构 计算机化系统验证服务供应商标准管理规程（对提供系统和验证服务供应 商的要求，GMP 计算机化系统附录第四条企业应当针对计算机化系统供应商的 管理制定操作规程。 ） 计算机化系统验证管理标准操作规程 计算表单验证管理标准操作规程 计算机化系统用户管理标准操作规程 电子数据备份、恢复和归档标准操作规程 计算机化系统时间标准操作规程 文件至少应包含上述内容，可以是一份文件也可以是多份文件。 2、计算机化系统管理中的几个重点 用户管理 密码管理 审计跟踪管理 原始数据管理 业务持续与备份管理 日期和时间的设置管理 3、用户管理 管理权限不能直接分配给利益相关方（通常讲就是业务部门） 原因 （1）安全性法规通常管理员不分配给直接利益方， “通常” ，特殊 情况，比如不给管理权限，无法进行操作，如何做sop 中规定，规定只能做如 何操作、 电子数据审核频率加大；（2） 计算机系统本身复杂性和存储数据安全型 不懂，误操作，影响计算机化系统 用户管理满足日常操作的最低权限 用户管理缺陷 （1）IT 管理员不会相应操作，比如用户管理，有条件可以设 立懂 GMP 的 IT； （2）账户清单同实际清单不一致，比如人员离职、转岗，应在 SOP 中规定如何管理，比如离职前数据审核，根据实际工作情况及时调整计算机 化系统中的权限。如果可以，对于这些账号不得进行删除操作，可由系统管理员 进行失活并做好记录，如果不能删除和失活，则修改密码和降低权限。 4、密码管理 根据情况制定密码策略，如密码的效期定期更换提醒 4 密码复杂度和长度 的要求。 5、审计跟踪管理 应明确体现在该系统的相关 SOP 中，审计追踪的结果需要定期审核，并且可 以进行打印、备份和归档。审计追踪中记录的数据不能被删除和修改，如果打开 是可编辑的形式，则只有授权的人员才能够查看审计追踪，以防止审计追踪中的 数据被修改或删除。 审计跟踪能否给一线员工开放法规没有要求，需验证审计跟踪能否被删除 6、原数数据的管理; Windows 要进行权限管理，计算机化系统中的系统盘应被管理员实施控制策 略， 操作人员不得具备对系统盘的读写权限，同时在相关操作 SOP 中明确原始数 据的保存路径。 缺陷;BIOS 权限是否被管理 原始数据文件夹命名方式，确保管理员能够及时准确对原始数据进行备份 7、业务持续备份和恢复管理 备份根据备份频率分为实时备份、定期备份和特殊备份，应该在 Sop 中 规定备份方法，备份频率，备份方式，哪些数据要备份，全盘本份，还是差量备 份还是增量备份。 恢复恢复按法规进行完整测试，用备份恢复工具，看文件大小和文件个 数，此方法不被认可，要用最完整的方式去看数据得到一致性，备份的可读性。 管理人员和授权人员对备份执行情况进行检查和定期回顾，比如备份的内 容。 数据备份时进行恢复测试，恢复测试可能会覆盖原有数据，恢复数据可能 需要断网，恢复方法不清楚，验证只是证明性测试，在验证前需要知道正确的备 份方式， 不是在验证时发现已经晚了 买软件的时候 数据库搭建和服务器搭建的 时候，CS 比 V 重要，V 只是提供证明性资料，CS 没做好，V 做不了，或者也只是 做了而已，行不行不是验证说了算，验证只是证明了计算机化系统行不行。 8、日期、时间设置和使用 应由系统管理员定期对时间进行设置和校准，重点在不联网的设备和 HMI 和 PLC。 二、计算机化系统定期回顾或再验证的良好实施和方法二、计算机化系统定期回顾或再验证的良好实施和方法 1、 再验证分为周期性再验证和变更性再验证、 药监部门、 法规要求的强制再 验证，周期性再验证定期评估，确认是否在再验证状态，确定是否需要进行再 验证。 2、 什么情况下可以不必再验证验证状态没有发生变化， 不做再验证， 则需 要定期进行评估。 3、确认与验证状态维护通常通过以下体系来维护 变更控制 对变更进行控制和文件化， 才能保证一个系统验证状态的维持，对于已发生 的所有变更都必须进行回顾。 验证回顾报告 待回顾系统的重要性 待回顾系统的变更数目 待回顾系统的相关法规的变更情况 待回顾系统的相关偏差数目或偏差的重要性 验证回顾流程 a、建立回顾团队回顾负责人至少包括系统的支持人员、验证人员、用户 b、回顾数据的整理变更、偏差、验证文件、上次回顾验证中未完成的项 目、 标准操作规程的修订历史、 硬件和软件的配置管理、 软件的版本、 数据安全、 权限管理、定期备份/归档 c、验证回顾报告起草 变更控制评估系统变更的类型，密切关注与 GMP 相关的变更和多次发生 的变更，变更的累积效应 再验证周期的起点例如2016 年做的验证，18 年变更引发再验证，如果 18 年再验证未包含全部内容，则再验证的起点应该是 2016 年 偏差关注偏差偏差是否已关闭，相应整改措施是否已完成，确定偏差的 根源 验证文件整理回顾期间批准的所有确认/验证文件。 标准操作规程，回顾相关的标准操作规程来确定其使用范围是否符合确认 过的范围。比如系统有 20 个功能，验证了 10 个功能，则未验证功能不能在文件 中规定。 上次确认/验证回顾报告中未完成的项目 回顾结论回顾完成后发现问题分析，对整改计划进行共识，对是否需要 进行再验证下明确结论。 三、计算机化系统安全控制和良好管理及实施三、计算机化系统安全控制和良好管理及实施 1、安全管理通常包含 1.1.物理与环境安全 服务器机房权限管理、 重要系统配备 UPS 确保失电时的数据安全 机房重要房间每天检查有误报警信息 存放服务器的房间和产生数据的系统的房间必须毒理 外来人员的访问必须由有权限的人员全程陪同 移动硬盘的保存，放置到上锁地方，比如防磁柜 1.2.网络安全 只有授权单独 IT 人员才拥有网络相关工作的权限 所有网络部件安全管理 第三方评估报告（有条件的情况） 1.3.操作系统安全 操作系统账户设置由 IT 系统管理员进行 所有操作人员均应设置个人账号，不得使用 IT 系统管理员账号 BIOS 应设置密码进行包谷以防止更改 BIOS 设置 1.4.应用程序安全 应用程序应具备逻辑访问控制能力，只限于被受控的用户使用 1.5.数据安全 用于存储 GMP 相关数据的文件夹必须由系统管理员设置保护，定期对数据 进行备份。 1.6.程序控制 2、计算机化系统自查内容 数据备份是否按照经批准的 sop 进行 所有计算机化系统的时区、日期、时间是否锁定 是否只有经授权的人员才能可以使用计算机化系统 计算机化系统是否经过验证相关文件是否可以提供 所有系统的日期和时间是否一致 系统是否有唯一的登录账号和密码 数据文件夹是否能另存为、复制、删除 密码多长时间更换一次是否有文件规定9．