数据完整性与CSV验证

数据完整性与计算机化系统

CSV2023年1月13日1a汇报内容一、计算机化系统管理二、数据完整性检查及典型案例（国内）三、FDA案例分析四、QC试验室的基本要求2a计算机系统化管理计算机化系统特殊性及其风险控制计算机化系统基本管理要求与原则计算机化系统附录解读

3a相关法规指南中国法规的要求

——药品生产质量管理规范（2010年版）

——GMP附录美国FDA的要求

——21CFRPart211，药品制剂cGMP——21CFRPart11，电子记录和电子签名欧盟法规的要求

——欧盟GMP附录11，计算机化系统澳大利亚法规的要求

——TGAGMP附录11日本法规的要求

——厚生省，药品生产中计算机化系统控制指南ISPEGAMP5(自动化指南)MHRA(英国药监机构)指南4a计算机系统特殊性及其风险控制计算机化系统的软件特点软件是一种逻辑实体，不是具体的物理实体软件的开发没有明显的制造过程软件的实效模式与硬件不同软件的开放与运行受计算机系统限制软件本身的复杂性5a计算机系统特殊性及其风险控制药品生产企业如何控制计算机化系统的灾害我们它干什么（公司业务要求）要什么样的流程（系统要求）怎么用好它（项目管理）用不好会有什么后果（风险）怎么控制-建立计算机化系统相关管理流程（采购控制、IT供应商管理、IT系统操作与维护授权管理、数据备份、系统数据维护、系统日常维护管理、应急灾难控制等）系统验证管理与系统测试（系统的URS、DQ、IQ、OQ、PQ）培训IT的基础管理-变更控制、IT审计、偏差管理6a计算机系统特殊性及其风险控制可靠性：系统成熟性、容错、易恢复可维护性：系统稳定、易测试可移植性：系统适应性、易安装、共存性可靠性：系统成熟性、容错、易恢复易用性：易掌握、易学可维护性：稳定、易测试可移植性：适应性、易安装、共存性效率：时间特征、资源利用功能的适合、准确、互操作、安全性易恢复、数据追溯、数据备份功能实现功能操作操作应用层工程应用层系统开发层内应用层次系统质量特性控制方法项目管理体系人员与资格评定阶段性评审与测试版本控制售后服务设备开发管理人员培训与资格评定供应商选择与评定系统设计代码测试系统测试项目管理IQ、OQ、PQ供应商评估变更控制系统软件技术平台系统设计7a计算机系统特殊性及其风险控制药品生产企业计算机系统的用途系统是否用于产品工艺控制、监测、检测是否用于物料与产品放行与控制是否进行相关药品生产记录采集、记录、保存于备份是否用于药品生产工艺过程的条件的监测与控制，如HAVC、制药用水系统8a计算机系统特殊性及其风险控制计算机化系统：是建立、修改、维护、归档、检索和传送数字信息的计算机硬件、软件、和相关文件（用户手册）的集合。计算机系统的组成：硬件、软件、外围设备、操作人员、相关文件资料如操作手册、SOP等。9a计算机系统特殊性及其风险控制计算机系统的优点：判断存储精确快速通用易用联网10a计算机系统特殊性及其风险控制计算机化系统的目的提高效率改进质量减少人的负担和风险达到使用技术以无人干涉的控制一个过程技术=机械的、气动的、电动的、电子的/数字的、计算机控制=基本控制（闭路控制）、程序控制（顺序控制、逻辑控制）、协调控制过程=离散过程、批过程、连续过程11a计算机系统特殊性及其风险控制计算机化系统可能带来的问题在操作人员不知晓的情况下控制失控操作不方便信息丢失非法操作黑客侵犯停电程序繁琐，处理周期长软件升级的困惑12a计算机化基本管理要求与原则计算机化系统的要求系统的功能性：满足产品工艺控制、质量检测的适合性、准确性、互操作性、保密安全性系统的可靠性：系统的成熟性、容错性、易恢复性系统的追溯性：信息的输入、无效信息识别、信息更改控制、备份文件的完整性、证实性13aGMP法规的要求国家食品药品监督管理总局关于发布《药品生产质量管理规范（2010年修订）》计算机化系统和确认与验证两个附录的公告（2015年第54号）根据《药品生产质量管理规范（2010年修订）》第三百一十条规定，现发布《计算机化系统》和《确认与验证》两个附录，作为《药品生产质量管理规范（2010年修订）》配套文件，自2015年12月1日起施行。特此公告。附件：1.计算机化系统

2.确认与验证食品药品监管总局

2015年5月26日14aGMP附录解读附录的基本情况附录的解读第一章范围第二章原则第三章人员第四章验证第五章系统15a附录的基本情况计算计算机化系统附录的起草背景科技发展，自动化程度越来越高专业属性强，风险识别困难数据完整性越来越被重视多个国家/组织已将其作为单独附录发布是GMP（2010年修订）的计划组成部分16a附录的基本情况药品生产企业中可能存在的计算机化系统文件管理系统自动化生产设备系统自动化实验室设备系统ERP实验室信息管理系统（LIMS）BMS/EMS仓储配送系统电子批生产记录……17a附录的基本情况修订的特点引入了风险管理和生命周期的概念提出了对计算机化系统供应商管理的要求对计算机化系统的术语进行了解释18a附录的基本情况附录概要第一章范围，规定了附录计算机化系统应用范围第二章原则，提出了风险管理应当贯穿计算机化系统的生命周期全过程。第三章人员，对计算机化系统的人员提出了应当接受相应的使用和管理培训的要求。第四章验证，针对计算机化系统的特殊性提出了也验证的特殊要求及原则。第五章系统，针对计算机化系统关键控制点如系统运行和变更的要求，关键数据及其修改、电子数据和电子签名等提出了相关的管理要求。19a附录的基本情况七个术语数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。数据完整性：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。电子签名：是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。电子数据：也称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。20a附录的基本情况七个术语计算机化系统生命周期：计算机化系统从提出用户需求到终止使用的过程，包括设计、设定标准、编程、测试、安装、运行、维护等阶段。基础架构：为应用程序提供平台使其实现功能的一系列硬件和基础软件，如网络软件和操作系统。应用程序：安装在既定的平台/硬件上，提供特定功能的软件。21a附录的基本情况修订的主要内容对于专属性强的部分，强调了供应商的管理：企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果，对于所采用软件进行分级管理，评估供应商质量保证体系，保证软件符合企业要求。22a附录的基本情况修订的主要内容对不同计算机化系统提出不同的要求：企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能，清单应及时更新。企业应当制定专人对通用的商业化计算机软件进行审核，确认满足用户需求。在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。23a附录的基本情况修订的主要内容对进入和使用系统的人员进行了规定：只用经过许可得人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制定授权、取消以及授权变更的操作规程。必要时，应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录本及相关物理隔离手段，保证只有经许可的人员方能进行操作。24a附录的基本情况修订的主要内容对数据完整性提出详细的要求：计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。25a附录的基本情况修订的主要内容对数据完整性提出详细的要求：当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。对于电子数据和纸质打印文稿同时存在的情况，应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。26a附录的基本情况修订的主要内容对数据完整性提出详细的要求：以电子数据为主数据时，应当满足以下要求：（一）为满足质量审计的目的，存储的电子数据应当能够打印成清晰易懂的文件。（二）必须采用物理或者电子方法保证数据的安全，以防止故意或意外的损害。日常运行维护和系统发生变更（如计算机设备或其程序）时，应当检查所存储数据的可访问性及数据完整性。（三）应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。27a附录的解读第一章范围GMP，软件+硬件，分类28a附录的解读第一章范围举例企业资源计划系统ERP实验室信息管理系统LIMS制造执行系统MES楼宇管理系统BMS环境监控系统EMS仓储与配送系统WMS文件管理系统DMSPLC高效液相色谱仪HPLC29a附录的解读第一章范围审计要点是否建立计算机化系统管理流程是否建立计算机化系统清单易被忽略的系统-Excel-ERP30a附录的解读第二章原则关键词：风险，供应商31a附录的解读第二章原则计算机化系统代替人工操作时，应当确保不对产品的质量、过程控制和其质量保证水平造成负面影响，不增加总体风险。风险管理应当贯穿计算机化系统的生命周期全过程，应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分，应当根据书面的风险评估结果确定验证和数据完整性控制的程度。32a附录的解读第二章原则企业应当针对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。33a附录的解读第二章原则合同中应该包含的内容交付内容及费用承诺的交付日期提供文档\修补程序\升级\新版本通知和培训数据迁移交付内容不包括源代码时，可考虑第三方托管协议（五类软件）安装\定制期间的支持用户验收\验收测试期变更维护其他：付款计划\保密条款34a附录的解读第二章原则审计要点供应商管理应针对IT供应商的特殊性，建立相应的流程和评估方法。供应商应定期进行评估35a附录的解读第三章人员关键词：权限、资质36a附录的解读第三章人员计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。应当确保有适当的专业人员，对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。37a附录的解读第三章人员访问权限的原则按需授权最小特权职责分离38a附录的解读第三章人员强制和自主访问控制强制访问控制（MAC）：只有管理员可以根据政策进行相关更改。同时没有人可以授予访问控制政策中明确禁止的访问权限。MAC起禁止作用，将禁止所有为获得明确许可的行为。自主访问权（DAC）：可由数据所有者自行激活和修改的保护。例如，在数据所有者定义的共享信息资源中，数据所有者可以选择谁能够访问他的资源，以及相应访问的安全等级。DAC无法覆盖MAC，DAC将作为附加过滤器，使用相同的排除原则禁止访问更多。39a附录的解读第三章人员用户识别和身份认证最佳实践对默认的账户进行重命名。如果登录ID在经过一段时间后为未被使用，则应该将其禁用，以免出现被勿用的情况。这可以有系统自动完成或有安全管理员手动完成。如果在一段时间内未执行任何活动，系统应自动断开登录会话。这可以减少勿用当前登录会话的风险，因为当前登录会话可能因为用户吃饭、开会忘记注销等而处于无人监视状态。这通常称为会话超时。重新获得访问权限时，应该要求重新输入身份认证方法、密码等。40a附录的解读第三章人员用户识别和身份认证最佳实践密码语法规则包括：理想情况下，密码至少应包含八个字符。密码长度有时取决于要保护的系统和数据敏感性以及所用系统的能力密码应至少应该是以下任意三种字符的组合：字母数字、大小写和特殊字符。密码不应采用能够识别出用户的内容（如名字、姓氏）系统应强制要求一定间隔时间定期更改密码一次，并且以前的密码在更改至少一年内不得使用。41a附录的解读第三章人员审计要点可以从系统中导出权限列表，根据权限列表来要求企业提供职责说明，应遵循最小权限原则职责分离培训记录、资质证明资源是否足够42a附录的解读第四章验证关键词：确认与验证，通用与定制，验证状态维护。43a附录的解读第四章验证计算机化系统验证包括应用程序的验证和基础架构的确认，其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。44a附录的解读第四章验证计划报告标准配置确认风险管理45a附录的解读（软件类别）46a附录的解读第四章验证企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单，标明与药品生产质量管理相关的功能。清单应当及时更新。应当在计算机化系统生命周期中保持其验证状态。企业应当指定专人对通用的商业化计算机软件进行审核，确认其满足用户需求。在对定制的计算机化系统进行验证时，企业应当建立相应的操作规程，确保在生命周期内评估系统的质量和性能。47a附录的解读第四章验证计算机化系统清单48a附录的解读第四章验证验证方案要点在URS完成前制定验证计划流程所有者和质量部门批准需要哪些活动如何实施谁来负责活动的结果系统被接受应符合哪些要求系统生命周期中应如何维持合规性49a附录的解读第四章验证验证方案1介绍2范围3系统简介4验证方法5角色和职责6验证文档文档签字审批文档保存50a附录的解读第四章验证验证方案7验证工作计划用户需求和功能设计配置文档IQ、OQ、PQ验证结果评估8变更控制9培训10检验状态定期审查11词汇表12附件51a附录的解读第四章验证可配置系统验证方案风险分析

验证报告用户需求需求测试功能设计功能测试配置设计配置测试配置产品设计审查52a附录的解读第四章验证风险评估模板53a附录的解读第四章验证数据转换格式或迁移时，应当确认数据的数值及含义没有改变。数据迁移迁移的完整性数据的完整性提前备份一致性连续性回退策略并行分阶段分模块一次性转换54a附录的解读第四章验证验证文件的审计三类软件：是否涵盖软件部分，如软件版本、安装位置，软件特有的功能，故障或特殊情况的验证四类/五类软件：按照V字形的相关要求进行验证，并要看验证时间、验证结果等关键点验证维护：是否有流程、是否有审核55a附录的解读第五章系统关键词：数据完整性56a附录的解读第五章系统系统应当安装在适当的位置，以防止外来因素干扰。键系统应当有详细阐述的文件（必要时，要有图纸），并须及时更新。此文件应当详细描述系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。57a附录的解读第五章系统软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果，对所采用软件进行分级管理（如针对软件供应商的审计），评估供应商质量保证系统，保证软件符合企业需求。58a附录的解读第五章系统在计算机化系统使用之前，应当对系统进行全面测试，并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时，可采用两个系统（人工和计算机化）平行运行的方式作为测试和验证内容的一部分。59a附录的解读第五章系统测试类型举例常规案例测试：做应该做的无效案例测试：没有不该做的可重复性测试：重复完成预期工作性能测试：速度和效率容量/负载测试：压力回归测试：针对调整是否完成预期工作，是否造成负面影响60a附录的解读第五章系统只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制订授权、取消以及授权变更的操作规程。必要时，应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录本及相关物理隔离手段，保证只有经许可的人员方能进行操作。61a附录的解读第五章系统审计要点是否建立授权流程将权限申请记录与系统实际使用记录进行比对对于单机版的系统，是否只是使用开机密码进行权限管理，这种方式无法达到授权的管控目的权限应当定期审核，转岗、离职的人员应尽快撤销权限62a附录的解读第五章系统当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。63a附录的解读第五章系统审计追踪方面常见问题有审计追踪功能但不使用审计追踪可更改操作人员可删除审计追踪功能审计追踪作为元数据没有经过审核和备份64a附录的解读第五章系统审查要点系统是否有审计追踪功能如果有，是否开启了审计追踪功能如果没有，有什么其他的控制手段审计追踪是否定期审核65a附录的解读第五章系统计算机化系统的变更应当根据预定的操作规程进行，操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更，应经过该部分计算机化系统相关责任人员的同意，变更情况应有记录。66a附录的解读第五章系统变更管理变更应经过授权文件形式存档经过测试切得到批准更新文件是变更的组成部分之一培训和沟通紧急变更67a附录的解读第五章系统变更常见问题IT系统的变更管理没有纳入到GMP范围内变更没有经过评估、批准和验证变更没有按照计划进行审计要点是否有计算机化系统变更的管理流程是否按照流程进行计算机化系统的变更，如打补丁，升级功能，重新安装。68a附录的解读第五章系统对于电子数据和纸质打印文稿同时存在的情况，应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。审计中有时出现与声明不符的情况文件管理系统放行时间不一定与纸质记录一致批次总计文件69a附录的解读第五章系统审计要点按流程追踪时否有仅适用电子数据的情况，但声明以纸质记录为主数据，如文档管理系统根据数据完整性的要求，有些复杂的系统打印输出不能完全代表系统电子数据的情况。70a附录的解读第五章系统以电子数据为主数据时，应当满足以下要求：（一）为满足质量审计的目的，存储的电子数据应当能够打印成清晰易懂的文件。（二）必须采用物理或者电子方法保证数据的安全，以防止故意或意外的损害。日常运行维护和系统发生变更（如计算机设备或其程序）时，应当检查所存储数据的可访问性及数据完整性。（三）应当建立数据备份与恢复的操作规程，定期对数据备份，以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点，保存时间应当至少满足本规范中关于文件、记录保存时限的要求。71a附录的解读第五章系统目前药厂普遍适用不安全的备份方法和介质USB、移动硬盘、电脑硬盘（没有备份）、SD卡有些备份数据是可更改的格式，如excell如有条件，应尽早采用服务器备份备份的运送和保存应符合安全原则72a附录的解读第五章系统审计要点是否有备份的操作规程是否按照备份计划进行备份备份是否有确认备份文件如何保管是否选用不安全的介质保管备份数据是否定期恢复测试备份能否满足数据完整性的要求73a附录的解读第五章系统企业应当建立应急方案，以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如，影响召回产品的相关信息应当能够及时获得。是否有备份的操作规程。审计要点是否有应急方案应急方案是否经过测试，是否可行74a附录的解读第五章系统应当建立系统出现故障或损坏时进行处理的操作规程，必要时对该操作规程的相关内容进行验证。包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查，识别其根本原因，并采取相应的纠正措施和预防措施。75a附录的解读第五章系统故障处理容易引发变更应关注故障处理记录供应商权限过高，为消除故障可能对系统做出不符合GMP的变更审计要点故障处理流程是否建立是否有相同故障反复出现故障记录检查，有些故障会与变更相关联76a附录的解读第五章系统当采用计算机化系统放行产品时，计算机化系统应当能明示和记录放行产品人员的身份。电子数据可以采用电子签名的方式，电子签名应当遵循相应法律法规的要求。77a附录的解读第五章系统电子签名控制点必须采用如下形式之一1用户名+密码2生物识别明确签名的含义签名必须是独特的，能追溯到个人的错误输入用户名后密码能够被系统拒绝签名与所签的电子记录必须永久连接，不可被系统标准功能所消除后重签78a附录的解读第五章系统电子签名控制点计算机化系统应该能够显示：1该记录已被签字2签名人的名字3日期和时间4签名的含义需要考虑的安全措施1对设备进行初始化检测并定期检测2要有流程规定当用户忘记密码或丢失设备时如何处理，包括将设备设为失活状态以及重置密码等措施79a附录的解读第五章系统移交有文档，双方认可项目经理→流程所有者/系统所有者特别关注没有达到满意标准的事项回退策略80a附录的解读第五章系统系统退役系统撤销系统退出使用系统销毁数据迁移识别受影响的范围：包括接口的系统、设备验证更新相关文档：流程、支持维护合同、灾难恢复计划、业务连续性计划、用户管理81a附录的解读数据完整性调研发现的主要问题只用开机密码，没有用户名有审计追踪功能但没有开没有备份流程没有安全防护措施Excell表位做验证系统时间可以更改82a附录的解读附录中提到的书面文件书面的风险评估计算机化系统供应商的管理操作规程正式协议供应商质量体系和审计相关的文件计算机化系统清单关键系统详细阐述的文件授权、取消以及授权变更的操作规程变更操作规程变更记录主数据说明数据备份与恢复的操作规程应急方案故障或损坏时进行处理的操作规程83a附录的解读验证文件验证状态维护文件权限与职责列表培训记录资质证明权限审批记录备份恢复测试记录故障记录84a数据完整性检查及典型案例

数据完整性的意义诚信缺失无法保证药品安全、功效和质量打破了法规部门对药品企业的信任影响公司的业务和名誉数据完整性是药品质量体系的基本要求数据管理系统提供的努力和资源应与产品质量风险相对应数据管理应与公司其他质量保证资源相平衡85a数据完整性检查及典型案例数据完整性（dataintegrity）：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。并不是计算机化系统实施后才出现的适用于电子数据和手工（纸质）数据企业应当处于一种基于数据完整性风险的可接受控制状态86a数据完整性检查及典型案例数据人工观察填写的纸质记录仪器、设备通过复杂的计算机化系统产生的图谱或电子记录。87a数据完整性检查及典型案例数据的属性A（attributable）—可溯源L（legible）—清晰C（contemporaneous）—同步O（originalortruecopy）—原始或真实复制A（accurate）—准确88a数据完整性检查及典型案例不同仪器设备产生原始数据情况89a数据完整性检查及典型案例仪器分类90a数据完整性检查及典型案例仪器适用范围91a数据完整性检查及典型案例“审计追踪功能”并不是用来“控制”数据的“采集、录入、存储、备份、转移、检索、恢复、计算、处理、输出、引用、失效、修改、删除……”等过程的。审计追踪功能只是对“数据事件”的一种记录，能够对“违法犯罪行为”进行“追踪”，能够快速锁定“犯罪分子”，能够还原“历史真相”，但是并不能有效“控制”和“降低”有“犯罪动机”的“犯罪行为”的发生，也不能降低“犯罪行为”对“社会”的危害！广义的审计追踪是能够追踪数据的采集、录入、存储、备份、转移、检索、恢复、计算、处理、输出、引用、失效、修改、删除……”等过程92a数据完整性检查及典型案例纸质记录对文件和记录版本（变更）进行控制对原始空白记录进行控制对空白记录的发放进行控制对已填写记录的变更进行控制93a数据完整性检查及典型案例图谱或电子记录电子方式产生的原始数据采用纸质或PDF格式保存应当显示数据的留存过程，以包括所有原始数据信息、相关审计跟踪和结果文件、每一分析运行过程中软件/系统设置标准一个给定的原始数据系列重建所需的所有数据处理运行情况（包括方法和审计跟踪），经过确认的复本。一旦打印或转换成静态PDF，图谱记录则失去了其被再处理的能力，不能对基线或隐藏区域进行更详细的审核或检查。以数据库格式存在的动态电子记录则可以进行追踪、趋势分析和查询、查看隐藏区域，放大基线以将积分情况查看的更清楚。

94a数据完整性检查及典型案例数据审计跟踪数据审计跟踪（audittrial）：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。如果计算机系统用于电子捕获、处理、报告或存贮原始数据，系统设计应能保持提供全面审计追踪的保存，能够显示对数据进行的所有更改。随对数据的所有更改，应可以显示做这些更改的人，更改均应有时间记录，并给出理由。用户不应具备修订或关闭审计追踪的能力95a数据完整性检查及典型案例数据审计跟踪不需要包括每个系统活动（例如，用户登录/退出，键盘敲击等）通过对经过设计和验证的系统报告进行审核来达到目的必须是商业电子管理系统吗？只要能够达到GMP的要求，纸质追踪和半纸质半电子系统也能被接受。行业发展，将来…96a

检查案例主要集中以下几点：不能追踪原始数据，真实性存疑数据安全性不足，不能采取有效措施确保未经授权人员对生产、质量控制等相关记录进行变更或删除，不开启不能确保所保存的实验室记录包括所有的原始试验记录删除数据覆盖数据测试至合格改变积分参数测试小试/试样系统管理员权限97a

检查案例某设备操作需要通过人机界面登入PLC，但该车间有多个操作员均可登入，所有操作人员使用系统管理员用户名和密码登录。公司未能保证实验室数据的完整性

多次进行样品“试针”测试、忽略部分检验结果，例如：某产品正式放行数据未知杂质报告为符合质量标准，但是色谱数据显示该批有进针数据的未知杂质不符合质量标准。某批片剂稳定性试验正式HPLC杂质数据只包括了多次测试中最好的结果。公司未能对计算机或相关系统进行适当的控制，不能保证只有经过授权的人才能对生产工艺参数和检测记录或其它记录进行修改。98a

检查案例检查电子记录表明，企业在杂质检测中进行了手动改变积分参数的活动，但没有相应的说明；经常进行手动积分，但未形成书面程序。工艺验证的样品存在真实性问题发文要求重新进行工艺验证复核检查发现：存放于仓库的样品外观、颜色异常现场检验：耐酸力、溶出度、含量不合格核实：掺入其他样品顶替工艺验证样品99a

检查案例修改HPLC/UV工作站的系统时间将HPLC/UV的电脑时间修改到稳定性考察的日期，进行测定电脑时间多次更改，甚至出现9月某日的操作记录补写相关仪器使用记录，补写的使用时间与实际不符UV工作站电脑不在现场存有重要数据（含量，溶出度），包括工艺验证批、动态生产批成品检验，和部分稳定性考察称电脑一个月前损坏未能提供备份的电子数据红外图谱：峰形、波数、强度等指标完全一致。100a

检查案例现场无法提供原始批生产记录药审中心发补后，提高质量标准企业生产三批样品，采用新标准进行稳定性考察现场检查期间，无法提供该三批样品的原始生产记录员工根据原辅料出库记录等，现场回忆书写记录101a

检查案例检查组在对xx公司生产的xx凝胶产品进行检查，xx凝胶（批号：100301）批生产记录显示，灌装时间为2010年3月26日8：30到12：30，灌装机号为DG35A。同时发现在维A酸乳膏（批号：100301）批生产记录显示，灌装时间也为2010年3月26日8：15到11：00，灌装机号也为DG35A。某冻干产品灌装压塞工序生产记录（注射用XXXX，批号：130907）和培养基模拟灌装生产记录（10ml）显示：9月26日，张某某（唯一操作人）在老车间灌装压塞、装箱、出箱岗位操作人处有此人签名，操作时间：12:35-17:20，18:50-22:00；发现此人在同一时间段在新建车间培养基模拟灌装试验操作人处签名也进行了签名：操作时间：13:20-21:00102a

检查案例检查组在对xx公司生产的xx凝胶产品进行检查，xx凝胶（批号：100301）批生产记录显示，灌装时间为2010年3月26日8：30到12：30，灌装机号为DG35A。同时发现在维A酸乳膏（批号：100301）批生产记录显示，灌装时间也为2010年3月26日8：15到11：00，灌装机号也为DG35A。某冻干产品灌装压塞工序生产记录（注射用XXXX，批号：130907）和培养基模拟灌装生产记录（10ml）显示：9月26日，张某某（唯一操作人）在老车间灌装压塞、装箱、出箱岗位操作人处有此人签名，操作时间：12:35-17:20，18:50-22:00；发现此人在同一时间段在新建车间培养基模拟灌装试验操作人处签名也进行了签名：操作时间：13:20-21:00103a

数据完整性检查基于风险，判断重点深入调查，不蜻蜓点水有疑问的数据一定要证实客观真实性追踪最原始的数据QC实验室，尤其是稳定性试验的数据物料发放流转的数据各项记录的发放和填写企业质量管理体系对数据完整性的覆盖数据完整性直接表现企业的质量管理水平104a源于设计管理要求系统设计来保证数据质量和完整性（技术保证）：记录事件时间的时钟进入权限（时间操作员不能改时间）让批记录等确保在活动现场，避免临时数据记录然后转抄到正式记录数据记录所用的空白纸质模板控制用户权限能防止或审计追踪数据修改仪器如天平需要附带自动获取或打印数据设施取样点进入权限如水系统员工数据复核检查时进入原始数据的权限使用专人记录来代替另一个操作人记录实施活动只有在例外下考虑：记录行为会使产品或活动产生风险，如一些无菌操作陪同人员的语音/文字受限，由其他管理人员进行证明和记录105a

审计跟踪计算机系统用于捕获、处理、报告或存储原始数据，系统设计应能保持提供全面审计追踪功能，能显示保持之前和原始数据与对数据进行的所有更改，能显示做这些更改的人、时间和理由等记录。用户不应具备修订或关闭审计追踪的能力。审计追踪审核应是日常数据审核/批准过程的一部分，通常由生产数据的操作区域（如实验室）来实施，公司需要相应的管理制度要求，审核重点为GMP相关性如关于数据创建、处理、修正和删除等。QA也应抽查审核相关审计追踪、原始数据和元数据，作为自检的一部分，来保证与数据管理方针/程序的现行符合性。对于没有审计追踪系统软件，只要能达到EUGMP指南附录11要求，可以用纸质追踪记录来证明到达同样目的，否则在2017年底前要升级软件系统达到规定要求。106a

计算机用户权限管理应全面使用进入权限控制的功能，并保证人员只具有与完成其工作职能相当的操作权限。有不同的个人权限登录层级，并保证获得关于用户进入级别的历史信息。不能接受采用相同登录名和密码。（密码专人专用、定期更换、长度和复杂程度符合要求、超时管理、不能复制粘贴）系统管理员权限应根据组织机构的规模和属性而限于最少人数。系统管理员一些权限如数据删除、数据库修正或系统参数修改不能被赋予对数据有直接利益的个人。107a

数据审核需要一个描述对数据，包括原始数据的审核和批准的程序，并有规定：数据审核必须包括对相关元数据的审核，包括审计追踪。数据审核必须进行书面记录。如果数据审核发现错误或遗漏时应采取的措施，对数据的修正或澄清应符合GMP方式进行，使用ALCOA原则，提供修正所涉及的原始记录的可见性和审计追踪的追溯性。108a

数据保留由纸质形式生产的原始数据(或真实复制本）可以采用如扫描方式保留，但需保证该复制的完整性并经过确认。数据和记录保留应保证能保护记录被蓄意或无意篡改或丢失。必须有安全控制来保证记录在整个保留期间的数据完整性，并在适当时进行验证。数据/记录存档应严格控制（落锁），保证其不能在未被察觉和审计跟踪的情况下被篡改或删除。记录在整个保留期间内可以被恢复和读取。109a数据完整性总结数据完整性实施程度的基本原则根据对产品质量属性的影响程度、对关键工艺参数的影响程度，进行风险评估确定。投入到数据管理的精力和资源应与其产品的风险等级相适应。对数据生命周期中各要素的组织性控制和技术性控制的程度及投入的资源，要与该数据对产品属性的影响程度相适应。应当根据“科学和技术发展的状况”，采用“普遍被接受的科学的方法”进行药品生产和检验。应当考虑“风险、成本、收益”的相适应！

110a数据完