GXP数据可靠性指南和定义

'GXP'数据可靠性指南和定义

目录

•1.背景

・2.介绍

・3.数据可靠性的原则

•4.建立数据的关键程度和固有可靠性风险

•5.设计确保数据可靠性的系统和流程，创建"正确的环境"

•6.术语的定义和要求的解释

•7.术语表

•8.参考文献

1.背景

受监管数据的生成方式已随着辅助技术的不断发展（例如，电子数据采集越来越多的使用、系统

的自动化和远程技术的使用）以及供应链和工作方式（例如，通过第三方服务提供商）复杂程度

的增加而持续演变。支持这些工作方式的系统范围从纸质记录的手动处理到让复机化系统的全面

使用。法规要求的主要目的是相同的，即，对所生成数据的质量和可靠性有信心（以确保患者安

全和药品质量），并且能够重构活动。

2.介绍

2.1本文件为受英国MHRA和良好实验室规范监督机构（GLPMA）监管的英国企业和公共机

构提供指导。本指南已尽可能与其它已发布的指南保持一致。本指南是一份英国指南文件，与

PIC/S.WHO、OECD（关于包巳的指南和建议文件）以及EMA指南和法规相类似。

2.2本指南由MHRA检查团和合作伙伴制订并经过了公开评议。旨在通过教育来帮助使用者易

于合规，同时澄清英国监管方对现有规定的解释。

2.3使用者应确保其在保护数据不受风险威胁时所做工作与其它合规优先级别相平衡。

2.4本指南的范围指定为"GXP",因此除另有说明外，本指南中所有内容均指GXP。没有具

体指向某个GXP的例子并不表示与该GXP不相关，而只是因为给出的例子比较有限。但请注意

本指南文件不涵盖医疗器械。

2.5本指南可被视为是了解MHRA关于睡可靠性立场以及合规要求最低期望的一种方式。本

指南并未描述所有情形，因此鼓励各方在采用不同于本指南所述方法时与MHRA进行沟通。

2.6本指南目的是推广基于风险的数据管理方法，包括数据风险、关键性和生命周期。本指南

的使用者需要了解其数据流程（即生命周期），识别出最大影响GXP的数据。由此可以确定及

实施最有效和最高效的基于风险的控制和数据审核。

2.7本指南主要说明数堀亘靠性并不是数据质量，因为可靠性所要求的控制并不一定保证所生成

数据的质量。

2.8本指南应与具体到每个GXP的适用法规和通用指南一起解读。如果在本文件中引用了某

GXP专用参考文献（例如ICHQ9）,则考虑这些文件的原则可以提供一些指导和更多信息.

2.9术语已有定义，可能存在其它定义，已尽可能在适用之处进行了协调。

3.数据可靠性的原则

3.1机构应对其所用系统及所生成的数据负责。机构文化应确保所有形式（即纸质和电子）数据

是完整、一致和准确的。

3.2应设计、管理以及（适当时）采用机构内关于△县、系统和设施的安排以支持适当的工作环

境，即创建正确的环境保证有效的数据可靠性控制。

3.3不应低估机构文化、绩效指标驱动的行为、目标以及高级管理人员行为对数据管理措施的成

功的影响。机构的最高层应认同数据管理方针（或等同者）.

3.4建议机构实施、设计和管理有记录的系统，基于数据可靠性风险及支持性理由提供可接受的

受控状态。一个适当方法的例子是实施数据可靠性风险评估（DIRA）,进而规划生成数据的过

程或从何处获取数据，识别每种数据格式及其控制，以及记录数据关键程度和固有风险。

3.5不建议机构常规性地采用侦查的方法进行数据检查。系统应维持在适当的控制水平，同时

更宽范围的数据管理措施应确保定期审计能够发现机构系统内数据可靠性失败的机会。

3.6用于确保数据可靠性所做的工作与所投入的资源应与数据可靠性失败对患者或环境的风险

和影响相称。这些安排共同满足数据管理的概念。

3.7机构应认识到从自动化或计算机化系统转回到纸质手动系统或反向转换本身并不会消除适

当的数据可靠性控制的需求。

3.8如果发现了数据可靠性弱点，公司应确保对所有相关活动和系统实施适当的纠正和预鹤旗,

而不是独立实施。

3.9如果发现重大数据可靠性事件，应向监管当局做出适当通知。

3.10本指南中采用了"ALCOA"而不是"ALCOA+"。ALCOA是指可归属性、清晰可辨性、

同步性、原始性或正式有效副本和准确性，"+"是指完整性、一致性、持久性和可及性。ALCOA

在历史上被作为是定义适用于监管目的的数据质量属性。随后加上"+"以强调要求。无论采用

哪个术语要求并无差异，因为数据管理措施应确保数据在生命周期过程中是完整的、一致的、持

久的和可及的。

4.建立数据的关键程度和固有可靠性风险

4.1数据对于质量、安全性和有效性决策具有不同的重要性。数据的关键程度可以通过考虑数据

是如何被用来影响所做决策而确定。

4.2数据的风险是根据数据未经授权被删除、修改或排除的可能性，以及发现这些活动和事件的

机会来确定的。相比于统一实施、有清晰定义和明确目标的简单任务，数据的风险可能由于其复

杂性、过程不一致导致开放和主观结果而增加。

4.3数据可通过以下方式生成：

(i)记录在纸上,人工观察或活动的纸质记录，或

(ii)电子，使用设备，从简单仪器到复杂的可高度配置的计算机化系统，或

(iii)使用混合系统，既有纸质记录又有电子记录构成原始记录，或

(iv)其它方式如拍照、成像、色谱板等

纸质

在纸上由人工生成的数据，如果从数据可靠性风险评估或其它要求考虑认为有必要时，

可能会需要有独立的核查。应考虑降低风险的监督措施。

电子的

与设备和计算机化系统有关的数据可靠性的固有风险可能会不同，取决于产生或使用数

据的系统可配置程度，以及数据生命周期过程中计算机化系统之间传输时数据被操控的

可能性。

应考虑使用可用的技术，经适当配置以降低数据可靠性风险。

无可参数设置软件、无电子数据保存功能的简单电子系统(如包士计、天平和温度计)

可能只需要进行螳，而复杂的系统则需要"依其预期用途进行迪"。

验证工作随着复杂程度和风险(由软件功能、参数设置、用户干预的机会以及数据生命

周期考量确定)的增加而增加。重要的是不能忽略复杂程度明显较低的系统。在这些系

统中，有可能可以捏造数据或重复检验以获得期望的结果，而发现的机会有限(例如，

用户可设置参数输出的单机系统如ECG机器、FTIR、UV分光光度计工

混合方式

如果使用了混合系统，应清楚记录整个数据集是由什么构成，由数据集定义的所有记录

应被审核并保留。混合系统的设计应确保其满足预期目的。

其它

如果所产生的数据是由拍照或成像方式（或其它介质）采集的，则此类格式在其生命周

期过程中的存储要求应遵循与其它格式相同的考虑因素，同时考虑此类格式所需的任何

额外控制。如果原始格式由于降解问题不能保存，可以考虑采用替代的记录机制（例如，

拍照或数字化）和后续的存储，并记录下做出该选择的理由（例如，薄层色谱\

4.4对于对产品、患者或环境影响较小的数据，如果数据获取过程中，没有高级别系统权限或专

业软件/知识就没有修改的机会，减少所做工作和/或降低控制措施频率可能是合理的。

4.5数据可靠性风险评估（或等同者）应考虑遵守某个流程或执行某个功能所需的因素。建议不

仅要考虑计算机化系统，还要考虑支持性人员、指南、培训和质量体系。因此，自动化或使用"经

过验证的系统"（例如，e-CRF、分析设备）可能会降低但不能完全消除数据可靠性风险。如果

有人工干预，尤其是影响数据如何被记录、报告或保存或记录、报告或保存哪些数据，机构控制

或数据核查不良（由于过于依赖系统的已验证状态）导致的风险可能会增加。

4.6如果数据可靠性风险评估已强调了需要整改的地方，则应记录、与管理人员沟通并审核所采

取措施的优先程度（包括适当水平整风险的可接受度）o如果认为需要采取长期整改措施，则

应实施降低风险的短期措施以临时提供可接受的数据管理。

5.设计确保数据可靠性的系统和流程，创建“正确的环境”

5.1系统和流程的设计方式应有助于符合数据可靠性原则.所需行为的使能因素包括但不限于：

・在使用点，有权限访问记录计时事件的经适当控制/同步化的时钟，以确保可重构和可追溯，

了解并J旨明数据在不同场地使用的时区。

・在活动发生现场可获取批逛，避免非正式记录数据然后事后誉成正式记录

•应适当控制记录原螳堀/源数据的空白纸质表格的获取权限。可能有必要对空白记录进行

数量衡算，或使用预先对页码编号的受控本，以防止重新创建一份记录。可能会有例外如医

疗记录（区£）,这种操作是不实际的。

・用户访问权限，防止（或审计追踪，如果不可能防止）未经授权的数据修改。使用外部装置

或系统接口方法消除人工数据录入和以及与计算机系统的人机交互，如条码扫描仪、ID卡读

卡器或打印机。

・提供工作环境（例如，足够的空间，足够的任务完成时间，以及具备适当功能的设备）使得

能按要求执行任务和记录数据。

•员工执行数据审核活动时有权限访问原始记录

・对受控打印件进行数量衡算

・为所有适当的员工（包括高级管理人员）提供足够的关于数据可靠性原则的培训

・在风险评估过程中包括业务专家

・对与数据管理有关的质量量度进行管理监督

5.2如果经过论证，可以考虑使用抄写员代表另一个操作员记录其所执行的活动，例如：

・同步记录会影响产品或活动，例如无菌操作工记录生产线的干预

・尸体解剖（GLP）

・为适应文化或文字/语言限制，如由一个操作工执行某活动，但由另一人见证并记录。

应考虑访问的容易程度、可用性和位置，同时确保依数据关键程度对活动进行适当控制。

在这些情形下，由第二人所作记录应与所执行的任务同步进行，记录能识别出执行任务的人和完

成记录的人。执行任务的人应尽可能共签记录，尽管可以接受共签步骤是回顾性的。监督者（抄

写员）完成文件记录的过程应在已批准的规程里进行描述，并指明适用于哪些活动。

6.术语的定义和要求的解释

在以下部分，适用情况下术语下斜体字内容为定义。

6.1.数据

采集在一起用于参考或分析的事实、数字和统计结果。所有原始记录和原始记录的真实副本，包

括源数据和元数据以及这些数据之后的转化和报告是在GXP活动实施时生成或记录的该GXP

活动允许全面完整重构和评估。

数据应：

A—可追溯至产生数据的人

L一清晰并持久

C一同步

0一原始（或经证实的真实副本）

A一准确

数据管理措施还应确保数据在其生命周期过程中的完整性、一致性、持久性和可及性，其中：

完整性一数据必须是全部的，一个完整的集合

一致性一数据必须相互一致

持久性一持久耐用，在数据生命周期过程中可持续使用

可及性一审核或检查时随时可用

6.2.原始数据（与ICHGCP中定义的"源数据"为同义词）

原始数据定义为原始的记录（数据），可被描述为以纸质或电子方式记录的首次采集的信息。以

动态方式原始采集的信息应保持该状态下的可用性。

原始数据必须能够全面重构该活动。如果是以动态方式采集并以电子方式生成，则纸质副本不被

认为是“原始数据"。

如果基本电子设备不存储电子数据，或仅提供打印的数据输出（例如，天平或pH计），则打印

件构成原始数据。如果基本电子设备能永久存储电子数据，但仅能保存一定量，然后就会被写满

覆盖，则应定期对此数据进行审核，必要时与纸质记录进行数量平衡，如果设备本身支持时还应

作为电子数据提取出来。

在所有定义中，术语"数据"均包括原始数据。

6.3.元数据

元数据是指描述其它数据属性并提供背景信息和含义的数据。通常，这些数据描述数据的结构、

数据要素、数据的内在关系和其它特性，例如审计追踪。元数据还允许数据可被追溯至个人（或

者，如果是自动生成的数据，可被追溯至原始数据源）O

元数据构成原始记录密不可分的一部分。没有元数据提供的背景信息，数据就没有意义。

例（i）3.5

元数据，给出的背景信息和含义（斜体字）为：

氯化钠批号1234,3.5mg,JSmith2014年7月1日

例（ii）3.5

元数据，给出的背景信息和含义（斜体字）为：

试验对象A123,样品编号X789取样时间2014年6月30日1456点.

3.5mg.分析员:JSmith2017年7月］.日

6.4.数据可靠性

数据可靠性是数据的完整性、一致性、准确性、可信性和可靠性的程度，以及数据的这些特性在

数生命周期过程中得到维护的程度。数据应以安全的方式采集和维护，这样数据可被追溯、清晰

可辨、同步记录、原始（或真实副本）和准确。确保数据可靠性要求具备适当质量和风险管理体

系，包括坚持科学合理原则和良好文件记录规范。

6.5.数据管理

为确保数据被记录、处理、保存和使用以保证数据贯穿其生命周期所做的安排，无论数据产生的

方式如何。

数据管理应说明生命周期过程中数据的所有权和责任制，并考虑对流程/系统的设计、管理和监

控，以符合数据可靠性原则，包括对数据有意和无意更改的控制。

数据管理系统应包括对员工进行数据可靠性原则重要性的培训，以及创建能够使差错、遗漏和非

预期结果可见并积极鼓励报告这些情况的工作环境。

高级管理人员应运用风险管理工具，如ICHQ9原则，负责实施尽可能降低数据可靠性潜在风险

的系统和规程，并识别残留风险。

量磔应确保与第三方的所有合同/技术协议中都包括数据所有权、管理和访问权限。委托方还

应执行数据管理审核作为其供酶保证计划的一部分。

数据管理体系还应确保数据在国家主管机构要求时易于获取并可直接访问。电子数据应以人类可

读方式呈现。

6.6.数据生命周期

数据生命的全部阶段，从产生和记录，到处理（包括分析、转移或迁移）、使用、数据保留、归

档/调取和销毁。

数据管理，正如前一节所述，必须应用于数据的整个生命周期,为数据可靠性提供保障。数据可

以保存在原始系统中，接受适当的控制，也可以以适当的归档方式保存。

6.7.数据的记录和采集

不需要定义

机构应对用于数据采集和记录的系统的流程和技术知识有适当水平的了解，包括其性能、限制和

弱点。

所选择的方法应确保数据具备适当的准确性、完整性，根据预期用途收集和保存背景信息和含义。

如果电子系统的性能允许进行动态存储，则保存静态数据（打印的/人工的）是不恰当的，应优

先保存动态（电子）数据。

由于要求数据能够全面重构活动，应论证所要采集的数据的数量和分辨率（详细程度）.

如果使用了空白表格（包括但不限于，工作表、实验室记录本以及主生产和控制记录），则应对

其进行控制。例如，发放有编号的空白表格，填写完成后进行数量平衡。类似的，装订编制了页

码的记录本，由文件控制中心盖章或正式发放，可以发现非正式的记录本以及记录本页面的任何

差异。

6.8.数据转移/迁移

数据转移是在不同的数据存储类型、格式或计算机化系统之间转移数据的过程。

数据迁移是将已存储的数据从一个持久的存储位置转移至另一个存储位置的过程。这可能包括数

据格式的改变，但并不改变内容和含义。

数据转移是在存储介质类型或计算机化系统之间转移数据和元数据的过程。数据迁移在必要时可

能需要改变数据格式使其在另一个计算机化系统上可用或可见。

数据转移/迁移程序应包括理由，并经过严格地设计和验证以确保在整个数据生命周期过程中数

据可靠性得到维护。应仔细考虑以了解数据格式，以及在数据在生成、转移和后续存储的每个阶

段被改变的可能性。迁移数据的挑战通常会被低估，尤其是在维护被迁移记录的完整含义方面。

数据转移应经过验证。数据在转移至工作表或其它应用程序的过程中及转移后不应被改变。该过

程应有审计追踪。如果数据转移操作不正确，应遵守适当的质量规程。对中层软件的任I可变更应

通过适当的质量管理体系来管理。

自动化样纸质记录所使用的电子工作表应进行版本控制，对工作表的任何修改均应进行适当记录

/核对。

6.9.数据处理

对数据进行的以指定格式提取、呈现或获取信息的一系列操作。例子可能包括：对单个患者数据

进行统计学分析以呈现趋势，或将原始电子信号转换为色谱图，并随后计算出数值结果。

原始数据的数据处理活动中所用的任何用户自定义参数均应有足够的可追溯性，包括可追溯至是

谁执行了该活动。

钮追踪和所保存的记录应能够重构所有数据处理活动，无论该处理的输出结果随后是否被报告

或被用于注册或商业目的。如果数据处理是通过对处理参数的渐进修改而重复的，那么该过程应

该可见，以确保处理参数没有被操控以获得更理想的结果。

6.10.排除数据（不适用于GPvP）:

注：不适用于GPvP。GPvP指药物警戒法（包括GVP模块），提供基本要求和法定指南。

只有通过有效的科学论证证明数据不能代表所测量、取样或获得的数量，该数据方可被排除。

在所有情形下，此论证应有文件记录，并在数据审核和报告时进行考虑。所有数据（即使被排除

的）均应保存在原始数据集中，以备审核,其格式应允许确认排除该数据的决定的有效性。

6.11.原始记录和真实副本

6.11.1.原始记录

首次或从来源采集的数据或信息例如人工观察的原始纸质记录或来自计算机化系统的原始电子

数据文件，以及全面重构GXP活动实施过程所需的所有后续数据。原始记录可以是静态的或动

态的。

静态格式记录如纸质或电子记录指用户和记录内容之间很少或没有互动且固定的记录。例如，

一旦打印或转换为静态电子格式，则色谱记录就失去了重新处理的能力，或无法再更为详细地查

看基线。

动态格式记录，如电子记录，允许用户和记录内容之间有互动关系。例如，数据库格式的电子记

录允许用户追踪、查看趋势和查询数据，以电子记录维护的色谱记录允许用户或审核人员（有适

当的访问权限）重新处理数据并放大基线以便更为清晰地查看积分情况。

如果保存源数据的原始副本不实际或不可行（例如，MRI扫描，如果源设备不是在研究发起人

的控制之下，操作人员只能提供汇总统计），则应记录风险及风险缓解措施。

如果所获得的数据需要人工观察来记录（例如，手动滴定的结果、环境监测碟的目视判读）,则

应对该过程进行风险评估，根据其关键程度，论证是否需要第二人同步确认检查，或者调查结果

是否能用替代方法采集。

6.11.2.真实副本

一份经过确认（即，通过带日期的签名或通过一个经验证的程序生成）证明具有与原始记录相同

信息的原始记录的副本（无论所采用的介质类型如何），包括描述背景、内容和结构的数据。

如果需要，真实副本可以以不同于原始记录的电子文件格式存储，但必须保留必要的元数据和审

计追踪以确保数据的全部含义得到保存，且可以重构其历史。

原始记录和真实副本必须保存记录的完整性。如果有一个文件记录系统来确认并记录副本的完整

性的话，可以将原始记录的真实副本保存在原始记录的地方（例如，纸质记录扫描）0机构应考

虑与原始记录销毁有关的任何风险。

出于审核、备份和归档的目的，应有可能创建电子数据的真实副本，包括相关的元数据。用于证

明副本的准确完整的副本应包括数据的含义（例如，日期格式、背景、布局、电子签名和授权）

和全面的GXP审计追踪。应考虑整个保存期内"真实副本"的动态功能（参见"归档"）。

数据必须以动态形式保存，这对其完整性或其后的确认至关重要。如果不能维护计算机化系统，

例如，不再支持该系统，应在计算机化系统退役前依据有文件记录的归档策略对记录进行归档。

如果可以论证静态记录能保留原始数据的完整性，有些以电子方式生成的数据可以考虑以可接受

的纸质或电子格式保存。但是，必须证明数据保存过程包括了重构指定的原始数据集所需的所有

原始数据、元数据、相关包追踪和结果文件经过验证的副本、每一记录特有的任何可变的软件

/系统配置参数、以及所有数据处理序列（包括方法和审计追踪）,还应要求有文件记录的方法

来核实打印的记录是准确的代表。为确保记录GXP合规，该方法在管理上很可能要求很高。

如果发生人工誉写，应由第二人或经验证的系统进行核对。

6.12.计算机化系统处理：

计算机系统处理是一个单独的操作或作为单个逻辑"工作单元"的一系列操作。直到用户通过特

定的动作提交这个处理（例如，按下保存键），或直到系统强制保存数据时，形成一个处理的操

作才可能作为永久记录存储在持久的存储器中。

只有在用户保存该处理至持久存储器时，元数据（例如，用户名、日期和时间）才会在系统审计

追踪里被捕获。在计算机化系统中，保存记录使之永久保存，可能需要电子签名。

关键步骤是指必须在适当的限度、范围或分布区间内以确保受试叁安全或产品或数据质量的参数。

计算机系统的设计应确保同步记录关键步骤的执行。如果使用了处理系统，应避免将多个单元操

作合并成一个共同处理，数据保存之前的时间间隔应尽量减少。系统设计应要求在促使用户进行

修改之前将数据保存至永久存储器。

机构应在系统开发期间（例如通过用户需求说明URS）定义基于系统功能哪些关键步骤是合适

的，以及相关的风险水平。应记录关键步骤和工艺控制，同时考虑系统设计（预防）以及监测和

审核流程。对活动的监管应警觉工艺设计中未说明的失败情况。

6.13.审计追踪

审计追踪是一种形式的元数据，包含与创建、修改或删除GXP记录有关动作的信息。审计追踪

为生命周期详细情况的记录提供安全保障，如创建、增加、删除或修改纸质或电子记录中的信息

而不隐藏或覆盖原始记录。审计追踪有助于重构与记录有关的事件的历史，无论是何种介质，包

括动作的"何人彳醇何时为何"信息。

如果计算机化系统被用于电子化采集、处理、报告、存储或归档原始数据，系统设计应始终提供

保存审计追踪以显示出对数据的所有修改或删除同时保存之前数据或原始数据。应可以将所有数

据及对该数据做的修改与做这些修改的人相关联，修改应有日期和时间戳（适用时，时间和时区）.

还应记录所有修改的原因。审计追踪里的条目应与允许重构这些过程或活动有关。

审计追踪（必要时采用风险评估来识别）应被开启。用户不应有权限修改或关闭审计追踪。如果

一个系统管理员修改，或者关闭了审计追踪，应保存有一份该动作的记录。

组织机构应考虑审计追踪里所保存的数据的相关性，以执行严格的数据审核/确认。审计追踪审

核不必要包括每个系统活动（例如，用户登录/退出、敲键等）。

如果没有相关的审计追踪功能（例如，在老系统内），可以采用替代的控制来达成目的，如在一

个SOP中规定该过程，使用日志本。应证明替代控制是有效的。

如果目前没有软件插件或合规系统，可以通过书面证据来论证继续使用老系统，证明正在寻求合

规解决方案，而风险缓解措施暂时支持继续使用1

常规的数据审核应包括有文件记录的审计追踪审核，这是由风险评估确定的。在设计审计追踪审

核的系统时,可能仅限于有GXP相关性的系统。审计追踪审核可能是以相关数据的清单的形式，

或者是通过“异常报告"程序。异常报告是一种经过验证的搜索工具，能识别和记录预先定义的

需要数据审核员进一步注意或调查的"异常"数据或动作。

审核员应具备足够的知识和系统权限来审核相关的审计追踪、原始数据和元数据（也参见"数据

管理"）。

如果系统不符合审计追踪和单个用户账号要求，应有经过证明的进展来解决这些缺点。可以是通

过软件插件提供这些额外的功能，也可以通过升级至合规系统。如果未发现整改措施或随后未及

时实施，则可能会作为缺陷。

6.14.电子签名

代表签名人以电子形式（生物识别或非生物识别）的签名。在法律意义上它应等同于签名人的手

书签名。

电子签名的使用应适当受控，同时考虑：

•签名如何追溯到个人

・"签名"动作如何记录在系统中，使其在没有无效该签名或录入状态的情况下无法被修改或

操控

•签名记录与所做的录入如何关联，以及如何确认

•电子签名的安全性，即如何只让签名的“所有者"使用这些签名

建议对与系统相关的签名程序进行适当验证，证明其适用性，以及对所签署的记录维持受控。

如果生成电子签名文件的纸质副本或PDF副本，与电子签名有关的元数据应与相关文件一起保

存。

电子签名的使用应符合国际标准的要求。如果风险评估显示需要使用高级电子签名的身份验证方

法，则应考虑使用这种方法。电子签名或E签名系统必须提供"签名显示"，即在可见记录里

显示出是谁签署的、其职位和日期（如果重要的话还有时间）以及签名的含义（例如，已确认或

已批准）。

在文件中插入一个签名图像或脚注来说明该文件已经过电子签名（如果是采用某个方式录入而不

是经过验证的电子签名程序）是不够的。如果一份文件经过了电子签名，应保存该签名相关的元

数据。

经电子签名文件的打印副本参见真实副本部分。

知情同意书（GCP）相关的电子签名要求在另一份指南中（MHRA/HRA电子知情同意书使用

指南草案）中规定.

6.15.数据审核和批准

审核具体记录内容（如关键数据和元数据），划去数据（纸质记录）以及审核追踪（电子数据）

的方法应符合所有适用的监管要求，并基于风险来确定。

应有一份规程描述数据审核和批准的流程。数据审核还应包括对相关元数据进行基于风险的审核，

包括相关的审计追踪记录。数据审核应经文件记录，记录应包括关于是否发现问题的确定声明、

执行审核的日期以及审核人员的签名。

规程应描述数据审核发现错误或缺漏时应采取的措施。该规程^运用ALCOA原则（参见"数据"

定义），使得数据更正或说明在原始记录中可见，并且更正可追溯。

如果数据审核不同由生成数据的机构执行，数据审核的责任必须经过文件记录并经双方同意。机

构间（委托方和受托方）经常传递数据总结报告。必须承认的是，总结报告是有限的，可能并不

包括关键支持性数据和元数据。

许多软件包允许设置自定义报告。只要经过验证并锁定以防止修改，可将关键动作纳入此类报告

中。自动化报告工具和报告可能会减少确保数据可靠性所需的检查。

如果由不同机构提供总结报告，在使用信息之前，接收和使用数据的机构应评估数据提供者的数

据可靠性控制和程序。

•常规数据审核应考虑单个数据集的完整性，例如，是否是作为该活动的一部分生成的唯一数

据？数据的生成和维护是否正确?是否有迹象表明未经授权的修改？

・对所生成数据的定期审计（包括电子生成数据的审核和更宽范围的机构审核）可能会确认现

有控制措施的有效性，并考虑所有接口未经授权活动的可能性，例如，是否有在审核之后修

改任何数据的n需求？是否有任何系统维护活动，是否评估了活动的影响？

6.16.计算机化系统用户访问权限/系统管理员角色

访问控制应全面应用，以确保用户仅能访问其岗位角色适用的功能，并且此类动作能追溯至具体

个人。公司必须能够证明给予单个员工的访问权限水平是如何的，并且确保可以获得关于用户权

限水平的历史信息。如果系统不能采集此数据，则必须在系统以外维护一份记录。操作系统和应

用程序水平都应施用访问控制。如果已有适当的控制来确保数据可靠性（例如，不进入应用程序

就不可能修改、删除或创建数据），个人登录操作系统可以不需要受控.

对于产生、修改或存储GXP数据的系统，不应使用共用的登录账号或通用的用户访问。如果计

算机化系统的设计支持个人用户访问，则必须使用此功能。这可能会要求购买额外的许可。某些

系统（如MRP系统）并不完全用于GXP用途，但其中确实有一些GXP要素，例如适用于GXP

的已批准供应商、库存状态、位置和交易历史，需进行适当的评估和控制。

需承认的是有些计算机化系统仅支持单一用户登录或有限数量用户登录。如果没有适用的替代计

算机化系统，可由第三方软件提供等同控制或纸质方法提供可追溯性（版本控制）。替代系统的

适用性应经过论证并有文件记录。混合系统有可能需要增加数据审核，因为它们在不可追溯的数

据修改方面易受攻击。建议公司应施用符合当前法规2。要求的系统。

系统管理员访问权限应在考虑机构规模和性质的基础上授予尽可能少的人员。常规使用不应用到

通用系统管理员账号。拥有系统管理员权限的人员应使用唯一凭证进行登录，以便审计追踪中所

有动作可追溯至具体个人。这样做的目的是防止将访问权限授予给可能有利益冲突的人员，使得

他们可以进行未经授权的修改而无法追踪至该人员。

系统管理员权力（允许数据删除、数据库修改或系统参数设置修改之类的活动）不应授予对数据

（数据生成、数据审核或批准）有直接利益的人员。

个人可能需要对其访问权限进行修改取决于睡逐数据状态。例如，一旦数据管理流程完成，

通过删除编辑权限进行数据"锁定"。此功能应能在系统内得到证明。

6.17.数据保存

数据保存可能是为了归档为了长期存储而受保护的数据读备似为了灾难恢复而保存的数据X

数据和文件保存安排应确保记录不被有意或无意修改和丢失。必须有安全控制以确保记录在保存

期内的数据可靠性，适当时应进行验证（也请参见数据转移/迁移）。

以纸质方式生成的数据（或真实副本）可以使用经过验证的扫描程序来保存，前提是有经文件记

录程序确保结果是真实副本。

数据销毁规程应考虑数据的关键程度以及（适用时）法定保存要求。

6.17.1.归档

出于对流程或活动确认的目的而长期保存数据和元数据时所指定的安全区域或设施例如柜子、

房间、建筑或计算机化系统）.

归档记录可能是原始记录或“真实副本"，应保护其不会在不被发现的情况下被修改或删除，保

护其不受意外损坏如火灾或虫害。

归档安排设计必须能在所需的整个保存期内恢复数据和元数据并保持其可读性。如果归档的是电

子数据，此流程应经过验证，如果是老系统，其审核数据的能力应定期确认（即确认持续支持旧

的计算机化系统）.如果存储的是混合记录，必须维护物理和电子记录之间的引用，以便有可能

在整个保存期内对事件进行全面确认。

如果不再支持老系统，应考虑为了数据可访问而保留该软件（尽可能长的时限，取决于具体的保

存要求）。这可以通过在虚拟环境中保留软件来做到。

随着旧数据年限的增加，可能有必要迁移成替代文件格式尽可能多的保留数据的“真实副本"属

性。如果从技术上不太可能迁移所有的原始数据功能，应基于风险和数据随着时间的重要性来评

估备择选项。选择迁移文件格式时应考虑长期可访问性与减少动态数据功能的可能性之间的风险

平衡（例如，数据讯问、趋势分析、重新处理等）。已认识到维护可访问性可能需要迁移成一种

丢失某些属性和/或动态数据功能的文件格式（也请参见"数据迁移"）.

6.17.2.备份

一份为恢复（包括灾难恢复）而维护的当前（可编辑）数据、元数据和系统参数设置的副本。

备份和恢复流程应经过验证并定期测试。每个备份均应经确认以保证其正确运行，例如，确认转

移的数据量与原始记录相符。

应记录数据所有者的备份策略。

以恢复为目的的备份并不能取代以流程或活动确认为目的的以其最终形式长期保存数据和元数

据的需求。

6.18.文件结构

数据可靠性风险评估需要清楚了解文件结构。GXP环境中数据构成方式取决于数据用途，终端

用户可能通过可用的软件/计算机化系统来确定。

有许多类型的文件结构，最常见的是平面文件和相关的数据库。

由于属性而不同的文件结构可能会需要不同的控制和数据审核方法,可能会以不同方式保存元数

据。

6.19.验证-为了预期用途（也请参见附录为和15）

计算机化系统应符合法规及相关的指南要求。应验证其符合预期用途，这就需要了解流程内计算

机化系统的功能。出于这个原因，采纳供应商提供的独立于系统配置和用户预期用途以外的验证

数据是不被接受的。脱离了预期流程或终端用户n•基础架构，供应商测试很可能会仅局限于功

能确认，可能无法满足性能确认的要求。

功能确认证明所需的信息得到完整一致的呈现。预期用途的验证确保生成自定义报告的步骤准确

反映数据检查空中所述的内容，并且报告输出与执行后续审核的程序步骤一致。

6.20.IT供应商和服务提供商（包括云提供商和虚拟服务/平台（也请参见软件即服务（SaaS）/

平台即服务（PAAS）/基5出设施即服务（IAAS））

如果使用了"云"或"虚拟"服务，应注意了解所提供的服务以及数据的所有者、检索、保存

和安全。

应考虑数据存放的物理位置，包括该地理位置所有适用法律的影响。

委托方和受任方的职责应在技术协议或合同里定义。应确保在数据所有者和国家监管机构需要时

可及时访问数据（包括元数据和审核追踪）。与提供商的合同应定义整个保存期内数据归档和持

续可读性的责任（参见归档）.

应有适当的安排可将软件/系统按原始经验证的状态进行恢复，包括验证和变更控制信息,以允

许其恢复。

合同中应包括业务持续性安排，并进行测试。应基于风