6.3.5.1 上线后运行
背景介绍
本节对计算化系统上线后开始正常运行和使用阶段进行阐述。运行阶段是最长的阶段,旨在确保系统始终处于已验证状态并能持续满足业务需求。
运行阶段包括针对日常管理(包括但不限于账户管理、数据管理等活动),各个软硬件系统运行维护活动,以及这个阶段中需要进行的可能事件/偏差/变更/阶段性回顾/安全性事件处置等活动。如计算机化系统的维护管理涉及供应商,应对供应商进行评估或审计,从而确保系统始终处于受控状态;系统服务器所在的机房设施和设备也应定期维护,包括机房环境检查、机房空调系统定期维护、安全补丁的更新等;系统的安全,例如接口存在安全漏洞等,同样需要关注。健全计算机化系统安全管理制度、安全运行制度,设立和完善安全管理组织结构,定期对用户进行安全培训,并可以在供应商提供的运维服务范围内与其展开合作等。
本节内容主要针对系统维护、变更管理、定期审查等运行阶段需要交付的内容展开描述,同时也对这个过程中涉及的备份和恢复进行描述。
A. 系统维护
在运行阶段,将根据批准的程序对系统进行监控,并根据需要进行变更,以符合不断变化的业务和法规要求。
系统维护通常通过程序/规程来进行。一些程序可以合并为一个程序文件,如用户管理可合并在系统管理程序中;也可将多个系统的要求合并为一个程序文件,例如一份公司层面的用户管理程序适用于所有计算机化系统的用户管理。
通常的系统维护程序(如适用),包括但不限于以下内容。
•定期审查:通过定期审查活动,也是周期性评估的一种方式,为可能需要的再确认、再验证活动提供依据和基础。
•系统操作:详细描述系统的操作步骤,为有权限的最终用户使用系统进行指导。
•系统管理:详细描述系统管理员可执行的操作过程,也可将一些系统管理的要求,如用户管理(包括密码管理、电子签名管理等)、时间和时区管理、系统备份、审计跟踪管理以及问题汇报等合并在此程序中。
• 系统性能监控和警报:描述系统性能监测的方法和频率,警报的解除要求和调查过程。监控活动的需求和监控的范围应根据系统对于患者安全、产品质量与数据可靠性的风险大小来制定。
• 问题/事件报告:描述系统发生问题时的汇报、调查、解决和记录的流程,以及系统问题的分级原则。按照公司偏差要求,如果系统事件满足了开启偏差的条件,应开启偏差。此程序一般具有通用性,可适用于公司的所有系统。
• 备份和恢复:
• 灾难恢复计划(DRP):灾难恢复计划应包含系统及支持系统运行所需要的所有基础架构的恢复流程,该计划应经过验证;
•业务连续性计划(BCP):业务连续性计划应提供系统故障期间可用的替代规程或流程,以替换缺失的系统功能,并保持业务的持续性。业务连续性计划所要求的相应替代流程应以文件形式存在,并应对相关人员进行培训。
•用户管理:描述用户管理的流程,包括用户的创建、权限修改、禁用、用户变更管理等。用户在系统中的权限应与实际工作中的权限一致。
B. 变更管理
• 变更管理适用于计算机化系统的硬件、软件、相关系统文档以及系统内的记录/数据。此程序一般具有通用性,可适用于公司的所有系统。IT基础架构的变更可以参考本章节基础架构描述中变更部分的内容。
• 计算机化系统变更管理中需要根据变更内容和受影响的系统,考虑是否对于原先的验证范围(比如功能增减、适用范围变化等)有影响,来评估是否需要进行再验证,以及再验证需要进行的范围;一般在没有功能性变化的情况下,可以考虑不进行再验证行动,而是通过评估方式进行呈现。
• 应制定变更管理程序,对变更进行评估和管理,以确保所有影响产品质量的变更被评估、审核、批准和实施,变更过程应有文件记录。
• 应评估变更对于产品质量、患者安全及法规符合性的影响。可依据变更影响的大小制定不同的管理策略。
