参考前文(专栏链接(
专栏链接))
速读8重点
接下来18-24条一共多达7条建议修订项都是audit trail的,由此可见EMA官方对于审计追踪的重视,所以大侠也会分为上下两期,为大家进行分享:
EMA Annex 11 Revision 概念性文件中对 Audit trail的七条要求
同时大家也可以先阅读上一课《元数据(元数据)》,了解审计追踪作为元数据(Metadata)典型之一的相关管理要求;
元数据)》,了解审计追踪作为元数据(Metadata)典型之一的相关管理要求;18. [修订原有章节9]自动记录GMP关键系统上的所有手动操作的审计追踪功能应被视为强制性的,如果系统内用户,数据或设置可以手动更改 – 而这意味着审计追踪功能不再是仅仅“基于风险评估考虑”。因为在没有审计追踪功能的情况下,在此类系统中控制流程或获取、保存或转移电子数据的风险是不可控的;(对于审计追踪功能)任何宽限期早已到期。
大侠解读: 关于审计追踪的第一条,EMA就给出了重磅意见:
基于数据生命周期 - 权限控制和审计追踪一前一后控制系统,数据和参数被篡改的风险
19. [修订原有章节9] 审计跟踪应该明确识别做出更改的用户,它应该完整说明更改的内容,即新值和所有旧值都应该清晰可见,应包括进行更改时的完整时间和日期,对于所有其他更改,除了在空字段中输入值或完全明显的情况外,应提示用户进行更改的原因或理由。
大侠解读:第19条诠释了一个符合要求的GMP audit trail function 设计【Content design】
5W1h方法 - 审计追踪的目的是帮助不在现场的GMP记录审核者“reconstruct重建”GMP现场真实发生过的业务细节。
20. [9]对于在系统上工作的普通用户或特权用户,不应编辑审计追踪数据或停用审计追踪功能。如果这些功能可用,则应仅由不应参与GMP生产或系统日常工作的系统管理员使用(参见“职责分离”)。
大侠解读:第20条审计追踪修订意见相对明确,都是关于系统的安全设置【Security Management】的:
权限设计的“三大原则”-审计追踪功能设计与系统权限控制功能设计密切相关
未完待续
