前文参考EU GMP Annex 11升版 2022.11概念性文件 :
速读(四):第9,10,11,12条【计算机化系统验证,敏捷开发合规(
计算机化系统验证,敏捷开发合规)】
计算机化系统验证,敏捷开发合规)】速读(三):第6,7,8条【云服务,CSV供应商评估与管理(云服务,CSV供应商评估与管理)】
云服务,CSV供应商评估与管理)】速读(二):第3,4,5条【人为干预数据,Pharm4.0, CSV的原则和本质(人为干预数据,Pharm4.0, CSV的原则和本质)】;
人为干预数据,Pharm4.0, CSV的原则和本质)】;速读(一):前言,第1,2条【升版目的、备份还原等数据有效性(升版目的、备份还原等数据有效性)】;
升版目的、备份还原等数据有效性)】;13. [修订原章节6]指南应该包括对于重要数据和重要系统的分类
大侠解读:对于GxP数据和系统的重要性的评估,具体可参考专栏前文《PIC/S最新数据可靠性现场检查指南解读(PIC/S最新数据可靠性现场检查指南解读)》,简单来说
PIC/S最新数据可靠性现场检查指南解读)》,简单来说A. 业务层面上数据越接近产品放行,系统用于产品风险本身越高,对于质量风险管理越重要
B. 技术层面上数据或系统自动化信息化层面越低,存在人为干预可能性越大,则对于质量风险管理越重要
14. [修订原章节7.1]系统,网络和IT基础设施需要保护好GMP业务及数据的完整性。保护措施包括不限于物理上和技术上的方式,目标是保护数据被有意识或者无意识的修改。
大侠解读:这个要求可以分为2大部分理解
A. 通过物理上和技术上的方式,基于系统、网络及IT基础架构来保护GMP的业务流程和数据安全,这可以统称为企业信息安全架构 Enterprise information security architecture(EISA)
参考大侠前文《Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7(Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7)》,EISA是一种全面和系统的行业良好实践;用来指导一个组织的信息安全流程,信息安全系统,相关人员以及组织下属关联单位,以确保它们能有机地结合起来,按照组织既定的目标和章程运行。EISA通常包括以下几大概念:
Cybersecurity:信息安全 - 《大侠科普Pharm 4.0》系列7)》,EISA是一种全面和系统的行业良好实践;用来指导一个组织的信息安全流程,信息安全系统,相关人员以及组织下属关联单位,以确保它们能有机地结合起来,按照组织既定的目标和章程运行。EISA通常包括以下几大概念:B. 防止有意识或者无意识的数据篡改 :Human Factor - “再安全的系统、再妥善的流程也难以根治人员犯错”
为了避免human factor影响到数据可靠性,从体系管理上考虑-双管齐下:不仅有基于人的-Organization组织管理措施;同时也有基于系统功能的- technical 技术控制措施;对于计算机化系统的数据可靠性管理,完全相信用户的自觉(比如给低等级用户赋予不必要的数据删除或修改敏感权限),或完全依赖系统的功能(比如为了防止账号被盗用,要求系统内每一步操作都输入电子签名),都是未能理解与运用“系统控制措施与质量风险管理相称”的原则
【From PIC/S Good Practices For Data Management And Integrity In Regulated GMP/GDP Environments 20210701】
补充:数据治理Data Governance
上面两个法规条款无论是数据分类,还是数据保护都涉及到一个概念 - 数据治理 Data Governance:
1.通过在企业中建立数据治理体系,来向PIC/S检查员证明其所检查记录与数据的数据可靠性【ALCOA+:Attribute可追溯到人,Legible清晰可见,Contemporaneous 同步记录,Original原始, Accurate准确;Complete完整的, Consistent 一致的, Available 可用的, Enduring持久的】
FDA Data Integrity 原则,引用自https://iternity.com/en/ensuring-data-integrity-in-the-long-term
2.通过在企业中建立数据治理体系,来向PIC/S检查员证伪其所检查记录与数据的真实性,而非被人为有意识篡改或者无意识的修改:
ISPE Guideline Record & Data Integrity – human factor 参考链接
未完待续
