阿斯利康公司电子监管码系统风险评估

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

电子监管码项目

风险分析RA

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

授权者签名

您的签名表明这份文件准备进行<电子监管码系统>验证的必要，以确认系统符合现行项目标准、满足项目任务和可交付性要求。

经授权：

姓名，职称签名日期单位

审查员签名：

您的签名表明您已经审阅了这份文件，确认对<电子监管码系统>验证的必要，并且它能准确及完全的反映任务和可交付使用性。

经审阅：

姓名，职称签名日期单位

姓名，职称签名日期单位

姓名，职称签名日期单位

质检/批准签名

您的签名表明这份文件符合〈验证总计划，企业标准或政策〉，并且在此包含的文件和信息，符合可应用的、可调整的、共同的以及部门所有的／部门的要求和现行的GMP标准。

经核准：

姓名，职称签名日期单位

姓名，职称签名日期单位

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

修订历史纪录

修订本修订日期修订/更改要求的原因修订人

0 2010/12/21 初版刘文欣

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

目录

1.绪论 (5)

1.1目的 (5)

1.2政策与规定 (5)

1.3风险评估范围与边界 (5)

1.3.1评估范围 (5)

1.3.2评估范围外 (5)

1.4目标 (6)

1.4.1企业经营目标 (6)

1.4.2项目合格性目标 (6)

1.4.3资产安全性目标 (6)

1.4.4企业其他目标 (6)

1.5角色和责任 (6)

2.电子监管码项目风险评估方法 (8)

2.1风险评估过程 (8)

2.2风险评估相关定义 (8)

2.2.1资产价值（机密性、完整性和可用性） (8)

2.2.2弱点（脆弱性） (9)

2.2.3威胁的可能性 Likelihood (9)

2.2.4威胁的严重性 Impact (9)

2.2.5风险值计算 (9)

2.2.6电子监管码项目评估资产分类 (9)

2.2.7风险处置措施 (10)

3.风险评估矩阵 (10)

Appendix A (10)

Appendix B (13)

(Reminder of Page Intentionally Left Blank)

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

1. 绪论

1.1 目的

这份文件，也称风险分析RA，略述〈电子监管码系统〉的风险识别、风险分析及对策方法。

1.2 政策与规定

风险评估将会遵守阿斯利康公司相关政策，公司标准和公司指导方针，和国家GMP、现行GAMP中关于信息系统的统一要求。

1.3 风险评估范围与边界

这份为〈电子监管码系统〉的风险评估RA仅限于药品包材生产线的电子监管系统范围内的软硬件系统。该风险评估结果将会被作为项目执行、方案变更及相关项目活动的重要依据。

1.3.1 评估范围

（电子监管码系统）验证的范围包括以下所有的系统运作所必需的内容。（明确界限）

1.包材生产线控制系统的硬件和软件

2.工艺流程

3.相关的服务器及网络设备

4.仓库区域相关的硬件和软件

5.通用系统

6.设施

7.人员组织

8.企业业务流程

9.其他需要的情况

1.3.2 评估范围外

（电子监管码系统）风险评估的范围不包括：

1.工艺方案变更（如果有）

2.WMS系统接口方案评估

3.其他情况

公司/部门:

阿斯利康制药有限公司版本:

Rev1.0

有效期:

2011-12-31

标题:

电子监管码系统风险分析RA

1.4 目标

1.4.1 企业经营目标

通过风险评估活动，达成本次企业电子监管码项目与药监监管规定一致的目标。并在本项目基础上，完善企业生产流程、出入库流程、分销流程，让企业能更高效、更安全的进行各种企业运营活动。

1.4.2 项目合格性目标

通过风险评估活动，达成项目方案的实际可行性，降低各种不利因素发生概率，最终达成项目成功交付。

1.4.3 资产安全性目标

通过风险评估活动，保障企业现有设备、人员、资产的安全性，以及新增资产后期运用中的各项安全性。

1.4.4 企业其他目标

通过风险评估活动，保证满足企业现有各种相关规章制度的执行。

1.5 角色和责任

与〈电子监管码系统〉评估相关的活动项目由以下个人和部门负责，确定个人的任务和责任至少应包括以下几点，总体根据岗位不同描述每项任务和责任：

1.管理层/企业高层：负责风险评估管理和计划；风险评估活动、资源、成本的控制；过程监控；推动风险评估活动的正常进行。

2.业务部门/QA部门：负责业务方面中的风险识别、风险评估、风险对策等活动。

3.人力资源部门：负责风险评估活动中的人力资源方面的风险识别、风险评估、风险对策等活动。

4.IT部门：负责风险评估活动中的IT资产方面的风险识别、风险评估、风险对策等活动。

5.设备部门/工程部门：负责风险评估活动中的设备方面的风险识别、风险评估、风险对策等活动。

6.供应商：负责风险评估活动各项活动的组织及执行。

3.GxP关键评估

详述和<电子监管码系统>有关的 GxP关键评估信息。

该部分可能参引相关的其他信息来源，例如系统配置清单。

3.1GxP 关键评估–要求

定义因GXP相关规定，而需要在（电子监管码系统）中使用的关键性要求，包括直接影响，间接影响和无影响系统。

直接影响：系统或系统中的一个组成，对产品质量有直接影响的操作，接触，控制，预警或失败。

间接影响：系统或系统中的一个组成，对产品质量无直接影响的操作，接触，控制，预警或失败。间接影响系统支撑直接影响系统，因此间接影响系统会对直接影响系统的执行和运作构成影响。

无影响：系统或系统的一个组成，对产品质量不构成直接或间接影响的操作，接触，控制，预警或失败。无影响系统不能支持直接影响系统。