GMP工作电脑如何实现权限控制和审计追踪

合集下载

制药企业计算机化系统的权限管理

制药企业计算机化系统的权限管理访问权限管理是计算机化系统管理的一个基本管理要求。

其必要性，就跟房间需要加锁（指纹锁），禁区出入需要通行证一样。

它的基本目的就是为了保护某些东西（数据权限管理，比如信息的保密）或者限制某些东西（功能权限管理，比如限制某些系统操作）。

中国GMP：附录计算机化系统：“第五条计算机化系统生命周期中所涉及的各种活动，如验证、使用、维护、管理等，需要各相关的职能部门人员之间的紧密合作。

应当明确所有使用和管理计算机化系统人员的职责和权限，并接受相应的使用和管理培训。

”欧盟GMP：附录11计算机化系统“Thereshould be close cooperation between allrelevant personnel such as Process Owner, System Owner, Qualified Persons andIT. All personnel should have appropriate qualifications, level of accessand defined responsibilities to carry out their assigned duties.相关人员如业务负责人，系统负责人，质量授权人和IT应该紧密合作。

所有人员应该有合适的资质，适当的权限和适当的确定好的职责以行使他们各自的责任。

”法规的要求往往很概括，让人不明就里。

看得懂，却不知怎么做。

原因就在于做GMP的人往往以“药学”知识为主，反而忽视了其它领域的专业。

从GMP法规的要求看权限管理有三个基本要素：1. 恰当的职责（与岗位职责匹配）2. 具有资质（具有操作资格）3. 合适的权限（跟职责匹配的访问权限水平）围绕这三个要素，企业需要做很多基础工作，来保证这三个要素的实现。

好的权限管理，公司需要有相应的管理系统来支持。

1. 职责1.1.系统能区分履行职责的人，通常使用个人账号，企业最好为每个人确定一个唯一的账号，这个账号代表了员工在公司的身份。

制药行业计算机化系统的权限控制

药品生命周期内的计算机化系统的权限控制计算机化系统的权限控制，旨在通过计算机化系统软件来控制人员登入登出系统、关键系统操作、参数修改及用户管理等。

来保证关键工艺、检测操作及电子数据管理处于受控状态，防止非授权的操作带来的不可追溯的药品质量风险。

近几年出现多起大型药品相关企业（以下简称GxP企业）因权限控制缺陷收到FDA（美国食品药品监督管理总局）警告信的事件，权限控制逐渐引起制药行业内重视。

1.法规指南1.1CFDA 2010版GMP附录10《计算机化系统》第十四条指出“只有经许可的人员才能进入和使用系统。

企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。

应当就进入和使用系统制订授权、取消以及授权变更的操作规程。

”1.2CFDA 《数据管理规范》（征求意见稿）“经授权许可人员才可以进行数据存储或处理及进入档案室等区域。

用户名仅释放给有业务需要且经授权批准的员工。

用户通过其唯一的用户名和密码登录进入系统。

”1.3FDA 21CFR part 11《电子记录和电子签名》11.10（g）部分指出“使用权限检查以确保只有被授权的用户才能：1）使用系统；2）以电子方式签名；3）使用操作功能或计算机系统的输入输出设备；4）变更电子记录；5）其他操作。

”1.4WHO数据完整性指南《良好的数据和记录规范》4.12部分指出“限制自动化系统的用户访问权限以避免（或审计追踪）数据修改。

”2.权限的生命周期ISPE GAMP5《良好自动化生产实践指南》对计算机化系统生命周期分为四个阶段：概念阶段、项目阶段、运行阶段和退役阶段。

权限控制作为计算机化系统的一个软件模块，其应遵守计算机化系统的生命周期原则进行控制。

如下图：3.权限的需求3.1作为GxP企业，对于权限的需求往往被忽视，企业大多在系统的URS 里面描述“系统需要具备三级权限”或者描述“系统具备权限管理”，这样的需求使系统供应商无法确定企业的实际需求而进行权限模块的设计，造成系统实际设计的权限与企业要求的权限相差甚远，如供应商的权限控制模块里面的用户管理，三级权限全部具备，这种设计是不符合现行规范要求的。

GMP法规附录《计算机化系统》那些事儿-Waters

GMP 法规附录法规附录《《计算机化系统计算机化系统》》那些事儿2015年5月26日，CFDA 正式发布了2010版GMP 法规的新附录之一《计算机化系统》，引起了国内制药行业的广泛讨论和高度关注。

其实许多制药企业对它的内容并不陌生，因为这则法规于2013年作为征求意见稿已经添加到新版GMP 法规附录中。

而现在，它将作为正式的法规于2015年12月1日起执行。

这则法规附录将给国内制药企业带来什么新的挑战？从近两年来CFDA 的一系列举措（频繁的飞行检查，2014年至今已取消近100家药企的GMP 证书）来看，国内GMP 的监管力度是显著增强的。

所以届时如果企业不能满足《计算机化系统》法规的要求，将可能面临十分严重的后果。

CFDA 为何要发布这则法规为何要发布这则法规？？国内外GMP 法规有许多差异，而对计算机化系统的要求差异尤为明显。

CFDA 所执行的2010版GMP 法规内容与国际上其他法规机构的cGMP 法规是对等的，如FDA 21 CFR Part 211。

但美国的制药企业除了执行 21 CFR Part 211以外，同时还要遵守21 CFR Part 11法规；欧盟国家的制药企业除了执行欧盟GMP 以外，还要遵循Annex 11法规。

FDA 的21 CFR Part 11与欧盟的Annex 11的内容是类似的，都是针对于制药企业使用计算机化系统的法规要求。

新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要一步，将填补国内对于计算机化系统要求的法规空白，是实现与国际法规监管机构之间相互认可的前提条件之一。

法规到底讲了些什么法规到底讲了些什么？？《计算机化系统》法规附录究竟讲了哪些内容？其实，我们发现内容并不多，全文共24条要求、6页，共计2500字。

我们尝试对这些法规条文作了初步的解读，把所理解的核心内容概括如下：1.CFDA 明确提出进行计算机化系统验证的要求以往，法规对于仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。

GMP计算机化系统审计追踪审核探讨

GMP计算机化系统审计追踪审核探讨作者：路佳特来源：《上海医药》2019年第15期摘要数据可靠性是近年来世界各国药品监管机构的检查重点，也是发现缺陷项比较多的领域。

数据可靠性中比较关键的功能或检查点是审计追踪，本文从欧美法律法规出发，对计算机化系统和关键数据进行分类，基于风险评估和统计学角度，明确审计追踪审核的方法。

审计追踪记录的信息很多，应该把有限的资源花在重要和风险高的信息上，保证审核的可操作性和科学性。

关键词药品生产质量管理规范计算机化系统数据可靠性审计追踪中图分类号：R951 文献标志码：C 文章编号：1006-1533（2019）15-0068-04Discussion of auditing trail of GMP computerized systemLU Jiate[Merck Pharmaceutical Manufacturing （Jiangsu） Co.， Ltd.， Jiangsu Nantong 226010，China]ABSTRACT Data integrity has been the focus of drug regulatory agencies around the world in recent years， and is also the field where there are more defects. The key function or check point in data reliability is audit trail. The computerized systems and key data were classified based on European and American laws and regulations and meanwhile the method of audit trail review was defined based on risk assessment and statistics. Audit tracking records have a lot of information， we should spend limited resource on important and high-risk information so as to ensure the operability and scientific nature of audit trail review.KEy WORDS GMP； computerized systems； data integrity； audit trail数据可靠性越来越多地被各个国家药品管理机构提及和检查，审计追踪是检查过程中的重点，审计追踪的执行情况也直接反应药厂数据可靠性的管理水平。

计算机系统操作权限审批操作规程

目的: 建立计算机系统操作权限审批操作规程，发挥计算机系统控制所有质量过程的作用，实现药品质量可追溯。

范围：适用于本公司计算机系统各操作岗位的权限审批。

责任：质量管理部、质量负责人负责本规程的实施。

规程内容：
1、质量管理部是本公司计算机系统质量控制功能设计和系统操作权限审核的唯一部门，质量副总负责监督质量管理部的权限分配，基础数据的建立和更新，以及日常跟踪检查工作。

2、质量管理部根据公司不同岗位、职责设定计算机功能站点，作出统一的布局和分配。

质量管理、采购、收货、验收、储存、养护、出库复核、销售等岗位配备的终端设备必须专用，不得混用。

当岗位人员发生变动时，质量管理部应予重新确认。

3、系统管理员根据岗位操作人员的工作职责，向质量管理部提出申请，建立相对应的功能授权和数据授权，质管部审核批准后，系统管理员给予相应的账号和密码。

4、各岗位操作人员只能通过输入用户名、密码等身份确认方式登录系统，并在权限范围内录入或查询数据，不得越权，使用他人账号和密码进行操作。

5、系统对各岗位操作人员姓名的记录，根据专有用户名及密码自动生成，不得采用手工编辑，菜单选择等方式录入。

6、系统操作，数据记录的日期和时间由系统自动生成，不得采用手工编辑，菜单选择等方式录入。

7、岗位操作人员只能按规定的权限查询、使用质量管理基础数据，无权修改任何内容。

8、质管部对各岗位操作权限实行跟踪检查，发现有违反审批规定的，应及时向司总经理报告，并作出严肃处理，以确保计算机系统运行正常，数据安全。

gmp审计追踪的要求

gmp审计追踪的要求
GMP（Good Manufacturing Practice，良好生产规范）是保障药品和食品生产质量的一种国际标准。

GMP审计追踪是指对GMP实施情况进行监督和评估，并记录和跟踪发现的问题及其解决情况的过程。

下面是GMP审计追踪的要求：
1. 审计计划：制定详细的审计计划，包括审计范围、审计时间和地点，确保审计工作能够全面覆盖GMP要求涉及的各个方面。

2. 审计目标：明确审计的目标和目的，例如检查制造过程中是否存在潜在的风险，评估公司对GMP要求的理解和实施情况等。

3. 审计人员：选择合适的审计人员，确保他们具备足够的专业知识和经验来执行审计任务。

同时，审计人员应独立、客观、公正地履行职责。

4. 信息收集：通过文件审阅、访谈员工、现场检查等方式，收集与GMP要求相关的信息，包括记录，文件，程序和工艺等。

5. 问题识别：根据收集的信息，识别潜在的问题和违规情况。

每个问题应该具备明确的描述，以便后续的跟踪和解决。

6. 问题解决：针对发现的问题，制定并实施相应的纠正和改进措施。

确保问题得到及时解决，并记录所有纠正措施的执行情况。

7. 跟踪与追踪：对已解决的问题进行跟踪，确保纠正措施的有效性和持续性。

记录问题的解决情况，包括实施日期、责任人和结果等。

8. 审计报告：编制详尽的审计报告，汇总审计过程中的发现和解决情况，提出改进建议，并指导管理层改进GMP实施和监督的过程。

总之，GMP审计追踪要求对药品和食品生产企业的GMP实施情况进行全面的评估和监督，通过及时发现问题并采取纠正措施，确保产品质量和安全性符合国际标准。

计算机化系统权限标准管理规程

XXXXX制药有限公司1 目的描述公司在药品生产质量管理过程中，与GMP相关的计算机和自动化系统的规范化安全管理程序，建立适当的安全措施，保持其处于掌控状态，确保其运行稳定，数据准确、真实、可靠。

2 范围适用于公司所有GMP计算机和自动化系统的管理，此类系统用于或为GMP 法规环境提供支持。

3 责任人工程设备保障部、信息技术部, 操作系统和应用程序的安全管理（用户管理及权限分配）。

4 系统权限标准管理规程计算机系统物理及逻辑通道的安全程序，保证使未授权的或漫不经心的操作得到控制。

安全程序涉及如下范畴。

硬件安全性、系统软件、应用软件安全性。

4.1 物理与环境安全4.1.1 实行门禁卡进行管理，存放关键设备、仪器的功能间，只有被授权的人员才可以进入。

门禁卡权限的分配与收回由使用部门领导进行授权,并报总经理签字审批。

4.1.2 系统部件设备需要存放在安全的区域，采取必要措施避免水，汽，油，化学制剂的损坏。

4.1.3 重要的系统应配备UPS不间断电源和稳压电源以保证计算机系统失电时的数据安全。

4.2 操作系统安全4.2.1 操作系统账户权限为两级账户管理，为管理员账户和标准用户。

4.2.2操作系统账户的设置与分配由质量部负责人授权，信息主管负责具体实施;除系统管理员外，所有操作人员均应设置为标准账户。

4.2.3个人标准账户：每个用户设置独立系统账号（计算机登陆账号），并经质量部负责人授权。

4.3计算机化设备应用程序安全4.3.1 GMP应用程序通常应具有逻辑访问控制的能力，只限于被授予权限的用户使用。

访问应用程序是典型的通过控制被授权的用户名和密码来控制的，4.3.2当系统的运行参数可能被修改、贮存，并可以调用执行，系统设为三个用户级别，分别用于系统管理、部门管理人员，操作人员。

不同系统权限设置可能会有所不同，可以参考以下。

用的账户可以被使用，但打印的纸质记录必须由实际的操作者签名。

4.3.4 当系统提供不只两级权限的用户组时，用户权限的分配可根据软件的功能和需要进行分配。

GMP计算机系统管理规程

GMP计算机系统管理规程1.目的：本规程的目的是描述我公司在药品生产质量管理过程中，与GMP相关的计算机和自动化系统的规范化管理程序，建立适当的安全措施，保持其处于掌控状态，确保其运行稳定，数据准确、真实、可靠。

2.范围：本操作规程适用于公司所有GMP计算机和自动化系统的管理，此类系统用于或为GMP法规环境提供支持。

3.职责4.术语和定义计算机化系统：由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系。

数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。

数据完整性：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。

5.程序5.1 计算机化系统管理原则5.1.1 风险管理应当贯穿计算机化系统的生命周期全过程，充分考虑系统安全、数据完整性和产品质量。

作为质量风险管理的一部分，应当根据风险评估结果来确定计算机化系统的验证和数据完整性控制程度。

5.1.2 应结合计算机化系统供应商的管理，制定每一个计算机化系统的操作规程。

供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），应当与供应商签订正式协议，明确双方责任，并基于风险评估的结果来开展供应商质量体系审计。

5.2计算机化系统分类5.2.1类别1：嵌入式计算机系统。

系统特点：没有用户界面，产生原始数据及测试结果但不存储及处理；软件程序固化在系统的内部存储器中；可以输入并储存运行参数，但不能对软件进行修改和配置。

包括：a. 现场安装的智能化传感器、显示仪（嵌入式计算机）温度、压力、流量、风速、转速、pH、电导率等。

b. 现场安装的智能化仪表自动控制系统（嵌入式计算机），温控仪、压力控制器、带调节信号、报警信号的智能仪表等。

c. 电子衡器、数显式检验检测仪器、测试工具、离线仪表等。

5.2.2类别2：工业过程控制类计算机。

GMP计算机化系统管理规程

GMP计算机化系统管理规程GMP是指药品生产质量管理规范（Good Manufacturing Practice），是指在药品生产过程中，制定和执行一系列管理要求和规范的一套药品生产质量管理系统。

GMP的目标是通过系统化的管理和控制，确保药品的质量和安全性。

为了达成这个目标，GMP要求药品生产企业建立并持续改进其计算机化系统管理。

计算机化系统管理规程是指在药品生产中，计算机化系统的规范和管理要求。

计算机化系统包括生产工艺控制系统、质量控制系统、实验室信息管理系统等。

以下是对GMP计算机化系统管理规程的一些建议和指导。

第一，确保计算机化系统符合法规要求。

每个国家和地区的法规对于药品生产的计算机化系统都有一定的规定和要求。

药品生产企业应该了解并遵守这些法规要求，确保计算机化系统的合法合规。

第二，制定和执行适当的技术规范和操作规程。

计算机化系统管理需要依靠技术规范和操作规程来指导和标准化操作。

药品生产企业应该制定适当的技术规范和操作规程，明确计算机化系统的管理要求，包括硬件设备选型、软件开发和验证、系统安全与备份等方面。

第三，确保计算机化系统的稳定和可靠性。

计算机化系统在药品生产中扮演着关键角色，必须确保其稳定和可靠性。

药品生产企业应该建立和执行适当的风险管理计划，对计算机化系统进行风险评估和控制，确保系统稳定运行，并及时采取措施解决潜在的问题。

第四，实施有效的数据管理和数据完整性控制。

药品生产过程中产生的数据对于质量和安全的控制至关重要。

药品生产企业应该建立和执行有效的数据管理和数据完整性控制制度，包括数据采集、记录、存储和传输等方面。

同时，药品生产企业应该确保数据的准确性、可靠性和可审计性。

第五，加强计算机化系统的培训和管理。

药品生产企业应该加强对计算机化系统操作人员的培训和管理，确保其具备必要的技术和操作能力。

同时，药品生产企业应该建立和执行适当的系统管理制度，对计算机化系统进行监控和维护，及时处理系统问题，防止出现故障或错误。

GMP内部审计标准操作规程

版本号：2Version No.:2 SOPRead this SOP carefully before you sign it.I. 目的PURPOSE:建立一个XX GMP内审的体系，保证企业的运行符合cGMP的要求。

To establish an XX GMP internal audit’s system to make sure all operationsin XX T.O are in compliance with the cGMP.用TrackWise作为管理审计报告的系统，并跟踪所有相关行动,确保XX符合公司总部的指示和政策、cGMP和产品分布地的政府法律机构所建立的要求。

Assure XX is operating in compliance with corporate guidelines and policies,current GMP’s and any other requirements established by the RegulatoryAgencies where the products are distributed using TrackWise as the systemto manage the audit report and follow up on all corrective actions.II. 范围SCOPE:1.需被审计的部门有：The departments need to be audited are:制造部，工程部，QC，QA，仓储部，物控部，技术服务部Lactam Workshop, Non-Lactam Workshop, Engineering Department, QC, QA,Warehouse, Material Management Department and Technical ServiceDepartment2.QA GMP月度审计包括下列内容，但不限于此：Monthly QA GMP internal audits must include, but not be restricted to:版本号：2Version No.:2 SOP 工厂设施 Premises●维护 Maintenance●校验 Calibration●流向 Flow●标识系统 Labeling system●净化空调系统 HVAC system●工艺用水系统 WFI & USP water system设备 Equipment●维护 Maintenance●清洁 Cleaning●标识系统 Labeling system状态控制 Status control●区域 Area●设备 Equipment●物料 Material文件实施和版本控制 Ducumentation Practice & revision control●标准操作程序 SOP●原始记录 MLS/PLS●测试标准、方法、记录 TS/TM/Report●批生产记录Batch record生产 Production●清场、清洁、环境控制Housekeeping/cleaning/clearance/environmental control system●变动控制系统 CCF system●过程控制 Process management●中心称量室配料程序Dispensing practices质量保证/控制 QA/QC●异常情况/OOS控制 Incident deviation control/OOS●验证（工艺、设备、水系统、空调系统、设备清洁）Validation (Process, equipment, Water system, HVAC system & Equipmentcleaning)版本号：2Version No.:2 SOP●标准品、标准溶液、试剂和样品的管理Reference standards, standard solution, reagents and samples management●稳定性考察和留样规则Stability testing program, retain sample and storage●分析原始记录Analytical worksheet●取样 Sampling procedure●GMP 培训和记录GMP training and record产品的储存、分发 Storage/Distribution of products●仓库中物料的隔离 Segregation of materials●标签贮存区域Label storage area●温湿度控制 Temperature and humidity control●虫鼠控制 Pest/Mouse control物料系统Materials system包装和标签系统 Packaging and Labelling system抱怨 Complaint回收 Recall退货和抢救产品 Returned/Salvaged products自查系统 Self Inspection不合格物料的控制 Rejection controlsIII. 职责RESPONSIBILITIES1. TrackWise系统管理员 TrackWise System Administrator为公司用户提供一线系统支持Provide first line system support to site-end-users.2. 审计负责人Lead Auditor2.1 审计负责人应该是不受被审计部门约束的，至少其工作职能是独立于被审计的岗位版本号：2Version No.:2 SOPLead Auditor should be independent of the departments audited byAuditor or the Auditor’s job function should be independent ofthe position audited by the Auditor at least.2.2 准备内审计划，该内审计划应该得到QA经理的批准。

GMP附录《计算机化系统》那些事儿

GMP附录《计算机化系统》那些事⼉GMP法规附录《计算机化系统》那些事⼉?2015年5⽉26⽇，CFDA正式发布了2010版GMP法规的新附录之⼀《计算机化系统》，引起了国内制药⾏业的⼴泛讨论和⾼度关注。

其实许多制药企业对它的内容并不陌⽣，因为这则法规于2013年作为征求意见稿已经添加到新版GMP法规附录中。

⽽现在，它将作为正式的法规于2015年12⽉1⽇起执⾏。

这则法规附录将给国内制药企业带来什么新的挑战？从近两年来CFDA的⼀系列举措（频繁的飞⾏检查，2014年⾄今已取消近100家药企的GMP证书）来看，国内GMP的监管⼒度是显著增强的。

所以届时如果企业不能满⾜《计算机化系统》法规的要求，将可能⾯临⼗分严重的后果。

CFDA为何要发布这则法规？?国内外GMP法规有许多差异，⽽对计算机化系统的要求差异尤为明显。

CFDA所执⾏的2010版GMP法规内容与国际上其他法规机构的cGMP法规是对等的，如FDA?21?CFR?Part? 211。

但美国的制药企业除了执⾏?21?CFR?Part?211以外，同时还要遵守21?CFR?Part?11法规；欧盟国家的制药企业除了执⾏欧盟GMP以外，还要遵循Annex?11法规。

FDA的21?CFR? Part?11与欧盟的Annex?11的内容是类似的，都是针对于制药企业使⽤计算机化系统的法规要求。

新颁布的《计算机化系统》法规附录是国内法规与国际接轨的重要⼀步，将填补国内对于计算机化系统要求的法规空⽩，是实现与国际法规监管机构之间相互认可的前提条件之⼀。

法规到底讲了些什么？?《计算机化系统》法规附录究竟讲了哪些内容？其实，我们发现内容并不多，全⽂共24条要求、6页，共计2500字。

我们尝试对这些法规条⽂作了初步的解读，把所理解的核⼼内容概括如下：?1.CFDA明确提出进⾏计算机化系统验证的要求?以往，法规对于仪器的确认是⼀直有要求的，但对计算机软件验证的要求不明确。

从GMP合规性角度谈计算机化系统验证

摘要：目的：探索科学合理的计算机化系统验证方法，以确保制药行业的各类智能化装备和信息化系统符合GMP要求。

方法：通过解读最新的国内外法规和指南中关于计算机化系统验证的要求，结合制药企业在数据完整性、计算机化系统验证方面的常见缺陷，提出了计算机化系统验证的基本要求和思路。

结论：结合目前国内制药行业计算机化系统的应用现状及法规要求，只要能合理运用基本的计算机化系统验证方法，就可以满足GMP要求。

关键词：计算机化系统验证；GAMP 5；数据完整性；合规性0引言当前，我国制药行业的工业自动化和信息化水平，相对于其他领域仍比较低下，制药行业的特殊性是其中一个重要的影响因素。

制药行业生产的是药品，而药品作为一种特殊的商品在药品的整个生命周期各阶段，从研发、临床、生产到配送、经营等环节都需要遵守相应的质量管理规范（通称为GxP），严格的法规监管导致一些新型的创新技术难以在制药行业中得到有效推广。

随着2015年我国政府发布的《中国制造2025》战略规划的出台，制造业向智能化方向转型升级，即智能制造将作为信息化与工业化深度融合的主攻方向。

因此，近年来智能装备和分析仪器、自动化和信息化系统等在制药行业内快速发展，相关的计算机化系统在法规符合性方面的问题也日益突出。

虽然国家食品药品监督管理总局已于2015年发布公告，自2015年12月1日起实施GMP附录《计算机化系统》，为制药行业的计算机化系统提供了法规依据，且药品生产企业在计算机化系统的运用和验证等方面也有了极大的提升。

但是，相对于欧美发达国家而言，我国的相关法规还不完善，落实到具体的实施层面上时，还存在对法规理解不一致、验证方法不明确等情况。

因此，有必要结合当前国内外最新的法规要求和发展趋势，提出科学合理的计算机化系统验证方法，以保障国内制药行业在合规的前提下，提升智能制造的发展水平。

1 计算机化系统的合规性要求目前，国内适用于计算机化系统的现行法规是2010版GMP附录《计算机化系统》，其第一条明确了适用范围和定义：“本附录适用于在药品生产质量管理过程中应用的计算机化系统。

EXCEL中的权限控制与审计追踪功能详解

EXCEL中的权限控制与审计追踪功能详解在Excel这一强大的电子表格软件中，权限控制和审计追踪功能是非常重要的特性。

通过合理设置权限和进行审计追踪，可以有效保护数据安全并跟踪对文档的操作。

接下来将详细介绍Excel中的权限控制和审计追踪功能。

权限控制功能Excel的权限控制功能允许用户对文档的访问权限进行精细化管理，确保数据的安全性和保密性。

以下是如何设置权限控制的简要步骤：打开Excel文档：首先打开你要设置权限控制的文档。

选择“文件”选项：在Excel顶部菜单栏中选择“文件”选项。

点击“信息”：在“文件”选项中选择“信息”，然后点击“保护工作表”。

设置权限：在弹出的对话框中，可以设置密码保护工作表或工作簿，也可以设置具体的权限级别给不同用户。

保存设置：确认设置后，保存文档，权限控制即可生效。

通过合理设置权限控制，可以有效控制文档的访问权限，防止未经授权的用户查看或编辑文件。

审计追踪功能Excel的审计追踪功能可以帮助用户跟踪文档的修改历史，了解每一步操作的具体情况，保证数据的准确性和完整性。

以下是如何使用审计追踪功能：启用审计功能：在Excel中选择“审阅”选项卡，然后点击“跟踪更改”。

设置审计选项：在“跟踪更改”对话框中，选择需要追踪的内容，如单元格的更改、批注的更新等。

保存设置：确认设置后，Excel会自动记录文档的修改历史，用户可以随时查看。

审计追踪功能可以帮助用户了解文档的修改情况，及时发现错误并进行纠正，提高工作效率和数据的准确性。

在Excel中灵活运用权限控制和审计追踪功能，可以更好地保护数据安全并提高工作效率。

Excel中的权限控制和审计追踪功能是非常实用的工具，能够有效保护数据安全，跟踪文档的修改历史，提高工作效率和数据准确性。

GMP计算机化系统权限管理

计算机化系统权限修改申请表权限授权书计算机化系统安全与权限管理1、目的：建立质量部计算机化系统安全与权限管理规程，规范计算机化系统的分级权限使用，以保证计算机化系统数据的安全可靠性。

2、适用范围：通过计算机软件控制操作仪器的计算机系统3、责任者：QC分析员负责实施、QC主管负责监督与管理质量授权人负责权限授权管理4、内容4.1为防止无关人员接触计算机。

要求计算机设置密码。

4.2计算机不允许安装无关软件。

4.3不允许使用个人U盘和无关外设。

4.4数据必须专人备份到指定目录、指定位置或指定电脑。

4.5数据备份要编号登记。

4.6可配置参数设置变化要填写申请表经批准、登记。

4.7权限设置 4.71根据职责对权限进行分级管理。

色谱工作站需设置权限。

气相色谱仪色谱工作站设置二级权限，一级权限为管理员权限，归质量授权人所有，管理员拥有全部权限并负责分配二级权限；二级权限为操作者权限，需经管理员授权后方可操作。

若操作者城方法或仪器参数条件等操作，需先填写申请表，经管理员审批方可对方法进行修改。

4.7.2与仪器相连的计算机时间设置为任何人不能修改。

若修改系统时间需经质量授权人审批后方可进行修改。

4.7.3工作站密码的设置必须包含英文字母和数字等符号，密码位数不少于。

密码需每月更换。

4.7.4权限改变要填写申请表经批准、登记。

5修改历史GMP计算机系统安全管理规程1、目的：建立公司在药品生产质量管理过程中，与GMP相关的计算机和自动化系统的规范化安全管理程序，建立适当的安全措施，保持其处于掌控状态，确保其运行稳定，数据准确、真实、可靠。

2、范围：适用于公司所有GMP计算机和自动化系统的管理，此类系统用于或为GMP法规环境提供支持。

3、职责序号活动职责1 计算机化系统的设备管理，包括规划、选型、供应商选择、安装、确认、维护保养、退役等设备部/IT2 物理与环境安全系统使用者/工程部3 互联网安全，系统补丁、防病毒程序的安装，技术支持IT4 操作系统和应用程序的安全管理（用户管理及权限分配）IT/部门主管/QA5 数据安全（备份、恢复等）部门主管/IT/QA 4、术语和定义计算机化系统：由硬件、系统软件、应用软件以及相关外围设备组成的，可执行某一功能或一组功能的体系。

GMP计算机化系统权限管理

GMP计算机化系统权限管理计算机化系统权限修改申请表权限授权书计算机化系统安全与权限管理1、⽬的：建⽴质量部计算机化系统安全与权限管理规程，规范计算机化系统的分级权限使⽤，以保证计算机化系统数据的安全可靠性。

2、适⽤范围：通过计算机软件控制操作仪器的计算机系统3、责任者：QC分析员负责实施、QC主管负责监督与管理质量授权⼈负责权限授权管理4、内容4.1为防⽌⽆关⼈员接触计算机。

要求计算机设置密码。

4.2计算机不允许安装⽆关软件。

4.3不允许使⽤个⼈U盘和⽆关外设。

4.4数据必须专⼈备份到指定⽬录、指定位置或指定电脑。

4.5数据备份要编号登记。

4.6可配置参数设置变化要填写申请表经批准、登记。

4.7权限设置 4.71根据职责对权限进⾏分级管理。

⾊谱⼯作站需设置权限。

⽓相⾊谱仪⾊谱⼯作站设置⼆级权限，⼀级权限为管理员权限，归质量授权⼈所有，管理员拥有全部权限并负责分配⼆级权限；⼆级权限为操作者权限，需经管理员授权后⽅可操作。

若操作者城⽅法或仪器参数条件等操作，需先填写申请表，经管理员审批⽅可对⽅法进⾏修改。

4.7.2与仪器相连的计算机时间设置为任何⼈不能修改。

若修改系统时间需经质量授权⼈审批后⽅可进⾏修改。

4.7.3⼯作站密码的设置必须包含英⽂字母和数字等符号，密码位数不少于。

密码需每⽉更换。

4.7.4权限改变要填写申请表经批准、登记。

5修改历史GMP 计算机系统安全管理规程1、⽬的：建⽴公司在药品⽣产质量管理过程中，与GMP 相关的计算机和⾃动化系统的规范化安全管理程序，建⽴适当的安全措施，保持其处于掌控状态，确保其运⾏稳定，数据准确、真实、可靠。

2、范围：适⽤于公司所有GMP 计算机和⾃动化系统的管理，此类系统⽤于或为GMP 法规环境提供⽀持。

4、术语和定义计算机化系统：由硬件、系统软件、应⽤软件以及相关外围设备组成的，可执⾏某⼀功能或⼀组功能的体系。

5、GMP 计算机系统的安全必须被控制，可通过各类为实现，⼀般包括但不限于如下内容：5.1物理与环境安全5.1.1访问存放⼤型机、服务器、易受影响的⽹络设备和连接的机房，只有被授权的⼈员才可以进⼊。

GMP计算机系统授权管理规程

GMP计算机系统授权管理规程1.目的:本规程的目的是描述我公司在药品生产质量管理过程中，与GMP相关的计算机和自动化系统的授权管理程序，通过多层级的权限分配和管理，确保计算机系统和电子数据处于掌控状态，确保系统运行稳定，数据准确、真实、可靠。

2.范围:本操作规程适用于公司所有GMP计算机和自动化系统的管理，此类系统用于或为GMP法规环境提供支持。

3.职责4.术语和定义计算机系统权限：在多用户计算机系统的管理中，某个特定的用户具有特定的系统资源使用权力。

5.程序5.1计算机操作软件分为系统软件和应用软件，对各软件的操作应分别授权，可以使用的人员由质量管理部门设置。

5.2电子数据一般来源于计算机系统，数据采集、处理、备份、恢复和管理均由质量管理部门授权的系统管理员、实验室主管和操作员完成。

5.3为确保电子数据的真实、有效，针对不同的层级人员分别授权操作，设置相应的访问权限。

对于分析检测仪器的计算机系统，通常其操作权限设置要求如下：IT管理员：一级管理员，负责对操作系统进行重装和更换电脑、系统升级、电脑系统时间和系统日志的审核，设置操作系统操作员权限、增减登录帐户和初始登录帐户密码等操作。

对所有使用的应用软件进行原名称安装、备份、卸载和恢复，必须使用和验证应用软件为仪器供应商提供的正版软件并保留证书。

对系统和应用软件采集的电子数据进行备份和恢复。

系统管理员/实验室主管：二级管理员，经质量管理部门负责人授权的人员，这些人员一般不超过两人，他们具有系统的所有访问权限。

系统管理员有权建立实验室主管、操作员、复核员（辅助操作员）帐户；设置操作员权限、增减登录帐户和初始登录帐户密码等；对仪器进行定期校验，并对重要操作进行复核和审核。

对系统和应用软件采集的电子数据进行备份和恢复；对下级人员进行管理时，没有权限的内容设置成灰色并确保不能使用，下级人员没有删除和修改、复制和粘贴、剪切和转移、备份和重命名权限。

系统管理员可以对操作系统进行重装和更换电脑、系统升级等操作时，应进行风险评估，并通过质量管理部门的批准。

GMP计算机化系统操作权限管理规程.pptx

2级权限的发放：
应由系统使用部门的负责人进行授权，授权批准后，由3级权限人员对新增的2级权限人员进行权限的发放，2 级权限人员应为系统所在岗位的操作人员或基层管理人员，负责系统的日常检查及对操作人员使用系统时的监督工作，可以进行参数的修改或者数据的删除操作，必要时可进行系统的操作。
1级权限的发放：
行修改，并填写权限委托单进行事后记录。
.密码设置规则要求：
各级权限用户的密码设置规则为密码长度6〜16位，由英文字母a〜Z（区分大小写）、数字。〜9、特殊字符至少两种组合组成，且不可与帐号相同。如因系统原因无法按上述密码设置要求设置密码，则应保证密码无规律性
，不易破解。
.密码更换要求：
为了保证各级权限用户的账号安全，需要定期对账号密码进行更换，所有计算机化系统密码至少每三月更换一次，能自己更换密码的用户需自行修改，不能自己更换密码的用户需联系最高级权限用户进行密码修改。更换的密码不能是近三次使用过的密码。
同一级权限中，可能存在2种不同的操作权限，如水浴灭菌柜中，属于2级权限的有工艺人员权限及维修人员权限，此两种权限均有各自的权限内容，但均按2级权限进行管理。
1.5.2二级权限分类：
系统的权限分类分为二个级别：1级权限和2级权限，2级为最高权限。
1.5.3一级权限分类：
系统的权限分类分为一个级别：1级权限，1级为最高权限。
当只有二级权限分类时，2级权限的收回应交回到主管副总处进行权限的收回，按权限发放的流程将2级权限发放到经过此计算机化系统培训且熟悉系统的设备部或信息部专业人员或基层管理人员手中，且新任2级权限人员应将账号密码进行修改。1级权限的收回同三级权限分类中的1级权限一致。
当只有一级权限分类时，1级权限的收回应交回到主管副总处进行权限的收回，按权限发放的流程将1级权限发放到经过此计算机化系统培训且熟悉系统的使用人员手中，且信息部专业人员配合新任1级权限人员对账号密码进行修改。如系统为物理隔离的，收回管理应与一级权限分类一致，再将系统的管理授权至其他使用人员手中。

GMP计算机化审计追踪相关知识一

审计追踪审核的法规要求Since 2011, Annex 11"Computerised Systems" of the EU GMP Guideline has demanded records of all GMP relevant changes and deletions to be implemented as a system-integrated Audit Trail: the reasons for changes and deletions must be documented. Audit Trails must be available, convertible into a generallyreadable form and checked regularly.自2011年，EU GMP指南附录11《计算机化系统》要求所有GMP 相关的修改和删除应记录作为系统完整性的审计追踪：应记录修改和删除的理由。

审计追踪应被激活，并转换成一般可读的形式，以及进行定期检查。

The PIC/S draft "Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments"from August 2016 also defines Audit Trails and provides comprehensive review requirements.PIC/S草案“受法规约束的GMP/GDP环境下数据管理和完整性良好规范”自2016年8月也定义了审计追踪，并提供了全面的审核要求。

Pharmaceutical companies should upgrade their software so that the functionality for Audit Trails is included. Through this, all events in the system can be recorded and all activities regarding the collection,evaluation, deletion and overwriting of data for the Audit Trail Review are made available.制药企业应升级其软件以包括审计追踪功能。

GMP工作电脑如何实现权限控制和审计追踪

注意：只有Win7及以上版本才可以满足现有要求！如何设置win7系统，实现对权限的控制？Win7系统应采用组的方式进行权限控制，对应有两类权限Administrators组---对应于Administrators 系统管理员权限；User组---对应于User 普通用户权限；Administrators组和User组所拥有的默认权限表如下：与GMP相关的权限分配表系统所具有的管理员账户不宜过多，并且应由IT人员担任，与数据有利益相关的人员均不得担任。

为User用户组增添GMP相关的权限进入控制面板，查看方式选择“小图标”，点击“管理工具”。

进入本地安全策略，展开左侧的“本地策略”，点击“用户权限分配”，可以看到右侧的权限表。

选择右侧需要增加或删除的权限，例如“管理审核和安全日志”，右键点击“属性”，然后可以看到哪些用户组拥有该权限，如果希望给User组添加该权限，则点击“添加用户或组”，然后选择User组即可。

如何加强密码的复杂程度，并要求定期修改？利用Win7系统同样可以实现用户登录密码的控制。

设定如下：在“本地安全策略”左边栏，点击“账户策略”展开了两项“密码策略”和“账户锁定策略”，选中“密码策略”，可看到各项说明。

点击“密码必须符合复杂性要求”项，选择“本地安全设置”，默认情况下该项功能是处于“已禁用”状态，此时我们需要启用该项功能，选择“已启用”。

“密码长度最小值”选项中，设定“密码必须至少是”，填入“6”个字符，规定密码的字符必须是6位。

“密码最短使用期限”指的是用户更改某个密码之前必须使用该密码一段时间(以天为单位)，此处我们用默认设置“0”天，即用户可以立即更改密码。

“密码最长使用期限”指的是系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)，为了强制定期修改密码，保证安全的需要，规定密码必须每42天更换一次，因此“本地安全设置”中的“密码过期时间”应设定为“42”天。