为企业整体IT能力的提升创造价值

GXP 验证

计算机化系统法规内容概括如下：

以往，法规对于仪器的确认是一直有要求的，但对计算机软件验证的要求不明确。因而，大部分的制药企业不对计算机系统进行验证，或仅进行最简单的确认。真正按照GAMP5指南基于风险评估进行完整验证的企业不多，仅某些企业有国外业务、需要通过FDA或欧盟审计时才会考虑。而这则法规发布以后，明确对所有的国内制药企业提出进行计算机化系统验证的要求，为计算机化系统验证提供了法规依据。这里尤其值得注意的是，法规附录里要求进行基于风险评估的计算机化系统验证，实际上就是指遵循GAMP5的验证方法学，即计算机化系统验证的形式应该是验证（Validation），通常所说的确认（Qualification，IQ/OQ/PQ）是不足够的。

法规明确了对数据输入的准确性和数据处理过程的正确性要求，以保证数据的合规性。概括来说，对计算机系统合规性的功能要求可以总结为：访问控制、权限分配、审计追踪和电子签名。

访问控制：只有经许可的人员才能进入和使用系统。

权限分配：应当对进入和使用系统制订授权、取消和授权变更的操作规程。

审计追踪：用于记录数据的输入和修改以及系统的使用和变更。

电子签名：明确了直接对电子数据进行电子签名是合规的，但电子签名需要符合相应法规。

电子数据安全性一般分为逻辑安全性和物理安全性。逻辑安全性即是通过软件自身的权限控制对数据的访问、录入、修改和删除等操作，确保不被人为误操作或有意的篡改行为而影响数据安全。而物理安全性，即是对数据存储的介质（如硬盘、光盘、服务器等）进行保护，确保系统本身不会因为物理介质的损坏或故障造成数据丢失。

关于电子数据的备份要求不算是新的法规要求，GMP法规也一直要求数据备份以保证原始数据的安全性。国内制药企业通常也都制定了数据备份策略，但我们发现通常只是一个月甚至半年才做一次数据备份，真正发生故障时原始数据还是会严重丢失。这样的数据备份归档，其形式意义大过于实际意义；而即使是这样的一个备份频率，企业都已经觉得数据备份的工作任务很重。其根本原因是缺乏良好的解决方案。《计算机化系统》单独列出这条要求，将提高制药企业对数据备份的重视，进而采纳更先进的解决方案。