1.每个用户有唯一的识别方式
每件事情都要有制定的人员来进行并负责,这是GMP合规的关键要求。如果使用纸质文件,操作人员/分析人员的身份就是通过签名来识别的。
密码的复杂度应适当,确保不易被他人破解,且用户能够可以记住自己的密码。应定期强制用户对密码进行更换,且不能使用之前使用过的密码。
2.设置不同的用户类型和用户权限。
U.S.GM$211.68(b)要求只有有权限的人员可以访问系统和设备。应根据用户在系统中的角色,为不同的用户类型设置不同的用户权限。
3.建立并维护当前和历史用户的清单。
21CFR part 11和附件11要求对授权用户设置不同的访问权限。应建立并维护当前和历史用户的清单,以便检察官检查,如果某工作人员已经离职,检察官可以检查其账户是否还未被注销或被暂停使用。
4.控制对计算机系统的变更。
U.SGMP.in $211.68(b)要求只有授权人员可以进行变更。然而,如果将用户权限随意分享,就无法确定到底是谁执行的变更。
5.只有经过培训的人员可以操作计算机系统。
U.S GMP.in $211.2要求所有人员应有相应的教育背景和工作经验,并接受过相关的培训。如果允许不合格人员对系统进行操作,那么就会加大操作错误的风险,从而导致GMP数据的丢失等。
6.理解有关GMP记录的法规。
U.S.GMPS211.194(a)要求“实验室记录应包括所有完整的检验(包括检查和试验)数据,确保符合质量标准”。这句话的关键词是“完整数据”。注:也包括生产数据。
7.对系统的电子数据进行规定。
21CFR Part 11范围和应用指导建议企业对系统的电子记录进行规定。
欧盟GMP(生效日期2011年6月30日)的第四章“文档”中规定“如果使用电子记录,那么应规定哪些数据为原属数据。至少,所有作为质量决策基础的数据应被规定为原始数据。"
8.定期回顾审计追踪
完整的数据包括审计追踪,这是US GMP$211.194(a)(8)的要求,该条款规定“另外一人的姓名首字母或全称,表明已经对原始记录的准确性进行了审核,并符合已建立的标准",这就要求对审计追踪进行检查。相比之下,欧盟GMP附件11中规定应检查审计追踪,以进行批次放行(2011年6月30日生效)。
9.定期备份
Part 11要求对记录进行保护,同样附件11也对此进行了同样的要求,例如:“应对所有相关数据进行定期备份。在对系统进行定期验证和监控时,应检查备份数据的完整性和准确性,以及系统恢复数据的能力。
在进行数据备份时,应检查数据备份记录,查看备份工作是否有效。如果无效,应重新备份数据,以免数据丢失。另外,备份设备需要被验证,且应定期检查备份设备,以确保备份设备中的数据可读取。另外,还应考虑异地存储,以及对存储设备的更新等。