计算机化系统评估方案

第三步：判定你的计算机系统，是属于计算机系统，还是计算机化的系统，也就是是独立的系统，还是属于集成于PLC的系统。 第四步：根据以上的判断，确定系统是否需要做计算机系统验证。 第五步：如果需要做计算机系统验证的，按照计算机系统验证的要求进行验证，参考APIC的计算机系统验证要求，计算机系统的IQ应该包括软件的硬件配置、硬件的安装环境、软件的版本号、软件安装路径、软件文书资料等，计算机系统的OQ应该包括软件安全性验证、软件备份和恢复、灾难恢复、功能测试、审计追踪、业务连续性等，如果没有，就需要进行补充验证。 第六步：就是评价现有的计算机系统文件，是否按照计算机系统的管理要求制订，计算机系统的文件一般需要包含：权限管理、密码管理、数据及软件备份、记录归档的要求、软件发生变更时的要求等。 第七步：评价现有的计算机系统管理，是否符合新版附录的要求，计算机系统的管理，一般包含：系统的安全性、数据的管理、软件管理等。 大家可以对照以上的7个步骤，对自己的计算机系统进行一个初步的评估，如果符合要求，就说明你现有的体系基本上达到计算机系统的要求了，如果不符合，那么你就需要制定一个整改，进行补充验证或起草相应的SOP，如果系统本身就有问题，例如：HPLC缺少审计追踪，那么，可能你就需要更换你的系统了。 二、风险控制 根据评估结果，完善计算化系统清单，明确系统名称、分类等，并对存在问题进行汇总、汇总格式如下: 部门：                            汇总时间： 序号 系统名称 类别 存在问题 风险 等级 改进措施                                                 以上工作，5月10日前完成，并将完善后计算机化系统清单、问题汇总发至QA及认证科，风险评估记录统一交至认证科。 三、风险沟通 由认证科组织相关人员对各部门计算机化系统评估内容、风险等级、改进措施进一步确认，并统一下发整改通知。 附件： 操作软件系统风险评估表 使用部门                        安装位置        序号 类别 问题 关键点 备注 1 计算机系统的GXP属性 1.1计算机系统是否和GLP、GSP、GDP、GMP相关 ?是 ?否 该项目如果选择否，不用进行以下项目 2 计算机系统的分类 2.1GAMP第一类 ? 选择第一类和第二类，不需要进行4、5、6、7的问答 2.2GAMP第二类 ? 2.3GAMP第三类 ? 2.4GAMP第四类 ? 3 计算机系统的性质 3.1独立的软件系统 ?是 / 3.2集成设备的PLC系统 ?是 ?否 4 计算机系统验证 4.1是否需进行计算机系验证 ?是 ?否 选择是的，进入5的确认，选择否的，直接进入6的选择 5 计算机系统验证 5.1IQ测试是否包含以下内容 5.1.1检查软件的硬件配置符合最低配置要求 ?是 ?否 集成设备的PLC系统不需要回答此项 5.1.2证明硬件的安装环境符合硬件的使用要求 ?是 ?否 / 5.1.3检查安装的软件和软件说明书的版本号一致 ?是 ?否 / 5.1.4检查软件已经正确安装在指定的路径 ?是 ?否 集成设备的PLC系统不需要回答此项 5.1.5软件说明书、手册和其他相关资料齐全 ?是 ?否 / 5.2OQ测试是否包含以下内容 5.2.1软件安全性验证   5.2.1.1软件的密码保护，不同级别的人员拥有不同的账号和密码 ?是 ?否 / 5.2.1.2软件的权限保护，是否对于不同的级别人员，设置了不同的权限 ?是 ?否 / 5.2.2软件的备份与恢复 5.2.2.1软件有硬件备份及硬件备份存放的地点 ?是 ?否 / 5.2.2.2卸载软件后使用备份，重新安装软件 ?是 ?否 集成设备的PLC系统不需要回答此项 5.2.2.3软件产生的数据拷贝后，使用软件能查看拷贝的数据 ?是 ?否 集成设备的PLC系统不需要回答此项 5.2.3灾难恢复 5.2.3.1是否进行了灾难恢复模式 ?是 ?否 / 5.2.4软件的功能测试   5.2.4.1是否进行了报警功能测试 ?是 ?否 / 5.2.4.2是否进行了软件功能性测试 ?是 ?否 集成设备的PLC系统不需要回答此项 5.2.5审计追踪   5.2.5.1是否进行了审计追踪功能测试 ?是 ?否 / 5.2.6   5.2.6.1是否制定有应急预案 ?是 ?否 / 5.2.7是否具有防删除功能 ?是 ?否 / 6 计算机系统文件 6.1是否建立了计算机系统管理的sop ?是 ?否 如果答为否，下面的问题可以不进行 6.2对应的SOP编号   6.3软件产生的数据 ?电子记录 如果回答纸质记录，可不需要6.6和6.8，单纯电子记录，不需要回答6.9 ?纸质记录 ?电子和纸质共存 6.4SOP中是否包含了权限管理的要求 ?是 ?否 / 6.5SOP中是否包含了密码管理的要求 ?是 ?否 / 6.6SOP中是否包含了数据备份的要求 ?是 ?否 / 6.7SOP中是否规定了软件备份的要求 ?是 ?否 / 6.8SOP中是否规定了软件产生数据的管理要求 ?是 ?否 / 6.9SOP中是否规定了软件产生纸质记录的归档要求 ?是 ?否 / 6.10SOP中是否规定了软件发生变更时的要求 ?是 ?否 / 7 7计算机系统日常管理 7.1计算机系统安全性   7.1.1是否建立了不同权限的账号 ?是 ?否 / 7.1.2不同权限的账号是否授予不同级别的人员，并有唯一性 ?是 ?否 / 7.1.3不同权限的账号是否具备账号唯一的密码 ?是 ?否 / 7.1.4权限的授予，是否有记录，并得到批准 ?是 ?否 / 7.1.5人员变动后，是否会重新授权 ?是 ?否 / 7.1.6是否通过其他方式，如电脑控制，保证系统的安全性 ?是 ?否 / 7.1.7计算机系统时间是否锁定 ?是 ?否 / 7.2计算机数据管理   7.2.1软件产生的数据 ?电子记录 如果回答纸质记录，可不需要7.2.2,7.2.3, 7.2.4单纯电子记录，不需要回答7.2.5 ?纸质记录 ?电子和纸质共存 7.2.2计算机系统数据是否定期备份？ ?是,频次 ?否   7.2.3计算机系统数据是否可以被修改 ?是 ?否 只对电子记录，如回答否，可跳过7.2.4 7.2.4计算机系统数据修改后，是否有记录 ?是 ?否 / 7.2.5计算机输出的纸质记录如何归档 7.3计算机系统软件管理   7.3.1计算机系统软件是否有备份 ?是 ?否 / 7.3.2计算机系统软件是否发生过变更，变更是否有记录 ?是 ?否 / 判定标准： 1、对于1.1中，选择否的计算机系统，判定风险为低风险。 2、对于2中，选择2.1和2.2的计算机系统，可以判定风险为低风险，不需要进行计算机系统验证。 3、对于5中，系统软件，如果5.2.1中，任一项选择否，该系统被判定为高风险；如果其他项目选择否，可以判定为中风险。其余项目，如果有三条以上选择否，判定为高风险。 4、对于6中，如果6.1中，选择否，可判定为高风险；其余项目，如果有三条以上选择否，可判定为高风险；如果有3条以下，1条以上，可判定为中风险；如果全部判定为是，判定为低风险。 5、对于7中，如果有三条以上选择否，可判定为高风险；如果有3条以下，1条以上，可判定为中风险；如果全部判定为是，判定为低风险。 6、对于低风险的计算机系统，可以暂时不采取相应的处理措施；对于中风险的计算机系统，需要评估是否需要采取相应的措施；对于高风险的计算机系统，需要采取相应的措施，降低风险。           评估人员：                                    日期： 分析总结： 签名/日期：