【原创】如何保证数据完整性:计算机化系统附录解读
(视频无法观看时,请戳链接在网页观看)
在上一期的结尾,我们提到,为了保证数据安全,落实到软件,最重要的就是权限控制、审计追踪和数据版本可追溯。那么,针对这三点,计算机化系统附录都做了哪些规定呢?
第十三条 在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果。
以往,法规只对仪器硬件确认有明确要求,新的法规附录里要求进行基于风险评估的计算机化系统验证,也就是对计算机、操作系统、应用软件和基础架构提出了新的验证要求。只进行硬件的IQ/OQ/PQ是不够的,还需要进行CSV
计算机化系统的验证(CSV Computerized System Validation)。
访问控制和权限分配:
第十四条 只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。
也就是说需要访问控制,为不同级别的用户设置不同权限,没有权限不能进入和使用系统。
第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员,方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由。
也就是说,没有相应的权限,用户将无法修改数据的,而且更改数据时还要注明更改的理由,不能留空。
这两条强调了数据输入的准确性和数据修改等处理过程的正确性和合理性,以保证数据的合规性。
审计追踪(基于风险评估):
第十六条 应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更。
这里的审计跟踪功能适用于数据的访问、录入、修改和删除等操作,所有和数据有关的活动都需要有记录,并且不可被编辑或者删除。
电子签名
第十八条 对于电子数据和纸质打印文稿同时存在的情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。
这里的电子签名,是可以有,而不是必须。
所谓电子数据签名就是不打印这份报告,直接在软件里点击签名,也表示了对这个报告的认可。使用电子数据签名,应当写一个书面的文档,规定实验室里电子签名的效力。
第十九条 以电子数据为主数据时,应当满足以下要求:
为满足质量审计的目的,存储的电子数据应当能够打印成清晰易懂的文件。
比如说PDF文件。对数据的每一次修改都可以存储和打印为的结果版本,以避免非授权的修改,造成审计时,数据结果不能重现。
这里就涉及到数据版本可追溯,也就是说你的每个版本的数据都需要存储,不能被覆盖以及删除。
强调计算机系统的逻辑和物理安全性:
第十九条 (二)日常运行维护和系统发生变更(如计算机设备或其程序)时,应当检查所存储数据的可访问性及数据完整性。
电子数据归档和备份要求
第十九条 (三)应当建立数据备份与恢复的操作规程,定期对数据备份,以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。
这两条里强调了电子数据的安全性,电子数据安全性分为逻辑安全和物理安全。
逻辑安全性是指用封闭的系统,通过软件自身的权限控制,确保不被人为误操作或有意的篡改行为而影响数据安全。
物理安全性,是对数据存储的介质(如硬盘、光盘、服务器等)进行保护,确保系统本身不会因为物理介质的损坏或故障造成数据丢失。其中,网络版色谱数据系统软件是满足这一要求的首选解决方案。
那么,具体哪些软件可以合规?怎样设置才能合规呢?请听下回分解。