欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
每一条法规都经过专家反复讨论和推敲的,所以每一条法规都是活的; 我们要看到每一条法规背后的含义; 每天学习两条法规,希望能够都有新的理解; 原文内容:
第十三条:在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时,可采用两个系统(人工和计算机化)平行运行的方式作为测试和验证内容的一部分。 解析:
第十三条:1、该条款说在系统使用之前,进行全面测试,并确认系统可以获得预期的结果;这里“全面测试”的程度就要根据之前对系统的评估和分级,不同风险级别系统的采用不同的验证策略,一般推荐参考“GAMP5”指南; 2、 “确认系统获得预期效果”这就类似设备的IQ/OQ/PQ,通过以上三个步骤的测试确认其符合URS的要求; 3、“当计算机化系统替代某一人工系统时,可采用两个系统(人工和计算机化)平行运行的方式作为测试和验证内容的一部分。”从这句可以看出法规制定者是比较谨慎的,为了把系统替代人工的风险降到最低,推荐人工和计算机化系统并行;为什么?这也是体现了软件验证和普通设备验证的区别,因为很难判断软件测试程度是否足够,并且软件是虚拟的,出现问题也不会预警,隐藏的缺陷也很可能会在使用一段时间后出现;所以这一条也是为了验证系统可靠的手段。 原文内容: 第十四条:只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。 应当就进入和使用系统制订授权,取消以及授权变更的操作规程。必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录以及相关物理隔离手段,保证只有经许可的人员方能进行操作。 解析: 第十四条:1、“只有经过许可的人员才能进入和使用系统。”我认为这是系统使用的基本要求,我们可以类比联想一下,比如我们的生产车间只有经过许可的人员才能进入,洁净区只有经过许可的人员才能进入,洁净区里的功能间只有是本岗位人员才能进入,岗位上的设备只有本岗位培训合格的人员才能操作,同理可得计算机化系统的进入和使用的人员,必须经过相应的资质考核并且有明确的职责限定; 2、“企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。”目前的方式一般有三种:A、技术手段;B、物理隔离;C、管理规定;大部分情况是三种方法混合使用来最限度限制未经许可的人员进入和使用系统; 3、“应当就进入和使用系统制订授权,取消以及授权变更的操作规程。”因为人员的权限和其岗位职责是对应的,所以不得随意赋予人员超出其岗位职责的权限,也就是说计算机化的系统的权限管理是一个严格控制的过程,权限的增加和减少应当有严格的流程并详细的记录; 4、“必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。”非法入侵或进入系统的行为必要时要能记录,我们能够及时发现篡改、删除、破坏和盗窃等威胁数据安全的行为; 5、“对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录以及相关物理隔离手段,保证只有经许可的人员方能进行操作。”这一条是当前过渡阶段的权益之计,随着时间、技术等条件的成熟自然会取消。 来源:质量管理信息化 作者:冯立
| 
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2018-10-25 09:20:47
置顶卡
变色卡
发表于 2018-10-25 10:43:59
