一(one)文了(Got it)解遺留系統管理,19份法規指南橫向對比

2024-07-18 16:13:12

近些年關于(At)數據可靠性及計算機化系統管理方面的(of)法規及指南更新速度較快,關于(At)同一(one)主題不(No)同文件由于(At)側重不(No)同會存在(exist)一(one)些細節上的(of)區别,在(exist)項目管理過程中,筆者發現很多藥品生(born)産企業在(exist)建立相應流程時(hour)會出(out)現遺漏重點或是(yes)由于(At)參考過多法規導緻管理混亂的(of)情況。鑒于(At)此,筆者梳理國内及國際主流市場的(of)19份法規與指南,就不(No)同主題的(of)管理要(want)求進行總結。

法規/指南篩選原則:官方發布、發布時(hour)間爲(for)近十年、非隻針對某一(one)主題的(of)(例如計算機化系統驗證)。篩選出(out)這(this)19份也不(No)意味着每一(one)份的(of)每一(one)個(indivual)要(want)求都要(want)滿足,大(big)家應結合企業發展階段及産品特性篩選出(out)适用(use)的(of)法規/指南。

Ps:原本是(yes)18份,今年6月份NMPA發布了(Got it)《血液制品生(born)産檢驗電子化記錄技術指南(試行)》,所以(by)現在(exist)是(yes)19份。


  

本期主題爲(for):遺留系統管理

在(exist)項目執行過程中,比起對于(At)新系統的(of)驗證,企業會覺得遺留系統的(of)管理是(yes)更加棘手的(of)問題。産生(born)遺留系統的(of)情況有很多,例如:①廠房車間建設時(hour)間較長,當年購置的(of)設備儀器等還希望繼續使用(use),但是(yes)系統版本較早甚至供應商已經不(No)再提供服務;②即使是(yes)新建廠房并新購置系統,但是(yes)由于(At)建設初期未考慮後續執行問題,導緻當GMP質量體系建立起來(Come)時(hour),系統上線即“過時(hour)”;③系統已經退役,但是(yes)爲(for)了(Got it)保證已歸檔數據的(of)可讀性,則該遺留系統仍需繼續保存并可用(use)。而遺留系統帶來(Come)的(of)問題也很多,例如:權限級别不(No)夠、賬戶不(No)夠、系統管理員密碼丢失、審計追蹤功能缺失、内存不(No)足、過往驗證資料内容過于(At)簡單、無法連入局域網、沒有接口或者接口過少等等。而在(exist)沒有更換計劃或者有計劃但仍需暫時(hour)使用(use)的(of)情況下,遺留系統的(of)風險如何降低、應該補充哪些配套管理,是(yes)很多企業關心的(of)問題。故此,作(do)爲(for)第四個(indivual)主題進行整理。

相關内容較多,進行了(Got it)簡要(want)的(of)分類,并将管理要(want)點羅列如下供大(big)家參考。

内容分類:

  • 基本原則,遺留系統應進行管理。
  • 初級要(want)求,遺留系統如功能存在(exist)缺陷(例如:僅支持共用(use)賬号、缺少審計追蹤功能或功能缺失、可被打印内容不(No)足)首選應1、升級或更換系統,需保證過往數據依舊完整可讀,如不(No)可行則→2、使用(use)第三方軟件或插件,相關功能需進行确認,如仍不(No)可行則→3、采用(use)替代的(of)控制來(Come)達成目的(of)(例如:建立SOP、補充紙質日志或記錄、人(people)員填寫記錄),通過書面證據(例如:風險評估)來(Come)證明已尋求過合規解決方案,而降低風險的(of)措施暫時(hour)支持繼續使用(use),但是(yes)仍不(No)鼓勵使用(use)遺留混合系統,應建立系統升級或更換計劃;遺留系統在(exist)安裝和(and)驗證期間應确保審查和(and)理解所有事件日志内容,且關鍵信息應在(exist)已驗證的(of)審計追蹤記錄中體現;遺留系統的(of)數據歸檔後,應定期确認數據在(exist)遺留系統中是(yes)否可讀(意味着遺留系統或其副本仍需繼續保存,注意保證相關軟硬件的(of)支持),如在(exist)原遺留系統中已不(No)可讀,則應考慮其他(he)手段,例如:數據遷移至新系統以(by)盡可能多地(land)保留數據“真實副本”屬性的(of)替代文件格式,或對舊系統進行鏡像/虛拟環境(需要(want)平衡數據遷移的(of)風險和(and)鏡像的(of)可實操性)。
  • 進階要(want)求,如果仍繼續使用(use)供應商不(No)再支持的(of)舊版本,或受支持的(of)版本未打安全補丁,則應盡可能将該系統(服務器)與網絡的(of)其餘部分隔離,剩餘的(of)接口和(and)與其他(he)設備之間的(of)數據傳輸應仔細設計、配置和(and)驗證,以(by)防止不(No)受支持的(of)操作(do)系統造成的(of)漏洞被利用(use)。
  • 管理細節,N/A。 

Ps:關于(At)遺留系統驗證方面的(of)内容未在(exist)本文中整理,感興趣的(of)同仁可以(by)參考WHO TRS 1019 Annex3 Appendix5 12.6-12.10的(of)内容。

一(one)文了(Got it)解遺留系統管理,19份法規指南橫向對比

後續我(I)們(them)也會跟随法規及指南進行更新,大(big)家有感興趣的(of)主題,也可以(by)留言回複,我(I)們(them)會根據大(big)家關注熱點繼續安排文章。