如何从0开始进行计算机化系统的数据完整性合规工作 how to control the DI of comp...

gmp-qc

接着昨天的话题，昨天是讲如何确认计算机化系统和电子记录，以及其控制。现在回头看看其实写的很差。简单说了对于两个定义的通俗的理解，举了几个例子。完全没有系统的去梳理计算机化系统的知识体系。今天我们就将如何从0开始保障计算机化系统的数据完整性。
首先还是要有清单，这个清单包括所有的计算机化系统以及其ID、所属部门、位置、系统的名称和版本号、控制的设备、供应商、系统类型（嵌入式、基于windows的单机版、基于windows 的网络版）、系统负责人、流程负责人、GXP相关性、ERES相关性、受监管的电子记录、系统分类（1、3、4、5）
然后进行风险评估（基于ICH Q9），先进行系统的关键性和复杂性评估得出风险等级，然后再根据系统的数据完整性的偏差和系统验证文档的偏差来确定系统合规状态，然后根据风险等级和合规状态来确定系统整改的优先性。
这个优先性可以帮助我们确定我们要在繁多的计算机化系统选择在精力有限的情况下先做哪些整改后做那些整改。
这个是做事的步骤，接下来几天我开始讲每个步骤该如何去做。
I had descried how to identify and control the CS and ES yesterday. But I found that the article is not good. That article just mentioned the understanding of the CS and ER without the systematic knowledge. So today I will tell you how to control the DI of the computerized system from 0.
First we need a inventory which includes computerized system ID, unit, location, SW name, version, controlled equipment, supplier, system type (bench, stand alone, network), system owner, process owner, GXP relevance, ERES relevance, regulated ER, GAMP category (1, 3, 4, 5)
Then we can start the risk assessment (base on ICH Q9),  at first we get the risk level assessment as result of criticality and complexity of the system. We got system compliance status which is combination of Validation Documentation and Data Integrity gaps. At last we got the system priority level as result of risk level assessment and system compliance status.
The System Priority will be used in order to ensure that any remediation activity will be prioritized according to the risk associated to the System.
Today is for the procedure, tomorrow will be the details of how to execute these actions.

另外做个广告，有兴趣的可以关注我的公众号GMP-qc，可以去我的博客www.gmpqc.top
接下来几天会在这个贴子里把今天这篇文章的每一步详细解释一下。

kivy

刚好在规范这个命题，期待更新

lingkui2017

跟进学习中   

zouxin_2

学习下，楼主幸苦了

密码被锁定

正在做这块工作，非常期待楼主的续集！

散人

后面的呢

gmp-qc

不好意思，前段时间在项目上。业主要求国庆节之前完成，所以我们只能加班加点的干。
之前说了，做事的顺序，但是做事的方法没有详细描述。现在就来讲讲做事的方法。
ICH Q7里面简单提到了计算机化系统验证要根据系统的关键性和复杂性决定，而计算机化系统的风险等级也是由这两个参数决定的。
先是系统的关键性，系统的关键性可以通过几个问题来确定，确定的方法是通过N个问题（由于这里没有出处，所以我不敢乱说具体几个问题，我们公司以前是六个问题），这N个问题，如果三分之二个N以上是选择是的话，那么关键性就是高，如果三分之一到三分之二选择是的话就是中，剩余的就是低。
那么有哪些问题呢？
我们可以这么想。
系统是否与放行直接有关
系统产生的数据是不是用于申报注册
系统是否与其他系统相连接，是否有很多（这里的数字自己确定）用户
总之就是按照这个思路就可以

然后再讲系统的复杂性
确定高中低的方式也是通过以上标准，而问题的思路却变了。
系统是否可以配置（GAMP分类四类以上）
系统是否是网络版的
系统是否连接多个设备或者组件
按照这个思路可以提更多的问题来判断复杂性的高中低

然后我们根据复杂性和关键性里确定系统的风险等级。
就是低低得低，低中得低，中中得中，低高得中，然后是高中得高，高高得高。
这样得出来得结果是风险等级，最后风险等级还要应用于系统优先级的判定。

我写的慢一些，就是希望大家能多点讨论和反驳，这样可以把一件事情彻底的说清楚。因为不敢说我写的是完全对的，也不敢说我写了你们能完全看进去。只是希望大家能够慢慢的咀嚼，慢慢的体会，最终我们把这个问题说清楚了，才是我的最终的目的。

xys222515

感谢分享，字符不够。

terbiumcf

非常感谢，学习了！