2. 7数据完整性黑客GxP遵从性
博客

7数据完整性黑客GxP遵从性

数据完整性为食品药品监督管理局
保罗•丹尼尔Vaisala
高级GxP合规专家
发表: 2018年11月20日
生命科学
在这个博客,我们回答客户问题GxP监视应用程序的数据完整性。


问题:有一个特定的事件,引发了新的数据完整性的指导吗?

数据完整性对FDA的一个新兴领域,正如你所看到的在这个网络研讨会的一部分,我们看看最近的警告信。2014年我们看到10 FDA警告信违反数据完整性;到2017年,我们看到56这样的信件。
有一连串的事件在亚洲多个站点涉及校准不当和操作高效液相色谱法原始数据。这些明显的数据完整性失败镀锌监管审查的增加。这些事件在很多方面是相似的,他们有一个杜撰的故事,是一个特定的事件开始。但所有这些故事的共同点某些元素,如高科技电脑系统,全球化的供应链,和不成熟的质量文化。

在其中的一个真实事件,实验室的问题有一个“实践。”在stead of using a standard to calibrate the device, they simply used the sample of the batch that they were analyzing. If that sounds confusing, a simple analogy is useful; what they did was like deciding that you are two meters tall by taking a string that is as long as you are tall, and calling the string 2m. You then measure your height using the string, and conclude that you are in fact 2 meters tall. Circular reasoning.
再次,在很多情况下,更新设施相关的设施都没有成熟的高质量文化,配备新培训的,大概是善意的员工使用高科技的电脑设备。至关重要的是,他们使用这项技术不正确,尽管没有明显的方式。

美国国会通过了2012年FDA安全与创新行为,要求该机构检查设备在国外生产的药物或药物组件分布在美国在2014年,FDA警告信送到公司,工厂在印度澳大利亚、奥地利、加拿大、中国、德国、日本、爱尔兰和西班牙。观察范围从数据完整性失败,不足质量测试和污染事件。

问题:关于访问控制,将更多的系统管理员是一个问题,可能会带来一个观察在检查?一个可接受的数是多少?3 - 4 ?8到10吗?

一般来说,无关的水平的管理访问权限是一个问题。但是它不是真的可能把一个确切数字不知道更多关于你面对什么样的系统。该系统是做什么的?系统用户有多少?该系统使用24/7,或只是在工作时间。

至少,你会有2对任何系统管理员。一个管理员是太少了,因为那个人可能离开一天。10管理员…听起来很多如果你只有20个用户系统上。但是如果你有2000的系统用户,10管理员可能还不够。关键是确保只有拥有管理权限是那些需要管理权限来做他们的工作。

问题:什么是“足够的控制”,防止更改或未经授权的访问数据?

标准的方法是使用一个双重认证系统来限制访问系统。在大多数软件,这是用独特的用户名和密码。我们如何控制对系统的访问。现在我们决定哪些用户可以进行更改。通常这样做是与权利分配的用户配置文件。确定系统中的特定用户可以采取什么行动。经典,这是由不同类型的用户定义的,如:
•视图只
•主管
•经理
•管理员

关键问题是要确保每个用户类的能力匹配他们的工作角色。给人们不必要的访问创建错误的机会。

问题:我们如何提供控制以防止数据遗漏/删除吗?

这是非常接近的问题关于变化和未经授权的访问。对于遗漏/删除,标准的控制是审计跟踪。设计一个适当的审计跟踪捕获的事件会涉及记录创建、修改和删除。但一个审计跟踪只是有用,如果我们回顾它检测数据已被修改或删除的时候。遗漏是难以检测,但应能通过审查的审计跟踪,或者只是通过足够的审查数据的报告过程中,保证原始数据记录。

在我们的工厂,我们有共同的登录我们的监控系统。是要升旗在审计吗?
它肯定会提高很大的红旗。任何共享登录会脱颖而出,因为它创建了一个情况变化或操作系统中不会由一个特定的人。还记得美国铝业缩写吗?其中一个一个的代表可归属。在Vaisala viewLinc系统只限查看访问,我们可以创建一个用户,不能做任何修改。它可能很容易认为拥有一个共享只限查看帐户不会创建一个数据完整性问题,因为不能改变,但是…

至少,它会抓住一个审计师的注意,你需要解释它。你真的想避免曾经向审计师解释什么,因为从未保证审计师会同意,这就为审计人员提供了更多的问题。总之,这是一个危险的做法。理想情况下,每个用户都有一个独特的非共享帐户。访问控制是自然的下一步;仅仅因为用户无法更改数据时,他们并不意味着它是可以看着它。


问题:我们应该如何处理的情况下,我们怀疑可能是不小心删除一些数据吗?

这里有两个问题:
一个是你认为数据已被删除。另一个是你认为可能会发生意外。我的第一步是检查审计跟踪。第11部分要求审计跟踪捕获的创建、修改和删除的记录。所以你应该能够确定数据删除。如果数据被删除(和你想要回到系统)你将开始一个偏差的过程中恢复被删除的数据。到底如何将取决于系统的数据恢复。

现在让我们处理的数据被意外删除。在这种情况下,可能会有一个问题在你的工作流程设计,或者员工的访问级别。所以应该有一个卡帕,可能的偏差,来评估。至少,你需要重新培训员工,检查访问变化,并可能重新配置您的工作流。

问题:如果我们将原始数据复制到CD和擦除硬盘上的数据,我们怎样才能确保确保所有原始数据复制到CD之前删除它们永久的开车吗?

你这里描述的是一个什么数据迁移的过程。
您需要构建一些验证步骤,这样你就可以确保所有数据迁移和数据在迁移过程中不改变。你可以做验证迁移之前和之后的文件数量是相同的。您可以验证数据文件夹的大小没有改变之前和之后。如果你经常做这样的数据迁移,您可能要考虑验证过程。

进一步阅读关于这个主题:

添加新评论