一文了解遗留系统管理,19份法规指南横向对比
2024-07-18 16:13:12近些年关于数据可靠性及计算机化系统管理方面的法规及指南更新速度较快,关于同一主题不同文件由于侧重不同会存在一些细节上的区别,在项目管理过程中,笔者发现很多药品生产企业在建立相应流程时会出现遗漏重点或是由于参考过多法规导致管理混乱的情况。鉴于此,笔者梳理国内及国际主流市场的19份法规与指南,就不同主题的管理要求进行总结。
法规/指南筛选原则:官方发布、发布时间为近十年、非只针对某一主题的(例如计算机化系统验证)。筛选出这19份也不意味着每一份的每一个要求都要满足,大家应结合企业发展阶段及产品特性筛选出适用的法规/指南。
本期主题为:遗留系统管理
在项目执行过程中,比起对于新系统的验证,企业会觉得遗留系统的管理是更加棘手的问题。产生遗留系统的情况有很多,例如:①厂房车间建设时间较长,当年购置的设备仪器等还希望继续使用,但是系统版本较早甚至供应商已经不再提供服务;②即使是新建厂房并新购置系统,但是由于建设初期未考虑后续执行问题,导致当GMP质量体系建立起来时,系统上线即“过时”;③系统已经退役,但是为了保证已归档数据的可读性,则该遗留系统仍需继续保存并可用。而遗留系统带来的问题也很多,例如:权限级别不够、账户不够、系统管理员密码丢失、审计追踪功能缺失、内存不足、过往验证资料内容过于简单、无法连入局域网、没有接口或者接口过少等等。而在没有更换计划或者有计划但仍需暂时使用的情况下,遗留系统的风险如何降低、应该补充哪些配套管理,是很多企业关心的问题。故此,作为第四个主题进行整理。
内容分类:
- 基本原则,遗留系统应进行管理。
- 初级要求,遗留系统如功能存在缺陷(例如:仅支持共用账号、缺少审计追踪功能或功能缺失、可被打印内容不足)首选应1、升级或更换系统,需保证过往数据依旧完整可读,如不可行则→2、使用第三方软件或插件,相关功能需进行确认,如仍不可行则→3、采用替代的控制来达成目的(例如:建立SOP、补充纸质日志或记录、人员填写记录),通过书面证据(例如:风险评估)来证明已寻求过合规解决方案,而降低风险的措施暂时支持继续使用,但是仍不鼓励使用遗留混合系统,应建立系统升级或更换计划;遗留系统在安装和验证期间应确保审查和理解所有事件日志内容,且关键信息应在已验证的审计追踪记录中体现;遗留系统的数据归档后,应定期确认数据在遗留系统中是否可读(意味着遗留系统或其副本仍需继续保存,注意保证相关软硬件的支持),如在原遗留系统中已不可读,则应考虑其他手段,例如:数据迁移至新系统以尽可能多地保留数据“真实副本”属性的替代文件格式,或对旧系统进行镜像/虚拟环境(需要平衡数据迁移的风险和镜像的可实操性)。
- 进阶要求,如果仍继续使用供应商不再支持的旧版本,或受支持的版本未打安全补丁,则应尽可能将该系统(服务器)与网络的其余部分隔离,剩余的接口和与其他设备之间的数据传输应仔细设计、配置和验证,以防止不受支持的操作系统造成的漏洞被利用。
- 管理细节,N/A。
Ps:关于遗留系统验证方面的内容未在本文中整理,感兴趣的同仁可以参考WHO TRS 1019 Annex3 Appendix5 12.6-12.10的内容。
后续我们也会跟随法规及指南进行更新,大家有感兴趣的主题,也可以留言回复,我们会根据大家关注热点继续安排文章。
- 上一篇:药政法规更新摘要(2024年6月)
- 下一篇:药政法规更新摘要(2024年4月)