南海呈森网

【知识分享】计算机化系统的使用与管理SOP

【知识分享】计算机化系统的使用与管理SOP

关于我们

德大医学成立于2014年,专注从事医械产品上市前的法规、技术领域咨询等服务主营业务:产品注册,临床试验、同品种评价、海外注册、进口注册、质量体系建立及维护、技术转移、医工转化、概念验证等。经过近10年的不断发展壮大,德大建立了一支行业实操经验丰富,充满活力的服务团队,并与国内多家临床机构及检测公司建立了良好的合作关系;德大团队坚持为客户提供一站式管家式服务,旨在帮助客户最大程度降低注册风险、缩短项目周期、 加速产品早日上市。

公司特点:针对不同品种医疗器械提供个性化咨询服务。

德大医学有若干技术讨论群,欢迎医械行业同仁进群,与大家交流技术及工作问题。

来源:Gxp CSX

1. 目的

为规范本企业计算机化系统(以下简称“系统”)的日常使用、维护、管理活动,确保系统安全、稳定、高效运行,保障数据完整、准确、可追溯,符合GAMP5、NMPA GMP附录10、NMPA GLP、FDA《生产和质量管理系统软件的计算机软件保证》、EMA、OECD GLP及ISPE等法规指南要求,防范系统安全风险、数据泄露风险,特制定本标准操作规程(SOP)。

2. 适用范围

本SOP适用于本企业所有用于GxP相关活动的计算机化系统的日常使用、操作、维护、安全管理、数据管理等活动,涵盖系统所有用户(包括操作人员、管理员、维护人员等),涉及系统全生命周期的运行阶段管理。

3. 职责

3.1 质量部(QA)

  • 负责本SOP的制定、修订、审核与发布,监督本SOP的执行情况,确保符合相关法规指南要求;

  • 负责监督系统使用过程中的数据完整性、合规性,检查系统操作记录、审计跟踪记录,发现问题及时提出整改意见;

  • 负责系统使用相关培训的监督,确保操作人员具备相应资质,严格按照SOP操作;

  • 负责系统运行过程中偏差、异常情况的审核与处理,跟踪纠正措施和预防措施的落实;

  • 依据OECD GLP要求,监督非临床研究相关系统的使用与管理,确保数据可用于监管提交。

3.2 信息技术部(IT部)

  • 负责系统的日常维护、故障排查、系统升级、安全管理,确保系统稳定运行;

  • 负责系统用户账号、权限的创建、分配、修改、注销,严格执行权限分级管理;

  • 负责系统数据的备份、恢复,确保数据安全、完整,符合数据保存要求;

  • 负责系统使用相关的技术支持,解答用户操作过程中遇到的问题,提供技术培训;

  • 依据ISPE和GAMP5要求,对系统进行日常监控,记录系统运行状态,及时发现并处理系统异常;

  • 负责系统相关日志(如系统日志、审计跟踪日志)的管理,确保日志完整、可追溯。

3.3 使用部门

  • 负责组织本部门操作人员学习本SOP及系统操作手册,确保操作人员熟练掌握操作流程;

  • 负责本部门系统用户的日常管理,督促操作人员严格按照SOP操作,规范使用系统;

  • 负责及时反馈系统运行异常、操作问题,配合IT部开展故障排查、系统维护;

  • 负责本部门系统操作记录的整理、归档,确保操作记录完整、准确,符合数据完整性要求;

  • 依据NMPA GMP/GLP要求,确保操作人员仅在授权范围内操作,严禁越权操作、违规操作。

3.4 系统用户

  • 严格按照本SOP及系统操作手册操作,不得违规操作、越权操作;

  • 妥善保管自己的用户账号、密码,严禁转借他人使用,定期更换密码,确保账号安全;

  • 及时记录系统操作过程,确保操作记录真实、准确、完整,不得伪造、篡改操作记录;

  • 发现系统运行异常、数据错误、操作问题时,及时向本部门负责人和IT部报告,不得擅自处理;

  • 参加系统使用相关培训,主动学习系统操作技能和相关法规要求,提升合规意识。

4. 法规依据

  • GAMP5《基于风险的合规GxP计算机化系统方法》(ISPE,2019版)

  • NMPA GMP 附录10《计算机化系统》(2026年版)

  • NMPA GLP《药物非临床研究质量管理规范》(2020年版)

  • FDA《生产和质量管理系统软件的计算机软件保证》(2026年版,Docket No. FDA-2022-D-0795)

  • EMA《计算机化系统验证指南》(2023年版)

  • OECD GLP《计算机化系统应用原则》(草案,2026年版)

  • ISPE《数字化验证良好实践指南》(2025年版)

  • 其他相关国家/地区法规、指南及企业内部管理要求。

5. 系统使用管理

5.1 用户账号与权限管理

  • 系统用户账号实行“一人一号”原则,由IT部根据使用部门的申请,创建用户账号,分配相应权限,权限分配遵循“最小权限原则”,即仅授予用户完成本职工作所需的最小权限,严禁授予不必要的权限;

  • 用户账号创建后,IT部需及时将账号信息告知用户,用户需在首次登录后,立即修改初始密码,密码需符合安全要求(如长度不小于8位,包含字母、数字、特殊符号),定期(每3个月)更换密码,严禁使用简单密码、重复密码;

  • 用户因岗位变动、离职等原因,不再需要使用系统时,使用部门需及时向IT部提交账号注销申请,IT部在24小时内完成账号注销,收回相关权限;岗位变动需调整权限的,提交权限调整申请,IT部及时调整;

  • 严禁用户转借账号、密码给他人使用,严禁共用账号,严禁越权操作(如操作人员擅自修改系统配置、删除数据、访问未授权功能);

  • IT部定期(每6个月)对系统用户账号、权限进行排查,清理闲置账号、冗余权限,确保账号、权限管理合规,排查结果记录存档。

5.2 系统操作流程

  • 操作人员在使用系统前,需确认系统运行正常,检查硬件(如电脑、打印机、网络)、软件无异常,方可登录系统;

  • 登录系统时,需输入正确的账号、密码,登录后及时确认自己的权限范围,核对系统显示的用户信息,确保登录账号正确;

  • 操作人员需严格按照系统操作手册和本SOP的要求,开展操作活动,如数据录入、查询、修改、审核、审批等,操作过程中需认真核对数据,确保数据准确无误;

  • 数据录入时,需真实、准确、完整,不得伪造、篡改数据,录入完成后,需进行自我复核,必要时由其他授权人员进行复核,复核通过后提交;

  • 严禁擅自修改已提交的数据,如需修改,需按照《数据修改管理规程》执行,履行审批手续,记录修改原因、修改内容、修改人、修改时间,确保修改过程可追溯;

  • 操作完成后,需及时保存操作记录,关闭系统相关界面,退出登录,防止账号被他人冒用;长时间离开岗位时,需锁定系统或退出登录,确保系统安全;

  • 系统操作过程中,如需打印相关数据、报表,需履行审批手续,打印后的纸质文件需妥善保管,标注相关信息(如系统名称、打印人、打印时间),防止丢失、篡改,纸质文件归档按照《文件管理规程》执行。

5.3 禁止性操作

  • 严禁未经授权登录系统、越权操作系统;

  • 严禁伪造、篡改系统数据、操作记录、审计跟踪记录;

  • 严禁在系统中安装无关软件、病毒软件、恶意程序,严禁修改系统配置、注册表、软件参数;

  • 严禁将系统相关数据、技术资料泄露给外部人员,严禁私自复制、传播系统数据;

  • 严禁使用未经授权的移动存储设备(如U盘、移动硬盘)连接系统终端,如需使用,需经IT部批准,进行病毒查杀后,方可使用;

  • 严禁在系统终端浏览无关网站、下载无关文件,严禁利用系统进行与工作无关的活动;

  • 严禁擅自关闭系统、重启服务器,严禁破坏系统硬件、软件。

6. 系统维护管理

6.1 日常维护

  • IT部建立《系统日常维护记录表》,安排专人负责系统的日常维护,维护内容包括:硬件检查(服务器、终端、网络设备)、软件检查(系统运行状态、补丁更新)、日志清理、磁盘空间整理等;

  • 日常维护频率:服务器、网络设备每日检查1次,终端设备每周检查1次,系统软件每月检查1次,及时发现并处理潜在问题;

  • 维护人员开展维护工作时,需记录维护内容、维护时间、维护结果,发现异常及时处理,无法解决的,及时联系供应商提供技术支持;

  • 使用部门操作人员发现系统运行异常(如登录失败、数据无法录入、系统卡顿、报错等),需及时向本部门负责人和IT部报告,填写《系统异常报告表》,说明异常现象、发生时间、影响范围;

  • IT部接到异常报告后,需在规定时间内(一般问题2小时内,重大问题30分钟内)开展故障排查,制定解决方案,及时处理,处理完成后,反馈给使用部门,记录故障处理过程、结果。

6.2 系统升级与补丁更新

  • 系统升级、补丁更新需由IT部提出申请,结合系统运行情况、法规要求、供应商建议,制定升级/更新方案,明确升级/更新内容、时间、步骤、风险控制措施,经质量部、使用部门审核批准后,方可实施;

  • 升级/更新前,IT部需对系统数据进行全面备份,确保数据安全,同时通知使用部门,安排好工作,避免影响正常工作开展;

  • 升级/更新过程中,严格按照升级/更新方案执行,记录升级/更新过程,发现问题及时暂停升级/更新,采取应急措施,防止系统损坏、数据丢失;

  • 升级/更新完成后,IT部开展系统测试,验证系统运行正常、功能完好,数据完整,无异常,同时通知使用部门,恢复系统使用;

  • 升级/更新相关文件(如升级方案、测试记录、备份记录)需妥善归档,更新系统操作手册,开展相关培训,确保操作人员掌握升级后的系统操作方法。

6.3 系统备份与恢复

  • IT部建立系统数据备份制度,明确备份频率、备份方式、备份存储位置、备份文件保存时限,确保数据备份合规、有效;

  • 备份频率:核心数据(如生产数据、检测数据、申报数据)每日备份1次,系统配置、软件程序每周备份1次,每月进行1次全量备份;

  • 备份方式采用“本地备份+异地备份”相结合的方式,本地备份存储于专用服务器,异地备份存储于安全的异地存储设备,防止因本地设备损坏导致数据丢失;

  • 备份文件需加密存储,标注备份时间、备份内容、备份人,妥善保管,保存时限符合NMPA GMP/GLP、FDA、OECD等法规要求,至少保存至系统退役后5年;

  • IT部定期(每3个月)对备份数据进行恢复测试,验证备份数据的完整性、可恢复性,测试结果记录存档;

  • 当系统发生故障、数据丢失时,IT部需及时启动数据恢复程序,利用备份数据恢复系统和数据,恢复后验证数据完整、系统运行正常,记录恢复过程、结果。

7. 数据管理

7.1 数据完整性管理

  • 系统数据需遵循ALCOA++原则,确保数据可归因、可读、同时记录、原始、准确、完整、一致、持久,严禁伪造、篡改、删除数据;

  • 系统需具备审计跟踪功能,自动记录所有用户的操作行为,包括登录、注销、数据录入、修改、删除、查询、审批等,审计跟踪记录需包含操作人、操作时间、操作内容、操作结果,不得篡改、删除,保存时限与数据保存时限一致;

  • 电子数据与纸质数据同时存在时,需明确主数据类型(电子数据或纸质数据),主数据需符合数据完整性要求,副数据需与主数据一致,不得存在矛盾;

  • 以电子数据为主数据时,需确保电子数据可打印、可追溯,采用物理或电子方式保护数据安全,防止故意或意外损害,日常维护和系统变更时,需检查数据的可访问性和完整性;

  • 质量部定期对系统数据进行检查,核查数据的完整性、准确性,检查审计跟踪记录,发现数据异常、篡改等问题,及时开展调查,采取纠正措施。

7.2 数据保存与归档

  • 系统数据的保存时限需符合相关法规指南和企业内部要求,涉及药品生产、质量控制、非临床研究、临床试验、注册申报的系统数据,至少保存至产品有效期满后1年,无有效期的,保存至少5年,涉及注册申报的,保存至注册申请终止或批准后5年;

  • 电子数据需存储在专用服务器,加密保护,定期备份,确保数据可访问、可追溯,电子数据的归档按照《文件管理规程》执行;

  • 纸质数据(如打印的报表、操作记录)需整理、装订,标注系统名称、数据所属时间段、归档人、归档时间,存放于指定档案柜,妥善保管,防止损坏、丢失;

  • 数据归档后,查阅、复制需履行审批手续,严禁未经授权查阅、复制、篡改归档数据;

  • 系统退役时,需将所有数据迁移至指定存储设备,按照数据保存时限继续保存,确保数据可追溯。

8. 系统安全管理

8.1 网络安全

  • 系统网络需与外部网络隔离(如需要连接外部网络,需经企业管理层批准,采取防火墙、加密等安全措施),防止外部攻击、数据泄露;

  • IT部定期检查网络设备(如路由器、防火墙)的运行状态,更新网络安全策略,防范网络安全风险;

  • 严禁私自更改网络配置、IP地址,严禁私自连接外部网络,严禁在系统终端接入不安全的网络;

  • 定期对系统网络进行病毒查杀、漏洞扫描,及时修复网络漏洞,防止病毒、恶意程序入侵。

8.2 硬件安全

  • 系统硬件(服务器、终端、网络设备、存储设备)需放置在安全、干燥、通风、防尘的环境中,避免阳光直射、潮湿、高温、震动,防止硬件损坏;

  • 硬件设备需由专人负责管理,严禁未经授权拆卸、改装、移动硬件设备;

  • 定期检查硬件设备的运行状态,及时更换老化、损坏的硬件,确保硬件正常运行;

  • 服务器、存储设备等关键硬件,需配备不间断电源(UPS),防止突然断电导致系统损坏、数据丢失。

8.3 软件安全

  • 系统软件需由正规渠道获取,严禁使用盗版软件、破解软件,确保软件合规、安全;

  • IT部定期对系统软件进行病毒查杀、漏洞扫描,及时安装软件补丁,修复软件漏洞,防止软件被攻击、篡改;

  • 严禁在系统中安装无关软件、病毒软件、恶意程序,严禁修改软件配置、注册表,如需安装软件,需经IT部批准;

  • 系统软件的版权、授权需符合相关规定,及时更新软件授权,确保软件正常使用。

8.4 应急管理

  • IT部制定《系统应急预案》,明确系统故障、数据丢失、网络攻击、病毒入侵等突发事件的应急处理流程、责任分工、应急措施,确保突发事件能够及时、有效处理;

  • 《系统应急预案》需定期(每1年)修订,结合系统运行情况、法规要求、技术发展,完善应急措施;

  • IT部定期(每6个月)组织开展应急演练,模拟突发事件,检验应急预案的可行性、应急处理能力,演练结果记录存档,针对存在的问题,优化应急预案;

  • 发生突发事件时,相关人员需立即启动应急预案,按照应急处理流程开展工作,及时控制风险,减少损失,同时上报企业管理层和质量部,记录应急处理过程、结果。

9. 培训与考核

  • IT部、质量部联合使用部门,定期组织开展系统使用、管理相关培训,培训内容包括本SOP、系统操作手册、相关法规指南、数据完整性要求、系统安全知识、应急处理流程等;

  • 新入职操作人员、岗位变动人员,需经培训合格后,方可独立操作系统;

  • 培训后需进行考核,考核方式包括理论考试、实操考核,考核合格者,颁发培训合格证书,考核不合格者,需重新培训、考核,直至合格;

  • 培训记录、考核结果需妥善归档,确保可追溯;

  • 当本SOP、系统操作手册、相关法规指南发生变更时,需及时开展再培训,确保相关人员掌握最新要求。

10. 监督与检查

  • 质量部定期(每3个月)对系统使用、管理情况进行监督检查,检查内容包括:用户账号与权限管理、系统操作合规性、数据完整性、系统维护、安全管理、培训考核等,发现问题及时提出整改意见,跟踪整改落实;

  • 使用部门每月对本部门系统使用情况进行自查,自查结果记录存档,及时整改自查中发现的问题;

  • IT部定期(每6个月)对系统运行状态、维护情况、安全情况进行检查,确保系统稳定、安全运行;

  • 企业内部审计时,需将系统使用与管理纳入审计范围,审计本SOP的执行情况、系统合规性;

  • 接受NMPA、FDA、EMA、OECD等监管机构的检查,积极配合提供相关文件、记录,及时整改检查中发现的问题。

11. 偏差与纠正预防措施

  • 系统使用、管理过程中发现的偏差(如违规操作、数据错误、系统异常、安全漏洞等),需及时记录在《偏差处理记录》中,明确偏差描述、发生时间、地点、原因;

  • 使用部门、IT部联合质量部开展偏差调查,分析偏差原因,评估偏差对系统运行、数据完整性、合规性的影响;

  • 根据偏差调查结果,制定纠正措施和预防措施,明确责任人、完成时限,跟踪措施的落实情况,确保偏差得到有效解决;

  • 偏差处理完成后,需验证纠正措施的有效性,记录验证结果,重大偏差需上报企业管理层,必要时咨询监管机构。

12. 附则

  • 本SOP由质量部负责解释,自发布之日起施行;

  • 本SOP需根据相关法规指南的更新、企业实际情况的变化、系统升级改造,及时修订,修订流程按照《文件管理规程》执行;

  • 本SOP未尽事宜,参照GAMP5、NMPA GMP/GLP、FDA、EMA、OECD、ISPE等相关法规指南执行;

  • 本SOP涉及的相关记录表格(如《系统日常维护记录表》《系统异常报告表》《偏差处理记录》等),由质量部统一制定、发放、管理。

END

【免责声明】本文为转载,德大不对其准确性、立场性及观点负责。如涉及版权问题请联系德大器械产业管家或联系电话17712584826,我们将立即处理,以保障各方权益。

chengsenw