变更原因‌：

GMP/GDP 检查员工作组与 PIC/S 委员会联合建议，对现行《计算机化系统》附录 11 进行修订，以反映监管环境和生产环境的变化。修订后的指南应明确监管机构的要求和期望，并消除模糊表述与不一致之处。

• 范围
• 原则
• • 药品质量体系
  • 风险管理
  • 人员与培训
  • 系统要求
  • 供应商和服务管理
  • 警报
  • 确认与验证
  • 数据处理
  • 身份与访问管理
  • 审计追踪
  • 电子签名
  • 定期审核
  • 安全性
  • 备份
  • 归档

‌介绍‌
随着信息技术环境的不断演变、云服务使用的日益增加，以及药品生产质量管理规范（GMP）活动中所用计算机化系统新技术的引入，对更新监管要求指南的需求日益增长，同时也需要欧盟（EU）成员国与药品检查合作计划（PIC/S）成员国之间采用统一的方法。更新后的附录11规定了在受GMP监管的活动中使用计算机化系统的要求，进而确保产品质量、患者安全和数据完整性。

‌范围‌
本附录适用于药品和活性物质生产中使用的所有类型的计算机化系统。

‌原则‌

• 生命周期管理：计算机化系统在使用前应经过验证，并在其整个生命周期内保持验证状态。
• 质量风险管理：在药品生产质量管理规范（GMP）活动中使用的计算机化系统的整个生命周期阶段，均应应用质量风险管理（QRM）。
• 替代做法：若能证明并记录某些做法可提供同等或更高水平的控制，则可采用这些做法替代本文件要求的活动。
• 数据完整性：药品生产质量管理规范（GMP）活动中所用系统捕获、分析和报告的数据必须可信。
• 系统要求：描述受监管用户在执行药品生产质量管理规范（GMP）活动时所自动化并依赖的功能的系统要求，应形成文件并保持更新。
• 外包活动：当采用外包活动时，受监管用户仍对遵守本文件中的要求负有全部责任。
• 安全性：受监管用户应及时了解新型安全威胁，并在必要时及时实施和改进相关防护措施。
• 无风险增加：当计算机化系统替代另一系统或人工操作时，不应导致产品质量、患者安全或数据完整性下降。

‌药品质量体系‌
受监管用户应实施药品质量体系（PQS），该体系涵盖药品生产质量管理规范（GMP）活动中使用的所有计算机化系统以及参与这些系统相关工作的人员。该体系应确保：

• 所有偏差均记录在案，并对重大偏差进行调查。
• 对计算机化系统的任何变更均以受控方式并按照规定程序进行。
• 内部审核需进行规划、实施、报告及后续跟进。
• 定期管理评审应涵盖相关绩效指标。
• 高级管理层应有效监督控制状态，分配适当资源，并营造一种倡导数据完整性、安全性以及及时有效处理偏差的文化。

‌风险管理‌

• 生命周期：在计算机化系统的整个生命周期内应用质量风险管理（QRM）。
• 识别与分析：对药品生产质量管理规范（GMP）活动中使用计算机化系统所涉及的风险进行识别和分析。
• 适当的验证：验证策略和验证工作应根据系统的预期用途以及对产品质量、患者安全和数据完整性的潜在风险来确定。
• 风险缓解：通过修改工艺或系统设计来缓解风险。
• 数据完整性：评估数据对产品质量、患者安全和数据完整性的重要程度。

‌人员与培训‌

• 合作：所有相关方之间应开展密切合作。
• 培训：所有参与GMP活动中计算机化系统相关工作的人员均应接受充分的系统专项培训。

‌系统要求‌

• GMP 功能：受监管用户应制定并批准一套系统要求，以准确描述其在执行GMP活动时所自动化并依赖的功能。
• 范围与详细程度：所定义要求的范围和详细程度应与系统的风险、复杂性和新颖性相匹配。
• 所有权：受监管用户应仔细审核并批准供应商提供的需求规格说明书。
• 更新：在系统的整个生命周期内对要求进行更新和维护。
• 可追溯性：建立并维护要求、设计规格和确认验证测试用例之间的可追溯关系。
• 配置：明确通过系统配置修改或新增了哪些功能。

‌供应商与服务管理‌

• 责任：受监管用户仍对依赖供应商或服务提供商的活动负有全部责任。
• 审计：受监管用户应根据风险和系统重要性进行审计或全面评估。
• 监督：根据服务水平协议和关键绩效指标进行有效监督。
• 文件的可获得性：确保本文件所要求的各项活动相关文件可在受监管用户场所获取。
• 合同：与服务提供商签订合同，或与内部信息技术部门制定经批准的程序。

‌警报‌

• 对系统的依赖：当受监管用户依赖计算机化系统来通知某一事件时，该系统中应设置警报。
• 设置：警报限值、延迟时间以及任何预警或提示都应具备合理依据。
• 信号提示：警报应发出可见和/或可听信号。
• 确认：关键警报仅应由具备适当访问权限的用户进行确认。
• 日志：所有警报和确认信息都应自动添加到警报日志中。
• 可搜索性和可排序性：警报日志应能在源系统中进行搜索和排序。
• 审核：警报日志应依据经批准的程序进行适当的定期审核。

‌确认与验证‌

• 原则：遵循GMP附录15中的一般原则。
• 质量风险管理：基于质量风险管理原则进行确认和验证。
• 安装与配置：在开始测试前确认系统及其组件已正确安装和配置。
• 证据：提供证据以证明系统满足各项要求。
• 可追溯性：测试用例应可追溯至各项要求或规格。
• 重点：注重测试关键功能、确保活动符合GMP的功能以及保障数据完整性的功能。
• 计划与批准：按照已批准的计划、方案和测试脚本执行确认和验证活动。
• 使用前完成：确认和验证活动应在系统投入使用前成功完成并形成报告。
• 授权：受监管用户应仔细审核并授权确认和验证文件的使用。

‌数据处理‌

• 输入验证：系统应具备验证输入合理性的功能。
• 数据传输：基于经过验证的接口进行数据传输。
• 数据迁移：基于经过验证的流程进行数据迁移。
• 加密：在适用情况下对关键数据进行加密。

‌身份与访问管理‌

• 唯一账户：所有用户都应拥有唯一的个人账户。
• 持续管理：及时、适当地授予、修改或撤销用户访问权限及角色。
• 可靠识别：身份验证方法应能高度准确地识别用户。
• 机密密码：密码及其他身份验证方式应保持机密。
• 安全密码：密码应具备安全性，并由系统强制执行相关要求。
• 强身份验证：远程身份验证应包括多因素认证（MFA）。
• 自动锁定：在连续身份验证失败次数后自动锁定账户。
• 无活动登出：系统应包含自动无活动登出功能。
• 访问日志：系统应包含访问日志。
• 指导原则：遵循职责分离和最小权限原则。
• 定期审核：用户账户应接受定期审核。

‌审计追踪‌

• 人工用户交互：系统应具备审计追踪功能，以自动记录所有人工用户交互。
• 何人、何事、何时、为何：审计追踪应清晰记录变更信息。
• 禁止编辑或停用：审计追踪功能应始终保持启用并处于锁定状态。
• 便于审核：系统应便于对审计追踪数据进行审核。
• 审核：根据书面程序进行审计追踪审核。
• 独立审核：审计追踪审核应由未直接参与被审核活动的人员执行。
• 审核范围：审核应具有针对性，基于风险并适应本地生产流程。
• 审核的及时性：审计追踪审核应根据所审核流程的风险及时开展。
• 电子副本：应能够获取系统数据的完整电子副本。
• 可供质量受权人（QP）查阅：对产品放行有直接影响的审计追踪审核结果应在批次放行时可供QP查阅。

‌电子签名‌

• 范围：要求适用于GMP规定需要签名的流程中所使用的系统和工具。
• 开放系统：电子签名还应满足适用的国家和国际要求。
• 重新认证：执行电子签名时，系统应强制用户进行完整的重新认证。
• 日期和时间：系统应自动记录电子签名应用时的日期和时间。
• 含义：应明确用户何时执行电子签名。
• 显示形式：电子签名的显示形式应包含用户信息、签名含义、日期和时间等。
• 不可否认性：电子签名应具备不可否认性。
• 不可分割的关联：电子签名应与各自对应的记录永久关联。
• 混合解决方案：采取措施确保对电子记录的任何更改都会使签名失效。

‌定期审查‌

• 定期审查：系统投入运行后应进行定期审查。
• 审查范围：包括系统变更、支持流程的跟进、审计追踪审核等。
• 频率：审查频率应根据系统对产品质量、患者安全和数据完整性带来的风险来确定。

‌安全性‌

• 安全系统：实施并维护有效的信息安全管理系统。
• 持续改进：持续改进保护GMP系统和数据的措施。
• 培训与测试：受监管用户应接受周期性安全意识培训。
• 物理访问：对用于GMP活动的服务器、计算机等设备采取物理保护措施。
• 灾难与干扰：数据中心的建设应尽可能降低灾难及干扰带来的风险与影响。
• 数据复制：关键数据应从主数据中心复制到备用数据中心。
• 灾难恢复：制定灾难恢复计划并进行测试。
• 网络分段与防火墙：实施网络分段和防火墙以控制网络流量。
• 防火墙审查：定期审查防火墙规则。
• 更新的平台：及时更新操作系统和平台。
• 验证与迁移：在供应商支持到期前完成应用程序的验证和数据迁移。
• 不受支持的平台：将与不受支持的操作系统和平台隔离。
• 及时打补丁：及时部署安全补丁。
• 未打补丁的平台：将与未打补丁的操作系统和平台隔离。
• 严格管控：对双向设备的使用进行严格管控。
• 有效的扫描：对在组织外部使用过的双向设备进行有效扫描。
• 已停用的端口：默认情况下停用或移除关键服务器和计算机中用于双向设备的端口。
• 杀毒软件：安装并激活杀毒软件。
• 渗透测试：定期进行渗透测试以评估安全措施。
• 加密：使用安全且加密的协议进行远程连接。

‌备份‌

• 定期备份：定期备份数据和元数据。
• 频率与留存：备份应按适当的间隔进行，并通过基于风险的方法确定留存期限。
• 物理隔离：备份应与原始数据进行物理分离。
• 逻辑隔离：备份不应存储在与原始数据相同的逻辑网络中。
• 范围：根据恢复的重要性和紧迫性进行备份。
• 恢复测试：对从备份中恢复数据的操作进行测试并记录。

‌归档‌

• 只读：在某个流程完成后，GMP数据和元数据应受到保护。
• 验证：在删除任何数据之前验证数据的完整性。
• 备份：对归档在服务器上的数据进行定期备份。
• 耐久性：长期归档在易失性存储介质上的数据应遵循经过验证的流程。
• 检索：归档的数据和元数据应能以可搜索和排序的格式检索。

‌词汇表‌

• ALCOA+：可追溯、清晰、及时、原始、准确，进一步强调完整性、一致性、持久性和可用性。
• 应用程序：安装在特定平台/硬件上、提供特定功能的软件。
• 审计追踪：由计算机生成的、带时间戳的电子记录，能够重现与电子记录的创建、修改或删除相关的事件。
• 备份：为系统发生故障或遭遇灾难后的数据文件或软件恢复所做的准备。
• 变更控制：对系统运行情况及变更进行持续评估和记录。
• 商用现成软件：由供应商向公众提供的、可获取多份相同副本的软件或硬件。
• 计算机化系统：由受过培训的人员执行的、与计算机系统集成的功能（流程或操作）。
• 配置：功能单元的一种排列方式，涉及硬件、软件和文档的选择。
• 定制化：为特定业务流程量身设计的计算机化系统。
• 电子记录：以数字形式呈现的文本、图形、数据、音频、图像或其他信息的任意组合。
• 基础设施：为应用程序的运行提供可能的硬件和软件。
• 迁移：将电子数据从一个计算机系统传输到另一个计算机系统的活动。
• 多因素认证（MFA）：三种因素中的两种因素的组合。
• 操作系统：控制计算机运行的程序或程序集合。
• 确认：验证系统（包括硬件和软件）的设计是否有效、安装是否正确、调试是否合格以及运行是否正常的行为。
• 受监管用户：受药品GMP（良好生产规范）监管的公司。
• 规范：规定系统或组件的要求、设计、行为或其他特征的文件。
• 测试用例：为特定目标而制定的一组测试输入、执行条件和预期结果。
• 用户：受药品GMP（良好生产规范）监管的公司中的个人用户。
• 用户需求规范（URS）：以书面形式规定用户期望计算机化系统能够实现的功能。
• 验证：证明某一过程能够产生预期结果的行为。
• 验证：通过提供客观证据来确认规定要求已得到满足的行为。