计算机验证与数据完整性“十大误区”（一）

附录《计算机化系统》12月1日就生效了，相关的“技术标准、管理文件、操作SOP”，大家突击一下也就补齐了，关键是“计算机验证和数据完整性”，把很多人都快逼疯了！

各种培训课件满天飞、各家供应商八仙过海，技术文章掺杂了恐吓语言，那边厢闹哄哄风生水起，这边厢迷糊糊诚惶诚恐，我都快被吓傻了！

对于计算机验证，对于数据完整性，我陆陆续续也参加了6、7次的培训，质量管理的听不懂计算机基础知识和数据完整性技术手段，技术人员听不懂GMP知识和验证程序，技术和GMP之间的距离，确实还很远！

每次我都会提醒大家，计算机并不是什么特殊的东西，他只是一种自动化控制工具，是设备或者系统不可分割的一部分，是设备或者系统的一个关键部件，计算机已经渗透到我们生活和工作的方方面面，对他的管理和验证，没有必要搞得那么神神秘秘、高深莫测，蒲公英论坛早有文章揭开了“计算机验证的神秘面纱”，很多人还是执迷不悟！

误区一：

计算机化系统要有一套完整、独立的文件体系！

很多人认为计算机化系统必须有单独的《计算机化系统管理规程》、《计算机化系统验证主计划》、《计算机化系统变更管理规程》、《计算机化系统偏差管理规程》、《计算机化系统操作管理规程》、《计算机化系统维护管理规程》……单独的预防性维护计划、单独的供应商评估文件、单独的人员岗位职责和资质确认规程……甚至认为，每一个计算机系统要有单独的风险评估文件、每一个计算机系统要有单独的与被控对象分开的操作SOP、与被控对象分开URS/FAT/DQ/IQ/OQ/PQ，反正，只要别的设备有的，计算机化系统也要有，恨不得为“计算机化系统”另外建立一套完整的独立的GMP体系文件！

无语中……大家可以看看这篇文字吧：

【原创】计算机化系统管理文件体系需要单独建立吗？

http://www.ouryao.com/forum.php?mod=viewthread&tid=280563&fromuid=19880

误区二

不管新旧计算机系统都需要全流程的确认与验证！

新的法规明确提出了计算机化系统验证的要求，很多人认为一定要有与被控对象分开的、独立的计算机系统的URS/FAT/DQ/IQ/OQ/PQ，殊不知，离开了自控系统，设备根本无法操作，更无法单独做OQ/PQ，而单独做计算机系统的确认与验证，离开了被控对象，除了IQ，其它做得都毫无意义。

《确认与验证》附录明确规定：

企业应当对新的或改造的厂房、设施、设备按照预定用途和本规范及相关法律法规要求制定用户需求，并经审核、批准。

新的或改造的厂房、设施、设备需进行安装确认。

企业应当证明厂房、设施、设备的运行符合设计标准。（证明手段不只是确认与验证，日常的所有活动都可以提供更多的证明）。

而对于旧的系统，“对设施、设备、工艺、清洁方法应当进行定期评估，以确认它们持续保持在验证状态。”劳民伤财地“补做”不必要的确认与验证，投入成本与计算机系统的质量风险严重不平衡，而且“日常运行应该才是最好的验证！”

那么我们应该怎么做呢？

1、对所有涉及计算机控制的设备、系统登记造册、做好分类台账，制定确认与验证策略，只有用来满足生产质量活动、同时需要符合GMP规范要求的计算机系统才要纳入附录《计算机化系统》的管理范畴。

2、收集建设期及现有的计算机化系统的工程文件、技术资料、运维记录、历史数据、偏差、变更活动的记录……进行审核。

3、采用差距分析的方法对照计算机系统相关法规进行“法规符合性审核”，如果有缺陷就纳入整改。

4、对于生产工艺、产品质量、数据完整性方面的风险进行回顾审核或者再评估。

5、对于以上“审核、回顾、再评估”活动中发现的“不符合项、缺陷项、不可接受的风险”进行处理，然后根据评估结果对必要的、相关的、部分的项目进行确认和验证。

6、持续的回顾审核与评估！

法规生效前的计算机化系统的确认与验证！

http://www.ouryao.com/forum.php?mod=viewthread&tid=286764&fromuid=19880

[原创]《确认与验证》下月生效怎么办？

http://www.ouryao.com/forum.php?mod=viewthread&tid=289461&fromuid=19880

误区三

把系统“权限管理”作为计算机化系统安全管理的唯一手段！

计算机系统的访问控制、权限管理当然十分重要，包括房间的限制进入、门禁管理，包括防火防盗防黑客……这些肯定是很重要的，但是更重要的是，我们的数据在形成、采集、录入、修改、存储、备份、转移、检索、计算、处理、输出、引用、失效、删除、恢复、报废……每一个过程中，除了权限设置，有没有对产生数据的装置进行校准，有没有对处理数据的PLC（计算机）进行校准、有没有对人员的行为习惯进行培养（而不仅仅是培训）、有没有对每一步骤的操作方法进行严格的规定？把硬件设施的物理安全性、软件的逻辑安全性看的过重，忽略了很多本身应该做的工作。

岂不知数据的安全性，更大程度上取决于权力和利益。

通过各种科学的方式方法让作假成为“不需要”远比通过软硬兼施让作假变得“不可能”更重要!

数据完整性——权力是最可怕的黑客！

http://www.ouryao.com/forum.php?mod=viewthread&tid=275006&fromuid=19880

（待续）