本文中观点不代表任何公司和组织,如有觉得有冒犯的地方,请于后台联系,我会及时删除。所有分享案例都具有孤立性,仅供参考。
受检机构/公司:US Societalty Formulations LLC
城市:美国xxxx
类型:Outsourcing Facility
FEI号:3003434972
检查日期:2017年8月9日至2017年8月29日
![]()
![]()
观察5
没有对计算机或相关系统施加适当的控制,以确保主生产和控制记录或其他记录的更改仅由授权人员执行。
具体来说,
在检查用于进行测试的(b)(4)软件(版本(b)(4))时,观察到以下情况:
a. 计算机操作系统不需要登录。b. 包含测试结果的原始数据文件可以在Windows操作系统中删除。c. 原始数据的删除未记录在系统审计追踪中。d. 包括实验室人员和运营主管在内的三个人在软件中拥有管理员级别的权限。
西门的吐槽:
1.操作系统没有权限管理,这个是必须的infra和app,即基础架构和应有系统,所有权限应该与其职责相匹配
2.原始数据未开始防删除保护,当然如果在验证或者确认过程中发现部分系统无法开启这个功能,那就得做两方面,一个是加强备份频率和核对频次,一个是加强数据核对的颗粒度(比对审计追踪中生成\处理的数据 应与所有平面文件数量比对得上、规定好数据保存路径以便于核查 等等)
3.审计追踪未能记录所有关键活动(一样的,应该通过评估或者验证识别at有缺失,如果没有流程来凑,使用日志应能记录,所有系统重要的操作,这里需要注意,不需要记录登录登出,只要记录与序列运行,数据处理相关操作)正如FDA对于part11最近的一个指南解释中(审计追踪是否应该记录每次按键操作?不需要在审计追踪中记录每次按键操作。然而,审计追踪应该记录用户为创建、修改或删除电子记录(例如,保存或提交)而采取的特殊行为。对已完成字段的任何编辑都应捕获在审计追踪中。如果存在提交数据的编辑检查并提示用户进行更正,审计追踪应包括原始响应、编辑检查提示更正的事实以及作为响应所做的任何更改。)
4.系统管理员过多且有利益相关方
这是四个经典的计算机化系统的缺陷项,也是经常不被国人引起重视的项次,可能觉得我软件受控了,我关键的工艺或者检测数据是正确的,我做的东西都是sop里的,我没做sop之外的东西(做我所写,写我所做),这些对,也不对,不能认为我所认为的就是对的,不是么……不能因为认知的不足,就认为自己所做即为正确,当然事无绝对,合理才是王道,没有绝对的”正确“:
