Создание системы менеджмента качества в сфере целостности данных
Данная услуга направлена на создание и/или обзор существующей СМК в сфере целостности данных.
Согласно наилучшей практике, следующие темы / процессы должны быть описаны в документах (корпоративные политики, СОП, инструкции) компании:
Политика по управлению целостностью данных
Политика по управлению целостностью данных является основополагающим документом в системе управления GxP данными. Данный документ описывает действия, обеспечивающие прослеживаемость, читаемость, своевременность, подлинность и точность всех регулируемых данных (электронных и бумажных), влияющих на качество продукции и безопасность пациентов, в соответствии с нормативными требованиями. Сфера применения Политики распространяется на организации, отдельные процессы, персонал, которые генерируют, проверяют, утверждают данные поддерживающие разработку, тестирование, производство и дистрибуцию лекарственных средств и медицинских изделий.
Компьютеризированные системы
Управление изменениями и конфигурацией
Управление изменениями — механизм, позволяющий контролируемым образом управлять выполнением тех изменений, которые могут повлиять на валидационный статус системы, как это определено в базовых показателях ее конфигурации.
Процесс управления изменениями применим ко всем компьютеризированным системам, подлежащим валидации на протяжении всего жизненного цикла, начиная с завершения этапа квалификации монтажа (IQ).
Процедура управления конфигурацией определяет действия, необходимые для поддержания базового уровня конфигурации, состоящего из элементов конфигурации (программное и аппаратное обеспечение, документация), идентифицирующих систему.
Хранение, архивирование и извлечение электронных записей
Данная процедура определяет методологию, которая будет использоваться для надлежащего управления GxP критическими записями системы, определяя:
- Срок хранения записей, управляемых системами
- Методологию и обязанности по архивированию и извлечению записей
Безопасность
Процедура по безопасности должна обеспечивать контролируемый доступ к компьютеризированной системе, как с физической, так и с логической точки зрения. Логическая безопасность касается всех мер, таких как, контроль доступа, антивирусная система и т.д., связанных с защитой целостности данных. Профили пользователей должны быть определены в системе. Профиль пользователя должен включать в себя:
- однозначную комбинацию идентификации и аутентификации
- подробное описание функций, которые могут использоваться профилем пользователя
Обеспечение безопасности на физическом уровне:
- Контроль доступа в здания и помещения, где установлена КС
- Контроль доступа к оборудованию, инструментам и различным компонентам КС
Физическая безопасность напрямую зависит от типологии и особенностей логистики и структуры предприятия, а также зон контролируемого доступа.
Резервное копирование и восстановление
Процедуры резервного копирования необходимы для обеспечения безопасности программного обеспечения и данных, управляемых компьютеризированной системой.
Цель процедур — обеспечение доступности одной копии всех файлов и программ в случае сбоя, пожара или другого негативного события.
Поэтому для каждой компьютеризированной системы должен регулярно выполняться формализованный процесс резервного копирования.
При релизе компьютеризированной системы необходимо определить процедуру и спланировать выполнение резервного копирования.
Процедуры резервного копирования и восстановления должны быть формально проверены перед их окончательной реализацией, чтобы гарантировать их правильное функционирование.
Кроме того, должно быть идентифицировано безопасное место для хранения копий и созданных резервных копий.
Валидация компьютеризированных систем
Цель данной процедуры заключается в создании эффективного процесса по подтверждению соответствия компьютеризированных систем нормативным требованиям и предполагаемому использованию, основанного на надлежащей организационной практике и соблюдение нормативных требований по валидации компьютеризированных систем, используемых в регулируемых компаниях.
Решение Совета Евразийской экономической комиссии от 3 ноября 2016 г. N 77 «Об утверждении Правил надлежащей производственной практики Евразийского экономического союза» определяет валидацию как:
«Документально оформленные действия, дающие высокую степень уверенности в том, что конкретный процесс, методика или система будут постоянно приводить к результатам, соответствующим заранее установленным критериям приемлемости»
Этот документ и связанные с ним СОП для компьютеризированных систем охватывают весь спектр компьютеризованных систем от стандартного программного обеспечения до систем, созданных на заказ.
В данной СОП описывается используемая методология по валидации компьютеризованных системы на основе рисков в соответствии с бизнес-процессами компании и документация, необходимая для каждой фазы валидации, роли и обязанности всех участников процесса валидации.
Документ разрабатывается в соответствии с наилучшими практиками отрасли по валидации компьютеризированных систем на основе расчета рисков, включая принципы руководства GAMP5.
Периодический обзор
Эта процедура предоставляет методологию, которая будет использоваться для периодического обзора и проверки валидационного статуса каждой компьютеризированной системы, для которой был предоставлен отчет о валидации.
В частности, деятельность периодического обзора имеет целью проверить, по крайней мере, следующие аспекты:
- проверка несоответствий / отклонений / ошибок и выполненных корректирующих действий
- проверка того, что валидационная документация обновлена в соответствии с действующим стандартом качества
- обзор внедренных изменений и предпринятых действий
- анализ состояния Стандартных Операционных Процедур
- обзор управления конфигурацией
- просмотр профилей пользователей и списка пользователей, авторизованных для доступа к системе
- проверка того, что архивные данные могут быть правильно восстановлены
- проверка того, что резервные данные могут быть правильно восстановлены
- проверка тренировочных записей
- проверка соответствия системы с точки зрения регулирования электронных записей
- просмотр журналов доступа пользователей и списка пользователей профилей и привилегий
- обзор контрольного следа
Непрерывность бизнеса и аварийное восстановление
Планы обеспечения непрерывности бизнеса должны быть определены для обеспечения непрерывности и устойчивости бизнес-процессов в случае простоев системы.
Планы обеспечения непрерывности бизнеса должны включать в себя четкий процесс определения приоритетов восстановления системы, так как нарушение может привести к отказу или недоступности нескольких систем, которые могут находиться внутри или за пределами регулируемой компании. В тех случаях, когда для продолжения работы предприятия используются неавтоматизированные процессы, важно учитывать, каким образом любые связанные электронные записи или данные будут синхронизированы после восстановления электронных систем. Управление непрерывностью бизнеса включает в себя аварийное восстановление (DR), то есть шаги, необходимые для восстановления компьютеризованных систем после сбоя при продолжении предоставления продукта или услуг.
Планирование аварийного восстановления подчинено управлению непрерывностью бизнеса и охватывает техническое восстановление конкретной системы. Аварийное восстановление (DR), как правило, является обязанностью организации поддержки, такой как ИТ, и включает восстановление системы. План аварийного восстановления должен быть в наличии для каждой требуемой системы и должен включать в себя не только процесс восстановления системы, но также и любую инфраструктуру, необходимую для работы системы.
Обзор контрольного следа
СОП по обзору контрольного следа направлена на создание риск-ориентированного подхода к периодическому анализу автоматически созданного контрольного следа системы в соответствии с нормативными требованиями. Процедура должна включать в себя описание того, как документировать обзор, и подробные инструкции по проведению обзора.
ИТ Инфраструктура
Управление инцидентами и запросами на обслуживание в сфере ИТ
Целью данной процедуры является управление инцидентами, которые связаны с недоступностью конкретного сервиса, программного или аппаратного компонента, а также сервисные запросы на изменения от конечного пользователя, ИТ-услуг (включая сброс пароля) и поддержку. Целью процесса управления инцидентами является вернуть систему или услугу в максимально рабочее состояние для пользователей.
Управление поставщиками ИТ
Устанавливает четкую ответственность поставщиков ИТ-услуг и их субпоставщиков. Этот документированный процесс гарантирует, что эти отношения контролируемы и управляются должным образом.
Соглашение об уровне услуг
Данная процедура содержит рекомендации по составлению соглашения об уровне услуг. Соглашение определяет отношения между поставщиком ИТ-услуг и Заказчиком. Документ содержит все соответствующие параметры для управления предоставлением услуг, в соответствии с требованиями заказчика и по согласованию с ним, содержит измеримые параметры уровня обслуживания.
Жизненный цикл разработки ПО
Цель СОП — дать чёткое понимание жизненного цикла разработки программного обеспечения (SDLC) как основы, которую компания применяет для определения этапов разработки программного обеспечения и действий, которые должны быть выполнены на всех этапах
Квалификация ИТ инфраструктуры
Этот документ включает методологию квалификации ИТ-инфраструктуры, в соответствии с оценкой риска для ИТ-компонентов, основанную на их причастность к поддержке компьютеризированных систем компании и их потенциальном воздействии на GxP критичные данные и приложения.
Аварийное восстановление инфраструктуры ИТ
Целью данной СОП по аварийному восстановлению является идентификация ИТ-сервисов, критических бизнес-приложений и процедур на случай аварии. В нем также описывается процедура и обязанности по подготовке, проверке и тестированию плана аварийного восстановления, охватывающего наиболее важные для бизнеса системы компании и ИТ-инфраструктуру, поддерживающую эти системы. План направлен на минимизацию любых проблем в бизнес-операциях путем устранения аварийного статуса в заранее определенной области применения и времени.
Управление виртуализацией
Определяет процесс виртуализации сервера, связанного с платформами виртуализации в компании.
Миграция данных
Определяет стратегию, требования и процессы для управления миграцией данных, а также процесс оценки данных в целевой системе, чтобы обеспечить точность и полноту перенесенных данных в соответствии с руководящими принципами Компании, лучшими отраслевыми практиками и нормативными стандартами.
Вывод системы из эксплуатации
Описывает действия, необходимые для обеспечения того, чтобы компьютеризированные системы компании и их оборудование были выведены из эксплуатации, списаны и утилизированы в соответствии с внутренними руководящими принципами, наилучшей отраслевой практикой и нормативными стандартами.