GL-一计算机化系统管理制度资料.docx

河北国龙制药有限公司文件计算机化系统管理制度文件编码版本/修订编码：A/00GL/GB/01. 021页码：1/8起草人起草日期审核人审核日期审核日期审核日期审核日期批准人批准日期颁发部门质量管理部执行日期目的：为了达到企业对计算机化系统管理工作的规范化、程序化、标准化，保证 公司内产品质量、产品检验等计算机化系统的稳定运行，最终确保公司内全部计算机 化系统持续处于良好的受控状态，特制定本制度。适用范围：本制度适用于公司全部部门和生产车间计算机自控系统的管理和操 作。责任：本制度由综合部负责起草，综合部经理、技术部经理、质量管理负责人批准，公司各部门和生产车间负责实施。1计算机系统软件GAMP5分级任何计算机系统的软硬件在运用之前，均须要进行软件登记。类别GAMP5典型示例1基础软件如：操作系统、数据库引擎、编程语言等，成品或市场上可 以买到的软件2不行配置软件产品可以输入并存储运行数据，但不能对软件进行配置以适应业 务流程的软件。例如：纯化水制备系统、空调系统等有PLC的设备。3可配置软件产品人机交互界面（HMD、数据采集和监视限制系统（SCADA） 等，可进行配置/组态，以满意用户详细业务流程的特别要求。4定制应用程序内部或外部开发的IT应用程序、设计定制程序和编制源代码 以使其适应用户业务流程的软件。2基于数据完整性的计算机系统的分类河北国龙制药有限公司计算机化系统密码变更表GL/GB/01. 021-03Rev 00/2023P1/1申请信息部室/车间申请日期申请人申请缘由批准状况管理员是否批准口是口否处理信息操作员受理时间处理结果河北国龙制药有限公司计算机化系统软硬件配置表GL/GB/01. 021-04Rev 00/2023P1/1硬件信息固件信息操作系统应用软件硬件外设网络硬件、 固件、软件 和线缆文件资料河北国龙制药有限公司计算机化系统软件变更限制台账表GL/GB/01.021-05Rev 00/2023 PI/I软件名称、位置变更发起人变更批准人变更实施人变更描述备注依据计算机系统产生的数据的重要程度，并结合打印报告与电子数据的一样程 度，将公司现有的计算机系统大致分为以下几类：2.1 试验室检验仪器涉及的计算机系统仪器干脆连接计算机系统，并生成用于产品放行的检验数据，还有打印纸质报告 与存储电子数据的计算机系统。如：HPLC计算机系统，最终存储的电子数据与打印 的报告若不完全一样，为了保证检验数据的完整性，则须要对最终数据的处理（如： 积分参数）进行审计追踪。2.2 生产设备所涉及的PLC系统或HMI通过执行设定的工艺过程来限制设备，并实时形成纸质打印记录，且形成电子数 据进行保存。2.3 机系统选购前的供应商审计要求3.1对于识别为3类、4类、5类的计算机系统，须要由QA部门与计算机系统运 用部门、工程部、综合部共同进行供应商评估，供应商评估实行以下的方式：依据检查列表进行非现场审计（邮件审计）并进行后续电话跟踪；第三方审计；干脆现场审计。4软件备份、版本限制和变更限制4.1 全部计算机系统均应当运用存储介质进行软件备份；若厂家不供应软件备份, 至少须要保证在软件发生故障后48小时之内可以进行远程诊断，远程诊断应当在验 证时同步进行确认；4.2 全部进行备份的软件均应当标明软件的版本号，在软件发生故障须要运用备 份软件复原前，首先应确认备份软件版本与现行版本的一样性；4.3 全部的计算机化系统均应当进行严格的版本限制，并进行实时登记。软件版 本升级前，应当提出变更申请，依据软件版本升级涉及的变更内容，评估是否会影响 到原有的计算机化系统的验证状态、是否须要进行部分或重新进行系统的验证/确认, 变更申请批准后对相应的计算机化系统进行版本更新。5软件的配制管理配置管理的目的是了解系统早期整个生命周期中（从规划到退役）的组成。软件 系统中的配置应被很好的记录并且其变更应经授权、实施和记录归档；配置管理包括 两个步骤：初始设置和变更限制。5.1 初始设置一般计算机系统被安装，全部配置项目的初始设置应被记录。配置项目包括：计算机硬件，如供应商、型号；计算机固件，如版本号；操作系统：供应商、产品识别码和版本；应用软件：供应商、产品识别码和版本；硬件外设，如打印机、CD-ROM驱动器；网络硬件、固件、软件和线缆；文件资料，如验证安排、操作手册和规格标准。5.2 变更限制在系统设计、开发以及运用的各个阶段都应执行变更限制。同时也适用于初始设 置阶段所定义的全部配置项目。变更限制中的信息应包括：系统ID和位置；变更发起、批准和实施的人员；变更的描述，包括变更的缘由以及商业利益；对验证的预期影响；实施的数据；变更申请时变更由系统运用者提出；变更限制中应包括变更对系统性能影响的风险评估；全部变更均应记录在变更限制台账中。6用户登录访问权限管理6.1 用户的注册与注销每个部门应有专人管理新用户注册和未运用用户的注销。每个用户运用唯一登录名和密码，保证用户与其动作链接起来，并对其动作负 责，每个访问账户是被管理者批准的，以确保被赐予的访问权限是合法的。用户申请 访问程序如下：用户必需经过所在岗位的培训，且理论与实际操作考核合格，具备独立上 岗实力，然后填写计算机自控系统新用户授权表GL/GB/O1. 021-01；部门主管给出授权看法；确保部门主管已完成授权程序后，由每台设备/仪器的管理员为用户设置 登录名和密码，依据申请者的身份（操作员、修理员）安排权限；确保以上授权程序已完成，用户才可以进行系统访问。对于离职或职位调动的人员，应填写计算机自控系统人员变更（辞职、调岗）表 GL/GB/01.021 -02,申请注销用户。6.2 权限管理限制权限的运用和安排，要求用户通过正式的授权规程访问，使权限安排受到限 制，需执行以下步骤：要在每个设备的验证文件中描述出计算机系统用户三级访问权限，以及须要安排给权限的用户（操作者、维护员、管理员）；假如是简洁机械设备 （非计算机系统）且有限制屏幕可设置简洁密码，则要求设置至少一级 密码进行爱护；权限应在运用须要的基础上依据访问限制策略安排给用户，例如仅当须要 时，为其职能角色安排最低要求；所安排的各个权限的授权过程要有记录。用户权限的授予应与其岗位职能 相匹配（操作员、维护员、管理员）。用户口令管理及运用管理员在赐予用户名和密码时，要保证以平安的方式进行，要避开运用第 三方或不受爱护的电子邮件；用户获得自己的用户名和密码后，要保证个人密码的保密性，不得共享；每当有任何迹象表明用户密码可能受到损害时，须要马上变更密码；选择具有最小长度的优质密码，要便于记忆，不能设置别人可能简洁猜出 的密码，例如电话号码、名字和生日等等。不简洁遭遇字典攻击，另外 还要避开连续的相同的字符或全数字或全字母；用户密码绝不能以不受爱护的形式存储在计算机系统内；应在系统或软件安装后变更供应的默认用户名和密码；6.2.1 无人值守的设备或带显示屏的机械设备当生产或试验结束时，终止有效会话，利用一种合适的锁定机制使它们平 安，例如有口令爱护的屏幕爱护程序；当会话结束时退出主计算机、服务器和办公PC （不仅仅关掉PC屏幕）；当不运用设备时（无法设置密码的机械设备），利用带钥匙的锁或等效限 制措施来爱护设备禁止未授权运用，例如，口令访问。6.2.2 桌面屏幕爱护等平安策略屏幕爱护设置等平安策略可防止在人员离开设备时的未授权访问，当无人值守 时，计算机和终端应注销或运用由口令、令牌或类似的用户认证机制限制的屏幕和键 盘锁定机制进行爱护，当不运用时，要利用带钥匙的锁、口令或其他限制进行爱护。7计算机数据的访问限制7.1 对于全部生成与产品质量属性相关的电子数据，均应设置访问、修改、删除 限制，防止未经授权的人员登陆和操作；全部的操作和数据的变动均应进行审计追踪。7.2 平安（操作者离开现场平安登出）和用户登陆ID和密码管理8.1 应为每个操作者、修理员、管理员设置用户和登陆密码。8.2 当错误登陆次数累计超过肯定次数之后，锁定相应的用户；重新启用该账户 前，须要由管理员重新激活；8.3 软件及存储数据所在的计算机系统/服务器应有相应的访问密码爱护，相应的 计算机应有自动屏幕爱护，计算机停止操作超过规定时间，应自动锁定，以避开未经 授权的人员进行错误操作；锁定后重新操作计算机须要重新输入登陆密码。9软件审计追踪功能及筛选9.1 软件审计追踪功能应能精确的记录登入、登山的日期、时间、事务，并且依 据操作发生的时间依次自动进行排序，软件应能够保证系统保存的数据不被修改；9.2 软件可以依据审计追踪的内容进行项目的安排和筛选，审计追踪的记录可以 允许用户进行查看，但是不允许任何用户进行修改或删除。10数据的备份（备份周期）和复原10.1 假如软件产生的电子数据须要在计算机系统中进行自动保存，应对存储的数 据进行备份，备份数据应存放在另外单独的受控环境，任何人如需访问此备份数据须 要经过申请批准后方可访问；10.2 数据和系统的备份应能保证系统发生故障后，能够保证数据和系统复原到某 个时间点，避开数据的丢失。11软件灾难复原11.1 应对软件进行备份，并记录软件的版本号，备份应用软件应存放在另外单独 的受控环境，任何人如需访问此备份应用程序须要经过申请批准后方可访问，确保当 软件系统发生故障时，能够保证软件系统的灾难后复原，灾难复原应充分考虑软件厂 家的建议并在软件系统的验证时进行确认。12软件的网络信息平安和标准时钟管理12.1 软件的运用若仅限于公司内部运用，则软件安装的电脑不允许进行外部网络 链接，以防止遭遇外部网络平安威逼；12.2 安装软件的电脑应有杀毒软件，防止电脑遭遇病毒威逼，病毒库实时更新；12.3 安装软件的电脑，应有密码爱护，电脑安装的位置应有防止未经授权人员进 入的限制措施，计算机停止操作超过规定时间，屏幕应自动锁定，以避开未经授权的 人员进行错误操作；锁定后重新操作计算机须要重新输入登陆密码。12.4 对全部的计算机系统，应每月与标准时钟进行比对和修正，确保产生的电子 数据的时间的精确性。13软件验证测试13.1 依据计算机化系统验证的要求对软件进行分级并依据验证要求进行相关项 目的验证和确认工作；13.2 当软件发生变更后，须要依据风险评估确定是否须要进行变更后的再验证。14软件的定期回顾/审核及软件问题处理14.1应每年对软件进行回顾，收集软件在运行过程中发生的故障、问题，若经过 分析可能影响系统的运用和关键数据的收集，应联系供应商对软件进行改造、升级。15计算机系统的定期维护15.1 依据设备说明书的要求对计算机化系统进行维护，如执行端仪表阀门的检 修、配电柜的部件及接线、上位机服务器的缓存清理等；15.2 对计算机化系统的运用记录进行定期审查，并对运用期间产生的故障报警进 行审核评估，确保系统性能符合预定要求。15.3 持续性培训16.1 软件在正式运用之前，应由厂家有资质的人员对软件维护人员、运用人员和 管理人员进行培训，培训通过后，分别设置不同的运用账号并安排相应的权限；16.2 当软件版本升级、更新时，应保证刚好对相关人员进行变更内容的培训。17软件系统的退役17.1 当软件系统运用无法满意运用需求或有新的系统替代时，执行软件系统退役 申请，确认全部的相关数据备份完好后进行软件卸载并对计算机上的数据进行删除。17.2 软件系统的退役应在经过批准后进行。18责任部门工作责任与考核18.1 各部室、车间对自控系统授权操作的平安性负有监督责任，任何人不得超 越自己的权限，因密码泄露或人为越权造成的生产事故依据公司管理制度进行惩罚。18.2 各部室和车间人员须依据现行有效版本的文件规定操作或执行，部室和车 间领导负责监督检查文件的执行状况，并有权订正错误。18.3 未按本制度规定执行的人员，每次责罚100元；部门负责人负管理责任， 每次责罚20()元。19本制度由信息中心负责说明。附：相关记录GL/GB/01.021-01 Rev 00/2023计算机自控系统新用户授权表GL/GB/01.021-02 Rev 00/2023计算机自控系统人员变更(辞职、调岗)表GL/GB/01. 021-03 Rev 00/2023计算机自控系统密码变更表GL/GB/01.021-04 Rev 00/2023计算机系统软硬件件配置表GL/GB/01.021 -05 Rev 00/2023计算机自控系统软件变更限制台账表历次修订记录历次修订编码起草人及日期批准人及日期执行日期本次修订 内容河北国龙制药有限公司计算机化系统新用户授权表GL/GB/01. 021-01Rev 00/2023P1/1申请信息部室/车间所在岗位申请人申请缘由申请权限管理员口操作员申请时间批准信息管理员是否批准是口否处理信息操作人处理日期处理状况河北国龙制药有限公司计算机化系统人员变更（辞职、调岗）表GL/GB/01. 021-02Rev 00/2023P1/1申请信息部室/车间所在岗位申请人申请时间变更缘由批准信息管理员是否批准口是口否处理信息操作人处理日期处理状况