|
随着计算机化系统在制药企业的广泛应用,尤其是GMP附录《计算机化系统》的颁布和实施,制药企业的计算机化系统的验证被提上日程,日益受到重视。然而,制药企业的计算机化系统验证既需要制药和计算机专业知识,又需要IT知识,由于大部分企业没有专门从事验证的人员,因此大家对计算机化系统的验证保持神秘,不停的参加各种培训,却越培训越糊涂,越培训越觉得神秘。面对计算机化系统验证,仍然不知所措,GXP计算机化系统验证为了帮助大家更好的进行计算机化系统验证,特推出一系列验证相关的文档和知识,以飨读者。 数据备份与恢复管理规范第一章 总则 第一条 为规范公司电子数据备份与恢复管理工作,合理存储历史数据及保证数据的安全性,保证信息的数据可靠性,保证业务系统数据的完整性和可用性,,保障公司正常的知识产权利益和技术资料的储备,对重要信息实施备份保护;防止因硬件故障、意外断电、病毒等因素造成数据的丢失,并在信息被损坏或丢失时能够及时恢复,使用备份数据恢复被损坏或丢失的业务数据,特制订本规范。 第二条 本规范适用于公司电子信息系统的数据备份与管理,公司项目管理部承担了电子数据备份与恢复工作,因此,负责本规范的执行。 第三条 定义 3.1 电子数据:也称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接 收或者储存的信息。 3.2 电子签名:是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签 名人认可其中内容的数据。 3.3 数据审计跟踪:是一系列有关计算机操作系统、应用程序及用户操作等事件的记 录,用以帮助从原始数据追踪到有关的记录、报告或事件,或从记录、报告、事件追溯到原始数据。 3.4 数据可靠性:是指数据的准确性和可靠性,用于描述存储的所有数据值均处于客 观真实的状态。 第二章 授权管理 第四条 研究院分析所的电子数据一般来源于电子系统,数据采集、修改、备份、恢复和管 理均由质量管理部授权的系统管理员(系统管理员担任)、分析所所长和检验员完成;为确保电子数据的真实、有效,针对不同的人员,授权操作,设置相应的访问权限。 第五条 一级管理员(系统管理员担任):经质量管理部负责人授权的人员,具有系统 的所有访问权限。有权建立二级管理员和三级管理员账户,如电脑系统时间、系统日志、操作员权限、增减登录帐户和初始登录帐户密码等,对所有使用的应用软件进行进行原名称安装、修复、备份和卸载,必须使用和验证应用软件为仪器供应商提供的正版软件,保留证书,重装和更换电脑、系统升级应进行风险评估,通过质量管理部门批准;对系统和应用软件采集的电子数据进行备份和恢复,对下级人员没有权限的内容设置成灰色不能使用,下级人员没有删除和修改、复制和粘贴、剪切和转移、备份和重命名权限。定期校验,并对重要操作进行复核和审核。 第六条 二级管理员(分析所所长),经质量管理部负责人授权后,有权登录系统, 进入中心分析所负责人帐户,在该帐户内建立操作员(QC)各种应用软件操作员帐户,开启应用软件审计追踪功能,建立、修改方法和应用软件系统参数。建立仪器配置、应用软件产生的文件名称、保存路径、分析指标的设置、使用、操作员(QC)修改的权限;进行分析方法、序列文件、打印设置的建立,对操作员、复核员进行电子数据管理和操作培训,确保操作员(QC)、复核员(辅助操作员)可正常操作并对其进行监督管理,所有的一切活动经系统管理员复核和审核,并均有记录。 第七条 三级管理员(分析所QC担任),有权登录系统,进入操作员帐户,使用应用软件 程序,调用方法文件,对仪器设备进行在线和离线(脱机)操作,采集数据,并进行保存或打印,在取得上一级同意后,可修改部分方法条件设置,经审核和复核后,方可使用,并做好修改记录。 第八条 三级管理员(复核员辅助操作员),进入系统后,登入复核员帐户,只可对应用软 件进行方法、数据、设置的查看,对操作人员的工作数据进行复核。不能进行任何在线操作,如修改数据、操作仪器等。并对一切活动进行记录。 第九条 一级管理员、二级管理员、三级管理员、四级管理员如果离开本岗位或不再具有 该工作职责,质量监督管理部应立即取消取对其授权,并进行变更。 第三章 数据备份 第十条 数据备份的基本要求: (一) 每日对基本业务信息进行增量备份; (二) 备份应用软件的各个版本; (三) 在远程地点有最低限度的备份信息; (四) 每月检查存储介质,保证在进行灾难恢复时备份可用。 第十一条 数据备份操作流程如下: 图1 系统备份操作流程 (一) 信息识别。确定需要备份的电子数据,主要包括信息资产的名称、重要性、资产的保护级别等属性,填写《信息备份识别清单》。需要检查的信息资产可能包括: 1. 业务服务器上运行的应用系统软件源代码; 2. 数据库结构(表结构、存储过程、视图、索引、函数等); 3. 业务运作数据; 4. 系统配置参数; 5. 日志文件等。 (二) 制定备份计划。根据资产识别的《信息备份识别清单》,制定《信息备份计划》,选择合适的备份方式与周期。备份计划具体包括: 1. 确定备份周期:根据信息更新速度,易损坏程度,及备份媒体的有效期,确定备份周期。另外,在每次重大行动之前以及每年年底,需备份。 2. 备份介质类型:确定备份使用的媒体。 3. 备份方式:一般要采用复制,双系统同步,转储,压缩复制等。 4. 备份工具:备份使用的工具,如光盘刻录机,复印机,软驱,压缩软件,选择工具时,要确定在信息失效之前,对应的恢复工具可用。 5. 份数:确定备份的数量,一般信息备份一份即可,对于特别重要的信息需要根据实际情况备份多份。 6. 存放位置:备份信息一般应与原始信息尽量分开存放,要根据信息安全级别有相应的安全措施。 7. 责任人:确定备份的责任人。 (三) 执行《信息备份计划》。对于分散的信息整理、归类;执行备份程序,检查备份数据的可用性;清理过程中的临时数据。 (四) 备份存放。备份完毕,系统管理员须提交备份结果,包括:备份使用的媒体,备份过程中的相关文件,如:备份恢复工具或软件、备份恢复指导书等;将备份媒体保存到《信息备份计划》中指定的位置,一般要按时间顺序存放。媒体的存储主要考虑以下几个方面: 1. 对业务影响重大的关键备份媒体要异地存储,以避免主要场地发生灾难时损坏备份媒体。 2. 分配专人对备份媒体进行管理,对备份媒体的访问进行控制。 (五) 备份测试。对备份的信息,定期抽样检查与测试。每种备份媒体类型,一次抽检二个以上。每次抽检时,要选择与上次抽检不同的媒体。 (六) 备份恢复。当重要信息被篡改、破坏或丢失时,使用备份数据恢复信息,按照数据恢复的相关流程执行数据的恢复。 第四章 数据恢复 第十二条 使用备份数据恢复被损坏或丢失的业务数据,保证业务系统数据的完整性和可用性;系统管理员负责对数据恢复操作的执行。 第十三条 数据恢复操作流程: 图2 数据恢复操作流程 (一) 数据恢复申请。系统管理人员发现业务系统的数据有损坏或丢失,需要及时地进行数据恢复的操作时,须向主管领导提出数据恢复申请,审批通过后应制定《数据恢复解决方案》,并填写《数据恢复记录》。 (二) 申请审批。系统管理员应将《数据恢复解决方案》提交主管领导审批,审批通过后方可实施数据恢复。 (三) 实施数据恢复。系统管理员按照恢复方案进行数据恢复操作。实施数据恢复过程须做到: 1. 应保证至少两人在现场,以确保恢复操作正确无误; 2. 恢复时间根据具体的情况而定; 3. 恢复过程完成之后,系统管理人员要填写《数据恢复记录》中的恢复过程及结果(成功与否)。 (四) 结果检查。 1. 数据恢复成功。由业务系统主管领导组织人员对恢复之后的数据进行检查,检查人员在确定数据恢复无误后,填写《数据恢复记录》中检查结果部分。 2. 数据恢复不成功。系统管理员必须上报告业务系统主管领导,然后会同相关人员制订新的数据恢复解决方案,直至问题的解决。 第五章 附则 第十四条 本规范由公司项目管理部负责解释。 第十五条 本规范自2015年12月1日起施行。
附件: 1.信息备份识别清单 2.信息备份计划 3.数据恢复记录
信息备份识别清单编号:
信息备份计划编号:
数据恢复记录编号:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
