您当前的位置:检测资讯 > 法规标准
嘉峪检测网 2022-11-18 13:52
欧盟《GMP附录11计算机化系统》现行版本指南于2011年发布,至今已施行十余年,期间新理念和新技术均取得广泛发展,指南在新旧领域将不能提供足够的指导和监管期望。2022年11月16日,欧盟发布关于修订该指南的概念文件,于2022/11/16/ ~ 2023/01/16/01期间向业界征求意见。并拟议在2024年12月发布指南草案,于2026年3月起逐步采纳。
概念文件中给出了33条修改原因/意见,5条为新增,28条为原有内容修订。
拟议新增的内容主要体现在对行业新技术方面的监管期望和指导,包括人工智能(AI)、机器学习(ML)、数字化转型、强化的/集成控制支持的数据可靠性解决方案等。拟议新增内容具体为:
[新]更新该文件以替换EMA网站GMP问答中与附录11和数据可靠性相关的问答。
[新]关于数据可靠性,附录11将包括对“动态数据”和“静态数据”(备份、归档和处置)的要求。配置强化和集成控制有望支持和保护数据可靠性;技术解决方案和自动化优于手动控制。
[新]将考虑对“数字化转型”和类似新概念的监管期望。
[新]随着行业已经在实施人工智能(AI)和机器学习(ML)模型在关键GMP应用中的使用,迫切需要监管指导和期望。重点应放在用于检验这些模型的数据的相关性、充分性和可靠性,以及此类检验的结果(指标),而不是选择、训练和优化模型的过程。
[新]在该概念文件起草完毕并准备提交给EMA GMP/GDP检查员工作组和PIC/S GMDP协调小组委员会批准后,FDA发布了《生产和质量体系软件的计算机软件保证(CSA)》指南草案》。该指南和任何影响都将被视为与附录11的潜在监管相关的方面。
原有条款内容中的修订/更新,主要涉及的章节条款包括:原则,通则(1.风险管理、3.供应商和服务提供商),项目阶段(4.验证),运行阶段(6.准确性检查、7.数据存储、8.打印输出、9.审计追踪、11.定期评价、12.安全、17.归档)。简要内容如下:
[原则] 计算机化系统“替代人工操作”将修改为“替代另一个系统或人工操作”。
[1] 风险管理:参考ICH Q9。
[3] 供应商和服务提供商:提出“云”相关服务,并指出对这种由服务商提供验证和/或运行的关键系统的期望,不应局限于“必须签订正式协议”的要求。企业应能获得系统验证和安全运行的完整文件,并能够在监管检查期间提供这些文件。另外,将细化“商业现货(COTS)”术语。
[4] 验证:将澄清“验证”/“确认”的含义,强调该活动都包括对URS中需求和具体功能的验证,应当基于风险的方法,特别对用于GMP决策的系统的关键部分进行挑战,比如确保产品质量和数据可靠性以及专门设计和定制的部分。另外,指出“URS应在整个生命周期内可追溯”表达不完善,应指出URS应在整个生命周期中保持更新且与实施中的系统保持一致。并应了解并适应当今软件开发模式。
[6] 准确性检查:将增加“关键数据和关键系统的分类”。
[7] 数据存储:将包括保护数据有意和无意的数据可靠性损失的物理和电子措施的示例。指出仅“定期测试从备份恢复系统数据的能力”仍不充分;重要的是应基于经验证的程序(如加速测试),验证存储介质在给定的时间段内是否可读。另外,指出缺少对备份过程的重要期望,例如备份所涵盖的内容(例如,仅数据或数据和应用程序),进行哪些类型的备份(例如,增量或完整),进行备份的频率(所有类型) )、备份保留多长时间、使用哪种介质进行备份以及备份保存在哪里(例如物理分离)。
[8] 打印输出:应当考虑电子格式数据的情况,可重新考虑能够打印数据的要求。
[9] 审计追踪:将强制要求审计追踪功能(过渡期已过),并细化强化功能上的要求,如完整记录更改操作和理由,如不应支持对审计追踪数据的编辑和修改(或职权分离)。完善审计追踪审查的概念和目的,侧重审核更改的可靠性;并将提供可接受的审计追踪审查频率,如基于风险的方法,关键参数的审计追踪审查应作为批放行的一部分。另外,审计追踪功能应获取足够详细和实时的数据条目,已记录完整的事件,并避免与系统警报和事件数据的混淆。
[11] 定期评价:将增加配置回顾(configuration review)的概念。与其基于系统的升级历史,不如基于对硬件和软件基准随时间的比较。
[12] 安全:除应关注个人授权问题,根据ISO27001,还应重点关注系统和数据的机密性、可靠性和可用性。在限制访问方面,有必要更具体并列出一些预期的控制措施,如多重身份验证、防火墙、平台管理、安全补丁、病毒扫描和入侵检查/预防,对于关键系统的身份认证应更加严格。在系统访问权限方面,将添加对系统访问权限的重要期望:职权分离和最小权限原则;并指出在管理授权上,应持续管理系统访问和角色,进行定期审查,确保不应有的访问,如离职人员。
[17] 归档:仅对“归档数据重新主动检查确认”仍不充分(参考[7]数据存储),应依赖经验证的程序,并根据所用的存储介质,验证其是否可以在一段时间后可读取。
另外,概念文件中还给出了该指南修订时间计划表、所需资源、预期影响评估、利益关系方以及所参考资料。
来源:识林