Memo -005- zu Kriterien GLP/GMP konformer Software von: BioCon - biotechnologische Dienstleistungen Stand: 06/01 BioCon-Interlink im TechnologieZentrum Dortmund Emil-Figge-Straße 76-80 44227 Dortmund Tel.: 0231 286 32 45 Fax:: 0231 286 32 46 Netz: www.bioconweb.de E-mail: info@bioconweb.de
Memo 005 Kriterien GLP/GMP konformer Software Inhalt: 1. Checkliste der GMP-QAU... 2 1.1 Leitungs-Audit... 2 1.1.1 Leitungsaufgaben... 2 1.2 Daten... 2 1.2.1 Datenerfassung / -sammlung... 2 1.2.2 Korrekturen... 3 1.2.3 Datenüberprüfung... 3 1.2.4 Datensicherheit (Sicherheitsaudit)... 3 1.2.5 Datenspeicherung... 4 1.2.6 Datenanalyse... 4 1.2.7 Datenreport... 4 1.3 Personal-Audit... 5 1.4 EDV-Personal... 5 1.5 Anwenderpersonal... 5 1.6 Qualitätssicherungseinheit... 6 1.7 Systemaudit-Status... 6 1.8 Hardware... 7 1.9 Software... 7 1.10 Sicherheitsaudit... 9 1.10.1 Allgemein... 9 1.10.2 Physisch... 9 1.10.3 Logisch... 9 Seite 1 von 10
1. Checkliste der GMP-QAU 1.1 Leitungs-Audit 1.1.1 Leitungsaufgaben Liegt eine von der Leitung genehmigte Validierungsrichtlinie oder SOP vor, die für alle in der Prüfeinrichtung ein-gesetzten computergestützten Systeme (CS) Gültigkeit hat? Liegen für die computergestützten Systeme die aus der Validierungsrichtlinie hergeleiteten Validierungspläne vor? Gibt es für jedes CS geeignete SOPS, in denen eine systemspezifische Rohdatendefinition enthalten ist? Existieren SOPs für die Prozeduren der Datenerfassung? Gibt es eine schriftliche Verantwortlichkeitsregelung z.b. Ernennung eines DV- Verantwortlichen bzw. eines Validierungsteams? Liegt ein von der Leitung genehmigtes Personal-Qualifizierungsprogramm vor? Erhielt die QS von der Leitung der Prüfeinrichtung den Auftrag und die Werkzeuge für die Überprüfung der CS? Wurden die Prüfleiter auf ihre Verantwortlichkeit für die in ihrem Bereich eingesetzten CS verpflichtet? Wurde das Personal über seine Verantwortung für die von ihm bedienten CS informiert? 1.2 Daten 1.2.1 Datenerfassung / -sammlung Wie?... direkt... indirekt... Tastatur... Bildschirm (Touch screen)... Werden zwangsdokumentiert: Zeit Datum Eingabeperson (mit Abfrage, ob autorisiert?) Erfolgt die Datenerfassung gemäß schriftlichem Protokoll bzw. rechnerprotokollierten Anweisungen? Seite 2 von 10
1.2.2 Korrekturen Werden Daten korrigiert? Wenn ja, wann und von wem? Gibt es ein überprüftes und genehmigtes Verfahren dafür? Erfüllen die Korrekturverfahren die GMP-Anforderungen z.b. nach vollständiger Dokumentation - der ursprünglichen Daten - des Änderungsdatums - der Autorisierung für die Änderung - der Änderungsgründe Gibt es eine SOP, in welcher die Verantwortlichkeiten für Datenkorrekturen bezüglich des Änderungszeitpunktes und der Begründung festgelegt sind? Werden die durchgeführten Änderungen, Fehlerarten und Änderungsgründe aufgezeichnet und finden Überprüfungen statt? Wird der Prüfleiter bei Änderungen hinzugezogen? 1.2.3 Datenüberprüfung Unterliegen die Daten einer Überprüfung auf: Vollständigkeit Plausibilität Integrität? Durch: ein Rechnersystem oder techn. Personal, Prüfleiter 1.2.4 Datensicherheit (Sicherheitsaudit) Ist der Zugang zum System geschützt? Sind die Datenbestände vor unautorisiertem Zugriff geschützt? Wurde die Zugangsregel autorisiert nach: - nur lesenden Zugriff? - nur schreibenden Zugriff? Sind die Daten bei einem Systemabsturz geschützt? Werden Ausfallzeiten protokolliert? Können bei solchen Gelegenheiten Daten verloren gehen? Gibt es Verfahren zur Erstellung von Sicherungskopien (Software, Datenträger)? Sind manuelle oder alternative Standby-Prozeduren definiert? Werden nachträglich eingegebene Daten gekennzeichnet bzw. protokolliert? Gibt es zur Sicherung der Systemintegrität geprüfte Verfahren für die Übertragung, Zwischenspeicherung und Archivierung von Daten? Seite 3 von 10
1.2.5 Datenspeicherung Ist das Speichermedium für die Urdaten in SOPs definiert worden (z.b. Diskette, Festplatte, Band, Hardcopy etc.)? Gibt es Prozeduren zur Gewährleistung langfristiger Speicherung? Sind Sicherungskopien oder alternative Aufzeichnungen (z.b. Mikrofilme, Papier etc.) vorhanden? Wurde festgelegt wie oder wann Daten aus dem System oder im System archiviert werden? Sind elektronische Daten denselben Archivierungverfahren und -kontrollen unterworfen wie Hardcopies? Definieren SOP(S) bei elektronischer Datenspeicherung die durchzuführenden Prozeduren und die erforderliche Dokumentation für den Fall, daß ein Rechnersystem ersetzt oder abgeschafft wird? 1.2.6 Datenanalyse Wird die Datenverarbeitung in SOPs beschrieben? Werden Statistikprogramme benutzt und sind diese verifiziert worden? 1.2.7 Datenreport Beschreiben SOPs die Reportroutinen? Wird die Ausgabe kontrolliert? Wird die Ausgabe genau mit der Art der Aufzeichnung, Datum, Version, Online/Offline- Aufzeichnung identifiziert? Gibt es selektive Ausgaberoutinen mit vollständiger Prüfliste? Werden frühere Daten periodisch abgerufen, aufgelistet und überprüft, um sicherzustellen, daß Systemänderungen zu keiner Datenverfälschung geführt haben? Finden Überprüfungen statt und werden diese dokumentiert? Seite 4 von 10
1.3 Personal-Audit Sind die folgenden Personaldaten über das gesamte Personal verfügbar, das mit dem System arbeitet? - Lebenslauf - Aufgabenbeschreibung/Stellenbeschreibung - Organisationstabellen (Organogramme) - Schulung/Zuständigkeit Gibt es formale Regeln und Prozeduren für die Schulung von: - IT-Personal? - Anlagenbediener/Anwender? - Personal der Qualitätssicherung? Wird eine geeignete Trennung des verantwortlichen Personals nach wichtigen Funktionsbereichen vorgenommen, z.b. Programmierung/Entwicklung und Anlagenbedienung? 1.4 EDV-Personal Wird die Ausbildung in EDV und Systementwurf/Systementwicklung in bewährten Programmen/Handbüchern beschrieben? - Kann der gegenwärtige Ausbildungsstand festgestellt werden? - Werden Ausbildungsprogramme eingesetzt? - Sind Aufzeichnungen verfügbar und bleiben diese erhalten? Ist der gesamte Personenkreis in die GMP-Grundsätze und deren Anwendung auf Rechnersysteme eingeführt worden? 1.5 Anwenderpersonal Ist die Ausbildunganforderung in EDV und die Systemanwendung (Bedienung, Wartung etc.) in SOPs beschrieben? Kann der gegenwärtige Ausbildungsstand festgestellt werden? Sind Aufzeichnungen verfügbar und bleiben diese enthalten? Ist der genannte Personenkreis in die Anwendung der GMP-Grundsätze auf Rechnersysteme eingeführt worden? Unterliegt das System der Gesamtkontrolle einer oder mehrerer namentlich genannter Personen (z.b. Systemmanager, Projektgruppe etc.)? Haben die Prüfleiter eine geeignete Ausbildung in der Systemanwendung und Datenverarbeitung erhalten, die ihrer Verantwortung für die Gesamtleitung der Prüfung Rechnung trägt? Seite 5 von 10
1.6 Qualitätssicherungseinheit Ist die Ausbildung des QS-Personals, das für die Überwachung der Rechnersysteme verantwortlich ist, in den Personalunterlagen dokumentiert? 1.7 Systemaudit-Status Gibt es eine geeignete Dokumentation (Handbuch, Anleitung, SOPs etc.), die das System und die dafür vorgesehenen Aufgaben beschreibt? Liefert eine derartige Dokumentation ausreichend Informationen über die folgenden Themen: - Hardware (Bauelemente, technische Beschreibungen, Hersteller, Modell, Kapazität, Alter etc.) - Software(Bausteine, technische Beschreibung, Quelle, Sprache, Version, Zweck etc.) - Kommunikationstechnik (Dialoge, Teilsysteme, Multiuser-Betrieb)? Wurde das System betriebsintern entwickelt? von einem Lieferanten bezogen? Handelt es sich um eine Kombination aus beidem? Wurde das System in Übereinstimmung mit der Validierungsrichtlinie, aktuellen Konzepten der Validierung und in Anwendung der GMP-Grundsätze implementiert? Gibt es geeignete Aufzeichnungen für die Systementwicklung und ist der Standort der Unterlagen dokumentiert: - betriebsintern zu beziehen? - über den Lieferanten zu beziehen? Wurde das System in Übereinstimmung mit geeigneten, anerkannten SDLC-Grundsätzen mit den einzelnen Phasen für Systemkonzept, Pflichtenheft, Entwurf, Implementierung, Abnahme, Einführung/Systembetrieb und Wartung entwickelt? Sind Aufstellungsort und Installation des Systems geeignet, jeden möglichen Verlust an Datenverarbeitungskapazität durch umgebungsbedingte Risiken oder physische Beschädigungen, z.b. Feuer, Überschwemmung, extreme Temperaturen oder Feuchtigkeit, Stromschwankungen oder -unterbrechungen, Gefahren für die Sicherheit etc., so gering wie möglich zu halten? Liegt eine Beschreibung des Gebäudes, der darin befindlichen Computerräume und der Einrichtung inkl. Klimaanlage vor? Seite 6 von 10
1.8 Hardware Sind alle wesentlichen Bauelemente definiert worden? Gibt es ein Verzeichnis der Hardware (CPU, Terminals, Drucker, Instrumente, Platten/Bandlaufwerke, Sensoren, Alarmeinrichtungen etc.)? Gibt es ein Blockdiagramm, das die Hardwareorganisation und, falls vorhanden, die Netzkonfiguration zeigt? Wird ein Protokoll über die aktuelle und die in der Vergangenheit benutzte Hardware geführt mit einer ausführlichen Aufzeichnung über Modell, Hersteller, Installation und Diagnosetest? Gibt es für die gesamte Hardware SOPs/Handbücher? Sind Beschreibungen der Wartungsprozeduren für die Hardware vorhanden und werden frühere Aufzeichnungen über die Wartung verwahrt? Wird die Hardwareleistung überwacht? Ist bestimmte Hardware Betriebsbeschränkungen unterworfen (z.b. Umgebungsbedingungen, Stromschwankungen oder Ausfall)? Existieren Hardwarereserven beim Eintreten eines Ausfalls? Gibt es eine formale Prozedur für die Änderungskontrolle der Hardware? Wurde festgelegt wer solche Änderungen genehmigt? Werden Aufzeichnungen geführt? Ist die verwendete Hardware kompatibel? 1.9 Software Gibt es eine für den Laien verständliche Beschreibung der Software, ihrer Organisation und ihrer Funktionen? Ist die Quelle der Software (Systemsoftware und Anwendersoftware) dokumentiert? Erworben, betriebsintern entwickelt oder beides? Sind die Personen bekannt, die die Anwendersoftware geschrieben haben und ist deren Qualifikation/Berufserfahrung dokumentiert? Wurde die Software in Übereinstimmung mit bewährten Standards/Prozeduren entwickelt? Gibt es Aufzeichnungen, die dies bestätigen? Wird die Anwendersoftware so benutzt, wie sie geliefert wurde? Ist die Anwendersoftware modifiziert worden? Falls letzteres zutrifft, wurde dokumentiert, wer die Modifizierung durchgeführt hat? Haben Softwaretests stattgefunden? Sind die Ergebnisse aufgezeichnet worden? Ist eine Liste aller Programme vorhanden, die Namen, Zweck, Sprache, Version, Zeitpunkt der Installation etc. enthält, und gibt es Informationen über interaktive Seite 7 von 10
Programme (z.b. System-Funktionsschaltbilder)? Liegt eine ausführliche Beschreibung der Dateien- und der Datenbankstruktur vor? Werden Datenpakete benutzt? Wird ein Protokoll über die aktuelle und die in der Vergangenheit benutzte Software geführt und können frühere Konfigurationen ermittelt werden? Gibt es eine formale Prozedur für die Änderungskontrolle der Software? Wurde festgelegt, wer solche Änderungen genehmigt? Werden Aufzeichnungen geführt? Wird die Entwurfsspezifikation mit jeder Änderung aktualisiert? Existieren Prozeduren für das Erstellen von Sicherungskopien der Software? Ist der Ursprungscode der Anwendersoftware verfügbar und wird er sicher aufgehoben? Wenn er nicht verfügbar ist, gibt es eine vertragliche Vereinbarung, die den Zugriff unter bestimmten Bedingungen erlaubt? Ist die verwendete Software die aktuelle Änderungsstufe und stimmt sie mit der Software- Entwurfsspezifikation überein? Seite 8 von 10
1.10 Sicherheitsaudit 1.10.1 Allgemein Unterliegt das System definierten Kontrollprozeduren für die Sicherheit und werden diese in SOPs beschrieben? Werden diese Prozeduren angewendet? Ist eine einzelne Person oder eine Personengruppe für die Sicherheit verantwortlich (z.b. Systemverantwortliche)? Werden Aufzeichnungen über Systemausfallzeiten geführt? Werden Systemausfälle protokolliert, untersucht? Sind Katastrophenpläne für längere Systemausfälle definiert worden? Ist eine Prozedur für Wiederanlauf/Wiederherstellung definiert worden? Gibt es definierte Back-up-Prozeduren, die alternative Datenerfassungsprozeduren (manuelle oder andere) beinhalten? 1.10.2 Physisch Ist das System physisch vor unberechtigtem Zugriff geschützt? (z.b. verschlossene Türen, Sicherheitszone, Zugangskontrollkarten) Gibt es entfernte periphere Einheiten und werden diese auf gleiche Weise geschützt? Sind Zugriff und Benutzung des Systems berechtigtem Personal vorbehalten und gibt es Kennwortkontrollen? Werden Ausgabe, Benutzung und Änderung von Kennwörtern genehmigt und eingesetzt und sind sie Gegenstand regelmäßiger Überprüfung? Wurde festgelegt, wer dafür verantwortlich ist? 1.10.3 Logisch Findet eine wirkungsvolle Datenträgerkontrolle mit geeigneten Aufzeichnungen (Identifizierung, Verarbeitung, Wartung) statt? Werden geeignete Programm-Stammkopien und Sicherheitskopien geführt? Werden diese an getrennten Orten aufbewahrt? Werden die Arbeitskopien der Programme anhand der Stammkopien überprüft und wie oft geschieht das? Handelt es sich bei der benutzten Software um die aktuelle Version und wie kann der Beweis dafür erbracht werden? Seite 9 von 10