Memo -005- Kriterien GLP/GMP konformer Software. von: BioCon. - biotechnologische Dienstleistungen. Stand: 06/01



Ähnliche Dokumente
VERFAHREN ZUR IDENTIFIZIERUNG UND EVALUIERUNG VON UMWELTASPEKTEN UND RISIKEN

Datenlogger. Dok.-Nr.: Seite 1 von 6

Messungen mit NI-DAQ mx in NI LabVIEW SignalExpress

Service Level Vereinbarung

Die Durchführung von GLP Inspektionen in Deutschland Handbuch Anhang 1: Standardarbeitsanweisungen


Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

1 Ziel / Zweck 2. 2 Begriffe 2. 3 Vorgehen und Zuständigkeiten Allgemeines 2

SIMATIC. Prozessleitsystem PCS 7 SIMATIC Management Console - Software-Aktualisierung. Software-Aktualisierung 1. Installationshandbuch

Elektronische Personalakte mit DocuWare für eine effiziente und zentrale Dokumentenverwaltung

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

RICHTLINIE FÜR DAS GEFAHRSTOFF-MANAGEMENT

Technische und organisatorische Maßnahmen

4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,

Lieferantenzulassung. Lieferantenbewertung FRAGENKATALOG

Checkliste zur Überprüfung des QMS in der öffentlichen Apotheke

PC-Kaufmann 2014 Programmaktualisierung und Parameter neu einlesen

MUSTER 4 Technische und organisatorische Maßnahmen

Die beigefügte Checkliste beruht auf Arbeitshilfen der Finanzverwaltung und dient dem Unternehmer zur Vorbereitung auf eine Betriebsprüfung.

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

I-Trace Datenerfassungssystem. ADV Sektionstagung 20./21. April 2009 Suhl

DIN EN (VDE ): EN 62304: A1:2015

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

KUMAVISION Kundenforum 2017

Qualitätsmanagement - Verfahrensanweisung Lenkung von Dokumenten und Aufzeichnungen.vsd

Nr Verfassungs-, Verwaltungs- und Verfahrensrecht Datenschutzrecht Datenschutz im öffentlichen Bereich

D_09d Musterschulungsunterlage zum Datenschutz

Copyright by it-basixs

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Kontakt: Tel

Höllerer + Bayer GmbH. Software- und Systemhaus. vertrieb@hoellerer-bayer.de. LMS Fakturierung

Datenschutzkonzept. Projekt. Ansprechpartner: Universität Bremen

MSS-On.NET Advanced LEISTUNGSBESCHREIBUNG. Firewall-Systeme. Damit Ihre IT dauerhaft geschützt ist. Managed Security Firewall

E-FCON - innovative App zur gesetzlichen El. Führerscheinkontrolle für Dienstwagennutzer

Grundsätze zur ordnungsgemäßen Buchführung

Abnahmeprotokoll Modul 123: Serverdienste in Betrieb nehmen IET-GIBB Jessica Dominguez Stevanovic, 2G

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

1 Allgemeine Angaben Angaben zum Lieferanten: Firma Anschrift

Information Security Management System Informationssicherheitsrichtlinie

Kontaktdaten aller liefernden Betriebsstandorte mit Ansprechpartnern/Erreichbarkeit

Rechtliche Aspekte der elektronischen Archivierung. Datenschutz-Forum 28. Juni 2005

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Allgemeine Nutzungsbedingungen für die den Durchführungsstellen der ersten Säule bereitgestellte Software und Anwendungen der ZAS

PC-forum GmbH / Kai Horlacher. Ihr Weg für Industrie 4.0

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

INSTALLATION UND BETRIEB

Vorbemerkungen. Von der Version unterscheidet sich die Version T u.a. durch folgende Merkmale:

Mit den Software Release Notes (SRN) informiert die digitalstrom AG über Software- Änderungen und -Aktualisierungen bei bestehenden Produkten.

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

PDF/A: Validieren und Korrigieren

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Elektronisches Ursprungszeugnis euz

Teil A Rili-BÄK 2008 Vertiefungsmodul. Peter Ackermann, Bio-Rad Laboratories GmbH

Dienstvereinbarung. zwischen. der Verwaltung des Universitätsklinikums Tübingen. und. dem Personalrat des Universitätsklinikums Tübingen.

Software Release Notes

MUSTERSICHERUNGSPLAN für UN Anwendung für Isolierstationen

Verfahrensanweisung. Zahnarztpraxis Dr. Mustermann. Element: 06 Management der Mittel Revision: A VA Röntgen Seite 1 von 7.

Mit unserem Basis-Paket der Managed Security Services MSS-On.NET schaffen Sie eine solide Grundlage zum Schutz Ihrer Unternehmens-IT und -Daten.

IT- und Medientechnik

Faktura als XML-Datei

PROCTERON Lizensierung. Anleitung. PROCTERON ist ein eingetragenes Warenzeichen der Schille Informationssysteme GmbH. Version 1.01

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Damit die Kasse stimmt Überblick, Ausblick & Live-Demo

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Abteilung D - Dienstleistungszentrum - D 2.111

interev GmbH Verfahrensdokumentation nach GoBD Wohl oder Übel?

SIMATIC. Prozessleitsystem PCS 7 SIMATIC Management Console - Liesmich (Online) Security-Hinweise 1. Übersicht 2

Fernwartung mit IPX/S Geräten Konfiguration mit Fritz!Box 7270

Praxis:... Strasse Nr... PLZ / Ort... Tel. Nr

7.5.1 Dokumentierte Informationen. Dokumentenübersicht Revision vom Ersteller/ in Verteiler Grund der letzten Änderung

IT-Projekt-Management

Denapp Bankdata Service

1 Angaben zum Betrieb (Ref: KlGAP i Vorwort S.5)

Kurzanleitung für die. Lambda-Transmitter LT 1 Remote-Display-Software Lambda-Transmitter LT 2. Sensoren und Systeme für die Feuerungstechnik

IBM Österreich. Gegenstand des Support Line Service ist die Bereitstellung der folgenden Leistungen für

Initiative Tierwohl. Einrichtung des FTP-Zugangs zur Clearingstelle. In 5 Schritten zum sicheren FTP-Zugang. Version

RKSV-konform mit Casablanca

Programmaktualisierung und Parameter neu einlesen

Eurolab. TRALI - Validierung von EDV-Funktionen Der Weg von der Idee bis zur Routine. Dr. Heiko Müller. Informationssysteme für die Medizin

Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Bearbeitung von Abweichungen - Checkliste

Materialkennzeichnung bei der Produktion von Spaltbändern und Tafeln

Datenschutzhinweise der Firma Ottemeier Werkzeug- und Maschinentechnik GmbH

Software Release Notes

Serverinformationen VeSA Webanwendung

Interne Regelung über die Nutzung der DV - Technik in der ZAB


Kontrollpflichten externer Lieferanten. EUDA von Endbenutzern entwickelte Anwendungen (End User Developed Applications)

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Modell Bahn Verwaltung. Tutorial. Links. Min. Programm Version 0.65, März w w w. r f n e t. c h 1 / 11

MDSPS UserManual 1.0. Allgemeine Beschreibung. Unterstützte Kassen-Modelle. Erster Start. MDSPS UserManual 1.0

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

VII. Der EDV-Vertrag 1

Elektronische Dokumente über Web-GUI beziehen

Software Release Notes

Transkript:

Memo -005- zu Kriterien GLP/GMP konformer Software von: BioCon - biotechnologische Dienstleistungen Stand: 06/01 BioCon-Interlink im TechnologieZentrum Dortmund Emil-Figge-Straße 76-80 44227 Dortmund Tel.: 0231 286 32 45 Fax:: 0231 286 32 46 Netz: www.bioconweb.de E-mail: info@bioconweb.de

Memo 005 Kriterien GLP/GMP konformer Software Inhalt: 1. Checkliste der GMP-QAU... 2 1.1 Leitungs-Audit... 2 1.1.1 Leitungsaufgaben... 2 1.2 Daten... 2 1.2.1 Datenerfassung / -sammlung... 2 1.2.2 Korrekturen... 3 1.2.3 Datenüberprüfung... 3 1.2.4 Datensicherheit (Sicherheitsaudit)... 3 1.2.5 Datenspeicherung... 4 1.2.6 Datenanalyse... 4 1.2.7 Datenreport... 4 1.3 Personal-Audit... 5 1.4 EDV-Personal... 5 1.5 Anwenderpersonal... 5 1.6 Qualitätssicherungseinheit... 6 1.7 Systemaudit-Status... 6 1.8 Hardware... 7 1.9 Software... 7 1.10 Sicherheitsaudit... 9 1.10.1 Allgemein... 9 1.10.2 Physisch... 9 1.10.3 Logisch... 9 Seite 1 von 10

1. Checkliste der GMP-QAU 1.1 Leitungs-Audit 1.1.1 Leitungsaufgaben Liegt eine von der Leitung genehmigte Validierungsrichtlinie oder SOP vor, die für alle in der Prüfeinrichtung ein-gesetzten computergestützten Systeme (CS) Gültigkeit hat? Liegen für die computergestützten Systeme die aus der Validierungsrichtlinie hergeleiteten Validierungspläne vor? Gibt es für jedes CS geeignete SOPS, in denen eine systemspezifische Rohdatendefinition enthalten ist? Existieren SOPs für die Prozeduren der Datenerfassung? Gibt es eine schriftliche Verantwortlichkeitsregelung z.b. Ernennung eines DV- Verantwortlichen bzw. eines Validierungsteams? Liegt ein von der Leitung genehmigtes Personal-Qualifizierungsprogramm vor? Erhielt die QS von der Leitung der Prüfeinrichtung den Auftrag und die Werkzeuge für die Überprüfung der CS? Wurden die Prüfleiter auf ihre Verantwortlichkeit für die in ihrem Bereich eingesetzten CS verpflichtet? Wurde das Personal über seine Verantwortung für die von ihm bedienten CS informiert? 1.2 Daten 1.2.1 Datenerfassung / -sammlung Wie?... direkt... indirekt... Tastatur... Bildschirm (Touch screen)... Werden zwangsdokumentiert: Zeit Datum Eingabeperson (mit Abfrage, ob autorisiert?) Erfolgt die Datenerfassung gemäß schriftlichem Protokoll bzw. rechnerprotokollierten Anweisungen? Seite 2 von 10

1.2.2 Korrekturen Werden Daten korrigiert? Wenn ja, wann und von wem? Gibt es ein überprüftes und genehmigtes Verfahren dafür? Erfüllen die Korrekturverfahren die GMP-Anforderungen z.b. nach vollständiger Dokumentation - der ursprünglichen Daten - des Änderungsdatums - der Autorisierung für die Änderung - der Änderungsgründe Gibt es eine SOP, in welcher die Verantwortlichkeiten für Datenkorrekturen bezüglich des Änderungszeitpunktes und der Begründung festgelegt sind? Werden die durchgeführten Änderungen, Fehlerarten und Änderungsgründe aufgezeichnet und finden Überprüfungen statt? Wird der Prüfleiter bei Änderungen hinzugezogen? 1.2.3 Datenüberprüfung Unterliegen die Daten einer Überprüfung auf: Vollständigkeit Plausibilität Integrität? Durch: ein Rechnersystem oder techn. Personal, Prüfleiter 1.2.4 Datensicherheit (Sicherheitsaudit) Ist der Zugang zum System geschützt? Sind die Datenbestände vor unautorisiertem Zugriff geschützt? Wurde die Zugangsregel autorisiert nach: - nur lesenden Zugriff? - nur schreibenden Zugriff? Sind die Daten bei einem Systemabsturz geschützt? Werden Ausfallzeiten protokolliert? Können bei solchen Gelegenheiten Daten verloren gehen? Gibt es Verfahren zur Erstellung von Sicherungskopien (Software, Datenträger)? Sind manuelle oder alternative Standby-Prozeduren definiert? Werden nachträglich eingegebene Daten gekennzeichnet bzw. protokolliert? Gibt es zur Sicherung der Systemintegrität geprüfte Verfahren für die Übertragung, Zwischenspeicherung und Archivierung von Daten? Seite 3 von 10

1.2.5 Datenspeicherung Ist das Speichermedium für die Urdaten in SOPs definiert worden (z.b. Diskette, Festplatte, Band, Hardcopy etc.)? Gibt es Prozeduren zur Gewährleistung langfristiger Speicherung? Sind Sicherungskopien oder alternative Aufzeichnungen (z.b. Mikrofilme, Papier etc.) vorhanden? Wurde festgelegt wie oder wann Daten aus dem System oder im System archiviert werden? Sind elektronische Daten denselben Archivierungverfahren und -kontrollen unterworfen wie Hardcopies? Definieren SOP(S) bei elektronischer Datenspeicherung die durchzuführenden Prozeduren und die erforderliche Dokumentation für den Fall, daß ein Rechnersystem ersetzt oder abgeschafft wird? 1.2.6 Datenanalyse Wird die Datenverarbeitung in SOPs beschrieben? Werden Statistikprogramme benutzt und sind diese verifiziert worden? 1.2.7 Datenreport Beschreiben SOPs die Reportroutinen? Wird die Ausgabe kontrolliert? Wird die Ausgabe genau mit der Art der Aufzeichnung, Datum, Version, Online/Offline- Aufzeichnung identifiziert? Gibt es selektive Ausgaberoutinen mit vollständiger Prüfliste? Werden frühere Daten periodisch abgerufen, aufgelistet und überprüft, um sicherzustellen, daß Systemänderungen zu keiner Datenverfälschung geführt haben? Finden Überprüfungen statt und werden diese dokumentiert? Seite 4 von 10

1.3 Personal-Audit Sind die folgenden Personaldaten über das gesamte Personal verfügbar, das mit dem System arbeitet? - Lebenslauf - Aufgabenbeschreibung/Stellenbeschreibung - Organisationstabellen (Organogramme) - Schulung/Zuständigkeit Gibt es formale Regeln und Prozeduren für die Schulung von: - IT-Personal? - Anlagenbediener/Anwender? - Personal der Qualitätssicherung? Wird eine geeignete Trennung des verantwortlichen Personals nach wichtigen Funktionsbereichen vorgenommen, z.b. Programmierung/Entwicklung und Anlagenbedienung? 1.4 EDV-Personal Wird die Ausbildung in EDV und Systementwurf/Systementwicklung in bewährten Programmen/Handbüchern beschrieben? - Kann der gegenwärtige Ausbildungsstand festgestellt werden? - Werden Ausbildungsprogramme eingesetzt? - Sind Aufzeichnungen verfügbar und bleiben diese erhalten? Ist der gesamte Personenkreis in die GMP-Grundsätze und deren Anwendung auf Rechnersysteme eingeführt worden? 1.5 Anwenderpersonal Ist die Ausbildunganforderung in EDV und die Systemanwendung (Bedienung, Wartung etc.) in SOPs beschrieben? Kann der gegenwärtige Ausbildungsstand festgestellt werden? Sind Aufzeichnungen verfügbar und bleiben diese enthalten? Ist der genannte Personenkreis in die Anwendung der GMP-Grundsätze auf Rechnersysteme eingeführt worden? Unterliegt das System der Gesamtkontrolle einer oder mehrerer namentlich genannter Personen (z.b. Systemmanager, Projektgruppe etc.)? Haben die Prüfleiter eine geeignete Ausbildung in der Systemanwendung und Datenverarbeitung erhalten, die ihrer Verantwortung für die Gesamtleitung der Prüfung Rechnung trägt? Seite 5 von 10

1.6 Qualitätssicherungseinheit Ist die Ausbildung des QS-Personals, das für die Überwachung der Rechnersysteme verantwortlich ist, in den Personalunterlagen dokumentiert? 1.7 Systemaudit-Status Gibt es eine geeignete Dokumentation (Handbuch, Anleitung, SOPs etc.), die das System und die dafür vorgesehenen Aufgaben beschreibt? Liefert eine derartige Dokumentation ausreichend Informationen über die folgenden Themen: - Hardware (Bauelemente, technische Beschreibungen, Hersteller, Modell, Kapazität, Alter etc.) - Software(Bausteine, technische Beschreibung, Quelle, Sprache, Version, Zweck etc.) - Kommunikationstechnik (Dialoge, Teilsysteme, Multiuser-Betrieb)? Wurde das System betriebsintern entwickelt? von einem Lieferanten bezogen? Handelt es sich um eine Kombination aus beidem? Wurde das System in Übereinstimmung mit der Validierungsrichtlinie, aktuellen Konzepten der Validierung und in Anwendung der GMP-Grundsätze implementiert? Gibt es geeignete Aufzeichnungen für die Systementwicklung und ist der Standort der Unterlagen dokumentiert: - betriebsintern zu beziehen? - über den Lieferanten zu beziehen? Wurde das System in Übereinstimmung mit geeigneten, anerkannten SDLC-Grundsätzen mit den einzelnen Phasen für Systemkonzept, Pflichtenheft, Entwurf, Implementierung, Abnahme, Einführung/Systembetrieb und Wartung entwickelt? Sind Aufstellungsort und Installation des Systems geeignet, jeden möglichen Verlust an Datenverarbeitungskapazität durch umgebungsbedingte Risiken oder physische Beschädigungen, z.b. Feuer, Überschwemmung, extreme Temperaturen oder Feuchtigkeit, Stromschwankungen oder -unterbrechungen, Gefahren für die Sicherheit etc., so gering wie möglich zu halten? Liegt eine Beschreibung des Gebäudes, der darin befindlichen Computerräume und der Einrichtung inkl. Klimaanlage vor? Seite 6 von 10

1.8 Hardware Sind alle wesentlichen Bauelemente definiert worden? Gibt es ein Verzeichnis der Hardware (CPU, Terminals, Drucker, Instrumente, Platten/Bandlaufwerke, Sensoren, Alarmeinrichtungen etc.)? Gibt es ein Blockdiagramm, das die Hardwareorganisation und, falls vorhanden, die Netzkonfiguration zeigt? Wird ein Protokoll über die aktuelle und die in der Vergangenheit benutzte Hardware geführt mit einer ausführlichen Aufzeichnung über Modell, Hersteller, Installation und Diagnosetest? Gibt es für die gesamte Hardware SOPs/Handbücher? Sind Beschreibungen der Wartungsprozeduren für die Hardware vorhanden und werden frühere Aufzeichnungen über die Wartung verwahrt? Wird die Hardwareleistung überwacht? Ist bestimmte Hardware Betriebsbeschränkungen unterworfen (z.b. Umgebungsbedingungen, Stromschwankungen oder Ausfall)? Existieren Hardwarereserven beim Eintreten eines Ausfalls? Gibt es eine formale Prozedur für die Änderungskontrolle der Hardware? Wurde festgelegt wer solche Änderungen genehmigt? Werden Aufzeichnungen geführt? Ist die verwendete Hardware kompatibel? 1.9 Software Gibt es eine für den Laien verständliche Beschreibung der Software, ihrer Organisation und ihrer Funktionen? Ist die Quelle der Software (Systemsoftware und Anwendersoftware) dokumentiert? Erworben, betriebsintern entwickelt oder beides? Sind die Personen bekannt, die die Anwendersoftware geschrieben haben und ist deren Qualifikation/Berufserfahrung dokumentiert? Wurde die Software in Übereinstimmung mit bewährten Standards/Prozeduren entwickelt? Gibt es Aufzeichnungen, die dies bestätigen? Wird die Anwendersoftware so benutzt, wie sie geliefert wurde? Ist die Anwendersoftware modifiziert worden? Falls letzteres zutrifft, wurde dokumentiert, wer die Modifizierung durchgeführt hat? Haben Softwaretests stattgefunden? Sind die Ergebnisse aufgezeichnet worden? Ist eine Liste aller Programme vorhanden, die Namen, Zweck, Sprache, Version, Zeitpunkt der Installation etc. enthält, und gibt es Informationen über interaktive Seite 7 von 10

Programme (z.b. System-Funktionsschaltbilder)? Liegt eine ausführliche Beschreibung der Dateien- und der Datenbankstruktur vor? Werden Datenpakete benutzt? Wird ein Protokoll über die aktuelle und die in der Vergangenheit benutzte Software geführt und können frühere Konfigurationen ermittelt werden? Gibt es eine formale Prozedur für die Änderungskontrolle der Software? Wurde festgelegt, wer solche Änderungen genehmigt? Werden Aufzeichnungen geführt? Wird die Entwurfsspezifikation mit jeder Änderung aktualisiert? Existieren Prozeduren für das Erstellen von Sicherungskopien der Software? Ist der Ursprungscode der Anwendersoftware verfügbar und wird er sicher aufgehoben? Wenn er nicht verfügbar ist, gibt es eine vertragliche Vereinbarung, die den Zugriff unter bestimmten Bedingungen erlaubt? Ist die verwendete Software die aktuelle Änderungsstufe und stimmt sie mit der Software- Entwurfsspezifikation überein? Seite 8 von 10

1.10 Sicherheitsaudit 1.10.1 Allgemein Unterliegt das System definierten Kontrollprozeduren für die Sicherheit und werden diese in SOPs beschrieben? Werden diese Prozeduren angewendet? Ist eine einzelne Person oder eine Personengruppe für die Sicherheit verantwortlich (z.b. Systemverantwortliche)? Werden Aufzeichnungen über Systemausfallzeiten geführt? Werden Systemausfälle protokolliert, untersucht? Sind Katastrophenpläne für längere Systemausfälle definiert worden? Ist eine Prozedur für Wiederanlauf/Wiederherstellung definiert worden? Gibt es definierte Back-up-Prozeduren, die alternative Datenerfassungsprozeduren (manuelle oder andere) beinhalten? 1.10.2 Physisch Ist das System physisch vor unberechtigtem Zugriff geschützt? (z.b. verschlossene Türen, Sicherheitszone, Zugangskontrollkarten) Gibt es entfernte periphere Einheiten und werden diese auf gleiche Weise geschützt? Sind Zugriff und Benutzung des Systems berechtigtem Personal vorbehalten und gibt es Kennwortkontrollen? Werden Ausgabe, Benutzung und Änderung von Kennwörtern genehmigt und eingesetzt und sind sie Gegenstand regelmäßiger Überprüfung? Wurde festgelegt, wer dafür verantwortlich ist? 1.10.3 Logisch Findet eine wirkungsvolle Datenträgerkontrolle mit geeigneten Aufzeichnungen (Identifizierung, Verarbeitung, Wartung) statt? Werden geeignete Programm-Stammkopien und Sicherheitskopien geführt? Werden diese an getrennten Orten aufbewahrt? Werden die Arbeitskopien der Programme anhand der Stammkopien überprüft und wie oft geschieht das? Handelt es sich bei der benutzten Software um die aktuelle Version und wie kann der Beweis dafür erbracht werden? Seite 9 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback