WHO-数据完整性指南：良好的数据和记录规范(最终版)中文版--实例部分

12-1WHO数据完整性指南：良好的数据和记录规范（最终版）中文版--实例部分附件1在纸质和电子系统中实施ALCOA(+)的期望和详细风险管理考虑的实例为了保证记录和数据在他们整个使用期间即数据生命周期内的准确、完整、一致和可靠企业应该遵循良好文件规范（GDocP）。原则上要求文件应该有可追溯、清晰、同步记录、原始和准确的属性（有时候也称作ALCOA）。在此附件中的表格提供了纸质和电子记录和系统的常规ALCOA要求实施的进一步的指导。另外，详细的风险管理的实例以及几个例证演示了这些措施是如何典型实施的。这些例证提供来帮助理解概念和如何达到基于风险的成功实施。这些例子不应该作为新的规范要求。可追溯的。可追溯的意思是在记录中获取信息以便此信息是唯一可以确定执行者的数据（如人员、计算机系统）。可追溯的对纸质（记录）的期望对电子（记录）的期望在纸质记录中的行动的可追溯性行为应该酌情使用以下内容产生：1)姓名的首写字母；2)完整的手写签名；3)个人印章；4)日期和，当需要时，时间。在电子记录中可追溯性行为应该酌情使用以下内容产生：1）与用户创建、修改或删除数据的行为相链接的唯一的用户登录；2）唯一的电子签名（生物识别或非生物识别）；3）应该获取用户ID和日期和时间标记的审计追踪；4）签名，必须是安全和永久性连接至被签的记录。为了确保行为和记录可以追溯到唯一的个人控制方面详细的风险管理考虑1)对于有法律约束的签名，在唯一、可识别的（实际）人员签名和签名的事件之间应该有一个可验证的、安全的联系。签名应该永久性地链接至被签的记录。使用一个应用程序用于签文件另一个用来储存签发的文件的系统应该确保两个保持链接以确保其属性不被破坏。2)签名和个人印章应该在审核或执行被记录的事件或行为的同时进行。12-23)使用个人印章去签署文件需要额外的风险管理控制，比如手写日期和要求印章储存在安全的地方访问权限仅仅限制给指定的人员或有其他避免潜在被滥用的其他方法的程序。4)使用个人手写签名的数字图片签署文件通常是不接受的。当这些储存的图片没有保存在只允许指定的人员访问的地方或者没有其他预防滥用的措施和没有放置在文档和邮件中它们就能很容易地被复制和被其他人重复使用，这种行为在这些签名的真实性方面的信心就会大打折扣。有法规约束的、手写签名应该在签名的同时签日期，电子签名应该包含签名的时间/日期标记来记录签署的事件的同时发生的性质。5)不鼓励使用混合系统，但是在有原有遗留系统等待替换的地方，现场应该有（风险）降低措施。应该避免使用共享和通用的登录凭证以确保在电子记录中记录的行为可以追溯到唯一的个人。这个适用于人员可能实施行为的软件应用层级和所有适用的网络环境（如工作站和服务器操作系统）。在没有技术控制或不可行的地方，比如，在原有遗留的电子系统中或登录将终止应用程序或停止过程运行的地方，应该使用纸质和电子记录的组合来满足追溯行为到相关个人的要求。在这种情况下，在GXP活动的过程中产生的原始记录必须是完整的，必须在记录保留期间以允许完全重现GXP活动的方式维护。6)当系统缺乏电子签名的可行性时提供足够的安全保护的情况下混合的方法可以例外地用来签署电子记录。这种混合的方法可能比完全的电子方法更繁冗；因此推荐尽可能使用电子签名。例如，执行和归属使用手写签名附件的电子记录可以通过一个简单的方法来执行，为系统使用和数据审核创建一个与书面程序相关联的单页的受控表格。这个文件应该列出审核的电子数据集和提交审核的任何元数据，和将要提供给数据集创建人、审核人和/或批准人去插入手写签名的域的清单。带有手写签名的纸质记录应该是安全并可追踪地链接至点击数据集，无论是通过程序化的方法，比如使用详细的检索索引，还是技术方法，比如将签名页的真实副本的扫描图片放入电子数据集中。7)应该优先替换混合系统。8)使用记录员代替另一个操作人员记录的行为仅仅考虑在特殊情况和仅仅发生在以下情况：--记录行为发生在对产品或活动有风险的地方，比如无菌区操作人员记录生产线的干扰活动；--为了适应文化或者降低员工的读写/语言能力的不足；比如，由操作人员执行操作，但由主管或指挥者来见证和记录。在这两种情况下，监督者的记录必须是与执行的任务同步的，并应该明确执行被观察任务的人员和完成记录的人员。如果可能执行被观察任务的人员应该在记录上确认签名，尽管这个确认签名的步骤是回顾式的也是可以接受的。监督（代写）文件完成的过程应该描述在批准的程序中，规定哪些过程的哪些行为可以。清晰、可追踪和永久的12-3术语清晰和可追踪和永久的指的是要求数据是易读的、可以理解的并允许记录中的步骤或事件有一个清楚的顺序以便执行的所有GxP活动都能被审核这些记录的人员在适用的GxP设定的记录保留期限内的某个时间点完全重现。清晰、可追踪和永久的对纸质（记录）的期望对电子（记录）的期望对纸质记录清晰、可追踪和永久的控制包括但不限于以下内容：1)使用永久性的不会褪色的墨水；2)不能使用铅笔或其可擦除的方式记录；3)修改记录时使用单横线划掉然后签名、日期和记录修改原因（比如相当于纸质记录的审计追踪）；4)不能使用不透明的涂改液或者其他模糊记录的方式；5)控制有封面的用连续的页码编号的记录本的发放（比如允许人员删除缺失或忽略的页码）；6)控制有连续页码编号的空白表格的复印件的发放（比如允许人员为所有发放的表格记数）；7)独立的指定的档案保管人员将纸质记录归档进安全受控的纸质档案室内(档案管理员这个术语是用于质量控制、GLP和GCP设置中的那些人员。在GMP设置中这个角色通常分派给质量保证部门的具体个人)；8)在纸张/墨水不可避免使用的地方保护其不会随着时间褪色。对电子记录清晰、可追踪和永久的控制包括但不限于以下内容：1)根据需要设计和配置计算机系统和书面标准操作程序（SOP）来执行在活动的同时和进行下一步系列事件前数据的保存（比如要有控制来禁止在临时内存中产生和处理和删除数据和在系列中下一步骤之前在永久内存中替换在活动时出错的数据）；2)使用安全的、有时间标记的审计追踪来独立地记录操作人员行为和追溯行为至登录的个人；3)限制访问的配置设置增强了安全许可（比如系统管理员角色可以用于潜在地关闭审计追踪或帮助覆盖或删除数据），仅仅给与电子记录的内容的那些职责不相关的人员。4)根据需要配置设定用来禁用和禁止覆写数据的能力，包括禁止初始和中间过程数据的覆写；5)需要时用配置设置和SOP来使其失去和禁止覆盖数据的能力，包括禁止初始和中间处理数据的覆写；6)以严格控制配置和数据注释工具的使用的方式来防止数据在显示和打印中被模糊化；7)经过验证的电子数据备份以确保灾难恢复；8)经过验证的由独立的指定的档案保管人员将电子记录归档到安全受控的电子记录档案室内。GxP数据的清晰、可追踪和永久的记录方面的详细风险管理考虑12-41)当计算机化系统用于生成电子数据时，将所有数据的修改和做出这些修改的人员关联起来应该是可能的，这些修改也应有时间标记和在适用的情况下应有记录修改的原因。用户行为的可追踪性应该通过计算机生成的审计追踪或其他元数据字段或满足这些要求的系统性能来记录；2)用户不应该有修改或关闭审计追踪或改变提供用户行为追踪方法的能力；3)所有新的计算机化系统都应该考虑使用适当的审计追踪功能的要求。在缺乏计算机生成审计追踪的计算化系统中，人员可以用替代的方法比如程序受控的使用记录本、变更控制、记录版本控制和其他符合GxP法规期望的纸质和电子记录结合的方式为可追踪性来记录行动中的什么、谁、什么时候和为什么。程序化的控制应该包括书面的程序、培训项目、记录的审核和对管理过程的审计和自检。4)当用到电子记录的归档时，归档过程应使用保护记录完整性的方式开展。电子归档应该是经过验证的、安全的并在数据生命周期中都维持在受控的状态。手动或自动归档的电子记录应该储存在在安全和受控的电子档案室，仅仅独立的、指定的档案员或他们批准的委托人能够访问。5）应该建立适当的分离的职责以便业务过程所有者或其他有利益冲突的用户在任何系统层面（比如操作系统、应用程序和数据库）没有被授予强化的安全访问许可。进一步说，高的特殊的系统管理员账号应该保留给指定的技术人员，比如信息技术（IT）人员，其完全独立于负责记录内容的人员，因为这些类型的账号可能包括了改变覆写的设定、重命名、删除、移动数据、改变时间/日期设定、禁用审计追踪和实施关闭为了使电子数据清晰和可追踪执行的良好的数据和记录规范（GDRP）其他的系统功能。在指定这些独立安全角色不可行的地方，其他的控制策略应该用于降低数据有效性风险。--为了避免利益冲突，这些增强的系统访问权限应该只给予担任系统维护角色的人员（比如IT、计量、记录控制、工程等），应该是完全独立于记录（比实验室分析员、实验室管理、临床研究、研究指导者、生产操作人员和生产管理人员等）内容责任的人员。在这些独立的安全角色指派不可行的地方，其他的控制策略应该使用来降低数据有效性风险。有增强的访问权限的个人理解他们用他们权限做出的任何变更的影响是特别重要的。有增强权限的人员因此也应该培训数据完整性原则。同步性同步数据是在它们产生或被观察到时记录的数据。同步性对纸质（记录）的期望对电子（记录）的期望在纸质记录中同步记录行为根据需要通过使用以下方式来实现：在电子记录中同步记录行为根据需要通过使用以下方式来实现：12-51)书面程序和培训和审核和审计和自检控制来确保人员在活动的同时直接在正式受控的文件中记录数据输入和信息（比如试验室记录本、批记录、案例报告表格等）；2)需要程序来规定在纸质记录中记录活动以及活动的日期（如果活动是时间敏感的也要记录时间）。3)良好的文件设计，其鼓励良好的行为规范：文件应该适当设计和应该确保要记录的活动在空白表格/文件有足够的空间记录。4)日期记录和活动的时间使用同步的时间来源（厂房和计算机化系统的时钟）其不能被未经授权的人员修改。在可能的地方，手工活动的记录的日期和时间应该自动进行。1)为了确保步骤或事件在其执行的同时的持久记录，确保在步骤或事件完成和进行下一步步骤或事件前记录在临时内存中的数据提交到持久媒介中的配置设定、SOP和控制；2)不能被人员调整的安全的系统时间/日期标记；3)程序和维护项目确保时间/日期标记与GxP操作同步；4)允许一个活动相对另一活动的定时识别的控制（比如时区控制）。5)系统在活动的同时对于用户的可用性。同步记录GxP数据的详细风险管理考虑1)要在GDocP方面的培训项目中强调首先在非正式文件（比如在碎纸片上）中记录然后转抄到正式的文件（比如实验记录本）上是不可接受的。原始数据应该在执行GxP活动的同时立即直接记录在正式记录上，比如批准的分析工作表。2)培训项目应该强调在记录中倒填日期或提前填日期都是不可接受的。记录的日期应该是输入数据的实际日期。晚输入应该同时输入活动的日期和记录输入的日期来表明。如果人员在纸质文件中犯了错他或她应该划一条线纠正、签名和日期并提供修改的理由并在记录集中保留这条记录。3)如果单机版的计算机系统的用户被提供了储存原始电子记录的工作站操作系统的完全的管理员权限，用户就有可能有不恰当的超级权限去重命名、复制、删除储存在本地系统中的文件夹和修改时间/日期标记。因为这个原因单机版计算机系统的验证应该确保正确的安全限制来保护时间/日期设定和保证所有计算机化环境下的数据完整性，包括了工作站操作系统、软件应用程序和任何其他应用的网络环境。原始的原始数据包括为了完全重现进行的GxP活动所需的第一时间或从源头获取的数据或信息和所有后续的数据。GxP对于原始数据的要求包括：1)应该审核原始数据；12-62)应该保存原始数据和/或保持了原始数据的内容和意思的真实和经过确认的副本；3)同样地，原始记录应该在整个记录保持期间都是完整的、持久的和容易查阅和阅读的。原始数据的例子包括单机版计算机化实验室仪器系统中的原始电子数据和元数据（如UV/Vis、FT-IR、ECG、LC/MS/MS、血液和化学分析器等）、自动化生产系统中的原始电子数据和元