GL-一计算机化系统管理制度资料

河北国龙制药有限公司文件文件编码版本/修订编码A/00计算机化系统管理制度GL/GB/

01.021页码1/8起草人起草日期审核日期审核日期审核人审核日期审核日期批准人批准日期颁发部门质量管理部执行日期目的为了达到企业对计算机化系统管理工作的规范化、程序化、标准化，保证公司内产品质量、产品检验等计算机化系统的稳定运行，最终确保公司内全部计算机化系统持续处于良好的受控状态，特制定本制度适用范围本制度适用于公司全部部门和生产车间计算机自控系统的管理和操作责任本制度由综合部负责起草，综合部经理、技术部经理、质量管理负责人批准，公司各部门和生产车间负责实施1计算机系统软件GAMP5分级任何计算机系统的软硬件在运用之前，均须要进行软件登记类别GAMP5典型示例如操作系统、数据库引擎、编程语言等，成品或市场上可以买到的1基础软件软件可以输入并存储运行数据，但不能对软件进行配置以适应业务流程的2不行配置软件产品软件例如纯化水制备系统、空调系统等有PLC的设备人机交互界面（HMD、数据采集和监视限制系统（SCADA）等，可进3可配置软件产品行配置/组态，以满意用户详细业务流程的特别要求内部或外部开发的IT应用程序、设计定制程序和编制源代码以使其4定制应用程序适应用户业务流程的软件2基于数据完整性的计算机系统的分类河北国龙制药有限公司计算机化系统密码变更表GL/GB/

01.021-03Rev00/2023P1/1申请信息部室/车间申请日期申请人申请缘由批准状况管理员是否批准口是口否处理信息操作员受理时间处理结果河北国龙制药有限公司计算机化系统软硬件配置表GL/GB/

01.021-04Rev00/2023P1/1硬件信息固件信息操作系统应用软件硬件外设网络硬件、固件、软件和线缆文件资料河北国龙制药有限公司计算机化系统软件变更限制台账表GL/GB/

01.021-05Rev00/2023PI/I软件名称、位置变更发起人变更批准人变更实施人变更描述备注依据计算机系统产生的数据的重要程度，并结合打印报告与电子数据的一样程度，将公司现有的计算机系统大致分为以下几类

2.1试验室检验仪器涉及的计算机系统仪器干脆连接计算机系统，并生成用于产品放行的检验数据，还有打印纸质报告与存储电子数据的计算机系统如HPLC计算机系统，最终存储的电子数据与打印的报告若不完全一样，为了保证检验数据的完整性，则须要对最终数据的处理（如积分参数）进行审计追踪

2.2生产设备所涉及的PLC系统或HMI通过执行设定的工艺过程来限制设备，并实时形成纸质打印记录，且形成电子数据进行保存

2.3机系统选购前的供应商审计要求

3.1对于识别为3类、4类、5类的计算机系统，须要由QA部门与计算机系统运用部门、工程部、综合部共同进行供应商评估，供应商评估实行以下的方式依据检查列表进行非现场审计（邮件审计）并进行后续电话跟踪；第三方审计；干脆现场审计4软件备份、版本限制和变更限制

4.1全部计算机系统均应当运用存储介质进行软件备份；若厂家不供应软件备份,至少须要保证在软件发生故障后48小时之内可以进行远程诊断，远程诊断应当在验证时同步进行确认；

4.2全部进行备份的软件均应当标明软件的版本号，在软件发生故障须要运用备份软件复原前，首先应确认备份软件版本与现行版本的一样性；

4.3全部的计算机化系统均应当进行严格的版本限制，并进行实时登记软件版本升级前，应当提出变更申请，依据软件版本升级涉及的变更内容，评估是否会影响到原有的计算机化系统的验证状态、是否须要进行部分或重新进行系统的验证/确认,变更申请批准后对相应的计算机化系统进行版本更新5软件的配制管理配置管理的目的是了解系统早期整个生命周期中（从规划到退役）的组成软件系统中的配置应被很好的记录并且其变更应经授权、实施和记录归档；配置管理包括两个步骤初始设置和变更限制

5.1初始设置一般计算机系统被安装，全部配置项目的初始设置应被记录配置项目包括计算机硬件，如供应商、型号；计算机固件，如版本号；操作系统供应商、产品识别码和版本；应用软件供应商、产品识别码和版本；硬件外设，如打印机、CD-ROM驱动器；网络硬件、固件、软件和线缆；文件资料，如验证安排、操作手册和规格标准

5.2变更限制在系统设计、开发以及运用的各个阶段都应执行变更限制同时也适用于初始设置阶段所定义的全部配置项目变更限制中的信息应包括＞系统ID和位置；＞变更发起、批准和实施的人员；＞变更的描述，包括变更的缘由以及商业利益；＞对验证的预期影响；＞实施的数据；变更申请时＞变更由系统运用者提出；＞变更限制中应包括变更对系统性能影响的风险评估；＞全部变更均应记录在变更限制台账中6用户登录访问权限管理

6.1用户的注册与注销每个部门应有专人管理新用户注册和未运用用户的注销每个用户运用唯一登录名和密码，保证用户与其动作链接起来，并对其动作负责，每个访问账户是被管理者批准的，以确保被赐予的访问权限是合法的用户申请访问程序如下＞用户必需经过所在岗位的培训，且理论与实际操作考核合格，具备独立上岗实力，然后填写计算机自控系统新用户授权表GL/GB/O

1.021-01；＞部门主管给出授权看法；＞确保部门主管已完成授权程序后，由每台设备/仪器的管理员为用户设置登录名和密码，依据申请者的身份（操作员、修理员）安排权限；＞确保以上授权程序已完成，用户才可以进行系统访问对于离职或职位调动的人员，应填写计算机自控系统人员变更（辞职、调岗）表GL/GB/

01.021-02,申请注销用户

6.2权限管理限制权限的运用和安排，要求用户通过正式的授权规程访问，使权限安排受到限制，需执行以下步骤＞要在每个设备的验证文件中描述出计算机系统用户三级访问权限，以及须要安排给权限的用户（操作者、维护员、管理员）；假如是简洁机械设备（非计算机系统）且有限制屏幕可设置简洁密码，则要求设置至少一级密码进行爱护；＞权限应在运用须要的基础上依据访问限制策略安排给用户，例如仅当须要时，为其职能角色安排最低要求；＞所安排的各个权限的授权过程要有记录用户权限的授予应与其岗位职能相匹配（操作员、维护员、管理员）用户口令管理及运用＞管理员在赐予用户名和密码时，要保证以平安的方式进行，要避开运用第三方或不受爱护的电子邮件；＞用户获得自己的用户名和密码后，要保证个人密码的保密性，不得共享；＞每当有任何迹象表明用户密码可能受到损害时，须要马上变更密码；＞选择具有最小长度的优质密码，要便于记忆，不能设置别人可能简洁猜出的密码，例如电话号码、名字和生日等等不简洁遭遇字典攻击，另外还要避开连续的相同的字符或全数字或全字母；＞用户密码绝不能以不受爱护的形式存储在计算机系统内；＞应在系统或软件安装后变更供应的默认用户名和密码；

6.

2.1无人值守的设备或带显示屏的机械设备＞当生产或试验结束时，终止有效会话，利用一种合适的锁定机制使它们平安，例如有口令爱护的屏幕爱护程序；＞当会话结束时退出主计算机、服务器和办公PC（不仅仅关掉PC屏幕）；＞当不运用设备时（无法设置密码的机械设备），利用带钥匙的锁或等效限制措施来爱护设备禁止未授权运用，例如，口令访问

6.

2.2桌面屏幕爱护等平安策略屏幕爱护设置等平安策略可防止在人员离开设备时的未授权访问，当无人值守时，计算机和终端应注销或运用由口令、令牌或类似的用户认证机制限制的屏幕和键盘锁定机制进行爱护，当不运用时，要利用带钥匙的锁、口令或其他限制进行爱护7计算机数据的访问限制

7.1对于全部生成与产品质量属性相关的电子数据，均应设置访问、修改、删除限制，防止未经授权的人员登陆和操作；全部的操作和数据的变动均应进行审计追踪

7.2平安（操作者离开现场平安登出）和用户登陆ID和密码管理

8.1应为每个操作者、修理员、管理员设置用户和登陆密码

8.2当错误登陆次数累计超过肯定次数之后，锁定相应的用户；重新启用该账户前，须要由管理员重新激活；

8.3软件及存储数据所在的计算机系统/服务器应有相应的访问密码爱护，相应的计算机应有自动屏幕爱护，计算机停止操作超过规定时间，应自动锁定，以避开未经授权的人员进行错误操作；锁定后重新操作计算机须要重新输入登陆密码9软件审计追踪功能及筛选

9.1软件审计追踪功能应能精确的记录登入、登山的日期、时间、事务，并且依据操作发生的时间依次自动进行排序，软件应能够保证系统保存的数据不被修改；

9.2软件可以依据审计追踪的内容进行项目的安排和筛选，审计追踪的记录可以允许用户进行查看，但是不允许任何用户进行修改或删除10数据的备份（备份周期）和复原

10.1假如软件产生的电子数据须要在计算机系统中进行自动保存，应对存储的数据进行备份，备份数据应存放在另外单独的受控环境，任何人如需访问此备份数据须要经过申请批准后方可访问；

10.2数据和系统的备份应能保证系统发生故障后，能够保证数据和系统复原到某个时间点，避开数据的丢失11软件灾难复原

11.1应对软件进行备份，并记录软件的版本号，备份应用软件应存放在另外单独的受控环境，任何人如需访问此备份应用程序须要经过申请批准后方可访问，确保当软件系统发生故障时，能够保证软件系统的灾难后复原，灾难复原应充分考虑软件厂家的建议并在软件系统的验证时进行确认12软件的网络信息平安和标准时钟管理

12.1软件的运用若仅限于公司内部运用，则软件安装的电脑不允许进行外部网络链接，以防止遭遇外部网络平安威逼；

12.2安装软件的电脑应有杀毒软件，防止电脑遭遇病毒威逼，病毒库实时更新；

12.3安装软件的电脑，应有密码爱护，电脑安装的位置应有防止未经授权人员进入的限制措施，计算机停止操作超过规定时间，屏幕应自动锁定，以避开未经授权的人员进行错误操作；锁定后重新操作计算机须要重新输入登陆密码

12.4对全部的计算机系统，应每月与标准时钟进行比对和修正，确保产生的电子数据的时间的精确性13软件验证测试

13.1依据计算机化系统验证的要求对软件进行分级并依据验证要求进行相关项目的验证和确认工作；

13.2当软件发生变更后，须要依据风险评估确定是否须要进行变更后的再验证14软件的定期回顾/审核及软件问题处理

14.1应每年对软件进行回顾，收集软件在运行过程中发生的故障、问题，若经过分析可能影响系统的运用和关键数据的收集，应联系供应商对软件进行改造、升级15计算机系统的定期维护

15.1依据设备说明书的要求对计算机化系统进行维护，如执行端仪表阀门的检修、配电柜的部件及接线、上位机服务器的缓存清理等；

15.2对计算机化系统的运用记录进行定期审查，并对运用期间产生的故障报警进行审核评估，确保系统性能符合预定要求

15.3持续性培训

16.1软件在正式运用之前，应由厂家有资质的人员对软件维护人员、运用人员和管理人员进行培训，培训通过后，分别设置不同的运用账号并安排相应的权限；

16.2当软件版本升级、更新时，应保证刚好对相关人员进行变更内容的培训17软件系统的退役

17.1当软件系统运用无法满意运用需求或有新的系统替代时，执行软件系统退役申请，确认全部的相关数据备份完好后进行软件卸载并对计算机上的数据进行删除

17.2软件系统的退役应在经过批准后进行18责任部门工作责任与考核

18.1各部室、车间对自控系统授权操作的平安性负有监督责任，任何人不得超越自己的权限，因密码泄露或人为越权造成的生产事故依据公司管理制度进行惩罚

18.2各部室和车间人员须依据现行有效版本的文件规定操作或执行，部室和车间领导负责监督检查文件的执行状况，并有权订正错误

18.3未按本制度规定执行的人员，每次责罚100元；部门负责人负管理责任，每次责罚20元19本制度由信息中心负责说明附相关记录GL/GB/

01.021-01Rev00/2023《计算机自控系统新用户授权表》GL/GB/

01.021-02Rev00/2023《计算机自控系统人员变更辞职、调岗表》GL/GB/

01.021-03Rev00/2023《计算机自控系统密码变更表》GL/GB/

01.021-04Rev00/2023《计算机系统软硬件件配置表》GL/GB/

01.021-05Rev00/2023《计算机自控系统软件变更限制台账表》历次修订记录历次修订编码起草人及日期批准人及日期执行日期本次修订内容河北国龙制药有限公司计算机化系统新用户授权表GL/GB/

01.021-01Rev00/2023P1/1申请信息部室/车间所在岗位申请人申请缘由申请权限□管理员口操作员申请时间批准信息管理员是否批准□是口否处理信息操作人处理日期处理状况河北国龙制药有限公司计算机化系统人员变更（辞职、调岗）表GL/GB/

01.021-02Rev00/2023P1/1申请信息部室/车间所在岗位申请人申请时间变更缘由批准信息管理员是否批准口是口否处理信息操作人处理日期处理状况。