由于广泛的数据伪造和数据管理实践差，数据完整性和遵守良好的制造实践（GMP）法规目前是制药行业的主要主题。为了帮助我们理解数据完整性问题，世界卫生组织（WHO）等监管机构，¹Medicines and Healthcare products Regulatory Agency (MHRA)^{2，，，，3}and the US Food and Drug Administration (FDA)⁴已经发布了有关该主题的指导文件。2021年7月，最新的指导文件由药物检查合作计划（PIC/S）题为在受监管的GMP/GDP环境中，数据管理和完整性的良好实践。 ¹本文将概述整个指导文档，并查看计算机系统的具体要求。这是一个重要的文件，因为检查员为检查员撰写。

图1 ：PIC/S PI 041数据完整性指南的最终版本的结构。

什么是pic/s？

关于图片/s，需要一个解释。该组织本质上是一个良好的制造实践（GMP）检查员俱乐部，拥有50多个监管机构。PIC/S的目的是在全球范围内协调GMP法规。监管机构适用于加入PIC，在其他成员的评估后，如果他们符合组织的标准。PIC/S有其自己的GMP法规，其成员例如欧盟成员国，英国，澳大利亚和日本；例外是仍然使用21 CFR 211的FDA。

此外，PIC/S发布了监管指导文件。其中之一是数据完整性的PI-041。该指南的妊娠期很长，2016年首次选秀在2018年发布，供公众发表评论，并于2021年7月发布了最终版本。¹

欧洲合规学院评论2018年指南草案

Following the issue of the third draft – PI-041 – for public comment, the European Compliance Academy (ECA) held a meeting in February 2019 in Berlin with 25 of its members to review and submit comments to the PIC/S secretariat. Two of theECA成员沃尔夫冈·舒马赫（Wolfgang Schumacher）是咨询公司Kereon AG的Roche和Yves Samson的Wolfgang Schumacher。

沃尔夫冈（Wolfgang）对新指南文件的看法是：

“ PIC/S 041是有关数据完整性的最全面的监管指南：它是由检查员准备的，并发表了行业的评论。与FDA相比，MHRA，他和各种GAMP（良好的自动化制造实践）数据完整性良好的实践文件，它为日常业务提供了详细的“食谱”，包括如果不满足期望，所有检查风险。”

“在QMS/PQ的所有领域都将进行组织和技术控制，这些组织和技术控制与计算机系统以及相关数据一起处理。”

“我喜欢该文件的清晰度，但我知道该实施将在行业中造成大量努力。”

伊夫的评论是：

“ GXP环境中计算机系统的较早的PIC/S指南PI-011显然区分了检查员的期望和建议（请参阅PI-011-3第2.8节). ² In contrast, PI-041 provides a lot of advice, sometime very prescriptive, without clearly differentiating between prescription and recommendation. PI041-1, at section 3.7, only mentions that ‘this guide is not mandatory or enforceable under law’. However, the guide content definitively raises a lot of ‘non-mandatory’ expectations from a regulator's side during an inspection.”

PIC/S PI-041: Good Practices for Data Management and Integrity

• 药物质量系统中的数据治理
• 组织问题，例如员工价值观，质量，道德和行为
• 纸质记录的考虑因素，包括对空白表和主模板的控制
• 包括混合系统在内的计算机系统的注意事项
• 外包和数据完整性
• 监管行动
• 数据完整性失败的补救
  
  

图2 ：计算机系统的特定数据完整性注意事项（来自PIC/S PI-041）。

不t mandatory or enforceable under law?

PI-041第3.7节规定，根据法律，本指南不可强制执行。问题是第9节中对计算机系统的指南能可以追溯到强制性法规附件11， 一些例子是：

• 验证计算机系统；附件11原理和第4条
• 计算机系统的清单；附件11第4.3条
• 定期评估；附件11第11条
• Data transfer; Annex 11 clause 5
• 审计步道；附件11第9条

因此，通过了解适用法规的知识和理解来阅读此指南。

数据完整性和合规性从系统购买开始

为了避免延续数据完整性问题，必须在软件中具有足够的技术控制以保护电子记录，这一点至关重要。第9.1.4条指出，实验室必须确保供应商对法规和数据完整性要求有充分的了解，并且在9.3项目1中指出，应注意对数据完整性控制的拟议评估。

史密斯和麦克道沃尔（Smith and McDowall）表明，购买不充分的乐器仍然是一个问题，他们分析了100多个FDA引用红外仪器。 ⁴ 超过40％的引用是由于购买仪器之前缺乏软件控件，例如没有安全性，利益冲突，没有审计跟踪。⁷Although there is the regulatory expectation that one should not purchase inadequate systems, as laboratories focus on the instrument and not the software, data integrity problems will be perpetuated.

让仪器系统减轻合规负担

制造商在制药环境以及其他受监管行业中面临的不断变化的监管环境可能会引起对合规性的混乱和怀疑。但是，通过采用简化的工作流并合并专门设计的仪器系统，以满足监管要求，可以减轻这一负担。观看本网络研讨会，以了解如何采用简化的工作流程以确保每位分析师的合规性。

观看网络研讨会

赞助内容

了解和管理数据漏洞

该指南非常明确，以及谁和MHRA指南，^{3 ，，，， 5}实验室必须知道任何计算机系统以及任何漏洞生成的数据的关键。数据过程映射⁶is suggested as a way of identifying these vulnerabilities e.g., shared user identities or data files stored in directories that can be deleted outside of the application with no audit trail entry. The regulatory expectation is that these vulnerabilities should be fixed using technical controls; although the guidance acknowledges that legacy systems may require procedural controls to ensure data integrity before these are updated or replaced. Clause 9.2.2 makes the point that a system may be qualified, calibrated and validated but there is no guarantee that the data contained within it are adequately protected. Hence the need to identify and mitigate any data vulnerabilities.

系统安全和访问控制

Section 9.5 of the guidance sets expectations for system security. Strict segregation of duties is essential so that administrators are independent of laboratory users, which is reflected in several other regulatory guidances. However, one of the common questions that arises during training is if a laboratory has a standalone system with only a few users, how should this be achieved? The PIC/S guidance recognizes that this is a potential problem for smaller organizations and suggests that a compliant system could have just two user roles:

• An administrator with no user functions
• A user with no administrator functions

但是，如果选择了此选项，则至关重要的是，审计跟踪记录各自的活动以证明没有发生任何利益冲突。

在USB设备的控制中，有一个特定的部分作为棍棒或拇指驱动器，还可以进行相机，智能手机等。这是为了确保不会将恶意软件引入组织中。

在选择仪器及其数据系统期间，大多数用户甚至都没有考虑过许多​​安全性期望。

例如，系统可以生成具有用户识别及其角色的用户列表吗？大多数网络系统都可以生成类似的列表，但没有多少独立系统可以在供应商需求的视野中发挥作用。如果您使用电子表格，请忘记它！

伊夫·萨姆森（Yves Samson）对安全部分有进一步的关注，他说：“某些期望令人困惑，例如，记录登录和注销的建议。其他期望过于集中在解决方案上，而不是目标上，例如，将软件补丁程序的可用性与应用程序应用的时间之间的持续时间视为“客观”标准。即使这种期望的意图是值得的，最终，将网络安全策略的有效性隐式降低到部署安全补丁所需的时间，忽略许多限制和要求（例如资格和验证要求）并不是一个好主意。- 可能直接影响应用软件补丁的所需时间。”

问题将是管理经过培训以使用此指南的检查员的期望。为了使其尽可能顺利，重要的是，您的方法是合理和记录的，并在适当的情况下进行评估。

不要触摸系统 - 经过验证！

一旦验证，在受管制实验室中计算机系统的验证的传统方法已被验证，没有进行更改。相比之下，在“安全性”部分中，PIC/S指南采用了更严格的方法，并建议应及时更新计算机化系统，包括安全补丁和新的应用程序版本。原则上这是很好的，但是行业内部需要有不同的思维方式来实践并遵循这一点，并找到执行工作的时间和资源。

例如，更容易用次要重新验证逐步更新应用程序，而不是等到应用程序不支持和恐慌作为完整验证，并且可能需要可能需要数据迁移项目。但是，此处提供的细节似乎更像是检查员的清单，对实验室的灵活性很小。

审计跟踪对于数据完整性至关重要

与“安全性”部分相反，审计跟踪的一个更短，鉴于审计跟踪对确保行动和数据完整性的可追溯性的关键程度是令人惊讶的。词汇表中审计跟踪的定义不足，您应该使用FDA或MHRA定义。 ^{5，，，，7} The first expectation is that a laboratory purchases a system with an audit trail. However, there is an alternative option available in EU GMP Annex 11 clause 12.4 that management systems for data and for documents should be designed to record the identity of operators entering, changing, confirming, or deleting data including date and time.⁸因此，如果应用程序可以满足12.4要求，则不需要审核跟踪。作为附件11是法律，它超过了图片/S PI-041。

PIC/S指南重申，适当的系统选择应确保软件具有足够的审核跟踪。用户必须在验证期间验证此审核跟踪的功能。某些应用程序可能具有多个审核跟踪，并且重要的是要知道哪些对于监视数据更改很重要。如果应用程序具有多个审核跟踪，则可以在更长的时间间隔中对任何非关键审核跟踪进行审查，而与数据审核跟踪相比。

指南的一个问题是，在第5.6.2节中，系统日志和审计跟踪之间存在混淆 - 系统日志或操作系统事件日志永远无法替代审计跟踪。

管理混合系统

对于使用混合系统的人，第9.10节并不能使阅读舒适：不鼓励这样的系统，应尽快更换，并且由于记录集的复杂性和增加数据的能力而需要其他控制。这与WHO指导所采取的立场基本相同。³

潜在的繁重要求是对整个系统的详细系统描述，概述了所有主要组件，它们的交互方式，每个系统的功能以及控件的功能以及确保数据完整性。您在实验室中有多少个混合动力系统 - 包括电子表格？

概括

本文重点介绍了有关新的PIC/S PI-041指南的部分在受监管的GMP/GDP环境中，数据管理和完整性的良好实践dealing with computerized systems. It is a good guidance with a wide scope and a lot of detail. In places, it veers from guidance with room for interpretation to a regulatory to-do list, especially for computerized systems. This may make it difficult for some organizations to implement fully.

参考

1。PIC/S PI-041在受监管的GMP/GDP环境草案中用于数据管理和完整性的良好实践。药物检查公约/药物检查合作计划。https://picscheme.org/docview/4234。于2021年7月出版。2021年9月访问。

2. GXP环境中的PIC/S计算机系统（PI-011-3）。药物检查公约/药物检查合作方案。https://picscheme.org/docview/3444。于2007年9月出版。2021年9月访问。

3.世界卫生组织。WHO技术报告系列第996号附件5良好数据和记录管理实践指南。世界卫生组织：日内瓦。出版2016年。

4.史密斯PA，麦道沃尔路。FDA Infra-RED 483引用的分析 - 您有数据完整性问题吗？光谱法。2019;34(9):22-28.

5。MHRA GXP数据完整性指导和定义。药物和医疗保健产品监管机构。https://www.gov.uk/government/publications/guidance-on-gxp-data-integrity。Published March 9, 2018. Accessed September 2021。

6. McDowall Rd。数据完整性焦点II：使用数据过程映射来识别完整性差距。LCGC N.America。2019; 37（2）：118-123。

7. FDA行业数据完整性和遵守药物CGMP问题和答案的指南。美国食品和药物管理局。https://www.fda.gov/media/119267/download。于2018年12月出版。2021年8月访问。

8。欧盟委员会。Eudralex-第4卷良好的制造实践（GMP）指南，附件11计算机系统。欧洲委员会：布鲁塞尔。出版于2011年6月30日。