汪 丹，范 賓，吳孝槐

(1.上?；ぴ簷z測有限公司 上海 200062； 2.中國合格評定國家認(rèn)可中心 北京 100062)

生態(tài)毒理研究是有毒有害物質(zhì)對生物個體、種群、群落以及生態(tài)系統(tǒng)有機體危害的程度與范圍的研究[1]。在化學(xué)品管理中，生態(tài)毒理GLP數(shù)據(jù)是化學(xué)品環(huán)境風(fēng)險評價的關(guān)鍵信息，是監(jiān)管部門批準(zhǔn)或拒絕化學(xué)品入市的決定性要素之一。生態(tài)毒理GLP機構(gòu)主要為化工、制藥、農(nóng)藥、肥料等領(lǐng)域的生產(chǎn)企業(yè)提供生態(tài)毒理測試數(shù)據(jù)，為受監(jiān)管產(chǎn)品的環(huán)境危害和風(fēng)險影響性評價提供數(shù)據(jù)支持。為了避免因數(shù)據(jù)造假、篡改、失真導(dǎo)致的決策失誤，確?；瘜W(xué)品環(huán)境安全性評價研究的質(zhì)量，世界各國均規(guī)定提供監(jiān)管性生態(tài)毒理測試數(shù)據(jù)的機構(gòu)必須符合GLP原則。因此，GLP機構(gòu)的管理體系水平成為了數(shù)據(jù)質(zhì)量的保障。

目前，如何在GLP機構(gòu)現(xiàn)代化建設(shè)的同時確保數(shù)據(jù)的質(zhì)量和可靠性成為亟待解決的問題。因為隨著科學(xué)技術(shù)的進步，自動化技術(shù)和計算機系統(tǒng)，如電子簽名、系統(tǒng)自動化、遠(yuǎn)程技術(shù)等[2]，在GLP機構(gòu)得到廣泛的應(yīng)用，導(dǎo)致工作復(fù)雜度和供應(yīng)鏈復(fù)雜度逐漸增大，數(shù)據(jù)產(chǎn)生方式發(fā)生變化，致使數(shù)據(jù)管理方式備受挑戰(zhàn)。近年來，經(jīng)濟合作與發(fā)展組織(OECD)、英國藥品和保健產(chǎn)品監(jiān)管局(MHRA)、國際藥品認(rèn)證合作組織(PIC/S)、世界衛(wèi)生組織(WHO)、國際制藥工程協(xié)會(ISPE)等多個重要組織已經(jīng)發(fā)布數(shù)據(jù)完整性的法規(guī)和管理指南，我國國家藥監(jiān)局也于2020年6月發(fā)布了《藥品記錄與數(shù)據(jù)管理要求》，這些法規(guī)都為我國的生態(tài)毒理GLP測試機構(gòu)的數(shù)據(jù)管理體系建設(shè)提供了重要的指導(dǎo)。

1 計算機化系統(tǒng)中數(shù)據(jù)完整性管理的要求與任務(wù)

OECD No.17中指出，試驗機構(gòu)應(yīng)建立可縮展、經(jīng)濟、有效，并注重數(shù)據(jù)完整性的計算機化系統(tǒng)驗證程序，建立制度化的風(fēng)險評估流程，通過識別系統(tǒng)風(fēng)險，確定管理優(yōu)先級排序，結(jié)合系統(tǒng)用途和功能制定風(fēng)險規(guī)避措施，實施對應(yīng)的驗證活動和數(shù)據(jù)完整性控制；要確保從計算機化系統(tǒng)的概念、需求、設(shè)計、開發(fā)、發(fā)布、操作使用及維護，直至系統(tǒng)退役的所有活動均符合GLP要求[3]。

PIC/S PI 041—1中規(guī)定：僅憑計算機化系統(tǒng)驗證是不能確保記錄受到充分保護的，即使是驗證了的系統(tǒng)也可能遭受意外或者惡意的丟失或損壞，所以計算機化系統(tǒng)驗證必須結(jié)合行政管理和具體的數(shù)據(jù)管理措施[4]。

WHO的數(shù)據(jù)完整性指南(2019意見修改稿)中提到，近年來WHO在良好生產(chǎn)質(zhì)量管理(GMP)、良好藥物臨床試驗質(zhì)量管理(GCP)和GLP檢查中發(fā)現(xiàn)，數(shù)據(jù)完整性和記錄管理規(guī)范性方面的缺陷項數(shù)量大大增加，主要原因：①過于依賴人員操作；②使用未正確配置和管理的計算機化系統(tǒng)；③未充分審核和管理原始數(shù)據(jù)與記錄。如某些企業(yè)多年來一直使用經(jīng)過驗證的計算機化系統(tǒng)，但是卻沒有對電子原始記錄進行檢查，相反僅檢查打印輸出記錄的正確性和完整性。指南規(guī)定，如果使用計算機化系統(tǒng)，那么應(yīng)當(dāng)經(jīng)過正確配置，且軟件是經(jīng)驗證有效的，消除數(shù)據(jù)在傳輸過程中被篡改的可能性，同時應(yīng)具備適當(dāng)手段發(fā)現(xiàn)數(shù)據(jù)完整性違規(guī)問題。如對于單機版系統(tǒng)，如果需要修改系統(tǒng)參數(shù)，必須增加控制措施[5-6]。

MHRA的GXP數(shù)據(jù)完整性指南和定義中規(guī)定[2]，數(shù)據(jù)完整性是數(shù)據(jù)在完整生命周期內(nèi)保持完整、一致、準(zhǔn)確、可信和可靠的程度，數(shù)據(jù)應(yīng)具備歸屬性、清晰性、同步性、原始性和準(zhǔn)確性。對于由計算機化系統(tǒng)生成的電子數(shù)據(jù)，主要風(fēng)險取決于系統(tǒng)的可配置程度以及數(shù)據(jù)傳輸中被操縱的可能性，因此建議運用技術(shù)手段和合理配置以降低完整性風(fēng)險。指南規(guī)定設(shè)計和實施數(shù)據(jù)管理系統(tǒng)來保證數(shù)據(jù)的質(zhì)量和完整性，如系統(tǒng)符合ALCOA(歸屬性、清晰性、同時性、原始性、準(zhǔn)確性)原則、系統(tǒng)權(quán)限的控制、空白記錄表的控制、取樣的控制、數(shù)據(jù)第二人審核、審計追蹤、備份與歸檔等。

ISPE記錄和數(shù)據(jù)完整性指南中指出，數(shù)據(jù)管理主要包括3個方面，即人員、程序和技術(shù)，對應(yīng)的措施類型分別為行為措施、程序措施、技術(shù)措施，如表1所示[7]。在具體應(yīng)用中，3個方面是相輔相成、密不可分的。

上述法規(guī)雖然出發(fā)點不同，但都普遍指出數(shù)據(jù)完整性控制措施是計算機化系統(tǒng)及其數(shù)據(jù)有效和可靠的保證。不難發(fā)現(xiàn)，計算機化系統(tǒng)驗證中融入數(shù)據(jù)完整性管理不僅是未來監(jiān)管的重點，也是真正能確保數(shù)據(jù)符合ALCOA原則的關(guān)鍵。

2 數(shù)據(jù)完整性主要檢查問題

根據(jù)監(jiān)管部門的公開檢查結(jié)果進行統(tǒng)計[8]，發(fā)現(xiàn)數(shù)據(jù)完整性問題主要體現(xiàn)在數(shù)據(jù)可靠性、數(shù)據(jù)準(zhǔn)確性、數(shù)據(jù)完整性、數(shù)據(jù)追溯性和即時性(按重要性排列)，表2給出了設(shè)備和計算機化系統(tǒng)管理中較為常見的數(shù)據(jù)完整性問題[9]。通過這些問題不難發(fā)現(xiàn)，發(fā)生在計算機化系統(tǒng)方面的數(shù)據(jù)完整性缺陷主要包括審計追蹤、權(quán)限管理、訪問控制、定期審閱、備份和歸檔。

表1 數(shù)據(jù)完整性管理措施分類

3 計算機化系統(tǒng)管理中的數(shù)據(jù)完整性措施

3.1 數(shù)據(jù)流分析

數(shù)據(jù)流圖是記錄業(yè)務(wù)流程和捕獲所有信息活動的有用工具，其通過一種可視化的流程圖展現(xiàn)業(yè)務(wù)過程和支持流程。數(shù)據(jù)流分析[10]主要包括以下3個步驟：

(1)識別數(shù)據(jù)的GLP相關(guān)性、關(guān)鍵性和數(shù)據(jù)形式(紙質(zhì)、電子、打印、混合等)。

(2)對關(guān)鍵級別的數(shù)據(jù)進行數(shù)據(jù)完整性風(fēng)險分析，如人員角色設(shè)置是否有利益沖突，即用戶同時具有生成數(shù)據(jù)和修改測試結(jié)果的權(quán)限，或者用戶同時具有管理員和分析員權(quán)限；系統(tǒng)可能為了執(zhí)行測試方法而訪問儲存數(shù)據(jù)，但是授予用戶該權(quán)限的結(jié)果可能導(dǎo)致測試完成后文件被刪除或修改；測試數(shù)據(jù)或元數(shù)據(jù)被儲存在文本文件中，文本文件相比數(shù)據(jù)庫文件更易被刪除。根據(jù)風(fēng)險情況識別控制措施，如人員權(quán)限、訪問控制、配置選項、審計追蹤、數(shù)據(jù)儲存位置和儲存方式等。

(3)將控制措施加入到數(shù)據(jù)流圖中，對措施實施后的風(fēng)險降低效果進行回顧審核，最終確定出適合不同數(shù)據(jù)的管理措施。

表2 設(shè)備和計算機化系統(tǒng)管理中的數(shù)據(jù)完整性問題舉例

3.2 人員權(quán)限和訪問控制

MHRA數(shù)據(jù)完整性指南[2]中規(guī)定：所有應(yīng)用都需要設(shè)置訪問控制，確保操作人員僅能夠訪問匹配其崗位角色的功能，且活動能夠歸屬到具體人員。機構(gòu)必須能夠獲取每個員工的訪問權(quán)限信息和歷史訪問權(quán)限信息。

法規(guī)體現(xiàn)了人員權(quán)限和訪問控制管理的3個重點，即人員權(quán)限設(shè)置、定義受控區(qū)域和訪問控制的實現(xiàn)，具體如下。

3.2.1 人員權(quán)限設(shè)置

人員權(quán)限設(shè)置是實現(xiàn)訪問受控的前提，而人員權(quán)限設(shè)置的基礎(chǔ)就是人員角色的確定。在計算機化系統(tǒng)的驗證和管理框架下，需要設(shè)置系統(tǒng)所有者、流程所有者、質(zhì)量保證人員、主題專家用戶、供應(yīng)商、用戶、系統(tǒng)維護和校準(zhǔn)人員等。在數(shù)據(jù)完整性管理的框架下，人員角色可能包括數(shù)據(jù)所有者、數(shù)據(jù)管家、數(shù)據(jù)技術(shù)員。設(shè)置數(shù)據(jù)管家和數(shù)據(jù)技術(shù)員的原因是，在實際工作中，數(shù)據(jù)所有者會將數(shù)據(jù)管理工作分配到合適的人員，無疑數(shù)據(jù)管家和數(shù)據(jù)技術(shù)員是最了解系統(tǒng)安全性、數(shù)據(jù)質(zhì)量性和完整性要求的[11]，故建議在機構(gòu)中定義這2個角色。人員權(quán)限角色職責(zé)與歸屬關(guān)系如表3所示。

表3 人員權(quán)限角色職責(zé)與歸屬關(guān)系

3.2.2 定義受控區(qū)域

訪問控制的目的是確保授權(quán)人員僅能訪問授權(quán)功能和位置。機構(gòu)可以通過合適的控制方法，如使用鑰匙、通行證、人員代碼、生物特征識別或者限制訪問特定的計算機設(shè)備(包括數(shù)據(jù)存儲設(shè)備、接口、計算機、服務(wù)器等)，防止非授權(quán)的邏輯訪問或物理訪問。

對于服務(wù)器機房的進出也需要控制訪問權(quán)限，這樣才能確保設(shè)備運轉(zhuǎn)的必備條件都能正常運行，如溫度控制、防火措施、不間斷電源供應(yīng)(UPS)等。

3.2.3 訪問控制的實現(xiàn)

PIC/041規(guī)定機構(gòu)應(yīng)該為所有使用系統(tǒng)的員工建立各自的賬戶，為了滿足數(shù)據(jù)的可歸屬性原則，必須杜絕共享賬戶的情況[4]。

權(quán)限管理必須遵循最小權(quán)限原則[7]，也就是為用戶提供執(zhí)行其工作職責(zé)所需的最小權(quán)限等級或許可。對于簡單系統(tǒng)，設(shè)立二級賬戶(普通用戶和管理員用戶)就足以滿足要求；對于復(fù)雜的計算機化系統(tǒng)，要求設(shè)置更多的用戶等級以支持訪問控制。

因此，在系統(tǒng)驗證開始之前，機構(gòu)就應(yīng)建立用戶權(quán)限清單，其中包括用戶名、職責(zé)和權(quán)限，同時說明職責(zé)分離要求，并且在系統(tǒng)驗證過程中進行確認(rèn)。每個計算機系統(tǒng)都需保持1個授權(quán)人員名單和權(quán)限列表，OECD No.17還要求機構(gòu)需要對人員權(quán)限清單記錄進行定期審核[3]。

3.3 審計追蹤和審計追蹤審閱

審計追蹤是由計算機生成的附有時間戳的安全記錄，為記錄重現(xiàn)創(chuàng)建、修改和刪除過程提供可能性。對于計算機化系統(tǒng)，審計追蹤是不可或缺的功能，其記錄應(yīng)以數(shù)據(jù)庫的形式存在于系統(tǒng)之中[12]。

審計追蹤功能必須結(jié)合邏輯及管理控制措施，避免遭受未授權(quán)的關(guān)閉、修改和更改?？刂拼胧┌▽徲嬜粉櫣δ芘渲枚ㄆ跈z查、人員訪問控制、職責(zé)分離、規(guī)范使用和實施變更流程等。當(dāng)系統(tǒng)管理員修改或關(guān)閉審計追蹤時，應(yīng)保留該操作的記錄。

機構(gòu)應(yīng)考慮保留在審計追蹤記錄中數(shù)據(jù)的相關(guān)性，以便開展數(shù)據(jù)審查/驗證。無論是在設(shè)置審計追蹤功能還是開展審計追蹤審閱時，必須要識別真正的審計追蹤記錄，計算機化系統(tǒng)中審計追蹤記錄真假形式如表4所示[13]。

表4 計算機化系統(tǒng)中審計追蹤記錄真假形式

審計追蹤的內(nèi)容不僅包括數(shù)據(jù)創(chuàng)建、修改和刪除的記錄(如處理參數(shù)和結(jié)果)，也包括記錄和系統(tǒng)層面上的活動，如試圖訪問系統(tǒng)、重命名或刪除文件。但是不同類型的記錄，其關(guān)注度、關(guān)注人和審閱要求是不同的，常見的審計追蹤審閱有3種形式[9]：①常規(guī)操作數(shù)據(jù)檢查中的審計追蹤審閱；②事件調(diào)查中對特定數(shù)據(jù)集的審計追蹤審閱；③審計追蹤功能有效性的審閱。

①是關(guān)于GLP數(shù)據(jù)的審閱，一般由開展測試的部門人員進行檢查，可以以第二人審核的方式進行，審核完成時間應(yīng)該在記錄提交到下一個環(huán)節(jié)之前。這個審閱非QA人員的責(zé)任，但是QA人員需要通過數(shù)據(jù)完整性檢查/調(diào)查確認(rèn)測試部門開展的審計追蹤審閱是否符合要求。審計追蹤記錄審閱分類及屬性如表5所示[13]。

表5 審計追蹤記錄審閱分類及屬性

3.4 備份、歸檔和恢復(fù)

備份是為了恢復(fù)(包括災(zāi)難恢復(fù))所保留的當(dāng)前數(shù)據(jù)的副本(可編輯的數(shù)據(jù))、元數(shù)據(jù)和系統(tǒng)配置設(shè)置。備份和恢復(fù)過程應(yīng)該被驗證和定期測試[5]。每個備份都應(yīng)確認(rèn)能準(zhǔn)確運行，并且通過技術(shù)手段確認(rèn)恢復(fù)后數(shù)據(jù)與原數(shù)據(jù)一致，如通過Checksum等手段。

檔案的設(shè)計必須滿足數(shù)據(jù)和元數(shù)據(jù)在要求的歸檔周期能被恢復(fù)和可讀。如果歸檔的是電子數(shù)據(jù)，歸檔過程必須被確認(rèn)，同時系統(tǒng)所有者要定期檢查和確認(rèn)遺留系統(tǒng)復(fù)讀數(shù)據(jù)的能力(確認(rèn)遺留的計算機化系統(tǒng)始終可用)。當(dāng)儲存的是混合記錄時，必須保持物理記錄和電子記錄之間的相互引用關(guān)系，以便在保存期間能夠?qū)κ录M行充分驗證。

根據(jù)MHRA數(shù)據(jù)完整性指南的規(guī)定[2]，備份文件是為了災(zāi)難恢復(fù)服務(wù)，其中不僅包括檔案數(shù)據(jù)的備份，還包括所有其他未被歸檔的記錄的備份，該備份具有長期性，需要定期進行更新，但是不同更新版本不需要完全一致。備份文件應(yīng)該進行驗證，確保在發(fā)生數(shù)據(jù)丟失、破壞等情況時，能夠進行數(shù)據(jù)恢復(fù)。

關(guān)于備份和歸檔的區(qū)別，筆者認(rèn)為對于電子數(shù)據(jù)，除定期備份一份外，還應(yīng)異地保存一份。但以恢復(fù)為目的建立的備份不能代替長期儲存的數(shù)據(jù)和元數(shù)據(jù)，所以當(dāng)系統(tǒng)退役時，或者部分備份數(shù)據(jù)從活躍期轉(zhuǎn)為休眠期時，應(yīng)以最后一次更新后的備份文件為準(zhǔn)進行歸檔保存。在確認(rèn)一致的情況下，數(shù)據(jù)文件歸檔后，可以刪除原備份數(shù)據(jù)，以防止數(shù)據(jù)恢復(fù)和重建時出現(xiàn)多個版本。

歸檔不僅要歸檔數(shù)據(jù)、元數(shù)據(jù)、審計追蹤數(shù)據(jù)，同時還必須保存系統(tǒng)軟件、軟件版本和軟件配置以及該版本軟件對應(yīng)的操作系統(tǒng)。在歸檔軟件和配置的過程中，需要IT人員的協(xié)助，以確保數(shù)據(jù)能夠被恢復(fù)。備份、歸檔和恢復(fù)的數(shù)據(jù)完整性風(fēng)險和預(yù)防措施如表6所示。

表6 備份、歸檔和恢復(fù)的數(shù)據(jù)完整性風(fēng)險和預(yù)防措施

3.5 定期審閱

定期審閱需要流程所有者、系統(tǒng)所有者以及用戶共同參與，定期對數(shù)據(jù)完整性控制措施進行審閱并形成報告，同時定制下次活動計劃。一般來說，定期審閱周期需結(jié)合系統(tǒng)的復(fù)雜性和關(guān)鍵性確定，不同級別系統(tǒng)的建議審閱周期如表7所示。

表7 不同級別系統(tǒng)的建議審閱周期

定期審閱的內(nèi)容：①對前一次驗證、變更和再驗證活動進行審閱，確認(rèn)在審閱周期內(nèi)發(fā)生的問題和事件、用戶管理計劃、安全故障，評估系統(tǒng)性能趨勢；②確認(rèn)現(xiàn)行的數(shù)據(jù)完整性措施和有效性，并對IT輔助性工作進行檢查，包括備份、恢復(fù)、安全、IT變更等可能影響系統(tǒng)的活動；③檢查系統(tǒng)的維護記錄、校準(zhǔn)記錄和服務(wù)記錄；④檢查用戶培訓(xùn)記錄，特別是應(yīng)用程序更新和修改后是否進行了培訓(xùn)。

4 結(jié)語

本文介紹了計算機化系統(tǒng)中主要數(shù)據(jù)完整性控制措施，旨在為我國生態(tài)毒理GLP檢測機構(gòu)使用計算機化系統(tǒng)提供指導(dǎo)。文中梳理了國際法規(guī)對數(shù)據(jù)完整性在計算機化系統(tǒng)管理中的目的和要求，介紹了當(dāng)前GLP機構(gòu)管理中存在的數(shù)據(jù)完整性缺陷，討論了主要的控制措施，包括數(shù)據(jù)流分析、人員權(quán)限和訪問控制、審計追蹤和審計追蹤審閱、備份、歸檔和恢復(fù)、定期審閱，分析了措施實施的具體要求和主要內(nèi)容，對可能存在的誤區(qū)予以解讀。

我國的良好實驗室規(guī)范起步較晚，與發(fā)達國家存在一定的差距，特別在計算機化系統(tǒng)和數(shù)據(jù)完整性管理方面還缺少具有針對生態(tài)毒理GLP機構(gòu)的法規(guī)和指導(dǎo)文件。隨著我國化學(xué)品、藥品、肥料、農(nóng)藥領(lǐng)域生產(chǎn)技術(shù)的飛速發(fā)展，環(huán)境的安全性問題變得越發(fā)重要，生態(tài)毒理GLP檢測的需求日益增多，GLP檢測機構(gòu)正在蓬勃發(fā)展。因此，監(jiān)管機構(gòu)、供應(yīng)商和檢測機構(gòu)應(yīng)共同努力，完善我國的法規(guī)管理體系，形成有效的管理模式，實現(xiàn)監(jiān)管技術(shù)水平和機構(gòu)管理能力與科學(xué)技術(shù)現(xiàn)代化水平協(xié)調(diào)發(fā)展。