SLOVENSKÁ NÁRODNÁ AKREDITAČNÁ SLUŽBA
METODICKÁ SMERNICA PRE SPRÁVNU LABORATÓRNU PRAX
METHODICAL GUIDELINE FOR GOOD LABORATORY PRACTICE
APLIKÁCIA ZÁSAD SLP
NA POČÍTAČOVÉ SYSTÉMY
THE APPLICATION OF THE PRINCIPLES OF GLP
TO COMPUTERISED SYSTEMS
MSA G - 10
Vydanie: 3
BRATISLAVA
Marec 2012
MSA G–10
2 / 14
Pôvodne publikované OECD v anglickom jazyku pod názvom:
OECD Series on Principles of Good Laboratory Practice and Compliance Monitoring, No.10,
The Application of the Principles of GLP to Computerised Systems.
OCDE/GD(95)115
© 1995 OECD
Všetky práva vyhradené.
© 2008, © 2012 SNAS pre slovenské vydanie
Publikované so súhlasom OECD, Paríž.
Za kvalitu slovenského prekladu a jeho kompatibilitu s pôvodným textom a národnou
legislatívou zodpovedá SNAS.
Spracoval:
Ing. Kvetoslava Foríšeková
Preskúmal:
RNDr. Zdeno Mahrla, CSc.
Schválil:
Ing. Jozef Obernauer, riaditeľ
Účinnosť od: 30. 3. 2012
Nadobudnutím účinnosti tejto MSA končí účinnosť MSA G-10 zo dňa 1. 9. 2008
Táto MSA neprešla jazykovou úpravou.
Metodické smernice sa nesmú rozmnožovať a kopírovať na účely predaja.
Dostupnosť MSA: http:// www.snas.sk/
MSA G–10
1
3 / 14
OBSAH
Strana
CONTENT
Page
ÚVODNÉ USTANOVENIA / Introductory Provisions.................................................. 4
1.1 Úvod / Introduction........................................................................................................ 4
1.2 Rozsah / Scope ............................................................................................................... 4
1.3 Prístup / Prístup ............................................................................................................ 4
1.4 Definícia pojmov ........................................................................................................... 4
1.5 Skratky / Abbreviations................................................................................................. 6
1.6 Súvisiace predpisy / Related Regulations ..................................................................... 6
2
VECNÁ ČASŤ / FACTUAL PART ................................................................................. 7
Aplikácia zásad SLP na počítačové systémy / The Application of the GLP Principles to
Computerised Systems ....................................................................................................... 7
2.1 Zodpovednosti / Responsibilities .................................................................................. 7
2.2 Školenia / Training ........................................................................................................ 8
2.3 Priestory a vybavenie / Facilities and Equipment ....................................................... 8
2.4 Údržba a obnova systému po havárii / Maintenance and Disaster Recovery ............ 9
2.5 Údaje / Data................................................................................................................... 9
2.6 Bezpečnosť / Security .................................................................................................. 10
2.7 Validácia počítačových systémov / Validation of Computerised System .................. 11
2.8 Dokumentácia / Documentation ................................................................................. 12
2.9 Uchovávanie / Archiving ............................................................................................ 14
MSA G–10
1
4 / 14
ÚVODNÉ USTANOVENIA / Introductory Provisions
1.1
Úvod / Introduction
V testovacích pracoviskách v posledných rokoch stúplo využívanie počítačových systémov
pri testovaní látok z hľadiska zdravotnej a environmentálnej bezpečnosti. Tieto počítačové
systémy môžu byť využívané na priamy a nepriamy zber údajov, spracovanie, zaznamenávanie
a uchovávanie údajov a čoraz častejšie sú súčasťou automatizovaného prístrojového vybavenia.
Tam, kde sú počítačové systémy používané pri vykonávaní štúdií zameraných pre regulované
oblasti, je dôležité, aby boli vyvíjané, validované (overované), riadené a udržiavané v súlade
s OECD Zásadami SLP.
1.2
Rozsah / Scope
Všetky počítačové systémy, ktoré sa používajú na generovanie, meranie alebo hodnotenie
údajov, ktoré sú určené pre využitie v regulovanej oblasti, musia byť vyvíjané, validované,
prevádzkované a udržiavané spôsobmi, ktoré sú v súlade so zásadami SLP.
Počas plánovania, vykonávania a zaznamenávania štúdií môže byť súčasne na rozličné účely
používaných niekoľko počítačových systémov. Môže to byť napr. priamy alebo nepriamy zber
údajov z automatizovaných prístrojov, činnosť/riadenie automatizovaného zariadenia
a spracovanie údajov, vypracovanie správ a uchovávanie údajov. Počítačové systémy pre tieto
činnosti môžu byť rôzne, od programovateľného prístroja na analýzu alebo osobného počítača,
až po laboratórny riadiaci informačný systém (LIMS) s mnohými funkciami. Zásady SLP by sa
mali aplikovať pri akomkoľvek použitom počítačovom systéme.
1.3
Prístup / Prístup
Počítačové systémy využívané pri štúdiách, ktoré sú určené pre regulovanú oblasť, musia byť
vhodne navrhnuté, mať primeranú kapacitu a vyhovovať pre zamýšľané účely. Taktiež musia
byť vypracované postupy na riadenie a udržiavanie týchto systémov a systémy musia byť
vyvíjané, validované a prevádzkované v súlade so zásadami SLP.
Validácia počítača má zásadný význam a je to vlastne potvrdenie toho, že daný počítačový
systém je vhodný pre určené zámery.
Proces validácie poskytuje vysoký stupeň záruky, že počítačový systém vyhovuje jeho vopred
určenej špecifikácii. Validácia musí byť vykonaná na základe plánu validácie a to
pred spustením počítačového systému do prevádzky.
1.4
Definícia pojmov
Zásady správnej laboratórnej praxe – systém kvality vzťahujúci sa na proces organizácie
a podmienky, za ktorých sa neklinické štúdie plánujú, vykonávajú, overujú, zaznamenávajú,
ukladajú a oznamujú.
Vedúci štúdie – osoba zodpovedajúca za celkové vykonanie neklinickej štúdie bezpečnosti
zdravia a životného prostredia, vrátane plánu štúdie a záverečnej správy.
MSA G–10
5 / 14
Inšpekcia testovacieho pracoviska – kontrola postupov testovacieho pracoviska a praktických
činností smerujúcich k posúdeniu stupňa zhody so zásadami SLP, počas ktorej sa skontrolujú
systémy riadenia a pracovné postupy testovacieho pracoviska, ako aj integrita údajov,
aby sa zabezpečilo, že výsledné údaje majú náležitú kvalitu na posúdenie a rozhodovanie
národnými regulačnými orgánmi.
Audit štúdií – porovnanie prvotných údajov a súvisiacich záznamov počas testovania,
alebo ich porovnanie so záverečnou správou na účely zistenia, či prvotné údaje boli presne
zaznamenané a či sa testovanie vykonalo v súlade s plánom štúdie a štandardnými pracovnými
postupmi.
Osvedčenie SLP – dokument, ktorým sa deklaruje, že testovacie pracovisko (laboratórium)
vykonáva štúdie (testy, skúšky) v súlade so zásadami Správnej laboratórnej praxe.
Akceptačné kritériá – zdokumentované kritériá, ktoré musia byť splnené, aby bola úspešne
ukončená fáza testu, alebo aby boli splnené predpísané požiadavky.
Akceptačný test – otestovanie počítačového systému v prostredí, kde sa predpokladá jeho
použitie, aby sa zistilo, či boli dosiahnuté všetky akceptačné kritériá testovacieho pracoviska
a či je systém prevádzkyschopný.
Záloha – opatrenia urobené pre obnovenie dátových súborov alebo softvéru, pre reštartovanie
spracovania údajov, alebo pre použitie alternatívneho počítačového zariadenia po prípadnom
zlyhaní systému alebo jeho zničení.
Kontrola zmien – neustále hodnotenie a dokumentácia činnosti systému a jeho zmien,
aby sa zistilo, či je potrebná validácia po nejakej zmene počítačového systému.
Počítačový systém – skupina hardvérových zložiek a pridruženého softvéru,
ktorý je navrhnutý a zostavený tak, aby vykonával špecifickú funkciu alebo skupinu činností.
Elektronický podpis – vstup vo forme magnetických impulzov alebo kompilácie počítačových
údajov zložených z rôznych symbolov alebo série symbolov, zrealizovaných, prispôsobených
alebo autorizovaných osobou, ktorý je rovnocenný s rukopisným podpisom.
Hardvér – fyzické komponenty počítačového systému, zahŕňajúce vlastný počítač a jeho
periférne komponenty.
Periférne komponenty – každé pripojené prístrojové vybavenie, prídavné alebo vzdialené
komponenty ako sú tlačiarne, modemy, terminály, a pod.
Uznané technické normy – normy uverejnené národnými, alebo medzinárodnými orgánmi,
(ISO, IEEE, ANSI, atď.).
Bezpečnosť – ochrana hardvéru a softvéru počítača pred náhodným alebo zlomyseľným
prístupom, použitím, modifikáciou, zničením alebo prezradením. Zabezpečenie sa tiež týka
personálu, údajov, komunikácie a fyzickej a logickej ochrany počítačových inštalácií.
Softvér (aplikácia) – program, ktorý je získaný, vyvinutý, adaptovaný a/alebo prispôsobený
požiadavkám testovacieho pracoviska pre účely riadenia procesov, zberu údajov, manipulácie
s údajmi, písania správ a/alebo uchovávania.
Softvér (operačný systém) – program alebo súbor programov, štandardných programov alebo
podprogramov, ktoré umožňujú činnosť počítača. Operačný systém vykonáva
napr. distribuovanie zdrojov, plánovanie, vstupnú/výstupnú kontrolu a spravovanie údajov.
MSA G–10
6 / 14
Zdrojový kód – originálny počítačový program zapísaný vo forme čitateľnej pre človeka
(v programovacom jazyku), ktorý musí byť preložený do čitateľnej formy pre počítač predtým,
ako je ním vykonaný.
Validácia počítačového systému – dôkaz, že počítačový systém je vhodný pre zamýšľané
použitie.
1.5
Skratky / Abbreviations
GLP
Good Laboratory Practice
MSA
Metodická smernica na akreditáciu
OECD
(Organisation for Economic Cooperation and Development)
Organizácia pre hospodársku spoluprácu a rozvoj
SLP
Správna laboratórna prax
SNAS
Slovenská národná akreditačná služba
ŠPP
Štandardné pracovné postupy
QA
Quality Assurance – Zabezpečenie kvality
1.6
Súvisiace predpisy / Related Regulations
MSA série G - všetky MSA týkajúce sa Správnej laboratórnej praxe.
Zákon 67/2010 Z. z. o podmienkach uvedenia chemických látok a chemických zmesí na trh
a o zmene a doplnení niektorých zákonov (chemický zákon)
Nariadenie vlády SR č. 320/2010 Z. z., ktorým sa upravujú činnosti testovacích pracovísk
a činnosti inšpektorov vykonávajúcich inšpekcie, audit a overovanie dodržiavania zásad
správnej laboratórnej praxe v znení neskorších predpisov.
MSA G–10
2
7 / 14
VECNÁ ČASŤ / FACTUAL PART
APLIKÁCIA ZÁSAD SLP NA POČÍTAČOVÉ SYSTÉMY / The Application of
the GLP Principles to Computerised Systems
Nasledujúce informácie by mali pomôcť v aplikácii zásad SLP na počítačové systémy:
2.1
Zodpovednosti / Responsibilities
a) Vedenie testovacieho pracoviska – má celkovú zodpovednosť za dodržiavanie
zásad SLP. Táto zodpovednosť zahŕňa vymenovanie a efektívne riadenie adekvátneho počtu
kvalifikovaného a skúseného personálu, ako aj povinnosť zabezpečiť, že zariadenia, vybavenie
a postupy týkajúce sa spracovania údajov sú na primeranej úrovni.
Vedenie testovacieho pracoviska zodpovedá za to, že počítačové systémy sú vyhovujúce
na zamýšľané účely. Má vytvoriť zásady práce s počítačmi a postupy, ktoré zaistia, že systémy
sú vyvinuté, validované, prevádzkované a udržiavané v súlade so zásadami SLP. Vedenie
testovacieho pracoviska musí zabezpečiť, aby pracovníci týmto zásadám a postupom
porozumeli, aby ich dodržiavali a aby dodržiavanie týchto požiadaviek bolo účinne
monitorované.
Vedenie testovacieho pracoviska tiež určí pracovníkov, zodpovedných za vývoj, validáciu,
prevádzku a údržbu počítačových systémov. Títo pracovníci majú mať vhodnú kvalifikáciu,
dostatočné skúsenosti a vhodné školenia, aby mohli vykonávať svoje úlohy v súlade
so zásadami SLP.
b) Vedúci štúdií – zodpovedajú za celkové vedenie štúdií v súlade so zásadami SLP.
Keďže veľa štúdií bude využívať počítačové systémy, je nevyhnutné, aby si boli plne vedomí
použitia počítačových systémov v štúdiách pod ich vedením.
Zodpovednosť vedúceho štúdie za zaznamenanie údajov v elektronickej podobe je taká istá,
ako pre údaje zaznamenané na papier a preto iba tie systémy, ktoré boli validované, môžu byť
použité v SLP štúdiách.
c) Zamestnanci – všetci zamestnanci, ktorí používajú počítačové systémy,
sú zodpovední za to, aby použitie týchto systémov bolo v súlade so Zásadami SLP.
Zamestnanci, ktorí vyvíjajú, validujú, využívajú a udržiavajú počítačové systémy,
sú zodpovední za vykonávanie týchto činností v súlade so zásadami SLP a platnými
technickými normami.
d) Útvar zabezpečenia kvality (QA) – zodpovednosť pracovníkov útvaru zabezpečenia
kvality za počítačové systémy musí byť definovaná vedením testovacieho pracoviska a opísaná
v písomne vypracovaných politikách a postupoch. Program zabezpečenia kvality musí zahŕňať
postupy a pokyny, ktoré zaistia, že požiadavky platných noriem sú splnené počas všetkých fáz
validácie, počas činnosti a údržby počítačových systémov. V postupoch a pokynoch by mali
byť vypracované postupy pri zavádzaní kúpených systémov a pri vývoji vlastných
počítačových systémov.
MSA G–10
8 / 14
Zamestnanci útvaru zabezpečenia kvality sú povinní sledovať, či sú počítačové systémy
v súlade so zásadami SLP a ak je to nevyhnutné, je potrebné zabezpečiť ich preškolenie
v rôznych špeciálnych technikách. Zamestnanci by mali byť dostatočne skúsení v oblasti
počítačových systémov, aby mohli činnosť objektívne posúdiť, v niektorých prípadoch je však
potrebné zabezpečiť audit špecialistov.
Zamestnanci útvaru zabezpečenia kvality majú mať priamy prístup vo forme „len čítanie“
k údajom uloženým v počítačovom systéme.
2.2
Školenia / Training
Zásady SLP vyžadujú, aby testovacie pracovisko malo primerane kvalifikovaný a skúsený
personál. Absolvované školenia, vrátane pracovných školení alebo účasti na externých
kurzoch, musia byť zaznamenávané a dokumentácia archivovaná.
Vyššie uvedené nariadenia sa týkajú aj všetkých pracovníkov zaoberajúcich sa počítačovými
systémami.
2.3
Priestory a vybavenie / Facilities and Equipment
Pre vykonávanie štúdií v súlade so zásadami SLP sa vyžaduje zabezpečiť primerané priestory
a vybavenie. Pre počítačové systémy sú ešte špecifické požiadavky:
a) Priestory
Dôležité je správne umiestnenie hardvéru, príslušenstva (tlačiarne, terminály)
komunikačných zariadení a elektronického pamäťového média. Pri inštalácii je nevyhnutné
vyhnúť sa extrémnym teplotám, vlhkosti, prachu, elektromagnetickému rušeniu a tesnej
blízkosti káblov vysokého napätia, pokiaľ nie je počítač špeciálne konštruovaný pre takéto
podmienky.
Treba mať na zreteli aj zdroj elektrickej energie pre počítače a keď je to potrebné, zabezpečiť
záložné alebo trvalé zdroje pre počítačové systémy ktorých náhle zlyhanie by nepriaznivo
ovplyvnilo výsledky štúdie.
Pre bezpečné uchovávanie zálohovacích médií obsahujúcich elektronické údaje musia byť
vyčlenené primerané priestory.
b) Vybavenie
-
Hardvér a softvér
Počítačový systém je definovaný ako spojenie hardvéru a súvisiaceho softvéru, ktorý
je navrhnutý a zostavený tak, aby vykonával špecifickú činnosť alebo skupinu činností.
Hardvér je fyzická zložka počítačového systému, ktorá zahŕňa samotný počítač a jeho periférne
zariadenia.
Softvér je program alebo programy, ktoré riadia činnosť počítačového systému.
Zásady SLP, ktoré sú požadované pre prístrojové vybavenie, je potrebné aplikovať
aj na hardvér aj na softvér.
MSA G–10
-
9 / 14
Komunikácia
Komunikácia, ktorá sa vzťahuje na počítačové systémy, spadá do dvoch kategórií: komunikácia
medzi počítačmi alebo komunikácia medzi počítačmi a periférnymi zariadeniami.
Všetky komunikačné linky sú potenciálnym zdrojom chyby a môžu mať za následok stratu
alebo poškodenie dát. Z týchto dôvodov je potrebné vykonávať príslušné kontroly bezpečnosti
a integrity údajov počas vývoja, validácie, činnosti a údržby počítačových systémov.
2.4
Údržba a obnova systému po havárii / Maintenance and Disaster Recovery
Všetky počítačové systémy by sa mali inštalovať a udržiavať takým spôsobom,
aby sa zabezpečila neustále presná činnosť.
a) Údržba
Všetky rutinné preventívne činnosti, ako aj odstraňovanie závad musia byť
zdokumentované. Tieto postupy by taktiež mali zahŕňať presný popis úloh a povinností
zainteresovaného personálu. V prípade, že počas údržby boli vykonané nevyhnutné zásahy
do hardvéru a/alebo softvéru, môže byť potrebné celý systém opätovne validovať. Záznamy
o každom probléme, zistenej nezhode a každej uskutočnenej nápravnej činnosti počas
každodennej činnosti počítačového systému sa musia uschovávať.
b) Obnova systému po havárii
Pre prípad havárie, to znamená čiastočného alebo celkového zlyhania počítačového
systému, musia byť vypracované presné postupy, čo je potrebné v takejto situácii urobiť.
Opatrení môže byť široká škála – od plánovaného zálohovania počítačov k prechodu späť
k systému dokumentácie na papieri. Pohotovostné plány na riešenie nepredvídaných udalostí
musia byť náležite zdokumentované, validované, a musia zaistiť nepretržitú integritu údajov
a nijakým spôsobom nesmú kompromitovať štúdiu. Personál, ktorý je zainteresovaný na štúdii,
musí byť oboznámený s takýmito pohotovostnými plánmi pri riešení nepredvídaných udalostí.
Postupy na obnovu počítačového systému záležia na kritickom stave systému, je však
nevyhnutné, aby boli zálohované a uchovávané kópie všetkého používaného softvéru.
Ak si postupy pre obnovu počítačového systému vyžiadali zmeny hardvéru alebo softvéru,
môže byť potrebné systém znovu validovať.
2.5
Údaje / Data
Zásady správnej laboratórnej praxe definujú prvotné údaje ako všetky pôvodné laboratórne
záznamy a dokumentáciu, vrátane údajov priamo vložených do počítača cez prístrojové
prepojenie, ktoré sú výsledkom pôvodných pozorovaní a činností počas vykonávania štúdie
a ktoré sú potrebné pri rekonštrukcii štúdie a na vyhodnotenie výsledkov štúdie v správe.
Počítačové systémy, ktoré pracujú v súlade so zásadami SLP, môžu uchovávať prvotné údaje
v rôznych formách (napr. elektronické pamäťové médium, počítačové alebo prístrojové výpisy,
mikrofilmové/mikrofišové kópie). Je potrebné, aby prvotné údaje boli definované pre každý
počítačový systém.
MSA G–10
10 / 14
Tam, kde je počítačový systém používaný na zber, spracovanie, vyhodnotenie a oznamovanie
výsledkov alebo uchovávanie prvotných údajov v elektronickej podobe, je potrebné zabezpečiť
úplný revízny záznam (audit trail), ktorý ukáže všetky zmeny údajov bez prepísania pôvodných
údajov. V týchto záznamoch byť možné vysledovať všetky zmeny údajov spolu s menami
osôb, ktoré zmenu vykonali, časom, kedy bola zmena urobená a podpisom (elektronickým).
Samozrejme musí byť uvedený aj dôvod každej zmeny.
V prípade, že sa údaje uchovávajú v elektronickej podobe, je potrebné zabezpečiť požiadavky
dlhodobého uchovávania pre každý typ údajov vzhľadom k predpokladanej životnosti
počítačových systémov. Zmeny hardvéru a softvéru musia umožniť kontinuálny prístup
k uchovaným prvotným údajom bez rizika narušenia integrity.
Podporné informácie (napr. uchovávanie denníkov so záznamami, záznamy o kalibrácii), ktoré
sú potrebné na overenie validity prvotných údajov, alebo na prípadnú rekonštrukciu procesu
alebo štúdie, sa majú tiež uchovávať.
Postupy pre činnosť počítačového systému musia zahŕňať aj postup pre prípad alternatívneho
zberu údajov v prípade zlyhania počítačového systému. V týchto prípadoch takéto ručne
zaznamenané údaje, ktoré sú následne vložené do počítača, musia byť jasne identifikované
a originálne ručne zaznamenané prvotné údaje musia byť tiež uchovávané. Manuálne postupy
zálohovania slúžia na minimalizovanie rizika straty akýchkoľvek údajov a zabezpečujú
uchovávanie všetkých týchto alternatívnych údajov.
Pri výmene zastaraného počítačového systému a následnej potrebe prenosu elektronických
prvotných údajov do nového systému, musí byť tento postup patrične zdokumentovaný a musí
byť overená integrita údajov. Tam, kde nie je takéto presunutie údajov možné, musia byť
prvotné údaje prenesené na iné médium (napr. vytlačené na papier) a tieto musia byť overené
a označené ako presná kópia prvotných údajov pred akoukoľvek deštrukciou pôvodných
elektronických údajov.
2.6
Bezpečnosť / Security
Na ochranu hardvéru, softvéru a údajov pred neoprávneným prístupom, vykonaním
neoprávnených zmien alebo stratou údajov, je potrebné mať vypracované presné bezpečnostné
postupy. V tejto súvislosti sa bezpečnosť týka zabránenia neoprávneného prístupu alebo zmien
v počítačovom systéme, rovnako ako aj zmien údajov uchovávaných v systéme. Takisto
je potrebné mať vypracované postupy pre prípad zničenia údajov vírusmi alebo inými
činiteľmi. Je potrebné mať vypracované bezpečnostné opatrenia na zachovanie integrity údajov
v prípade krátkodobého alebo dlhodobého zlyhania systému.
a) Fyzická bezpečnosť
Pod fyzickou bezpečnosťou sa rozumie zabránenie prístupu neoprávnených osôb
k hardvéru počítača, komunikačným zariadeniam, periférnym zložkám a elektronickým
pamäťovým médiám na uchovávanie údajov. Na zariadenie, ktoré sa nenachádza
v špecifických "počítačových miestnostiach" (napr. osobné počítače, terminály) sú ako
minimálne potrebné bežné opatrenia, ako pri vstupe na pracovisko. Avšak tam, kde sú takéto
zariadenia umiestnené na vzdialených miestach (napr. prenosné komponenty, modemové
MSA G–10
11 / 14
linky), je potrebné uskutočniť dodatočné opatrenia, ktorých úlohou je minimalizovať
akékoľvek nežiaduce zásahy.
b) Logická bezpečnosť
Pre každý počítačový systém alebo aplikáciu musia byť vytvorené logické
bezpečnostné opatrenia, ktoré majú zabrániť neoprávnenému prístupu do počítačového
systému, aplikácií a k údajom. Je nevyhnutné zabezpečiť používanie len schválených verzií
a validovaného (platného) softvéru. Logická bezpečnosť môže zahŕňať potrebu identifikácie
každého používateľa pomocou osobného prístupového hesla. Každé vloženie údajov
alebo nainštalovanie softvéru z externých zdrojov musí byť kontrolované. Tieto kontroly
sa môžu vykonávať pomocou operačného systému počítača, špeciálnymi bezpečnostnými
programami, postupmi vloženými do aplikácií, alebo ich vzájomnou kombináciou.
c) Integrita údajov
Keďže integrita uchovávania údajov je primárnym cieľom zásad SLP, je potrebné
zabezpečiť, aby každá osoba, ktorá manipuluje s počítačovým systémom, si bola vedomá
nevyhnutnosti dodržiavania zmienených bezpečnostných opatrení. Manažment je povinný
zabezpečiť, aby si personál uvedomil dôležitosť zaistenia bezpečnosti údajov, postupov
a systémových opatrení, ktoré poskytnú primerané zabezpečenie a následky ich nedodržania.
Takéto systémové prvky by mohli zahŕňať rutinné sledovanie prístupu do systému, vkladanie
súborov, rutinné chybové a/alebo trendové hlásenia.
d) Zálohovanie
Pri manipulácii s počítačovými systémami je bežné urobiť kópie celého softvéru a
údajov, aby mohla byť vykonaná obnova systému v prípade jeho zlyhania (napr. poškodenie
disku). Logicky z toho vyplýva, že keď záložná kópia môže zastúpiť prvotné údaje, musí sa
s ňou narábať rovnako ako s primárnymi údajmi.
2.7
Validácia počítačových systémov / Validation of Computerised System
Počítačové systémy musia byť vhodné na zamýšľaný účel. Je preto potrebné brať do úvahy
nasledujúce aspekty:
a) Akceptácia
Počítačové systémy musia byť navrhnuté tak, aby vyhovovali zásadám SLP
a ich zavedenie musí byť vopred naplánované. Pri každom systéme musí existovať
dokumentácia, že systém bol vyvinutý riadeným spôsobom, podľa uznávaných kvalitatívnych
a technických noriem (napr. ISO/9001). Okrem toho musí existovať dôkaz o tom, že súlad
systému s akceptačnými kritériami testovacieho pracoviska bol pred pravidelným používaním
primerane odskúšaný. Oficiálne akceptačné otestovanie si vyžaduje vykonanie testov podľa
vopred vypracovaného plánu a následného uchovania dokumentácie o všetkých testoch,
testovaných údajoch a dosiahnutých výsledkoch, ako aj formálneho záveru z testovania
a záznamu o akceptácii počítačového systému.
MSA G–10
12 / 14
U systémov dodávaných maloobchodným dodávateľom je pravdepodobné, že väčšina
dokumentácie vytvorenej počas vývoja sa uchováva na strane dodávateľa. V takomto prípade
musí byť na testovacom pracovisku k dispozícii dôkaz o oficiálnom posúdení a/alebo kontrole
predajcom.
b) Retrospektívne hodnotenie
Budú existovať aj systémy, kde sa nepredpokladala, alebo nebola špecifikovaná
potreba súladu so zásadami SLP. Vtedy je potrebné dokumentovať zdôvodnenie ich použitia,
súčasťou ktorého je aj retrospektívne hodnotenie ich vhodnosti.
Retrospektívne hodnotenie sa začína zozbieraním všetkých historických záznamov, ktoré
sa vzťahujú k takémuto počítačovému systému. Tieto záznamy sa preskúmajú, z čoho sa urobí
písomný súhrn. Tento retrospektívne zhodnotený súhrn by mal špecifikovať, aký dôkaz validity
je k dispozícii a kroky, ktoré je potrebné urobiť v budúcnosti, aby bola zabezpečená validácia
daného počítačového systému.
c) Kontrolovanie zmien
Kontrolovanie zmien je formálne schválenie a dokumentovanie každej zmeny
počítačového systému počas prevádzkovej životnosti systému. Kontrola zmien je potrebná,
ak daná zmena ovplyvní stav validácie počítačového systému. Postupy pri kontrole zmien
musia byť účinné od okamihu, keď je počítačový systém daný do prevádzky.
Postup by mal opisovať spôsob hodnotenia zmien, z ktorého by sa dal určiť rozsah
opakovaného testovania potrebného na zachovanie validity systému. V postupe pri kontrole
zmien musí byť určená osoba, ktorá bude zodpovedná za určenie potreby kontroly pri zmene
systému a jej schválenie.
Bez ohľadu na pôvod zmeny (dodávateľ alebo interne vyvinutý systém) je potrebné poskytnúť
príslušné informácie ako súčasť postupu pri kontrole zmeny. Postupy kontroly zmien musia
zabezpečiť integritu údajov.
d) Podporný mechanizmus
Aby sa zabezpečilo, že počítačový systém zostane vhodný pre zamýšľané ciele,
je potrebné využívať podporné mechanizmy, ktoré zabezpečia funkčnosť systému a jeho
správne používanie. Môže to byť napr. systém riadenia, rôzne typy školenia, údržba, technická
podpora, preverovanie a/alebo hodnotenie výkonu. Hodnotenie výkonnosti znamená formálne
preskúmanie systému v pravidelných intervaloch, aby sa zabezpečila neustála zhoda s udanými
kritériami výkonu, napr. spoľahlivosť, citlivosť, kapacita.
2.8
Dokumentácia / Documentation
Nasledujúce body sú návodom pre vypracovanie základnej dokumentácie týkajúcej
sa vývoja, validácie, prevádzky a údržby počítačových systémov:
a) Postupy
Musia byť opísané postupy riadenia, zahŕňajúce okrem iného nákup, požiadavky,
naplánovanie na čo sa bude používať, validáciu, skúšanie, inštaláciu, prevádzku, údržbu,
MSA G–10
13 / 14
zabezpečenie personálu, riadenie činnosti, kontrolu, auditovanie, monitorovanie a vyradenie
počítačových systémov.
b) Opis aplikácie
Pre každú aplikáciu musí existovať podrobná dokumentácia opisujúca:
-
Názov užívateľského programu alebo identifikačný kód a jasný, podrobný opis
účelu použitia programu
-
Hardvér (s číslami modelov), na ktorom program pracuje
-
Operačný systém a iný softvérový systém (napr. pomocné programy) použitý
v spojitosti s aplikáciou
-
Použité programovacie jazyky a/alebo použitá databáza
-
Hlavné činnosti vykonávané pomocou programu
-
Prehľad typu a toku údajov/návrh databázy používanej aplikáciou
-
Štruktúra súborov, chybové a výstražné hlásenia a algoritmy súvisiace
s aplikáciou
-
Použitý softvér s číslami verzií
-
Konfiguračné usporiadanie a komunikačné linky medzi aplikačnými modulmi,
prístrojmi a inými systémami.
c) Zdrojový kód
Niektoré členské krajiny OECD požadujú, aby testovacie pracovisko malo,
alebo vedelo získať zdrojový kód používaného softvéru.
d) Štandardné pracovné postupy (ŠPP)
Väčšina dokumentácie opisujúca činnosť pri používaní počítačových systémov musí
byť vypracovaná vo forme ŠPP. Tieto postupy musia obsahovať minimálne tieto údaje:
-
Postupy na prevádzku počítačových systémov (hardvér/softvér) a zodpovednosť
pracovníkov s nimi pracujúcimi
-
Postupy pre bezpečnostné opatrenia používané na rozpoznanie a zabránenie
neoprávnenému prístupu a zmien v programoch
-
Postupy a autorizáciu programových zmien a ich zaznamenávanie
-
Postupy a autorizáciu pre zmeny zariadenia (hardvér/softvér) vrátane skúšania
pred použitím, či je vyhovujúci
-
Postupy na periodické testovanie správneho fungovania kompletného systému
alebo jeho častí a zaznamenávanie týchto testov
-
Postupy na údržbu počítačových systémov a pridružených zariadení
-
Postupy pre vývoj softvéru a akceptačné testovanie a zaznamenávanie všetkých
testovaní
MSA G–10
2.9
14 / 14
-
Postupy pre zálohovanie všetkých uložených dát a postupy pre prípad
nepredvídaných udalostí v prípade poruchy
-
Postupy pre uchovávanie,
a počítačových dát
-
Postupy pre sledovanie a kontrolu počítačových systémov.
vyhľadanie
všetkých
dokumentov,
softvéru
Uchovávanie / Archiving
Princípy SLP pre uchovávanie údajov musia byť trvale využívané pre všetky typy údajov.
Preto je potrebné zabezpečiť, aby elektronické údaje boli uchovávané na takej istej úrovni,
týkajúcej sa kontroly prístupu k údajom, indexácie a účelného vyhľadávania, ako iné typy
údajov.
V prípade, ak sú údaje z viacerých štúdií uskladňované na jednom pamäťovom médiu (disk),
je potrebné zabezpečiť ich podrobnú indexáciu.
Priestory na uchovávanie by mali byť vybavené zariadeniami na kontrolu prostredia, aby bola
zabezpečená integrita uchovávaných elektronických údajov. Ak si tento postup vyžaduje
zriadenie ďalších priestorov na uchovávanie, manažment by mal menovať zodpovedného
pracovníka, ktorý je za ne zodpovedný a určiť osoby, ktorým bude prístup k uchovávaným
údajom povolený. Taktiež bude potrebné zabezpečiť postupy, aby nebola porušená dlhodobá
integrita údajov uchovávaných v elektronickej podobe. Tam, kde sa dá počítať s problémami
pri prístupe k dlhodobo uchovávaným údajom, alebo kde staré počítačové systémy musia byť
vyradené, je potrebné zabezpečiť postupy, ktoré zabezpečia neustálu čitateľnosť údajov. Tieto
postupy môžu zahŕňať napr. vytlačenie záznamov na papier, alebo prenos údajov na iné
médium.
Žiadne elektronicky uchovávané údaje nesmú byť zničené bez povolenia vedenia testovacieho
pracoviska a príslušnej dokumentácie. Iné údaje, týkajúce sa podpory počítačového systému,
ako je napr. zdrojový kód, vývoj, validácia, činnosť, údržba a kontrola záznamov, by mali byť
uchovávané najmenej tak dlho, ako sú uchovávané záznamy zo štúdie, ktorá bola vytvorená
pomocou tohto systému.
***
©SNAS 2012
Download

MSA G - 10