生态毒理良好实验室机构的计算机化系统数据完整性管理措施探讨

Discussion on Data Integrity Management Measures of Computerized System in Ecotoxicology Good Laboratory Practice

汪丹 Dan WANG , 范宾 Bin FAN , 吴孝槐 Xiaohuai WU

1 上海化工院检测有限公司上海 200062 Shanghai TECH. Chemical Industry Testing Co., Ltd., Shanghai 200062, China 2 中国合格评定国家认可中心北京 100062 China National Accreditation Service for Conformity Assessment, Beijing 100062, China

Author notes:

Correspondence to: 吴孝槐(1973—)，男，博士，高级工程师，研究方向为认证认可和GLP等；wuxh@cnas.org.cn

摘要：

研究国际重要数据完整性法规的管理要求，为生态毒理良好实验室(GLP)机构的数据质量和可靠性提供合规性管理思路。通过梳理国际主要数据完整性法规的要求，介绍数据完整性监管现状和数据完整性不足引发的管理风险，讨论数据完整性管理措施的建立、验证、使用和维护方法。导致数据完整性问题的根源包括过于依赖人员操作、使用未正确配置和管理的计算机化系统、未充分审核和管理原始数据与记录，GLP机构应从程序管理、行为管理和技术手段3个方面来建立数据完整性管理措施。计算机化系统验证中融入数据完整性管理不仅是未来监管的重点，也是确保数据符合完整性原则的关键。

关键词：

实验室管理规范; 生态毒理研究; 数据完整性; 计算机化系统;

Abstract：

The management requirements of important international data integrity regulations are studied, with a view to providing compliance management ideas for the data quality and reliability of ecotoxicology GLP (Good Laboratory Practice) institutions. By sorting out the requirements of major international data integrity regulations, the status of data integrity supervision and management risks caused by insufficient data integrity are introduced. The establishment, verification, and use and maintenance methods of data integrity management measures are discussed. The root causes of data integrity problems include over-reliance on personnel operations, use of computer systems that are not properly configured and managed, and insufficient review and management of original data and records. GLP institutions should establish data integrity management measures from three aspects: program management, behavior management and technical means. Integrating data integrity management into computerized system verification is not only the focus of future supervision, but also the key to ensuring that data conforms to the principles of integrity.

Keyword：

good laboratory practice; ecotoxicology research; data integrity; computerized system;

生态毒理研究是有毒有害物质对生物个体、种群、群落以及生态系统有机体危害的程度与范围的研究^[1]。在化学品管理中，生态毒理GLP数据是化学品环境风险评价的关键信息，是监管部门批准或拒绝化学品入市的决定性要素之一。生态毒理GLP机构主要为化工、制药、农药、肥料等领域的生产企业提供生态毒理测试数据，为受监管产品的环境危害和风险影响性评价提供数据支持。为了避免因数据造假、篡改、失真导致的决策失误，确保化学品环境安全性评价研究的质量，世界各国均规定提供监管性生态毒理测试数据的机构必须符合GLP原则。因此，GLP机构的管理体系水平成为了数据质量的保障。

目前，如何在GLP机构现代化建设的同时确保数据的质量和可靠性成为亟待解决的问题。因为随着科学技术的进步，自动化技术和计算机系统，如电子签名、系统自动化、远程技术等^[2]，在GLP机构得到广泛的应用，导致工作复杂度和供应链复杂度逐渐增大，数据产生方式发生变化，致使数据管理方式备受挑战。近年来，经济合作与发展组织(OECD)、英国药品和保健产品监管局(MHRA)、国际药品认证合作组织(PIC/S)、世界卫生组织(WHO)、国际制药工程协会(ISPE)等多个重要组织已经发布数据完整性的法规和管理指南，我国国家药监局也于2020年6月发布了《药品记录与数据管理要求》，这些法规都为我国的生态毒理GLP测试机构的数据管理体系建设提供了重要的指导。

1 计算机化系统中数据完整性管理的要求与任务

OECD No.17中指出，试验机构应建立可缩展、经济、有效，并注重数据完整性的计算机化系统验证程序，建立制度化的风险评估流程，通过识别系统风险，确定管理优先级排序，结合系统用途和功能制定风险规避措施，实施对应的验证活动和数据完整性控制；要确保从计算机化系统的概念、需求、设计、开发、发布、操作使用及维护，直至系统退役的所有活动均符合GLP要求^[3]。

PIC/S PI 041—1中规定：仅凭计算机化系统验证是不能确保记录受到充分保护的，即使是验证了的系统也可能遭受意外或者恶意的丢失或损坏，所以计算机化系统验证必须结合行政管理和具体的数据管理措施^[4]。

WHO的数据完整性指南(2019意见修改稿)中提到，近年来WHO在良好生产质量管理(GMP)、良好药物临床试验质量管理(GCP)和GLP检查中发现，数据完整性和记录管理规范性方面的缺陷项数量大大增加，主要原因：①过于依赖人员操作；②使用未正确配置和管理的计算机化系统；③未充分审核和管理原始数据与记录。如某些企业多年来一直使用经过验证的计算机化系统，但是却没有对电子原始记录进行检查，相反仅检查打印输出记录的正确性和完整性。指南规定，如果使用计算机化系统，那么应当经过正确配置，且软件是经验证有效的，消除数据在传输过程中被篡改的可能性，同时应具备适当手段发现数据完整性违规问题。如对于单机版系统，如果需要修改系统参数，必须增加控制措施^[5-6]。

MHRA的GXP数据完整性指南和定义中规定^[2]，数据完整性是数据在完整生命周期内保持完整、一致、准确、可信和可靠的程度，数据应具备归属性、清晰性、同步性、原始性和准确性。对于由计算机化系统生成的电子数据，主要风险取决于系统的可配置程度以及数据传输中被操纵的可能性，因此建议运用技术手段和合理配置以降低完整性风险。指南规定设计和实施数据管理系统来保证数据的质量和完整性，如系统符合ALCOA(归属性、清晰性、同时性、原始性、准确性)原则、系统权限的控制、空白记录表的控制、取样的控制、数据第二人审核、审计追踪、备份与归档等。

ISPE记录和数据完整性指南中指出，数据管理主要包括3个方面，即人员、程序和技术，对应的措施类型分别为行为措施、程序措施、技术措施，如表 1所示^[7]。在具体应用中，3个方面是相辅相成、密不可分的。

表 1

数据完整性管理措施分类

措施类型	具体措施活动
行为措施	明确数据所有权
	实施培训
	营造合理管理氛围
程序措施	降低数据完整性风险措施
	识别残留风险的措施
	评估与第三方相关的措施
技术措施	计算机化系统验证、IT设施确认、设备确认和校准
	访问控制
	权限管理
	审计追踪
	安全性措施
	数据转移或迁移措施
	档案管理等

上述法规虽然出发点不同，但都普遍指出数据完整性控制措施是计算机化系统及其数据有效和可靠的保证。不难发现，计算机化系统验证中融入数据完整性管理不仅是未来监管的重点，也是真正能确保数据符合ALCOA原则的关键。

2 数据完整性主要检查问题

根据监管部门的公开检查结果进行统计^[8]，发现数据完整性问题主要体现在数据可靠性、数据准确性、数据完整性、数据追溯性和即时性(按重要性排列)，表 2给出了设备和计算机化系统管理中较为常见的数据完整性问题^[9]。通过这些问题不难发现，发生在计算机化系统方面的数据完整性缺陷主要包括审计追踪、权限管理、访问控制、定期审阅、备份和归档。

表 2

设备和计算机化系统管理中的数据完整性问题举例

类型	问题
人员权限与访问控制	单机版系统的用户ID和密码都是“管理员”
	账户共享
	未经授权人员能够对数据进行修改
	缺乏第二人审阅，如确认打印数据确实是真实数据的副本
	备份位置不安全，未能防止非授权人员的访问
审计追踪和审计追踪审阅	审计追踪不能记录所有的数据修改痕迹
	未开启审计追踪功能，或者审计功能不能全部记录修改痕迹
	单机版设备与未连接服务器的电脑相连，但是缺乏控制和常规的审计追踪检查，且未对数据保存容量进行控制，未能确保数据不会被删除或更改
	计算机或者存储设备配置不合理，数据可以被复制或者篡改
备份储存和归档	未能完整保存设备所有的电子原始数据，如设备连接到单机版电脑上并将数据储存到电脑上，但是电脑上的数据可能会被删除
	备份频率不足
	未进行异地备份
	备份数据不全，未能包括全部的原始数据、元数据和审计追踪
定期审阅	记录保存期间未进行定期审阅/恢复测试
定期审阅	缺少对计算机化系统的定期审阅
其他	缺乏对设备功能和可用功能的理解
	变更管理流程没有或不合理
	缺少对软件自动升级的控制措施
	实验室内所有设备和系统的时间同步性问题
	计算机化系统数据库保护措施不合理
	网络拓扑图不合理，导致数据传递丢失

3 计算机化系统管理中的数据完整性措施

3.1 数据流分析

数据流图是记录业务流程和捕获所有信息活动的有用工具，其通过一种可视化的流程图展现业务过程和支持流程。数据流分析^[10]主要包括以下3个步骤：

(1) 识别数据的GLP相关性、关键性和数据形式(纸质、电子、打印、混合等)。

(2) 对关键级别的数据进行数据完整性风险分析，如人员角色设置是否有利益冲突，即用户同时具有生成数据和修改测试结果的权限，或者用户同时具有管理员和分析员权限；系统可能为了执行测试方法而访问储存数据，但是授予用户该权限的结果可能导致测试完成后文件被删除或修改；测试数据或元数据被储存在文本文件中，文本文件相比数据库文件更易被删除。根据风险情况识别控制措施，如人员权限、访问控制、配置选项、审计追踪、数据储存位置和储存方式等。

(3) 将控制措施加入到数据流图中，对措施实施后的风险降低效果进行回顾审核，最终确定出适合不同数据的管理措施。

3.2 人员权限和访问控制

MHRA数据完整性指南^[2]中规定：所有应用都需要设置访问控制，确保操作人员仅能够访问匹配其岗位角色的功能，且活动能够归属到具体人员。机构必须能够获取每个员工的访问权限信息和历史访问权限信息。

法规体现了人员权限和访问控制管理的3个重点，即人员权限设置、定义受控区域和访问控制的实现，具体如下。

3.2.1 人员权限设置

人员权限设置是实现访问受控的前提，而人员权限设置的基础就是人员角色的确定。在计算机化系统的验证和管理框架下，需要设置系统所有者、流程所有者、质量保证人员、主题专家用户、供应商、用户、系统维护和校准人员等。在数据完整性管理的框架下，人员角色可能包括数据所有者、数据管家、数据技术员。设置数据管家和数据技术员的原因是，在实际工作中，数据所有者会将数据管理工作分配到合适的人员，无疑数据管家和数据技术员是最了解系统安全性、数据质量性和完整性要求的^[11]，故建议在机构中定义这2个角色。人员权限角色职责与归属关系如表 3所示。

表 3

人员权限角色职责与归属关系

人员角色	职责	业务归属人
流程所有者	对业务流程或被管理流程负最终责任负责系统及应用符合预期用途和标准操作规程(SOP)	系统使用部门的负责人
系统所有者	对系统的有效性、受支持性、维护以及系统数据安全性负最终责任确保系统的维护和支持符合SOP	IT部门/IT人员
数据所有者	对系统中的数据负有监督管理责任	流程所有者
数据管家	履行数据所有者对系统的要求	超级用户/ 系统管理员
数据技术员	履行数据所有者对IT的要求	IT部门/IT员

3.2.2 定义受控区域

访问控制的目的是确保授权人员仅能访问授权功能和位置。机构可以通过合适的控制方法，如使用钥匙、通行证、人员代码、生物特征识别或者限制访问特定的计算机设备(包括数据存储设备、接口、计算机、服务器等)，防止非授权的逻辑访问或物理访问。

对于服务器机房的进出也需要控制访问权限，这样才能确保设备运转的必备条件都能正常运行，如温度控制、防火措施、不间断电源供应(UPS)等。

3.2.3 访问控制的实现

PIC/041规定机构应该为所有使用系统的员工建立各自的账户，为了满足数据的可归属性原则，必须杜绝共享账户的情况^[4]。

权限管理必须遵循最小权限原则^[7]，也就是为用户提供执行其工作职责所需的最小权限等级或许可。对于简单系统，设立二级账户(普通用户和管理员用户)就足以满足要求；对于复杂的计算机化系统，要求设置更多的用户等级以支持访问控制。

因此，在系统验证开始之前，机构就应建立用户权限清单，其中包括用户名、职责和权限，同时说明职责分离要求，并且在系统验证过程中进行确认。每个计算机系统都需保持1个授权人员名单和权限列表，OECD No.17还要求机构需要对人员权限清单记录进行定期审核^[3]。

3.3 审计追踪和审计追踪审阅

审计追踪是由计算机生成的附有时间戳的安全记录，为记录重现创建、修改和删除过程提供可能性。对于计算机化系统，审计追踪是不可或缺的功能，其记录应以数据库的形式存在于系统之中^[12]。

审计追踪功能必须结合逻辑及管理控制措施，避免遭受未授权的关闭、修改和更改。控制措施包括审计追踪功能配置定期检查、人员访问控制、职责分离、规范使用和实施变更流程等。当系统管理员修改或关闭审计追踪时，应保留该操作的记录。

机构应考虑保留在审计追踪记录中数据的相关性，以便开展数据审查/验证。无论是在设置审计追踪功能还是开展审计追踪审阅时，必须要识别真正的审计追踪记录，计算机化系统中审计追踪记录真假形式如表 4所示^[13]。

表 4

计算机化系统中审计追踪记录真假形式

真审计追踪记录	假审计追踪记录
自动生成	不安全的文本文件
安全且与可信任时间源连接	数据文件内的子文件，有被删除风险
内置在GLP应用中(理想情况生成在数据库中)	存放在系统总信息储存库
侧重GLP数据的生成、修改和删除	系统日志
允许授权用户填写修改原因(默认条目或自由文本)	操作系统事件日志

审计追踪的内容不仅包括数据创建、修改和删除的记录(如处理参数和结果)，也包括记录和系统层面上的活动，如试图访问系统、重命名或删除文件。但是不同类型的记录，其关注度、关注人和审阅要求是不同的，常见的审计追踪审阅有3种形式^[9]：①常规操作数据检查中的审计追踪审阅；②事件调查中对特定数据集的审计追踪审阅；③审计追踪功能有效性的审阅。

① 是关于GLP数据的审阅，一般由开展测试的部门人员进行检查，可以以第二人审核的方式进行，审核完成时间应该在记录提交到下一个环节之前。这个审阅非QA人员的责任，但是QA人员需要通过数据完整性检查/调查确认测试部门开展的审计追踪审阅是否符合要求。审计追踪记录审阅分类及属性如表 5所示^[13]。

表 5

审计追踪记录审阅分类及属性

项目	GLP数据相关的审计追踪	通用的审计追踪
检查部门	数据生成部门	QA
检查内容	修改样品编号	用户登录和登出
	移动样本在进样序列中的顺序	用户锁定账户
	修改样品质量	管理员解锁用户账户
	序列数据废弃	创建新用户
	非授权的用户手动积分	管理员归档分析项目
	用户在分析报告上采用电子图片签名	修改应用配置设置

3.4 备份、归档和恢复

备份是为了恢复(包括灾难恢复)所保留的当前数据的副本(可编辑的数据)、元数据和系统配置设置。备份和恢复过程应该被验证和定期测试^[5]。每个备份都应确认能准确运行，并且通过技术手段确认恢复后数据与原数据一致，如通过Checksum等手段。

档案的设计必须满足数据和元数据在要求的归档周期能被恢复和可读。如果归档的是电子数据，归档过程必须被确认，同时系统所有者要定期检查和确认遗留系统复读数据的能力(确认遗留的计算机化系统始终可用)。当储存的是混合记录时，必须保持物理记录和电子记录之间的相互引用关系，以便在保存期间能够对事件进行充分验证。

根据MHRA数据完整性指南的规定^[2]，备份文件是为了灾难恢复服务，其中不仅包括档案数据的备份，还包括所有其他未被归档的记录的备份，该备份具有长期性，需要定期进行更新，但是不同更新版本不需要完全一致。备份文件应该进行验证，确保在发生数据丢失、破坏等情况时，能够进行数据恢复。

关于备份和归档的区别，笔者认为对于电子数据，除定期备份一份外，还应异地保存一份。但以恢复为目的建立的备份不能代替长期储存的数据和元数据，所以当系统退役时，或者部分备份数据从活跃期转为休眠期时，应以最后一次更新后的备份文件为准进行归档保存。在确认一致的情况下，数据文件归档后，可以删除原备份数据，以防止数据恢复和重建时出现多个版本。

归档不仅要归档数据、元数据、审计追踪数据，同时还必须保存系统软件、软件版本和软件配置以及该版本软件对应的操作系统。在归档软件和配置的过程中，需要IT人员的协助，以确保数据能够被恢复。备份、归档和恢复的数据完整性风险和预防措施如表 6所示。

表 6

备份、归档和恢复的数据完整性风险和预防措施

可能的风险	预防措施
备份频率不足	建立正式的数据备份程序和灾难恢复流程，对数据备份周期的修改应该遵守变更控制流程的规定
记录保存期间未进行定期审阅/恢复测试	定期测试和恢复，数据备份应在系统下次升级和维护活动之前进行
未进行异地备份	建立异地备份
备份数据不完整，未能包括全部的原始数据、元数据和审计追踪	检查备份数据是否包括源数据、元数据和系统数据(包括审计追踪)
备份位置不安全，未能防止非授权人员的访问	设置访问控制和人员权限，档案室的记录必须被上锁
备份恢复性差	数据备份和恢复流程需要进行确认

3.5 定期审阅

定期审阅需要流程所有者、系统所有者以及用户共同参与，定期对数据完整性控制措施进行审阅并形成报告，同时定制下次活动计划。一般来说，定期审阅周期需结合系统的复杂性和关键性确定，不同级别系统的建议审阅周期如表 7所示。

表 7

不同级别系统的建议审阅周期

关键性级别	审阅周期/月
关键性级别	由定制化、可配置的软件控制的系统	由可配置软件控制的系统	由不可配置软件控制的系统
高	3	6	12
中	6	12	24
低	24	36	有因审阅

定期审阅的内容：①对前一次验证、变更和再验证活动进行审阅，确认在审阅周期内发生的问题和事件、用户管理计划、安全故障，评估系统性能趋势；②确认现行的数据完整性措施和有效性，并对IT辅助性工作进行检查，包括备份、恢复、安全、IT变更等可能影响系统的活动；③检查系统的维护记录、校准记录和服务记录；④检查用户培训记录，特别是应用程序更新和修改后是否进行了培训。

4 结语

本文介绍了计算机化系统中主要数据完整性控制措施，旨在为我国生态毒理GLP检测机构使用计算机化系统提供指导。文中梳理了国际法规对数据完整性在计算机化系统管理中的目的和要求，介绍了当前GLP机构管理中存在的数据完整性缺陷，讨论了主要的控制措施，包括数据流分析、人员权限和访问控制、审计追踪和审计追踪审阅、备份、归档和恢复、定期审阅，分析了措施实施的具体要求和主要内容，对可能存在的误区予以解读。

我国的良好实验室规范起步较晚，与发达国家存在一定的差距，特别在计算机化系统和数据完整性管理方面还缺少具有针对生态毒理GLP机构的法规和指导文件。随着我国化学品、药品、肥料、农药领域生产技术的飞速发展，环境的安全性问题变得越发重要，生态毒理GLP检测的需求日益增多，GLP检测机构正在蓬勃发展。因此，监管机构、供应商和检测机构应共同努力，完善我国的法规管理体系，形成有效的管理模式，实现监管技术水平和机构管理能力与科学技术现代化水平协调发展。

ckwx 参考文献

陈景文, 全燮.环境化学[M].辽宁:大连理工大学出版社, 2009: 163.

MHRA. GXP data integrity guidance and definitions[EB/OL].(2018-03)[2020-07-09].https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attach-ment_data/file/687246/MHRA_GxP_data_integrity_guide_March_edited_Final.pdf.

Organization for Economic Cooperation and Development. Advisory document of the working group on good laboratory practice No.17 application of GLP principles to computerized systems: ENV/JM/MONO(2016)13[EB/OL].(2016-04-22)[2020-07-08].http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=env/jm/mono(206)13&doclanguage=en.

PIC/S. Good practices for data management and integrity in regulated GMP/GDP environments (Draft 3): PI 041-1[EB/OL].(2018-11-30)[2020-07-08]. https://picscheme.org/docview/2342.

WHO. Guideline on data integrity (draft for comments)[EB/OL].(2019-10)[2020-07-08].https://www.who.int/medicines/publications/druginformation/issues/WHO_DI_33-4_DataIntegrity.pdf.

WHO. Guidance on good data and record management practices: Annex 5[EB/OL].(2016)[2020-07-08]. http://www.who.int/medicines/publications/pharmprep/WHO_TRS_996_annex05.pdf.

Parenteral Drug Association. Data integrity management system for pharmaceutical laboratories: Technical report No.80[R]. USA: Parenteral Drug Association Inc, 2018.

SHAFIEI N, DE MONTARDY R, RIVERA-MARTINEZ E. Data integrity-a study of current regulatory thinking and action[J]. PDA J of Pharm SciTechnol, 2015, 69(6): 762-770.

ISPE.GAMP© good practice guide: A risk-based approach to GxP compliant laboratory computerized systems[R]. 2nd ed. USA: ISPE, 2012.

MCDOWALL RD. Data integrity and data governance: Practical implementation in regulated laboratories[M]. UK: Royal Society of Chemistry, 2019: 133-137.

Food and Drug Administration. Guidance for industry data integrity and compliance with drug CGMP questions and answers[EB/OL].(2018-12)[2020-07-07].https://www.fda.gov/media/119267/download.

MCDOWALLRD. The why, what, and how of CDS audit trail review[J]. LCGC North America, 2020, 38(3): 163-172, 193.