《XX公司电子监管码系统风险评估.doc》由会员分享,可在线阅读,更多相关《XX公司电子监管码系统风险评估.doc(12页珍藏版)》请在三一办公上搜索。
1、电子监管码项目风险分析RA授权者签名 您的签名表明这份文件准备进行验证的必要,以确认系统符合现行项目标准、满足项目任务和可交付性要求。经授权:姓名,职称签名日期单位审查员签名:您的签名表明您已经审阅了这份文件,确认对验证的必要,并且它能准确及完全的反映任务和可交付使用性。经审阅:姓名,职称签名日期单位姓名,职称签名日期单位姓名,职称签名日期单位质检/批准签名您的签名表明这份文件符合验证总计划,企业标准或政策,并且在此包含的文件和信息,符合可应用的、可调整的、共同的以及部门所有的部门的要求和现行的GMP标准。经核准:姓名,职称签名日期单位姓名,职称签名日期单位修订历史纪录修订本修订日期修订/更改
2、要求的原因修订人02010/12/21初版刘文欣 目录1.绪论51.1目的51.2政策与规定51.3风险评估范围与边界51.3.1评估范围51.3.2评估范围外51.4目标61.4.1企业经营目标61.4.2项目合格性目标61.4.3资产安全性目标61.4.4企业其他目标61.5角色和责任62.电子监管码项目风险评估方法72.1风险评估过程72.2风险评估相关定义72.2.1资产价值(机密性、完整性和可用性)72.2.2弱点(脆弱性)82.2.3威胁的可能性 Likelihood82.2.4威胁的严重性 Impact82.2.5风险值计算82.2.6电子监管码项目评估资产分类82.2.7风险处
3、置措施93.风险评估矩阵9Appendix A9Appendix B12 (Reminder of Page Intentionally Left Blank)1. 绪论1.1 目的这份文件,也称风险分析RA,略述电子监管码系统的风险识别、风险分析及对策方法。1.2 政策与规定风险评估将会遵守阿斯利康公司相关政策,公司标准和公司指导方针,和国家GMP、现行GAMP中关于信息系统的统一要求。1.3 风险评估范围与边界这份为电子监管码系统的风险评估RA仅限于药品包材生产线的电子监管系统范围内的软硬件系统。该风险评估结果将会被作为项目执行、方案变更及相关项目活动的重要依据。1.3.1 评估范围(电子
4、监管码系统)验证的范围包括以下所有的系统运作所必需的内容。(明确界限)1. 包材生产线控制系统的硬件和软件2. 工艺流程3. 相关的服务器及网络设备4. 仓库区域相关的硬件和软件5. 通用系统6. 设施7. 人员组织8. 企业业务流程9. 其他需要的情况1.3.2 评估范围外(电子监管码系统)风险评估的范围不包括:1. 工艺方案变更(如果有)2. WMS系统接口方案评估3. 其他情况1.4 目标1.4.1 企业经营目标 通过风险评估活动,达成本次企业电子监管码项目与药监监管规定一致的目标。并在本项目基础上,完善企业生产流程、出入库流程、分销流程,让企业能更高效、更安全的进行各种企业运营活动。1
5、.4.2 项目合格性目标 通过风险评估活动,达成项目方案的实际可行性,降低各种不利因素发生概率,最终达成项目成功交付。1.4.3 资产安全性目标 通过风险评估活动,保障企业现有设备、人员、资产的安全性,以及新增资产后期运用中的各项安全性。1.4.4 企业其他目标 通过风险评估活动,保证满足企业现有各种相关规章制度的执行。1.5 角色和责任 与电子监管码系统评估相关的活动项目由以下个人和部门负责,确定个人的任务和责任至少应包括以下几点,总体根据岗位不同描述每项任务和责任:1.管理层/企业高层:负责风险评估管理和计划;风险评估活动、资源、成本的控制;过程监控;推动风险评估活动的正常进行。2.业务部
6、门/QA部门: 负责业务方面中的风险识别、风险评估、风险对策等活动。3.人力资源部门:负责风险评估活动中的人力资源方面的风险识别、风险评估、风险对策等活动。4.IT部门:负责风险评估活动中的IT资产方面的风险识别、风险评估、风险对策等活动。5.设备部门/工程部门:负责风险评估活动中的设备方面的风险识别、风险评估、风险对策等活动。6.供应商:负责风险评估活动各项活动的组织及执行。3.GxP关键评估详述和有关的 GxP关键评估信息。该部分可能参引相关的其他信息来源,例如系统配置清单。 3.1GxP 关键评估 要求定义因GXP相关规定,而需要在(电子监管码系统)中使用的关键性要求,包括直接影响,间接
7、影响和无影响系统。直接影响:系统或系统中的一个组成,对产品质量有直接影响的操作,接触,控制,预警或失败。间接影响:系统或系统中的一个组成,对产品质量无直接影响的操作,接触,控制,预警或失败。间接影响系统支撑直接影响系统,因此间接影响系统会对直接影响系统的执行和运作构成影响。无影响:系统或系统的一个组成,对产品质量不构成直接或间接影响的操作,接触,控制,预警或失败。无影响系统不能支持直接影响系统。3.2GxP 关键评估 流程根据Gxp关键评估标准,定义电子监管码系统的流程。根据电子监管码系统GxP关键性水平每一项目的评估标准,定义各个相关的文档结构。创建一个决策树将对在GxP关键性评估中论证流程
8、的综合情况有帮助。如果必要,可以引用国际程序作为参考。3.3GxP 关键评估 现状描述现行的GxP关键评估的要求。(电子监管码系统电子监管码系统)直接影响因素包括以下的所有项。1. 生产线控制系统的硬件和软件2. 工艺流程:3. 相关的服务器及网络设备4. 仓库区域相关的硬件和软件5. 通用系统:6. 设备:7. 其他项(电子监管码系统)间接影响因素包括以下的所有项。1. 工艺流程:2. WMS系统:3. ERP系统4. PSDM系统5. 其他项(电子监管码系统)无影响因素包括以下的所有项。 1. 控制系统硬件和软件:2. 机械硬件:3. 仪器:4. 工艺流程:5. 设备:6. 其他项2. 电
9、子监管码项目风险评估方法2.1 风险评估过程2.2 风险评估相关定义2.2.1 资产价值(机密性、完整性和可用性)赋值含义解释4Very High价值非常关键,对相应资产具有致命性的潜在影响3High价值较高,潜在影响严重,相应资产将蒙受严重损失,难以弥补2Medium价值中等,对相应资产潜在影响重大,但可以弥补1Low价值较低,对相应资产潜在影响可以忍受,较容易弥补0Negligible价值或潜在影响可以忽略2.2.2 弱点(脆弱性)赋值简称说明4VH该弱点可以造成资产全部损失等非常大的威胁3H该弱点可以造成资产重大损失等较大威胁2M该弱点可以造成资产损失,引发中等威胁1L该弱点可以造成较小
10、资产损失,引发较小威胁0N该弱点可能造成资产损失可以忽略、引发的威胁可以忽略2.2.3 威胁的可能性 Likelihood赋值简称说明4VH不可避免(90%)3H非常有可能(70% 90%)2M可能(20% 70%)1L可能性很小(75%)3H资产遭受重大损失(50% 75%)2M资产遭受明显损失(25% 50%)1L损失可忍受(25%)0N损失可忽略(0%)2.2.5 风险值计算风险值=资产价值X威胁的可能性X威胁的严重性X弱点值2.2.6 电子监管码项目评估资产分类类别简称解释/示例数据Data存在电子媒介的各种数据资料,包括源代码、数据库数据,各种数据资料、系统文档、运行管理规程、计划、
11、报告、用户手册等软件Software应用软件、系统软件、开发工具和资源库等服务Service业务流程和各种业务生产应用、操作系统、WWW、DNS、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控硬件Hardware计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等文档Document纸质的各种文件、报告、计划设备Facility电源、赋码设备、贴标机、线体、文件柜、门禁、消防设施等人员HR各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等其它Other企业形象,客户关系等2.2.7 风险处置措施 避免完全消除风险 降低减小弱点、威胁的可能性
12、和严重性 接受承担一些风险 转嫁责任外包,保险 回避不开展此业务或应用(消极) 威慑通过追究责任的方式符号含义建议处置措施E极度风险要求立即采取措施:避免?转移?减小?H高风险需要高级管理部门的注意:避免?转移?减小?M中等风险必须规定管理责任:避免?接受?转移?减小?L低风险用日常程序处理:避免?接受?转移?减小?3.风险评估矩阵Appendix ARISK ASSESSMENT MATRIX 序号风险来源风险事件资产价值弱点值可能性严重性风险值预防策略控制与行动措施1企业对电子监管项目需求模糊企业不能清晰、明确地定义自己的需求或企业主要考虑技术适用性而不考虑管理适用性l 加强售前引导,暗示
13、企业疼痛,建立企业憧憬l 宣传电子监管码知识l 引导客户建立选型标准l 跟进调研l 呈现解决方案2产品匹配差异企业行业特性较强,企业需求与爱创赋码系统匹配存在一定差异l 对企业需求合理性、投入产出分析l 需求匹配分析l 说服客户能够承受开发费,通过二次开发的方式进行处理l 提出二次开发解决方案l 需要和客户进一步沟通需求,使其说服追加一部分费用l 二次开发需求确认3新硬件产品对新硬件产品性能、参数等实际效果与方案存在一定差异l 加强客户、供应商、硬件厂家沟通l 技术调研与沟通l 厂家出厂FAT,以及相关设备事先测试l 设备FAT测试报告与相关可行性报告4客户实施团队组建不合理项目实施过程中高级
14、管理人员的参与远远不够,项目小组的成员以技术人员为主而不是相关的管理人员和业务人员;l 加强高层沟通l 项目实施方法培训l 使高层认识到实施的重要性5企业内部认识不统一高层领导、中层干部与普通员工对系统的期望值不一致l 加强与HQ沟通l 电子监管码系统培训l 宣传电子监管码知识l 使各职能部门的领导全力参与项目6人员风险关键实施人员不到位,实施人员缺乏应有的知识和技能或双方实施人员流动频繁l 做好工作计划安排l 合理安排计划、做好进度控制、任务分解l 确保资源的全程参与l 加强培训、交流、能力提升l 对项目实施队伍订立绩效评估指标l 7客户硬件和网络风险客户硬件和网络不能及时到位或性能指标不能
15、满足需要l 加强沟通技术沟通l 推荐网络硬件标准l 辅助客户进行硬件选型8产品性能故障产品模块版本存在故障(BUG)l 做好测试、升级、替换、备份工作l 上线前的方案测试l BUG问题及时提交l 做好产品的升级或备份工作l 及时调整实施计划变更9项目时间和进度控制不合理实施计划过长影响员工多系统成功实施的信心,并影响业务的连续性、实施成本超预算或与企业财务业务部门的繁忙季节冲突l 加强项目管理l 灵活运用方法论和项目管理l 双方认真履行职责l 及时的成果确认,减少不必要因素对进度的影响l 加强问题的及时沟通与解决l 10企业变革准备不充分对未来方案的了解还不深入,尤其是随之带来的变革,可能会产
16、生对原信息系统实施的抵触心理或l 加强沟通l 及时组织学习、讨论确认、培训事宜高级管理层对方案的了解还不深入,无法积极地贯彻、监督实施l l 与客户项目经理交流l 与客户管理层交流,确定解决办法l 采取总体规划、逐步实施的策略,树立试点应用标竿11客户 QA部门关键用户参与不够l 使客户的项目小组全力参与项目l 关键用户参与设计l 每周五下午2点召开项目状态例会,客户也参加12客户 业务部门客户业务策略调整l 加强与客户业务部门沟通l 定期与客户的高层领导、各职能部门领导交流,掌握业务策略的调整动向13客户 IT部门提供信息的真实性、全面性、准确性l 加强与IT部门沟通l 告知客户提供全面、准确、真实的信息的必要性和重要性客户 QA部门l 告知客户,根据保密协议要求,我方会对客户的行业秘密严格保密Appendix BREFERENCESAdd any references to relevant documentation添加任何相关的参考文件
