Computervalidierung.

Vollstaendiges%20Programm%20im%20PDF-Format%20herunterladen.Programm
 

Pre-Konferenz Workshops / Diskussionsrunden:

Qualifizierung virtueller Server
Eberhard Kwiatkowski / Thorsten Trittschack

Die Virtualisierung von Computersystemen bietet eine Fülle von Vorteilen, wie z.B. die gleichzeitige Nutzung von mehreren Betriebssystemen, den einfachen und kostengünstigen Aufbau von Testumgebungen und die verbesserte Auslastung von Mehrkern-Prozessoren. Im Rahmen des Workshops werden die Qualifizierung sowie die Grundlagen heutiger Virtualisierungstechniken virtueller Maschinen herausgearbeitet:

  • Was ist eine virtuelle Maschine?
  • Lebenszyklus virtueller Maschinen
  • Regularien für die Qualifizierung von virtuellen Maschinen
  • Verantwortlichkeiten
  • Einsatzgebiete
  • Erstellen virtueller Maschinen
  • Konfigurieren und verwalten von virtuellen
    Maschinen
  • Qualifizierungsplan / Konfigurationsplan
     

Bewertung von Lieferanten und Service Providern
Karl-Heinz Menges / Dr. Wolfgang Schumacher

  • Interne Dienstleister
    Auditfrequenz
    Risikobasierter Ansatz
    Beobachtungen
    Follow-up
  • Software-Lieferanten
    Welche Firmen sollten auditiert werden?
    Bewertung vs. Audit
    Schwachpunkte
    Auditbericht
    Rating der Findings
    Checklisten
  • Service Provider
    Outsourcing
    Offshoring / Nearshoring
    Bewertungskriterien
  • Auditbericht
    Einblick durch Inspektoren
     

Electronic Batch Record (EBR)
Frank Behnisch / Dr. Christa Färber

  • Prozessbeschreibung
  • Definitionen (Typen von „Signaturen“)
  • Gesetzliche Grundlagen
  • Anforderungen an elektronische Signaturen
  • Neues EG-GMP-Leitfaden Kapitel 4 „Dokumentation“
  • Votum der EFG 11 zur elektronischen Unterschrift
  • Besonderheiten beim Configuration Management und beim Incident Management
  • Prozessführung mit System
  • Elektronische Protokollierung und elektronische Freigabe
  • Herausforderungen bei der Einführung
     

Programm

General

1. Risk Management

  • Welchen Beitrag können Elemente des Risikomanagments leisten, den Umfang von Überprüfungen von spezifischen Aspekten (wie Validierung, Datenintegirät) festzulegen?
  • Was bedeutet, den „Umfang einer Validierung durch ein Risiko Management festlegen“; ist damit die Anzahl der Testfälle oder die Testtiefe gemeint?

2. Personnel

  • Was soll man unter „close co-operation between all relevant personnel…“ verstehen? Welche formalen Vorgaben sollen hier eingehalten werden?
  • Welche Trainings werden von diesem erwartet?
  • Wird eine formale Qualifikation verlangt (z.B. ITIL Ausbildung oder ähnliches)?
  • Welche Rolle muss die QP in der Validierung spielen?
  • Ersetzt die QP die QS in der Validierung?

3. Suppliers and Service Providers
 

  • Warum wollen Inspektoren die Auditberichte von Lieferanten einsehen; widerspricht das nicht Geheimhaltungsabkommen mit den Lieferanten?
  • Auf welche Punkte sollten aus Sicht der Inspektoren bei Lieferantenbewertungen geachtet werden?
  • Gibt es Anforderungen an die Auditierung von Unterlieferanten?
  • Welche Anforderungen an User requirements werden an COTS (Commercial Off-The Shelf) Produkte gestellt?
  • Welche formalen Anforderungen bestehen für die Auswahl eines Suppliers? Ist die Auswahl zu dokumentieren und zu begründen?
  • Muss der externe Lieferant/Interne IT ein eigenes QMS haben? Wenn ja, welchen Anforderungen muss dieses QMS genügen?

Project Phase

4. Validation

  • Was ist die Definition von „relevanten Systemen“?
  • Gibt es eine Definition von ‚critical’?
  • Wie genau müssen in der Inventarliste GMP-Funktionalitäten beschrieben sein?
  • Wie kann die URS auf Basis einer Risikoanalyse erstellt werden, wenn diese doch eine URS als Voraussetzung braucht?
  • Data flows – sind hier auch systeminterne Schnittstellen gemeint (z.B. in ERP-Systemen die Schnittstellen zwischen verschiedenen Modulen)?
  • Müssen alle User requirements traceable sein oder nur die als GMP-relevant eingestuften?
  • Welche „Level Of Control“ werden beim Einsatz von automatisierten Testtools erwartet?
  • Wie sollten Test-Skripts und Test-Ergebnisse aussehen, damit sie von Inspektoren akzeptiert werden?

Operational Phase

5. Data

  • Welche Kontrollmechanismen (z.B. MD 5) werden erwartet?
  • Sollten besondere Dateiformate (z.B. XML) bevorzugt werden?
  • Warum werden „built-in checks“ für die elektronische Schnittstelle gefordert, wenn die Schnittstelle validiert wurde?

6. Accuracy Checks

  • Inwieweit ist die fehlerhaften Eingabe von Daten in der Validierung zu überprüfen?
  • Wie gehen die Inspektoren mit der Risikobetrachtung um, wenn ein Restrisiko bei bei der Überprüfung bleibt?

7. Data storage

  • Wie oft sollten die Lesbarkeit und Zugriffsmöglichkeiten von Daten überprüft werden?
  • Welche Ansprüche werden an den physikalischen Schutz gestellt?

8. Printouts

  • Werden dezidiert Papierausdrucke verlangt oder reichen nicht auch elektronische Dokumente?
  • Was kennzeichnet „clear printed“ Ausdruck von normalen Ausdrucken?

9. Audit Trail

  • Was sind die notwendigen Bestandteile eines Audit Trails?
  • Welche Anforderungen werden an die regelmäßige Auswertung des Audit Trails gestellt?
  • Wie soll mit „Altsystemen“ ohne Audit Trail umgegangen werden?
  • Kann man sich auch einen „papierbasierten“ Audit Trail vorstellen?
  • Was versteht man unter GMP-relevanten Daten?

10. Change and Configuration Management

  • Welche Kontrollen sind bei der Änderung der Konfiguration erforderlich?
  • Müssen auch Changes ohne GMP Relevanz kontrolliert durchgeführt werden?

11. Periodic Evaluation

  • Was wird unter periodisch verstanden? Welche Zeiträume werden z.B. minimal erwartet?
  • Können solche periodischen Bewertungen im Annual Report oder PQR aufgenommen werden; müssen sie dort aufgenommen werden?
  • In wessen Verantwortung liegt die Durchführung der periodic evaluation? Kann man dies an den Dienstleister delegieren?

12. Security

  • Sind mit operators die User des Systems gemeint? Falls ja, was ist der Unterschied zu der Audit Trail Forderung?
  • Die Identität der Anwender von „Management Systems for data and for document“ sollen aufgezeichnet werden. Was ist mit Management Systems gemeint und gilt diese Anforderung nicht für Steuerungssysteme?
  • Wie oft müssen die User ihre Passwörter ändern?
  • Wie oft sind Benutzer-Profile zu überprüfen?

13. Incident Management

  • Was genau ist mit ‚all incidents’ gemeint? Sind damit auch service request (z.B. Rücksetzten des Passwortes) gemeint?
  • Werden workarounds für preventive actions akzeptiert?

14. Electronic Signatures

  • Ist es Absicht, dass die „Bedeutung“ (wie im Part 11) hier nicht gefordert wird?
  • Wie lange sind Daten zur elektronischen Unterschrift zu archivieren?
  • Welchen Bedeutung hat die Vorgabe der Rechtsverbindlichkeit im Innenverhältnis?
  • Was ist mit „same impact within the boundaries of the company“ gemeint?

15. Batch Release

  • Gilt der Absatz auch für hybride Systeme, bei denen die Freigabe auf Papier erfolgt, die Protokollierung der Freigabe aber sehr wohl auch im elektronischen System geschieht?
  • Gibt es eine elektronische Freigabe?
  • Ist bei „real time“ release eine automatische Freigabe möglich?

16. Business Continuity

  • Ist eine hohe Verfügbarkeit für kritische Prozesse gefordert, unabhängig davon, ob deren Verfügbarkeit wichtig ist?
  • Muss die Systemverfügbarkeit für jedes einzelne System getested werden oder genügt ein genereller Test?

17. Archiving

  • Wie oft soll die Lesbarkeit von archivierten Daten überprüft werden?
  • Reicht ein einmaliger Test aus um die Lesbarkeit der archivierten Daten zu demonstrieren?

Chapter 4: Documentation

  • Wie ist die Schnittstelle ´zwischen Annex 11 und Kapitel 4 zu betrachten?
  • Welche Änderungen tangieren den Umgang mit elektronischen Dokumenten?
  • Was wurde aus den Vorgaben zur automatisierten Datenzusammenfassung im Draft Annex 11?
  • Kann eine Bilanzierung von Verpackungsmaterialien bei elektronischen Kontrollen entfallen?