計算機化系統(tǒng)風險評估報告1

計算機化系統(tǒng)風險評估1風險評估小組成員姓名職務部門目錄TOC\o"1-3"\h\u1、 目的 22、 范圍 33、 風險評估工具 34、 風險識別、評估、控制 35、 分析的風險及評價的結果 46、 風險評估結論 127、 計算機化系統(tǒng)清單 12目的根據(jù)風險評估結果確定計算機化系統(tǒng)驗證和數(shù)據(jù)完整性控制的程度。范圍本風險評估適用于計算機化系統(tǒng)的風險評估。風險評估工具應用FMEA，識別潛在失敗模式，對風險的嚴重性、發(fā)生率和可檢測性進行評分。風險識別、評估、控制識別：根據(jù)計算機化系統(tǒng)在操作過程中可能發(fā)生的風險，識別風險點。分析：根據(jù)算機化系統(tǒng)在操作過程中可能發(fā)生的風險，確定通過風險控制，避免危害發(fā)生，應用FMEA方式，從對影響產品質量的因素進行分析，對風險的嚴重性、發(fā)生率和可檢測性進行確認。評價：從風險的嚴重性、可能性、可檢測性，確定各步驟失敗影響，打分方式確認風險嚴重性，將嚴重性高的風險確認為關鍵點、控制點。風險控制：根據(jù)風險評估得分，對風險等級高和中的風險需要追加風險控制措施來降低風險，對風險等級為低的，視為可接受風險。采取風險控制措施后，重新對風險點進行評估，評估其殘余風險的風險等級，以確定最終的風險評估的結論。分析的風險及評價的結果序號失敗描述失敗原因評價風險接受擬采取的措施再評價風險接受SPDRPNSPDRPN1計算機化系統(tǒng)供應商不符合要求供應商提供產品或服務不能滿足企業(yè)要求54360否1、對供應商提供的產品或服務進行確認；2、與供應商簽訂協(xié)議52110是2人員不夠專業(yè)操作人員不是專業(yè)人員，不能正確完成對計算機化系統(tǒng)的驗證、使用、維護、管理等方面的工作54240否1、建立相應的SMP、SOP；2、對人員進行充分的培訓52110是3計算機化系統(tǒng)操作失誤企業(yè)未建立計算機化系統(tǒng)操作規(guī)程54240否建立計算機化系統(tǒng)操作規(guī)程52110是4計算機化系統(tǒng)權限控制不到位或未進行權限控制未明確所有使用和管理計算計算系統(tǒng)人員的職責和權限54240否1、制定計算機化系統(tǒng)使用人員授權、取消、變更的操作規(guī)程；2、明確計算機化系統(tǒng)所有使用和管理人員的職責和權限，保證一人一賬號，一人一密碼，杜絕未經許可的人員進入和使用計算機化系統(tǒng)系統(tǒng)；3、對所有使用和管理人員進行充分的培訓52110是5檔案資料不全，操作人員無法掌握系統(tǒng)的工作原理、目的、安全措施和適用范圍、計算機運行方式的主要特征，以及如何與其他系統(tǒng)和程序對接。未對計算機化系統(tǒng)檔案資料進行有效的管理，計算機化系統(tǒng)的檔案資料不全43224否建立計算機化系統(tǒng)檔案，檢查有無系統(tǒng)的檔案資料，如說明書、功能圖紙等4128是6系統(tǒng)的安裝位置不合理未安裝在適當?shù)奈恢?，不能防止外來因素的干擾43224否對計算機化系統(tǒng)進行安裝確認，確保計算機化系統(tǒng)的安裝位置能防止斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題和自然災害4218是7計算機化系統(tǒng)的操作軟件、工作站出現(xiàn)異常未對所采用軟件進行確認；未對軟件進行分級管理53230否對計算機化系統(tǒng)軟件進行確認并進行分級管理52110是8計算機化系統(tǒng)無法正常運作或無法滿足使用需求未對系統(tǒng)進行全面測試，未確認系統(tǒng)可以獲得預期的結果54240否對計算機化系統(tǒng)進行運行、性能確認52110是9計算機化系統(tǒng)在使用一段時間后，驗證狀態(tài)出現(xiàn)偏移計算機化系統(tǒng)沒有保持其驗證狀態(tài)54240否1、定期對計算機化系統(tǒng)進行驗證/確認，保持其驗證狀態(tài)，確保計算機化系統(tǒng)的質量和性能仍能滿足需求；2、將計算機化系統(tǒng)驗證/確認納入驗證計劃，以免出現(xiàn)遺漏52110是10計算機化系統(tǒng)管理不到位或出現(xiàn)參差不齊的狀況未建立計算機化系統(tǒng)清單43224否1、建立計算機化系統(tǒng)清單；2、及時更新計算計算系統(tǒng)清單4218是11數(shù)據(jù)轉換或遷移后，數(shù)據(jù)/數(shù)值發(fā)生變化計算機化系統(tǒng)的數(shù)據(jù)，在進行轉換或遷移時，不能保證數(shù)據(jù)的數(shù)值及含義沒有發(fā)生改變。54360否1、對計算機化系統(tǒng)的數(shù)據(jù)轉換和遷移進行確認，確保數(shù)據(jù)轉換和遷移后，數(shù)據(jù)的數(shù)值及含義沒有發(fā)生改變；2、每次對計算機化系統(tǒng)的數(shù)據(jù)轉換和遷移時，進行檢查52110是12計算機化系統(tǒng)的操作歷史、應用程序運行情況無法追蹤計算機化系統(tǒng)無數(shù)據(jù)審計跟蹤系統(tǒng)44232否1、在計算機化系統(tǒng)中建立數(shù)據(jù)審計跟蹤系統(tǒng)，用于記錄數(shù)據(jù)的輸入和修改，以及系統(tǒng)的使用和變更；2、對數(shù)據(jù)審計跟蹤系統(tǒng)進行確認4128是13計算機化系統(tǒng)使用過程中出現(xiàn)異常數(shù)據(jù)或數(shù)據(jù)不完整人工輸入關鍵數(shù)據(jù)時，沒有經過復核54240否人工輸入關鍵數(shù)據(jù)時，由另外的操作人員進行復核，確保數(shù)據(jù)輸入的準確性和數(shù)據(jù)處理過程的正確性52110是14計算機化系統(tǒng)使用過程中出現(xiàn)異常數(shù)據(jù)或數(shù)據(jù)不完整關鍵參數(shù)或關鍵數(shù)據(jù)的修改未經批準53230否1、在計算機化系統(tǒng)中建立數(shù)據(jù)審計跟蹤系統(tǒng)，用于記錄數(shù)據(jù)的輸入和修改，以及系統(tǒng)的使用和變更；2、對數(shù)據(jù)審計跟蹤系統(tǒng)進行確認；3、每次修改已輸入的關鍵數(shù)據(jù)，須經過批準，并記錄更改數(shù)據(jù)的理由5115是15計算機化系統(tǒng)的變動未經過批準，變更后的系統(tǒng)無法滿足需求計算機化系統(tǒng)的變更無預定的操作規(guī)程54240否1、在變更控制文件中增加計算機化系統(tǒng)變更的相關內容；2、計算機化系統(tǒng)的變更，須經過相關責任人員的同意，并應有記錄51210是16電子數(shù)據(jù)和紙質打印文稿同時存在的情況下，電子數(shù)據(jù)/紙質打印文稿無法滿足可追溯性和完整性未明確規(guī)定電子數(shù)據(jù)和主數(shù)據(jù)同時存在的情況下，電子數(shù)據(jù)為主數(shù)據(jù)還是以紙質打印文稿為主數(shù)據(jù)54240否在文件中明確規(guī)定，電子數(shù)據(jù)和主數(shù)據(jù)同時存在的情況下，電子數(shù)據(jù)為主數(shù)據(jù)還是以紙質打印文稿為主數(shù)據(jù)51210是17電子數(shù)據(jù)丟失或不完整，不能確保數(shù)據(jù)的可追溯性及完整性未定期對電子數(shù)據(jù)進行備份，或備份的電子數(shù)據(jù)儲存條件不符合要求54240否1、在文件中對電子數(shù)據(jù)的定期備份做出規(guī)定；2、備份數(shù)據(jù)的儲存條件應滿足防靜電、灰塵、潮濕、高溫、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題，儲存在單獨的、安全的地點51210是18計算機化系統(tǒng)出現(xiàn)異常狀況，無法及時處理，或無法及時將損失降至最低未建立計算機化系統(tǒng)應急方案54240否1、建立計算機化系統(tǒng)應急方案；2、對相關人員進行計算機化系統(tǒng)應急方案的培訓，以便根據(jù)事情的緊急程度及時啟動應急方案51210是19計算機化系統(tǒng)出現(xiàn)故障或損壞，無法及時修復未建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操