随着计算机化系统在制药企业的广泛应用，尤其是GMP附录《计算机化系统》的颁布和实施，制药企业的计算机化系统的验证被提上日程，日益受到重视。然而，制药企业的计算机化系统验证既需要制药和计算机专业知识，又需要IT知识，由于大部分企业没有专门从事验证的人员，因此大家对计算机化系统的验证保持神秘，不停的参加各种培训，却越培训越糊涂，越培训越觉得神秘。面对计算机化系统验证，仍然不知所措，GXP计算机化系统验证为了帮助大家更好的进行计算机化系统验证，特推出一系列验证相关的文档和知识，以飨读者。数据备份与恢复管理规范第一章 总则第一条  为规范公司电子数据备份与恢复管理工作，合理存储历史数据及保证数据的安全性，保证信息的数据可靠性，保证业务系统数据的完整性和可用性，，保障公司正常的知识产权利益和技术资料的储备，对重要信息实施备份保护；防止因硬件故障、意外断电、病毒等因素造成数据的丢失，并在信息被损坏或丢失时能够及时恢复，使用备份数据恢复被损坏或丢失的业务数据，特制订本规范。第二条  本规范适用于公司电子信息系统的数据备份与管理，公司项目管理部承担了电子数据备份与恢复工作，因此，负责本规范的执行。第三条  定义3.1 电子数据：也称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接 收或者储存的信息。3.2 电子签名：是指电子数据中以电子形式所含、所附用于识别签名人身份并表明签 名人认可其中内容的数据。3.3 数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记 录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。3.4 数据可靠性：是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客 观真实的状态。第二章 授权管理第四条  研究院分析所的电子数据一般来源于电子系统，数据采集、修改、备份、恢复和管 理均由质量管理部授权的系统管理员（系统管理员担任）、分析所所长和检验员完成；为确保电子数据的真实、有效，针对不同的人员，授权操作，设置相应的访问权限。第五条  一级管理员（系统管理员担任）：经质量管理部负责人授权的人员，具有系统 的所有访问权限。有权建立二级管理员和三级管理员账户，如电脑系统时间、系统日志、操作员权限、增减登录帐户和初始登录帐户密码等，对所有使用的应用软件进行进行原名称安装、修复、备份和卸载，必须使用和验证应用软件为仪器供应商提供的正版软件，保留证书，重装和更换电脑、系统升级应进行风险评估，通过质量管理部门批准；对系统和应用软件采集的电子数据进行备份和恢复，对下级人员没有权限的内容设置成灰色不能使用，下级人员没有删除和修改、复制和粘贴、剪切和转移、备份和重命名权限。定期校验，并对重要操作进行复核和审核。第六条  二级管理员（分析所所长），经质量管理部负责人授权后，有权登录系统， 进入中心分析所负责人帐户，在该帐户内建立操作员（QC）各种应用软件操作员帐户，开启应用软件审计追踪功能，建立、修改方法和应用软件系统参数。建立仪器配置、应用软件产生的文件名称、保存路径、分析指标的设置、使用、操作员（QC）修改的权限；进行分析方法、序列文件、打印设置的建立，对操作员、复核员进行电子数据管理和操作培训，确保操作员（QC）、复核员（辅助操作员）可正常操作并对其进行监督管理，所有的一切活动经系统管理员复核和审核，并均有记录。第七条  三级管理员（分析所QC担任），有权登录系统，进入操作员帐户，使用应用软件 程序，调用方法文件，对仪器设备进行在线和离线（脱机）操作，采集数据，并进行保存或打印，在取得上一级同意后，可修改部分方法条件设置，经审核和复核后，方可使用，并做好修改记录。第八条  三级管理员（复核员辅助操作员），进入系统后，登入复核员帐户，只可对应用软 件进行方法、数据、设置的查看，对操作人员的工作数据进行复核。不能进行任何在线操作，如修改数据、操作仪器等。并对一切活动进行记录。第九条  一级管理员、二级管理员、三级管理员、四级管理员如果离开本岗位或不再具有 该工作职责，质量监督管理部应立即取消取对其授权，并进行变更。第三章 数据备份第十条  数据备份的基本要求：（一） 每日对基本业务信息进行增量备份；（二） 备份应用软件的各个版本；（三） 在远程地点有最低限度的备份信息；（四） 每月检查存储介质，保证在进行灾难恢复时备份可用。第十一条   数据备份操作流程如下：图1 系统备份操作流程（一） 信息识别。确定需要备份的电子数据，主要包括信息资产的名称、重要性、资产的保护级别等属性，填写《信息备份识别清单》。需要检查的信息资产可能包括：1. 业务服务器上运行的应用系统软件源代码；2. 数据库结构（表结构、存储过程、视图、索引、函数等）；3. 业务运作数据；4. 系统配置参数；5. 日志文件等。（二） 制定备份计划。根据资产识别的《信息备份识别清单》，制定《信息备份计划》，选择合适的备份方式与周期。备份计划具体包括：1. 确定备份周期：根据信息更新速度，易损坏程度，及备份媒体的有效期，确定备份周期。另外，在每次重大行动之前以及每年年底，需备份。2. 备份介质类型：确定备份使用的媒体。3. 备份方式：一般要采用复制，双系统同步，转储，压缩复制等。4. 备份工具：备份使用的工具，如光盘刻录机，复印机，软驱，压缩软件，选择工具时，要确定在信息失效之前，对应的恢复工具可用。5. 份数：确定备份的数量，一般信息备份一份即可，对于特别重要的信息需要根据实际情况备份多份。6. 存放位置：备份信息一般应与原始信息尽量分开存放，要根据信息安全级别有相应的安全措施。7. 责任人：确定备份的责任人。（三） 执行《信息备份计划》。对于分散的信息整理、归类；执行备份程序，检查备份数据的可用性；清理过程中的临时数据。（四） 备份存放。备份完毕，系统管理员须提交备份结果，包括：备份使用的媒体，备份过程中的相关文件，如：备份恢复工具或软件、备份恢复指导书等；将备份媒体保存到《信息备份计划》中指定的位置，一般要按时间顺序存放。媒体的存储主要考虑以下几个方面：1. 对业务影响重大的关键备份媒体要异地存储，以避免主要场地发生灾难时损坏备份媒体。2. 分配专人对备份媒体进行管理，对备份媒体的访问进行控制。（五） 备份测试。对备份的信息，定期抽样检查与测试。每种备份媒体类型，一次抽检二个以上。每次抽检时，要选择与上次抽检不同的媒体。（六） 备份恢复。当重要信息被篡改、破坏或丢失时，使用备份数据恢复信息，按照数据恢复的相关流程执行数据的恢复。第四章 数据恢复第十二条  使用备份数据恢复被损坏或丢失的业务数据，保证业务系统数据的完整性和可用性；系统管理员负责对数据恢复操作的执行。第十三条  数据恢复操作流程：图2 数据恢复操作流程（一） 数据恢复申请。系统管理人员发现业务系统的数据有损坏或丢失，需要及时地进行数据恢复的操作时，须向主管领导提出数据恢复申请，审批通过后应制定《数据恢复解决方案》，并填写《数据恢复记录》。（二） 申请审批。系统管理员应将《数据恢复解决方案》提交主管领导审批，审批通过后方可实施数据恢复。（三） 实施数据恢复。系统管理员按照恢复方案进行数据恢复操作。实施数据恢复过程须做到：1. 应保证至少两人在现场，以确保恢复操作正确无误；2. 恢复时间根据具体的情况而定；3. 恢复过程完成之后，系统管理人员要填写《数据恢复记录》中的恢复过程及结果（成功与否）。（四） 结果检查。1. 数据恢复成功。由业务系统主管领导组织人员对恢复之后的数据进行检查，检查人员在确定数据恢复无误后，填写《数据恢复记录》中检查结果部分。2. 数据恢复不成功。系统管理员必须上报告业务系统主管领导，然后会同相关人员制订新的数据恢复解决方案，直至问题的解决。第五章 附则第十四条  本规范由公司项目管理部负责解释。第十五条  本规范自2015年12月1日起施行。附件：1.信息备份识别清单2.信息备份计划3.数据恢复记录信息备份识别清单编号：序号类别信息资产名称所在位置备注信息备份计划编号：序号信息资产类别信息资产名称备份周期备份媒体备份方式备份份数备份媒体存放地责任人备注数据恢复记录编号：申请阶段说明数据恢复的原因：影响：数据恢复解决方案：报告人报告时间所在部门报告人电话审批阶段主管领导审批意见：签字：              日期：恢复过程及结论恢复过程及结论：操作人日期结果检查检查情况说明：检查人日期备注：填表说明：1. 在数据恢复原因中应说明此操作对业务系统可能产生的影响及丢失的数据；2. 在恢复方案中，应说明对不能恢复的数据的解决办法，如对丢失数据采取手录的方式；3. 在恢复过程和结论中应说明数据恢复操作的结果和对系统的影响；4. 检查情况说明中，数据恢复是否达到了预期结果。