GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Nos aseguramos de que JORNADAS DE REFERENCIA 2021. CENTRO NACIONAL DE ALIMENTACIÓN. su confianza en los productos y servicios esté justificada GUIA PARA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS G-ENAC-24 Rev.2 Departamento Agroalimentario y BPL. Majadahonda, 09 de junio de 2021.
GUIA PARA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS PROGRAMA ▪ PARTE I ▪ PARTE II 1. INTRODUCCIÓN ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 ❖ OBJETO Y ÁMBITO. ❖ REFERENCIAS NORMATIVAS. 1. ORGANIZACIÓN Y PERSONAL. ❖ TÉRMINOS Y DEFINICIONES. 2. INSTALACIONES Y EQUIPOS. 2. PRINCIPIOS Y EXPECTATIVAS 3. PROCESOS DEL LABORATORIO. ❖ CICLO DE VIDA. ❖ MEDIDAS PARA GARANTIZAR INTEGRIDAD DE 4. CONTROL DE LOS DATOS Y SISTEMAS DE DATOS. ❖ RECOMENDACIONES DE CARÁCTER GENERAL. GESTIÓN. ❖ RECOMENDACIONES ADICIONALES PARA GESTIÓN DE SISTEMAS INFORMATIZADOS.
Nos aseguramos de que su confianza en los productos y servicios esté justificada PARTE I 1. INTRODUCCIÓN 2. PRINCIPIOS Y EXPECTATIVAS
1.INTRODUCCIÓN ❖OBJETO ➢GUIAR ➢AYUDAR ❖ÁMBITO ➢DATOS GENERALMENTE ASOCIADOS A: ✓ SISTEMAS INFORMÁTICOS PARA EL PROCESADO Y GESTION DE DATOS. ✓ EQUIPOS QUE GENERAN DATOS PRIMARIOS. ✓ REGISTROS EN PAPEL (HOJAS DE TRABAJO). ✓ INFORMACION ARCHIVADA EN SOPORTE ELECTRÓNICO O PAPEL.
❖REFERENCIAS NORMATIVAS ✓ 21 CFR PART 11: ELECTRONIC RECORDS; ELECTRONIC SIGNATURES (1997). ✓ UNE-EN ISO/IEC 27000 “TECNOLOGÍAS DE LA INFORMACIÓN. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. VISIÓN DE CONJUNTO Y VOCABULARIO”. ✓ FDA: DATA INTEGRITY AND COMPLIANCE WITH CGMP. Q&A, GUIDANCE FOR INDUSTRY (2018).
DOCUMENTAR EVITAR TRANSCRIPCIONES RECOMENDACIONES DE CARÁCTER GENERAL PARA ASEGURAR LEGIBILIDAD DE LOS LA INTEGRIDAD DE DATOS DATOS A LO LARGO DE TIEMPO REALIZAR MODIFICACIONES TRAZABLES AL ORIGINAL EN PROCESO DE REVISIÓN DE DATOS INCLUIR REVISION DE DATOS Y METADATOS DATOS REGISTRADOS ATRIBUIBLES TRAZABILIDAD CONSERVACIÓN Y PROTECCIÓN
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (I) DISPONER DE UN LISTADO O INVENTARIO CON INSTRUMENTOS DE MEDIDA QUE CAPTUREN O GENEREN DATOS Y SISTEMAS INFORMÁTICOS. GESTIÓN DE CAMBIOS EN EQUIPOS, INSTRUMENTOS O SISTEMAS INFORMÁTICOS VALIDADOS ORDENADA Y CONTROLADA. DEFINIR RESPONSABILIDADES APLICABLES A SISTEMAS INFORMÁTICOS. VALORACIÓN DE RIESGOS PARA LA INTEGRIDAD DE DATOS Y ACCIONES. IDENTIFICACIÓN DE RIESGOS E IMPLEMENTACIÓN DE MEDIDAS DE PROTECCIÓN EN EQUIPOS. Ej. ANTIVIRUS, CORTAFUEGOS.
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (II) MECANISMOS DE SEGURIDAD FORMACIÓN USUARIOS/ DESCONEXÍÓN AL FUNCIONALIDADES AUTENTICACIÓN USO SEGURO ABANDONAR NECESARIAS
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (III) MECANISMOS DE SEGURIDAD (FÍSICA)
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (IV) COPIAS DE SEGURIDAD. ESTABLECIENDO FRECUENCIA Y ALCANCE ACORDE A LOS DATOS. HERRAMIENTA AUDIT TRAIL.
ESTABLECER MEDIDAS DE CARACTER MANUAL DOCUMENTADAS: REGISTROS MANUALES DE ACCIONES REALIZADAS. REGISTRO DE ACCESOS. RESTRICCIÓN AL ACCESO A FUNCIONES CRÍTICAS. MANUAL EQUIVALENTE AL AUDIT TRAIL.
Nos aseguramos de que su confianza en los productos y servicios esté justificada PARTE II ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025.
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 1. ORGANIZACIÓN Y PERSONAL. UNE-EN ISO/IEC 17025: APARTADOS 5.5, 5.7, 6.2.5. 1. RESPONSABILIDADES 2. CONTROL DE CAMBIOS 3. FORMACIÓN
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 2. INSTALACIONES Y EQUIPOS. UNE-EN ISO/IEC 17025: APARTADOS 6.3.3, 6.4.2, 6.4.4, 6.4.13 1. CONDICIONES AMBIENTALES Sistema de monitorización ambiental (sistemas SCADA) y dispositivos móviles (data loggers). 2. EQUIPOS Listado (elementos de control seguridad y procedimientos de uso).
EQUIPOS EJEMPLO DE INVENTARIO
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8 1. MÉTODOS 2. IDENTIFICACIÓN DE ITEMS
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8 3. REGISTROS TÉCNICOS En registros electrónicos usuario-fecha y hora de cada registro, para todos los registros modificaciones trazables. 4. ASEGURAMIENTO DE LA VALIDEZ Datos recuperables para su posterior tratamiento y verificación. 5. INFORME DE RESULTADOS Medidas de seguridad para transmisión electrónica.
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 4. CONTROL DE LOS DATOS Y SISTEMAS DE GESTIÓN. UNE-EN ISO/IEC 17025: APARTADO 7.11 1. CONTROL DE DATOS Y GESTIÓN DE LA INFORMACIÓN 2. VALIDACION DE LOS SISTEMAS
✓PREPARACIÓN ✓COMPROBACIÓN DEL SISTEMA ✓OBTENCIÓN DE RESULTADOS
SISTEMA INFORMÁTICO TIPO NOMBRE FUNCIONES GENERALES ÁREAS DE LA Personal ORGANIZACIÓN Responsable(1) RELACIONADAS Ejemplos: Adquisición de datos de los Laboratorio de Supervisor (NOMBRE) Tratamiento de Agilent – Openlab cromatógrafos, procesado de instrumentación Jefe de Laboratorio datos Agilent ChemStation los mismos y emisión de (NOMBRE) cromatográficos Waters-Empower informes de resultados … Control del instrumento, Todos los laboratorios Jefe de Laboratorio Tratamiento de Ejemplos: elaboración de métodos, (NOMBRE) datos asociado a Software asociado a UV, adquisición de datos, instrumentos IR, Polarimetros, tamaño procesado y emisión de partícula, informes de resultados viscosimetros,…siempre que tengan un PC asociado y un software dedicado Registro de muestras, Todos los laboratorios Jefe de Laboratorio LIMS (Sistema de Ejemplos: asignación de tareas, entrada (NOMBRE) Gestión de Labware de resultados, cálculos, Unidad de Garantía de Director de la Entidad información de StarLIMS emisión de boletines y Calidad (NOMBRE) laboratorio) certificados. Otras: Estabilidades, gestión de calibraciones, de reactivos,… EDMS (sistemas de Ejemplos: Gestión del ciclo de vida de Toda la organización Responsable de la gestión electrónica DOCUMENTUM documentos: creación, revisión, Responsables de documentación y su control de documentos) OPENTEXT aprobación, emisión de copias, documentación (NOMBRE) QUMAS consulta… Unidad de Garantía de … Aplicable a PNT, Informes, Calidad protocolos,…
¿CUÁLES SON LOS PRINCIPALES PROBLEMAS? TECNOLOGÍA INSUFICIENTE OBSOLETA, SIN NIVELES DE ACCESO, SIN COPIAS DE SEGURIDAD, SIN AUDIT TRAIL PROCESOS DE GESTION TODO EL MUNDO TIENE ACCESO, FORMULARIOS INADECUADOS INADECUADOS CICLO DE VIDA DE LOS LAGUNAS DE TRAZABILIDAD O SEGURIDAD DATOS ¿QUIÉN ES EL NO DEFINIDO QUIÉN TIENE ACCESO A LA FUNCIÓN DE ADMINISTRADOR? SEGURIDAD
DUDAS QUE AYUDAN A ORGANIZAR (I) ¿LA DIRECCIÓN DEL LABORATORIO HA DESIGNADO A LAS PERSONAS IMPLICADAS EN EL DESARROLLO, VALIDACIÓN, OPERACIONES Y MANTENIMIENTO? LAS PERSONAS DESIGNADAS ¿SON INDEPENDIENTES Y NO EXISTEN CONFLICTOS DE INTERESES? ¿TIENEN FORMACIÓN? ¿TIENEN DEFINIDAS SUS FUNCIONES? ¿SE HA DEFINIDO UN CICLO DE VIDA PARA CADA NUEVO SISTEMA Y UN ANÁLISIS DE RIESGOS QUE DETERMINE QUÉ ACTIVIDADES DE VALIDACIÓN SON NECESARIAS? EL LISTADO DE SISTEMAS INFORMATIZADOS CONTIENE: NOMBRE DE SISTEMA, ESTADO DE VALIDACION, MODELO, VERSIÓN O FECHA, ADMINISTRADOR DEL SISTEMA
DUDAS QUE AYUDAN A ORGANIZAR (II) SERVIDORES Y RED INFORMÁTICA: ¿SU UBICACIÓN Y LAS CONDICIONES SON ADECUADAS PARA EVITAR DAÑOS O INTERFERENCIAS? ¿EXISTE UN SISTEMA INFORMÁTICO QUE MONITORICE/CONTROLE LAS CONDICIONES AMBIENTALES? ¿SE DISPONE DE UN SISTEMA DE SEGUIMIENTO Y CONTROL DE ACTUALIZACIONES DE LOS REGISTROS QUE PERMITE REALIZAR LA TRAZABILIDAD DE LAS ACCIONES, CREACIÓN, CAMBIOS Y MODIFICACIÓN DE LOS DATOS? ¿TODAS LAS ACTIVIDADES ESTÁN DOCUMENTADAS?
EJEMPLOS DE APLICACIÓN RIESGOS MEDIDAS DE CONTROL (DOCUMENTACIÓN Y REGISTROS) Los datos primarios/documentación Disponer de mecanismos que aseguren la apropiada conservación y se modifican y/o eliminan sin control y/o justificación. protección de los datos a lo largo de todo su ciclo de vida. (EQUIPOS DE LABORATORIO) La configuración de parámetros de Si el sistema dispone de mecanismos de seguridad lógica (diferentes trabajo o parámetros del instrumento son modificables, como por ejemplo perfiles) estos deben estar activados para evitar modificaciones y la fecha/hora cambios no controlados. (EQUIPOS DE LABORATORIO) El sistema no dispone de Audit Trail, o Los sistemas que no disponen de Audit Trail y éste es crítico deben ser bien, no mantiene la trazabilidad cuando se realiza un cambio (valor actualizados o implementar nuevos sistemas. nuevo y antiguo) En los casos que no es completo, debe asegurar que la información que no queda trazada en el sistema se registra por otros mecanismos. (EQUIPOS DE LABORATORIO) No se realizan copias de seguridad de Realizar copias de seguridad de los datos relevantes, y sus metadatos los datos generados/sistema o no se dispone de evidencias de asociados; establecidas con un alcance frecuencia en base a la recuperabilidad en caso de fallo o desastre relevancia y criticidad de los datos. (EQUIPOS DE LABORATORIO) Realización de cambios del sistema sin Disponer de un procedimiento de control de cambios. control (SISTEMAS INFORMATICOS DE GESTIÓN) El sistema no está validado Disponer de la validación del sistema y mantener el estado de validación o la validación no ha contemplado todos los aspectos a verificar realizando revisiones periódicas. El administrador del sistema es una persona que dispone de No se permite que los administradores de los sistemas tengan también responsabilidades sobre generación, revisión o aprobación de los datos. responsabilidades sobre la generación, revisión o aprobación de los datos.
EJEMPLO: PROCESO- EMISION DE INFORMES Todos los días se envía de manera automática por mail a los clientes los informes firmados electrónicamente. Los informes en pdf están en la carpeta de archivo protegida ubicada en el NAS del Servidor del Laboratorio. ¿Cómo valido este proceso? • Registrar informes emitidos cada jornada • Verificar el envío al cliente a través de la aplicación y archivo. • Comprobar el contenido del archivo de cada informe emitido con el informe archivado. • Realizar una revisión muestral (10 informes al día)
Informe de Carpeta NAS EMAIL PROGRAMAGES LOG OBSERVACIONES resultados 21250 INFORME EMITIDO, Email Error en el programa FECHA/HORA PERO NO SE 17/02/2020 PROCESO CONSERVA COPIA Hora: 8:00 TÉCNICO 25841 INFORME FIEL AL Email Se verifica in situ con FECHA/HORA 17/02/2020 ENVIADO AL 17/02/2020 usuario y cliente PROCESO EMISIÓN DE CLIENTE INFORME Hora: 8:00 TÉCNICO PEPE 3652 INFORME FIEL AL Email Se verifica in situ con FECHA/HORA 17/02/2020 ENVIADO AL 17/02/2020 usuario y cliente PROCESO EMISIÓN DE CLIENTE INFORME Hora: 8:00 TÉCNICO PEPE 20154 INFORME EMITIDO, Email No está en el FECHA/HORA 17/02/2020 Se detecta un error, en el PERO NO SE 17/02/2020 sistema PROCESO EMISIÓN DE mail aparece como CONSERVA COPIA INFORME enviado, pero no se ha Hora: 8:00 TÉCNICO PEPE adjuntado ni se ha colgado en el sistema
GRACIAS POR SU ATENCIÓN
También puede leer