GUIA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Nos aseguramos de que
JORNADAS DE REFERENCIA 2021. CENTRO NACIONAL DE ALIMENTACIÓN.
su confianza en los
productos y servicios
esté justificada
GUIA PARA EL
ASEGURAMIENTO DE LA
INTEGRIDAD DE DATOS
G-ENAC-24 Rev.2
Departamento Agroalimentario y BPL.
Majadahonda, 09 de junio de 2021.
ENAC ¿POR DÓNDE EMPIEZO …?
GUIA PARA EL ASEGURAMIENTO DE LA INTEGRIDAD DE DATOS
PROGRAMA
▪ PARTE I ▪ PARTE II
1. INTRODUCCIÓN ANEXO I: INTEGRIDAD DE DATOS: UNE-EN
ISO/IEC 17025
❖ OBJETO Y ÁMBITO.
❖ REFERENCIAS NORMATIVAS. 1. ORGANIZACIÓN Y PERSONAL.
❖ TÉRMINOS Y DEFINICIONES.
2. INSTALACIONES Y EQUIPOS.
2. PRINCIPIOS Y EXPECTATIVAS
3. PROCESOS DEL LABORATORIO.
❖ CICLO DE VIDA.
❖ MEDIDAS PARA GARANTIZAR INTEGRIDAD DE
4. CONTROL DE LOS DATOS Y SISTEMAS DE
DATOS.
❖ RECOMENDACIONES DE CARÁCTER GENERAL. GESTIÓN.
❖ RECOMENDACIONES ADICIONALES PARA GESTIÓN
DE SISTEMAS INFORMATIZADOS.
Nos aseguramos de que
su confianza en los
productos y servicios
esté justificada
PARTE I
1. INTRODUCCIÓN
2. PRINCIPIOS Y EXPECTATIVAS
1.INTRODUCCIÓN ❖OBJETO ➢GUIAR ➢AYUDAR ❖ÁMBITO ➢DATOS GENERALMENTE ASOCIADOS A: ✓ SISTEMAS INFORMÁTICOS PARA EL PROCESADO Y GESTION DE DATOS. ✓ EQUIPOS QUE GENERAN DATOS PRIMARIOS. ✓ REGISTROS EN PAPEL (HOJAS DE TRABAJO). ✓ INFORMACION ARCHIVADA EN SOPORTE ELECTRÓNICO O PAPEL.
❖REFERENCIAS NORMATIVAS ✓ 21 CFR PART 11: ELECTRONIC RECORDS; ELECTRONIC SIGNATURES (1997). ✓ UNE-EN ISO/IEC 27000 “TECNOLOGÍAS DE LA INFORMACIÓN. SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. VISIÓN DE CONJUNTO Y VOCABULARIO”. ✓ FDA: DATA INTEGRITY AND COMPLIANCE WITH CGMP. Q&A, GUIDANCE FOR INDUSTRY (2018).
❖ TÉRMINOS Y DEFINICIONES
2. INTEGRIDAD DE DATOS: PRINCIPIOS Y EXPECTATIVAS
CICLO DE VIDA
MEDIDAS PARA GARANTIZAR LA INTEGRIDAD DE DATOS • TECNOLÓGICAS • OPERATIVAS • ORGANIZATIVAS
DOCUMENTAR
EVITAR TRANSCRIPCIONES RECOMENDACIONES DE
CARÁCTER GENERAL PARA
ASEGURAR LEGIBILIDAD DE LOS LA INTEGRIDAD DE DATOS
DATOS A LO LARGO DE TIEMPO
REALIZAR MODIFICACIONES
TRAZABLES AL ORIGINAL
EN PROCESO DE REVISIÓN DE DATOS
INCLUIR REVISION DE DATOS Y
METADATOS
DATOS REGISTRADOS ATRIBUIBLES
TRAZABILIDAD
CONSERVACIÓN Y
PROTECCIÓNRECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (I) DISPONER DE UN LISTADO O INVENTARIO CON INSTRUMENTOS DE MEDIDA QUE CAPTUREN O GENEREN DATOS Y SISTEMAS INFORMÁTICOS. GESTIÓN DE CAMBIOS EN EQUIPOS, INSTRUMENTOS O SISTEMAS INFORMÁTICOS VALIDADOS ORDENADA Y CONTROLADA. DEFINIR RESPONSABILIDADES APLICABLES A SISTEMAS INFORMÁTICOS. VALORACIÓN DE RIESGOS PARA LA INTEGRIDAD DE DATOS Y ACCIONES. IDENTIFICACIÓN DE RIESGOS E IMPLEMENTACIÓN DE MEDIDAS DE PROTECCIÓN EN EQUIPOS. Ej. ANTIVIRUS, CORTAFUEGOS.
RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE
LOS SISTEMAS INFORMÁTICOS (II)
MECANISMOS DE SEGURIDAD
FORMACIÓN USUARIOS/
DESCONEXÍÓN AL FUNCIONALIDADES
AUTENTICACIÓN USO SEGURO
ABANDONAR NECESARIASRECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE
LOS SISTEMAS INFORMÁTICOS (III)
MECANISMOS DE SEGURIDAD (FÍSICA)RECOMENDACIONES ADICIONALES PARA LA GESTIÓN DE LOS SISTEMAS INFORMÁTICOS (IV) COPIAS DE SEGURIDAD. ESTABLECIENDO FRECUENCIA Y ALCANCE ACORDE A LOS DATOS. HERRAMIENTA AUDIT TRAIL.
ESTABLECER MEDIDAS DE CARACTER MANUAL DOCUMENTADAS: REGISTROS MANUALES DE ACCIONES REALIZADAS. REGISTRO DE ACCESOS. RESTRICCIÓN AL ACCESO A FUNCIONES CRÍTICAS. MANUAL EQUIVALENTE AL AUDIT TRAIL.
Nos aseguramos de que
su confianza en los
productos y servicios
esté justificada
PARTE II
ANEXO I: INTEGRIDAD DE
DATOS: UNE-EN ISO/IEC
17025.ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 1. ORGANIZACIÓN Y PERSONAL. UNE-EN ISO/IEC 17025: APARTADOS 5.5, 5.7, 6.2.5. 1. RESPONSABILIDADES 2. CONTROL DE CAMBIOS 3. FORMACIÓN
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 2. INSTALACIONES Y EQUIPOS. UNE-EN ISO/IEC 17025: APARTADOS 6.3.3, 6.4.2, 6.4.4, 6.4.13 1. CONDICIONES AMBIENTALES Sistema de monitorización ambiental (sistemas SCADA) y dispositivos móviles (data loggers). 2. EQUIPOS Listado (elementos de control seguridad y procedimientos de uso).
EQUIPOS
EJEMPLO DE INVENTARIOANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8 1. MÉTODOS 2. IDENTIFICACIÓN DE ITEMS
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 3. PROCESOS DEL LABORATORIO. UNE-EN ISO/IEC 17025: APARTADOS 7.2, 7.3, 7.4, 7.5, 7.7 y 7.8 3. REGISTROS TÉCNICOS En registros electrónicos usuario-fecha y hora de cada registro, para todos los registros modificaciones trazables. 4. ASEGURAMIENTO DE LA VALIDEZ Datos recuperables para su posterior tratamiento y verificación. 5. INFORME DE RESULTADOS Medidas de seguridad para transmisión electrónica.
ANEXO I: INTEGRIDAD DE DATOS: UNE-EN ISO/IEC 17025 4. CONTROL DE LOS DATOS Y SISTEMAS DE GESTIÓN. UNE-EN ISO/IEC 17025: APARTADO 7.11 1. CONTROL DE DATOS Y GESTIÓN DE LA INFORMACIÓN 2. VALIDACION DE LOS SISTEMAS
✓PREPARACIÓN ✓COMPROBACIÓN DEL SISTEMA ✓OBTENCIÓN DE RESULTADOS
SISTEMA INFORMÁTICO
TIPO NOMBRE FUNCIONES GENERALES ÁREAS DE LA Personal
ORGANIZACIÓN Responsable(1)
RELACIONADAS
Ejemplos: Adquisición de datos de los Laboratorio de Supervisor (NOMBRE)
Tratamiento de Agilent – Openlab cromatógrafos, procesado de instrumentación Jefe de Laboratorio
datos Agilent ChemStation los mismos y emisión de (NOMBRE)
cromatográficos Waters-Empower informes de resultados
…
Control del instrumento, Todos los laboratorios Jefe de Laboratorio
Tratamiento de Ejemplos: elaboración de métodos, (NOMBRE)
datos asociado a Software asociado a UV, adquisición de datos,
instrumentos IR, Polarimetros, tamaño procesado y emisión de
partícula, informes de resultados
viscosimetros,…siempre
que tengan un PC
asociado y un software
dedicado
Registro de muestras, Todos los laboratorios Jefe de Laboratorio
LIMS (Sistema de Ejemplos: asignación de tareas, entrada (NOMBRE)
Gestión de Labware de resultados, cálculos, Unidad de Garantía de Director de la Entidad
información de StarLIMS emisión de boletines y Calidad (NOMBRE)
laboratorio) certificados.
Otras: Estabilidades, gestión de
calibraciones, de reactivos,…
EDMS (sistemas de Ejemplos: Gestión del ciclo de vida de Toda la organización Responsable de la
gestión electrónica DOCUMENTUM documentos: creación, revisión, Responsables de documentación y su control
de documentos) OPENTEXT aprobación, emisión de copias, documentación (NOMBRE)
QUMAS consulta… Unidad de Garantía de
… Aplicable a PNT, Informes, Calidad
protocolos,…¿CUÁLES SON LOS PRINCIPALES PROBLEMAS?
TECNOLOGÍA INSUFICIENTE OBSOLETA, SIN NIVELES DE ACCESO, SIN COPIAS DE
SEGURIDAD, SIN AUDIT TRAIL
PROCESOS DE GESTION TODO EL MUNDO TIENE ACCESO, FORMULARIOS
INADECUADOS INADECUADOS
CICLO DE VIDA DE LOS LAGUNAS DE TRAZABILIDAD O SEGURIDAD
DATOS
¿QUIÉN ES EL NO DEFINIDO QUIÉN TIENE ACCESO A LA FUNCIÓN DE
ADMINISTRADOR? SEGURIDADDUDAS QUE AYUDAN A ORGANIZAR (I) ¿LA DIRECCIÓN DEL LABORATORIO HA DESIGNADO A LAS PERSONAS IMPLICADAS EN EL DESARROLLO, VALIDACIÓN, OPERACIONES Y MANTENIMIENTO? LAS PERSONAS DESIGNADAS ¿SON INDEPENDIENTES Y NO EXISTEN CONFLICTOS DE INTERESES? ¿TIENEN FORMACIÓN? ¿TIENEN DEFINIDAS SUS FUNCIONES? ¿SE HA DEFINIDO UN CICLO DE VIDA PARA CADA NUEVO SISTEMA Y UN ANÁLISIS DE RIESGOS QUE DETERMINE QUÉ ACTIVIDADES DE VALIDACIÓN SON NECESARIAS? EL LISTADO DE SISTEMAS INFORMATIZADOS CONTIENE: NOMBRE DE SISTEMA, ESTADO DE VALIDACION, MODELO, VERSIÓN O FECHA, ADMINISTRADOR DEL SISTEMA
DUDAS QUE AYUDAN A ORGANIZAR (II) SERVIDORES Y RED INFORMÁTICA: ¿SU UBICACIÓN Y LAS CONDICIONES SON ADECUADAS PARA EVITAR DAÑOS O INTERFERENCIAS? ¿EXISTE UN SISTEMA INFORMÁTICO QUE MONITORICE/CONTROLE LAS CONDICIONES AMBIENTALES? ¿SE DISPONE DE UN SISTEMA DE SEGUIMIENTO Y CONTROL DE ACTUALIZACIONES DE LOS REGISTROS QUE PERMITE REALIZAR LA TRAZABILIDAD DE LAS ACCIONES, CREACIÓN, CAMBIOS Y MODIFICACIÓN DE LOS DATOS? ¿TODAS LAS ACTIVIDADES ESTÁN DOCUMENTADAS?
EJEMPLOS DE APLICACIÓN
RIESGOS MEDIDAS DE CONTROL
(DOCUMENTACIÓN Y REGISTROS) Los datos primarios/documentación Disponer de mecanismos que aseguren la apropiada conservación y
se modifican y/o eliminan sin control y/o justificación. protección de los datos a lo largo de todo su ciclo de vida.
(EQUIPOS DE LABORATORIO) La configuración de parámetros de Si el sistema dispone de mecanismos de seguridad lógica (diferentes
trabajo o parámetros del instrumento son modificables, como por ejemplo perfiles) estos deben estar activados para evitar modificaciones y
la fecha/hora cambios no controlados.
(EQUIPOS DE LABORATORIO) El sistema no dispone de Audit Trail, o Los sistemas que no disponen de Audit Trail y éste es crítico deben ser
bien, no mantiene la trazabilidad cuando se realiza un cambio (valor actualizados o implementar nuevos sistemas.
nuevo y antiguo) En los casos que no es completo, debe asegurar que la información que
no queda trazada en el sistema se registra por otros mecanismos.
(EQUIPOS DE LABORATORIO) No se realizan copias de seguridad de Realizar copias de seguridad de los datos relevantes, y sus metadatos
los datos generados/sistema o no se dispone de evidencias de asociados; establecidas con un alcance frecuencia en base a la
recuperabilidad en caso de fallo o desastre relevancia y criticidad de los datos.
(EQUIPOS DE LABORATORIO) Realización de cambios del sistema sin Disponer de un procedimiento de control de cambios.
control
(SISTEMAS INFORMATICOS DE GESTIÓN) El sistema no está validado Disponer de la validación del sistema y mantener el estado de validación
o la validación no ha contemplado todos los aspectos a verificar realizando revisiones periódicas.
El administrador del sistema es una persona que dispone de No se permite que los administradores de los sistemas tengan también
responsabilidades sobre generación, revisión o aprobación de los datos. responsabilidades sobre la generación, revisión o aprobación de los
datos.EJEMPLO: PROCESO- EMISION DE INFORMES Todos los días se envía de manera automática por mail a los clientes los informes firmados electrónicamente. Los informes en pdf están en la carpeta de archivo protegida ubicada en el NAS del Servidor del Laboratorio. ¿Cómo valido este proceso? • Registrar informes emitidos cada jornada • Verificar el envío al cliente a través de la aplicación y archivo. • Comprobar el contenido del archivo de cada informe emitido con el informe archivado. • Realizar una revisión muestral (10 informes al día)
Informe de Carpeta NAS EMAIL PROGRAMAGES LOG OBSERVACIONES
resultados
21250 INFORME EMITIDO, Email Error en el programa FECHA/HORA
PERO NO SE 17/02/2020 PROCESO
CONSERVA COPIA
Hora: 8:00 TÉCNICO
25841 INFORME FIEL AL Email Se verifica in situ con FECHA/HORA 17/02/2020
ENVIADO AL 17/02/2020 usuario y cliente PROCESO EMISIÓN DE
CLIENTE INFORME
Hora: 8:00
TÉCNICO PEPE
3652 INFORME FIEL AL Email Se verifica in situ con FECHA/HORA 17/02/2020
ENVIADO AL 17/02/2020 usuario y cliente PROCESO EMISIÓN DE
CLIENTE INFORME
Hora: 8:00
TÉCNICO PEPE
20154 INFORME EMITIDO, Email No está en el FECHA/HORA 17/02/2020 Se detecta un error, en el
PERO NO SE 17/02/2020 sistema PROCESO EMISIÓN DE mail aparece como
CONSERVA COPIA INFORME enviado, pero no se ha
Hora: 8:00
TÉCNICO PEPE adjuntado ni se ha
colgado en el sistemaGRACIAS POR SU ATENCIÓN
También puede leer
