ISPE GAMP<sup>&#xae;</sup> Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems [German Translation] cover image

ISPE GAMP® Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems [German Translation]

Published:August 2013

Pages:218

During the operational life of a GxP system, regulators usually focus on the integrity, consistency, and completeness of controls required to maintain compliance. The GAMP® Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems highlights the importance of the operation phase of the system lifecycle, when it is more likely that the return on investment will be achieved for the significant time and resources expended in implementing new computerized systems. The Guide will help regulated organizations create regulated computerized systems that are fit for intended use and compliant with applicable regulations and provides comprehensive guidance for maintaining control of regulated systems throughout their operational life.

  • 1 Einleitung
  • 1.1 Übersicht
  • 1.2 Zweck
  • 1.3 Nutzen
  • 1.4 Basiskonzepte
  • 1.5 Struktur dieses Leitfadens
  • 2 Übersicht zur Betriebsphase
  • 3 Was Organisationen tun sollten
  • 3.1 Einleitung
  • 3.2 Erfassung betrieblicher Kontrollanforderungen
  • 3.3 Entwurf der Betriebsprozesse
  • 3.4 Verifizierung der Prozesse
  • 3.5 Einsatz der Prozesse
  • 3.6 Verifizierung der Wirksamkeit der Prozesse
  • 4 Prozessbeziehungen
  • 5 Übergabe
  • 5.1 Einleitung
  • 5.2 Anwendungsbereich
  • 5.3 Rollen und Zuständigkeiten
  • 5.4 Ablaufdiagramm für Übergabe
  • 5.5 Prozessbeschreibung
  • 5.6 Vorgehens-Richtlinien und Erwägungen
  • 5.6.1 Projektakzeptierung und -freigabe oder Übertragung von einer anderen Unterstützungsorganisation
  • 5.6.2 Festlegung des Übergabeplans
  • 5.6.3 Festlegung der Akzeptanzkriterien
  • 5.6.4 Abschluss der Übergabeaktivitäten
  • 5.6.5 Kommunikation
  • 5.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 5.7.1 Übergabeplan
  • 5.7.2 Übergabebericht
  • 5.8 Skalierbarkeit
  • 6 Aufbau und Lenkung von Unterstützungsdienstleistungen
  • 6.1 Einleitung
  • 6.2 Anwendungsbereich
  • 6.3 Rollen und Zuständigkeiten
  • 6.4 Ablaufdiagramm für Aufbau und Lenkung von Unterstützungsdienstleistungen
  • 6.5 Prozessbeschreibung
  • 6.6 Vorgehens-Richtlinien und Erwägungen
  • 6.6.1 Festlegung des Unterstützungsbedarfs
  • 6.6.2 Auswahl eines geeigneten Dienstleistungsanbieters
  • 6.6.3 Erstellen der Dienstleistungsvereinbarungen und der Verträge
  • 6.6.4 Schulung6.6.5 Standard-Arbeitsanweisungen
  • 6.6.6 Routine- und Ad-Hoc-Unterstützung
  • 6.6.7 Dienstleistungsgüte-Überwachung und periodische Audits
  • 6.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 6.7.1 Erwägungen zum Inhalt der Dienstleistungsvereinbarung
  • 6.8 Skalierbarkeit
  • 7 Leistungsüberwachung
  • 7.1 Einleitung
  • 7.2 Anwendungsbereich
  • 7.3 Rollen und Zuständigkeiten
  • 7.4 Ablaufdiagramm für Leistungsüberwachung
  • 7.5 Prozessbeschreibung
  • 7.6 Vorgehens-Richtlinien und Erwägungen
  • 7.6.1 Planung der Leistungsüberwachung
  • 7.6.2 Erwägungen zur periodischen Prüfung
  • 7.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 7.7.1 Der Überwachungsplan
  • 7.8 Skalierbarkeit
  • 8 Vorfallmanagement
  • 8.1 Einleitung
  • 8.2 Anwendungsbereich
  • 8.3 Rollen und Zuständigkeiten
  • 8.4 Ablaufdiagramm für Vorfallmanagement
  • 8.5 Prozessbeschreibung
  • 8.6 Vorgehens-Richtlinien und Erwägungen
  • 8.6.1 Erwägungen der Vorgehensweisen
  • 8.6.2 Erwägungen zur periodischen Prüfung von Systemvorfällen
  • 8.6.3 Erwägungen zur Prozessprüfung
  • 8.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 8.8 Skalierbarkeit
  • 9 Korrektur- und Vorbeugemaßnahmen (KVM)
  • 9.1 Einleitung
  • 9.2 Anwendungsbereich
  • 9.3 Rollen und Zuständigkeiten
  • 9.4 Ablaufdiagramm für Korrektur- und Vorbeugemaßnahmen
  • 9.5 Prozessbeschreibung
  • 9.6 Vorgehens-Richtlinien und Erwägungen
  • 9.6.1 Erwägungen zur periodischen Prüfung
  • 9.6.2 Erwägungen zur Prozessprüfung
  • 9.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 9.8 Skalierbarkeit
  • 9.8.1 KVM-Priorität
  • 9.8.2 Schärfe der Kontrollen
  • 10 Betriebliches Änderungs- und Konfigurationsmanagement
  • 10.1 Einleitung
  • 10.2 Anwendungsbereich
  • 10.3 Rollen und Zuständigkeiten
  • 10.4 Ablaufdiagramm für betriebliches Änderungsmanagement
  • 10.5 Prozessbeschreibung des betrieblichen Änderungsmanagements
  • 10.6 Ablaufdiagramm für Konfi gurationsmanagement
  • 10.7 Prozessbeschreibung des Konfigurationsmanagements
  • 10.8 Vorgehens-Richtlinien und Erwägungen
  • 10.8.1 Typen von Änderungen
  • 10.8.2 Änderungsmanagement-Systeme
  • 10.8.3 Prüfung der Änderungen
  • 10.8.4 Freigabemanagement
  • 10.8.5 Änderungsabschluss
  • 10.8.6 Konfigurationsmanagement
  • 10.8.7 Konfigurationselementliste und Konfigurationsstatusführung
  • 10.8.8 Prozessprüfungs-Erwägungen
  • 10.9 Aufzeichnungen und Aufzeichnungsinhalte
  • 10.9.1 Änderungsprotokolle
  • 10.9.2 Änderungsmanagement-Aufzeichnungen
  • 10.9.3 Änderungsplan
  • 10.9.4 Rückfallplan (Rücksetzplan)
  • 10.9.5 Konfigurationselementliste
  • 10.10 Skalierbarkeit
  • 10.10.1 Änderungsmanagement
  • 10.10.2 Konfigurationsmanagement
  • 11 Reparaturmaßnahmen
  • 11.1 Einleitung
  • 11.2 Anwendungsbereich
  • 11.3 Rollen und Zuständigkeiten
  • 11.4 Ablaufdiagramm für Reparaturmaßnahmen
  • 11.5 Prozessbeschreibung
  • 11.6 Vorgehens-Richtlinien und Erwägungen
  • 11.6.1 Allgemeine Erwägungen
  • 11.6.2 Erwägungen zur periodischen Prüfung
  • 11.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 11.7.1 Arbeitsauftrag/Genehmigung
  • 11.7.2 Dienstleistungsberichte
  • 11.8 Skalierbarkeit
  • 12 Periodische Prüfung
  • 12.1 Einleitung
  • 12.2 Anwendungsbereich
  • 12.3 Rollen und Zuständigkeiten
  • 12.4 Ablaufdiagramm für periodische Prüfung
  • 12.5 Prozessbeschreibung
  • 12.6 Vorgehens-Richtlinien und Erwägungen
  • 12.6.1 Allgemeine Erwägungen
  • 12.6.2 Anstoß einer periodischen Prüfung
  • 12.6.3 Vorbereitung der periodischen Prüfung
  • 12.6.4 Durchführung einer periodischen Prüfung
  • 12.6.5 Periodische Prüfung und interne Qualitätsaudits
  • 12.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 12.7.1 Grundsätze der periodischen Prüfung
  • 12.7.2 Terminplan der periodischen Prüfung
  • 12.7.3 Standard-Arbeitsanweisung für die periodische Prüfung
  • 12.7.4 Plan der periodischen Prüfung
  • 12.7.5 Checkliste für die periodische Prüfung
  • 12.7.6 Bericht der periodischen Prüfung
  • 12.8 Skalierbarkeit
  • 12.8.1 Häufigkeit der periodischen Prüfung
  • 12.8.2 Tiefe der Prüfung
  • 13 Sicherung und Wiedereinspielung
  • 13.1 Einleitung
  • 13.2 Anwendungsbereich
  • 13.3 Rollen und Zuständigkeiten
  • 13.4 Ablaufdiagramm für Sicherung und Wiedereinspielung
  • 13.5 Prozessbeschreibung
  • 13.6 Vorgehens-Richtlinien und Erwägungen
  • 13.6.1 Sicherungsmedien
  • 13.6.2 Erzeugung erfolgreicher Sicherungen
  • 13.6.3 Pflege der Medienbestandsliste
  • 13.6.4 Erfolgreiche Wiedereinspielung von Sicherungen
  • 13.6.5 Erwägungen zur periodischen Prüfung
  • 13.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 13.7.1 Sicherungs- und Wiedereinspielungs-Vorgehensweise
  • 13.7.2 Planung der Sicherungs- und Medienwechsel-Terminpläne
  • 13.7.3 Sicherungsprotokoll
  • 13.8 Skalierbarkeit
  • 14 Geschäftskontinuitäts-Management
  • 14.1 Einleitung
  • 14.2 Anwendungsbereich
  • 14.2.1 Ausfallübergabe und Ausfallwiederaufnahme
  • 14.3 Rollen und Zuständigkeiten
  • 14.4 Ablaufdiagramm für Geschäftskontinuitäts-Management
  • 14.5 Prozessbeschreibung
  • 14.6 Vorgehens-Richtlinien und Erwägungen
  • 14.6.1 Geschäftskontinuitätsplan (GKP)
  • 14.6.2 Erwägungen für den Ausfallbehebungs- und den Geschäftskontinuitätsplan
  • 14.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 14.7.1 Ausfallübergabe/Ausfallbehebungspläne/Instruktionen
  • 14.7.2 Ausfallübergabe-/Ausfallbehebungs-Testprotokolle
  • 14.7.3 Nachweise des Ausfallübergabe-/Ausfallbehebungstests
  • 14.7.4 Ausfallbehebungsübungs-Testprotokoll
  • 14.7.5 GKP-/Ausfallbehebungs-Bericht
  • 14.7.6 Erwägungen zur periodischen Prüfung
  • 14.8 Skalierbarkeit
  • 15 Sicherheitsmanagement
  • 15.1 Einleitung
  • 15.2 Anwendungsbereich
  • 15.3 Rollen und Zuständigkeiten
  • 15.4 Ablaufdiagramm für Sicherheitsmanagement
  • 15.5 Prozessbeschreibung
  • 15.6 Vorgehens-Richtlinien und Erwägungen
  • 15.6.1 Vorgehensweisen für Neuaktivierung, Deaktivierung und Umsetzung
  • 15.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 15.8 Skalierbarkeit
  • 16 Systemadministration
  • 16.1 Einleitung
  • 16.2 Anwendungsbereich
  • 16.3 Rollen und Zuständigkeiten
  • 16.4 Ablaufdiagramm für Systemadministration
  • 16.5 Prozessbeschreibung
  • 16.6 Vorgehens-Richtlinien und Erwägungen
  • 16.6.1 Die Rolle des Systemadministrators
  • 16.6.2 Systemadministrations-Maßnahmen
  • 16.6.3 Erwägungen zur periodischen Prüfung
  • 16.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 16.7.1 Systemadministrations-Vorgehensweisen
  • 16.7.2 Systemadministrations-Aufzeichnungen
  • 16.8 Skalierbarkeit
  • 17 Datenmigration
  • 17.1 Einleitung
  • 17.2 Anwendungsbereich
  • 17.3 Rollen und Zuständigkeiten
  • 17.4 Ablaufdiagramm für Datenmigration
  • 17.5 Prozessbeschreibung
  • 17.6 Vorgehens-Richtlinien und Erwägungen
  • 17.6.1 Migrationsverfahren
  • 17.6.2 Datenbeziehungen
  • 17.6.3 Elektronische Unterschriften1
  • 7.6.4 Stammdate
  • 17.6.5 Verifizierungstest-Methoden
  • 17.6.6 Erwägungen zur periodischen Prüfung
  • 17.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 17.8 Skalierbarkeit
  • 18 Systemstilllegung
  • 18.1 Einleitung
  • 18.2 Anwendungsbereich
  • 18.3 Rollen und Zuständigkeiten
  • 18.4 Ablaufdiagramm für Systemstilllegung
  • 18.5 Prozessbeschreibung
  • 18.6 Vorgehens-Richtlinien und Erwägungen
  • 18.6.1 Risikobewertung
  • 18.7 Aufzeichnungen und Aufzeichnungsinhalte
  • 18.7.1 Stilllegungsplan
  • 18.7.2 Rückfallplan
  • 18.7.3 Migrationsplan
  • 18.7.4 Schnittstellen-Testplan
  • 18.7.5 Stilllegungsbericht
  • 18.8 Skalierbarkeit
  • 19 Anhang 1 – RACI-Rollen und Betriebsprozesse
  • 19.1 RACI-Begriffe
  • 19.2 Zuordnungstabelle Betriebsprozesse zu RACI-Rollen
  • 19.3 Rollen
  • 19.3.1 Prozesseigner
  • 19.3.2 Systemeigner
  • 19.3.3 Projektleiter
  • 19.3.4 Endanwender
  • 19.3.5 Qualitätseinheit
  • 19.3.6 Fachexperte (FE)
  • 19.3.7 Lieferant
  • 20 Anhang 2 – Abbildung der Betriebsprozesse auf ITIL® und COBIT®
  • 21 Anhang 3 – Liste der Kontrollaufzeichnungen
  • 22 Anhang 4 – Literaturverzeichnis
  • 23 Anhang 5 – Glossar
  • 23.1 Abkürzungen
  • 23.2 Begriffsdefinitionen

No Acknowledgments available

Regulated computerized systems should be maintained in a demonstrable state of control and in accordance with regulatory requirements. Maintained regulated data and records should be complete, accurate, and secure. Some regulated data and records need to be retained after system retirement.

For regulated organizations, the Return On Investment (ROI) for the significant time and resources expended in implementing new computerized systems is achieved during the Operation Phase. Recovery from a failure to maintain control of a regulated system during the Operation Phase can be both time-consuming and expensive, and increase the risk to data integrity, product quality, and patient safety.

The purpose of this ISPE GAMP® Good Practice Guide, a Risk-Based Approach to Operation of GxP Computerized Systems, is to provide detailed information to enable organizations to support their systems more effectively during the Operation Phase of the system life cycle.

It provides comprehensive guidance for maintaining control of regulated systems throughout their operational life (including acceptance and release, system handover, through to system retirement and decommissioning). When applied as intended, this Guide can provide detailed direction on the required control processes which form a substantial part of an appropriate Quality Management System (QMS).

This Guide focuses on achieving effective and efficient business processes aligned with regulatory expectations, by providing generic principles which can be applied to regulated systems using a systematic and scalable approach.

This Guide addresses the operational and support processes that need to be established to receive regulated computerized systems into the Operation Phase of their life cycle and to maintain them in a state of compliance throughout their operational life, through to system retirement.

It is applicable to systems consisting of hardware and software of all GAMP® categories.

Guidance provided is scalable and can be applied to a range of systems, including:

  • laboratory systems
  • process control systems
  • IT applications

Whereas GAMP® 5 is primarily concerned with strategic approaches and planning of operational activities, this Guide contains more detailed information, including:

  • a fuller consideration of process scope
  • risk-based scalability considerations
  • the appropriate assignment of roles and responsibilities
  • identification of associated records
  • example procedures

Process flow diagrams provided are intended to assist in making the process steps and their interrelationships clear and accessible. Wherever possible a common terminology has been adopted to describe the required management processes, to allow the guidance to be accessible to as wide a readership as possible.