4.6.2良好的临床实验室操作规范（GCLP）

GCLP (Good Clinical Laboratory Practice, GCLP)是实验室分析GCP材料的GXP规程，因为后者的法规在定义实验室分析生物标记物和临床化学样品方面做得非常差。GCLP最初是由英国研究质量保证协会(BARQA)提出的【51】，该协会于2002年更名为研究质量协会(RQA)，并于2012年重新发布【52】。这导致世卫组织在2009年【53】和EMA在2012年分别发布了基于BARQA/RQA指南的GCLP指南【54】。

从本质上讲，GCLP是经合组织GLP在临床环境中的一种阐述。因此，它使用的术语，如测试设施管理和档案，都是是直接从GLP选取并按自己的顺序编辑，但分析项目经理这个术语是GLP研究主管的转译。关于计算机化系统，世卫组织文件第7.1节提到了设备，第12.2节提到了计算机系统【53】。

对于设备的必须要求:

●●第7.1.1条:……位于适当的位置，具有适当的设计和足够的容量。

●●第7.1.5条:设备使用者应具备设备操作的适当资格和培训。

●●第7.1.6条:在所有情况下，所使用的设备应能证明其适合使用目的。

总之，这些法规与本章前面讨论的GLP和GMP法规非常相似。

第12.2条指出，电脑化系统必须符合上述的设备规定，但第12.2.2条另有规定:

●用于接收、捕获、处理或报告数据的计算机系统应根据既定的准则或法律进行获取、开发、测试、发布、使用、维护和退役。

●这些可能包括:OECD专著《GLP规范在计算机化系统中的应用》。

  FDA 21 CFR 11 电子记录，电子签名，最终规则。

  FDA关于在临床试验中使用计算机系统的指南。

如第4.5.7节所述，经合发组织的专论已经过时【43】，更新的文件较新，但过于繁重，见第4.5.8节【44】。FDA关于临床调查电脑化系统的指导文件也参考了世卫组织的指南，下文将对此进行讨论。

4.6.3 FDA在临床调查中关于电脑化系统的指南

2007年，美国食品和药物管理局发布了第二版的指导文件，名为临床调查中使用的计算机化系统【55】。本文件与CDS软件使用者有何关连吗?答：它提供了FDA关于应用于计算机系统的安全性、访问控制和数据完整性的正式思路。它将安全性和访问控制设置为

必须控制的主要领域，以防止欺诈，并建立和维护数据完整性。

目前的这份指南文件有着悠久的历史，因为它在1997年4月以草案的形式首次发布，并在1999年4月作为《良好临床实践(GCP)指南》的指导方针在关于计算机化系统的讨论还非常模糊的时候定稿。FDA根据在2003年对第11部分的重新评估，再版的临床指导文件作为第二版草案于2004年9月发布；在2007年5月，在稍微修改下文件的标题将适用范围扩展到包括任何临床研究后最为最终版进行了发布【55】。

另一项值得关注的是，列出该文件附录A所列的电脑化系统所需的最低标准作业程序清单。这显示在表4.14的左手列中，当然，您需要将这个列表阐释为它们与分析实验室的相关性。这个列表的注释显示在右边的列中，这是我对CDS列表的注释。

表4.14 CDS的标准操作程序和阐释清单【55】。

然而，本节的主要目的是更深入地研究安全性和访问控制，因为这些在未来将受到更多的监管审查。

FDA临床指南的相关部分如下:

D.内部安全保障措施-项目1：有限的访问。

E.外部安全保障。

我们讨论的主题将按逻辑顺序呈现，即不按实际文档中的顺序呈现。在下面的文本中的引述将返回到原始指导文件的D或E部分，以便您可以从这里跟踪到源文档。讨论的每个项目可以是单个SOP，也可以将主题分发到多个过程中——由您选择。

●限制对授权个人的访问。系统安全性的第一部分是将对任何系统的访问限制为只对需要使用它们的人开放。该指导文件第1节规定:只有获得授权的个人才能进入。这是所有GXP规则的要求。章节E节也提示:应使工作人员充分了解系统安全措施和限制接触授权人员的重要性。“这突出了对用户进行初步和不断培训的重要性。

●个人用户账号。该指引只是简单地说:我们建议系统的每个用户都有一个个人帐户(D1)。这是常识，因为这是唯一允许任何计算机系统唯一地识别个人及其行为的方法。它是数据完整性和真实性要求的核心。在共享用户身份的情况下，系统无法区分用户，数据完整性严重受损，我们将在第7章看到这一点。

●用户累计列表。在此，FDA要求，无论是在系统内部还是外部，都要有一种方法来维护一个累积的记录，该记录表明在任何时间点，被授权人员的姓名、头衔和访问权限的描述(E)。这再次涉及到数据完整性的原则。

如果审计跟踪中的一个条目使用用户标识链接用户操作，则用户标识可能没有足够的详细信息来标识个人;因此，建议使用累积列表。然而,进一步考虑这个。什么时候第一次允许个人访问系统，什么时候终止了他们的使用?这些信息将极大地帮助数据的完整性。

●不要共用密码。除了拥有唯一的用户帐户外，密码不能被共享。正如FDA所指出的:个人只能在自己的密码或其他访问密钥下工作，不能与他人共享(I)。这也是大多数组织的企业计算或安全策略的要求，因此这不仅仅是一个监管要求。在一些机构，规定是，如果发现员工共享密码，他们可能被解雇。

●定期更换密码。应更改密码:我们还建议根据风险评估(I)文件规定的时间间隔更改密码或其他访问密钥。这是一个很好的做法。然而，对于许多组织来说，因为公司安全策略通常基于最佳实践，并定义了密码长度、复杂性和失效时间，是否还需要文档化的风险评估，?因此，最好的方法是遵循公司标准，因为这些标准应该有足够的需求来满足本指南的意图。

●电脑使用方法。用户应在数据输入会话开始时登录到其帐户，在电子记录上输入信息(包括更改)，并在数据输入会话结束时退出。系统不应允许个人登录系统以向另一个人提供对系统的访问(I)。

●限制和记录访问尝试。该指引的一项建议是，系统的设计应限制登入尝试的次数，并记录未经授权的登入尝试(I)。因此，系统必须记录或监察所有成功或不成功的登入尝试。在单个会话中，帐户锁定之前失败的尝试的最大次数通常为3次。

●访问应用程序外部的数据。与通过应用程序访问系统不同，一种更隐秘的访问数据的方法是使用操作系统或web浏览器的文件管理器系统。因此，该指南有以下内容:应设置程序和控制，以防止通过不通过保护系统软件(E)进入的外部软件对应用程序的更改、浏览、查询或报告数据(E)。