2025年7月7日，欧盟委员会与PIC/S联合发布了GMP的修订内容。其中，附录11《计算机化系统》的征求意见稿是本次修订的核心焦点。本文将带您了解本次附录11的主要更新内容，希望对各位小伙伴们在GMP合规方面有所帮助。

01. 修订背景与整体概览

新版附录说明了本次修订原因：

1. 提高监管清晰度：监管机构旨在通过本次更新，明确对计算机化系统的要求和监管期望，消除现有版本中存在的模糊不清和不一致之处;

2. 适应技术发展：适应新技术的应用，在“介绍”章节也进行了相关说明。

新旧版本的核心对比显著体现了本次修改的原因，如下：

新版附录的修订内容，显著体现了对当前行业技术发展趋势（如云计算、订阅式软件的广泛应用）的积极响应；同时将一些成熟的技术控制转化为基础法规要求，例如第11条权限控制和密码安全策略的细节。

以下德恩咨询将针对新版附录11的关键更新要点进行详细解读。

02. 17个关键更新要点解析

（点击文末“阅读原文”查看新版附录11的原文）

1. 范围

与现行版保持一致，无变化。

2. 原则

新增的“可替代的实践”具有重要的意义。IT相关行业发展迅速，但制药行业由于受到严格监管约束，新技术的应用以及配套监管措施的建立往往存在滞后性，例如对于订阅式软件、人工智能和机器学习相关产品。该原则为行业，尤其是对于创新型的企业，提供了选择的可能性。

3. 药品质量体系PQS

尽管现行版本中没有直接说明PQS相关要求，但行业内已将CS合规管理作为PQS的一部分。新版明确了PQS的管理要求要包括相关系统及人员，以及偏差/变更/内审/CAPA/定期管理评审/高层管理把控等活动。这正式确认了行业内的普遍实践。

4. 质量风险管理

基本要求无明显变化，但新增了对ICH Q9（R1）的引用，并更明确要求考虑风险控制措施以及进行数据完整性风险评估。

5. 人员与培训

基本要求无明显变化，除了现行版列举的流程负责人、系统负责人、QA、QP和IT人员的基础上，新增了用户、主题专家（SME）、外部供应商和服务商，同时进一步明确了相关人员所需的资质、培训和经验要求。

6. 系统需求

强调所有类型的系统都需要建立URS，包括自开发软件、商用标准软件或是订阅式软件，也无论是遵循迭代开发或线性开发方式模式的软件。

7. 供应商/服务商管理

新增对供应商的评估应考虑其已开展的活动及相关文件是否充分，而不是重复开展这些活动。强调需依据服务级别协议SLA监控供应商或内部IT部门的绩效，并关注KPI。

8. 报警

在法规层面直接规定了对报警的设计、参数设置、报警确认、记录、审核等要求。

9. 确认与验证

• 强调要求遵循附录15《确认与验证》；
• 明确验证活动应基于单个需求和适用的功能模块开展风险评估；
• 加强了对供应商提供的外部文件的控制要求。

10. 数据处理对象

• 要求对关键数据录入的“合理性”进行以“电子”的方式核查；
• 鼓励在不同系统之间尽可能优先使用系统接口传输数据，减少人工录入；
• 明确提出了数据加密的要求。

11. 身份与访问控制

• 从法规层面，直接说明常见的技术要求，如用户管理、密码管理、登录日志等，定义了“最低”标准；
• 明确共享账户尽可用于只读权限，其它情况使用共享账户是不合规的。

12. 审计追踪

• 明确要求审计追踪必须涵盖：控制流程、数据获取保存和报告、修改删除数据、修改参数和权限等关键操作；
• 要求审计追踪记录需支持排序筛选功能，以便于高效审核；
• 细化了审计追踪审核的方式、范围、时效性等要求；
• 确保直接影响批放行的审计追踪记录对QP是可访问的。

13. 电子签名

• 增加签名要求，与FDA 21 CFR Part11保持一致，例如清晰记录签名的人、时间、时区、含义（例如文件起草、审核、批准）等；
• 规定在开放系统中使用电子签名时，需要使用可信的电子签名服务；
• 规定当需要打印电子记录手写签名时，需要计算电子记录的hash值，并把该值打印在手写签字页上，从而确保打印件与电子记录的一致性可以追溯。

14. 定期审核

• 审核频率应基于风险评估确定，系统在停用前需要开展审核;
• 审核内容除了典型的系统功能范围、偏差、变更等，还需要考虑与外部供应商签订的SLA以及KPI、备份/还原/灾难恢复流程的有效性、以及相关法规更新情况等。

15. 安全

更新内容涵盖：持续改进要求、培训与模拟测试、灾难恢复、防火墙管理、平台更新与补丁管理、杀毒软件和漏洞管理、数据加密等关键方面。IT技术人员需要更大程度参与到GMP合规支持。

16. 备份

• 基于风险确定备份频率与保留期限；
• 数据服务器与备份服务器的物理隔离要求；
• 数据恢复测试的实施要求。

17. 归档

• 归档后的数据需要更改为只读状态；
• 如使用归档系统进行数据归档，该归档系统以及其与原系统的接口需要进行验证，并需要验证数据的完整性；
• 归档服务器的数据备份，需要与活动数据的备份策略一致，且备份需要与原服务器的数据进行物理和逻辑的隔离；
• 需考虑数据存储介质的寿命（如磁盘），遵循供应商建议在验证的期限内使用；必要时需将数据转移至新介质上；
• 确保归档数据和其元数据便于检索。

本次欧盟GMP附录11的修订是一次全面且深入的更新，提高了法规要求的清晰度和可操作性，并积极回应了行业技术发展的趋势。该修订正处于征求意见阶段，医药企业应提前评估其现有计算机化系统管理体系与新要求的差距，为未来的GMP合规做好准备。

德恩咨询计算机化系统合规服务

德恩计算机化系统GMP技术顾问拥有多年服务跨国制药企业、CDMO、CRO企业以及信息科技公司等项目经验，可以为您提供符合中国、欧盟、 美国、PIC/S、NMPA、TGA等GMP要求的计算机化合规性服务。可提供的服务如下：

• CS管理体系搭建
• CSV计算机化系统验证
• 软件验证
• IT基础设施确认
• 数据完整性
• CS合规培训/审计

  
  

欢迎垂询

服务热线：400-166-2002

邮箱：info-cn@gempex.com

关于gempex德恩咨询

德恩咨询是gempex在中国的全资子公司，是具有国际影响力的GMP咨询与执行机构，致力于为全球的生命科学企业提供合规、高效及可执行的GMP解决方案。经过23年的发展，我们拥有60多位经验丰富的GMP专家，全球累计执行项目超过5000个，累计为1000多个客户提供专业服务，业务遍布20多个国家，并与众多知名药企建立了长期的合作关系。

我们的专家团队拥有丰富的行业经验，熟知NMPA、FDA、EU、WHO、ICH、PIC/S、MHRA、SWISSMEDIC、TGA等GMP法规要求，能为不同国家和地区的客户提供定制化的解决方案，服务包括全球GMP符合性、新厂房合规性、CS计算机化系统、工厂质量管理和多国MAH/MAA服务。