Data Integrity를 확인하기 위해 QC의 시험 기기를 점검한다고 하면 무엇을 확인해야 할지 알아 보겠습니다.
1) 기기(equipment)에 접근하기 위한 접근 권한의 설정
2) 시간(time-stamp) 조작의 가능성
- 기기 자체적으로 시간을 조작할 수 있으면 안되고, 운영 체제에서의 시간 조작도 불가능해야 합니다.
3) 기기의 사용자 목록(user list)
- 기기 사용자가 구분(시험자, 검토자, 관리자 등)되어야 합니다.
4) 각 구분에 따른 권한
- 시험자, 검토자, 관리자 등의 권한이 명시되어야 합니다.
5) 시험자와 관리자의 권한을 비교하고, 시험자의 권한으로 관리자의 권한이 필요한 기능에 접근(access) 가능한지 확인
6) 시험자가 설정할 수 없는 기능(시험 recipe, 운영 메뉴 등)을 조작(manipulate)할 수 있는지 확인
7) 시험자가 감사 추적(audit trail) 기능을 끌(off) 수 있는지 확인
8) 감사 추적(audit trail) 기능을 통해 활동 내역이 기록되는지, 그 기록은 얼마나 오래 전부터 기록되어 있는지 확인
9) 감사 추적(audit trail) 기록 중 '데이터의 삭제'에 대한 기록이 있는지 확인
10) 감사 추적에 기록되지 않고, 수집된 데이터를 조작(manipulate)하여 결과를 변경할 수 있는지 확인
- 증거를 남기지 않고 데이터 조작이 가능한가?
11) 변경 시 원본 데이터가 덮여 쓰여지거나 새로운 데이터 파일이 생성되는가?
12) 감사 추적에 기록되지 않고 결과가 통과되도록 조작할 수 있는가?
13) 소프트웨어(어플리게이션, 프로그램 등) 외부에서 데이터 파일에 접근하여 변경(수정 및 삭제) 가능한가? 다시 설치할 수 있는가?
- 사용하는 소프트웨어 외부(운영체제 등)를 통해 데이터의 조작이 가능한가?
물론 우리가 일부러 데이터를 조작하거나 항상 그럴 의도를 갖고 있진 않을겁니다. 하지만 GMP는 그런 사람의 의도와는 다르게 '조작 가능성'을 점검하는 것입니다.
감사합니다!