Programm

Der Computervalidierungs-Beauftragte Block I

Regulatorische Grundlagen
AMWHV und Computervalidierung
Regulatorische Forderungen durch Annex 11
PIC/S PI 011

Computer-Validierungs-Lebenszyklus
GAMP 4 / GAMP 5
V-Modell / Spoon-Modell
GAMP-Kategorien und deren Bedeutung für den Validierungsaufwand Skalierbarkeit
Lieferantenbeteiligung

Workshop zur Einordnung von Systemen in die GAMP-Kategorien
Die Einordnung von Systemen in die GAMP-Kategorien steuert die Validierungsaktivitäten und den Validierungsaufwand. Die Teilnehmer ordnen unterschiedliche Systeme den GAMP-Kategorien zu und definieren die sich daraus ableitenden Maßnahmen
Computer-Validierungs-Lebenszyklus aus Inspektorensicht
Validierungskonzepte aus Sicht eines Inspektors
Validierungs-Masterplan / Validierungsplan
Anforderungen (URS), Risikomanagement und Testen als integrales Element der Validierung
Rückverfolgbarkeit von Anforderungen

Anforderungen und Lebenszyklus
Grundsätzliches zu Anforderungen
Benutzeranforderungen (URS)
Funktionale Spezifikationen (FS)
Problematische Anforderungen

Leitfaden zur Erarbeitung von Anforderungen und Spezifikationen
Anforderungsfallen vermeiden
Empfehlungen zu dem Projektteam
Qualitätsmerkmale von Anforderungen
Anforderungsmanagement
Umfang und Detaillierungsgrad - Gefahr der "Überdetaillierung"
Traceability von Anforderungen

Erarbeitungsprozess von Anforderungen
Das 7-Schritt-Vorgehe

Fallstudien zu Anforderungen:
Anhand von Fallstudien werden die Teilnehmer Übungen zu verschiedenen Anforderungsdetails durchführen und die Theorie in die Praxis umsetzen können

Case study 1: Anforderungen erstellen
Anforderungen erfassen
Anforderungen strukturieren
Anforderungen entwerfen

Case study 2: Anforderungen überprüfen
An Beispielen gute (und schlechte) Anforderungen erkennen
Erfassen von Bedürfnissen und Anforderungen

Risikomanagement praktisch anhand des GAMP 5 Lifecycle
FMEA im Rahmen von GAMP 5
Validierungsplan
Basisrisikobewertung
Detailrisikoanalyse
Testplanung
Validierungsabschluss und Planung des operativen Betriebs
Change Control
Systemstilllegung / Datenmigration

Kurzworkshops
In kurzen Workshop-Sessions können die Teilnehmer in kleinen Gruppen die verschiedenen Risikobewertungen nach GAMP 5 selbständig anhand verschiedener Fallbeispiele praktisch umsetzen.
Basisrisikobewertung
Risikobasierte Entscheidungen während der Validierungsplanung
Risikobewertung beim Validierungsabschluss
Risikobasiertes Change Control
Risikobewertung bei der Stilllegung

Workshop: Funktionale Risikoanalyse nach GAMP
Auf der Basis vordefinierter Anforderungen wird eine detaillierte Risikoanalyse nach GAMP praktisch umgesetzt.

Praxis der Risikoanalyse
Tipps und Tricks zur praktischen Durchführung
Erfahrungen aus der Risikoanalyse Praxis
Diskussion konkreter, durchgeführter Risikoanalysen für GxP-relevante Systeme (Beispiele)
Vor- und Nachteile der gewählten Methodik
Vermeidbare Schwachstellen und Fehler
Einsatz von Softwaretools

Regulatorische Anforderungen an Tests
Anforderungen internationaler GxP-Richtlinien
Inspektionspraxis und Erwartungshaltung der Behörden
Effiziente Umsetzung der Vorgaben

Nutzen von Tests/Aufbau einer Testorganisation
Aufwand / Nutzen von Tests
Gestaltung einer schlanken und effizienten Testorganisation
Notwendige Rollen und Verantwortlichkeiten

Risikoanalyse als Basis für optimales Testen
Optimale Einbindung in Testaktivitäten
Einfluss auf Testinhalte

Workshops: Testplanung / Testdurchführung
Anhand des typischen Szenarios ‚Einführung eines neuen validierungspflichtigen IT-Systems' sind die anwenderseitigen Testaktivitäten zu planen und umzusetzen.
Ziel: Die Teilnehmer verstehen, wie man Tests von GxP-relevanten IT-Systemen effizient und effektiv plant und durchführt.

Behördenkonforme Testdokumentation
Strukturierung
Notwendiger Detaillierungsgrad / Erforderliche Unterschriften
Benötigte Arbeitsanweisungen
Beispiele

Praxisbeispiel: Regressionstests im SAP R/3-Umfeld
Projektplanung / Meilensteine / Teamstruktur
Auswahlmethode für Testfälle
Aufbau der Dokumentation
Personalaufwand

Der Computervalidierungs-Beauftragte Block 2:

ERES / 21 CFR Part 11: Anforderungen an elektronische Aufzeichnungen
Anforderungen bei Nutzung elektronischer Unterschriften
Systemarten zur Erstellung einer elektronischen Unterschrift (Biometrie, Smartcards)
Umsetzung der Part 11 Anforderungen durch technische und organisatorische Maßnahmen
„Risk-based Approach“ der FDA für Electronic Records Compliance
Vorgehensweise zur Erreichung der Part 11-Konformität

Kurz-Workshop
Einstufung von Systemen hinsichtlich ihre Part 11 Relevanz - fallen Systeme noch unter die Part 11 Anforderungen? Erkennen der "Predicate Rule".

ERES / 21 CFR Part 11: Anforderungen an elektronische Unterschriften
Anforderungen bei Nutzung elektronischer Unterschriften
Systemarten zur Erstellung einer elektronischen Unterschrift (Biometrie, Smartcards)
Umsetzung der Part 11 Anforderungen durch technische und organisatorische Maßnahmen
Vorgehensweise zur Erreichung der Part 11-Konformität

Kurz-Workshop
Umsetzung des "Risk-based Approach" auf konkrete Systeme: Validierungspflicht, Ausgestaltung des Audit Trails, Aufbewahrung von elektronischen Aufzeichnungen

Case Study: Eigenschaften eines ERES-Systems
Umsetzung des Audit Trails
Anforderungen an die Datenhaltung
Verfahren für die ERES-konforme elektronische Signatur

Risikomanagement im Part 11 Umfeld
"Risk-based Approach" der FDA und ISPE-Statement
Risikoanalysen in unterschiedlichen Regelwerken
Stellschrauben der Risikokontrolle

Datenintegrität
ALCOA-Ansatz
Neue Richtlinien
Elemente eines Data Integrity Compliance Programms
Daten-Lebenszyklus
Audit Trail Review

Besonderheiten der IT-Infrastruktur im Rahmen der Validierung computergestützter Systeme
Qualitätsmanagement im Infrastruktur-Bereich
Standards und Prozesse
Risikoanalyse
Qualifizierung der Infrastruktur als Basis der CSV

Elektronische Aufzeichnungen / Elektronische Unterschrift aus Sicht eines GMP-Inspektors
PIC/S PI 011 als Inspektionsleitfaden für ERES
Bedeutung des Benutzermanagements
Einfluss des Audit Trails bei ERES

Systemsicherheit aus Sicht eines GMP-Inspektors
Organisation der Systemsicherheit
Zutritt, Zugang und Zugriff
Allgemeine Hinweise und Vorgaben
Passwortkonzepte
Schutzmaßnahmen und Schutzbedarf

Prozesse und Organisation
Security Incident Handling
Aktuelle IT-Sicherheitsrisiken im Überblick

Prozesse und Organisation - Praxisbeispiel
Bewertung von Sicherheitslücken und daraus resultierenden Risiken
Bewertung von Patching-Risiken
Fokussiertes Testen
Schema für Sicherheits-Alarme (Template zur Dokumentation) und konkrete Beispiele aus der Praxis

Patch Management aus Sicht der IT-Security und der Qualitätssicherung
Was sind Patches? / Welche Gefahren gehen davon aus?
Umgang mit Patches
Patch Management in der betrieblichen Praxis
Risikobewertung von Patches
Praxisbeispiel CVSS
Patch Management bei Virtualisierung

Technische Aspekte der IT Sicherheit
Grundlagen
Viren / Würmer / Trojaner
Internet-Sicherheit / VPN
Funknetzwerke
Neue Applikationssicherheitsaspekte
Security bei Data Warehouse / SOA / SaaS

IT Security Framework
Aufbau eines Sicherheitssystems für die Organisation
IT security policy
Architecture
Standards and procedures