Data integrity Risk 평가 및 관리를 위한 여정

Data Integrity Risk를 평가하려면 뭘, 어떻게 해야 할까요? 

 

평가하려면 기준이 있어야 하고, 기준을 수립하는 방법뿐만 아니라 기준을 통해 Risk 수준을 평가를 하는 방법이 필요합니다. 맨땅에서 새로 시작해야 한다면 아래의 방법으로 천천히 시작해 보시길 제안드립니다. 

 

 

1. Policy & Procedure

1.1. Data Integrity 정책의 수립 (약 1.5개월)

 

PIC/S DI Guidance, FDA DI guidance, MHRA DI Guidance, WHO DI Guideline, ISPE GAMP Guide: Records & Data Integrity(유료), PDA TR80(유료) 등등을 통해서 Data Integrity Goverance/Policy를 수립합니다.

 

1.2. Data Integrity Procedure 수립 (약 3개월)

 

Policy/Goverance 정립 이후, 각 요구사항에 준하는 관리를 위한 절차들을 수립합니다. 굉장히 넓은 범주로 개별 DI SOP 한정해서 만들기 어려운 범주도 있습니다(개별 SOP 에 이미 녹아있는 사항들에 대한 세부 개정이 필요한 경우가 있으므로)

 

개인적으로 아래 내용에 대해서는 우선적으로 SOP 제정 및 개정을 진행하시는 것을 제안드립니다.

 

- Data Review (Metadata 로써의 audit trail review를 포함) Procedure

- Periodic Audit trail review (Compliance monitoring 으로써 Audit trail review)

- Data Integrity Risk Assessment

- Computerized system validation Procedure

- System Assessment & URS

- User Privilege and Role Management

- Data Backup/Restore

- BCP (Business Continuity Plan)

- Training Procedure

 

위 SOP 범주 이외에도 소소하게 DI 요구사항을 반영해야할 SOP들이 있으며, 가장 흔한 접근은 수립된 Policy(요구사항)를 세부 요구 기준 사항으로 분류하고, 주요 SOP 별 Checklist 평가를 통해  DI 요구사항 반영이 필요한 SOP 들을 Filtering 하는 것입니다. (Gap 이 발견된 절차들은 Risk 가 높음으로 개선/보완이 진행됩니다)

 

갑작스럽게 정책과 절차가 만들어지고, 수정되어 시행/발효/적용되면 기존 Procedure 와 상충되는 부분 또는 작업적 절차 준수가 어려운 부분들이 발생됨에 따라 일탈이 발생됩니다. 피할 수 없는 일탈이라고 판단하며 일탈을 통해 오히려 절차가 개선/보완 과정을 거쳐 안정적으로 정착될 수 있다고 생각합니다.

 

이렇게 정책/절차적인 부분이 수립되면, 절차적으로는 Data Integrity Risk 를 확인하고 Mitigation 되었다고 평가할 수 있습니다. (위 언급된 사항들을 하겠다고 문서화하면 "계획서", 완료 결과를 요약하면 "보고서"입니다)

 

하지만, 절차/정책보다 더 중요한 게 남았습니다. 정책/절차는 본격적으로 Data Integrity Risk를 평가할 준비단계라고 판단되며, 본 게임은 이제 시작할 준비가 되었습니다. 

 

2. 시스템 평가 및 보완/개선

2.1. 컴퓨터화 시스템의 평가

2.2. 나머지 시스템의 평가

 

*