公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA电子监管码项目风险分析RA公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA授权者签名您的签名表明这份文件准备进行<电子监管码系统>验证的必要，以确认系统符合现行项目标准、满足项目任务和可交付性要求。

经授权：姓名，职称签名日期单位审查员签名：您的签名表明您已经审阅了这份文件，确认对<电子监管码系统>验证的必要，并且它能准确及完全的反映任务和可交付使用性。

经审阅：姓名，职称签名日期单位姓名，职称签名日期单位姓名，职称签名日期单位质检/批准签名您的签名表明这份文件符合〈验证总计划，企业标准或政策〉，并且在此包含的文件和信息，符合可应用的、可调整的、共同的以及部门所有的／部门的要求和现行的GMP标准。

经核准：姓名，职称签名日期单位姓名，职称签名日期单位公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA修订历史纪录修订本修订日期修订/更改要求的原因修订人0 2010/12/21 初版刘文欣公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA目录1.绪论 (5)1.1目的 (5)1.2政策与规定 (5)1.3风险评估范围与边界 (5)1.3.1评估范围 (5)1.3.2评估范围外 (5)1.4目标 (6)1.4.1企业经营目标 (6)1.4.2项目合格性目标 (6)1.4.3资产安全性目标 (6)1.4.4企业其他目标 (6)1.5角色和责任 (6)2.电子监管码项目风险评估方法 (8)2.1风险评估过程 (8)2.2风险评估相关定义 (8)2.2.1资产价值（机密性、完整性和可用性） (8)2.2.2弱点（脆弱性） (9)2.2.3威胁的可能性 Likelihood (9)2.2.4威胁的严重性 Impact (9)2.2.5风险值计算 (9)2.2.6电子监管码项目评估资产分类 (9)2.2.7风险处置措施 (10)3.风险评估矩阵 (10)Appendix A (10)Appendix B (13)(Reminder of Page Intentionally Left Blank)公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA1. 绪论1.1 目的这份文件，也称风险分析RA，略述〈电子监管码系统〉的风险识别、风险分析及对策方法。

1.2 政策与规定风险评估将会遵守阿斯利康公司相关政策，公司标准和公司指导方针，和国家GMP、现行GAMP中关于信息系统的统一要求。

1.3 风险评估范围与边界这份为〈电子监管码系统〉的风险评估RA仅限于药品包材生产线的电子监管系统范围内的软硬件系统。

该风险评估结果将会被作为项目执行、方案变更及相关项目活动的重要依据。

1.3.1 评估范围（电子监管码系统）验证的范围包括以下所有的系统运作所必需的内容。

（明确界限）1.包材生产线控制系统的硬件和软件2.工艺流程3.相关的服务器及网络设备4.仓库区域相关的硬件和软件5.通用系统6.设施7.人员组织8.企业业务流程9.其他需要的情况1.3.2 评估范围外（电子监管码系统）风险评估的范围不包括：1.工艺方案变更（如果有）2.WMS系统接口方案评估3.其他情况公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA1.4 目标1.4.1 企业经营目标通过风险评估活动，达成本次企业电子监管码项目与药监监管规定一致的目标。

并在本项目基础上，完善企业生产流程、出入库流程、分销流程，让企业能更高效、更安全的进行各种企业运营活动。

1.4.2 项目合格性目标通过风险评估活动，达成项目方案的实际可行性，降低各种不利因素发生概率，最终达成项目成功交付。

1.4.3 资产安全性目标通过风险评估活动，保障企业现有设备、人员、资产的安全性，以及新增资产后期运用中的各项安全性。

1.4.4 企业其他目标通过风险评估活动，保证满足企业现有各种相关规章制度的执行。

1.5 角色和责任与〈电子监管码系统〉评估相关的活动项目由以下个人和部门负责，确定个人的任务和责任至少应包括以下几点，总体根据岗位不同描述每项任务和责任：1.管理层/企业高层：负责风险评估管理和计划；风险评估活动、资源、成本的控制；过程监控；推动风险评估活动的正常进行。

2.业务部门/QA部门：负责业务方面中的风险识别、风险评估、风险对策等活动。

3.人力资源部门：负责风险评估活动中的人力资源方面的风险识别、风险评估、风险对策等活动。

4.IT部门：负责风险评估活动中的IT资产方面的风险识别、风险评估、风险对策等活动。

5.设备部门/工程部门：负责风险评估活动中的设备方面的风险识别、风险评估、风险对策等活动。

6.供应商：负责风险评估活动各项活动的组织及执行。

3.GxP关键评估详述和<电子监管码系统>有关的 GxP关键评估信息。

该部分可能参引相关的其他信息来源，例如系统配置清单。

3.1GxP 关键评估–要求定义因GXP相关规定，而需要在（电子监管码系统）中使用的关键性要求，包括直接影响，间接影响和无影响系统。

直接影响：系统或系统中的一个组成，对产品质量有直接影响的操作，接触，控制，预警或失败。

间接影响：系统或系统中的一个组成，对产品质量无直接影响的操作，接触，控制，预警或失败。

间接影响系统支撑直接影响系统，因此间接影响系统会对直接影响系统的执行和运作构成影响。

无影响：系统或系统的一个组成，对产品质量不构成直接或间接影响的操作，接触，控制，预警或失败。

无影响系统不能支持直接影响系统。

公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA3.2GxP 关键评估–流程根据Gxp关键评估标准，定义〈电子监管码系统〉的流程。

根据〈电子监管码系统〉GxP关键性水平每一项目的评估标准，定义各个相关的文档结构。

创建一个决策树将对在GxP关键性评估中论证流程的综合情况有帮助。

如果必要，可以引用国际程序作为参考。

3.3GxP 关键评估–现状描述现行<电子监管码系统>的GxP关键评估的要求。

（电子监管码系统）直接影响因素包括以下的所有项。

1.生产线控制系统的硬件和软件2.工艺流程：3.相关的服务器及网络设备4.仓库区域相关的硬件和软件5.通用系统：6.设备：7.其他项（电子监管码系统）间接影响因素包括以下的所有项。

1.工艺流程：2.WMS系统：3.ERP系统4.PSDM系统5.其他项（电子监管码系统）无影响因素包括以下的所有项。

1.控制系统硬件和软件：2.机械硬件：3.仪器：4.工艺流程：5.设备：6.其他项公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA2. 电子监管码项目风险评估方法2.1 风险评估过程2.2 风险评估相关定义2.2.1 资产价值（机密性、完整性和可用性）赋值含义解释4 Very High 价值非常关键，对相应资产具有致命性的潜在影响3 High 价值较高，潜在影响严重，相应资产将蒙受严重损失，难以弥补2 Medium 价值中等，对相应资产潜在影响重大，但可以弥补1 Low 价值较低，对相应资产潜在影响可以忍受，较容易弥补0 Negligible 价值或潜在影响可以忽略公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA2.2.2 弱点（脆弱性）赋值简称说明4 VH 该弱点可以造成资产全部损失等非常大的威胁3 H 该弱点可以造成资产重大损失等较大威胁2 M 该弱点可以造成资产损失，引发中等威胁1 L 该弱点可以造成较小资产损失，引发较小威胁0 N 该弱点可能造成资产损失可以忽略、引发的威胁可以忽略2.2.3 威胁的可能性 Likelihood赋值简称说明4 VH 不可避免（>90%）3 H 非常有可能（70% ~ 90%）2 M 可能（20% ~ 70%）1 L 可能性很小（<20%）0 N 不可能（~0%）2.2.4 威胁的严重性 Impact赋值简称说明4 VH 资产全部损失，或资产已不可用（>75%）3 H 资产遭受重大损失（50% ~ 75%）2 M 资产遭受明显损失（25% ~ 50%）1 L 损失可忍受（<25%）0 N 损失可忽略（~0%）2.2.5 风险值计算风险值=资产价值X威胁的可能性X威胁的严重性X弱点值2.2.6 电子监管码项目评估资产分类类别简称解释/示例数据Data 存在电子媒介的各种数据资料，包括源代码、数据库数据，各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等软件Software 应用软件、系统软件、开发工具和资源库等公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA服务Service 业务流程和各种业务生产应用、操作系统、WWW、DNS、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障、入侵监控硬件Hardware 计算机硬件、路由器、交换机、硬件防火墙、程控交换机、布线、备份存储设备等文档Document 纸质的各种文件、报告、计划设备Facility 电源、赋码设备、贴标机、线体、文件柜、门禁、消防设施等人员HR 各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等其它Other 企业形象，客户关系等2.2.7 风险处置措施•避免——完全消除风险•降低——减小弱点、威胁的可能性和严重性•接受——承担一些风险•转嫁——责任外包，保险•回避——不开展此业务或应用（消极）•威慑符号含义建议处置措施E 极度风险要求立即采取措施：避免？转移？减小？H 高风险需要高级管理部门的注意：避免？转移？减小？M 中等风险必须规定管理责任：避免？接受？转移？减小？L 低风险用日常程序处理：避免？接受？转移？减小？3.风险评估矩阵Appendix ARISK ASSESSMENT MATRIX序号风险来源风险事件资产价值弱点值可能性严重性风险值预防策略控制与行动措施1 企业对电子监管项目需求模糊企业不能清晰、明确地定义自己的需求或企业主要考虑技术适用性而不考虑管理适用性●加强售前引导，暗示企业疼痛，建立企业憧憬●宣传电子监管码知识●引导客户建立选型公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA标准●跟进调研●呈现解决方案2 产品匹配差异企业行业特性较强，企业需求与爱创赋码系统匹配存在一定差异●对企业需求合理性、投入产出分析●需求匹配分析●说服客户能够承受开发费，通过二次开发的方式进行处理●提出二次开发解决方案●需要和客户进一步沟通需求，使其说服追加一部分费用●二次开发需求确认3 新硬件产品对新硬件产品性能、参数等实际效果与方案存在一定差异●加强客户、供应商、硬件厂家沟通●技术调研与沟通●厂家出厂FAT，以及相关设备事先测试●设备FAT测试报告与相关可行性报告4 客户实施团队组建不合理项目实施过程中高级管理人员的参与远远不够，项目小组的成员以技术人员为主而不是相关的管理人员和业务人员；●加强高层沟通 ●项目实施方法培训●使高层认识到实施的重要性5 企业内部认识不统一高层领导、中层干部与普通员工对系统的期望值不一致●加强与HQ沟通 ●电子监管码系统培训●宣传电子监管码知识公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA●使各职能部门的领导全力参与项目6 人员风险关键实施人员不到位，实施人员缺乏应有的知识和技能或双方实施人员流动频繁●做好工作计划安排 ●合理安排计划、做好进度控制、任务分解●确保资源的全程参与 ●加强培训、交流、能力提升●对项目实施队伍订立绩效评估指标●7 客户硬件和网络风险客户硬件和网络不能及时到位或性能指标不能满足需要●加强沟通技术沟通 ●推荐网络硬件标准●辅助客户进行硬件选型8 产品性能故障产品模块版本存在故障（BUG）●做好测试、升级、替换、备份工作●上线前的方案测试●BUG问题及时提交●做好产品的升级或备份工作●及时调整实施计划变更9 项目时间和进度控制不合理实施计划过长影响员工多系统成功实施的信心，并影响业务的连续性、实施成本超预算或与企业财务业务部门的繁忙季节冲突●加强项目管理 ●灵活运用方法论和项目管理●双方认真履行职责 ●及时的成果确认，减少不必要因素对进度的影响●加强问题的及时沟通与解决●10 企业变革准备不充分对未来方案的了解还不深入，尤其是随之带来的变革，可能会产生对原信息系统实施的抵触心理或●加强沟通 ●及时组织学习、讨论确认、培训事宜高级管理层对方案的了解还不深入，无法积极地贯彻、监督实施● ●与客户项目经理交流●与客户管理层交流，确定解决办法公司/部门:阿斯利康制药有限公司版本:Rev1.0有效期:2011-12-31标题:电子监管码系统风险分析RA●采取总体规划、逐步实施的策略，树立试点应用标竿11 客户QA部门关键用户参与不够●使客户的项目小组全力参与项目●关键用户参与设计●每周五下午2点召开项目状态例会，客户也参加12 客户业务部门客户业务策略调整●加强与客户业务部门沟通●定期与客户的高层领导、各职能部门领导交流，掌握业务策略的调整动向13 客户IT部门提供信息的真实性、全面性、准确性●加强与IT部门沟通 ●告知客户提供全面、准确、真实的信息的必要性和重要性客户QA 部门●告知客户，根据保密协议要求，我方会对客户的行业秘密严格保密Appendix BReferencesAdd any references to relevant documentation 添加任何相关的参考文件。