ISPE：数据完整性风险评估指南

 ISPE：数据完整性风险评估指南ISPE给出了其数据完整性成熟度分级（DATAINTEGRITYMATURITYLEVELCHARACTERIZATION）的评估模型，翻译如下，供大家参考：  DATAINTEGRITYMATURITYLEVELCHARACTERIZATION数据完整性成熟度分级 Level1一级 Level2二级 Level3三级 Level4四级 Level5五级 Cluture文化 •  DIUnderstandingandawareness•  对数据完整性的理解和认识 Awarenessoftheimportanceofdataintegrity,andunderstandingofdataintegrityprinciples 对数据完整性的重要性的认识，以及对数据完整性原则的理解 Lowawareness,limitedtoSMEsandspecialists 认识不足，仅来自于SMEs和专家 Generalawarenessofthetopic,butnotfullyreflectedinworkingpractices 对主有一定的认识，但没有充分反映在工作中 Principlesreflectedinworkingpractices,butnotconsistentlyapplied数据完整性原则反映在工作中，但是不能持续的应用 Dataintegrityprinciplesfullyincorporatedandappliedinestablishedprocessesandpractices 数据完整性原则充分纳入和应用于既定的过程和实践中 Formalongoingawarenessprogramme,proactivelykeepingabreastofindustrydevelopments制定正式的持续改进计划，积极跟进行业发展 •  Corporatecultureandworkingenvironment •  企业文化与工作环境 Acultureofwillingandopenreportingforerrors,omissionsandabnormalresults,andwillingcollaborationtoachievedataintegrityobjectives一种愿意和公开报告错误、遗漏和异常结果的文化，并愿意协作以实现数据完整性目标 Unwillingnessornomotivationtoreporterrorsandabnormalresults. 不愿意或没有动机报告错误和异常结果 DIproblemsmaybereportedbutmitigationiseitherinadequateorignored 可能会报告数据完整性问题，但采取措施要么不够充分，要么被忽略 Policiesandproceduresencourageopenness,butnotimplementedinallcases.Mitigationgenerallylimitedtothespecificinstance 政策和程序鼓励暴露问题，但不适用于所有情形。采取措施通常局限于个别事例 Fullopennessandcollaborationachievedthroughsuchbehaviourbeingmotivatedbymanagementbehaviour.Mitigationconsiderswiderimplication 通过管理行为激励实现了充分的公开和协作。采取的措施考虑了更广泛的影响 AnticipatingpotentialfutureDIweaknessesandapplyingappropriatecontrols 预测未来潜在的数据完整性弱点并应用合适的控制 •  QualityCulture •  质量文化 Anenvironmentinwhichemployeeshabituallyfollowqualitystandards,taketakingquality-focusedactions,andconsistentlyseeothersdoingso. 员工按照习惯遵循质量，采取以质量为中心的行动，并且看到周围人也这么做的环境 Lowawarenessandapplicationofqualityprinciplesandstandards.Acultureofnotreportingwhatmanagement wouldrathernothear 对质量原则和标准的认识和应用不足。管理层不愿听到的就不报告的文化 Ad-hocquality.Activitiesperformed,butrelyingonindividualefforts 仅限于某种目的设置的质量。仅依赖于个别努力开展活动。 Generalapplicationofsomequalityprinciples,butnotfullyingrainedorconsistent.普遍应用一些质量原则，但不完全彻底和一致 Qualityconsiderationsincorporatedinnormalworkingpractice 质量因素纳入日常工作实践 Qualityandcontinuousimprovementincorporatedinnormalworkingpractice 质量和持续改进纳入日常工作实践 GovernanceandOrganization 治理与组织 •  Leadership •  领导力 Objectivesdefinedandcommunicatedbyexecutivemanagement. 目标界定和行政管理沟通 Leadershipsilentorinconsistentontheneedfordataintegrity.Otherbusinessprioritiestypicallyoverride. 领导对数据完整性的需求保持沉默或不一致。其他业务优先级通常高于数据完整性 LeadershipstateneedforDI,butdonotleadbyexample. 领导强调需要数据完整性，但不以身作则 Objectivesdefinedinpoliciesandhighlevelstatements,butnotalwaysfullyreflectedinmanagementpriorities. 政策和高层声明中定义了数据完整性的目标，但并不总是充分反映在管理优先事项中 Managementactionsandprioritiesfullyreflectstatedobjectives 管理行为和优先级充分反映所规定的数据完整性目标 DIaspectsroutinelyaddressedandimprovedaspartofmanagementreview数据完整性的常规处理和改进作为管理评审的一部分 •  Sponsorship •  资源支持 Executivemanagementprovidingappropriateresourcesandsupport. 行政管理提供合适的资源支持 Appropriateresourcesonlymadeavailableinemergencies(e.g.criticalcitation). 仅在紧急情况下提供资源（如关键引证） Appropriateresourcesavailableinprinciple,butoftennotbeavailableinpracticeduetootherpressures. 大体上有适当的资源,但由于其他方面的压力，通常在实践中不可用 Appropriateresourcesavailable,butmaybedivertedordilutedduetootherpressures. 适当的可用资源,但由于其他压力，可能被转移或打折扣 Requiredandplannedresourcesareavailableandsafeguardedduetoongoingcommitmenttodataintegrity 由于持续致力于数据完整性，所需和计划的资源得到保障。 Managementlookingaheadtoidentifyfutureresourceneeds,basedonexperience 管理层展望未来，根据经验确定未来的资源需求 •  Structure•  组织架构 Appropriaterolesandreportingstructures. 适当的角色和报告结构 Noconsiderationofspecificdatagovernanceinrolesandresponsibilities. 不在角色和职责制定中考虑数据管理 Datagovernancerolesonlyrecentlyestablished,orinflux. 最近才建立数据管理角色，或一直在变化 Datagovernancerolesestablished,butnotalwayseffective. 建立数据管理角色，但是不是一直有效 DataGovernancerolesarewellintegratedintothemanagementstructuresandsystems 数据管理的角色很好地融入管理架构和体系 Managementreviewingandadaptingorganizationalstructuresbasedonexperience 基于经验的管理评审与组织结构调整 •  StakeholderEngagement •  相关人员参与 EngagementofbusinessProcessOwners,QualityAssurance,andkeysupportingtechnicalgroups(e.g.IT)业务流程所有者、QA部门和关键技术支持部门(例如：IT)的参与 DataintegrityandgovernanceseenaseitheranITissueoraQualityIssue.NorealProcessOwnerinvolvement 数据完整性和治理视为IT问题或质量问题。没有真正的流程所有者参与 Ad-hocinvolvementofProcessOwners,andQualityAssurance.Highpersondependence. 流程所有者和QA“仅仅这次”参与。高度依赖于个人 ProcessOwners,andQualityAssurancetypicallyinvolved,butnotconsistently流程所有者和QA通常参与，但不是一贯的 ProcessOwners,QualityAssurance,andITworktogetherthroughthedataandsystemlifecycles 过程所有者、QA和IT在数据和系统生命周期中一起协作 Allstakeholdersconsistentlyworktogethertoidentifyfurtherco-operationopportunities,basedonexperience. 所有利益相关者不断合作，根据经验确定进一步的合作机会 •  DataOwnership •  数据所有权 Clearownershipofdataanddata-relatedresponsibilities 明确数据所有权和数据相关的责任 Process,system,anddataownersnotdefined没有定义流程、系统和数据的所有者 Process,system,anddataownersidentifiedinfewareas. 在小范围内定义流程、系统和数据的所有者 Process,system,anddataownerstypicallydefinedinmany,butnotallcases,andresponsibilitiesnotalwaysclear 流程、系统和数据所有者在大范围内定义，但不是所有情况，而且职责不总是很清晰 Process,system,anddataownersarewelldefinedanddocumented. 流程、系统和数据所有者都被很好的定义并且形成文件 Process,system,anddataownerresponsibilitiesconsideredandclarifiedduringmanagementreview. 在管理回顾中对流程、系统和数据所有者的职责进行考虑和阐述 •  PoliciesandStandards•  政策和标准 Definedpolicesandstandardsondataintegrity 定义关于数据完整性的政策和标准 Noestablishedpoliciesandstandardsfordataintegrity 没有建立数据完整性的政策和标准 Ad-hocpoliciesandstandardsfordataintegrityinsomecases 数据完整性的政策和标准仅在在某些情况下可用 Policesandstandardsexist,butnotfullyintegratedintotheQMSandbusinessprocess. 有政策和标准，但没有完全纳入质量管理体系和业务流程 PoliciesandstandardsfullyintegratedintotheQMSandfullyreflectedinbusinessprocessesandpractices政策和标准完全纳入质量管理体系并且充分反映在业务流程和实践中 Policiesandstandardsregularlyreviewedandimprovedbasedonexperience 根据实践定期回顾和改进政策和标准 •  Procedures •  规程 Establishedproceduresdefiningkeyactivitiesandprocesses建立规程描述关键活动和流程 Noestablishedproceduresforkeydataintegrityrelatedactivities 没有建立管理数据完整想相关活动的规程 Ad-hocproceduresfordataintegrityinsomecases 针对数据完整性的某些情况制定了有限的规程 Someproceduresandstandardsexist,butnotcoveringalldataintegrityrelatedactivities. 有一些规程，但是没有覆盖所有的数据完整性相关活动 ProceduresforallkeyareasfullyintegratedintotheQMSandreflectingestablishedpoliciesandstandards.将所有关键领域的规程充分纳入质量管理体系并反映既定的政策和标准 Proceduresregularlyreviewedandimprovedbasedonexperience 根据实践定期回顾和改进规程 •  AwarenessandTraining •  认识和培训 Awarenessandtrainingonregulatoryrequirementsandorganizationalpolicesandstandards. 对法规要求、组织政策、标准的认识和培训 Norealawarenessofregulatoryrequirementsandcompanypolicyinthisarea 在这方面没有真正意识到法规要求和公司政策 Someawarenessofregulatoryrequirementsandcompanypolicy,inpockets. 对于法规要求和公司政策，有一些局限的认识 Generalawarenessofwell-knownregulations,andtheexistenceofcompanypolicies 普遍了解众所周知的法规，以及公司政策的存在 Comprehensivetrainingprogramensuresanappropriatelevelofknowledgeofspecificregulatoryandcompanyrequirements 综合培训计划确保对特定的规章和公司要求有适当的了解 Formaltrainingneedsanalysis,takingintoaccountregulatorydevelopments.Trainingeffectivenessassessmentforongoingimprovement 正式的培训需求分析，考虑法规发展。培训效果评估以持续改善。 QualityManagementSystem 质量管理体系 EstablishedandeffectiveQualityManagementSystem,focusedonpatientsafety,productqualityanddataintegrity.建立有效的质量管理体系,关注患者安全,产品质量和数据的完整性 Fewproceduresinplacefocusedonpatientsafety,productqualityanddataintegrity. 几乎没有规程关注患者安全,产品质量和数据的完整性 Someproceduresandqualitycontrolprocesses,butnotconsistentlyachievingqualitygoals. 有一些规程和质量控制流程，但不能始终如一地实现质量目标 EstablishedQualityManagementSystem,butcomplianceanddataintegrityactivitiesarenotfullyeffective 建立了质量管理体系，但合规性和数据完整性活动并不完全有效 EstablishedandeffectiveQualityManagementSystem,consistentlyachievingdataintegritygoalsinsupportofpatientsafetyandproductquality 建立有效的质量管理体系，始终如一地实现数据完整性目标，以保证病人安全和产品质量 QMSsubjecttoregularmanagementreviewandcontinuousimprovement 质量体系定期管理回顾和持续改善 Businessprocessdefinition业务流程定义 Clearandaccuratedefinitionsofregulatedbusinessprocesses,coveringallkeyGxPareas 清晰和准确定义需要监管的业务流程，涵盖所有GxP关键领域 Fewbusinessprocessesformallydefinedanddocumented 几乎没有业务流程被正式定义，也没有形成文件 Somebusinessprocessesformallydefinedanddocumentedonanad-hocbasis,eitherbyprojectoroperationalgroups 只有一些业务流程被定义并仅在某些情况下被记录 Mostbusinessprocessesdefined,butnotconsistentlyfollowingconventionsorstandards,andnotalwayscompleteandup-to-date. 定义了大多数业务流程,但不能一致遵循规定或标准,且并不总是完整实时。 Businessprocessesdefinedfollowingestablishedconventionsandstandards. 按照既定规定和标准确定业务流程 Businessprocessesdefinedandsupportedbyappropriatetools,andconsistentlymaintained. 业务流程通过适当工具定义和支持，并持续维护 Supplierandserviceprovidermanagement 供应商和服务提供商管理 Assessmentofsuppliersandserviceprovidersagainstagreedstandards,andsettingupandmonitoringofcontractsandagreementstodeliverthosestandards. 根据商定的标准评估供应商和服务供应商，并建立和监测和，以交付这些标准 Manysuppliersandproviderswithapotentialimpactondataintegritynotassessedormanaged 许多供应商和供应商对数据完整性的潜在影响没有评估或管理 Somesuppliersandproviderswithapotentialimpactondataintegrityinformallyassessed 少数供应商对数据完整性的潜在影响进行非正式的评估 Establishedprocessforsuppliermanagement,butnotappliedconsistently.Dataintegrityimplicationsnotalwaysfullycoveredbyassessmentsoragreements 建立供应商管理流程,但不是一贯地应用。评估或协议并不总是完全覆盖数据完整性的影响 Establishedprocessforsuppliermanagement,consistentlyapplied,andincludingadataintegrityriskreview. 建立供应商管理的流程并一贯地应用，包括数据完整性风险审查 Effectivenessofsuppliermanagementsubjecttoregularmanagementreviewbasedonmetrics.通过定期管理回顾确认供应商管理的有效性 StrategicPlanningandDataIntegrityProgram 战略规划和数据完整性计划 •  Planning•  计划 Executivelevelstrategicplanningandprogramsforimprovingand/ormaintainingdatagovernanceanddataintegrity. 领导层级别的战略规划，用于改进和/或维护数据管理和数据完整性 Noplanningfordataintegrityordatagovernanceatexecutivelevel 没有领导层级的针对数据管理和数据完整性的计划 Limitedplanningfordataintegrityordatagovernance,typicallydrivenbyemergencies有限的数据完整性和数据治理规划,通常由突发事件驱动的 SpecificDataIntegrityprogramorequivalentunderway. 具备特定数据完整性程序或等效系统 SuccessfulDataIntegrityprogramsachievingstatedobjectives 成功的数据完整性程序以实现既定目标 Dataintegrityintegraltoongoingorganizationalstrategicplanning 数据完整性是持续组织性战略规划的重要部分 •  Communication •  沟通 Communicationandchangemanagementprocesses,supportedbyasuitablerepositoryofinformationandresources. 沟通和变更管理过程，由适当的信息资源库支持 NocommunicationandchangemanagementprocessforDI 没有针对数据完整性的沟通和变更管理过程 Someinformalandpersondependentcommunicationandchangemanagement. 一些非正式和依赖个人的沟通和变更管理 FormalcommunicationandchangemanagementforDIinplace,butonaper-projectorper-sitebasis,withadhocrepositories.对数据完整性进行正式的沟通和变更管理，但是在某个项目或某个场所的基础上，使用临时资源库 CommunicationandchangemanagementforDIintegraltoQMS,supportedbytoolsandcentralrepository. 在工具和中央资源库的支持下，针对数据完整性的沟通和变更管理纳入质量管理体系 CommunicationandchangemanagementforDIsubjecttoreviewandimprovement,supportedbydefinedmetrics. 对数据完整性进行沟通和变更管理，在定义的指标支持下进行评审和改进 Regulatory 法规 •  Awareness•  认识 Awarenessofapplicableregulatoryrequirements 对适用法规要求的认识 Noawarenessofkeyregulatoryrequirements. 对关键法规要求没有意识 Someawarenessofdetailedregulatoryrequirements,basedonindividualexperienceandeffort. 基于个人的经验和努力，对监管要求的细节有一些认识 Formalregulatoryawareness-raisingunderway,includingtrainingonregulationsandguidance. 正在进行正式的监管意识提高，包括法规和指南的培训 Allstaffawareofregulatoryrequirementsaffectingtheirwork. 全体员工意识到监管要求影响他们的工作 Formaltrainingneedsanalysisandaction,takingintoaccountregulatoryandindustrydevelopments. 正式培训需求分析和行动，考虑法规和行业发展 •  Traceability •  可追溯性 Traceabilitytoapplicableregulatoryrequirementsfrom,e.g.,QualityManual,policesorprocedures 可追溯到适用的法规要求，例如质量手册、政策或规程 Notraceabilitytoregulations不可追溯到法规 Littletraceabilityofpoliciesandprocedurestospecificregulations.政策和程序对具体法规的可追溯性很小 Traceabilityinplace,butlimitedtokeyregulatoryrequirements. 可追溯，但限于关键监管要求 Fulltraceability,e.g.fromQualityManualorpolicies,tospecificregulatoryrequirements. 完整的可追溯性,如从质量手册或政策到具体的监管要求 Traceabilityeffectivelymaintainedandupdatedtakingintoaccountregulatorydevelopments 考虑到法规的发展，对可追溯性进行有效地维护和更新 •  Inspectionreadiness•  检查准备 Preparationforinspection,includingresponsibilities,andinspectionreadinessdocumentation. 检查准备工作,包括责任,检查准备文档 Noinspectionreadinesspreparation 无检查准备 Limitedinspectionreadinesspreparation-ad-hocanddependentonindividualProcessandSystemOwners检查准备有限，是“仅仅这次”的和依赖流程和系统所有者个人的 Inspectionreadinessactivitiesinplace,butinconsistentinlevel,content,andapproach 检查准备活动到位，但水平、内容和方法不一致 Establishedprocessforinspectionreadinesscoveringallsystemsmaintainingregulateddataandrecords.建立了检查准备流程覆盖所有系统保存的数据和记录 Inspectionreadinessprocessesregularlyreviewedandrefinedbasedonregulatoryandindustrydevelopments. 根据监管和行业发展情况，定期审核检查准备过程并改进 •  RegulatoryRelationshipandcommunications •  监管关系和沟通 Effectivenessofcommunicationwithregulatoryauthorities,andeffectivenessofdealingwithconcernsandcitations. 与监管部门沟通的有效性，以及处理关注点和引用的有效性 Nocommunicationexceptduringinspections,whenspecificcitationsareaddressed. 处理某个处罚时，除检查过程外，没有沟通没有沟通除非检查期间 Ad-hoc,informalcommunicationas-and-whenrequired,notfollowingadefinedprocedure. 临阵磨枪式的沟通，而不是遵循规程 Communicationas-and-whenrequired,followingadefinedprocedure. 按照既定的规程，在需要时进行沟通 Effective,consistent,communicationwithregulatorybodiesfollowingadefinedprocedure. 有效、一致、与监管机构按照既定程序进行沟通 Clearcommunicationlinestokeyregulatorybodies,withinternalspecialistsfollowinganestablishedprocess.Concernsandcitationsareproactivelymanaged. 明确与关键监管机构的沟通渠道，内部专家遵循既定程序。主动管理关注和引用。 DataLifeCycle 数据生命周期 •  Datalifecycledefinition •  数据生命周期定义 Datalifecycle(s)definedinstandardsand/orprocedures 定义于标准和/或规程的数据生命周期 Datalifecyclesnotdefined. 没有定义数据生命周期 Somedatalifecyclesdefinedonanad-hocbasis. 一些数据生命周期被临时定义 Datalifecyclesgenerallydefinedfollowingprocedures.Notconsistentlyapplied. 数据生命周期普遍定义于规程中，但执行不到位 Datalifecycledefinedinprocedures,andappliedconsistentlytoallkeyregulateddataandrecords. 数据生命周期定义于规程中，并始终适用于所有关键数据和记录 Datalifecyclesdefinedfandmaintained,supportedbyeffectiveautomatedtools 已定义数据生命周期，并通过有效的自动化工具维护和支持。 •  QualityRiskManagement•  质量风险管理 Applicationofriskmanagement(includingjustifiedanddocumentedriskassessments)throughthedatalifecycle. 在数据生命周期中应用风险管理（包括经论证和文件化的风险评估） Nodocumentedandjustifiedassessmentofriskstodataintegrity对数据完整性的风险无文件化的和合理的评估 Limiteddataintegrityriskassessmentsperformedonanad-hocbasis. 权且进行了有限的数据完整性风险评估 Dataintegrityconsideredinriskassessmentprocedures,butnotperformedtoaconsistentlevel. 风险评估过程中考虑到的数据完整性，但没有落实 Dataintegrityriskmanagementestablishedasanintegralpartofthedatalifecycleandsystemlifecycle. 进行数据完整性风险管理，作为数据生命周期和系统生命周期的组成部分 QualityRiskManagementactivitiessubjecttocontinuousimprovement 持续改进的质量风险管理活动 •  DataManagementprocessesandtools •  数据管理流程和工具 Establisheddatamanagementprocesses,supportedbyappropriatetools. 建立数据管理流程，并有适当的工具支持 Nodatamanagementprocesses 没有数据管理流程 SomedatamanagementprocessesdefinedbyindividualProcessOwners 个别流程所有者定义了一些数据管理流程 Datamanagementproceduresdefined,butnotalwayseffectivelyimplemented 定义了数据管理规程，但并不总是有效地执行 Wellestablishedandeffectivedatamanagementprocesses.建立数据管理流程，并有效的执行 Wellestablishedcommondatamanagementprocesses,maintained,updated,supportedbyappropriateautomatedtools 已建立通用的数据管理流程，通过适当的自动化工具维护、更新 •  Masterandreferencedatamanagement •  主数据和参考数据管理 Establishedprocessestoensuretheaccuracy,consistency,andcontrolofmasterandreferencedata. 建立规程以确保主数据和参考数据的准确性、一致性和控制 Nomaster/referencedatamanagementprocesses 没有主数据参考数据的管理规程 Somemaster/referencedatamanagementprocessesdefinedbyindividualProcessOwners 个别流程所有者定义了一些主/参考数据管理规程 Master/referenceDatamanagementproceduresdefined,butnotalwayseffectivelyimplemented建立了主/参考数据管理规程，但并不总是有效地执行 Wellestablishedandeffectivemaster/referencedatamanagementprocesses.建立了主/参考数据管理规程，并得到有效执行 Wellestablishedcommonmaster/referencedatamanagementprocesses,maintained,updated,supportedbyappropriateautomatedtools 已建立了通用的主/参考数据管理规程，通过适当的自动化工具维护、更新 •  DataIncidentandProblemManagement•  数据事件和问题管理 Establishedprocessestodealwithdataincidentsandproblems,linkedwithchangemanagementanddeviationmanagementasappropriate. 建立处理数据事件和问题的规程，并与变更管理和偏差管理联系在一起 Noformaldataincidentanddataproblemmanagementprocess没有正式的数据事件和数据问题管理规程. SomedataincidentanddataproblemmanagementprocessesdefinedbyindividualProcess/SystemOwners由个别流程/系统所有者定义了一些数据事件和数据问题管理规程 Dataincidentsandproblemstypicallyeffectivelydealtwithasapartofnormalsystemoroperationalincidentmanagement,butwithlimitedconsiderationofwiderDIimplications. 数据事件和问题通常作为正常系统或操作事件管理的一部分有效地处理，但很少考虑扩大数据完整性影响。 EstablisheddataincidentandproblemmanagementprocesslinkedtoCAPAanddeviationmanagementwherenecessary. 建立数据的事件和问题管理规程，并且，必要时，与CAPA和偏差管理联系在一起 Establisheddataincidentandproblemmanagementprocess,supportedbytoolsandappropriatemetrics,leadingtoprocessimprovement. 建立数据事件和问题管理流程，由工具和适当的度量支持，已实现过程改进 •  AccessandSecuritymanagement •  访问和安全管理 Establishingtechnicalandproceduralcontrolsforaccessmanagementandtoensurethesecurityofregulateddataandrecords. 对访问管理建立技术和程序控制，并确保数据和记录的安全性 Lackofbasicaccesscontrolandsecuritymeasuresallowingunauthorizedchanges 缺乏基本的访问控制和安全措施，允许未经授权的更改 Somecontrols,butgrouploginsandsharedaccountswidespread.Passwordpolicesweakornotenforced 有一些控制，但组登录和共享账户普遍。密码策略弱或不强制执行 Establishedstandardsandproceduresforsecurityandaccesscontrol,butnotconsistentlyapplied 已建立安全和访问控制的标准和规程，但落实不到位 Establishedsystemforconsistentaccesscontrolandsecuritymanagement,includingregularreviewofsecuritybreachesandincidents 已建立强壮的访问控制和安全管理体系，包括定期审查安全漏洞和事件 Establishedintegratedsystemforconsistentaccesscontrolandsecuritymanagement,supportedbyappropriatetoolsandmetricsforcontinuousimprovement. 已建立强壮的访问控制和安全管理的集成系统，并有适当的工具和度量支持以持续改进 •  Archivalandretention •  归档和保存 Establishingprocessesforensuringaccessibility,readabilityandintegrityofregulateddataincompliancewithregulatoryrequirementsincludingretentionperiods. 根据法规要求，建立规程确保数据的可访问性、可读性和完整性，包括的保存期限 Noconsiderationoflongtermarchivalandretentionperiods没有考虑长期归档和保存期限 Noeffectiveprocessforidentifyingandmeetingregulatoryretentionrequirements.Fewarchivalarrangementsinplace. 无有效流程识别并符合法规对于保存要求。很少有存档。 Retentionpolicyandscheduledefinedcoveringsome,butnotallregulatedrecords.Somesystemswithnoformalarchivalprocess. 定义了保存策略和计划覆盖一部分，但不是所有的记录。有一些系统做了非正式的归档 RetentionScheduleincludesallregulatedrecords,andthosepoliciessupportedbyappropriatearchivalprocessesandtools. 保存时间计划表包括了所有记录，并有适当的归档流程和工具支持。 Archivalanddataretentionpoliciesandprocessesregularlyreviewedagainstregulatoryandtechnicaldevelopments 根据法规和技术发展对归档和数据保存政策和流程定期审核 •  ElectronicSignatures •  电子签名 Effectiveapplicationofelectronicsignaturestoelectronicrecords,whereapproval,verification,orothersigningisrequiredbyapplicableregulations.在电子记录中有效应用电子签名 Nocontrolofelectronicsignatures. 无电子签名控制 Lackofclearpolicyonsignatureapplication,andlackofconsistenttechnicalsupportfore-signatures. 对签名应用的缺乏明确的政策，对电子签名缺乏强壮的技术支持 Policiesinplace.Compliante-signaturesinplacefors