OpenSkillIndex← back to search
claude-code

Agent-almanac monitor-data-integrity

install
source · Clone the upstream repo
git clone https://github.com/pjt222/agent-almanac
Claude Code · Install into ~/.claude/skills/
T=$(mktemp -d) && git clone --depth=1 https://github.com/pjt222/agent-almanac "$T" && mkdir -p ~/.claude/skills && cp -r "$T/i18n/zh-CN/skills/monitor-data-integrity" ~/.claude/skills/pjt222-agent-almanac-monitor-data-integrity-a5b22d && rm -rf "$T"
manifest: i18n/zh-CN/skills/monitor-data-integrity/SKILL.md
source content

监控数据完整性

使用 ALCOA+ 原则和异常检测,设计和运营持续监控已验证系统数据完整性的项目。

适用场景

  • 为 GxP 系统建立数据完整性监控项目
  • 在数据完整性为重点领域的法规检查前做准备
  • 数据完整性事故后加强监控
  • 对现有数据完整性控制措施进行定期审核
  • 实施 MHRA、WHO 或 PIC/S 数据完整性指南

输入

  • 必填:范围内的系统及其 ALCOA+ 风险档案
  • 必填:适用指南(MHRA 数据完整性、WHO TRS 996、PIC/S PI 041)
  • 必填:每个系统当前的审计追踪能力
  • 可选:以往数据完整性发现或法规观察
  • 可选:现有监控程序或指标
  • 可选:用户访问矩阵和角色定义

步骤

第 1 步:评估当前 ALCOA+ 状态

根据所有 ALCOA+ 原则评估每个系统:

# 数据完整性评估
## 文档 ID:DIA-[SITE]-[YYYY]-[NNN]

### ALCOA+ 评估矩阵

| 原则 | 定义 | 评估问题 | 系统 1 | 系统 2 |
|------|------|---------|--------|--------|
| **可归因** | 谁执行了操作,何时执行? | 所有条目是否链接到唯一用户 ID?时间戳是否由系统生成? | 好/适当/需整改 | 好/适当/需整改 |
| **清晰** | 数据能否被阅读和理解? | 记录在整个保留期内可读吗?格式是否受控? | 好/适当/需整改 | 好/适当/需整改 |
| **及时** | 数据是否在活动时记录? | 时间戳是否实时?能否检测到回填条目? | 好/适当/需整改 | 好/适当/需整改 |
| **原始** | 这是首次采集的数据吗? | 原始记录是否保留?是否有清晰的原始与副本区分? | 好/适当/需整改 | 好/适当/需整改 |
| **准确** | 数据是否正确且真实? | 计算是否经过验证?转录错误是否可检测? | 好/适当/需整改 | 好/适当/需整改 |
| **完整** | 所有数据是否存在? | 删除操作是否可检测?所有预期记录是否存在? | 好/适当/需整改 | 好/适当/需整改 |
| **一致** | 数据元素是否跨记录一致? | 时间戳是否遵循逻辑顺序?版本是否一致? | 好/适当/需整改 | 好/适当/需整改 |
| **持久** | 数据能否在所需保留期内存活? | 存储介质是否可靠?备份是否经过验证? | 好/适当/需整改 | 好/适当/需整改 |
| **可获取** | 数据能否在需要时访问? | 检索程序是否已记录?访问控制是否适当? | 好/适当/需整改 | 好/适当/需整改 |

评级:好 = 控制措施充分;适当 = 需要小幅改进;需整改 = 需要整改

预期结果: 每个系统都有评分的 ALCOA+ 评估,对每个原则有具体发现。 失败处理: 若系统无法评估(如无审计追踪能力),将其标记为需要立即整改的关键差距。

第 2 步:设计检测性控制措施

定义检测数据完整性违规的监控活动:

# 检测性控制措施设计
## 文档 ID:DCD-[SITE]-[YYYY]-[NNN]

### 审计追踪审查计划
| 系统 | 审查类型 | 频率 | 审查人 | 范围 |
|------|---------|------|--------|------|
| LIMS | 全面 | 每月 | QA | 所有数据修改、删除和访问事件 |
| ERP | 针对性 | 每周 | QA | 批记录修改和审批 |
| R/Shiny | 全面 | 每次分析 | 统计师 | 所有输入/输出/参数变更 |

### 审查清单
每个审计追踪审查周期:
- [ ] 所有数据修改均有记录的理由
- [ ] 无无法解释的删除或作废条目
- [ ] 时间戳按顺序排列且与业务操作一致
- [ ] 无无记录理由的非工作时间活动
- [ ] 未检测到共享账户使用
- [ ] 失败登录尝试在正常阈值内
- [ ] 变更控制之外无权限提升事件

预期结果: 检测性控制措施已计划安排、分配责任并以明确的审查标准记录。 失败处理: 若审计追踪审查未按计划进行,记录差距并升级至 QA 管理层。遗漏的审查会积累风险。

第 3 步:定义异常检测模式

创建触发调查的具体模式:

# 异常检测模式

### 模式 1:非工作时间活动
**触发条件:** 在工作时间外(定义为 [周一至周五 06:00-20:00 当地时间])进行数据创建、修改或删除
**阈值:** 在规定时间外的任何 GxP 关键数据修改
**响应:** 在 2 个工作日内与用户和主管确认
**例外情况:** 有记录的轮班工作、已批准的加班、自动化流程

### 模式 2:顺序修改
**触发条件:** 在短时间内对同一记录进行多次修改
**阈值:** 60 分钟内对同一记录超过 3 次修改
**响应:** 审核修改原因;验证每次变更是否有记录的理由
**例外情况:** [宽限期,如 30 分钟] 内的初始数据录入更正

### 模式 3:批量变更
**触发条件:** 单个用户的数据修改量异常高
**阈值:** 每用户每天超过 50 次修改(基线:[从正常使用中计算])
**响应:** 验证批量活动的业务理由
**例外情况:** 有记录的批量操作、变更控制下的数据迁移活动

### 模式 4:删除/作废激增
**触发条件:** 异常数量的记录删除或作废
**阈值:** 每用户每周超过 5 次删除/作废事件
**响应:** QA 立即审核已删除/作废记录
**例外情况:** 无——所有删除/作废事件均需有记录的理由

### 模式 5:权限提升
**触发条件:** 授予管理员或提升权限的用户访问变更
**阈值:** 用户访问管理 SOP 之外的任何权限变更
**响应:** 在 24 小时内与 IT 安全和系统负责人确认
**例外情况:** 按记录的紧急访问程序进行的紧急访问

### 模式 6:审计追踪中断
**触发条件:** 缺失或中断的审计追踪条目
**阈值:** 任何 > 0 的条目缺口(审计追踪应连续)
**响应:** 立即调查——可能是系统故障或篡改
**例外情况:** 无——审计追踪中断始终是关键问题

预期结果: 模式具体、可测量、可操作,有明确的阈值和响应程序。 失败处理: 若阈值设置过低(过多假阳性),基于基线数据进行调整。若过高(遗漏真实问题),在第一个监控周期后收紧。

第 4 步:构建指标仪表板

# 数据完整性指标仪表板
## 文档 ID:DIMD-[SITE]-[YYYY]-[NNN]

### 关键绩效指标

| KPI | 指标 | 目标 | 黄色阈值 | 红色阈值 | 来源 |
|-----|------|------|---------|---------|------|
| DI-01 | 审计追踪审查完成率 | 100% | <95% | <90% | 审查日志 |
| DI-02 | 每月检测到的异常 | 趋势下降 | 环比增加 >10% | 环比增加 >25% | 异常日志 |
| DI-03 | 异常调查关闭率 | <15 个工作日 | >15 天 | >30 天 | 调查日志 |
| DI-04 | 未解决的数据完整性 CAPA | 0 逾期 | 1-2 逾期 | >2 逾期 | CAPA 追踪器 |
| DI-05 | 检测到的共享账户实例 | 0 | 1-2 | >2 | 访问审核 |
| DI-06 | 未经授权的访问尝试 | <5/月 | 5-10/月 | >10/月 | 系统日志 |
| DI-07 | 审计追踪中断事件 | 0 | 不适用 | >0(始终为红色) | 系统监控 |

### 报告节奏
| 报告 | 频率 | 受众 | 负责人 |
|------|------|------|--------|
| DI 指标摘要 | 每月 | QA 总监、系统负责人 | QA 分析师 |
| DI 趋势报告 | 每季度 | 质量委员会 | QA 经理 |
| DI 年度审核 | 每年 | 场所总监 | QA 总监 |

预期结果: 仪表板提供一目了然的合规状态,并有明确的升级触发点。 失败处理: 若数据来源无法支持自动化指标,实施手动收集并记录自动化计划。

第 5 步:建立调查触发点和升级机制

# 调查和升级矩阵

### 调查触发点
| 触发条件 | 严重性 | 响应时间 | 调查人 |
|---------|--------|---------|--------|
| 检测到审计追踪中断 | 关键 | 立即(4 小时内) | IT + QA |
| 确认数据造假 | 关键 | 立即(4 小时内) | QA 总监 |
| 审核后确认异常模式 | 重大 | 5 个工作日内 | QA 分析师 |
| 来自同一用户的重复异常 | 重大 | 5 个工作日内 | QA + HR |
| 逾期的审计追踪审查 | 轻微 | 10 个工作日内 | QA 经理 |

### 升级路径
| 级别 | 升级至 | 时机 |
|------|--------|------|
| 1 | 系统负责人 | 任何确认的异常 |
| 2 | QA 总监 | 重大或关键发现 |
| 3 | 场所总监 | 关键发现或潜在法规影响 |
| 4 | 监管事务 | 确认的数据完整性失败,需要法规通知 |

预期结果: 每项调查均有明确的严重性、时间表和升级路径。 失败处理: 若调查未在规定时间内完成,升级至下一级别。

第 6 步:汇编监控计划

将所有组件整合到数据完整性监控主计划中:

# 数据完整性监控计划
## 文档 ID:DI-MONITORING-PLAN-[SITE]-[YYYY]-[NNN]

### 1. 目的和范围
[来自评估范围]

### 2. ALCOA+ 评估摘要
[来自第 1 步]

### 3. 检测性控制措施
[来自第 2 步]

### 4. 异常检测规则
[来自第 3 步]

### 5. 指标和报告
[来自第 4 步]

### 6. 调查和升级
[来自第 5 步]

### 7. 定期审核
- 监控计划审核:每年
- 异常阈值:每次季度审核后调整
- ALCOA+ 重新评估:系统变更或新增系统时

### 8. 批准
| 角色 | 姓名 | 签名 | 日期 |
|------|------|------|------|
| QA 总监 | | | |
| IT 总监 | | | |
| 场所总监 | | | |

预期结果: 单一已批准文件定义了完整的数据完整性监控项目。 失败处理: 若计划文件体量过大,创建主计划并引用系统特定监控程序。

验证清单

  • 所有范围内系统已完成 ALCOA+ 评估
  • 审计追踪审查计划已定义频率、范围和负责审查人
  • 已定义至少 5 种异常检测模式,含具体阈值
  • 指标仪表板有带绿色/黄色/红色阈值的 KPI
  • 调查触发点已定义严重性和响应时间
  • 升级矩阵在关键发现时达到监管事务部门
  • 监控计划已由 QA 和 IT 领导层批准
  • 已建立定期审核计划

常见问题

  • 监控但不行动:收集指标但从不调查异常,提供虚假的安全感,比不监控更糟糕(会产生被忽视发现的证据)
  • 静态阈值:基于猜测而非基线数据设置的阈值会产生过多假阳性,导致警报疲劳
  • 审计追踪审查流于形式:在不了解应关注什么的情况下审查审计追踪是无效的,培训审查人员了解异常检测模式
  • 忽视系统局限性:某些系统的审计追踪能力较弱。记录局限性并实施补偿性控制措施,而不是假装局限性不存在
  • 无趋势分析:单个异常可能看起来微不足道,但跨时间或用户的模式揭示系统性问题。始终对数据完整性指标进行趋势分析

相关技能

  • design-compliance-architecture
    — 确定需要数据完整性监控的系统
  • implement-audit-trail
    — 监控所依赖的技术基础
  • investigate-capa-root-cause
    — 当监控检测到问题需要正式调查时
  • conduct-gxp-audit
    — 审计评估监控项目的有效性
  • prepare-inspection-readiness
    — 数据完整性是法规检查的首要关注领域