设备清洁验证风险评估1

生产设备清洁验证验风险评估

增禄

- 0 -

制药有限公司

风险评估

——生产设备清洁验证验证范围和程度本标准起草人：

本标准审核人：本标准批准人：

本标准批准发布日期：年月日生效日期：年月日

1.概述

本公司为中药制剂生产企业，制剂剂型为丸剂（浓缩丸、水丸），主要品种为六味地黄丸、开胸顺气丸等。生产所用设备主要分为前处理设备和制剂设备。为确保产品质量，生产设备清洁规程需经过验证。验证的范围和程度通过风险评估来确定。

- 1 -

2.风险评估工具

应用失败模式效果分析，对风险发生的频率、严重性和可测性进行确认。根据风险大小分值为1分至5分，分值越高，风险越大。严重性以鉴别、检查、含量中分数高者计。失败风险得分为各项得分的乘积。总分超过36分为高风险，设备必须经过确认。

3．活性残留风险项分析

如何确定残留物限度是一个相当复杂的问题，企业应当根据其生产设备和产品的实际情况，制定科学合理的，能实现并能通过适当的方法检验的限度标准。目前企业界普遍接受的限度标准基于以下原则：1）以目检为依据的限度。2）化学残留可接受限度。3）微生物残留可接受限度。

3.1以目检为依据的限度

若设备内表面抛光良好，残留物与设备表面有较大反差，目检能发现低于4ug/cm2的残留。目测要求不得有可见的残留物，在每次清洗完后都必须进行检查并对检查结果进行记录，此项检查应该作为清洗验证接受限度的第一个接受标准。

3．2化学残留可接受限度：最低日治疗剂量的1/1000

- 2 -

依据药物的生物学活性数据——最低日治疗剂量（MTDD）确定残留物限度是制药企业普遍采用的方法。一般取最低日治疗剂量（MTDD）的1/1000 为残留物限度。可以认为即使存在很大的个体差异，该残留量也不会对人体产生药理反应。我厂产品为六味浓缩丸系列及开胸顺气丸等水丸成方制剂，其中六味地黄丸（浓缩丸）批量大，且在浓缩丸剂中最具代表性，开胸顺气丸（水丸）批量小作为水丸制剂具有代表性，因此选定这两种产品做为验证产品。

一般表面残留物总量限度计算公式：

L1∕1000=( MTDD a∕1000)×(N b∕MDD b)

MTDD a 清洗前产品最小每日给药剂量

Nb 清洗后产品的批量

MDD b清洗后产品的最大日给药剂量

验证产品情况

- 3 -

六味地黄丸（浓缩丸）和开胸顺气丸（水丸）共用的设备内表面积估算

- 4 -

六味地黄丸（浓缩丸）在设备表面中的最小残留总量计算：

L1∕1000六味=(4.0 g÷1000)×(51336 g÷18 g)=11.4 g

开胸顺气丸（水丸）在设备表面中的最小残留总量计算：

L1∕1000开胸=(3 g÷1000)）×(401760 g÷4.6 g)=262g

六味地黄丸（浓缩丸）在设备单位内表面的最大残留限度= L1∕1000六味÷488000cm2=11.4 g÷488000cm2=23.4 ug/cm2

开胸顺气丸（水丸）在设备内表面的最大残留限度= L1∕1000开胸÷488000cm2=262 g÷488000cm2=536.9 ug/cm2

通过计算可以很明显的看出：无论是六味地黄丸（浓缩丸）还是开胸顺气丸（水丸）在设备单位内表面的最大残留限度都远大于目检能发现低于4ug/cm2的残留的限度，也就证明了以目检为依据的限度标准可以保证残留物在化学残留可接受限度内，从而有效的避免六味地黄丸（浓缩丸）和开胸顺气丸（水丸）交叉污染，保证患者用药安全。因此在设备清洁验证中活性残留采用目检法。

4.质量风险评估及结果

- 5 -

- 6 -

- 7 -

注：低风险：1～8 中等风险：9～36 高风险：37～125

- 8 -

信息安全风险评估管理规定

信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020

信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。 第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

设备清洁验证周期风险评估

设备清洁验证周期风险评估 项目姓名职务日期起草人 审核人 批准人 生效日期 分发部门

目录 1目的 2适用范围 3依据文件 4质量风险管理小组职责 5风险评估 5.1风险评估过程 5.2风险评估（危险分级与筛选） 5.3公司设备情况 5.4RRF评估表

设备验证清洁周期风险评估 1目的 通过对公司关键生产设备清洁验证周期进行风险评估，对于每种风险产生用可能性（P）和严重性（S）进行估计，以确定设备清洁验证周期。 2适用范围 本评估适用于公司设备清洁验证周期。 3依据文件 药品生产质量管理规范（2010年修订） 质量风险管理规程（SMP-QA-00-005） 4质量风险管理小组职责 部门职务姓名职务职责 质量负责人兼质量受权人汪凌云组长 对风险管理工作负领导责任。保证给风险管理、 实施和评定工作分配的人员是经过培训合格的， 保证风险管理工作执行者具有相适应的知识和 经验，并负责批准报告。 生产负责人张鸿旭组员 负责从设备清洁难易程度、清洁方法等方面对风 险进行评价，编制风险管理报告。 质量部经理张卫娜组员负责审核及收集资料、数据，整理风险评估资料归档。 车间主任赵星军组员负责起草与生产设备清洁各个过程进行的分析评估 5 风险评估 5.1风险评估过程： 项目质量风险管理提出——风险识别——风险评估——风险控制——风险交流和通报——风险评估——风险管理活动评价 5.2风险评估（危险分级与筛选） 5.2.1 原理： 5.2.1.1风险识别 在设备清洁中出现的清洁不彻底的问题。

5.2.1.2风险分析 基于以下信息进行分析： 设备类型、材质是否易清洁？ 设备管路联接方式是否易清洁？ 设备清洁剂类型、设备用途及其共用该设备的物料或产品体系是否增加？ 清洁、消毒方式、SOP 是否能在清洁验证周期内稳定？ 从事该设备清洁、操作的人员是否有太大的流动性或更替？ 5.2.1.3风险评价 5.2.1.3.1可能性 高：经常发生 中：偶尔发生 低：极少发生 5.2.1.3.2严重性 高：严重影响到产品质量 中：轻微影响到产品质量 低：基本不影响到产品质量 5.2.3.4综合评价 风险评价使用 “低/中/高”的分类和简单的矩阵。 风险评估的矩阵图 3高 3中 6高 9高 2中 2低 4中 6高 1低 1低 2低 3中 1低 2中 3高 分数 可能性 严重性 1 近一年来没有发生 对产品无质量影响 2 近六个月发生一次 可能对产品无质量影响，但不会影响人的身体健康 3 几乎不发生 直接影响人的身体健康 严重性 可能性

实验室生物安全风险评估方案报告

****医院检验科实验室生物安全 风险评估报告 依据《病原微生物实验室生物安全管理条例》、《实验室生物安全通用要求》、《微生物和生物医学实验室生物安全通用准则》、《医疗废物管理条例》，2015年3月，按照检验科制定《风险评估和风险控制程序》[YX-BS-011]，由医院生物安全委员会主持，检验科生物安全管理小组参与，对检验科生物安全作风险评估，形成报告如下： 一、生物因子已知或未知的特性评估 国家根据病原微生物的传染性、感染后对个体或群体的危害程度，将病原微生物分为四类，其中一类和二类统称高致病病原微生物。 我院检验科属二级生物安全实验室，不得从事致病病原微生物的检测工作，但在临床工作中，必须将强调高致病病原微生物的监测，发现可疑高致病病原微生物，必须采取积极措施，及时报告。 1、我院潜在的一类和二类病原微生物评估： 炭疽芽孢杆菌、布鲁氏菌、鼻疽伯克菌、结核分枝杆菌、霍乱弧菌、鼠疫耶尔森菌等。 对上述高致病性生物因子的种类、来源、传染性、传播途径、易感性、潜伏期、剂量-效应（反应）关系、致病性（包括急性与远期效应）、变异性、在环境中的稳定性、与其他生物和环境的交互作用、相关实验数据、流行病学资料、预防和治疗方案，做全面的了解，引领全科职工共同学习掌握。 2、防控措施： 2.1 立即对可疑高致病病原微生物培养物封存。 2.2 立即分别报告医院感控科、卫生局和市疾病预防控制中心。 2.3 对实验室进行全面消毒，包括工作台面、地面、仪器表面、空气等。 2.4 接触人员更换个人防护用品，并对用品进行消毒。 2.5 感控科收集病人相关信息资料，对病人实施隔离，协助市疾病预防控制中心进行流行病学调查。

信息安全系统风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产，任何对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息阶段 1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的性问题提出要求，对安全的评估只限于性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评估、认证认可的工作思路。

设备验证范围风险评估报告

编号：XJ/FX2014005 设备验证的范围及程度 风险评估报告 药业有限公司

质量风险评估报告批准页 报告起草签名日期报告审核签名日期 报告批准签名日期姚康宁

目录 1. 概述 2．风险管理的目的 3. 风险管理小组成员及职责 4. 风险评估 4.1 风险识别 4.2 风险分析与评估 5. 风险控制

1、概述 我公司片剂生产（含中药前处理及提取）使用的设备主要有热风循环烘箱、粉碎机组、双锥混合机、多能提取罐、双效浓缩器、减压干燥柜、离心式喷雾干燥塔、万能粉碎机、喷雾干燥制粒机、高速旋转压片机、荸荠式糖衣机、高效包衣机、铝塑包装机以及其他辅助设施设备等。 2、风险管理的目的 2010年版《药品生产质量管理规范》第七章确认与验证中第一百三十八条指出“企业应当确定需要进行的确认或验证工作，以证明有关操作的关键要素能够得到有效控制。确认或验证的范围和程度应当经过风险评估来确定。” 为满足公司生产的产品持续性的符合国家注册标准要求，并能满足市场客户的需求，安全有效的上市销售。本系统引入质量风险管理的理念，对各生产设备的风险等级进行评估，对可能的危害进行判定,对于每种危害可能产生损害的严重性和危害的发生概率进行了评估,在某一风险水平不可接受时，建议采取降低风险的措施，并对生产设备所处工艺点风险的高低进行等级划分，在日常管理中进行有效的控制，以确保生产出的产品符合质量标准要求。 3、风险管理成员及其职责 序号成员部门职务职责 1 生产副总组长1）提供风险管理所需的资源； 2）全面监督、组织实施风险管理活动；3）批准风险评估报告。 2 质量技术 总监 组员 1）负责对参与风险管理人员的资格认可； 2）参与风险分析和评价 3）审核风险评估报告。 3 生产设备 部部长 组员 1)提供生产过程与风险相关的信息； 2)参与风险分析和评价； 3）审核风险评估报告。 4 动力车间 主任 组员 1）协助组织风险管理活动； 2）参与风险分析和评价； 3）参与风险管理所需进行的验证。 5 质量技术 部副部长 组员 1）参与风险分析和评价； 2）参与风险管理所需进行的活动。 3）编制风险管理评估报告

实验室风险评估风险控制程序

实验室风险评估与风险控制程序 一、检验职业感染的现状 经血、呼吸道、粘膜传播疾病直接危害着检验工作者身体健康。我国是HBV 感染的高发区,约有1.3亿人携带HBV,HBV表面抗原(HBsAg)的携带率为8%-20%;自90年代以来HCV感染也呈上升趋势,其感染率为3%。目前艾滋病感染在我国的流行已进入增长期。在无偿献血人群中检出乙型肝炎、丙型肝炎、梅毒、艾滋病等病毒感染占有一定的比例。经调查显示,针头和玻璃碎片是主要锐器致伤因子,经常接触针头者发生锐器伤的危险是不经常接触者的23倍。多种传染病是通过血液传染的,而血液检验中的职业暴露大多数来自实验室工作人员在实验操作和标本采集过程中,意外被带病原体的血液污染破损的皮肤或被病原体感染的针头、血常规采血针、采血玻璃管、吸头等锐器刺破皮肤，呼吸道吸入气溶胶也是传播方式之一。因此,检验人员面临着严峻的职业暴露危险。 1.传播途径 检验人员感染疾病的一般传染途径有: （1）皮肤破损:带有HIV、HBV、HCV、梅毒等病原体的血液,长时间接触小伤口、溃疡、擦伤等破损皮肤,将会造成机体的感染。 （2）穿刺:由于针头、刀片等对皮肤的意外损伤,使带有病毒的全血、血清或血浆进入皮下或循环系统,造成感染。这种针头意外损伤是职业性HBV和HIV 感染最重要的原因。带有HIV的针头意外穿刺皮肤后,HIV感染的可能性在0--0.9%之间,平均为0.4%。而对于HBV,这个可能性在6%-30%之间,平均为18%。有学者进行了相应的统计推算,每1000个艾滋病病人,每年会产生1例由于针头意外造成的职业性HIV感染;而每1000个乙肝患者,每年会产生45例类似职业性HBV感染。由于HBV在人群中的感染率比HIV高得多,在一定人群中,每年产生的因针头意外造成的职业性HBV感染比HIV多得多。 （3）粘膜:由于试管未封闭、离心意外等造成的血液飞溅,带有病原体的血液与口腔、鼻腔黏膜或眼结膜等接触,可以造成感染。还有被HIV、HBV、HCV、梅毒等病原体污染的电话、仪器、工作台面等接触,也可以造成感染。 （4）吸入含病原体的气溶胶引起感染:在采血窗口或发放化验单时,直接与病人面对面接触交谈,易感染呼吸道疾病。此外,能引起气溶胶的操作或事故有离

生产工艺验证风险评估报告

制药有限公司GMP管理文件 生产工艺验证风险评估报告 一、目的：建立一个生产工艺验证的质量风险管理报告，为生产工艺验证的风险管理提供指导和参考，并为生产工艺验证质量风险管理提供通用性的文件范例。 二、适用范围：适用于生产工艺验证的风险管理。 三、职责：质管部负责组织和实施质量风险管理，质量管理体系相关部门负责本规程的具体实施。 四、正文： 1.风险评估计划： 1.1风险评估名称：生产工艺验证的质量风险评估； 1.2风险评估范围：本次风险管理计划主要是对本公司生产工艺验证进行风险评估活动的策划，包括参与人员和职责，风险分析、风险评价、风险控制，风险改进措施与支持活动，风险管理评审等； 1.3参与人员和职责： 1.3.1生产工艺验证质量风险评估小组包括质管部负责人，生产部负责人，检验室主管，工程部，QA，设备操作人员； 1.3.2生产工艺验证质量风险评估小组负责组织实施质量风险评估； 1.3.3质管部负责人负责制定质量风险评估计划，风险评估组织，风险评估后改进措施监督落实等； 1.3.4质管部负责整理质量风险管理文档。

1.4风险评估小组人员 2.风险分析：本次采用失败模式效果分析（FMEA）,识别潜在的失败模式，按照风险评 估操作规程，对生产工艺验证的严重程度、发生的几率、发现的可能性评分，其评分结果见表1-1、表1-2 、表1-3 表1-1 生产工艺验证中的关键控制点失败影响的严重程度

表1-2 生产工艺验证中的关键控制点失败影响的发生慨率 表1-3 生产工艺验证中的关键控制点失败影响的可检测性

3.风险评价 3.1按照风险评估操作规程，对生产工艺验证质量风险进行评价，见表2。 3.2风险评价标准按照风险等级确定，可接受的风险不需要改进措施即可接受；合理可降低的风险与不经过风险/收益分析即判定为不可接受的风险，需制定相关的改进措施并有效执行以减少其质量风险后才能予以接受，（表3）。

信息安全风险评估报告

胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月

1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等， 管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论

检验检测机构风险评估和控制2018

1.目的 为了能够在检测工作中持续进行风险识别、风险评估和实施必要地控制措施。 2.适用范围 适用于本中心检测工作中所涉及的风险评估和风险控制领域。 3.职责 3.1 各岗位人员负责识别在检测工作中可能存在的各类风险以及风险预防和控制措施的实施； 3.2 检测业务办公室主任负责组织识别出风险的分析； 3.3 质量主管负责风险的评估和采取何种预防和控制措施 3.4最高管理者负责批准风险预防和控制的措施； 3.5 各部门负责人负责风险的监控和预防控制措施的跟踪验证。 4.工作程序 4.1风险的识别 4.1.1在整个的检测过程中可能存在的风险 4.1.1.1检测前： a）合同评审的风险，例如：检测方法不适用与检测样品 b）样品风险，例如：检测样品信息与检测委托单不符的风险。 c）信息保密风险，例如：在与客户沟通时泄露其它客户检测过程中提供的样品、文件及传递过程中的信息 d）沟通风险，例如：未能将客户的检测需求有效地传递给相关人员风险。 4.1.1.2检测中： a）人员风险，例如：检测人员资质不足； b）仪器设备风险，例如：仪器设备未定期校准或核查； c）试剂耗材风险，例如：使用无证标准物质； d）检测方法风险，例如：未识别样品基质对检测方法带来的干扰； e）安全风险，例如生物安全、化学安全、辐射安全等方面的风险 4.1.1.3检测后： a）样品存储和处理的风险，例如：样品丢失； b）数据结果风险，例如：人为更改或伪造检测结果； c）报告风险，例如：检测报告未审核签字； d）信息安全和保密风险，例如：客户信息、报告和数据信息泄露。 4.1.2各岗位人员都有责任和义务发现和识别整个体系运行过程中可能存在的风险，并告知检测业务办公室主任。 4.2风险的分析 4.2.1检测业务办公室主任在接到可能存在的风险情况后，立刻汇同相关部门和人员对识别出来的风险进行分析。 4.2.2分析如果风险发生，可能造成的影响情况： 1）检测数据错误 2）检测报告不准确、不规范

信息安全风险评估报告

附件： 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称： 项目建设单位： 风险评估单位： 年月日

目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全风险评估方案学习资料

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

信息安全风险评估报告

XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2

3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3

欢迎下载 4 如下： 1. 2017-9-10 ~ 2017-9-10，风险评估培训； 2. 2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3. 2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4. 2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS 工作组内审核； 5. 2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS 工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风 险115个，不可接受风险42个.

验证系统风险评估报告

验证系统 《风险评估报告》 编号：QTP-006-00-2015 版号：A 编制：质管员 审核：质管部长 批准人：副总 发布日期：2015年7月12日 ****药业有限公司

风险评估报告核批单

目录 第一章概述 第一节验证对象概况 第二节风险评价报告编制的目的和依据 1、评估报告编制目的 2、评估报告编制依据 第三节风险评价范围 附图：《验证系统风险评估鱼骨刺图》 第四节风险评价标准 第二章风险识别分析、评价控制与评估第一节验证管理文件单元 1、风险识别与分析 2、风险控制（风险对策措施及建议） 3、已采取的风险消减措施 4、风险评估（定性定量评价） 5、单元评估小结 第二节监测系统验证单元 1、风险识别与分析 2、风险控制（风险对策措施及建议） 3、已采取的风险消减措施 4、风险评估（定性定量评价） 5、单元评估小结 第三章风险评价结论

第一章概述 第一节验证对象概况 公司办公及库房场所从选址、设计、布局、建造、改造，均严格按照新修订GSP 的要求进行。库房内外环境整洁，无污染源，库区地面做了硬化防尘处理；库房内墙、顶光洁，地面平整，门窗结构严密，能够对无关人员进入实行可控管理，并设置了专门的装卸场所，能保证药品装卸、搬运、接收、发运等作业不会受异常天气的影响。 在库房基础设施设备的配备方面，我公司配备了足够数量的木质垫板、钢架、零货架来保证药品与地面之间有效隔离；配备了足够数量的空调、排风扇等设备来有效调控温湿度及室内外空气交换，全库按照GSP（2015版）的要求安装了自动监测、记录库房温湿度的设备。库房内避光、通风、防潮、防虫、防鼠及安全照明设备均已配置齐全，各功能区域划分齐全，分布合理。 在运输设备配置方面，我公司配备了封闭式运输车等设备。按照GSP对药品批发企业验证对象的要求，我公司对温湿度自动监测系统（以下简称监测系统）等进行了验证，确认相关设施、设备及监测系统能够符合规定的设计标准和要求，并能安全、有效地正常运行和使用，确保药品在储存过程中的质量安全。 第二节风险评价报告编制的目的和依据 一、评价报告编制的目的 执行国家食品药品监督管理总局2015年6月25日第13号令《药品经营质量管理规范》，落实对温湿度监测系统等方面的监督要求。对****药业有限公司各系统验证过程的风险性进行定性和定量分析。 本次评价的目的是运用科学的理论和方法，对温湿度监测系统的潜在危险性进行定性分析和定量评价，评价其危险性等级、发生危害时企业所承受风险的危害程度及其事故后果，研究其防治对策，从而为质管部门实施督查和管理提供参考依据。 二、评价报告编制的依据 1、本次评价采用的主要法律、法规及标准和规范

制药设备验证风险评估报告分析

编号：XJ/FX20160001 制药设备验证的范围及程度 风险评估报告 药业有限公司 质量风险评估报告批准页

报告起草签名日期报告审核签名日期 报告批准签名日期姚康宁 目录

1. 概述 2．风险管理的目的 3. 风险管理小组成员及职责 4. 风险评估 4.1 风险识别 4.2 风险分析与评估 5. 风险控制 1、概述

我公司片剂生产（含中药前处理及提取）使用的制药设备主要有热风循环烘箱、粉碎机组、双锥混合机、多能提取罐、双效浓缩器、减压干燥柜、离心式喷雾干燥塔、万能粉碎机、喷雾干燥制粒机、高速旋转压片机、荸荠式糖衣机、高效包衣机、铝塑包装机以及其他辅助设施制药设备等。 2、风险管理的目的 2010年版《药品生产质量管理规范》第七章确认与验证中第一百三十八条指出“企业应当确定需要进行的确认或验证工作，以证明有关操作的关键要素能够得到有效控制。确认或验证的范围和程度应当经过风险评估来确定。” 为满足公司生产的产品持续性的符合国家注册标准要求，并能满足市场客户的需求，安全有效的上市销售。本系统引入质量风险管理的理念，对各生产制药设备的风险等级进行评估，对可能的危害进行判定,对于每种危害可能产生损害的严重性和危害的发生概率进行了评估,在某一风险水平不可接受时，建议采取降低风险的措施，并对生产制药设备所处工艺点风险的高低进行等级划分，在日常管理中进行有效的控制，以确保生产出的产品符合质量标准要求。 3、风险管理成员及其职责 序号成员部门职务职责 1 生产副总组长1）提供风险管理所需的资源； 2）全面监督、组织实施风险管理活动；3）批准风险评估报告。 2 质量技术 总监 组员 1）负责对参与风险管理人员的资格认可； 2）参与风险分析和评价 3）审核风险评估报告。 3 生产制药 设备部部 长 组员 1)提供生产过程与风险相关的信息； 2)参与风险分析和评价； 3）审核风险评估报告。 4 动力车间 主任 组员 1）协助组织风险管理活动； 2）参与风险分析和评价； 3）参与风险管理所需进行的验证。 5 质量技术 部副部长 组员 1）参与风险分析和评价； 2）参与风险管理所需进行的活动。 3）编制风险管理评估报告 6 化验室 主任 组员 1)提供检验过程与风险相关的信息； 2)参与风险分析和评价； 3）参与风险管理所需进行的验证。

业务系统信息安全风险评估方案

第3章业务系统信息安全风险评估方案 3.1 风险评估概述 3.1.1 背景 该业务系统风险评估的目标是评估业务系统的风险状况，提出风险控制建议，同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。 需要指出的是，本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况，反映的是系统当前的安全状态。 3.1.2 范围 该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。 3.1.3 评估方式 信息系统具有一定的生命周期，在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。 本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，确定重要资产，针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。 资产划分是风险评估的基础，在所有识别的系统资产中，依据资产在机密性、完整性和可用性安全属性的价值不同，综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。 对于列为重要及以上等级的资产，分析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面，采取人工访谈。现场核查。扫描检测。渗透性测试等方式，找出系统所存在的脆弱性和安全隐患。 对重要资产已识别的威胁、脆弱性，根据其可能性和严重性，综合评估其安全风险。 3.2 该业务系统概况 3.2.1 该业务系统背景 近年来，由于数据量迅速增加，业务量也迅速增长，原先的硬件系统、应用系统和模式已渐渐不适应业务的需求，提升IT管理系统已经成为刻不容缓的事情。 经过仔细论证之后，信息决策部门在IT管理系统升级上达成如下共识：更换新的硬件设备，使用更先进和更强大的主机；在模式上为统一的集中式系统；在系统上用运行和维护效率较高的单库结构替换原有多库系统；在技术上准备使用基于B/S架构的J2EE中间件技术，并且实施999.999%的高可靠性运行方式；在业务上用新型工作流作为驱动新一代业务系统的引擎，真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率，从而降低成本、提高核心竞争力以应对外部的竞争。 3.2.2 网络结构与拓扑图 该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络，通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网，两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。

5.工艺验证风险评估报告

工艺验证风险评估报告药业有限公司

1 目的 1.1利用风险管理方法和工具，对药品生产过程中影响药品生产质量的各要素进行分析评估，提出风险控制建议和意见。为验证确认活动提供风险分析参考，根据评估结果确定验证范围及程度，最大可能的降低风险因素保证产品质量。

1.2在评估过程中，建立完善质量风险降低的控制措施及再评价风险的可接受程度，指导在各环节开展质量风险控制与质量风险管理活动。 2 依据 2.1 药品生产质量管理规范（2010修订）关于风险的要求 2.2 本公司风险管理规程；文件编号：SMP-QA-00-00 3 成立风险评估管理小组 风险评估小组成员包括质量授权人、QA主管、QC负责人、生产部部长、设备部部长等管理人员和专业技术人员。 表1 风险评估管理小组成员及职责 4 分析识别 4.1工艺验证是确认在正常的生产条件下，可能影响产品质量的各种生产系统要素和生产工艺变化因素对生产过程的稳定性及生产系统的可靠性不产生影响，能生产出符合企业内控质量标准的产品。 4.2由风险评估管理小组开展风险调查，召集生产管理人员、生产车间主任、设备管理人员和QC人员，通过总结历史经验、查找资料及对照GMP及实施指南等方法，找出影响工艺验证效果的因素，经过对风险的调查与分析，现将可能出现的风险和可能出现的危害统计如下，见表2 表2 风险识别表

5 风险分析 采用ICH Q9推荐的方法FMEA（失效模式及效应分析）进行风险评估和管理。 风险RPN值=风险发生的可能性（O）×严重性（S）×可检测性（D） 接受标准RPN值≤8，评分标准如表3所示。 表3 FMEA各项评分标准表 根据以上评分标准，对表2列出的各项风险因素进行打分，结果见表4。 表4 风险因素FMEA表

清洁验证的风险评估报告(鱼骨图)

本报告属原创。以下为在做本报告中的体会： 1、风险评估不在于形式，如本评估报告可以不用单独成文，也可以 截取部分，纳入清洁验证的验证方案中，作者个人认为更为恰当。本报告仅仅是由于其用途是为了新建厂房的数个车间的清洁验证统一适用，所以单独成文。 2、由于本人水平有限，感觉在做鱼骨图和FMEA的风险项目时分类 不太清晰，，对于风险项目的评分更有商榷之处，但这已经是经过几稿的结果，实在没有时间和精力进一步加以完善，如有高手指正，不胜感激。 3、实施风险评估的必须前提：必须对工艺有充分的了解！ 4、如需转载，请注明作者：云南my999。 谢谢！ 一．质量风险评估的目的 2010版GMP第七章“确认与验证”的第一百四十三条规定：“清洁方法应经过验证，证实其清洁的效果，以有效防止污染和交叉污染。清洁验证应综合考虑设备使用情况、所使用的清洁剂和消毒剂、取样方法和位置以及相应的取样回收率、残留物的性质和限度、残留物检验方法的灵敏度等因素。” 本报告的目的，就是运用风险管理的工具，全面评估公司新车间的清洁验证，通过质量风险管理方法评估后确定清洁验证中的风险及相应CAPA措施，以确保经过清洁验证证明的清洁方法具有有效性，能够保证不会产生污染与交叉污染。

二 .范围 评估包括生产系统需要清洁所涉及的工艺设备及管道、物料、控制系统、关键设施、环境控制和人员操作。据此，范围主要是： ?生产系统需要清洁的所有工艺设备及管道。 ?物料：包括活性成分、中间体、试剂、辅料、清洁剂等。 ?清洁操作时相关的控制系统、关键设施、环境控制：其它辅助设备、公用工程系统（如空调、制水、压缩空气、纯蒸汽系统）等。 ?该岗位操作人员的规范操作及培训。 三 .评估方法 进行风险评估所用的方法遵循因果关系图（鱼骨图）以及FMEA技术（失效模式与影响分析），其中FMEA技术包括以下几点。 ?风险确认：可能影响产品质量、产量、工艺操作或数据完整性的风险。 ?风险判定：包括评估先前确认风险的后果，其基础建立在严重程度、可能性及可探测性上。 ?判定标准：根据医药生产的特点和便于确切的评定等级，本次评估将严重程度、发生的可能性和可探测性的评定等级均分为十级。 严重程度的评定等级表（S） 发生的可能性的评定等级表（P）

检验仪器风险评估

编号：XJ/FX2014007 检验仪器质量风险评估报告 药业集团有限公司

目录 1．风险管理的目的和范围 2．风险管理成员及职责 3．质控室情况简介 4．风险分析及控制措施 5．结论

1、风险管理的目的和范围 根据公司目前具有国家注册批件的产品情况，需要质量化验室的仪器设施进行物料、中间产品和成品的检验。为确保药品的质量控制过程符合GMP规范（2010年修订），本系统引入质量风险管理的理念，需要在检验仪器和设施使用时评估其可能对检验结果存在的潜在风险。 该风险评估的目的在于“识别”，对化验室仪器进行分类，针对对质量控制工作产生的影响程度不同进行风险识别。对可能出现的质量风险的原因、形式、结果进行评估，并制定相应预防措施。风险评估的结果将贯穿整个项目的验证活动并作为验证方案的基础，对质控结果有严重影响的系统及部分必须进行确认或验证，非GMP相关的内容需符合相关行业的要求。 2、风险管理成员及其职责

3.化验室情况简介 化验室负责原辅料、包装材料、中间产品、成品、留样、生产环境检测等质量检验工作；负责各种质量标准、检验操作标准、取样和留样制度的制定和修订；负责各种检验仪器、试剂、试液、标准品、对照品、培养基的配制和管理。化验室有足够的和功能齐全的检验场所，微生物限度检查在C及背景的局部A级洁净环境下进行，所有检验项目都可自行完成。化验室配备了高效液相色谱仪、原子吸收分光光度计、气相色谱仪、紫外分光光度计、旋光仪、快速水分仪、电子天平、生化培养箱、立式压力蒸汽灭菌器、超净工作台等设备。还按功能设置了天平室、精密仪器室、理化检验室、常规检验室、微生物限度室、阳性菌室、常温留样室、阴凉留样室、标化室、高温室等，使检测条件基本达到《中国药典》2010版及国家药品质量标准要求。 4. 风险分析及控制措施（详见附表） 5. 结论 A级设备：不需要进行校验。 B级设备：校准通过可以保证设备的正常使用，因此不需要进行IQ/OQ/PQ。 C级设备：①依据安装检查表，检查安装环境。②进行IQ/OQ/PQ。 D级设备：依据安装检查表，检查安装环境及外观。

药品生产设备清洁验证风险评估

生产设备清洁验证质量风险评估 1 / 13

目录 一、组建风险评估小组-------------------------------------------------3 二、质量风险评估的目的-----------------------------------------------4 三、质量风险评估的范围-----------------------------------------------4 四、评估方法---------------------------------------------------------4 五、影响清洁验证效果的因素-------------------------------------------6 六、参考文件---------------------------------------------------------7 七、实施风险评估-----------------------------------------------------8 八、本次风险评估结论：-----------------------------------------------13 2 / 13

一、组建风险评估小组： 2013年4月，公司决定由质量部组织生产部、质检科、质保科、前处理提取车间、综合制剂车间、原料车间、栓剂乳膏车间，成立“清洁验证风险管理小组”，由担任组长，担任副组长，正式启动风险管理程序。 3 / 13

风险管理小组于2013年月日召开了首次会议，确定了本次风险分析的活动目的、范围、评估方法及日程安排。 组织成立见附件“关于组建清洁验证风险评估的通知” 二、质量风险评估的目的 2010版GMP第七章“确认与验证”的一百四十三条规定：“清洁方法应经过验证，证实其清洁的效果，以有效防止污染和交叉污染。清洁验证应综合考虑设备的使用情况、所使用的清洁剂和消毒剂、取样方法和位置以及相应的回收率、残留物的性质和限度、残留物检验方法的灵敏度等因素。” 本报告的目的，就是运用风险管理的工具，全面评估公司各车间的清洁验证，通过质量风险管理方法评估后确定清洁验证中的风险及相应措施，以确保经过清洁验证证明的清洁方法具有有效性，能够保证不会产生污染和交叉污染。由于施工改造进度不同，本次评估经过几个阶段，从2013年月日起直到月日相关验证完成。 三、风险评估的范围 评估包括生产系统改造后需要清洁所涉及的工艺设备及管道、物料、控制系统、关键设施、环境控制和人员操作。据此，范围主要是： 前处理提取车间所需要清洁的所有工艺设备及管道； 综合制剂车间所需要清洁的所有工艺设备及管道； 栓剂乳膏剂车间所需要清洁的所有工艺设备及管道； 原料车间所需要清洁的所有工艺设备及管道； 物料：包括活性成分、中间品、辅料、清洁剂等；清洁操作时相关的控制系统、关键设施、环境控制；其他辅助设备、公用工程系统（如空调、纯化水系统、压缩空气）等。岗位操作人员的规范操作及培训。 四、评估方法 进行风险评估所用的方法遵循因果关系图（鱼骨图）以及FMEA技术（失效模式与影响分析），其中FMEA技术包括以下几点。 风险确认：可能影响产品质量、产量、工艺操作或数据完整的风险。 风险判定：包括评估先前确认风险的后果，其基础建立在严重程度、发生几率及可探测性上。 判定标准：根据药品生产的特点和便于确切的评定等级，本次评估将严重程度、发生几率及可探测性的评定等级均为十级。 判定依据如下： 4 / 13