1 OBJETIVO

El presente documento describe los pasos para realizar la revisión periódica de los Sistemas
Informatizados GMP relevantes.
El objetivo de la revisión periódica es realizar una evaluación documentada para asegurar que
se mantiene el estado de validación del sistema.

2 ALCANCE
Este PNT aplica a todo sistema informatizado GMP relevante recogido en el Inventario de
sistemas informatizados/Equipos, que gestione Registros Electrónicos/Firmas Electrónicas.
El presente PNT no aplica a:
• Sistemas No GMP relevantes.
• Sistemas GMP relevantes pero que no tengan Registros Electrónicos/Firmas
Electrónicas.
• Dataloggers. En este caso, la revisión periódica se realizará sobre el sistema de gestión
de los Dataloggers en el caso de que exista.

3 DEFINICIONES
TÉRMINO DEFINICIÓN

“Good Manufacturing Practices” en inglés y NCF Normas de

Correcta Fabricación en castellano. Es un sistema que
GMP:
asegura que los productos se producen y controlan de forma
consistente y de acuerdo con unos estándares de calidad.

Electronic Record (ER) en inglés. Cualquier combinación de

texto, imágenes, audio, video u otra información creada,
Registro Electrónico:
modificada, adquirida, distribuida o administrada por un
sistema informatizado.

Electronic Signature (ES) en inglés. Una firma electrónica es

una recopilación de datos informáticos de cualquier símbolo o
Firma Electrónica: serie de símbolos ejecutados, adoptados o autorizados por
una persona para ser el equivalente legal vinculante de la
firma manuscrita.

Un registro seguro, generado por un sistema informatizado y

con un registro de tiempo que registra de forma independiente
la fecha y la hora de las entradas que realiza el usuario y las
acciones que crean, modifican o eliminan registros
electrónicos. Los cambios en los registros no ocultarán la
Audit Trail:
información registrada previamente. El Audit Trail debe
capturar el valor anterior, el nuevo valor, quién creó / cambió /
eliminó el registro, la fecha y hora en que se realizó y el motivo
del cambio (si aplica). Si el sistema no dispone de Audit Trail,
éste se realizará mediante registro manual.
TÉRMINO DEFINICIÓN

Un sistema informatizado / automatizado que consta de

hardware, software y componentes de red, incluyendo
Sistema informatizado (SI):
funciones controladas (es decir, usuarios, procedimientos y
equipos) y la documentación asociada (por ejemplo PNTs).

Relación detallada y ordenada de los equipos/sistemas

informatizados de Laboratorios Lesvi (MIS (SI)/LAS (equipos
Inventario de Sistemas de Control de Calidad) /PCS (equipos de Producción). Dispone
Informatizado/Equipos: de información del equipo/SI, así como su categoría GAMP5,
su RAI, e información sobre Data Integrity Review y Revisión
Periódica.

Todos los datos son completos, consistentes y precisos a lo

Integridad de datos:
largo del ciclo de vida de los datos.

Todas las fases de la vida de los datos (incluyendo datos

primarios) desde su generación y registro inicial hasta su
Ciclo de vida de los datos:
procesamiento (incluyendo transformación o migración), su
uso, retención, archivo / recuperación y destrucción.

Una revisión de todos los cambios del administrador, que se

Revisión del Audit Trail de
incluirán en la Revisión periódica del sistema informático, tal y
Administración:
como se define el PNT.186.QA (Audit Trail Review).

Una evaluación documentada de la documentación, los

procedimientos, los registros y el rendimiento de un sistema
informático para determinar si todavía se encuentra en estado
Revisión periódica:
validado y qué acciones, si las hay, son necesarias para
restaurar su estado validado. La frecuencia de la revisión
dependerá de la evaluación del riesgo de cada sistema.

Sistema de evaluación del riesgo asociado a la criticidad y

complejidad del sistema o equipo como sistema informático,
Risk Assessment Index (RAI):
basado en una serie de preguntas adecuadas al tipo de
sistema/equipo evaluado (MIS/LAS/PCS).

Consiste en la aplicación de barreras físicas y procedimientos

Seguridad física:
de control para proteger el Hardware de amenazas físicas.

Consiste en la aplicación de barreras y procedimientos que

Seguridad lógica: protejan el acceso a los datos y a la información contenida en
el sistema informático.
4 RESPONSABILIDADES
Departamento Responsabilidades

o Evaluación de los requerimientos normativos para garantizar que

la revisión periódica se realiza de acuerdo con la normativa y
directrices aplicables.
Garantía de Calidad o Asegurar que las revisiones periódicas estén planificadas, que se
realicen y documenten.
o Aprobar los informes de revisión periódica y los planes de acción
o CAPA necesarios (si los hubiera).

o Planificar, ejecutar y documentar las revisiones periódicas.

o Gestionar el Inventario de sistemas informatizados y Equipos,
asegurándose de que incluya la información del estado de
Departamentos responsables de
validación y de la revisión periódica.
Equipos/Sistemas Informatizados
o Emitir el informe de revisión periódica.
(Almacén, Control de Calidad,
o Asegurarse de que se mantiene el estado de validación del
Garantía de Calidad, Ingeniería&
Mantenimiento, IT, Producción) sistema.
o Revisar los informes de revisión periódica, responder a los
planes de acción necesarios (si los hubiera) y tomar las acciones
necesarias para garantizar el cumplimiento GMP.

o Proporcionar la información del sistema necesaria para realizar

IT
las revisiones periódicas.

5 PROCEDIMIENTO
5.1 FRECUENCIA Y PLANIFICACIÓN

La frecuencia de la revisión periódica del sistema se basa en el resultado del Risk Assessment
Index (RAI), tal y como se define en la siguiente tabla:

Risk Assessment
Frecuencia de Revisión Periódica
Index (RAI)

VERY HIGH Revisión periódica cada 1 año

HIGH Revisión periódica cada 2 años

MEDIUM Revisión periódica cada 4 años

LOW Revisión periódica cada 5 años

5.2 PREPARACIÓN Y REVISIÓN

A continuación, se listan los aspectos a revisar durante la Revisión periódica.
Los aspectos a evaluar en el Informe de Revisión periódica se determinan a través resultado de
la Categoría Software GAMP 5 del Sistema definida en el Inventario del Sistema.

Categoría
Aspecto Evaluación
GAMP5

Acciones o Revisar las acciones pendientes provenientes de un Informe de validación,

pendientes revisiones periódicas anteriores o informes de auditorías realizados.

o Revisar que los cambios realizados en el sistema se realizaron de acuerdo

con el procedimiento de control de cambios establecido.
Controles de
o Revisar que los cambios se hayan documentado y cerrado
Cambio
adecuadamente. O bien están en curso, en la fase de flujo
correspondiente.

o Revisar que las desviaciones / CAPAs relacionadas con el sistema se han

Desviaciones /
documentado, investigado y cerrado adecuadamente. O bien están en
CAPAs
curso, en la fase de flujo correspondiente.

o Verificar que el inventario del sistema está actualizado.

Configuración del
o Verificar que la documentación de configuración del sistema está
Sistema /
actualizada e incluye todos los cambios realizados (si hubiese).
Documentación
Categoría o Verificar que la documentación de validación del sistema está actualizada
de Validación
1-2-3-4-5 e incluye todos los cambios realizados (si hubiese).

Documentación Verificar que la siguiente documentación de operación y de mantenimiento del

de Operación y sistema está actualizada:
Mantenimiento o PNT del sistema.
del sistema o Plan de contingencia del sistema, si procede.

o Verificar que las medidas de seguridad física están vigentes.

o Verificar que la seguridad lógica está alineada con las políticas actuales.
o Verificar que los perfiles de usuario estén alineados con la documentación
Políticas de del sistema aprobada.
Seguridad o Verificar que las cuentas de usuario activas corresponden con el personal
Física / Lógica y
actual, autorizado a acceder al sistema.
Gestión de
o Verificar que los usuarios activos han sido formados.
Usuarios
o Revisar la gestión de usuarios según el PNT aprobado:
o alta / baja / modificación
o bloqueo / desbloqueo

Categoría o Verificar que las copias de seguridad del sistema y de datos se realizan
4-5 Copias de
según el PNT aprobado.
Seguridad y
o Verificar que el proceso de copias de seguridad y recuperación se prueba
Restauración
de forma periódica de acuerdo con el PNT aprobado.

Archivo de Datos o Verificar que el archivo de datos se realiza según PNT aprobado.
o Verificar que el proceso de recuperación de archivos de datos se prueba
de forma periódica de acuerdo con el PNT aprobado.
 Categoría
Aspecto Evaluación
GAMP5

o Verificar la configuración del Audit Trail y de la zona horaria.

o Verificar que el Audit Tail detecta cualquier cambio en la configuración del
sistema que pueda impactar en el control de la Integridad de Datos, como
son:
o Activación / desactivación de la configuración del Audit Trail.
o Asignar permisos de administrador a personal no autorizado.
Revisión del Audit o Cambios no autorizados de perfiles de usuario.
Trail de o Cambios de configuración del sistema no autorizados.
Administración o Eliminación de datos no autorizada (revisar que cualquier eliminación
de datos puede justificarse y que no supone una violación de la
integridad de los datos).
o Revisar el registro de acceso de usuarios para detectar intentos fallidos
recurrentes de acceso y cualquier patrón temporal que indique intentos de
acceso no autorizado; Intentos de acceso no autorizados, intentos de inicio
de sesión de múltiples usuarios.

5.3 INFORME DE REVISIÓN PERIÓDICA

La revisión periódica debe documentarse en una plantilla/modelo de Informe de Revisión
Periódica. Ver detalle en el Anexo 2.
Se encuentra para poder cumplimentar en:
SHAREPOINT\QUALITY\SHAREQUALITY\DATAINTEGRITY

5.3.1 Cumplimentación
La cumplimentación del Informe de Revisión periódica se realizará descargándose el Word
desde Sharepoint Anexo 2 (descrito en punto 5.3). Se revisarán todos los aspectos detallados y
según sea la respuesta al resultado esperado, se indicará: Cumple/No cumple/No aplica.
Siempre que se considere necesario se adjuntará una evidencia documental de la prueba
realizada.

El informe de revisión periódica incluye:

5.3.1.1 Resultado/Conclusiones

 Código/Identificación del sistema/equipo

 Nombre/versión del sistema/equipo

 Periodo de revisión: se indicará:

o Fecha inicio: año de la última cualificación/validación o revisión periódica

o Fecha final: año en curso de realización de la validación periódica

 RESULTADO DE LA REVISIÓN PERIÓDICA (a cumplimentar tras completar la revisión)

o Cumple: cumple todos los criterios de aceptación.

o Cumple con acciones pendientes: cumple los criterios de aceptación, pero existen

acciones a realizar.

o No Cumple: Hay desviaciones críticas abiertas sin mitigación. Se deben abrir

Desviaciones.

o Se indicará si el sistema mantiene o no el estado de VALIDADO/CUALIFICADO:

 Si se indica que requiere una VALIDACIÓN, se indicará si TOTAL o PARCIAL.

o Si se mantiene el estado de VALIDADO, se indicará la fecha (año) de la próxima

Revisión Periódica.

 COMENTARIOS:

Se incluirán los comentarios/conclusiones necesarias, según proceda:

 Acciones pendientes:códigos de CAPAs creadas.

 Si el sistema no cumple, se indicará el código de la Desviación. Y si es necesaria

una revalidación, se podrá indicar también el código solicitud Control de Cambios.

 El informe debe ser revisado y aprobado. El flujo de revisión y aprobación se realizará en el

sistema Share Me (ver 7. Flujo de aprobación).

5.3.1.2 Listado de documentación del sistema

Se listan los documentos a revisar para poder realizar la correcta revisión del equipo/sistema.:
Configuración, validación, operación, mantenimiento del sistema.
Se listará código y versión de cada unos de los PNTs y documentos predefinidos en la tabla.
Se actualizará el título, codificación etc según sea necesario.

5.3.1.3Resultados de la revisión periódica

Revisión de todos los aspectos definidos en punto 5.2 teniendo en cuenta los siguientes
aspectos:

 En la revisión de los siguientes aspectos, se indicará en ‘Comentarios’ el número de

controles de cambio/desviaciones/CAPAs creados/aprobados o pendientes, durante el
periodo de revisión:
 4.2 Controles de Cambio

4.3 Desviaciones / CAPAs

 En la revisión del siguiente aspecto, se revisará que estén aprobados y vigentes todos
los PNTs necesarios para el correcto funcionamiento, mantenimiento del
sistema/equipo, así como toda la documentación de validación que le aplique. Si se
detecta alguna falta, se detallará en ‘Comentarios’.

4.4 Documentación del sistema/equipo

 La revisión de los siguientes aspectos aplica sólo a los sistemas informatizados MIS. Si
por el contrario se considera que el equipo es PCS o LAS y también le aplica, se
cumplimentará.

4.6 Copias de Seguridad y Restauración (MIS)

4.7 Archivo de Datos

5.3.1.4Resumen de Resultados
Se resume el resultado obtenido en la revisión de cada aspecto. Si el resultado es No cumple,
se indicará la desviación detectada.

5.4 DESVIACIONES Y PLAN DE ACCIÓN

Si el sistema cumple pero con acciones pendientes, se establecerán actuaciones para resolver
las desviaciones detectadas durante la revisión periódica según se define en el PNT.164.QA de
Sistema CAPAs en laboratorios Lesvi.
Si el sistema No cumple, se generará una desviación según PNT.139.QA de Gestión de
Desviaciones.
Y si durante el periodo evaluado se observa un impacto sobre la Calidad del Producto de los
Lotes Fabricados y/o la Integridad de los Datos Generados, también se generar una desviación
según PNT.139.QA.

6 CODIFICACIÓN

XXXX: siglas de la cualificación del equipo o validación del sistema

informatizado.

XXXX_PR_YYYY PR: Revisión Periódica

YYYY: Año de la Revisión Periódica.

7 FLUJO DE APROBACIÓN

El flujo de aprobación del documento se realizará utilizando el sistema de Gestión Documental

ShareMe. Se solicitará por mail a Garantía de Calidad indicando el Código y el título de la
Revisión Periódica, así como las personas responsables:
o Redactor
o Revisor
o Aprobador

8 ARCHIVO
El Informe de Revisión Periódica se archivará en Share Me (Document Management), en Tipo
de Documento: PERIODIC REVIEW.
También se puede archivar una copia en papel junto a la Documentación de Validación del
Sistema o equipos.

9 REFERENCIAS
A continuación, se listan las referencias del presente documento:
Normativa y Guías:
ICH Q7 GMP Guide for Active Pharmaceutical Ingredients (Nov. ’00)
21 CFR 211 Current good manufacturing practice for finished pharmaceuticals.
21 CFR 211.68 Automatic, mechanical, and electronic equipment
21 CFR Part 11: Electronic records; Electronic signatures
EU GMP Annex 11: Computerized Systems, Volume 4 Good Manufacturing Practice GAMP
® 5: A Risk-Based Approach to Compliant GxP Computerized Systems.

10 ANEXOS
- Anexo 0: Cambio respecto la versión anterior.
- Anexo 1: Documentos relacionados.
- Anexo 2: Informe de Revisión Periódica.
 ANEXO 0

CAMBIOS RESPECTO LA VERSIÓN ANTERIOR

V01 Primera versión

V01 a V02 Actualización 5.1 Frecuencia Revisión Periódica de acuerdo a CAPA

AC00934.
Actualización 4. Responsabilidades: Todos los departamentos GMP relevantes
(Departamentos responsables de Equipos/Sistemas Informatizados (Almacén, Control
de Calidad, Garantía de Calidad, Ingeniería& Mantenimiento, IT, Producción) son
responsables de Gestionar el Inventario de sistemas informatizados y Equipos,
asegurándose de que incluya la información del estado de validación y de la
revisión periódica.
Actualización codificación PNTs GVL a QA en PNT y en Anexo 1
Anexo 1: se modifica la ubicación y la gestión del Inventario de equipos y
sistemas informatizados: se realiza mediante la aplicación ‘Gestión de
Inventario de equipos y sistemas informatizados’, en lugar de mediante un
Libro Excel.
 ANEXO 1

DOCUMENTOS RELACIONADOS

PNT.139.QA Gestión de Desviaciones.

PNT.164.QA Sistema CAPAS en los Laboratorios Lesvi.

Gestión de Inventario de equipos y sistemas informatizados :

http://ipc.neuraxpharm.local/qa/inventari 
 ANEXO 2

Los resultados de la REVISIÓN PERIÓDICA DEL SISTEMA demuestran que el sistema

puede considerarse como:
Código/Identificación del
SI/equipo

Nombre y versión del

SI/equipo

PERIODO DE REVISIÓN Inicio: Final:

CUMPLE
RESULTADO DE LA
CUMPLE CON ACCIONES PENDIENTES
REVISIÓN PERIÓDICA
NO CUMPLE

El sistema mantiene le estado VALIDADO:

SÍ
NO, el sistema requiere una revalidación:
TOTAL
PARCIAL (especificar en comentarios)

COMENTARIOS:

Próxima fecha de Revisión Periódica:

 1. OBJETIVO DE LA REVISIÓN PERIÓDICA
El presente informe tiene como finalidad documentar y aprobar las conclusiones obtenidas en
la revisión periódica del sistema indicado en la portada del presente documento. El resultado
obtenido permitirá concluir si el sistema mantiene su estado de validación y ha estado
operando de forma controlada durante el periodo evaluado.
La revisión periódica del sistema se realiza de acuerdo con el PNT de Revisión Periódica
PNT.093.QA y con la normativa y guías vigentes.

2. ÁMBITO DE LA REVISIÓN PERIÓDICA

La revisión periódica se centrará en evaluar los siguientes aspectos:
o Acciones pendientes
o Gestión de Controles de Cambio.
o Gestión de Desviaciones / CAPAs
o Sistema de documentación: Documentación de Configuración, Validación, Operacional y
de Mantenimiento
o Políticas de seguridad y gestión de cuentas de usuario
o Copias de Seguridad y Restauración
o Archivo de Datos
o Revisión del Audit Trail de Administración

3. LISTADO DE DOCUMENTACIÓN DEL SISTEMA

Listar la documentación relacionada con la configuración y validación del sistema que se ha

revisado durante la presente Revisión Periódica:

Documentación de Configuración / Validación/ Operación / Mantenimiento del Sistema

Código y Versión Título

Funcionamiento del equipo/Sistema Informatizado

Mantenimiento del equipo/Sistema Informatizado

Seguridad Física y Lógica

Copias de seguridad y Recuperación

Recuperación ante desastre y continuidad de negocio

 Documentación de Configuración / Validación/ Operación / Mantenimiento del Sistema

Código y Versión Título

PNT.186.QA Revisión Audit Trail

PNT.093.QA Revisión Periódica

PNT.142.QA Control de Cambios

PNT.139.QA Gestión de Desviaciones

PNT.097.QA Sistema de Integridad de Datos

PNT.162.QA Gestión/Validación de sistemas Informáticos

PNT.126.QA Formación GMP

Requerimientos de Usuario

Análisis de Riesgos

Protocolo de Validación

Especificaciones funcionales/Especificaciones de Diseño

Validación/Cualificación de Diseño (DQ)

Validación/Cualificación de la Instalación (IQ)

Validación/Cualificación Operacional (OQ)

Validación/Cualificación de Proceso (PQ)

 Documentación de Configuración / Validación/ Operación / Mantenimiento del Sistema

Código y Versión Título

Informe de Cualificación/Validación

Comentarios:
 4. RESULTADOS DE LA REVISIÓN PERIÓDICA

Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

4.1 Acciones pendientes

1. Revisar las acciones pendientes Se han cerrado todas las acciones CUMPLE
provenientes de Revisiones pendientes de Revisiones
NO CUMPLE
Periódicas o Periódicas o
Validaciones/Cualificaciones. Validaciones/Cualificaciones. N/A

4.2 Controles de Cambio

2. Revisar los controles de cambio Los cambios realizados en el CUMPLE

del sistema aprobados / sistema se realizan de forma
NO CUMPLE
implementados en el período de controlada, de acuerdo con un
revisión y verificar su estado. procedimiento de control de N/A
cambios aprobado.
 Todos los cambios
implementados se han cerrado
adecuadamente.
 Los cambios aprobados y/o
pendientes de implementar han
sido evaluados por el
responsable y se han definido
las acciones a realizar.

4.3 Desviaciones / CAPAs

3. Revisar las desviaciones / CAPA Las Desviaciones / CAPA CUMPLE

relacionadas con el sistema y relacionadas con el sistema se han
NO CUMPLE
revisar su estado. documentado, investigado y
cerrado adecuadamente. N/A
Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

4.4 Documentación del Sistema

4. Verificar que el sistema está El Sistema está incluido en el CUMPLE

incluido en el Inventario. Inventario.
NO CUMPLE
N/A

5. Revisar la documentación del La siguiente documentación del CUMPLE

sistema. sistema está actualizada:
NO CUMPLE
 Documentación de validación /
N/A
cualificación
 PNT de funcionamiento
 PNT usuarios, configuración
 Documentación de formación

6. Revisar PNT que detalla plan de PNT que detalla plan de CUMPLE
contingencia/alternativo del contingencia/alternativo del
NO CUMPLE
sistema (sólo para MIS) sistema está actualizado.
N/A

4.5 Políticas de Seguridad Física / Lógica y Gestión de Usuarios

7. Verificar que las medidas se Las medidas se seguridad física CUMPLE

seguridad física del sistema del sistema están alineadas con las
NO CUMPLE
están alineadas con las políticas políticas de la empresa.
de la empresa. N/A

8. Verificar que las políticas de Las políticas de seguridad lógica CUMPLE

seguridad lógica configuradas en configuradas en el sistema están
NO CUMPLE
el sistema están alineadas con el alineadas con el PNT que detalla
PNT que detalla las políticas de las políticas de seguridad lógica. N/A
seguridad lógica.
Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

9. Verificar que la configuración de La configuración de perfiles del CUMPLE

perfiles del sistema está alineada sistema está alineada con el PNT
NO CUMPLE
con el PNT que detalla los que detalla los perfiles y grupos de
perfiles y grupos de usuario del usuario del sistema vs sus N/A
sistema Vs sus privilegios. privilegios.

10. Verificar la existencia de una lista Existe una lista actualizada de CUMPLE
actualizada de usuarios con usuarios activos, detallando los
NO CUMPLE
acceso al sistema (activos) que perfiles / grupos de usuario
detalla su nivel de acceso (perfil / asignados a cada usuario. N/A
grupo de usuario).

11. Revisar los registros de El usuario revisado ha sido CUMPLE

formación de 1 usuario formado de acuerdo con su perfil
NO CUMPLE
(preferiblemente de reciente de usuario y la formación ha sido
incorporación). registrada. N/A

4.6 Copias de Seguridad y Restauración (MIS)

12. Verificar que la copia de Las copias de seguridad se CUMPLE

seguridad de los datos se realiza realizan con la frecuencia definida
NO CUMPLE
con la periodicidad definida en el en el PNT de copias de seguridad
PNT de copias de seguridad y y restauración. N/A
restauración.

13. Verificar que copias de seguridad Las copias de seguridad incluyen CUMPLE
incluyen todos los datos GxP todos los datos GxP relevantes,
NO CUMPLE
relevantes, incluidos metadatos y incluidos metadatos y Audit Trail.
Audit Trail. N/A

14. Verificar que la prueba de La prueba de recuperación de CUMPLE

recuperación de datos del datos del sistema se realiza con la
NO CUMPLE
sistema se realiza con la periodicidad definida en el PNT de
periodicidad definida en el PNT copias de seguridad y restauración. N/A
de copias de seguridad y
restauración.
Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

4.7 Archivo de Datos (MIS)

15. Verificar que el archivo de datos El archivo de datos se realiza CUMPLE

se realiza según el PNT de según el PNT de archivo de datos.
NO CUMPLE
archivo de datos.
N/A

16. Verificar que los datos archivados Las copias de seguridad incluyen CUMPLE
incluyen todos los datos GxP todos los datos GxP relevantes,
NO CUMPLE
relevantes, incluidos metadatos y incluidos metadatos y Audit Trail.
Audit Trail. N/A

17. Verificar que la prueba de archivo La prueba de archivo de datos se CUMPLE

de datos se realiza con la realiza con la periodicidad definida
NO CUMPLE
periodicidad definida en el PNT en el PNT de archivo de datos
de archivo de datos. N/A
 4.8 Revisión del Audit Trail de Administración

Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

4.8.1 Audit Trail / Zona Horaria

18. Verificar que el audit trail está El audit trail está activo en las CUMPLE
activo en las acciones y campos acciones y campos requeridos.
NO CUMPLE
requeridos.
N/A

19. Acceder al audit trail y verificar La información el audit trail es CUMPLE

que la información del audit trail completa.
NO CUMPLE
es completa.
Se registra: ID de usuario, valor
N/A
anterior, valor nuevo, fecha y hora
y motivo del cambio (si aplica)

20. Verificar que pueden obtener Se pueden obtener copias del audit CUMPLE
copias del audit trail en formato trail en formato papel y electrónico
NO CUMPLE
papel y electrónico y que estas y estas son correctas.
son correctas. N/A

21. Verificar que la configuración de Los usuarios no pueden cambiar la CUMPLE

la hora y la zona horaria está configuración de la hora / zona
NO CUMPLE
protegida contra cambios del horaria, o la hora / zona horaria
usuario. vuelve al valor original después de N/A
la sincronización o la hora / zona
horaria es controlado por un
servidor.

4.8.2 Actividades de Administración

22. Buscar registros de audit trail Los derechos de administración CUMPLE

referentes a la asignación de solo se han asignado al personal
NO CUMPLE
derechos de administración a autorizado.
usuarios. N/A
Step Resultado
Acción Resultado Esperado Evidencia Comentarios
# Actual

23. Seleccionar 1 registro de usuario Todos los cambios realizados en CUMPLE

al que se le haya modificado el los perfiles de usuario han sido
NO CUMPLE
perfil de usuario en el audit trail. autorizados de acuerdo con el PNT
de gestión de usuarios. N/A

24. Buscar registros de Todos los cambios realizados en la CUMPLE

modificaciones en la configuración de los perfiles de
NO CUMPLE
configuración de perfiles de usuario han sido autorizados y
usuario en el audit trail. controlados con un control de N/A
cambios.

25. Buscar registros en el audit trail Todos los cambios realizados en la CUMPLE
relacionados con la configuración configuración de las políticas de
NO CUMPLE
de políticas de seguridad del seguridad del sistema y del audit
sistema y del audit trail trail han sido autorizados y N/A
controlados con un control de
cambios.

26. Buscar registros en el audit trail Todas las eliminaciones de datos CUMPLE
relacionados con la eliminación realizadas han sido autorizadas y
NO CUMPLE
de datos pueden justificarse.
N/A
5 COMENTARIOS/OBSERVACIONES
6 RESUMEN DE RESULTADOS

Aspecto Resultado Desviación

Acciones pendientes CUMPLE NO CUMPLE N/A

Controles de Cambio CUMPLE NO CUMPLE N/A

Desviaciones / CAPAs CUMPLE NO CUMPLE N/A

Documentación de Configuración, Validación, Operación y

CUMPLE NO CUMPLE N/A
Mantenimiento del Sistema

Políticas de Seguridad Física / Lógica y Gestión de Usuarios CUMPLE NO CUMPLE N/A

Copias de Seguridad y Restauración CUMPLE NO CUMPLE N/A

Archivo de Datos CUMPLE NO CUMPLE N/A

Revisión del Audit Trail de Administración CUMPLE NO CUMPLE N/A