医药行业是一个人命关天的行业，在这个行业中，安全的重要性是不言而喻的。所以在这个行业中的企业实现信息化必需要符合这个行业的严格规范，也就是GxP规范。

GxP规范具体是一系列规范的总称，包括GMP规范、GSP规范、GLP规范等等，其中G代表Good，指好的，优良的；X就是代数中X、Y、Z中的X，指代任何的不确定的东西；P则代表Practice，指实践，惯例。GxP，规范的常见例子：

GMP，药品生产质量管理规范

GSP，药品经营质量管理规范 在美国称GDP(Good Distribute Practice)

GLP，药品非临床研究质量管理规范

GCP，药品临床研究质量管理规范

GDP，医药行业良好分销规范

……

GxP对于计算机化系统要求

这些规范对于如何构建信息的系统的要求庞杂，实践中可以参考《良好自动化生产实践指南》（缩写为GAMP，其最新版本为GAMP 5），以及“《药品生产质量管理规范》附录一 计算机化系统”中的准则要求。

①GAMP中的规定

比如对于计算机化系统是由第三方专业验证，还是由药企自行验证，GAMP中有相应规定。

GAMP规范将计算机软件划分为几个类别，包括类别1（基础设施软件），类别3（不可配置软件），类别4（可配置软件），类别5（定制软件）。

其中，类别1（基本软件）、类别3（不可配置软件）、类别4（可配置软件）由医药企业通过简单自我验证即可使用。对于类别5（定制开发软件）软件，由于需要通过代码实现定制化功能应用，复杂度风险性都较高，必须由专业第三方机构作出的严格验证，才能在医药研发生产中使用。

②“《药品生产质量管理规范》附录一计算机化系统”的规定

如第15条，“当人工输入关键数据时，应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成，或采用经验证的电子方式。必要时，系统应当设置复核功能，确保数据输入的准确性和数据处理过程的正确性。”这条规则说明，GxP规范对于身份认证要求非常严格，甚至要达到具有法律效应的层面，它要求计算机化系统关键操作步骤需二次认证。

再如第16条，“计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。” 这条规则说明，符合GxP规范的系统，所有细微的改动都要有记录，这份记录细致到可明确谁/什么时间/为什么/把什么/改成什么，而且日志具有法律效应，可追溯，可审计，可追责。

医药行业面临数字化困境

对于合规与安全的追求，造成医药行业独特的数字化困境。

首先GxP规范对于计算机化系统的要求是医药行业所独有的，这种规范验证不同寻常，不同于常规IT漏洞扫描，它比较复杂且独有。为此科技公司为医药企业打造软件需付出额外的努力。而医药企业需求则长期得不到满足，逐渐萎缩，造成恶性循环。

医药企业使用软件按照GAMP5划分为5类（第2类已废除）。