3.1 系统分类

    系统分类包括：系统识别，系统影响性分类，电子签名、电子记录分类，数据分类，软件分类，计算机化性能分类及控制需求分类。系统分类的目的是得出系统的控制需求。

    3.2 系统功能性风险评估

    根据用户需求及功能规范文件中对系统的功能及操作流程的风险进行推测，风险推测基于潜在的失效模式，并识别GxP 相关的结果。在风险评估后识别高风险关键

    的功能[7]。

    3.3 差距分析

    差距分析的目的是将系统现有的性能与功能通过与检查标准进行对比，找到差距。

    法规生效前原有计算机化系统的检查标准可分为2大类：控制需求及关键功能。控制需求分为校准，系统安全，数据备份及检查，审计跟踪，关键功能。其中系统安全又分为物理与环境安全、网络安全、操作系统安全、应用程序安全、数据保护、程序控制及控制策略 ......