这里提到的授权修改，应该没有包括“删除”的权限的吧，这种权限应该是软件设计阶段禁止提供给到用户这边的。

这里的授权，我的理解就是类似QC操作员，不具备修改分析参数的权限，只能根据已验证的数据分析方法输出数据。如果涉及到需要修改分析方法文件，甚至手动积分，则需要更高一级权限（例如QC主任）。

根据不同岗位职责，分配不同的权限。

那么这个岗位的上岗培训，权限的申请审批，就可以认为是一种授权。

对照GMP附录：计算机化系统第十四条，授权与修改审批需要分开理解。

1. 其中其中提到的授权，是对系统进入和使用的限制，即系统需要分配用户层级和权限，比如允许工程师或管理员才能有修改数据的权限，而操作员没有。
2. 批准：是指由于关键数据影响产品工艺或关键质量属性，法规要求修改需要经过批准。比如对于配方（包括CIP配方、VHP灭菌配方、水系统的设置的可接受标准）应建立数据修改的申请审批流程。
3. 因此，当关键数据修改批准后，由具备权限的工程师/管理员进行数据修改。

而对于取样授权，GMP第十二条规定的授权是QC的职责，如果是非QC人员取样，需要QC培训考核合格后再授权。

• 第十四条 只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。
  应当就进入和使用系统制订授权、取消以及授权变更的操作规程。必要时，应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷，无法实现人员控制的，必须具有书面程序、相关记录本及相关物理隔离手段，保证只有经许可的人员方能进行操作。
• 第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。

可以参考2024年6月发布的《血液制品生产检验电子化记录技术指南（试行）》

10.1.2 权限管理

应当依据实际的人员资质、岗位及职责，分配并控制每个人员使用电子记录与数据的功能范围及操作权限，实现人员身份和权限管理的制度化与标准化，确保系统使用规范和安全。

采用电子记录的计算机化系统应当实现操作权限与用户登录管理，至少包括：

a) 具备用户权限设置与分配功能，能够对权限修改进行查询；

b) 建立操作与系统管理的不同权限，业务负责人的用户权限应当与承担的职责相匹配，不得赋予其系统（包括操作系统、应用系统、数据库等）管理员的权限；

c) 系统用户身份和职责应当在规程中进行定义，用户访问权限、操作权限应当与人员承担的职责相匹配，系统管理员应当由非数据利益相关方担任，系统管理员不能产生业务数据；

d) 应当有规程定义访问权限的批准、注销和定期审核流程，权限的批准建议由业务负责人和系统管理员共同完成，所有培训均应当在受训人的访问权限被批准之前完成；如果用户不再需要系统访问权限，则应当有相应流程及时注销其访问权限；应当基于风险评估对系统权限进行定期审核；

e) 登录ID和密码应当仅由账号所有者使用，应当有流程和培训确保个人账号访问权限不与其他用户共用。

经过适当的权限控制，合理的权限分级，并经过适当的培训。

授权对应着英文为authorized，授予权利的意思，更多的是指其岗位职责，用户的权限与其职责对应，不是将权利移交给别人，可以对照着EU gmp 附录11进行解读

12. Security

12.1 Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons. Suitable methods of preventing unauthorised entry to the system may include the use of keys, pass cards, personal codes with passwords, biometrics, restricted access to computer equipment and data storage areas.

粗暴一点就是不能随便修改数据。

以手动积分为例，需要有权限，需要文件等一套。

手动积分就是一个典型的实例，建议研究手动积分。