相关文章-
云系统的概念知识参考此文
Cloud Service:云计算系统和服务 -《大侠科普Pharm 4.0》
供应商资质审计方法参考此文
CSV供应商管理合规探讨(集团化管理或外包IT服务)
流程风险评估方法与模板参考此文
“Business Process Mapping” - ISPE新指南《数据可靠性源于设计》品鉴5
近期随着类似Veeva QMS和 UL TMS云版本的系统在很多研发机构、甚至GMP药企的上线,GxP云系统的CSV合规验证或者确认问题
合规验证参考标准
参考国标《信息安全技术云计算服务安全指南》GB/T31168-2014中国国家标准的云系统或云服务的安全要求分为10大类URS要求
URS1. 系统开发与供应链安全
云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信息,配合客户完成对信息系统和业务的管理。
URS2. 系统与通信保护
云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信,并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
URS1和URS2 合规要求GxP确认或验证方法
A.比如某云系统是基于阿里云或AWS(亚马逊云平台)平台开发的,那么这个开发者本身是否有相应的开发资质?
B.虽然云系统是一个新概念,但是其本身还是符合软件开发生命周期(SDLC-software development life cycle)的良好实践;那么这个软件公司本身是否有足够优秀的软件开发和运营质量管理系统?
好的软件不代表软件一定能实施成功,但是不好的项目实施团队一定是项目落地的最大阻碍
URS3. 访问控制
云服务商应严格保护云计算平台的客户数据和用户隐私,在授权信息系统用户及其进程、设备(包括其他信息系统的设备)访问云计算平台之前,应对其进行身份标识及鉴别,并限制授权用户可执行的操作和使用的功能。
URS3 合规要求GxP确认或验证方法
URS4 配置管理
云服务商应对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)的基线配置和详细清单,并设置和实现云计算平台中各类产品的安全配置参数。URS4 合规要求GxP确认或验证方法A.如果它是一个公有云系统,那么其配置清单与配置管理都是由软件产品商统一制定和统一管理(所以间接说明公有云的云系统其实很难做QbD的设计,也不可能基于(业务流程)风险来验证某某公有云系统,,最多先改自己的流程,再确认一下符合公用云系统B.如果它是一个私有云或者混合云系统,则项目组在实施项目过程中,应该梳理所有项目过程的配置项,特别是与GxP业务和数据安全高度相关的Configuration Item在CSV过程中,实施和验证这些客制化关键流程配置与功能设置系统是否符合自身GMP业务要求C.上述过程具体如何操作可参考GAMP5 的 两个附件1. Appendix M8 Project Change and Configuration Management和2. Appendix O6 Operational Change and Configuration Management
URS5 维护:
未完待续
