相关文章-
云系统的概念知识参考此文
Cloud Service:云计算系统和服务 -《大侠科普Pharm 4.0》
供应商资质审计方法参考此文
CSV供应商管理合规探讨(集团化管理或外包IT服务)
流程风险评估方法与模板参考此文
“Business Process Mapping” - ISPE新指南《数据可靠性源于设计》品鉴5
近期随着类似Veeva QMS和 UL TMS云版本的系统在很多研发机构、甚至GMP药企的上线,GxP云系统的CSV合规验证或者确认问题也越来越多地被大家提及;而本文将结合大侠在最近项目和论坛上的一些经验,为大家探讨在国内验证云系统的一些可行路径。
合规验证参考标准
参考国标《信息安全技术云计算服务安全指南》GB/T31168-2014URS1.系统开发与供应链安全URS2.系统与通信保护URS3.访问控制URS4 配置管理
【前四条GxP Cloud System 验证策略可参考-GxP云系统的中国验证策略探讨(上)
URS5维护
云服务商应定期维护云计算平台设施和软件系统,并对维护所使用的工具、技术、机制以及维护人员进行有效的控制,且做好相关记录。
URS6应急响应与灾备:
云服务商应为云计算平台制定应急响应计划,并定期演练,确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划,包括对事件的预防、检测、分析、控制、恢复等,对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力,建立必要的备份设施,确保客户业务可持续。URS7&8 合规要求GxP确认或验证方法服务供应商评估方法
A.运维(Maintenance)业务连续性&灾难恢复(BCP &DRP)
B.当然考虑到云服务商一般是异地远程,现场的IT基础设施确认不适用的情况下,使用IT服务供应商资质审计的方法使用ITIL来考察云系统的供应商是否满足IT服务管理的认证(ITSM)。
C.参考下图,需要强调的是,云系统本身的供应商可能会分为Infrastructure vendor(基础设施-比如阿里云,亚马逊云)和Application vendor(应用系统-比如码上放心系统,Veeva QMS);而ITSM的合规性要求,有些是考察Infrastructure的服务管理(i.e. 可用性管理,用量管理,业务连续性管理 – 华为云和阿里云会有相应的白皮书来供审计符合一般问题不大仔细审核下来,GxP公司的业务部门就未必接受了在美国的晚上、中国的白天SaaS系统运维暂停服务一点,很多中国用户上线后就叫苦不迭
Figure1. ITIL推荐的ITSM服务矩阵模型。
URS7审计
云服务商应根据安全需求和客户要求,制定可审计事件清单,明确审计记录内容,实施审计并妥善保存审计记录,对审计记录进行定期分析和审查,还应防范对审计记录的未授权访问、篡改和删除行为。URS8风险评估与持续监控:
云服务商应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。服务商应制定监控目标清单,对目标进行持续安全监控,并在异常和非授权情况发生时发出警报。
URS7&8 合规要求GxP确认或验证方法服务供应商评估方法
对于这一条,EU GMP Annex 11 条款3 service and system provider
简单来说,对于云系统供应商也是IT服务提供商的一种,而如何管理外包的IT服务,行业内已经有非常成熟的管理方法与要求:签订服务标准协议(Service Level Agreement开展供应商能力审计(Vendor Capacity Audit未来定期表现回顾(Periodic Performance Review
URS9安全组织与人员:
云服务商应确保能够接触客户信息或业务的各类人员(包括供应商人员)上岗时具备履行其信息安全责任的素质和能力
URS10物理与环境保护
云服务商应确保机房位于中国境内严格限制各类人员与运行中的云计算平台设备进行物理接触
URS7&8 合规要求GxP确认或验证方法服务供应商评估方法数据流风险评估法
A.首先需要梳理GxP药企在使用云服务或系统过程中的数据流图(Data Flow),全流程回顾数据是如何产生,处理和分析,生成记录和产生决策,保存直至最终销毁
B.然后就是基于各国法规(比如-《中华人民共和国数据安全法欧盟《一般数据保护条例》GDPR)1.原始数据的产生 – 一般发生在境内2.数据的处理和分析 – 必需发生在境内3.处理后的数据或记录,及其结论 – 可能可以不在境内,但是要有事先的风险评估和管理措施【参考欧盟GDPR法规 - 对个人数据要采取安全保障措施,包括数据的假名化
