[安全] 生命医疗健康行业 CSV 解决方案
![[安全] 生命医疗健康行业 CSV 解决方案](../myriam-zilles-KltoLK6Mk-g-unsplash.jpg)
背景
随着企业数字化转型脚步的加快和云技术的发展和进步,越来越多的企业将自身拥有的传统IT服务模式,转变为基于虚拟化技术建立的云模式。
目前,采用云计算已经成为企业IT实践的新常态。自2006年AWS提出第一个云计算服务以来,历经十几年的发展,云计算技术愈加完善,并且逐步增加了对行业的支持,为企业带来了诸多便利。在业务敏捷、成本优化、运营收益、敏捷运维、合规性等方面,体现了巨大优势。在生命科学行业,如何将云的优势转化为企业的竞争优势,成为了管理者和决策者值得思考的议题。
对于制药企业来说,本地储存庞大且持续增长的用户档案和信息会产生巨大的花费。而现在人口的急速扩张和平均寿命的增加扩大了制药企业储存数据的成本负担。迁移到云端意味着制药公司可以卸下相关负担,不需要再持续购买或维护自己的本地设备,例如过时的硬件和软件系统,以及不断需要更新的应用程序。企业的内部系统不仅在不断的更新和贬值,随着时间的推移,它所面对的安全问题更是与日俱增。在制药公司中,很少有公司内部的it部门能够自己管理这些事物。而“临时管理员”对于信息安全更是一个潜在的威胁。他们无法提供定期的软件升级服务。将企业数据迁移到云端可以帮助公司专注于医疗行业,提高企业敏捷性而非IT技术。
通过亚马逊云科技优质的云服务和功能对软件的更新进行集中管理,发布和技术支持,可以帮助企业降低数据储存的总体成本,消除计算机系统性能下降所带来的麻烦,同时提高企业的工作效率。
目的
该文档是在同中国用户沟通的过程中发现,GxP 这套框架太大,一下子落地还需要很大的差距。所以想先结合 CSV 梳理出现状及差距。然后得到项目实施的范围。
介绍
计算机化系统的合规 CSV ( Computerized System Validation) 法规对制药企业至关重要,美国 FDA、欧盟 Annex 11、欧盟 EMA、中国 CFDA 等都对计算机化系统验证做了重点要求。
随着“自动化和信息化-两化融合”,“工业4.0智能制造”和“CSV”等这些趋势在制药行业的兴起,越来越多的GxP信息化系统(如ERP,LIMS,MES,EDMS)以及自动化系统(如SCADA,PCS,DCS)等电子管理系统开始在GMP合规上担当越来越重要的角色。
生命科学云计算合规性挑战
生命科学行业一直是各个国家、地区重点关注、大力扶植的领域,对国计民生的重要性毋庸置疑。世界各地,也先后发布了涵盖研发、临床、制造、生产和销售等各个阶段的法律法规和指南。生命科学行业正加大数字化转型力度,云技术的应用极大地提高了企业服务的可扩展性,云供应商提供了更可靠的技术保障。但是云计算对制药行业GxP合规性挑战也成为生命科学行业选择云服务的疑虑。
对于全球化制药企业客户,GMP是大家公认的行业质量控制的规范,对于国内客户,计算机化系统验证CSV是大家都要遵守的监管要求。本文立足AWS云计算,针对《药品生产质量管理规范(2010年修订)》的附录《计算机化系统》和《确认与验证》的要求,结合德勤多年的海内外制药行业计算机化系统验证项目经验的积累,帮助企业在云上构建合规的生命科学应用,为药品生产企业提供从业务发展到技术框架方面的探讨和建议,为企业数字化转型提供催化剂。
本文把需要遵守国内CSV要求的制药企业应用系统,统称为计算机化系统。
制药行业GxP计算机化系统验证简介
计算机化系统验证,是采用科学的方法,对与药品质量安全密切相关的计算机化系统各个组成部分在全生命周期中进行持续、合理和有效的评估与文档记录,以确保和证明该系统是能符合各项GxP法规和预定用途的,产品能确保患者安全和质量要求,与产品质量有关的数据完整可信。
计算机化系统的范围包括:硬件、软件、外围设备、操作人员、相关文件资料,如操作手册、SOP等。
2019年新版《中华人民共和国药品管理法》的颁布对药品生产企业在从事药品研制、生产、经营、使用和监督管理等方面提出了更高的要求。我国已在2015年颁布了《药品生产质量管理规范(2010年修订)》的《计算机化系统》和《确认与验证》两个附录,提出了药品生产企业信息化建设中需要依从的原则与目标。完备的计算机化系统建设不仅是企业信息化水平的体现,与质量管理息息相关,是企业合规运营、长久发展的重要保证。
根据我国2015年颁布的《药品生产质量管理规范(2010年修订)》附录《计算机化系统》第六条,“计算机化系统验证包括应用程序的验证和基础架构的确认”。在AWS云上构建制药行业应用,是讲AWS云上基础架构作为应用运行的基础。为保障上层应用的可用性、安全和性能,对云上基础架构进行验证和确认,以及维持控制和确认的状态至关重要。同样,使用云上基础架构作为上层GxP应用的环境,云上基础架构的确认和维持确认的状态是在云端部署业务系统的先决条件。
全球哪些监管法规重点要求了计算机化系统验证?
美国、欧盟、中国都有相关的法规
- 美国 FDA 21 CFR Part 11:电子记录/签名
- 欧盟 Annex 11:计算机化系统
- 欧盟 EMA:发布计算机化系统验证-核心文件,Annex2:复杂计算机化系统验证2018年4月发布, 2018年8月1日强制实施
- 中国 CFDA:2010版GMP附录-<计算机化系统> <确认与验证>;2015年12月
- 中国CFDA :<药物非临床研究质量管理规范> 新版GLP,第十六条 强调计算机化系统验证 2017年9月1日生效
- ISPE GAMP5(指南基于风险的验证策略/V 模型文档
- PIC/s PI-011(指南)在法规监管GxP环境下计算机化系统验证良好规范
- 《药品数据管理规范》(征求意见稿, 2018 年 1 月)是数据可靠性的法规文件,明确地规定了对计算机系统需要有验证,且对验证要求都做出了明确的规定。
CSV 验证主要交付文档有哪些?
包括:验证计划(VP)、风险评估(RA)、用户需求规范(URS)、功能需求规范(FRS)、设计/配置规范(DS/CS);安装确认(IQ)、运行确认(OQ)、性能验证(PQ)、需求追踪矩阵(RTM)、验证报告(VSR)。 从合规方面主要考虑的关键点:电子记录安全性、审计追踪、数据备份与恢复、灾难恢复、登陆/密码安全性、电子签名、数据完整性 Data Integrity 等。
CSV 系统评估要求?
CSV-Computerized System Validation 计算机化系统的合规不应该被特殊化,如果引入其他行业的先进技术(如IT信息化,工程自动化)来提升医药GMP生产和管理水平,不应该一味要求药企按照GMP验证套路,重新论证一次对方的技术和系统,而应该思考对方行业中原有的管理体系中是否有和质量管理一脉相承的体系可以直接引用(ISO27001, CIS —Level1, CIS-Level2 等)。
- 系统架构 System Topology
- 整个系统的数据流 Data Flow
- 最低的/必要的硬件和软件组件 Components
- 仪器通讯/控制配置(如需要) Communication/Control Configuration
- 时间/日起设置和安全性 Time/Date setting and Security
- 登陆与安全设置 (Physical 物理的 and Virtual 虚拟的) – 操作系统与应用软件
- 登陆参数 Login parameters
- 用户特权与许可 User privileges/permissions
- 数据管理 Data Management
- 审计追踪设置 Audit Trail settings
- 任何其它为了软件满足用户需求UFRS而做的可配置设置等(i.e. 数据备份, 系统恢复, 启动与关闭等)
合规框架
| 控制机制 | 评估条件 | 审计人员 |
| 合规报告 | |||
|---|---|---|---|
| ISO 27001 | |||
| ISO/IEC 17021 及27006 | |||
| CertifyPoint | |||
| https://aws.amazon.com/compliance/iso-27001-faqs/ | |||
| ISO 27017 | |||
| ISO/IEC 17021 及27006 | |||
| CertifyPoint | |||
| https://aws.amazon.com/compliance/iso-27017-faqs/ | |||
| ISO 9001 | |||
| ISO/IEC 17021 | |||
| CertifyPoint | |||
| https://aws.amazon.com/compliance/iso-9001-faqs/ | |||
| SOC 1 |
SOC 2 | AT 801 & | | https://aws.amazon.com/compliance/soc-faqs/ | | SOC 3 | AT 101 控制,TSP 100 部分,信任及证明 | | | | FedRAMP/ N IST 800-53r4 | NIST 800-53a | Veris Group | https://www.fedramp.gov/marketplace/compliant-systems/amazon-web-services-aws-eastwest-us-public-cloud/ | | PCI-DSS v3.1 Level 1 | PCI DSS 安全审计流程 | Coalfire | https://aws.amazon.com/compliance/pci-dss-level-1-faqs/ |
主要范围
Design Qualification:
Specification of the requirements for the equipment or the system. These include user requirements, as well as functional and design specifications.
Installation Qualification
Documents the installation and commissioning of the system or machine, and demonstrates compliance with applicable regulations and required performance data as well as specifications.
Operational Qualification
Equipment test or inspection process that assesses whether a system or piece of equipment is operating correctly.
Performance Qualification
Field test that documents the deployment of the equipment in routine operations.