制药行业的云架构应用分析_色谱系统介绍、风险分析及计算机化系统验证_Part 4

paulfish · 发表于 2020-1-10 08:45:52

欢迎您注册蒲公英

您需要登录才可以下载或查看，没有帐号？立即注册

x

云架构下的计算机化系统认证(CSV)

关键词：供应商需能够提供必需的设施保护、管理体系和技术功能，客户需要进行相应的配置以确保符合法规要求

使用云平台的制药企业用户，是将物理架构（数据中心，网络和主机）的管理和操作外包给云供应商。根据GAMP指南， “受监管的公司仍然负责其IT运营的合规性，无论他们是否选择将部分或全部IT基础设施流程外包/离岸给外部服务提供商。合规性监督和批准不能委托给外包合作伙伴。”。因此，受监管用户必须确定在云平台上托管的GxP应用程序的相应的验证策略[33]。

GAMP5分类 IaaS或者PaaS服务模式下的软件属于基础架构软件，ISPE的GAMP 5将基础架构软件（例如，操作系统软件）划分为第一类软件系统[33]或者是COTS（commercial-off-the-shelf）基础架构软件。基础架构软件是指在统一环境中链接在一起的组件，允许安装和管理应用程序和服务。此类别包含两种类型的软件：确定的或商品化的软件（例如，操作系统，数据库管理器，编程语言等）和基础设施软件工具（例如网络监视软件，批量作业调度工具，安全软件，防病毒和配置管理工具）。

使用IaaS服务模式，安装有GxP环境下计算机化系统的虚拟化服务器，按照ISPE的GAMP5中分类，可以被认为为第一类硬件，也就是标准硬件组件[33]。

“开放系统”与“封闭系统” 存储在IaaS和PaaS服务模式的云系统中的数据由于其数据不属于云供应商，所以其平台可以认为是“开放系统”。

FDA对于 “开放系统” 要求符合更多的规则，例如，加密[32]。

最终用户有责任对在云上部署的GxP的计算机化系统进行系统类型的评估，并根据评估结果确定是否需要增加更多的控制或步骤。

云供应商责任

质量管理系统 云供应商需要具有质量管理系统，并符合与GxP类似的要求。能够描述支持团队部门，例如，在线服务团队、云安全团队、产品支持团队、工程师支持团队、合规性支持团队、网络支持团队，的角色和职责。

在云上进行的任何操作任务，需要遵循明确的标准操作过程（SOP）中所描述的过程操作。

人员和承包商培训 云供应商需要对相关人员和承包商进行操作培训，和周期性的安全合规培训，并有相应的培训记录。

对于云供应商，FDA21 CFR Part 11和EMA Annex11的这些监管要求与SOC2信托服务原则- CC1.3密切相关。云供应商应遵守此SOC 2信托原则，并由独立第三方进行定期审计，以评估相关流程和控制的有效性。

文档记录 云供应商的QMS定义和管理质量标准，用于保护关键相关文档和数据的机密性，完整性，可用性和安全性。文档和记录管理过程管理系统文档的整个生命周期，从创建到批准，分发和撤销。

系统文档（包括SOP，安全和强化指南，网络和设施图表以及系统构建文档）保存在安全的内部站点中，并提供给授权人员。根据其工作角色，访问系统文档仅限于各自的团队。文件的保护级别适合其分类级别。

文档包括：

*技术文档 *数据字典

*系统设计文档 *系统程序

*数据恢复的操作协议 *系统安全协议

*系统支持文档 *故障排除文档

*支持指标和趋势 *培训记录

*测试记录 *更改记录

*第三方供应商审核记录

验证方法 根据行业内的最佳指导原则，《GAMPGood Practice Guide: IT infrastructure Control and Compliance》中建议，云供应商提供的IT基础架构应该对以下关键方面进行合规性确认：

· 供应商评估和管理

· 基础架构组件的安装和操作验证

· 基础架构组件的配置管理和变更管理以及在高动态的环境中的设定

· 基础架构的风险管理

· 供应商参与关键基础设施的流程

· XaaS（IaaS、PaaS、SaaS）供应商和第三方数据中心供应商的服务水平协议（SLA）

· 与访问控制，服务可用性和数据完整性相关的安全管理

· 与数据存储相关的安全、保密和隐私

· 数据备份，还原，灾难恢复

· 归档

但对于云环境来说，某些与云架构相关的验证和管理工作应属于云供应商的职责。

为了确保基础架构组件符合最终用户的要求，云供应商必须保证实施受控流程，以确保满足服务级别协议（SLA）。

图3，基础架构验证与应用的确认

云端计算机化系统验证实践

实现和维护基于云的GxP系统合规性的重要一步是建立全面的云战略和管理模型。客户应考虑将以下活动集成到其运营中，以帮助实现其基于云的应用程序的成功管理：

· 基于共享责任模型确定云环境的明确角色和职责

· 建立与云模型一致的治理政策和程序

· 培训负责管理和维护基于云的解决方案的人员

· 管理与所有第三方服务提供商的供应商关系并审查服务协议

· 使用标准化命名约定识别云资源和服务，以支持系统清单和文档

· 与主要利益相关者和主题专家一起规划基于云的GxP应用程序的验证

· 实施数据备份和恢复过程并执行例行测试

· 通过利用加密和安全最佳实践，确保数据在静止和传输过程中保持数据的完整性

· 执行例行监控以验证服务质量

· 建立持续改进活动

· 集成与以下软件质量支柱相关的最佳实践：

o 可扩展性：系统处理增加的负载的能力

o 可用性：系统运行和工作的时间比例

o 弹性：系统从故障中恢复并继续运行的能力

o 管理：使系统在生产中运行的操作流程

o 安全性：保护应用程序和数据免受威胁

责任共担 因为云环境的属性，在云架构下的管理和验证与预置系统是不同的。客户依旧有责任建立适合的数据管理和正确的管理，客户终端的管理以及账户和访问管理，而云供应商对于所有物理主机、物理网络和数据中心负责。对于其他责任归属，包括身份和目录基础结构、应用程序、网络控制和操作系统，因部署模型（IaaS、PaaS或者SaaS）不同而不同。

角色	职责
云供应商	· 定义云平台要求 · 实施云治理策略 · 确保遵循治理流程并满足服务水平协议 · 审核影响并批准对云平台的更改 · 定期进行审核，以确保维持合格的云环境状态 · 管理云资源和服务的预算和购买
云平台管理员	· 维护云平台资源的逻辑安全性 · 根据程序和规范实施平台更改 · 管理云平台用户和访问云资源 · 提供技术支持和事件/问题管理 · 维护和测试备份和恢复过程 · 审核审核日志和安全报告 · 监控云服务的状态并响应警报 · 管理云资源的补丁和更新

计算机化系统合规策略和程序 为了确保基于云系统的GxP应用程序得到适当管理，客户需要回顾和更新内部IT和质量流程。

质量管理流程

流程项目	流程
培训管理	定义内部培训计划，以确保人员具备在受控云平台上运行的应用程序内访问和工作所需的能力。可能需要为云平台内的每个受控应用程序定义其他培训要求。
文档管理	建立创建和管理官方文件和记录的框架。目的是确保组织的业务领域具有适当的治理和支持结构和资源，以便以受控方式（即计划，监控，记录和审计）管理文档。
记录保存和归档	确保所有记录的管理符合适用的法规和要求。供应商管理。
供应商管理	定义一个正式流程，以确保以正式和受控的方式识别，评估，选择和管理云服务提供商。
定期回顾	定义对计算机系统的文档，过程，记录和性能进行文档化评估的过程，以确定它是否仍处于验证状态，以及恢复其验证状态需要采取的操作（如果有）。审查的频率取决于系统的复杂性，关键性和变化率。

IT操作管理流程

流程项目	流程
系统安全	描述云应用程序系统的逻辑安全措施，以防止未经授权访问云平台管理控制台和受监管的应用程序组件。
变更和配置管理	定义变更管理的正式流程，以确保以受控方式实施应用程序更改。此过程还必须建立用于提议，审核和批准系统更改的框架。确保对基准项（配置项）的所有更新都受到控制和跟踪。
系统监控	描述用于监控云应用程序的工具，以确保一致的可用性和性能。
系统管理和维护	提供有关在云应用程序的操作和维护中使用的技术管理和工程实践的说明。
用户访问管理	描述管理允许访问或更改系统数据的管理帐户。用户访问管理还为发布帐户，创建密码和管理帐户建立了明确的标准。
备份和还原	定义数据备份策略，在发生中断时进行恢复，以及故意/无意破坏或数据或灾难的破坏。
时间和问题管理	定义一个正式的流程，以确保以正式和受控的方式提出，记录，调查和解决问题。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 云平台账户管理政策

· 给组织采购机构员工的备忘录

· 云平台账户创建程序

· 云平台用户密码策略

人员培训 客户人员需要额外的培训，以满足能够开发、部署和维护基于云应用的资质。客户应要求云供应商应能够为的程序架构，平台管理员和GxP系统所有者和管理员提供云服务的深入培训。在云服务提供新功能后，应保持培训内容持续更新。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 培训计划和流程

· 工作职责

· 培训记录

· 云产品的培训证书

采购控制 传统IT基础架构产品购买涉及作为资本支出预定实物商品的采购订单（PO）流程。但是，对于云产品，购买需要针对订购如云产品的实用程序计量计费，作为可变运营费用进行预订。

使用传统PO的架构采购	使用云产品的架构采购
IT指定服务器的需求 IT资源匹配服务器和操作系统 IT向采购提交请求 IT向采购提交请求采购向供应商提交PO 供应商发货物料部门收货 IT安装服务器和操作系统 IT配置操作系统 IT手动限定服务器和操作系统财务部门支付资产并将其作为折旧资本支出（CapEx）	IT指定服务器要求 IT选择匹配的云服务并带来他们自己的合格OS映像， IT启动具有合格图像的云服务实例并启用自动记录，并且 IT使用运营费用（OpEx）信用卡支付云服务的计量使用费。

产品确认评估 采购的产品和服务符合规格要求，在GXP需求控制中是很重要的。对于商品化可配置的基础架构组件，要确保所其产品满足用户需求非常简单，所有的规范和协议都已经完整记录并可供查看。客户将其GxP应用程序要求对应到相应的云产品规范和SLA即可。

图中蓝色部分为客户责任，灰色部分为云供应商责任。

需要注意的是，GxP系统的SLA并不是云供应商各个产品SLA的直接功能，相反，GxP系统的SLA是客户配置和使用云产品（解决方案架构）的功能。例如，如果GxP应用程序需要比云产品提供的更高级别的可用性，则客户需要构建其解决方案以实现更高级别的可用性。所以，在评估云供应商产品对特定GxP系统的适用性时，必须从整体解决方案架构角度考虑。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 系统开发生命周期流程

· GxP系统需求和风险评估

· GxP系统架构解决方案

· 云供应商产品评估

供应商评估 由于GxP计算机化系统在业务中扮演者重要的角色，所以生命科学客户经常会在选择产品和服务时对供应商进行评估和审计。评估需包含以下内容：

· 初始风险评估/整体系统影响

· 系统新颖性和复杂性

· 组件分类

云供应商一般不会单独进行GxP相关审计，但会由独立第三方对其进行ISO、SOC、HITRUST等的审计。其中SOC 2认证[34]虽然不关注GxP法规，但其中的很多控制项目与21 CFR Part 11和Annex 11很相似。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· GxP供应商分类和评估程序

· Non-GxP系统性能审查

· 供应商评估数据，包括调查问卷

· 供应商批准报告

· 合规报告和白皮书

供应商服务协议 根据FDA[11]和GAMP Guidance for IT InfrastructureControl and Compliance(Second Edition)[33]要求，使用云的GxP客户，需要与服务供应商签订服务协议。

协议应包含以下内容：

· 服务水平协议（SLA）：描述了获得服务信用的条件和提交索赔的过程。

· 在线服务条款：包括服务交付和数据保护的各个方面，包括，隐私、安全、资产管理、人力资源安全、物理和环境安全、客户数据存储位置、数据恢复程序、数据加密、数据保留、物理设施访问、IT安全访问控制、环境控制、安全事件通知、管理系统风险、业务连续性、可接受的使用政策、遵守法律及服务停止等条款。

增补协议：可以包括企业协议、注册协议、业务和服务协议及协议附录。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· IT供应商协议政策等

数据完整性 为了保证数据符合ALCOA+的完整性要求，必须控制数据产生/管理的过程、系统和环境，以及对数据流有深入理解。

云供应商应保证数据保存得到足够的加密保护，并确保数据在不同架构之间的传递过程是安全的。

客户也需要通过使用相应的功能和配置云环境保证信息资产的安全，可信和完整。

操作，维护和监控 客户团队中负责进行操作和维护的人员，例如系统管理员、架构师、开发、测试、支持人员应给与适当的对资源的访问权限。

对于平台架构的变更由云供应商控制，不在客户的控制管理范围，但这并不意味着失控。

云供应商对于软件、硬件和网络的可能变更需要告知客户对于安全和服务可用性的影响。客户可以通过选择不同服务模式及如何构建其环境对其变更策略进行重要控制。例如，使用IaaS服务模式中的虚拟机，客户可以完全控制虚拟机中发生的变更。通过使用云供应商提供的高可用性服务，客户可以设计其环境，以最大限度的降低计划为硬件维护、意外硬件故障和维护事件等风险。

客户必须根据其数据还原要求和系统架构，定义使用何种备份策略进行备份。

通过选择使用多站点灾难还原架构的方式，满足对于关键应用的灾难恢复的要求，并进行适当的测试。作为负责灾难还原的人员应具有能够执行计划的能力，并对系统实施周期性灾难模拟验证并评估改进计划。

客户应确认云供应商能够提供容量和服务的监控措施。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 变更控制过程

· 配置管理过程

· 部署到生产系统过程

· 监控过程

· 云计算模板

· 检查准备计划

· GxP系统概览描述

· 系统文件索引

审计对于审核其在GxP系统中使用AWS产品的客户，评估系统安全性和数据完整性控制以及系统开发生命周期（System Development LifeCycle，SDLC）的持续有效性非常重要。为了确保有效的对云产品的使用进行审计，IT审计人员应该熟悉网络服务技术、云产品及脚本。审计人员应该被授权只读权限登陆云服务账户，并对以下功能和配置使用云供应商提供的审计和日志工具进行审计：

· 云服务账户凭据

· 组织联系

· 用户、组和角色

· 云计算服务的安全配置

· 云存储服务中基于资源的策略

· 云服务的配置规则

· 系统活动日志

· 配置更改历史记录等

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· IT审计周期

· 云平台账户审计流程和清单

· 云平台账户审计报告

· IT审计员这个及云平台产品培训记录

个人数据隐私控制 在GxP系统中要求保护其个人可识别信息（PII）和受保护的健康信息（PHI）由系统存储，处理或传输的个人的机密性。示例可能包括：

· ResearchRecruiting工具

· 电子数据采集（EC）系统

· 数据存储和存档

· 诊断医疗设备应用

· 移动医疗设备应用

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 对于个人可识别信息保护政策

· 本地数据控制计划

· GxP系统安全性计划

验证和确认基于云的GxP应用程序 同预置GxP应用一样，对于基于云的GxP应用也应保证“证明并记录风险评估，并确定系统影响产品质量和安全的可能性，并记录完整性。”[35]

用于支持GxP应用的底层基础架构平台配置也应该被验证和确认，以确保维持控制和合规状态。

GxP应用程序安装在IaaS服务模式下的客户虚拟环境中，被认定为GAMP 5软件分类中的第三类、第四类或者第五类软件。而构建在PaaS服务模式下的GxP应用程序，属于第五类软件。

由于云供应商提供的云平台不是为了GxP应用程序而搭建，所以法规用户（客户）应该验证其基础平台组件的设计和配置能够符合应用程序的要求。

对于基础架构组件和服务的确认（平台确认）基础架构确认生命周期为生命科学客户提供了一个七点，是的可以通过调整自定义的方法来验证虚拟基础架构组件和资源，以支持其GxP应用程序。

计划（VP）

初始规划阶段首先定义项目范围，关键活动和生成项目可交付成果的责任，包括SOP，规范和验证文档。随着质量和监管影响的评估以及与项目相关的风险得到缓解，规划可能会在随后的项目阶段继续进行。

规格和设计（DS）

平台组件的规范文档，包括需求规范，体系结构图和技术设计规范，应由系统所有者和/或平台管理员开发和维护，并作为质量记录进行维护。

要求规范注意事项（RS）

通过与各种应用程序利益相关者，平台所有者/管理员和业务应用程序所有者协作收集的基础结构要求对于定义系统的资源需求至关重要此外，还应确定可能对支持GxP应用程序的体系结构产生影响的任何监管要求。

在确定底层平台架构的要求时，应考虑以下因素，以帮助确保成功实施：

· 安全和隐私

· 能力

· 表现

· 可用性

· 备份和恢复

· 维护（修补）

· 监控（审计和记录）

· 法规

客户应了解有关数据隐私的当地法规以及实施跨多个地区的解决方案，因为某些法规要求可能会对整体解决方案设计或架构产生影响。
技术设计（TD）

负责基础设施设计角色的系统架构师和个人在规划、规范和设计阶段应考虑以下因素：

· 确保数据在保存和传输过程可以使用加密功能对其进行加密

· 使用高可用（HighAvailability）架构减少计划和非计划维护停机

· 决定系统部署地区

· 使用平台日志和审计功能/机制捕捉关键事件

· 基于恢复时间目标（RTO）和恢复点目标（RPO）建立数据备份和恢复策略

· 决定是否需要单独的开发、测试和生产环境，并建立适当的体系结构以确保数据隔离

· 了解平台提供的系统可扩展性选项

· 确定是否需要数据分区

· 在实施云的解决方案时，注意服务限制、配额和约束，以确保做出适当的设计和架构决策

客户可以利用云供应商提供的参考体系结构，了解其可伸缩性、可用性、可管理性和安全性。

风险评估和验证测试计划（RA）

为了帮助构建系统的弹性，客户可以执行故障模式分析（FMEA）以识别系统中的可能故障点。标准FMEA流程包括以下活动：

· 确定系统中的所有关键组件，包括外部依赖项，例如，身份验证程序、第三方服务等

· 对于每个组件，确定可能发生的潜在故障。单个组件可能有多个故障模式。

· 根据整体风险对每种故障模式进行评级。考虑以下因素：

o 失败的可能性有多大？

o 失败的可检测性如何？

o 在可用性，数据丢失和业务中断方面，对应用程序有何影响？

· 对于每种故障模式，确定应用程序将如何响应和恢复。

风险评估的结果有助于帮助客户关注验证测试的范围。

部署和验证测试（IQ、OQ、PQ）

使用基于云技术的部署，可以在几分钟内完成原来需要数周或者数个月的任务。

使用IaaS服务模式的云时，其资源可以通过文件方式进行配置后进行部署。这种部署方式可以保证部署的标准化，测试系统和生产系统架构的一致性，建立可以复用的部署脚本等。在完成对配置文件的确认后，这些系统架构模板可以用于快速完成架构部署。

在完成部署和配置基础架构资源后，客户可以继续部署和配置验证或安装确认（IQ），以确保关键配置设置与记录的规范相匹配。

根据风险评估的输出，客户还可以根据预定义的验收标准执行功能测试或操作认证（OQ），以验证关键基础架构组件是否按预期运行。

客户应考虑更新以下文档以支持其在GxP环境下使用云架构：

· 软件生命周期

· 验证过程

· IT确认过程

· 自动化部署过程

· 云主机模板

报告和交付（VSR）

完成验证活动后，应汇总测试结果，并在摘要报告中确认总体验收标准。基础架构所有者和管理员应遵循定义的既定管理策略和过程，以维护其云环境的合格状态。

成功完成基础架构资格认证活动通常是开始GxP应用程序验证活动的阶段门户，该活动应基于受监管用户的验证流程。

使用PaaS服务模式GxP应用程序的验证

使用PaaS服务模式搭建的应用系统可以继承云的特点，例如可扩展性和高可用。在PaaS模式下，客户不在负责基础架构组件的维护，包括更新操作系统补丁，均由云供应商自动完成。

云供应商会遵循其质量管理体系中的要求，对相关补丁更新进行评估、测试和实施。客户也可以选择按顺序推送更新区域，最大限度的减少停机时间、错误的影响以及在罕见的错误更新产生的逻辑故障。

结论

关键词：云的优势和风险（数据安全和财务），对CDS供应商提供的服务模式的期望（SaaS），云供应商的选择，CSV的差异

将应用程序部署在云架构上，节省了大量的采购和部署的时间成本。将传统形式上IT作为固定资产和折旧计算的投资，变为可变运营成本，减轻了企业初期投资的资本压力。

通过结合最先进的技术和行业标准，云供应商提供的服务和解决方案可提供内置功能，以符合各种法规和隐私要求。作为内部开发，安全性和质量实践的一部分实施的广泛控制有助于确保云平台符合其规范并保持在控制和合规性状态。通过一系列久经考验的访问，安全和隐私控制来保持安全，一致和可靠的性能。这些流程和控制措施由合格的第三方认可评估员持续审核和验证。

同样重要的是GxP客户对其产品使用保留责任和义务，包括其使用云产品开发、验证和运营的应用程序和虚拟化基础架构。必须实施的控制，同时定义他们的云资格策略和管理模型，以确保GxP计算机化系统保持在安全和合格的状态。

SaaS的服务模式，虽然客户对于基础架构及操作系统等具有更低的控制权，但通过定期审计第三方独立审计对云供应商所遵循标准的审计报告，可以保证GxP的符合性要求。

通过合作并专注于各自的专业领域，云供应商和生命科学客户可以帮助开创一个新的时代，在这个时代，基于云的GxP系统不再被视为合规风险，而是一个更安全，更有效的模型促进创新和保持合规性。

参考

[1] 什么是云计算？（Website）

[2] "From CMO to CDMO:Opportunities for Specializing and Innovation - BioProcess International". BioProcess International.2016-05-17

[3] Miller,Jim. "CDMO AcquisitionsBuild Strategic Supplier Base". www.biopharminternational.com. Retrieved 2018-09-18

[4] Contract Manufacturing Arrangements for Drugs

uality Agreements Guidance for Industry（PDF）

[5] 21 CFR Part 210.1(b)（Website）

[6] 21 CFR Part 200.10(b)（Website）

[7] ICH Q10 Pharmaceutical Quality System（PDF）