哪些人应该参与CSP的审计，哪些主题应该被关注？

2023-07-04

由于云能够带来显著的财务优势和组织优势，因此制药行业的趋势也是在向云计算发展，与此同时我们也应考虑到潜在的合规风险和监管限制。以下是来自制药行业和监管部门的九位专家针对[对于供应商评估和供应商审计要求]主题发表的系列GxP相关问题：

• 云计算技术基础
• 法规和检查员的期望
• 客户-供应商关系
• 针对云服务提供商（CSP）要求
• 对于供应商评估和供应商审计要求
• 对于确认/验证要求

问题10：哪些人员（职能）应该参与对CSP的审计，哪些主题应该（必须）被关注？

根据投票1100202*的结果，审计工作中应包括在这一特殊技术方面有足够经验的人员。原则上，至少应该有一名IT人员参与。首席审计官通常会来自质量保证部门。

根据投票结果，应关注以下主题：

• 数据中心安全性
• 服务器安全
• 网络安全
• 应用程序和平台安全
• 数据安全
• 加密和密钥管理
• ID和权限管理
• 员工选拔和培训
• 验证和资格认证
• 外部服务和分包商
• 维护验证状态（变更管理、配置管理、补丁管理、监控和报告、事件管理）

*德国药品和医疗器械卫生保护联邦机构——专家组11“电子数据存储要求”（Requirements for the storage of electronic data）的投票V1100202——仅提供德文版。

注：内容来源——ECA Academy

审计发现缺陷案例分析——实验室管理篇

云服务提供商的审计/远程审计