2024-04-10
由于云能够带来显著的财务优势和组织优势,因此制药行业的趋势也是在向云计算发展,与此同时我们也应考虑到潜在的合规风险和监管限制。以下是来自制药行业和监管部门的九位专家针对[云计算技术基础]主题发表的系列GxP相关问题:
l 云计算技术基础
l 法规和检查员的期望
l 客户-供应商关系
l 针对云服务提供商(CSP)要求
l 对于供应商评估和供应商审核要求
l 对于确认/验证要求
以下问题是我们将在接下来的几周内在本网站的GMP新闻文章中发布的一系列问题之一。
问题16:不同服务模型(IaaS / PaaS / SaaS / XaaS)对供应商管理及相关确认/验证工作的影响是什么?——确认/验证需求
如“What's the meaning of IaaS / PaaS / SaaS / XaaS?”所述(见云计算系列文章第二篇:IaaS/PaaS/SaaS/XaaS是什么意思?),在确认和验证方面,不同服务模型的主要差异在于供应商(云服务提供商,CSP)和用户(受管制公司)之间的责任转移。为了简化,特殊情况如HPCaaS或AIaaS(参见“IaaS/PaaS/SaaS/XaaS是什么意思?”)被视为SaaS处理,即我们只考虑IaaS,PaaS和SaaS。
需要注意的是,受监管公司在患者安全、产品质量以及数据完整性方面的责任不能委托给CSP或任何其他服务提供商,这一点在云计算环境中尤其值得关注!
然而,云模型是利用“建立在服务提供商的输出和成就之上”这一理念的完美示例。因此,受管制公司要执行的确认和验证活动由服务模型驱动(以及GxP相关性、风险、新颖性、复杂性等常见因素):
IaaS:该模式下CSP仅提供基础架构。由于所有其他层的配置和操作都由受管制公司处理,所以不需要特定的额外措施。为了将风险降至最低,我们建议对基础架构的最低可用性提出要求,并制定一个备用计划以确保在其“宕机”的情况下可继续运营(对于由受管制公司运营的基础架构也是如此)。
PaaS:CSP提供基础设施并安装操作系统。由于操作系统属于GAMP一类软件,并且至少对于所有常见操作系统而言,他们被认为是低风险的,因此IaaS的建议在这里也适用。作为额外的风险控制,操作系统的配置应该被明确规定并且经过验证。此外,受管制公司还应了解CSP更新操作系统的方式和频率,以及何时和如何通知受管制公司。更新过程应在服务级别协议(SLA)中定义。
SaaS:CSP提供基础设施、操作系统和应用程序。在这种情况下,CSP需要根据受管制公司的要求和标准来指定和验证应用程序。此外,配置控制的某些方面仍由CSP负责。这种模式需要充分的信任,通常以基于风险的CSP评估为基础,以审计作支撑。如果CSP提供相关文件(如证书或白皮书),则可以降低整体风险以及缩小评估范围。评估过程中识别的风险应通过相应的控制措施(例如服务级别协议)进行缓解。CSP的更新策略对于SaaS来说(相对于PaaS)更重要,因为变更和更新可能具有更广泛的影响,并带来更大的风险。因此,了解CSP的更新策略并被及时通知任何计划中和即将到来的变更尤为重要。
无论是IaaS, PaaS,还是SaaS,CSP和受管制公司的角色和责任都应该明确定义,任何更新和变更控制的程序都应该在合同中约定。
