《腾讯云:GxP合规白皮书(2023)(72页).pdf》由会员分享,可在线阅读,更多相关《腾讯云:GxP合规白皮书(2023)(72页).pdf(72页珍藏版)》请在三个皮匠报告上搜索。
1、?腾讯云 GxP 合规白皮书 2022 年5月 版本 1.0 2?3 目录 引言 5 1.腾讯云介绍 6?7?8 2.GXP 标准介绍 11 3.腾讯云 GXP 合规白皮书概述 13?13?13?14 4.质量管理 16?16?16?18?19?20?22?25 4 5.运维 27?27?27?28?29?31?32?33?34?35?36 6.电子记录和数据管理 38?38?38 7.腾讯云的产品和服务如何支持客户 GXP 合规 42 结语 47 附录:GXP 标准分析及映射表 48 5 引言?6 1.腾讯云介绍?7?8?9?10?11 2.GxP 标准介绍?l?l?l?l?12 地域 标准
2、名称 标准内容概述 中国 中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 该标准旨在确保在药品生产质量管理过程中应用的计算机化系统不会对产品的质量、过程控制和其质量保证水平造成负面影响,不增加总体风险。中国国家药品监督管理局药品记录与数据管理要求(试行)该标准旨在加强药品研制、生产、经营、使用活动的记录和数据管理,确保有关信息真实、准确、完整和可追溯。美国 美国食品和药物管理局 联邦法规法典第 21 篇 第 11 部分电子记录;电子签名-范围和应用 这部分标准包含利用计算机系统创建、修改、维护、归档、检索或分发电子记录和电子签名的相关规定,以便确保 GxP 电子数据可信且可靠,
3、支持 GxP 合规要求。美国食品和药物管理局 联邦法规法典第 21 篇 第 211 部分 现行药物良好生产实践 本部分的法规包含制备用于人类或动物的药品现行良好生产规范的最低标准,包括组织和人员、建筑物和基础设施、设备、组件和药品容器和密封性的控制、生产和流程控制、包装和标签控制、持有和分配、实验室控制、记录和报告以及退回和回收的药品等方面的要求。美国食品和药物管理局 联邦法规法典第 21 篇 第 820 部分 质量体系要求 本部分适用于成品医疗器械制造商,它规定了所有供人类使用的成品设备的设计、制造、包装、标签、存储、安装和维修所使用的方法、设施和控制措施,以确保成品设备安全有效,并在其他方
4、面符合要求。欧盟 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 本部分标准适用于良好生产规范 GMP 监管活动所涉及的所有形式的计算机化系统,旨在通过相关要求确保在计算机化系统取代人工操作的情况下,产品质量或过程控制不应因此而有所降低。?13 3.腾讯云 GxP 合规白皮书概述?l?l?l?l?l?14?15?16 4.质量管理?17?18?19?20?21?l?l?22 l?23?24?l?l?l?l?l?25?26?l?l?l?l?27 5.运维?l?l?l?l?28?29?30?31?32?33?34?35?l?l?l?36?37?38 6.电子记录和数据管理?39?
5、l?-?-?-?40?l?-?l?41?l?l?l?42 7.腾讯云的产品和服务如何支持客户GxP 合规?域 产品或服务名称 功能 系统开发生命周期 Coding DevOps CODING DevOps 包括代码托管、项目管理、测试管理、持续集成、制品库等多款产品和服务,涵盖软件开发从构想到交付的一切所需,使研发团队在云端高效协同,实践敏捷开发与 DevOps,提升软件交付质量与速度。腾讯云代码分析 腾讯云代码分析是集众多代码分析工具的云原生、分布式、高性能的代码综合分析跟踪管理平台,其主要功能是持续跟踪分析代码,观测项目代码质量,支撑团队传承代码文化。测试服务 WeTest 测试服务 We
6、Test 包括标准兼容测试、专家兼容测试、手游安全测试、远程调试等多款产品,服务于海量腾讯精品游戏,涵盖兼容测试、压力测试、性能测试、安全测试、远程调试等多个方向,立体化安全防护体系,保卫您的信息安全。数据迁移验证 数据传输服务 DTS 腾讯云数据传输服务(Data Transmission Service,DTS)可帮助用户在业务不停服的前提下轻松完成数据库迁移上云,利用实时同步通道轻松构建高可用的数据库多活架构,通过数据订阅来满足商业数据挖掘、业务异步解耦等场景需求。同时,DTS 还提供私有化独立输出版本 DTS-DBbridge,DTS-DBbridge 支持异构数据库和同构数据库之间迁
7、移和同步,可以帮助企业实现完整数据库迁移(例如 Oracle 数据库)。通过 DTS 可以帮助客户进行数据校验,从而验证数据迁移过程中的完成性。迁移服务平台 MSP 迁移服务平台(Migration Service Platform,MSP)整合了各种迁移工具,并提供统一监控。用户在迁移时可选择腾讯云官方迁移工具,也可选择官方认证的第三方迁移工具。迁移服务平台帮助用户方便快捷的将系统迁移上云,并清晰掌握迁移进度。通过 MSP可以帮助客户对迁移过程进行统一监控,防止出现迁移过程中数据完整性被破坏的可能。43 域 产品或服务名称 功能 数据备份和恢复 对象存储 COS 对象存储(Cloud Obj
8、ect Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。用户放在对象存储上的数据可以通过跨区域复制功能同时存储在多个指定区域,保证在某些意外丢失部分数据的情况下仍能通过冗余数据来查找并恢复完整数据,同时,因为多份数据存放在不同的地区,因此能避免一个地区的存储受到不可抗逆灾难时会造成的损失,从而达到多冗余备份和异地容灾的效果,保证数据的持久性和稳定性,为重要数据加上多重保险。云硬盘 CBS 云硬盘(Cloud Block Storage,CBS)为您提供用于 CVM 的持久性数据块级存储服务。CBS 提
9、供高达 99.9999999%的数据可靠性。在每个存储写入请求返回给用户之前,CBS 就已确保数据被成功写入三份跨机架的存储节点中。CBS 的数据复制机制高于业内平均水平,能够保证任何一个副本故障时快速进行数据迁移恢复,以保护您的应用程序免受组件故障的威胁。文件存储 文件存储(Cloud File Storage,CFS)为您提供安全可靠、可扩展的共享文件存储服务。文件存储标准文件存储为 3 份冗余,具有极高的可用性和可靠性。文件存储可以通过用户隔离,网络隔离,以及来访白名单来限制客户端的操作权限。归档存储 腾讯云 COS 归档存储(COS Archive Storage)是腾讯云对象存储 C
10、OS 低成本、持久可靠的存储类型,为企业和个人开发者提供海量、非结构化数据的长时间备份能力。与本地备份相比,归档存储采用分布式云端存储架构,您无需关注硬件维护及容量扩展,当您需要数据时,可以通过 RESTful API 对存储的数据进行恢复并设置有效期来访问。数 据 库 备 份 服 务 DBS 数据库备份服务(Database Backup Service,简称 DBS)是为用户提供连续数据保护、低成本的备份服务。数据库备份拥有一套完整的数据备份和数据恢复解决方案,具备实时增量备份以及快速的数据恢复能力,它可以为多种部署形态的数据库提供强有力的保护,包括企业 IDC 数据中心、其他云厂商数据库
11、及腾讯公有云数据库。日志和审计跟踪 云审计 CloudAudit 云审计 CloudAudit 是一项支持对您的腾讯云账号进行监管、合规性检查、操作审核和风险审核的服务。借助 CloudAudit,您可以记录日志、持续监控并保留与整个腾讯云基础设施中操作相关的账号活动。CloudAudit 提供腾讯云账号活动的事件历史记录,这些活动包括通过腾讯云管理控制台、API 服务、命令行工具和其他腾讯云服务执行的操作。这一事件历史记录可以简化安全性分析、资源更改跟踪和问题排查工作。T-Sec 数据安全审计 DSAudit 腾讯云数据安全审计(Data Security Audit,DSAudit)是一款
12、基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中 44 域 产品或服务名称 功能 各类潜在风险和隐患,为数据库安全运行保驾护航,是企业的等保合规利器。日志服务 CLS 日志服务(Cloud Log Service,CLS)是腾讯云提供的一站式日志服务平台,提供了从日志采集、日志存储到日志检索,图表分析、监控告警、日志投递等多项服务,协助用户通过日志来解决业务运维、服务监控、日志审计等场景问题。网络安全 专线接入 DC 专线接入(Direct Connect,DC)为您提供了一种便捷的连接企业数据中心与腾讯云的方法,您可通过专线接入建立与公网完全隔离的私有连接服务,相比公网,专线接入具备
13、更安全、更稳定、更低时延、更大带宽等特性。您只需要一条运营商物理专线一点接入腾讯云,便可快速创建多条专用通道打通部署于腾讯云的计算资源,实现灵活可靠的混合云部署。私有网络 VPC 私有网络(Virtual Private Cloud,VPC)是基于腾讯云构建的专属云上网络空间,为您在腾讯云上的资源提供网络服务,不同私有网络间完全逻辑隔离。作为您在云上的专属网络空间,您可以通过软件定义网络的方式管理您的私有网络 VPC,实现 IP 地址、子网、路由表、网络 ACL、流日志等功能的配置管理。私有网络还支持多种方式连接 Internet,如弹性 IP、NAT 网关等。同时,您也可以通过 VPN 连接
14、或专线接入连通腾讯云与您本地的数据中心,灵活构建混合云。VPN 连接 VPN 连接(VPN Connections)是一种基于网络隧道技术,实现本地数据中心与腾讯云上资源连通的传输服务,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单,云端配置实时生效、可靠性高等特点,其网关可用性达到 99.95%,保证稳定、持续的业务连接,帮您轻松实现异地容灾、混合云部署等复杂业务场景。T-Sec DDoS 防护 DDoS 防护(Anti-DDoS)具有全面、高效、专业的 DDoS 防护能力,为企业组织提供 DDoS 高防包、DDoS 高防 IP 等多种 DDoS
15、解决方案,应对 DDoS 攻击问题。通过充足、优质的 DDoS 防护资源,结合持续进化的“自研+AI 智能识别”清洗算法,保障用户业务的稳定、安全运行。T-Sec 云防火墙 腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户、弹性扩容功能,是用户业务上云的第一个网络安全基础设施。T-Sec 网络入侵防护系统 网络入侵防护系统(Network Intrusion Prevention System,NIPS),是
16、基于腾讯安全服务内部数百条业务线的运维经验积累和大数据处理能力的结合,通过旁路部署的方式,提供了网络层 ACL(访问控制)和日志审计功能,解决云平台监管、ACL 控制、安全治理等问题,并辅助客户满足适用的合规要求。T-Sec 高级威胁检腾讯云高级威胁检测系统(Network Traffic Analysis System,45 域 产品或服务名称 功能 测系统 NTA,简称:腾讯御界),通过镜像方式采集企业网络边界流量,结合腾讯多年积累的海量安全数据,运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT)。同时,对事件告警原始流量进行留存,方便事后追溯,可极大提升云环境下的威胁感
17、知能力。主机安全 T-Sec 主机安全 主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵检测、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。现支持用户对腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。应用程序安全 T-Sec Web 应用防火墙 腾讯云 Web 应用防火墙(Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵
18、、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业组织通过部署腾讯云 WAF 服务,将 Web 攻击威胁压力转移到腾讯云 WAF 防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航。T-Sec 漏洞扫描服务 漏洞扫描服务(Vulnerability Scan Service,VSS)是一款自动探测企业网络资产并识别其风险的产品。依托腾讯二十年累积的安全能力,漏洞扫描服务能够对企业的网络设备及应用服务的可用性、安全性与合规性等进行定期的安全扫描、持续性风险预警和漏洞检测,并且为企业提供专业的修复建议,降低企业安全风险。身份与访问
19、控制 访问管理 CAM 访问管理(Cloud Access Management,CAM)是腾讯云提供的一套 Web 服务,用于帮助客户安全地管理腾讯云账户的访问权限,资源管理和使用权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制哪些人可以使用哪些腾讯云资源。T-Sec iOA 应用安全访问服务 iOA 应用安全访问服务(Application Secure Access Service)是一款基于零信任架构的应用安全访问云平台,为企业提供安全接入数据中心(本地、单云、混合云)的解决方案。iOA 应用安全访问服务依托腾讯云全球加速节点,为企业员工提供快速、稳定
20、的访问体验,适用于远程办公、数据中心接入、权限控制、终端管控等多种业务场景。同时,iOA 应用安全访问服务支持对接企业微信,通过企业微信安全访问内网应用,接入简单、安全可靠、管控全面可视化。T-Sec 多因子身份认证 MFAS 多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。数字身份管控平台 数字身份管控平台(Identity
21、and Access Management)为您提 46 域 产品或服务名称 功能 IDAM 供集中式的数字身份管控服务。在企业 IT 应用开发时,数字身份管控平台可为您集中管理用户账号、分配访问权限以及配置身份认证规则,避免因员工账号、授权分配不当导致的安全事故。在互联网应用开发时,数字身份管控平台可为您打通应用的身份数据,更好地实现用户画像,也可为用户提供便捷的身份认证体验,提升用户留存。事件响应 云监控 CM 云监控(Cloud Monitor,CM)支持您针对云产品资源和自定义上报资源设置指标阈值告警。为您提供立体化云产品数据监控、智能化数据分析、实时化异常告警和可视化数据展示,让您实
22、时、精准掌控业务和各个云产品健康状况,提升运维效率,减少运维成本。电子记录和数据保护 T-Sec 数据安全中心 DSGC 数据安全中心(Data Security Center,DSGC)帮助企业自动梳理数据资产,对企业云上数据进行分类分级和安全风险评估,并协同腾讯云各安全能力,形成闭合的数据安全防护网,帮助企业最大化提升安全效益。T-Sec 密钥管理系统 密钥管理系统(Key Management Service,KMS)是一款安全管理类服务,可以让您轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足用户多应用多业务的密钥管理需求,符合合规要求。T-Sec 数据脱敏 数据脱敏(Dat
23、a Masking,DMask)是一款敏感数据脱敏与水印标记工具,可对数据系统中的敏感信息进行脱敏处理并在泄漏时提供追溯依据,为企业数据共享、迁移、分发提供安全保护措施。数据保险箱 CDCS 数据保险箱(Cloud Data Coffer Service,CDCS)为您提供更高安全系数的企业核心数据存储服务。您可以通过自定义过期天数的方法删除数据,避免误删带来的损害,还可以将数据跨地域存储,防止一些不可抗因素导致的数据丢失。数据保险箱支持通过控制台、API 等多样化方式快速简单接入,实现海量数据的存储管理。您可以使用数据保险箱对文件数据进行上传、下载,最终实现数据的安全存储和提取。?47 结语
24、?48 附录:GxP 标准分析及映射表 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 1 风险管理 应在计算机化系统的整个生命周期中应用风险管理,并考虑到患者安全、数据完整性和产品质量。作为风险管理系统的一部分,关于验证程度和数据完整性控制的决定应基于对计算机化系统的合理且记录在案的风险评估。客户应对 GxP 系统的整个生命周期进行风险评估。腾讯云将风险管理融入至系统的全生命周期中,具体请见 4.6 系统开发生命周期和 4.7 验证部分。2 人员 流程所有者、系统所有者、持证人员和 IT 等所有相关人员之间应密切合
25、作。所有人员都应具备适当的资格、访问级别和明确的职责,以履行其分配的职责。客户需要确保 GxP 系统的相关人员具备相关的系统、流程操作技能和资质。腾讯云建立并实施了人员培训的相关机制,确保自身员工具有足够的资质、能力和信息安全意识,具体请见4.4 人员管理。3 供应商管理 3.1 当使用第三方(例如供应商、服务提供商)时,例如 提供、安装、配置、集成、验证、维护(例如通过远程访问)、修改或保留计算机化系统或相关服务或用于数据处理,制造商与任何第三方之间必须存在正式协议,这些协议应包括明确说明第三方的责任。公司内部 IT 部门与第三方服务商同等处理。3.2 供应商的能力和可靠性是选择生产服务供应
26、商的关键因素。审计的必要性应基于风险评估。客户有责任对供应商的能力进行评估并和供应商签订协议,明确双方责任。腾讯云作为云服务提供商,会配合医疗健康行业客户GxP 的合规需要,配合客户对腾讯云的供应商评估和供应商协议制定,具体请见 4.5 供应商管理。49 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 3.3 商业现货产品提供的文件应由受监管的用户审查,以检查用户要求是否得到满足。3.4 与供应商或软件开发商和实施系统有关的质量体系和审计信息应按要求提供给检查员。腾讯云建立并实施了质量审核程序,通过对质量管理体系的定
27、期审核,确保腾讯云质量管理体系满足质量方针和目标,并符合客户的 GxP 合规要求。具体请见 4.2 质量管理审计。4 验证 4.1 验证文件和报告应涵盖生命周期的相关步骤。制造商应能够根据风险评估证明其标准、协议、验收标准、程序和记录的合理性。4.2 验证文件应包括变更控制记录(如果适用)和在验证过程中观察到的任何偏差的报告。4.3 应提供所有相关系统及其良好生产规范 GMP 功能(清单)的最新列表。对于关键系统,应提供最新的系统描述,详细说明物理和逻辑安排、数据流和与其他系统或流程的接口、任何硬件和软件先决条件以及安全措施。4.4 用户要求规范应描述计算机化系统所需的功能,并基于记录的风险评
28、估和良好生产规范 GMP 影响。用户需求应该在整个生命周期中是可追溯的。4.5 受监管的用户应采取一切合理的步骤,以确保系统的开发符合适当的质量管理体系。应适当评估供应商。4.6 对于全定制或半定制的计算机化系统的验证,应该有一个流程来确保对系统的所有生命周期阶段的质量和性能测量进行正式评估和报告。4.7 应证明适当的测试方法和测试场景的证据。特别应考虑系统(过程)参数限制、数据限制和错误处理。自动化测试工具和测试环境应该对其充分性进行记录评估。客户需要根据风险评估的结果确定验证的范围与程度,确保系统组件功能符合预定用途。腾讯云通过系统开发生命周期对所提供的云平台服务和产品进行质量和安全管理,
29、并确保相关组件保持验证的状态,具体请见 4.6 系统开发生命周期 和 4.7 验证。腾讯云制定了完善的变更管理程序、规范及标准化系统变更和紧急系统变更时的操作,具体请见 5.3 变更和配置管理。50 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 4.8 如果数据被转移到另一种数据格式或系统,验证应包括检查数据在此迁移过程中的价值和/或含义是否没有改变。5 数据 与其他系统以电子方式交换数据的计算机化系统应包括适当的内置检查,以确保正确、安全地输入和处理数据,以将风险降至最低。受 GxP 监管的医疗健康机构需要结合业
30、务流程使用合适的内置检查节点或加密手段,确保电子数据以安全的方式进行数据交换和数据处理。腾讯云会对客户通过互联网访问腾讯云控制台的通信进行 HTTPS 加密,腾讯云云 API 与腾讯云之间的通信亦支持 HTTPS 数据加密传输协议,具体请见 6.2 电子记录和数据的保护。6 准确性检查 对于手动输入的关键数据,应额外检查数据的准确性。该检查可以由第二个操作员或通过验证的电子方式完成。风险管理应涵盖错误或错误输入系统数据的严重性和潜在后果。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构采取措施确保手动输入数据的准确性。7 数据存储 7.1 应通过物理和电子方式保护数据免受损坏。应检查存
31、储数据的可访问性、可读性和准确性。应确保在整个保留期内访问数据。7.2 应定期备份所有相关数据。应在验证期间检查备份数据的完整性和准确性以及恢复数据的能力,并定期进行监控。客户对其托管于云端的数据拥有完全的控制权,对这些数据的安全管理负最终责任。客户需要执行相应的管理措施或采用腾讯云上提供的相关数据安全产品或功能,确保数据在采集、处理、存储等活动中的真实、准确、完整和可追溯。腾讯云平台本身也采取了多项管理措施和技术手段,致力于协助客户保障云上数据的机密性、完整性和可用 51 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应
32、章节 性。针对腾讯云的数据备份服务,客户可以通过工单了解备份和验证的更多信息,具体请见 6.2 记录和数据的保护和 5.1 数据备份和恢复。8 数据输出 8.1 应该可以获得电子存储数据的清晰打印副本。8.2 对于支持批量放行的记录,应该可以生成纸质版本,表明自原始输入以来是否有任何数据已更改。此要求对腾讯云不适用。客户对其托管于云端的数据拥有完全的控制权。9 审计跟踪 根据风险评估,应考虑在系统中建立所有良好生产规范 GMP 相关更改和删除的记录(系统生成的“审计跟踪”)。对于良好生产规范 GMP 相关数据的更改或删除,应记录原因。审计跟踪需要保证可用性,并可转换为一般可理解的形式并定期审查
33、。客户需要确保系统保留了相关的日志以备审计追踪。腾讯云建立了日志和审计管理制度,并对云产品后台运维进行日志记录并定期审计,请见 5.2 日志和审计跟踪。10 变更和配置管理 对计算机化系统(包括系统配置)的任何更改只能按照规定的程序以受控方式进行。客户需要确保其 GxP 系统和配置的变更具有相关控制流程和操作规范。针对腾讯云的产品和支撑平台,腾讯云建立并实施了严格的变更和配置管理流程,并通过变更管理平台确保变更安全受控,具体请见 5.3 变更和配置管理。52 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 11 定期
34、评估 应定期评估计算机化系统,以确认它们保持有效状态并符合良好生产规范GMP。在适当的情况下,此类评估应包括当前功能范围、偏差记录、事件、问题、升级历史、性能、可靠性、安全性和验证状态报告。客户需要定期对其计算机化系统进行评估,确认其 GxP的合规性。针对腾讯云所提供的 GxP 组件,腾讯云每年都会通过独立第三方审计进行系统质量和安全性审计,以确认腾讯云所提供的产品或服务保持有效状态。具体请见 4.2 质量管理审计。12 安全 12.1 物理和/或逻辑控制应到位,以限制授权人员访问计算机化系统。防止未经授权进入系统的合适方法可以包括使用钥匙、通行卡、带有密码的个人代码、生物特征、限制对计算机设
35、备和数据存储区域的访问。12.2 安全控制的程度取决于计算机系统的关键程度。12.3 应记录访问授权的创建、更改和取消。12.4 数据和文件的管理系统应设计用于记录操作员输入、更改、确认或删除数据的身份,包括日期和时间。针对物理控制,如客户通过腾讯云搭建云上 GxP 系统,则底层的物理安全部分由腾讯云负责。腾讯云通过访问控制、物理环境管控、定期巡检和审计等手段,确保物理管控到位,具体请见 5.4 物理安全。针对逻辑控制,客户需要在组织内部采取身份认证和访问控制措施,确保内部人员对 GxP 业务系统的访问受控。腾讯云通过多项身份认证和访问控制措施确保后台运维操作经过授权并保留日志供安全审计,具体
36、请见5.8 身份认证与访问控制。13 事件管理 所有事件,不仅是系统故障和数据错误,都应该报告和评估。应识别关键事件的根本原因,并应形成纠正和预防措施的基础。客户需要建立事件管理流程,并采取相应的纠正和预防措施。腾讯云建立了完备的事件响应流程,确保第一时间对事件作出处理,降低负面影响;如事件会影响到客户业 53 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 务,腾讯云会尽快同步客户并为客户提供事件处理建议,具体请见 5.9 事件响应。14 电子签名 电子记录可以以电子方式签署。电子签名应:a.与公司范围内的手写签名
37、具有相同的影响,b.永久链接到他们各自的记录,c.包括应用它们的时间和日期。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在使用电子签名时遵守相关规定。15 批量放行 当使用计算机系统记录认证和批量放行时,该系统应仅允许合格人员认证批量放行,并应清楚地识别和记录批量放行或批量认证的人员。这应该使用电子签名来执行。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在产品批量发行时遵守相关规定。16 业务连续性 对于支持关键流程的计算机化系统的可用性,应作出规定,以确保在系统故障(例如手动或替代系统)的情况下对这些流程的支持的连续性。将替代安排投入使用所需的时间应基于风险并适合特定
38、系统及其支持的业务流程。这些安排应充分记录和测试。客户需要根据业务影响分析为 GxP 系统制定业务连续性计划并进行演练,以确保有效性。腾讯云建立了业务连续性管理体系以及产品和服务的应急预案,并会全力配合医疗健康行业客户的业务连续性计划,具体请见 5.10 业务连续性管理。54 欧盟药品管理局欧盟药品生产规范 第 4 卷 附件 11计算机系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 17 数据归档 数据可能会被存档。应检查这些数据的可访问性、可读性和完整性。如果要对系统(例如计算机设备或程序)进行相关更改,则应确保和测试检索数据的能力。针对客户托管在腾讯云上的归档数据,腾讯云
39、采取了一系列数据保护措施以协助客户确保数据的可访问性、可读性和完整性,具体请见 6.电子记录和数据管理。55?中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第三条 风险管理 风险管理应当贯穿计算机化系统的生命周期全过程,应当考虑患者安全、数据完整性和产品质量。作为质量风险管理的一部分,应当根据书面的风险评估结果确定验证和数据完整性控制的程度。客户应对 GxP 系统的整个生命周期进行风险评估。腾讯云将风险管理融入至系统的全生命周期中,具体请见 4.6 系统开发生命周期和 4.7 验证部分。第四条 供应商管理 企业应当针
40、对计算机化系统供应商的管理制定操作规程。供应商提供产品或服务时(如安装、配置、集成、验证、维护、数据处理等),企业应当与供应商签订正式协议,明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。客户有责任对供应商的能力进行评估并和供应商签订协议,明确双方责任。腾讯云作为云服务提供商,会配合医疗健康行业客户GxP 的合规需要,配合客户对腾讯云的供应商评估和供应商协议制定,并为客户提供腾讯云 ISO9001 质量管理体系认证证书,具体请见 4.5 供应商管理。第五条 人员 计算机化系统生命周期中所涉及的各种活动,如验证、使用、维护、管理等,需要各相关的职能部门人员之间的
41、紧密合作。应当明确所有使用和管理计算机化系统人员的职责和权限,并接受相应的使用和管理培训。应当确保有适当的专业人员,对计算机化系统的设计、验证、安装和运行等方面进行培训和指导。客户需要确保 GxP 系统的相关人员具备相关的系统、流程操作技能和资质。腾讯云建立并实施了人员培训的相关机制,确保自身员工具有足够的资质、能力和信息安全意识,具体请见4.4 人员管理。第六条 至 第九条 验证 第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。应当在计算机化系统生命周期中保持其验证状态。客户需要根据风险评估的结
42、果确定验证的范围与程度,进行应用程序的验证和基础架构的确认,确保系统功能符合预定用途。56 中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第七条 企业应当建立包含药品生产质量管理过程中涉及的所有计算机化系统清单,标明与药品生产质量管理相关的功能。清单应当及时更新。第八条 企业应当指定专人对通用的商业化计算机软件进行审核,确认其满足用户需求。在对定制的计算机化系统进行验证时,企业应当建立相应的操作规程,确保在生命周期内评估系统的质量和性能。第九条 数据转换格式或迁移时,应当确认数据的数值及含义没有改变。腾讯云通过系统开
43、发生命周期对所提供的云平台服务和产品进行质量和安全管理,并确保相关组件保持验证的状态,具体请见 4.6 系统开发生命周期 和 4.7 验证。腾讯云制定了完善的变更管理程序、规范及标准化系统变更和紧急系统变更时的操作,具体请见 5.3 变更和配置管理。第十条 系统 系统应当安装在适当的位置,以防止外来因素干扰。针对物理控制,如客户通过腾讯云搭建云上 GxP 系统,则底层的物理安全部分由腾讯云负责。腾讯云通过访问控制、物理环境管控、定期巡检和审计等手段,确保物理管控到位,具体请见 5.4 物理安全。第十一条 系统 关键系统应当有详细阐述的文件(必要时,要有图纸),并须及时更新。此文件应当详细描述系
44、统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征,以及如何与其他系统和程序对接。客户应该考虑为 GxP 系统制定相关的说明文档。腾讯云的服务或产品可以通过官网找到具体的介绍文档和 API/SDK 调用方式,具体请见腾讯云官网产品页。第十二条 系统 软件是计算机化系统的重要组成部分。企业应当根据风险评估的结果,对所采用软件进行分级管理(如针对软件供应商的审计),评估供应商质量保证系统,保证软件符合企业需求。客户有责任对供应商的能力进行评估并和供应商签订协议,明确双方责任。腾讯云作为云服务提供商,会配合医疗健康行业客户GxP 的合规需要,配合客户对腾讯云的供应商评估和供 57 中国
45、国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 应商协议制定,并为客户提供腾讯云 ISO9001 质量管理体系认证证书。具体请见 4.5 供应商管理。第十三条 系统 在计算机化系统使用之前,应当对系统进行全面测试,并确认系统可以获得预期的结果。当计算机化系统替代某一人工系统时,可采用两个系统(人工和计算机化)平行运行的方式作为测试和验证内容的一部分。客户需要根据风险评估的结果确定验证的范围与程度,确保系统功能符合预定用途。腾讯云通过系统开发生命周期对所提供的云平台服务和产品进行质量和安全管理,并确保相关组件保持通过全面的质
46、量和安全测试,具体请见 4.6 系统开发生命周期和 4.7 验证。第十四条 系统 只有经许可的人员才能进入和使用系统。企业应当采取适当的方式杜绝未经许可的人员进入和使用系统。应当就进入和使用系统制订授权、取消以及授权变更的操作规程。必要时,应当考虑系统能记录未经许可的人员试图访问系统的行为。对于系统自身缺陷,无法实现人员控制的,必须具有书面程序、相关记录本及相关物理隔离手段,保证只有经许可的人员方能进行操作。客户需要采取身份认证和访问控制措施,确保其 GxP 业务系统的访问受控,防止未经授权的访问;并根据系统的重要程度设置相关日志功能。腾讯云为客户提供了身份认证和访问控制的相关产品和工具,还通
47、过多项身份认证和访问控制措施确保腾讯云后台运维操作经过授权并保留日志供安全审计,具体请见 5.8 身份认证与访问控制。腾讯云产品及支撑系统都需要开启日志功能,后台运维相关的登录活动和用户操作行为都由安全组件进行监控和日志记录,具体请见5.2 日志和审计跟踪。58 中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第十五条 系统 当人工输入关键数据时,应当复核输入记录以确保其准确性。这个复核可以由另外的操作人员完成,或采用经验证的电子方式。必要时,系统应当设置复核功能,确保数据输入的准确性和数据处理过程的正确性。此要求对腾
48、讯云不适用,需由受 GxP 监管的医疗健康机构采取措施确保手动输入数据的准确性。第十六条 系统 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员,方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准,并应当记录更改数据的理由。应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更。客户应该建立相关的记录访问控制和修改权限审批流程,并记录系统的相关日志以备审计。腾讯云为客户提供了身份认证和访问控制措施,并对腾讯云后台运维的访问进行严格的管控,具体请见 5.8 身份认证与访问控制。腾讯云产品及支撑系统都需要开启日志功能
49、,后台运维相关的登录活动和用户操作行为都由安全组件进行监控和日志记录,具体请见 5.2 日志和审计跟踪。第十七条 系统 计算机化系统的变更应当根据预定的操作规程进行,操作规程应当包括评估、验证、审核、批准和实施变更等规定。计算机化系统的变更,应经过该部分计算机化系统相关责任人员的同意,变更情况应有记录。客户需要确保其 GxP 系统和配置的变更具有相关控制流程和操作规范。针对腾讯云的产品和支撑平台,腾讯云建立并实施了严格的变更和配置管理流程,并通过变更管理平台确保变更安全受控,具体请见 5.3 变更和配置管理。59 中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP
50、 标准要求 腾讯云适用性及 白皮书对应章节 第十八条 系统 对于电子数据和纸质打印文稿同时存在的情况,应当有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构结合自身的需求决定并遵循相关规定。第十九条 系统 以电子数据为主数据时,应当满足以下要求:(一)为满足质量审计的目的,存储的电子数据应当能够打印成清晰易懂的文件。(二)必须采用物理或者电子方法保证数据的安全,以防止故意或意外的损害。日常运行维护和系统发生变更(如计算机设备或其程序)时,应当检查所存储数据的可访问性及数据完整性。(三)应当建立数据备份与恢复的操作规程,定期对数据
51、备份,以保护存储的数据供将来调用。备份数据应当储存在另一个单独的、安全的地点,保存时间应当至少满足本规范中关于文件、记录保存时限的要求。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了相关的数据保护机制和产品,协助客户保护托管在腾讯云中的数据的完整性、可用性和机密性,具体请见 5.1 数据备份和恢复 和 6.电子记录和数据管理。第二十条 系统 企业应当建立应急方案,以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如,影响召回产品的相关信息应当能够及时获得。客户需要根据业务影响分析为 GxP 系统制定业务连续性计划并进行演练,以确保有效
52、性。腾讯云建立了业务连续性管理体系以及产品和服务的应急预案,并会全力配合医疗健康行业客户的业务连续性计划,具体请见 5.10 业务连续性管理。60 中国国家药品监督管理局药品生产质量管理规范附录 1计算机化系统 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第二十一条 系统 应当建立系统出现故障或损坏时进行处理的操作规程,必要时对该操作规程的相关内容进行验证。包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查,识别其根本原因,并采取相应的纠正措施和预防措施。客户需要建立事件管理流程,并采取相应的纠正和预防措施。腾讯云建立了完备的事件响应流程,确保第
53、一时间对事件作出处理,降低负面影响;如事件会影响到客户业务,腾讯云会尽快同步客户并为客户提供事件处理建议,具体请见 5.9 事件响应。第二十二条 系统 当采用计算机化系统放行产品时,计算机化系统应当能明示和记录放行产品人员的身份。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在采用计算机系统放行产品时遵守相关规定。第二十三条 电子签名 电子数据可以采用电子签名的方式,电子签名应当遵循相应法律法规的要求。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在使用电子签名时遵守相关规定。?61 中国国家药品监督管理局药品记录与数据管理要求(试行)序号 域 GxP 标准要求 腾讯云适用
54、性及 白皮书对应章节 第四条 基本要求 记录可以根据用途,分为台账、日志、标识、流程、报告等不同类型。从事药品研制、生产、经营、使用活动,应当根据活动的需求,采用一种或多种记录类型,保证全过程信息真实、准确、完整和可追溯。记录载体可采用纸质、电子或混合等一种或多种形式。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了相关的数据保护机制,协助客户保护托管在腾讯云中的数据的完整性、可用性和机密性,具体请见5.1 数据备份和恢复 和 6.电子记录和数据管理。第五条 基本要求 采用计算机(化)系统生成记录或数据的,应当采取相应的管理措施与技术手段,确保生成的信息真实、准确、完
55、整和可追溯。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了相关的数据保护机制,协助客户保护托管在腾讯云中的数据的完整性、可用性和机密性,具体请见 5.1 数据备份和恢复 和 6.电子记录和数据管理。第六条 基本要求 电子记录至少应当实现原有纸质记录的同等功能,满足活动管理要求。对于电子记录和纸质记录并存的情况,应当在相应的操作规程和管理制度中明确规定作为基准的形式。此要求对腾讯云不适用,纸质记录相关的要求需由受GxP 监管的医疗健康机构结合业务情况遵循。第七条 基本要求 应当根据记录的用途、类型与形式,制定记录管理规程,明确记录管理责任,规范记录的控制方法。客户需要
56、建立数据或记录的管理规程,并明确各类型数据的管理责任与控制要求。腾讯云已经建立了数据安全保护相关的管理流程和规范,具体请见 6.1 记录和数据的管理规程。62 中国国家药品监督管理局药品记录与数据管理要求(试行)序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第八条 基本要求 数据的采集、处理、存储、生成、检索、报告等活动,应当满足相应数据类型的记录填写或数据录入的要求,保证数据真实、准确、完整和可追溯。客户需要建立数据或记录的管理规程,并明确各类型数据的管理责任与控制要求。腾讯云已经建立了数据安全保护相关的管理流程和规范,具体请见 6.1 记录和数据的管理规程。第九条 基本要求
57、根据数据的来源与用途,可将数据分为基础信息数据、行为活动数据、计量器具数据、电子数据及其它类型数据,不同类型的数据应当采用适当的管理措施与技术手段。此要求对腾讯云不适用,客户需要根据其 GxP 业务数据的来源和用途进行数据分类分级并采取相应的管控措施。第十条 基本要求 从事记录与数据管理的人员应当接受必要的培训,掌握相应的管理要求与操作技能,遵守职业道德守则。客户需要确保 GxP 系统的相关人员具备相关的系统、流程操作技能和资质。腾讯云建立并实施了人员培训的相关机制,确保自身员工具有足够的资质、能力和信息安全意识,具体请见 4.4 人员管理。第十一条 基本要求 通过合同约定由第三方产生的记录与
58、数据,应当符合本要求规定,并明确合同各方的管理责任。客户有责任对供应商的能力进行评估并和供应商签订协议,明确双方责任。腾讯云作为云服务提供商,会配合医疗健康行业客户GxP 的合规需要,配合客户的协议制定事宜,具体请见4.5 供应商管理。63 中国国家药品监督管理局药品记录与数据管理要求(试行)序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 第二十条 电子记录管理要求 采用电子记录的计算机(化)系统应当满足以下设施与配置:(一)安装在适当的位置,以防止外来因素干扰;(二)支持系统正常运行的服务器或主机;(三)稳定、安全的网络环境和可靠的信息安全平台;(四)实现相关部门之间、岗位之间信
59、息传输和数据共享的局域网络环境;(五)符合相关法律要求与管理需求的应用软件与相关数据库;(六)能够实现记录操作的终端设备及附属装置;(七)配套系统的操作手册、图纸等技术资料。客户需要根据其采用的云服务模式,确保其 GxP 计算机化系统满足有关的主机、网络、应用程序、终端和配置的安全要求。腾讯云通过相关管理流程和技术手段保障底层基础设施的安全可靠,具体请看 5.4 物理安全、5.5 网络安全、5.6 主机安全和 5.7 应用程序安全。第二十一条 电子记录管理要求 采用电子记录的计算机(化)系统至少应当满足以下功能要求:(一)保证记录时间与系统时间的真实性、准确性和一致性;(二)能够显示电子记录的
60、所有数据,生成的数据可以阅读并能够打印;(三)系统生成的数据应当定期备份,备份与恢复流程必须经过验证,数据的备份与删除应有相应记录;(四)系统变更、升级或退役,应当采取措施保证原系统数据在规定的保存期限内能够进行查阅与追溯。客户需要确保存储在计算机化系统中的电子记录的真实性、准确性、完整性和可用性。腾讯云依据产品的功能为客户提供数据备份服务,并严格依据变更流程管理云产品和支撑平台的变更,具体请见 5.1 数据备份和恢复、5.3 变更和配置管理。第二十二条 电子记录管理要求 电子记录应当实现操作权限与用户登录管理,至少包括:(一)建立操作与系统管理的不同权限,业务流程负责人的用户权限应当与承担的
61、职责相匹配,不得赋予其系统(包括操作系统、应用程序、数据库等)管理员的权限;(二)具备用户权限设置与分配功能,能够对权限修改进行跟踪与查询;客户需要采取身份认证和访问控制措施,确保其 GxP 业务系统的访问受控,防止未经授权的访问;腾讯云为客户提供了身份认证和访问控制的相关产品和工具,还通过多项身份认证和访问控制措施确保腾讯云后 64 中国国家药品监督管理局药品记录与数据管理要求(试行)序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节(三)确保登录用户的唯一性与可追溯性,当采用电子签名时,应当符合中华人民共和国电子签名法的相关规定;(四)应当记录对系统操作的相关信息,至少包括操作者、
62、操作时间、操作过程、操作原因;数据的产生、修改、删除、再处理、重新命名、转移;对计算机(化)系统的设置、配置、参数及时间戳的变更或修改。台运维操作经过授权并保留日志供安全审计,具体请见5.8 身份认证与访问控制。第二十三条 电子记录管理要求 采用电子记录的计算机(化)系统验证项目应当根据系统的基础架构、系统功能与业务功能,综合系统成熟程度与复杂程度等多重因素,确定验证的范围与程度,确保系统功能符合预定用途。客户需要根据风险评估的结果确定验证的范围与程度,确保系统功能符合预定用途。腾讯云通过系统开发生命周期对所提供的云平台服务和产品进行质量和安全管理,并确保相关组件保持验证的状态,具体请见 4.
63、6 系统开发生命周期 和 4.7 验证。注:药品记录与数据管理要求(试行)中的对纸质记录和业务数据管理要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构遵循相关的业务操作要求,在此不再更多介绍。?65 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 820.5 质量管理 每个制造商都应建立和维护适用于设计或制造的特定医疗器械并满足本部分要求的质量体系。客户应建立并维护自身的质量管理体系。腾讯云基于国际标准建立了质量管理体系并通过了国际权威第三方的认证,具体请见 4.1 质量管理体系和 4.2 质量管理审计。820.20 质量管理(
64、a)质量政策。负有执行责任的管理层应建立其质量方针和目标,以及对质量的承诺。负有执行责任的管理层应确保质量方针在组织的各个层面得到理解、实施和维护。(b)组织。每个制造商应建立并保持适当的组织结构,以确保设备的设计和生产符合本部分的要求。(1)责任和权限。每个制造商应为管理、执行和评估影响质量的工作的所有人员建立适当的职责、权限和相互关系,并提供执行这些任务所需的独立性和权限。(2)资源。每个制造商应为管理、工作绩效和评估活动(包括内部质量审核)提供足够的资源,包括指派受过培训的人员,以满足本部分的要求。(3)管理代表。负有行政责任的管理层应任命并记录任命一名管理层成员,无论其他职责如何,该成
65、员应具有对以下方面的权力和责任:(i)确保按照本部分有效建立和有效维护质量体系要求;和(ii)向负有执行审查责任的管理层报告质量体系的绩效。(c)管理审查。负有执行责任的管理层应按照既定程序以规定的时间间隔和足够的频率审查质量体系的适用性和有效性,以确保质量体系满足本部分的要求和制造商既定的质量方针和目标。质量体系评审的日期和结果应形成文件。客户应建立并维护自身的质量管理体系。腾讯云基于国际标准建立了质量管理体系并通过了权威第三方的认证,具体请见 4.1 质量管理体系 和 4.2 质量管理审计。66 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白
66、皮书对应章节(d)质量规划。每个制造商都应制定质量计划,定义与设计和制造的器械相关的质量实践、资源和活动。制造商应确定如何满足质量要求。(e)质量体系程序。每个制造商应建立质量体系程序和说明。适当时应建立质量体系中使用的文件结构大纲。820.22 质量审核 每个制造商应建立质量审核程序并进行此类审核,以确保质量体系符合既定的质量体系要求并确定质量体系的有效性。质量审核应由对被审核事项不直接负责的个人进行。必要时应采取纠正措施,包括重新审核有缺陷的事项。应就每次质量审核和重新审核的结果作出报告,并由负责审核事项的管理层审查此类报告。质量审核和再审核的日期和结果应形成文件。客户应建立并维护自身的质
67、量管理体系,并对体系进行审核。腾讯云基于国际标准建立了质量管理体系并通过了权威第三方的认证,具体请见 4.1 质量管理体系 和 4.2 质量管理审计。820.25 人员(a)一般。每个制造商都应有足够的人员具有必要的教育、背景、培训和经验,以确保正确执行本部分要求的所有活动。(b)培训。每个制造商应建立确定培训需求的程序,并确保所有人员都经过培训以充分履行其指定的职责。培训应形成文件。(1)作为培训的一部分,应使员工了解可能因不当执行特定工作而导致的设备缺陷。(2)执行验证和确认活动的人员应了解在其工作职能中可能遇到的缺陷和错误。客户需要确保 GxP 系统的相关人员具备相关的系统、流程操作技能
68、和资质。腾讯云建立并实施了人员培训的相关机制,确保自身员工具有足够的资质、能力和信息安全意识,具体请见4.4 人员管理。67 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 820.40 文档管理 每个制造商应建立和维护程序来控制本部分要求的所有文件。程序应规定以下内容:(a)文件批准和分发。每个制造商应指定一个或多个人来审查充分性并在发布所有为满足本部分要求而建立的文件之前批准。批准,包括批准文件的个人的日期和签名,应记录在案。为满足本部分要求而建立的文件应在指定、使用或其他必要的所有位置可用,所有过时的文件应立即从所有使用点移除或
69、以其他方式防止意外使用。(b)文件更改。除非另有特别指定,否则文件的更改应由执行原始审查和批准的同一职能或组织中的个人审查和批准。批准的变更应及时传达给适当的人员。每个制造商应保存文件更改的记录。变更记录应包括变更说明、受影响文件的标识、批准人的签名、批准日期以及变更生效的时间。客户需要建立文档管理程序,对业务的标准操作流程(SOP)和系统操作和维护相关的程序进行规范管理,确保文档的准确性和有效性。腾讯云建立了文档管理程序,覆盖文档的编制、审批、发布、保管、使用、修订、保留和作废等阶段,并通过电子文档管理平台以对腾讯云各个管理体系的文档进行统一的管理,具体请见 4.3 文档管理。820.50
70、供应商控制 每个制造商应建立和维护程序,以确保所有购买或以其他方式收到的产品和服务符合规定的要求。(a)对供应商、承包商和顾问的评估。每个制造商应建立并保持供应商、承包商和顾问必须满足的要求,包括质量要求。每个制造商应:(1)根据潜在供应商、承包商和顾问满足特定要求(包括质量要求)的能力来评估和选择他们。评估应形成文件。(2)根据评估结果,确定对产品、服务、供应商、承包商和顾问实施控制的类型和程度。(3)建立和维护可接受的供应商、承包商和顾问的记录。客户有责任对供应商的能力进行评估并和供应商签订协议,明确双方责任。腾讯云作为云服务提供商,会配合医疗健康行业客户GxP 的合规需要,配合客户对腾讯
71、云的供应商评估和供应商协议制定,并为客户提供腾讯云 ISO9001 质量管理体系认证证书。具体请见 4.5 供应商管理。68 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节(b)采购数据。每个制造商应建立和维护清楚地描述或引用特定要求的数据,包括质量要求,用于购买或以其他方式接收的产品和服务。在可能的情况下,采购文件应包括供应商、承包商和顾问同意将产品或服务的变化通知制造商的协议,以便制造商可以确定这些变化是否会影响成品设备的质量。采购数据应根据 820.40 进行批准。注:Part 820 中的其他要求对腾讯云不适用,需由受 GxP
72、 监管的医疗健康机构遵循相关的业务操作要求,在此不再更多介绍。11.10(a)电子记录;电子签名-对于封闭系统的控制 验证系统以确保准确性、可靠性、一致的预期性能以及识别无效或更改记录的能力。客户需要根据风险评估的结果确定验证的范围与程度,确保系统功能符合预定用途。腾讯云通过系统开发生命周期对所提供的云平台服务和产品进行质量和安全管理,并确保相关组件保持验证的状态,具体请见 4.6 系统开发生命周期 和 4.7 验证。11.10(b)电子记录;电子签名-对于封闭系统的控制 能够以适合机构检查、审查和复制的人类可读和电子形式生成准确和完整的记录副本。如果对机构对电子记录进行此类审查和复制的能力有
73、任何疑问,应联系该机构。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了一系列数据保护机制和产品,赋能客户保护其数据的完整性、可用性和机密性,具体请见 5.1 数据备份和恢复 和 6.电子记录和数据的要求。69 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 11.10(c)电子记录;电子签名-对于封闭系统的控制 保护记录,使其在整个记录保留期内能够准确和方便地检索。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了一系列数据保护机制和产品,赋能客户保护其数据的完整性、可用性和机密性,
74、具体请见 5.1 数据备份和恢复 和 6.电子记录和数据的管理。11.10(d)电子记录;电子签名-对于封闭系统的控制 限制授权个人访问系统。客户需要采取身份认证和访问控制措施,确保其 GxP 业务系统的访问受控,防止未经授权的访问;腾讯云为客户提供了身份认证和访问控制的相关产品和工具,还通过多项身份认证和访问控制措施确保腾讯云后台运维操作经过授权并保留日志供安全审计,具体请见5.8 身份与访问控制。11.10(e)电子记录;电子签名-对于封闭系统的控制 使用安全的、计算机生成的、带有时间戳的审计跟踪来独立记录操作员输入的日期和时间以及创建、修改或删除电子记录的操作。记录更改不得掩盖以前记录的
75、信息。此类审计跟踪文件应至少保留与主题电子记录所需的时间一样长的时间,并应可供机构审查和复制。客户需要确保系统保留了相关的日志以备审计追踪。腾讯云建立了日志管理制度,并对云产品后台运维的操作进行日志记录并定期审计,请见 5.2 日志和审计跟踪。11.10(f)电子记录;电子签名-对于封闭系统的控制 酌情使用操作系统检查来强制执行允许的步骤和事件顺序。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构遵守相关规定。70 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 11.10(g)电子记录;电子签名-对于封闭系统的控制 使用权限
76、检查以确保只有经过授权的个人才能使用系统、对记录进行电子签名、访问操作或计算机系统输入或输出设备、更改记录或执行手头的操作。客户需要采取身份认证和访问控制措施,确保其 GxP 业务系统的访问受控,防止未经授权的访问;腾讯云为客户提供了身份认证和访问控制措施,并对腾讯云后台运维的访问进行严格的管控,具体请见 5.8 身份认证与访问控制。11.10(h)电子记录;电子签名-对于封闭系统的控制 使用设备(例如终端)检查以确定数据输入或操作指令来源的有效性。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构遵守相关规定。11.10(i)电子记录;电子签名-对于封闭系统的控制 确定开发、维护或使用
77、电子记录/电子签名系统的人员具有执行指定任务的教育、培训和经验。客户需要确保 GxP 系统的相关人员具备相关的系统、流程操作技能和资质。腾讯云建立并实施了人员培训的相关机制,确保自身员工具有足够的资质、能力和信息安全意识,具体请见4.4 人员管理。11.10(j)电子记录;电子签名-对于封闭系统的控制 制定并遵守书面政策,要求个人对其电子签名下发起的行为负责,以阻止记录和签名伪造。此要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在使用电子签名时遵守相关规定。71 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 11.10(k)
78、电子记录;电子签名-对于封闭系统的控制 对系统文件使用适当的控制,包括:(1)对系统操作和维护文档的分发、访问和使用进行充分控制。(2)修订和变更控制程序,以维护记录系统文档的时间顺序开发和修改的审计跟踪。客户需要建立文档管理程序,对业务的标准操作流程(SOP)和系统操作和维护相关的程序进行规范管理,确保文档的准确性和有效性。腾讯云建立了文档管理程序,覆盖文档的编制、审批、发布、保管、使用、修订、保留和作废等阶段,并通过电子文档管理平台以对腾讯云各个管理体系的文档进行统一的管理,具体请见 4.3 文档管理。11.30 电子记录;电子签名-对于开放系统的控制 使用开放系统创建、修改、维护或传输电
79、子记录的人员应采用旨在确保电子记录从创建到其发送点的真实性、完整性以及适当情况下的机密性的程序和控制。此类程序和控制应酌情包括第 11.10 节中确定的程序和控制,以及其他措施,例如文件加密和使用适当的数字签名标准,以确保在必要时根据情况记录真实性、完整性和机密性。客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了一系列数据保护机制和产品,赋能客户保护其数据的完整性、可用性和机密性,具体请见 5.1 数据备份和恢复 和 6.电子记录和数据的管理。注:Part 11.50-11.300 要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构在使用电子签名时遵守相关规定,在
80、此不再更多介绍。211.68(b)自动、机械和电子设备 应对计算机或相关系统实施适当的控制,以确保主生产和控制记录或其他记录的更改仅由授权人员进行。应检查计算机或相关系统的公式或其他记录或数据的输入和输出的准确性。输入/输出验证的程度和频率应基于计算机或相关系统的复杂性和可靠性。应保留输入计算机或相关系统的数据备份文件,除非某些数据(例如与实验室分析相关的计算)通过计算机化或其他自动化过程消除。在这种情况下,程序的书面记录应与适当的验证数据一起保存。硬拷贝或替代系统,客户需要采取相关的管理和技术手段保证电子数据的可用性和完整性。腾讯云提供了一系列数据保护机制和产品,赋能客户保护其数据的完整性、可用性和机密性,具体请见 5.1 数据备份和恢复 和 6.电子记录和数据的管理。72 美国食品和药物管理局 联邦法规法典第 21 篇 序号 域 GxP 标准要求 腾讯云适用性及 白皮书对应章节 例如副本、磁带或缩微胶卷,旨在确保备份数据准确和完整,并确保其不会被更改、无意擦除或丢失。注:Part 211 中的其他要求对腾讯云不适用,需由受 GxP 监管的医疗健康机构遵循相关的业务操作要求,在此不再更多介绍。?