1.传统GxP IT合规
参考上文《GxP环境下的云合规(1) - GxP的CSV要求(
GxP环境下的云合规(1) - GxP的CSV要求)》对传统IT虚拟机服务器架构的GxP CSV合规分析,我们可以总结以下GxP对于信息化技术的合规要求
GxP环境下的云合规(1) - GxP的CSV要求)》对传统IT虚拟机服务器架构的GxP CSV合规分析,我们可以总结以下GxP对于信息化技术的合规要求
Table1. 传统GxP IT合规中虚拟化服务器架构的合规要素
2.From 虚拟化 to 云计算
这种将虚拟化与其他技术(如web服务和部署/管理自动化)相结合以交付新功能和服务模型的趋势现在被认为是云计算Cloud Computing。利用基于云的基础设施,云计算Cloud Computing这种新兴组合技术用于综合统筹管理云计算资源(IaaS, PaaS, SaaS)和底层物理服务器资源(硬件和设施)。
图1. 虚拟化平台技术在云计算中的应用
3. 云计算的GxP验证思路
而基于Table1 GxP对于传统IT架构的确认(Infrastructure qualification)与验证(Application Validation)要求,类比图1,我们可以得到以下“传统IT vs 云计算”关系
图2 传统IT虚拟机架构 vs 云计算架构(IaaS,PaaS,SaaS)
按照《中国GMP附录(附录) – 计算机化系统》要求“第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。 风险评估应当充分考虑计算机化系统的使用范围和用途。 ”无论是传统的IT虚拟化平台,还是云计算架构,基于其使用范围和用途,考虑其技术特点,GxP合规重点都可以总结如下:
附录) – 计算机化系统》要求“第六条 计算机化系统验证包括应用程序的验证和基础架构的确认,其范围与程度应当基于科学的风险评估。 风险评估应当充分考虑计算机化系统的使用范围和用途。 ”无论是传统的IT虚拟化平台,还是云计算架构,基于其使用范围和用途,考虑其技术特点,GxP合规重点都可以总结如下:
4. 常见问题
4.1 (自建)虚拟私有云和(外部)公共云之间的区别是什么,谁负责外部托管云环境中的安全?
虚拟私有云允许配置逻辑上的私有云,从而在公共云提供商的环境中实现组织的“封闭系统”隔离。云中的安全性可以类似地视为数据完整性(Data Integrity)控制。包括以下安全性考虑:
•外部使用的安全控制应与内部托管系统的安全控制相同(Same Level no matter internal or external)。
•客户拥有云平台对所需用例的适当安全控制的评估,并确保满足客户的安全标准。
•客户及公共云平台应持续监控云提供商部署的环境,以确保策略的实施。
图2 云系统的安全举例- 参考《阿里云云安全白皮书》P2,基于阿里云的客户应用,其安全责任由双方共同承担:阿里云要保障云平台自身安全并提供安全产品和能力给云上客户;客户负责基于阿里云服务构建的应用系统的安全
4.2 作为新的数字化转型战略的一部分,我们的IT部门正在采取外部IaaS云合作伙伴作为一个新的数据中心,我们应该采取什么步骤来了解“企业数据及业务上云”可行性?
建立“企业数据及业务上云”的需求理解至关重要,主要包括以下要素:
