前文参考:Annex 11 Revision 速读(一)【升版目的、备份还原等数据有效性】(
速读(一)【升版目的、备份还原等数据有效性】);速读(二)【人为干预数据,Pharm4.0, CSV的原则和本质】(速读(二)【人为干预数据,Pharm4.0, CSV的原则和本质】);
速读(一)【升版目的、备份还原等数据有效性】);速读(二)【人为干预数据,Pharm4.0, CSV的原则和本质】(速读(二)【人为干预数据,Pharm4.0, CSV的原则和本质】);6. [修订原Annex 11 3.供应商与服务提供商3.1章节] 服务清单应包括“运行”计算机化系统,例如“云”服务
大侠解读:2011版的Annex 11 重点是Computerized System,也就是实打实的安装在客户工厂的自动化包装线,图谱处理系统CDS和控制产线及阀门的DCS控制系统;但是时至今日,正如Annex 11 章节三 名字一样 Suppliers and Service Providers【系统供应商和服务供应商】,2022年的IT系统服务商可能仅需要一条网线,而非安装客户端和服务器,就能把它的系统和服务交给GxP客户用于GxP业务:
以主流的Cloud Service服务模式为例 -设施云,平台云及服务云 IaaS、PaaS、SaaS
IaaS(Infrastructure as a service – 基础设施即服务):用户可以在云服务提供商提供的基础设施上部署和运行任何软件,包括操作系统和应用软件。用户没有权限管理和访问底层的基础设施,如服务器、交换机、硬盘等,但是有权管理操作系统、存储内容,可以安装管理应用程序,甚至是有权管理网络组件。简单的说用户使用IaaS,有权管理操作系统之上的一切功能。我们常见的IaaS服务有虚拟机、虚拟网络、以及存储。
PaaS(Platform as a service – 平台即服务):PaaS给用户(软件开发者)提供的能力是使用由云服务提供商支持的编程语言、库、服务以及开发工具来创建、开发应用程序并部署在相关的基础设施上。用户无需管理底层的基础设施,包括网络、服务器,操作系统或者存储。他们只能控制部署在基础设施中操作系统上的应用程序,配置应用程序所托管的环境的可配置参数。常见的PaaS服务有数据库服务、web应用以及容器服务。成熟的PaaS服务会简化开发人员,提供完备的PC端和移动端软件开发套件(SDK),拥有丰富的开发环境(Inteli、Eclipse、VS等),完全可托管的数据库服务,可配置式的应用程序构建,支持多语言的开发,面向应用市场。
SaaS(Software as a Service – 软件即服务):SaaS给用户(普通消费者)提供的能力是使用在云基础架构上运行的云服务提供商的应用程序。可以通过轻量的客户端接口(诸如web浏览器(例如,基于web的电子邮件))或程序接口从各种客户端设备访问应用程序。 用户无需管理或控制底层云基础架构,包括网络,服务器,操作系统,存储甚至单独的应用程序功能,可能的例外是有限的用户特定应用程序配置设置。类似的服务有:各类的网盘(Dropbox、百度网盘等),JIRA,GitLab等服务。而这些应用的提供者不仅仅是云服务提供商,还有众多的第三方提供商(ISV: independent software provider)。
Figure 1: 云服务/云系统的三种模式 – 设施即服务,平台即服务,应用即服务
按照Cloud Service服务共享或单独运营 -公有云,私有云及混合云
云计算目前主流的部署模式分为三类:
私有云(Private Cloud / On Premise): 私有云是专为单个组织运营的云基础架构,管理的模式有内部管理,第三方管理,亦或是内部或外部托管。简单的讲,私有云就是通过自建或者租用场地的形式建立服务器机房或者数据中心。服务是面向私有网络或者VPN专有网络。企业拥有对服务器、数据硬盘的完全控制。因此安全性很高。
公有云(Public Cloud):公有云服务面向公开网络暴露,服务可能也是免费的。由于网络对外公布,因此从安全层面上也是大不相同的。常见的公有云有AWS,Microsoft Azure,阿里云等。
混合云(Hybrid Cloud):混合云是两个或多个云(私有云,社区云或公共云)的组合,它们保持不同的实体但绑定在一起,提供多个部署模型的好处。 混合云还意味着能够使用云资源连接搭配,托管和/或专用服务。比较常见的例子如数据公司,可能拥有很多数据,而这些数据因为合规性等原因只能放在私有环境,当需要大规模机器学习,对数据进行脱敏后使用公有云进行大规模学习。
Figure2: 云服务/云系统的三种部署 – 内部私有云,共享公有云,混合云
7. [修订原Annex 11 3.供应商与服务提供商3.1] 对于由服务提供商验证和/或运营的关键系统(例如,“云”服务),期望值应超出“必须存在正式协议”的要求。 受监管的用户应能够获得系统验证和安全运行的完整文件记录,并能够在监管检查期间提供这些文件,例如在服务提供商的帮助下。参见 Notice to sponsors and Q&A #9 on the EMA GCP website 和 Q&A on the EMA GVP website)
8. [修订原Annex 11 3.供应商与服务提供商3.3] 尽管术语表中提到了“商业现货”(commercial off-the-shelf products,COTS),但其定义不充分,可能容易被理解得太宽泛。关键的COTS产品,即使是那些被“广泛的用户”使用的产品,也应由供应商或受监管的用户确认,并应提供文件以供检查。 应澄清该术语的使用以及对此类(例如“云”)系统的确认、验证和安全运行的期望。
大侠解读:GxP企业如何与集团IT和外部IT服务商签订合规的GxP IT service 外包服务,可以参考前文《CSV供应商管理合规探讨(集团化管理或外包IT服务)(CSV供应商管理合规探讨(集团化管理或外包IT服务))》
CSV供应商管理合规探讨(集团化管理或外包IT服务))》
我们重点看一下EMA引用的两篇文章
1.【临床研究阶段使用IT服务外包的合规问题】Notice to sponsors and Q&A #9 on the EMA GCP website和 【药物警戒阶段使用IT服务外包的合规问题】Q&A on the EMA GVP website的八大 IT服务外包的大合规要求:
无论是临床阶段,还是药物警戒的服务需求,欧盟EMA框架内,MAH直接使用供应商Qualification文件替代自己对于R&D及PV业务的Validation的前提条件包括但不限于以下内容:
首先必须强调的是, GCP MAH需要对最终由电子系统支持的临床试验过程的验证工作质量负责,并向GCP检查员提供关于验证过程和电子系统资格的充分证据。如果供应商进行的认证活动被评估为充分的,GCP MAH可以依赖供应商提供的资质文件。否则,GCP MAH可能还必须根据记录的风险评估执行额外的确认/验证活动。
GCP MAH使用供应商资质文件的条件包括但不限于:
1.MAH对供应商的质量体系和资质活动有全面的了解,这通常通过深入的评估/审核获得;
2.由MAH派出合格的工作人员进行了评估/审计,并得到了供应商的合作;
3.对外包IT服务各项活动进行了充分深入的评估/审计,并审查了适当数量的有关活动的例子,并编制了审计报告;
4.评估/审计报告确定供应商的资格文件整体是令人满意的,亦或是发现的缺陷可以由MAH加以弥补——例如,外包IT服务商进行系统升级,提供升级说明技术文档;MAH基于技术文档补充验证文档,满足合规要求;
5.MAH,或者在适用的情况下为MAH执行这些活动的临床研究组织(CRO),对外包IT服务的验证文件有详细的了解,并能解释其验证活动,就像他们自己执行了这些活动一样;
6.在GCP检查期间有要求时,无论资质文件是由主办方、CRO还是供应商提供,都应及时向检查员提供。
7.MAH和外包IT服务商为其云系统或云服务建立完整的验证环境和生产环境配置管理,同时能够完全解释验证环境和生产环境之间的任何差异;随后,MAH应证明任何差异是风险受控。如果不是,那么验证工作可能就不能证明系统的使用是合理的。
8.MAH对其云系统或云服务进行安装确认(IQ)【主要是云系统如何安装引入公司GxP内网】/性能确认(PQ)【主要是云系统如何服务于公司GxP业务】,同时该系统的PQ必需依赖于经过培训的用户。
未完待续
