ISMS 和 GxP 合规性之间的协同作用，为制药 IT 增值

26 5 月, 2022
博客

新冠疫情已促使所有公司加快其数字化计划并加强采用新兴技术。对于像制药公司这样在运营在安全的办公室和强化离岸开发中心的受监管公司来说，这也意味着新的工作方式和网络安全面临的额外挑战。此外，由于在很多情况下（如开发 Covid 疫苗等）需要敏捷性，它促进了以省时省力的方式来实现 GxP 合规性的创新。随着制药公司对合规性的传统关注以及不断发展的时代精神，协同网络安全和 GxP 合规性并获得互补收益变得更加重要。

遵循 NIST/ISO 标准实施网络安全的期望与遵循美国 21 CFR第11部分/欧盟GMP附录11/GAMP进行计算机化系统验证的期望之间总是存在一些重叠和混淆。矛盾源于看似不同的最终目标、决策人以及确认预期是否实现的标准。虽然 QA 合规专业人员的任务是确保组织的 GxP 业务流程/数据的法规符合性和审计准备就绪，但 ISMS（信息安全管理系统）专业人员的任务是确保端到端业务流程的“CIA 三位一体（机密性、完整性和可用性）和基于风险分类的所有相关数据得到维护。此外，考虑到 ISO OSI 模型（网络通信的概念模型）作为参考点，ISMS（信息安全管理系统）专业人员拥有所有 7 层（物理层到应用层）的所有权，而质量部门主要关注第 7 层（应用层）。起初，应用层的范围似乎只有很小的重叠。然而，在实践中，也存在超越 OSI 各层边界的重叠，因为质量部门在某些情况下负责强制执行某些不限于应用层的要求，并且可能没有足够的工具和专业知识来强制执行较低 OSI 层的要求。例如，欧盟GMP附录11 第7.1要求“数据应通过物理和电子手段保护，以免受到损坏”——如果没有在OSI模型的物理层进行适当控制，则无法实现此要求。尽管存在差异和矛盾，但由于存在重叠为许多共同要素提供了潜在的协同作用。

此表简要说明了NIST SP 800-53控制和制药信息系统法规之间的需求等效性。
NIST控制项	NIST SP 800-53控制描述	ISO/IEC 27001控制参考项	制药法规
AC-3	访问强制	A.6.2.2, A.9.1.2, A.9.4.1, A.9.4.4, A.9.4.5, A.13.1.1, A.14.1.2, A.14.1.3, A.18.1.3	EU Annex 11, Section 12, 21 CFR Part 11 Sec.11.10 – (d), (g)
AU-2	事件日志	None	EU Annex 11, Section9, 21 CFR Part 11 Sec.11.10(e)
AU-10	不可否认性	None	21 CFR Part 11 Sec.11.10 (j)
AU-11	审计记录保留	A.12.4.1, A.16.1.7	EU Annex 11, Section9, 21 CFR Part 11 Sec.11.10(e)
CA-3	信息交换	A.13.1.2, A.13.2.1, A.13.2.2	EU Annex 11, Section5
CM-1	配置管理策略和程序	5.2, 5.3, 7.5.1, 7.5.2, 7.5.3, A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2	EU Annex 11, Section 10
CM-3	配置变更管理	8.1, A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4	EU Annex 11, Section 10
CM-8	系统组件清单	A.8.1.1, A.8.1.2	EU Annex 11, Section 4.3
CP-1	应急计划策略和程序	5.2, 5.3, 7.5.1, 7.5.2, 7.5.3, A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2	EU Annex 11, Section 16
CP-2	应急计划	7.5.1, 7.5.2, 7.5.3, A.6.1.1, A.17.1.1, A.17.2.1	EU Annex 11, Section 16
CP-4	应急计划测试	A.17.1.3	EU Annex 11, Section 16
IA-2	身份标识和身份验证（组织用户）	A.9.2.1	21CFR Part 11, Subpart C, Sec 11.300(a), Annex 11 Section 12.1
PM-5	系统清单	None	Annex 11, Section 4.3
SA-5	系统文件	7.5.1, 7.5.2, 7.5.3, A.12.1.1*	21CFR Part 11, Subpart C, Sec 11.10(k), Annex 11 Section 4.1
SI-10	信息输入验证	None	Annex 11, Section 4.7
SI-11	错误处理	None	Annex 11, Section 4.7
SI-12	信息管理和保留	None	Annex 11, Section 7.1, Section 17
SR-6	供应商评估与回顾	A.15.2.1	Annex 11, Section 3.2

注：NIST控制被考虑用于映射，因为其在信息安全控制方面具有最详尽的范围。本文仅绘制了NIST到制药公司的法规，NIST到ISO的控制图从NIST出版物【R1】中按原样绘制。

GxP 相关流程和数据协同增效的有力案例意味着，与其对源自不同框架的类似需求进行重复核查，不如由一个组检查或进行正式测试，并由另一组参考。在控制评估方面，这将意味着在同一项目下翻译用不同语言编写的类似控制，并相互采用以获得实现控制所需的证据。此外，每个团队都可以借用彼此的核心专业知识，专注于利用他们的技能和知识创造价值。

唯一的问题可能是对证据真实性的期望。虽然 ISMS （信息安全管理系统）团队可能认为显示所需证据的简单系统屏幕截图就足够了，但 GXP 良好的文档实践可能期望更严格的流程。最好的方法是使用行业和组织的最佳实践，独立于执行检查的小组。

以下几个案例可以体现这种协同作用的潜力：

安全与授权

欧盟GMP附录 11 和美国21 CFR 第 11 部分概述了身份认证和授权要求的必要性。这些也构成了 ISMS 专业人员在确保数据完整性和机密性方面的 ISO 期望和任务的核心。这些控制大部分可以作为项目初始阶段应用程序设置的访问控制设计要求，并由ISMS团队确认。合规小组可以参考 ISMS 小组收集的证据，指定适当的身份认证、密码管理、授权设置等概念。通过节省的时间，他们可以集中精力并带来更多的价值来正式验证基于角色的培训和授权，以实现复杂企业系统中特定的GxP模块和功能。

审计日志和审计追踪

符合 GxP 的计算机化系统中的审计追踪代表了欧盟GMP附录11 和美国21 CFR 第 11 部分在确保 GxP 数据完整性方面的核心期望。虽然审计日志可能涉及对系统配置、用户授权等的任何更改的记录活动，但从 GxP 审计追踪的角度来看，最重要的是记录 GxP 监管规范记录的创建和更新或任何数据更改。对于某些系统，GxP 审计追踪要求可能是此数据操作更改审计日志的子集。如果审核日志被配置为维护所有用户活动的可追溯性（而不仅仅是最后一次更改），那么在系统级别两者都表示相同，并且合规组应主动设置此预期。根据 GAMP 数据完整性关键概念 [R4]，“审计追踪应从系统安装开始，数据应完全归因”，但是，在初始系统设置过程中，合规专业人员可能并不总是参与其中。如果在应用程序设置期间 ISMS 确认了审计追踪功能，则合规组可以将相同的功能用于不同的项目。

作为一个简单的例子，目前大多数可用的企业系统都提供审计追踪作为标准或可配置项目。审计追踪的可用性和可确认性可以在系统设置期间完成，并在特定模块上线时配置为启用状态。当然，需要由质量部门对每个案例进行评估，以确定系统审计追踪是否可以按现状使用，或者是否具有支持要求和对预期用途的适用性。对于任何额外的定制要求，合规部门将确保把控审计追踪要求并在新的功能或表格中进行查证。

需要考虑的另一个方面是审计日志或追踪可以启用，但是如果它没有以安全的方式保留并且可供审查，它不会增加任何价值。ISMS专业人员可以确保严格的特权访问控制，以避免审计追踪中的任何数据完整性问题。最后一点详细讨论了审计追踪保留作为 ISMS 专业人员的考虑项目。

保护机密 GxP 数据

对于开放系统，美国21 CFR 第 11部分提到了文档加密要求以供考虑。对于封闭系统，虽然在美国21CFR 第 11 部分中没有明确提及，但有充分理由对 GXP 数据的某些子集进行加密。例如，从数据隐私的角度来看，患者详细信息被认为是PII，而研究详细信息被认为是机密的，因此需要加密。在这种情况下，ISMS 专业人员可以利用他们在密码学概念方面的专业知识为维护机密性和管理隐私主题带来更多价值。与项目密切合作的合规专业人员可以检查暴露生产数据的敏感 GxP 数据的屏蔽情况或匿名化（例如，创建测试数据或迁移模拟负载）。

与其他系统的数据交换

欧盟GMP附录11 规定，与其他系统以电子方式交换数据的计算机化系统应包括适当的内置检查，以确保正确和安全的输入和数据处理。美国21 CFR 也提到了同样的终端检查。这对于 ISMS 专业人员确保交换数据的完整性来说非常重要。在确保数据完整性方面，合规小组可以监督对接口预期使用的正式验证（包括需要时的总和检查）和基于 GxP 复杂性的元数据传输要求（例如，审计追踪）。ISMS 小组可以在设置监控故障的接口方面做出更多贡献，考虑是否在接入另一个系统时引入新的威胁（具有不同的风险分类和安全设置），重要的是在传输中使用加密数据（需要时）确保机密性。

数据备份和保留要求

数据备份要求仅在欧盟GMP附录11 中明确提及，而数据保留要求在美国21CFR 第 11 部分和欧盟GMP附录11 中均列出。数据备份工作是 ISMS 专业人员的强项，他们深入了解为RPO(恢复点目标)和RTO(恢复时间目标)定义的不同数据备份程序、计划和技术要求。合规组可以使用他们的领域知识来核查数据保留要求是否按照 GxP 要求适当地应用，并且未保留备份而只保留真正的存档。

在审计追踪保留方面，虽然这是 GxP 的核心期望，但合规组可能没有足够的工具来设置预防控制，因此可以利用 ISMS 组的经验来更准确地执行此操作。

上述几点只是协同增效的几个例子。值得注意的是，ISPE 已经建立了一个 IT 网络安全特别兴趣小组，作为 GAMP的一部分。看到有关在 ISMS 和 GxP 合规专业人员之间建立这种协同作用的进一步讨论，可以为制药组织带来更多价值，将会很有趣。1 ^, 2 ^, 3 ^, 4

ABOUT THE AUTHOR

Sambit Mohapatra

Consultant

Infosys Ltd

REFERENCES

1NIST Special Publication 800-53, Revision 5. Security and Privacy Controls for Federal Information Systems and Organizations https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
2European Commission. Health and Consumers Directorate-General. EudraLex, “The Rules Governing Medicinal Products in the European Union.” Volume 4, “Good Manufacturing Practice Medicinal Products for Human and Veterinary Use.” Annex 11, “Computerised Systems.” 30 June 2011. https://ec.europa.eu/health/system/files/2016-11/annex11_01-2011_en_0.pdf
3TITLE 21–FOOD AND DRUGS CHAPTER I–FOOD AND DRUG ADMINISTRATION DEPARTMENT OF HEALTH AND HUMAN SERVICES SUBCHAPTER A – GENERALPART 11ELECTRONIC RECORDS; ELECTRONIC SIGNATURES https://www.ecfr.gov/current/title-21/chapter-I/subchapter-A/part-11?toc=1
4GAMP RDI Good Practice Guide: Data Integrity – Key Concepts https://ispe.org/publications/guidance-documents/gamp-good-practice-guide-date-integrity-key-concepts