在数字化转型的浪潮下,医药企业的IT基础架构正从分散式管理向统一化、标准化方向演进。依据GMP、GxP、21 CFR Part
11、EU Annex 11等法规的要求,药厂必须确保其IT基础架构不仅满足业务需求,更要符合严格的合规性标准。
在这一背景下,IT基础架构的计算机化系统验证(CSV)已成为药企合规运营的核心环节。通过规范的验证流程,企业能够证明其IT系统始终处于受控状态,满足数据ALCOA+原则(可追溯、清晰、同步、原始、准确、完整、一致、持久、可用),并具备完善的变更管理、访问控制、备份恢复等关键能力。
医药公司IT基础设施核心系统组成
医药公司的IT基础设施是一个复杂生态系统,需要满足业务连续性、数据完整性和合规性要求。以下是需要纳入CSV认证范围的关键系统:
1. 数据中心基础架构
-
超融合基础设施(HCI):如Nutanix、VMware vSAN、Dell EMC VxRail等
-
服务器虚拟化平台:VMware ESXi、Microsoft Hyper-V、Citrix XenServer
-
存储区域网络(SAN)和网络附加存储(NAS)系统
-
备份与灾难恢复系统:Veeam、Commvault、Veritas NetBackup等
-
域控系统
-
时钟同步系统
2. 网络基础设施
-
核心交换机与边缘网络设备
-
防火墙与网络安全系统(如Palo Alto、Cisco
ASA)
-
无线网络控制器与接入点
-
网络监控与管理系统
4. 云计算与混合架构
-
基础设施即服务(IaaS)平台
-
平台即服务(PaaS)组件
-
软件即服务(SaaS)应用验证
-
云存储与云备份解决方案
5. 终端与用户设备
-
工作站与笔记本电脑管理
-
移动设备管理(MDM)系统
-
虚拟桌面基础设施(VDI)
-
打印机与扫描仪等外围设备
6. 安全与访问控制系统
-
身份与访问管理(IAM)系统
-
防病毒系统/安防系统
-
多因素认证(MFA)系统
-
安全信息与事件管理(SIEM)系统
CSV认证关键流程
医药公司IT基础设施的计算机化系统验证应关注以下节点:
1. 需求分析与规划阶段
-
定义用户需求规范(URS)
-
进行风险评估(基于GAMP 5分类)
-
制定验证主计划(VMP)
2. 设计与规范阶段
-
创建功能规范(FS)
-
制定设计软件和硬件设计规范(SDS、HDS、图纸、BOM清单)
-
建立配置规范(CS)
3. 实施与测试阶段
-
安装确认(IQ)
-
运行确认(OQ)
-
性能确认(PQ)(如需)
4. 运维与监控阶段
-
变更控制管理
-
定期回顾与再验证
-
偏差管理与纠正预防措施(CAPA)
超融合基础设施的CSV特殊考虑
超融合系统(HCI)因其高度集成的特性,在CSV过程中需要特别关注:
-
架构验证:证明虚拟化层对GxP工作负载的适用性
-
数据完整性:确保存储架构符合ALCOA+原则
-
高可用性验证:测试故障转移和恢复机制
-
性能基准测试:验证在峰值负载下的系统表现
-
备份与恢复测试:确保符合数据保留政策
-
安全与访问控制:
备份系统的合规要求
医药公司备份系统必须满足以下CSV要求:
-
备份策略验证:备份路径、备份频率、保留周期和覆盖范围
-
恢复测试:定期测试数据恢复流程和演练
-
介质管理:备份介质的轮换和离线存储
-
加密与安全:传输中和静态数据的保护
-
审计追踪:备份和恢复操作的完整记录
实施建议
-
采用基于风险的方法:根据系统影响评估确定验证深度
-
建立标准化模板:统一文档格式和测试用例
-
培训内部团队:培养既懂IT又懂GMP的复合型人才
-
选择经验丰富的合作伙伴:借助外部有GXP经验的供应商运维团队弥补内部资源不足
-
持续改进:建立定期审查和更新机制
参考法规/指南文件:
? ISPE IT基础设施控制和符合性(第二版)[M]. 国际制药工程协会,2017.08.
ISPE GAMP? Good Practice Guide: IT Infrastructure
Control and Compliance, International Society for Pharmaceutical Engineering
(ISPE), Second Edition, August 2017.
? 国家药品监督管理局. 卫生部令第79号,药品生产质量管理规范 [S]. 2010.
MoH Order
No.79, Good Manufacturing Practice for Pharmaceutical Products, Ministry of
Health of the People's Republic of China (MoH), Revision 2010.
? No.28, Good Supply Practice for Drug, China Food
and Drug Administration (CFDA), 2016.
国家食品药品监督管理总局. 总局令第28号,药品经营质量管理规范[S].2016.
? 美国联邦法规第 11 部分:电子记录和电子签名[S],美国食品药品监督管理局,2018
Code of Federal Regulations Part 11 Electronic Records; Electronic
Signatures,FDA,2018
? 保证GXP计算机系统符合性的基于风险的方法 [M]. 国际制药工程协会,2022
ISPE GAMP? 5: A Risk-Based Approach to
Compliant GxP Computerized Systems, International Society for Pharmaceutical
Engineering (ISPE), 2022.
? 基于风险的电子记录和签名方法[M]. 国际制药工程协会,2005.02.
ISPE GAMP? Good Practice Guides: A
Risk-Based Approach to Electronic Records and Signatures, International Society
for Pharmaceutical Engineering (ISPE), February 2005.
? 基于风险的GXP计算机系统操作方法---GAMP? 5姊妹篇 [M]. 国际制药工程协会,2010.01.
ISPE GAMP? Good Practice Guides: A
Risk-Based Approach to Operation of GxP Computerized Systems - A Companion
Volume to GAMP? 5, International
Society for Pharmaceutical Engineering (ISPE), January 2010.
? 国家食品药品监督管理总局. 第 54 号公告,药品生产质量管理规范 附件 1:计算机化系统[S].2015.
No.54, Good Manufacturing Practice for
Medical Products, Annex 1: Computerized Systems, China Food and Drug
Administration (CFDA), 2015.
? 国家食品药品监督管理总局. 第 54 号公告,药品生产质量管理规范 附件 1:计算机化系统[S].2015.
No.54, Good Manufacturing Practice for
Medical Products, Annex 1: Computerized Systems, China Food and Drug
Administration (CFDA), 2015.
? 国家食品药品监督管理总局. 第 74 号公告,药品记录与数据管理要求[S].2020
No.54, Good Manufacturing Practice for
Medical Products, Annex 1: Computerized Systems, National Medical products
administration (NMPA), 2020.
旦霆科技案例(以下为部分相关案例):
? 合肥立方制药股份有限公司数据中心超融合系统(浪潮和备份系统的验证
? 住友制药IT-GxP基础架构设施验证(H3C UIS 8.0超融合);
? 晟国医药 IT 基础设施(超融合系统和备份系统)验证(华为FusionSphere虚拟化超融合基础设施);
? 北京达仁堂医药超融合节点服务器和备份服务器(一体机)验证
? 合肥皖达信息科技有限公司IT 基础设施(超融合系统和备份系统)验证;
? 通化东宝备份系统(HBU系统)验证;
? 济民可信集团SAP项目中系统迁移至超融合平台的迁移验证;
医药公司IT基础设施的CSV认证不是一次性的项目,而是贯穿系统生命周期的持续过程。通过系统化的规划、规范化的实施和严格的运维管理,医药企业可以构建既满足业务需求又符合监管要求的IT基础设施,为药品研发、生产和质量管理提供坚实的技术基础。
随着技术的不断发展和监管要求的日益严格,医药公司应定期评估其IT基础设施的合规状态,及时调整验证策略,确保始终处于合规状态,为企业的可持续发展保驾护航。
旦霆科技:专业第三方10+项目经验验证咨询公司,提供计算机化系统验证、实验室仪器验证、公用系统验证、生产设备验证等服务,详情请咨询:
张经理:18918040755
邮箱: bella@dantesh.com