在数字化转型的浪潮下，医药企业的IT基础架构正从分散式管理向统一化、标准化方向演进。依据GMP、GxP、21 CFR Part 11、EU Annex 11等法规的要求，药厂必须确保其IT基础架构不仅满足业务需求，更要符合严格的合规性标准。

在这一背景下，IT基础架构的计算机化系统验证（CSV）已成为药企合规运营的核心环节。通过规范的验证流程，企业能够证明其IT系统始终处于受控状态，满足数据ALCOA+原则（可追溯、清晰、同步、原始、准确、完整、一致、持久、可用），并具备完善的变更管理、访问控制、备份恢复等关键能力。

医药公司IT基础设施核心系统组成

医药公司的IT基础设施是一个复杂生态系统，需要满足业务连续性、数据完整性和合规性要求。以下是需要纳入CSV认证范围的关键系统：

1. 数据中心基础架构

超融合基础设施(HCI)：如Nutanix、VMware vSAN、Dell EMC VxRail等

服务器虚拟化平台：VMware ESXi、Microsoft Hyper-V、Citrix XenServer

存储区域网络(SAN)和网络附加存储(NAS)系统

备份与灾难恢复系统：Veeam、Commvault、Veritas NetBackup等

域控系统

时钟同步系统

2. 网络基础设施

核心交换机与边缘网络设备

防火墙与网络安全系统(如Palo Alto、Cisco ASA)

无线网络控制器与接入点

网络监控与管理系统

4. 云计算与混合架构

基础设施即服务(IaaS)平台

平台即服务(PaaS)组件

软件即服务(SaaS)应用验证

云存储与云备份解决方案

5. 终端与用户设备

工作站与笔记本电脑管理

移动设备管理(MDM)系统

虚拟桌面基础设施(VDI)

打印机与扫描仪等外围设备

6. 安全与访问控制系统

身份与访问管理(IAM)系统

防病毒系统/安防系统

多因素认证(MFA)系统

安全信息与事件管理(SIEM)系统

CSV认证关键流程

医药公司IT基础设施的计算机化系统验证应关注以下节点：

1. 需求分析与规划阶段

定义用户需求规范(URS)

进行风险评估(基于GAMP 5分类)

制定验证主计划(VMP)

2. 设计与规范阶段

创建功能规范(FS)

制定设计软件和硬件设计规范(SDS、HDS、图纸、BOM清单)

建立配置规范(CS)

3. 实施与测试阶段

安装确认(IQ)

运行确认(OQ)

性能确认(PQ)（如需）

4. 运维与监控阶段

变更控制管理

定期回顾与再验证

偏差管理与纠正预防措施(CAPA)

超融合基础设施的CSV特殊考虑

超融合系统(HCI)因其高度集成的特性，在CSV过程中需要特别关注：

架构验证：证明虚拟化层对GxP工作负载的适用性

数据完整性：确保存储架构符合ALCOA+原则

高可用性验证：测试故障转移和恢复机制

性能基准测试：验证在峰值负载下的系统表现

备份与恢复测试：确保符合数据保留政策

安全与访问控制：

备份系统的合规要求

医药公司备份系统必须满足以下CSV要求：

备份策略验证：备份路径、备份频率、保留周期和覆盖范围

恢复测试：定期测试数据恢复流程和演练

介质管理：备份介质的轮换和离线存储

加密与安全：传输中和静态数据的保护

审计追踪：备份和恢复操作的完整记录

实施建议

采用基于风险的方法：根据系统影响评估确定验证深度

建立标准化模板：统一文档格式和测试用例

培训内部团队：培养既懂IT又懂GMP的复合型人才

选择经验丰富的合作伙伴：借助外部有GXP经验的供应商运维团队弥补内部资源不足

持续改进：建立定期审查和更新机制

参考法规/指南文件：

• ISPE IT基础设施控制和符合性（第二版）[M]. 国际制药工程协会，2017.08.

ISPE GAMP Good Practice Guide: IT Infrastructure Control and Compliance, International Society for Pharmaceutical Engineering (ISPE), Second Edition, August 2017.

• 国家药品监督管理局. 卫生部令第79号，药品生产质量管理规范 [S]. 2010.

MoH Order No.79, Good Manufacturing Practice for Pharmaceutical Products, Ministry of Health of the People's Republic of China (MoH), Revision 2010.

• 国家食品药品监督管理总局. 总局令第28号，药品经营质量管理规范[S].2016.

No.28, Good Supply Practice for Drug, China Food and Drug Administration (CFDA), 2016.

• 美国联邦法规第 11 部分：电子记录和电子签名[S]，美国食品药品监督管理局，2018

Code of Federal Regulations Part 11 Electronic Records; Electronic Signatures,FDA,2018.

• 保证GXP计算机系统符合性的基于风险的方法 [M]. 国际制药工程协会，2022.

ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, International Society for Pharmaceutical Engineering (ISPE), 2022.

• 基于风险的电子记录和签名方法[M]. 国际制药工程协会，2005.02.

ISPE GAMP Good Practice Guides: A Risk-Based Approach to Electronic Records and Signatures, International Society for Pharmaceutical Engineering (ISPE), February 2005.

• 基于风险的GXP计算机系统操作方法---GAMP 5姊妹篇 [M]. 国际制药工程协会，2010.01.

ISPE GAMP Good Practice Guides: A Risk-Based Approach to Operation of GxP Computerized Systems - A Companion Volume to GAMP 5, International Society for Pharmaceutical Engineering (ISPE), January 2010.

• 国家食品药品监督管理总局. 第 54 号公告，药品生产质量管理规范 附件 1：计算机化系统[S].2015.

No.54, Good Manufacturing Practice for Medical Products, Annex 1: Computerized Systems, China Food and Drug Administration (CFDA), 2015.

• 国家食品药品监督管理总局. 第 54 号公告，药品生产质量管理规范 附件 1：计算机化系统[S].2015.

No.54, Good Manufacturing Practice for Medical Products, Annex 1: Computerized Systems, China Food and Drug Administration (CFDA), 2015.

• 国家食品药品监督管理总局. 第 74 号公告，药品记录与数据管理要求[S].2020

No.54, Good Manufacturing Practice for Medical Products, Annex 1: Computerized Systems, National Medical products administration (NMPA), 2020.

旦霆科技案例(以下为部分相关案例)：

• 合肥立方制药股份有限公司数据中心超融合系统（浪潮和备份系统的验证

• 住友制药IT-GxP基础架构设施验证（H3C UIS 8.0超融合）；

• 晟国医药 IT 基础设施（超融合系统和备份系统）验证（华为FusionSphere虚拟化超融合基础设施）；

• 北京达仁堂医药超融合节点服务器和备份服务器（一体机）验证

• 合肥皖达信息科技有限公司IT 基础设施（超融合系统和备份系统）验证；

• 通化东宝备份系统（HBU系统）验证；

• 济民可信集团SAP项目中系统迁移至超融合平台的迁移验证；

医药公司IT基础设施的CSV认证不是一次性的项目，而是贯穿系统生命周期的持续过程。通过系统化的规划、规范化的实施和严格的运维管理，医药企业可以构建既满足业务需求又符合监管要求的IT基础设施，为药品研发、生产和质量管理提供坚实的技术基础。

随着技术的不断发展和监管要求的日益严格，医药公司应定期评估其IT基础设施的合规状态，及时调整验证策略，确保始终处于合规状态，为企业的可持续发展保驾护航。

旦霆科技：专业第三方12+项目经验验证咨询公司，提供计算机化系统验证、实验室仪器验证、公用系统验证、生产设备验证等服务，详情请咨询：

张经理：18918040755

邮箱: bella@dantesh.com