Food and Drug Administration CFR Titel 21 Teil 11

ÜBERSICHT ÜBER FDA CFR Title 21

Der Code of Federal Regulations (CFR) enthält die Regeln und Vorschriften für Exekutive und Behörden der US-Bundesregierung. Jeder der 50 Titel des CFR befasst sich mit einem anderen regulierten Bereich.

FDA CFR Title 21 regelt Lebensmittel und Drogen, die im USA hergestellt oder konsumiert werden, unter der Zuständigkeit der Food and Drug Administration (FDA), der Drug Enforcement Administration und des Office of National Drug Control Policy. Die in CFR Title 21 Part 11 beschriebenen Vorschriften legen die Grundregeln für die Technologiesysteme fest, die Informationen verwalten, die von Organisationen verwendet werden, die der FDA-Aufsicht unterliegen. Jedes Technologiesystem, das solche GxP-Prozesse steuert, wie Good Laboratory Practices (GLP), Good Clinical Practices (GCP) und Good Manufacturing Practices (GMP) erfordert ebenfalls eine Validierung seiner Einhaltung von GxP.

CFR Title 21 Teil 11 legt Anforderungen fest, um sicherzustellen, dass elektronische Aufzeichnungen und Signaturen vertrauenswürdig, zuverlässig und gleichwertige Ersatz für Papieraufzeichnungen und handschriftliche Signaturen sind. Es bietet auch Richtlinien zur Verbesserung der Sicherheit von Computersystemen in FDA-regulierten Branchen. Antragstellerunternehmen müssen nachweisen, dass ihre Prozesse und Produkte wie vorgesehen funktionieren, und wenn sich diese Prozesse und Produkte ändern, müssen sie diesen Nachweis erneut überprüfen. Die Best Practices-Richtlinien umfassen Folgendes:

  • Standardbetriebsverfahren und -kontrollen, die elektronische Datensätze und Signaturen wie Datensicherung, Sicherheit und Überprüfung des Computersystems unterstützen.
  • Features, die die Sicherheit des Computersystems sicherstellen, Überwachungspfade für Datenwerte enthalten und die Integrität elektronischer Signaturen sicherstellen.
  • Validierung und Dokumentation, die Beweise dafür liefern, dass das System die beabsichtigte Aktion ausführt und dass Benutzer erkennen können, wenn das System nicht wie vorgesehen funktioniert.

Microsoft und FDA CFR Title 21

Microsoft Enterprise Cloud Services werden regelmäßig unabhängigen SOC 1 Typ 2- und SOC 2 Typ 2-Audits von Drittanbietern unterzogen und sind nach ISO/IEC 27001 und ISO/IEC 27018 zertifiziert.

Obwohl sich diese regelmäßigen Audits und Zertifizierungen nicht speziell auf die Einhaltung gesetzlicher Bestimmungen der FDA konzentrieren, ähneln ihr Zweck und ihre Ziele denen von CFR Title 21 Part 11 und dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit der in Microsoft Cloud Services gespeicherten Daten sicherzustellen. Unser Qualifizierungsansatz basiert auch auf branchenüblichen Best Practices, darunter die International Society for Pharmaceutical Engineering (ISPE) GAMP-Serie von Good Practices Guides und das Pharmaceutical Inspection Cooperation Scheme (PIC/S) Good Practices for Computerized Systems in Regulated GxP Environments.

Kunden können zugriff auf die Complianceberichte, vorbehaltlich der Geschäftsbedingungen der Geheimhaltungsvereinbarung, über ihren Microsoft-Kontovertreter oder über das Service Trust Portal anfordern.

Zu Microsoft gehörende Cloudplattformen und -dienste

Obwohl es keine Zertifizierung für die Einhaltung von CFR Title 21 Part 11 gibt, wurden die folgenden Microsoft Enterprise Cloud Services unabhängigen Audits von Drittanbietern unterzogen, die Kunden bei ihren Compliance-Bemühungen unterstützen können. Diese Dienste umfassen:

Prüfungen, Berichte und Zertifikate

Die Prüfberichte für die Standards SOC 1 und SOC 2 Typ 2, ISO/IEC 27001 und ISO/IEC 27018 belegen die Wirksamkeit der von Microsoft implementierten Kontrollen und können Kunden bei der Einhaltung von FDA CFR Title 21 Part 11 unterstützen.

Häufig gestellte Fragen

Für wen gilt der Standard?

FDA CFR Title 21 Teil 11 gilt für Organisationen mit Produkten und Dienstleistungen, die sich mit FDA-regulierten Aspekten der Forschung, klinischen Studie, Wartung, Herstellung und Vertrieb von Life Science-Produkten befassen.

Wie demonstrieren Microsoft Enterprise Cloud Services die Konformität mit FDA CFR Title 21 Part 11?

Mithilfe der formalen Audits, die von Drittanbietern für SOC 1 Typ 2, SOC 2 Typ 2, ISO/IEC 27001 und ISO/IEC 27018 vorbereitet wurden, kann Microsoft zeigen, wie relevante, in diesen Berichten notierte Kontrollen die Anforderungen erfüllen.

Die von Microsoft implementierten überwachten Kontrollen tragen dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen und den geltenden gesetzlichen Anforderungen gemäß Titel 21 Teil 11 zu entsprechen, die als die Verantwortung von Microsoft identifiziert wurden. In den Qualifizierungsrichtlinien für Azure und Office 365 wird ausführlich beschrieben, wie die Überwachungskontrollen von Microsoft diesen Anforderungen entsprechen.

Wie erhalte ich Kopien der Prüferberichte?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können das Portal verwenden, um Überwachungsberichte anzufordern, damit Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und behördlichen Anforderungen vergleichen können.

Kann ich die Compliance von Microsoft im Zertifizierungsprozess für meine organization verwenden?

Ja. Die unabhängigen Complianceberichte von Drittanbietern der Standards IEC/ISO 27001, ISO/IEC 27018, SOC 1 und SOC 2 belegen die Wirksamkeit von Microsoft-Kontrollen. Microsoft Enterprise Cloud-Kunden können die in diesen verwandten Berichten beschriebenen auditierten Kontrollen als Teil ihrer eigenen CFR Title 21 Part 11 Risikoanalyse und Qualifizierung verwenden. Kunden, die Anwendungen erstellen und bereitstellen, die der FDA-Regulierung unterliegen, sind dafür verantwortlich, sicherzustellen, dass ihre Anwendungen die FDA-Anforderungen erfüllen.

Welche Pflichten hat Microsoft im Hinblick auf die Wahrung der Compliance mit diesem Standard?

Microsoft stellt sicher, dass seine Clouddienste für Unternehmen die Bedingungen erfüllen, die in den geltenden Nutzungsbedingungen für Onlinedienste und den geltenden Vereinbarungen zum Servicelevel (SLAs) definiert sind. Diese Begriffe definieren unsere Verantwortung für die Implementierung und Aufrechterhaltung von Kontrollen, die angemessen sind, um das System zu sichern und zu überwachen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen