Управление пищевыми продуктами и лекарствами CFR, раздел 21 часть 11
Обзор FDA CFR Title 21
Кодекс федеральных правил (CFR) содержит правила и положения для исполнительных департаментов и учреждений федерального правительства США. Каждое из 50 названий CFR относится к отдельной регулируемой области.
FDA CFR Раздел 21 регулирует продукты питания и лекарства, изготовленные или потребляемые в США, под юрисдикцией Управления по контролю за продуктами и лекарствами (FDA), Управления по борьбе с наркотиками и Управления национальной политики в области контроля над наркотиками. Правила, изложенные в разделе 21 часть 11 CFR, устанавливают основные правила для технологических систем, которые управляют информацией, используемой организациями, подлежащими надзору FDA. Любая технологическая система, управляющая такими процессами GxP, как Good Laboratory Practices (GLP), Good Clinical Practices (GCP) и Good Manufacturing Practices (GMP), также требует проверки ее соответствия GxP.
Раздел 21, часть 11 CFR устанавливает требования, обеспечивающие, чтобы электронные записи и подписи были надежными, надежными и эквивалентными заменами бумажных записей и рукописных подписей. Он также предлагает рекомендации по повышению безопасности компьютерных систем в регулируемых FDA отраслях. Субъектные компании должны доказать, что их процессы и продукты работают так, как они предназначены, и если эти процессы и продукты изменяются, они должны повторно проверить это доказательство. Рекомендации охватывают следующие рекомендации.
- Стандартные операционные процедуры и элементы управления, поддерживающие электронные записи и подписи, такие как резервное копирование данных, безопасность и проверка компьютерных систем.
- Функции, обеспечивающие безопасность компьютерной системы, содержат журналы аудита значений данных и обеспечивают целостность электронных подписей.
- Проверка и документация, которые свидетельствуют о том, что система выполняет то, что предназначено, и что пользователи могут определить, когда система работает не так, как задумано.
Microsoft и FDA CFR Title 21
Корпоративные облачные службы Майкрософт регулярно проходят независимые сторонние аудиты SOC 1 типа 2 и SOC 2 типа 2 и сертифицированы в соответствии со стандартами ISO/IEC 27001 и ISO/IEC 27018.
Хотя эти регулярные аудиты и сертификации не ориентированы на соответствие нормативным требованиям FDA, их назначение и задачи аналогичны целям раздела 21 раздела 11 CFR и помогают обеспечить конфиденциальность, целостность и доступность данных, хранящихся в облачных службах Майкрософт. Наш подход к квалификации также основан на лучших отраслевых практиках, включая серию руководств по надлежащей практике международного общества фармацевтической инженерии (ISPE) GAMP и схемы сотрудничества фармацевтической инспекции (PIC/S) для компьютеризованных систем в регулируемых средах GxP.
Клиенты могут запросить доступ к отчетам о соответствии требованиям в соответствии с условиями соглашения о неразглашении через своего представителя учетной записи Майкрософт или через портал service trust portal.
Затрагиваемые облачные платформы и службы Майкрософт
Несмотря на отсутствие сертификации на соответствие требованиям раздела 21 части 11 CFR, следующие корпоративные облачные службы Майкрософт прошли независимый аудит сторонних поставщиков, что может помочь клиентам в их усилиях по обеспечению соответствия требованиям. К этим службам относятся:
- Azure: Облачные службы, хранилище, диспетчер трафика, Виртуальные машины и виртуальная сеть
- Azure DevOps
- Intune
- Dynamics 365 и Dynamics 365 для государственных организаций США
- Office 365 и Office 365 для государственных организаций США
Аудит, отчеты и сертификаты
Отчеты об аудите для стандартов SOC 1 и SOC 2 типа 2, ISO/IEC 27001 и ISO/IEC 27018 свидетельствуют об эффективности элементов управления, реализованных корпорацией Майкрософт, и могут помочь клиентам в соблюдении требований FDA CFR, раздел 21, часть 11.
Вопросы и ответы
К кому применим стандарт?
FDA CFR Раздел 21 Часть 11 применяется к организациям с продуктами и услугами, которые занимаются регулируемыми FDA аспектами исследований, клинических исследований, обслуживания, производства и распространения продуктов для науки о жизни.
Как корпоративные облачные службы Майкрософт демонстрируют соответствие требованиям FDA CFR, раздел 21, часть 11?
Используя официальные аудиты, подготовленные третьими лицами для SOC 1 типа 2, SOC 2 типа 2, ISO/IEC 27001 и ISO/IEC 27018, корпорация Майкрософт может показать, как соответствующие элементы управления, указанные в этих отчетах, соответствуют требованиям.
Проверенные элементы управления, реализованные корпорацией Майкрософт, помогают обеспечить конфиденциальность, целостность и доступность данных, а также соответствуют применимым нормативным требованиям, определенным в разделе 21 часть 11, которые определены как ответственность корпорации Майкрософт. В руководствах по квалификации для Azure и Office 365 подробно описано, как элементы управления аудитом Майкрософт соответствуют этим требованиям.
Как получить копии отчетов аудитора?
На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. С помощью портала можно запросить отчеты об аудите, чтобы аудиторы могли сравнить результаты облачных служб Майкрософт с вашими юридическими и нормативными требованиями.
Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации для моей организации?
Да. Независимые сторонние отчеты о соответствии стандартам IEC/ISO 27001, ISO/IEC 27018, SOC 1 и SOC 2 свидетельствуют об эффективности элементов управления Майкрософт. Клиенты корпоративного облака Майкрософт могут использовать проверенные элементы управления, описанные в этих связанных отчетах, в рамках собственных усилий по анализу рисков и квалификации CFR, раздел 21, часть 11. Клиенты, которые создают и развертывают приложения в соответствии с правилами FDA, несут ответственность за обеспечение того, чтобы их приложения соответствовали требованиям FDA.
Каковы обязательства Майкрософт по поддержанию соответствия стандарту?
Корпорация Майкрософт гарантирует, что ее корпоративные облачные службы соответствуют условиям, определенным в правилах условий использования веб-служб и применимых соглашений об уровне обслуживания (SLA). Эти термины определяют нашу ответственность за внедрение и поддержание средств контроля, достаточных для защиты и мониторинга системы.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Azure — GxP (FDA 21 CFR Part 11)
- Кодекс федеральных правил, раздел 21
- Руководство FDA для промышленности Часть 11: Электронные записи и подписи
- Условия использования веб-служб Майкрософт
- Microsoft Cloud для государственных организаций
- Центр управления безопасностью (Майкрософт)
- Соответствие требованиям в центре управления безопасностью Майкрософт
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по