夜雨聆风欧盟附录11《计算机化系统》征求意见稿已于2025年发布,里面新增的大量基础架构相关的内容,如选型、验证、测试、维护等等管理?随着正式稿的临近,标志着GMP对基础架构的合规管理越来越深,后续内审工作是少不了的,本次推荐一个基础架构的内审项目模板,供参考。
检查IT架构是否有相应的设计资料,如设计图纸,HDS,配置清单?
存放关键服务器的物理区域是否有多因素认证(如门禁+生物识别),认证流程是否受控?
检查系统配置是否和配置清单一致,是否和验证文件一致?
验证项目是否齐全、现场是否超出验证状态?
检查IT架构是否有相关的安全管理策略,安全管理相关的记录是否齐全?
检查IT机房的现场管理是否符合机房管理规范要求,现场检查机房线路是否整齐规范,保护措施适当并有标识?
检查机房的机柜是否有接线图,接线图是否与实际一致?
检查机房硬件和线路变化是否有合规管理?
检查系统自动备份策略是否有效运行?
备份数据是否存储在异地(物理距离安全)?是否与生产系统处于不同的逻辑网络(防止勒索病毒感染备份)?
是否定期执行恢复测试(Restore Test)?特别是在备份系统发生变更后必须执行?
是否有书面的灾难恢复计划(DRP)?是否定义了具体的恢复时间目标(RTO)和数据丢失指标(RPO)?
检查是否制定IT架构相关的应急方案和灾难恢复方案?
检查IT架构运行过程有没有相关异常,如CPU负载过高或网络负载过大等情况,异常是否已经记录,并确定处理措施是否适当?
检查是否制定IT架构权限管理规程,是否制定系统远程登录、物理服务器及网络设备授权人清单,是否存在授权过量、违规授权的情况?
检查应用软件和防病毒软件更新及系统打补丁的情况,确定该过程是否受控?
GxP关键系统是否与办公网络/互联网进行有效的网络隔离(如VLAN划分、防火墙策略)?
对于面向互联网的关键系统,是否定期进行渗透测试(道德黑客攻击模拟)?是否有修复漏洞的记录?
所有远程维护/访问是否使用加密协议(如HTTPS、SSH、TLS)?禁止明文传输
是否部署了防病毒软件或端点检测与响应(EDR)系统?病毒库是否定期更新?
防火墙规则是否定期审核?是否仅开放业务必需的端口和IP?端口开放设置是否纳入配置管理?
是否仍在运行供应商已停止支持的系统(如Windows 7/Server 2008/2012)?若必须使用,是否已进行“隔离”处理?
检查机房所有防火防雷措施是否适当,灾难恢复措施是否有效,启用情况等?
检查系统数据库,确定系统所有业务数据均存储到数据库?
检查可以访问数据库的人员清单,是否有业务人员可以访问数据库?
检查时间时区同步服务器时间时区的准确性及同步频率?
检查是否有与IT架构相关的变更、偏差管理规程,与IT架构相关的变更、偏差是否合理,是否已经闭环,引发的CAPA措施是否依然有效?
检查是否制定IT架构的配置管理规范,是否按照规范进行日常配置管理?
是否对服务器、交换机等基础设施日志进行审核,是否存在高风险日志没有任何说明(如网络攻击)
检查是否制定完整、合理的IT架构运维规程,是否按照规程执行IT架构的运维?
检查IT架构相关人员是否经过培训,并制定周期性的培训计划?
检查IT架构是否有外包,如有,是否签订相关外包协议?
是否有SLA规定高危安全补丁的安装时限?对于严重漏洞,是否“立即”修复?
检查供应商是否针对IT架构提供服务,如有,是否签订相关服务协议?
