Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор FDA CFR Title 21
Кодекс федеральных правил (CFR) содержит правила и положения для исполнительных департаментов и учреждений федерального правительства США. Каждое из 50 названий CFR относится к отдельной регулируемой области.
FDA CFR Раздел 21 регулирует продукты питания и лекарства, изготовленные или потребляемые в США, под юрисдикцией Управления по контролю за продуктами и лекарствами (FDA), Управления по борьбе с наркотиками и Управления национальной политики в области контроля над наркотиками. Правила, изложенные в разделе 21 часть 11 CFR, устанавливают основные правила для технологических систем, которые управляют информацией, используемой организациями, подлежащими надзору FDA. Любая технологическая система, управляющая такими процессами GxP, как Good Laboratory Practices (GLP), Good Clinical Practices (GCP) и Good Manufacturing Practices (GMP), также требует проверки ее соответствия GxP.
Раздел 21, часть 11 CFR устанавливает требования, обеспечивающие, чтобы электронные записи и подписи были надежными, надежными и эквивалентными заменами бумажных записей и рукописных подписей. Он также предлагает рекомендации по повышению безопасности компьютерных систем в регулируемых FDA отраслях. Субъектные компании должны доказать, что их процессы и продукты работают так, как они предназначены, и если эти процессы и продукты изменяются, они должны повторно проверить это доказательство. Рекомендации охватывают следующие рекомендации.
- Standard операционные процедуры и элементы управления, поддерживающие электронные записи и подписи, такие как резервное копирование данных, безопасность и проверка компьютерных систем.
- Функции, обеспечивающие безопасность компьютерной системы, содержат журналы аудита значений данных и обеспечивают целостность электронных подписей.
- Проверка и документация, которые свидетельствуют о том, что система выполняет то, что предназначено, и что пользователи могут определить, когда система работает не так, как задумано.
Microsoft и FDA CFR Title 21
Корпоративные облачные службы Майкрософт регулярно проходят независимые сторонние аудиты SOC 1 типа 2 и SOC 2 типа 2 и сертифицированы в соответствии со стандартами ISO/IEC 27001 и ISO/IEC 27018.
Хотя эти регулярные аудиты и сертификации не ориентированы на соответствие нормативным требованиям FDA, их назначение и задачи аналогичны целям раздела 21 раздела 11 CFR и помогают обеспечить конфиденциальность, целостность и доступность данных, хранящихся в облачных службах Майкрософт. Наш подход к квалификации также основан на лучших отраслевых практиках, включая серию руководств по надлежащей практике международного общества фармацевтической инженерии (ISPE) GAMP и схемы сотрудничества фармацевтической инспекции (PIC/S) для компьютеризованных систем в регулируемых средах GxP.
Клиенты могут запросить доступ к отчетам о соответствии требованиям в соответствии с условиями соглашения о неразглашении через своего представителя учетной записи Майкрософт или через портал service trust portal.
Microsoft in-область облачные платформы и службы
Несмотря на отсутствие сертификации на соответствие разделу 21 части 11 CFR, следующие корпоративные облачные службы Майкрософт проходят независимый сторонний аудит. Эти аудиты помогут вам в выполнении ваших усилий по обеспечению соответствия требованиям. К этим службам относятся:
- Azure: Облачные службы, хранилище, диспетчер трафика, Виртуальные машины и виртуальная сеть
- Azure DevOps
- Microsoft Intune
- Microsoft Dynamics 365 и Dynamics 365 правительства США
- Office 365 и Office 365 для государственных организаций США
Аудит, отчеты и сертификаты
Отчеты об аудите для стандартов SOC 1 и SOC 2 типа 2, ISO/IEC 27001 и ISO/IEC 27018 свидетельствуют об эффективности элементов управления, реализуемых корпорацией Майкрософт. Эти отчеты могут помочь вам соответствовать FDA CFR Раздел 21 Часть 11.
Вопросы и ответы
К кому применим стандарт?
FDA CFR Раздел 21 Часть 11 применяется к организациям с продуктами и услугами, которые занимаются регулируемыми FDA аспектами исследований, клинических исследований, обслуживания, производства и распространения продуктов для науки о жизни.
Как корпоративные облачные службы Майкрософт демонстрируют соответствие требованиям FDA CFR, раздел 21, часть 11?
Используя официальные аудиты, подготовленные третьими лицами для SOC 1 type 2, SOC 2 Type 2, ISO/IEC 27001 и ISO/IEC 27018, корпорация Майкрософт показывает, как соответствующие средства контроля, указанные в этих отчетах, соответствуют требованиям.
Проверенные элементы управления, реализуемые корпорацией Майкрософт, помогают обеспечить конфиденциальность, целостность и доступность данных. Эти элементы управления соответствуют применимым нормативным требованиям, определенным в части 11 раздела 21, за которые отвечает корпорация Майкрософт. В руководствах по квалификации для Azure и Office 365 подробно описано, как элементы управления аудитом Майкрософт соответствуют этим требованиям.
Как получить копии отчетов аудитора?
На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. С помощью портала можно запрашивать отчеты об аудите, чтобы аудиторы могли сравнивать результаты облачных служб Майкрософт с собственными юридическими и нормативными требованиями.
Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации для моей организации?
Да. Независимые сторонние отчеты о соответствии стандартам IEC/ISO 27001, ISO/IEC 27018, SOC 1 и SOC 2 свидетельствуют об эффективности элементов управления Майкрософт. Клиенты корпоративного облака Майкрософт могут использовать проверенные элементы управления, описанные в этих связанных отчетах, в рамках собственных усилий по анализу рисков и квалификации CFR, раздел 21, часть 11. Клиенты, которые создают и развертывают приложения в соответствии с правилами FDA, несут ответственность за обеспечение того, чтобы их приложения соответствовали требованиям FDA.
Каковы обязательства Майкрософт по поддержанию соответствия стандарту?
Корпорация Майкрософт гарантирует, что ее корпоративные облачные службы соответствуют условиям, определенным в правилах условий использования веб-служб и применимых соглашений об уровне обслуживания (SLA). Эти термины определяют нашу ответственность за внедрение и поддержание средств контроля, достаточных для защиты и мониторинга системы.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Azure - GxP (FDA 21 CFR Part 11)
- Кодекс федеральных правил, раздел 21
- Руководство FDA для промышленности Часть 11: Электронные записи и подписи
- Условия использования веб-служб Майкрософт
- Microsoft Cloud для государственных организаций
- Центр управления безопасностью (Майкрософт)
- Соответствие требованиям в центре управления безопасностью Майкрософт