食物和藥物管理 CFR 標題 21 第 11 部分

版次 CFR 標題 21 概觀

美國聯邦法規 (CFR) 包含美國聯邦政府執行部門和機構的規則和法規。 CFR 的 50 個標題中的每一個都會處理不同的管制區域。

在《美國食物與藥物管理》 (、) 、美國國家藥物管理局和國家藥物控制政策辦公室的管轄下，所有在 美國 中製造或取用的 CDC CFR 標題 21 會規範食物和藥物。 CFR 標題 21 第 11 部分中所述的法規會設定技術系統的基礎規則，這些技術系統會管理受制於對之進行之管理之組織所使用的資訊， 任何管理良好實驗室實務 (GLP) 、良好臨床做法 (GCP) 和良好製造做法 (GMP) 這類 GxP 程式的技術系統，也都需要驗證其是否遵守 GxP。

CFR 標題 21 第 11 部分會設定需求，以確保電子記錄和簽章是可信任、可靠且相等的紙張記錄和手寫簽章替代專案。 它也會提供指導方針，以改善受偵測到之產業中計算機系統的安全性。 主體公司必須證明其程式和產品如其設計方式運作，而且如果這些程式和產品變更，則必須重新驗證該證明。 最佳做法指導方針涵蓋：

• 支援電子記錄和簽章的標準操作程式和控制項，例如數據備份、安全性和計算機系統驗證。
• 可確保計算機系統安全的功能、包含數據值的稽核線索，並確保電子簽章的完整性。
• 驗證和檔提供辨識項，證明系統會執行預期的作業，而且使用者可以偵測系統何時未如設計般運作。

Microsoft 和 ARTIFACT CFR 標題 21

Microsoft 企業雲端服務會進行一般獨立的第三方 SOC 1 類型 2 和 SOC 2 類型 2 稽核，並根據 ISO/IEC 27001 和 ISO/IEC 27018 標準進行認證。

雖然這些定期稽核和認證並未特別著重於對應的法規合規性，但其目的和目標本質與 CFR 標題 21 第 11 部分的用途和目標類似，有助於確保儲存在 Microsoft 雲端服務中之數據的機密性、完整性和可用性。 我們的限定性方法也以業界最佳做法為基礎，包括國際藥物工程學會 (ISPE) 一系列良好做法指南的 GAMP，以及在受管制 GxP 環境中針對計算機化系統 (PIC/S) 良好做法的藥物檢查合作方案。

客戶可以透過其 Microsoft 帳戶代表，或透過 服務信任入口網站，要求存取合規性報告、遵守非公開合約條款和條件。

Microsoft 範圍內雲端平台與服務

雖然沒有符合 CFR Title 21 第 11 部分的認證，但下列 Microsoft 企業雲端服務已進行獨立的第三方稽核，這可能有助於客戶進行合規性工作。 這些服務包括：

• Azure：雲端服務、記憶體、流量管理員、虛擬機器 和 虛擬網路
• Azure DevOps
• Intune
• Dynamics 365 和 Dynamics 365 美國政府
• Office 365 和 Office 365 美國政府

稽核、報告和憑證

SOC 1 和 SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 標準的稽核報告，證明 Microsoft 已實作的控件有效性，並可協助客戶符合此服務的版次 21 第 21 部分。

常見問題集

該標準適用於誰？

在研究、臨床研究、維護、製造和散發生命科學產品方面，具有產品和服務的組織，適用的組織會使用與所有受控於此服務的產品和服務。

Microsoft 企業雲端服務如何示範如何符合《美國國家/標準標準》CFR標題 21 第 11 部分？

使用第三方針對 SOC 1 類型 2、SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 準備的正式稽核，Microsoft 能夠顯示這些報告中所述的相關控件如何滿足需求。

Microsoft 實作的稽核控件可協助確保數據的機密性、完整性和可用性，並對應至標題 21 第 11 部分中定義的適用法規需求，這些需求已識別為 Microsoft 的責任。 Azure 和 Office 365 的限定性指導方針會詳細說明 Microsoft 稽核控件如何對應這些需求。

如何取得稽核員報告的複本？

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求稽核報告，讓稽核員可以比較 Microsoft 的雲端服務結果與您自己的法律和法規需求。

我可以在組織的認證程式中使用 Microsoft 的合規性嗎？

是的。 IEC/ISO 27001、ISO/IEC 27018、SOC 1 和 SOC 2 標準的獨立第三方合規性報告可證明 Microsoft 控制件的有效性。 Microsoft 企業雲端客戶可以使用這些相關報告中所述的稽核控件，作為他們自己的 CFR 標題 21 第 11 部分風險分析和資格限定工作的一部分。 建置和部署受限於「所有」法規之應用程式的客戶，會負責確保其應用程式符合「AI」需求。

使用這個標準時，Microsoft 對維護合規性有何責任？

Microsoft 確保其企業雲端服務符合控管 在線服務條款 中所定義的條款，以及適用的服務等級協定 (SLA) 。 這些條款定義了我們負責實作和維護足以保護和監視系統的控件。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• Azure - GxP (將第 21 部分 CFR 第 11 部分)
• 美國聯邦法規第 21 章
• 產業適用的操作指南第 11 部分：電子記錄和簽章
• Microsoft Online Services 條款
• 適用於政府的 Microsoft 雲端
• Microsoft 信任中心
• Microsoft 信任中心的合規性