食物和藥物管理 CFR 標題 21 第 11 部分
版次 CFR 標題 21 概觀
美國聯邦法規 (CFR) 包含美國聯邦政府執行部門和機構的規則和法規。 CFR 的 50 個標題中的每一個都會處理不同的管制區域。
在《美國食物與藥物管理》 (、) 、美國國家藥物管理局和國家藥物控制政策辦公室的管轄下,所有在 美國 中製造或取用的 CDC CFR 標題 21 會規範食物和藥物。 CFR 標題 21 第 11 部分中所述的法規會設定技術系統的基礎規則,這些技術系統會管理受制於對之進行之管理之組織所使用的資訊, 任何管理良好實驗室實務 (GLP) 、良好臨床做法 (GCP) 和良好製造做法 (GMP) 這類 GxP 程式的技術系統,也都需要驗證其是否遵守 GxP。
CFR 標題 21 第 11 部分會設定需求,以確保電子記錄和簽章是可信任、可靠且相等的紙張記錄和手寫簽章替代專案。 它也會提供指導方針,以改善受偵測到之產業中計算機系統的安全性。 主體公司必須證明其程式和產品如其設計方式運作,而且如果這些程式和產品變更,則必須重新驗證該證明。 最佳做法指導方針涵蓋:
- 支援電子記錄和簽章的標準操作程式和控制項,例如數據備份、安全性和計算機系統驗證。
- 可確保計算機系統安全的功能、包含數據值的稽核線索,並確保電子簽章的完整性。
- 驗證和檔提供辨識項,證明系統會執行預期的作業,而且使用者可以偵測系統何時未如設計般運作。
Microsoft 和 ARTIFACT CFR 標題 21
Microsoft 企業雲端服務會進行一般獨立的第三方 SOC 1 類型 2 和 SOC 2 類型 2 稽核,並根據 ISO/IEC 27001 和 ISO/IEC 27018 標準進行認證。
雖然這些定期稽核和認證並未特別著重於對應的法規合規性,但其目的和目標本質與 CFR 標題 21 第 11 部分的用途和目標類似,有助於確保儲存在 Microsoft 雲端服務中之數據的機密性、完整性和可用性。 我們的限定性方法也以業界最佳做法為基礎,包括國際藥物工程學會 (ISPE) 一系列良好做法指南的 GAMP,以及在受管制 GxP 環境中針對計算機化系統 (PIC/S) 良好做法的藥物檢查合作方案。
客戶可以透過其 Microsoft 帳戶代表,或透過 服務信任入口網站,要求存取合規性報告、遵守非公開合約條款和條件。
Microsoft 範圍內雲端平台與服務
雖然沒有符合 CFR Title 21 第 11 部分的認證,但下列 Microsoft 企業雲端服務已進行獨立的第三方稽核,這可能有助於客戶進行合規性工作。 這些服務包括:
- Azure:雲端服務、記憶體、流量管理員、虛擬機器 和 虛擬網路
- Azure DevOps
- Intune
- Dynamics 365 和 Dynamics 365 美國政府
- Office 365 和 Office 365 美國政府
稽核、報告和憑證
SOC 1 和 SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 標準的稽核報告,證明 Microsoft 已實作的控件有效性,並可協助客戶符合此服務的版次 21 第 21 部分。
常見問題集
該標準適用於誰?
在研究、臨床研究、維護、製造和散發生命科學產品方面,具有產品和服務的組織,適用的組織會使用與所有受控於此服務的產品和服務。
Microsoft 企業雲端服務如何示範如何符合《美國國家/標準標準》CFR標題 21 第 11 部分?
使用第三方針對 SOC 1 類型 2、SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 準備的正式稽核,Microsoft 能夠顯示這些報告中所述的相關控件如何滿足需求。
Microsoft 實作的稽核控件可協助確保數據的機密性、完整性和可用性,並對應至標題 21 第 11 部分中定義的適用法規需求,這些需求已識別為 Microsoft 的責任。 Azure 和 Office 365 的限定性指導方針會詳細說明 Microsoft 稽核控件如何對應這些需求。
如何取得稽核員報告的複本?
服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求稽核報告,讓稽核員可以比較 Microsoft 的雲端服務結果與您自己的法律和法規需求。
我可以在組織的認證程式中使用 Microsoft 的合規性嗎?
是的。 IEC/ISO 27001、ISO/IEC 27018、SOC 1 和 SOC 2 標準的獨立第三方合規性報告可證明 Microsoft 控制件的有效性。 Microsoft 企業雲端客戶可以使用這些相關報告中所述的稽核控件,作為他們自己的 CFR 標題 21 第 11 部分風險分析和資格限定工作的一部分。 建置和部署受限於「所有」法規之應用程式的客戶,會負責確保其應用程式符合「AI」需求。
使用這個標準時,Microsoft 對維護合規性有何責任?
Microsoft 確保其企業雲端服務符合控管 在線服務條款 中所定義的條款,以及適用的服務等級協定 (SLA) 。 這些條款定義了我們負責實作和維護足以保護和監視系統的控件。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。