版次 CFR 標題 21 概觀
美國聯邦法規 (CFR) 包含美國聯邦政府執行部門和機構的規則和法規。 CFR 的 50 個標題中的每一個都會處理不同的管制區域。
在《美國食物和藥物管理》 (的《CDC) 、美國國家藥物管理局和國家藥物控制政策辦公室的管轄範圍內,所有 CDC CFR 標題 21 會規範在 美國 中製造或取用的食物和藥物。 CFR 標題 21 第 11 部分中所述的法規會設定技術系統的基礎規則,這些技術系統會管理受制於對之進行之管理之組織所使用的資訊, 任何管理良好實驗室實務 (GLP) 、良好臨床做法 (GCP) 和良好製造做法 (GMP) 這類 GxP 程式的技術系統,也都需要驗證其是否遵守 GxP。
CFR 標題 21 第 11 部分會設定需求,以確保電子記錄和簽章是可信任、可靠且相等的紙張記錄和手寫簽章替代專案。 它也會提供指導方針,以改善受偵測到之產業中計算機系統的安全性。 主體公司必須證明其程式和產品如其設計方式運作,而且如果這些程式和產品變更,則必須重新驗證該證明。 最佳做法指導方針涵蓋:
- Standard 支援電子記錄和簽章的作程式和控件,例如數據備份、安全性和計算機系統驗證。
- 可確保計算機系統安全的功能、包含數據值的稽核線索,並確保電子簽章的完整性。
- 驗證和檔提供辨識項,證明系統會執行預期的作業,而且使用者可以偵測系統何時未如設計般運作。
Microsoft和 ARTIFACT CFR 標題 21
Microsoft企業雲端服務會進行一般的獨立第三方 SOC 1 類型 2 和 SOC 2 類型 2 稽核,並根據 ISO/IEC 27001 和 ISO/IEC 27018 標準進行認證。
雖然這些定期稽核和認證並未特別著重於對應的法規合規性,但其目的和目標本質上與 CFR 標題 21 第 11 部分相似,有助於確保儲存在Microsoft雲端服務中之數據的機密性、完整性和可用性。 我們的限定性方法也以業界最佳做法為基礎,包括國際藥物工程學會 (ISPE) 一系列良好做法指南的 GAMP,以及在受管制 GxP 環境中針對計算機化系統 (PIC/S) 良好做法的藥物檢查合作方案。
客戶可以透過其Microsoft帳戶代表,或透過 服務信任入口網站,要求存取合規性報告、遵守非公開合約條款和條件。
Microsoft 範圍內雲端平台與服務
雖然沒有符合 CFR Title 21 第 11 部分的認證,但下列Microsoft企業雲端服務已進行獨立的第三方稽核,這可協助客戶進行合規性工作。 這些服務包括:
- Azure:雲端服務、記憶體、流量管理員、虛擬機器 和 虛擬網路
- Azure DevOps
- Intune
- Dynamics 365 和 Dynamics 365 美國政府
- Office 365 和 Office 365 美國政府
稽核、報告和憑證
SOC 1 和 SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 標準的稽核報告會證明Microsoft已實作的控件有效性,並可協助客戶符合《資訊安全》CFR 標題 21 第 11 部分。
常見問題集
該標準適用於誰?
在研究、臨床研究、維護、製造和散發生命科學產品方面,具有產品和服務的組織,適用的組織會使用與所有受控於此服務的產品和服務。
Microsoft企業雲端服務如何示範符合《標準》CFR 標題 21 第 11 部分?
使用第三方針對 SOC 1 類型 2、SOC 2 類型 2、ISO/IEC 27001 和 ISO/IEC 27018 準備的正式稽核,Microsoft能夠顯示這些報告中所述的相關控件如何滿足需求。
Microsoft實作的稽核控件可協助確保數據的機密性、完整性和可用性,並對應至標題 21 第 11 部分中定義的適用法規需求,這些需求已識別為Microsoft的責任。 Azure 和 Office 365 的限定性指導方針會詳細說明Microsoft稽核控件如何對應這些需求。
如何取得稽核員報告的複本?
服務信任入口網站提供獨立稽核的合規性報告。 您可以使用入口網站來要求稽核報告,讓稽核員可以比較Microsoft的雲端服務結果與您自己的法律和法規需求。
我可以在組織的認證程式中使用Microsoft合規性嗎?
是。 IEC/ISO 27001、ISO/IEC 27018、SOC 1 和 SOC 2 標準的獨立第三方合規性報告可證明Microsoft控件的有效性。 Microsoft企業雲端客戶可以使用這些相關報告中所述的稽核控件,作為自己的 CFR 標題 21 第 11 部分風險分析和資格限定工作的一部分。 建置和部署受限於「所有」法規之應用程式的客戶,會負責確保其應用程式符合「AI」需求。
使用這個標準時,Microsoft 對維護合規性有何責任?
Microsoft確保其企業雲端服務符合控管 在線服務條款 內所定義的條款,以及適用的服務等級協定 (SLA) 。 這些條款定義了我們負責實作和維護足以保護和監視系統的控件。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員 是 Microsoft Purview 入口網站中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。