IT-Infrastruktur bei GMP-Inspektionen
Seminarempfehlung
10.-12. Dezember 2024
Heidelberg
Bei gleichzeitiger Anmeldung zu Block 1 reduziert sich die Teilnahmegebühr
Die Inspektion der IT-Infrastruktur durch die Behörde ist in der Zwischenzeit zu einem wichtigen Themenfeld im Rahmen der Inspektion computergestützter Systeme geworden. Es bietet sich hier dem Inspektor ein breites Spektrum an. Im Folgenden nur ein paar Punkte, die man hier thematisieren kann: Verkabelung, Verteilersystem und Stecker, aktive Netz-Komponenten, Peripheriegeräte, Gebäude und Räumlichkeiten, Verantwortlichkeiten und Personal, System- und Datensicherheit, Backup und Archivierung, Netz- und Systemmanagement einschließlich Change Management, Wartung (Fernwartung), Virenschutzkonzept, Performance Monitoring, Help Desk, Outsourcing (infrastructure as a service - IaaS). Und diese Liste ist nicht abschließend.
Regulatorische Grundlagen
Die Rechtsgrundlage ist eindeutig. EU-GMP Annex 11 besagt: "Die Anwendung sollte validiert, die IT Infrastruktur sollte qualifiziert werden."
Hinweise, wie Qualifizierungen durchzuführen sind, gibt der EU-GMP Annex 15. Hier sind insbesondere folgende Punkte zu nennen:
Annex 15, 3.1 "Qualifizierungsaktivitäten sollten alle Schritte von der anfänglichen Entwicklung der Benutzeranforderung (URS) bis zum Ende der Nutzung von Ausrüstung, Einrichtung, Betriebsmitteln oder Systemen umfassen."
Die Qualifizierung umfasst also immer DQ, IQ, OQ und PQ. Ein Versuch das System auf die Infrastruktur zu übertragen macht insbesondere bei der PQ Probleme. Eine klassische PQ wie sonst gibt es hier sicher nicht.
Unterstützung bei der Inspektion bekommt der Inspektor durch einige Leitlinien von Behörde und Industrie:
- AIM der EFG 11 Überwachung computergestützter Systeme
- PIC/S PI 011 und PI 041
- IT Grundschutzkompendium (BSI)
- GAMP® GPG IT Infrastructure Control and Compliance
Das Dokument PIC/S PI 041-1 enthält etliche Hinweise zum Thema IT-Infrastruktur. Die meisten Hinweise sind im Abschnitt - 9.2 Qualification and validation of computerised systems und 9.5 System security for computerised systems zu finden.
Inspektionspraxis
Beispielhaft soll hier das Thema passive Netzkomponenten angesprochen werden. Als passive Netzkomponenten werden alle Netzkomponenten betrachtet, die keine eigene Netzstrom-Versorgung benötigen. Dazu gehören unter anderem Kabel, Verteilerschränke, Patchfelder und Steckverbinder.
Im Rahmen von fünf GMP-Inspektionen wurden folgende aus dem GAMP® GPG IT-Infrastruktur entnommenen Fragen gestellt:
- Frage 1: Are (internal or external) standards used to define cable requirements?
- Frage 2: Are cabling diagrams or specifications in place?
- Frage 3: Are cables tagged or labeled to aid identification?
Hier das Ergebnis zusammengefasst:
Frage 1 | Frage 2 | Frage 3 | |
Betrieb 1 | ? | ? | ? |
Betrieb 2 | Es war bekannt welche Kabel zumindest teilweise verlegt worden sind. | Antwort Ja, aber es wurde keine Dokumentation gefunden. | Dosen waren bezeichnet Kabelpläne mit Bezeichnungen waren nicht vorhanden |
Betrieb 3 | Die Netzwerkanwendungsklasse war definiert. | Zeichnerische Darstellung der Verkabelung war vorhanden | Identifizierung zum Teil möglich. |
Betriebs 4 | Die Netzwerkanwendungsklasse war definiert | Ja | Tabellarische Übersicht vorhanden (Bezeichnung, Angabe der Endpunkte, Zahl der Fasern, Kabeltyp - (UTP, S/UTP, STP, S/STP, optische Faser) |
Betrieb 5 | Es war Netzwerkanwendungsklasse E definiert worden. Messprotokolle hatten aber gezeigt, dass diese Klasse nicht überall erreicht wird. | Ja | Wie Betrieb 4 |
Anmerkungen zur Tabelle:
- Betrieb 1 konnte die Fragen nicht beantworten. Es war kein fachkundiges Personal vor Ort.
- Betrieb 5: Das Problem lag bei den Steckern. Eigentlich reicht bei der Klasse E ein Kategorie 5 Stecker aus. Es hat sich aber in der Praxis gezeigt, dass ein Kategorie 6 Stecker sicherer ist.