Qualifizierung der IT-Infrastruktur

Als Grundstruktur für die Einbindung von IT-Systemen und Applikationen muss die IT-Infrastruktur qualifiziert werden. Erfahren Sie hier die Anforderungen an die IT-Infrastruktur im geregelten Bereich von dem Experten Ralf Eßling, Thescon GmbH.

 Themen

• Was ist IT-Infrastruktur?
• Was bedeutet IT-Infrastruktur?
• Was gehört zur IT-Infrastruktur?
• Welche Elemente des Qualitätsmanagements sind nötig?
• Kurzer Exkurs: ausgelagerte Infrastruktur, Cloud Computing

Wie qualifiziere ich die IT-Infrastruktur?

• Was sind die gesetzlichen Grundlagen?
• Wie sind die Qualifizierungsphasen definiert?
• Wie stellt man den laufenden Betrieb sicher?
• Welche Dokumente müssen erstellt werden?

Q&A

Wenn ich ein Tochterunternehmen habe, dass mein Dienstleiter ist, sollte ich dieses auch als Anbieter qualifizieren?

Ralf Eßling: Ja. Das ist ja ein rechtlich selbstständiges Unternehmen. Risikobasiert kann der Umfang im Vergleich zur Qualifizierung externer Unternehmen aber vermutlich mit verringertem Umfang durchgeführt werden.

Welche andere Good Practice Guides für Infrastruktur gibt es noch außer GAMP?

Ralf Eßling: Dieses Dokument ist von der ISPE. Es gibt aber noch andere Gremien, die entsprechende Dokumente herausgegeben haben. Zum Beispiel auch die PIC/S aus Sicht der Inspektionsbehörden oder ICH. Andere Regelwerke sind DIN EN ISO 13485, 14971.

Wird ein Wechsel von Citrix VDA auf VMware VDI als neue IT-Infrastruktur behandelt?

Ralf Eßling: Ja, aber es kommt drauf an. Es wird eine Änderung vorgenommen, eventuell ja eine komplett neue IT Infrastruktur. Wichtig ist die gute Dokumentation und damit der Nachweis, welche Änderung konkret durchgeführt wurde.

Müssen bei SaaS die OQ Dokumente kontrolliert bei der Firma, die die Software nutzt abgelegt werden?

Ralf Eßling: Ja. Alles, was ich an Dokumenten für die eigene Infrastruktur benötige, benötige ich auch vom Zulieferer.

In welchen Dokumenten muss bei SaaS dokumentiert/geprüft werden, dass die IT Infrastruktur beim Lieferanten qualifiziert wurde?

Ralf Eßling: Dazu sollten Sie eine Checkliste erstellen aus der hervor geht, welche Anforderungen Sie an ihren Cloud-Anbieter haben. Diese Checkliste muss dann abgearbeitet werden. Insbesondere bei großen Cloud-Anbietern ist es unwahrscheinlich, dass Sie die geforderten Dokumente erhalten. Daher ist hier die Lieferantenqualifizierung von großer Wichtigkeit.

Was muss ich beachten, wenn ich die Administration der Infrastruktur an ein IT-Systemhaus auslagere? Ich also keine hausinterne IT Abteilung habe. Muss ich alles vertraglich regeln? Muss mein Dienstleister nach ITIL oder anderem Standard arbeiten? Ändert sich der Qualifizierungsaufwand?

Ralf Eßling: Der Dienstleister ist entsprechend zu qualifizieren. Ist also über vertragliche Grundlagen zu regeln, analog einer Cloudanwendung. Wenn entsprechende Standards in Anwendung sind und/oder Zertifizierungen vorliegen, kann hierfür der Qualifizierungsaufwand ggf. verringert werden.

Backup & Wiederlesbarkeit der Daten kann ich erst testen, wenn die Anwendung (Business Applikation) installiert ist, wenn GxP-Daten generiert werden. Würde ich während der Validierung testen? Backupserver, Backupprogramm usw. könnte ich während der Infrastruktur Q. abprüfen.

Die Argumentation ist passend. Dies kann als Abweichung bei der Qualifizierung dokumentiert werden und dann bei der Validierung der Business Anwendung entsprechend durchgeführt werden. Ein entsprechender Vermerk sollte in der Qualifizierungsdokumentation aufgenommen werden und im Nachgang (ggf. nach der erfolgreichen Validierung) auf das Validierungsergebnis verwiesen werden.

Disclaimer
Die Darstellungen bilden den aktuellen Kenntnisstand, bzw. die Sichtweise des Vortragenden ab und dienen der Informationsvermittlung. Sie entsprechen nicht zwangsläufig der Meinung von Behörden, Inspektoren oder Auditoren. Obwohl sie mit großer Sorgfalt erstellt wurden, kann in Bezug auf die inhaltliche Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen keine Gewährleistung übernommen werden.