本文為您介紹GxP歐盟附錄11標準合規包的業務背景、應用場景,以及合規包中的默認規則。
業務背景
GxP歐盟附錄11(GxP EU Annex 11)是歐盟對于計算機化系統使用的規范性要求,主要針對在制藥、生物技術和醫療器械領域中使用計算機化系統的企業和組織。他要求涵蓋了計算機化系統的開發、驗證、操作、維護和監測等方面,以確保這些系統符合相關法規和標準,用于生產、控制和保證產品質量和可靠性。Annex 11是GMP(Good Manufacturing Practice)的一部分,作為藥品生產過程中的重要指導標準之一,被廣泛應用于歐洲及全球制藥和生物技術領域。
GxP歐盟附錄11標準合規包基于GxP歐盟附錄11對賬號數據保護的基線標準,從云上資源使用和管控方面提供部分建議的合規性檢測。
關于GxP歐盟附錄11合規標準的更多信息,請參見GxP EU Annex 11。
應用場景
GxP歐盟附錄11標準合規包應用于制藥、生物技術和醫療器械領域中使用計算機化系統的企業和組織。
默認規則
合規包模板為您提供通用的合規性框架,幫助您快速創建符合目標場景的合規包。規則的“合規”僅指資源符合規則定義本身的合規性描述,不確保符合特定法規或行業標準的所有要求。
規則名稱 | 規則描述 | 建議項編號 | 建議項說明 |
操作審計中存在開啟狀態的跟蹤,且跟蹤全部地域和全部事件類型,視為“合規”。 | 1.1 | 風險管理應貫穿計算機化系統的整個生命周期,同時考慮到患者安全、數據完整性和產品質量。作為風險管理系統的一部分,關于驗證范圍和數據完整性控制的決定應基于對計算機化系統的合理和有據可查的風險評估。 | |
4.2 | 驗證文檔應包括變更控制記錄(如果適用)和關于驗證過程中觀察到的任何偏差的報告。 | ||
9.1 | 應考慮在風險評估的基礎上,在系統中建立所有與GMP相關的變更和刪除的記錄(系統生成的 “審計線索”)。要更改或刪除GMP相關數據,應記錄原因。審計線索必須可用,可轉換為一般易懂的形式,并定期進行審查。 | ||
11.1 | 應定期評估計算機化系統,以確認它們保持有效狀態并符合GMP。此類評估應酌情包括當前的功能范圍、偏差記錄、事件、問題、升級歷史記錄、性能、可靠性、安全性和驗證狀態報告。 | ||
12.3 | 應記錄訪問授權的創建、更改和取消。 | ||
12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | ||
13.1 | 應報告和評估所有事件,而不僅僅是系統故障和數據錯誤。應確定重大事件的根本原因,并應成為糾正和預防行動的基礎。 | ||
使用云安全中心企業版或者更高級別的版本,視為“合規”。 | 1.1 | 風險管理應貫穿計算機化系統的整個生命周期,同時考慮到患者安全、數據完整性和產品質量。作為風險管理系統的一部分,關于驗證范圍和數據完整性控制的決定應基于對計算機化系統的合理和有據可查的風險評估。 | |
11.1 | 應定期評估計算機化系統,以確認它們保持有效狀態并符合GMP。此類評估應酌情包括當前的功能范圍、偏差記錄、事件、問題、升級歷史記錄、性能、可靠性、安全性和驗證狀態報告。 | ||
13.1 | 應報告和評估所有事件,而不僅僅是系統故障和數據錯誤。應確定重大事件的根本原因,并應成為糾正和預防行動的基礎。 | ||
運行中的ECS實例開啟云安全中心防護,視為“合規”。 | 4.3 | 應提供所有相關系統及其GMP功能(清單)的最新清單。對于關鍵系統,應提供最新的系統描述,詳細說明物理和邏輯安排、數據流和與其他系統或進程的接口、任何硬件和軟件先決條件以及安全措施。 | |
ECS實例在云安全中心無指定類型和指定等級的待修復漏洞,視為“合規”。 | 4.3 | 應提供所有相關系統及其GMP功能(清單)的最新清單。對于關鍵系統,應提供最新的系統描述,詳細說明物理和邏輯安排、數據流和與其他系統或進程的接口、任何硬件和軟件先決條件以及安全措施。 | |
ECS實例狀態為運行中,視為“合規”。 | 4.3 | 應提供所有相關系統及其GMP功能(清單)的最新清單。對于關鍵系統,應提供最新的系統描述,詳細說明物理和邏輯安排、數據流和與其他系統或進程的接口、任何硬件和軟件先決條件以及安全措施。 | |
彈性公網IP均已綁定到ECS實例或NAT網關實例,視為“合規”。 | 4.3 | 應提供所有相關系統及其GMP功能(清單)的最新清單。對于關鍵系統,應提供最新的系統描述,詳細說明物理和邏輯安排、數據流和與其他系統或進程的接口、任何硬件和軟件先決條件以及安全措施。 | |
安全組綁定的ECS實例數量大于0,視為“合規”。 | 4.3 | 應提供所有相關系統及其GMP功能(清單)的最新清單。對于關鍵系統,應提供最新的系統描述,詳細說明物理和邏輯安排、數據流和與其他系統或進程的接口、任何硬件和軟件先決條件以及安全措施。 | |
RDS實例開始日志備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
PolarDB集群日志備份保留周期大于等于指定天數,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
Redis實例開啟增量備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
Elasticsearch實例開啟了自動備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
ADB集群開啟日志備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
MongoDB實例開啟日志備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
為NAS文件系統創建備份計劃,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
ECS磁盤已設置自動快照策略,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
OceanBase集群開啟數據庫備份,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
OSS存儲空間開啟版本控制,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
OSS存儲空間開啟同城冗余存儲,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
7.2 | 應定期備份所有相關數據。應在驗證期間檢查備份數據的完整性和準確性以及恢復數據的能力,并定期進行監控。 | ||
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
DTS實例下同步任務源庫和目標庫均使用SSL安全鏈接,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
DTS實例下遷移任務源庫和目標庫均使用SSL安全鏈接,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
檢測CDN域名是否啟用TLS 1.3版本,啟用視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
Elasticsearch實例使用HTTPS傳輸協議,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
函數計算中函數綁定的自定義域名能夠訪問公網且開啟TLS指定版本,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
PolarDB集群已設置SSL加密,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
Redis實例已設置SSL加密,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
API網關中開啟公網訪問的API請求方式設置為HTTPS,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
RDS實例已使用SSL證書,視為“合規”。 | 4.8 | 如果將數據傳輸到其他數據格式或系統,則驗證應包括檢查在此遷移過程中數據的價值和含義是否沒有改變。 | |
5.1 | 以電子方式與其他系統交換數據的計算機化系統應包括適當的內置檢查,以確保數據的正確和安全輸入和處理,以最大限度地減少風險。 | ||
使用中的ECS數據磁盤已開啟加密,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
RDS實例已開啟TDE加密,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
VPN連接使用的加密算法不為None,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
Elasticsearch實例數據節點開啟云盤加密,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
PolarDB集群開啟TDE加密,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
Redis實例使用自定義密鑰開啟TDE加密,視為”合規“。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
日志服務中的日志庫設置了數據加密,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
17.1 | 數據可以存檔。應檢查這些數據的可訪問性、可讀性和完整性。如果要對系統進行相關更改(例如計算機設備或程序),則應確保和測試檢索數據的能力。 | ||
RDS實例開啟刪除保護,視為“合規”。 | 7.1 | 應通過物理和電子手段保護數據免受損壞。應檢查存儲的數據的可訪問性、可讀性和準確性。應確保在整個保留期內訪問數據。 | |
PolarDB集群開啟刪除保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
ECS實例開啟釋放保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
HBase集群開啟刪除保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
MongoDB實例開啟釋放保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
Redis實例開啟釋放保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
SLB實例開啟釋放保護,視為“合規”。 | 10.1 | 對計算機化系統的任何更改,包括系統配置,都只能按照規定的程序以受控的方式進行。 | |
16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | ||
運行中的ECS實例已安裝云監控插件,視為“合規”。 | 11.1 | 應定期評估計算機化系統,以確認它們保持有效狀態并符合GMP。此類評估應酌情包括當前的功能范圍、偏差記錄、事件、問題、升級歷史記錄、性能、可靠性、安全性和驗證狀態報告。 | |
13.1 | 應報告和評估所有事件,而不僅僅是系統故障和數據錯誤。應確定重大事件的根本原因,并應成為糾正和預防行動的基礎。 | ||
RDS實例開啟歷史事件日志,視為“合規”。 | 11.1 | 應定期評估計算機化系統,以確認它們保持有效狀態并符合GMP。此類評估應酌情包括當前的功能范圍、偏差記錄、事件、問題、升級歷史記錄、性能、可靠性、安全性和驗證狀態報告。 | |
12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | ||
阿里云賬號開啟多因素認證MFA(Multi-factor authentication),視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶開啟多因素認證MFA(Multi-factor authentication),視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
OSS存儲空間的ACL策略為私有,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
OSS存儲空間授權策略中未授予匿名賬號任何讀寫權限,視為“合規”;OSS存儲空間未設置任何授權策略,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
ECS實例被授予了實例RAM角色,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
函數計算服務配置了服務角色,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
啟用ACK集群的RRSA功能,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶未同時開啟控制臺訪問和OpenAPI調用訪問,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
MSE集群開放公網訪問且開啟鑒權或未開啟公網訪問 ,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶的AccessKey的最后使用時間與當前時間之差小于參數設置的時間,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶密碼策略中各項配置均滿足您設置的參數值,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶在最近90天有登錄行為,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
RAM用戶的AccessKey的創建時間距離檢查時間不超過指定天數,視為“合規”。 | 12.1 | 應采取物理和/或邏輯控制措施,限制授權人員訪問計算機化系統。防止未經授權進入系統的適當方法可能包括使用鑰匙、通行卡、帶密碼的個人密碼、生物識別、限制進入計算機設備和數據存儲區。 | |
Redis實例開啟審計日志,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
MongoDB實例開啟審計日志,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
OSS存儲空間的日志管理中開啟日志存儲,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
已接入WAF進行防護的域名均已開啟日志采集,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
RDS MySQL類型實例開啟SQL審計,且日志保留天數大于等于指定值,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
ADB集群開啟SQL審計日志,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
SLB傳統型負載均衡實例開啟訪問日志,視為“合規”。 | 12.4 | 應設計數據和文件管理系統,以記錄輸入、更改、確認或刪除數據(包括日期和時間)的操作者的身份。 | |
RDS實例支持多個可用區,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
Redis實例為多可用區實例,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
SLB實例是多可用區實例,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
ALB實例為多可用區實例,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
使用多可用區的MongoDB實例,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
彈性伸縮組關聯至少兩個交換機,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
終端節點服務配置多個可用區,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
PolarDB集群開啟存儲熱備集群,數據分布在多個可用區,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
SLB負載均衡的虛擬服務器組掛載資源分布在多個可用區,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 | |
ALB負載均衡的服務器組掛載資源分布在多個可用區,視為“合規”。 | 16.1 | 為了提供支持關鍵過程的計算機化系統,應作出規定,確保在系統出現故障(例如手動或替代系統)時繼續為這些流程提供支持。采用替代安排所需的時間應視風險而定,并適合特定系統及其所支持的業務流程。應充分記錄和測試這些安排。 |