Cloud in GxP Velkommen Velkommen til foredraget Cloud Computing i GxP miljø Christian Stage Stage One Computing A/S 2012.06.20
Cloud in GxP Om... Christian Stage fra Stage One Computing A/S Ingeniørmæssig baggrund, IT samt Automatik. Valideringsingeniør og konsulent Leverandør til reguleret industri siden 1992 (primært pharma og tele) Stage One er 8 specialister der leverer solide løsninger indenfor GMP Automatik IT QAtor Advantum SOCureLink SOClean GMP System (konfigurationsstyring, logbog) GMP System (dokumentstyring, SOP, træning, audit) Linkovervågning, linkverifikation og linkbackup Renrumsovervågning Stage One Computing A/S Laurentsvej 27, 2880 Bagsværd +45 47382038 info@stageone.dk
Cloud in GxP Agenda Definition af cloud Hvorfor Begreber Termer Cloud teknik Brugen af cloud Audit Udfordringer
Cloud in GxP Husk Spørg undervejs: Ellers glemmer man hvad man skulle spørge om Vi får en dialog i gang Emnet bliver lidt mindre kedeligt
Cloud in GxP Årsagen Lad os starte med at få afklaret hvad driver cloud løsninger
Cloud in GxP Årsagen Definitionen af Cloud jvf. NIST (US National Instituete of Standards and Technology) Cloud computing is a model for enabling convinient, on- demand network access to a shared pool of configurable computing resources (e.g., networks servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction
Cloud in GxP Cloud, Hvad går det ud på? Jeg kan huske den gang jeg var nødsaget til at høre om emnet før jeg gav mit uoprigtige besyv. Jeg mener vi skal virtualisere hele processen og lægge den op i skyen. Fantastisk idé! Nu om dage er det bare for let.
Cloud in GxP Begreber og termer Super fancy buzz words Port Virtualisering VPN Hosting Dropbox, cloud drive etc. Cloud SLA
Cloud in GxP Begreber og termer Pladesmed Din vogn Auto Service Service Mekaniker Autolakerer
Cloud in GxP Hvorfor hedder det cloud? File server Inventory AD SQL hotel
Cloud in GxP Definition af Cloud Mix af 3 komponenter Computing Storage Service
Cloud in GxP Defintion af cloud Eksempler (Storage) Hardware (Platform as a Service - PaaS) Maskinkraft Virtuel maskine (rå virtuel hardware) Installer selv operativsystem og programmer Råt operativsystem Storage Sørg selv for tilgængelighed og backup
Cloud in GxP Defintion af cloud Eksempler (Computing) Funktion (Software as a Service - SaaS) Computing Office redskaber, f.eks. Google Documents eller Office 365 Lønsystem CRM system, f.eks. Podio SQL hotel Programydelse, f.eks. beregninger GMP system, f.eks. Konfigurationsstyring, træning eller SOPer
Cloud in GxP Defintion af cloud Eksempler (Service) Hardware/Software/Service (Infrastructure as a Service - IaaS) Al ovenstående + Backup Sikring af tilgængelighed etc. Service
Cloud in GxP Defintion af cloud Offentlig cloud Cloud der leveres af ekstern leverandør Svær at styre i forhold til procedurer Billig Privat cloud Cloud service leveret af IT afdelingen Let at styre Dyr
Cloud in GxP Teknik Cloud service Virksomhedens Active Directory Trust Fire Wall Bruger med hjemmearbejdsplads
Cloud in GxP Hvad de lagde i skyen 110010101010010010000101010010111000101010011101
Cloud in GxP Hvad de lagde i skyen Sikring/kontrol/validering er afhængigt af indholdet i skyen Bits og bytes Entydigt og let Data og dokumenter Kræver flere overvejelser Services Validering påkrævet Kæde Forbrændingsmotor Gearkasse Hjulophæng Bagtøj Affjedring Bremser Elsystem Aircondition.
Cloud in GxP Normer BS 25999 Business Continuity Management (BCM) 2 emner: BS 25999-1:2006 Business Continuity Management. Code of Practice BS 25999-2:2007 Specification for Business Continuity Management
Cloud in GxP Normer NIST Special Publication 800-53 Recommended Security Controls for Federal Information Systems and Organizations
Cloud in GxP Normer ISO 270001 Information Security Management System (ISMS) Systematisk vurderering af sikkerhedsricici/trusler/sårbarheder Aktion på resultatet
Cloud in GxP Normer COBIT Control Objectives for Information and Related Technologies Opdeler i 4 emner/områder Planlæg og Organiser Indkøb og Implementer Levér og Supportér Overvåg og Evaluer www.isaca.org
Cloud in GxP Anden litteratur IT og telestyrelsen Cloud audit og assurance initiativer www.digitaliser.dk/resource/703330
Cloud in GxP Anden litteratur ENISA European Network and Information Security Agency www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework
Cloud in GxP Pause 15 minutters kaffepause...
Cloud in GxP Audit checklist Hvor starter vi en Cloud audit? 3 grundlæggende udfordringer Sikkerhed (GxP relevant) Kontraktforhold (GxP relevant) Lokal lovgivning (ikke GxP relevant-agtig)
Cloud in GxP Audit checklist Leverandør: Hvem handler vi med Er det kun leverandøren, eller har de underleverandører Hvor meget leveres af leverandøren, underleverandøren etc.
Cloud in GxP Udfordringer Dig Din leverandør Din underleverandør Din underunderleverandør (o.s.v.)
Cloud in GxP Audit checklist Er cloud ydelsen veldefineret Hvad køber vi? Plads Software Services
Cloud in GxP Audit checklist Er cloud ydelsen veldefineret Findes der en SLA Show me Hvad kan overrule SLA
Cloud in GxP Udfordringer = +
Cloud in GxP Audit checklist Er der procedurer der dækker Cloud ydelsen? Her hjælper f.eks. BS 25999 NIST 800-53 ISO 27001 COBIT Hvad med Jeres procedurer?
Cloud in GxP Audit checklist Hvem står for træning af personalet hvis Cloud er GxP? Eudralex Chapter 2.9 Besides the basic training on the theory and practice of Good Manufacturing Practice, newly recruited personnel should receive training appropriate to the duties assigned to them. Continuing training should also be given, and its practical effectiveness should be periodically assessed. Training programmes should be available, approved by either the head of Production or the head of Quality Control, as appropriate. Training records should be kept.
Cloud in GxP Audit checklist Sikkerhedsniveauet? Gemmes passwords i klartekst Hvilken adgang har dem der supporterer systemet Er data krypteret
Cloud in GxP Udfordringer
Cloud in GxP Udfordringer Er data tilgængelige?
Cloud in GxP Audit checklist Hvad definerer et nedbrud? Hvordan kommer et system on-line igen efter nedbrud? Tid Procedure Validering
Cloud in GxP Udfordringer Find me the record CLOUD OUT OF ORDER
Cloud in GxP Backup Backup på flere niveauer Disaster recovery Restore slettet/ændret fil Pas på med Backup inkluderet
Cloud in GxP Backup Disaster recovery Restore till et bestemt punkt? Kontrolleret via leverandørens procedurer? Testet Dokumentation? Og hvis der er en enkelt økonomisk orienteret person til stede Hvem betaler for at skaffe data tilbage Hvis det kan lade sig gøre
Cloud in GxP Lokaliteter Er lokaliteterne egnet til serverdrift Køling Nødstrøm Adgangsforhold Mand i Jeres cloud driftcenter?
Cloud in GxP Audit checklist Er forbindelsen sikret teknisk HTTPS Firewalls Få åbne porte
Cloud in GxP Udfordringer Cloud service Virksomhedens Active Directory Fire Wall Sikker forbindelse, f.eks. HTTPS + Autentificering af bruger (mod hvad) Bruger med hjemmearbejdsplads
Cloud in GxP Audit checklist Findes der en Trust Hvordan med Certifikater Hvem sikrer og opbevarer disse Hvem står for evt. opdatering
Cloud in GxP Audit checklist Dokumentation af firewall opsætning Dokumentation af åbne Firewall porte Hvem opsætter Firewall en Antal åbne porte Retning på kommunikationen Hvad kan disse porte ellers benyttes til?
Cloud in GxP Audit checklist Ved vi hvor data befinder sig Hvilken jura dækker Cloud leverancen? Love og regler Persondatalovgivningen Regulatorisk underlagt Part 11 hhv. Annex 11 Regulatorisk desuden områdespecifikke regler 820, 211, Eudralex vol. 4, Q7A etc. etc.
Cloud in GxP Udfordringer en.wikipedia.org/wiki/library_records_provi sion#section_215:_access_to_records_an d_other_items_under_fisa
Cloud in GxP Audit checklist Patches Lapper huller Konfigurationsstyring?
Cloud in GxP Audit checklist Oppetid 98% = 28 minutter pr dag 99,9% = 7 minutter pr. uge Plus patching Og altid når der er inspektion
Cloud in GxP Summary Planlæg!
Cloud in GxP Tak for i dag Jeg kan huske den gang jeg var nødsaget til at høre om emnet før jeg gav mit uoprigtige besyv. Jeg mener vi skal virtualisere hele processen og lægge den op i skyen. Fantastisk idé! Nu om dage er det bare for let.
Cloud in GxP Tak for i dag Husk at alle disse ting vedr. Cloud i virkeligheden også gælder egen IT afdeling!
Cloud in GxP Tak for i dag Spørgsmål til Cloud i GxP miljø? Præsentation incl. speakers notes kan tilsendes pr. mail - hvis man efterlader et visitkort