Die relevanten Anforderungen an die Ordnungsmäßigkeit und Sicherheit von IT-Systemen ergibt sich aus allgemeinen Vorgaben nationaler und internationaler Gesetzgebung, branchenspezifischen und aufsichtsrechtlichen Regularien sowie einschlägigen Normen zur Gestaltung von IT-Prozessen und IT-Systemen. Unser Service umfasst alle technischen und dokumentatorischen Vorbereitungen für die anstehenden Prüfungen der Ordnungsmäßigkeit und Sicherheit von IT-Systemen sowohl im Rahmen der externen als auch zur internen IT-Revision.
 

• Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
• Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) des Instituts der Wirtschaftsprüfer (IDW)
• Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330) des IDW
• Information technology - Security techniques - Information security management systems - Requirements (DIN ISO 27001)
• Bundesdatenschutzgesetz (BDSG)

Alle Compliance-Themen für die pharmazeutische Industrie und deren Zulieferer (FDA, GMP etc.) haben eine Verpflichtung gemeinsam: Daten und Dokumente in der IT-Infrastruktur müssen nach fest definierten Workflows sicher vor Manipulation und nach festgelegten Gesichtspunkten langzeitarchivierbar verwaltet werden. Im Zentrum der IT Compliance steht also primär ein audit- und revisionssicheres Daten- und Records Management auf allen Ebenen.

Die 21CFR-Part11 der amerikanischen Food and Drug Administration (FDA) reguliert die produktionsbegleitende Aufzeichnung von Daten und Unterschriften in IT-Systemen. Die 21CFR11 trägt der Tatsache Rechnung, dass die Gefahr von Fälschungen, Falschinterpretationen und nicht nachvollziehbaren Änderungen bei elektronischen Aufzeichnungen ungleich größer ist, als bei herkömmlichen Papieraufzeichnungen und Unterschriften. Ein konkreter, genehmigungspflichtiger Produktionsprozess wird nach 21CFR11 validiert und zertifiziert. Welche Aufzeichnungen und Unterschriften mit dem Computersystem erfasst werden dürfen, wird von der Regulierungsbehörde im Einzelfall festgelegt. 

---

In Europa erteilt oder entzieht die EMEA (European Medicinal Evaluation Agency) die Zulassung für Arzneimittel oder gentechnisch hergestellte Präparate. Alle Systeme, die an der Produktion pharmazeutischer Produkte für die USA beteiligt sind, müssen validiert und im Einklang mit FDA -/ GMP-Richtlinien sein. Unser Service umfasst alle technischen und dokumentatorischen Vorbereitungen für die anstehenden Prüfungen. Beispielsweise: 

• Validierung des gesamten IT-Systems
• Zugangsschutz
• Aufbewahrung und Schutz der erfassten Daten
• Reproduzierbarkeit und Bereitstellung der erfassten Daten
• Elektronische Unterschrift
• Dokumentenmanagement

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Unser Service umfasst alle technischen und dokumentatorischen Vorbereitungen für die anstehenden Prüfungen zur Zertifizierung gemäß DIN 27001:2005.

Die ISO 27001:2005 soll für verschiedene Bereiche anwendbar sein, insbesondere:

• Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
• Zum kosteneffizienten Management von Sicherheitsrisiken
• Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
• Zur Identifikation und Definition von bestehenden und neuen Informationssicherheits-Managementprozessen
• Zum Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards