IT基礎架構确認 or IT基礎架構驗證？

在我們與客戶的(de)交流中，經常會(huì)遇到(dào)關₹π ¶于應該叫“IT基礎架構确認”還(hái)是(shì)“IT基礎架構驗證”的(®×™↑de)討(tǎo)論。

首先我們認為(wèi)叫什(shén)麽都(dōu)可(kě)以，叫“IT•☆≈∏基礎架構确認”可(kě)以，叫“IT基礎架構驗證”也(yě)可(k∏×ě)以。

我們理(lǐ)解這(zhè)個(gè)問(wèn)題↔↔被關注的(de)原因：在制(zhì)藥領域的(de)法規中，對(duì)IT¶® ¥基礎架構的(de)要(yào)求表述為(wΩ£λèi)“infrastructure sγε≈hould be qualified”，而對(π★ →duì)計(jì)算(suàn)機(jī)化(huà)系統的(de)要(yàoδ™)求則更為(wèi)明(míng)确，即必須進行(xín∞Ω÷☆g)驗證（validated）。而在制(zhì)藥行(xíΩ ng)業(yè)中，“qualify / 确認”與×→“validate / 驗證”是(shì)兩個(gè)概念。

“qualify / 确認”在制(zhì)藥行(∞βxíng)業(yè)中通(tōng)常指的(de)是(shì)≠π對(duì)設備或系統的(de)特定屬性進行(xíng)檢查和(hé)核實的₽≤(de)過程。這(zhè)包括設計(jì)确認（DQ）、安裝确認（IQ‌☆'）、運行(xíng)确認（OQ）和(hé)性能(nén★©g)确認（PQ）等步驟。DQ是(shì)對✘Ω(duì)設備的(de)設計(jì)是(shì)否符合預期用✔∞(yòng)途和(hé)用(yòng)戶需求的(÷ de)确認；IQ則是(shì)對(duì)‌₽£ 設備或系統安裝後是(shì)否符合設計(jì)要(yào)求的(de)确認；O¶←≥>Q是(shì)對(duì)設備或系統在運行(xíng)λ∑‌ 狀态下(xià)各項功能(néng)是(shì)否正常的(de)确αγ§認；PQ則是(shì)通(tōng)過模拟實際生(sΩ>✔←hēng)産環境來(lái)驗證設備或系統的(de§♣€↕)性能(néng)是(shì)否滿足預期。

“validate / 驗證”在制(zhβ¶'ì)藥行(xíng)業(yè)中不(bù)僅涵蓋了(le)“确認”的(de)各÷≠Ω÷個(gè)環節，還(hái)涉及了(le)更為(wèi)複雜(zá)的$ &(de)流程和(hé)活動。它包括了(le)風(fēng)險≠€評估、起草(cǎo)設計(jì)/配置規範、确認、總結與報(bào)告（含γ≈§™RTM）等多(duō)個(gè)方面。

叫“确認”或者“驗證”都(dōu)可(kě)以，但(dàn)不(bù)能(n₹©">éng)因為(wèi)“infrastructureλ≠≠ should be qualified”的(de)π↕φσ表述，就(jiù)認為(wèi)可(kě)以隻做(zu₩‌ò)狹義的(de)“Q”。“infras←ΩΩ¥tructure should be qualified”裡(lδ ǐ)的(de)“qualified”實際→&∏©上(shàng)涵蓋了(le)确認和(hé)驗證的(de)過程。無論是γ¶δ(shì)基于指南(nán)的(de)要(yào)求，比如>λγ(rú)ISPE Good Practice Guide I§☆T Infrastructure Contrγ"★§ol and Compliance，還(hái)是(shì)基于我們應 ↕對(duì)監管方審計(jì)的(de)實際經驗，對(duì)IT基<​÷礎架構都(dōu)需要(yào)進行(xíng)基于風λ©(fēng)險的(de)驗證，而不(bù)是(shì)狹義的(de)♦≈确認。

例如(rú)，我們做(zuò)過的(de)一(yī)個(gè ∞')IT基礎架構驗證項目，被EMA的(de)審×✘φ™計(jì)官挑戰沒有(yǒu)做(zuò)曆∑®史密碼重用(yòng)限制(zhì)的(de)測試，雖然≥ 這(zhè)是(shì)一(yī)個(gè ₽​)商用(yòng)成品的(de)标準功能(néng)。最後翻出←β'風(fēng)險評估報(bào)告，依據風(fēng)®₹≈≤險評估結果給審計(jì)官解釋此功能(néng)為(w ¶®Ωèi)低(dī)風(fēng)險功能(néng)， ™¥已在風(fēng)險評估中說(shuō)明(↕↓×míng)僅需要(yào)做(zuò)參數(shù)配置的(×δ$™de)IQ、無需做(zuò)OQ，才得(de)到(dào)認可(kě)。在該↑≤®£案例中，沒有(yǒu)風(fēng)險評估就(jiù)要(&γβ>yào)被開(kāi)發現(xiàn)項了(le)。

從(cóng)另外(wài)一(yī)個(gè)角度講，不₹©(bù)做(zuò)風(fēng)險評估，把所∑ 有(yǒu)功能(néng)全測一(yī)遍$<不(bù)就(jiù)可(kě)以了(l♣€€e)？是(shì)的(de)，可(kě)以這(zhè)樣做(zuò)，但(d  &‍àn)這(zhè)是(shì)嚴重的(de)浪費(fèi)，δ✘•對(duì)于IT基礎架構，IQOQ的(de)測←₽試應重點關注到(dào)“可(kě)配置”的(de)部分(f¶₹¶αēn)，而不(bù)是(shì)基本功能(néngδ★π)全測一(yī)遍。實際上(shàng)我們見(jiàn)過一(yī≠")些(xiē)第三方驗證公司做(zuò)的(de)驗證就(jiù)有(yǒu↑↕π)這(zhè)種本末倒置的(de)做(zuò)法：基本功能(néng)測了(l≥≠λΩe)一(yī)大(dà)推，而一(yī)些(xiē)受參數$₩&(shù)配置影(yǐng)響的(de)✘≈®功能(néng)反而沒有(yǒu)做(zuò)測試•→↔，也(yě)沒有(yǒu)識别為(wèi)控制€ ∞(zhì)項，更談不(bù)上(shàng)後↕♣續的(de)控制(zhì)了(le)。

另外(wài)，即使選擇将基本功能(néng)全測一(yī)遍λ±α而不(bù)做(zuò)風(fēng)險評估，也(yě)∏‌ σ逃不(bù)過制(zhì)定設計(jì)/配置說★λ'(shuō)明(míng)，因為(wèi)IT基礎架構除♣↔♠÷了(le)“确認”還(hái)要(yào)룓控制(zhì)”，隻做(zuò)了(le)狹義 ↔的(de)“确認”，而沒有(yǒu)基于合規、風(fē¥δ±∑ng)險、運維效率等考量點，制(zhì)定出設計(jì)/配置說(shuōπα←)明(míng)作(zuò)為(wèi)控制(zhì)基線，其被“确認”的(d₽φ♣®e)狀态是(shì)不(bù)可(kě)維持的(de)。÷δ§

綜上(shàng)，叫“驗證”沒問(wèn)題，因為(wèi)實際上α®(shàng)就(jiù)是(shì)做(zuò)的(↓€ de)驗證而非狹義的(de)确認；叫确認也(yě)沒關↑σ'系，但(dàn)要(yào)幹完驗證的(de)活。