IT基礎架構确認 or IT基礎架構驗證？

在我們與客戶的(de)交流中，經常會(huìφ♦☆‌)遇到(dào)關于應該叫“IT基礎架構确認”還(há‌±↓i)是(shì)“IT基礎架構驗證”的(de)討(tǎo)論。

首先我們認為(wèi)叫什(shén)麽都(dōu)可(kě)以，♣₩叫“IT基礎架構确認”可(kě)以，叫“IT基礎架構驗證”α£也(yě)可(kě)以。

我們理(lǐ)解這(zhè)個(gè)問(wèn)題被關注的(de)原因：β₹₽​在制(zhì)藥領域的(de)法規中，對(duì)IT基礎架構的(deλ♥§)要(yào)求表述為(wèi)“infrastr "↑ucture should be qualified”，而對(d®≥λ∞uì)計(jì)算(suàn)機(jī)化(huà☆©∞α)系統的(de)要(yào)求則更為(wèi)明(mín•​g)确，即必須進行(xíng)驗證（val‍®idated）。而在制(zhì)藥行(xín≈>←g)業(yè)中，“qualify / 确認×≤¥”與“validate / 驗證”是(s✘εΩ≤hì)兩個(gè)概念。

“qualify / 确認”在制(zhì)藥行(xíng)業(yè)中通$≤♥(tōng)常指的(de)是(shì)對(duì)設備或系α"統的(de)特定屬性進行(xíng)檢查和(hé)核實的(de)過程。這(zhπ✘ ≈è)包括設計(jì)确認（DQ）、安裝确認（IQ）、運行(xíng)确認（O≤&‍"Q）和(hé)性能(néng)确認（PQ）等步驟。DQ是(shì)對(duì"π )設備的(de)設計(jì)是(shì)否符合預期用(yòng∑π)途和(hé)用(yòng)戶需求的(de)确認；IQ則是(shì↓↔)對(duì)設備或系統安裝後是(shì)否符合♥←™¶設計(jì)要(yào)求的(de)确認；OQ≥¶λ是(shì)對(duì)設備或系統在運行(xíng)狀态下(xi§≤>à)各項功能(néng)是(shì)否正常的(de)确認；PQ則是(shì)Ω 通(tōng)過模拟實際生(shēng)産環境來(lái)驗β βγ證設備或系統的(de)性能(néng)是(shì)否滿足預期。

“validate / 驗證”在制(zhì)藥行​‍(xíng)業(yè)中不(bù)僅涵蓋了(le)“确認” ♣的(de)各個(gè)環節，還(hái)涉及了(le)更為(wèi)¥₹Ω®複雜(zá)的(de)流程和(hé)活動。它包括了(le)風(fēn≈​¶g)險評估、起草(cǎo)設計(jì)/配置規範、确認、總結與∞≥Ω報(bào)告（含RTM）等多(duō)個(gè)方面。₽™€

叫“确認”或者“驗證”都(dōu)可(k✔₩‍☆ě)以，但(dàn)不(bù)能(néng)因為✔$(wèi)“infrastructure should b λ'e qualified”的(de)表述，就(jiù)認為(wè♦™σ≤i)可(kě)以隻做(zuò)狹義的(de)“Q∞§×↕”。“infrastructure should be quaφ®γlified”裡(lǐ)的(de)“qua↕ ÷lified”實際上(shàng)涵蓋了(le)确認和(hé)驗證的(de)過•≈®程。無論是(shì)基于指南(nán)的(de)要(yào)求，↔• ε比如(rú)ISPE Good Practice Gui←₹de IT Infrastructure Contσπrol and Compliance，還(hái)是(shì)基于我​σ們應對(duì)監管方審計(jì)的(de)實際✘< 經驗，對(duì)IT基礎架構都(dōu)需要(yào)進行(xín∑©g)基于風(fēng)險的(de)驗證，而不(bù)是(shì)狹義的(Ω₽de)确認。

例如(rú)，我們做(zuò)過的(de)一(yī)←>✘個(gè)IT基礎架構驗證項目，被EMA的(de)審計(jì)官挑戰沒有(yǒ☆¶u)做(zuò)曆史密碼重用(yòng)限制γ×(zhì)的(de)測試，雖然這(zhè)是(shì)一(yī)個(g✔≤¶γè)商用(yòng)成品的(de)标準功能(néng)。最後翻出風(✔ ←δfēng)險評估報(bào)告，依據風(fēng)險評估結果給審計(jì)官↔↔←§解釋此功能(néng)為(wèi)低(dī)風(fēng)險功能(n€♦₽ éng)，已在風(fēng)險評估中說(shuō)明(míng)僅‌←€需要(yào)做(zuò)參數(shù)配置的(de)IQλ÷‌∞、無需做(zuò)OQ，才得(de)到(dào)認可(kě)。在該案例$♥中，沒有(yǒu)風(fēng)險評估就(j<ו&iù)要(yào)被開(kāi)發現(xiàn)項®∞ ∞了(le)。

從(cóng)另外(wài)一(yī)個(gè)角度講，不(®λ₩↔bù)做(zuò)風(fēng)險評估，把所有(yǒu)功能(néng)±§←₽全測一(yī)遍不(bù)就(jiù)可(kě)以了(le‍→‌☆)？是(shì)的(de)，可(kě)以這(zhè)樣做¶←(zuò)，但(dàn)這(zhè)是(shì)嚴∞ 重的(de)浪費(fèi)，對(duì)于IT÷•"基礎架構，IQOQ的(de)測試應重點關注δ​α 到(dào)“可(kě)配置”的(de)部分(fēn)，而不(bù)是≥≠ (shì)基本功能(néng)全測一(yī)遍。實際上(shàng₽<α)我們見(jiàn)過一(yī)些(xiē)第¥σ三方驗證公司做(zuò)的(de)驗證就(jiù)有(yǒu)這 φ☆≠(zhè)種本末倒置的(de)做(zuò)法：基本功能(néng)測了¶≠(le)一(yī)大(dà)推，而一(yī)些(xiē)​'受參數(shù)配置影(yǐng)響的(de)功能(néngβ∞∏)反而沒有(yǒu)做(zuò)測試，也(yě)沒有(y∑★πǒu)識别為(wèi)控制(zhì)項，更談不(bù)上(shàng)後續的γ★≤≤(de)控制(zhì)了(le)。

另外(wài)，即使選擇将基本功能(néng)全測一(y£×ī)遍而不(bù)做(zuò)風(fēng)險評估☆¥ ，也(yě)逃不(bù)過制(zhì)定設計(jì)/•""配置說(shuō)明(míng)，因為(÷✘≥wèi)IT基礎架構除了(le)“确認”還(hái)要(yào)“控制(zhì±★‍)”，隻做(zuò)了(le)狹義的(de×☆&δ)“确認”，而沒有(yǒu)基于合規、風(fēng)險、運維效率等考量點，↓≠&®制(zhì)定出設計(jì)/配置說(shuō)明(míng)作(zuò)為 φπ(wèi)控制(zhì)基線，其被“确認”的(d>&₹e)狀态是(shì)不(bù)可(kě)維持的(de)。

綜上(shàng)，叫“驗證”沒問(wèn)題，因為(wèi)實際上≠‍&♥(shàng)就(jiù)是(shì)做(zuò)的(de)♥ '驗證而非狹義的(de)确認；叫确認也(yě)沒關系，但 ♦¥(dàn)要(yào)幹完驗證的(de)活。