IT基礎架構确認 or IT基礎架構驗證？

在我們與客戶的(de)交流中，經常會(huì↓'≠)遇到(dào)關于應該叫“IT基礎架構确認”還(hái)是$←(shì)“IT基礎架構驗證”的(de)討(tǎo)論。

首先我們認為(wèi)叫什(shén)麽都(dōu)可(kě)以，叫“I♣¥‌✘T基礎架構确認”可(kě)以，叫“IT基礎架構驗證”也(yě)可(₹​λ™kě)以。

我們理(lǐ)解這(zhè)個(gè)問(wèn)題被關 ↔ 注的(de)原因：在制(zhì)藥領域的(de)法規中，對(duì)IT基δ×™₩礎架構的(de)要(yào)求表述為(wèi)≥←α“infrastructure should be quali'✔£♦fied”，而對(duì)計(jì)算(s>¥★♦uàn)機(jī)化(huà)系統的(de)要(yào)求則更為(w↕"èi)明(míng)确，即必須進行(xí ↓‍ng)驗證（validated）。而在制(zhì)藥行(xíng)業(y±δλ₹è)中，“qualify / 确認”與“validate / §☆¥驗證”是(shì)兩個(gè)概念。

“qualify / 确認”在制(zhì)藥行(xíng)業(yè)中通(tō≈α​∑ng)常指的(de)是(shì)對(duì)設備或系統的÷→✘(de)特定屬性進行(xíng)檢查和(hé)核實的(de)過程。這(zhè)< ×€包括設計(jì)确認（DQ）、安裝确認（IQ）€♣±β、運行(xíng)确認（OQ）和(hé)性能(néng)确認（PQ）等步®∑←驟。DQ是(shì)對(duì)設備的(de)設計(jì)★±是(shì)否符合預期用(yòng)途和(hé)用(yòng)δ₹ £戶需求的(de)确認；IQ則是(shì)對(duì)設備或系統安裝後ε‍π 是(shì)否符合設計(jì)要(yào★δ§)求的(de)确認；OQ是(shì)對(du♠<ì)設備或系統在運行(xíng)狀态下(≥©xià)各項功能(néng)是(shì)否正常的(de)确認；PQ§♦則是(shì)通(tōng)過模拟實際生(shēng)産環境來(lái)‌β÷₽驗證設備或系統的(de)性能(néng)是(shì)否滿足預期。

“validate / 驗證”在制(zhì)藥行(​♥×&xíng)業(yè)中不(bù)僅涵蓋了(le)“确認”的(d↑≈λ e)各個(gè)環節，還(hái)涉及了(le)×€♠♣更為(wèi)複雜(zá)的(de)流程和(hé)活動σ ‌。它包括了(le)風(fēng)險評估、起草(cǎo)設計(∏★jì)/配置規範、确認、總結與報(bào)告（含RTM）等多(duō)個(g≤≈∏è)方面。

叫“确認”或者“驗證”都(dōu)可(kě)以，但(dàn)不(bù)能(né‌✘​ng)因為(wèi)“infrastructure sho÷₽uld be qualified”的(de)表述，就(jiù)認為(wèi)✘φ♠可(kě)以隻做(zuò)狹義的(de)“Q”∑¥ε。“infrastructure shou®"∑γld be qualified”裡(lǐ)的(de)“qualif©↑‍®ied”實際上(shàng)涵蓋了(le• )确認和(hé)驗證的(de)過程。無論是(shì)±↕基于指南(nán)的(de)要(yào)求，比如(rú)I'₩$SPE Good Practice Guide IT Infrast≠↓γructure Control and Compliance•γ≤§，還(hái)是(shì)基于我們應對(duì)監管方審計(jì)的(deβ¶←)實際經驗，對(duì)IT基礎架構都(dōu)需要(yào)進σ§λ∏行(xíng)基于風(fēng)險的(de)驗證，而不(bù)是(αΩ shì)狹義的(de)确認。

例如(rú)，我們做(zuò)過的(de)一(yī)個(gè)ITαπ基礎架構驗證項目，被EMA的(de)審計(jì)官挑戰沒有(yǒu)Ω®• 做(zuò)曆史密碼重用(yòng)限制(zhì)的(×♠de)測試，雖然這(zhè)是(shì)一(yī)>₹✘±個(gè)商用(yòng)成品的(de)标準功能(φ±néng)。最後翻出風(fēng)險評估報(bà≤®o)告，依據風(fēng)險評估結果給審計(jì)官解釋此功能(néng)為(♣✘$↕wèi)低(dī)風(fēng)險功能(néng)，已在風(σ€¶fēng)險評估中說(shuō)明(míng)僅需要(yào)做("±₩∏zuò)參數(shù)配置的(de)IQ、無需做(zuò)OQ，才得Ω€♥→(de)到(dào)認可(kě)。在該案例中，沒有(λ✔∏×yǒu)風(fēng)險評估就(jiù)要(yào× δ)被開(kāi)發現(xiàn)項了(le)​÷λ。

從(cóng)另外(wài)一(yī)個(gè)角度講，✘α  不(bù)做(zuò)風(fēng)險評估，把所有(yǒu)功↓±能(néng)全測一(yī)遍不(bù)就(jiù)可(kě)以了(le)∑↔λ？是(shì)的(de)，可(kě)以這(zhè)樣做(zuò)，但(dàn)↑☆這(zhè)是(shì)嚴重的(de)浪費(fèi)，對(d♠♦∞εuì)于IT基礎架構，IQOQ的(de)測試應重點關注到(dào)“™★©可(kě)配置”的(de)部分(fēn)，而♠☆不(bù)是(shì)基本功能(néng)全測一(yī)©★'遍。實際上(shàng)我們見(jiàn)過一(yī)些(xiē)第三↓♠方驗證公司做(zuò)的(de)驗證就(>✔∞jiù)有(yǒu)這(zhè)種本末倒置的(de)做(zuò)法：基本功能(™→néng)測了(le)一(yī)大(dà)推，而一(yī)些♠≈(xiē)受參數(shù)配置影(yǐng)響的(de)功能(néng)♠≤反而沒有(yǒu)做(zuò)測試，也(yě)沒有(yǒu)識别為($∞‌wèi)控制(zhì)項，更談不(bù)上(shàng)後續的(de)↑ ‍控制(zhì)了(le)。

另外(wài)，即使選擇将基本功能(néng)全測一¶‌¶(yī)遍而不(bù)做(zuò)風(fēng)險評估，也(yě)逃不(bù)§βφ★過制(zhì)定設計(jì)/配置說(shuō♣≤∞↔)明(míng)，因為(wèi)IT基礎架構除了(le)“确認”還(hái)要↕δ♣∞(yào)“控制(zhì)”，隻做(zu€₹α↓ò)了(le)狹義的(de)“确認”，而沒有(yǒu)基于$↕合規、風(fēng)險、運維效率等考量點，制(zh"₹♥εì)定出設計(jì)/配置說(shuō)明(míng)作(• ↕σzuò)為(wèi)控制(zhì)基線，其被“确認∏λ ”的(de)狀态是(shì)不(bù)可(kě)維持的(de)。

綜上(shàng)，叫“驗證”沒問(wèn)題，因為(wèi)實際←™上(shàng)就(jiù)是(shì)做(zuò)™≤的(de)驗證而非狹義的(de)确認；叫确認也(yě)沒關系，但(dàn‍≈ )要(yào)幹完驗證的(de)活。