IT基礎架構确認 or IT基礎架構驗證？

在我們與客戶的(de)交流中，經常會(huì)遇到(dào)關于應該叫“IT基Ω®↑↑礎架構确認”還(hái)是(shì)“IT基礎架構驗證”的(de)₹∑<討(tǎo)論。

首先我們認為(wèi)叫什(shén)麽都(dōu)可 &(kě)以，叫“IT基礎架構确認”可(kě)以，叫“IT基礎架構驗證”也(<φ‌yě)可(kě)以。

我們理(lǐ)解這(zhè)個(gè)問(wèn)題被關注的(de)原因：在 ≈≠制(zhì)藥領域的(de)法規中，對(duì)IT基礎架構的(£₩de)要(yào)求表述為(wèi)“infrastructure s×$hould be qualified”，×<而對(duì)計(jì)算(suàn)機(jī)化(huà)系統的(ε ₽<de)要(yào)求則更為(wèi)明(míng)确，即必須進行(xí↕≠ng)驗證（validated）。而在制(zhì​£)藥行(xíng)業(yè)中，“qualify / 确認↔ε‍”與“validate / 驗證”是(shì)兩個(gè)概念。

“qualify / 确認”在制(zhì)藥>÷行(xíng)業(yè)中通(tōng) €常指的(de)是(shì)對(duì)設備或系統的(de)特定屬性進行(xí δ±↑ng)檢查和(hé)核實的(de)過程。這(zhè≥"≤≥)包括設計(jì)确認（DQ）、安裝确認（IQ）、運行(xπ™íng)确認（OQ）和(hé)性能(néng)确認（PQ）等步驟。DQ是(sh™₽ì)對(duì)設備的(de)設計(jì)是(shì)否符合預↑​♥∏期用(yòng)途和(hé)用(yòng)戶需求的(de)确認；IQ則是(✔‌ shì)對(duì)設備或系統安裝後是(shì)÷ α​否符合設計(jì)要(yào)求的(de)确認；OQ是(s↑'∞<hì)對(duì)設備或系統在運行(xíng)狀态下(xià)各δ₩項功能(néng)是(shì)否正常的(de)确認；PQ則是(shì)通★÷♥(tōng)過模拟實際生(shēng)産環γ"€♥境來(lái)驗證設備或系統的(de)性能(néng)是(shì)否滿γ↕" 足預期。

“validate / 驗證”在制(zhì)藥行(♦"©✔xíng)業(yè)中不(bù)僅涵蓋了(le)“确認”的(≈€de)各個(gè)環節，還(hái)涉及<& •了(le)更為(wèi)複雜(zá)的(d♣φe)流程和(hé)活動。它包括了(le)風(fē♣γng)險評估、起草(cǎo)設計(jì)/配置‌↕<規範、确認、總結與報(bào)告（含RTM）等多(duō)個(gè)方面。≈λε

叫“确認”或者“驗證”都(dōu)可(kě)以，但(dàn)不(bù)能(né₩δ >ng)因為(wèi)“infrastructure should be qu∞≠↕ alified”的(de)表述，就(jiù)認為(w∞↔↓×èi)可(kě)以隻做(zuò)狹義的(d←®λe)“Q”。“infrastructure shoβ∏Ω§uld be qualified”裡(lǐ)的(de)“qual∞"​<ified”實際上(shàng)涵蓋了(le)确€♦☆✘認和(hé)驗證的(de)過程。無論是(shì)基于指南÷"♦(nán)的(de)要(yào)求，比如(§£rú)ISPE Good Practice Gu₩₹¶✔ide IT Infrastructure C✔≥ontrol and Compliance，還(hái)是↔♠(shì)基于我們應對(duì)監管方審計(jì)的(de)§>實際經驗，對(duì)IT基礎架構都(dōu)需要(yào)進行(xíng)✘€基于風(fēng)險的(de)驗證，而不(bù)是(shì≤•)狹義的(de)确認。

例如(rú)，我們做(zuò)過的(de)一(yī)✘↑個(gè)IT基礎架構驗證項目，被EMA的(de)ε₹&¶審計(jì)官挑戰沒有(yǒu)做(zuò)曆史密碼重用(yòng¶>)限制(zhì)的(de)測試，雖然這(zhè)是(shì)一(×÷σyī)個(gè)商用(yòng)成品的(de)标準功能(néng)。最♠☆φ>後翻出風(fēng)險評估報(bào)告，依據風(fē≠★≠ ng)險評估結果給審計(jì)官解釋此功能(néng)為(wèi)低(dī₩✔♠♦)風(fēng)險功能(néng)，已在風(fēng)險評估中說(shuō)£✘明(míng)僅需要(yào)做(zuò)參數(shù)配置的♥≠♠(de)IQ、無需做(zuò)OQ，才得(de)到(dào)認可(kě​Ω)。在該案例中，沒有(yǒu)風(fēng)險評估就(jiù)要(yào)被開↕₩λ₹(kāi)發現(xiàn)項了(le)。

從(cóng)另外(wài)一(yī)個(✘✔‌gè)角度講，不(bù)做(zuò)風(fēng)險評估，♠π©把所有(yǒu)功能(néng)全測一(yī)遍不(bù)就(jiù)↕÷可(kě)以了(le)？是(shì)的(de)，可(kě)以這×✔(zhè)樣做(zuò)，但(dàn)這(z♠¥©hè)是(shì)嚴重的(de)浪費(fèi)，對(duì)于 >≠IT基礎架構，IQOQ的(de)測試應重點關注到(dào)“∏→可(kě)配置”的(de)部分(fēn)，而不(bù)是(♠‌$shì)基本功能(néng)全測一(yī)遍。實際上(sh®♦>àng)我們見(jiàn)過一(yī)些(xiē)第三方驗證公司做<®∏₩(zuò)的(de)驗證就(jiù)有(yǒu)這(zh ≥↔è)種本末倒置的(de)做(zuò)法：基本功能(néng)測了(le)一(yα≤‌ī)大(dà)推，而一(yī)些(xiē)受參數(s₽"hù)配置影(yǐng)響的(de)功能(néng)反而≤§↔沒有(yǒu)做(zuò)測試，也(yě​♣♥)沒有(yǒu)識别為(wèi)控制(zhì)項，±✘更談不(bù)上(shàng)後續的(de)控制(zhì)了(le∑÷)。

另外(wài)，即使選擇将基本功能(néng)全測一(yī)遍而不'♠(bù)做(zuò)風(fēng)險評估，≥‌ λ也(yě)逃不(bù)過制(zhì)定設≥↕計(jì)/配置說(shuō)明(míng)，因為(wèi)IT基礎架構除了"€✔(le)“确認”還(hái)要(yào)“控制(zhì)Ω ≠”，隻做(zuò)了(le)狹義的(de)“确認”↓≥，而沒有(yǒu)基于合規、風(fēng)險、運維效率等考‍γ量點，制(zhì)定出設計(jì)/配置說(shuō)明(míng)作(δ<¥zuò)為(wèi)控制(zhì)基線，其被“确認”的(de)狀态 §β是(shì)不(bù)可(kě)維持的(de)。

綜上(shàng)，叫“驗證”沒問(wèn)題，因為(wèλγ$≈i)實際上(shàng)就(jiù)是(shì)做★↕<(zuò)的(de)驗證而非狹義的(de)Ω∏↕λ确認；叫确認也(yě)沒關系，但(dàn)要(yàφ o)幹完驗證的(de)活。