从GMP角度看灾难恢复

本文共2112字，预计阅读时间约为5分钟

制药企业所遵循的GMP对灾难恢复是怎样定义的呢？我们看下法规条款：

CFDA发布的GMP附录11《计算机化系统》

第二十条：企业应当建立应急方案，以便系统出现损坏时启用。应急方案启用的及时性应当与需要使用该方案的紧急程度相关。例如，影响召回产品的相关信息应当能够及时获得。

第二十一条应当建立系统出现故障或损坏时进行处理的操作规程，必要时对该操作规程的相关内容进行验证。

包括系统故障和数据错误在内的所有事故都应当被记录和评估。重大的事故应当进行彻底调查，识别其根本原因，并采取相应的纠正措施和预防措施。

欧盟GMP附录11《计算机系统》

第十五条：系统应有一个应急方案，以便系统出现损坏时启用。应急方案启用的时间应当与需要使用该方案的紧急程度相关。例如，影响召回产品的相关信息应能在很短时间内获得。

第十六条：应当建立系统出现故障或损坏时应遵循的程序，并对该程序进行验证。所发生的故障和补救措施均应记录。

第十七条：应建立记录和分析错误及采取纠正措施的规程。

通过以上法规条款要求，可以看出我国GMP附录11中对灾难恢复及应急演练的相关要求与欧盟GMP2008年版附录11的条款描述是一致的。并且符合ISPE发布的GAMP5附录O4“突发事件管理”和附录O10“业务持续性管理要求”的内容要求。

我国GMP附录11《计算机化系统》对“应急方案”提出了具体要求，这里的应急方案可以是一个独立的文件（如灾难恢复计划），也可能包含在操作维护手册或规程中。附录中举的例子是召回产品的数据管理系统一旦宕机，可以通过其他途径获取相关信息，如直接对数据库的访问获取相关的数据。如果系统支持的是业务流，则需要在应急方案中规定系统不可用期间，哪些流程可以通过其他途径实现，例如通过灾难备份系统、备用数据库或通过纸质记录。哪些数据可以通过其他可靠的途径进行维护和记录。如何在系统恢复后，将这些数据重新录入系统，应急方案制定的最终目的是以最合理的代价保护应用数据的完整性与安全性，在灾难发生后尽快恢复运行，减少业务停顿时间，使灾难造成的损失降至最低。

灾难恢复方案及系统建设完成之后，对于企业来说并不是就可以高枕无忧了，很多细节需要在日常的系统运行中进行维护管理。GMP附录《计算机化系统》要求对灾难恢复的流程需要验证即定期演练，定期演练可以验证灾难恢复中心基础设施、灾难备份系统和灾难恢复预案的正确性和有效性，能否实现灾难恢复的目标。所以，对于灾难恢复的使用者来说，制定完整的灾难恢复方案、定时做灾难恢复演练是十分必要的，否则不管你之前花了多少费用，到需要做灾难恢复的时候，系统不起作用，也只能是废铜烂铁。

定期演练应进行记录与评估，并将得到的教训融入灾难恢复方案。演练中所有的事故都应该被记录，并进行彻底调查。可以通过对人员、预案、系统、设备、环境等影响因素进行调查分析，分析事故对组织产生的不利影响和危害程度，评估其严重性及发生的可能性、频率等，并采取相应的纠正预防措施。

企业可以根据行业法规、监管要求及信息技术的应用情况、自身业务需求策略及资金预算等方面综合确定灾难恢复时间目标（RTO）和恢复点目标（RPO）。

什么是恢复点目标(RPO)，企业的恢复时间目标(RTO)是什么?

企业的恢复点目标(RPO)决定其数据需要备份的频率。例如，如果企业的恢复点目标(RPO)是24小时，只需要每24小时备份一次数据。如果企业的RPO为10分钟，这意味着企业的业务不会丢失超过10分钟的数据。

企业的恢复时间目标(RTO)是指从系统宕机导致业务停顿到可以恢复支持各部门运作，业务正常运营所需要的时间。例如，5分钟的恢复时间目标(RTO)意味着如果发生紧急情况，企业可以将故障转移到灾难恢复系统，并让所有人在5分钟内重新开始工作。

下表为某行业灾难恢复能力等级与RTO、RPO之间关系示例

今年3月份，腾讯方面发布公告称：“2019年03月23日16时左右，因上海当地网络运营商光纤线路大面积故障，腾讯多个产品业务使用受到影响。目前运营商正在紧急抢修中，我们也正在积极做容灾处理，业务陆续恢复中。后续修复进展会及时向各位公布。”

腾讯云表示，当天下午，网络监控平台监测到上海到浙江电信出现小范围公网质量下降。腾讯云随即启动流量智能调度系统，将上海地区公网流量通过腾讯云内部T级骨干网，引导至腾讯云广州区电信出口，再由电信骨干网直达浙江电信。腾讯云称，此次光纤故障，腾讯云从发现故障到恢复，全程只有2.5分钟(抖动时间：14:40:15-14:42:45)，并且所有流程自动化执行，在短短150秒之内就快速恢复了网络。

作为用户的我们可能根本没有意识到QQ中断了2分30秒，也不会知道在这2分30秒间腾讯启动了多么成功的一次灾备策略。

我们每个企业都希望能够拥有类似腾讯云一样功能完备的灾备策略，但你需要做怎样的灾难建设就需要企业根据自身情况确立适合的灾备策略，归根结底还是从GMP角度依据那个众所周知的原则：Risk Based！