الأمن والثقة

الحوكمة والضوابط والاستعداد للتدقيق

نسخة 2.16

اعتبارًا من 23 فبراير 2026

الأمن والثقة - النطاق، والتطبيق، والتسلسل الهرمي للوثائق ملخص الأمن والثقة الموجه للعملاء لـ V5 Traceability، والذي يهدف إلى دعم تأهيل الموردين، ومراجعة مخاطر المؤسسة، ومناقشات الاستخدام المنظم.

نطاق. تلخص هذه الصفحة SG Systems Globalوضع الأمن والثقة الخاص بـ V5 Traceability والخدمات ذات الصلة، بما في ذلك الخدمات المستضافة و التركيبات في الموقع كما هو محدد في نموذج الطلب / الاقتراح الموقع ذي الصلة.

التسلسل الهرمي للوثائق (ترتيب الأسبقية). في حالة وجود تعارض، تكون الوثائق المعتمدة هي:

  • (1) نموذج الطلب / عرض موقع (النطاق، اختيار النشر، اختيارات المستوى، التواريخ السارية)؛
  • (2) ملحق جودة المورد (SQA) (الهياكل التشغيلية المنظمة/المتوافقة مع معايير GxP)، فقط إذا تم تضمينها بالإشارة إليها في عملية التعاقد؛ و
  • (3) اتفاقية الخدمات الرئيسية (MSA) (الإطار القانوني/التجاري، اتفاقية مستوى الخدمة، التزامات الأمان، شروط بيانات العملاء).

مواءمة العقد. هذه الصفحة إعلامية ولا تُعدّل الشروط التعاقدية. يتم تحديد أي مقاييس لمستوى الخدمة، وجداول زمنية للإشعارات، والتزامات ملزمة في اتفاقية مستوى الخدمة/اتفاقية مستوى الخدمة ونموذج الطلب ذي الصلة (وضمان الجودة حيثما تم تضمينه).

العمليات عن بعد أولاً. SG Systems Global تعمل كمنظمة تعتمد على العمل عن بعد بشكل أساسي. وتركز الضوابط على الهوية، وإدارة الوصول، والاستخدام الآمن للأجهزة الطرفية، والإدارة المنضبطة للأنظمة.

المراجع: اتفاقية الخدمات الرئيسية (MSA، تتضمن اتفاقية مستوى الخدمة) | ملحق جودة المورد (SQA) | متطلبات النظام للإصدار الخامس | التوجيه والتنفيذ | تقييم مستقل وفقًا للجزء 11 من قانون اللوائح الفيدرالية 21

جهة الاتصال الأمنية: support@sgsystemsglobal.com

1) إدارة برنامج الأمن

SG Systems Global تحافظ على برنامج أمن معلومات قائم على المخاطر يهدف إلى حماية سرية وسلامة وتوافر بيانات وخدمات العملاء، ودعم العمليات في بيئات التصنيع الخاضعة للتنظيم.

تشمل عناصر البرنامج ما يلي:

  • المساءلة والرقابة: تحديد مسؤولية الأمن لضمان فعالية الرقابة، والتصعيد، والإجراءات التصحيحية.
  • إدارة المخاطر: تحديد وتقييم المخاطر، واختيار الضوابط، وتتبع أنشطة المعالجة.
  • مراقبة السياسات والإجراءات: الممارسات الموثقة للأنشطة ذات الصلة بالأمن (الوصول، والتحكم في التغيير، والتعامل مع الحوادث، والاستمرارية).
  • المراجعة الدورية: تتم مراجعة وتحديث الممارسات الأمنية مع تطور الأنظمة والتهديدات وتوقعات العملاء.
العملاء الخاضعون للتنظيم: يتم تناول مؤهلات الموردين وهياكل الجودة التشغيلية في ضمان جودة الموردين عند إدراجها في عملية التعاقد.
2) حدود النشر والمسؤولية المشتركة (مستضافة مقابل محلية)

تعتمد المسؤوليات على طريقة النشر المختارة في نموذج الطلب/العرض الموقع. يمكن تقديم خدمة التتبع V5 كخدمات مستضافة أو كتثبيت محلي.

منطقة التحكمالخدمات المستضافة (تركيز على مقدم الخدمة)التركيب في الموقع (التركيز على العميل)
أمن البنية التحتيةيقوم بتشغيل الحدود المستضافة بما يتوافق مع اتفاقية مستوى الخدمة/اتفاقية الخدمات الرئيسية ونموذج الطلب المعمول به.مسؤول عن الخوادم، وأمن الشبكة، والتحديثات، والنسخ الاحتياطية/التعافي من الكوارث، وضوابط البنية التحتية الداعمة.
التوافر والتعافييتم تحديد أهداف التوافر والاسترداد (إن وجدت) في اتفاقية مستوى الخدمة/اتفاقية مستوى الخدمة ونموذج الطلب.مسؤول عن وقت التشغيل، وأهداف الاسترداد، واختبارات الاسترداد ما لم يتم الاتفاق على خلاف ذلك كتابيًا.
إدارة وصول المستخدميقوم العميل بتحديد الأدوار/الأذونات، والموافقة على الوصول، وتنفيذ عمليات التزويد/إلغاء التزويد، ومنع استخدام بيانات الاعتماد المشتركة.
التحقق والاستخدام المقصوديتحمل العميل مسؤولية التحقق/التأهيل وقرارات الاستخدام المقصود ضمن نظام إدارة الجودة الخاص بالعميل؛ ويقدم المورد الوثائق وهياكل الدعم وفقًا لاتفاقية مستوى الخدمة/ضمان الجودة.
تغيير السيطرةيتحكم الموفر في عملية النشر وينشر وثائق الإصدار للخدمات المستضافة بما يتوافق مع اتفاقية مستوى الخدمة/ضمان جودة الخدمة.يتحكم العميل في توقيت النشر والاختبار للتحديثات المحلية؛ ويقدم الموفر وثائق الإصدار والدعم وفقًا لاتفاقية مستوى الخدمة/ضمان الجودة.

المراجع: MSA, SQA, متطلبات النظام.

3) الهوية والمصادقة والتحكم في الوصول

صُممت أنظمة التحكم في الوصول لدعم مبدأ أقل الامتيازات، والمساءلة، والإدارة المنضبطة. في البيئات الخاضعة للتنظيم، يُعد التحكم في الوصول مزيجًا من تقني و إجرائي تهذيب.

  • الوصول المستند إلى الدور: يتم تحديد الصلاحيات حسب الدور لمواءمة الوظائف مع مسؤوليات العمل.
  • مسؤولية فريدة: ينبغي تحديد هوية المستخدمين بشكل فريد؛ ويجب حظر استخدام بيانات الاعتماد المشتركة.
  • إدارة الوصول: يتحكم العملاء في عمليات التزويد/إلغاء التزويد، وتصميم الأدوار، ومراجعات الوصول الدورية ضمن إجراءات التشغيل القياسية الخاصة بهم.
  • الوصول المميز: يقتصر الوصول الإداري على الموظفين المصرح لهم فقط لأغراض التشغيل.
مسؤولية العميل: في العمليات الخاضعة للتنظيم، يجب على العملاء الحفاظ على إجراءات لإدارة الحسابات، والمراجعة الدورية، وحوكمة التدريب، و(حيثما ينطبق) سلطة التوقيع الإلكتروني ومعناه.
4) سجلات التدقيق والسجلات الإلكترونية وسلامة البيانات (في سياق ممارسات التصنيع الجيدة)

يدعم الإصدار الخامس من برنامج Traceability حفظ السجلات الموجهة نحو التتبع وهو مصمم لدعم سلوكيات التحكم المتوقعة بشكل شائع للسجلات الإلكترونية الخاضعة للتنظيم، بما في ذلك الإجراءات المنسوبة، وسلوك مسار التدقيق، وضوابط سلامة السجلات، وسلوك التوقيع الإلكتروني عند الاقتضاء وعند تكوينه.

التقييم المستقل (سياق الجزء 11 من قانون اللوائح الفيدرالية 21). تتضمن النسخة الخامسة من برنامج التتبع أداة تقييم مستقلة تهدف إلى دعم تأهيل الموردين ومناقشات التحقق من صحة الأنظمة المشتركة. انظر: تقييم مستقل وفقًا للجزء 11 من قانون اللوائح الفيدرالية 21.

الحدود التنظيمية: تدعم وثائق التقييم المستقلة تأهيل الموردين وتقييم الرقابة. وهي لا تحل محل التحقق من صحة المنتج من قبل العميل، أو تحديد الاستخدام المقصود، أو ضوابط الإجراءات الخاصة بالعميل.
5) حماية البيانات وسريتها

SG Systems Global تحمي الشركة معلومات العملاء باستخدام ضوابط إدارية وفنية وتعاقدية تتوافق مع أهداف السرية والنزاهة والتوافر. وتخضع السرية التعاقدية وحقوق بيانات العملاء وشروط معالجة البيانات الخاصة (إن وجدت) لاتفاقية الخدمات الرئيسية والوثائق ذات الصلة.

  • سرية: ضوابط تهدف إلى منع الكشف غير المصرح به عن معلومات العملاء.
  • النزاهة: ضوابط تهدف إلى الحفاظ على سلامة السجلات ودعم إمكانية التتبع الجاهزة للتدقيق.
  • المخزون: الضوابط التشغيلية المناسبة لنوع النشر المختار؛ يتم تحديد أهداف الخدمة المستضافة (إن وجدت) في اتفاقية مستوى الخدمة/اتفاقية مستوى الخدمة.

للاطلاع على شروط السرية الملزمة وشروط بيانات العملاء، يرجى الرجوع إلى MSA.

6) دورة حياة التطوير الآمنة (SDLC) وانضباط الإصدار

تم تطوير نظام التتبع V5 وصيانته باستخدام ممارسات مضبوطة تهدف إلى دعم وضع إصدار موثوق وقابل للتدقيق للعملاء الخاضعين للتنظيم.

تتضمن ملخصات التحكم في دورة حياة تطوير البرمجيات ما يلي:

  • إدخال التغيير المُتحكم به: يتم التخطيط للتغييرات وتنفيذها ومراجعتها قبل إصدارها.
  • مراجعة التخصص: تخضع تغييرات التعليمات البرمجية والتكوين للمراجعة قبل النشر.
  • الفصل البيئي: يتم التحكم في أنشطة التطوير/الاختبار والإنتاج لتقليل مخاطر التغيير غير المصرح به.
  • وثائق الإصدار: تصف ملاحظات الإصدار التغييرات الجوهرية، وعند الاقتضاء، اعتبارات التحقق.
العملاء الخاضعون للتنظيم: تخضع التزامات التحكم في التغيير وممارسات الإصدار لاتفاقية الخدمات الرئيسية (MSA)، وعند دمجها، تخضع لاتفاقية ضمان الجودة (SQA).
7) إدارة التغيير (ملخص الضوابط الموجهة للعملاء)

SG Systems Global تتبع نهجًا مُحكمًا لإدارة التغيير لدعم تقديم الخدمات بشكل متوقع وتلبية توقعات الاستخدام المنظم.

تتضمن ملخصات ضوابط إدارة التغيير ما يلي:

  • تقييم التغيير: يتم تقييم التغييرات من حيث تأثيرها المحتمل على العملاء، بما في ذلك اعتبارات التأثير التنظيمي عند الاقتضاء.
  • الانضباط في الموافقة: تخضع تغييرات الإنتاج لموافقة موثقة قبل الإصدار.
  • التحكم في النشر: يتم التحكم في نشر الخدمات المستضافة من قبل المزود؛ أما عمليات النشر المحلية فتتم التحكم فيها من قبل العميل.
  • تغييرات طارئة: قد يتم إجراء تغييرات أمنية طارئة عند الحاجة لمعالجة التهديدات النشطة؛ ويتم توثيق هذه التغييرات وإبلاغها بما يتوافق مع الشروط التعاقدية.

يتم تعريف شروط التحكم في التغيير الملزمة في MSA وعند إدراجها، SQA.

8) إدارة الثغرات الأمنية

SG Systems Global يدير الثغرات الأمنية من خلال تحديدها وفرزها ومعالجتها والتحقق منها، مع تحديد الأولويات بناءً على خطورتها وإمكانية استغلالها.

تتضمن ملخصات ضوابط إدارة الثغرات الأمنية ما يلي:

  • الفرز وتحديد الأولويات: تقييم النطاق والخطورة وإمكانية الاستغلال والتأثير المحتمل على العملاء.
  • علاج: قم بتطبيق الإصلاحات/التصحيحات وتوثيق التغييرات الجوهرية في وثائق الإصدار عند الاقتضاء.
  • الإتصال والتواصل الفعال: تتبع اتصالات العملاء الهياكل التعاقدية والتشغيلية في اتفاقية الخدمات الرئيسية/اتفاقية ضمان الجودة.

للإبلاغ عن ثغرة أمنية مشتبه بها أو مشكلة أمنية، يرجى إرسال بريد إلكتروني. support@sgsystemsglobal.com مع الموضوع: Security Concern.

9) إدارة الحوادث والاستجابة للحوادث الأمنية

SG Systems Global يحتفظ بعملية لإدارة الحوادث والاستجابة الأمنية للحوادث تهدف إلى دعم الفرز السريع والاحتواء والتحقيق والتواصل مع العملاء، بما في ذلك اعتبارات الاستخدام المنظم حيث قد تتأثر سلامة السجلات.

تتضمن ملخصات إجراءات إدارة الحوادث ما يلي:

  • التصنيف: يتم تقييم الأحداث وتصنيفها بناءً على شدتها وتأثيرها المحتمل على السرية والنزاهة والتوافر.
  • التصعيد: يتم تطبيق مسارات التصعيد في حالات الأحداث ذات الخطورة العالية والمخاوف المتعلقة بالتأثيرات التنظيمية.
  • التحقيق: يتم توثيق التحقيقات، وتخضع الأحداث المادية للمراجعة بعد وقوع الحادث.
  • الإجراءات التصحيحية: يتم تتبع الإجراءات التصحيحية للحد من خطر التكرار.
إشعار وتقارير الخدمات المستضافة: تُحدد اتفاقية الخدمات المُدارة (MSA) للخدمات المُستضافة التزامات الإبلاغ عن الحوادث الأمنية (بما في ذلك أي جداول زمنية). أما بالنسبة لعمليات النشر المحلية، فيتحكم العميل في إدارة الحوادث للبنية التحتية التي يتحكم بها؛ بينما يدعم الموفر المشكلات المتعلقة بالبرمجيات بما يتوافق مع اتفاقية الخدمات المُدارة/ضمان جودة البرمجيات.

قناة الإبلاغ: support@sgsystemsglobal.comفي حال الاشتباه بوجود مخاوف تتعلق بسلامة السجلات/البيانات الخاضعة للتنظيم، يرجى تضمين ما يلي: Potential GxP / data integrity impact.

10) النسخ الاحتياطية، والتعافي من الكوارث، واستمرارية الأعمال

تعتمد توقعات استمرارية الخدمة والتعافي على نوع النشر. بالنسبة للخدمات المستضافة، تُحدد أهداف التوافر والتعافي (إن وجدت) في اتفاقية مستوى الخدمة/اتفاقية الخدمات المُدارة ونموذج الطلب. أما بالنسبة لعمليات التثبيت المحلية، فيتحمل العميل مسؤولية النسخ الاحتياطي، والتعافي من الكوارث، واختبارات التعافي، ما لم يُتفق على خلاف ذلك كتابيًا.

تتضمن ملخصات التحكم في الاستمرارية ما يلي:

  • نهج التعافي الموثق: إجراءات الاسترداد الموثقة والمتوافقة مع نموذج النشر المختار.
  • الغرض من سلامة النسخ الاحتياطي: ضوابط تهدف إلى دعم إمكانية الاسترداد وتقليل مخاطر فقدان البيانات ضمن الحدود المحددة.
  • الغرض من اختبار الاسترداد: أنشطة الاستعداد للتعافي الدورية المناسبة للحدود المستضافة وتصميم الخدمة.
مرجع موثوق: يتم تحديد التزامات التوافر والاستثناءات وأي أهداف RTO/RPO في اتفاقية الخدمات الرئيسية (تشمل اتفاقية مستوى الخدمة) ونموذج الطلب ذي الصلة.
11) مقدمو الخدمات الخارجيون، والمعالجون الفرعيون، والخصوصية

قد يتم تقديم الخدمات المستضافة باستخدام مزودي خدمات خارجيين كما هو محدد في نموذج الطلب / العرض الموقع. يخضع استخدام المزودين للمعالجات الفرعية وشروط معالجة الخصوصية (إن وجدت) لاتفاقية الخدمات الرئيسية وأي ملحق لمعالجة البيانات (DPA) ذي صلة.

  • المعالجات الفرعية: يتم التعاقد بموجب اتفاقيات مكتوبة تهدف إلى حماية بيانات العملاء والتوافق مع التزامات السرية.
  • معالجة البيانات: حيثما يقتضي القانون ذلك، يتم تناول شروط الخصوصية من خلال اتفاقية حماية البيانات المضمنة بالإشارة إليها والمتاحة عند الطلب.
  • حدود النظام: تختلف المسؤوليات باختلاف نوع النشر (مستضافة أو محلية) ويتم تحديدها تعاقدياً.
12) تأهيل الموردين، ودعم التدقيق، والأدلة

SG Systems Global يدعم هذا النظام إجراءات العناية الواجبة بالعملاء وتأهيل الموردين باستخدام الوثائق والردود المنظمة المتوافقة مع نطاق النظام ونوع النشر. بالنسبة للمشاريع الخاضعة للتنظيم/ممارسات التصنيع الجيدة (GxP)، يحدد نظام ضمان الجودة (عند دمجه) إطار العمل التشغيلي للجودة، بما في ذلك هياكل دعم التدقيق ومسؤوليات الاستخدام الخاضع للتنظيم.

  • دعم التأهيل: يتم توفير الاستجابات والوثائق لدعم عمليات تأهيل الموردين للعملاء.
  • التعاون في مجال التدقيق: بشرط الحفاظ على السرية والجدولة المعقولة كما هو محدد في اتفاقية الخدمات الرئيسية/اتفاقية ضمان الجودة.
  • تقييم مستقل: تدعم الوثيقة التي أعدها المقيم مناقشات الجزء 11 وتقييم الضوابط.

المراجع: SQA | MSA | التقييم المستقل

13) طلب وثائق أمنية

قد يتم تقديم وثائق أمنية ووثائق امتثال إضافية للعملاء والعملاء المحتملين المؤهلين لدعم العناية الواجبة وتأهيل الموردين، وذلك رهناً بالتزامات السرية (MSA) وعند الاقتضاء، شروط اتفاقية عدم الإفصاح.

أمثلة على الوثائق المتاحة عند الطلب (إن وجدت):

  • ملخصات إدارة التغيير ووثائق الإصدار
  • ملخص استجابة الحادث بما يتوافق مع الالتزامات التعاقدية
  • ملخص استمرارية النسخ الاحتياطي/التعافي من الكوارث متوافق مع حدود النشر
  • وثائق التقييم المستقل (21 CFR الجزء 11)
  • قائمة المعالجات الفرعية ونموذج اتفاقية حماية البيانات (إن وجد)
  • إجابات الاستبيان المنظم (على نمط SIG/CAIQ) عند الطلب
طلب: البريد الإلكتروني support@sgsystemsglobal.com وقم بتضمين اسم الشركة، ونوع النشر (مستضاف أو محلي)، والجدول الزمني، وقائمة التحقق الخاصة بك.
14) مراقبة المستندات
وثيقةالأمن والثقة (ملخص موجه للعملاء)
التجريبية2.16
كيان قانونيشركة إس جي سيستمز، ذ.م.م
العنوان6944 ميدوبراير لين، دالاس، تكساس 75230
تمت الموافقة عليه من قبلستيوارت هانت؛ سيمون هارتلي
تواصل معناsupport@sgsystemsglobal.com
مجموعة مرجعية:

هذه الصفحة مقدمة لأغراض إعلامية فقط ولا تُعدّل الشروط التعاقدية.