安全与信任

范围。 本页内容概述 SG Systems GlobalV5 可追溯性及相关服务的安全性和信任状况，包括 托管服务 以及 本地安装 根据适用的订单表格/已签署的提案中的选择。

文档层级（优先级顺序）。 如果存在冲突，则以以下文件为准：

• （1）订单/已签署的提案 （范围、部署选择、层级选择、生效日期）；
• （2）供应商质量附加条款（SQA） （受监管/GxP 运营结构），仅当以引用方式纳入本次合作时方可适用；
• （3）主服务协议（MSA） （法律/商业框架、服务水平协议、安全义务、客户数据条款）。

合同协调。 本页面仅供参考，不修改合同条款。任何服务级别指标、通知时限和具有约束力的义务均在主服务协议/服务级别协议 (MSA/SLA) 和适用的订单（以及其中包含的服务质量保证 (SQA)）中定义。

远程优先运营。 SG Systems Global 公司以远程优先的方式运营。管控措施侧重于身份识别、访问管理、安全终端使用以及系统受控管理。

安全联系人： support@sgsystemsglobal.com

SG Systems Global 维护基于风险的信息安全计划，旨在保护客户数据和服务的机密性、完整性和可用性，并支持在受监管的制造环境中运营。

Program elements include:

• 问责制和监督： 明确了安全责任归属，以保证控制有效性、升级流程和纠正措施。
• 风险管理： 识别和评估风险、选择控制措施以及跟踪补救活动。
• 政策和程序控制： 针对安全相关活动（访问、变更控制、事件处理、连续性）制定的规范。
• 定期审查： 随着系统、威胁和客户期望的变化，安全措施会不断审查和更新。

职责取决于您在订单/已签署的提案中选择的部署方式。V5 可追溯性解决方案可以以托管服务或本地部署的形式交付。

参考文献： 海事局, 品质保证, 系统要求.

访问控制旨在支持最小权限原则、问责制和受控管理。在受监管的环境中，访问控制是一种综合性的机制。 技术 以及 程序 学科。

• 基于角色的访问： 权限按角色分配，以使功能与工作职责相匹配。
• 独特的问责制： 用户应具有唯一标识；应禁止使用共享凭证。
• 访问治理： 客户在其标准操作程序 (SOP) 中控制配置/取消配置、角色设计和定期访问权限审查。
• 特权访问： 行政权限仅限于出于运营需要而获得授权的人员。

V5 可追溯性支持以可追溯性为导向的记录保存，旨在支持受监管电子记录通常期望的控制行为，包括可归因行为、审计跟踪行为、记录完整性控制以及在适用和配置的情况下的电子签名行为。

独立评估（21 CFR 第 11 部分背景）。 V5 可追溯性包含一份独立的评估文件，旨在支持供应商资质认证和 CSV 讨论。参见： 独立 21 CFR 第 11 部分评估.

SG Systems Global 通过符合保密性、完整性和可用性目标的行政、技术和合同控制措施，保障客户信息安全。合同保密性、客户数据权利和隐私处理条款（如适用）均受主服务协议 (MSA) 及相关文件的约束。

• 保密： 旨在防止未经授权披露客户信息的控制措施。
• 完整性： 旨在维护记录完整性并支持可审计的可追溯性的控制措施。
• 库存： 根据选定的部署类型采取适当的操作控制措施；托管服务目标（如适用）在 MSA/SLA 中定义。

有关具有约束力的保密和客户数据条款，请参阅以下内容： 海事局.

V5 可追溯性采用受控实践进行开发和维护，旨在为受监管的客户支持可靠且可审计的发布状态。

SDLC 控制摘要包括：

• 受控变更引入： 变更在发布前会经过计划、实施和审查。
• 审查纪律： 代码和配置变更在部署前需经过审核。
• 环境隔离： 开发/测试和生产活动受到控制，以降低未经授权变更的风险。
• 发布文档： 发布说明描述了实质性变更，并在相关情况下描述了验证注意事项。

SG Systems Global 采用受控的变更管理方法，以支持可预测的服务交付和受监管的使用预期。

变更管理控制概要包括：

• 变更评估： 评估变更对客户的潜在影响，包括在适用情况下考虑监管影响。
• 审批纪律： 生产变更须经书面授权后方可发布。
• 部署控制： 托管服务部署由提供商控制；本地部署由客户控制。
• 紧急变更： 为应对当前威胁，必要时可进行紧急安全变更；此类变更将按照合同条款进行记录和沟通。

具有约束力的变更控制条款在以下文件中定义： 海事局 并且，在纳入相关条款的情况下， 品质保证.

SG Systems Global 通过识别、分类、修复和验证来管理漏洞，并根据严重性和可利用性进行优先级排序。

漏洞管理控制措施概要包括：

• 分诊与优先级排序： 评估范围、严重性、可利用性和对客户的潜在影响。
• 补救措施： 应用修复/补丁，并在适当的版本文档中记录重大变更。
• 通讯： 客户沟通遵循 MSA/SQA 中的合同和运营结构。

如需报告疑似漏洞或安全问题，请发送电子邮件至[电子邮件地址] support@sgsystemsglobal.com 主题： Security Concern.

SG Systems Global 维护事件管理和安全事件响应流程，旨在支持快速分类、遏制、调查和客户沟通，包括记录完整性可能受到影响的受监管使用考虑因素。

事件管理控制概要包括：

• 分类： 根据事件的严重程度以及对机密性、完整性和可用性的潜在影响，对事件进行评估和分类。
• 升级： 对于严重程度较高的事件和受监管影响的问题，将采用升级途径。
• 调查： 调查结果均有记录，重大事件需接受事后审查。
• 纠正措施： 跟踪纠正措施，以降低复发风险。

报告渠道： support@sgsystemsglobal.com如果怀疑存在受监管记录/数据完整性问题，请包括： Potential GxP / data integrity impact.

连续性和恢复预期取决于部署类型。对于托管服务，适用的可用性和恢复目标（如有）在主服务协议/服务级别协议 (MSA/SLA) 和订单中定义。对于本地部署，除非另有书面约定，否则客户负责备份、灾难恢复和恢复测试。

连续性控制摘要包括：

• 已记录的恢复方法： 已记录的恢复程序与选定的部署模型相一致。
• 备份完整性意图： 旨在支持可恢复性并降低定义范围内的数据丢失风险的控制措施。
• 恢复测试目的： 根据托管边界和服务设计，定期开展恢复准备活动。

托管服务可能由订单/已签署的提案中指定的第三方供应商提供。供应商对子处理者的使用以及隐私处理条款（如适用）受主服务协议 (MSA) 和任何适用的数据处理附录 (DPA) 的约束。

• 子处理器： 根据旨在保护客户数据并遵守保密义务的书面协议进行合作。
• 数据处理： 法律要求时，隐私条款将通过数据处理协议（DPA）予以规定，该协议以引用方式纳入法律，并可应要求提供。
• 系统边界： 根据托管部署和本地部署的不同，职责也会有所不同，具体职责以合同形式规定。

SG Systems Global 通过与系统边界和部署类型相符的文档和结构化回复，支持客户尽职调查和供应商资质认证。对于受监管/GxP项目，SQA（如已纳入）定义了质量运营框架，包括审核支持结构和受监管用途责任。

• 资格支持： 提供反馈和资料以支持客户的供应商资质认证工作流程。
• 审计合作： 须遵守 MSA/SQA 中规定的保密性和合理安排。
• 独立评估： 评估员编写的资料支持第 11 部分的讨论和控制评估。

参考文献： 品质保证 | 海事局 | 独立评估

为支持尽职调查和供应商资格审查，可能会向客户和合格的潜在客户提供额外的安全和合规文件，但须遵守保密义务（主服务协议）以及（如适用）保密协议条款。

可根据要求提供以下文件示例（如适用）：

• 变更管理和发布文档摘要
• 事件响应概要符合合同义务
• 备份/灾难恢复连续性概要与部署边界保持一致
• 独立评估文件（21 CFR 第 11 部分）
• 子处理商名单和数据保护协议模板（如适用）
• 根据要求填写结构化问卷（SIG/CAIQ 格式）。

本页面仅供参考，不构成对合同条款的修改。