摘要:通过理解、研讨云计算的优势及制药企业信息化所面临的挑战，结合国内相关监管条例和国际认可标准的分析，探索制药企业合理应用云计算的方法，分析企业应用云计算需要注意的要求和思路，帮助制药企业遴选、优化云计算的应用。

关键词:云计算；制药企业；合规；信息化建设

0.引言

      在2011年，中国就开始探讨云计算在医药企业的应用前景[1]。随着云计算的逐渐成熟与完善，越来越多的制药企业，开始关注云计算与企业发展的整合，但是实际的探索仍需制药企业，乃至行业上下游的共同努力[2]。近年来，随着制药企业对信息化建设越来越重视，在一些特定细分领域内出现了与云计算、大数据深度融合的可喜进展[3]。对于制药企业，更应该结合自身业务特性与云计算的主要特点，充分考虑相关条例和国际标准，制定适合企业长远发展的信息化战略。

1.云计算基本概念及主要特点

     云计算通常有三种部署模式，软件即服务、平台即服务、基础架构即服务。云计算的应用，为企事业单位提供了诸如快速部署、管控优化、减少人为错误、稳定平台、方便集成等特性，方便企事业因地制宜、因时制宜的制定信息化建设规划。

2.制药企业应用云计算典型场景

     伴随我国制药企业的快速发展，对于信息化建设的需求越来越迫切。信息化建设的成功与否，已经关乎到企业的健康成长。在竞争愈加激烈的国际大环境下，合理规划信息化建设、实践高科技成功，可以帮助企业占据有利市场的有利地位。随着应用系统的逐步完善，如何构建信息一体化平台也成为制药企业信息化建设举足轻重的关键战略，同时也需要包括云计算技术在内的信息技术路线规划图[4]。系统是载体，数据是核心。制药企业的数据，更是种类繁多、阶段不同、来源不一，主要的数据源包括生命科学实验数据、患者支持科研数据、药物评价、处方数据、物流数据、销售数据、基因数据，等等[5]。实际上，打通产品数据流的制药企业仅占33%[6]。因此系统与数据，越来越依赖信息化建设的合理布局。

     随着技术的完善与成熟，信息化建设已经成为制药企业提高效率与降低开销的重要途径。事实上，在  药物研发、合规管理、物流系统等领域，云计算的引入可以大大帮助企业提升竞争力，比如更好的成本管控、灵活的市场活动、更低的合规风险。充分分析制药企业的业务诉求，可以帮助企业总结、归纳典型云计算应用场景：

（1）大幅度降低制药企业在信息化建设初期的资金投入。这是完全由云计算的特性所决定的。随用随取，按需付费。

（2）更有利于制药领域的上下游企业的信息交互。在云计算的大平台下，供货商、物流公司、合作企业都可以在统一标准下，完成信息整合。

（3）有效降低人员误操作、非标准系统所带来的风险，提高合规管理水平。

（4）快速、灵活定制平台资源，满足制药企业各个阶段对资源的不同需求。

尽管云计算带来了众多的优势，真正有助于企业竞争力的提高，但是如何选择合适的云计算技术和在该技术下制定合理的信息化建设方案，成为企业信息化建设不可或缺的环节。

3.云计算在制药企业应用的监管与标准

      制药行业，无论是跨国公司还是初创企业，在保证病人安全、产品质量、数据完整性的同时，都会面临如何优化流程、提高效率、降低开销等一系列挑战。因为云计算快速交付、按需使用、灵活扩展、全球部署等特性，使得越来越多的医药企业希望利用云计算来应对这样的挑战。早在2012年，中国就开始了药品电子监管应用云计算的必要性的研究[7]。随着多年的快速发展，越来越多的制药企业开始利用基于云计算的技术，来满足前期药物研发的需要[8]。中国制药企业也开始着手评估和应用云计算。

3.1 网络安全法

      自2017年6月1日起，《中华人民共和国网络安全法》（简称网络安全法）的颁发标志着中国建立严格的网络治理指导方针。《网络安全法》对敏感数据、个人隐私、网络安全都做出了相应的要求，适用范围集中在网络运营者和关键信息基础设施运营者（简称CII）。其中，虽没有明确规定制药行业隶属于CII，但是在随后由国家互联网信息办公室颁发的《关键信息基础设施安全保护条例（征求意见稿）》（2017年7月11日），把食品药品行业定义为CII。由此可见，在不远的将来，制药企业也会需要满足《网络安全法》的相关规定，在网络运行、信息安全、监测响应等方面，全面提升信息化系统建设。

     无独有偶，世界各国对数据的保护力度空前加强，除了中国以外，都颁布了适合本国国情的数据保护法规。以欧盟于2018年5月25日出台的《通用数据保护条例》（GDPR）为例，对个人数据的保护尤为重视。只要企业涉及到欧盟居民的数据，都要受到该法案的监管。这也对中国制药企业，尤其在欧盟有商务往来的情况下，提出了新的要求与挑战。

3.2 CSA

     云安全联盟（Cloud Security Alliance，简称CSA）是一个非营利性组织，邀请云计算领域专家，提供云安全的研究、培训、认证、活动以及产品。CSA STAR自我评估是由该组织发布的一整套独立审计标准。

     企业可以充分利用CSA STAR，不仅可以对云计算提供商进行独立评估，也可以利用该标准对企业内部信息化系统应用云计算做出有益研判。结合医药行业监管政策，完成企业应用系统上云的战略规划。

3.3 ISO/IEC 27017

     ISO/IEC 27017针对云计算提供了安全管控的实施建议。获得ISO/IEC 27017的认证，不仅可以帮助企业采用国际公认的最佳实践，也可以证明企业拥有基于云计算的精密控制系统。

3.4 ISO/IEC 27018

    ISO/IEC 27018是基于ISO 27002信息安全标准，针对云计算环境提供了个人可识别信息的实施指南。通过实践这项标准，可以有效的处理内容隐私保护，同时也证明了企业对隐私数据保护的重视。

3.5 PCI DSS

     支付卡行业数据安全标准（Payment Card Industry Data Security Standard，简称PCI DSS）是由PCI 安全标准委员会出版发行，最新版本于2018 年5月发布的3.2版本。该标准为保护用户数据提供了技术和运营标准的基线。

    随着制药企业的规模不断壮大，将越来越多接触到存储、处理或传输持卡者身份等敏感数据。在采用云计算技术时，可以充分考虑安全策略制定、网络安全、敏感数据保护、访问控制、程序维护等方面。

4.结语

      综上所述，云计算技术不仅是企业信息化建设的重要组成部分，同时也是制药企业蓬勃发展的重要基石。无论是考虑企业治理、运营的角度，还是符合制药合规的监管需求，妥善运用云计算都将是至关重要的环节。国内、外陆续出台了切实可行的要求和标准，在此基础上，制药企业可以统筹规划，在企业发展战略的指导下，充分利用云计算的特点，完成信息化建设“质”的飞跃，确保在国际大舞台上，占据重要一席。