DB32T 4622.7-2023采供血過程風險管理第7部分：信息系統(tǒng)風險控制規(guī)范

ICS11.020CCSC05江蘇省地方標準DB32/T4622.7—2023采供血過程風險管理信息系統(tǒng)風險控制規(guī)范Riskmanagementforthebloodcollectionandsupplyprocess—2023?12?13發(fā)布2024?01?13實施江蘇省市場監(jiān)督管理局發(fā)布ⅠDB32/T4622.7—2023前言 引言 Ⅳ1范圍 12規(guī)范性引用文件 13術語和定義 14人員 25關鍵設備 26機房物理安全 27網(wǎng)絡安全 38軟件安全 39數(shù)據(jù)安全 4參考文獻 5ⅢDB32/T4622.7—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件是DB32/T4622《采供血過程風險管理》的第7部分。DB32/T4622已經(jīng)發(fā)布了以下部分：——第1部分：原則與實施指南；——第2部分：獻血者健康檢查和血液采集風險控制規(guī)范；——第3部分：獻血不良反應風險控制規(guī)范；——第4部分：血液成分制備、儲存、放行、發(fā)放和運輸風險控制規(guī)范；——第5部分：血液檢測過程風險控制規(guī)范；——第6部分：質(zhì)量管理與確認風險控制規(guī)范；——第7部分：血站信息系統(tǒng)風險控制規(guī)范；——第8部分：血液應急保障風險控制規(guī)范；——第9部分：職業(yè)暴露風險控制規(guī)范。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由江蘇省衛(wèi)生健康委員會提出。本文件由江蘇省衛(wèi)生標準化技術委員會歸口。本文件起草單位：江蘇省血液中心、常州市中心血站、蘇州市中心血站、廣東穿越醫(yī)療科技有限公司。ⅣDB32/T4622.7—2023采供血風險管理是把血液損失，獻血者、用血者和血站員工損害風險降至最低的管理過程。DB32/T4622《采供血過程風險管理》分為以下9個部分：——第1部分：原則與實施指南；——第2部分：獻血者健康檢查和血液采集風險控制規(guī)范；——第3部分：獻血不良反應風險控制規(guī)范；——第4部分：血液成分制備和供應風險控制規(guī)范；——第5部分：血液檢測風險控制規(guī)范；——第6部分：質(zhì)量管理與確認風險控制規(guī)范；——第7部分：信息系統(tǒng)風險控制規(guī)范；——第8部分：血液應急保障風險控制規(guī)范；——第9部分：職業(yè)暴露風險控制規(guī)范。DB32/T4622的制定填補了我國血站采供血過程風險管理標準化的空白，為血站建立采供血過程風險管理體系、確定風險管理過程、制定風險控制措施提供依據(jù)，對保證血液質(zhì)量，保護獻血者、用血者和血站員工安全，保障患者醫(yī)療救治效果，有著重要的意義。1DB32/T4622.7—2023采供血過程風險管理第7部分：信息系統(tǒng)風險控制規(guī)范本文件規(guī)定了采供血過程信息系統(tǒng)的人員、關鍵設備、機房物理安全、網(wǎng)絡安全、軟件安全、數(shù)據(jù)安全的風險和風險控制要求。本文件適用于一般血站信息系統(tǒng)的風險控制。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T22240信息安全技術網(wǎng)絡安全等級保護定級指南GB/T23694風險管理術語GB50174數(shù)據(jù)中心設計規(guī)范WS/T811血站信息系統(tǒng)基本功能標準3術語和定義GB/T22239、GB/T22240、GB/T23694、GB50174、WS/T811界定的以及下列術語和定義適用于本文件。個人信息脫敏personalinformationdesensitization對個人的敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。預料可能發(fā)生的網(wǎng)絡或數(shù)據(jù)中心的長時間嚴重故障而采取的規(guī)劃和準備措施。外部人員externalpersonnel非血站工作人員。內(nèi)部網(wǎng)絡internalnetwork在某一區(qū)域內(nèi)由多臺計算機以及網(wǎng)絡設備構成的網(wǎng)絡。注：又稱“局域網(wǎng)”。密碼技術passwordtechnology對信息進行加密、分析、識別和確認以及對密鑰進行管理的技術。2DB32/T4622.7—2023關鍵設備keyequipment影響血站信息系統(tǒng)正常運行及安全的設備。注：包括服務器、存儲設備、網(wǎng)絡設備、安全設備。4人員4.1.1工作人員專業(yè)、學歷、職稱、執(zhí)業(yè)資格等相關資質(zhì)不滿足崗位要求。4.1.2工作人員未按照操作規(guī)程進行操作，導致信息錯誤或系統(tǒng)故障。4.1.3工作人員未經(jīng)授權操作血站信息系統(tǒng)或授權權限內(nèi)容與工作崗位、職責不符。4.1.4工作人員和外部人員密碼管理不當。4.1.5缺少對外部人員有效的管理和約束機制。4.1.6工作人員及血站信息系統(tǒng)維護單位泄露信息。4.2風險控制4.2.1明確每個崗位的工作要求并評價工作人員資質(zhì)與崗位的符合性。4.2.2制定工作人員培訓計劃及考核標準，經(jīng)過考核合格并獲得授權后才允許操作血站信息系統(tǒng)。4.2.3按照不同采供血崗位類別為工作人員分配相應操作權限，做好轉(zhuǎn)崗、離職的授權調(diào)整。4.2.4采用密碼技術進行身份鑒別，保證工作人員身份的真實性。4.2.5外部人員按血站要求對血站信息系統(tǒng)進行維護更新，血站宜使用安全設備或者軟件監(jiān)控及記錄外部人員的維護過程。4.2.6血站與工作人員簽訂保密協(xié)議，與信息系統(tǒng)維護單位簽訂數(shù)據(jù)保密協(xié)議及網(wǎng)絡安全承諾書。5關鍵設備5.1.1關鍵設備狀態(tài)異常，發(fā)生電源、存儲、主板等硬件故障。5.1.2硬件故障造成的數(shù)據(jù)損失。5.1.3關鍵設備性能不滿足使用要求。5.2風險控制5.2.1定期對關鍵設備進行巡檢，對有故障的部分進行維修、更新、替換。5.2.2關鍵設備做好災備冗余，數(shù)據(jù)做好備份。5.2.3關鍵設備宜購買維保服務，超過5年使用期對關鍵設備性能進行評估。6機房物理安全6.1.1機房位置選擇不合理。6.1.2機房環(huán)境不符合GB50174的要求。3DB32/T4622.7—20236.1.3機房供配電不符合要求。6.1.4機房消防設施不符合要求。6.1.5機房監(jiān)控系統(tǒng)不符合要求。6.1.6機房沒有人員出入記錄、機房設備、日常管理等規(guī)章制度。6.2風險控制6.2.1機房位置選擇應符合下列要求：a）電力供給應穩(wěn)定可靠，交通通信應便捷，自然環(huán)境應清潔；b）應遠離產(chǎn)生粉塵、油煙、有害氣體以及生產(chǎn)或儲存具有腐蝕性、易燃、易爆物品的場所；c）遠離水災火災隱患區(qū)域；d）遠離強振源和強噪聲源；e）避開強電磁場干擾。6.2.2機房環(huán)境應達到如下要求：a）溫度、濕度、空氣含塵濃度應滿足設備使用要求；b）有人值守的機房，在設備停機時，在值守人員位置測量的噪聲值應小于65dB（Ac）機房內(nèi)磁場干擾環(huán)境場強不應大于800A/m；d）應采用防靜電地板或地面等防靜電措施；e）應將機房內(nèi)各類設備、設施安全接地。6.2.3供配電系統(tǒng)應為機房設備的可擴展性預留備用容量，設置不間斷電源系統(tǒng)。6.2.4機房應設置相應的滅火系統(tǒng)并有火災自動報警系統(tǒng)。6.2.5機房專用空調(diào)、柴油發(fā)電機、不間斷電源系統(tǒng)等設備應配有監(jiān)控系統(tǒng)，機房內(nèi)有可能發(fā)生水患的部位應設置漏水檢測和報警裝置，安裝視頻監(jiān)控系統(tǒng)，機房出入口應安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的人員。6.2.6建立出入管理、設備管理、日常管理等規(guī)章制度。7網(wǎng)絡安全7.1.1網(wǎng)絡安全不符合GB/T22239的要求。7.1.2無網(wǎng)絡安全制度，未指定網(wǎng)絡安全負責人。7.1.3未采取安全措施保護網(wǎng)絡安全。7.1.4無網(wǎng)絡安全應急預案或未定期演練。7.1.5網(wǎng)絡邊界未做安全控制，對接入內(nèi)部網(wǎng)絡的終端沒有審核。7.2風險控制7.2.1落實網(wǎng)絡安全等級保護制度，網(wǎng)絡運營者應按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。7.2.2制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任。7.2.3采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施。7.2.4制定網(wǎng)絡安全事件應急預案并定期組織演練，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險。發(fā)生網(wǎng)絡安全事件，應立即啟動網(wǎng)絡安全事件應急預案，采取相應補救措施，并按照規(guī)定向有關主管部門報告。4DB32/T4622.7—20237.2.5對互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡進行隔離，對終端電腦接入內(nèi)部網(wǎng)絡進行控制。8軟件安全8.1.1新購成品軟件未達到安全性要求。8.1.2軟件未進行等級測評。8.1.3軟件供應商對軟件自身的漏洞不能及時整改。8.1.4系統(tǒng)運行環(huán)境不受廠方支持，沒有補丁可以升級。8.1.5軟件運行過程中發(fā)生故障導致工作不能正常開展。8.1.6正在使用的軟件不符合法律法規(guī)或上級主管部門要求。8.1.7軟件配置不正確或升級造成系統(tǒng)未知錯誤。8.2風險控制8.2.1軟件正式啟用前進行風險評估。8.2.2按照GB/T22240確定血站信息系統(tǒng)的安全保護等級，血站信息系統(tǒng)安全保護等級不低于二級。8.2.3與軟件供應商簽訂維護協(xié)議，明確維護內(nèi)容。8.2.4運行環(huán)境應采用正版軟件，定期對軟件及運行環(huán)境進行漏洞掃描，及時安裝安全補丁。8.2.5制定血站信息系統(tǒng)應急事件處理流程，每年開展一次應急演練。8.2.6制定整改方案并向上級主管部門說明情況。8.2.7修改軟件配置進行審批，軟件升級前做好備份及測試確認工作。9數(shù)據(jù)安全9.1.1未開展血站信息系統(tǒng)的數(shù)據(jù)風險評估。9.1.2血站信息系統(tǒng)未對個人信息脫敏處理，未按規(guī)定保護個人信息。9.1.3血站不能自主控制及使用血站信息系統(tǒng)核心數(shù)據(jù)。9.1.4各種原因造成的數(shù)據(jù)損失，數(shù)據(jù)未定期備份、備份不完整或無法利用。9.1.5數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用。9.2風險控制報告。除過程中合理性、合法性、安全性。9.2.3血站信息管理人員提高信息技術水平，掌握血站信息系統(tǒng)數(shù)據(jù)庫自主權及數(shù)據(jù)處理能力。9.2.4在本地常規(guī)數(shù)據(jù)備份基礎上，逐步增加異地數(shù)據(jù)備份或云數(shù)據(jù)備份等容災措施，定期對備份文件做恢復性測試，每年不少于一次。9.2.5保護數(shù)據(jù)可以按以下方法進行：a）依照法律、法規(guī)的規(guī)定，履行數(shù)據(jù)安全保護義務，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施，保障數(shù)據(jù)安全；5DB32/T4622.7—2023b）進行數(shù)據(jù)分類，對重要數(shù)據(jù)處理應明確管理部門和數(shù)據(jù)安全負責人，落實數(shù)據(jù)安全保護責任；c）對個人信息和重要數(shù)據(jù)采取加