血站信息系統(tǒng)確認(rèn)指南

1T/CSBT003—2024血站信息系統(tǒng)確認(rèn)指南本文件規(guī)定了血站信息系統(tǒng)確認(rèn)的要求。本標(biāo)準(zhǔn)適用于血液中心、中心血站和中心血庫信息系統(tǒng)的確認(rèn)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9385計算機軟件需求規(guī)格說明規(guī)范GB/T11457信息技術(shù)軟件工程術(shù)語GB/T19000質(zhì)量管理體系基礎(chǔ)和術(shù)語GB/T19025質(zhì)量管理培訓(xùn)指南GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T32423系統(tǒng)與軟件工程驗證與確認(rèn)WS/T811血站信息系統(tǒng)基本功能標(biāo)準(zhǔn)3術(shù)語和定義GB/T19000、GB/T11457和WS/T811界定的以及下列術(shù)語和定義適用于本文件。3.1血站信息系統(tǒng)（Bloodestablishmentinformationsystem，BIS）采用計算機、網(wǎng)絡(luò)通信等技術(shù)，實現(xiàn)采供血信息的采集、處理、存儲、傳輸與交換、分析與利用，為血站和相關(guān)機構(gòu)在獻(xiàn)血者服務(wù)與健康檢查、血液采集、血液成分制備、血液檢測、血液儲存、發(fā)放與運輸?shù)葮I(yè)務(wù)過程提供管理及服務(wù)的信息系統(tǒng)。[來源：WS/T811-20223.1]3.2血站信息系統(tǒng)確認(rèn)（ValidationofBloodestablishmentinformationsystem）對血站信息系統(tǒng)中的特定內(nèi)容進(jìn)行檢查和提供客觀證據(jù)，以證實特定需求已得到滿足的認(rèn)定。4基本要求4.1總體要求確保血站信息系統(tǒng)的可用性、安全性、穩(wěn)定性和可靠性。4.2人員職責(zé)確認(rèn)小組組織和實施確認(rèn)。測試和評估工作可委托宜有中國計量認(rèn)證資質(zhì)的第三方機構(gòu)實施。確認(rèn)小組由血站的管理人員、業(yè)務(wù)人員、信息技術(shù)人員以及產(chǎn)品或服務(wù)的供方人員組成，由血站分管信息負(fù)責(zé)人擔(dān)任組長。2T/CSBT003—20244.3文檔管理要求4.3.1管理要求應(yīng)對確認(rèn)活動全過程實施文檔化管理，記錄并保存確認(rèn)過程所產(chǎn)生的結(jié)果和數(shù)據(jù)，使其具有可追溯性，以證實確認(rèn)狀態(tài)有效。4.3.2文檔內(nèi)容文檔必須完整，應(yīng)至少包括用戶需求說明書、風(fēng)險評估報告、確認(rèn)方案、測試和評估報告、確認(rèn)報4.3.3文檔保存要求文檔保存期限應(yīng)符合國家相關(guān)規(guī)定，涉及血液采集、血液檢測、血液隔離與放行、血液保存發(fā)放的確認(rèn)文檔應(yīng)至少保存十年。文檔應(yīng)安全保管和保存，防止篡改、丟失、老化、損壞、非授權(quán)接觸、非法復(fù)制。應(yīng)對文檔進(jìn)行分類管理，并建立檢索系統(tǒng)。5實施流程5.1流程的劃分血站信息系統(tǒng)確認(rèn)流程包括需求確認(rèn)、開發(fā)驗證、使用前確認(rèn)、發(fā)布管理、跟蹤評價五個部分。確認(rèn)流程圖參見附錄E。5.2需求確認(rèn)5.2.1需求說明書要求血站信息系統(tǒng)用戶需求說明書應(yīng)由業(yè)務(wù)部門提出，以書面形式提交。應(yīng)詳盡說明需求的真實意圖，相關(guān)圖片、表格應(yīng)作為附件提交。用戶需求說明書編制應(yīng)參考GB/T9385。5.2.2風(fēng)險評估內(nèi)容信息管理部門對用戶需求進(jìn)行風(fēng)險評估，編制風(fēng)險評估報告。風(fēng)險評估報告應(yīng)包括風(fēng)險評估匯總表、深度等級表、廣度等級表、頻度等級表、關(guān)鍵因素加權(quán)值表和風(fēng)險等級表。血站信息系統(tǒng)風(fēng)險評估方法參見附錄A。信息管理部門主管依據(jù)評估結(jié)果提出建議。5.2.3評估結(jié)果審核要求由業(yè)務(wù)部門主管對風(fēng)險評估報告進(jìn)行審核。當(dāng)風(fēng)險評估等級為中、高風(fēng)險，應(yīng)由血站分管負(fù)責(zé)人最終審核。5.2.4需求確認(rèn)結(jié)果信息管理部門依據(jù)通過評審的用戶需求說明書立項開發(fā)。5.3開發(fā)驗證5.3.1開發(fā)驗證內(nèi)容開發(fā)驗證包括供方選擇、系統(tǒng)驗證、文檔編制（含版本說明書、用戶手冊）。5.3.2開發(fā)驗證要求自行開發(fā)或外部供方提供的信息系統(tǒng)在開發(fā)過程中應(yīng)參考GB/T32423實施系統(tǒng)與軟件工程的驗證和確認(rèn)。交付血站終端用戶時，應(yīng)提交版本說明書和用戶手冊。如用戶需求中存在壓力測試要求的，應(yīng)提交壓力測試報告。5.4使用前確認(rèn)5.4.1使用前確認(rèn)流程3T/CSBT003—2024使用前確認(rèn)的流程包含使用前確認(rèn)準(zhǔn)備、編制確認(rèn)方案、實施確認(rèn)方案、編制和審核確認(rèn)報告五個部分。5.4.2使用前確認(rèn)準(zhǔn)備對使用前確認(rèn)所需資料進(jìn)行匯總，應(yīng)包括通過評審的用戶需求說明書、風(fēng)險評估報告、版本說明書、用戶手冊等。5.4.3編制確認(rèn)方案確認(rèn)方案宜包含安裝確認(rèn)計劃、操作確認(rèn)計劃、性能確認(rèn)計劃、業(yè)務(wù)持續(xù)性評估計劃、信息安全風(fēng)險評估計劃、培訓(xùn)內(nèi)容評估計劃。參見附錄B。確認(rèn)方案應(yīng)由確認(rèn)小組組長批準(zhǔn)。所有操作人員在開展確認(rèn)活動前應(yīng)進(jìn)行確認(rèn)方案的培訓(xùn)。5.4.4實施確認(rèn)方案信息系統(tǒng)開發(fā)完成后，應(yīng)根據(jù)確認(rèn)方案進(jìn)行確認(rèn)。測試時間不少于5個工作日，包含安裝確認(rèn)、操作確認(rèn)和性能確認(rèn)，同時應(yīng)依據(jù)用戶需求編制準(zhǔn)備測試用例。測試和評估報告應(yīng)包括測評項目檢查表、偏離報告、測評結(jié)論，以及相關(guān)支持文檔。確認(rèn)測試和評估報告參見附錄D。5.4.5編制確認(rèn)報告確認(rèn)報告宜包含安裝確認(rèn)報告、操作確認(rèn)報告、性能確認(rèn)報告、培訓(xùn)內(nèi)容評估報告、業(yè)務(wù)持續(xù)性評估報告及信息安全風(fēng)險評估報告。參見附錄C。5.4.6審核確認(rèn)報告確認(rèn)報告由確認(rèn)小組組長審核和簽發(fā)。確認(rèn)小組組長應(yīng)審核確認(rèn)方案規(guī)定的各項內(nèi)容的符合性，并審核報告的完整性、正確性、規(guī)范性。確認(rèn)結(jié)論分為通過、有條件通過或不通過。確認(rèn)結(jié)論為不通過或有條件通過時，應(yīng)記錄理由并提出解決方案。對于風(fēng)險等級為高的需求，在測評過程中出現(xiàn)偏差的，應(yīng)終止確認(rèn)過程；對于風(fēng)險等級為中的需求，在測評過程中出現(xiàn)偏差的，應(yīng)采取額外措施，以降低風(fēng)險。5.5發(fā)布管理5.5.1用戶培訓(xùn)要求信息管理部門應(yīng)發(fā)放用戶手冊，組織用戶培訓(xùn)。培訓(xùn)完成后應(yīng)評價勝任程度及保存用戶培訓(xùn)反饋表。5.5.2發(fā)布要求5.5.2.1發(fā)布前要求發(fā)布前，信息管理部門應(yīng)編制并向相關(guān)用戶通報發(fā)布計劃。發(fā)布計劃應(yīng)包含應(yīng)急回退計劃。5.5.2.2發(fā)布完成后要求發(fā)布完成后，信息管理部門應(yīng)編制發(fā)布報告。5.6跟蹤評價5.6.1跟蹤評價要求發(fā)布完成后，業(yè)務(wù)部門應(yīng)及時反饋使用中出現(xiàn)的情況。信息管理部門負(fù)責(zé)追蹤業(yè)務(wù)部門的反饋。信息管理部門宜在6周至6個月的時間段內(nèi)組織業(yè)務(wù)部門對變更內(nèi)容進(jìn)行實施后的評價。5.6.2跟蹤評價結(jié)果在跟蹤評價過程中，對于高風(fēng)險項出現(xiàn)偏差的，信息管理部門應(yīng)對用戶需求重新確認(rèn)。4T/CSBT003—2024血站信息系統(tǒng)風(fēng)險評估方法A.1概述風(fēng)險評估貫穿血站信息系統(tǒng)生命周期的各階段。在建設(shè)驗收階段，通過風(fēng)險評估以確定信息系統(tǒng)的安全目標(biāo)是否達(dá)成。在運行維護(hù)階段，應(yīng)針對變更進(jìn)行風(fēng)險評估，以識別系統(tǒng)變更造成的風(fēng)險。血站信息系統(tǒng)風(fēng)險評估的目的是鑒別需求和需求實施衍生出的風(fēng)險，并在后續(xù)工作中進(jìn)行風(fēng)險控制。血站應(yīng)遵循風(fēng)險識別、風(fēng)險分析和風(fēng)險評估結(jié)果判定三個步驟進(jìn)行風(fēng)險評估。A.2風(fēng)險識別風(fēng)險識別階段的任務(wù)是將需求中潛在的風(fēng)險查找出來。風(fēng)險評估人員首先應(yīng)將用戶需求說明書分解為獨立需求項，然后逐項分析可能存在的潛在風(fēng)險，完成風(fēng)險評估匯總表的用戶需求單元和風(fēng)險識別單元。風(fēng)險評估匯總表的風(fēng)險識別單元中應(yīng)注明風(fēng)險的來源、產(chǎn)生條件及其特征。表A.1提供了一種風(fēng)險評估匯總表的參考。表A.1風(fēng)險評估匯總表用戶需求單元風(fēng)險識別單元風(fēng)險分析單元結(jié)果判定風(fēng)險風(fēng)險風(fēng)險風(fēng)險產(chǎn)生風(fēng)險評估風(fēng)險項說深度廣度頻度評估編號編號來源條件特征理由等級明指數(shù)A.3風(fēng)險分析風(fēng)險分析的關(guān)鍵因素包括風(fēng)險造成后果的深度、廣度和頻度。風(fēng)險分析階段的任務(wù)是按風(fēng)險后果的深度、廣度和頻度，對識別出的風(fēng)險逐項分析，以便采取控制措施。在血站信息系統(tǒng)確認(rèn)過程中，采用風(fēng)險分析指數(shù)法進(jìn)行定性風(fēng)險估算。風(fēng)險分析指數(shù)法依據(jù)風(fēng)險后果的深度、廣度和頻度，按其特點分級。風(fēng)險評估人員依據(jù)血站自身特點對三種關(guān)鍵因素賦以一定的加權(quán)值，定性地衡量三種關(guān)鍵因素的關(guān)系。對風(fēng)險評估匯總表進(jìn)行逐項評估后，依據(jù)風(fēng)險分析指數(shù)換算公式計算風(fēng)險分析指數(shù)，完成風(fēng)險評估匯總表的風(fēng)險分析單元。風(fēng)險分析單元中應(yīng)注明風(fēng)險分析的評估依據(jù)。A.3.1編制風(fēng)險評估關(guān)鍵因素等級表由風(fēng)險評估人員依據(jù)血站自身特點，分別依據(jù)深度、廣度和頻度劃分等級，編制風(fēng)險分析關(guān)鍵因素等級表。對于已采取控制措施的風(fēng)險，可降低其風(fēng)險等級。A.3.1.1編制風(fēng)險分析深度等級表5T/CSBT003—2024血站信息系統(tǒng)中，風(fēng)險深度一般指風(fēng)險的嚴(yán)重程度。嚴(yán)重風(fēng)險，可能產(chǎn)生災(zāi)難的后果，包括造成獻(xiàn)血者或用血者人身傷害、產(chǎn)生公共社會安全事件、破壞血站質(zhì)量目標(biāo)完成。表A.2提供了一種深度等級表的參考。表A.2深度等級表分值等級說明影響程度5災(zāi)難可能導(dǎo)致血液安全事件和人身傷害，對血站質(zhì)量目標(biāo)的實現(xiàn)產(chǎn)生災(zāi)難影響。3嚴(yán)重可能造成血液浪費，對血站質(zhì)量目標(biāo)的實現(xiàn)產(chǎn)生嚴(yán)重影響。1輕度可能造成經(jīng)濟(jì)損失，對血站質(zhì)量目標(biāo)的實現(xiàn)產(chǎn)生輕度影響。0輕微對血站質(zhì)量目標(biāo)的實現(xiàn)產(chǎn)生輕微影響。A.3.1.2編制風(fēng)險分析廣度等級表風(fēng)險廣度一般指風(fēng)險造成損害波及的范圍，即風(fēng)險發(fā)生后，受影響的血站業(yè)務(wù)部門。關(guān)鍵業(yè)務(wù)部門至少包括涉及血液采集、血液檢測、血液隔離與放行和血液保存發(fā)放與運輸流程的血站業(yè)務(wù)部門。表A.3提供了一種廣度等級表的參考。表A.3廣度等級表分值等級說明影響程度5災(zāi)難影響整個血站業(yè)務(wù)部門3嚴(yán)重影響一個（含一個）以上關(guān)鍵業(yè)務(wù)部門1輕度影響一個（含一個）以上非關(guān)鍵業(yè)務(wù)部門0輕微業(yè)務(wù)部門日常工作幾乎沒有影響A.3.1.3編制風(fēng)險分析頻度等級表風(fēng)險頻度指風(fēng)險發(fā)生的頻率。表A.4提供了一種頻度等級表的參考。表A.4頻度等級表分值等級說明發(fā)生情況5頻繁頻繁發(fā)生3有時有時發(fā)生1極少不易發(fā)生，但有可能發(fā)生0不可能很不容易發(fā)生A.3.2設(shè)定關(guān)鍵因素的加權(quán)值風(fēng)險評估人員依據(jù)血站自身特點對三種關(guān)鍵因素賦以一定的加權(quán)值，定性地衡量三種關(guān)鍵因素的關(guān)系。三種關(guān)鍵因素權(quán)值合計為1。表A.5提供了一種關(guān)鍵因素加權(quán)值表的參考。6T/CSBT003—2024表A.5關(guān)鍵因素加權(quán)值表關(guān)鍵因素加權(quán)值深度0.4廣度0.3頻度0.3合計1A.3.3編制風(fēng)險分析指數(shù)換算公式根據(jù)設(shè)定的關(guān)鍵因素加權(quán)值，完成風(fēng)險評估指數(shù)換算公式。風(fēng)險評估指數(shù)=深度分值×深度加權(quán)值+廣度分值×廣度加權(quán)值+頻度分值×頻度加權(quán)值A(chǔ).3.4逐項進(jìn)行風(fēng)險分析，完成風(fēng)險評估匯總表的風(fēng)險分析單元對各風(fēng)險項進(jìn)行關(guān)鍵因素評估，并依據(jù)風(fēng)險評估指數(shù)換算公式計算風(fēng)險評估指數(shù)。A.4風(fēng)險評估結(jié)果判定風(fēng)險評估匯總表是制定確認(rèn)方案以及審核確認(rèn)報告的依據(jù)。A.4.1設(shè)定風(fēng)險等級的風(fēng)險評估指數(shù)范圍全面審查風(fēng)險評估匯總表，依據(jù)血站自身特點，設(shè)定風(fēng)險等級對應(yīng)的風(fēng)險評估指數(shù)范圍。表A.6提供了一種風(fēng)險等級表的參考。表A.6風(fēng)險等級風(fēng)險評估結(jié)果風(fēng)險評估指數(shù)范圍高不可接受風(fēng)險3.1-5.0中不希望有的風(fēng)險1.1-3.0低可接受的風(fēng)險0-1.0A.4.2完成風(fēng)險評估匯總表的結(jié)果判定單元依據(jù)風(fēng)險等級表填寫風(fēng)險評估匯總表的風(fēng)險等級項，最終完成風(fēng)險評估匯總表。7T/CSBT003—2024血站信息系統(tǒng)測試和評估辦法B.1血站信息系統(tǒng)的測試B.1.1安裝確認(rèn)（InstallationQualification）在新建系統(tǒng)或系統(tǒng)大規(guī)模調(diào)整時，依據(jù)供方提供的系統(tǒng)安裝相關(guān)資料，對系統(tǒng)安裝和配置進(jìn)行鑒定，以證明系統(tǒng)被正確安裝和配置。在安裝確認(rèn)中需要來自供方的支持。安裝確認(rèn)工作應(yīng)按以下步驟進(jìn)行：a)制訂安裝確認(rèn)方案；b)搜集與系統(tǒng)安裝有關(guān)的資料；c)鑒定系統(tǒng)安裝情況與資料無差異；d)對于軟件的安裝確認(rèn)，在完成安裝配置后，應(yīng)凍結(jié)所有配置和軟件代碼，測試血站信息系統(tǒng)是否能夠運行，以鑒定軟件配置是否正確；e)對于硬件的安裝確認(rèn)，在完成安裝配置和初始化配置后，應(yīng)凍結(jié)所有配置，測試血站信息系統(tǒng)是否能夠運行，相應(yīng)的安全措施是否得到落實；f)編寫安裝確認(rèn)報告。安裝確認(rèn)報告應(yīng)包括以下文件：a)測試方案；b)安裝確認(rèn)結(jié)論；c)安裝條件和環(huán)境條件記錄；d)交付清單；e)資料文檔和軟件備份；f)安全性措施（供電、備份、環(huán)境、安全控制措施）。B.1.2操作確認(rèn)（OperationalQualification）在完成安裝確認(rèn)的基礎(chǔ)上，應(yīng)依據(jù)用戶需求說明書要求，對系統(tǒng)功能進(jìn)行測試，以證明系統(tǒng)功能符合用戶需求。操作確認(rèn)應(yīng)按以下步驟進(jìn)行：a)依據(jù)用戶需求說明書，編制項目檢查表，完成測試方案；b)依據(jù)測試方案，對鑒定項目檢查表內(nèi)容逐項進(jìn)行測試，對測試中出現(xiàn)的偏差，記錄在測試偏移表c)評估測試結(jié)果；d)編寫操作鑒定報告。操作鑒定報告應(yīng)包括以下文件：a)測試方案；b)系統(tǒng)預(yù)設(shè)參數(shù)配置說明；c)功能測試記錄；d)特定功能的壓力測試報告；e)操作鑒定結(jié)論。B.1.3性能確認(rèn)（PerformanceQualification）在完成操作確認(rèn)的基礎(chǔ)上，應(yīng)依據(jù)用戶需求，通過相對較長時間的模擬運行，以證明系統(tǒng)在正常操作條件下能穩(wěn)定可靠地工作。性能確認(rèn)應(yīng)進(jìn)行壓力測試，以證明極限狀態(tài)能夠滿足用戶需求。性能確認(rèn)應(yīng)按以下步驟進(jìn)行：a)依據(jù)用戶需求，設(shè)計用戶測試方案；b)對參與測試的人員進(jìn)行培訓(xùn)；8T/CSBT003—2024c)依據(jù)測試方案，進(jìn)行模擬運行；d)評估測試結(jié)果；e)編寫測試報告。性能鑒定報告應(yīng)包含以下文件：a)性能鑒定方案；b)模擬運行測試報告；c)性能鑒定結(jié)論。B.2血站信息系統(tǒng)的評估B.2.1業(yè)務(wù)持續(xù)性評估建立業(yè)務(wù)持續(xù)性計劃的作用在于確保血站的主要業(yè)務(wù)和血站信息系統(tǒng)服務(wù)能夠長期穩(wěn)定運行。應(yīng)對新建或業(yè)務(wù)流程變更帶來的風(fēng)險進(jìn)行評估，并制定相應(yīng)的應(yīng)急預(yù)案，以減少系統(tǒng)故障對日常業(yè)務(wù)的影響。業(yè)務(wù)持續(xù)性評估應(yīng)參考GB/T22239實施。B.2.1.1血站信息系統(tǒng)預(yù)防性方案對于血站信息系統(tǒng)，必須建立預(yù)防性方案，以減少系統(tǒng)故障的風(fēng)險。血站信息系統(tǒng)預(yù)防性方案應(yīng)在系統(tǒng)設(shè)計規(guī)劃時建立，在系統(tǒng)功能變更時再次進(jìn)行評估和確認(rèn)。血站信息系統(tǒng)預(yù)防性方案應(yīng)包含以下內(nèi)容：a)硬件冗余設(shè)計方案；b)系統(tǒng)維護(hù)方案；c)系統(tǒng)監(jiān)控方案；d)數(shù)據(jù)備份和恢復(fù)方案；e)培訓(xùn)；f)安保措施。B.2.1.2災(zāi)難恢復(fù)方案血站信息系統(tǒng)災(zāi)難恢復(fù)方案是業(yè)務(wù)持續(xù)計劃的一個重要組成部分。在新建或業(yè)務(wù)變更時，應(yīng)對可能出現(xiàn)的災(zāi)難事件進(jìn)行預(yù)先的風(fēng)險評估，建立和實施血站信息系統(tǒng)災(zāi)難恢復(fù)方案。血