1T/CSBT003—2024血站信息系統確認指南本文件規定了血站信息系統確認的要求。本標準適用于血液中心、中心血站和中心血庫信息系統的確認。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9385計算機軟件需求規格說明規范GB/T11457信息技術軟件工程術語GB/T19000質量管理體系基礎和術語GB/T19025質量管理培訓指南GB/T20984信息安全技術信息安全風險評估方法GB/T20988信息安全技術信息系統災難恢復規范GB/T22239信息安全技術網絡安全等級保護基本要求GB/T32423系統與軟件工程驗證與確認WS/T811血站信息系統基本功能標準3術語和定義GB/T19000、GB/T11457和WS/T811界定的以及下列術語和定義適用于本文件。3.1血站信息系統（Bloodestablishmentinformationsystem，BIS）采用計算機、網絡通信等技術，實現采供血信息的采集、處理、存儲、傳輸與交換、分析與利用，為血站和相關機構在獻血者服務與健康檢查、血液采集、血液成分制備、血液檢測、血液儲存、發放與運輸等業務過程提供管理及服務的信息系統。[來源：WS/T811-20223.1]3.2血站信息系統確認（ValidationofBloodestablishmentinformationsystem）對血站信息系統中的特定內容進行檢查和提供客觀證據，以證實特定需求已得到滿足的認定。4基本要求4.1總體要求確保血站信息系統的可用性、安全性、穩定性和可靠性。4.2人員職責確認小組組織和實施確認。測試和評估工作可委托宜有中國計量認證資質的第三方機構實施。確認小組由血站的管理人員、業務人員、信息技術人員以及產品或服務的供方人員組成，由血站分管信息負責人擔任組長。2T/CSBT003—20244.3文檔管理要求4.3.1管理要求應對確認活動全過程實施文檔化管理，記錄并保存確認過程所產生的結果和數據，使其具有可追溯性，以證實確認狀態有效。4.3.2文檔內容文檔必須完整，應至少包括用戶需求說明書、風險評估報告、確認方案、測試和評估報告、確認報4.3.3文檔保存要求文檔保存期限應符合國家相關規定，涉及血液采集、血液檢測、血液隔離與放行、血液保存發放的確認文檔應至少保存十年。文檔應安全保管和保存，防止篡改、丟失、老化、損壞、非授權接觸、非法復制。應對文檔進行分類管理，并建立檢索系統。5實施流程5.1流程的劃分血站信息系統確認流程包括需求確認、開發驗證、使用前確認、發布管理、跟蹤評價五個部分。確認流程圖參見附錄E。5.2需求確認5.2.1需求說明書要求血站信息系統用戶需求說明書應由業務部門提出，以書面形式提交。應詳盡說明需求的真實意圖，相關圖片、表格應作為附件提交。用戶需求說明書編制應參考GB/T9385。5.2.2風險評估內容信息管理部門對用戶需求進行風險評估，編制風險評估報告。風險評估報告應包括風險評估匯總表、深度等級表、廣度等級表、頻度等級表、關鍵因素加權值表和風險等級表。血站信息系統風險評估方法參見附錄A。信息管理部門主管依據評估結果提出建議。5.2.3評估結果審核要求由業務部門主管對風險評估報告進行審核。當風險評估等級為中、高風險，應由血站分管負責人最終審核。5.2.4需求確認結果信息管理部門依據通過評審的用戶需求說明書立項開發。5.3開發驗證5.3.1開發驗證內容開發驗證包括供方選擇、系統驗證、文檔編制（含版本說明書、用戶手冊）。5.3.2開發驗證要求自行開發或外部供方提供的信息系統在開發過程中應參考GB/T32423實施系統與軟件工程的驗證和確認。交付血站終端用戶時，應提交版本說明書和用戶手冊。如用戶需求中存在壓力測試要求的，應提交壓力測試報告。5.4使用前確認5.4.1使用前確認流程3T/CSBT003—2024使用前確認的流程包含使用前確認準備、編制確認方案、實施確認方案、編制和審核確認報告五個部分。5.4.2使用前確認準備對使用前確認所需資料進行匯總，應包括通過評審的用戶需求說明書、風險評估報告、版本說明書、用戶手冊等。5.4.3編制確認方案確認方案宜包含安裝確認計劃、操作確認計劃、性能確認計劃、業務持續性評估計劃、信息安全風險評估計劃、培訓內容評估計劃。參見附錄B。確認方案應由確認小組組長批準。所有操作人員在開展確認活動前應進行確認方案的培訓。5.4.4實施確認方案信息系統開發完成后，應根據確認方案進行確認。測試時間不少于5個工作日，包含安裝確認、操作確認和性能確認，同時應依據用戶需求編制準備測試用例。測試和評估報告應包括測評項目檢查表、偏離報告、測評結論，以及相關支持文檔。確認測試和評估報告參見附錄D。5.4.5編制確認報告確認報告宜包含安裝確認報告、操作確認報告、性能確認報告、培訓內容評估報告、業務持續性評估報告及信息安全風險評估報告。參見附錄C。5.4.6審核確認報告確認報告由確認小組組長審核和簽發。確認小組組長應審核確認方案規定的各項內容的符合性，并審核報告的完整性、正確性、規范性。確認結論分為通過、有條件通過或不通過。確認結論為不通過或有條件通過時，應記錄理由并提出解決方案。對于風險等級為高的需求，在測評過程中出現偏差的，應終止確認過程；對于風險等級為中的需求，在測評過程中出現偏差的，應采取額外措施，以降低風險。5.5發布管理5.5.1用戶培訓要求信息管理部門應發放用戶手冊，組織用戶培訓。培訓完成后應評價勝任程度及保存用戶培訓反饋表。5.5.2發布要求5.5.2.1發布前要求發布前，信息管理部門應編制并向相關用戶通報發布計劃。發布計劃應包含應急回退計劃。5.5.2.2發布完成后要求發布完成后，信息管理部門應編制發布報告。5.6跟蹤評價5.6.1跟蹤評價要求發布完成后，業務部門應及時反饋使用中出現的情況。信息管理部門負責追蹤業務部門的反饋。信息管理部門宜在6周至6個月的時間段內組織業務部門對變更內容進行實施后的評價。5.6.2跟蹤評價結果在跟蹤評價過程中，對于高風險項出現偏差的，信息管理部門應對用戶需求重新確認。4T/CSBT003—2024血站信息系統風險評估方法A.1概述風險評估貫穿血站信息系統生命周期的各階段。在建設驗收階段，通過風險評估以確定信息系統的安全目標是否達成。在運行維護階段，應針對變更進行風險評估，以識別系統變更造成的風險。血站信息系統風險評估的目的是鑒別需求和需求實施衍生出的風險，并在后續工作中進行風險控制。血站應遵循風險識別、風險分析和風險評估結果判定三個步驟進行風險評估。A.2風險識別風險識別階段的任務是將需求中潛在的風險查找出來。風險評估人員首先應將用戶需求說明書分解為獨立需求項，然后逐項分析可能存在的潛在風險，完成風險評估匯總表的用戶需求單元和風險識別單元。風險評估匯總表的風險識別單元中應注明風險的來源、產生條件及其特征。表A.1提供了一種風險評估匯總表的參考。表A.1風險評估匯總表用戶需求單元風險識別單元風險分析單元結果判定風險風險風險風險產生風險評估風險項說深度廣度頻度評估編號編號來源條件特征理由等級明指數A.3風險分析風險分析的關鍵因素包括風險造成后果的深度、廣度和頻度。風險分析階段的任務是按風險后果的深度、廣度和頻度，對識別出的風險逐項分析，以便采取控制措施。在血站信息系統確認過程中，采用風險分析指數法進行定性風險估算。風險分析指數法依據風險后果的深度、廣度和頻度，按其特點分級。風險評估人員依據血站自身特點對三種關鍵因素賦以一定的加權值，定性地衡量三種關鍵因素的關系。對風險評估匯總表進行逐項評估后，依據風險分析指數換算公式計算風險分析指數，完成風險評估匯總表的風險分析單元。風險分析單元中應注明風險分析的評估依據。A.3.1編制風險評估關鍵因素等級表由風險評估人員依據血站自身特點，分別依據深度、廣度和頻度劃分等級，編制風險分析關鍵因素等級表。對于已采取控制措施的風險，可降低其風險等級。A.3.1.1編制風險分析深度等級表5T/CSBT003—2024血站信息系統中，風險深度一般指風險的嚴重程度。嚴重風險，可能產生災難的后果，包括造成獻血者或用血者人身傷害、產生公共社會安全事件、破壞血站質量目標完成。表A.2提供了一種深度等級表的參考。表A.2深度等級表分值等級說明影響程度5災難可能導致血液安全事件和人身傷害，對血站質量目標的實現產生災難影響。3嚴重可能造成血液浪費，對血站質量目標的實現產生嚴重影響。1輕度可能造成經濟損失，對血站質量目標的實現產生輕度影響。0輕微對血站質量目標的實現產生輕微影響。A.3.1.2編制風險分析廣度等級表風險廣度一般指風險造成損害波及的范圍，即風險發生后，受影響的血站業務部門。關鍵業務部門至少包括涉及血液采集、血液檢測、血液隔離與放行和血液保存發放與運輸流程的血站業務部門。表A.3提供了一種廣度等級表的參考。表A.3廣度等級表分值等級說明影響程度5災難影響整個血站業務部門3嚴重影響一個（含一個）以上關鍵業務部門1輕度影響一個（含一個）以上非關鍵業務部門0輕微業務部門日常工作幾乎沒有影響A.3.1.3編制風險分析頻度等級表風險頻度指風險發生的頻率。表A.4提供了一種頻度等級表的參考。表A.4頻度等級表分值等級說明發生情況5頻繁頻繁發生3有時有時發生1極少不易發生，但有可能發生0不可能很不容易發生A.3.2設定關鍵因素的加權值風險評估人員依據血站自身特點對三種關鍵因素賦以一定的加權值，定性地衡量三種關鍵因素的關系。三種關鍵因素權值合計為1。表A.5提供了一種關鍵因素加權值表的參考。6T/CSBT003—2024表A.5關鍵因素加權值表關鍵因素加權值深度0.4廣度0.3頻度0.3合計1A.3.3編制風險分析指數換算公式根據設定的關鍵因素加權值，完成風險評估指數換算公式。風險評估指數=深度分值×深度加權值+廣度分值×廣度加權值+頻度分值×頻度加權值A.3.4逐項進行風險分析，完成風險評估匯總表的風險分析單元對各風險項進行關鍵因素評估，并依據風險評估指數換算公式計算風險評估指數。A.4風險評估結果判定風險評估匯總表是制定確認方案以及審核確認報告的依據。A.4.1設定風險等級的風險評估指數范圍全面審查風險評估匯總表，依據血站自身特點，設定風險等級對應的風險評估指數范圍。表A.6提供了一種風險等級表的參考。表A.6風險等級風險評估結果風險評估指數范圍高不可接受風險3.1-5.0中不希望有的風險1.1-3.0低可接受的風險0-1.0A.4.2完成風險評估匯總表的結果判定單元依據風險等級表填寫風險評估匯總表的風險等級項，最終完成風險評估匯總表。7T/CSBT003—2024血站信息系統測試和評估辦法B.1血站信息系統的測試B.1.1安裝確認（InstallationQualification）在新建系統或系統大規模調整時，依據供方提供的系統安裝相關資料，對系統安裝和配置進行鑒定，以證明系統被正確安裝和配置。在安裝確認中需要來自供方的支持。安裝確認工作應按以下步驟進行：a)制訂安裝確認方案；b)搜集與系統安裝有關的資料；c)鑒定系統安裝情況與資料無差異；d)對于軟件的安裝確認，在完成安裝配置后，應凍結所有配置和軟件代碼，測試血站信息系統是否能夠運行，以鑒定軟件配置是否正確；e)對于硬件的安裝確認，在完成安裝配置和初始化配置后，應凍結所有配置，測試血站信息系統是否能夠運行，相應的安全措施是否得到落實；f)編寫安裝確認報告。安裝確認報告應包括以下文件：a)測試方案；b)安裝確認結論；c)安裝條件和環境條件記錄；d)交付清單；e)資料文檔和軟件備份；f)安全性措施（供電、備份、環境、安全控制措施）。B.1.2操作確認（OperationalQualification）在完成安裝確認的基礎上，應依據用戶需求說明書要求，對系統功能進行測試，以證明系統功能符合用戶需求。操作確認應按以下步驟進行：a)依據用戶需求說明書，編制項目檢查表，完成測試方案；b)依據測試方案，對鑒定項目檢查表內容逐項進行測試，對測試中出現的偏差，記錄在測試偏移表c)評估測試結果；d)編寫操作鑒定報告。操作鑒定報告應包括以下文件：a)測試方案；b)系統預設參數配置說明；c)功能測試記錄；d)特定功能的壓力測試報告；e)操作鑒定結論。B.1.3性能確認（PerformanceQualification）在完成操作確認的基礎上，應依據用戶需求，通過相對較長時間的模擬運行，以證明系統在正常操作條件下能穩定可靠地工作。性能確認應進行壓力測試，以證明極限狀態能夠滿足用戶需求。性能確認應按以下步驟進行：a)依據用戶需求，設計用戶測試方案；b)對參與測試的人員進行培訓；8T/CSBT003—2024c)依據測試方案，進行模擬運行；d)評估測試結果；e)編寫測試報告。性能鑒定報告應包含以下文件：a)性能鑒定方案；b)模擬運行測試報告；c)性能鑒定結論。B.2血站信息系統的評估B.2.1業務持續性評估建立業務持續性計劃的作用在于確保血站的主要業務和血站信息系統服務能夠長期穩定運行。應對新建或業務流程變更帶來的風險進行評估，并制定相應的應急預案，以減少系統故障對日常業務的影響。業務持續性評估應參考GB/T22239實施。B.2.1.1血站信息系統預防性方案對于血站信息系統，必須建立預防性方案，以減少系統故障的風險。血站信息系統預防性方案應在系統設計規劃時建立，在系統功能變更時再次進行評估和確認。血站信息系統預防性方案應包含以下內容：a)硬件冗余設計方案；b)系統維護方案；c)系統監控方案；d)數據備份和恢復方案；e)培訓；f)安保措施。B.2.1.2災難恢復方案血站信息系統災難恢復方案是業務持續計劃的一個重要組成部分。在新建或業務變更時，應對可能出現的災難事件進行預先的風險評估，建立和實施血站信息系統災難恢復方案。血