Q/LB.□XXXXX-XXXX血站信息系統(tǒng)確認指南范圍本文件規(guī)定了血站信息系統(tǒng)確認的要求。本標準適用于血液中心、中心血站和中心血庫信息系統(tǒng)的確認。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9385 計算機軟件需求規(guī)格說明規(guī)范GB/T11457 信息技術(shù)軟件工程術(shù)語GB/T19000 質(zhì)量管理體系基礎(chǔ)和術(shù)語GB/T19025 質(zhì)量管理培訓(xùn)指南GB/T20984 信息安全技術(shù)信息安全風險評估方法GB/T20988 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22239 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T32423系統(tǒng)與軟件工程驗證與確認WS/T811血站信息系統(tǒng)基本功能標準術(shù)語和定義GB/T19000、GB/T11457和WS/T811界定的以及下列術(shù)語和定義適用于本文件。 血站信息系統(tǒng)（Bloodestablishmentinformationsystem，BIS）采用計算機、網(wǎng)絡(luò)通信等技術(shù)，實現(xiàn)采供血信息的采集、處理、存儲、傳輸與交換、分析與利用，為血站和相關(guān)機構(gòu)在獻血者服務(wù)與健康檢查、血液采集、血液成分制備、血液檢測、血液儲存、發(fā)放與運輸?shù)葮I(yè)務(wù)過程提供管理及服務(wù)的信息系統(tǒng)。[來源：WS/T811-20223.1]血站信息系統(tǒng)確認（ValidationofBloodestablishmentinformationsystem）對血站信息系統(tǒng)中的特定內(nèi)容進行檢查和提供客觀證據(jù)，以證實特定需求已得到滿足的認定?；疽罂傮w要求確保血站信息系統(tǒng)的可用性、安全性、穩(wěn)定性和可靠性。人員職責確認小組組織和實施確認。測試和評估工作可委托宜有中國計量認證資質(zhì)的第三方機構(gòu)實施。確認小組由血站的管理人員、業(yè)務(wù)人員、信息技術(shù)人員以及產(chǎn)品或服務(wù)的供方人員組成，由血站分管信息負責人擔任組長。文檔管理要求管理要求應(yīng)對確認活動全過程實施文檔化管理，記錄并保存確認過程所產(chǎn)生的結(jié)果和數(shù)據(jù)，使其具有可追溯性，以證實確認狀態(tài)有效。文檔內(nèi)容文檔必須完整，應(yīng)至少包括用戶需求說明書、風險評估報告、確認方案、測試和評估報告、確認報告。文檔保存要求文檔保存期限應(yīng)符合國家相關(guān)規(guī)定，涉及血液采集、血液檢測、血液隔離與放行、血液保存發(fā)放的確認文檔應(yīng)至少保存十年。文檔應(yīng)安全保管和保存，防止篡改、丟失、老化、損壞、非授權(quán)接觸、非法復(fù)制。應(yīng)對文檔進行分類管理，并建立檢索系統(tǒng)。實施流程流程的劃分血站信息系統(tǒng)確認流程包括需求確認、開發(fā)驗證、使用前確認、發(fā)布管理、跟蹤評價五個部分。確認流程圖參見附錄E。需求確認需求說明書要求血站信息系統(tǒng)用戶需求說明書應(yīng)由業(yè)務(wù)部門提出，以書面形式提交。應(yīng)詳盡說明需求的真實意圖，相關(guān)圖片、表格應(yīng)作為附件提交。用戶需求說明書編制應(yīng)參考GB/T9385。風險評估內(nèi)容信息管理部門對用戶需求進行風險評估，編制風險評估報告。風險評估報告應(yīng)包括風險評估匯總表、深度等級表、廣度等級表、頻度等級表、關(guān)鍵因素加權(quán)值表和風險等級表。血站信息系統(tǒng)風險評估方法參見附錄A。信息管理部門主管依據(jù)評估結(jié)果提出建議。評估結(jié)果審核要求由業(yè)務(wù)部門主管對風險評估報告進行審核。當風險評估等級為中、高風險，應(yīng)由血站分管負責人最終審核。需求確認結(jié)果信息管理部門依據(jù)通過評審的用戶需求說明書立項開發(fā)。開發(fā)驗證開發(fā)驗證內(nèi)容開發(fā)驗證包括供方選擇、系統(tǒng)驗證、文檔編制（含版本說明書、用戶手冊）。開發(fā)驗證要求自行開發(fā)或外部供方提供的信息系統(tǒng)在開發(fā)過程中應(yīng)參考GB/T32423實施系統(tǒng)與軟件工程的驗證和確認。交付血站終端用戶時，應(yīng)提交版本說明書和用戶手冊。如用戶需求中存在壓力測試要求的，應(yīng)提交壓力測試報告。使用前確認使用前確認流程使用前確認的流程包含使用前確認準備、編制確認方案、實施確認方案、編制和審核確認報告五個部分。使用前確認準備對使用前確認所需資料進行匯總，應(yīng)包括通過評審的用戶需求說明書、風險評估報告、版本說明書、用戶手冊等。編制確認方案確認方案宜包含安裝確認計劃、操作確認計劃、性能確認計劃、業(yè)務(wù)持續(xù)性評估計劃、信息安全風險評估計劃、培訓(xùn)內(nèi)容評估計劃。參見附錄B。確認方案應(yīng)由確認小組組長批準。所有操作人員在開展確認活動前應(yīng)進行確認方案的培訓(xùn)。實施確認方案信息系統(tǒng)開發(fā)完成后，應(yīng)根據(jù)確認方案進行確認。測試時間不少于5個工作日，包含安裝確認、操作確認和性能確認，同時應(yīng)依據(jù)用戶需求編制準備測試用例。測試和評估報告應(yīng)包括測評項目檢查表、偏離報告、測評結(jié)論，以及相關(guān)支持文檔。確認測試和評估報告參見附錄D。編制確認報告確認報告宜包含安裝確認報告、操作確認報告、性能確認報告、培訓(xùn)內(nèi)容評估報告、業(yè)務(wù)持續(xù)性評估報告及信息安全風險評估報告。參見附錄C。審核確認報告確認報告由確認小組組長審核和簽發(fā)。確認小組組長應(yīng)審核確認方案規(guī)定的各項內(nèi)容的符合性，并審核報告的完整性、正確性、規(guī)范性。確認結(jié)論分為通過、有條件通過或不通過。確認結(jié)論為不通過或有條件通過時，應(yīng)記錄理由并提出解決方案。對于風險等級為高的需求，在測評過程中出現(xiàn)偏差的，應(yīng)終止確認過程；對于風險等級為中的需求，在測評過程中出現(xiàn)偏差的，應(yīng)采取額外措施，以降低風險。發(fā)布管理用戶培訓(xùn)要求信息管理部門應(yīng)發(fā)放用戶手冊，組織用戶培訓(xùn)。培訓(xùn)完成后應(yīng)評價勝任程度及保存用戶培訓(xùn)反饋表。發(fā)布要求發(fā)布前要求發(fā)布前，信息管理部門應(yīng)編制并向相關(guān)用戶通報發(fā)布計劃。發(fā)布計劃應(yīng)包含應(yīng)急回退計劃。發(fā)布完成后要求發(fā)布完成后，信息管理部門應(yīng)編制發(fā)布報告。跟蹤評價跟蹤評價要求發(fā)布完成后，業(yè)務(wù)部門應(yīng)及時反饋使用中出現(xiàn)的情況。信息管理部門負責追蹤業(yè)務(wù)部門的反饋。信息管理部門宜在6周至6個月的時間段內(nèi)組織業(yè)務(wù)部門對變更內(nèi)容進行實施后的評價。跟蹤評價結(jié)果在跟蹤評價過程中，對于高風險項出現(xiàn)偏差的，信息管理部門應(yīng)對用戶需求重新確認。

（資料性）

血站信息系統(tǒng)風險評估方法概述風險評估貫穿血站信息系統(tǒng)生命周期的各階段。在建設(shè)驗收階段，通過風險評估以確定信息系統(tǒng)的安全目標是否達成。在運行維護階段，應(yīng)針對變更進行風險評估，以識別系統(tǒng)變更造成的風險。血站信息系統(tǒng)風險評估的目的是鑒別需求和需求實施衍生出的風險，并在后續(xù)工作中進行風險控制。血站應(yīng)遵循風險識別、風險分析和風險評估結(jié)果判定三個步驟進行風險評估。風險識別風險識別階段的任務(wù)是將需求中潛在的風險查找出來。風險評估人員首先應(yīng)將用戶需求說明書分解為獨立需求項，然后逐項分析可能存在的潛在風險，完成風險評估匯總表的用戶需求單元和風險識別單元。風險評估匯總表的風險識別單元中應(yīng)注明風險的來源、產(chǎn)生條件及其特征。表A.1提供了一種風險評估匯總表的參考。風險評估匯總表用戶需求單元風險識別單元風險分析單元結(jié)果判定需求編號內(nèi)容風險編號風險項說明風險來源產(chǎn)生條件風險特征深度廣度頻度評估理由風險評估指數(shù)風險等級風險分析風險分析的關(guān)鍵因素包括風險造成后果的深度、廣度和頻度。風險分析階段的任務(wù)是按風險后果的深度、廣度和頻度，對識別出的風險逐項分析，以便采取控制措施。在血站信息系統(tǒng)確認過程中，采用風險分析指數(shù)法進行定性風險估算。風險分析指數(shù)法依據(jù)風險后果的深度、廣度和頻度，按其特點分級。風險評估人員依據(jù)血站自身特點對三種關(guān)鍵因素賦以一定的加權(quán)值，定性地衡量三種關(guān)鍵因素的關(guān)系。對風險評估匯總表進行逐項評估后，依據(jù)風險分析指數(shù)換算公式計算風險分析指數(shù)，完成風險評估匯總表的風險分析單元。風險分析單元中應(yīng)注明風險分析的評估依據(jù)。編制風險評估關(guān)鍵因素等級表由風險評估人員依據(jù)血站自身特點，分別依據(jù)深度、廣度和頻度劃分等級，編制風險分析關(guān)鍵因素等級表。對于已采取控制措施的風險，可降低其風險等級。編制風險分析深度等級表血站信息系統(tǒng)中，風險深度一般指風險的嚴重程度。嚴重風險，可能產(chǎn)生災(zāi)難的后果，包括造成獻血者或用血者人身傷害、產(chǎn)生公共社會安全事件、破壞血站質(zhì)量目標完成。表A.2提供了一種深度等級表的參考。深度等級表分值等級說明影響程度5災(zāi)難可能導(dǎo)致血液安全事件和人身傷害，對血站質(zhì)量目標的實現(xiàn)產(chǎn)生災(zāi)難影響。3嚴重可能造成血液浪費，對血站質(zhì)量目標的實現(xiàn)產(chǎn)生嚴重影響。1輕度可能造成經(jīng)濟損失，對血站質(zhì)量目標的實現(xiàn)產(chǎn)生輕度影響。0輕微對血站質(zhì)量目標的實現(xiàn)產(chǎn)生輕微影響。編制風險分析廣度等級表風險廣度一般指風險造成損害波及的范圍，即風險發(fā)生后，受影響的血站業(yè)務(wù)部門。關(guān)鍵業(yè)務(wù)部門至少包括涉及血液采集、血液檢測、血液隔離與放行和血液保存發(fā)放與運輸流程的血站業(yè)務(wù)部門。表A.3提供了一種廣度等級表的參考。廣度等級表分值等級說明影響程度5災(zāi)難影響整個血站業(yè)務(wù)部門3嚴重影響一個（含一個）以上關(guān)鍵業(yè)務(wù)部門1輕度影響一個（含一個）以上非關(guān)鍵業(yè)務(wù)部門0輕微業(yè)務(wù)部門日常工作幾乎沒有影響編制風險分析頻度等級表風險頻度指風險發(fā)生的頻率。表A.4提供了一種頻度等級表的參考。頻度等級表分值等級說明發(fā)生情況5頻繁頻繁發(fā)生3有時有時發(fā)生1極少不易發(fā)生，但有可能發(fā)生0不可能很不容易發(fā)生設(shè)定關(guān)鍵因素的加權(quán)值風險評估人員依據(jù)血站自身特點對三種關(guān)鍵因素賦以一定的加權(quán)值，定性地衡量三種關(guān)鍵因素的關(guān)系。三種關(guān)鍵因素權(quán)值合計為1。表A.5提供了一種關(guān)鍵因素加權(quán)值表的參考。

關(guān)鍵因素加權(quán)值表關(guān)鍵因素加權(quán)值深度0.4廣度0.3頻度0.3合計1編制風險分析指數(shù)換算公式根據(jù)設(shè)定的關(guān)鍵因素加權(quán)值，完成風險評估指數(shù)換算公式。風險評估指數(shù)=深度分值×深度加權(quán)值+廣度分值×廣度加權(quán)值+頻度分值×頻度加權(quán)值逐項進行風險分析，完成風險評估匯總表的風險分析單元對各風險項進行關(guān)鍵因素評估，并依據(jù)風險評估指數(shù)換算公式計算風險評估指數(shù)。風險評估結(jié)果判定風險評估匯總表是制定確認方案以及審核確認報告的依據(jù)。設(shè)定風險等級的風險評估指數(shù)范圍全面審查風險評估匯總表，依據(jù)血站自身特點，設(shè)定風險等級對應(yīng)的風險評估指數(shù)范圍。表A.6提供了一種風險等級表的參考。風險等級風險評估結(jié)果風險評估指數(shù)范圍高不可接受風險3.1-5.0中不希望有的風險1.1-3.0低可接受的風險0-1.0完成風險評估匯總表的結(jié)果判定單元依據(jù)風險等級表填寫風險評估匯總表的風險等級項，最終完成風險評估匯總表。

（資料性）

血站信息系統(tǒng)測試和評估辦法血站信息系統(tǒng)的測試安裝確認（InstallationQualification）在新建系統(tǒng)或系統(tǒng)大規(guī)模調(diào)整時，依據(jù)供方提供的系統(tǒng)安裝相關(guān)資料，對系統(tǒng)安裝和配置進行鑒定，以證明系統(tǒng)被正確安裝和配置。在安裝確認中需要來自供方的支持。安裝確認工作應(yīng)按以下步驟進行：a)制訂安裝確認方案；b)搜集與系統(tǒng)安裝有關(guān)的資料；c)鑒定系統(tǒng)安裝情況與資料無差異；d) 對于軟件的安裝確認，在完成安裝配置后，應(yīng)凍結(jié)所有配置和軟件代碼，測試血站信息系統(tǒng)是否能夠運行，以鑒定軟件配置是否正確；e) 對于硬件的安裝確認，在完成安裝配置和初始化配置后，應(yīng)凍結(jié)所有配置，測試血站信息系統(tǒng)是否能夠運行，相應(yīng)的安全措施是否得到落實；f)編寫安裝確認報告。安裝確認報告應(yīng)包括以下文件：a)測試方案；b)安裝確認結(jié)論；c)安裝條件和環(huán)境條件記錄；d)交付清單；e)資料文檔和軟件備份；f)安全性措施（供電、備份、環(huán)境、安全控制措施）。操作確認（OperationalQualification）在完成安裝確認的基礎(chǔ)上，應(yīng)依據(jù)用戶需求說明書要求，對系統(tǒng)功能進行測試，以證明系統(tǒng)功能符合用戶需求。操作確認應(yīng)按以下步驟進行：a)依據(jù)用戶需求說明書，編制項目檢查表，完成測試方案；b)依據(jù)測試方案，對鑒定項目檢查表內(nèi)容逐項進行測試，對測試中出現(xiàn)的偏差，記錄在測試偏移表中；c)評估測試結(jié)果；d)編寫操作鑒定報告。操作鑒定報告應(yīng)包括以下文件：a)測試方案；b)系統(tǒng)預(yù)設(shè)參數(shù)配置說明；c)功能測試記錄；d)特定功能的壓力測試報告；e)操作鑒定結(jié)論。性能確認（PerformanceQualification）在完成操作確認的基礎(chǔ)上，應(yīng)依據(jù)用戶需求，通過相對較長時間的模擬運行，以證明系統(tǒng)在正常操作條件下能穩(wěn)定可靠地工作。性能確認應(yīng)進行壓力測試，以證明極限狀態(tài)能夠滿足用戶需求。性能確認應(yīng)按以下步驟進行：a)依據(jù)用戶需求，設(shè)計用戶測試方案；b)對參與測試的人員進行培訓(xùn)；c)依據(jù)測試方案，進行模擬運行；d)評估測試結(jié)果；e)編寫測試報告。性能鑒定報告應(yīng)包含以下文件：a)性能鑒定方案；b)模擬運行測試報告；c)性能鑒定結(jié)論。血站信息系統(tǒng)的評估業(yè)務(wù)持續(xù)性評估建立業(yè)務(wù)持續(xù)性計劃的作用在于確保血站的主要業(yè)務(wù)和血站信息系統(tǒng)服務(wù)能夠長期穩(wěn)定運行。應(yīng)對新建或業(yè)務(wù)流程變更帶來的風險進行評估，并制定相應(yīng)的應(yīng)急預(yù)案，以減少系統(tǒng)故障對日常業(yè)務(wù)的影響。業(yè)務(wù)持續(xù)性評估應(yīng)參考GB/T22239實施。血站信息系統(tǒng)預(yù)防性方案對于血站信息系統(tǒng)，必須建立預(yù)防性方案，以減少系統(tǒng)故障的風險。血站信息系統(tǒng)預(yù)防性方案應(yīng)在系統(tǒng)設(shè)計規(guī)劃時建立，在系統(tǒng)功能變更時再次進行評估和確認。血站信息系統(tǒng)預(yù)防性方案應(yīng)包含以下內(nèi)容：a)硬件冗余設(shè)計方案；b)系統(tǒng)維護方案；c)系統(tǒng)監(jiān)控方案；d)數(shù)據(jù)備份和恢復(fù)方案；e)培訓(xùn)；f)安保措施。災(zāi)難恢復(fù)方案血站信息系統(tǒng)災(zāi)難恢復(fù)方案是業(yè)務(wù)持續(xù)計劃的一個重要組成部分。在新建或業(yè)務(wù)變更時，應(yīng)對可能出現(xiàn)的災(zāi)難事件進行預(yù)先的風險評估，建立和實施血站信息系統(tǒng)災(zāi)難恢復(fù)方案。血站信息系統(tǒng)災(zāi)難恢復(fù)方案可參考GB/T20988。業(yè)務(wù)應(yīng)急預(yù)案血站必須建立業(yè)務(wù)應(yīng)急預(yù)案，以保證在血站信息系統(tǒng)癱瘓時的血液供應(yīng)，確保血液供應(yīng)工作的連續(xù)性，并規(guī)范這一時期需要遵守的業(yè)務(wù)行為準則。業(yè)務(wù)應(yīng)急預(yù)案應(yīng)定期進行演習，以確保其持續(xù)有效。業(yè)務(wù)應(yīng)急預(yù)案應(yīng)包含以下內(nèi)容：a)識別關(guān)鍵業(yè)務(wù)點；b)制訂業(yè)務(wù)行為準則；c)制訂應(yīng)急操作方案；d)規(guī)劃操作流程；e)制定并實施應(yīng)急演習計劃。信息安全風險評估信息安全風險評估是血站信息系統(tǒng)安全保障機制建立過程中的一種評價方法，評估具體方法可參考GB/T20984。培訓(xùn)內(nèi)容評估培訓(xùn)內(nèi)容評估的作用在于確保本次變更的相關(guān)文檔完整、準確，并且以用戶能夠正確理解的語言編寫。培訓(xùn)內(nèi)容評估方法可參考GB/T19025。

（資料性）

血站信息系統(tǒng)確認報告確認項目名稱項目基本情況確認目的、范圍確認開始日期確認結(jié)束日期測試和評估情況測評項目測評結(jié)論偏移報告概要最低期望結(jié)果安裝確認操作確認性能確認業(yè)務(wù)持續(xù)性評估信息安全風險評估培訓(xùn)內(nèi)容評估附件清單確認小組成員名單姓名工作部門（單位）職務(wù)（職稱）簽字確認結(jié)論組長：日期：

（資料性）

血站信息系統(tǒng)測試和評估報告測評項目名稱測評目的、范圍測評開始日期測評結(jié)束日期測評過程測評項目檢查表檢查項編號檢查項內(nèi)容預(yù)期結(jié)果檢查結(jié)果偏離報告檢查項編號偏離情況風險評估處置意見測評人員名單姓名工作部門（單位）職務(wù)（職稱）職責測評結(jié)論測評人員：日期：

（資料性）

血站信息系統(tǒng)確認流程圖《血站信息系統(tǒng)確認指南》編制說明任務(wù)來源與項目編號、各起草單位和起草人承擔的工作、起草過程等2024年9月，由受中國輸血協(xié)會委托，上海市血液中心、上海市血液管理辦公室、江蘇省血液中心、浙江省血液中心共4家單位成立項目組，承擔《血站信息系統(tǒng)確認指南》的編制任務(wù)。項目組收集、參考國內(nèi)外相關(guān)標準，結(jié)合行業(yè)發(fā)展趨勢和各地調(diào)研結(jié)果，確定了標準的框架結(jié)構(gòu)和基本內(nèi)容，形成了標準征求意見稿。項日組主要參與人員及承擔的工作如下：研制人員姓名性別年齡職稱職務(wù)專業(yè)單位任務(wù)分工項目負責人林俊杰男55主任技師上海市血液中心黨委書記、上海市血液管理辦公室主任檢驗上海市血液中心、上海市血液管辦公室總負責、總撰稿主要參加人員葉小凡女56研究員中心主任、黨委書記衛(wèi)生事業(yè)管理江蘇省血液中心政策指導(dǎo)、撰稿主要參加人員高瑜男49高級工程師信息管理部部長計算機上海市血液中心架構(gòu)設(shè)計、文獻檢索、撰稿主要參加人員孔長虹男48正高級工程師信息科主任計算機浙江省血液中心專項調(diào)研分析、文獻檢索、撰稿主要參加人員周春男44高級工程師信息設(shè)備科副科長信息管理江蘇省血液中心專項調(diào)研分析、文獻檢索、撰稿主要參加人員王瑋男41歲經(jīng)濟師血源統(tǒng)籌部部長國際經(jīng)濟與貿(mào)易專業(yè)上海市血液管辦公室專項調(diào)研分析、文獻檢索、撰稿主要參加人員方漪男50歲中級工程師信息管理部副部長計算機上海市血液中心專項調(diào)研分析、文獻檢索、撰稿主要參加人員靳曉倩女28歲初級工程師信息管理部科員生物醫(yī)學(xué)工程上海市血液中心文獻檢索、撰稿與相關(guān)規(guī)范性文件和其他標準的關(guān)系目前國內(nèi)現(xiàn)行的主要參考標準有：《GB/T20984信息安全技術(shù)信息安全風險評估方法》、《GB/T20988 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《GB/T32423系統(tǒng)與軟件工程驗證與確認》、《WS/T811血站信息系統(tǒng)基本功能標準》、《衛(wèi)醫(yī)發(fā)〔2006〕167號血站質(zhì)量管理規(guī)范》，上述標準在網(wǎng)絡(luò)安全、流程管理、質(zhì)量控制等方面進行了明確要求，在血站信息系統(tǒng)的基本要求、實施流程等方面存在一定的不足。國外相關(guān)規(guī)定和標準情況的比對說明在標準編制過程中，項目組學(xué)習了ISB