DB32／T 4622.7—2023 采供血过程风险管理 第7部分：信息系统风险控制规范.pdf

1、!7,江苏省市场监督管理局发布中 国 标 准 出 版 社出版采供血过程风险管理第 7部分：信息系统风险控制规范Risk management for the blood collection and supply process Part 7：Risk control specifications for information system 20231213 发布20240113 实施CCS C 05DB32/T 4622.72023ICS 11.020 DB32/T 4622.72023前言引言1 范围12 规范性引用文件13 术语和定义14 人员25 关键设备26 机房物理安全27 网络

2、安全38 软件安全39 数据安全4参考文献5目次DB32/T 4622.72023前言本文件按照 GB/T 1.12020 标准化工作导则第 1 部分：标准化文件的结构和起草规则 的规定起草。本文件是 DB32/T 4622 采供血过程风险管理 的第 7 部分。DB32/T 4622 已经发布了以下部分：第 1 部分：原则与实施指南；第 2 部分：献血者健康检查和血液采集风险控制规范；第 3 部分：献血不良反应风险控制规范；第 4 部分：血液成分制备、储存、放行、发放和运输风险控制规范；第 5 部分：血液检测过程风险控制规范；第 6 部分：质量管理与确认风险控制规范；第 7 部分：血站信息系统

3、风险控制规范；第 8 部分：血液应急保障风险控制规范；第 9 部分：职业暴露风险控制规范。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省卫生健康委员会提出。本文件由江苏省卫生标准化技术委员会归口。本文件起草单位：江苏省血液中心、常州市中心血站、苏州市中心血站、广东穿越医疗科技有限公司。本文件主要起草人：叶小凡、徐立、龚春霞、周静宇、周春、曹阳、黄少毅。DB32/T 4622.72023引言采供血风险管理是把血液损失，献血者、用血者和血站员工损害风险降至最低的管理过程。DB32/T 4622 采供血过程风险管理 分为以下 9 个部分：第 1 部分：原则与

4、实施指南；第 2 部分：献血者健康检查和血液采集风险控制规范；第 3 部分：献血不良反应风险控制规范；第 4 部分：血液成分制备和供应风险控制规范；第 5 部分：血液检测风险控制规范；第 6 部分：质量管理与确认风险控制规范；第 7 部分：信息系统风险控制规范；第 8 部分：血液应急保障风险控制规范；第 9 部分：职业暴露风险控制规范。DB32/T 4622 的制定填补了我国血站采供血过程风险管理标准化的空白，为血站建立采供血过程风险管理体系、确定风险管理过程、制定风险控制措施提供依据，对保证血液质量，保护献血者、用血者和血站员工安全，保障患者医疗救治效果，有着重要的意义。DB32/T 462

5、2.72023采供血过程风险管理第 7部分：信息系统风险控制规范1 范围本文件规定了采供血过程信息系统的人员、关键设备、机房物理安全、网络安全、软件安全、数据安全的风险和风险控制要求。本文件适用于一般血站信息系统的风险控制。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 22240信息安全技术网络安全等级保护定级指南GB/T 23694风险管理术语GB 50174数据中心设计规

6、范WS/T 811血站信息系统基本功能标准3 术语和定义GB/T 22239、GB/T 22240、GB/T 23694、GB 50174、WS/T 811 界定的以及下列术语和定义适用于本文件。3.1 个人信息脱敏personal information desensitization对个人的敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。3.2 灾备disaster recovery预料可能发生的网络或数据中心的长时间严重故障而采取的规划和准备措施。3.3 外部人员external personnel非血站工作人员。3.4 内部网络internal network在某一区域

7、内由多台计算机以及网络设备构成的网络。注：又称“局域网”。3.5 密码技术password technology对信息进行加密、分析、识别和确认以及对密钥进行管理的技术。1DB32/T 4622.720233.6 关键设备key equipment影响血站信息系统正常运行及安全的设备。注：包括服务器、存储设备、网络设备、安全设备。4 人员4.1 风险4.1.1 工作人员专业、学历、职称、执业资格等相关资质不满足岗位要求。4.1.2 工作人员未按照操作规程进行操作，导致信息错误或系统故障。4.1.3 工作人员未经授权操作血站信息系统或授权权限内容与工作岗位、职责不符。4.1.4 工作人员和外部人

8、员密码管理不当。4.1.5 缺少对外部人员有效的管理和约束机制。4.1.6 工作人员及血站信息系统维护单位泄露信息。4.2 风险控制4.2.1 明确每个岗位的工作要求并评价工作人员资质与岗位的符合性。4.2.2 制定工作人员培训计划及考核标准，经过考核合格并获得授权后才允许操作血站信息系统。4.2.3 按照不同采供血岗位类别为工作人员分配相应操作权限，做好转岗、离职的授权调整。4.2.4 采用密码技术进行身份鉴别，保证工作人员身份的真实性。4.2.5 外部人员按血站要求对血站信息系统进行维护更新，血站宜使用安全设备或者软件监控及记录外部人员的维护过程。4.2.6 血站与工作人员签订保密协议，与

9、信息系统维护单位签订数据保密协议及网络安全承诺书。5 关键设备5.1 风险5.1.1 关键设备状态异常，发生电源、存储、主板等硬件故障。5.1.2 硬件故障造成的数据损失。5.1.3 关键设备性能不满足使用要求。5.2 风险控制5.2.1 定期对关键设备进行巡检，对有故障的部分进行维修、更新、替换。5.2.2 关键设备做好灾备冗余，数据做好备份。5.2.3 关键设备宜购买维保服务，超过 5 年使用期对关键设备性能进行评估。6 机房物理安全6.1 风险6.1.1 机房位置选择不合理。6.1.2 机房环境不符合 GB 50174 的要求。2DB32/T 4622.720236.1.3 机房供配电不

10、符合要求。6.1.4 机房消防设施不符合要求。6.1.5 机房监控系统不符合要求。6.1.6 机房没有人员出入记录、机房设备、日常管理等规章制度。6.2 风险控制6.2.1 机房位置选择应符合下列要求：a）电力供给应稳定可靠，交通通信应便捷，自然环境应清洁；b）应远离产生粉尘、油烟、有害气体以及生产或储存具有腐蚀性、易燃、易爆物品的场所；c）远离水灾火灾隐患区域；d）远离强振源和强噪声源；e）避开强电磁场干扰。6.2.2 机房环境应达到如下要求：a）温度、湿度、空气含尘浓度应满足设备使用要求；b）有人值守的机房，在设备停机时，在值守人员位置测量的噪声值应小于 65 dB（A）；c）机房内磁场干

11、扰环境场强不应大于 800 A/m；d）应采用防静电地板或地面等防静电措施；e）应将机房内各类设备、设施安全接地。6.2.3 供配电系统应为机房设备的可扩展性预留备用容量，设置不间断电源系统。6.2.4 机房应设置相应的灭火系统并有火灾自动报警系统。6.2.5 机房专用空调、柴油发电机、不间断电源系统等设备应配有监控系统，机房内有可能发生水患的部位应设置漏水检测和报警装置，安装视频监控系统，机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员。6.2.6 建立出入管理、设备管理、日常管理等规章制度。7 网络安全7.1 风险7.1.1 网络安全不符合 GB/T 22239 的要

12、求。7.1.2 无网络安全制度，未指定网络安全负责人。7.1.3 未采取安全措施保护网络安全。7.1.4 无网络安全应急预案或未定期演练。7.1.5 网络边界未做安全控制，对接入内部网络的终端没有审核。7.2 风险控制7.2.1 落实网络安全等级保护制度，网络运营者应按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。7.2.2 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。7.2.3 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。7.2.4 制定网络安全事件应急预案并定

13、期组织演练，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。发生网络安全事件，应立即启动网络安全事件应急预案，采取相应补救措施，并按照规定向有关主管部门报告。3DB32/T 4622.720237.2.5 对互联网和内部网络进行隔离，对终端电脑接入内部网络进行控制。8 软件安全8.1 风险8.1.1 新购成品软件未达到安全性要求。8.1.2 软件未进行等级测评。8.1.3 软件供应商对软件自身的漏洞不能及时整改。8.1.4 系统运行环境不受厂方支持，没有补丁可以升级。8.1.5 软件运行过程中发生故障导致工作不能正常开展。8.1.6 正在使用的软件不符合法律法规或上级主管部门要求。

14、8.1.7 软件配置不正确或升级造成系统未知错误。8.2 风险控制8.2.1 软件正式启用前进行风险评估。8.2.2 按照 GB/T 22240 确定血站信息系统的安全保护等级，血站信息系统安全保护等级不低于二级。8.2.3 与软件供应商签订维护协议，明确维护内容。8.2.4 运行环境应采用正版软件，定期对软件及运行环境进行漏洞扫描，及时安装安全补丁。8.2.5 制定血站信息系统应急事件处理流程，每年开展一次应急演练。8.2.6 制定整改方案并向上级主管部门说明情况。8.2.7 修改软件配置进行审批，软件升级前做好备份及测试确认工作。9 数据安全9.1 风险9.1.1 未开展血站信息系统的数据

15、风险评估。9.1.2 血站信息系统未对个人信息脱敏处理，未按规定保护个人信息。9.1.3 血站不能自主控制及使用血站信息系统核心数据。9.1.4 各种原因造成的数据损失，数据未定期备份、备份不完整或无法利用。9.1.5 数据遭到篡改、破坏、泄露或者非法获取、非法利用。9.2 风险控制9.2.1 按照要求对血站信息系统数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。9.2.2 按照要求对个人信息进行脱敏处理，保证个人信息的收集、存储、使用、加工、传输、提供、公开、删除过程中合理性、合法性、安全性。9.2.3 血站信息管理人员提高信息技术水平，掌握血站信息系统数据库自主权及数据处理

16、能力。9.2.4 在本地常规数据备份基础上，逐步增加异地数据备份或云数据备份等容灾措施，定期对备份文件做恢复性测试，每年不少于一次。9.2.5 保护数据可以按以下方法进行：a）依照法律、法规的规定，履行数据安全保护义务，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施，保障数据安全；4DB32/T 4622.72023b）进行数据分类，对重要数据处理应明确管理部门和数据安全负责人，落实数据安全保护责任；c）对个人信息和重要数据采取加密存储、身份鉴别、访问控制和安全审计等必要措施，进行存储和定期备份，确保数据存储完整性和安全性；d）软件供应商应按照血站工作需求为血站信息系统提供数据处理相关支持。5DB32/T 4622.72023参 考 文 献1 GB/T 24353风险管理原则与实施指南2 GB/T 27921风险管理风险评估技术3 T/CSBT 003血站信息系统确认指南4 中华人民共和国网络安全法5 中华人民共和国个人信息保护法6 中华人民共和国数据安全法6