数字化实验室 数据控制和信息管理要求

1数字化实验室数据控制和信息管理要求本标准规定数字化实验室对于数据控制和信息管理要求。本标准适用于第三方检验检测机构、检测和校准实验室，第一、二方实验室、科研实验室可参照使本标准适用于固定场所内的实验室，其它场所的实验室及远程监测可参照使用，但可能需要附加要特殊领域实验室，如：生物、司法鉴定、医学、法医、兽医等，应用本标准时，还应符合专业领域的相关要求。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GB/T27025-2019《检测和校准实验室能力的通用要求》RB/T214-2017《检验检测机构资质认定能力评价检验检测机构通用要求》3术语和定义下列术语和定义适用于本标准。3.1数字化实验室DigitizationLaboratory运用新一代数字与智能技术，促进实验室战略、业务、研发、管理、服务、财务、供应链等的数字化转型与升级，实现实验室活动所需的人员、设施环境、仪器设备、计量溯源系统及外部支持服务等的数字化管理与运维，确保实验室检测或校准结果的正确性和可靠性。3.2数据Data关于客体的事实。3.3客体Object可感知或可想象到的任何事物。3.4信息Information有意义的数据。2[源自：GB/T19000:20153.8.1]3.5数字化转型DigitalTransformation建立在数字化转换、数字化升级基础上，通过业务、数据、人才等要素的数字化，实现业务发展和管理提升为目标的高层次转型。3.6数据准确性Accuracy数据真实、准确、完整及可追溯。3.7实验室数字化中台DigitalLabMiddlePlatform将实验室的共性需求进行抽象，并建设成平台化、组件化、可复用、可定制的系统平台。以接口、组件等形式共享给各业务单元使用，通过所有关联业务的数据/流程统一收集、可视化、分析，为运营和决策提供全流程的整体参考、反馈，实现运营与管理的闭环。3.8数据架构DataArchitecture通过组织级数据模型定义数据需求，指导对数据资产的分布控制和整合，部署数据的共享和应用环境，以及元数据管理的规范。[源自：GB/T36073-20183.6]3.9数据架构规划DataArchitecturePlanning数字化实验室对数据架构未来一定时期内整体性、长期性、基本性问题的发展规划和行动方案。3.10数据字典DataDictionary是描述数据的信息集合，是对系统中使用的所有数据元素的定义的集合。3.11原始数据RawData初次采集，未经过处理或转换的数据。3.12数据安全DataSecurity指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。3.13数字化转型服务方DigitalTransformationServiceProvider提供数字化转型专业服务的提供方，包括数字化咨询、数字化建设、数字化运维等。3.14数字化咨询DigitizationConsultation由行业数字化专家，使用数字化思维帮助客户定义或塑造其数字战略，发展其数字能力，通过创新业务和服务创造突破价值，并带来有意义的影响。4缩略语下列缩略语适用于本文件。BPM：业务流程管理（BusinessProcessManagement）CDS：色谱数据分析系统（Chromatographicdataanalysissystem）3ELN：电子实验记录本（ElectronicLaboratoryNotebook）ERP：企业资源计划（EnterpriseResourcePlanning）LES：实验室执行系统（labexecutionsystem）LIMS：实验室信息管理系统（LaboratoryInformationManagementSystem）LIS：实验室信息系统，一般特指专为医学检验设计的实验室信息管理系统（LaboratoryInformationSystem）MES：制造执行系统（ManufacturingExecutionSystem）QMS：质量管理体系（QualityManagementSystem）SDMS：科学数据管理系统（ScientificDataManagementSystem）5总则实验室开展数字化转型的目的是在支撑业务发展的同时降低质量和管理风险，以客户为中心推动高效运营，创造新的基于数字或者信息的绩效提升，并持续引领管理的升级与变革。数据是数字化实验室的关键因素，必须执行系统的方法，从而能够充分保证，在数据生命周期内，所有的记录和数据均是准确、真实、可追溯及可靠的。5.2组织实验室应从战略角度考虑数字化实验室的建设与发展，构建符合数字化转型升级要求的组织架构与人才发展体系，并根据数字化目标和自身实际，制定合理的分步建设、资源保障、人员能力提升方案。5.3数据架构数字化实验室应将数据作为实验室关键活动要素。做好数据架构顶层设计，定义数据需求，设计实现数据需求的主要蓝图。既要充分挖掘数据资源价值、加强数据资源整合，也要明确数据的采集责任、技术开发职责、管理制度和安全保密职责。5.4技术架构数字化实验室应利用云计算、大数据、物联网、人工智能、区块链等技术手段，保障数据采集、传输、处理、记录、报告、存储和检索的有效性，实验室数字化系统在投入使用前应进行功能确认，包括系统中界面的适当运行。当对管理系统的任何变更，包括修改实验室软件配置或现成的商业化软件，在实施前应被批准、形成文件并确认。5.5数据控制和信息管理数字化实验室应将安全、保密与合规作为数字化治理的基本要求，数字化系统应满足法律法规、相关标准及特定领域的特殊要求，通过数字化治理手段对实验室活动中获得或产生的所有信息，以及实验室从其他渠道获取的信息进行保密。5.6数据安全利用信息技术开展数据收集、存储、传输、处理、使用等活动，应严格按规定组织实施数据安全的保护和监督管理，通过数据安全管理认证和应用程序的安全认证。有效的数据安全策略和规程应确保合适的人以正确的方式使用和更新数据，并限制所有不适当的访问和更新数据。45.7数据分析数字化实验室应开展数据分析，以综合评估实验室在业务管理、风险控制、质量提升等方面的运行情况，以及数字化系统对于上述内容的支撑和不足，以持续改善实验室的运行效能。通过数据洞察替代经验判断，驱动业务和管理创新，预测业务与管理的风险与机遇。5.8服务方要求实验室应选择专业的数字化团队，包括但不限于：策划、制定方案、实施与运维团队，保障数字化转型目标的顺利实现，有效识别并降低可能的风险。6数字化组织应建立由管理层牵头、全员参与的数字化组织架构，确保数字化治理工具和模式，符合实验室质量体系的通用要求、结构要求、资源要求、过程要求、管理体系要求。6.1组织架构根据数字化实验室的基础和目标策略，选择不同的组织推进模式，包括不限于：设置数字化转型升级领导小组、办公室、跨部门行动组、数字化试点单元，以及与专业的数字化合作伙伴构建开放式组织。其中，数字化转型升级领导小组应由管理层牵头；跨部门行动组包括不限于：实验室市场业务部门、检测部门、质量部门、客户服务部门、行政部门以及信息化部门的代表；数字化合作伙伴包括软件开发商、硬件供应方、仪器设备供应商等。根据数字化实验室不同阶段的需求重点与成熟度，设置相应的数字化组织架构层次，包括不限于：战略决策层、基础设施层、信息管理层、功能应用层、交互与体验层、开发层、集成层、安全保障层、生态伙伴层等。其中，信息管理层、功能应用层是数字化实验室实现数据控制和信息管理的核心组织。6.2职责应明确，数据控制和信息管理是实验室全体人员共同承担的责任。管理层应建立数字化治理的顶层设计与数据质量管理制度，并确保所有人员了解数据质量管理制度和相关的内容。各级管理人员应了解影响制约数据质量的关键因素，并就以下内容明确工作职责：a)规范自身的管理制度及运行模式；b)理解实验室和利益相关者的数据需求；c)获取、存储、保护并确保数据资产的一致性；d)持续改进数据控制和信息管理质量；e)保证隐私性和机密性，并防止对数据和信息的未授权或不适宜的访问与使用；f)保证数据和信息的安全以防止篡改和丢失；g)在符合系统供应商或实验室规定的环境中运行数字化系统，或对于非计算机化的系统，提供保护人工记录和转录准确性的条件；h)以确保数据和信息完整性的方式进行维护；i)制定记录系统失效和适当的紧急措施及纠正措施；j)大化数据资产的有效利用；k)控制数据管理成本；l)促进对数据资产价值的更广泛和深入的理解；m)确保数据控制和信息管理的实践与技术、业务需求的目标一致。56.3建设流程应按照以下流程，完成数字化实验室的建设和持续运营：a)确定目标：设定实验室数字化转型的近期和中长期目标；b)策划设计：通过调研、评估，策划，制定方案，包括战略层面的业务创新战略、组织经营战略、数字化架构，以及实施层面的阶段目标、需求分析、可行性分析、实施计划等；c)系统实施、协调推进：基于业务应用场景和现有基础条件，系统推进技术部署、组织优化和团队赋能：1)技术部署：评价和选择软、硬件数字化服务方，构建弹性、高性能、高可靠性、高安全的微服务技术架构，实施系统开发、改造，升级信息基础设施，功能性能测试，数据的初始化、迁移与同步，系统交付上线。软、硬件数字化服务方的评价指标包括：技术能力（架构、功能、质量、性能，对主流技术、前瞻性技术的应用、开发、整合能力）、创新能力（产品、服务、合作模式等）、行业经验以及专业资质等。系统开发、改造包括：基于策划设计方案，对现有应用系统进行改造、开发替代，以及测试验证，涉及系统架构设置/改造、数据库开发/改造、应用程序开发/改造、系统测试验证。数据的初始化、迁移与同步包括：形成符合本实验室工作实际的数据字典，根据业务、系统实际情况，在做好数据灾备工作基础上，制定数据迁移或阶段性数据同步实施与验证策略，通过结构对象迁移、全量数据迁移、增量数据迁移等方式实现不停服平滑迁移，确保日常运营与用户体验。2)组织优化和团队赋能：打造平台化、网络化、生态化的操作规程、岗位职责、工作制度、绩效指标，培训和考核管理、技术、维护、操作等人员，持续推进团队数字化赋能。d)评估评价：持续完善功能，定期评估运维、升级的必要性，为下一阶段数字化升级改进提供支撑；e)持续推进：根据上一阶段数字化升级的评估结果，以及新的内外部环境变化，持续制定、实施新的数字化升级机会与行动，不断提升实验室的数字化能力。7数据架构数字化实验室应统一进行数据架构规划，进行全业务视角的总体设计，而不是从单独的项目或业务局部出发。数据架构规划是个持续的过程，应该伴随着数字化实验室的发展、及数字化实验室对数据的要求持续演进。数据架构规划应明确目标参照应用场景，使用数据架构规划工作方法，提供了一致的模型和方法来帮助数字化实验室聚焦数据架构关注点、定位数据架构中存在的各种问题，进而改进或优化数据架构。为了避免风险和重复投资，数字化实验室信息化发展到一定的阶段，尤其是大型实验室，对IT建设进行长期和短期规划是必要的。7.1数据架构的目标数据架构应考虑以下目标：a)统一核心业务概念，规范数据模型，在数据层面达成统一认知；6b)实现数据的规范化、一致性、准确性和完整性；c)指导应用系统的建设，包括：数据的存储、访问、整合和分析；d)充分挖掘数据的价值，有效支撑数据管理和决策分析。7.2数据架构的内容数据架构的内容应包含数据的静态架构，如数据模型、数据、数据库管理系统及其相关软件、硬件和网络基础设施等，也应包含数据的动态架构，如数据整理、清洗、转换和传输，数据集成，信息访问服务等。因此，数据架构的内容，应包含以下内容：a)数据定义：是数据架构中的基础内容，描述了业务对象及其关系、模型、特性、约束、分析规则等；b)数据管理：描述了数据架构规划中对于数据管理、数据维护方面的内容；c)数据使用：包含数据在数字化实验室范围内、外使用的情况，对于大多数应用系统来说，它们一方面是数据服务的提供者，一方面又是数据服务的使用者；d)数据治理：包括为了规范数据标准、提高数据质量和保证数据安全而建立的标准、规范、流程、工具和评价考核体系等。注：数据架构是全局性、基础性构想，因此它对于规范数据模型，统一数成统一认知能够起到重要作用，这将为充分利用和挖7.3数据架构的合规性要求数字化实验室应根据其运作的管理体系，如检测和校准实验室管理体系、检验机构管理体系、GLP管理体系等，建立书面化的基础数据架构，以确保符合管理体系对数据控制和信息管理的要求。应根据管理体系要求和数字化实验室业务和管理的需要，确定数据定义，明确数据分类，设计数据模型。从每个要素和条款提取原始数据，构建出若干数据模型。这些数据模型是实验室开展数据管理、数据查询、数据分析的基础单元。这些数据模型是动态的，具有实时性、准确性和唯一性。附录A以检测和校准实验室管理体系为例，提供了关于符合GB/T27025-2019要求的数据架构描述。注：RB/T214-2017的条款不同，数据内容是一7.4数据架构的规划方法结合数字化实验室需求和合规性要求的基础上，数据架构的规划，应在深入分析数据架构现状问题的基础上，借鉴行业最佳实践，根据数字化实验室的实际情况进行。数据架构的规划可以分为数据需求要点收集、数据架构现状分析、目标数据架构规划等。a)数据需求要点收集:收集实验室组织中各部门对数据的需求及其数据的输出情况，收集客户对实验室的数据需求，同时要充分考虑外部供应商、管理机构和实验室认可机构对实验室的数据需求。b)数据架构现状问题分析：应通过现状调研、资料分析、业务访谈、同行比较等途径实现。现状问题分析结合应数据架构内容模型，以发现问题、理解问题、分析问题为主。数据架构现状问题分析的问题和数据架构改进方向，应成为未来数据架构规划的重要依据和输入。c)目标数据架构规划：目标数据架构是数字化实验室未来的数据架构蓝图，是数字化实验室信息化改造的方向，目标数据架构将帮助数字化实验室获得更优质的数据资源，并从数据资源中挖掘更大的数据价值。目标数据架构规划应遵循以下原则：1)遵照数字化实验室业务战略，统一进行数据架构规划，建立数字化实验室范围内共同遵守、执行的标准和规范；72)结合数据架构内容模型，以及现有数据架构存在的问题，制定改进的方向，在目标数据架构规划中予以优化；3)建立数据架构治理机制，落实监管，提升数据架构各个层次的管控及协作能力，使优化不断持续进行。8技术架构8.1系统部署数字化实验室平台的部署，应有稳定、安全的网络环境和可靠的信息安全平台，具体技术要求包括：a)系统所采用的技术应能够较好地支持国产芯片、操作系统及数据库、中间件的基础；b)服务端宜采用公有云、私有云或混合云进行部署，除数据库服务器外其他服务不宜采用物理机服务器部署；c)除少量专用工具或部件外，数字化实验室宜采用多层B/S方式部署。8.2技术对业务的支撑要求数字化实验室平台应在技术上保障对业务变化的及时响应。宜采用中台技术，以支撑业务的可持续发展，并快速适应业务需求的变化和创新，具体的技术要求包括：a)应支持模块化开发和复用，每个模块可独立运行，也可以拆分组合，避免重复开发，提高成果复用效率；b)应支持微服务、微应用等技术，支持前后端分离，便于部署维护和弹性扩展；c)应支持容器化技术，以应用或服务为单位，独立运行在容器中，做到错误隔离，避免单点故障失效后导致系统整体的故障，提高系统的稳定性；d)应支持低代码开发和维护模式，支持可视化流程、表单、视图、存储建模，建模过程无需开发代码或仅需开发少量代码；e)应支持热部署和热维护，尽可能保障部署和维护过程无须停机，无须重启，不影响在线用户使8.3技术对数据的支撑要求数字化实验室平台应能够在技术上保障数据采集、存储、处理和分析利用的安全可靠性和有效性，具体技术要求包括：a)电子记录应能完整地采集和记录检测过程中产生的数据，并能够记录修改痕迹；电子化修改痕迹应包括记录修改人身份ID，修改时间及修改前后的值；对已经签发的检测数据和报告，除满足以上要求外，不允许直接修改，应通过报告修改流程记录修改的原因和过程，并记录完整的修改痕迹。b)宜采用物联网技术，对接仪器设备接口，完成自动化数据采集。c)文档类数据宜采用分布式文件存储技术，搭配数据库存储相关元数据，便于检索、展示及备份。d)数据库及文件存储硬件宜采用硬件冗余存储技术，防止单块硬盘故障导致全部或部分数据丢失现象的发生，有条件的实验室应建立实时或定时异地数据灾备机制。e)应提供完善的元数据记录和查询的功能，记录流程、表单、视图及存储模型的元数据，方便追溯，为数据治理和大数据分析提供元数据基础。f)数据记录过程应支持数据的完整性一致性和规范性校验，避免记录不符合规则的错误数据。g)宜采用自动化报告技术，支持根据事先设定的报告模板及其与试验数据之间的对应关系自动生成报告。为确保数据一致性，除布局样式调整外，不应修改报告中的关键内容。89数据控制和信息管理9.1总则记录可以根据用途，分为台账、日志、标识、流程、报告等不同类型。应当根据实验室活动的需求，采用一种或多种记录类型，保证全过程信息真实、准确、完整和可追溯。采用计算机（化）系统生成记录或数据的，应当采取相应的管理措施与技术手段，确保生成的信息真实、准确、完整和可追溯。数据的采集、处理、存储、生成、检索、报告等活动，应当满足相应数据类型的记录填写或数据录入的要求，保证数据真实、准确、完整和可追溯。从事记录与数据管理的人员应当接受必要的培训，掌握相应的管理要求与操作技能，遵守职业道德守则。应当规定记录文件的审核与批准职责，明确记录文件版本生效的管理要求，防止无效版本的使用。记录的任何更改都应当签注修改人姓名和修改日期，并保持原有信息清晰可辨。必要时应当说明更改的理由。记录的收集时间、归档方式、存放地点、保存期限与管理人员应当有明确规定，并采取适当的保存或备份措施。记录的保存期限应当符合相关规定要求。实验室应仔细管理数据和信息资产，确保其有足够的质量、安全性、完整性、保障性、可用性、可理解性并得到有效利用。数据质量管理的目标：a)适度改进数据质量，满足既定的业务预期。b)定义需求和规格说明，将数据质量控制整合至系统开发生命周期。c)为度量、监控和报告数据质量水平的一致性提供既定的操作程序。数据质量管理是一个持续的过程，为满足业务需求的数据质量标准制定规格参数，并且保障数据质量能够满足这些标准。数据质量管理包括数据质量分析、识别数据异常和定义业务需求及相关业务规则，还包括在必要的时候对已定义的数据质量规划进行合规性检查和监控的流程，以及数据解析、标准化、清洗和整合。最后，数据质量管理还包括问题跟踪，从而对已定义的数据质量服务水平协议的合规性进行监控。9.2数据和信息的分类数字化实验室应设立多维度信息分类标签，便于多维度应用数据信息。应设置为静态信息与动态信息；业务信息、运营信息；硬资源信息、软资源信息；原始信息、加工信息；客户所有权的信息、自主信息；外部信息、自产信息；沟通信息、项目信息；效率信息、效益信息等。系统运营信息，包含日志，修改的追踪信息等，作为特殊信息随系统运营而产生，不能被忽略。9.3数据和信息的产生，获取与认证根据实验室信息产生的方式，应有措施确保所有信息产生的有效、真实、可追溯。对于录入信息，录入人员通过授权确认身份，对信息负责。对于采集的信息，通过软件接口或各类通讯协议确保可追溯，并应通过第三方对系统的验证，确保采集的数据忠实于原始数据。9.4数据与信息传递实验室数据与信息传递应有专门的安全逻辑考虑，信息传递既包括历史数据的系统间迁移，也包括日常报告、证书、图谱、数据的交付。任何形式的信息迁移，应确保数据和信息不断链的忠实于原记录，9应确保原记录在数据传递成功后不少于6年的安全性，有更高要求的遵循更高要求。向实验室外提供的信息、文件、数据应有加密防伪设计并确保在与外部传递信息时不会有被篡改的风险。9.5数据和信息的封存，废弃及删除实验室数据和信息管理过程中应合理利用数据库空间，应合理对历史数据采用封存，废弃或删除等手段保证实验室信息管理系统的有效运行和用户体验。对数据和信息的封存，废弃或删除，建议按时间，按项目，按业务类别等由实验室自主选择，在必要时实验室应确保对封存的数据和信息进行恢复和查看。数据的封存周期应其获取时间起不少于6年或由明确要求的更长的时间。一般情况下，不建议进行数据和信息的废弃及删除，除非经过必要的评估和审批。9.6系统运作或其他数据和信息的管理要求任何对系统信息的操作，包括登陆、退出系统，创建、修改和删除电子记录的行为，系统应自动生成带时间标记的审计过程，此过程应是独立于用户的。应提供审计追踪功能，将生成、添加、删除或修改信息等生命周期详情安全地记录在电子记录中，不影响或覆盖原始的记录。审计追踪应能够重塑记录事件历史，不论其采用何种媒介，包括行动的四大要素，即“人员、事件、时间及原因”。9.7持续改进应定期评估数据控制和信息管理的工作质量，包括对数据采集、清洗、溯源、转换、挖掘、反馈等环节实施情况开展监督、审查和总结，对管理体系的适宜性、充分性和有效性进行全面评价，制订出相应的纠正措施及预防措施并加以实施，从而达到持续改进的目的。10数据安全利用信息技术开展数据收集、存储、传输、处理、使用等活动，应严格按规定组织实施数据安全的保护和监督管理，通过数据安全管理认证和应用程序的安全认证。有效的数据安全策略和规程应确保合适的人以正确的方式使用和更新数据，并限制所有不适当的访问和更新数据。实验室数据安全管理的最终目标是保护信息资产符合隐私及保密法规要求，并与业务要求相一致。上述目标可以分解为如下目标：a)为数据资产读取和变更提供适合的方法、组织部适合的方法。b)实现监管对隐私性和机密性的要求。c)确保实现所有利益相关者隐私性和机密性需求。10.1授权与身份认证通用的授权与身份认证采用的方式如下：a)采用用户名+密码方式进行身份认证；b)结合数字证书或硬件密钥方式认证；c)必要时应使用指纹或人脸识别的方式增强认证。设置密码规则，如设定密码长度不少于固定位数，密码内容必须包含数字、大小写字母和特殊字符应控制连续输入密码失败次数，输入失败超过限定值即锁定该账户，直至系统管理员手工解锁；应设定无操作保护时间，如连续时间段内没有任何操作时即锁定系统，需要重新登录才能继续操作；应控制密码修改周期，如超过周期没有修改密码给予提示，提示时段内仍没有修改密码即锁定该账户，直至系统管理员重置密码后才能解锁。10.2权限控制权限控制应严格区分受控资源和非受控资源，对于受控资源（包括功能和数据）应限制用户未经授权的访问。应提供灵活、便捷的授权方式，如可按部门授权、按岗位授权、按角色授权、按单个用户授权等。系统授权的颗粒度应足够小，如能控制到具体的操作、数据表、数据行、数据列。应自动保存完整的授权变更记录。应采用身份认证与场所结合的授权方式，对登录系统、查阅文件、修订信息做分级管理。如同一工作人员在不同场所权限不同。10.3数据加密对于实验室产生的报告，应采用电子签名技术确保系统数据的合法性和完整性。应采用安全协议如HTTPS使客户端与服务端实现内外网独立与会话加密。系统中的敏感数据（如用户密码）应加密保存。10.4数据备份应定义数据备份策略，如全部备份、增量备份、差异备份等，定期将系统中的数据备份到备份介质；应采用双机热备、异地备份、云端备份等备份方式。应定期进行备份恢复测试，确保系统出现故障（如数据误删除、病毒感染、自然灾害等）后能够及时恢复数据，保证系统运行。10.5公开数据访问开放客户委托、咨询、查询权限的系统，应通过设置内外网环境，设置数据防火墙，确保内网信息不因外网用户登录而增加外泄风险。外网客户端应采用企业实名认证+公司授权的方式，确保客户信息安全与权益保障。10.6等级保护实验室宜参照GB17859标准，结合本实验室对信息系统的安全需求，确定数字化实验室系统应达到的安全保护等级，并按照GB/T22239、GB/T22240和GB/T25058对数字化系统实施和评估安全保护等11数据分析实验室开展数据分析的目的，是提升行动和决策的规范性，提高抗风险的能力，具体应包括但不限a)价值链传递及业务效率提升；b)降低质量风险或预警；c)降低运营成本；d)分析追踪某一类样品，参数，特性的变化和趋势；e)分析追踪某一设备或其特性的变化和趋势；f)分析追踪行业数据。11.2分析指标体系分析指标应能够量化，并有明确的行动信号，以保障基层工作能够按照标准的工作方法来进行判断，或保障管理层能够按照标准的管理方法来进行决策。a)业务指标，如：检验工作量、成本核算、样品周转时间等；b)风险控制指标，如：合同评审风险、不合格率、客户满意度、报告修改率、质控警戒线等；c)资源指标，如：设备使用率、培训覆盖率、耗材预警线等；d)工作质量监控指标，如：报告超期率、一次审核通过率、报告审核及时率等；e)行业特性或行业预警信息，如：重大不合格风险，抽查与质量监测结果等。分析指标根据其特性，可分为实时监控指标、定时报送指标（报表）以及绩效指标等。每项分析指标在数字化系统中有结构化的数据来源，以便完成指标的监测、查询、统计和分析。必要时，宜采用批量数据处理系统，借助于深度学习、知识计算和可视化等大数据分析技术，通过对数据的批量处理挖掘其中的价值来支持决策和发现新的洞察。11.3分析指标的迭代管理者应就分析指标的量化和分析方式与员工开展沟通，并建立对数据分析的反馈机制。对无效和异常数据应进行跟踪，以便持续改进分析指标体系的效能。11.4分析指标的应用应基于统一的分析指标体系，建立多维度数据库，拓宽数据来源，通过不同的方式汇聚数据，增强分析力度，提高数据分析的准确性和时效性，实现高效管理、预测风险、智能决策的目标。12服务方要求12.1数字化咨询能力实验室应该选择专业的数字化服务团队，保障数字化转型目标的顺利实现。选择具有CNAS/CMA评审员资格的服务方，能够有效降低实施风险与沟通成本。服务方在理解评审体系的基础上，对实验室在数字化转型方面能够提出建设性意见。服务方能够有效面对实验室数字化转型方面的咨询，例如：a)数据采集时的验证问题；b)电子报告发布格式、加密问题；c)电子签名与授权管理验证问题；d)电子数据更改后修改痕迹保留问题；e)不同类型的实验室数字化系统投入使用前功能确认问题。12.2实施能力12.2.1业务理解和建模a)充分理解检验检测行业实际业务需求，适应委托变更，客户分级、复杂对账、批量处理、动态报表、使用效率等复杂场景；b)通过实际业务调研形成具有指导意义的需求文档；c)使用符合ISO/IEC19510:2013标准的BPM完成业务建模。12.2.2程序设计使用主流、高性能的程序开发语言和框架，完成程序设计。12.3运维能力运维能力指的是软件开发后续维护人员开展的针对软件产品、配套硬件运行活动的能力。实验室软件产品的运维根据产生的结果分为适应性维护、改正性维护。a)适应性维护指为了适应变化对软件工作环境的所做的适当变更，属于纠正处理。b)改正性维护指运行中发现了软件中的错误需要修正，属于纠正措施或改进。系统运维人员和系统管理员应基于风险思维，通过识别、分析、评估产品功能、辅助软硬件运行的风险，对发现问题（风险）进行处理，或提出纠正措施、改进，处理结果和纠正措施应经过确认，达成实现对系统产品、配套硬件软件的维护、管控或改进。服务方宜规定系统日常运行维护中，识别问题（风险）的途径：a)每天查阅志；b)跟踪评价人员能力及人员变化；c)监测配套软、硬件变化；d)监测日常操作、监督、内审等活动中发现的问题（风险）；e)监测客户投诉、外审等活动；f)跟踪管理政策、技术标准变化等。12.3.1备份维护要求运维人员应每天核查备份数据完整性及备份介质标识的正确性；运维人员应定期核查备份介质，确保数据的完整性、可用性；运维人员应每天监控备份介质、外围设备、通讯设备所处环境条件，避免极端的温湿度、灰尘、电磁干扰以及靠近高压线，除非设备是经特殊设计专门用于这些环境下；运维人员应定期核查有备份介质的保护设备的有效性，避免潜在的由于病毒或者其他间谍程序引起的数据损坏，确保电子数据的安全；运维人员应监控电源及不间断电源情况，断电前采取措施完成数据备份。12.3.2实验室软件产品维护要求运维程序机构应建立和保持系统运维程序，利用监控方法，识别问题和风险、不符合工作、纠正措施、改进等方法，明确维护工作为何、何时、何人、何地、何事、怎么做、怎么处理等要求，保障对检验检测活动电子化管理的功能。安全维护机构应定期对系统安全性进行审核，发现问题立即处理，必要时，提出改进建议给系统总管理员（或主管领导），采取纠正措施和改进。a)可信计算基安全性审核；b)监测身份鉴定安全性。软硬件更改当维护活动或系统恢复需要对硬件和（或）软件作出更改时，运维人员应准确识别出硬件及软件的更改，并对更改和整个系统进行重新验证确认，发现问题立即处理。自检风险运维人员根据每天查阅的系统自检及出现问题中断日志，分析、评估数据和信息录入前、产生后、存储后以及数据传输后的完整性问题，发现问题立即处理。模块风险运维人员应定期对各功能模块的有效性进行验证，发现问题立即处理。报警风险运维人员应监控主计算机控制台、硬件和软件的报警系统，并定期检查确保其正常运作，发现问题立即处理。计算风险运维人员应定期核查对录入数据所作的数值计算、逻辑函数、添加备注等过程及结果的完整性、准确性。转移风险运维人员应定期抽取一定数量的记录和报告进行的一致性核对数据的一致性，定期从系统中调出部分数据和信息核查在处理、存储、备份过程中是否出现错误，发现问题立即处理。一致风险运维人员应定期核查在不同系统中维护的表格的多个副本，以确保在使用过程中所有副本的一致性。0纠正措施运维活动中发现的任何问题均应立即纠正并记录。对问题应进一步明确产生原因，必要时，应报告系统管理员，对出现故障原因，采取纠正措施。（资料性附录）符合GB/T27025-2019要求的基础数据架构A.1总则实验室应将数据作为实验室关键活动要素，定义数据需求，明确数据采集要求，加强数据资源整合，开展数据架构顶层设计，挖掘数据资源价值。本附录仅表明了对应GB/T27025-2019的第6、7和8章提出的数据记录要求，实验室应根据自身的业务和管理特点，增加和调整数据要素，建立基础数据架构并运用于分析，以满足认可要求、提高工作效率和提升客户满意度。本附录的条款号与GB/T27025-2019对应，因此并不连续。A.6资源要求A.6.1人员覆盖与实验室活动相关的所有人员。基本信息：姓名、性别、籍贯、民族、员工ID、出生地、常住地址、身份证ID、出生日期、手机号、邮箱地址、集团短号、学历、学位、毕业院校、技术职称、党派、学习经历、工作经历等；岗位信息：参加工作日期、入职日期、部门、职务、职级、岗位、角色、岗位要求等；人员资质：人员类型（如管理、技术、监督、支持、在培人员、外聘或外部人员等）、授权（方法验证、方法确认、结果解释、检测、检验、审核、批准、特种设备、特定抽样、化学样品管理、标准物质管理）、授权检测标准、授权检验标准、授权审核标准、授权批准结果领域、其它授权等；培训：培训记录、培训项目、培训证书或培训报告、培训机构、培训效果评价等；监督：监督方式（口试、笔试、演示、现场见证、全程监控、样品考核、结果评估）、监督记录、监督项目、监督结论和评价等；考核：考核项目、考核/评价方式、考核/评价结论、考核/评价记录等；能力监控：能力监控方式（现场见证、面谈、调阅记录、审核/批准报告、盲样考核、实验室内比对、内部质量控制结果、实验室间比对/能力验证结果）；能力监控项目、能力监控记录等；工作信息：工作任务、工作量、按时完成率等。A.6.3设施与环境条件所有实验室设施和环境信息，适当时也包括永久控制之外的地点或设施中实施实验室活动的外部区域。环境：温度、湿度、气压、振动、光照强度、风速、风向、噪声、粉尘含量、电磁环境、电离辐射、微生物、供电能力、电源特性等；设施：面积、层内高度、空调系统、排风、供暖、烟雾报警器、毒气报警器、灭火器、消防喷淋装备、洗眼及紧急喷淋装置、急救箱、个人防护装备、预防污染、干扰和隔离的措施等；监控：防护、消防、报警演练和功能检查记录、定期评审控制设施的记录、对污水处理、废物处理等实验室污染处理设施监控记录。A.6.4设备实验室的设备，包括但不限于：测量仪器、软件、测量标准、标准物质、参考数据、试剂、消耗品或辅助装置。a)测量仪器（包括辅助设备）基本信息：设备唯一编号、设备名称、型号规格、出厂编号、生产厂商、制造日期、电源模式、额定电压、软件版本、数据接口方式、设备量程、设备精度、设备等级、固定资产原值、固定资产编号、应用领域、设备管理级别、计算机化系统管理级别、作业指导书文件编号、设备管理部门、设备负责人员ID、授权使用人员ID、设备放置地点、运行环境要求等。状态信息：首次计量日期、首次验收日期及验收记录、设备启用日设备在用时段、当前计量日期、计量溯源方式（现场、外送）、计量单位、计量周期、下次计量日期及计划、核查周期、下次核查日期及计划、定期维护周期、下次维护日期及计划、设备变更情况、上次损坏日期及维修、设备报废日期等。校准信息：设备唯一编号、检定/校准结果描述、本次校准日期、适用性结论、计量结果确认、计量结果确认结论、计量确认人员ID、计量确认日期、下次计量日期、校准计划等。核查信息：核查地点、环境条件、核查方法、使用标准物质或参考标准名称、核查计划、核查记录、核查结论、核查人ID、核查日期、批准人ID、批准日期等。设备采购：采购设备名称、采购设备型号、采购设备量程、采购设备精度、采购事由、资金来源、采购申请人、采购申请日期、批准人、批准日期等。设备验收：设备编号、设备名称、型号规格、出厂编号、生产厂商、设备量程、测量精度、设备用途、购置日期、计量溯源、计量方案、首次计量周期、验收项目、验收结果、验收人、验收日期、批准人、批准日期等。设备维护：设备编号、维护方法、维护记录、维护人、维护日期等。设备维修：设备编号、损坏或故障情况、填表人、填表日期、批准人、批准意见、批准日期、维修记事、记录人、记录日期、验收记录、验收人、验收日期等。设备变更：变更前设备编号、变更后设备编号、变更原因、变更内容、变更申请人、变更申请日期、批准人、批准日期等。设备报废：设备编号、报废原因、报废申请人、报废申请日期、批准人、批准日期、报废设备处置等。b)标准物质标准物质：标准物质编号、名称、型号（规格）、批号、生产商名称、验收日期、验收证书信息、标准物质标签信息、合格供应商编号、管控物质（有毒有害，易制毒，易燃易爆）、有效期至、核查周期、下次核查日期及计划、过有效期标准物质处理记录、存储环境要求、定值日期/生产日期、标准值、不确定度、包装量、毛重、存放地点、用途、发放人ID、回库日期、消耗量、回库量、归还人ID、回收人ID等。标准物质核查：核查地点、环境条件、核查方法、使用标准物质或参考标准名称、核查计划、核查记录、核查结论、核查人ID、核查日期、批准人ID、批准日期等。c)内部标准物质（标准溶液）内部标准物质（标准溶液）编号、名称、制备日期、有效期至、制备人ID、制备、标定、验收记录、过有效期标准溶液处理记录等。d)试剂试剂编号、名称、型号、批号、生产商名称、存储条件、试剂形态、库存、管控物质（有毒有害，易制毒，易燃易爆）、领用人ID、领用数量、领用时间、保管人ID、供应商、有效期至、验收日期、验收证书信息、试剂标签信息、过有效期试剂处理记录等。e)实验室配制试剂制备试剂编号、名称、成分、浓度、溶剂、配制人员ID、制备日期、有效期至、过有效期试剂处理记录等。f)消耗品（不含试剂）耗材编号、名称、型号、批号、生产商名称、存储条件、库存、领用人、领用数量、领用时间、保管人、供应商、有效期至、过有效期消耗品处理记录等。A.6.5计量溯源性实验室建立并保持测量结果的计量溯源性，并与适当的参考对象相关联。参考对象信息：溯源至SI标准的有证标准物质的量值、溯源至有证标准物质的量值、其它溯源方式的量值、各种量值的溯源链清单、提供校准的校准实验室清单等。A.6.6外部提供的产品和服务包括所有影响实验室活动的外部提供的产品和服务。外部供应商信息：供应商编号、供应商状态、供应商名称、地址、电话、联系人、上次评价时间、评价周期、评价结果及措施、评价人员、评价准则、供应商资质、验收准则等。合格供应商名录。外部产品信息（不含A.6.4测量仪器、辅助设备、消耗材料和标准物质等已有信息）：名称、型号、供应商名称、产品生产商名称、产品要求、验收准则等。检测分包：分包项目清单、分包机构名称、分包机构资质、分包要求、分包记录等。其它外部服务（包括抽样、设施和设备维护、能力验证、评审和审核）：服务类别、服务项目、供应商名称、服务要求等。A.7过程要求A.7.1要求、标书和合同评审客户信息：客户账号、注册日期、单位全称（中）、单位全称（英）、单位地址、单位地址（英）、联系人姓名、联系电话、官方网址、Email、客户等级、实名认证状态、实名认证时间、统一社会信用代码、证照编号、注册类型、注册资本、法人代表、人员规模、所在区域、注册地址、注册地址（英）、成立日期、营业期限至、协议客户状态、协议信息等。客户一览表。委托信息：委托单号、委托日期、申请人（客户账号）、申请单位、检测或检验要求、采用的技术标准或技术规范、常规或加急、样品名称、生产单位、送样要求、送样编号、样品编号、委托单总费用、委托费项目清单、主检业务部门、受理人员ID、受理日期等。合同评审：业务合同编号、合同评审的类型（常规、新、复杂）、评审记录、评审时间、评审人员ID、与本合同相关的委托单号、客户要求或结果的讨论记录等。A.7.2方法的选择、验证和确认实验室应使用适当的方法和程序开展所有实验室活动。检测方法的验证信息：已验证的检测方法对应的检测项目编号、验证记录、验证人员ID、验证时间、项目开发人员ID、项目计划批准人员ID、检测项目作业指导书或方法使用细则等。检测方法的确认信息：已确认的检测方法对应的检测项目编号、使用的确认程序的名称和文件号、规定的要求、确认的方法性能特性、获得的结果、方法有效性声明和与预期用途适宜性说明、确认人员ID、批准人ID、确认时间等。标准的查新、跟踪、下载信息和阅览信息：标准号、标准名称、版本号、发布日期、实施日期、标准起草单位、主要起草人、起草人联系方式、标准修订跟踪部门、标准修订跟踪人ID、本次查新日期、查新人员ID、下次查新日期、下次查新人员ID、标准查新计划、查新记录、下载权限、阅览权限等。实验室具备的方法标准能力信息：标准号、版本、发布日期、实施日期、作废日期、标准名称、认可情况、其它资质、有资质的检测人员ID、有资质的检验人员ID、有资质的批准人员ID等。实验室具备的检测项目能力信息：检测项目名称、标准号、标准名称、认可情况、其它资质、有资质的检测人员ID、有资质的检验人员ID、有资质的批准人员ID、检测项目作业指导书或方法使用细则等。A.7.3抽样当实验室为后续检测对物质、材料或产品实施抽样时。抽样信息：抽样任务编号、被抽样的委托单号、与本抽样任务关联的其它抽样任务编号、抽样日期、抽样数量、样品编号、样品名称、抽样人员ID、抽样设备编号、抽样方法、抽样计划、抽样地点/位置描述、与抽样方法/计划偏离、偏离情况描述、环境或运输条件等。二次抽样信息（从客户提供的样品中取出部分样品）：样品编号、委托单号、样品名称、型号/规格、样品总数量、二次抽样编号、二次抽样人员ID、二次抽样日期、二次抽样数量、二次抽样地点ID、二次抽样环境条件、二次抽样设备编号、二次抽样方法、二次抽样计划、与抽样方法/计划偏离、偏离情况描述等。A.7.4检测或校准物品的处置实验室在运输、接收、处置、保护、存储、保留、清理或返还检测或校准物品时。样品信息：样品编号、委托单号、样品名称、型号/规格、样品总数量、收样时间、样品与规定条件偏离、样品清单、当前样品流转位置和记录、样品存储环境条件、样品存储环境条件记录、样品与规定条件的偏离记录、样品留样记录、检毕或过有效期的样品的处理记录、申请人、申请单位、申请人对检毕样品的处置要求记录等。A.7.5技术记录每一项实验室活动的技术记录应有足够的信息。记录编号、委托单编号样品编号、样品描述、记录日期、外部地点或检测地点名称、记录/操作人员ID、设备编号（包括辅助设备、标准物质、试剂、耗材等）、环境参数、原始记录表单文件编号、原始观察记录、数据或结果、记录修改、记录修改人员ID、记录修改日期、校核人员ID、校核日期、检测标准和条款或方法等。A.7.6测量不确定评定开展检测的实验室应评定测量不确定度，开展校准的实验室应评定所有校准的测量不确定度。量值名称、标准项目编号、标准号、标准名称、版本、测量不确定度评定实例、识别的对测量不确定度关键影响因素等。A.7.7确保结果有效性内部质控信息：已开展的监控结果有效性的方式和手段、监控结果分析、根据监控结果分析实施的改进、监控结果超过预定的准则采取的纠正措施、实验室监控结果有效性计划等。外部质控信息：已参加的能力验证项目、能力验证结果分析、能力验证结果偏离、纠正措施、实验室能力验证计划、已参加的实验室间比对项目、实验室间比对结果分析、实验室的实验室间比对计划、测量审核、根据监控数据实施的改进等。A.7.8报告结果实验室出具的结果应准确、清晰、明确和客观，并包含客户要求的、解释结果的、所用方法的全部信息。检测报告信息：报告编号、报告标题、报告名称、样品名称、样品类别、样品商标、委托单号、送样/抽样时间、检测时间、报告审核时间、报告签发时间、报告发布时间、测试方法或标准、方法或标准偏离、受理时间、主检业务部门、主检人员ID及时间、主审人员ID及时间、批准人员ID及时间、实验室名称、实验室地址、客户账号（申请人）、客户地址、客户邮件、客户电话、制造商、制造商地址、生产厂、生产厂地址、报告结果、报告意见和解释、修改报告原因和修改信息、修改报告时间、新发布替代报告编号、是否简化报告、免责信息、客户提供的信息、分包、仅对收到的样品负责声明、符合性声明、不确定度等。抽样报告增加信息：抽样日期、样品编号、抽样位置描述、抽样计划、抽样方法文件号、抽样过程的环境条件、抽样活动影响检测结果测量不确定度的信息等。A.7.9投诉实验室应接收和评价投诉，并对投诉作出决定。投诉信息：投诉编号、投诉人、投诉人单位、投诉时间、投诉事项、投诉人联系电话、投诉人电子邮件、记录人员ID、办理部门、办理人员ID、投诉处理批准人员ID、办理结果及时间、为解决投诉所采取的措施、回复投诉人时间、回复记录等。A.7.10不符合工作实验室活动或结果不符合自身的程序或客户的要求时，应有相应的措施。不符合工作信息：不符合项编号、不符合项签发人、不符合项签发时间、发现不符合项的组织/部门、不符合项描述、不符合项严重程度、不符合项责任部门、纠正或纠正措施、纠正措施编号、纠正措施实施时间、整改验证时间、不符合工作原因和分析等。观察项信息：观察项编号、观察项签发人、观察项签发时间、发现观察项的组织/部门、观察项描述、观察项责任部门、采取纠正或纠正措施与否、纠正或纠正措施、纠正措施编号纠正措施实施时间、整改验证时间、原因和分析等。A.8管理体系要求A.8.3管理体系文件的控制实验室应控制有关内部文件和外部文件。内部文件（手册、程序、指导书、表单格式）：文件编号、文件名称、发布日期、版本编号、修订日期、文件类别、文件使用范围、文件发放记录、编写人员ID、审核人员ID、批准人员ID、文件有效性外来文件：文件编号、文件名称、发布日期、生效日期、发布机构、文件类别、文件使用范围、文件发放记录、文件有效性等。作废文件：作废文件编号、文件名称、发布日期、生效日期、作废日期、文件类别等。文件定期评审等。A.8.4记录控制实验室应建立和保存清晰的记录。记录（档案）控制：档案编号、档案类别、档案名称、档案关键词、档案类型（纸质、电子、其档案内容目录或清单、档案管理员ID、移交档案的部门、移交档案人员ID、移交时间、接受档案人员ID、接受档案时间、建档部门、建档人员ID、建档时间、保存年限、档案保密等级、档案保存位置、档案保存环境（湿度、温度等）、档案保存设施情况、纸质档案电子化情况、纸质档案电子化时间、纸质档案电子化人员ID、档案操作备份间隔时间、最近一次档案操作备份时间、调阅类型（调阅、借阅）、可批准调阅人员ID、具备调阅权限人员ID、记录调阅人员ID、调阅时间和时长清单、可批准借阅人员ID、具备借阅权限人员ID、记录借阅人员ID、借阅时间、归还时间清单、下载人员ID、下载时间、打印人员ID、打印份数、打印时间、档案销毁时间、批准销毁人员ID、承办销毁档案人员ID、承办转入历史电子档案库人员ID、承办转入历史电子档案库时间等。A.8.5应对风险和机遇的措施实验室应对实验室活动相关的风险和机遇实施措施和开展评价。风险信息：风险编号、发现风险人员ID、发现风险的时间、发现风险的部门、风险描述、风险严重程度（低、中、高）、应对措施、应对措施记录等。机遇信息：机遇编号、发现机遇人员ID、发现机遇的时间、发现机遇的部门、机遇描述、对机遇的分析、采取的改进等。A.8.6改进实验室应通过评审操作程序、实施方针、总体目标、审核结果、纠正措施、管理评审、人员建议、风险评估、数据分析和能力验证结果，识别和选择改进机遇并采取措施。改进信息：改进编号、识别出改进机遇的实验室活动项目、分析改进机遇、采取的改进措施、对改进措施的评价等。客户调查信息：客户调查编号、调查计划名称、调查结果分值、调查项目分析、采取的改进措施、调查结果等级等。A.8.7纠正措施纠正措施编号、实施时间、责任部门、纠正措施的结果、对应不符合工作项目编号、对纠正措施的评价等。A.8.8内部审核实验室应按照策划的时间间隔进行内部审核。内部审核：内审编号、内审方案、内审负责人ID、内审组人员ID、内审覆盖部门清单、内审覆盖管理体系条款号清单、内审结果报告、不符合项报告、改进建议报告、提交最高管理者时间、不符合项清单、改进建议清单、纠正措施清单、首次会议参加人员ID、首次会议时间、末次会议参加人员、末次会议时间、内审结果和纠正措施趋势分析报告、提交管理评审时间等。内审方案：内审编号、内审计划、内审范围（部门、条款号、区域）、日程安排（各部门内审时间表）、内审组人员分组和对各部门开展内审的分工、内审准则、参考文件、检查表表单、不符合项记录表单、纠正措施记录表单、部门、内审人员与条款号的关系矩阵表等。部门内审（对实验室内设各部门的内审）：内审编号、部门内审编号、部门内审范围（条款号或条款内容）、部门内审时间、部门内审员ID、部门内审检查表及记录、部门内部审核发现记录、部门审核结论等。要素审核（按照标准条款要素的要求内审内审