DB43T-科技伦理审查与监管平台建设指南

Q/LB.□XXXXX-XXXXDB43/TXXXX—XXXX目次TOC\o"1-1"\h\t"标准文件_一级条标题,2,标准文件_二级条标题,3,标准文件_附录一级条标题,2,标准文件_附录二级条标题,3,"前言 IV1范围 12规范性引用文件 13术语和定义 14缩略语 25总则 25.1建设目标 25.2建设原则 35.2.1总体设计原则 35.2.2技术设计原则 36系统架构 36.1功能架构 36.2技术架构 37系统功能 47.1基础功能 47.1.1系统管理 47.1.2权限管理 47.1.3用户管理 47.1.4监控管理 47.1.5管理体系 47.1.6数据溯源 57.2主要功能 57.2.1门户管理 57.2.2在线审查 57.2.3远程视频会议 57.2.4电子签名 57.2.5在线培训 57.2.6风险预警管理 57.2.7组织备案管理 57.2.8项目备案管理 67.2.9文件管理 67.3扩展功能 67.3.1项目交接 67.3.2智慧消息 67.3.3年度报告 67.3.4统计分析 67.3.5监控大屏 67.3.6多终端应用 68技术要求 68.1系统安全 78.1.1安全体系建设目标 78.1.2安全要求 78.1.3安全管理 78.1.4安全技术 78.2安全审计 78.3网络防护 78.4性能要求 88.4.1可靠性 88.4.2可扩展性 88.4.3易用性 88.4.4合规性 88.4.5数据分析能力 88.4.6隐私保护 88.4.7透明度和可解释性 88.4.8公平性和无偏见 98.4.9持续更新 98.4.10文档和培训 98.5系统接口 99实施要求 99.1实施组织结构 99.2实施路径 99.3实施质量管理 99.3.1实施质量管理理论 99.3.2实施质量管理方法 99.4实施风险管理 99.4.1风险识别 99.4.2风险分析 109.4.3风险量化分析 109.4.4风险管理 109.4.5风险防范 109.5培训服务 109.5.1目的 109.5.2主要对象 109.5.3培训计划 109.5.4培训方式 1110运维要求 1110.1运维目的 1110.2运维内容 1110.3运维要求 11附录A（资料性）科技伦理审查与监管平台建设指南附图 12附录B（资料性）科技伦理审查与监管平台建设指南附表 16参考文献 19前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由湖南省科技厅提出并归口。本文件起草单位：长沙通诺信息科技有限责任公司、长沙都正生物科技股份有限公司、湖南省科学技术信息研究所、湖南师范大学、湖南普瑞玛药物研究中心有限公司、湖南南华生物技术有限公司、湖南自兴智慧医疗科技有限公司、中南大学湘雅医院、湖南数据交易所有限公司、湖南省人民医院、株洲市中心医院、常德市第二人民医院、娄底市中心医院、湘潭市中心医院、湖南中医药大学附属第一医院、南华大学附属第二医院、湘潭市第一人民医院、南华大学附属第二医院、永州市中心医院、湖南省中医药研究院附属医院、湖南中医药大学第二附属医院。本文件主要起草人：欧阳冬生、李晓晖、万龙、陈舟、张翠香、谢秀芬、刘婧莹、龙巍、王辉、刘召栋、毛新志、姜德建、张宗利、黄招琴、肖佩君、方建忠、滕书华、陈程、胡景谱、李璟、刘珂、胡鑫、李斯薇、吴红、喻珮、李荣、陈应辉、王哲、伍瑜雯、戎宽、向黎黎、彭伟雄、颜峰、郎玲、李晋、陈贝。科技伦理审查与监管平台建设指南范围本文件规定了科技伦理审查与监管平台建设指南的总则、系统架构、系统功能、技术要求、实施要求、运维要求。本文件适用于指导湖南省境内科技伦理审查与监管平台的设计、研发、建设、应用及运维。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20269—2006信息安全技术信息系统安全管理要求GB/T20270—2006信息安全技术网络基础安全技术要求GB/T20271—2006信息安全技术信息系统通用安全技术要求GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25070—2019信息安全技术网络安全等级保护安全设计技术要求GB/T35273—2020信息安全技术个人信息安全规范术语和定义下列术语和定义适用于本文件。

科技伦理scienceandtechnologyethics指在科学研究和技术开发等科技活动中，科技工作者及其共同体需要遵循的价值理念和行为规范。

科技伦理审查与监管平台electronicreviewsystemforethicsinscienceandtechnology指用于处理科技伦理审查的信息系统，服务于申请人、科技人员、科技伦理（审查）委员会和监管部门，覆盖伦理审查的整个流程。

科技伦理（审查）委员会scienceandtechnologyethicsreviewcommittee负责科技伦理审查的委员会。伦理审查的委员会由具备相关科学技术背景的同行专家，伦理、法律等相应专业背景的专家组成，并应当有不同性别和非本单位的委员，民族自治地方应有熟悉当地情况的委员，对研究内容涉及科技伦理敏感领域的科技活动开展科技伦理审查。

审查主体subjectofthereview指从事生命科学、医学、人工智能，研究内容涉及科技伦理敏感领域的科技活动单位，主要为高等学校、科研机构、医疗卫生机构、企业。

电子签名digitalsignature指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

标准操作规程standardoperationprocedure为保证某项特定操作的一致性而制定的详细的书面要求。

申请人applicant负责实施科技活动、递交项目审查资料、跟进审查进度，并在审查会议中进行项目情况汇报的人员。

研究参与者studyparticipants指作为科技活动测试、调查、观察等研究活动的对象，包括人体研究的参与者，以及提供个人生物样本、信息数据、健康记录、行为等用于涉及生命科学、医学、人工智能研究的个人或人群。

跟踪审查频率trackingreviewfrequency由伦理委员会依据科技活动类型设定跟踪审查间隔要求一般不超过6个月或者12个月。已审查批准的科技活动需按要求递交年度/定期跟踪审查。

独立顾问independentconsultant由伦理委员会聘请或委任，在授权范围内向伦理委员会提供专业建议的伦理、法律、特定疾病或方法学等相关领域的专家，或特定群体的代表。

科技人员scienceandtechnologypersonnel参与科技活动的人员，资质须符合相关要求。缩略语下列缩略语适用于本文件。HTTP：超文本传输协议（HypertextTransferProtocol）XML：可扩展标记语言(ExtensibleMarkupLanguage)JSON：JavaScript对象表示法（JavaScriptObjectNotation）AES：高级加密标准（AdvancedEncryptionStandard）MFA：多因素认证（Multi-factorauthentication）AI：人工智能（ArtificialIntelligence）总则建设目标基于我国现存科技伦理相关法律法规要求，构建科技伦理审查与监管平台，全面管理伦理审查流程。平台将实现在线资料提交与审查，自动生成伦理审查决定性文件，并自动归档所有审查文件。通过规范审查流程，确保高效、高质量地完成伦理审查，推动伦理审查的公开化和透明化，为科技事业的健康发展以及研究参与者权益的保障提供有力支持。建设原则总体设计原则在进行科技伦理审查与监管平台设计时宜坚持面向体系、面向数据、面向用户，在标准规范和安全的前提下，宜实现统一界面展现、统一数据标准、统一应用交互、统一安全管理、统一运维管理。总体设计原则如下：——安全性原则：系统建设宜保证合法用户能访问其所需的信息，应禁止非法用户的访问，充分考虑系统的安全性，保证系统的运行安全、数据安全等；——合规性原则：系统设计与开发应保证符合伦理相关的国家法律法规要求；——标准化原则：系统设计时应考虑数据标准化，实现数据在各审查主体的系统间无缝对接；——可扩展性原则：应充分考虑系统的扩展性，实现系统能在横向上与其它业务系统很好地进行业务整合，在纵向上方便地进行更新和升级；——开放性原则及先进性原则：系统开发应采用符合计算机软件技术发展趋势的主流技术，形成良好的开放式体系结构；——自主性原则：系统设计与部署宜优先考虑适配国产化软硬件环境，保证系统建设的自主可控；——友好性原则：采用交互式人机会话操作，显示画面清晰明了，操作简便。系统对用户的操作顺序、输入的数据应进行正确性检查；——伦理性原则：系统功能与流程设计应遵循伦理相关法规与原则。技术设计原则技术设计原则如下：——采用先进、成熟、实用的软硬件设备和技术；——服务器、存储设备、备份设备、操作系统、数据库管理系统、中间件等软硬件产品宜采用统一的技术规格要求；——系统建设应考虑网络安全、系统安全、数据安全；——统一信息资源格式、编码和分类。系统架构功能架构科技伦理审查与监管平台功能架构图见附录A图A.1，包括但不仅限于以下功能：基础功能：为实现伦理审查业务提供基础性支撑功能；主要功能：实现伦理审查主体流程所需的功能；扩展功能：为使伦理审查有更好体验性的功能。技术架构科技伦理审查与监管平台技术架构图见附录A图A.2，但不仅限于以下内容：支持体系：包括标准与规范体系、信息安全保障体系；基础支撑：包括服务器、网络、操作系统、中间件以及信息化应用技术与数据技术；业务支撑：包括通用的基础功能，包括但不限于认证管理、权限管理、文档管理、消息管理；业务应用：实现伦理审查主要业务流程，包括：组织管理、权限管理、备案管理、制度建设、项目审查、智慧监管、智能预警、数据监控，以及与第三方平台的对接；访问层：使用系统的不同方式，包括但不限于：桌面计算机、移动终端、大屏终端；使用对象：包括但不限于：科技活动开展单位、科技伦理审查委员会、主管单位、监管单位等。等。系统功能基础功能系统管理系统管理包括但不仅限于以下功能：项目数据应实现相互隔离，申请人仅可查看本人提交的项目；可管理委员会基本信息，支持信息在生成伦理审查决定性文件时自动填充；文档支持设置水印；支持设置密码安全策略。权限管理权限管理包括但不仅限于以下功能：按角色管理权限，不同的角色可拥有不同的权限；可由用户定义角色，给角色赋予权限。用户管理用户信息管理包括但不仅限于以下功能：支持科技伦理（审查）委员会在线管理账号；管理人员的个人信息；支持分开管理委员、顾问、普通用户，并支持用户的禁用、启用操作；支持进行委员会届次调整。监控管理监控管理宜包括但不仅限于以下功能：可监督管辖范围内组织信息；可监督管辖范围内项目信息；可快速获知管辖范围内风险项目。管理体系提供灵活的配置化功能，适应委员会的管理，包括但不仅限于以下功能：送审文件清单管理：可根据各种项目类型、审查类别，分别设置不同的送审文件清单要求；审查决定性文件文档模板管理：管理委员会的各类审查结论文档；审查标准管理：支持设置审查工作表和咨询工作表；其他：支持根据《药物科技活动质量管理规范》、《涉及人的临床研究伦理审查委员会建设指南》、《科技伦理审查办法（试行）》设置合规性参数。数据溯源支持多维度的数据溯源，可从项目、会议、组织、登录等多个角度查看操作轨迹，实现数据全面溯源。主要功能门户管理支持在线设置科技伦理（审查）委员会对外展示门户。展示的栏目与信息宜包括：制度法规在线阅览、科技伦理（审查）委员会办事指南、通知公告以及表单、模板下载中心等。在线审查实现申请、受理、处理、审查、文件整理、决定传达、文件存档的全流程在线审查管理，功能流程见附录A图A.3。远程视频会议远程视频会议宜包括以下功能：提供远程视频会议，支持多种终端方式参与远程视频会议，视频会议中支持远程演示文件；无缝集成远程视频会议，支持根据伦理审查会议议程控制申请人轮流进入，进行科技活动项目的介绍，并回答伦理委员的问题；视频会议提供全程录制，并可进行回放；系统全程记录在线人员情况，包括登录时间、登录次数等；支持同时创建多个会议。电子签名应符合GB/T38540—2020的要求，具有合法的认证资格，支持在多终端进行电子签名。在线培训培训考试宜包括以下功能：提供在线培训，支持多种课件形式；支持完成课程培训后自动生成培训记录，并同步至个人简历；提供单选、多选、判断题多种考题类型；支持随机组卷、自动生成试卷，考试结束后系统自动判卷。风险预警管理风险预警管理宜包括但不仅限于以下功能：可设置风险预警指标；当出现风险预警指标类项目时，可及时向相关单位发出预警提醒；支持管理风险事件；可生成风险预警数据大屏；组织备案管理组织备案管理宜包括但不仅限于以下功能：支持科技伦理（审查）委员会组织在线向主管单位提交组织备案流程；支持主管单位在线管理组织备案流程、信息、数据。项目备案管理项目备案管理宜包括但不仅限于以下功能：支持科技单位在线向主管单位提交项目备案流程；支持主管单位在线管理项目备案流程、信息、数据。文件管理文件管理宜包括以下功能：支持管理伦理审查委员会体系建设相关文件，可在线完成审阅、审批操作；支持管理伦理审查项目文件、会议文件，可在线开展文件借阅、借阅审核操作；支持文件在线更新、下载。扩展功能项目交接支持申请人在线进行项目交接，交接成功后完成项目所属权与操作权的转移。智慧消息智慧消息宜包含以下功能：支持主动推送待办工作，各个审查关键节点以短信消息等方式通知责任人；根据项目跟踪审查频率自动推送提醒信息。年度报告年度报告宜包含以下功能：自动获取组织各年度数据形成年度报告表；数据维度包括但不限于委员会人员名单、年度审查情况、年度培训情况等。统计分析提供多角度、多维度统计分析功能：按伦理秘书、委员、独立顾问角色提供统计功能；从项目类型、审查类别、审查方式、审查时限、会议时长以及委员履职情况等多角度进行单独或综合统计；支持自定义统计条件，实现表格、饼图、柱图、折线图等多种形式展现统计结果；监控大屏可定义组织数据监控大屏配置，生成数据可视化大屏，辅助高效的数据解读和实时监控。多终端应用支持多种终端使用方式，系统可随时随地使用。技术要求系统安全安全体系建设目标科技伦理审查与监管平台安全体系建设目标包括：系统应遵循网络安全等级保护第三级及以上的安全管理要求，完成相应的安全管理制度建设；系统应遵循网络安全等级保护第三级及以上安全技术建设要求；科技伦理审查与监管平台宜通过公安部门信息安全“等保三级”备案。安全要求科技伦理审查与监管平台安全要求包括：数据加密：采用先进的数据加密技术，如AES256位加密，来保护敏感信息。访问控制：实现严格的身份验证机制，包括MFA，并根据用户角色分配权限。审计追踪：记录所有用户的操作日志，以便于审计和责任追溯。对抗攻击防御：具备抵御对抗样本和其他恶意攻击的能力。安全更新：快速响应安全漏洞，及时发布补丁。另可见GB/T35273—2020。安全管理安全管理应符合GB/T20269—2006的要求。安全技术安全技术应符合GB/T20271—2006与GB/T20270—2006的要求。安全审计科技伦理审查与监管平台的安全审计应符合以下要求：应对系统中的用户操作、节目的摘要数据、网络设备运行状况、网络安全事件等进行日志记录；日志记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据日志记录数据进行分析，并生成审计报表；系统运维操作应通过运维主机进行录像审计；日志记录数据应至少保存至研究结束后5年。网络防护系统网络安全应符合以下要求：强密码和身份验证；防病毒软件和防火墙；网络监控和入侵检测；安全审查和漏洞扫描；网络隔离和分段；定期备份数据；制定响应和恢复计划；定期更新操作系统和软件；安全的WIFI链接；系统应具备监测网络攻击并自动阻断，同时触发告警的功能。另见GB/T22239—2019、GB/T22240—2020和GB/T25070—2019。性能要求可靠性高可用性：通过冗余设计、负载均衡等手段保证系统高可用性，减少服务中断时间。故障恢复：具备快速故障恢复能力，确保在发生硬件或软件故障时可以迅速恢复正常运行。可扩展性弹性伸缩：支持自动或手动的资源扩展，以应对不同规模的用户访问和数据处理需求。微服务架构：采用微服务架构便于独立部署和升级各功能模块。易用性用户界面：提供直观易用的图形用户界面，简化操作流程。自助服务：允许用户自助提交申请、查询进度等，减少人工干预。响应速度：确保良好的响应时间和页面加载速度，提升用户体验。合规性法规遵从：符合相关法律法规要求。标准化接口：遵循开放标准和协议，方便与其他系统集成。数据最小化：仅收集完成任务所必需的数据，并在处理后及时删除。差分隐私：采用差分隐私技术，保护个体数据在数据分析过程中不被泄露。匿名化处理：对个人数据进行匿名化处理，防止身份识别。合规审查：定期进行合规性审查，确保系统持续符合最新法规要求。数据分析能力大数据处理：能够处理大量数据，并进行有效的分析和挖掘。报告生成：自动生成各类统计报表和报告，支持定制化报告。隐私保护隐私设计：遵循隐私设计原则，最小化个人数据收集，匿名化处理敏感信息。隐私评估：对涉及个人数据的项目实施严格的隐私影响评估。透明度和可解释性公开透明：对外公开审查流程和结果，增强公众信任。信息公开：提供足够的信息给利益相关者，让他们了解审查过程。模型解释能力：关于AI方面的，要提供工具或方法来解析AI决策过程，使非技术人员也能理解。透明度报告：关于AI方面的，要生成关于AI系统设计、训练数据来源及使用情况的透明度报告。公开文档：关于AI方面的，提供详细的系统架构和技术文档，便于外部审查。公平性和无偏见偏差检测：集成偏差检测工具，识别并纠正训练数据集中的潜在偏见。公平性评估：定期进行公平性测试，确保AI系统不会对特定群体产生不利影响。多样性保证：确保训练数据集具有代表性，覆盖不同的人群特征。 持续更新更新机制：定期更新系统，修补安全漏洞，保持软件版本最新。适应变化：随着法规和技术的发展不断调整和完善平台功能。文档和培训文档齐全：提供详细的使用手册和技术文档。培训支持：为用户提供必要的培训和支持，帮助他们更好地使用平台。系统接口支持与临床研究业务系统进行数据交互，以实现数据共享，提高伦理审查效率。接口设计应支持轻量级、跨平台、跨语言，宜基于HTTP、XML、JSON等标准和协议。实施要求实施组织结构一套健全有效的组织和领导机构是确保系统建设顺利进行的重要条件。在系统实施初期，应组建适合本项目实施和管理的组织、领导机构。该组织应职责明确、符合实际需求、人员精炼，并由业务团队和技术团队共同组成，具体包括领导决策组、管理组、设计组、技术开发组、质量保证组、支持培训组和服务运维组。实施路径实施质量管理实施质量管理理论按照项目生命周期管理理论，从质量计划编制、质量保证及质量控制等方面对项目质量进行管理。质量管理工作流程见图A.4。实施质量管理方法三条线：文档管理、源代码控制、提交物版本控制。八个点：需求、总体设计、技术设计、开发、编译、测试、安装部署。实施风险管理风险识别信息化系统建设风险管理首先宜对风险进行识别。信息化系统建设风险分为五大类，并且可细化为若干因素。风险分类见图A.5。风险分析作为面对项目风险的有效手段，全面风险管理强调风险的事先分析与评价，将风险因素逐一列出以作为全面风险管理的对象。罗列风险因素宜从多角度、多方位进行，形成全方位的透视。风险因素见表B.1。风险量化分析对每项风险发生的概率和产生的影响进行量化。对于每项风险要划分优先级，宜按照概率和影响的等级，并清楚的标明低、中、高的优先级。风险概率风险概率见表B.2；风险影响风险影响见表B.3；风险优先级通过识别风险发生的概率以及产生的影响，确定每项风险的优先级。一旦分配了概率和影响，优先级的评分将按照以下的方式计算出：优先级等于概率和影响的平均值。优先级＝(概率＋影响)/2。优先级的等级是基于计算得出的优先级得分。风险优先级见表B.4。风险管理系统建设必须引入风险管理，依据系统建设的生命管理周期，项目风险管理包括风险管理计划、风险识别、定性/定量分析风险、风险应对规划四个方面。风险防范根据系统建设与业务方特点，从信息化建设现状、系统整体规划以及系统建设要求等角度来总结分析风险，并提出相应的风险防范措施。培训服务目的使接受培训的人员了解科技伦理审查与监管平台的组成，从而使用户能够有效的操作、使用本系统，并可独立完成对系统日常维护和常见故障的排除。主要对象科技伦理审查与监管平台系统管理员、委员会办公室主任、伦理秘书、委员会委员、独立顾问、科技人员、申请人、主管单位、监管机构。培训计划至少宜包含：培训的类别，培训人员与人数，培训的详细课程，培训方式，培训场地安排，培训设备安排，培训教材安排，培训时间与班次安排等。培训方式可采用视频教学、现场培训、系统实操等多种方式相结合，加深学员对系统的了解、熟悉与实际使用。运维要求运维目的运行维护的目的包括：实时监控系统运行状态，保证系统各类运行指标符合相关规定；迅速而准确地定位和排除各类故障，保证系统正常运行，确保所承载的业务正常；进行系统安全管理，保证信息系统的运行安全和信息的完整、准确；在保证系统运行质量的情况下，提高维护效率，降低维护成本。运维内容系统的维护内容主要在生产操作层面，又分为机房环境维护、计算机硬件平台维护、配套网络维护、基础软件维护、应用软件维护五部分：计算机硬件平台指计算机主机硬件及存储设备；配套网络指保证信息系统相互通信和正常运行的网络组织，包括联网所需的交换机、路由器、防火墙等网络设备和局域网内连接网络设备的网线、传输、光纤线路等；基础软件指运行于计算机主机之上的操作系统、数据库软件中间件等公共软件；应用软件指运行于计算机系统之上，直接提供服务或业务的专用软件；机房环境指保证计算机系统正常稳定运行的基础设施，包含机房建筑、电力供应、空气调节、灰尘过滤、静电防护、消防设施、网络布线、维护工具等子系统。运维要求系统运维的工作要求包括：突发事件管理。当系统出现突发事件时，运维人员宜在第一时间启动对事件的处理，并及时向上级领导和上级有关部门进行汇报；系统故障解决。信息系统出现无法进行自行解决的故障时，宜向上级领导及上级部门申告故障，并立即向软硬件提供商、代理商或维保服务商提出技术支持申请，督促厂商安排技术支持，必要时进行跟踪处理，与厂商一起到现场进行解决。厂商技术人员现场处理故障时，当地维护人员宜全程陪同并积极协助，并在故障解决后进行书面确认。故障解决后，运维人员宜对故障的产生原因、解决方案填写详细记录，对以后出现类似问题进行参考。对于系统隐患或暂时不能彻底解决的故障宜纳入问题管理，定期对存在的问题进行跟踪分析；信息系统变更时，需要进行请求和审批，得到批准后方可执行变更。变更在非主要工作时间进行，运维人员可以在备用服务器上进行先期模拟变更，对变更中出现的问题，对其解决方案宜有备案；每次维护结束后填写维护记录，对维护中发现的问题及时记录并解决，出现重大问题时宜及时上报有关领导和上级相关部门；每年至少一次对信息系统的机房环境、计算机硬件、配套网络、基础软件和应用软件进行一次检查。

（资料性）

科技伦理审查与监管平台建设指南附图科技伦理审查与监管平台功能架构图科技伦理审查与监管平台技术架构图科技伦理审查流程图质量管理工作流程风险分类

（资料性）

科技伦理审查与监管平台建设指南附表风险因素风险因素风险级别技术风险成熟性现有的或局部重新设计低风险主要部分重新设计，但技术可行中等风险技术可行的复杂设计或最新技术，某些研究已完成高风险复杂性简单设计或局部增加复杂性低风险复杂性有中等程度增加中等风险复杂性显著增加或极其复杂高风险相关性与现有系统、设施或相关的研制单位无关或进度取决于现有的系统设施或相关的研制单位低风险性能取决于现有系统性能、设施或相关的研制单位中等风险进度取决于新系统的进度、设施或相关的研制单位或性能取决于新系统的性能、设施或相关的研制单位高风险费用风险任务要求明确性任务要求明确，使用方和承制方对任务有共同的理解低风险任务要求基本明确，某些细节上尚需进一步确定中等风险任务要求不明确，使用方可能不断提出新的要求或双方对任务要求有不同的理解高风险技术风险影响无高风险项目，中等风险项目不超过2个低风险无高风险项目，中等风险项目超过3个中等风险有1个以上的高风险项目高风险进度风险影响无高风险项目，中等风险的进度指标不超过2个低风险无高风险项目，但中等风险项目在3个以上中等风险有1个以上的高风险项目高风险成本预算准确性有充分的类似项目的历史数据可供参考，成本估算部门有足够可用的合格人员低风险有足够可用的合格人员但仅有部分历史数据可供参考中等风险缺乏可用的合格人员且无类似项目的历史数据供参考高风险合同类型影响固定价格合同低风险成本加奖励费用合同中等风险拨款性合同高风险合同报价影响与其它竞标单位的报价和预测成本基本相符低风险略低于其它竞标单位报价和预测成本中等风险报价显著低于其它竞标单位的报价和预测成本高风险进度风险技术风险影响无高风险，中等风险项目不超过2个低风险无高风险，中等风险项目超过3个中等风险有1个以上的高风险项目高风险计划安排合理性计划切实可行且留有一定时间裕度，以防意外情况发生低风险计划可靠，但对意外发生的问题未预留时间中等风险计划不可靠，不是根据每项研制工作的实际需要来安排时间，而是根据竞争的需要或上级命令来分配时间高风险资源充分性资源充足且可供使用低风险现有资源充足，但与其它项目之间有潜在的矛盾冲突，可能因某些预想不到的问题而影响进度中等风险现有资源不足或与其它项目之间存在严重的潜在冲突高风险项目人员经验参与该项目的人员在类似的项目中已积累了经验，有足够的知识储备可用于该项目低风险参与人员在类似的项目中已有一般性的经验，但在某些关键部门还缺乏有经验的人员中等风险参与人员普遍没有在类似项目中工作的经验，关键部门可用的有经验人员很少高风险管理风险领导素质影响领导者决策能力强，很有威望低风险领导者决策能力较强，威望一般中等风险领导者决策能力一般，同时也没什么威望高风险组织机构影响组织机构健全，各机