DB43∕T 3293-2025 科技伦理审查与监管平台建设指南

ICS01.120ICS01.120DB43/T3293—2025GuidelinesfortheconI Ⅴ 1 1 1 2 2 2 2 3 3 3 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 4 5 5 5 5 5 5 5 5 V本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专1科技伦理审查与监管平台建设指南GB/T25000.51—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪科技伦理scienceandtec在科学研究和技术开发等科技活动中，科技工作者及其共科技伦理审查与监管平台electronicreviewsystemfor科技伦理（审查）委员会scienceandtechnol2研究参与者studypartici本、信息数据、健康记录、行为等用于涉及生命独立顾问independentcon特定疾病或方法学等相关领域的专家，或特定群体HTTP：超文本传输协议（HypertextTransferProtoHTTPS：超文本传输安全协议（HypertextTransferProtocolSecXML：可扩展标记语言（ExtensibleMarkupLJSON：JavaScript对象表示法（JavaScriptObjectNotaJWT：JSON网络令牌（JSONWebAES：高级加密标准（AdvancedEncryptionStandRSA：公钥加密算法（Rivest-Shamir-AdlMFA：多因素认证（Multi-factorAuthentication）OAuth：开放授权协议（OpenAuthoriCPU：中央处理器（CentralProcessingTLS/SSL：传输层安全协议/安全套接字层（TransportLayerSecurity/API：应用程序接口（ApplicationProgrammingInterface）SOAP：简单对象访问协议（SimpleObjectAccessPRESTfulAPI：一种基于REST架构风格设计的网络接口（ReprRBAC：基于角色的访问控制（Role-BasedAccessContUAT：用户验收测试（UserAcceptanceTe——保障网络安全、数据安全与隐私保护，采用HTTPS、TLS/SSL协议、AES加密、RSA加密、MFA多——支持审计追踪与操作日志记录，实现风险可控可追——遵守GB/T22239—2019、GB/T35273—3 ——基于RESTfulAPI、SOAP等协议实现与第三方业务系——支持云计算架构，通过容器化部署实现资源弹性伸科技伦理审查与监管平台功能架构图见附录A图A.1，包括但不限于以——基础功能：为实现伦理审查业务提供基础性支撑功科技伦理审查与监管平台技术架构图见附录A图A.2，包括但不限于以——支持体系：遵循GB/T22239—2019、GB/T35273—2020的规定，建立标准规范与信息安全——业务应用：覆盖伦理审查全流程、智能监管及第三方对——访问层：支持PC、移动端、大屏终端等多端访问，适配统一交互界面与响应式设计；4提供系统的监督管理，包含但不限于监督管辖范围内组织信息、项目信息及风险项目预提供灵活配置功能，适应科技伦理（审查）委员会的管理，支持送审文件、审提供科技活动伦理审查的在线申请功能，支持全流程线上管理，具体功能流程详见附录A图提供对申请审查的科技活动进行在线审查的功能，支持全流程线上操作，具体功能流程详见附录A——系统全程记录在线人员情况，包括登录时间、登录次数5 ——支持随机组卷、自动生成试卷，考试结束后系统自动判——当出现风险预警指标类项目时，及时向相关单位发出预警提——支持管理科技伦理（审查）委员会体系建设相关文件，可在线完成审阅、审批操作；——支持管理伦理审查项目文件、会议文件，可在线开展文件借阅、借阅审核操作；支持申请人在线进行项目交接，交接成功后完成项目所属权与操作6支持在多种常用终端上使用，包括但不限于PC端、手机、平板等移动端及Web端，确保用户在不同——遵循网络安全等级保护第三级及以上要求，完成安全管理规范与技术防护能力建设；——审计追踪：全量记录用户操作日志，支持事件回溯与责任追——安全防护：具备网络攻击监测与自动阻断能力，触发实时告——安全技术宜符合GB/T20271—2006与GB/T202——日志管理：记录用户操作、网络设备状态、安全事件等日志，包含时间、用户、事件类型及——审计分析：支持日志数据分析生成报表，运维操作需录像存——基础防护：部署防火墙、防病毒软件及入侵检测系7 ——安全运维：定期漏洞扫描、操作系统更新及数据备其他网络防护要求见GB/T22239—2019、GB/T22240—2020和GB/T25——敏感数据保护：对个人信息实施匿名化处理，遵循最小化收集原——高可用性：通过冗余设计、负载均衡及故障自动切换技术，确保系统可用性≥99.——故障恢复：支持硬件故障热插拔与数据快速回滚，故障恢复时间≤5——弹性伸缩：基于容器化部署与动态资源分配，满足用户——报告生成：自动生成审查统计报告，支持自定义模板导——偏差检测：集成算法偏差检测工具，确保决策公平——轻量级协议：采用HTTP/HTTPS协议8——数据格式适配：默认使用JSON，复杂场景——认证鉴权：基于OAuth2.0或JWT实现身——数据加密：敏感信息使用AES-256等算法加——访问控制：通过API网关统一管理入口，隐藏内部复杂性并限制非——异步通信：针对大数据量交互场景，支——缓存机制：采用缓存技术缓存高频查询结果，降低数据库负——容错与重试：定义标准化错误码，接口超时或失败时自动触发重试策9.1实施组织结构9.2实施质量管理——风险识别：识别开发流程中的高风险项，并制定应对预——质量保证：建立需求规格书、测试用例等文档模板——质量控制：实施单元/集成/UAT测试等分层测试，缺陷修复率≥95确保交付物符合预期。——需求与设计：用户故事拆解至任务级，通过三方评审确认优先级，并通过技术评审。——开发与测试：采用Git分支策略管理代码，强制——文档与配置：需求文档、API文档分库存储并关联代码版本；环境配置统一管理，第三方依赖9.3实施风险管理信息化系统建设风险管理首先宜对风险进行识别。——技术风险：技术成熟性、技术复杂性、与其他项目相关9 ——管理风险：领导素质、组织机构、计划、研发人员素质在全面风险管理中，风险量化分析是核心环节。通过对风险因素的多维度审视和评估，确保通过识别风险发生的概率以及产生的影响，确定每项风险的优先级。优先级等于概率和影响9.4培训服务培训教材准备，以及培训时间与班次的具体安排等，确保培训工作有序开展并达到预期——安全合规性：遵循《网络安全法》及ISO27001要求，确保数据完整性、机密性，定期执行漏——基础设施维护：定期检查温湿度