147
中国循环杂志 2014年2月 第29卷 第2期(总第188期)Chinese Circulation Journal,February,2014,Vol. 29 No.2(Serial No.188)
关键词 Meta 分析;Cochrane 偏倚风险评估工具;随机对照
Cochrane 偏倚风险评估工具在随机对照研究Meta 分析中的应用
谷鸿秋,王杨,李卫
学习园地
20世纪70年代,随着随机对照试验以及循证医学的兴起,系统综述和Meta 分析的研究在医学领域的应用越来越普遍,各种证据分级体系也将其列为最高的证据级别[1]。但系统综述和Meta 分析研究本身的质量也引起了研究者的注意,因此学界也提出了规范此类研究的声明如PRISMA [2](早期称为QUOROM [3])和MOOSE [4]。尽管如此,诸多研究表明,已发表的系统综述和Meta 分析研究其本身的质量仍然存在着各种各样的问题[5]。其实Meta 分析作为定量系统综述的一种数据合并方法,其结论的质量不仅依赖于严格的Meta 分析操作流程,更依赖于研究文献本身的质量及其对偏倚的控制。故对纳入Meta 分析的研究文献的进行质量评价和偏倚评估,一直是比较关注的议题。
Meta 分析中,不同类型的研究文献有不同的质量评价标准。例如,观察性研究常用的评价工具是NOS
量表[6];
非随机对照研究常用的评价工具是MINORS 条目[7];
而对随机对照研究进行质量评价,目前应用最为广泛是Jadad 量表[8],以及Cochrane 协作组推荐的Cochrane 偏倚风险评估工具[9, 10]。其它评价工具如CAPS 清单、Reisch 以及AHRQ 评价等更多工具在此不作过多阐述[11-13]。
随机对照试验作为证据级别仅次于Meta 分析的研究形式,是高质量Meta 分析研究的基石。因此,本文将对Cochrane 协作组推荐使用的Cochrane 偏倚风险评估工具作一简要介绍。
1 Cochrane 偏倚风险评估工具的内容
Cochrane 偏倚风险评估工具主要从选择(包括随机序列产生和分配隐藏)、实施(包括对研究者和受试者施盲)、测量(研究结局盲法评价)、随访(结局数
据的完整性)、报告(选择性报告研究结果)及其他
(其他偏倚来源)这6个方面总计7个条目对偏倚风险进行评价。对每个条目依据偏倚风险评估准则做出“低风险偏倚”、 “高风险偏倚”和“不清楚”的判定结果(表1)。
2 使用Cochrane 风险偏倚评估工具评估偏倚的例子
Cochrane 协作组织提供的Revman 软件内置了Cochrane 风险偏倚评估工具,并可提供可视化的结果。图1展示的便是Cochrane 系统评价手册里提供的风险偏倚评估结果的例图。图中可用不同的颜色(绿、红、黄)及符号(“+”
、
“-”、“?”)来分别表示“低风险偏倚”、 “高风险偏倚”和“不清楚”。
图1 Cochrane 风险偏倚评估结果
Coc hr ane 协作网 偏 倚风险评价工具
因素,应在全文中作答 表2 Cochrane协作网偏倚风险评价的具体标准 评价条目评价结果评价内容描述 1. 随机分正确米用随机数字表、计算机产生随机数字、抛硬币、 配方法掷骰子或抽签等方法 不正确按患者生日、住院日或住院号等的末位数字的奇数或偶 数; 交替分配方法; 根据医师、患者、实验室检查结果或干预措施的可获得 性分配患者入组 不清楚根据干预措施的可获得性;信息不详、难以判断正确与 否 2. 方案隐完善中心随机,包括采用电话、网络和药房控制的随机 藏 不完善按顺序编号或编码的相同容器按顺序编码、密封、不透光的信封公开随机分配序列如列出随机数字 评价条目评价内容描述具体评价问题 1 ?随机分配方法详细描述产生随机分配序列 的方法,有助于评估组间可比 性随机化分配序列的产生是否正确? 2 ?分配方案隐藏详细描述隐藏随机分配序列 的方法,从而帮助判断干预措 施分配情况是否可预知分配方案是否有效地隐藏? 3?盲法描述对受试者或试验人员头 施盲法的方法,以防止他们知 道受试者的干预措施,提供判 断盲法是否成功的相关信息 目法疋否完善? 4 ?结果数据的完整性报告每个主要结局指标的数 据完整性,包括失访和退出的 数据。明确是否报告以上信息 及其原因,是否采用意向性分 析(ITT) 结果数据是否完整? 5 ?选择性报告研究描述选择性报告结果的可能研究报告是否提示无选 结果性及情况择性报告结果? 6 ?其它偏倚来源除以上5个方面,是否存在研究是否存在引起咼度 表1 Cochrane协作网偏倚风险评价工具 其他引起偏倚的因素?若事偏倚风险的其他因素? 先在计划中提到某个问题或
表1 Cochra ne 协作网偏倚风险评价工具 评价条目 评价内容描述 具体评价问题 1. 随机分配方法 详细描述产生随机分配序列的方 法,有助于评估组间可比性 随机化分配序列的产生是否 正确? 2. 分配方案隐藏 详细描述隐藏随机分配序列的方 法,从而帮助判断干预措施分配 情 况是否可预知 分配方案是否有效地隐藏? 3. 盲法 描述对受试者或试验人员实施盲 法 的方法,以防止他们知道受试 者的 干预措施,提供判断盲法是 否成功 的相关信息 盲法是否完善? 4. 结果数据的完整性 报告每个主要结局指标的数据完 整 性,包括失访和退出的数据。 明确 是否报告以上信息及其原 因,是否 采用意向性分析(ITT ) 结果数据是否完整? 5. 选择性报告研究结果 描述选择性报告结果的可能性及 情 况 研究报告是否提示无选择性 扌艮告结果? 6. 其它偏倚来源 除以上5个方面,是否存在其他 引 起偏倚的因素?若事先在计划 中提 到某个冋题或因素,应在全 文中作 答 研究是否存在引起高度偏倚 风险的其他因素? 表2 Cochrane 协作网偏倚风险评价的具体标准 评价条目 评价结果 评价内容描述 1 . 随机分配 正确 +采用随机数字表、计算机产生随机数字、抛硬币、掷骰子或 方法 抽签等方法 不正确 +按患者生日、住院日或住院号等的末位数字的奇数或偶数; +交替分配方法; +根据医师、患者、实验室检查结果或干预措施的可获得性分 配患者入组 不清楚 +根据干预措施的可获得性; +信息不详、难以判断正确与否 2. 方案隐藏 完善 完善 +中心随机,包括采用电话、网络和药房控制的随机 +按顺序编号或编码的相同容器 +按顺序编码、密圭寸、不透光的信圭寸 不完善 +公开随机分配序列如列出随机数字 +未密封、透光或未按顺序编号的信封 +交替分配 +根据住院号、生日等末位数字的奇数或偶数 不清楚 +未提及分配方案隐藏 +提供的信息不能判断是否完善,如使用信封,但未描述是否 按顺序编码、密封、不透光 3. 盲法 正确 +没有采用盲法,但结果判断和测量不会受影响 +对患者和主要研究人员采用盲法,且盲法不会被破坏 +对结果测量者采用盲法,未对患者和主要研究人员采用盲 法,但不会导致偏倚 不正确 +未采用盲法或盲法不完善,结果判断或测量会受影响 对患者和主要研究人员采用盲法,但盲法可能被破坏
表1 Cochrane协作网偏倚风险评价工具 评价条目评价内容描述具体评价问题 1.随机分配方法详细描述产生随机分配序列的方 法,有助于评估组间可比性随机化分配序列的产生是否正确? 2.分配方案隐藏详细描述隐藏随机分配序列的方 法,从而帮助判断干预措施分配 情况是否可预知 分配方案是否有效地隐藏? 3.盲法描述对受试者或试验人员实施盲 法的方法,以防止他们知道受试 者的干预措施,提供判断盲法是 否成功的相关信息 盲法是否完善? 4.结果数据的完整性报告每个主要结局指标的数据完 整性,包括失访和退出的数据。 明确是否报告以上信息及其原 因,是否采用意向性分析(ITT) 结果数据是否完整? 5.选择性报告研究结果描述选择性报告结果的可能性及 情况研究报告是否提示无选择性报告结果? 6.其它偏倚来源除以上5个方面,是否存在其他 引起偏倚的因素?若事先在计划 中提到某个问题或因素,应在全 文中作答研究是否存在引起高度偏倚风险的其他因素? 表2 Cochrane协作网偏倚风险评价的具体标准评价条目评价结果评价内容描述 1.随机分配方法正确采用随机数字表、计算机产生随机数字、抛硬币、掷骰子或抽签等方法 不正确按患者生日、住院日或住院号等的末位数字的奇数或偶数; 交替分配方法; 根据医师、患者、实验室检查结果或干预措施的可获得性分 配患者入组 不清楚根据干预措施的可获得性;
信息不详、难以判断正确与否 2.方案隐藏完善中心随机,包括采用电话、网络和药房控制的随机 按顺序编号或编码的相同容器 按顺序编码、密封、不透光的信封 不完善公开随机分配序列如列出随机数字 未密封、透光或未按顺序编号的信封 交替分配 根据住院号、生日等末位数字的奇数或偶数 不清楚未提及分配方案隐藏 提供的信息不能判断是否完善,如使用信封,但未描述是否 按顺序编码、密封、不透光 3.盲法正确没有采用盲法,但结果判断和测量不会受影响 对患者和主要研究人员采用盲法,且盲法不会被破坏 对结果测量者采用盲法,未对患者和主要研究人员采用盲 法,但不会导致偏倚 不正确未采用盲法或盲法不完善,结果判断或测量会受影响 对患者和主要研究人员采用盲法,但盲法可能被破坏 对患者和主要研究人员均未采用盲法,可能导致偏倚不清楚信息不全,难以判断是否正确 文中未提及盲法 4.结果数据的完整性完整无缺失数据;缺失数据不影响结果分析(生存分析中缺失值)组间缺失的人数和原因相似 缺失数据不足以对效应值产生重要影响;缺失数据采用恰当 方法赋值 不完整组间缺失的人数和原因不平衡 缺失数据足以对效应值产生重要影响 采用“as-treated”分析,但改变随机入组时干预措施的人 数较多 不恰当应用简单赋值 不清楚信息不全,难以判断数据是否完整(缺失人数或原因未报告)
·循证理论与实践· Meta分析系列之三:随机对照试验的质量评价工具 曾宪涛,包翠萍,曹世义,刘菊英 [中图分类号]R4 [文献标识码]A [文章编号]1674?4055(2012)03?0183?03 Meta分析是对原始研究的二次综合分析与评价,其质量受纳入原始研究质量、评价的方法、评价者的知识水平及观点的影响。若Meta分析纳入的原始研究质量低,且未对原始研究方法学质量进行正确评价,Meta分析的结果和结论可能是不正确的,从而对临床实践造成误导[1]。因此,对Meta 分析纳入的原始研究质量进行严格的评价尤为重要。原始研究质量评价工具主要根据研究设计、实施、结果分析整个过程中可能出现偏倚的各个因素而确定,目前出现的评价工具较多,主要有单个评价条目(components/items)、清单(checklist/list)和量表(scale)三种类型。前面我们已经对Meta分析的类型[2]、Meta分析的软件[3]进行了介绍,本文将在简要回顾原始研究类型的基础上,对随机对照试验(ran?domized controlled trail,RCT)常用的质量评价工具进行简要分析。 1临床研究类型简介 临床研究按照是否存在人为干预,分为实验性研究(ex?perimental study)和观察性研究(observational study)两大类,观察性研究亦称为非实验研究(non?experimental study)。图1展示了两类研究包括的类型[4?5]。此外,为适应实际情况的需要,又发展出了新的研究类型,如:巢式病例?对照研究(nest case?control study),病例?队列研究(case?cohort study),病例?病例研究(case?case study),自身交叉对照研究(self?cross controlled study),单纯病例研究(case study),前瞻性随机对照试验(prospective randomized controlled study),回顾?前瞻性队列研究(retrospective?prospective study)等。 2常用的RCT质量评价工具 2.1Cochrane风险偏倚评估工具 长期以来,研究质量评价和偏倚风险评价被认为是等同的,但Cochrane系统评价手册认为“研究质量”和“研究偏倚”是有区别的,“偏倚”能更真实的反映研究存在的缺陷,故在5.0及以上的版本中命名为“Cochrane风险偏倚评估工具(Cochrane collaboration's tool for assessing risk of bias)”,要求Cochrane系统评价的制作采用,并不再推荐任何一种评价RCT质量的清单或量表[1]。该工具主要从6个领域对偏倚风险进行评价(domain?based evalu?ation),对每条指标采用“低度偏倚”、“不清楚”、“高度偏倚”进行判定(表1)。 2.2PEDro量表 PEDro(物理治疗证据数据库,Physiotherapy Evidence Database,PEDro)是由位于乔治中心的物理治疗循证中心(CEBP)的一群临床和物理治疗师于1999年所建立, 基金项目:湖北医药学院2011年度优秀中青年科技创新团队项目(2011CZX01) 作者单位:442000十堰,湖北医药学院附属太和医院口腔医学中心(曾宪涛),麻醉科(刘菊英);天津医科大学公共卫生学院流行病与卫生统计学教研室(包翠萍);华中科技大学同济医学院流行病与卫生统计学系(曹世义) 通讯作者:刘菊英,E?mail:liu6119@https://www.doczj.com/doc/a413749266.html, doi:10.3969/j.issn.1674?4055.2012.03.003 旨在帮助使用最佳证据于临床应用来强化物理治疗服务的有效性。PEDro量表(PEDro scale)是CEBP基于Delphi清单[6]制作的RCT评价量表,上次修订的时间是1999年6月 21日,包括11条,每个条目为1分[7]:⑴受试者的纳入条件有具体说明;⑵受试者被随机分配到各组(在交叉研究中,受试者的治疗顺序是随机安排的);⑶分配方式是隐藏的;⑷就最重要的预后指标而言,各组在基线都是相似的;⑸对受试者全部设盲(实施盲法);⑹对实施治疗的治疗师全部设盲(实施盲法);⑺对至少测量一项主要结果的评定者全部设盲(实施盲法);⑻在最初分配到各组的受试者中,对85%以上的人进行至少一项主要结果的测量;⑼凡是有测量结果的受试者,都必须按照分配方案接受治疗或者对照条件,假如不是这样,那么应对至少有一项主要结果进行“意向治疗分析”;⑽对至少一项主要结果的组间统计结果作出报告;⑾研究将提供至少一项主要结果的点测量值和变异测量值。2.3Delphi清单 Delphi清单(Delphi list)由马斯特里赫特大学Verhagen及其同事1998年依据Maastricht和Chalmers量表[8],遵照Delphi法制作的,用以评价RCT质量,共8个条目,其中第一条又包括了两个部分[6],均采用“是”、“否”及“不知道”进行判定:⑴治疗分组:①是否采用了随机分组? ②是否采用了分配隐藏?⑵各组最重要的预后指标的基线是否相似?⑶是否具体说明了受试者的入选条件?⑷是否对研究结果评价者实施盲法?⑸是否对研究实施者实施盲法?⑹是否对受试者实施盲法?⑺主要结局指标的点测量值和变异测量值是否提供?⑻分析中是否包含了“意向治疗分析”? 2.4CASP清单 CASP(Critical Appraisal Skills Programme)于1993年在英国牛津大学成立,由NHS专项基金资助,旨在倡导运用循证的方法来阅读论文,以真正服务于医疗卫生健康及社会保健研究,并制作了用来评价研究质量的CASP清单(CASP Checklist)。其中,用于评价RCT的清单包括11个条目[9],其中前3条是筛选问题,1~6和9条均用“是”、“否”及“不知道”判定,第10和11条用“是”、“否”判定(表2)。 2.5Jadad量表 Jadad量表(Jadad scale)[10]由Jadad等1996年发布,其最初目的是为了评价疼痛治疗的RCT的质量,从随机方案及其隐匿、盲法、退出与失访病例的原因及例数这3个方面进行评价,采用0~5分记分法,≤2分认定为低质量研究,≥3分则认为质量较高(表3)。 2.6Chalmers量表 Chalmers量表(Chalmers scale)[8]是由Chalmers等1981年首次尝试用评分量表的方式对临床试验质量作评价,分为一般情况记录、研究方案、统计学分析、结果陈述四个部分共36个条目。其中一般情况记录不参与计分,试验设计、统计分析和结果三个部分按6:3:1权重记分,共有27个条目,计100分,报告条目的选择主要根据作者累积的经验,因其现在应用较少,故不具体列出。 2.7CONSORT声明 CONSORT声明(Consolidated Standards of Reporting Trials statement)[11]由报告RCT必备的基本项目清单和描述整个试验过程中受试者流程的流程图组成,主要
不同类别META分析文献质量评价工具 sisiyang2015-11-20 14:37:54 (一)随机对照试验的质量评价工具:Cochrane风险偏倚评估工具(最常用),PEDro量表,Delphi清单,CASP清单,Jadad量表,Chalmers量表,CONSORT声明(不专用,但可以用)。 (二)观察性研究的质量评价工具:(1)NOS量表(最常用):病例对照研究和队列研究。(2)CASP清单:病例对照研究和队列研究。(3)JBI标准:横断面研究;经验总结、案例分析及专家意见。(4)AHRQ。(5)Combie横断面研究评价工具。(6)STROBE 声明。(7)STREGA声明。 (三)非随机对照实验性研究的质量评价工具:MINORS条目,Reisch 评价工具,TREND声明。 (四)诊断性研究:QUADAS工具,CASP清单,STARD声明(五)动物试验:STAIR清单,CAMARADES清单,ARRIV指南。 这个就用Cochrane风险偏倚评估工具,主要从6个领域条项目队偏倚风险进行评价,对每条指标采用“低度偏倚风险”、“偏倚风险部确定”、“高度偏倚风险”进行判定:
(一)选择偏倚:(1)随机序列产生:详细描述了产生随机分配序列的方法,以便评估组件可比性;(2)分配隐藏:详细描述了隐藏随机分配序列的方法,以便判断干预措施分配情况是否能预知。(二)实施偏倚:(1)对研究者和受试者施盲:详细描述了对研究者和受试者实施盲法的方法,以防其知晓受试者的干预措施。提供了判断盲法是否有效的信息。 (三)测量偏倚:(1)研究结果盲法评价:详细描述了对研究结果评价者实施盲法的方法,以防其知晓受试者的干预措施。提供了判断盲法是否有效的信息。 (四)随访偏倚:(1)结果数据的完整性:完整性的报告了每个主要结局指标的数据,包括失访及退出的。是否明确报道了失访及退出,每组人数(与随机入组的总人数相比),失访/退出的原因,以便系统评价者行相关的处理。 (五)报告偏倚:(1)选择性报告研究结果:描述的信息可供系统评价者判断选择性报告研究结果的可能性及相关情况。 (六)其他偏倚:(1)除上述偏倚外,提供的信息是否可评估存在其他引起偏倚的因素。若是已在计划书中提到某个问题或因素,需给出对应的回答。
危险源及影响后果的严重性 分值人员伤亡程度生产中断过 程损失 财产损失、设备 环境破坏 设施毁坏 100三人以上死亡造成全系统 停车 一次事故或系统停车造成直 接经济损失在1000万元及以 上 造成重大环境污 染 40一人以上死亡(含 一人)造成装置停 车 一次事故或停车造成直接经 济损失在500万元至1000万 造成周边环境破 坏 重大火灾、爆炸 15一人死亡 造成单体设 备停机 一次事故或设备停机造成直 接经济损失在100万元及以 上,500万元以下 造成作业区域内 环境破坏 火灾,爆炸 重伤、终身残废, 全部失去劳动能力 严重职业病 7重伤或轻伤,职业 病 造成单体设 备的部件损 坏一次事故或设备部件损坏直 接经济损失在10万元及以 上,100万元以下 作业点范围内受 影响 部分失去劳动能力 需住院治疗 但不会造成 单体设备停 车 3部分轻伤 无影响 一次事故直接经济损失10万 元以下,1万元以上 设备、设施周围 受影响 需要去医院治疗, 但不需要住院 1轻微皮外伤 无影响 一次事故直接经济损失1万元 以下 基本无影响短时间身体不适 风险度=严重性*可能性 1-20 轻微风险 20-69 一般风险 70-160 中度风险 160-319 高度风险 320以上 不可承受风险 注:事故后果严重程度为100以上的,可直接列为高度风险; 如后果严重程度为100,而其计算风险度为高度风险的,可直接列为不可承受风险。
分值 等级 危险检查知晓的可能性危险回避的可能性 解释 举例说明 在需要进行监控的设施或场所没有采取防范、监测、保护、控制设施或系统. 如:空冷塔进口无安全阀\爆破片\卸压阀等如:液位\温度\压力无高低报警装置 危害的发生不能被发现如:无液位\压力\温度\流 量等技术参数监控逻辑块如:在空压机热启动前未经过安全确认, 如增加压机作业过程中无操作规程, 常见事件类比 在正常情况下经常发生此类事故或事件。如:国内外,同行业在过去空分装置运行过程\开车 过程出现的常见事故\典型事故 在需要进行专业培训的岗位人如:特种作业持证上岗人发现危险时,无论谁都无法 回避 管理方 面 在需要具备进行HSE管理控制的方面无相应的培训\交底\技术规程\ 设备设 施方面 事故发生 前,没有检 知手段 10 完全可以预料 风险事件发生的可能性 员未经专业培训员未持证 如:未进行试车交底培训 发生事故后,人员无法回避如:不知道本岗位的安全 操作规程和重点控制技术参数 设备设施方面在需要进行监控的设施或场所采取的防范、监测、保护、控制设施或系统出现失效.如:如安全阀\压力表\流量计等因未检验和使用前确认发生动作失效; 液位\压力\温度\流量等技术参数的设置有误 危害的发生不容易被发现 如:有检验\操作规程\试 车方案,但对相关控制要求没有具体明确. 如:有教育培训方案,但对具体本岗位的培训内容没有具体明确照 如:要求岗位按照操作规程作业,但其监控频率\人员没有明确 常见事件类比 危害常发生或在预期情况下发生如:本单位在试车过程中发生过的常见\典型事件在需要进行专业培训的岗位经过专业培训,但培训未达到效果, 如:重点岗位的运行人员工作经验不足.如:空压机\电工等岗位没有进行专业资格复训 不具备本岗位的工作技能,危害回避的可能性很低如:进行了试车交底培训,但培训不合格,或培训无 针对性 设备设施方面 事故发生前,有检知手段,但有缺陷 可能性高 6 人员素质方面 人员素质方面 管理方面 在现场有控制措施,但未有效执行或控制措施不当
中文: Table 8.5.a: The Cochrane Collaboration’s tool for assessing risk of bias
Table 8.5.d: Criteria for judging risk of bias in the ‘Risk of bias’ assessment tool 研究者描述随机序列产生过程譬如: 参考随机数字表 使用计算机随机数字生成器 扔硬币 洗牌的卡片和信封 掷骰子 抽签 最小化 *最小化,可实现无随机元素,被认为相当于是随机的。 研究者描述序列的产生使用的是非随机的方法。通常是系统 的非随机方法,例如: 通过奇偶或出生日期产生序列 通过入院日期产生序列 通过类似住院号或门诊号产生序列 相对于上面提到的系统方法,其它非随机的方法少见的多, 也更明显。通常包括对参与者进行判断或非随机的方法,例 如: 临床医生判断如何分配 参与者判断如何分配 基于实验室检查或系列测试的结果分配 基于干预的可获取性进行分配
中心分配(包括电话,网络,药房控制随机) 相同外形的顺序编号的药物容器; 顺序编号、不透明、密封的信封 参与者以及纳入参与者的研究者可能事先知道分配,因而引入选择偏倚,譬如基于如下方法的分配: 使用摊开的随机分配表(如随机序列清单) 分发信封但没有合适的安全保障(如透明、非密封、 非顺序编号) 交替或循环 出生日期 病历号 其它明确的非隐藏过程 任何如下标准: 无盲法或盲法不充分,但系统评价员判断结局不太可 能受到缺乏盲法的影响 参与者和主要实施者均实施可靠的盲法,且盲法不太 可能被打破 任何如下标准: 无盲法或盲法不充分,但系统评价员判断结局很可能 受到缺乏盲法的影响 尝试对关键的参与者和实施者行盲法,但盲法很可能 被打破,结局很可能受到缺乏盲法的影响 任何如下标准: 没有足够信息判断为低风险或高风险 研究未描述此情况
表 1 Cochrane 协作网偏倚风险评价工具 评价条目 评价内容描述 具体评价问题 1. 随机分配方法 详细描述产生随机分配序列的方 法,有助于评估组间可比性 2. 分配方案隐藏 详细描述隐藏随机分配序列的方 法,从而帮助判断干预措施分配情况是否可预知 3. 盲法 描述对受试者或试验人员实施盲法的方法,以防止他们知道受试者的干预措施,提供判断盲法是否成功的相关信息 4. 结果数据的完整性 报告每个主要结局指标的数据完 整性,包括失访和退出的数据。明确是否报告以上信息及其原因,是否采用意向性分析(ITT ) 5. 选择性报告研究结果 描述选择性报告结果的可能性及情况 6. 其它偏倚来源 除以上 5 个方面,是否存在其他 引起偏倚的因素?若事先在计划中提到某个问题或因素,应在全 文中作答 随机化分配序列的产生是否正确? 分配方案是否有效地隐藏? 盲法是否完善? 结果数据是否完整? 研究报告是否提示无选择性报告结果? 研究是否存在引起高度偏倚 风险的其他因素? 表 2 Cochrane 协作网偏倚风险评价的具体标准 评价条目 评价结果 评价内容描述 1. 随机分配方法 正确 ? 采用随机数字表、计算机产生随机数字、抛硬币、掷骰子或抽签等方法 不正确 ? 按患者生日、住院日或住院号等的末位数字的奇数或偶数; ? 交替分配方法; ? 根据医师、患者、实验室检查结果或干预措施的可获得性分配患者入组 2.方案隐藏 不清楚 完善 ? 根据干预措施的可获得性; ? 信息不详、难以判断正确与否 ? 中心随机,包括采用电话、网络和药房控制的随机 不完善 不清楚 ? 按顺序编号或编码的相同容器 ? 按顺序编码、密封、不透光的信封 ? 公开随机分配序列如列出随机数字 ? 未密封、透光或未按顺序编号的信封 ? 交替分配 ? 根据住院号、生日等末位数字的奇数或偶数 ? 未提及分配方案隐藏 ? 提供的信息不能判断是否完善,如使用信封,但未描述是否按顺序编码、密封、不透光 3.盲法 正确 ? 没有采用盲法,但结果判断和测量不会受影响 ? 对患者和主要研究人员采用盲法,且盲法不会被破坏 ? 对结果测量者采用盲法,未对患者和主要研究人员采用盲法,但不会导致偏倚 不正确 ? 未采用盲法或盲法不完善,结果判断或测量会受影响 ? 对患者和主要研究人员采用盲法,但盲法可能被破坏
风险评估工具 风险评估过程中,能够利用一些辅助性的工具和方法来采集数据,包括: ?调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答能够进行手工分析,也能够输入自动化评估工具进行分析。从问卷调查中,评估者能够了解到组织的关键业务、关键资产、要紧威胁、治理上的缺陷、采纳的操纵措施和安全策略的执行情况。
?检查列表——检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者能够快速定位系统目前的安全状况与基线要求之间的差距。 ?人员访谈——风险评估者通过与组织内关键人员的访谈,能够了解到组织的安全意识、业务操作、治理程序等重要信息。 ?漏洞扫描器——漏洞扫描器(包括基于网络探测和基于主机审计)能够对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发觉漏洞的严峻性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。 ?渗透测试——这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。
除了这些方法和工具外,风险评估过程最常用的依旧一些 专用的自动化的风险评估工具,不管是商用的依旧免费的,此类工具都能够有效地通过输入数据来分析风险,最终给 出对风险的评价并推举相应的安全措施。目前常见的自动 化风险评估工具包括: ?COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公 司推出的一套风险分析工具软件,它通过问卷的方式来采 集和分析数据,并对组织的风险进行定性分析,最终的评 估报告中包含已识不风险的水平和推举措施。此外,COBRA 还支持基于知识的评估方法,能够将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公 司提供了COBRA 试用版下载:。 (COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows:
附件 風險評估工具使用說明範例 依據行政院研究發展考核委員會98年1 月公布之 「風險管理及危機處理作業手冊」內容製作一、建議各單位從所屬業務依據重要性、風險性以及校務評鑑相關之業務, 使用「影響程度之敘述分類表」及「發生機率之敘述分類表」,判斷該業務發生狀況時,將產生的影響程度等級和發生機率等級。 二、計算該業務風險值(風險值=影響程度╳發生機率)。 三、將風險值及業務項目名稱填入內部控制風險評估表「具風險之業務項目 彙總表」,並將風險分布代號填入「風險圖象」,即完成。 表1:影響程度之敘述分類表 (參照淡江大學) *註:影響程度僅須符合其中一種分類即可,不必全部分類皆符合;若無適用之影響分類,可自行增列,唯須副知秘書室知悉。 表2:發生機率之敘述分類表
四、以秘書室為例: (一)假設秘書室選定下列業務進行風險評估: 1.收文作業(1-252-A10):影響程度1(書面說明或回應)、發生機率2 (有些情況下會發生)。 2.發文作業(1-250-A20):影響程度2(申訴/抱怨為多數人)、發生機率 1(只在特殊情況發生)。 3.用印管理(1-252-A30):影響程度3(財務損失新臺幣100萬元以上)、 發生機率2(有些情況下會發生)。 4.郵件處理作業(1-252-A40):影響程度1(書面說明或回應)、發生機 率1(只在特殊情況發生)。 5.申訴處理:影響程度2(限期改善)、發生機率2(有些情況下會發 生)。 (二)風險值計算:風險值=影響程度╳發生機率(風險代碼:單位碼3+流水碼2) 1.收文作業:2=1╳2 (205-01) 2.發文作業:2=2╳1 (205-02) 3.用印管理:6=3╳2 (205-03) 4.郵件管理:1=1╳1 (205-04) 5.申訴處理:4=2╳2 (205-05) (單位名稱)內部控制風險評估表(以秘書室為例)頁次:
评估工具 发布时间:2008-01-17 录入:启明星辰 综合性评估工具。 脆弱性检测工具,如漏洞扫描等。 渗透性测试工具,如黑客工具等。 辅助性评估工具,如入侵监测系统、安全审计系统、漏洞库、安全知识库等。 风险评估工具的分类 目前对风险评估工具的分类还没有一个统一的理解。风险评估工具被分为三类:预防、响应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具,确实在对信息基础设施进行风险评估过程中,漏洞扫描工具发挥着不可替代的作用,通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题,根据漏洞扫描结果提供的线索,利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解,发现信息资产不只包括存在于计算机环境中的数据、文档,信息在组织中的各种载体中传播,包括纸质载体、人员等,因此信息安全包括更广泛的范围。同时,信息安全管理者发现解决信息安全的问题在于
预防。在此基础上,许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法,开发出了一些工具,如CRAMM、RA等,这些工具统称为风险评估工具。这些工具主要从管理的层面上,考虑包括信息安全技术在内的一系列与信息安全有关的问题,如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素,对信息安全有一个整体宏观的评价。其实,一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况,以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此,将入侵监测系统也作为风险评估工具的一种。可见,对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。根据在风险评估过程中的主要任务和作用原理的不同,将风险评估工具分为三类:综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。 综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑,在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险评估工具通常建立在一定的算法之上,风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定,如RA。也有通过建立专家系统,利用专家经验进行风险分析,给出专家结论,这种评估工具需要不断进行知识库的扩充,以适
Cochrane 偏倚风险评 估工具 水天之间2013年 11月11日 目录 随机对照试验/临床对照试验 偏倚的来源 偏倚风险评估工具的解读 偏倚风险评价结果的总结 偏倚风险评估工具的软件实现 偏倚风险评估工具的实例 Cochrane 手册将RCT ( randomized controlled tril )和CCT (controlled clinical trial )进行了区分,判定标准为: 1.在1个或多个患者中进行的一种研究; 2.比较两种干预措施,试验措施可以为一种药物、外科手术、物理疗法、预防措施,对照措施为另一种药物、安慰剂或不做任何处理的空白对照; 3.RCT 为采用随机分配方法如随机数字表法、计算机随机排序、抛硬币法等将受试者分入不同处理组,CCT 则为采用办随机分配法(按入院顺序、住院号、研究对象的生日的奇偶数交替分配)分配到对照或治疗组者; 4.提示性术语有:随机(random )、交替(crossover/cross-over )或安慰剂(placebo )等。符合这4条的文献将在美国国家医学图书馆(the US national library of medicine, NLM )指定其出版类型是RCT 或CCT ,并在取得NLM 的许可后纳入Cochrane 临床对照试验中心注册库(the Cochrane Central Register of Controlled Trials ,CENTRAL ) 选择性偏倚(selection bias ):发生在选择和分配研究对象时,因随机方法不完善造成的组间基线不可比,可夸大或缩小干预措施的疗效。 采用真正的随机方法并对随机进行分配隐藏可避免这类偏倚的影响。
风险评估管理工具 风险评估中公认的风险管理工具涵盖了流程图;过程图;检查表;失败模式和影响分析(失败模式、影响及危害性分析);故障树型图分析;危害分析和关键控制点;基础危害分析;辅助统计工具;因果关系图等多个方面。 根据国外经验,风险管理流程通常可分为三个部分——风险评估、风险控制和风险回顾。而在不同的过程中,将通过使用不同的分析工具评估、控制和回顾风险,从而达到控制风险的目的。 第一步:寻找潜在风险 风险评估是风险管理的第一步。主要是对潜在危害源的识别和对接触这些危害源造成的风险的分析与评估。包括风险确认、风险分析和风险评价三个部分。 1.风险确认首先,应关注的首要问题是:某个产品或工艺中将出现的问题是什么?这是进行质量风险管理的基础——即首先系统地利用各种信息和经验,确认工艺、设备、系统、操作等过程中存在的风险,指出将出现的危害在哪里。 其次,确定研究的过程、产品、问题区域、系统或者研究的对象。 再次,识别潜在的风险源。如审计、法规检查、验证过程、定期产品回顾、变更控制、供应商/承包商变更、设施设计和参数、技术转移、改正和预防行动、投诉、产品质量风险评估以及其他风险评估。 接下来,才是使用风险识别的工具,包括脑力激荡、FMEA、SWOT分析、Kaizen、实地调查(GEMBA)、鱼骨图分析、流程图、险兆事故、内外部审计、经验、历史数据或回顾等,列出所有可能失败的因素,并列出所有发生错误的可能。例如设备停机、故障等,可以使用鱼骨图等工具分析;对于生产工艺,可使用生产流程图进行分析。 2.风险分析风险分析需要关注的是:问题发生的可能性有多大?问题发生的后果有多严重?问题发生的可识别性有多大?对已经确认的风险及其危害进行分析,一旦识别和列出可能的失败,就必须逐一评估。包括问题的严重性;发生的可能性;发生的可识别性、可检测性等。 要对问题的严重性进行评估时,可对所有问题分类,对每类问题制定1~5分的打分标准,分数越高问题越严重。再对发生的可识别性、可预测性进行评估,例如将发生的可识别性、可预测性分成五个级别,对应1~5分,分数越高说明越难识别。 在整个风险评估过程中,风险分析是最重要的环节,需要相当有经验的技术人员以及质量相关人员共同完成。此外,还要确保所有相关部门都参与评估,所有参与风险分析的人员必须理解风险的评估过程。 3.风险评价风险评价是指根据预先确定的风险标准,对已经确认并分析的风险进行评价。即:先通过评价风险的严重性和可能性,从而确认风险的等级。在风险等级划分中,可以采用定性描述,比如“高”、“中”或“低”;或采用定量描述,比如具体的数值,数值越高说明风险越大。 第二步:实现风险可控
147 中国循环杂志 2014年2月 第29卷 第2期(总第188期)Chinese Circulation Journal,February,2014,Vol. 29 No.2(Serial No.188) 关键词 Meta 分析;Cochrane 偏倚风险评估工具;随机对照 Cochrane 偏倚风险评估工具在随机对照研究Meta 分析中的应用 谷鸿秋,王杨,李卫 学习园地 20世纪70年代,随着随机对照试验以及循证医学的兴起,系统综述和Meta 分析的研究在医学领域的应用越来越普遍,各种证据分级体系也将其列为最高的证据级别[1]。但系统综述和Meta 分析研究本身的质量也引起了研究者的注意,因此学界也提出了规范此类研究的声明如PRISMA [2](早期称为QUOROM [3])和MOOSE [4]。尽管如此,诸多研究表明,已发表的系统综述和Meta 分析研究其本身的质量仍然存在着各种各样的问题[5]。其实Meta 分析作为定量系统综述的一种数据合并方法,其结论的质量不仅依赖于严格的Meta 分析操作流程,更依赖于研究文献本身的质量及其对偏倚的控制。故对纳入Meta 分析的研究文献的进行质量评价和偏倚评估,一直是比较关注的议题。 Meta 分析中,不同类型的研究文献有不同的质量评价标准。例如,观察性研究常用的评价工具是NOS 量表[6]; 非随机对照研究常用的评价工具是MINORS 条目[7]; 而对随机对照研究进行质量评价,目前应用最为广泛是Jadad 量表[8],以及Cochrane 协作组推荐的Cochrane 偏倚风险评估工具[9, 10]。其它评价工具如CAPS 清单、Reisch 以及AHRQ 评价等更多工具在此不作过多阐述[11-13]。 随机对照试验作为证据级别仅次于Meta 分析的研究形式,是高质量Meta 分析研究的基石。因此,本文将对Cochrane 协作组推荐使用的Cochrane 偏倚风险评估工具作一简要介绍。 1 Cochrane 偏倚风险评估工具的内容 Cochrane 偏倚风险评估工具主要从选择(包括随机序列产生和分配隐藏)、实施(包括对研究者和受试者施盲)、测量(研究结局盲法评价)、随访(结局数 据的完整性)、报告(选择性报告研究结果)及其他 (其他偏倚来源)这6个方面总计7个条目对偏倚风险进行评价。对每个条目依据偏倚风险评估准则做出“低风险偏倚”、 “高风险偏倚”和“不清楚”的判定结果(表1)。 2 使用Cochrane 风险偏倚评估工具评估偏倚的例子 Cochrane 协作组织提供的Revman 软件内置了Cochrane 风险偏倚评估工具,并可提供可视化的结果。图1展示的便是Cochrane 系统评价手册里提供的风险偏倚评估结果的例图。图中可用不同的颜色(绿、红、黄)及符号(“+” 、 “-”、“?”)来分别表示“低风险偏倚”、 “高风险偏倚”和“不清楚”。 图1 Cochrane 风险偏倚评估结果
风险评估工具 风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括:调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行 调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。 从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。 检查列表——检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。 人员访谈——风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。 漏洞扫描器——漏洞扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。 渗透测试——这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。 除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括:
COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公司推出的一套风险分析工具软件,它 通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:。 (COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows: * - Special Offer... Only $US 1995 - $US 895 ) CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局(Central Computer and Telecommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于着名的“资产/威胁/弱点”模 型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致,它提供的可供选择的安全
软件产品风险评估工具实现及应用 摘要:随着国内软件行业的逐步发展成熟,软件测试在整个软件项目中的重要地位已受到广泛的肯定。软件测试的目标是以最少的人力、物力和时间找出软件中潜在的各种错误和缺陷。首先,对于比较大型的软件项目,往往很多特征的风险大小是相同的,这里的特征是指软件容易出现的缺陷;其次,对风险进行测试是要花费测试成本的,最先应该测试的不是最大的风险的特征,而是投入测试成本最少而风险最大的特征;再者,对可能性和影响两个因素的赋值方法过于粗略。希望在这些方面进行改进,本文提出软件产品风险评估模型,力求通过该模型给出软件更具科学、实用性的风险评估结果。 关键词:软件产品;风险评估工具;风险评估模型 为了简化评估过程,为了保证评估结果的正确性,实现了软件产品风险评估模型的工具化,使用C#开发出一个软件产品风险评估工具。对软件进行产品风险评估时,只需使用该工具就可以很方便的得到需要的评估结果。使用该工具对《XXX信息管理系统测试项目》进行了产品风险评估,给出了评估结果。同时,在本章中还使用原测试风险分析理论也对《XXX信息管理系统测试项目》进行了风险分析。两种评估分析结果在实际项目中都进行了实践应用,并对效果进行了对比分析。从而达到了对本文提出的软件产品风险评估模型和原测试中的风险分析方法的比较分析。使用软件产品风险评估模型工具,可以方便的按照录入的软件评估指标值,得到该软件的产品风险评估结果。 该风险评估工具的主界面。使用该工具时,在该界面中,首先录入第一个功能模块的“功能模块名称项”,然后在录入相应的评估指标值。编号与上一章中描述的各个二级指标顺序一致,录入完毕后,点击“下一页”按钮,完成了对该功能模块评估指标信息的录入。依次录入其它的功能模块相应信息。当录入完最后一个功能模块的评估指标信息后,不要点击“下一页”按钮,直接点击“完成”按钮。工具将根据以上录入的信息,计算出该软件的各个功能模块具体的风险评估值,并已经按照“产品风险损失成本-产品风险管理成本”从大到小顺序依次排序。工具自动给出评估结果。排在前面的即优先级别高的表示是相对需要投入测试成本不多,但存在缺陷的可能性最大的功能模块。 下面以《XXX信息管理系统测试项目》为例,对该项目进行两种风险分析 1