《风险管理在接入 IT 网络的医疗器械中的应用 第一部分：

联网医疗器械或健康软件在其实施和使用中的安全性、有效
性和网络安全》编制说明
一、工作简况

（一） 任务来源

根据国标委发[2022]51 号国家标准化管理委员会关于下达《2022 年第四批推荐性国家

标准计划及相关标准外文版计划的通知》有关要求，全国医用电器标准化技术委员会
（SAC/TC10） 归口并组织起草推荐性国家标准《风险管理在接入 IT 网络的医疗器械中的应
用 第一部分：联网医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全》
（计划号：20221587-T-464），该项目于 2023 年 1 月下达，制定周期 12 个月。

（二）工作过程

起草阶段：
2023 年 2 月，秘书处组织成立标准研究工作组（下简称工作组），制定标准制修订工
作计划，布置各起草单位工作安排。由第一起草单位对立项草案进行初稿修改，3 月初完成
草案稿的制定与确认，将草案稿在工作组内部进行研究和意见收集。
2023 年 3 月 23 日至 3 月 24 日，起草工作组在京召开第一次起草工作组会线下会议，
对工作组内部征求意见逐条讨论，全文逐条核对，修改后形成工作组讨论稿。
2023 年 5 月 31 日，工作组线上网络会议召开第二次起草工作组会，对工作组内部征求
意见稿初稿的遗留问题讨论修改后形成征求意见稿，以及编制说明的编制。

（三）后续工作计划

征求意见阶段：203 年 6 月至 8 月，在国家标准化管理委员会网站、医疗器械标准管理
中心网站和上海市医疗器械检验研究院网站，公开征集反馈意见和建议。
意见处理阶段：2023 年 8 月，起草单位对征集的反馈意见进行梳理，商议后得出结论
并形成送审稿。
验证阶段：2023 年 8 月至 10 月，根据验证方案对标准内容展开验证工作。
审查阶段：预计 2023 年 11 月上旬，SAC/TC10 召开标准审查会议，将由全体与会委员
对标准送审稿进行全面的审查。
报批阶段：预计 2023 年 11 月中旬，工作组将报批材料报送至秘书处。11 月下旬，由
秘书处整理报批材料上报至医疗器械标准管理中心，12 月提交至国家标准委。
（四）主要参加的单位和工作组成员及所作的工作等
本标准由上海市医疗器械检验研究院、北京怡和嘉业医疗科技股份有限公司、国家药品
监督管理局医疗器械技术审评中心、中国食品药品检定研究院等单位共同起草。
所作的工作: 上海市医疗器械检验研究院负责国际标准 IEC 80001-1:2021 的原稿研究、
文稿编制、技术内容讨论、国际相关标准动态最终以及会议意见的修改。上海市医疗器械检
验研究院负责会议的组织、工作的推进、验证方案的编制、会议记录及标准技术内容的协调。
国家药品监督管理局医疗器械技术审评中心从监管角度负责标准的技术内容、标准文本的表
述、内容的适用性、协调性等方面。中国食品药品检定研究院及北京怡和嘉业医疗科技股份
有限公司及其他单位从所属领域对本标准的内容进行把关。
二、标准编制原则和主要技术要求的依据及理由

（一）标准编制的原则
本标准依据 GB/T1.1-2020 进行编写。
IEC 80001-1 提出了包含医疗器械的 IT 网络的风险管理应用的概念，该概念是专门用于
联网医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全，通过定义一系列
活动的安全性、有效性以及网络安全的关键属性，规定了在医疗 IT 基础设施内连接医疗 IT
系统之前、期间和之后，组织机构对联网医疗器械或健康软件在风险管理流程中的要求。
目前我国还尚未有国家标准或相关行业标准能够统筹且全面的覆盖这样的专门用于联
网医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全，随着我国《网络安
全法》、《数据安全法》和《个人信息保护法》的相继发布实施，需要相关范畴的标准来规
范产品。
本标准的范围是新提出的，因此该标准与现有的法律法规不冲突，且很好的弥补了对应
行业的标准化空白。又因在其成体系标准中主要体现了国家药品监督管理局所监管的包含医
疗器械的 IT 网络的风险管理应用，因此在提及本标准范围内的医疗器械行业，本标准也将
提到相关的医疗器械专用的行业标准或国际标准，以保证标准的协调性，比如生命周期类标
准 IEC82304（健康软件）系列标准、IEC62304（YY/T0664 医疗器械软件生命周期）、健康
软件类标准 IEC81001 系列标准、医疗器械风险管理类标准 ISO14971 以及 ISO13485，事实上，
从标准制定过程中来讲，上述这些医疗器械标准和 IEC80001-1 是相辅相成的，这些标准的
认知和经验成为了 IEC 80001-1 制定过程的重要依据，反过来，IEC 80001-1 也为接下来所制
定的相关标准提供了知识框架和基本理解上面的理论统一。
（二）标准主要内容
本标准的技术内容来自 IEC 80001-1:2021，对该标准的术语增加了 IOS 81001-1 中的部分
术语。在编制本标准时，考虑到 SAC/TC10 相关标准内容的协调性即 ISO 81001-1 的转化和已
转化的《健康软件 第 1 部分：产品安全的通用要求》，以及与风险管理相关标准保持术语
的一致性方面，工作组进行了统筹考量。
健康软件旨在专门用于管理，维持或改善个人健康或提供护理的软件，包括处理健康，
健康管理和医疗保健资源管理的应用程序。
本标准适用于联网医疗器械或健康软件的生存周期的实施和使用阶段。
本标准涵盖整个生存周期，包括健康软件产品的设计、开发、实施、临床使用等阶段。
主要技术内容包括：1 范围 2 规范性引用文件 3 术语和定义 4 原则 5 框架 6 风险管
理过程

（三）主要试验（或验证）情况分析

（1）验证单位：
上海市医疗器械检验研究院、北京怡和嘉业医疗科技股份有限公司、东软医疗系统股份
有限公司。
（2）验证时间：2023 年 6 月至 10 月。
（3）考虑本标准范围，验证过程选择 2 种健康软件，包括医疗器械独立软件、包含在
医疗器械中的软件组件。
（4）预期的经济效益：
本标准提出了包含医疗器械的 IT 网络的风险管理应用的概念，该概念是专门用于联网
医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全，通过定义一系列活动
的安全性、有效性以及网络安全的关键属性，规定了在医疗 IT 基础设施内连接医疗 IT 系统
之前、期间和之后，组织机构对联网医疗器械或健康软件在风险管理流程的要求。
目前国外、国内对医疗器械软件的监管与法规覆盖并不能完全覆盖健康软件或健康 IT
系统的风险管理程序，本标准也是在这样的背景下产生的。随着国际方面的应用，相关成体
系标准的其他部分逐步完善，在国内及时转化和推广，能够在我国相关企业或机构快速成长
的同时保证其安全性、有效性和网络安全能力。
该标准发布后，会推动新健康行业的制造商和产品规范，引领和规范行业的发展，促进
行业的技术进步，有助于国内产品进入国际市场的合规，对于风险管理在接入 IT 网络的医
疗器械中的应用联网医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全的
管理来说，许多组织和角色参与了风险管理的整个生命周期。因此，对概念、原则和术语的
共同理解，对于规范流程和组织间的沟通，支持以协调的方式管理安全性、有效性和网络安
全是非常重要的也有助于广大群众的健康得到保障，具有显著的社会效益。

三、与有关法律、行政法规和其他强制性标准的关系，配套推荐性标准的制定情况。

本标准与现行的法规法令，强制性国家标准，行业标准没有冲突。

四、与国际标准化组织、其他国家或者地区有关法律法规和标准的比对分析

（一）与国际标准的技术对比
本标准修改采用 IEC 国际标准：IEC 80001-1:2021。
采标中文名称:风险管理在接入 IT 网络的医疗器械中的应用 第一部分：联网医疗器械或
健康软件在其实施和使用中的安全性、有效性和网络安全。
本标准和 IEC 80001-1:2021 的技术差异如下：——增加术语“管理员、客户、医疗服务
提供机构、实施者、集成商、制造商、组织、角色、用户、变更-发布管、配置管理、关键属
性、安全性、网络安全、网络安全能力、验证、随附资料、资产、组件、健康 IT、健康 IT
基础设施、健康 IT 系统、健康软件、社会技术生态系统、保证案例、威胁、漏洞、伤害、危
险、剩余风险、风险、风险分析、风险评估、风险控制、风险估计、风险评价、风险管理”
（IEC80001-1 继承了 ISO 81001-1 的术语，但 ISO 81001-1 并为转化为中国标准，因此基于
差异，增加了 ISO 81001-1 中提及的使用在 IEC80001-1 的术语）。

本标准与 IEC 80001-1:2021 的编辑性差异如下：

——用“GB/T 24353-2022”代替资料性引用的“ISO 31000:2018,”；
（二） 与其他国家相关标准的比较
不适用，目前该标准无其他标准。

五、重大分歧意见的处理经过和依据

无重大分歧意见。

六、作为强制性标准或推荐性标准的建议

本标准属于基础通用标准，涉及需要监管的医疗器械行业产品以及非监管的健康信息类
软件产品，属于跨行业，监管要求程度跨度较大。建议作为推荐性标准。

七、贯彻标准的要求和措施建议

（1）由于本标准是采标标准，涉及标准版本，发布稿暂不能在网站公开，建议出版社
及时供应标准电子版和纸质版，在实施前保证标准文本的充足供应，使每个制造商、检测机
构以及审评审批部门等都能及时获得本标准文本。这也是保证新标准贯彻实施的基础。
（2）为促进新标准的贯彻实施，起草单位有义务协助 SAC/TC10 及相关部门对本标准进
行宣贯。
（3）建议本标准面向从事健康软件行业的制造商进行宣贯，使得那些不按照医疗器械
软件注册和监管的健康软件产品的制造商也了解此标准。

考虑到该类产品在中国已经是成熟产品，但在该类产品于医疗服务提供机构的实施阶段
和临床试用阶段，结合健康 IT 基础设施的风险管理工作尚不完善，制造商和医疗服务提供
机构需要一定时间的理解和调整，因此工作组建议本标准在发布后 18 个月实施。本实施建
议也将面向社会公开征求意见，并与审核会讨论表决。

八、是否需要对外通报的建议及理由

不适用。

九、废止现行有关标准的建议

本标准是首次制定标准，无废止标准的建议。

十、涉及专利的有关说明

无。

十一、标准所涉及的产品、过程或者服务目录

标准主要涉及的产品情况：
健康软件和健康 IT 系统（包含了医疗器械分类目录（2017）中所有的联网医疗器械）。

十二、其他需要说明的事项

参考 GB/T 1.1－2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》和

GB/T1.2-2020《标准化工作导则 第 2 部分：以 ISO/IEC 标准化文件为基础的标准化文件起
草规则》要求编写本标准。

《风险管理在接入 IT 网络的医疗器械中的应用 第一部分：联网医疗器械或健康软件在

其实施和使用中的安全性、有效性和网络安全》工作组
2023 年 6 月 13 日