T-ZMDS 20007-2023 健康软件和健康IT系统安全性、有效性和网络安全- 第1部分：原则和概念

学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载ICS

35.240.80学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载CCS

ZMDS中关村医疗器械产业技术创新联盟团体标准T/ZMDS

20007-2023健康软件和健康

系统安全性、有效性和网络安全—第

1

部分：原则和概念Health

software

and

—Part1:

Principles

and

（ISO

81001-1:2021,

IDT）2023-12-29

发布2023-12-29

实施中关村医疗器械产业技术创新联盟 发

布学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 前言·····························································································································II引言····························································································································III1

范围1.1

1.2

应用领域

2

规范性引用文件3

术语和定义3.1

组织、人员和角色

3.2

关键属性和过程

3.3

健康信息和技术

3.4

风险管理

4

核心主题···················································································································114.1

················································································································114.2

社会技术生态系统

······························································································124.3

················································································································134.4

IT

系统的生存周期········································································144.5

角色和责任

·······································································································164.6

················································································································184.7

安全性、有效性和网络安全的相互依存关系·····························································205

基本要素···················································································································205.1

················································································································205.2

治理（组织内重点）···························································································215.2.1

概述

·············································································································215.2.2

组织文化、角色和能力·····················································································215.2.3

质量管理

·······································································································235.2.4

信息管理

·······································································································245.2.5

人为因素和可用性···························································································255.3

知识传递（组织间和组织内的协作）······································································265.3.1

概述

·············································································································265.3.2

风险管理

·······································································································265.3.3

安全管理

·······································································································285.3.4

网络安全管理

·································································································305.3.5

隐私管理

·······································································································33附 录 A （资料性）

理论依据

·····················································································35附 录 B （资料性）

概念图表

·····················································································39附 录 C （资料性）

利用保证案例进行知识转移·····························································43参

考

文

献··················································································································52学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 本文件按照GB/T

1.1－《标准化工作导则

第1草。本文件使用翻译法等同采用IEC

81001-1:2021。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村医疗器械产业技术创新联盟提出。本文件由中关村医疗器械产业技术创新联盟标准化技术委员会归口。本文件起草单位：北京怡和嘉业医疗科技股份有限公司，

通用电气医疗系统贸易发展（上海）有限公司，飞利浦（中国）投资有限公司。本文件主要起草人：秦川，谌达宇，陈兴文，陈蓓。II学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 IT的潜在的意外及负面影响也越来越明显。

当今复杂的健康软件和健康IT系统已提供了更为先进的决策支持，并在系统之间、组织之间和持续护理中各阶段间整合了患者数据。

在因此给患者和医疗系统带来的利益之外，这也增加了因软件引起的不良事件对患者和医疗机构造成伤害的可能性。

对该软件和系统的不当维护和使用都是造成伤害事件的典型示例。管理健康软件和健康IT综合的和协调的方法来进行优化。

许多组织和角色参与了健康软件和健康IT系统的整个生存周期（参见图1

的方式管理安全性、有效性和网络安全就体现得至关重要。

本文件也将在医疗保健领域不断发展的复杂的内外部环境考虑在内，包括人员、技术（硬件/软件）、组织、流程和外部环境。附录A提供了本文件、正在使用的术语和定义及其与其他健康软件和健康IT系统安全性、有效性和网络安全各方面标准有关的理论依据。54条中阐述的主题思想。

对于每个基本要素，都包括描述要素的""；解释其重要性的"理论依据"；与管理"关键概念和原则""方法"的高级指南。鉴于在健康软件和健康IT要素的重要性，5.3.2、、5.3.4和5.3.5节中包含了有关主要转换点的沟通和信息共享的额外子条款。III学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图1

涉及健康软件和健康系统的安全性、有效性和网络安全的生存周期框架IV学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载

IT

1 范围1.1 目的本文件提供了健康软件和健康IT期内安全性、有效性和网络安全的关键属性，如图1所示。它还确定了生存周期中发生责任转移的转换IT全性、有效性和网络安全（包括隐私保护）方面的专用标准建立了统一的概念和标准术语。1.2应用领域本文件适用于参与健康软件和健康IT系统生存周期的所有相关方如下：a)

设计、开发、集成、实施和操作这些系统的组织、健康信息学专业人员和临床主管人员--健康软件开发商和医疗器械制造商、系统集成商、系统管理者（包括云和其他信息技术服务提供商）。b)

医疗服务提供机构、医疗服务提供商和其他使用这些系统提供医疗服务的人员。c)

寻求对组织能力有信心，能为组织持续提供安全、有效和可靠的健康软件、健康系统和服务的政府、健康系统资助者、监管机构、专业组织，客户；d)

通过对安全性、有效性和网络安全管理中使用的概念和标准术语的共同理解，在管理安全性、有效性和网络安全风险的方面寻求改善沟通的组织和利益相关方。e)

在健康软件和健康IT系统的安全性、有效性和网络安全风险管理方面可提供培训、评估或建议的提供商。f)

安全性、有效性和网络安全标准相关的制定者。2 规范性引用文件本文件没有规范性引用文件。3 术语和定义下列术语和定义适用于本文件。3.1 组织、人员和角色3.1.1管理者

administrator负责已实施的健康IT系统（3.3.8）的持续运营并确保其得到持续保护和维护的角色（3.1.10）。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载客户

customer可能或实际收到预期提供或者要求提供的产品（3.1.8注1：客户可以来自组织内部或外部。[来源：ISO

9000:2015，3.2.4，修改--实例删除。]开发者

developer3.3.9IT3.3.8实体。.4。医疗服务提供机构

delivery

organization

提供医疗服务的场所或企业，如诊所或医院。实施者

implementer负责健康软件（3.3.9）和健康IT系统（3.3.8）的临床安装、工作流程优化和培训的实体。3.1.7。集成商

integrator负责将医疗服务提供机构（3.1.4）使用的组件（3.3.5）纳入健康IT3.3.7）的实体，包括技术安装、配置和数据迁移。制造商

manufacturer负责设计或制造产品的组织（3.1.8）（为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人。：组织的概念包括，但不[来源：GB/T

19000-2016，3.2.1，有修改]责任协议

agreement充分界定所有利益相关方责任的文件3.1.10角色

role职能或职位学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载[来源：GB/T

30107-2013]

。3.1.11护理对象

寻求接受、正在接受或已经接受医疗服务的人员[来源：ISO

13940:2015，5.2.1，有修改]3.1.12系统所有者

system

owner负责确保正在获取和实施的健康IT.8预期用途（3.2.7）的高级管理人员。3.1.13最高管理层

top

行政管理层指挥和控制组织（3.1.8）并且在组织中负有全面责任的一群人员。3.1.14用户

user为满足健康相关目的使用该系统的人员（3.3.17注：用户可以是直接的护理对象，也可以是协助（作为代理）护理对象的个人。3.2 关键属性和过程变更管理

记录、协调、批准和监测所有变更的过程（3.2.10）[来源：ISO/IEC

TS

22237-7:2018,

。变更-发布管理

change-release

management确保对健康IT基础设施（及其组件（3.3.5）的所有变更以受控的方式进行评估、批准、实施和审变更的过程（3.2.10）。临床变更管理

clinical

change

management.10）。重点关注结果，包括用户（3.1.14）采用的解决方案和受益的实现。注1：改编自参考资料[39]。配置管理

configuration

management学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载确保健康IT3.3.5供一套机制来识别、控制和跟踪健康IT基础设施版本过程（3.2.10）注1：改编自ISO/IEC

20000-1:2018，8.2.6。有效性

effectiveness产生预期效果的能力实施

.17[来源：ISO/IEC

2122692,

有修改]预期用途

intended

use预期目的

intended

3.3.15用（3.1.7）。工作原理是预期用途的典型要素。[来源：ISO/IEC指南，，有修改]关键属性

安全（3.2.12）、有效性（3.2.5）和网络安全（）三个风险管理（）特征。隐私

个人私人生活或事务不受侵扰的自由。其侵扰主要来自不适当或非法收集和使用有关个人的数据。[来源：ISO/TS

，3.56]

。3.2.10过程

利用输入实现预期结果的相互关联或相互作用的一组活动。[来源：GB/T

19000-2016，3.4.1，有修改]3.2.11质量

的要求的程度。[来源：ISO/TS

，2.45，有修改]3.2.12学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载安全性

safety免于不可接受的风险（）[来源：ISO/IEC指南63：2019，3.16]3.2.13网络安全

信息和系统（3.3.17）受到保护的状态，未经授权的活动如访问、使用、披露、破坏、修改或毁坏被限制在一定的程度，使其保密性、完整性和可得性相关的风险（3.4.10）在整个生存周期内保持在可接受的水平（3.3.12）。：availabilityusabilityavailability3.2.14网络安全能力

security

capability.173.2.15可用性

usability.5（3.1.14）接口的特性。注：包括有效性、效率和用户满意度在内的可用性的所有属性会提高或降低安全性（3.2.12）。[来源：IEC

3.16]

。3.2.16验证

verification通过提供客观证据对规定要求已得到满足的认定。注1：验证所需的客观证据可以是检查的结果，也可以是其他形式的判定，如进行替代计算或审查文件。注2：为验证而进行的活动有时称为鉴定过程（）。注3："已验证"一词用来指定相应的状态。3.3 [来源：ISO

9000:2015

19000-2016，3.8.12]健康信息和技术随附资料

accompanying

information随附文件

accompanying

document随附文档

accompanying

documentation标记在健康IT（3.3.6）、产品（）或用户（3.1.14）附件上的随附信息，或负责安装、使资产

asset对个人、组织（3.1.8）或政府有价值的任何物理或数字实体学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载[来源：ISO/IEC

，，有修改]云计算

cloud

computing支持网络访问可扩展的，弹性的物理或虚拟资源共享池的范例，并可按需进行自助配置和管理。[来源：ISO/IEC

3.25]云服务

cloud

通过云计算（3.3.3）使用已定义接口调用的一项或多项能力。[来源：ISO/IEC

3.2.8]组件

component3.3.17abc）视为（例如，通过策略或规范）独立于系统其他部分而存在。[来源：IETF

4949，有修改]健康信息技术

健康IT

health

IT息的技术。健康IT基础设施

health

infrastructure个人或组织（3.3.2）可用来开发、配置、整合、维护和使用IT服务并支持健康、患者护理和其他组织目标的一套IT资产组合（3.3.2）。ITa)

b)

c)

3.3.13d)

硬件和服务，包括移动和桌面设备、网络（）、数据中心、网络安全（）、软件开发、ITSaaSe)

ITg)

ITh)

健康IT系统

health

IT

相互作用的健康IT（3.3.6）要素的组合，其配置和实施是为了支持和实现个人或组织的（3.1.8）具体健康目标。学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载3.3.9IT。健康软件

专门用于管理、维护或改善个人健康或提供护理，或为植入医疗器械而开发的软件（3.3.13）。Software

as

DeviceSaMDGB/T

0互操作性

两个或多个系统（3.3.17）或组件（3.3.5）交换信息和使用已交换信息的能力。[来源：参考资料[50]]3.3.11IT网络

IT

network3.3.17连接或无线传输

注1。改编自

61907:2009，。3.3.12生存周期

life

cycle在产品（3.3.15）或系统（3.3.17）的生命周期中的所有阶段，包括最初构想到最后停用和处置。[来源：ISO/IEC指南，，有修改]3.3.13医疗器械

制造商（3.1.7）为用户单独或组合使用提供的仪器、设备、工具、机器、器具、植入物、体外使用的试剂、软件、材料或其他类似或相关的物品，用于实现以下一个或多个具体的医疗目的-

对疾病的诊断、预防、监测、治疗或缓解-

对损伤的诊断、监测、治疗、缓解或代偿-

对解剖或生理过程的研究、替换、修改或支持-

对生命的支持或维持-

对受孕的控制-

对医疗器械的消毒-

通过对来自人体的标本进行体外检查来提供信息其实现预期功能3.3.15

。[来源：ISO/IEC指南63：2019，3.7]3.3.14学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载个人健康信息

personal

health

information与个人身体或精神健康有关的可识别人员的信息a)

b)

c)

d)

e)

：个人健康信息不包括本身或与持有人所掌握的其他信息相结合的匿名信息，即无法从该信息中确定作为信息[来源：ISO

27799:2016，3.8]3.3.15产品

.8方和顾客之间未发生任何必要交易的情况下，可以实现产品的生产。但是，当产品交付给顾客时，通常包含服务因素。[来源：GB/T

19000-2016，3.7.6，有修改]3.3.16社会技术生态系统

ecosystem复杂的"生态系统"或"社会技术系统".83.2.10）。3.3.17系统

为实现一个或多个所声称的目标而组织的相互作用的要素组合[来源：ISO/IEC/IEE

。20154.1.46，有修改]3.4风险管理保证案例

assurance

case的论点及其底层论据和支持该声称的明确假设。

[来源：ISO/IEC/IEEE

15026-1:2019,

3.1.2]

。事件

event学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载某一特定情况集合的产生或变化[来源：ISO指南73:2009，，有修改]利用

通过漏洞（3.4.22）破坏系统网络安全（3.2.13）的确定方式（3.3.17）。[来源：ISO/IEC

，，有修改]。暴露

exposure组织（3.1.8/或利益相关方方受事件影响的程度（3.4.2）。[来源：ISO指南73:2009，]

。伤害

harm对人健康的损伤或损害，或对财产或环境的损害[来源：ISO/IEC指南63：2019，3.1]危险

伤害（3.4.5[来源：ISO/IEC指南63：2019，3.2]危险情况

hazardous

situation人员、财产或环境暴露于一种或多种危险（3.4.6）中的情形。[来源：ISO/IEC指南63：2019，3.3]可合理预见的误使用

reasonably

foreseeable

.17用。3.1.14[来源：ISO/IEC指南，，有修改

]剩余风险

residual

risk实施风控（3.4.13）措施后仍存在的风险（3.4.10）。[来源：ISO/IEC指南63：2019，3.9]学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载3.4.10风险

risk伤害（3.4.5）发生概率和严重度（3.4.20）的组合。3.4.7[来源：ISO/IEC指南63：2019，3.10]3.4.11风险分析

risk

analysis系统性地使用可获得的信息以识别危险（3.4.6）和预估风险（3.4.10[来源：ISO/IEC指南63：2019，3.11]3.4.12风险评估

risk

包括风险分析（3.4.11）和风险评估（3.4.15）的全过程（3.2.10）。[来源：ISO/IEC指南63：2014，3.11]3.4.13风险控制

risk

control3.4.10）或将风险（）。[来源：ISO/IEC指南63：2019，3.12]3.4.14风险预估

risk

用于对伤害（3.4.5）发生概率和严重度（3.4.20）赋值的过程（3.2.10）。[来源：ISO/IEC指南63：2019，3.13]3.4.15风险评估

risk

将已预估的风险（3.2.10）和给定的风险（3.2.10）准则进行比较，以确定风险可接受性的过程（3.4.10[来源：ISO/IEC指南63：2019，3.14]3.4.16风险管理

risk

将管理策略、程序及其实践系统性地应用于对风险（3.4.10）的分析、评估、控制和监视的活动。[来源：ISO/IEC指南63：2019，3.15]3.4.17风险管理文档

risk

management

file由风险管理（3.4.16）产生的一组记录和其他文件。[来源：GB/T

42062-2022

3.25]

。3.4.1810学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载风险容忍度

risk

组织（3.1.8）或利益相关方在风险控制（3.4.13）之后，为实现其目标，做好承担风险的准备度（3.4.10[来源：ISO指南73:2009，，有修改]3.4.19根本原因

root

cause在一系列事件（3.4.2）开始时出现的一些条件或动作，导致故障模式的启动。[来源：ISO

13372:2012，8.9]3.4.20严重度

severity对危险（3.4.6）导致的可能后果的衡量。[来源：ISO/IEC指南63：2019，3.17]3.4.21威胁

.2网络安全（3.2.13）的可能性。[来源：IEC指南120:2018，3.16]

。3.4.22漏洞

vulnerability系统（）设计、实施（3.2.6）或操作和管理中的缺陷或弱点（3.4.23），可被利用用于侵犯系统的网络安全（）的策略。[来源：IEC指南120:2018，3.18]

。3.4.23弱点

weakness一种缺陷。3.2.13[42]4 核心主题4.1概述了解健康IT的整个生存周期非常重要。

这是为了确保他们能够对以前没有意识到的任何相互依赖性和有效性和网络安全管理的一致性必不可少。11学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载如图21聚力的综合方法来解决安全性、有效性和网络安全问题提供了总体基础。图2

核心主题4.2 社会技术生态系统IT会技术环境（见图3），以及在生态系统的每个部分和通过这些部分的互动可能产生的对安全性、有效性和网络安全的潜在影响。此生态系统包括：a)

健康IT基础设施（例如，硬件、软件、网络、与其他系统的接口、医疗器械和数据），以及参与开发、实施和运营许多健康IT组件和服务的组织。b)

医疗服务环境（例如，临床医生、患者和其他相关人员、临床工作流程以及正在部署健康IT系统的具体组织环境），以及c)

更广泛的医疗系统（例如，法规、资金和政策影响）；在该系统中，HDO（及其支持的健康系统/基础设施）必须合规运维。。12学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图3

健康软件和健康IT系统在其社会技术生态系统中的作用IT的根本原因是多样化的。此方面的示例包括软件和底层硬件的错误和故障、数据质量和完整性的缺陷、者上的错误、人机接口错误、系统和工作过程间的不协调以及培训不足。4.3 体系在当今综合且复杂的健康IT组件的生存周期IT系统及其子系统至少设施，包括网络、数据中心和中间件。重要的是，要确保生存周期的管理过程共同起作用，为每个患者提供有效的临床实践经验。图4强调了"体系"IT了与互联网、云服务和经常涉及的其他组织的外部连接范围。13．ｂｚｆ学兔兔ｗｗｗｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021．ｂｚｆ学兔兔ｗｗｗｘｗ．ｃｏｍ标准下载图4

4.4 健康软件和健康

IT

系统的生存周期健康软件和健康IT4.5所有角色和责任都需要共同合作，分担优化安全性、有效性和网络安全的责任。于整个生存周期，也适用于持续维护子周期循环，如图5所示。14学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图5

生存周期阶段

-

健康软件和健康IT健康软件和健康IT小的健康ITIT维护和设计/"获得"IT系统、其社会技术生态系统以及其生存周期内所需的适应性变化程度而不同。在此生态系统中，诸如变更-发布管理和配置管理等过程是非常重要的。健康ITIT系统和健康IT何时候下列设备中都会有多个重叠的生存周期发生：a)

IT系统、软件及其组件；b)

医疗器械及其相关软件和硬件；c)

终端用户工作站、平板电脑、智能手机和其他访问设备；d)

信息技术网络、接口和网络安全子系统；e)

支持通用的信息技术，包括硬件和软件；f)

数据、信息和支持性术语、算法和编码系统。机所处的基础设施也有自己的生存周期等。15角色描述高级管理人员，负责确保获取和实施的健康软件和健康IT系统能够满足其组织预期用途IT兔学兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021兔学兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图6说明了健康IT基础设施是如何由一系列不同的系统组成的，这些系统相互连接以共享数据，相IT件组成，每个组件都有自己的生存周期。图6

生存周期内的生存周期种医疗环境中收集的数据，以及之后整合并转化为对患者护理决策至关重要的信息，也需要适当管理。4.5角色和责任安全性、有效性和网络安全的责任由许多角色共同承担（参见表1）。表1生存周期角色16HDO负责将组件纳入医疗交付机构织所使用的健康IT基础设施的实体，包括技术安装、配置IT[38]学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021IT络或服务器运营外包给第三方云服务提供商。担，这取决于组织的结构，在某些情况下，取决于有关的具体健康IT组件或系统。图7概述了角色、生存周期阶段和转换点间的关系，其中会出现责任转移和信息共享，以保持关键属性管理的连续性。17学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图7

健康软件的角色、生存周期阶段和转换点[38]4.6 沟通IT共享，就会显著加强对所涉及的许多角色和组织之间的基本要素的管理。在生存周期的所有阶段，必须清楚地确定负责管理安全性、有效性和网络安全方面的组织的角色。随着健康软件和健康IT系统在其生存周期阶段的发展（见图8），这些组织需要早期生存周期阶段的特和监测的信息分享给在生存周期其他阶段发挥作用的组织。18学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图8

-

连续沟通中转换点的信息转移在制定沟通计划时，三个重要问题需要解决：a)

要沟通的信息内容；b)

接收和转移沟通信息的人员；c)

如何充分地沟通信息。沟通；在某些情况下，进行正式的召回，对现场设备进行修正维护。鉴于所涉及的角色和转换点数量，健康软件和健康IT7和图8阶段。案例可以用来向其他角色传达有关不同风险的信息和知识。附件C对此方法进行了进一步探讨。另一种方法是责任协议，利益相关方在协议中规定哪些任务是由特定的一方负责。在某些情况下，这些责任是有时限的，在一定时间后就会失效。执行。康IT系统和基础设施组件的制造商、监管者和参与汇总病例报告的机构。19学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载4.7 安全性、有效性和网络安全的相互依存关系同样的风险（及其风险控制措施）会影响安全性、有效性和网络安全。

在评估和管理这些风险及其风险控制措施时，必须认识到这三个关键属性的相互依赖性（图9）。例如，系统或数据在医疗点无法使用的风险不仅是网络安全风险。

如果患者护理决策受到损害，它可能对安全性产生重大影响，因为这可能影响系统的有效性（及其优势），打击临床医生对使用系统作为临床工具的信心。图9

-

安全性、有效性和网络安全的相互依存关系对安全产生不利影响。IT（总利益）始终超过其实施过程中的剩余风险。5 基本要素5.1 概述涉及健康软件和健康IT10），它们支持第42IT系统生存周期的利治理和知识传递。20学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载图10

基本要素保安全性、有效性和网络安全至关重要。这些要素应在制造商、HDO和其他支持组织的管理结构中得到期阶段不同而有所不同。计和维护产品很重要，并将这些信息的子集传达给获得产品的人员。从HDO的角度来看，所涉及的角色信息。附录C展示了如何使用保证案例报告来获取和交流信息。5.2 治理（组织内重点）5.2.1 概述图11显示了与治理有关的四个基本要素。图11

基本要素-治理5.2.2 组织文化、角色和能力声明21学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载鉴于人在提供医疗保健和健康ITIT系统的整个生存周期中履行其职责。 理论依据对健康IT安全和网络安全事件的研究[43][44][45][47]强调了开发和实施健康IT系统的生态系统相关。例如，美国退伍军人健康管理局系统的团队合作培训项目显示手术死亡率降低了全文化得分，带来了更好的操作和临床流程指标，显著降低了伤害[47]。 关键概念和原则最高管理层通过以下方式建立一个有利于安全性、有效性和网络安全的组织环境:a)

致力于采取积极主动的措施，通过良好的流程和有能力的工作人员来评估、避免和控制风险，并支持他们保持和提高管理这些风险的技能；b)

承认组织活动的风险，并表明他们有实现持续安全性、有效性和网络安全的决心；c)

始终强调安全性、有效性和网络安全的重要性，使整个组织的所有人都把这些看作是他们个人（和集体）的责任；d)

建立一个没有责备的环境，使个人能够报告错误或未遂事故而不必担心受到训斥或惩罚。e)

在最高管理层指定一个安全性、有效性和网络安全的协调中心，并确定工作人员在整个生存周期内管理这些方面的责任；f)

在整个生存周期中，促进组织和学科（包括信息技术、临床工程和护理服务）各个层面的合作和用户参与，以识别风险，设计解决方案，并对患者的安全性、有效性和网络安全性问题作出回应；g)

提供足够的资源，并从参与开发和保证健康软件、健康系统和数据的所有专业领域分配合格的人员；h)

确保所提供的资源水平与所考虑的系统规模和复杂性相称，并提供额外的资源以优先解决新出现的安全性、有效性和网络安全问题；i)

ITIT系统安全性、有效性和网络安全的相关文件；j)

考虑新的和正在出现的威胁、组织结构调整和人员变化、服务和合同规定等；k)

实施和维护包括承诺满足法律、监管和立法要求的方针。安全文化涉及持续的沟通、教育和意识建设，涉及持续的监测、记录和分析。网络安全活动的技能水平。安全性和网络安全管理是所有健康ITITIT络安全的特性得到充分解决。工作人员的合作而获得持续改进的机会。方法22学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载安全性、有效性和网络安全的多维方法包括以下内容：a)

对健康IT工作人员进行安全性和网络安全风险教育，培养他们在日常工作中识别和管理风险的能力；b)

持续的组织资源承诺，使组织能够预测、应对和解决安全性、有效性和网络安全问题；c)

支持临床医生参与临床系统生存周期的所有阶段，包括在实施新的或修改系统之前，在指定的检查点需要获得资深临床医生的批准；d)

有效性和网络安全问题；e)

建立一个开放和综合的方法来管理组织内整个系统生存周期内安全性、有效性和网络安全的关键属性，并促进与其他组织的合作和分享有关安全性、有效性和网络安全的知识。5.2.3 质量管理 声明质量管理关注的是组织目标能够不断得到满足的程度，例如包括顾客的期望。 理论依据在医疗保健领域，首要目标是改善患者的健康状况，而质量是许多过程的关键点

软件和健康IT满足顾客对有效的健康软件和健康IT因为质量管理过程提高了系统、过程和构成系统和社会技术环境人员的质量。 关键概念和原则质量管理关注的是确保过程持续产生预期结果。在健康软件和健康IT系统的整个生存周期中，质量有两个互补的方面：-

过程质量

-

与系统开发、实施和运行相关的过程有关。-

数据和信息质量--括诊断、治疗、护理、资源分配和其他影响患者或顾客的事项。质量管理涉及四个主要方面：质量规划、质量保证、质量控制、质量改进。有效的质量管理方案的关键原则包括以下内容：a)

以顾客为中心--了解当前和未来的顾客需求，满足顾客的监管、方针和组织要求，并努力实现持续改进；b)

领导力为组织建立一个统一的目标和方向，以及一个能促进员工参与的内部环境。c)

过程方法--把活动和相关资源作为过程来管理，以达到预期的结果。d)

系统思维--将相互关联的过程作为一个系统来识别、理解和管理，以实现目标。e)

持续改进--进一步实现绩效目标。f)

决策的事实性方法--基于对数据和信息的分析。g)

互利的供应商关系

--组织和供应商是相互依存的。 方法健康IT也依靠医疗机构和医疗专业人员使用质量管理过程，以安全有效的方式实施、操作和使用健康IT系统。提供进一步指导的标准包括用于质量管理的

和ISO

9001；有关服务管理的ISO/IEC

20000系列；以及适用于医疗器械的

13485。23学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载5.2.4 信息管理 声明重要。前和未来的监管、法律、风险、环境和运营要求。 理论依据IT这种情况特别重要。即使是按照最高标准建立和保证的健康IT系统，其相关的危害在某种程度上也取决于其中包含的数据，策。如果医疗服务提供者会在庞大的数据存储中发现错误，则已经不再安全。性提供支持。关键概念和原则理包括以下内容：a)

信息监管和问责；b)

信息管理方针和流程；c)

系统访问方针；d)

公开性和透明度；e)

数据和元数据文件；f)

主数据管理；g)

准确性和数据质量；h)

i)

j)

对既定方针的遵守和审计。 方法重视，并嵌入到组织文化中。安全是在整个生存周期内投入精力管理数据和信息的主要原因。数据质量应在所有数据质量维度上进行持续监测和管理--包括准确性、完整性、可比性、相关性、可靠性、及时性和可得性。24学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载适当的数据管理涉及方针、控制、跨组织参与、培训和意识。据和信息，以支持其安全、有效和网络安全地用于预期目的。5.2.5 人为因素和可用性声明 理论依据健康IT害患者的安全性、有效性和网络安全。统，如减少用户的认知负荷和整合到临床工作过程中，有助于提高医疗安全。 关键概念和原则环境和系统设计的各个方面，以及安全和有效地完成任务所需的人机接口。带来的认知负荷。健康IT系统通常需要改变临床和业务工作流程。全面的临床变更管理过程（图12）将确保在设计、安全和网络安全风险降至最低）。图12

-

通过临床变更管理过程解决人为因素25兔兔ｗｗｗ学．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021兔兔ｗｗｗ学．ｂｚｆｘｗ．ｃｏｍ标准下载鉴于健康软件和健康IT系统的复杂性不断增加，以及其实施的当地社会技术生态系统的独特特征，阶段得到解决，随后在实际部署、实施前和实施后进行监测和评估。使用决策支持工具错误或错误解释关键临床信息的风险应非常谨慎地加以管理。工作流程分析是将新的健康IT碍。用户支持对于减少错误和安全事故以及优化护理质量和有效性非常重要。方法床环境的情况下测试设计方案。以控制实施阶段的许多风险。优化系统的安全、可靠和有效使用也很有价值。5.3 知识传递（组织间和组织内的协作）5.3.1 概述图13显示了与知识传递有关的四个基本要素。图13 基本要素

-

知识传递5.3.2 风险管理 声明风险管理是识别、评估、控制和监测风险的过程。在本文件中，风险与对人的健康的伤害或损害，26学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载医疗服务提供者对使用该系统的信任），则与此有关。 理论依据健康软件和健康IT些潜在的风险应识别出来、管理和最小化（减轻）。至可接受的水平。关键概念在高层次上，风险管理活动可以用四个问题来框定：1）软件或系统的预期目的是什么？软件或系统的使用方式会影响风险--患者替代疗法的类似工具的风险状况不同。2）什么会出错？录，从而导致患者的过度用药？合理可预见的误用也是需要慎重考虑的。3）可以做些什么？24尽可能低的程度。此外，如果风险是可以接受的，可以决定接受该风险而不进行进一步的风险控制。4）控制措施是否有效？简单记录和实施风险控制措施是不够的。应不断证明控制措施能有效地解决风险暴露和降低风险，并且风险控制措施不会引入新的风险。对风险控制措施的有效性进行验证，并进行进一步的风险评估，以确保风险控制措施不会对现有风险产生负面影响或引入新风险。环境。经验和行业的最佳实践，通过不断的监测和反馈来改进管理风险的过程。影响健康软件和健康IT要根据内部监测和行业知识、趋势和协作对实际和潜在的风险进行持续监控。方法由于风险管理跨越了从最初设计到产品停用的整个产品生存周期，有效的风险管理包括以下内容：a)

使用"自下而上"（演绎）的方法，如故障模式和效果分析（FMEA"自上而下"（归纳）的方法，如故障树分析（FTA）和危险与可操作性研究（HAZOPS）进行主动的风险识别活动。b)

全面的风险估计、风险分析和风险评价活动，考虑已识别的危险情况造成伤害的可能性和严重程度。c)

设计、实施和测试控制措施，确保在临床使用前将风险降低到可接受的水平。c)

持续监测和监督，以发现新的风险、新出现的威胁和已实施控制措施的表现。27学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载d)

e)

事件文档包括未遂事件，可用于报告、后续分析以及与其他生存周期阶段所有者和同行组织分享信息。ISO/TS

20405为事故报告的过程和内容提供指导。统、硬件、数据或IT服务，这些注意同样重要。 沟通通过信息共享和沟通进行知识传递，对实施前和实施后的风险管理都很重要。 主要转换点的信息共享（实施前）IT顾客/用户。保证案例可用于组织和格式化与风险有关的信息，这些信息需要纳入整个生存周期和多个风险阶段的所有者中。有关保证案例的详细信息，请参阅附录C。"产品支持的基础设施"如位置信息。在某些情况下，HDO可以要求提供有关此种产品支持的基础设施的信息，以更好地评估外件。此外，制造商也可以收到来自HDO的问题，即他们支持产品开发、生产和交付的业务基础设施的网络安全性和稳健性。和用户之间。持续的跨职能信息共享对于制造商来说，合理的监测在现场的软件、系统或设备性能，重要的是顾客/用户要向制造商沟正那些没有预料到的或发生频率高于预期的问题。5.3.3 安全管理 声明多方面，包括组织和其中的人员。建立第节所述的"安全文化"，再加上组织采用一套全面的安全管IT风险和事件进行双向沟通。 理论依据IT系统的一个共同目标是通过支持患者和人群的健康和幸福来维持安全和提高有效性，这往往涉及复杂的技术、算法、数据整合和决策支持工具。28学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载伴随着此种复杂性而来的挑战是如何优化所有健康入的在安全性方面的负面影响，由所有相关方在生存周期阶段进行适当的管理。 关键概念和原则IT系统对患者安全的整体净收益最大化，并最大限度的降低系统可能无意中引入的风险。有效的安全管理的一般特征包括以下几点：a)

了解健康IT系统以及如何部署和使用该系统。b)

将安全管理工程原则应用于健康软件和健康IT系统设计。c)

安全和隐私。d)综合的风险评估过程，运用本组织严格的风险管理方法，让临床医生充分参与其中。e)

实施和彻底测试所需的风险控制措施，同时记录任何剩余风险。f)

对临床安全风险进行持续监测、教育和认识，并与临床变更管理人员密切协调，以优化临床安全收益。g)

当安全事故（包括险肇）发生时，进行调查和应对。调查包括使用各种技术，从更直接问题的根本原因分析，到更复杂社会技术问题的系统理论事故模型和过程（STAMP）。应对措施包括为防止再次发生而采取的任何必要行动--例如，停止使用健康IT系统组件并实施应急预案；通知受影响的用户、患者或组织；向监管机构、制造商和顾客报告和沟通事件；以及上报最高管理层。策点上进行适当的确认方面具有重要作用。IT系统生存周期的上游和下游组织就安全风险进行双向沟通，在某些情况下甚至是多边沟通。签订协议提供/获取/使用健康软件和健康IT控制和事件管理交流关键安全信息。 方法IT系统的实施和使用而带来危害的风险。这需要最高管理层的参与，特别是临床医生的参与。于在参与健康软件和健康系统生存周期的组织内部和之间共享关键的安全信息。管理方案。全面的安全管理方案应该a)

定义满足安全目的的危险评估、风险控制和事件管理过程，以及安全注意事项如何与网络安全和隐私的平行过程相协调。b)

确保安全嵌入到健康IT过程中，并且在涉及安全注意事项的情况下，临床医生会适当地参与进来。c)

记录组织中谁负责在发布新系统或对现有系统变更之前进行安全签批。d)

定义安全保证案例和/或有关组织间的其他沟通方法（参见附录C），以及e)

确保工作人员在识别和协作应对新出现的安全问题时保持警惕。29学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 沟通系统的生存周期中是非常重要的。a)

在所有生存周期阶段存在多种方式引入安全风险。b)

IT系统、组件子系统和数据之间的高度复杂性和相互依赖性。c)

生存周期各阶段参与的各方数量，特别是考虑到实施和临床使用阶段出现的额外风险。d)

新风险的不断出现以及相对缺乏可比较的已公布数据，说明通过卫生信息技术引入的安全风险的发生率和原因。 主要转换点的信息共享（实施前）IT数据和临床工作环境的变化范围，以满足HDO目标和新系统的预期用途。共享安全风险和需求控制信息在软件准备好向市场发布后，就可以通过附录C所述的保证案例，以及通过标签、安装和使用说明可以预见的风险）。在采购阶段，重要的是制造商和HDO之间就系统的风险和优势进行良好的沟通，以及产品的预期用途和HDO计划的信息技术和临床运行环境之间的协调。这可以确保确定任何额外的风险并得到双方的承认。采购后，随着新版本进行维护和增强，更新文件并传达给顾客是很重要的。此外，险的新情报。如第4沟通在整个生存周期的所有阶段都是至关重要的。负责组织应确认，在批准"上线

"之前，引进新的健康IT系统的安全问题已经获得了适当的理解并进行妥善管理。 持续的跨职能信息共享复杂健康IT的实施通常是分阶段进行实施的，新系统对HDO的基础设施、临床工作环境的影响，以的实施和系统临床采用使其最大化有效性的重要催化剂。与其他系统的整合、数据来源和新系统的使用。由于与健康软件和健康IT故数据的透明度非常重要。ISO/TS

20405理事故时有效地共享。

20405共享，从而识别和更好地管理新出现的风险。5.3.4 网络安全管理 声明全的所有方面。30学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载 理论依据IT资产，迅速升级的环境，因此预防对网络安全至关重要。保持合适的网络健康也是维护隐私的一个重要手段。 关键概念网络安全涉及对三个主要因素的保护：a)

保密性：保护信息不向未经授权方披露；b)

完整性：保护信息不被未经授权的用户修改；c)

可得性：保证授权方在需要时能够访问信息。从系统的角度来看，完整性是保护系统按照预期功能执行的能力，不因变化或中断而降低或受损，而可用性则确保基础设施资源在正常情况下可以维持运行，以达到预期目的。出了网络安全管理的范围，但应该由一般的风险管理来覆盖。业特定威胁的来源。这促使积极主动地处理网络安全风险。为了能够对事件进行取证分析和根本原因分析，在系统和网络中包含审计日志功能非常重要。此，制定和实施事件应对计划非常重要。有效的加固是各层上进行的，包括每个健康组件、每个系统，以及通过网络和基础设施。否则，在某层被攻破后，整个网络就会迅速受到影响。网络安全层也有助于防止主动攻击引起的升级活动。有效的网络安全管理对确保有效的隐私管理至关重要。网络安全控制对数据保护和隐私至关重要，是，此种关系有时也会起到反作用。某些网络安全控制会对产品或系统的可用性产生不利影响。因此，反，每个网络安全控制决策都应该考虑对可用性的影响，以便选择最佳的设计控制方案。生的不利影响。 方法关方之间的认真协调，并根据威胁的类型做出快速反应、沟通和补救。IT险管理文件。31学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载解健康基础设施背景下的风险类型。制造商和通常会持续监测新威胁，以便在整个生存周期内快速识别和联合控制新威胁。IEC/TR

80001-2-2级、个人数据去标识化、数据备份和灾难恢复、紧急访问、个人数据完整性和真实性。恶意软件检测/指导、个人数据存储保密性、传输保密性和传输完整性。IEC/TR

80001-2-8中有记载了有关IEC/TR

中提出的每项网络安全能力的建立的进一步指导。

27799还为组织信息网络安全标准和信息网络安全管理实践提供了有用的指导方针，包括考虑到医疗机构的信息网络安全风险环境的控制措施的选择、实施和管理。 沟通IT全保证案例等机制来记录和交流信息。 主要转换点的信息共享（实施前）在供应商和顾客/用户之间的转换期间，有大量的信息需要共享，以确保后续生存周期阶段的网络MDS2--sBOM信息，以准确评估传入软件、系统或设备，并确保网络安全的集成和实施。具体的信息，包括漏洞监测方法、漏洞披露实践和补丁管理预期。重要的。持续的跨职能信息共享网络安全管理提出了一些独特跨职能的信息共享期望。由于漏洞不断出现，制造商和HDOHDO/解决此问题。然而，这些补丁需要一定程度的验证，因此，制造商和必须有沟通渠道，以共同管理新漏洞是非常重要的。在其他情况下，HDO可以通过扫描或者感染了恶意代码的设备来发现新的漏洞。这是另一个利用现有沟通渠道的机会，以便能够通知制造商并确保及时回应。然后，制造商将评估对其他设备的潜在影响，并可以启动事件响应程序。在全球网络安全事件中，跨职能沟通至关重要。恶意软件旨在攻击常见的软件组件，如操作系统，可以快速传播，并在数小时或数天内影响许多系统和网络。HDO和制造商都应该有考虑到这些类型攻击32学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载设备，包括所有必要利益相关方。5.3.5 隐私管理 声明隐私管理是保护个人健康信息免受隐私侵犯的过程。理论依据隐私是安全和有效地进行医疗服务的一个关键因素，因为：a)

如果患者的隐私受到损害，他们的身体或情感会受到伤害（即未经授权的披露是一种风险，可以通过网络安全和其他措施加以防范），以及b)

当患者与护理提供者分享敏感健康信息的意愿依赖于他们对隐私要求得到满足的信任时，健康IT系统的优势（效益）就会受到影响。 关键概念和原则对于健康软件和健康IT服务时，这可以包括ISO

27799:2016中确定的以下类型的信息：-

有关提供健康服务的个人注册信息；-

有关个人支付或获得医疗保健资格的信息；-

为健康目的而分配给个人作为唯一标识的数字、符号或特殊标识；-

在向个人提供健康服务的过程中收集的有关个人的任何信息；-

从身体部位或身体物质的检验或检查中获得的信息。-

确定某人（例如健康专业人员）为个人提供健康保健。保护隐私首先要了解收集个人健康信息的目的和权利（限制），包括信息的主要和次要用途。要的作用，具体规定如下：a)

如何获得患者对使用和披露的同意，以及在特定情况下明确、默示或视为同意的程度。b)

对经或未经患者授权而使用和披露此类信息的限制和条件。c)

患者有权查阅其记录并要求更正。d)

在发生隐私泄露时，什么时间以及如何通知患者。以隐私为目的的患者同意，如果是知情同意（无论同意是明确、默示还是认定的），则更有意义。生存周期中，阶段性所有者间要有良好的双向沟通。对患者和医疗机构进行隐私保护方面的培训和认识，与物理防范措施同样重要。急情况下，如果无法获得重要的信息，就会造成护理服务的延误。 方法些主要内容包括以下内容：a)

隐私设计--一种积极的方法，通过在新系统的设计中嵌入隐私注意事项，避免隐私控制的“分层”，包括：33学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载——系统默认和用户公开透明的文件等功能，支持下游各方（如系统集成商和HDO选择和验证，以及——在整个生存周期内利用软件和系统的网络安全功能。b)

PIA）与网络安全威胁-评估和记录系统实施后可能发生的隐私风险（和相关影响），并评估风险控制选项。PIA通常也在确保符合隐私方针以及监管和法律要求方面对组织起到重要作用。c)

组织隐私方针和持续教育--隐私经常受到人类行为的影响，而医疗保健经常涉及处理和交流非（PIMS）以进行隐私管理，详见ISO/IEC

27701。 沟通重要的是，从事连接设备和健康系统工作的利益相关方应分享与实施、操作和使用有关的危险、置包含个人身份信息的健康IT系统和设备的准则时，这也变得很重要。 主要转换点的信息共享（实施前）对隐私要求的考虑开始于创新和设计阶段（制造商）和采购阶段（HDO）。正式的隐私影响评估是织之间进行信息沟通，首先是在新的健康软件或健康IT系统被采购或开发时，制造商和通。这种沟通应该持续到集成商和其他第三方参与的后续阶段。 持续的跨职能信息共享生可能是必要的。在角色之间以类似于网络安全和安全事故信息的方式交流这些信息是很重要的。也应定期审查和更新其隐私影响评估，这也是各角色之间合作的好机会。34学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载

AA附

录

A（资料性）理论依据A.1概述本附件提供了与本文件有关的术语和概念的理论依据。

该附件的预期用途是为那些熟悉本文件主题但没有参与制定的人所准备。A.2 理论依据条款

3

术语和定义中没有广泛使用，但确实有助于实现在整个生存周期建立这种共同语言的大目标。已经考虑了侧重于互联健康产品和健康软件的国际标准。ISO

80001和

系列以及IEC

62304范时，参考并利用了ISO

14971、ISO

13485、

系列、

31000和一些ISO和指南。的。这方面的示例是"

"一词（参见3.4.10）"。然而，从ISO

31000:2018，3.1中可以看出，风险的定义包括积极和消极风险。这在更多具体业务应用中通常如此（如ISO

31000）。虽然以这种方式进行风险管理当然有价值，但为了保持安全性、有效性和网络安全的关键属性，我们选择了ISO指南63的定义作为最合适的背景。这并不妨碍本文件的使解的。可用性（3.2.15）和人因

IEC

HDO确沟通。健康IT基础设施（3.3.7）、健康IT网络（3.3.11）和医疗IT联网的医疗交付机构在其信息技术管理中面临着复杂的系统、相互连接的网络和相互依赖的挑战。共同语言目标的一部分，已经定义了数个术语。

80001-1"IT"一词来描述医院内托管35学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载本文件使用"健康IT基础设施

"一词来确定不仅支持而且包括健康软件的基础设施。健康IT基础设施可系统以及其他信息技术基础设施组件和IT系统的安全性、有效性和网络安全，识别和管理这种基础设施非常重要。图2提供了这些组成部分及其相互关系的直观示意图。健康软件（3.3.9）和医疗器械独立软件很重要。因此，

62304等国际标准在最近的修订中改变了其范围，以包括健康软件，而不是限制为医疗器械软件。在相关的国际标准IEC

82304-1中，重点稍有转移，仅关注在市场上没有专用硬件的软件上。两项国际标准都使用"健康软件"一词，但其范围不同。本文件采用了较为笼统的健康软件定义，包括嵌入式软件产品和纯软件产品。SaMDIMDRF"旨在用于一个或多个医疗目的的软件，这些软件在执行这些目的时不作为硬件医疗器械的一部分"[14]"独立软件"，但这给一些人造成了混乱，因为它有时解释为不与其他系统连接的软件，而这并不是此术语的本SaMDFDA，已经在其区域法规和指南中使用了这些术语。SaMD软件，以及嵌入物理设备的软件。其他术语，即医疗器械中的软件（SiMD）已引入，但目前不如SaMD常用。定义为"旨在用于一""医疗器械软件组件"。然而，为了充分理解替换的标准术语，在此将其作为补充信息列入。Security（3.2.13）、网络安全、信息安全、数据和系统安全以及漏洞（）为了与行业规范保持一致，本文件不再使用

系列和其他标准中的"数据和系统安全"，而是通过定义和使用"网络安全"这一基本术语来简化，指的是保护物理和数字格式资产的过程。

从技术Cybersecurity可以认为是安全性Security的一个子集。

网络安全涉及到保护数字或电Security和网络安全经常交替使用。

某些地区的医疗器械监管指南在此问题上也是如此。

因此，经过仔细考虑，本文件不寻求对这些术语进行单独定义。

网络安全列为安全性Security的一个公认术语。

者的混淆。信息安全通常是在传统的信息技术安全背景下定义的，但在本文件中没有利用它。

一般来说，安全性Security用来描述作为连接的健康IT资产生存周期的一部分而处理的大多数过程和活动。安全性Security定义是基于风险的。

这认为，在实践中不可能在保持必要的有效性水平的同时，实现对未经授权活动的绝对保护。IT如ISO

14971。36ISO

ISO

ISO

ISO

在风险方面指导和控制ISO31000将管理方针、程序和做法控制和监测风险的任务中ISO

一个方面，即系统地将管理方针、程序和做法应用于分析、评价、控制和监

ISO14971伤害发生的概率和伤害严(ISO

31000)的概率和伤害的严重程度

中采取的确定安全分类的方法有关，其中软件故障影响目标事件的结果，其中事件是指：一组特对人的健康造成伤害或损害，或对财产或环境造成可能对人的健康造成伤害或损害，或对财产或环境ISO．ｂｚｆｘｗ学兔兔ｗｗｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021．ｂｚｆｘｗ学兔兔ｗｗｗ．ｃｏｍ标准下载完整性和可用性的保护并不是专门针对安全性SecurityITCVSS准时，考虑预期用途和使用环境是很重要的。健康IT系统部件的供应商可能不知道健康IT于一般的安全。在网络安全性方面使用的漏洞是在网络安全缺陷的特定背景下使用的，而不是在更普遍的意义上。风险管理（3.4.16）和概率使用

31000风险管理过程的制造商和开发商应该了解

31000和

间使用的不同词汇和概念。本文件的重点是确保健康软件和健康IT系统的安全、有效性以及数据和系统安全（包括隐私）必要领域。处于本文件的目的，使用了ISO

14971的词汇和概念来支持此重点。本小节的理论依据解释了如何能够翻译这些词汇和概念。ISO

31000是一个通用的风险管理国际标准，对安全的任何提及都是资料性的。该国际标准并不具体涉及安全问题。

是一项与安全有关的风险管理国际标准。由于这些重点的不同，两个国际标准对类似概念使用不同的术语，对同一术语使用不同的定义。表A.1对这些术语和概念进行了比较。表A.1

ISO

31000

和ISO14971

术语和概念间的关系3731000单独或结合在一起具有引起风险的内在潜力的ISO

人员、财产或环境暴露在ISO

中人员、财产或环境暴露

概率往往狭义地解释为一个数学术语。就健康软件而言，概率应解释为指事情发生的机会，而不是学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021兔兔ｗｗｗ．ｂ学ｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021兔兔ｗｗｗ．ｂ学ｚｆｘｗ．ｃｏｍ标准下载附

录 B（资料性）概念图表B.1 概述概念图为本文件中使用的概念系统提供了图解表示。这些图表采用术语和定义，并将这些术语术语的一个方面，以及这些术语在其使用环境中的互动。图B.1ISO

80001和80001系列）中对这些术语的使用形成共识。ISO

13940:2015《健康信息学护理连续性的概念系统》中定义的方法。这些图仅指概念层面，不包括实施细节。B.2概述a）关键属性和过程的关系39学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下载T/ZMDS

20007-2023/ISO

81001-1:2021学兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ标准下