• gempex China Ltd. CN/EN
  • gempex GmbH DE/EN
400-166-2002

AI时代:ISO/IEC 42001 – 您的企业准备好了吗?

ISO/IEC 42001

人工智能(AI)正在彻底改变制药与医疗器械行业的研发、生产与质控方式。随着AI技术的深入应用,相关的法规和指南也加速完善,全球监管格局日益清晰。


  • 2023.01.26 美国NIST发布《人工智能风险管理框架》(AI RMF),为组织提供自愿性风险管理流程。
  • 2023.12.28 ISO/IEC发布全球首个可认证的AI管理体系国际标准——ISO/IEC 42001,为企业提供系统化应对AI风险的框架。
  • 2024.8.01 欧盟《人工智能法案》(AI Act)正式生效,基于风险分级实施强制性监管,高风险AI系统被严格监管。
  • 2025.07.07 EU GMP附录22(草案)发布,成为全球首份针对AI的GMP指南,重点聚焦监管静态、确定性输出的AI模型全生命周期管理。



随着EU GMP附录22(人工智能)的推进以及EU AI Act对高风险AI系统的严格监管,提前布局ISO/IEC 42001已成为企业维护合规底线与提升市场竞争力的关键策略。本文结合gempex在GMP领域的丰富经验,为您深入解读ISO/IEC 42001的核心内容,提供精简实用的实施指南。



01 谁应优先实施ISO/IEC 42001?


ISO/IEC 42001适用于所有开发、提供或使用AI系统的组织。对生命科学领域,以下群体尤其适合引入:


  • 高风险AI系统开发者:如医疗诊断AI、药物研发预测模型等,需符合EU AI Act第16条对质量管理体系的强制性要求;
  • 制药与医疗器械企业:即便AI仅用于非关键环节(如供应链、数据分析),也需通过系统化管理规避 “隐性风险”—— 例如数据溯源缺失导致的结果不可靠,或模型迭代失控引发的合规偏差;
  • 产业链供应商:通过ISO/IEC 42001认证可增强客户信任,成为 “合规优先” 的首选合作伙伴。


02 标准核心架构:清晰且易于整合


ISO/IEC 42001采用与ISO 9001及ISO 27001一致的高级架构(即“统一章节结构参见图2”), 易于与企业现有管理体系整合。


该标准主体内容共11页,其规范性附录是标准的核心组成部分,直接决定体系有效性,需重点关注:

图1:ISO/IEC 42001结构


附录A(控制目标与措施):包含38项具体控制要求,包含了数据管理流程实施、数据获取与选择的文档化、数据质量要求界定、AI全生命周期数据溯源及数据处理标准,这些都是ISO 13485未涉及的要求。

图2:ISO/IEC 42001规范性附录A


附录B(规范性实施指南):虽多以“should”等建议性措辞表述,但部分内容被规范性引用,应视为强制要求。企业在适用性声明(SoA)中需说明相关指南的遵循情况。


附录C和D(参考性内容):主要为跨行业应用提供参考,如风险源识别案例,无强制要求,企业可按需借鉴。


图3:ISO/IEC42001‑规范性与参考性附录区别


需特别注意, SoA中必须逐项说明附录A各控制措施的采纳或排除理由,任何未经合理论证的 “豁免” 都可能影响体系有效性。


03 强调风险导向


ISO/IEC 42001以 “风险导向” 为核心,要求风险管理至少包括3个过程:


  • AI 风险评估(6.1.2)
  • AI 风险处理(6.1.3)
  • AI 系统影响评估(6.1.4)


其中,“AI系统影响评估”需分析AI对个人、群体及社会的潜在后果(如医疗 AI 对患者隐私的影响),是风险分析的关键延伸。风险处理需参考附录A中的控制措施,形成与SoA的闭环管理。


标准多处引用ISO/IEC 23894(人工智能风险管理),建议企业将两者结合实施,以满足风险管理的基础性要求。需注意,ISO/IEC 42001对 “风险” 定义为“不确定性的影响”,与 ICH Q9、ISO 13485的定义(“损害发生的概率与严重程度组合”)存在差异,实施时需通过制度设计实现逻辑统一,避免体系冲突。


04 结语


ISO/IEC 42001目前虽非强制,但已代表AI管理领域的先进实践。其核心价值包括:


  • 为应对EU AI Act、EU MDR、EU GMP等法规提供系统化路径;
  • 对需满足客户高质量要求的供应商,提供了系统化的AI治理框架;
  • 对所有组织而言,它能帮助系统化管理AI风险、提升信任度,既保障患者与用户利益,也助力企业可持续发展。


AI领域的竞争不仅是技术迭代的比拼,更是管理体系与治理能力的较量。gempex德恩咨询可基于ISO/IEC 42001为企业提供差距分析、体系整合及认证准备服务,助您在AI创新与合规之间赢得先机。


作者简介

Manuel Goldstein

医疗器械高级顾问

  • 拥有14年+医疗器械行业经验,专注GMP合规、质量管理体系及 AI 在医疗领域的应用管控,精通ISO 13485、ISO 9001、MDR、21 CFR 820等法规标准。
  • 主导多项关键项目,包括IVD生产商QMS 整改(带领8人团队基于FDA模拟审计推进)、主导组合产品供应商的ISO13485差距分析和医疗设备PLM的 ISO 13485再认证支持等。
  • 擅长医疗器械全生命周期管理,涵盖体系监控与维护、风险评估(ISO 14971)、CAPA实施、洁净室及设备确认等。


欢迎垂询

服务热线:400-166-2002

邮箱:info-cn@gempex.com


关于gempex德恩咨询

德恩咨询是gempex在中国的全资子公司,是具有国际影响力的GMP咨询与执行机构,致力于为全球的生命科学企业提供合规、高效及可执行的GMP解决方案。经过23年的发展,我们拥有60多位经验丰富的GMP专家,全球累计执行项目超过5000个,累计为1000多个客户提供专业服务,业务遍布20多个国家,并与众多知名药企建立了长期的合作关系。

我们的专家团队拥有丰富的行业经验,熟知NMPA、FDA、EU、WHO、ICH、PIC/S、MHRA、SWISSMEDIC、TGA等GMP法规要求,能为不同国家和地区的客户提供定制化的解决方案,服务包括全球GMP符合性、新厂房合规性、CS计算机化系统、工厂质量管理和多国MAH/MAA服务。

返回 下一篇
分享