引言

2023年4月11日，国家药品监督管理局官网发布了《药品监管信息化标准体系（征求意见稿）》，征求意见截止时间为2023年5月4日。药品监管信息化标准体系是一套用于规范国家药品监督管理局监管信息化建设和管理的标准和规范体系，是提高药品、医疗器械、化妆品监管效率和质量、保障监管信息化工作顺利进行的基础。该标准体系的制定和实施，将为各级药品监管部门，药品、医疗器械、化妆品生产经营企业，科研机构和行业协会等相关方提供统一的标准和规范，推动药品监管工作向着更加科技化、智能化和高效化的方向发展。

药品监管信息化标准体系建设的政策支持与发展

近年来国家对药品监管（本次征求意见稿标准体系，实际上包括了药品、医疗器械、化妆品相关标准，由于同属国家药品监督管理局监管，征求意见稿标题使用了简称；为便于说明并与征求意见稿标题保持一致，本文以下合并简称“药品监管”）信息化建设的重视程度越来越高，我国药品监管信息化体系建设有了明确的规划和目标，从制定计划、发布规范到具体实施，各级政府和部门为推进建设提供了强有力的政策保障和资金支持。

1. 发展背景

在党中央、国务院的统一领导和部署下，我国形成了以《药品管理法》《医疗器械监督管理条例》《化妆品监督管理条例》为基础的药品监管法规体系。各领域陆续颁布的具体细化规范，为药品监管信息化奠定了基础。药品审评审批制度的改革，药品注册、上市制度的规范化等，推进和调动了市场活力，亟需更加高效的信息化监管方式。而逐步完善的市场准入制度、临床试验、生产质量规范、药品使用要求以及抽检要求等，也需要信息化监管的进一步规范。

新模式和新产业推动了药品行业的发展，也带来了新的风险，传统的监管模式很难持续应对。因此，推动监管创新和信息技术的深度融合，加强技术指南、技术标准等监管工具的研究，构建大平台信息互通结合，都是应对不断变化的新局势的应有之义。

2. 政策法规沿革

药品监管的信息化标准，也不断体现在政策与法规的沿革中：

2013年11月，《中共中央关于全面深化改革若干重大问题的决定》提出了“推进国家治理体系和治理能力现代化”的重要任务。药品监管作为医药行业治理的重要环节，也需要跟随时代步伐，发挥现代化的作用。

2016年10月，习近平总书记提出以数据集中和共享为途径，推进技术融合、业务融合、数据融合，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。

同年，李克强总理提出政府监管模式要适应“互联网+监管”，尤其针对疫苗、药品等实行全覆盖、严监管。

2017年6月，《“十三五”国家政务信息化工程建设规划》提出，推动政务信息化建设迈入“集约整合、全面互联、协同共治、共享开放、安全可信”的新阶段。

2019年5月，《国家药品监督管理局关于加快推进药品智慧监管的行动计划》提出“坚持需求导向”原则，以及“推进信息技术与监管工作深度融合”和“建立全生命周期品种档案”的要求。

同月，国家药品监督管理局下发了《关于加快推进药品智慧监管的行动计划》，明确提出遵循信息化建设和“互联网+”发展规律，加强监管数据的开发和新技术的应用，为全面提升监管效能、推进药品治理体系和治理能力现代化建设提供科技支撑和保障。

2020年，国家药品监督管理局党组李利书记进一步强调“以信息化引领药品监管现代化”以加强药品全生命周期风险管控，深化“互联网+政务服务”以及优化营商环境。

2021年5月，国务院办公厅发布《关于全面加强药品监管能力建设的实施意见》提出：完善信息化追溯体系，构建全国药品追溯协同平台；构建全国药品追溯协同平台，加强药品、医疗器械和化妆品监管大数据应用，推进监管和产业数字化升级；提升“互联网+药品监管”应用服务水平，推动工业互联网在疫苗、血液制品、特殊药品等监管领域的融合应用，推进审评审批和证照管理数字化、网络化，同时推进网络监测系统建设。

2022年5月，国家药品监督管理局制定《药品监管网络安全与信息化建设“十四五”规划》，提出坚持“系统思维，统筹协同”“业务引领，数据驱动”“技术赋能，融合创新”“集约建设，安全可控”4个基本原则，重点明确了升级“两品一械”智慧监管能力、提升政务一体化服务能力、推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力5个方面重点任务。

征求意见稿药品监管信息化标准体系的组成与实践分析

1. 综述

如图1所示，征求意见稿标准化体系包括总体通用标准、网络基础设施标准、数据标准、应用支撑标准、业务应用标准、信息安全标准和管理标准七个标准分体系。

图1　药品监管信息化标准体系结构（《药品监管信息化标准体系（征求意见稿）》）

如图1中对于七个标准分体系的逻辑结构描述，总体通用标准为其他6个标准分体系提供总体指导和编制实施原则，是各个标准分体系的基础。

安全标准和管理标准是贯穿于基础设施标准、数据标准、应用支撑标准和业务应用标准之中的核心要素。也就是说，在制定和实施各个标准时，必须考虑保障信息传输的可靠性和安全性，以及管理业务应用的有效性和合规性。而业务应用标准、数据标准、应用支撑标准与网络基础设施标准在监管体系内部相互作用，构建出完整的信息化标准框架。

2. 总体通用标准

药品监管信息化总体通用标准包括三个方面：总体框架、术语和分类。

图2　药品监管信息化标准体系逻辑结构（《药品监管信息化标准体系》（征求意见稿））

总体框架主要包括药品监管信息化标准体系、指南等总体性标准和相关标准。术语的目的是统一药品监管信息化建设中遇到的主题词、主要名词、术语和技术词汇，避免引起对它们的歧义性理解。

分类的目的是用于规范药品监管信息化工作中通用的药品、医疗器械、化妆品等分类，也使得根据不同类别特性细化责任和安全保障成为可能。例如针对不同的类别，国家分别出台了《医疗器械分类规则》《医疗器械通用名称命名规则》《化妆品分类规则和分类目录》以及各类指导原则等。

图3　总体通用标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

3. 网络基础设施标准

网络基础设施标准主要包括三个方面：软硬件、网络环境和机房环境。

图4　 基础设施标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

网络基础设施标准分体系为网络的组织、建设、运行、维护、管理以及软硬件设备生产、引进提供了主要技术依据，确保网络基础设施间能互联互通。机房环境、软硬件是搭建网络基础设施的重要前提，在此基础上，充分考虑信息互通和安全的网络环境设计能够对于药品监管信息化提供极大的便利。  

国家也在近年推动运用5G技术改造提升药品监管的网络基础设施。

4. 数据标准

数据标准分为四个二级类别：基础数据、业务数据、数据应用和数据治理。

图5　数据标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

数据标准分体系用于规范化描述各类药品监管信息，包括基础数据、业务应用数据集、数据应用、数据治理，以实现跨地区、跨部门、跨系统的信息资源共享与管理。

例如在国家药品监督管理局发布的《药品监督管理统计年度数据（2022年）》中，我们可以看到其对于药品注册和审批数据，药品生产及许可数据、药品不良反应和监管事件数据、药品质量与检查数据等均作了归纳汇总，而这离不开监管部门在数据标准体系下对于数据的信息分类、采集、应用和处理。

信息分类要求将具有共同属性或特征的信息，按科学的规律集合并划分，在下一阶段以代码的形式在信息系统内进行处理和交换。在使用集药品、医疗器械、化妆品三类综合业务数据进行监管信息化建设时，各参与方可展开采集、应用和交换，并根据实际需求补充或扩展相关数据项。

随着一体化平台的构建，“大数据共享应用”推进了信息模型与应用技术的进程。分析监测与风险预警基于大数据分析，用于规范涉及药品安全、网络、舆情监测等要求。数据质量、数据处理标准则对监管数据在信息技术手段下的正确性、可靠性、可追溯及完整一致性提出了要求。例如“疫苗生产企业应采用信息化手段如实记录生产、检验过程中形成的所有数据，确保生产全过程持续符合法定要求。对于人工操作（包括人工操作、观察及记录等）步骤，应将该过程形成的数据及时录入相关信息化系统或转化为电子数据，确保相关数据的真实、完整和可追溯。”[1]

5. 应用支撑标准

应用支撑标准主要包括三个方面：数据交换、目录服务和基础支撑技术。

图6　应用支撑标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

应用支撑标准分体系为各项药品监管业务提供独立于网络与应用的支撑和服务，确保各类业务资源之间可互联、可访问、可交换、可共享以及可整合。

如前所述，经过标准化信息分类的被监管主体的信息，经药品监管信息资源交换体系、数据中心开发所涉及的标准和相关标准为跨地区、跨部门、跨系统的数据提供交换机制。

目录服务标准包括药品监管信息资源目录、政务信息资源目录体系和相关标准，这使得监管者能够在网络环境中定位和标识各种数据和数据处理资源。

基础支撑技术包括应用支撑平台通用技术、SOA技术、云计算、物联网等基础的、最新的技术规范和相关标准。

不难看出，具备跨行业通用性的信息技术“平台化”是当前应用支撑的发展趋势，以解决行业监管纵向领域面临的问题。

同时，企业自身也被倡导实现全链条生产经营追溯管理，这使得监管部门可以依托工业互联网技术架构，融入全产业链安全可靠地实时获取药品安全生产关键环节真实数据，捕捉企业擅自改变工艺、偏差控制不合规等行为的风险，对药品安全风险做到早发现、早预警、早处置[2]。

6. 业务应用标准

业务应用标准分体系包括业务流程、电子证照与表单、业务系统3个二级类目。

图7　业务应用标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

业务流程包括药品监管行政许可业务标准操作流程规范和相关标准。

电子证照与表单提供了药品监管业务所涉及的电子证照与表单的格式，包括药品监管业务单证和相关标准。

业务系统包括药品监管的应用系统建设相关标准和规范。

新修订的《药品管理法》确立了“风险管理、全程管控、社会共治”的监管原则。就药品生命周期与追溯体系而言，例如相较于《普通消费品生命周期安全风险控制通则》所确立的“设计、生产、包装、储运、使用和回收”等阶段的全生命周期管理原则药品监管业务，需要针对药品生命周期管理和监管业务特点，进行全生命周期管理的制度设计。2015 年以来，国家药品监管部门组织实施了一系列监管制度改革，按照“四个最严”要求加强药品全生命周期质量监管。

但是如果仅依靠传统的资源配置和监管手段，难以实现从实验室研发到临床使用的“全品种、全过程”全生命周期管理，也难以实现事中事后监管模式下的“全程留痕、责任可追溯”的监管目标，因而迫切需要构建“互联网＋药品监管”全生命周期管理体系[3]。

7.  信息安全

信息安全标准分体系层次结构包括信息安全基础标准、信息安全技术标准、信息安全管理标准3个二级类目。

图8　信息安全标准分体系层次结构（《药品监管信息化标准体系（征求意见稿）》）

信息安全标准分体系是确保药品监管信息系统安全运行、确保信息和系统的保密性、完整性和可用性的保障体系，为药品监管信息化建设提供各种安全保障的技术和管理方面的标准规范。

信息安全基础标准为组织提供构建安全信息系统和实施有效信息安全管理的基本框架。

信息安全技术标准是指保障网络和信息系统安全性能的规范和要求。

信息安全管理标准是指保障药品监管应用系统信息资产保密性、完整性和可用性的系统化规范与指南。

信息安全场景、业务环境的变化会引入新的安全风险，目前的方式方法对安全风险的识别和评估相对静态，手段大都依赖人工，无法做到全域持续评估，实时动态响应。而建设自动化自适应风险评估平台，能够实时验证防御体系中的各类安全手段、控制措施的有效性，并通过实战化攻击模拟技术，构建可弹性扩展的专项评估场景，随时度量网络安全风险，全面提升安全防御体系对抗能力，从而整体提升安全运营效率[4]。

正如《网络安全法》所确立的“坚持网络安全与信息化发展并重”原则，我国也在信息安全风险管理方面目前已发布和转化了多项标准，如《信息技术安全技术信息安全风险管理》（GB/T31722-2015）。将从2023年5月1日开始实施的《信息安全技术 关键信息基础设施安全保护要求》中也强调了应当在网络安全等级保护制度的基础上，遵循“以信息共享为基础的协同联防”，进行安全维营管理，对于网络安全定期进行测试评估、应急预案和演练，在此基础上需要结合实际业务需求，以适应当前的安全形势变化。

8. 管理标准

管理标准分体系层次结构包括项目管理、软件开发管理、运维管理和信息资产管理4个二级类目。

图9　信息化管理标准分体系层次结构（《药品监管信息化标准体系（征求意见稿））》

其中，项目管理包括药品监管部门在信息化项目建设与管理过程中所涉及的相关标准。监管部门应基于国家药监局网络安全大数据分析平台参与规划、立项、审批、实施、验收、监理、测试、评估以及技术培训。基于联合监管需求和业务环境薄弱点进行软件开发管理。

信息资产管理包括在药品监管信息化过程中形成的对信息系统投资、使用等方面的管理制度和规范。

监管趋势与医药企业内部完善方向

移动互联网的迅猛发展使得社会治理模式正在从单纯的政府监管向更加注重社会协同治理转变。药品监管信息化建设是国家政务信息化建设的重要组成部分，是提升药品安全治理水平和监管效能的重要手段。

医药行业是强监管行业，在信息化进程中整体趋于谨慎，而这份征求意见稿的发布，标志着我国药品监管信息化标准体系建设迈入了一个全新的阶段，具有里程碑式的意义。此次标准体系的落地，将有助于促进我国药品监管工作的科学化、标准化和规范化，提高监管效率和质量，进一步保障人民群众的用药安全。

在数据化的时代背景下，随着“智能”制造被引入药企制造和管理，监管工作也面临着更大的挑战，监管部门需要关注计算机化系统安全性和数据可靠性等新的法规和监管要求，应研究制定相关指南，明确新兴技术的监管原则和应用路径[5]。对外与中央网信办、公安部、工业和信息化部、国家信息中心等多方协助，构建部门协同、数据畅通、威胁感知、智能决策的全方位多层次药品监管信息安全体系，汇聚向上向善各方力量，筑牢国家药品监管网络安全屏障[6]。

监管部门应当推进药品监管信息化应用的推广和创新，推广各种药品监管信息化应用，如追溯系统、电子处方、药品不良反应监测等，提升动态、主动、纵深、精准、整体、联合防控能力，为进一步推进药品监管信息化建设，加快以信息化引领监管现代化进程。    

药品企业应当积极学习各新规办法下的各项要求，跟进研究最新案例，应完善自身评估体系，以更加科学的管理手段应对更强的监管模式。

[1]《药品生产质量管理规范（2010 年修订）》附录《生物制品（2020年修订）》第59条，要求对于企业采用实时采集数据的信息化系统记录数据的，因信息化建设需要一定周期，应在2022年7月1日前符合相关要求。

[2] 陈锋，《工业互联网在药品监管领域融合应用的思考》，中国食品药品监管杂志，2021年第10期。

[3] 杜学礼，程婕，王广平，《药品监管业务流程与信息化建设全生命周期管理中反馈机制分析》，中国医药导刊，2021年第1期。

[4] 常媛，陈锋，《药品监管领域信息安全风险评估探索》，中国食品药品监管杂志，2022年第8期。

[5] 陈锋，《工业互联网在药品监管领域融合应用的思考》，中国食品药品监管杂志，2021年第10期。

[6] 常媛，陈锋，《药品监管领域信息安全风险评估探索》，中国食品药品监管杂志，2022年第8期。

实习生谢林菁对本文亦有贡献