醫(yī)療器械網絡安全注冊技術審查指導原則

1、醫(yī)療器械網絡平安注冊技術審查指導原那么I本指導原那么旨在指導注冊申請人提交醫(yī)療器械網絡平安注冊申報 資料,同時標準醫(yī)療器械網絡平安的技術審評要求.本指導原那么是對醫(yī)療器械網絡平安的一般性要求,注冊申請人應根 據醫(yī)療器械產品特性提交網絡平安注冊申報資料 ,判斷指導原那么中的 具體內容是否適用,不適用內容詳述理由.注冊申請人也可采用其他滿 足法規(guī)要求的替代方法,但應提供詳盡的研究資料和驗證資料.本指導原那么是在現(xiàn)行法規(guī)和標準體系以及當前認知水平下、并參考了國外法規(guī)與指南、國際標準與技術報告制定的.隨著法規(guī)和標準的 不斷完善,以及認知水平和技術水平的不斷提升 ,相關內容也將適時進 行修訂.本指導原那

2、么是對注冊申請人和審評人員的指導性文件 ,不包括審評 審批所涉及的行政事項,亦不作為法規(guī)強制執(zhí)行,應在遵循相關法規(guī)的 前提下使用本指導原那么.本指導原那么作為?醫(yī)療器械軟件注冊技術審查指導原那么?的補充 , 應結合?醫(yī)療器械軟件注冊技術審查指導原那么?的相關要求使用.本 指導原那么是醫(yī)療器械網絡平安的通用指導原那么,其他涉及網絡平安的 醫(yī)療器械產品指導原那么可在本指導原那么根底上進行有針對性的調整、 修改和完善.一、適用范圍本指導原那么適用于具有網絡連接功能以進行電子數據交換或遠程 限制的第二類、第三類醫(yī)療器械產品的注冊申報 ,其中網絡包括無線、 有線網絡,電子數據交換包括單向、雙向數據傳輸

3、,遠程限制包括實時、 非實時限制.同時,本指導原那么也適用于采用存儲媒介以進行電子數據交換的第 二類、第三類醫(yī)療器械產品的注冊申報,其中存儲媒介包括但不限于光 盤、移動硬盤和U盤.二、根本原那么隨著網絡技術的開展,越來越多的醫(yī)療器械具備網絡連接功能以進 行電子數據交換或遠程限制,在提升醫(yī)療效勞質量與效率的同時也面 臨著網絡攻擊的威脅.醫(yī)療器械網絡平安出現(xiàn)問題不僅可能會侵犯患 者隱私,而且可能會產生醫(yī)療器械非預期運行的風險,導致患者或使用 者受到傷害或死亡.因此,醫(yī)療器械網絡平安是醫(yī)療器械平安性和有效 性的重要組成局部之一.醫(yī)療器械網絡平安是指保持醫(yī)療器械相關數據的保密性(confidentia

4、lity)、完整性(integrity)和可得性 11在信息平安領域availability譯為可用性,而在醫(yī)療器械領域 usability譯為可用性,為預防引起歧義本指導原那么將 availability譯為可 得性.(availability)(改自GB/T 29246-2021?信息技術平安技術信息平安 治理體系概述和詞匯?):1. 保密性：指數據不能被未授權的個人、實體利用或知悉的特性,即醫(yī)療器械相關數據僅可由授權用戶在授權時間以授權方式進行訪問；2. 完整性：指保護數據準確和完整的特性,即醫(yī)療器械相關數據是準 確和完整的,且未被篡改；3. 可得性：指根據授權個人、實體的要求可訪問和使

5、用的特性,即醫(yī) 療器械相關數據能以預期方式適時進行訪問和使用.此外,醫(yī)療器械網絡平安特性還包括真實性 (authenticity)、可核查性 (accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等特性, 相應定義詳見GB/T 29246-2021.注冊申請人應當結合醫(yī)療器械產品的預期用途、使用環(huán)境和核心功能以及預期相連設備或系統(tǒng)(如其它醫(yī)療器械、信息技術設備)的情況 來確定醫(yī)療器械產品的網絡平安特性,并采用基于風險治理的方法來 保證醫(yī)療器械產品的網絡平安：識別資產(asset,對個人或組織有價值 的任何東西)、威脅(threat,可能導致

6、對個人或組織產生損害的非預期事 件發(fā)生的潛在原因)和脆弱性(vulnerability,可能會被威脅所利用的資 產或風險限制舉措的弱點),評估威脅和脆弱性對于醫(yī)療器械產品和患 者的影響以及被利用的可能性,確定風險水平并采取適宜的風險限制 舉措,基于風險接受準那么評估剩余風險.注冊申請人應當在醫(yī)療器械產品全生命周期過程中持續(xù)關注網絡 平安問題,包括醫(yī)療器械產品的設計開發(fā)、生產、分銷、部署和維護. 同時,注冊申請人應當結合自身質量治理體系的要求和醫(yī)療器械產品 特點來保證醫(yī)療器械產品的網絡平安,包括上市前和上市后的相關要 求,如風險治理、設計開發(fā)、網絡平安維護及用戶告知等要求.此外注冊申請人可采用信

7、息平安領域的良好工程2實踐來完善醫(yī)療器械產品的網絡平安治理,保證醫(yī)療器械產品的平安性和有效性.注冊申請人應當持續(xù)跟蹤與網絡平安相關的國家法律法規(guī)如?中華人民共和國網絡平安法?以及有關部門如公安部、國家網信辦、 衛(wèi)生計生委、工業(yè)和信息化部的規(guī)章,醫(yī)療器械的網絡平安應當符合 相應法律法規(guī)和部門規(guī)章的要求.醫(yī)療器械產品在使用過程中常與非注冊申請人預期的設備或系統(tǒng) 相連接,這就使得注冊申請人自身難以限制和保證醫(yī)療器械產品的網 絡平安.因此,醫(yī)療器械的網絡平安需要注冊申請人、用戶和信息技術 效勞商的共同努力和通力合作才能得以保證.但是這并不意味著注冊 申請人可以免除醫(yī)療器械網絡平安的相關責任,注冊申請人

8、應當保證醫(yī)療器械產品自身的網絡平安,并明確與其預期相連設備或系統(tǒng)的接 口要求,從而保證醫(yī)療器械產品2在信息平安領域,IEC 27000系列標準標準了信息平安治理體系 ISMS認證要求,本指導原那么不要求制造商進行 ISMS認證,但建議制 造商參考相關標準要求.的平安性和有效性.醫(yī)療器械網絡平安防護層級可分為產品級和系統(tǒng)級,保證舉措包括治理舉措、物理舉措和技術舉措,本指導原那么以醫(yī)療器械數據平安為核 心主要關注產品級的技術保證舉措.鑒于醫(yī)療器械網絡平安具有影響因素多、涉及面廣、擴散性強和突 發(fā)性高等特點,單獨考慮醫(yī)療器械產品的軟件平安性級別缺乏以保證 其網絡平安,因此對于與醫(yī)療器械網絡平安有關的

9、注冊申報資料統(tǒng)一 進行要求.三、網絡平安考量一數據考量醫(yī)療器械相關數據從內容上可分為以下兩種類型 :1. 健康數據：標明生理、心理健康狀況的私人數據 “Private Data 又稱個人數據a Personal Data、敏感數據a Sensitive Data指可用于人 員身份識別的相關信息,涉及患者隱私信息；2. 設備數據：描述設備運行狀況的數據,用于監(jiān)視、限制設備運行或 用于設備的維護保養(yǎng),本身不涉及患者隱私信息.醫(yī)療器械相關數據的交換方式可分為以下兩種情況:1. 網絡:通過網絡包括無線網絡、有線網絡進行電子數據交換或遠 程限制,需要考慮網絡相關要求如接口、帶寬等,數據傳輸協(xié)議需考慮 是

10、否為標準協(xié)議即業(yè)內公認標準所標準的協(xié)議,遠程限制需考慮是否 為實時限制；2. 存儲媒介：通過存儲媒介如光盤、移動硬盤、U盤等進行電子數據交換,數據儲存格式需考慮是否為標準格式 即業(yè)內公認標準所標準 的格式.注冊申請人應當基于醫(yī)療器械相關數據的類型、功能、用途、交換方式及要求,并結合醫(yī)療器械產品特性考慮其網絡平安問題.對于健康數據,注冊申請人應當遵循患者隱私保護的相關規(guī)定.對 于無線設備,注冊申請人應當遵循無線電治理的相關規(guī)定.二技術考量用戶訪問限制機制應當與醫(yī)療器械產品特性相適應 ,包括但不限于 用戶身份鑒別方法如用戶名、口令等、用戶類型及權限如系統(tǒng)治理 員、普通用戶、設備維護人員等、口令強度

11、設置、軟件更新授權等.醫(yī)療器械相關數據在網絡傳輸或數據交換過程中應當保證保密性和完整性,同時平衡可得性的要求,特別是具有遠程限制功能的醫(yī)療器械.注冊申請人可采用加密、數字簽名、標準協(xié)議、校驗等技術來保 證醫(yī)療器械的網絡平安.鑒于預期用途、使用環(huán)境的限制,醫(yī)療器械對于網絡平安威脅的探測、響應和恢復水平應當與醫(yī)療器械的產品特性相適應.注冊申請人可采用防火墻、入侵檢測和惡意代碼防護等技術來保證醫(yī)療器械的網 絡平安.醫(yī)療器械網絡平安水平建設可參照相關的國際、國家標準和技術報 告,如IEC/TR 80001-2-23 標準了十九項網絡平安水平：自動注銷(ALOF)、審核限制(AUDT)、授權(AUTH)

12、、平安特性配置(CNFS)、網 絡平安產品升級(CSUP)、健康數據身份信息去除(DIDT)、數據備份與 災難恢復(DTBK)、緊急訪問(EMRG)、健康數據完整性與真實性(IGAU)、惡意軟件探測與防護(MLDP)、網絡節(jié)點鑒別(NAUT)、人員 鑒別(PAUT)、物理鎖(PLOK)、第三方組件維護方案(RDMP)、系統(tǒng)與 應用軟件硬化(SAHD)、平安指導(SGUD)、健康數據存儲保密性 (STCF)、傳輸保密性(TXCF)和傳輸完整性(TXIG),注冊申請人可根據 醫(yī)療器械的產品特性考慮其網絡平安水平要求的適用性.(三) 現(xiàn)成軟件考量醫(yī)療器械使用現(xiàn)成軟件的情況日益普遍,特別是系統(tǒng)軟件和支

13、持軟 件.因此,注冊申請人同樣需要關注現(xiàn)成軟件的網絡平安問題,應當根據質量治理體系要求建立網絡平安維護流程,并將醫(yī)療器械網絡平安 信息及時通知用戶.對于應用軟件,注冊申請人需要重點關注其網絡平安問題對醫(yī)療器 械臨床應用的影響.而對于系統(tǒng)軟件和支持軟件,注冊申請人需要重點 關注其平安補丁更新對醫(yī)療器械的影響,平安補丁更新屬于設計變更, 需要進行驗證與確認,但通常情況下可視為稍微軟件更新,除非影響到 醫(yī)療器械的平安性和有效性.四、網絡平安文檔一根本考量網絡平安更新包括自主開發(fā)軟件和現(xiàn)成軟件根據其對醫(yī)療器械 的影響程度可分為以下兩類:1. 重大網絡平安更新：影響到醫(yī)療器械的平安性或有效性的網絡安 全

14、更新；2. 稍微網絡平安更新：不影響醫(yī)療器械的平安性與有效性的網絡安 全更新,如常規(guī)平安補丁.醫(yī)療器械產品發(fā)生重大網絡平安更新應進行許可事項變更,而發(fā)生稍微網絡平安更新通過質量治理體系進行限制,無需進行注冊變更,待到下次注冊注冊變更和延續(xù)注冊時提交相應注冊申報資料.醫(yī)療器 械同時發(fā)生重大和稍微網絡平安更新 ,遵循風險從高原那么應進行許可 事項變更.涉及召回的網絡平安更新應根據醫(yī)療器械召回的相關法規(guī)處理,不屬于本指導原那么討論范圍.軟件版本命名規(guī)那么應考慮網絡平安更新的情況.注冊申請人在提交注冊申報資料時,應根據醫(yī)療器械網絡平安的具 體情況提交網絡平安描述文檔或常規(guī)平安補丁描述文檔.網絡平安描

15、述文檔適用于產品注冊、重大網絡平安更新,常規(guī)平安補丁描述文檔適 用于稍微網絡平安更新.二網絡平安描述文檔1. 根本信息描述醫(yī)療器械產品的相關信息:1類型:健康數據、設備數據；2功能：電子數據交換單向、雙向、遠程限制實時、非實時；3用途:如臨床應用、設備維護等；4交換方式：網絡無線網絡、有線網絡及要求如傳輸協(xié)議標準、 自定義、接口、帶寬等,存儲媒介如光盤、移動硬盤、U盤等及要 求如存儲格式標準、自定義、容量等；對于專用無線設備非通用信 息技術設備,還應提交符合無線電治理規(guī)定的證實材料 ；5平安軟件：描述平安軟件如殺毒軟件、防火墻等的名稱、型號 規(guī)格、完整版本、供應商、運行環(huán)境要求 ；6現(xiàn)成軟件：

16、描述現(xiàn)成軟件包括應用軟件、系統(tǒng)軟件、支持軟件 的名稱、型號規(guī)格、完整版本和供應商.2. 風險治理提供醫(yī)療器械網絡平安風險治理的分析報告和總結報告,保證全部剩余風險均是可接受的.3. 驗證與確認提供網絡平安測試方案和報告,證實醫(yī)療器械產品的網絡平安需求 如保密性、完整性、可得性等特性均已得到滿足.同時還應提供網絡平安可追溯性分析報告,即追溯網絡平安需求標準、設計標準、測試、 風險治理的關系表.對于平安軟件,應提供兼容性測試報告.對于標準傳輸協(xié)議或存儲格式,應提供標準符合性證實材料,而對于 自定義傳輸協(xié)議或存儲格式,應提供完整性測試總結報告.對于實時遠程限制功能,應提供完整性和可得性測試報告.4.

17、維護方案描述軟件含現(xiàn)成軟件網絡平安更新的維護流程,包括更新確認和 用戶告知.三常規(guī)平安補丁描述文檔提交軟件含現(xiàn)成軟件常規(guī)平安補丁的情況說明補丁描述、影響分 析、用戶告知方案、測試方案與報告、新增剩余缺陷情況說明證 明新增風險均是可接受的.五、注冊申報資料要求一產品注冊1. 軟件研究資料注冊申請人應單獨提交一份網絡平安描述文檔,具體要求詳見第四 節(jié).2. 產品技術要求注冊申請人應在產品技術要求性能指標中明確數據接口、用戶訪問 限制的要求：(1) 數據接口 ：傳輸協(xié)議/存儲格式；(2) 用戶訪問限制：用戶身份鑒別方法、用戶類型及權限.3.說明書說明書應提供關于網絡平安的相關說明,明確運行環(huán)境(含硬件配置、軟件環(huán)境和網絡條件)、平安軟件(如殺毒軟件、防火墻等)、數據 與設備(系統(tǒng))接口、用戶訪問限制機制、軟件環(huán)境 (含系統(tǒng)軟件、支持 軟件、應用軟件)與平安軟件更新的相關要求.(二) 許可事項變更1. 軟