醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則

1、醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則 本指導原則旨在指導注冊申請人提交醫(yī)療器械網(wǎng)絡安全注冊中報資料，同時規(guī)范醫(yī)療器械網(wǎng)絡安全的技術審評要求。 本指導原則是對醫(yī)療器械網(wǎng)絡安全的一般性要求，注冊申請人應根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡安全注冊申報資料，判斷指導原則中的 具體內容是否適用，不適用內容詳述理由。注冊申請人也可采用其他滿足法規(guī)要求的替代方法，但應提供詳盡的研究資料和驗證資料。 本指導原則是在現(xiàn)行法規(guī)和標準體系以及當前認知水平下、弁參考 了國外法規(guī)與指南、國際標準與技術報告制定的。隨著法規(guī)和標準的不斷完善，以及認知水平和技術能力的不斷提高，相關內容也將適時進行修訂。 本指導原則是對注冊申請人和

2、審評人員的指導性文件,不包括審評審批所涉及的行政事項， 亦不作為法規(guī)強制執(zhí)行， 應在遵循相關法規(guī)的前提下使用本指導原則。 本指導原則作為醫(yī)療器械軟件注冊技術審查指導原則的補充,應結合醫(yī)療器械軟件注冊技術審查指導原則的相關要求使用。本指導原則是醫(yī)療器械網(wǎng)絡安全的通用指導原則，其他涉及網(wǎng)絡安全的醫(yī)療器械產(chǎn)品指導原則可在本指導原則基礎上進行有針對性的調整、修改和完善。 、適用范圍本指導原則適用于具有網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制的第二類、第三類醫(yī)療器械產(chǎn)品的注冊中報，其中網(wǎng)絡包括無線、有線網(wǎng)絡，電子數(shù)據(jù)交換包括單向、雙向數(shù)據(jù)傳輸，遠程控制包括實時、非實時控制。 同時,本指導原則也適用于采用

3、存儲媒介以進行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械產(chǎn)品的注冊中報，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。 二、基本原則 隨著網(wǎng)絡技術的發(fā)展， 越來越多的醫(yī)療器械具備網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制，在提高醫(yī)療服務質量與效率的同時也面臨著網(wǎng)絡攻擊的威脅。醫(yī)療器械網(wǎng)絡安全出現(xiàn)問題不僅可能會侵犯患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預期運行的風險，導致患者或使用者受到傷害或死亡。因此,醫(yī)療器械網(wǎng)絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一。 醫(yī)療器械網(wǎng)絡安全是指保持醫(yī)療器械相關數(shù)據(jù)的保密性 (confidentiality)、完整性(integrity)和可得性1 1在信息安全領域a

4、vailability譯為可用性，而在醫(yī)療器械領域usability譯為可用性，為避免引起歧義本指導原則將availability譯為可 得性。 (availability)(改自GB/T29246-2012信息技術安全技術信息安全 管理體系概述和詞匯): 1 .保密性：指數(shù)據(jù)不能被未授權的個人、實體利用或知悉的特性，即 醫(yī)療器械相關數(shù)據(jù)僅可由授權用戶在授權時間以授權方式進行訪問； 2 .完整性：指保護數(shù)據(jù)準確和完整的特性，即醫(yī)療器械相關數(shù)據(jù)是準確和完整的，且未被篡改； 3 .可得性：指根據(jù)授權個人、實體的要求可訪問和使用的特性，即醫(yī) 療器械相關數(shù)據(jù)能以預期方式適時進行訪問和使用。 止匕外，

5、醫(yī)療器 械網(wǎng)絡 安全特 性還包 括真實性(authentidty)、 可核查 性(accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等特性,相應定義詳見GB/T29246-2012。 注冊申請人應當結合醫(yī)療器械產(chǎn)品的預期用途、使用環(huán)境和核心功 能以及預期相連設備或系統(tǒng)(如其它醫(yī)療器械、信息技術設備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡安全特性，并采用基于風險管理的方法來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡安全：識別資產(chǎn)(asset,對個人或組織有價值的任何東西卜威脅(threat,可能導致對個人或組織產(chǎn)生損害的非預期事件發(fā)生的潛在原因)和脆弱性(vulner

6、ability,可能會被威脅所利用的資產(chǎn)或風險控制措施的弱點),評估威脅和脆弱性對于醫(yī)療器械產(chǎn)品和患者的影響以及被利用的可能性,確定風險水平并采取適宜的風險控制措施， 基于風險接受準則評估剩余風險。 注冊申請人應當在醫(yī)療器械產(chǎn)品全生命周期過程中持續(xù)關注網(wǎng)絡安全問題， 包括醫(yī)療器械產(chǎn)品的設計開發(fā)、生產(chǎn)、分銷、部署和維護。同時,注冊申請人應當結合自身質量管理體系的要求和醫(yī)療器械產(chǎn)品 特點來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡安全，包括上市前和上市后的相關要求,如風險管理、設計開發(fā)、網(wǎng)絡安全維護及用戶告知等要求。此外,注冊申請人可采用信息安全領域的良好工程2實踐來完善醫(yī)療器械產(chǎn) 品的網(wǎng)絡安全管理，保證醫(yī)療器械產(chǎn)品

7、的安全性和有效性。 注冊申請人應當持續(xù)跟蹤與網(wǎng)絡安全相關的國家法律法規(guī)（如中 華人民共和國網(wǎng)絡安全法）以及有關部門（如公安部、國家網(wǎng)信辦、衛(wèi)生計生委、工業(yè)和信息化部）的規(guī)章，醫(yī)療器械的網(wǎng)絡安全應當符合相應法律法規(guī)和部門規(guī)章的要求。 醫(yī)療器械產(chǎn)品在使用過程中常與非注冊申請人預期的設備或系統(tǒng)相連接,這就使得注冊申請人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡安全。因此，醫(yī)療器械的網(wǎng)絡安全需要注冊申請人、用戶和信息技術服務商的共同努力和通力合作才能得以保障。但是這并不意味著注冊申請人可以免除醫(yī)療器械網(wǎng)絡安全的相關責任，注冊申請人應當保證 醫(yī)療器械產(chǎn)品自身的網(wǎng)絡安全，并明確與其預期相連設備或系統(tǒng)的接口要求，

8、從而保證醫(yī)療器械產(chǎn)品 2在信息安全領域,IEC27000系列標準規(guī)范了信息安全管理體系（ISMS）認證要求，本指導原則不要求制造商進行ISMS認證，但建議制造商參考相關標準要求。 的安全性和有效性。 醫(yī)療器械網(wǎng)絡安全防護層級可分為產(chǎn)品級和系統(tǒng)級，保證措施包括 管理措施、物理措施和技術措施，本指導原則以醫(yī)療器械數(shù)據(jù)安全為核心主要關注產(chǎn)品級的技術保證措施。 鑒于醫(yī)療器械網(wǎng)絡安全具有影響因素多、 涉及面廣、 擴散性強和突發(fā)性高等特點，單獨考慮醫(yī)療器械產(chǎn)品的軟件安全性級別不足以保證其網(wǎng)絡安全,因此對于與醫(yī)療器械網(wǎng)絡安全有關的注冊申報資料統(tǒng)一進行要求。 三、網(wǎng)絡安全考量 （一）數(shù)據(jù)考量 醫(yī)療器械相關數(shù)據(jù)

9、從內容上可分為以下兩種類型： 1 .健康數(shù)據(jù)：標明生理、心理健康狀況的私人數(shù)據(jù)（“PrivateData 又稱個人數(shù)據(jù)aPersonalData、 ”敏感數(shù)據(jù)aSensitiveData指可用于人員身份識別的相關信息，涉及患者隱私信息； 2 .設備數(shù)據(jù)：描述設備運行狀況的數(shù)據(jù)，用于監(jiān)視、控制設備運行或用于設備的維護保養(yǎng)，本身不涉及患者隱私信息。 醫(yī)療器械相關數(shù)據(jù)的交換方式可分為以下兩種情況： 1 .網(wǎng)絡:通過網(wǎng)絡（包括無線網(wǎng)絡、有線網(wǎng)絡）進行電子數(shù)據(jù)交換或遠程控制，需要考慮網(wǎng)絡相關要求 （如接口、 帶寬等） ,數(shù)據(jù)傳輸協(xié)議需考慮是否為標準協(xié)議 （即業(yè)內公認標準所規(guī)范的協(xié)議）,遠程控制需考慮是否

10、為實時控制； 2 .存儲媒介：通過存儲媒介（如光盤、移動硬盤、U盤等）進行電子數(shù) 據(jù)交換，數(shù)據(jù)儲存格式需考慮是否為標準格式（即業(yè)內公認標準所規(guī)范的格式）。 注冊申請人應當基于醫(yī)療器械相關數(shù)據(jù)的類型、功能、用途、交換 方式及要求，并結合醫(yī)療器械產(chǎn)品特性考慮其網(wǎng)絡安全問題。 對于健康數(shù)據(jù)，注冊申請人應當遵循患者隱私保護的相關規(guī)定。對于無線設備，注冊申請人應當遵循無線電管理的相關規(guī)定。 （二）技術考量 用戶訪問控制機制應當與醫(yī)療器械產(chǎn)品特性相適應， 包括但不限于用戶身份鑒別方法（如用戶名、口令等卜用戶類型及權限（如系統(tǒng)管理員、普通用戶、設備維護人員等）、口令強度設置、軟件更新授權等。 醫(yī)療器械相關數(shù)

11、據(jù)在網(wǎng)絡傳輸或數(shù)據(jù)交換過程中應當保證保密性 和完整性，同時平衡可得性的要求，特別是具有遠程控制功能的醫(yī)療器械。注冊申請人可采用加密、數(shù)字簽名、標準協(xié)議、校驗等技術來保證醫(yī)療器械的網(wǎng)絡安全。 鑒于預期用途、使用環(huán)境的限制，醫(yī)療器械對于網(wǎng)絡安全威脅的探測、響應和恢復能力應當與醫(yī)療器械的產(chǎn)品特性相適應。注冊申請人可采用防火墻、入侵檢測和惡意代碼防護等技術來保證醫(yī)療器械的網(wǎng)絡安全。 醫(yī)療器械網(wǎng)絡安全能力建設可參照相關的國際、國家標準和技術報告，如IEC/TR80001-2-23規(guī)范了十九項網(wǎng)絡安全能力：自動注銷 (ALOF)、審核控制(AUDT)、授權(AUTH)、安全特性配置(CNFS)、網(wǎng)絡安全產(chǎn)

12、品升級(CSUP)、健康數(shù)據(jù)身份信息去除(DIDT)、數(shù)據(jù)備份與災難恢復(DTBK)、緊急訪問(EMRG)、健康數(shù)據(jù)完整性與真實性(IGAU)、惡意軟件探測與防護(MLDP)、網(wǎng)絡節(jié)點鑒別(NAUT)、人員鑒別(PAUT)、物理鎖(PLOK)、第三方組件維護計劃(RDMP)、系統(tǒng)與應用軟件硬化(SAHD)、安全指導(SGUD)、健康數(shù)據(jù)存儲保密性(STCF)、傳輸保密性(TXCF)和傳輸完整性(TXIG),注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡安全能力要求的適用性。 (三)現(xiàn)成軟件考量 醫(yī)療器械使用現(xiàn)成軟件的情況日益普遍，特別是系統(tǒng)軟件和支持軟件。因此，注冊申請人同樣需要關注現(xiàn)成軟件的網(wǎng)

13、絡安全問題，應當根 據(jù)質量管理體系要求建立網(wǎng)絡安全維護流程，并將醫(yī)療器械網(wǎng)絡安全信息及時通知用戶。 對于應用軟件， 注冊申請人需要重點關注其網(wǎng)絡安全問題對醫(yī)療器械臨床應用的影響。而對于系統(tǒng)軟件和支持軟件，注冊申請人需要重點關注其安全補丁更新對醫(yī)療器械的影響，安全補丁更新屬于設計變更,需要進行驗證與確認，但通常情況下可視為輕微軟件更新，除非影響到醫(yī)療器械的安全性和有效性。 四、網(wǎng)絡安全文檔 （一）基本考量 網(wǎng)絡安全更新 （包括自主開發(fā)軟件和現(xiàn)成軟件） 根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類： 1 .重大網(wǎng)絡安全更新：影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡安全更新； 2 .輕微網(wǎng)絡安全更新：不影響

14、醫(yī)療器械的安全性與有效性的網(wǎng)絡安全更新，如常規(guī)安全補丁。 醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡安全更新應進行許可事項變更，而發(fā)生 輕微網(wǎng)絡安全更新通過質量管理體系進行控制，無需進行注冊變更，待到下次注冊（注冊變更和延續(xù)注冊）時提交相應注冊申報資料。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡安全更新，遵循風險從高原則應進行許可事項變更。 涉及召回的網(wǎng)絡安全更新應按照醫(yī)療器械召回的相關法規(guī)處理，不 屬于本指導原則討論范圍。 軟件版本命名規(guī)則應考慮網(wǎng)絡安全更新的情況。 注冊申請人在提交注冊申報資料時， 應根據(jù)醫(yī)療器械網(wǎng)絡安全的具體情況提交網(wǎng)絡安全描述文檔或常規(guī)安全補丁描述文檔。網(wǎng)絡安全描述文檔適用于產(chǎn)品注冊、重大網(wǎng)絡安全更

15、新,常規(guī)安全補丁描述文檔適用于輕微網(wǎng)絡安全更新。 （二）網(wǎng)絡安全描述文檔 1 .基本信息 描述醫(yī)療器械產(chǎn)品的相關信息： （1）類型:健康數(shù)據(jù)、設備數(shù)據(jù)； （2）功能：電子數(shù)據(jù)交換（單向、雙向卜遠程控制（實時、非實時）; （3）用途:如臨床應用、設備維護等； （4）交換方式：網(wǎng)絡（無線網(wǎng)絡、有線網(wǎng)絡）及要求（如傳輸協(xié)議（標準、自定義）、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式（標準、自定義）、容量等）;對于專用無線設備（非通用信息技術設備）,還應提交符合無線電管理規(guī)定的證明材料； （5）安全軟件:描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規(guī)格、完整版本、供應商

16、、運行環(huán)境要求； （6）現(xiàn)成軟件:描述現(xiàn)成軟件（包括應用軟件、系統(tǒng)軟件、支持軟件）的名稱、型號規(guī)格、完整版本和供應商。 2 .風險管理 提供醫(yī)療器械網(wǎng)絡安全風險管理的分析報告和總結報告，確保全部 剩余風險均是可接受的。 3 .驗證與確認 提供網(wǎng)絡安全測試計劃和報告,證明醫(yī)療器械產(chǎn)品的網(wǎng)絡安全需求（如保密性、完整性、可得性等特性）均已得到滿足。同時還應提供網(wǎng)絡安全可追溯性分析報告，即追溯網(wǎng)絡安全需求規(guī)范、設計規(guī)范、測試、風險管理的關系表。 對于安全軟件，應提供兼容性測試報告。 對于標準傳輸協(xié)議或存儲格式,應提供標準符合性證明材料，而對于自定義傳輸協(xié)議或存儲格式，應提供完整性測試總結報告。 對于實

17、時遠程控制功能，應提供完整性和可得性測試報告。 4 .維護計劃 描述軟件（含現(xiàn)成軟件）網(wǎng)絡安全更新的維護流程，包括更新確認和用戶告知。 （三）常規(guī)安全補丁描述文檔 提交軟件（含現(xiàn)成軟件）常規(guī)安全補丁的情況說明（補丁描述、影響分析、用戶告知計劃）、測試計劃與報告、新增已知剩余缺陷情況說明（證明新增風險均是可接受的）。 五、注冊申報資料要求 （一）產(chǎn)品注冊 1.軟件研究資料 注冊申請人應單獨提交一份網(wǎng)絡安全描述文檔，具體要求詳見第四節(jié)。注冊申請人應在產(chǎn)品技術要求性能指標中明確數(shù)據(jù)接口、用戶訪問 控制的要求： (1)數(shù)據(jù)接口：傳輸協(xié)議/存儲格式； (2)用戶訪問控制：用戶身份鑒別方法、用戶類型及權限。 3.說明書 說明書應提供關于網(wǎng)絡安全的相關說明，明確運行環(huán)境(含硬件配 置、軟件環(huán)境和網(wǎng)絡條件卜安全軟件(如殺毒軟件、防火墻等)、數(shù)據(jù)與設備(系統(tǒng))接口、用戶訪問控制機制、軟件環(huán)境(含系統(tǒng)軟件、支持軟件、應用軟件)與安全軟件更新的相關要求。 (二)許可事項變更 1