《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》解讀
為貫徹落實國家對網(wǎng)絡(luò)安全的要求���,加強醫(yī)療器械產(chǎn)品注冊工作的監(jiān)督和指導(dǎo),保障醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全����,國家食品藥品監(jiān)管總局制定頒布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》(以下簡稱《指導(dǎo)原則》)。該《指導(dǎo)原則》于2018年1月1日起施行�。
一、《指導(dǎo)原則》制定背景
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠程控制,在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也面臨著網(wǎng)絡(luò)攻擊的威脅��。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私�,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運行的風(fēng)險,導(dǎo)致患者�、使用者受到傷害或死亡。因此���,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分����,也是國家網(wǎng)絡(luò)安全的組成部分之一���。
醫(yī)療器械網(wǎng)絡(luò)安全具有影響因素多��、涉及面廣����、擴散性強和突發(fā)性高等特點,風(fēng)險相對較高����,因此需要加強相應(yīng)監(jiān)管工作�����,以保證醫(yī)療器械安全性和有效性���,保障人民群眾用械安全���。
《指導(dǎo)原則》于2014年啟動制定工作,依據(jù)《中國人民共和國網(wǎng)絡(luò)安全法》��,在前期國內(nèi)外文獻調(diào)研�、企業(yè)調(diào)研、專家研討的基礎(chǔ)上���,結(jié)合我國國情實際情況�,經(jīng)征求各方意見����,反復(fù)討論修改予以制定,于2017年1月20日發(fā)布���,并于2018年1月1日實施����。
二、《指導(dǎo)原則》主要內(nèi)容
(一)適用范圍
《指導(dǎo)原則》適用于具有網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠程控制以及采用存儲媒介以進行電子數(shù)據(jù)交換的第二類����、第三類醫(yī)療器械產(chǎn)品(包括境內(nèi)、進口)的注冊申報�,適用的注冊方式包括產(chǎn)品注冊、許可事項變更����、延續(xù)注冊。
(二)注冊人責(zé)任
注冊人應(yīng)當(dāng)在醫(yī)療器械全生命周期過程(包括設(shè)計開發(fā)����、生產(chǎn)、分銷����、部署、維護)中保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全��,從而保證其安全性和有效性。
注冊人應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品注冊申請中提交相應(yīng)網(wǎng)絡(luò)安全注冊申報資料����,以證明醫(yī)療器械產(chǎn)品的安全性和有效性。
(三)關(guān)注重點
醫(yī)療器械網(wǎng)絡(luò)安全防護層級包括產(chǎn)品級(即醫(yī)療器械產(chǎn)品自身)和系統(tǒng)級(即醫(yī)療信息技術(shù)網(wǎng)絡(luò))��,保證措施包括管理措施(如使用規(guī)范等)�����、物理措施(如防盜措施等)和技術(shù)措施(如加密技術(shù)等)����,《指導(dǎo)原則》以醫(yī)療器械數(shù)據(jù)安全為核心主要關(guān)注產(chǎn)品級的技術(shù)保證措施����。
(四)醫(yī)療器械網(wǎng)絡(luò)安全
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性、完整性和可得性����。
1.保密性:指數(shù)據(jù)不能被未授權(quán)的個人、實體利用或知悉的特性���,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進行訪問�����;
2.完整性:指保護數(shù)據(jù)準確和完整的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)是準確和完整的,且未被篡改��;
3.可得性:指根據(jù)授權(quán)個人��、實體的要求可訪問和使用的特性��,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時進行訪問和使用��。
(五)醫(yī)療器械相關(guān)數(shù)據(jù)
醫(yī)療器械相關(guān)數(shù)據(jù)包括健康數(shù)據(jù)和設(shè)備數(shù)據(jù)�。
1.健康數(shù)據(jù):指標明生理、心理健康狀況的私人數(shù)據(jù)(又稱個人數(shù)據(jù)或敏感數(shù)據(jù)�����,指可用于人員身份識別的相關(guān)信息)�,涉及患者隱私信息;
2.設(shè)備數(shù)據(jù):指描述設(shè)備運行狀況的數(shù)據(jù)�,用于監(jiān)視、控制設(shè)備運行或用于設(shè)備的維護保養(yǎng)���,本身不涉及患者隱私信息����。
(六)醫(yī)療器械網(wǎng)絡(luò)安全能力
醫(yī)療器械網(wǎng)絡(luò)安全能力包括對網(wǎng)絡(luò)安全威脅的識別、防護����、探測、響應(yīng)�����、恢復(fù)的能力��。醫(yī)療器械對網(wǎng)絡(luò)安全威脅應(yīng)當(dāng)具備相應(yīng)識別����、防護能力����,而由于預(yù)期用途、使用環(huán)境的限制����,醫(yī)療器械對網(wǎng)絡(luò)安全威脅的探測�����、響應(yīng)����、恢復(fù)能力應(yīng)當(dāng)與其產(chǎn)品特性相適應(yīng)��。
(七)現(xiàn)成軟件網(wǎng)絡(luò)安全
對于屬于應(yīng)用軟件的現(xiàn)成軟件���,應(yīng)當(dāng)重點關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械臨床應(yīng)用的影響���。
對于屬于系統(tǒng)軟件或支持軟件的現(xiàn)成軟件,應(yīng)當(dāng)重點關(guān)注安全補丁更新對醫(yī)療器械的影響�。
(八)醫(yī)療器械網(wǎng)絡(luò)安全更新
醫(yī)療器械網(wǎng)絡(luò)安全更新可分為重大網(wǎng)絡(luò)安全更新和輕微網(wǎng)絡(luò)安全更新。
1.重大網(wǎng)絡(luò)安全更新:指影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新�����;
2.輕微網(wǎng)絡(luò)安全更新:指不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新�,如常規(guī)安全補丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新應(yīng)進行許可事項變更����,而發(fā)生輕微網(wǎng)絡(luò)安全更新通過質(zhì)量管理體系進行控制�����,無需進行許可事項變更��,待到下次注冊時提交相應(yīng)注冊申報資料�����。
(九)與其它指導(dǎo)原則關(guān)系
《指導(dǎo)原則》是對《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》(以下簡稱《軟件指導(dǎo)原則》)的補充����,應(yīng)結(jié)合《軟件指導(dǎo)原則》的相關(guān)要求使用《指導(dǎo)原則》�。
三、《指導(dǎo)原則》實施要求
(一)實施過渡期
為平衡醫(yī)療器械網(wǎng)絡(luò)安全監(jiān)管和行業(yè)健康發(fā)展的關(guān)系��,保證《指導(dǎo)原則》順利實施�,《指導(dǎo)原則》的實施設(shè)置了過渡期����,將于2018年1月1日正式施行。
在過渡期內(nèi)�,注冊人應(yīng)當(dāng)結(jié)合《指導(dǎo)原則》要求做好相應(yīng)準備工作,同時可以自主決定是否按照《指導(dǎo)原則》要求提交醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料���。自實施之日起��,注冊人應(yīng)當(dāng)提交醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料�。
(二)注冊申報資料要求
1.產(chǎn)品注冊:注冊人應(yīng)當(dāng)單獨提交一份網(wǎng)絡(luò)安全描述文檔,在產(chǎn)品技術(shù)要求中明確數(shù)據(jù)接口���、用戶訪問控制的要求���,在說明書中明確網(wǎng)絡(luò)安全相關(guān)要求。
2.許可事項變更:注冊人應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全更新情況提交網(wǎng)絡(luò)安全描述文檔��、常規(guī)安全補丁描述文檔或無變化真實性聲明�,如適用應(yīng)當(dāng)在產(chǎn)品技術(shù)要求和說明書中體現(xiàn)網(wǎng)絡(luò)安全的變更內(nèi)容。
3.延續(xù)注冊:如適用�����,注冊人應(yīng)當(dāng)單獨提交一份常規(guī)安全補丁描述文檔�。
(三)醫(yī)療器械網(wǎng)絡(luò)安全文檔
醫(yī)療器械網(wǎng)絡(luò)安全文檔包括網(wǎng)絡(luò)安全描述文檔、常規(guī)安全補丁描述文檔�。
1.網(wǎng)絡(luò)安全描述文檔:內(nèi)容包括基本信息、風(fēng)險管理���、驗證與確認�、維護計劃,適用于產(chǎn)品注冊��、重大網(wǎng)絡(luò)安全更新�����;
2.常規(guī)安全補丁描述文檔:內(nèi)容包括情況說明����、測試計劃與報告、新增已知剩余缺陷情況說明���,適用于輕微網(wǎng)絡(luò)安全更新��。
(四)注冊人實施要求
注冊人應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點來保證其網(wǎng)絡(luò)安全����,包括上市前和上市后的要求�。注冊人還可采用信息安全領(lǐng)域良好工程實踐來完善醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全管理�����。
注冊人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途���、使用環(huán)境��、核心功能以及相連設(shè)備的情況來確定其網(wǎng)絡(luò)安全特性���,并采用基于風(fēng)險管理的方法保證其網(wǎng)絡(luò)安全��。
注冊人應(yīng)當(dāng)結(jié)合醫(yī)療器械相關(guān)數(shù)據(jù)的類型��、功能���、用途、交換方式及要求來考慮醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全問題�����。對于健康數(shù)據(jù)���,注冊人應(yīng)當(dāng)遵循患者隱私保護相關(guān)法律法規(guī)的規(guī)定���。對于設(shè)備數(shù)據(jù),注冊人應(yīng)當(dāng)保證其與健康數(shù)據(jù)的有效隔離�����。
注冊人應(yīng)當(dāng)根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力的要求,可參照IEC/TR 80001-2-2完善其網(wǎng)絡(luò)安全能力建設(shè)����,保證醫(yī)療器械產(chǎn)品對于網(wǎng)絡(luò)安全威脅具備必要的識別、保護能力和適當(dāng)?shù)奶綔y��、響應(yīng)����、恢復(fù)能力。
注冊人應(yīng)當(dāng)重視現(xiàn)成軟件的網(wǎng)絡(luò)安全問題�,結(jié)合質(zhì)量管理體系的要求和現(xiàn)成軟件的類型,采用基于風(fēng)險管理的方法保證現(xiàn)成軟件的網(wǎng)絡(luò)安全����。
注冊人應(yīng)當(dāng)區(qū)分醫(yī)療器械網(wǎng)絡(luò)安全更新的類型,根據(jù)網(wǎng)絡(luò)安全更新對于醫(yī)療器械產(chǎn)品的影響程度�����,結(jié)合質(zhì)量管理體系的要求開展相應(yīng)質(zhì)量保證工作�,并按《指導(dǎo)原則》要求提交相應(yīng)注冊申報資料。在軟件版本號定義里�����,應(yīng)該注意考慮網(wǎng)絡(luò)安全更新的內(nèi)容����。
注冊人應(yīng)當(dāng)遵循網(wǎng)絡(luò)安全相關(guān)國家法律法規(guī)和有關(guān)部門規(guī)章的規(guī)定,如《中華人民共和國網(wǎng)絡(luò)安全法》����、《人口健康信息管理辦法(試行)》《國家衛(wèi)生計生委關(guān)于推進醫(yī)療機構(gòu)遠程醫(yī)療服務(wù)的意見》等。
注冊人可參考與網(wǎng)絡(luò)安全相關(guān)的國際標準及技術(shù)報告的要求來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全���,完善質(zhì)量管理體系關(guān)于網(wǎng)絡(luò)安全體系的要求��,如IEC80001系列標準及技術(shù)報告���、IEC 60601-1第三版、IEC 82304-1���、IEC 27000系列標準及技術(shù)報告���、ISO/DIS 27799等。
附件
醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則
本指導(dǎo)原則旨在指導(dǎo)注冊申請人提交醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料���,同時規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評要求����。
本指導(dǎo)原則是對醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求,注冊申請人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報資料����,判斷指導(dǎo)原則中的具體內(nèi)容是否適用,不適用內(nèi)容詳述理由�。注冊申請人也可采用其他滿足法規(guī)要求的替代方法,但應(yīng)提供詳盡的研究資料和驗證資料��。
本指導(dǎo)原則是在現(xiàn)行法規(guī)和標準體系以及當(dāng)前認知水平下��、并參考了國外法規(guī)與指南�、國際標準與技術(shù)報告制定的。隨著法規(guī)和標準的不斷完善�,以及認知水平和技術(shù)能力的不斷提高,相關(guān)內(nèi)容也將適時進行修訂����。
本指導(dǎo)原則是對注冊申請人和審評人員的指導(dǎo)性文件,不包括審評審批所涉及的行政事項����,亦不作為法規(guī)強制執(zhí)行���,應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則。
本指導(dǎo)原則作為《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》的補充�����,應(yīng)結(jié)合《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》的相關(guān)要求使用��。本指導(dǎo)原則是醫(yī)療器械網(wǎng)絡(luò)安全的通用指導(dǎo)原則���,其他涉及網(wǎng)絡(luò)安全的醫(yī)療器械產(chǎn)品指導(dǎo)原則可在本指導(dǎo)原則基礎(chǔ)上進行有針對性的調(diào)整、修改和完善�。
一、適用范圍
本指導(dǎo)原則適用于具有網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠程控制的第二類����、第三類醫(yī)療器械產(chǎn)品的注冊申報,其中網(wǎng)絡(luò)包括無線��、有線網(wǎng)絡(luò)����,電子數(shù)據(jù)交換包括單向、雙向數(shù)據(jù)傳輸���,遠程控制包括實時���、非實時控制��。
同時���,本指導(dǎo)原則也適用于采用存儲媒介以進行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械產(chǎn)品的注冊申報���,其中存儲媒介包括但不限于光盤�、移動硬盤和U盤��。
二�����、基本原則
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠程控制�����,在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也面臨著網(wǎng)絡(luò)攻擊的威脅����。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運行的風(fēng)險���,導(dǎo)致患者或使用者受到傷害或死亡��。因此�,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一��。
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性(confidentiality)���、完整性(integrity)和可得性[1](availability)(改自GB/T 29246-2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》):
1.保密性:指數(shù)據(jù)不能被未授權(quán)的個人、實體利用或知悉的特性��,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進行訪問���;
2.完整性:指保護數(shù)據(jù)準確和完整的特性�����,即醫(yī)療器械相關(guān)數(shù)據(jù)是準確和完整的�,且未被篡改����;
3.可得性:指根據(jù)授權(quán)個人�����、實體的要求可訪問和使用的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時進行訪問和使用����。
此外,醫(yī)療器械網(wǎng)絡(luò)安全特性還包括真實性(authenticity)�、可核查性(accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等特性����,相應(yīng)定義詳見GB/T 29246-2012。
注冊申請人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途����、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)(如其它醫(yī)療器械、信息技術(shù)設(shè)備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性��,并采用基于風(fēng)險管理的方法來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全:識別資產(chǎn)(asset����,對個人或組織有價值的任何東西)�、威脅(threat����,可能導(dǎo)致對個人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因)和脆弱性(vulnerability,可能會被威脅所利用的資產(chǎn)或風(fēng)險控制措施的弱點)���,評估威脅和脆弱性對于醫(yī)療器械產(chǎn)品和患者的影響以及被利用的可能性��,確定風(fēng)險水平并采取適宜的風(fēng)險控制措施��,基于風(fēng)險接受準則評估剩余風(fēng)險。
注冊申請人應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品全生命周期過程中持續(xù)關(guān)注網(wǎng)絡(luò)安全問題���,包括醫(yī)療器械產(chǎn)品的設(shè)計開發(fā)���、生產(chǎn)、分銷���、部署和維護����。同時,注冊申請人應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全���,包括上市前和上市后的相關(guān)要求��,如風(fēng)險管理�、設(shè)計開發(fā)�����、網(wǎng)絡(luò)安全維護及用戶告知等要求�。此外,注冊申請人可采用信息安全領(lǐng)域的良好工程[2]實踐來完善醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全管理�,保證醫(yī)療器械產(chǎn)品的安全性和有效性。
注冊申請人應(yīng)當(dāng)持續(xù)跟蹤與網(wǎng)絡(luò)安全相關(guān)的國家法律法規(guī)(如《中華人民共和國網(wǎng)絡(luò)安全法》)以及有關(guān)部門(如公安部��、國家網(wǎng)信辦��、衛(wèi)生計生委���、工業(yè)和信息化部)的規(guī)章��,醫(yī)療器械的網(wǎng)絡(luò)安全應(yīng)當(dāng)符合相應(yīng)法律法規(guī)和部門規(guī)章的要求�。
醫(yī)療器械產(chǎn)品在使用過程中常與非注冊申請人預(yù)期的設(shè)備或系統(tǒng)相連接,這就使得注冊申請人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全��。因此���,醫(yī)療器械的網(wǎng)絡(luò)安全需要注冊申請人����、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障���。但是這并不意味著注冊申請人可以免除醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)責(zé)任����,注冊申請人應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全����,并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性��。
醫(yī)療器械網(wǎng)絡(luò)安全防護層級可分為產(chǎn)品級和系統(tǒng)級���,保證措施包括管理措施、物理措施和技術(shù)措施����,本指導(dǎo)原則以醫(yī)療器械數(shù)據(jù)安全為核心主要關(guān)注產(chǎn)品級的技術(shù)保證措施���。
鑒于醫(yī)療器械網(wǎng)絡(luò)安全具有影響因素多、涉及面廣�����、擴散性強和突發(fā)性高等特點��,單獨考慮醫(yī)療器械產(chǎn)品的軟件安全性級別不足以保證其網(wǎng)絡(luò)安全����,因此對于與醫(yī)療器械網(wǎng)絡(luò)安全有關(guān)的注冊申報資料統(tǒng)一進行要求。
三���、網(wǎng)絡(luò)安全考量
(一)數(shù)據(jù)考量
醫(yī)療器械相關(guān)數(shù)據(jù)從內(nèi)容上可分為以下兩種類型:
1.健康數(shù)據(jù):標明生理��、心理健康狀況的私人數(shù)據(jù)(“Private Data”�����,又稱個人數(shù)據(jù)“Personal Data”�、敏感數(shù)據(jù)“Sensitive Data”�����,指可用于人員身份識別的相關(guān)信息),涉及患者隱私信息����;
2.設(shè)備數(shù)據(jù):描述設(shè)備運行狀況的數(shù)據(jù),用于監(jiān)視��、控制設(shè)備運行或用于設(shè)備的維護保養(yǎng)�,本身不涉及患者隱私信息。
醫(yī)療器械相關(guān)數(shù)據(jù)的交換方式可分為以下兩種情況:
1. 網(wǎng)絡(luò):通過網(wǎng)絡(luò)(包括無線網(wǎng)絡(luò)�����、有線網(wǎng)絡(luò))進行電子數(shù)據(jù)交換或遠程控制���,需要考慮網(wǎng)絡(luò)相關(guān)要求(如接口�����、帶寬等)����,數(shù)據(jù)傳輸協(xié)議需考慮是否為標準協(xié)議(即業(yè)內(nèi)公認標準所規(guī)范的協(xié)議)�,遠程控制需考慮是否為實時控制;
2.存儲媒介:通過存儲媒介(如光盤�����、移動硬盤��、U盤等)進行電子數(shù)據(jù)交換�,數(shù)據(jù)儲存格式需考慮是否為標準格式(即業(yè)內(nèi)公認標準所規(guī)范的格式)。
注冊申請人應(yīng)當(dāng)基于醫(yī)療器械相關(guān)數(shù)據(jù)的類型�����、功能��、用途�、交換方式及要求,并結(jié)合醫(yī)療器械產(chǎn)品特性考慮其網(wǎng)絡(luò)安全問題�。
對于健康數(shù)據(jù),注冊申請人應(yīng)當(dāng)遵循患者隱私保護的相關(guān)規(guī)定�����。對于無線設(shè)備����,注冊申請人應(yīng)當(dāng)遵循無線電管理的相關(guān)規(guī)定��。
(二)技術(shù)考量
用戶訪問控制機制應(yīng)當(dāng)與醫(yī)療器械產(chǎn)品特性相適應(yīng)�,包括但不限于用戶身份鑒別方法(如用戶名�����、口令等)�、用戶類型及權(quán)限(如系統(tǒng)管理員、普通用戶����、設(shè)備維護人員等)、口令強度設(shè)置���、軟件更新授權(quán)等�。
醫(yī)療器械相關(guān)數(shù)據(jù)在網(wǎng)絡(luò)傳輸或數(shù)據(jù)交換過程中應(yīng)當(dāng)保證保密性和完整性�,同時平衡可得性的要求,特別是具有遠程控制功能的醫(yī)療器械����。注冊申請人可采用加密、數(shù)字簽名����、標準協(xié)議�、校驗等技術(shù)來保證醫(yī)療器械的網(wǎng)絡(luò)安全���。
鑒于預(yù)期用途、使用環(huán)境的限制���,醫(yī)療器械對于網(wǎng)絡(luò)安全威脅的探測����、響應(yīng)和恢復(fù)能力應(yīng)當(dāng)與醫(yī)療器械的產(chǎn)品特性相適應(yīng)���。注冊申請人可采用防火墻�、入侵檢測和惡意代碼防護等技術(shù)來保證醫(yī)療器械的網(wǎng)絡(luò)安全���。
醫(yī)療器械網(wǎng)絡(luò)安全能力建設(shè)可參照相關(guān)的國際�����、國家標準和技術(shù)報告����,如IEC/TR 80001-2-2[3]規(guī)范了十九項網(wǎng)絡(luò)安全能力:自動注銷(ALOF)��、審核控制(AUDT)、授權(quán)(AUTH)���、安全特性配置(CNFS)����、網(wǎng)絡(luò)安全產(chǎn)品升級(CSUP)����、健康數(shù)據(jù)身份信息去除(DIDT)、數(shù)據(jù)備份與災(zāi)難恢復(fù)(DTBK)���、緊急訪問(EMRG)�、健康數(shù)據(jù)完整性與真實性(IGAU)�、惡意軟件探測與防護(MLDP)、網(wǎng)絡(luò)節(jié)點鑒別(NAUT)�、人員鑒別(PAUT)、物理鎖(PLOK)���、第三方組件維護計劃(RDMP)����、系統(tǒng)與應(yīng)用軟件硬化(SAHD)、安全指導(dǎo)(SGUD)��、健康數(shù)據(jù)存儲保密性(STCF)����、傳輸保密性(TXCF)和傳輸完整性(TXIG),注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性�����。
(三)現(xiàn)成軟件考量
醫(yī)療器械使用現(xiàn)成軟件的情況日益普遍���,特別是系統(tǒng)軟件和支持軟件。因此�,注冊申請人同樣需要關(guān)注現(xiàn)成軟件的網(wǎng)絡(luò)安全問題,應(yīng)當(dāng)根據(jù)質(zhì)量管理體系要求建立網(wǎng)絡(luò)安全維護流程�����,并將醫(yī)療器械網(wǎng)絡(luò)安全信息及時通知用戶���。
對于應(yīng)用軟件�,注冊申請人需要重點關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械臨床應(yīng)用的影響�����。而對于系統(tǒng)軟件和支持軟件,注冊申請人需要重點關(guān)注其安全補丁更新對醫(yī)療器械的影響����,安全補丁更新屬于設(shè)計變更,需要進行驗證與確認��,但通常情況下可視為輕微軟件更新����,除非影響到醫(yī)療器械的安全性和有效性。
四����、網(wǎng)絡(luò)安全文檔
(一)基本考量
網(wǎng)絡(luò)安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
1.重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新;
2.輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新�,如常規(guī)安全補丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新應(yīng)進行許可事項變更�����,而發(fā)生輕微網(wǎng)絡(luò)安全更新通過質(zhì)量管理體系進行控制�����,無需進行注冊變更,待到下次注冊(注冊變更和延續(xù)注冊)時提交相應(yīng)注冊申報資料����。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡(luò)安全更新,遵循風(fēng)險從高原則應(yīng)進行許可事項變更�。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理,不屬于本指導(dǎo)原則討論范圍�。
軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況。
注冊申請人在提交注冊申報資料時���,應(yīng)根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全的具體情況提交網(wǎng)絡(luò)安全描述文檔或常規(guī)安全補丁描述文檔。網(wǎng)絡(luò)安全描述文檔適用于產(chǎn)品注冊��、重大網(wǎng)絡(luò)安全更新�,常規(guī)安全補丁描述文檔適用于輕微網(wǎng)絡(luò)安全更新。
(二)網(wǎng)絡(luò)安全描述文檔
1.基本信息
描述醫(yī)療器械產(chǎn)品的相關(guān)信息:
(1)類型:健康數(shù)據(jù)�、設(shè)備數(shù)據(jù);
(2)功能:電子數(shù)據(jù)交換(單向�����、雙向)�、遠程控制(實時、非實時)���;
(3)用途:如臨床應(yīng)用�、設(shè)備維護等;
(4)交換方式:網(wǎng)絡(luò)(無線網(wǎng)絡(luò)�、有線網(wǎng)絡(luò))及要求(如傳輸協(xié)議(標準、自定義)����、接口、帶寬等)���,存儲媒介(如光盤����、移動硬盤���、U盤等)及要求(如存儲格式(標準�、自定義)�、容量等);對于專用無線設(shè)備(非通用信息技術(shù)設(shè)備)�,還應(yīng)提交符合無線電管理規(guī)定的證明材料;
(5)安全軟件:描述安全軟件(如殺毒軟件����、防火墻等)的名稱����、型號規(guī)格����、完整版本、供應(yīng)商��、運行環(huán)境要求�����;
(6)現(xiàn)成軟件:描述現(xiàn)成軟件(包括應(yīng)用軟件��、系統(tǒng)軟件�����、支持軟件)的名稱����、型號規(guī)格����、完整版本和供應(yīng)商�。
2.風(fēng)險管理
提供醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理的分析報告和總結(jié)報告�,確保全部剩余風(fēng)險均是可接受的。
3.驗證與確認
提供網(wǎng)絡(luò)安全測試計劃和報告����,證明醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求(如保密性、完整性�����、可得性等特性)均已得到滿足��。同時還應(yīng)提供網(wǎng)絡(luò)安全可追溯性分析報告���,即追溯網(wǎng)絡(luò)安全需求規(guī)范�、設(shè)計規(guī)范�、測試、風(fēng)險管理的關(guān)系表����。
對于安全軟件,應(yīng)提供兼容性測試報告�。
對于標準傳輸協(xié)議或存儲格式,應(yīng)提供標準符合性證明材料����,而對于自定義傳輸協(xié)議或存儲格式���,應(yīng)提供完整性測試總結(jié)報告。
對于實時遠程控制功能�,應(yīng)提供完整性和可得性測試報告。
4.維護計劃
描述軟件(含現(xiàn)成軟件)網(wǎng)絡(luò)安全更新的維護流程��,包括更新確認和用戶告知����。
(三)常規(guī)安全補丁描述文檔
提交軟件(含現(xiàn)成軟件)常規(guī)安全補丁的情況說明(補丁描述、影響分析�����、用戶告知計劃)����、測試計劃與報告����、新增已知剩余缺陷情況說明(證明新增風(fēng)險均是可接受的)。
五��、注冊申報資料要求
(一)產(chǎn)品注冊
1.軟件研究資料
注冊申請人應(yīng)單獨提交一份網(wǎng)絡(luò)安全描述文檔,具體要求詳見第四節(jié)���。
2.產(chǎn)品技術(shù)要求
注冊申請人應(yīng)在產(chǎn)品技術(shù)要求性能指標中明確數(shù)據(jù)接口��、用戶訪問控制的要求:
(1)數(shù)據(jù)接口:傳輸協(xié)議/存儲格式�����;
(2)用戶訪問控制:用戶身份鑒別方法�、用戶類型及權(quán)限����。
3.說明書
說明書應(yīng)提供關(guān)于網(wǎng)絡(luò)安全的相關(guān)說明,明確運行環(huán)境(含硬件配置����、軟件環(huán)境和網(wǎng)絡(luò)條件)、安全軟件(如殺毒軟件����、防火墻等)、數(shù)據(jù)與設(shè)備(系統(tǒng))接口���、用戶訪問控制機制����、軟件環(huán)境(含系統(tǒng)軟件、支持軟件�、應(yīng)用軟件)與安全軟件更新的相關(guān)要求。
(二)許可事項變更
1.軟件研究資料
醫(yī)療器械許可事項變更應(yīng)根據(jù)網(wǎng)絡(luò)安全更新情況提交變化部分對產(chǎn)品安全性與有效性影響的研究資料:
(1)涉及重大網(wǎng)絡(luò)安全更新:單獨提交一份網(wǎng)絡(luò)安全描述文檔,具體要求詳見第四節(jié);
(2)僅發(fā)生輕微網(wǎng)絡(luò)安全更新:單獨提交一份常規(guī)安全補丁描述文檔����,具體要求詳見第四節(jié)����;
(3)未發(fā)生網(wǎng)絡(luò)安全更新:出具真實性聲明����。
2.產(chǎn)品技術(shù)要求
如適用,產(chǎn)品技術(shù)要求應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更情況����。
3.說明書
如適用,說明書應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更內(nèi)容����。
(三)延續(xù)注冊
如適用����,醫(yī)療器械延續(xù)注冊產(chǎn)品分析報告第(六)項應(yīng)單獨提交一份常規(guī)安全補丁描述文檔����,具體要求詳見第四節(jié)����。
六、參考文獻
略
【來源】CFDA
【整理】TACRO
【聲明】部分文章和信息來源于互聯(lián)網(wǎng)����,不代表本訂閱號贊同其觀點和對其真實性負責(zé)。如轉(zhuǎn)載內(nèi)容涉及版權(quán)等問題����,請立即與我們聯(lián)系(楊 13260664005),我們將迅速采取適當(dāng)措施����。
