相比于通用的ISO27001信息安全管理體系���,醫療器械行業(yè)有其自身的有關(guān)醫療器械網(wǎng)絡(luò )安全的指導文件���。2020年9月8日����,藥監總局發(fā)布關(guān)于公開(kāi)征求《醫療器械網(wǎng)絡(luò )安全技術(shù)審查指導原則(第二版)征求意見(jiàn)稿》意見(jiàn)的通知�����,詳見(jiàn)正文���。
引言:相比于通用的ISO27001信息安全管理體系���,醫療器械行業(yè)有其自身的有關(guān)醫療器械網(wǎng)絡(luò )安全的指導文件�����。2020年9月8日�,藥監總局發(fā)布關(guān)于公開(kāi)征求《醫療器械網(wǎng)絡(luò )安全技術(shù)審查指導原則(第二版)征求意見(jiàn)稿》意見(jiàn)的通知���,詳見(jiàn)正文����。
醫療器械網(wǎng)絡(luò )安全技術(shù)審查指導原則
(第二版)
本指導原則旨在指導注冊人規范醫療器械網(wǎng)絡(luò )安全生存周期過(guò)程和準備醫療器械網(wǎng)絡(luò )安全注冊申報資料�,同時(shí)規范醫療器械網(wǎng)絡(luò )安全的技術(shù)審評要求�����,為醫療器械軟件和質(zhì)量管理軟件的體系核查提供參考����。
本指導原則是對醫療器械網(wǎng)絡(luò )安全的一般性要求����,注冊人應根據醫療器械產(chǎn)品特性提交網(wǎng)絡(luò )安全注冊申報資料�,判斷指導原則中的具體內容是否適用��,不適用內容詳述理由�。注冊人也可采用其他滿(mǎn)足法規要求的替代方法�,但應提供詳盡的研究資料��。
本指導原則基于當前認知水平和技術(shù)能力�,在現行法規體系下參考國外法規與指南�����、國際標準與技術(shù)報告予以制定����。隨著(zhù)認知水平和技術(shù)能力的不斷提高以及法規體系的不斷完善�,相關(guān)內容也將適時(shí)修訂�����。
本指導原則作為注冊人�、審評人員和檢查人員的指導性文件��,不包括審評審批所涉及的行政事項��,亦不作為法規強制執行��,應在符合法規要求的前提下使用本指導原則��。
本指導原則作為《醫療器械軟件技術(shù)審查指導原則》(以下簡(jiǎn)稱(chēng)軟件指導原則)的補充���,應結合軟件指導原則相關(guān)要求使用�����。本指導原則是醫療器械網(wǎng)絡(luò )安全的通用指導原則�,其他涉及網(wǎng)絡(luò )安全的醫療器械產(chǎn)品指導原則可在本指導原則基礎上進(jìn)行有針對性的調整�、修改和完善�。
一����、適用范圍
本指導原則適用于醫療器械網(wǎng)絡(luò )安全的注冊申報��,包括具備電子數據交換�����、遠程控制或用戶(hù)訪(fǎng)問(wèn)功能的第二���、三類(lèi)獨立軟件和含有軟件組件的醫療器械��。
其中�,網(wǎng)絡(luò )包括無(wú)線(xiàn)����、有線(xiàn)網(wǎng)絡(luò )��,電子數據交換包括基于網(wǎng)絡(luò )�����、存儲媒介的單向��、雙向數據傳輸�,遠程控制包括基于網(wǎng)絡(luò )的實(shí)時(shí)��、非實(shí)時(shí)控制��,用戶(hù)訪(fǎng)問(wèn)包括基于軟件用戶(hù)界面(含獨立軟件�、軟件組件)���、電子接口(含網(wǎng)絡(luò )接口��、電子數據交換接口)的人機交互方式�。
二��、網(wǎng)絡(luò )安全基礎
(一)網(wǎng)絡(luò )安全基本概念
1.醫療器械網(wǎng)絡(luò )安全
醫療器械網(wǎng)絡(luò )安全是指保護醫療器械產(chǎn)品自身和相關(guān)數據不受未授權活動(dòng)影響的狀態(tài)��,其保密性(Confidentiality)��、完整性(Integrity)�、可得性(Availability)[1]相關(guān)風(fēng)險在全生命周期均處于可接受水平���。
其中����,保密性是指信息不被未授權實(shí)體(含個(gè)人�、組織)獲得或知悉的特性�,即醫療器械產(chǎn)品自身和相關(guān)數據僅可由授權用戶(hù)在授權時(shí)間以授權方式進(jìn)行訪(fǎng)問(wèn)和使用�。完整性是指信息的創(chuàng )建����、傳輸�����、存儲�、顯示未以非授權方式進(jìn)行更改(含刪除�、添加)的特性�,即醫療器械相關(guān)數據是準確和完整的����,且未被篡改�??傻眯允侵感畔⒖筛鶕跈鄬?shí)體要求進(jìn)行訪(fǎng)問(wèn)和使用的特性����,即醫療器械產(chǎn)品自身和相關(guān)數據能以預期方式適時(shí)進(jìn)行訪(fǎng)問(wèn)和使用�����。
除保密性��、完整性�����、可得性三個(gè)基本特性外����,醫療器械網(wǎng)絡(luò )安全還包括真實(shí)性(Authenticity)���、抗抵賴(lài)性(Non-Repudiation)�����、可核查性(Accountability)�����、可靠性(Reliability)等特性����。其中�����,真實(shí)性是指實(shí)體符合其所聲稱(chēng)的特性�,抗抵賴(lài)性是指實(shí)體可證明所聲稱(chēng)事件或活動(dòng)的發(fā)生及其發(fā)起實(shí)體的特性��,可核查性是指實(shí)體的活動(dòng)及結果可被追溯的特性����,可靠性是指實(shí)體的活動(dòng)及結果與預期保持一致的特性�����。
保密性����、完整性�����、可得性等網(wǎng)絡(luò )安全特性是相互制約的關(guān)系���,某一特性的能力提升會(huì )使得另一特性或多個(gè)特性的能力下降�����,例如可得性的提升通常會(huì )降低保密性和完整性����,因此需要基于產(chǎn)品特性進(jìn)行平衡兼顧�。注冊人應結合醫療器械的預期用途��、使用場(chǎng)景�����、核心功能進(jìn)行綜合考量���,從而確定醫療器械網(wǎng)絡(luò )安全特性的具體要求�。
此外���,盡管信息安全�����、網(wǎng)絡(luò )安全�、數據安全的定義和范圍各有側重��,既有聯(lián)系又有區別�,不盡相同����,但是本指導原則從醫療器械軟件角度出發(fā)不做嚴格區分���,統一采用網(wǎng)絡(luò )安全進(jìn)行描述���,即從網(wǎng)絡(luò )安全角度綜合考慮醫療器械的信息安全和數據安全�����。
2.醫療器械相關(guān)數據
醫療器械相關(guān)數據可分為醫療數據和設備數據����。
(1)醫療數據是指醫療器械所使用的��、產(chǎn)生的與醫療活動(dòng)相關(guān)的數據(含日志)����,從個(gè)人信息保護角度又可分為敏感醫療數據��、非敏感醫療數據�,其中敏感醫療數據是指含有個(gè)人信息的醫療數據�����,反之即為非敏感醫療數據���。個(gè)人信息是指能夠單獨或與其他信息結合識別特定自然人個(gè)人身份的各種信息�,如自然人的姓名��、出生日期���、身份證件號碼�����、個(gè)人生物識別信息(含容貌信息)���、住址�����、電話(huà)號碼等��。敏感醫療數據屬于健康數據����,健康數據是指標明生理�、心理健康狀況的私人數據�����,涵蓋醫療領(lǐng)域����、健康領(lǐng)域��。
(2)設備數據是指描述醫療器械運行狀況的數據���,用于監視�����、控制醫療器械運行或用于醫療器械的維護維修���,不應含有個(gè)人信息��。
注冊人應基于醫療器械相關(guān)數據的類(lèi)型�、功能���、用途���,結合網(wǎng)絡(luò )安全特性考慮醫療器械數據安全要求����。同時(shí)��,保證敏感醫療數據所含個(gè)人信息免于泄露���、濫用和篡改���,以及醫療數據和設備數據的有效隔離�����。
3.電子接口
醫療器械電子接口包括網(wǎng)絡(luò )接口����、電子數據交換接口��。
(1)網(wǎng)絡(luò )接口:是指醫療器械通過(guò)網(wǎng)絡(luò )進(jìn)行電子數據交換或遠程控制��,此時(shí)需考慮網(wǎng)絡(luò )的技術(shù)特征要求�����,包括但不限于網(wǎng)絡(luò )形式(有線(xiàn)����、無(wú)線(xiàn))����、物理接口(如電口��、光口)�、數據接口(標準協(xié)議����、私有協(xié)議)��、遠程控制方式(實(shí)時(shí)��、非實(shí)時(shí))���、性能指標(如端口���、傳輸速率����、帶寬)等�����。無(wú)線(xiàn)網(wǎng)絡(luò )包括Wi-Fi(IEEE 802.11)��、藍牙(IEEE 802.15)��、無(wú)線(xiàn)電��、射頻��、紅外等形式�����,醫用無(wú)線(xiàn)專(zhuān)用設備(即未采用通用無(wú)線(xiàn)通信技術(shù)的醫療器械)應符合中國無(wú)線(xiàn)電管理相關(guān)規定���。標準協(xié)議即業(yè)內公認標準所規范的數據傳輸協(xié)議�,需考慮定制化功能的兼容性問(wèn)題����。遠程控制包括系統軟件所提供的運程桌面功能����。
(2)電子數據交換接口:是指醫療器械通過(guò)非網(wǎng)絡(luò )接口的其他電子接口(如串口����、并口�����、USB口��、視頻接口�、音頻接口)或存儲媒介(如光盤(pán)�、移動(dòng)硬盤(pán)�����、U盤(pán))進(jìn)行電子數據交換�����。
其他電子接口可參照網(wǎng)絡(luò )接口明確其技術(shù)特征要求��。數據存儲的技術(shù)特征要求包括但不限于存儲媒介形式�、文件儲存格式(標準格式�����、私有格式)�����、數據壓縮方式(有損�、無(wú)損)�����、性能指標(如傳輸速率�����、容量)等�。標準格式即業(yè)內公認標準所規范的文件存儲格式�����,需考慮文件格式完整性問(wèn)題����。
注冊人應結合醫療器械電子接口(含內部接口����、外部接口)的類(lèi)型����、方式��、技術(shù)特征��,基于網(wǎng)絡(luò )安全特性考慮其網(wǎng)絡(luò )安全的具體要求��。
(二)網(wǎng)絡(luò )安全能力
根據醫療器械網(wǎng)絡(luò )安全相關(guān)標準和技術(shù)報告的定義�����,本指導原則所述醫療器械網(wǎng)絡(luò )安全能力包括:
1.自動(dòng)注銷(xiāo):產(chǎn)品在使用閑置期間阻止非授權用戶(hù)訪(fǎng)問(wèn)和使用的能力����。
2.審核:產(chǎn)品提供用戶(hù)活動(dòng)可被審核的能力�。
3.授權:產(chǎn)品確定用戶(hù)已獲授權的能力���。
4.網(wǎng)絡(luò )安全特征配置:產(chǎn)品根據用戶(hù)需求配置網(wǎng)絡(luò )安全特征的能力����。
5.網(wǎng)絡(luò )安全補丁升級:授權用戶(hù)或服務(wù)人員安裝/升級網(wǎng)絡(luò )安全補丁的能力����。
6.數據去標識化:產(chǎn)品直接去除或匿名化數據所含個(gè)人信息的能力�。
7.數據備份與災難恢復:產(chǎn)品的數據�、硬件或軟件受到損壞或破壞后恢復的能力��。
8.緊急訪(fǎng)問(wèn):產(chǎn)品在預期緊急情況下允許用戶(hù)訪(fǎng)問(wèn)和使用的能力���。
9.數據完整性與真實(shí)性:產(chǎn)品確保數據未以非授權方式更改且來(lái)自創(chuàng )建者或提供者的能力�。
10.惡意軟件探測與防護:產(chǎn)品有效探測��、阻止惡意軟件的能力�。
11.節點(diǎn)鑒別:產(chǎn)品鑒別網(wǎng)絡(luò )節點(diǎn)的能力�����。
12.人員鑒別:產(chǎn)品鑒別授權用戶(hù)的能力����。
13.物理防護:產(chǎn)品提供防止非授權用戶(hù)訪(fǎng)問(wèn)和使用的物理防護措施的能力�。
14.現成軟件維護:產(chǎn)品在全生命周期中對現成軟件提供網(wǎng)絡(luò )安全維護的能力���。
15.系統固化:產(chǎn)品通過(guò)固化措施對網(wǎng)絡(luò )攻擊和惡意軟件的抵御能力�����。
16.網(wǎng)絡(luò )安全指導:產(chǎn)品為用戶(hù)提供網(wǎng)絡(luò )安全指導的能力���。
17.存儲保密性與完整性:產(chǎn)品確保未授權訪(fǎng)問(wèn)不會(huì )損壞存儲媒介所存數據保密性和完整性的能力���。
18.傳輸保密性與完整性:產(chǎn)品確保數據傳輸保密性和完整性的能力����。
19.遠程訪(fǎng)問(wèn)與控制:產(chǎn)品確保用戶(hù)遠程訪(fǎng)問(wèn)與控制的網(wǎng)絡(luò )安全的能力�����。
20.抗拒絕服務(wù)攻擊:產(chǎn)品具有抗拒絕服務(wù)攻擊的能力�����。
注冊人應根據醫療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò )安全能力的適用性�。若適用��,明確網(wǎng)絡(luò )安全能力的實(shí)現方式��,并根據產(chǎn)品風(fēng)險水平明確網(wǎng)絡(luò )安全能力的強弱程度�����,例如:用戶(hù)訪(fǎng)問(wèn)控制可采用用戶(hù)名和口令方式��,其中口令強度可采用不同設置或采用動(dòng)態(tài)口令���,亦可采用生物識別技術(shù)����,一般情況下醫療器械的風(fēng)險水平越高則其用戶(hù)訪(fǎng)問(wèn)控制要求越嚴格����。反之�,明確不適用理由并予以記錄���。
(三)網(wǎng)絡(luò )安全事件應急響應
醫療器械設計開(kāi)發(fā)只能針對已知網(wǎng)絡(luò )安全漏洞采取相應風(fēng)險控制措施����,上市后仍會(huì )面臨潛在未知的網(wǎng)絡(luò )安全漏洞引發(fā)的網(wǎng)絡(luò )安全事件的威脅����,可能造成醫療器械無(wú)法訪(fǎng)問(wèn)和使用��、醫療數據發(fā)生泄露或遭到篡改����,進(jìn)而可能導致患者受到傷害或死亡以及隱私被侵犯���。同時(shí)����,醫療器械網(wǎng)絡(luò )安全事件具有影響因素多�����、涉及面廣���、擴散性強和突發(fā)性高等特點(diǎn)�����,對于醫療器械上市后監測要求相對較高���。因此�����,注冊人應基于相關(guān)標準和技術(shù)報告建立網(wǎng)絡(luò )安全事件應急響應機制���,保證醫療器械的安全有效性并保護患者隱私���。
注冊人應制定網(wǎng)絡(luò )安全事件應急響應預案�����,涵蓋現成軟件要求����,明確計劃與準備�����、探測與報告����、評估與決策�����、應急響應實(shí)施��、總結與改進(jìn)等階段的任務(wù)和要求�����。建立網(wǎng)絡(luò )安全事件應急響應團隊���,根據工作職能形成管理�、規劃�����、監測��、響應��、實(shí)施����、分析等工作小組�����,必要時(shí)可邀請外部網(wǎng)絡(luò )安全專(zhuān)家成立專(zhuān)家小組��。
注冊人應根據網(wǎng)絡(luò )安全事件的嚴重程度��、緊迫程度�����、廣泛程度等因素進(jìn)行分類(lèi)分級管理����,結合風(fēng)險管理開(kāi)展應急響應措施的驗證工作并予以記錄���,在事件發(fā)生期間及時(shí)告知用戶(hù)應對措施�。造成嚴重后果或影響的事件應向藥監部門(mén)報告��,適用時(shí)按照醫療器械不良事件�、召回相關(guān)法規要求處理��,必要時(shí)向國家網(wǎng)絡(luò )安全主管部門(mén)報告�����。
(四)網(wǎng)絡(luò )安全更新
1.基本概念
醫療器械網(wǎng)絡(luò )安全更新從內容上可分為功能更新���、補丁更新��,類(lèi)似于增強類(lèi)軟件更新��、糾正類(lèi)軟件更新����。根據其對醫療器械的影響程度可分為以下兩類(lèi):
(1)重大網(wǎng)絡(luò )安全更新:影響到醫療器械的安全性或有效性的網(wǎng)絡(luò )安全更新�,即重大網(wǎng)絡(luò )安全功能更新�����,應申請許可事項變更���。
(2)輕微網(wǎng)絡(luò )安全更新:不影響醫療器械的安全性與有效性的網(wǎng)絡(luò )安全更新�,包括輕微網(wǎng)絡(luò )安全功能更新�����、網(wǎng)絡(luò )安全補丁更新�����。輕微網(wǎng)絡(luò )安全更新通過(guò)質(zhì)量管理體系進(jìn)行控制��,無(wú)需申請許可事項變更�,待下次許可事項變更時(shí)提交相應注冊申報資料��?��?紤]到網(wǎng)絡(luò )安全更新亦具有累積效應����,注冊申報資料應涵蓋自前次注冊以來(lái)的全部網(wǎng)絡(luò )安全更新內容���。
此外�����,涉及召回的網(wǎng)絡(luò )安全更新均屬于重大網(wǎng)絡(luò )安全更新���,按照醫療器械召回相關(guān)法規要求處理����。
網(wǎng)絡(luò )安全更新同樣遵循風(fēng)險從高原則���,即同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò )安全更新按重大網(wǎng)絡(luò )安全更新處理��。同時(shí)����,軟件版本命名規則應涵蓋網(wǎng)絡(luò )安全更新情況��,區分重大和輕微網(wǎng)絡(luò )安全更新��。
2.重大網(wǎng)絡(luò )安全更新
網(wǎng)絡(luò )安全功能更新若影響到醫療器械的預期用途�����、使用場(chǎng)景或核心功能原則上均屬于重大網(wǎng)絡(luò )安全更新�,包括但不限于:產(chǎn)品所處網(wǎng)絡(luò )環(huán)境發(fā)生改變����,如由封閉網(wǎng)絡(luò )環(huán)境變?yōu)殚_(kāi)放網(wǎng)絡(luò )環(huán)境�����、局域網(wǎng)變?yōu)閺V域網(wǎng)���、有線(xiàn)網(wǎng)絡(luò )變?yōu)闊o(wú)線(xiàn)網(wǎng)絡(luò )����;電子接口發(fā)生改變�,如接口形式由網(wǎng)口變?yōu)閁SB口����、接口數量由少變多����、接口功能由電子數據交換擴至遠程控制等���。
除非影響到醫療器械的安全性或有效性�����,以下網(wǎng)絡(luò )安全功能更新和網(wǎng)絡(luò )安全補丁更新一般視為輕微網(wǎng)絡(luò )安全更新:網(wǎng)絡(luò )環(huán)境�����、電子接口的數據傳輸效率單純提高�,電子接口原有功能單純優(yōu)化��;醫療器械軟件����、必備軟件(醫療器械軟件正常運行所必需的其他醫療器械軟件���、醫用中間件)�����、外部軟件環(huán)境(醫療器械軟件正常運行所必需的系統軟件�、通用應用軟件����、通用中間件����、支持軟件)的網(wǎng)絡(luò )安全補丁更新���。
三��、基本原則
(一)網(wǎng)絡(luò )安全定位
隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展����,越來(lái)越多的醫療器械具備網(wǎng)絡(luò )連接功能以進(jìn)行電子數據交換或遠程控制�,在提高醫療服務(wù)質(zhì)量與效率的同時(shí)也面臨著(zhù)網(wǎng)絡(luò )攻擊的威脅���。醫療器械網(wǎng)絡(luò )安全出現問(wèn)題不僅可能會(huì )侵犯患者隱私�,而且可能會(huì )產(chǎn)生醫療器械非預期運行的風(fēng)險��,導致患者或用戶(hù)受到傷害或死亡�����。因此��,醫療器械網(wǎng)絡(luò )安全是醫療器械安全性和有效性的重要組成部分之一���。
信息共享是保障醫療器械網(wǎng)絡(luò )安全的基本原則�����。及時(shí)獲得網(wǎng)絡(luò )安全漏洞�、事件等相關(guān)信息有助于識別�、評估和應對網(wǎng)絡(luò )安全風(fēng)險���,保證醫療器械的安全有效性以及醫療活動(dòng)的業(yè)務(wù)持續性�����,因此����,鼓勵所有利益相關(guān)方在醫療器械全生命周期中主動(dòng)積極共享網(wǎng)絡(luò )安全相關(guān)信息����。注冊人應充分利用網(wǎng)絡(luò )安全漏洞披露機制加強醫療器械網(wǎng)絡(luò )安全的設計開(kāi)發(fā)和上市后監測���,基于國家互聯(lián)網(wǎng)應急中心(CNCERT/CC)�、國家信息安全漏洞共享平臺(CNVD)披露的漏洞信息定期開(kāi)展網(wǎng)絡(luò )安全風(fēng)險管理工作����。
醫療器械網(wǎng)絡(luò )安全需要注冊人���、用戶(hù)(含醫療機構����、個(gè)人)��、信息技術(shù)服務(wù)商等利益相關(guān)者的共同努力和通力合作方能得以保障�。雖然醫療器械在使用過(guò)程中常與非預期的設備或系統相連���,使得注冊人在保證醫療器械網(wǎng)絡(luò )安全方面存在諸多困難���,但這不意味注冊人可以免除醫療器械網(wǎng)絡(luò )安全相關(guān)責任���。注冊人應保證醫療器械產(chǎn)品自身的網(wǎng)絡(luò )安全�����,明確預期的網(wǎng)絡(luò )環(huán)境和電子接口要求��,持續監測���、評估�����、應對����、分享網(wǎng)絡(luò )安全相關(guān)風(fēng)險�����,與其他利益相關(guān)者密切合作�,從而保證醫療器械的安全有效性�。
醫療器械網(wǎng)絡(luò )安全也是網(wǎng)絡(luò )安全國家戰略的重要組成部分之一�,因此醫療器械網(wǎng)絡(luò )安全亦應符合網(wǎng)絡(luò )安全相關(guān)法律法規和部門(mén)規章的要求��。注冊人應持續跟蹤相關(guān)法律法規和部門(mén)規章的制修訂情況���,并滿(mǎn)足相應適用要求����。
(二)風(fēng)險導向
綜合考慮行業(yè)發(fā)展水平和風(fēng)險分級管理導向�,醫療器械網(wǎng)絡(luò )安全的風(fēng)險級別不同���,其生命周期質(zhì)控要求和注冊申報資料要求亦不同��。
雖然網(wǎng)絡(luò )安全風(fēng)險與軟件風(fēng)險存在差異����,但是網(wǎng)絡(luò )安全風(fēng)險作為軟件風(fēng)險的重要組成部分��,其風(fēng)險級別一般情況下可參照軟件安全性級別��,即醫療器械網(wǎng)絡(luò )安全的風(fēng)險級別與所屬醫療器械軟件的安全性級別相同��。在特殊情況下�,網(wǎng)絡(luò )安全的風(fēng)險級別可低于軟件風(fēng)險級別�����,此時(shí)應詳述理由并按新軟件安全性級別提交相應注冊申報資料��。
醫療器械網(wǎng)絡(luò )安全風(fēng)險同樣應結合醫療器械的預期用途����、使用場(chǎng)景�����、核心功能進(jìn)行綜合判定��,特別是使用場(chǎng)景��。不同使用場(chǎng)景的網(wǎng)絡(luò )環(huán)境不同����,甚至存在巨大差異��,對于醫療器械網(wǎng)絡(luò )安全的影響亦不同�,因此對于適用于多個(gè)使用場(chǎng)景的醫療器械�,注冊人應保證醫療器械在每個(gè)使用場(chǎng)景的網(wǎng)絡(luò )安全�。
醫療器械網(wǎng)絡(luò )安全風(fēng)險管理活動(dòng)通常包括:識別資產(chǎn)(Asset��,對個(gè)人或組織有價(jià)值的物理和數字實(shí)體)���、威脅(Threat����,可能導致對個(gè)人或組織產(chǎn)生損害的非預期事件發(fā)生的潛在原因)和脆弱性(Vulnerability����,可能會(huì )被威脅所利用的資產(chǎn)或風(fēng)險控制措施的弱點(diǎn))����,評估威脅和脆弱性對于醫療器械和患者的影響以及被利用的可能性���,確定風(fēng)險水平并采取充分��、有效���、適宜的風(fēng)險控制措施�����,基于風(fēng)險接受準則評估剩余風(fēng)險��。注冊人可結合醫療器械風(fēng)險管理和網(wǎng)絡(luò )安全風(fēng)險管理相關(guān)標準和技術(shù)報告的要求��,開(kāi)展醫療器械網(wǎng)絡(luò )安全風(fēng)險管理工作�。
(三)全生命周期管理
與軟件類(lèi)似���,醫療器械注冊人應在醫療器械全生命周期中持續關(guān)注網(wǎng)絡(luò )安全問(wèn)題�����,包括但不限于設計開(kāi)發(fā)�����、生產(chǎn)���、分銷(xiāo)�����、部署��、更新維護�����、上市后監測等���。
醫療器械上市前應結合質(zhì)量管理體系要求和醫療器械產(chǎn)品特性開(kāi)展網(wǎng)絡(luò )安全質(zhì)控工作��,保證醫療器械的安全有效性��;上市后根據網(wǎng)絡(luò )安全更新情況開(kāi)展更新請求評估�����、驗證與確認��、風(fēng)險管理����、用戶(hù)告知等活動(dòng)�,持續保證醫療器械的安全有效性����。同時(shí)��,建立網(wǎng)絡(luò )安全事件應急響應過(guò)程����,定期開(kāi)展醫療器械網(wǎng)絡(luò )安全漏洞風(fēng)險評估工作�����,及時(shí)將網(wǎng)絡(luò )安全相關(guān)信息以及應對措施告知用戶(hù)�����。此外����,可采用信息安全領(lǐng)域的良好工程實(shí)踐[2]來(lái)完善醫療器械網(wǎng)絡(luò )安全管理工作���,以保證醫療器械的安全有效性�����。
四���、網(wǎng)絡(luò )安全生存周期過(guò)程
網(wǎng)絡(luò )安全生存周期過(guò)程作為軟件生存周期過(guò)程的重要組成部分����,應在醫療器械軟件生存周期過(guò)程考慮醫療器械網(wǎng)絡(luò )安全的質(zhì)控要求�����,具體要求詳見(jiàn)軟件指導原則第六章以及《醫療器械生產(chǎn)質(zhì)量管理規范附錄獨立軟件》����、《醫療器械生產(chǎn)質(zhì)量管理規范獨立軟件現場(chǎng)檢查指導原則》��。
注冊人可參考信息安全領(lǐng)域相關(guān)標準���、技術(shù)報告�����,完善網(wǎng)絡(luò )安全生存周期過(guò)程質(zhì)控要求�。
五�、技術(shù)考量
(一)現成軟件
現成軟件同樣存在網(wǎng)絡(luò )安全問(wèn)題����,注冊人應根據質(zhì)量管理體系要求建立現成軟件網(wǎng)絡(luò )安全更新維護過(guò)程���,及時(shí)將現成軟件網(wǎng)絡(luò )安全相關(guān)信息以及應對措施告知用戶(hù)�����。
同時(shí)�����,根據現成軟件與醫療器械軟件的關(guān)系類(lèi)型開(kāi)展相應網(wǎng)絡(luò )安全質(zhì)控工作��。對于現成軟件組件����,即作為醫療器械軟件組成部分的現成軟件���,重點(diǎn)關(guān)注其網(wǎng)絡(luò )安全問(wèn)題對醫療器械使用效果的影響��。對于外部軟件環(huán)境��,即作為醫療器械軟件運行環(huán)境組成部分的現成軟件����,重點(diǎn)關(guān)注其網(wǎng)絡(luò )安全補丁對醫療器械安全有效性的影響����;需要說(shuō)明的是�,網(wǎng)絡(luò )安全補丁屬于設計變更���,需要進(jìn)行驗證�、確認�。
(二)醫療數據出境
根據《中華人民共和國網(wǎng)絡(luò )安全法》相關(guān)規定�����,在中國境內收集和產(chǎn)生的個(gè)人信息和重要數據應當在中國境內存儲����,因業(yè)務(wù)需要確需向境外提供的�,應當按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估��?!度丝诮】敌畔⒐芾磙k法(試行)》亦規定�,不得將人口健康信息在境外的服務(wù)器中存儲�,不得托管�����、租賃在境外的服務(wù)器����。
醫療數據屬于重要數據�����,特別是敏感醫療數據含有個(gè)人信息�,因此醫療數據出境應符合個(gè)人信息�、重要數據出境安全評估辦法的相關(guān)規定����。
(三)遠程維護
具有遠程維護功能的醫療器械可以訪(fǎng)問(wèn)和使用設備數據�����,本身雖不涉及醫療數據�����,但若未能實(shí)現設備數據和醫療數據的有效隔離�����,則存在醫療數據未授權訪(fǎng)問(wèn)和使用以及被篡改的可能性���。同時(shí)����,遠程維護所用電子接口也面臨網(wǎng)絡(luò )攻擊的威脅��,可能會(huì )影響醫療器械正常運行�����,導致患者受到傷害或死亡以及隱私被侵犯���。此外�����,醫療器械在遠程維護過(guò)程中若無(wú)人值守����,則可能存在醫療器械非授權訪(fǎng)問(wèn)和使用的風(fēng)險����。
因此�����,注冊人應明確遠程維護的實(shí)現方法���、所用電子接口情況�����、設備數據所含內容���、設備數據與醫療數據的隔離方法��、維護過(guò)程網(wǎng)絡(luò )安全保證措施等技術(shù)特征�,并提供相應研究資料和風(fēng)險管理資料����。
(四)陳舊設備
本指導原則所述陳舊設備是指不能通過(guò)補丁更新���、補償控制等合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅的醫療器械����。陳舊設備由于無(wú)法應對當前網(wǎng)絡(luò )安全威脅�����,導致產(chǎn)品綜合剩余風(fēng)險無(wú)法降至可接受水平��,降低醫療器械的安全有效性�,因此應盡快停運退市�����。
醫療器械實(shí)際使用情況極為復雜��,一般情況下可結合醫療器械停售��、停止售后服務(wù)兩個(gè)時(shí)間點(diǎn)判定其是否屬于陳舊設備:在售的醫療器械均非陳舊設備�;停售但未停止售后服務(wù)的醫療器械�����,若無(wú)法通過(guò)合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅則為陳舊設備�,反之不屬于陳舊設備�;停止售后服務(wù)的醫療器械均為陳舊設備����。
對于陳舊設備����,注冊人應按照質(zhì)量管理體系關(guān)于軟件停運/軟件退市的要求開(kāi)展相應工作���,詳見(jiàn)《醫療器械生產(chǎn)質(zhì)量管理規范附錄獨立軟件》����。
對于注冊證失效但尚未停止售后服務(wù)����、注冊證有效但已停售的醫療器械����,注冊人應根據質(zhì)量管理體系要求向現有用戶(hù)提供必要的網(wǎng)絡(luò )安全相關(guān)信息以及應對措施�����,以保證醫療器械的網(wǎng)絡(luò )安全���。若無(wú)法保證醫療器械的網(wǎng)絡(luò )安全�,按陳舊設備處理�����。
對于注冊證有效且在售的醫療器械��,若無(wú)法通過(guò)合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅�����,則注冊人應根據質(zhì)量管理體系要求制定相應風(fēng)險控制措施����,并申請許可事項變更����。
六�、網(wǎng)絡(luò )安全研究資料
(一)自研軟件網(wǎng)絡(luò )安全研究報告
自研軟件網(wǎng)絡(luò )安全研究報告適用于自研軟件的初次發(fā)布和再次發(fā)布�����,內容包括基本信息�、實(shí)現過(guò)程����、漏洞評估�����、結論�,詳盡程度取決于軟件安全性級別���,每項條款的具體要求若不適用應說(shuō)明理由���,詳見(jiàn)表1���。
1. 基本信息
(1)軟件信息
明確申報醫療器械軟件的名稱(chēng)�����、型號規格�����、發(fā)布版本以及軟件安全性級別�。
若網(wǎng)絡(luò )安全的風(fēng)險級別低于軟件風(fēng)險級別�,詳述理由并按新軟件安全性級別提交相應注冊申報資料��。
(2)數據架構
提供申報醫療器械在每個(gè)使用場(chǎng)景(含遠程維護)下的網(wǎng)絡(luò )環(huán)境和數據流圖��,并依據圖示描述醫療器械相關(guān)數據和電子接口的基本情況��。
數據情況明確醫療器械相關(guān)數據的類(lèi)型(敏感與非敏感醫療數據��、設備數據)����,并依據數據類(lèi)型明確每類(lèi)數據的具體內容(如個(gè)人信息����、醫療活動(dòng)信息����、設備運行信息)����、功能(如單向����、雙向電子數據交換�,實(shí)時(shí)�����、非實(shí)時(shí)遠程控制)���、用途(如醫療活動(dòng)��、設備維護)等����。
電子接口情況逐項說(shuō)明每個(gè)網(wǎng)口接口���、電子數據交換接口的預期用戶(hù)��、使用場(chǎng)景�、預期用途����、數據類(lèi)型���、技術(shù)特征�、使用限制��,其中技術(shù)特征要求詳見(jiàn)第二章�����。
(3)網(wǎng)絡(luò )安全能力
基于第二章所述20項網(wǎng)絡(luò )安全能力����,逐項分析申報醫療器械對于該項網(wǎng)絡(luò )安全能力的適用性�,若適用詳述網(wǎng)絡(luò )安全能力的實(shí)現方法�,反之說(shuō)明不適用的理由����。
(4)網(wǎng)絡(luò )安全補丁
提供申報醫療器械的網(wǎng)絡(luò )安全補丁列表�,明確網(wǎng)絡(luò )安全補丁的名稱(chēng)�����、完整版本�����、發(fā)布日期���。
(5)安全軟件
描述申報醫療器械兼容或所用的安全軟件(如殺毒軟件�����、防火墻等)的名稱(chēng)�、型號規格�����、完整版本��、供應商�、運行環(huán)境����、防護規則配置要求����。
2. 實(shí)現過(guò)程
(1)風(fēng)險管理
提供申報醫療器械網(wǎng)絡(luò )安全(含遠程維護)的風(fēng)險分析報告�����、風(fēng)險管理報告���,另附原文�����。亦可提供醫療器械軟件的風(fēng)險管理文檔���,但需注明網(wǎng)絡(luò )安全情況���。
(2)需求規范
提供申報醫療器械的網(wǎng)絡(luò )安全(含遠程維護)需求規范文檔�,另附原文�。亦可提供醫療器械軟件的需求規范文檔�,但需注明網(wǎng)絡(luò )安全情況��。
(3)驗證與確認
提供申報醫療器械的網(wǎng)絡(luò )安全(含遠程維護)測試計劃和報告�����,另附原文��。亦可提供醫療器械軟件的系統測試計劃和報告����,但需注明網(wǎng)絡(luò )安全情況�。
對于安全軟件��,提供兼容性測試報告��。對于標準傳輸協(xié)議或存儲格式����,出具真實(shí)性聲明即可��;對于私有傳輸協(xié)議或存儲格式�����,提供完整性測試總結報告�����。對于實(shí)時(shí)遠程控制功能��,提供完整性和可得性測試報告�����。對于醫用無(wú)線(xiàn)專(zhuān)用設備�,提供符合無(wú)線(xiàn)電管理相關(guān)規定的證明材料�����。
(4)可追溯性分析
提供申報醫療器械的網(wǎng)絡(luò )安全(含遠程維護)可追溯性分析報告���,即追溯網(wǎng)絡(luò )安全能力���、網(wǎng)絡(luò )安全需求規范�、網(wǎng)絡(luò )安全設計規范����、網(wǎng)絡(luò )安全測試報告����、網(wǎng)絡(luò )安全風(fēng)險分析報告的關(guān)系表��。
(5)更新維護計劃
輕微級別:提供申報醫療器械網(wǎng)絡(luò )安全更新的流程圖�,并依據圖示描述相關(guān)活動(dòng)��。
中等�����、嚴重級別:在輕微級別的基礎上����,提供網(wǎng)絡(luò )安全事件應急響應的流程圖���,并依據圖示描述相關(guān)活動(dòng)�����;或者提供網(wǎng)絡(luò )安全事件應急響應預案文檔�。
若適用�����,全部級別均應提供遠程維護的流程圖���,并依據圖示描述相關(guān)活動(dòng)���。
3. 漏洞評估
輕微級別:按照通用漏洞評分系統(CVSS)所定義的漏洞等級����,明確已知漏洞總數和已知剩余漏洞數���。
中等級別:提供網(wǎng)絡(luò )安全漏洞自評報告����,按照CVSS漏洞等級明確已知漏洞總數和已知剩余漏洞數�,列明已知剩余漏洞的內容��、影響��、風(fēng)險��,確保風(fēng)險均可接受����?��;蛱峁┑谌骄W(wǎng)絡(luò )安全漏洞評估報告�。
嚴重級別:提供境內第三方網(wǎng)絡(luò )安全評估機構出具的網(wǎng)絡(luò )安全漏洞評估報告���,以及已知剩余漏洞的維護方案�����。
4. 結論
概述申報醫療器械的網(wǎng)絡(luò )安全實(shí)現過(guò)程的規范性和網(wǎng)絡(luò )安全漏洞評估結果�,判定申報醫療器械的網(wǎng)絡(luò )安全是否滿(mǎn)足要求�����。
表1:自研軟件網(wǎng)絡(luò )安全研究報告框架
條款 | 輕微 | 中等 | 嚴重 |
基本信息 | 軟件信息 | 明確軟件的基本情況和安全性級別 |
數據架構 | 提供每個(gè)使用場(chǎng)景的網(wǎng)絡(luò )環(huán)境和數據流圖����,描述醫療器械相關(guān)數據和電子接口的基本情況 |
網(wǎng)絡(luò )安全能力 | 逐項分析20項網(wǎng)絡(luò )安全能力的適用情況 |
網(wǎng)絡(luò )安全補丁 | 列明網(wǎng)絡(luò )安全補丁的基本情況 |
安全軟件 | 明確安全軟件的基本情況 |
實(shí)現過(guò)程 | 風(fēng)險管理 | 提供網(wǎng)絡(luò )安全的風(fēng)險分析報告���、風(fēng)險管理報告 |
需求規范 | 提供網(wǎng)絡(luò )安全需求規范文檔 |
驗證與確認 | 提供網(wǎng)絡(luò )安全的測試計劃和報告 |
可追溯性分析 | 提供網(wǎng)絡(luò )安全可追溯性分析報告 |
更新維護計劃 | 提供網(wǎng)絡(luò )安全更新�����、遠程維護的流程圖及活動(dòng)描述 | 提供網(wǎng)絡(luò )安全更新��、網(wǎng)絡(luò )安全事件應急響應�����、遠程維護的流程圖及活動(dòng)描述 |
漏洞評估 | 按照漏洞等級明確已知漏洞總數和剩余漏洞數���。 | 提供網(wǎng)絡(luò )安全漏洞自評報告或第三方網(wǎng)絡(luò )安全漏洞評估報告��,按照漏洞等級明確已知漏洞總數和剩余漏洞情況 | 提供境內第三方網(wǎng)絡(luò )安全評估機構出具的網(wǎng)絡(luò )安全漏洞評估報告�����,以及已知剩余漏洞的維護方案��。 |
結論 | 概述網(wǎng)絡(luò )安全實(shí)現過(guò)程的規范性和網(wǎng)絡(luò )安全漏洞評估結果�,判定網(wǎng)絡(luò )安全是否滿(mǎn)足要求 |
(二)自研軟件網(wǎng)絡(luò )安全更新研究報告
自研軟件網(wǎng)絡(luò )安全更新研究報告適用于自研軟件的再次發(fā)布����,包括網(wǎng)絡(luò )安全功能更新�、網(wǎng)絡(luò )安全補丁更新研究報告�����。
網(wǎng)絡(luò )安全功能更新研究報告適用于重大���、輕微網(wǎng)絡(luò )安全功能更新���,或合并網(wǎng)絡(luò )安全補丁更新���,內容詳見(jiàn)表2���,不再贅述���。
網(wǎng)絡(luò )安全補丁更新研究報告僅適用于醫療器械軟件���、必備軟件�、外部軟件環(huán)境的網(wǎng)絡(luò )安全補丁更新���。其內容包括軟件信息�����、網(wǎng)絡(luò )安全補丁��、風(fēng)險管理��、驗證與確認���、可追溯性分析���、更新維護計劃��、漏洞評估�、結論���,具體要求詳見(jiàn)表2相應說(shuō)明�����。
表2:自研軟件網(wǎng)絡(luò )安全功能更新研究報告框架
條款 | 輕微 | 中等 | 嚴重 |
基本信息 | 軟件信息 | 明確申報版本軟件情況��,詳述變化�����。 |
數據架構 | 明確申報版本軟件情況����,詳述變化�����。 |
網(wǎng)絡(luò )安全能力 | 明確申報版本軟件情況��,詳述變化�。 |
網(wǎng)絡(luò )安全補丁 | 列明網(wǎng)絡(luò )安全更新部分的補丁情況 |
安全軟件 | 明確申報版本軟件情況����,詳述變化�����。 |
實(shí)現過(guò)程 | 風(fēng)險管理 | 提供網(wǎng)絡(luò )安全更新部分的風(fēng)險分析報告�、風(fēng)險管理報告 |
需求規范 | 提供網(wǎng)絡(luò )安全更新部分需求規范文檔 |
驗證與確認 | 提供網(wǎng)絡(luò )安全更新部分的測試計劃和報告 |
可追溯性分析 | 提供網(wǎng)絡(luò )安全更新部分的可追溯性分析報告 |
更新維護計劃 | 提供用戶(hù)告知計劃 | 提供用戶(hù)告知計劃�、網(wǎng)絡(luò )安全事件應急響應總結報告 |
漏洞評估 | 明確申報版本軟件已知漏洞總數和剩余漏洞數 | 提供申報版本軟件的網(wǎng)絡(luò )安全自評報告�����,明確已知漏洞總數和剩余漏洞情況 | 提供申報版本軟件的境內第三方網(wǎng)絡(luò )安全評估機構出具的網(wǎng)絡(luò )安全漏洞評估報告 |
結論 | 概述網(wǎng)絡(luò )安全更新實(shí)現過(guò)程的規范性和網(wǎng)絡(luò )安全漏洞評估結果�����,判定網(wǎng)絡(luò )安全更新是否滿(mǎn)足要求 |
(三)現成軟件網(wǎng)絡(luò )安全研究資料
1.現成軟件組件網(wǎng)絡(luò )安全研究資料
(1)部分使用方式
對于部分使用方式����,無(wú)需單獨提交網(wǎng)絡(luò )安全研究報告����,基于醫療器械軟件的安全性級別����,在自研軟件網(wǎng)絡(luò )安全研究報告適用條款中說(shuō)明現成軟件的情況�����。
適用條款包括軟件信息���、數據架構��、網(wǎng)絡(luò )安全能力��、網(wǎng)絡(luò )安全補丁�����、風(fēng)險管理�、需求規范����、驗證與確認����、可追溯性分析�����、更新維護計劃�����、漏洞評估�����、結論�。
此時(shí)若現成軟件發(fā)生網(wǎng)絡(luò )安全更新���,功能更新在自研軟件網(wǎng)絡(luò )安全功能更新研究報告的基礎上���,說(shuō)明現成軟件的變化情況�,不適用條款說(shuō)明理由��;補丁更新要求與自研軟件相同�。
(2)全部使用方式
對于全部使用方式�����,需要單獨提交現成軟件組件網(wǎng)絡(luò )安全研究報告����,其內容與自研軟件研究報告相同���,但需基于現成軟件(此時(shí)即醫療器械軟件)的安全性級別予以說(shuō)明�。
此時(shí)若現成軟件發(fā)生網(wǎng)絡(luò )安全更新�����,功能更新在現成軟件組件網(wǎng)絡(luò )安全功能更新研究報告的基礎上�����,說(shuō)明現成軟件的變化情況���,不適用條款說(shuō)明理由����;補丁更新要求與自研軟件相同�����。
2.外部軟件環(huán)境網(wǎng)絡(luò )安全評估資料
外部軟件環(huán)境網(wǎng)絡(luò )安全評估作為外部軟件環(huán)境評估的重要組成部分�����,其網(wǎng)絡(luò )安全及其更新的研究資料要求與外部軟件環(huán)境評估報告相同���,具體要求詳見(jiàn)軟件指導原則第八章����。
七����、注冊申報資料說(shuō)明[3]
(一)產(chǎn)品注冊
1.軟件研究資料
注冊人應在軟件研究資料中提交自研軟件網(wǎng)絡(luò )安全研究報告��、外部軟件環(huán)境評估報告�。
若使用現成軟件組件����,根據其使用方式提交相應研究資料���。相關(guān)研究資料的具體要求詳見(jiàn)第六章�����。
2.說(shuō)明書(shū)
說(shuō)明書(shū)應提供網(wǎng)絡(luò )安全說(shuō)明����,明確用戶(hù)訪(fǎng)問(wèn)控制機制��、電子接口(含網(wǎng)口接口�����、電子數據交換接口)及其數據類(lèi)型和技術(shù)特征�、網(wǎng)絡(luò )安全特征配置��、數據備份與災難恢復�����、運行環(huán)境(含硬件配置��、外部軟件環(huán)境����、網(wǎng)絡(luò )環(huán)境)���、安全軟件兼容性����、外部軟件環(huán)境與安全軟件更新等要求�。
(二)許可事項變更
1.軟件研究資料
醫療器械許可事項變更應根據網(wǎng)絡(luò )安全更新情況�,提交變化部分對產(chǎn)品安全性與有效性影響的研究資料:
(1)涉及網(wǎng)絡(luò )安全功能更新:適用于發(fā)生功能更新或合并補丁更新的情形����,此時(shí)提交自研軟件網(wǎng)絡(luò )安全功能更新研究報告(或自研軟件網(wǎng)絡(luò )安全研究報告)��、外部軟件環(huán)境評估報告�;
(2)僅發(fā)生網(wǎng)絡(luò )安全補丁更新:提交自研軟件網(wǎng)絡(luò )安全補丁更新研究報告����;
(3)未發(fā)生網(wǎng)絡(luò )安全更新:出具真實(shí)性聲明����。
若使用現成軟件組件����,根據其使用方式提交相應研究資料����。相關(guān)研究資料的具體要求詳見(jiàn)第六章�。
2.說(shuō)明書(shū)
若適用����,說(shuō)明書(shū)應體現網(wǎng)絡(luò )安全的變更內容�。
(三)延續注冊
延續注冊無(wú)需提交網(wǎng)絡(luò )安全相關(guān)研究資料�����。
產(chǎn)品技術(shù)要求“產(chǎn)品型號/規格及其劃分說(shuō)明”所述軟件版本命名規則應涵蓋網(wǎng)絡(luò )安全更新情況�,區分重大網(wǎng)絡(luò )安全更新和輕微網(wǎng)絡(luò )安全更新����。若原注冊產(chǎn)品標準(或原產(chǎn)品技術(shù)要求)及其變更對比表未體現軟件相關(guān)信息��,應在產(chǎn)品未變化聲明中予以明確���,其中軟件版本命名規則涵蓋網(wǎng)絡(luò )安全更新情況��。
八���、參考文獻(略)