隨著(zhù)互聯(lián)網(wǎng)��、IT技術(shù)與醫療器械的結合���,越來(lái)越多的智慧醫療產(chǎn)品在醫療器械注冊進(jìn)程中�����。關(guān)于醫療器械安全審查相關(guān)事項�,北京市藥監局發(fā)布《關(guān)于醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南征求意見(jiàn)的通知》�,我們可以提前了解一下醫療器械安全監管審評相關(guān)內容����。
引言:隨著(zhù)互聯(lián)網(wǎng)�����、IT技術(shù)與醫療器械的結合��,越來(lái)越多的智慧醫療產(chǎn)品在醫療器械注冊進(jìn)程中�。關(guān)于醫療器械安全審查相關(guān)事項�����,北京市藥監局發(fā)布《關(guān)于醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南征求意見(jiàn)的通知》�����,我們可以提前了解一下醫療器械安全監管審評相關(guān)內容����。
北京市藥品監督管理局
關(guān)于醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南
征求意見(jiàn)的通知
各有關(guān)單位:
為規范北京市第二類(lèi)醫療器械產(chǎn)品注冊工作���,根據原國家食品藥品監督管理總局制定的《醫療器械網(wǎng)絡(luò )安全注冊技術(shù)審查指導原則》�,北京市藥品監督管理局組織制定了《醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南》����。本指南從網(wǎng)絡(luò )安全特性和網(wǎng)絡(luò )安全能力的角度出發(fā)��,圍繞醫療器械申報資料及技術(shù)審評要求���,為注冊申請人提交第二類(lèi)醫療器械網(wǎng)絡(luò )安全相關(guān)注冊申報提供指導?���,F征求各有關(guān)單位意見(jiàn)��,請各有關(guān)單位于2019年9月17日前將修改意見(jiàn)或建議反饋至我局醫療器械注冊管理處��。
聯(lián)系人:趙娜����;聯(lián)系電話(huà):83979600�;傳真:83560730�;電子郵件:ylqxzcglc@yjj.beijing.gov.cn(郵件名稱(chēng)請注明:醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南反饋意見(jiàn))��;通信地址:北京市西城區棗林前街70號中環(huán)廣場(chǎng)A座1307房間���,郵編100053���。
附件:醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南(征求意見(jiàn)稿)
北京市藥品監督管理局
2019年8月15日
醫療器械網(wǎng)絡(luò )安全審查指導原則實(shí)施指南
(征求意見(jiàn)稿)
本指導原則實(shí)施指南旨在指導注冊申請人提交第二類(lèi)醫療器械網(wǎng)絡(luò )安全注冊申報資料�����,同時(shí)為第二類(lèi)醫療器械網(wǎng)絡(luò )安全的技術(shù)審評提供參考����。本指導原則實(shí)施指南是對第二類(lèi)醫療器械網(wǎng)絡(luò )安全一般性要求的細化和補充���,注冊申請人應根據醫療器械產(chǎn)品特性提交網(wǎng)絡(luò )安全注冊申報資料��,注冊申請人也可采用其他滿(mǎn)足法規要求的替代方法��,但應提供詳盡的研究資料和驗證資料�。本指導原則實(shí)施指南是對注冊申請人和審評人員的指導性文件���,不包括審評審批所涉及的行政事項�����,亦不作為法規強制執行��,應在遵循相關(guān)法規的前提下使用本指導原則實(shí)施指南��。本指導原則實(shí)施指南依據原國家食品藥品監督管理總局發(fā)布的《醫療器械軟件注冊技術(shù)審查指導原則》和《醫療器械網(wǎng)絡(luò )安全注冊技術(shù)審查指導原則》編寫(xiě)����,因而采用時(shí)應結合以上注冊技術(shù)審查指導原則的相關(guān)要求使用��。本指導原則實(shí)施指南適用于具有網(wǎng)絡(luò )連接功能以進(jìn)行電子數據交換或遠程控制的第二類(lèi)醫療器械產(chǎn)品的注冊申報��,其中網(wǎng)絡(luò )連接包括無(wú)線(xiàn)網(wǎng)絡(luò )連接和有線(xiàn)網(wǎng)絡(luò )連接�����,電子數據交換包括單向數據傳輸和雙向數據傳輸���,遠程控制包括實(shí)時(shí)控制和非實(shí)時(shí)控制�����。同時(shí)��,本指導原則實(shí)施指南也適用于采用存儲媒介以進(jìn)行電子數據交換的第二類(lèi)醫療器械產(chǎn)品的注冊申報�����,其中存儲媒介包括但不限于光盤(pán)�、移動(dòng)硬盤(pán)和U盤(pán)��。需要指出的是����,本指導原則實(shí)施指南中所述的文件應來(lái)源于產(chǎn)品的開(kāi)發(fā)過(guò)程��。注冊申請人應將網(wǎng)絡(luò )安全風(fēng)險管理與質(zhì)量管理體系充分融合���,在確保產(chǎn)品安全有效性的同時(shí)提高產(chǎn)品的網(wǎng)絡(luò )安全����。隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展���,越來(lái)越多的醫療器械具備網(wǎng)絡(luò )連接功能以進(jìn)行電子數據交換或遠程控制�����,這在提高醫療服務(wù)質(zhì)量與效率的同時(shí)也面臨著(zhù)網(wǎng)絡(luò )攻擊的威脅����。醫療器械網(wǎng)絡(luò )安全出現問(wèn)題不僅可能會(huì )侵犯患者隱私����,而且可能會(huì )產(chǎn)生醫療器械非預期運行的風(fēng)險��,導致患者或使用者受到傷害甚或死亡���。因此���,醫療器械網(wǎng)絡(luò )安全是醫療器械安全性和有效性的重要組成部分��。同時(shí)�����,對于接入計算機信息系統的醫療器械����,注冊申請人應考慮醫療器械的使用環(huán)境�,對預期接入定級系統1或非定級系統的醫療器械的網(wǎng)絡(luò )安全能力進(jìn)行合理的設計��。注冊申請人還應考慮國家對于網(wǎng)絡(luò )安全相關(guān)的法律法規和標準要求�����,特別是計算機信息系統安全保護方面的要求����,如《中華人民共和國計算機信息系統安全保護條例》,《GB/T 22239-2019信息系統安全等級保護基本要求》,《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》等法規和標準��。醫療器械根據使用環(huán)境可以分為家用醫療器械和醫院用醫療器械�,以及既可以在家庭使用也可以在醫院使用的醫療器械��。根據接口的類(lèi)型可以分為有線(xiàn)網(wǎng)絡(luò )連接�、無(wú)線(xiàn)網(wǎng)絡(luò )連接和連接本地存儲媒介�。根據所處的網(wǎng)絡(luò )環(huán)境又可分為無(wú)網(wǎng)絡(luò )環(huán)境(僅連接本地存儲媒介)�����、受控的網(wǎng)絡(luò )環(huán)境和開(kāi)放的網(wǎng)絡(luò )環(huán)境����。注冊申請人應根據不同的使用環(huán)境��,識別網(wǎng)絡(luò )安全風(fēng)險�����,并采取相應的網(wǎng)絡(luò )安全措施��。三��、 醫療器械的網(wǎng)絡(luò )安全(一) 醫療器械網(wǎng)絡(luò )安全基本要求醫療器械網(wǎng)絡(luò )安全是指保持醫療器械相關(guān)數據的保密性�����、完整性���、可得性��、真實(shí)性�����、可核查性���、抗抵賴(lài)性以及可靠性等特性�����。指數據不能被未授權的個(gè)人��、實(shí)體利用或知悉的特性��,即醫療器械相關(guān)數據僅可由授權用戶(hù)在授權時(shí)間以授權方式進(jìn)行訪(fǎng)問(wèn)��。指保護數據準確和完整的特性�����,即醫療器械相關(guān)數據是準確和完整的����,且未被篡改���。指根據授權個(gè)人���、實(shí)體的要求可訪(fǎng)問(wèn)和使用的特性����,即醫療器械相關(guān)數據能以預期方式適時(shí)進(jìn)行訪(fǎng)問(wèn)和使用���。一個(gè)實(shí)體是其所聲稱(chēng)實(shí)體的特性����,即醫療器械相關(guān)數據能夠體現真實(shí)的臨床狀態(tài)�����,包括生理狀態(tài)���、操作狀態(tài)�、設備狀態(tài)等����。實(shí)體的一種特性,表征對自己的動(dòng)作和做出的決定負責�����,即醫療器械相關(guān)數據表征對相關(guān)臨床動(dòng)作和決定負責����。證明所聲稱(chēng)事態(tài)或行為的發(fā)生及其發(fā)起實(shí)體的能力,以解決有關(guān)事態(tài)或行為發(fā)生與否以及事態(tài)中實(shí)體是否牽涉的爭端���,即醫療器械相關(guān)數據可證明相關(guān)臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力�����。與預期行為和結果一致的特性����,即醫療器械相關(guān)數據與臨床的預期行為和結果一致����。對醫療器械網(wǎng)絡(luò )安全的保障�,是責任方�����、網(wǎng)絡(luò )設施提供方與醫療器械注冊申請人共同參與的結果����。IEC 80001-2-22以及MDS23所識別的網(wǎng)絡(luò )安全能力���,給醫療器械行業(yè)在考慮網(wǎng)絡(luò )安全風(fēng)險控制的手段上�����,以現有技術(shù)水平而言��,提供了一個(gè)被廣泛接受的切入點(diǎn)����。需要注意的是����,注冊申請人對這些網(wǎng)絡(luò )安全能力進(jìn)行配置以配合責任方進(jìn)行網(wǎng)絡(luò )安全風(fēng)險管理時(shí)�����,必須綜合考慮具體醫療器械的預期用途與使用場(chǎng)景��。醫療器械的預期用途是對疾病的預防�����、診斷與治療��,故而在權衡醫療器械的安全性���、有效性以及數據安全時(shí)�����,仍然是以保證產(chǎn)品的安全性�、有效性為首要任務(wù)�����。如在急救場(chǎng)景下要發(fā)揮醫療器械的有效性����,可能不得不考慮對保密性的要求予以折衷���。綜合考慮下來(lái)����,最終的配置結果可能是大多數的醫療器械并不具備全部的網(wǎng)絡(luò )安全能力�����,這就需要醫療器械注冊申請人與責任方進(jìn)行良好的溝通����,以實(shí)現最終醫療環(huán)境下的網(wǎng)絡(luò )安全�����。以下列出了十九種醫療器械網(wǎng)絡(luò )安全能力��,并依據有關(guān)標準���,結合醫療器械的產(chǎn)品特點(diǎn)對其主要內容進(jìn)行了描述��,注冊申請人可根據醫療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò )安全能力要求的適用性��,應根據器械的預期用途與使用方式綜合考慮此項能力的配置��。無(wú)人值守的終端設備���,存在被人進(jìn)行非授權的操作��、顯示信息被非授權人員閱讀的風(fēng)險�。此項網(wǎng)絡(luò )安全能力確保器械在所設時(shí)段內若未被用戶(hù)操作�,則自動(dòng)進(jìn)入保護狀態(tài)�����,從而降低上述風(fēng)險發(fā)生的概率��。此項網(wǎng)絡(luò )安全能力�,改善了器械的保密性與完整性����,然而對器械的可得性會(huì )造成損害�����,應結合器械的預期用途與使用場(chǎng)景��,決定是否配置以及如何配置�����。如對急診用器械�、長(cháng)期監護用器械��、用戶(hù)無(wú)需獲得授權的器械等可得性要求較高的器械���。器械的網(wǎng)絡(luò )安全與器械的使用方式息息相關(guān)����,不正確�����、非授權的使用會(huì )導致器械存在網(wǎng)絡(luò )安全方面的風(fēng)險���。對器械使用環(huán)節的關(guān)鍵信息予以記錄�,本身屬于風(fēng)險控制措施的一部分�。此項能力的配置對網(wǎng)絡(luò )安全的保密性�、完整性����、可核查性均有提升����,有利于對醫療器械使用記錄提供可追溯性檢測以及用于事后問(wèn)責調查和對風(fēng)險的持續監視�,也為風(fēng)險控制的應急響應提供輸入�。醫療器械的非授權使用���,會(huì )導致多種危險情況���,確保醫療器械的使用者��、管理者��、維護者���、擁有者得到合適的授權是重要的風(fēng)險控制手段����。用戶(hù)權限的管理可以提升保密性�、完整性與可核查性��,然而通常會(huì )導致可得性的損失��。4.網(wǎng)絡(luò )安全配置能力 CNFS對器械網(wǎng)絡(luò )安全的保障是由責任方�、使用者�����、網(wǎng)絡(luò )基礎設施供應商���、醫療器械注冊申請人多方共同參與的一項活動(dòng)��。開(kāi)放網(wǎng)絡(luò )安全相關(guān)的配置有利于網(wǎng)絡(luò )安全在使用場(chǎng)景中的整體部署�����,但是另一方面器械在有意����、無(wú)意情況下的配置錯誤也可能導致不可接受的風(fēng)險�,此種情境是與系統的加固要求相矛盾的(SAHD)��,應根據器械的預期用途與使用方式綜合考慮此項能力的配置���。5.網(wǎng)絡(luò )安全升級能力 CSUP器械以及器械所依賴(lài)的軟硬件環(huán)境����,所面臨的威脅并不是一成不變的�,作為風(fēng)險控制手段����,有必要對器械或器械的運行環(huán)境予以修補以抵御新的網(wǎng)絡(luò )威脅�����。由于器械���、運行環(huán)境��、所受威脅的狀況千差萬(wàn)別�,部分修補可以由用戶(hù)自行升級完成�����;而部分修補���,則可能需要注冊申請人的授權人員才能進(jìn)行�����。在醫療服務(wù)過(guò)程中產(chǎn)生的健康數據常常具有預防���、診斷���、治療之外的其它價(jià)值�,比如科研���、培訓�、不良事件追溯���、設備維護等�����。健康數據若直接用于非醫療用途�����,則存在隱私數據保護方面的風(fēng)險��。數據交付之前�����,去除健康數據所附帶的身份信息���,是提升保密性的重要手段���。然而��,去除標志會(huì )破壞數據的可追溯性�����。健康數據在處理過(guò)程中面臨著(zhù)數據被破壞甚至丟失的風(fēng)險���,保持數據備份與災難恢復的能力�,可以提高數據的完整性與可得性�。8.緊急訪(fǎng)問(wèn)隱私數據的能力 EMRG醫療器械是以提供預防�����、診斷�、治療目的為核心屬性���,部分情況下器械���、數據的可得性受損會(huì )導致不可接受的風(fēng)險���。為器械配置被緊急訪(fǎng)問(wèn)的能力以及相應的安全可控的緊急訪(fǎng)問(wèn)流程�����,對此項風(fēng)險的控制至關(guān)重要���。然而�,配置被緊急訪(fǎng)問(wèn)的能力���,常常會(huì )導致可得性之外的其它網(wǎng)絡(luò )安全特性受損�,應根據器械的預期用途與使用方式綜合考慮此項能力的配置����。當數據的完整性受損而導致不可接受的風(fēng)險時(shí)����,醫療器械具備此項能力可以確保健康數據的來(lái)源可靠且未經(jīng)篡改與破壞�。10.惡意軟件的防止�����、檢測與清除能力 MLDP惡意軟件侵入醫療器械可能會(huì )導致不可接受的風(fēng)險���,此項能力可以對已知惡意軟件進(jìn)行探測���、報告并防止其侵害�。由于惡意軟件的產(chǎn)生難以預知�,此項能力需要在器械的使用過(guò)程中不斷維護��,必要時(shí)采取緊急措施���。11.通信對象�����、通信節點(diǎn)的身份驗證能力 NAUT器械若與未經(jīng)授權的通信節點(diǎn)進(jìn)行互操作�����,可能導致不可接受的風(fēng)險����。此項能力配合責任方的網(wǎng)絡(luò )安全策略可確保數據的發(fā)送方與接收方相互識別并被授權進(jìn)行數據傳輸�����。有一部分器械并非開(kāi)放給所有的使用者���,這部分器械如果被未獲授權的用戶(hù)使用��,可能導致不可接受的風(fēng)險����。此項能力配合責任方的網(wǎng)絡(luò )安全策略�,可確保器械的使用者是經(jīng)過(guò)授權認證的�����。醫療器械在物理上被進(jìn)入����,會(huì )造成保密性與完整性的破壞��,可能導致不可接受的風(fēng)險����。重點(diǎn)關(guān)注敏感信息的存儲介質(zhì)(可移動(dòng)介質(zhì)除外)是否不借助工具就能被取出��。醫療器械可能用到第三方組件作為整體醫療器械的一部分�����,比如第三方的操作系統或數據庫等�。責任方若對此類(lèi)組件不知情�����,則不利于此類(lèi)組件未來(lái)的網(wǎng)絡(luò )安全管理�,也不利于未來(lái)網(wǎng)絡(luò )安全事件的責任劃分�,可能導致不可接受的風(fēng)險�����。醫療器械中可能存在著(zhù)與預期用途無(wú)關(guān)的配置��,如某些非醫療預期用途的賬號�����、通信端口����、共享文件��、服務(wù)等����。此類(lèi)配置可能會(huì )成為網(wǎng)絡(luò )攻擊者所利用的通道�����,從而造成不可接受的風(fēng)險���,對這些配置予以關(guān)閉有利于降低風(fēng)險發(fā)生的概率�����。16.對操作者與管理員提供網(wǎng)絡(luò )安全指導的能力 SGUD醫療器械的不當使用可能在醫療器械網(wǎng)絡(luò )安全方面造成不可接受的風(fēng)險���,對使用者提供產(chǎn)品說(shuō)明��、提供可索取的披露資料����、予以培訓等����,均有利于降低使用者操作不當的風(fēng)險���。健康數據的明文存儲有損于產(chǎn)品的保密性����,對數據存儲予以加密有利于降低數據泄露相關(guān)的風(fēng)險�����。值得指出����,國家在市場(chǎng)監督管理范疇之外�,對商用密碼產(chǎn)品的科研�、生產(chǎn)�、銷(xiāo)售���、使用等都有相應的規定���,對商用密碼的使用���,也應遵守市場(chǎng)監督管理范疇之外的法律法規要求�。健康數據的明文傳輸有損于產(chǎn)品的保密性����,對數據傳輸予以加密有利于降低數據泄露相關(guān)的風(fēng)險����。值得指出�,國家在市場(chǎng)監督管理范疇之外���,對商用密碼產(chǎn)品的科研���、生產(chǎn)����、銷(xiāo)售����、使用等都有相應的規定���,對商用密碼的使用�,也應遵守市場(chǎng)監督管理范疇之外的法律法規要求��。健康數據在傳輸過(guò)程中����,數據可能受到無(wú)意的信道噪音干擾�,也有可能受到惡意篡改���,這都可能造成不可接受的風(fēng)險��。采用技術(shù)手段確保所接受到的數據與所發(fā)送出數據具有一致性��,可以降低此類(lèi)風(fēng)險�����。注冊申請人可以通過(guò)綜合考慮這19項網(wǎng)絡(luò )安全能力來(lái)提高產(chǎn)品的網(wǎng)絡(luò )安全特性�����。網(wǎng)絡(luò )安全能力與網(wǎng)絡(luò )安全特性之間的關(guān)系如下:
網(wǎng)絡(luò )安全特性 網(wǎng)絡(luò )安全能力 | 保密性 | 完整性 | 可得性 | 可靠性 |
|---|
ALOF 自動(dòng)登出能力 | 2 | 2 | -1 | - |
AUDT審核控制能力 | 1 | 1 | - | 1 |
AUTH 確定用戶(hù)權限的能力 | 2 | 2 | -1 | 1 |
CNFS 網(wǎng)絡(luò )安全配置能力 | 1 | 1 | 1 | 1 |
CSUP 網(wǎng)絡(luò )安全升級能力 | 1 | 1 | 1 | - |
DTBK數據備份與災難恢復能力 | - | 1 | 2 | - |
EMRG 緊急訪(fǎng)問(wèn)隱私數據的能力 | - | - | 2 | -1 |
DIDT 健康數據去標識化能力 | 2 | - | - | - |
IGAU 數據完整性真實(shí)性確認能力 | - | 2 | - | 2 |
STCF 存儲保密能力 | 2 | - | - | - |
MLDP 惡意軟件的防止����、檢測與清除能力 | 1 | 1 | 1 | - |
NAUT 通信對象�����、通信節點(diǎn)的身份驗證能力 | 1 | - | - | 1 |
PAUT 驗證合法用戶(hù)的能力 | 1 | - | - | 2 |
PLOK 物理保護能力 | 1 | 1 | 1 | - |
SGUD 對操作者與管理員提供網(wǎng)絡(luò )安全指導的能力 | 1 | 1 | 1 | 1 |
SAHD 系統與應用加固能力 | 1 | 1 | 1 | - |
RDMP 第三方組件管理能力 | - | - | - | - |
TXDF 傳輸保密能力 | 2 | - | - | - |
TXIG 保障數據傳輸完整性的能力 | - | 2 | - | - |
注:“2”指可以顯著(zhù)提高此項網(wǎng)絡(luò )安全特性����,“1”指可以提高此項網(wǎng)絡(luò )安全特性�����,“-”指基本不對此項網(wǎng)絡(luò )安全特性產(chǎn)生影響�����,“-1”指可以降低此項網(wǎng)絡(luò )安全特性��。
(三)網(wǎng)絡(luò )安全的上市后監管
1.網(wǎng)絡(luò )安全事件4
網(wǎng)絡(luò )安全事件分為有害程序事件�、網(wǎng)絡(luò )攻擊事件�、信息破壞事件����、信息內容安全事件��、設備設施故障���、災害性事件和其他網(wǎng)絡(luò )安全事件等�。網(wǎng)絡(luò )安全事件可能會(huì )造成醫療器械系統不能訪(fǎng)問(wèn)��、醫療數據泄露或者篡改�,進(jìn)而有可能導致病人受到嚴重傷害或死亡或病人的健康數據泄漏���。
2.網(wǎng)絡(luò )安全事件的處置
醫療器械注冊人應建立產(chǎn)品上市后的網(wǎng)絡(luò )安全事件處置流程����。網(wǎng)絡(luò )安全事件發(fā)生后��,醫療器械注冊人應能夠及時(shí)有效地處理和管理安全事件����,通常包括以下措施:
應收集并確認受網(wǎng)絡(luò )安全事故影響的客戶(hù)�����,識別網(wǎng)絡(luò )安全事件對相關(guān)系統帶來(lái)的風(fēng)險����;
應快速采取應急對策�,例如:告知客戶(hù)斷開(kāi)網(wǎng)絡(luò )連接�����,提供臨時(shí)解決方案恢復系統至正常工作狀態(tài)等���;
應對網(wǎng)絡(luò )安全事件的做出詳細的風(fēng)險分析和評估��;
應提供經(jīng)過(guò)驗證和確認的解決措施���,并告知客戶(hù)相關(guān)的更新信息����。
注冊申請人應建立相應的組織以確保網(wǎng)絡(luò )安全事件處置流程得以實(shí)施�����。
3.網(wǎng)絡(luò )安全事件上報
當下列網(wǎng)絡(luò )安全事件發(fā)生�����,醫療器械注冊人應及時(shí)報送信息給監管部門(mén):
——病人受到嚴重傷害或者死亡��;
——醫療器械注冊人提供的大量醫療器械系統不能訪(fǎng)問(wèn)�����;
——大量的病人健康數據泄露����。
若涉及到病人受到嚴重傷害或者死亡的網(wǎng)絡(luò )安全事件�����,醫療器械注冊人應按照醫療器械不良事件的相關(guān)規定上報���。
4.涉及召回的網(wǎng)絡(luò )安全事件應按照醫療器械召回的相關(guān)法規處理��。
5.網(wǎng)絡(luò )安全更新的管理
網(wǎng)絡(luò )安全更新(包括自主開(kāi)發(fā)軟件和現成軟件)根據其對醫療器械的影響程度可分為以下兩類(lèi):
——重大網(wǎng)絡(luò )安全更新:影響到醫療器械的安全性或有效性的網(wǎng)絡(luò )安全更新���;——輕微網(wǎng)絡(luò )安全更新:不影響醫療器械的安全性與有效性的網(wǎng)絡(luò )安全更新���,如常規安全補丁����。
醫療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò )安全更新��,應進(jìn)行許可事項變更���;而發(fā)生輕微網(wǎng)絡(luò )安全更新���,注冊人應通過(guò)質(zhì)量管理體系進(jìn)行控制�,無(wú)需進(jìn)行注冊變更�����,待到下次注冊(注冊變更和延續注冊)時(shí)提交相應注冊申報資料��。醫療器械同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò )安全更新����,遵循風(fēng)險從高原則應進(jìn)行許可事項變更����。
涉及召回的網(wǎng)絡(luò )安全更新應按照醫療器械召回的相關(guān)法規處理�����,不屬于本指導原則討論范圍�����。
軟件版本命名規則應考慮網(wǎng)絡(luò )安全更新的情況���。
注冊申請人在提交注冊申報資料時(shí)�����,應根據醫療器械網(wǎng)絡(luò )安全的具體情況提交網(wǎng)絡(luò )安全描述文檔或常規安全補丁描述文檔����。網(wǎng)絡(luò )安全描述文檔適用于產(chǎn)品注冊��、重大網(wǎng)絡(luò )安全更新�,常規安全補丁描述文檔適用于輕微網(wǎng)絡(luò )安全更新����。
四�、 網(wǎng)絡(luò )安全注冊資料
注冊申請人應當結合醫療器械產(chǎn)品的預期用途���、使用環(huán)境和核心功能以及預期相連設備或系統(如其它醫療器械����、信息技術(shù)設備)的情況來(lái)確定醫療器械產(chǎn)品的網(wǎng)絡(luò )安全特性����,提交網(wǎng)絡(luò )安全描述文檔����。網(wǎng)絡(luò )安全描述文檔應描述醫療器械的基本信息����、風(fēng)險管理���、驗證與確認和維護計劃�����。
(一) 基本信息
應描述醫療器械產(chǎn)品網(wǎng)絡(luò )安全相關(guān)的基本信息��,這些信息包括:
1.醫療器械傳輸�,存儲和處理的信息描述�;
2.以上信息的類(lèi)型:健康數據��、設備數據���;
3.以上信息交換的方向(單向��、雙向)��;
4.以上信息是否用于遠程控制(實(shí)時(shí)��、非實(shí)時(shí))�����;
5.以上信息的用途:如臨床應用�、設備維護等��;
6.以上信息的交換方式:網(wǎng)絡(luò )(無(wú)線(xiàn)網(wǎng)絡(luò )�����、有線(xiàn)網(wǎng)絡(luò ))及要求(如傳輸協(xié)議(標準���、自定義)�����、接口�����、帶寬等)����,存儲媒介(如光盤(pán)���、移動(dòng)硬盤(pán)���、U盤(pán)等)及要求(如存儲格式(標準�、自定義)�、容量等)����;對于專(zhuān)用無(wú)線(xiàn)設備(非通用信息技術(shù)設備)�,還應提交符合無(wú)線(xiàn)電管理規定的證明材料�����;如涉及個(gè)人敏感數據���,應明確個(gè)人敏感數據的儲存和傳輸方式����;
7.醫療器械包含的安全軟件:描述安全軟件(如殺毒軟件����、防火墻等)的名稱(chēng)�����、型號規格���、完整版本��、供應商���、運行環(huán)境要求���;
8.醫療器械包含的現成軟件:描述現成軟件(包括應用軟件��、系統軟件����、支持軟件)的名稱(chēng)���、型號規格���、完整版本和供應商�。
(二)風(fēng)險管理
1.網(wǎng)絡(luò )安全風(fēng)險管理概述
網(wǎng)絡(luò )安全風(fēng)險管理是指注冊申請人基于醫療器械產(chǎn)品的預期用途和使用場(chǎng)景進(jìn)行網(wǎng)絡(luò )安全風(fēng)險分析�,評價(jià)并采取網(wǎng)絡(luò )安全風(fēng)險控制手段確保產(chǎn)品的網(wǎng)絡(luò )安全能力�。注冊申請人可對網(wǎng)絡(luò )安全采用醫療器械風(fēng)險管理的方法(可參照《YY/T 0316 醫療器械 風(fēng)險管理對醫療器械的應用》)對產(chǎn)品網(wǎng)絡(luò )安全相關(guān)的風(fēng)險進(jìn)行分析���、評價(jià)和控制���,也可采用信息安全網(wǎng)絡(luò )安全風(fēng)險評估的方法(可參照《GB/T20984 信息安全技術(shù) 信息安全風(fēng)險評估規范》)進(jìn)行評估��,并進(jìn)行風(fēng)險控制���。
如適用���,醫療器械網(wǎng)絡(luò )安全風(fēng)險管理應考慮對個(gè)人敏感信息的保護�。對個(gè)人信息的處理�����,應遵循個(gè)人信息安全基本原則5和相關(guān)的法律法規���。如有必要���,應對個(gè)人信息進(jìn)行匿名化或去標識化處理���。
風(fēng)險管理除了從網(wǎng)絡(luò )安全角度來(lái)考慮產(chǎn)品的網(wǎng)絡(luò )安全能力外��,還應當根據醫療器械的預期用途考慮網(wǎng)絡(luò )安全風(fēng)險對醫療器械的安全性和有效性的影響�。
醫療器械產(chǎn)品網(wǎng)絡(luò )安全風(fēng)險管理需要考慮醫療器械產(chǎn)品整個(gè)產(chǎn)品生命周期并作適時(shí)更新�。2.網(wǎng)絡(luò )安全風(fēng)險管理過(guò)程注冊申請人應對網(wǎng)絡(luò )安全管理活動(dòng)進(jìn)行策劃并制定網(wǎng)絡(luò )安全風(fēng)險可接受性準則��。注冊申請人應考慮網(wǎng)絡(luò )安全損害的嚴重度和網(wǎng)絡(luò )安全損害的發(fā)生概率并按照接受性準則決定是否需要降低風(fēng)險�。
a�����、網(wǎng)絡(luò )安全損害的嚴重度����,例如:
等級名稱(chēng) | 代碼 | 網(wǎng)絡(luò )安全損害的嚴重度 |
輕度 | 1 | 例如:輕微傷或者無(wú)須處理��,少量設備數據泄露… |
中度 | 2 | 例如:中等人身傷害需要專(zhuān)業(yè)醫治���,有限的設備數據泄露… |
嚴重 | 3 | 例如:一人重傷或者死亡�����,有限的病人數據泄露… |
災難 | 4 | 例如:多人重傷或者死亡���,大規模病人數據泄露… |
b����、網(wǎng)絡(luò )安全損害的發(fā)生概率���,例如:
等級名稱(chēng) | 代碼 | 網(wǎng)絡(luò )安全損害的發(fā)生概率 |
極少 | 1 | <10-3 |
非常少 | 2 | 10-2-10-3 |
偶爾 | 3 | 10-1 - 10 -2 |
有時(shí) | 4 | 1 - 10-1 |
經(jīng)常 | 5 | >1 |
根據風(fēng)險評價(jià)結果需要降低風(fēng)險時(shí)��,注冊申請人應當識別適當的風(fēng)險控制措施���,以把風(fēng)險降低到可接受的水平�����。
風(fēng)險分析����、評價(jià)和風(fēng)險控制措施記錄表舉例
漏洞 | 威脅 | 描述 | 技術(shù)風(fēng)險 |
系統設計�����,實(shí)施或操作和管理中的一系列條件���,使其易受影響 | 有可能造成不良后果的來(lái)源�??梢允亲饔梦?����,人�,事件或事物�,動(dòng)機可以是有意的或無(wú)意的 | 原因���,影響因素 描述風(fēng)險場(chǎng)景����,漏洞和緩解因素=漏洞+可利用性 | 初始風(fēng)險 | 緩解措施 | 剩余技術(shù)風(fēng)險 |
漏洞編號 | 漏洞描述 | 威脅描述 | 風(fēng)險狀況 | 可能性 | 影響 | 風(fēng)險 | 緩解措施 | 緩解措施編號 | 可能性 | 影響 | 風(fēng)險 |
|
|
|
|
|
|
|
|
|
|
|
|
風(fēng)險評估矩陣模型舉例
a���、 初始風(fēng)險分布
概率 | 嚴重度 | 總計 |
|---|
4 | 3 | 2 | 1 |
|
|---|
災難 | 嚴重 | 中度 | 輕度 |
|
|---|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時(shí) | 4 | 1 | 0 | 2 | 2 | 5 |
偶爾 | 3 | 0 | 2 | 4 | 1 | 7 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 2 | 0 | 2 | 1 | 5 |
總計 |
| 3 | 2 | 8 | 7 | 20 |
b����、 措施后風(fēng)險分布
概率 | 嚴重度 | 總計 |
4 | 3 | 2 | 1 |
|
災難 | 嚴重 | 中度 | 輕度 |
|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時(shí) | 4 | 0 | 0 | 0 | 1 | 1 |
偶爾 | 3 | 0 | 1 | 2 | 1 | 4 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 0 | 0 | 2 | 1 | 3 |
總計 |
| 0 | 1 | 4 | 6 | 11 |
注冊申請人應形成網(wǎng)絡(luò )安全風(fēng)險管理報告�����,并完成風(fēng)險管理過(guò)程的評審����,確認綜合剩余風(fēng)險是可接受的����。注冊人要持續關(guān)注產(chǎn)品上市后與產(chǎn)品相關(guān)的網(wǎng)絡(luò )安全風(fēng)險�,根據實(shí)際情況適時(shí)更新風(fēng)險分析�、評價(jià)和控制文件���,如法規更新���、不良事件報告等��。網(wǎng)絡(luò )安全驗證和確認活動(dòng)的目的是確定風(fēng)險管理中采用的網(wǎng)絡(luò )安全控制手段均已得到正確的實(shí)施�����,從而確保醫療器械產(chǎn)品的網(wǎng)絡(luò )安全需求(如保密性�、完整性����、可得性等特性)均已得到滿(mǎn)足��。對于現成軟件�����,注冊申請人應當在網(wǎng)絡(luò )安全風(fēng)險分析過(guò)程中將其作為產(chǎn)品的一部分進(jìn)行充分的網(wǎng)絡(luò )安全評估����,并在產(chǎn)品的網(wǎng)絡(luò )安全能力配置中予以綜合考慮����。注冊申請人應當在醫療器械產(chǎn)品研制的全生命周期過(guò)程中進(jìn)行網(wǎng)絡(luò )安全的驗證與確認活動(dòng)�,通過(guò)分析���、測試�、評估����、審查等手段�����,確保醫療器械產(chǎn)品的網(wǎng)絡(luò )安全需求得到滿(mǎn)足�。網(wǎng)絡(luò )安全驗證與確認活動(dòng)可以參考附錄中的19項網(wǎng)絡(luò )安全能力評價(jià)準則��。A)應當確保在醫療器械產(chǎn)品的需求���、設計��、測試以及風(fēng)險管理各個(gè)階段考慮并落實(shí)網(wǎng)絡(luò )安全需求����,并且保證網(wǎng)絡(luò )安全需求規范���、設計規范���、測試以及風(fēng)險管理的一致性和完整性��。B)應當針對醫療器械產(chǎn)品進(jìn)行網(wǎng)絡(luò )安全測試驗證���,確保所有網(wǎng)絡(luò )安全風(fēng)險控制措施都得到正確的實(shí)施�。a)應對網(wǎng)絡(luò )安全測試活動(dòng)進(jìn)行合理的策劃��,包括確定測試的內容(包括產(chǎn)品需求中要求配置的網(wǎng)絡(luò )安全能力)����、測試人員和相應的職責��、測試所需的環(huán)境��、測試的技術(shù)和方法(如漏洞測試��、惡意軟件測試�、缺陷輸入測試��、結構化滲透測試)�����、異常處理方式���、測試通過(guò)的準則�����、測試所需的資源以及測試進(jìn)度安排等���。b)應根據測試計劃的安排仔細設計測試用例�,并按照測試用例的要求執行測試活動(dòng)�,如實(shí)記錄原始測試結果����,確保測試過(guò)程的可追溯性����。對于安全軟件���,注冊申請人應當針對不同的軟件����、硬件運行平臺��,進(jìn)行兼容性測試�����;如果產(chǎn)品采用標準傳輸協(xié)議或存儲格式���,應當進(jìn)行審查或測試驗證其對相關(guān)標準的符合性�����;如果產(chǎn)品采用自定義的傳輸協(xié)議和存儲格式���,應當進(jìn)行完整性測試驗證�。c) 應對測試結果進(jìn)行仔細的分析和評價(jià)��,確保測試活動(dòng)的有效性����,并對測試遺留的問(wèn)題進(jìn)行評價(jià)���。
(3)驗證與確認記錄
注冊申請人應當將醫療器械網(wǎng)絡(luò )安全驗證與確認活動(dòng)的結果以文檔的方式進(jìn)行記錄�,確保網(wǎng)絡(luò )安全驗證與確認活動(dòng)的可追溯性����。
1)應當以文檔的形式記錄醫療器械網(wǎng)絡(luò )安全需求規范�、設計規范�、測試以及風(fēng)險管理的追溯性關(guān)系��。2)應當對網(wǎng)絡(luò )安全測試策劃活動(dòng)進(jìn)行記錄并形成網(wǎng)絡(luò )安全測試計劃文檔����。3)應當對網(wǎng)絡(luò )安全測試執行過(guò)程�����、測試結果以及測試結果的分析評估進(jìn)行記錄���,形成網(wǎng)絡(luò )安全測試報告�����。4)對于安全軟件�����,注冊申請人應將兼容性測試結果進(jìn)行單獨文檔記錄��,并形成兼容性測試報告�。5)對于采用標準傳輸協(xié)議或存儲格式的產(chǎn)品���,注冊申請人應當記錄標準符合性審查結果�;對于采用自定義的傳輸協(xié)議和存儲格式的產(chǎn)品��,注冊申請人應當對完整性測試結果進(jìn)行記錄并形成完整性測試報告����。6)可以對實(shí)時(shí)遠程程控功能的產(chǎn)品中關(guān)于遠程數據相關(guān)的測試進(jìn)行單獨的文檔記錄��,并形成相應的完整性和可得性測試報告���。在醫療器械產(chǎn)品上市后�,注冊人應結合自身質(zhì)量管理體系要求�,制定網(wǎng)絡(luò )安全維護流程��,保證醫療器械產(chǎn)品的安全性和有效性���。網(wǎng)絡(luò )安全維護流程涉及到以下方面:1)監控網(wǎng)絡(luò )安全信息源(包括第三方軟件組件)以識別和檢測網(wǎng)絡(luò )漏洞����;2)了解��、檢測可能發(fā)生的漏洞�,評估其風(fēng)險影響��;3)與設備的安全和基本性能有關(guān)的網(wǎng)絡(luò )安全問(wèn)題���,特別是網(wǎng)絡(luò )安全事件相關(guān)的問(wèn)題�,重點(diǎn)分析其風(fēng)險和影響�����,制定減輕策略�����,使得醫療器械產(chǎn)品及時(shí)得到保護和恢復�����;4)用于修補漏洞的軟件更新和補丁程序�����,需要進(jìn)行驗證和確認��,包括第三方軟件組件的漏洞修復(例如���,操作系統����,安全軟件等)��;5)盡早地部署軟件網(wǎng)絡(luò )安全更新程序至客戶(hù)站點(diǎn)���,并告知客戶(hù)相關(guān)更新內容��。有關(guān)醫療器械產(chǎn)品中網(wǎng)絡(luò )漏洞的披露和處理��,可參閱文獻ISO/IEC 291476和ISO/IEC 301117��。具備聯(lián)網(wǎng)功能的醫療器械產(chǎn)品面臨的網(wǎng)絡(luò )問(wèn)題可能不斷變化���,注冊申請人在產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò )安全問(wèn)題����。醫療器械注冊人應對已上市產(chǎn)品進(jìn)行有效�����、及時(shí)并持續地網(wǎng)絡(luò )安全更新�����。對于已發(fā)現的漏洞����,應分析漏洞的可被利用性���,對病人傷害的嚴重程度以及病人信息泄露的可能性���,醫療器械注冊人應決定該漏洞的風(fēng)險是可控還是處于失控狀態(tài)����,制定相應的解決措施修復該網(wǎng)絡(luò )漏洞��。與網(wǎng)絡(luò )安全事件相關(guān)的網(wǎng)絡(luò )更新�����,需要重點(diǎn)分析其風(fēng)險和影響���,及時(shí)有效地提供經(jīng)驗證的解決方案�。通常的網(wǎng)絡(luò )安全更新應包括:2)第三方軟件(包括操作系統等)的漏洞安全更新�;3)安全軟件(如殺毒軟件等)的病毒掃描引擎的更新�����。若在醫療器械產(chǎn)品中新的網(wǎng)絡(luò )安全設計是不可行的或者不能馬上實(shí)施�,注冊人應考慮使用網(wǎng)絡(luò )補償控制方案來(lái)減輕網(wǎng)絡(luò )漏洞風(fēng)險�����。網(wǎng)絡(luò )補償控制是在缺乏有效網(wǎng)絡(luò )安全設計的前提下����,提供補充性網(wǎng)絡(luò )防護措施���。例如注冊申請人對醫療器械產(chǎn)品的網(wǎng)絡(luò )漏洞評估后��,認為對設備未被授權的情況下進(jìn)行訪(fǎng)問(wèn)極有可能影響設備的安全和基本性能��,但是若該設備沒(méi)有連接到外部網(wǎng)絡(luò )(例如���,醫院網(wǎng)絡(luò ))或者使用路由器對連接進(jìn)行限定��,則醫療器械仍然可以安全有效的工作���。對于預期接入IT-網(wǎng)絡(luò )或與其它醫療器械進(jìn)行交互的醫療器械�,其數據交換方式有兩種:網(wǎng)絡(luò )(包括有線(xiàn)網(wǎng)絡(luò )和無(wú)線(xiàn)網(wǎng)絡(luò ))或存儲媒介(如光盤(pán)�、移動(dòng)硬盤(pán)��、U盤(pán)等)����。對于數據交換的接口���,常見(jiàn)的有線(xiàn)接口如USB��、RS232����、RS485�、CAN����、RJ45等���。近些年��,無(wú)線(xiàn)通訊被廣泛使用�����,如藍牙�、WiFi�����、Zigbee���、RFID����、各種蜂窩無(wú)線(xiàn)網(wǎng)絡(luò )等�。對于有線(xiàn)接口����,技術(shù)要求中應明確連接接口的規格�,有線(xiàn)網(wǎng)絡(luò )要明確帶寬要求�����。對于無(wú)線(xiàn)網(wǎng)絡(luò )����,應描述網(wǎng)絡(luò )類(lèi)型或制式�����、使用頻段���、數據特性(例如上下行傳輸速率)等����。注冊申請人可以采用已經(jīng)標準化的數據傳輸協(xié)議或存儲格式���。醫療器械常用的傳輸協(xié)議如HL7��、DICOM�,存儲格式如EDF等��。注冊申請人也可以使用通用的網(wǎng)絡(luò )傳輸協(xié)議如TCP/IP��、UDP���、HTTP�����、HTTPS等�����。注冊申請人在產(chǎn)品技術(shù)要求中����,應明確傳輸協(xié)議/存儲格式�����。對于已經(jīng)標準化的傳輸協(xié)議或存儲格式除了說(shuō)明協(xié)議類(lèi)型之外����,還應說(shuō)明協(xié)議的版本��,如果對設備進(jìn)行控制�����,應說(shuō)明是否為實(shí)時(shí)控制�。對于注冊申請人自定義的數據傳輸協(xié)議或存儲格式����,應在隨機文件中描述或在產(chǎn)品技術(shù)要求中提供相應的驗證方法����。醫療器械在執行用戶(hù)訪(fǎng)問(wèn)控制之前�,應完成對用戶(hù)身份的鑒別或認證�����。認證是系統驗證希望訪(fǎng)問(wèn)系統的用戶(hù)身份的過(guò)程���?���;镜恼J證技術(shù)包括數字簽名����、消息認證�����、數字摘要和簡(jiǎn)單的身份認證等�。在產(chǎn)品技術(shù)要求中醫療器械注冊申請人應明確醫療器械所采用的用戶(hù)身份簽別技術(shù)����。用戶(hù)訪(fǎng)問(wèn)控制策略對醫療器械的保密性��、完整性起直接的作用�,是對越權使用資源的防御措施����,是網(wǎng)絡(luò )安全的重要組成部分��。醫療器械的使用者應依據訪(fǎng)問(wèn)控制策略來(lái)限制對數據和系統功能的訪(fǎng)問(wèn)���。用戶(hù)訪(fǎng)問(wèn)控制的種類(lèi)早期分為自主訪(fǎng)問(wèn)控制(DAC)和強制訪(fǎng)問(wèn)控制(MAC)��,但隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展�����,又出現了基于角色的訪(fǎng)問(wèn)控制(RBAC)�����、基于任務(wù)的訪(fǎng)問(wèn)控制(TBAC)�����、以及基于屬性���、上下文���、信譽(yù)等等的訪(fǎng)問(wèn)控制模型�����。隨著(zhù)系統的復雜度變高�����,一個(gè)系統中也可以融合多種訪(fǎng)問(wèn)控制策略��。在產(chǎn)品技術(shù)要求中���,醫療器械注冊申請人應明確醫療器械執行的用戶(hù)訪(fǎng)問(wèn)控制的方法���、用戶(hù)類(lèi)型及權限�����。預期接入網(wǎng)絡(luò )或與其它醫療器械進(jìn)行交互的醫療器械具有更復雜的運行環(huán)境與技術(shù)生態(tài)系統���,例如:復雜的信息與技術(shù)基礎設施(例如硬件���、軟件����、網(wǎng)絡(luò )��、其他系統和數據接口等)�,眾多的參與開(kāi)發(fā)�、實(shí)施�����、使用所涉及的人員���、組織和服務(wù)機構�。預期接入網(wǎng)絡(luò )的醫療器械生命周期不僅包含設計與開(kāi)發(fā)���、也應包含實(shí)施與臨床使用���,包括涉及醫療器械的采購�、安裝����、配置�����、數據集成或遷移��、工作流實(shí)現與優(yōu)化�、培訓��、使用與維護�����、退市等各種環(huán)節�。一般情況下�,醫療器械注冊申請人只涉及醫療器械的設計與開(kāi)發(fā)過(guò)程��,而后期的實(shí)施與臨床使用等環(huán)節的網(wǎng)絡(luò )安全由另外的組織來(lái)負責��。注冊申請人雖無(wú)法保證整個(gè)醫療器械生命周期的網(wǎng)絡(luò )安全��,但應在說(shuō)明書(shū)或其他文檔中提供在實(shí)施與臨床使用環(huán)節中所需要的必要信息����,如運行環(huán)境�����、接口與訪(fǎng)問(wèn)控制���、安全軟件及軟件更新等�����,以保證在實(shí)施與臨床使用環(huán)節的網(wǎng)絡(luò )安全���。如適用�����,注冊申請人在說(shuō)明書(shū)中應明確醫療器械的運行環(huán)境���,包括硬件配置�、軟件環(huán)境和網(wǎng)絡(luò )條件�。硬件配置應明確醫療器械安全運行所需要的最低硬件資源配置要求����,比如CPU���、內存�、存儲與顯示要求等�。軟件環(huán)境應明確要求醫療器械運行所需要的操作系統等���。網(wǎng)絡(luò )條件應明確醫療器械運行所需要的網(wǎng)絡(luò )類(lèi)型���、帶寬等����。如適用�,注冊申請人在說(shuō)明書(shū)中應描述接口與訪(fǎng)問(wèn)控制��,以滿(mǎn)足醫療器械實(shí)施與臨床使用過(guò)程中的要求��。對于接口的描述����,應能夠滿(mǎn)足醫療器械與網(wǎng)絡(luò )���、或其它設備的安全連接�。對于訪(fǎng)問(wèn)控制的描述�,應能指導使用者安全使用系統提供的訪(fǎng)問(wèn)控制策略并集成到工作流程中�����。在資源允許的情況下�����,醫療器械可使用一些安全軟件來(lái)提高產(chǎn)品的網(wǎng)絡(luò )安全特性���。這些安全軟件包括但不限于防火墻����、殺毒軟件����、反流氓軟件���、工具軟件等��。如適用��,注冊申請人應在說(shuō)明書(shū)中明確這些軟件的名稱(chēng)��、版本等信息����。如適用����,注冊申請人應在說(shuō)明書(shū)中明確軟件環(huán)境與安全軟件的更新需求���,更新的來(lái)源�����、執行的步驟等��。
附錄
19項網(wǎng)絡(luò )安全能力評價(jià)準則
1.自動(dòng)登出能力(Automatic logoff–ALOF)注冊申請人應考慮���,未授權的用戶(hù)不能在無(wú)人值守的工作區訪(fǎng)問(wèn)健康數據��,授權用戶(hù)會(huì )話(huà)需要在預先設置的一段時(shí)間后自動(dòng)終止或鎖定��;自動(dòng)注銷(xiāo)需要包括清除所有顯示器上的健康數據�����;本地授權的IT管理員需要能夠禁用該功能并設置過(guò)期時(shí)間(包括屏幕保護程序)�;當短時(shí)間內(例如15秒到幾分鐘)沒(méi)有按下鍵時(shí)��,可以調用此對健康數據顯示清除���;臨床用戶(hù)不應因自動(dòng)下線(xiàn)而丟失未提交的工作����,這是可取的����。應根據器械的預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證����。2.審核控制能力(Audit controls–AUDT)注冊申請人應考慮�,通過(guò)在設備上創(chuàng )建審計跟蹤來(lái)跟蹤系統和健康數據訪(fǎng)問(wèn)����、修改或刪除����,從而記錄和檢查系統活動(dòng)的能力���。支持將日志記錄信息作為獨立存儲庫(在其自己的文件系統中記錄審計文件)使用����。使用適當的審計審查工具支持審計創(chuàng )建和維護�,確保審核資料的安全(特別是在這些資料本身含有個(gè)人資料的情況下)����,并確保無(wú)法編輯或刪除審計數據�。審計數據可能包含個(gè)人數據和/或健康數據�,所有處理(例如存取��、儲存和轉移)都應該有適當的控制���。應根據器械的預期用途���、使用方式和風(fēng)險評估綜合考慮此項能力的驗證�����。3.確定用戶(hù)權限的能力(Authorization–AUTH)注冊申請人應基于經(jīng)過(guò)身份驗證的單個(gè)用戶(hù)進(jìn)行標識��,授權功能允許每個(gè)用戶(hù)僅有訪(fǎng)問(wèn)已批準的數據權利����,并僅在設備上執行已批準的功能����。授權用戶(hù)包括注冊申請人安全控制人員和該策略定義的服務(wù)人員�。醫療器械通常支持基于許可的系統�,提供對注冊申請人安全控制人員中個(gè)人角色(基于角色的訪(fǎng)問(wèn)控制)適當的系統功能和數據的訪(fǎng)問(wèn)�����。例如:1)操作者可使用所有適當的設備功能(例如監察或掃描病人)執行指定的工作��。2)質(zhì)量人員(如醫學(xué)物理學(xué)家)可以從事所有適當的質(zhì)量和保證測試活動(dòng)�����。3)服務(wù)人員可以以支持預防性維護����、問(wèn)題調查和問(wèn)題消除活動(dòng)的方式訪(fǎng)問(wèn)系統��。4)授權允許注冊申請人在有效交付醫療保健機構的同時(shí):①維護系統和數據安全�����;②遵循適當的數據訪(fǎng)問(wèn)最小化原則�����。授權可以在本地或注冊申請人范圍內管理(例如通過(guò)集中目錄)���。注:如果預期使用不允許登錄和注銷(xiāo)設備所需的時(shí)間(例如高吞吐量使用)���,則本地IT策略可以允許減少授權控制����,假定受控制和受限制的物理訪(fǎng)問(wèn)是否足夠���。應根據器械預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證��。4.網(wǎng)絡(luò )安全配置能力(Configuration of security features–CNFS)注冊申請人應考慮���,本地授權的IT管理員能夠選擇使用產(chǎn)品安全功能還是不使用產(chǎn)品安全功能��。這需要考慮網(wǎng)絡(luò )安全風(fēng)險評估內容���,可以包括與安全能力控制交互的特權管理方面�����。應根據器械的預期用途����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證���。5.網(wǎng)絡(luò )安全升級能力(Cyber security product upgrades–CSUP)注冊申請人應按照規定���,盡快在醫療產(chǎn)品上安裝第三方安全補丁: 根據客觀(guān)的��、權威的���、文檔化的漏洞風(fēng)險評估�����,優(yōu)先考慮解決高風(fēng)險漏洞的補丁���。要求醫療產(chǎn)品供應商和醫療服務(wù)提供商確保其產(chǎn)品持續安全和有效的臨床功能�。了解本地醫療器械法規�。進(jìn)行充分的測試�,以發(fā)現對醫療產(chǎn)品(性能或功能)可能危及患者的任何意外副作用���。注冊申請人需要提供關(guān)于評估/驗證補丁的主動(dòng)信息�。應根據器械的預期用途����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證����。6.健康數據去標識化能力(HEALTH DATA de-identification–DIDT)注冊申請人應考慮���,臨床用戶(hù)��、服務(wù)工程師和營(yíng)銷(xiāo)人員能夠在不需要患者身份的信息的情況下去識別敏感數據���。應根據器械的預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證�。7.數據備份與災難恢復能力(Data backup and disaster recovery–DTBK)注冊申請人應合理保證在系統故障或損壞后�����,可以恢復存儲在產(chǎn)品上的持久保存的系統設置和敏感數據�����,以便業(yè)務(wù)能夠繼續進(jìn)行����。特別需要注意的是��,這一要求可能不適用于較小的低成本設備�����。這實(shí)際上可能依賴(lài)于在下一個(gè)采集周期中收集新的相關(guān)數據的能力(例如由于偶爾的無(wú)線(xiàn)信號丟失而丟失的短時(shí)心率數據)���。應根據器械的預期用途�����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證���。8.緊急訪(fǎng)問(wèn)隱私數據的能力(Emergency access–EMRG)注冊申請人應考慮�����,在緊急情況下�,臨床用戶(hù)需要能夠在沒(méi)有個(gè)人用戶(hù)ID和身份驗證的情況下訪(fǎng)問(wèn)敏感數據(break-glass功能)�����。應檢測�、記錄和報告應急通道����。理想情況下��,包括以某種方式立即通知系統管理員或醫務(wù)人員(除了審計記錄之外)�����。緊急訪(fǎng)問(wèn)需要在輸入時(shí)要求并記錄自認證用戶(hù)標識(無(wú)需身份驗證)��。注冊申請人可以通過(guò)使用特定用戶(hù)帳戶(hù)或系統功能的過(guò)程方法來(lái)解決這個(gè)問(wèn)題���。管理員需要能夠啟用/禁用依賴(lài)于技術(shù)或過(guò)程控制的產(chǎn)品提供的任何緊急功能���。應根據器械的預期用途�����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證��。9.數據完整性真實(shí)性確認能力(HEALTH DATA integrity and authenticity–IGAU)注冊申請人可以通過(guò)使用包括固定介質(zhì)和可移動(dòng)介質(zhì)�,來(lái)確保健康數據是可靠的�,不會(huì )被篡改���。應根據器械的預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證�。10.惡意軟件的防止�����、檢測與清除能力(Malware detection/protection–MLDP)注冊申請人應考慮���,產(chǎn)品支持法規和用戶(hù)需求���,以確保有效和統一的支持�,可以預防���、檢測和刪除惡意軟件��。防止惡意軟件��,對應用程序及時(shí)進(jìn)行軟件更新�����,關(guān)注惡意軟件模式���,及時(shí)對當前操作環(huán)境���、系統�、數據文件和應用程序進(jìn)行補丁更新���。并經(jīng)常需要對設備運行更新后進(jìn)行驗證測試���,以確保持續使用和安全��。注冊申請人需要檢測傳統的惡意軟件以及可能干擾設備/系統正常運行的未授權軟件的影響�,并提供詳細的測試結果�����。應根據器械的預期用途�、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認��。11.通信對象����、通信節點(diǎn)的身份驗證能力(Node authentication–NAUT)注冊申請人應能夠以一種方式管理跨機器的賬戶(hù)�����,以保護健康數據訪(fǎng)問(wèn)�����。支持獨立管理和集中管理��。支持根據行業(yè)標準進(jìn)行節點(diǎn)認證�。檢測和防止實(shí)體偽造(提供不可抵賴(lài)性)��。應根據器械的預期用途���、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認���。12.驗證合法用戶(hù)的能力(Person authentication–PAUT)注冊申請人在為控制和監視網(wǎng)絡(luò )訪(fǎng)問(wèn)和活動(dòng)的網(wǎng)絡(luò )連接設備創(chuàng )建和使用用戶(hù)的唯一賬戶(hù)和基于角色的訪(fǎng)問(wèn)控制(RBAC�����、本地和遠程)��。以一種方式管理賬戶(hù)以保護健康數據訪(fǎng)問(wèn)的能力�����。用戶(hù)可能需要將個(gè)人首選項與用戶(hù)賬戶(hù)關(guān)聯(lián)����。這可能有助于多個(gè)運營(yíng)商����、部門(mén)甚至多個(gè)使用的設備和系統���。支持獨立和中央管理����。單點(diǎn)登錄和所有工作地點(diǎn)的密碼相同��?�?刂茖υO備���、網(wǎng)絡(luò )資源和健康數據的訪(fǎng)問(wèn)��,并生成不可否認的審計跟蹤�,發(fā)現和防止人員造假(提供不可抵賴(lài)性)����。注意�,這個(gè)要求在臨床中緊急訪(fǎng)問(wèn)操作期間是放松的����。應根據器械的預期用途�����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認�。13.物理保護能力(Physical locks on device–PLOK)注冊申請人應合理保證儲存在產(chǎn)品或媒體上的健康數據是和保持安全的方式與設備上數據記錄的靈敏度和容量成比例�。系統合理地避免了可能危及完整性���、保密性或可用性的篡改或組件刪除��。篡改(包括設備移除)是可以檢測到的�。應根據器械的預期用途����、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認��。14.第三方組件管理能力(Third-party components in product lifecycle roadmaps–RDMP)注冊申請人應對醫療器械提供明確的預期壽命說(shuō)明����,并對提供第三方組件的服務(wù)商對其產(chǎn)品生命周期內維護或支持相應的系統進(jìn)行要求����。當平臺組件過(guò)時(shí)的情況下����,需要及時(shí)進(jìn)行更新和升級�����。在存儲設備退役(丟棄����、重用�、轉售或回收)之前�����,服務(wù)提供商需不可逆地擦除健康數據�����。這些活動(dòng)應該被記錄和審計����。銷(xiāo)售和服務(wù)人員應了解對每個(gè)產(chǎn)品在其生命周期中提供的安全支持��。應根據器械的預期用途���、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認�。15.系統與應用加固能力(System and application hardening–SAHD)注冊申請人應給用戶(hù)提供一個(gè)穩定的系統�����,并且只提供那些根據其預期用途而指定和需要的服務(wù)�,同時(shí)進(jìn)行最少的維護活動(dòng)����。并且要求連接到它們的網(wǎng)絡(luò )的系統在交付時(shí)是安全的��,加強了對誤用和攻擊的抵御能力��。注冊申請人應將用戶(hù)反饋的用戶(hù)設備中可疑的安全漏洞和察覺(jué)到的弱點(diǎn)以報告的形式記錄����。并通過(guò)風(fēng)險分析和管理進(jìn)行漏洞的修復����,并及時(shí)更新提交�。應根據器械的預期用途���、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認�����。16.對操作者與管理員提供網(wǎng)絡(luò )安全指導的能力(Security guides–SGUD)注冊申請人應讓操作人員清楚地了解自己的職責和安全的系統工作方式���。管理員需要關(guān)于管理�����、定制和監視系統的信息(即訪(fǎng)問(wèn)控制列表�����、審計日志等)����。管理員需要清楚地了解安全功能���,以便根據適當的法規要求進(jìn)行健康數據風(fēng)險評估���。銷(xiāo)售和服務(wù)應包括系統的安全能力和安全工作方式的信息���。用戶(hù)應知道如何以及何時(shí)將用戶(hù)設備中可能存在的安全漏洞和察覺(jué)到的弱點(diǎn)通知注冊人����。應根據器械的預期用途�、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認��。17.存儲保密能力(HEALTH DATA storage confidentiality–STCF)注冊申請人應合理保證儲存在產(chǎn)品或媒體上的健康數據是保持安全的����?���;陲L(fēng)險分析�����,必須考慮對存儲在醫療器械上的健康數據進(jìn)行加密����。對于存儲在可移動(dòng)介質(zhì)上的健康數據���,加密可以保護臨床用戶(hù)����、提供服務(wù)和收集臨床數據的應用程序工程師的機密性/完整性�。應使用一種與傳統使用�、服務(wù)訪(fǎng)問(wèn)�、緊急訪(fǎng)問(wèn)一致的加密密鑰管理機制�����。加密方法和強度考慮了數據的容量(記錄收集/聚合的程度)和靈敏度���。應根據器械的預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認��。18.傳輸保密能力(Transmission confidentiality–TXCF)注冊申請人應確保在經(jīng)過(guò)身份驗證的節點(diǎn)之間傳輸期間保持健康數據機密性���。這允許在相對開(kāi)放的網(wǎng)絡(luò )和/或環(huán)境中傳輸健康數據����,在這些環(huán)境中使用用于健康數據完整性和保密性的強大保密策略(詳見(jiàn):IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks)�����。應根據器械的預期用途���、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認����。19.保障數據傳輸完整性的能力(Transmission integrity–TXIG)注冊申請人應提供確保傳輸過(guò)程中考慮風(fēng)險分析后健康數據的完整性測試的結果��,這允許注冊申請人在相對開(kāi)放的網(wǎng)絡(luò )或環(huán)境中傳輸健康數據��,需使用健康數據完整性強策略���。應根據器械的預期用途��、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認��。
參考文獻:
1)《醫療器械軟件注冊技術(shù)審查指導原則》(原國家食品藥品監督管理總局2015年第50號通告)
2)《醫療器械網(wǎng)絡(luò )安全注冊技術(shù)審查指導原則》(原國家食品藥品監督管理總局2017年第13號通告)
3)《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務(wù)院令第147號)
4)中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡(luò )安全事件應急預案》(中網(wǎng)辦發(fā)文〔2017〕4號)
5)GB/T 29246-2012信息安全技術(shù) 信息安全管理體系概述和詞匯
6)GB/T 20984-2015 信息安全技術(shù) 信息安全風(fēng)險評估規范
7)GB/T 22239-2019信息系統安全等級保護基本要求
8)GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求
9)GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求
10)YY/T 0316-2016 醫療器械 風(fēng)險管理對醫療器械的應用
11)IEC TR 80001-2-2-2012 包含醫療器械的IT網(wǎng)絡(luò )的風(fēng)險管理應用.第2-2部分 醫療器械安全
12)ISO/IEC 27035 Information technology - Security techniques - Information security incident management
13)ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14)ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15)ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
16)ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
17)ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
18)ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
19)ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
20)ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21)IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22)IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
23)HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security