|
如何按照醫療器械網絡安全注冊審查指導原則(2022 年修訂版)補充網絡安全研究本指導原則旨在指導注冊申請人規范醫療器械網絡安全生存周期過程和準備醫療器械網絡安全注冊申報資料,同時規范醫療器械網絡安全的技術審評要求,為醫療器械軟件、質量管理軟件的體系核查提供參考。 本指導原則是對醫療器械網絡安全的一般要求,注冊申請人需根據產品特性和風險程度確定本指導原則具體內容的適用性,若不適用詳述理由。注冊申請人也可采用其他滿足法規要求的替代方法,但需提供詳盡的研究資料。 本指導原則是在現行法規、強制性標準體系以及當前科技能力、認知水平下制定的,隨著法規、強制性標準體系的不斷完善以及科技能力、認知水平的不斷發展,本指導原則相關內容也將適時調整。 本指導原則作為注冊申請人、審評人員和檢查人員的指導性文件,不包括審評審批所涉及的行政事項,亦不作為法規強制執行,應在符合法規要求的前提下使用本指導原則。 本指導原則是數字醫療(Digital Health)指導原則體系的重要組成部分,亦是醫療器械軟件指導原則的補充,采用和遵循醫療器械軟件、獨立軟件生產質量現場檢查等相關指導原則的概念和要求。 本指導原則是醫療器械網絡安全的通用指導原則,其他涉及網絡安全的醫療器械產品指導原則可在本指導原則基礎上進行有針對性的調整、修改和完善。 本指導原則適用于醫療器械網絡安全的注冊申報,包括具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械(包括體外診斷醫療器械);適用于自研軟件、現成軟件的注冊申報。 其中,網絡包括無線、有線網絡,電子數據交換包括基于網絡、存儲媒介的單向、雙向數據傳輸,遠程訪問與控制包括基于網絡的實時、非實時的訪問與控制,用戶(如醫務人員、患者、維護人員等)訪問包括基于軟件用戶界面、電子接口的人機交互方式。 本指導原則也可用作醫療器械軟件、質量管理軟件的體系核查參考。 醫療器械網絡安全是指保護醫療器械產品自身和相關數據不受未授權活動影響的狀態,其保密性(Confidentiality)、完整性(Integrity)、可得性(Availability)[1]相關風險在全生命周期均處于可接受水平[2]。 其中,保密性是指信息不被未授權實體(含產品、服務、個人、組織)獲得或知悉的特性,即醫療器械產品自身和相關數據僅可由授權用戶在授權時間以授權方式進行訪問和使用。完整性是指信息的創建、傳輸、存儲、顯示未以非授權方式進行更改(含刪除、添加)的特性,即醫療器械相關數據是準確和完整的,且未被篡改。可得性是指信息可根據授權實體要求進行訪問和使用的特性,即醫療器械產品自身和相關數據能以預期方式適時進行訪問和使用。 除保密性、完整性、可得性三個基本特性外,醫療器械網絡安全還包括真實性(Authenticity)、抗抵賴性(Non-Repudiation)、可核查性(Accountability)、可靠性(Reliability)等特性。其中,真實性是指實體符合其所聲稱的特性,抗抵賴性是指實體可證明所聲稱事件或活動的發生及其發起實體的特性,可核查性是指實體的活動及結果可被追溯的特性,可靠性是指實體的活動及結果與預期保持一致的特性。 保密性、完整性、可得性等網絡安全特性通常是相互制約的關系,在同等條件下,某一特性的能力提升可能會使得另一特性或多個特性的能力下降,如可得性的提升可能會降低保密性和完整性,因此需要基于產品特性進行平衡兼顧。注冊申請人需結合醫療器械的預期用途、使用場景、核心功能進行綜合考量,從而確定醫療器械網絡安全特性的具體要求。 此外,盡管信息安全、網絡安全、數據安全的定義和范圍各有側重,既有聯系又有區別,不盡相同,但本指導原則從醫療器械安全有效性評價角度出發對三者不做嚴格區分,統一采用網絡安全進行表述,即從網絡安全角度綜合考慮醫療器械的信息安全和數據安全。 醫療器械相關數據可分為醫療數據和設備數據。 醫療數據是指醫療器械所產生的、使用的與醫療活動相關的數據(含日志),從個人信息保護角度又可分為敏感醫療數據、非敏感醫療數據,其中敏感醫療數據是指含有個人信息的醫療數據[3],反之即為非敏感醫療數據。個人信息是指以電子或者其他方式記錄的能夠單獨或與其他信息結合識別自然人個人身份的各種信息,如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息(含容貌信息)、住址、電話號碼等。 設備數據是指記錄醫療器械運行狀況的數據(含日志),用于監視、控制醫療器械運行或者醫療器械的維護與升級,不得含有個人信息。 注冊申請人需基于醫療器械相關數據的類型、功能、用途,結合網絡安全特性考慮醫療器械網絡安全要求。同時,保證敏感醫療數據所含個人信息免于泄露、濫用和篡改,以及醫療數據和設備數據的有效隔離(如訪問權限控制等方法)。 本指導原則所述醫療器械電子接口(含硬件接口、軟件接口)包括網絡接口、電子數據交換接口,若無明示均指外部接口,分體式醫療器械各獨立部分的內部接口視為外部接口,如服務器與客戶端、主機與從機的內部接口。 1.網絡接口 網絡接口是指基于網絡的電子接口。醫療器械可通過網絡接口(含轉接接口)進行電子數據交換或遠程訪問與控制,此時需考慮網絡的技術特征要求,包括但不限于網絡形式(有線、無線)、網絡類型(如廣域網、局域網、個域網)、接口形式(如電口、光口)、數據接口(此時即數據協議,含標準協議、私有協議)、遠程訪問與控制方式(實時、非實時)、性能指標(如端口、傳輸速率、帶寬)等。 無線網絡包括Wi-Fi(IEEE 802.11)、藍牙(IEEE 802.15)、射頻、紅外、4G/5G等形式,其中醫用無線專用設備(即未采用通用無線通信技術的醫療器械)應符合中國無線電管理相關規定。標準協議即業內公認標準所規范的數據傳輸協議,如DICOM、HL7等,需考慮其定制化功能的兼容性問題;私有協議需考慮兼容性問題。遠程訪問與控制亦包括操作系統軟件所提供的遠程會話或遠程桌面功能。 2.電子數據交換接口 電子數據交換接口是指基于非網絡的電子接口。醫療器械可通過非網絡接口的其他電子接口(如串口、并口、USB口、視頻接口、音頻接口,含調試接口、轉接接口)或存儲媒介(如光盤、移動硬盤、U盤)進行電子數據交換。此時需考慮其他電子接口或數據存儲的技術特征要求。 其他電子接口可參照網絡接口明確其技術特征要求。數據存儲的技術特征要求包括但不限于存儲媒介形式、數據接口(此時即文件存儲格式,含標準格式、私有格式)、數據壓縮方式(有損、無損)、性能指標(如傳輸速率、容量)等。標準格式即業內公認標準所規范的文件存儲格式,如JPEG、PNG等,需考慮其文件格式完整性問題;私有格式需考慮兼容性問題。 注冊申請人需結合醫療器械電子接口的類型、方式、技術特征,基于網絡安全特性考慮其網絡安全的具體要求。 考慮到預期用途、使用場景的限制,醫療器械對于網絡安全威脅應具備必要的識別、保護能力和適當的探測、響應、恢復能力。 本指導原則所述醫療器械網絡安全能力包括: 1.自動注銷(ALOF):產品在無人值守期間阻止非授權用戶訪問和使用的能力。 2.審核(AUDT):產品提供用戶活動可被審核的能力。 3.授權(AUTH):產品確定用戶已獲授權的能力。 4.節點鑒別(NAUT):產品鑒別網絡節點的能力。 5.人員鑒別(PAUT):產品鑒別授權用戶的能力。 6.連通性(CONN):產品保證連通網絡安全可控的能力。 7.物理防護(PLOK):產品提供防止非授權用戶訪問和使用的物理防護措施的能力。 8.系統加固(SAHD):產品通過固化措施對網絡攻擊和惡意軟件的抵御能力。 9.數據去標識化與匿名化(DIDT):產品直接去除、匿名化數據所含個人信息的能力。 10.數據完整性與真實性(IGAU):產品確保數據未以非授權方式更改且來自創建者或提供者的能力。 11.數據備份與災難恢復(DTBK):產品的數據、硬件或軟件受到損壞或破壞后恢復的能力。 12.數據存儲保密性與完整性(STCF):產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力。 13.數據傳輸保密性(TXCF):產品確保數據傳輸保密性的能力。 14.數據傳輸完整性(TXIG):產品確保數據傳輸完整性的能力。 15.網絡安全補丁升級(CSUP):授權用戶安裝/升級產品網絡安全補丁的能力。 16.現成軟件清單(SBOM):產品為用戶提供全部現成軟件清單的能力。 17.現成軟件維護(RDMP):產品在全生命周期中對現成軟件提供網絡安全維護的能力。 18.網絡安全使用指導(SGUD):產品為用戶提供網絡安全使用指導的能力。 19.網絡安全特征配置(CNFS):產品根據用戶需求配置網絡安全特征的能力。 20.緊急訪問(EMRG):產品在預期緊急情況下允許用戶訪問和使用的能力。 21.遠程訪問與控制(RMOT):產品確保用戶遠程訪問與控制(含遠程維護與升級)的網絡安全的能力。 22.惡意軟件探測與防護(MLDP):產品有效探測、阻止惡意軟件的能力。 注冊申請人需根據醫療器械的產品特性分析上述網絡安全能力的適用性。若適用,明確網絡安全能力的實現方式,可通過產品自身功能實現,亦可通過必備軟件、外部軟件環境等外部措施實現。同時,根據產品風險水平明確網絡安全能力的強弱程度,例如:用戶訪問控制可采用用戶名和口令方式,其中口令強度可采用不同強度設置或采用動態口令,亦可采用生物識別技術,通常情況下醫療器械的風險水平越高則其用戶訪問控制要求越嚴格。反之,若不適用詳述理由并予以記錄。 值得注意的是,對于特定醫療器械產品,上述各項網絡安全能力可能不足以保證其網絡安全,需結合產品具體情況補充其他網絡安全能力要求。 網絡安全驗證與確認作為軟件驗證與確認的重要組成部分,需在軟件驗證與確認的框架下,結合產品網絡安全特性開展相關質控工作,如源代碼安全審核、威脅建模、漏洞掃描、滲透測試、模糊測試等。軟件驗證與確認相關要求詳見醫療器械軟件指導原則第二章。 注冊申請人需針對不同類型網絡威脅,采用相應技術手段來保證醫療器械的網絡安全。例如:針對讀取攻擊、操作攻擊、欺騙攻擊、泛洪攻擊、重定向、勒索攻擊等網絡威脅,可采用用戶訪問控制、端口與服務關閉、加密、數字簽名、標準協議、校驗、防火墻、入侵檢測、惡意代碼防護、防護規則配置等方法與技術來保證產品的網絡安全。 網絡安全可追溯性分析作為網絡安全驗證與確認的重要活動之一,是指追蹤網絡安全需求、網絡安全設計、源代碼、網絡安全測試、網絡安全風險管理之間的關系,分析已識別關系的正確性、一致性、完整性、準確性。 醫療器械網絡安全生存周期過程均應開展網絡安全可追溯性分析活動,具體要求可參照軟件可追溯性分析活動要求,詳見醫療器械軟件指導原則第二章。 醫療器械設計開發只能針對已知網絡安全漏洞采取相應風險控制措施,上市后仍會面臨潛在未知的網絡安全漏洞引發的網絡安全事件的威脅,可能造成醫療器械無法訪問和使用、醫療數據發生泄露或遭到篡改,進而可能導致患者受到傷害或死亡以及隱私被侵犯。同時,醫療器械網絡安全事件具有影響因素多、涉及面廣、擴散性強和突發性高等特點,對于醫療器械上市后監測要求相對較高。因此,注冊申請人需基于相關標準和技術報告建立網絡安全事件應急響應機制,保證醫療器械的安全有效性并保護患者隱私。 應制定網絡安全事件應急響應預案,涵蓋現成軟件要求,明確計劃與準備、探測與報告、評估與決策、應急響應實施、總結與改進等階段的任務和要求。建立網絡安全事件應急響應團隊,根據工作職能形成管理、規劃、監測、響應、實施、分析等工作小組,必要時可邀請外部網絡安全專家成立專家小組。 根據網絡安全事件的嚴重程度、緊迫程度、廣泛程度等因素進行分類分級管理,結合產品風險級別,按照風險管理要求開展應急響應措施的驗證工作并予以記錄,在事件發生期間及時告知用戶應對措施。若適用,按照醫療器械不良事件、召回相關法規要求處理;必要時,向國家網絡安全主管部門報告。 1.網絡安全更新 醫療器械網絡安全更新從內容上可分為功能更新、補丁更新,類似于增強類軟件更新、糾正類軟件更新。根據其對醫療器械安全性和有效性的影響程度分為以下兩類: (1)重大網絡安全更新:影響到醫療器械的安全性或有效性的網絡安全更新,即重大網絡安全功能更新,應申請變更注冊。 (2)輕微網絡安全更新:不影響醫療器械的安全性與有效性的網絡安全更新,包括輕微網絡安全功能更新、網絡安全補丁更新。輕微網絡安全更新通過質量管理體系進行控制,無需申請變更注冊,待下次變更注冊時提交相應注冊申報資料。 此外,涉及召回的網絡安全更新,無論功能更新還是補丁更新均屬于重大網絡安全更新,按照醫療器械召回相關法規要求處理,不屬于本指導原則討論范疇。 網絡安全更新同樣遵循風險從高原則,即同時發生重大和輕微網絡安全更新按重大網絡安全更新處理。同時,軟件版本命名規則應涵蓋網絡安全更新情況,區分重大和輕微網絡安全更新。 2.重大網絡安全更新判定原則 網絡安全功能更新若影響到醫療器械的預期用途、使用場景或核心功能原則上均屬于重大網絡安全更新,包括但不限于:產品預期運行的網絡環境發生改變,如由封閉網絡環境變為開放網絡環境、局域網變為廣域網、有線網絡變為無線網絡;產品預期使用的電子接口發生改變,如接口形式由網口變為USB口、接口類型由少變多、接口功能由電子數據交換擴至遠程控制;產品網絡安全能力發生實質性改變,如自動注銷能力由操作系統自帶功能實現改為產品自身功能實現、物理防護能力由有變無等。 除非影響到醫療器械的安全性或有效性,以下網絡安全功能更新和網絡安全補丁更新通常視為輕微網絡安全更新:產品預期運行的網絡環境數據傳輸效率單純提高,預期使用的電子接口原有功能單純優化、傳輸效率單純提高,產品網絡安全能力發生非實質性改變;醫療器械軟件、必備軟件、外部軟件環境的網絡安全補丁更新。其中,必備軟件是指醫療器械軟件正常運行所必需的其他醫療器械軟件及醫用中間件,外部軟件環境是指醫療器械軟件正常運行所必需的系統軟件、通用應用軟件、通用中間件、支持軟件,詳見醫療器械軟件指導原則。 隨著網絡技術的發展,越來越多的醫療器械具備網絡連接功能以進行電子數據交換或遠程訪問與控制,在提高醫療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者或用戶受到傷害或死亡。因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分之一。 信息共享是保障醫療器械網絡安全的基本原則[4]。及時獲得網絡安全漏洞、事件等相關信息有助于識別、評估和應對網絡安全風險,保證醫療器械的安全有效性以及醫療活動的業務持續性,因此,鼓勵所有利益相關方在醫療器械全生命周期中主動積極共享網絡安全相關信息。注冊申請人需充分利用網絡安全漏洞披露機制加強醫療器械網絡安全的設計開發和上市后監測,如基于國家互聯網應急中心(CNCERT/CC,www.cert.org.cn)的國家信息安全漏洞共享平臺(CNVD,www.cnvd.org.cn),或其互認的國際信息安全漏洞庫所披露的漏洞信息,定期開展網絡安全風險管理工作。 醫療器械網絡安全需要注冊申請人、用戶、信息技術服務商等利益相關者的共同努力和通力合作方能得以保障。雖然醫療器械在使用過程中常與非預期的設備或系統相連,使得注冊申請人在保證醫療器械網絡安全方面存在諸多困難,但這不意味注冊申請人可以免除醫療器械網絡安全相關責任。注冊申請人需保證醫療器械產品自身的網絡安全,明確預期的網絡環境和電子接口要求,持續監測、評估、應對、分享網絡安全相關風險,與其他利益相關者密切合作,從而保證醫療器械的安全有效性。 醫療器械網絡安全也是網絡安全國家戰略的重要組成部分,因此醫療器械網絡安全亦應符合網絡安全相關法律法規和部門規章的要求,如網絡安全法、數據安全法、個人信息保護法以及數據出境、重要數據識別等要求。注冊申請人應持續跟蹤相關法律法規和部門規章的制修訂情況,并滿足相應適用要求。 網絡安全新技術(如人工智能技術)研究處于快速發展階段,醫療器械若采用網絡安全新技術來保證網絡安全,亦需基于新技術特性,并結合風險管理開展相應驗證與確認工作。 綜合考慮行業發展水平和風險分級管理導向,醫療器械網絡安全的風險級別不同,其生命周期質控要求和注冊申報資料要求亦不同。 雖然網絡安全風險與軟件風險存在差異,但是網絡安全風險作為軟件風險的重要組成部分,其風險級別亦可參照軟件采用安全性級別進行表述[5]。在通常情形下,醫療器械網絡安全的安全性級別與所屬醫療器械軟件的安全性級別相同;在特殊情形下,網絡安全的安全性級別可低于軟件的安全性級別,此時需詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。 醫療器械網絡安全風險同樣結合醫療器械的預期用途、使用場景、核心功能進行綜合判定,特別是使用場景。不同使用場景的網絡環境不同,甚至存在巨大差異,對于醫療器械網絡安全的影響亦不同,如門診、手術、住院、急救、家庭、轉運、公共場所等使用場景的網絡環境均有所不同,因此對于適用于多個使用場景的醫療器械,注冊申請人需保證醫療器械在每個使用場景的網絡安全。 醫療器械網絡安全風險管理活動通常包括:識別資產(Asset,對個人或組織有價值的物理和數字實體)、威脅(Threat,可能導致對個人或組織產生損害的非預期事件發生的潛在原因)和脆弱性(Vulnerability,可能會被威脅所利用的資產或風險控制措施的弱點),評估威脅和脆弱性對于醫療器械和患者的影響以及被利用的可能性,確定風險水平并采取充分、有效、適宜的風險控制措施,基于風險接受準則評估網絡安全綜合剩余風險,保證網絡安全綜合剩余風險均處于可接受水平。 注冊申請人可結合醫療器械風險管理和網絡安全風險管理相關標準和技術報告的要求,開展醫療器械網絡安全風險管理工作。值得注意的是,醫療器械風險管理與網絡安全風險管理在傳統上存在一定差異,注冊申請人若無法對二者進行有效整合,則需分別獨立開展相應風險管理活動并予以記錄,同時考慮不同類型風險控制措施的相互影響問題。 與醫療器械軟件類似,注冊申請人應在醫療器械全生命周期中持續關注網絡安全問題,包括上市前、上市后等階段。 醫療器械上市前結合質量管理體系要求和醫療器械產品特性開展網絡安全質控工作,保證醫療器械的安全有效性;上市后根據網絡安全更新情況開展更新請求評估、驗證與確認、風險管理、用戶告知等活動,持續保證醫療器械的安全有效性。同時,建立網絡安全事件應急響應過程,定期開展醫療器械網絡安全漏洞風險評估工作,根據網絡安全漏洞披露相關要求,及時將必要的網絡安全相關信息以及應對措施告知用戶。此外,可采用信息安全領域的良好工程實踐[6]來完善醫療器械網絡安全質控工作,以保證醫療器械的安全有效性。 考慮到行業實際情況,本指導原則不要求注冊申請人單獨建立醫療器械網絡安全生存周期(又稱生命周期)過程,而是將其作為醫療器械軟件生存周期過程的重要組成部分予以整體考慮,待時機成熟時予以考量。 注冊申請人需在醫療器械軟件生存周期過程考慮醫療器械網絡安全的質控要求,并可基于醫療器械網絡安全能力建設要求予以實施,具體要求詳見醫療器械軟件指導原則第六章以及獨立軟件生產質量管理規范及其現場檢查指導原則。 同時,注冊申請人可參考信息安全領域相關標準和技術報告,完善醫療器械網絡安全生存周期過程的質控要求,本指導原則不再贅述。 現成軟件同樣存在網絡安全問題,注冊申請人應根據質量管理體系要求建立現成軟件網絡安全更新過程,結合風險管理要求,及時將必要的現成軟件網絡安全信息及應對措施告知用戶。 同時,根據現成軟件與醫療器械軟件的關系類型開展相應網絡安全質控工作。對于現成軟件組件(即作為醫療器械軟件組成部分的現成軟件),重點關注其網絡安全問題對醫療器械使用效果的影響,網絡安全的安全性級別判定亦需將其納入考量。對于外部軟件環境(即作為醫療器械軟件運行環境組成部分的現成軟件),重點關注其網絡安全補丁對醫療器械安全有效性的影響,網絡安全的安全性級別判定通常無需將其納入考量;需要說明的是,網絡安全補丁對于醫療器械而言屬于設計變更,需對醫療器械進行驗證、確認。 根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國人類遺傳資源管理條例》等法律法規相關規定,在中國境內收集和產生的重要數據、個人信息和人類遺傳資源信息原則上應在中國境內存儲,因業務需要確需向境外提供的,應按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。 《國家健康醫療大數據標準、安全和服務管理辦法(試行)》明確:健康醫療大數據應存儲在境內安全可信的服務器上,因業務需要確需向境外提供的,應按照相關法律法規及有關要求進行安全評估審核。 醫療數據通常屬于重要數據[7],特別是敏感醫療數據含有個人信息,因此醫療數據出境應符合重要數據、個人信息、人類遺傳資源信息出境安全評估相關規定。 遠程維護與升級雖為非醫療器械功能,但會影響醫療器械的安全有效性,故亦需納入考量。 具有遠程維護與升級功能的醫療器械可訪問和使用設備數據,本身雖不涉及醫療數據,但若未能實現設備數據和醫療數據的有效隔離,則存在醫療數據未授權訪問和使用以及被篡改的可能性。遠程維護與升級所用電子接口也面臨網絡攻擊的威脅,可能會影響醫療器械正常運行,導致患者受到傷害或死亡以及隱私被侵犯。醫療器械在遠程維護與升級過程中若無人值守,則可能存在醫療器械非授權訪問和使用的風險。家用醫療器械的遠程維護與升級需考慮其對產品正常使用的影響及其風險。 因此,注冊申請人需明確遠程維護與升級的實現方法、所用電子接口情況、設備數據所含內容、設備數據與醫療數據的隔離方法、網絡安全保證措施等技術特征,并提供相應研究資料和風險管理資料。 此外,境外遠程維護與升級若可訪問醫療數據,亦應符合醫療數據出境要求。 (四)遺留設備[8] 本指導原則所述遺留設備是指不能通過補丁更新、補償控制等合理風險控制措施抵御當前網絡安全威脅的醫療器械。遺留設備可能無法應對當前網絡安全威脅,導致產品綜合剩余風險無法降至可接受水平,降低醫療器械的安全有效性。 醫療器械實際使用情況極為復雜,使得遺留設備的判定較為困難。通常情況下可結合醫療器械的停售(EOL)、停止售后服務(EOS)兩個時間點判定其是否屬于遺留設備:在售(以注冊證時效為準)的醫療器械均非遺留設備;停售但未停止售后服務的醫療器械,若無法通過合理風險控制措施抵御當前網絡安全威脅則為遺留設備,反之不屬于遺留設備;停止售后服務的醫療器械均為遺留設備。 對于遺留設備,注冊人應按照質量管理體系要求開展相應質控工作,以保證產品網絡安全,詳見獨立軟件生產質量管理規范及其現場檢查指導原則。 對于注冊證失效但尚未停止售后服務、注冊證有效但已停售的醫療器械,注冊人應根據質量管理體系要求向現有用戶提供必要的網絡安全相關信息以及應對措施,以保證醫療器械的網絡安全。若無法保證醫療器械的網絡安全,按遺留設備處理。 對于注冊證有效且在售的醫療器械,若無法通過合理風險控制措施抵御當前網絡安全威脅,則注冊人應根據質量管理體系要求制定相應風險控制措施,并申請變更注冊。
圖1 醫療器械網絡安全研究資料框架 自研軟件網絡安全研究報告適用于自研軟件的初次發布和再次發布,內容框架詳見表1,包括基本信息、實現過程、漏洞評估、結論,詳盡程度取決于軟件安全性級別,不適用內容詳述理由。 1.基本信息 (1)軟件信息 明確申報醫療器械軟件的名稱、型號規格、發布版本以及軟件安全性級別。 若網絡安全的安全性級別低于軟件的安全性級別,詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。 (2)數據架構 提供申報醫療器械在每個使用場景(含遠程維護與升級,下同)下的網絡環境和數據流圖,并依據圖示描述醫療器械相關數據和電子接口的基本情況。 數據情況明確醫療器械相關數據的類型(敏感醫療數據、非敏感醫療數據、設備數據),并依據數據類型明確每類數據的具體內容(如個人信息、醫療活動信息、設備運行信息)、功能(如單向、雙向電子數據交換,實時、非實時遠程訪問與控制)、用途(如醫療活動、設備維護)等。 電子接口情況逐項說明每個網絡接口、電子數據交換接口的預期用戶、使用場景、預期用途、數據類型、技術特征、使用限制,其中技術特征要求詳見第二章。 (3)網絡安全能力 基于第二章所述各項網絡安全能力,逐項分析申報醫療器械對于該項網絡安全能力的適用性,詳述適用網絡安全能力的實現方法以及不適用理由。若適用,提供其他網絡安全能力的適用情況說明。 (4)網絡安全補丁 提供申報醫療器械(含必備軟件、外部軟件環境)的網絡安全補丁列表,明確網絡安全補丁的名稱、完整版本、發布日期。可另附文件。 (5)安全軟件 描述申報醫療器械兼容或所用的安全軟件(如殺毒軟件、防火墻等)的名稱、型號規格、完整版本、供應商、運行環境、防護規則配置要求。 2.實現過程 (1)風險管理 提供申報醫療器械網絡安全的風險分析報告、風險管理報告,另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的風險管理文檔,但需注明網絡安全情況。 (2)需求規范 提供申報醫療器械的網絡安全需求規范文檔,另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的需求規范文檔,但需注明網絡安全情況。 (3)驗證與確認 提供申報醫療器械的網絡安全測試計劃和報告,另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的系統測試計劃和報告,但需注明網絡安全情況。 對于安全軟件,提供兼容性測試報告。對于標準傳輸協議或存儲格式,若其滿足醫療器械網絡安全需求出具真實性聲明即可,反之提供相應證明材料;對于私有傳輸協議或存儲格式,提供完整性測試總結報告。對于實時遠程訪問與控制功能,提供完整性和可得性等網絡安全特性的測試報告。對于醫用無線專用設備,提供符合無線電管理相關規定的證明材料。 (4)可追溯性分析 提供申報醫療器械的網絡安全可追溯性分析報告,匯總列明網絡安全需求規范文檔、網絡安全設計規范文檔、源代碼(明確軟件單元名稱即可)、網絡安全測試報告、網絡安全風險分析報告之間的對應關系。亦可提供醫療器械軟件的可追溯性報告,但需注明網絡安全情況。 (5)維護計劃 輕微級別:提供申報醫療器械網絡安全更新的流程圖,并依據圖示描述相關活動。 中等、嚴重級別:在輕微級別的基礎上,提供網絡安全事件應急響應的流程圖,并依據圖示描述相關活動;或者提供網絡安全事件應急響應預案文檔。 若適用,全部級別均需提供遠程維護與升級的流程圖,并依據圖示描述相關活動。 3.漏洞評估 輕微級別:按照現行有效的通用漏洞評分系統(CVSS)所定義的漏洞等級,明確申報醫療器械(含必備軟件、外部軟件環境,下同)已知漏洞總數和已知剩余漏洞數。 中等級別:提供網絡安全漏洞自評報告,明確漏洞掃描所用軟件工具、漏洞庫(基于國家信息安全漏洞庫或互認的國際信息安全漏洞庫)的基本信息(如名稱、完整版本、發布日期、供應商等),按照CVSS漏洞等級明確申報醫療器械已知漏洞總數和已知剩余漏洞數,列明已知剩余漏洞的內容、對產品的影響及綜合剩余風險,確保產品綜合剩余風險均可接受。亦可補充網絡安全評估機構出具的網絡安全漏洞評估報告。 嚴重級別:提供網絡安全漏洞自評報告、網絡安全評估機構出具的網絡安全漏洞評估報告,明確已知剩余漏洞的維護方案,確保產品綜合剩余風險均可接受。 4.結論 概述申報醫療器械的網絡安全實現過程的規范性和網絡安全漏洞評估結果,判定申報醫療器械的網絡安全是否滿足要求,受益是否大于風險。
表1 自研軟件網絡安全研究報告框架
(二)自研軟件網絡安全更新研究報告 自研軟件網絡安全更新研究報告適用于自研軟件的再次發布,包括網絡安全功能更新、網絡安全補丁更新等研究報告。 網絡安全功能更新研究報告適用于自研軟件發生重大、輕微網絡安全功能更新,或合并網絡安全補丁更新的情形,內容框架詳見表2,不再贅述。 網絡安全補丁更新研究報告適用于自研軟件(含必備軟件、外部軟件環境)僅發生網絡安全補丁更新的情形。其內容包括軟件信息、網絡安全補丁、風險管理、驗證與確認、可追溯性分析、維護計劃、漏洞評估、結論,具體要求詳見表2相應說明。
表2 自研軟件網絡安全功能更新研究報告框架
考慮到網絡安全更新具有累積效應,網絡安全更新研究報告需涵蓋醫療器械軟件自前次注冊(延續注冊除外)以來網絡安全更新的全部內容。 1.現成軟件組件網絡安全研究資料 (1)部分使用方式 對于部分使用方式,即醫療器械軟件同時使用自研軟件和現成軟件組件,無需單獨提交網絡安全研究報告,基于醫療器械軟件的安全性級別,在自研軟件網絡安全研究報告適用條款中說明現成軟件組件的情況。 適用條款包括軟件信息、數據架構、網絡安全能力、網絡安全補丁、風險管理、需求規范、驗證與確認、可追溯性分析、維護計劃、漏洞評估、結論。 此時若現成軟件組件發生網絡安全更新,網絡安全功能更新在自研軟件網絡安全功能更新研究報告的基礎上,說明現成軟件組件的變化情況,不適用條款說明理由;網絡安全補丁更新要求與自研軟件相同。 (2)全部使用方式 對于全部使用方式,即醫療器械軟件全部為現成軟件組件,需要單獨提交現成軟件組件網絡安全研究報告,其內容與自研軟件研究報告相同,但需基于現成軟件組件(此時即醫療器械軟件)的安全性級別予以說明。 此時若現成軟件組件發生網絡安全更新,網絡安全功能更新在現成軟件組件網絡安全功能更新研究報告的基礎上,說明現成軟件組件的變化情況,不適用條款說明理由;網絡安全補丁更新要求與自研軟件相同。 2.外部軟件環境網絡安全評估資料 外部軟件環境網絡安全評估作為外部軟件環境評估的重要組成部分,其網絡安全及其更新的研究資料要求與外部軟件環境評估報告相同,具體要求詳見醫療器械軟件指導原則第八章。 考慮到醫療器械軟件指導原則已明確外部軟件環境評估報告要求,同時自研軟件網絡安全研究資料亦含有外部軟件環境的網絡安全補丁、漏洞評估等要求,故無需單獨提交外部軟件環境網絡安全評估資料。 七、注冊申報資料補充說明[9] 注冊申報資料在符合醫療器械注冊申報資料要求等文件要求基礎上,滿足醫療器械軟件等相關指導原則要求,同時重點關注以下要求。 若使用現成軟件組件,根據其使用方式提交相應研究資料。相關研究資料的具體要求詳見第六章。 2.說明書 說明書提供網絡安全說明和使用指導,明確用戶訪問控制機制、電子接口(含網絡接口、電子數據交換接口)及其數據類型和技術特征、網絡安全特征配置、數據備份與災難恢復、運行環境(含硬件配置、外部軟件環境、網絡環境,若適用)、安全軟件兼容性列表(若適用)、外部軟件環境與安全軟件更新(若適用)、現成軟件清單(SBOM,若適用)等要求。 1.軟件研究資料 醫療器械變更注冊應根據網絡安全更新情況,提交變化部分對產品安全性與有效性影響的研究資料: (1)涉及網絡安全功能更新:適用于自研軟件發生網絡安全功能更新,或合并網絡安全補丁更新的情形,此時單獨提交一份自研軟件網絡安全功能更新研究報告(或自研軟件網絡安全研究報告); (2)僅發生網絡安全補丁更新:適用于自研軟件(含必備軟件、外部軟件環境)僅發生網絡安全補丁更新的情形,此時單獨提交一份自研軟件網絡安全補丁更新研究報告; (3)未發生網絡安全更新:出具真實性聲明,明確對此承擔法律責任。 若使用現成軟件組件,根據其使用方式提交相應研究資料。相關研究資料的具體要求詳見第六章。 2.說明書 若適用,提交說明書關于網絡安全內容的變更對比表。 延續注冊通常無需提交網絡安全相關研究資料。若適用,根據注冊證“備注”所載明的要求提交相應網絡安全研究資料。 產品技術要求“產品型號/規格及其劃分說明”所述軟件版本命名規則應涵蓋網絡安全更新情況,區分重大網絡安全更新和輕微網絡安全更新。若原注冊產品標準(或原產品技術要求)及其變更對比表未體現軟件相關信息,需在符合性聲明中予以明確,其中軟件版本命名規則需涵蓋網絡安全更新情況。 [1] 全國人大. 中華人民共和國網絡安全法[Z],2016.11 [2] 全國人大. 中華人民共和國數據安全法[Z],2021.6 [3] 全國人大. 中華人民共和國個人信息保護法[Z],2021.8 [4] 國務院. 中華人民共和國人類遺傳資源管理條例(國令第717號)[Z],2019.5 [5] 中央網信辦. 國家網絡安全事件應急預案[Z],2017.1 [6] 國家網信辦. 個人信息出境安全評估辦法(征求意見稿)[Z],2019.6 [7] 國家網信辦. 數據出境安全評估辦法(征求意見稿)[Z],2021.10 [8] 國家網信辦. 網絡安全審查辦法[Z],2021.11 [9] 原國家食品藥品監督管理總局.醫療器械說明書和標簽管理規定(總局令第6號)[Z],2014.7 [10] 原國家食品藥品監督管理總局.醫療器械召回管理辦法(總局令第29號)[Z],2017.1 [11] 國家市場監督管理總局. 醫療器械不良事件監測和再評價管理辦法(總局令第1號)[Z],2018.8 [12] 國家市場監督管理總局.醫療器械注冊與備案管理辦法(總局令第47號)[Z],2021.8 [13] 原國家食品藥品監督管理總局.醫療器械生產質量管理規范(2014年第64號公告)[Z],2014.12 [14] 國家市場監督管理總局.醫療器械注冊申報資料要求和批準證明文件格式(2021年第121號公告)[Z],2021.9 [15] 原國家食品藥品監督管理總局.醫療器械網絡安全注冊技術審查指導原則(2017年第13號通告)[Z],2017.1 [16] 國家藥品監督管理局.醫療器械生產質量管理規范附錄獨立軟件(2019年第43號通告)[Z],2019.7 [17] 國家藥品監督管理局.醫療器械生產質量管理規范獨立軟件現場檢查指導原則(藥監綜械管〔2020〕57號)[Z],2020.5 [18] 國家藥品監督管理局醫療器械技術審評中心. 醫療器械軟件技術審查指導原則(第二版)(征求意見稿)[Z],2020.5 [19] 北京市藥品監督管理局. 醫療器械網絡安全注冊審查指導原則實施指南[Z],2019.12 [20]國家衛生健康委員會. 國家健康醫療大數據標準、安全和服務管理辦法(試行)(國衛規劃發〔2018〕23號)[Z],2018.7 [21] GB9706.1-2020 醫用電氣設備 第1部分:基本安全和基本性能的通用要求[S] [22] GB/T 20985.1-2017 信息技術 安全技術 信息安全事件管理 第1部分:事件管理原理[S] [23] GB/T 22080-2016信息技術安全技術信息安全管理體系要求[S] [24] GB/T 22081-2016信息技術安全技術信息安全管理實用規則[S] [25] GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求[S] [26] GB/T 25000.51-2016系統與軟件工程 系統與軟件質量要求和評價(SQuaRE) 第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則[S] [27] GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求[S] [28] GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求[S] [29] GB/T 29246-2017 信息技術安全技術信息安全管理體系概述和詞匯[S] [30] GB/T 30276-2020信息安全技術 網絡安全漏洞管理規范[S] [31] GB/T 31167-2014信息安全技術 云計算服務安全指南[S] [32] GB/T 31168-2014信息安全技術 云計算服務安全能力要求[S] [33] GB/T 31722-2015 信息技術 安全技術 信息安全風險管理[S] [34] GB/T 35273-2020信息安全技術 個人信息安全規范[S] [35] GB/T 35274-2017信息安全技術 大數據服務安全能力要求[S] [36] GB/T 35278-2017信息安全技術 移動終端安全保護技術要求[S] [37] GB/T 37964-2019信息安全技術 個人信息去標識化指南[S] [38] GB/T 37973-2019信息安全技術 大數據安全管理指南[S] [39] GB/T 37988-2019信息安全技術 數據安全能力成熟度模型[S] [40] GB/T 39335-2020信息安全技術 個人信息安全影響評估指南[S] [41] GB/T 39725-2020信息安全技術 健康醫療數據安全指南[S] [42] GB/T信息安全技術 數據出境安全評估指南(征求意見稿)[S],2017.8 [43] GB/T信息安全技術 重要數據識別指南(征求意見稿)[S],2022.1 [44] YY/T 0287-2017 醫療器械 質量管理體系 用于法規的要求[S] [45] YY/T 0316-2016醫療器械 風險管理對醫療器械的應用[S] [46] YY/T 0664-2020 醫療器械軟件 軟件生存周期過程[S] [47] YY/T 1406.1-2016醫療器械軟件 第1部分:YY/T 0316應用于醫療器械軟件的指南[S] [48] YY/T 1708.1-2020醫用診斷X射線影像設備連通性符合性基本要求 第1部分:通用要求[S] [49] YY/T 1708.2-2020醫用診斷X射線影像設備連通性符合性基本要求 第2部分:X射線計算機體層攝影設備[S] [50] YY/T 1708.3-2021 醫用診斷X射線影像設備連通性符合性基本要求 第3部分:數字化攝影X射線機(DR)[S] [51] YY/T 1708.4-2021 醫用X射線影像設備連通性符合性基本要求 第4 部分:數字減影血管造影X射線機(DSA)[S] [52] YY/T 1708.5-2021 醫用診斷X射線影像設備連通性符合性基本要求 第5 部分:乳腺X射線機[S] [53] YY/T 1708.6-2021 醫用診斷X射線影像設備連通性符合性基本要求 第6 部分:口腔X射線機[S] [54] YY/T 醫用電氣設備網絡安全基本要求(報批稿)[S],2020.12 [55] IMDRF/SaMD WG/N12 FINAL: 2014, SaMD:Possible Framework for Risk Categorization and Corresponding Considerations[Z], 2014.9 [56] IMDRF/SaMD WG/N23 FINAL:2015,SaMD:Application of Quality Management System[Z], 2015.10 [57] IMDRF/CYBER WG/N60FINAL:2020, Principles and Practices for Medical Device Cybersecurity[Z], 2020.4 [58] FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software[Z], 2005.1 [59] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices[Z], 2014.10 [60] FDA, Postmarket Management of Cybersecurity in Medical Devices[Z], 2016.12 [61] FDA, Design Considerations and Pre-market Submission Recommendations for Interoperable Medical Devices[Z], 2017.9 [62] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices(Draft Guidance)[Z], 2018.10 [63] FDA, Best Practices for Communicating Cybersecurity Vulnerabilities to Patients[Z], 2021.10 [64] FDA, Playbook for Threat Modeling Medical Devices[Z], 2021.11 [65] MDCG 2019-16 Rev.1, Guidance on Cybersecurity for medical devices[Z], 2020.7 [66] BSI. Cybersecurity of medical devices:Addressing patient safety and the security of patient health information[Z], 2017.3 [67] AAMI TIR57:2016/(R)2019, Principles for medical device security - Risk management[S] [68] AAMI TIR97:2019, Principles for medical device security - Postmarket risk management for device manufacturers[S] [69] IEC TR 60601-4-5:2021, Medical electrical equipment - Part 4-5:Guidance and interpretation - Safety-related technical security specifications[S] [70] IEC80001-1:2021, Application of risk management for IT-networks incorporating medical devices - Part 1:Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software[S] [71] IECTR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-1: Step-by-step risk management of medical IT-networks - Practical applications and examples[S] [72] IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls[S] [73] IECTR 80001-2-3:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-3: Guidance for wireless networks[S] [74] IECTR 80001-2-4:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-4: Application guidance - General implementation guidance for healthcare delivery organizations[S] [75] IECTR 80001-2-5:2014, Application of risk management for IT-networks incorporating medical devices - Part 2-5: Application guidance - Guidance on distributed alarm systems[S] [76] ISOTR 80001-2-6:2014, Application of risk management for IT-networks incorporating medical devices -Part 2-6: Application guidance - Guidance for responsibility agreements[S] [77] ISOTR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations (HDOs) on how to self-assess their conformance with IEC 80001-1[S] [78] IECTR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2[S] [79] IECTR 80001-2-9:2017, Application of risk management for IT-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities[S] [80] IEC 80001-5-1:2021,Health software and health IT systems safety, effectiveness and security - Part 5-1: Security - Activities in the product life cycle[S] [81] ISO 81001-1:2021, Health software and health IT systems safety, effectiveness and security - Part 1: Principles and concepts[S] [82] ISO TS 81001-2-1, Health software and health IT systems safety,effectiveness and security - Part 2-1:Coordination - Guidance for the use of assurance cases for safety and security[S] [83] ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management[S] [84] ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response[S] [85] ISO/IEC 29147:2018, Information Technology - Security Techniques - Vulnerability Disclosure[S] [86] ISO/IEC 30111:2013, Information Technology - Security Techniques - Vulnerability Handling Processes[S] [87] ISO 27799:2016, Health informatics - Information security management in health using ISO/IEC 27002[S] [88] NEMA CSP 1-2016, Cybersecurity for Medical Imaging[S] [89] NEMA HN 1-2019, Manufacturer Disclosure Statement for Medical Device Security[S] [90] UL 2900-1:2020, Standard for Software Cybersecurity for Network Connectable Products - Part 1: General Requirements[S] [91] UL 2900-2-1:2018, Software Cybersecurity for Network Connectable Products - Part 2-1: Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems[S] [92] 全國信息安全標準化技術委員會[Z],https://www. tc260.org.cn [93] IMDRF CYBER WG[Z],https://www.imdrf.org/work items/wi-mdc-guide.asp
[1]在信息安全領域availability譯為可用性,而在醫療器械領域usability譯為可用性,為避免引起歧義本指導原則將availability譯為可得性。 [2]詳見IMDRF/CYBER WG/N60FINAL:2020。 [3]敏感醫療數據屬于IEC 80001所定義的健康數據(Health data)。 [4]詳見IMDRF/CYBER WG/N60FINAL:2020。 [5]詳見醫療器械軟件指導原則關于軟件安全性級別的說明。 [6]在信息安全領域,IEC 27000系列標準規范信息安全管理體系(ISMS)認證要求,本指導原則不要求注冊申請人進行ISMS認證,但建議參考相關標準要求。 [7]根據國家標準《信息安全技術 重要數據識別指南》進行判定。 [8]詳見IMDRF/CYBER WG/N60FINAL:2020。 [9]產品技術要求關于網絡安全的要求詳見醫療器械軟件指導原則。 |