隨著互聯(lián)網(wǎng)����、IT技術與醫(yī)療器械的結合����,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊進程中�。關于醫(yī)療器械安全審查相關事項,北京市藥監(jiān)局發(fā)布《關于醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南征求意見的通知》����,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評相關內(nèi)容。
引言:隨著互聯(lián)網(wǎng)����、IT技術與醫(yī)療器械的結合,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊進程中���。關于醫(yī)療器械安全審查相關事項�,北京市藥監(jiān)局發(fā)布《關于醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南征求意見的通知》�,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評相關內(nèi)容。
北京市藥品監(jiān)督管理局
關于醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南
征求意見的通知
各有關單位:
為規(guī)范北京市第二類醫(yī)療器械產(chǎn)品注冊工作��,根據(jù)原國家食品藥品監(jiān)督管理總局制定的《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》���,北京市藥品監(jiān)督管理局組織制定了《醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南》���。本指南從網(wǎng)絡安全特性和網(wǎng)絡安全能力的角度出發(fā)��,圍繞醫(yī)療器械申報資料及技術審評要求�����,為注冊申請人提交第二類醫(yī)療器械網(wǎng)絡安全相關注冊申報提供指導?���,F(xiàn)征求各有關單位意見����,請各有關單位于2019年9月17日前將修改意見或建議反饋至我局醫(yī)療器械注冊管理處。
聯(lián)系人:趙娜�;聯(lián)系電話:83979600;傳真:83560730�����;電子郵件:ylqxzcglc@yjj.beijing.gov.cn(郵件名稱請注明:醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南反饋意見)���;通信地址:北京市西城區(qū)棗林前街70號中環(huán)廣場A座1307房間,郵編100053���。
附件:醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南(征求意見稿)
北京市藥品監(jiān)督管理局
2019年8月15日
醫(yī)療器械網(wǎng)絡安全審查指導原則實施指南
(征求意見稿)
本指導原則實施指南旨在指導注冊申請人提交第二類醫(yī)療器械網(wǎng)絡安全注冊申報資料�,同時為第二類醫(yī)療器械網(wǎng)絡安全的技術審評提供參考。本指導原則實施指南是對第二類醫(yī)療器械網(wǎng)絡安全一般性要求的細化和補充���,注冊申請人應根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡安全注冊申報資料����,注冊申請人也可采用其他滿足法規(guī)要求的替代方法�����,但應提供詳盡的研究資料和驗證資料�����。本指導原則實施指南是對注冊申請人和審評人員的指導性文件���,不包括審評審批所涉及的行政事項�,亦不作為法規(guī)強制執(zhí)行���,應在遵循相關法規(guī)的前提下使用本指導原則實施指南��。本指導原則實施指南依據(jù)原國家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊技術審查指導原則》和《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》編寫����,因而采用時應結合以上注冊技術審查指導原則的相關要求使用。本指導原則實施指南適用于具有網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制的第二類醫(yī)療器械產(chǎn)品的注冊申報�����,其中網(wǎng)絡連接包括無線網(wǎng)絡連接和有線網(wǎng)絡連接��,電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸���,遠程控制包括實時控制和非實時控制�����。同時�����,本指導原則實施指南也適用于采用存儲媒介以進行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊申報��,其中存儲媒介包括但不限于光盤����、移動硬盤和U盤����。需要指出的是,本指導原則實施指南中所述的文件應來源于產(chǎn)品的開發(fā)過程��。注冊申請人應將網(wǎng)絡安全風險管理與質量管理體系充分融合����,在確保產(chǎn)品安全有效性的同時提高產(chǎn)品的網(wǎng)絡安全。隨著網(wǎng)絡技術的發(fā)展��,越來越多的醫(yī)療器械具備網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制���,這在提高醫(yī)療服務質量與效率的同時也面臨著網(wǎng)絡攻擊的威脅。醫(yī)療器械網(wǎng)絡安全出現(xiàn)問題不僅可能會侵犯患者隱私�����,而且可能會產(chǎn)生醫(yī)療器械非預期運行的風險�����,導致患者或使用者受到傷害甚或死亡。因此���,醫(yī)療器械網(wǎng)絡安全是醫(yī)療器械安全性和有效性的重要組成部分�����。同時�,對于接入計算機信息系統(tǒng)的醫(yī)療器械�����,注冊申請人應考慮醫(yī)療器械的使用環(huán)境����,對預期接入定級系統(tǒng)1或非定級系統(tǒng)的醫(yī)療器械的網(wǎng)絡安全能力進行合理的設計。注冊申請人還應考慮國家對于網(wǎng)絡安全相關的法律法規(guī)和標準要求���,特別是計算機信息系統(tǒng)安全保護方面的要求�,如《中華人民共和國計算機信息系統(tǒng)安全保護條例》,《GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求》,《GB/T 25070-2019信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》等法規(guī)和標準���。二�����、醫(yī)療器械的使用環(huán)境醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械�,以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械�����。根據(jù)接口的類型可以分為有線網(wǎng)絡連接����、無線網(wǎng)絡連接和連接本地存儲媒介。根據(jù)所處的網(wǎng)絡環(huán)境又可分為無網(wǎng)絡環(huán)境(僅連接本地存儲媒介)�、受控的網(wǎng)絡環(huán)境和開放的網(wǎng)絡環(huán)境。注冊申請人應根據(jù)不同的使用環(huán)境�����,識別網(wǎng)絡安全風險��,并采取相應的網(wǎng)絡安全措施�����。(一) 醫(yī)療器械網(wǎng)絡安全基本要求醫(yī)療器械網(wǎng)絡安全是指保持醫(yī)療器械相關數(shù)據(jù)的保密性、完整性�����、可得性、真實性���、可核查性����、抗抵賴性以及可靠性等特性�����。指數(shù)據(jù)不能被未授權的個人�����、實體利用或知悉的特性��,即醫(yī)療器械相關數(shù)據(jù)僅可由授權用戶在授權時間以授權方式進行訪問���。指保護數(shù)據(jù)準確和完整的特性����,即醫(yī)療器械相關數(shù)據(jù)是準確和完整的���,且未被篡改�。指根據(jù)授權個人、實體的要求可訪問和使用的特性���,即醫(yī)療器械相關數(shù)據(jù)能以預期方式適時進行訪問和使用�����。一個實體是其所聲稱實體的特性,即醫(yī)療器械相關數(shù)據(jù)能夠體現(xiàn)真實的臨床狀態(tài)���,包括生理狀態(tài)��、操作狀態(tài)�����、設備狀態(tài)等���。實體的一種特性,表征對自己的動作和做出的決定負責,即醫(yī)療器械相關數(shù)據(jù)表征對相關臨床動作和決定負責�。證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實體的能力,以解決有關事態(tài)或行為發(fā)生與否以及事態(tài)中實體是否牽涉的爭端,即醫(yī)療器械相關數(shù)據(jù)可證明相關臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力��。與預期行為和結果一致的特性,即醫(yī)療器械相關數(shù)據(jù)與臨床的預期行為和結果一致����。對醫(yī)療器械網(wǎng)絡安全的保障,是責任方���、網(wǎng)絡設施提供方與醫(yī)療器械注冊申請人共同參與的結果�����。IEC 80001-2-22以及MDS23所識別的網(wǎng)絡安全能力��,給醫(yī)療器械行業(yè)在考慮網(wǎng)絡安全風險控制的手段上��,以現(xiàn)有技術水平而言�,提供了一個被廣泛接受的切入點�。需要注意的是,注冊申請人對這些網(wǎng)絡安全能力進行配置以配合責任方進行網(wǎng)絡安全風險管理時�,必須綜合考慮具體醫(yī)療器械的預期用途與使用場景。醫(yī)療器械的預期用途是對疾病的預防���、診斷與治療����,故而在權衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時���,仍然是以保證產(chǎn)品的安全性�、有效性為首要任務����。如在急救場景下要發(fā)揮醫(yī)療器械的有效性,可能不得不考慮對保密性的要求予以折衷����。綜合考慮下來����,最終的配置結果可能是大多數(shù)的醫(yī)療器械并不具備全部的網(wǎng)絡安全能力,這就需要醫(yī)療器械注冊申請人與責任方進行良好的溝通����,以實現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡安全。以下列出了十九種醫(yī)療器械網(wǎng)絡安全能力����,并依據(jù)有關標準,結合醫(yī)療器械的產(chǎn)品特點對其主要內(nèi)容進行了描述����,注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡安全能力要求的適用性�,應根據(jù)器械的預期用途與使用方式綜合考慮此項能力的配置����。無人值守的終端設備,存在被人進行非授權的操作��、顯示信息被非授權人員閱讀的風險�����。此項網(wǎng)絡安全能力確保器械在所設時段內(nèi)若未被用戶操作�����,則自動進入保護狀態(tài)��,從而降低上述風險發(fā)生的概率���。此項網(wǎng)絡安全能力�,改善了器械的保密性與完整性���,然而對器械的可得性會造成損害�����,應結合器械的預期用途與使用場景����,決定是否配置以及如何配置。如對急診用器械��、長期監(jiān)護用器械�����、用戶無需獲得授權的器械等可得性要求較高的器械�。器械的網(wǎng)絡安全與器械的使用方式息息相關���,不正確����、非授權的使用會導致器械存在網(wǎng)絡安全方面的風險�。對器械使用環(huán)節(jié)的關鍵信息予以記錄,本身屬于風險控制措施的一部分����。此項能力的配置對網(wǎng)絡安全的保密性���、完整性、可核查性均有提升��,有利于對醫(yī)療器械使用記錄提供可追溯性檢測以及用于事后問責調查和對風險的持續(xù)監(jiān)視��,也為風險控制的應急響應提供輸入��。醫(yī)療器械的非授權使用���,會導致多種危險情況���,確保醫(yī)療器械的使用者、管理者�����、維護者�、擁有者得到合適的授權是重要的風險控制手段。用戶權限的管理可以提升保密性�、完整性與可核查性,然而通常會導致可得性的損失����。對器械網(wǎng)絡安全的保障是由責任方�、使用者��、網(wǎng)絡基礎設施供應商�����、醫(yī)療器械注冊申請人多方共同參與的一項活動��。開放網(wǎng)絡安全相關的配置有利于網(wǎng)絡安全在使用場景中的整體部署�,但是另一方面器械在有意、無意情況下的配置錯誤也可能導致不可接受的風險�,此種情境是與系統(tǒng)的加固要求相矛盾的(SAHD),應根據(jù)器械的預期用途與使用方式綜合考慮此項能力的配置�。器械以及器械所依賴的軟硬件環(huán)境,所面臨的威脅并不是一成不變的�,作為風險控制手段,有必要對器械或器械的運行環(huán)境予以修補以抵御新的網(wǎng)絡威脅�。由于器械���、運行環(huán)境�、所受威脅的狀況千差萬別��,部分修補可以由用戶自行升級完成;而部分修補�,則可能需要注冊申請人的授權人員才能進行。6.健康數(shù)據(jù)去標識化能力 DIDT在醫(yī)療服務過程中產(chǎn)生的健康數(shù)據(jù)常常具有預防�、診斷、治療之外的其它價值��,比如科研����、培訓、不良事件追溯����、設備維護等。健康數(shù)據(jù)若直接用于非醫(yī)療用途�,則存在隱私數(shù)據(jù)保護方面的風險。數(shù)據(jù)交付之前�����,去除健康數(shù)據(jù)所附帶的身份信息�,是提升保密性的重要手段。然而�����,去除標志會破壞數(shù)據(jù)的可追溯性。7.數(shù)據(jù)備份與災難恢復能力 DTBK健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風險�����,保持數(shù)據(jù)備份與災難恢復的能力����,可以提高數(shù)據(jù)的完整性與可得性。8.緊急訪問隱私數(shù)據(jù)的能力 EMRG醫(yī)療器械是以提供預防���、診斷����、治療目的為核心屬性��,部分情況下器械����、數(shù)據(jù)的可得性受損會導致不可接受的風險。為器械配置被緊急訪問的能力以及相應的安全可控的緊急訪問流程�����,對此項風險的控制至關重要�����。然而����,配置被緊急訪問的能力,常常會導致可得性之外的其它網(wǎng)絡安全特性受損���,應根據(jù)器械的預期用途與使用方式綜合考慮此項能力的配置�����。9.數(shù)據(jù)完整性真實性確認能力 IGAU當數(shù)據(jù)的完整性受損而導致不可接受的風險時����,醫(yī)療器械具備此項能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞�。惡意軟件侵入醫(yī)療器械可能會導致不可接受的風險���,此項能力可以對已知惡意軟件進行探測���、報告并防止其侵害。由于惡意軟件的產(chǎn)生難以預知���,此項能力需要在器械的使用過程中不斷維護�,必要時采取緊急措施。11.通信對象����、通信節(jié)點的身份驗證能力 NAUT器械若與未經(jīng)授權的通信節(jié)點進行互操作,可能導致不可接受的風險���。此項能力配合責任方的網(wǎng)絡安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識別并被授權進行數(shù)據(jù)傳輸����。有一部分器械并非開放給所有的使用者����,這部分器械如果被未獲授權的用戶使用,可能導致不可接受的風險����。此項能力配合責任方的網(wǎng)絡安全策略,可確保器械的使用者是經(jīng)過授權認證的��。醫(yī)療器械在物理上被進入�,會造成保密性與完整性的破壞,可能導致不可接受的風險�。重點關注敏感信息的存儲介質(可移動介質除外)是否不借助工具就能被取出���。醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分��,比如第三方的操作系統(tǒng)或數(shù)據(jù)庫等���。責任方若對此類組件不知情��,則不利于此類組件未來的網(wǎng)絡安全管理�����,也不利于未來網(wǎng)絡安全事件的責任劃分�����,可能導致不可接受的風險����。醫(yī)療器械中可能存在著與預期用途無關的配置���,如某些非醫(yī)療預期用途的賬號���、通信端口�����、共享文件�、服務等���。此類配置可能會成為網(wǎng)絡攻擊者所利用的通道�,從而造成不可接受的風險����,對這些配置予以關閉有利于降低風險發(fā)生的概率。16.對操作者與管理員提供網(wǎng)絡安全指導的能力 SGUD醫(yī)療器械的不當使用可能在醫(yī)療器械網(wǎng)絡安全方面造成不可接受的風險�,對使用者提供產(chǎn)品說明、提供可索取的披露資料����、予以培訓等,均有利于降低使用者操作不當?shù)娘L險�����。健康數(shù)據(jù)的明文存儲有損于產(chǎn)品的保密性���,對數(shù)據(jù)存儲予以加密有利于降低數(shù)據(jù)泄露相關的風險����。值得指出,國家在市場監(jiān)督管理范疇之外��,對商用密碼產(chǎn)品的科研�、生產(chǎn)、銷售���、使用等都有相應的規(guī)定,對商用密碼的使用�����,也應遵守市場監(jiān)督管理范疇之外的法律法規(guī)要求���。健康數(shù)據(jù)的明文傳輸有損于產(chǎn)品的保密性�����,對數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關的風險���。值得指出,國家在市場監(jiān)督管理范疇之外���,對商用密碼產(chǎn)品的科研����、生產(chǎn)、銷售���、使用等都有相應的規(guī)定����,對商用密碼的使用�,也應遵守市場監(jiān)督管理范疇之外的法律法規(guī)要求。19.保障數(shù)據(jù)傳輸完整性的能力 TXIG健康數(shù)據(jù)在傳輸過程中�����,數(shù)據(jù)可能受到無意的信道噪音干擾�����,也有可能受到惡意篡改����,這都可能造成不可接受的風險。采用技術手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性,可以降低此類風險��。注冊申請人可以通過綜合考慮這19項網(wǎng)絡安全能力來提高產(chǎn)品的網(wǎng)絡安全特性�。網(wǎng)絡安全能力與網(wǎng)絡安全特性之間的關系如下:
網(wǎng)絡安全特性 網(wǎng)絡安全能力 | 保密性 | 完整性 | 可得性 | 可靠性 |
|---|
ALOF 自動登出能力 | 2 | 2 | -1 | - |
AUDT審核控制能力 | 1 | 1 | - | 1 |
AUTH 確定用戶權限的能力 | 2 | 2 | -1 | 1 |
CNFS 網(wǎng)絡安全配置能力 | 1 | 1 | 1 | 1 |
CSUP 網(wǎng)絡安全升級能力 | 1 | 1 | 1 | - |
DTBK數(shù)據(jù)備份與災難恢復能力 | - | 1 | 2 | - |
EMRG 緊急訪問隱私數(shù)據(jù)的能力 | - | - | 2 | -1 |
DIDT 健康數(shù)據(jù)去標識化能力 | 2 | - | - | - |
IGAU 數(shù)據(jù)完整性真實性確認能力 | - | 2 | - | 2 |
STCF 存儲保密能力 | 2 | - | - | - |
MLDP 惡意軟件的防止、檢測與清除能力 | 1 | 1 | 1 | - |
NAUT 通信對象��、通信節(jié)點的身份驗證能力 | 1 | - | - | 1 |
PAUT 驗證合法用戶的能力 | 1 | - | - | 2 |
PLOK 物理保護能力 | 1 | 1 | 1 | - |
SGUD 對操作者與管理員提供網(wǎng)絡安全指導的能力 | 1 | 1 | 1 | 1 |
SAHD 系統(tǒng)與應用加固能力 | 1 | 1 | 1 | - |
RDMP 第三方組件管理能力 | - | - | - | - |
TXDF 傳輸保密能力 | 2 | - | - | - |
TXIG 保障數(shù)據(jù)傳輸完整性的能力 | - | 2 | - | - |
注:“2”指可以顯著提高此項網(wǎng)絡安全特性��,“1”指可以提高此項網(wǎng)絡安全特性��,“-”指基本不對此項網(wǎng)絡安全特性產(chǎn)生影響��,“-1”指可以降低此項網(wǎng)絡安全特性���。
(三)網(wǎng)絡安全的上市后監(jiān)管
1.網(wǎng)絡安全事件4
網(wǎng)絡安全事件分為有害程序事件、網(wǎng)絡攻擊事件����、信息破壞事件、信息內(nèi)容安全事件�、設備設施故障、災害性事件和其他網(wǎng)絡安全事件等�。網(wǎng)絡安全事件可能會造成醫(yī)療器械系統(tǒng)不能訪問、醫(yī)療數(shù)據(jù)泄露或者篡改���,進而有可能導致病人受到嚴重傷害或死亡或病人的健康數(shù)據(jù)泄漏��。
2.網(wǎng)絡安全事件的處置
醫(yī)療器械注冊人應建立產(chǎn)品上市后的網(wǎng)絡安全事件處置流程��。網(wǎng)絡安全事件發(fā)生后���,醫(yī)療器械注冊人應能夠及時有效地處理和管理安全事件����,通常包括以下措施:
應收集并確認受網(wǎng)絡安全事故影響的客戶����,識別網(wǎng)絡安全事件對相關系統(tǒng)帶來的風險;
應快速采取應急對策�����,例如:告知客戶斷開網(wǎng)絡連接�,提供臨時解決方案恢復系統(tǒng)至正常工作狀態(tài)等;
應對網(wǎng)絡安全事件的做出詳細的風險分析和評估����;
應提供經(jīng)過驗證和確認的解決措施,并告知客戶相關的更新信息�����。
注冊申請人應建立相應的組織以確保網(wǎng)絡安全事件處置流程得以實施。
3.網(wǎng)絡安全事件上報
當下列網(wǎng)絡安全事件發(fā)生���,醫(yī)療器械注冊人應及時報送信息給監(jiān)管部門:
——病人受到嚴重傷害或者死亡�;
——醫(yī)療器械注冊人提供的大量醫(yī)療器械系統(tǒng)不能訪問��;
——大量的病人健康數(shù)據(jù)泄露��。
若涉及到病人受到嚴重傷害或者死亡的網(wǎng)絡安全事件����,醫(yī)療器械注冊人應按照醫(yī)療器械不良事件的相關規(guī)定上報。
4.涉及召回的網(wǎng)絡安全事件應按照醫(yī)療器械召回的相關法規(guī)處理���。
5.網(wǎng)絡安全更新的管理
網(wǎng)絡安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
——重大網(wǎng)絡安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡安全更新;——輕微網(wǎng)絡安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡安全更新��,如常規(guī)安全補丁���。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡安全更新����,應進行許可事項變更;而發(fā)生輕微網(wǎng)絡安全更新��,注冊人應通過質量管理體系進行控制���,無需進行注冊變更��,待到下次注冊(注冊變更和延續(xù)注冊)時提交相應注冊申報資料�。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡安全更新�����,遵循風險從高原則應進行許可事項變更����。
涉及召回的網(wǎng)絡安全更新應按照醫(yī)療器械召回的相關法規(guī)處理,不屬于本指導原則討論范圍��。
軟件版本命名規(guī)則應考慮網(wǎng)絡安全更新的情況�。
注冊申請人在提交注冊申報資料時,應根據(jù)醫(yī)療器械網(wǎng)絡安全的具體情況提交網(wǎng)絡安全描述文檔或常規(guī)安全補丁描述文檔�。網(wǎng)絡安全描述文檔適用于產(chǎn)品注冊、重大網(wǎng)絡安全更新����,常規(guī)安全補丁描述文檔適用于輕微網(wǎng)絡安全更新���。
四、 網(wǎng)絡安全注冊資料
注冊申請人應當結合醫(yī)療器械產(chǎn)品的預期用途���、使用環(huán)境和核心功能以及預期相連設備或系統(tǒng)(如其它醫(yī)療器械�、信息技術設備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡安全特性���,提交網(wǎng)絡安全描述文檔�����。網(wǎng)絡安全描述文檔應描述醫(yī)療器械的基本信息���、風險管理、驗證與確認和維護計劃���。
(一) 基本信息
應描述醫(yī)療器械產(chǎn)品網(wǎng)絡安全相關的基本信息��,這些信息包括:
1.醫(yī)療器械傳輸,存儲和處理的信息描述�;
2.以上信息的類型:健康數(shù)據(jù)、設備數(shù)據(jù)����;
3.以上信息交換的方向(單向�����、雙向)��;
4.以上信息是否用于遠程控制(實時�、非實時)����;
5.以上信息的用途:如臨床應用、設備維護等��;
6.以上信息的交換方式:網(wǎng)絡(無線網(wǎng)絡���、有線網(wǎng)絡)及要求(如傳輸協(xié)議(標準�����、自定義)�、接口����、帶寬等)��,存儲媒介(如光盤�����、移動硬盤���、U盤等)及要求(如存儲格式(標準、自定義)�、容量等);對于專用無線設備(非通用信息技術設備)���,還應提交符合無線電管理規(guī)定的證明材料����;如涉及個人敏感數(shù)據(jù)��,應明確個人敏感數(shù)據(jù)的儲存和傳輸方式���;
7.醫(yī)療器械包含的安全軟件:描述安全軟件(如殺毒軟件�����、防火墻等)的名稱�、型號規(guī)格����、完整版本、供應商����、運行環(huán)境要求;
8.醫(yī)療器械包含的現(xiàn)成軟件:描述現(xiàn)成軟件(包括應用軟件�、系統(tǒng)軟件、支持軟件)的名稱�����、型號規(guī)格���、完整版本和供應商��。
(二)風險管理
1.網(wǎng)絡安全風險管理概述
網(wǎng)絡安全風險管理是指注冊申請人基于醫(yī)療器械產(chǎn)品的預期用途和使用場景進行網(wǎng)絡安全風險分析��,評價并采取網(wǎng)絡安全風險控制手段確保產(chǎn)品的網(wǎng)絡安全能力�����。注冊申請人可對網(wǎng)絡安全采用醫(yī)療器械風險管理的方法(可參照《YY/T 0316 醫(yī)療器械 風險管理對醫(yī)療器械的應用》)對產(chǎn)品網(wǎng)絡安全相關的風險進行分析�、評價和控制,也可采用信息安全網(wǎng)絡安全風險評估的方法(可參照《GB/T20984 信息安全技術 信息安全風險評估規(guī)范》)進行評估�,并進行風險控制。
如適用���,醫(yī)療器械網(wǎng)絡安全風險管理應考慮對個人敏感信息的保護�。對個人信息的處理���,應遵循個人信息安全基本原則5和相關的法律法規(guī)��。如有必要�,應對個人信息進行匿名化或去標識化處理����。
風險管理除了從網(wǎng)絡安全角度來考慮產(chǎn)品的網(wǎng)絡安全能力外,還應當根據(jù)醫(yī)療器械的預期用途考慮網(wǎng)絡安全風險對醫(yī)療器械的安全性和有效性的影響����。
醫(yī)療器械產(chǎn)品網(wǎng)絡安全風險管理需要考慮醫(yī)療器械產(chǎn)品整個產(chǎn)品生命周期并作適時更新。注冊申請人應對網(wǎng)絡安全管理活動進行策劃并制定網(wǎng)絡安全風險可接受性準則�����。注冊申請人應考慮網(wǎng)絡安全損害的嚴重度和網(wǎng)絡安全損害的發(fā)生概率并按照接受性準則決定是否需要降低風險。
a��、網(wǎng)絡安全損害的嚴重度�,例如:
等級名稱 | 代碼 | 網(wǎng)絡安全損害的嚴重度 |
輕度 | 1 | 例如:輕微傷或者無須處理,少量設備數(shù)據(jù)泄露… |
中度 | 2 | 例如:中等人身傷害需要專業(yè)醫(yī)治����,有限的設備數(shù)據(jù)泄露… |
嚴重 | 3 | 例如:一人重傷或者死亡���,有限的病人數(shù)據(jù)泄露… |
災難 | 4 | 例如:多人重傷或者死亡�����,大規(guī)模病人數(shù)據(jù)泄露… |
b��、網(wǎng)絡安全損害的發(fā)生概率���,例如:
等級名稱 | 代碼 | 網(wǎng)絡安全損害的發(fā)生概率 |
極少 | 1 | <10-3 |
非常少 | 2 | 10-2-10-3 |
偶爾 | 3 | 10-1 - 10 -2 |
有時 | 4 | 1 - 10-1 |
經(jīng)常 | 5 | >1 |
注:發(fā)生概率應和醫(yī)療器械具體情況相適應根據(jù)風險評價結果需要降低風險時,注冊申請人應當識別適當?shù)娘L險控制措施�����,以把風險降低到可接受的水平�����。
風險分析、評價和風險控制措施記錄表舉例
漏洞 | 威脅 | 描述 | 技術風險 |
系統(tǒng)設計���,實施或操作和管理中的一系列條件�����,使其易受影響 | 有可能造成不良后果的來源����?����?梢允亲饔梦?���,人,事件或事物��,動機可以是有意的或無意的 | 原因�,影響因素 描述風險場景,漏洞和緩解因素=漏洞+可利用性 | 初始風險 | 緩解措施 | 剩余技術風險 |
漏洞編號 | 漏洞描述 | 威脅描述 | 風險狀況 | 可能性 | 影響 | 風險 | 緩解措施 | 緩解措施編號 | 可能性 | 影響 | 風險 |
|
|
|
|
|
|
|
|
|
|
|
|
風險評估矩陣模型舉例
a���、 初始風險分布
概率 | 嚴重度 | 總計 |
|---|
4 | 3 | 2 | 1 |
|
|---|
災難 | 嚴重 | 中度 | 輕度 |
|
|---|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時 | 4 | 1 | 0 | 2 | 2 | 5 |
偶爾 | 3 | 0 | 2 | 4 | 1 | 7 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 2 | 0 | 2 | 1 | 5 |
總計 |
| 3 | 2 | 8 | 7 | 20 |
b���、 措施后風險分布
概率 | 嚴重度 | 總計 |
4 | 3 | 2 | 1 |
|
災難 | 嚴重 | 中度 | 輕度 |
|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時 | 4 | 0 | 0 | 0 | 1 | 1 |
偶爾 | 3 | 0 | 1 | 2 | 1 | 4 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 0 | 0 | 2 | 1 | 3 |
總計 |
| 0 | 1 | 4 | 6 | 11 |
注冊申請人應形成網(wǎng)絡安全風險管理報告�����,并完成風險管理過程的評審����,確認綜合剩余風險是可接受的����。注冊人要持續(xù)關注產(chǎn)品上市后與產(chǎn)品相關的網(wǎng)絡安全風險��,根據(jù)實際情況適時更新風險分析�、評價和控制文件,如法規(guī)更新��、不良事件報告等�����。網(wǎng)絡安全驗證和確認活動的目的是確定風險管理中采用的網(wǎng)絡安全控制手段均已得到正確的實施����,從而確保醫(yī)療器械產(chǎn)品的網(wǎng)絡安全需求(如保密性���、完整性、可得性等特性)均已得到滿足��。對于現(xiàn)成軟件�����,注冊申請人應當在網(wǎng)絡安全風險分析過程中將其作為產(chǎn)品的一部分進行充分的網(wǎng)絡安全評估��,并在產(chǎn)品的網(wǎng)絡安全能力配置中予以綜合考慮����。注冊申請人應當在醫(yī)療器械產(chǎn)品研制的全生命周期過程中進行網(wǎng)絡安全的驗證與確認活動,通過分析�、測試、評估����、審查等手段,確保醫(yī)療器械產(chǎn)品的網(wǎng)絡安全需求得到滿足�。網(wǎng)絡安全驗證與確認活動可以參考附錄中的19項網(wǎng)絡安全能力評價準則。A)應當確保在醫(yī)療器械產(chǎn)品的需求���、設計���、測試以及風險管理各個階段考慮并落實網(wǎng)絡安全需求����,并且保證網(wǎng)絡安全需求規(guī)范����、設計規(guī)范、測試以及風險管理的一致性和完整性��。B)應當針對醫(yī)療器械產(chǎn)品進行網(wǎng)絡安全測試驗證����,確保所有網(wǎng)絡安全風險控制措施都得到正確的實施�。a)應對網(wǎng)絡安全測試活動進行合理的策劃,包括確定測試的內(nèi)容(包括產(chǎn)品需求中要求配置的網(wǎng)絡安全能力)���、測試人員和相應的職責���、測試所需的環(huán)境、測試的技術和方法(如漏洞測試�����、惡意軟件測試、缺陷輸入測試��、結構化滲透測試)����、異常處理方式、測試通過的準則����、測試所需的資源以及測試進度安排等。b)應根據(jù)測試計劃的安排仔細設計測試用例��,并按照測試用例的要求執(zhí)行測試活動�����,如實記錄原始測試結果�,確保測試過程的可追溯性。對于安全軟件�����,注冊申請人應當針對不同的軟件����、硬件運行平臺�,進行兼容性測試�;如果產(chǎn)品采用標準傳輸協(xié)議或存儲格式,應當進行審查或測試驗證其對相關標準的符合性����;如果產(chǎn)品采用自定義的傳輸協(xié)議和存儲格式,應當進行完整性測試驗證����。c) 應對測試結果進行仔細的分析和評價,確保測試活動的有效性����,并對測試遺留的問題進行評價。
(3)驗證與確認記錄
注冊申請人應當將醫(yī)療器械網(wǎng)絡安全驗證與確認活動的結果以文檔的方式進行記錄����,確保網(wǎng)絡安全驗證與確認活動的可追溯性�����。
1)應當以文檔的形式記錄醫(yī)療器械網(wǎng)絡安全需求規(guī)范��、設計規(guī)范、測試以及風險管理的追溯性關系��。2)應當對網(wǎng)絡安全測試策劃活動進行記錄并形成網(wǎng)絡安全測試計劃文檔�����。3)應當對網(wǎng)絡安全測試執(zhí)行過程���、測試結果以及測試結果的分析評估進行記錄�,形成網(wǎng)絡安全測試報告���。4)對于安全軟件�,注冊申請人應將兼容性測試結果進行單獨文檔記錄���,并形成兼容性測試報告���。5)對于采用標準傳輸協(xié)議或存儲格式的產(chǎn)品,注冊申請人應當記錄標準符合性審查結果��;對于采用自定義的傳輸協(xié)議和存儲格式的產(chǎn)品�,注冊申請人應當對完整性測試結果進行記錄并形成完整性測試報告。6)可以對實時遠程程控功能的產(chǎn)品中關于遠程數(shù)據(jù)相關的測試進行單獨的文檔記錄,并形成相應的完整性和可得性測試報告����。在醫(yī)療器械產(chǎn)品上市后,注冊人應結合自身質量管理體系要求��,制定網(wǎng)絡安全維護流程�,保證醫(yī)療器械產(chǎn)品的安全性和有效性。1)監(jiān)控網(wǎng)絡安全信息源(包括第三方軟件組件)以識別和檢測網(wǎng)絡漏洞�;2)了解、檢測可能發(fā)生的漏洞����,評估其風險影響;3)與設備的安全和基本性能有關的網(wǎng)絡安全問題��,特別是網(wǎng)絡安全事件相關的問題��,重點分析其風險和影響����,制定減輕策略,使得醫(yī)療器械產(chǎn)品及時得到保護和恢復���;4)用于修補漏洞的軟件更新和補丁程序,需要進行驗證和確認,包括第三方軟件組件的漏洞修復(例如��,操作系統(tǒng)���,安全軟件等)�;5)盡早地部署軟件網(wǎng)絡安全更新程序至客戶站點�����,并告知客戶相關更新內(nèi)容�。有關醫(yī)療器械產(chǎn)品中網(wǎng)絡漏洞的披露和處理,可參閱文獻ISO/IEC 291476和ISO/IEC 301117�����。具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡問題可能不斷變化�,注冊申請人在產(chǎn)品上市前難以解決所有的網(wǎng)絡安全問題。醫(yī)療器械注冊人應對已上市產(chǎn)品進行有效���、及時并持續(xù)地網(wǎng)絡安全更新��。對于已發(fā)現(xiàn)的漏洞���,應分析漏洞的可被利用性,對病人傷害的嚴重程度以及病人信息泄露的可能性,醫(yī)療器械注冊人應決定該漏洞的風險是可控還是處于失控狀態(tài)�,制定相應的解決措施修復該網(wǎng)絡漏洞。與網(wǎng)絡安全事件相關的網(wǎng)絡更新���,需要重點分析其風險和影響�,及時有效地提供經(jīng)驗證的解決方案����。2)第三方軟件(包括操作系統(tǒng)等)的漏洞安全更新�;3)安全軟件(如殺毒軟件等)的病毒掃描引擎的更新。若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡安全設計是不可行的或者不能馬上實施��,注冊人應考慮使用網(wǎng)絡補償控制方案來減輕網(wǎng)絡漏洞風險���。網(wǎng)絡補償控制是在缺乏有效網(wǎng)絡安全設計的前提下�,提供補充性網(wǎng)絡防護措施����。例如注冊申請人對醫(yī)療器械產(chǎn)品的網(wǎng)絡漏洞評估后,認為對設備未被授權的情況下進行訪問極有可能影響設備的安全和基本性能����,但是若該設備沒有連接到外部網(wǎng)絡(例如���,醫(yī)院網(wǎng)絡)或者使用路由器對連接進行限定���,則醫(yī)療器械仍然可以安全有效的工作��。對于預期接入IT-網(wǎng)絡或與其它醫(yī)療器械進行交互的醫(yī)療器械�����,其數(shù)據(jù)交換方式有兩種:網(wǎng)絡(包括有線網(wǎng)絡和無線網(wǎng)絡)或存儲媒介(如光盤���、移動硬盤、U盤等)��。對于數(shù)據(jù)交換的接口���,常見的有線接口如USB�、RS232���、RS485�、CAN�����、RJ45等。近些年���,無線通訊被廣泛使用���,如藍牙、WiFi�、Zigbee、RFID����、各種蜂窩無線網(wǎng)絡等。對于有線接口�����,技術要求中應明確連接接口的規(guī)格���,有線網(wǎng)絡要明確帶寬要求�。對于無線網(wǎng)絡��,應描述網(wǎng)絡類型或制式��、使用頻段、數(shù)據(jù)特性(例如上下行傳輸速率)等����。注冊申請人可以采用已經(jīng)標準化的數(shù)據(jù)傳輸協(xié)議或存儲格式。醫(yī)療器械常用的傳輸協(xié)議如HL7��、DICOM�����,存儲格式如EDF等�。注冊申請人也可以使用通用的網(wǎng)絡傳輸協(xié)議如TCP/IP�、UDP、HTTP����、HTTPS等。注冊申請人在產(chǎn)品技術要求中��,應明確傳輸協(xié)議/存儲格式�。對于已經(jīng)標準化的傳輸協(xié)議或存儲格式除了說明協(xié)議類型之外,還應說明協(xié)議的版本���,如果對設備進行控制���,應說明是否為實時控制�����。對于注冊申請人自定義的數(shù)據(jù)傳輸協(xié)議或存儲格式����,應在隨機文件中描述或在產(chǎn)品技術要求中提供相應的驗證方法���。醫(yī)療器械在執(zhí)行用戶訪問控制之前�,應完成對用戶身份的鑒別或認證�。認證是系統(tǒng)驗證希望訪問系統(tǒng)的用戶身份的過程?��;镜恼J證技術包括數(shù)字簽名���、消息認證、數(shù)字摘要和簡單的身份認證等����。在產(chǎn)品技術要求中醫(yī)療器械注冊申請人應明確醫(yī)療器械所采用的用戶身份簽別技術。用戶訪問控制策略對醫(yī)療器械的保密性����、完整性起直接的作用�,是對越權使用資源的防御措施��,是網(wǎng)絡安全的重要組成部分���。醫(yī)療器械的使用者應依據(jù)訪問控制策略來限制對數(shù)據(jù)和系統(tǒng)功能的訪問�。用戶訪問控制的種類早期分為自主訪問控制(DAC)和強制訪問控制(MAC)����,但隨著計算機和網(wǎng)絡技術的發(fā)展�����,又出現(xiàn)了基于角色的訪問控制(RBAC)��、基于任務的訪問控制(TBAC)�、以及基于屬性、上下文�、信譽等等的訪問控制模型。隨著系統(tǒng)的復雜度變高�����,一個系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術要求中��,醫(yī)療器械注冊申請人應明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法�、用戶類型及權限。預期接入網(wǎng)絡或與其它醫(yī)療器械進行交互的醫(yī)療器械具有更復雜的運行環(huán)境與技術生態(tài)系統(tǒng)�����,例如:復雜的信息與技術基礎設施(例如硬件��、軟件��、網(wǎng)絡��、其他系統(tǒng)和數(shù)據(jù)接口等)����,眾多的參與開發(fā)、實施���、使用所涉及的人員�、組織和服務機構��。預期接入網(wǎng)絡的醫(yī)療器械生命周期不僅包含設計與開發(fā)、也應包含實施與臨床使用���,包括涉及醫(yī)療器械的采購��、安裝���、配置、數(shù)據(jù)集成或遷移�����、工作流實現(xiàn)與優(yōu)化�、培訓、使用與維護����、退市等各種環(huán)節(jié)��。一般情況下��,醫(yī)療器械注冊申請人只涉及醫(yī)療器械的設計與開發(fā)過程�����,而后期的實施與臨床使用等環(huán)節(jié)的網(wǎng)絡安全由另外的組織來負責。注冊申請人雖無法保證整個醫(yī)療器械生命周期的網(wǎng)絡安全�����,但應在說明書或其他文檔中提供在實施與臨床使用環(huán)節(jié)中所需要的必要信息�����,如運行環(huán)境�、接口與訪問控制、安全軟件及軟件更新等�����,以保證在實施與臨床使用環(huán)節(jié)的網(wǎng)絡安全�。如適用,注冊申請人在說明書中應明確醫(yī)療器械的運行環(huán)境�,包括硬件配置、軟件環(huán)境和網(wǎng)絡條件�。硬件配置應明確醫(yī)療器械安全運行所需要的最低硬件資源配置要求,比如CPU�����、內(nèi)存��、存儲與顯示要求等。軟件環(huán)境應明確要求醫(yī)療器械運行所需要的操作系統(tǒng)等�����。網(wǎng)絡條件應明確醫(yī)療器械運行所需要的網(wǎng)絡類型�、帶寬等。如適用�,注冊申請人在說明書中應描述接口與訪問控制,以滿足醫(yī)療器械實施與臨床使用過程中的要求�����。對于接口的描述����,應能夠滿足醫(yī)療器械與網(wǎng)絡、或其它設備的安全連接����。對于訪問控制的描述���,應能指導使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中��。在資源允許的情況下�����,醫(yī)療器械可使用一些安全軟件來提高產(chǎn)品的網(wǎng)絡安全特性��。這些安全軟件包括但不限于防火墻���、殺毒軟件�����、反流氓軟件��、工具軟件等�����。如適用�,注冊申請人應在說明書中明確這些軟件的名稱�、版本等信息。如適用����,注冊申請人應在說明書中明確軟件環(huán)境與安全軟件的更新需求,更新的來源�、執(zhí)行的步驟等�����。
附錄
19項網(wǎng)絡安全能力評價準則
1.自動登出能力(Automatic logoff–ALOF)注冊申請人應考慮����,未授權的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù)�����,授權用戶會話需要在預先設置的一段時間后自動終止或鎖定�����;自動注銷需要包括清除所有顯示器上的健康數(shù)據(jù)�;本地授權的IT管理員需要能夠禁用該功能并設置過期時間(包括屏幕保護程序);當短時間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時����,可以調用此對健康數(shù)據(jù)顯示清除;臨床用戶不應因自動下線而丟失未提交的工作�����,這是可取的���。應根據(jù)器械的預期用途�����、使用方式和風險評估綜合考慮此項能力的驗證���。2.審核控制能力(Audit controls–AUDT)注冊申請人應考慮,通過在設備上創(chuàng)建審計跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)訪問�����、修改或刪除�����,從而記錄和檢查系統(tǒng)活動的能力����。支持將日志記錄信息作為獨立存儲庫(在其自己的文件系統(tǒng)中記錄審計文件)使用。使用適當?shù)膶徲媽彶楣ぞ咧С謱徲媱?chuàng)建和維護����,確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下),并確保無法編輯或刪除審計數(shù)據(jù)��。審計數(shù)據(jù)可能包含個人數(shù)據(jù)和/或健康數(shù)據(jù),所有處理(例如存取���、儲存和轉移)都應該有適當?shù)目刂?�。應根?jù)器械的預期用途�����、使用方式和風險評估綜合考慮此項能力的驗證�����。3.確定用戶權限的能力(Authorization–AUTH)注冊申請人應基于經(jīng)過身份驗證的單個用戶進行標識���,授權功能允許每個用戶僅有訪問已批準的數(shù)據(jù)權利,并僅在設備上執(zhí)行已批準的功能����。授權用戶包括注冊申請人安全控制人員和該策略定義的服務人員。醫(yī)療器械通常支持基于許可的系統(tǒng)��,提供對注冊申請人安全控制人員中個人角色(基于角色的訪問控制)適當?shù)南到y(tǒng)功能和數(shù)據(jù)的訪問�����。例如:1)操作者可使用所有適當?shù)脑O備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作。2)質量人員(如醫(yī)學物理學家)可以從事所有適當?shù)馁|量和保證測試活動�。3)服務人員可以以支持預防性維護�����、問題調查和問題消除活動的方式訪問系統(tǒng)�����。4)授權允許注冊申請人在有效交付醫(yī)療保健機構的同時:①維護系統(tǒng)和數(shù)據(jù)安全�����;②遵循適當?shù)臄?shù)據(jù)訪問最小化原則�。授權可以在本地或注冊申請人范圍內(nèi)管理(例如通過集中目錄)。注:如果預期使用不允許登錄和注銷設備所需的時間(例如高吞吐量使用)�,則本地IT策略可以允許減少授權控制,假定受控制和受限制的物理訪問是否足夠��。應根據(jù)器械預期用途����、使用方式和風險評估綜合考慮此項能力的驗證。4.網(wǎng)絡安全配置能力(Configuration of security features–CNFS)注冊申請人應考慮����,本地授權的IT管理員能夠選擇使用產(chǎn)品安全功能還是不使用產(chǎn)品安全功能�。這需要考慮網(wǎng)絡安全風險評估內(nèi)容���,可以包括與安全能力控制交互的特權管理方面����。應根據(jù)器械的預期用途���、使用方式和風險評估綜合考慮此項能力的驗證����。5.網(wǎng)絡安全升級能力(Cyber security product upgrades–CSUP)注冊申請人應按照規(guī)定�����,盡快在醫(yī)療產(chǎn)品上安裝第三方安全補丁: 根據(jù)客觀的�、權威的、文檔化的漏洞風險評估�����,優(yōu)先考慮解決高風險漏洞的補丁。要求醫(yī)療產(chǎn)品供應商和醫(yī)療服務提供商確保其產(chǎn)品持續(xù)安全和有效的臨床功能��。了解本地醫(yī)療器械法規(guī)�。進行充分的測試,以發(fā)現(xiàn)對醫(yī)療產(chǎn)品(性能或功能)可能危及患者的任何意外副作用�����。注冊申請人需要提供關于評估/驗證補丁的主動信息����。應根據(jù)器械的預期用途��、使用方式和風險評估綜合考慮此項能力的驗證��。6.健康數(shù)據(jù)去標識化能力(HEALTH DATA de-identification–DIDT)注冊申請人應考慮���,臨床用戶��、服務工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數(shù)據(jù)�。應根據(jù)器械的預期用途��、使用方式和風險評估綜合考慮此項能力的驗證�。7.數(shù)據(jù)備份與災難恢復能力(Data backup and disaster recovery–DTBK)注冊申請人應合理保證在系統(tǒng)故障或損壞后,可以恢復存儲在產(chǎn)品上的持久保存的系統(tǒng)設置和敏感數(shù)據(jù),以便業(yè)務能夠繼續(xù)進行�。特別需要注意的是,這一要求可能不適用于較小的低成本設備��。這實際上可能依賴于在下一個采集周期中收集新的相關數(shù)據(jù)的能力(例如由于偶爾的無線信號丟失而丟失的短時心率數(shù)據(jù))��。應根據(jù)器械的預期用途�、使用方式和風險評估綜合考慮此項能力的驗證。8.緊急訪問隱私數(shù)據(jù)的能力(Emergency access–EMRG)注冊申請人應考慮���,在緊急情況下�,臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數(shù)據(jù)(break-glass功能)����。應檢測、記錄和報告應急通道���。理想情況下�,包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務人員(除了審計記錄之外)�。緊急訪問需要在輸入時要求并記錄自認證用戶標識(無需身份驗證)。注冊申請人可以通過使用特定用戶帳戶或系統(tǒng)功能的過程方法來解決這個問題�。管理員需要能夠啟用/禁用依賴于技術或過程控制的產(chǎn)品提供的任何緊急功能。應根據(jù)器械的預期用途�����、使用方式和風險評估綜合考慮此項能力的驗證。9.數(shù)據(jù)完整性真實性確認能力(HEALTH DATA integrity and authenticity–IGAU)注冊申請人可以通過使用包括固定介質和可移動介質�,來確保健康數(shù)據(jù)是可靠的,不會被篡改����。應根據(jù)器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證�����。10.惡意軟件的防止��、檢測與清除能力(Malware detection/protection–MLDP)注冊申請人應考慮�,產(chǎn)品支持法規(guī)和用戶需求�,以確保有效和統(tǒng)一的支持,可以預防�、檢測和刪除惡意軟件。防止惡意軟件���,對應用程序及時進行軟件更新����,關注惡意軟件模式,及時對當前操作環(huán)境���、系統(tǒng)�����、數(shù)據(jù)文件和應用程序進行補丁更新�����。并經(jīng)常需要對設備運行更新后進行驗證測試�,以確保持續(xù)使用和安全����。注冊申請人需要檢測傳統(tǒng)的惡意軟件以及可能干擾設備/系統(tǒng)正常運行的未授權軟件的影響,并提供詳細的測試結果�����。應根據(jù)器械的預期用途���、使用方式和風險評估綜合考慮此項能力的驗證與確認�。11.通信對象��、通信節(jié)點的身份驗證能力(Node authentication–NAUT)注冊申請人應能夠以一種方式管理跨機器的賬戶,以保護健康數(shù)據(jù)訪問����。支持獨立管理和集中管理。支持根據(jù)行業(yè)標準進行節(jié)點認證���。檢測和防止實體偽造(提供不可抵賴性)��。應根據(jù)器械的預期用途����、使用方式和風險評估綜合考慮此項能力的驗證與確認�����。12.驗證合法用戶的能力(Person authentication–PAUT)注冊申請人在為控制和監(jiān)視網(wǎng)絡訪問和活動的網(wǎng)絡連接設備創(chuàng)建和使用用戶的唯一賬戶和基于角色的訪問控制(RBAC��、本地和遠程)���。以一種方式管理賬戶以保護健康數(shù)據(jù)訪問的能力。用戶可能需要將個人首選項與用戶賬戶關聯(lián)�����。這可能有助于多個運營商、部門甚至多個使用的設備和系統(tǒng)�。支持獨立和中央管理。單點登錄和所有工作地點的密碼相同�����?����?刂茖υO備�、網(wǎng)絡資源和健康數(shù)據(jù)的訪問,并生成不可否認的審計跟蹤����,發(fā)現(xiàn)和防止人員造假(提供不可抵賴性)。注意���,這個要求在臨床中緊急訪問操作期間是放松的�����。應根據(jù)器械的預期用途�、使用方式和風險評估綜合考慮此項能力的驗證與確認�。13.物理保護能力(Physical locks on device–PLOK)注冊申請人應合理保證儲存在產(chǎn)品或媒體上的健康數(shù)據(jù)是和保持安全的方式與設備上數(shù)據(jù)記錄的靈敏度和容量成比例�����。系統(tǒng)合理地避免了可能危及完整性��、保密性或可用性的篡改或組件刪除���。篡改(包括設備移除)是可以檢測到的。應根據(jù)器械的預期用途���、使用方式和風險評估綜合考慮此項能力的驗證與確認�����。14.第三方組件管理能力(Third-party components in product lifecycle roadmaps–RDMP)注冊申請人應對醫(yī)療器械提供明確的預期壽命說明����,并對提供第三方組件的服務商對其產(chǎn)品生命周期內(nèi)維護或支持相應的系統(tǒng)進行要求���。當平臺組件過時的情況下,需要及時進行更新和升級����。在存儲設備退役(丟棄���、重用、轉售或回收)之前���,服務提供商需不可逆地擦除健康數(shù)據(jù)���。這些活動應該被記錄和審計。銷售和服務人員應了解對每個產(chǎn)品在其生命周期中提供的安全支持����。應根據(jù)器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認��。15.系統(tǒng)與應用加固能力(System and application hardening–SAHD)注冊申請人應給用戶提供一個穩(wěn)定的系統(tǒng)��,并且只提供那些根據(jù)其預期用途而指定和需要的服務�����,同時進行最少的維護活動��。并且要求連接到它們的網(wǎng)絡的系統(tǒng)在交付時是安全的����,加強了對誤用和攻擊的抵御能力���。注冊申請人應將用戶反饋的用戶設備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風險分析和管理進行漏洞的修復����,并及時更新提交。應根據(jù)器械的預期用途����、使用方式和風險評估綜合考慮此項能力的驗證與確認。16.對操作者與管理員提供網(wǎng)絡安全指導的能力(Security guides–SGUD)注冊申請人應讓操作人員清楚地了解自己的職責和安全的系統(tǒng)工作方式�。管理員需要關于管理、定制和監(jiān)視系統(tǒng)的信息(即訪問控制列表���、審計日志等)�。管理員需要清楚地了解安全功能����,以便根據(jù)適當?shù)姆ㄒ?guī)要求進行健康數(shù)據(jù)風險評估。銷售和服務應包括系統(tǒng)的安全能力和安全工作方式的信息���。用戶應知道如何以及何時將用戶設備中可能存在的安全漏洞和察覺到的弱點通知注冊人����。應根據(jù)器械的預期用途�、使用方式和風險評估綜合考慮此項能力的驗證與確認。17.存儲保密能力(HEALTH DATA storage confidentiality–STCF)注冊申請人應合理保證儲存在產(chǎn)品或媒體上的健康數(shù)據(jù)是保持安全的����。基于風險分析��,必須考慮對存儲在醫(yī)療器械上的健康數(shù)據(jù)進行加密����。對于存儲在可移動介質上的健康數(shù)據(jù),加密可以保護臨床用戶����、提供服務和收集臨床數(shù)據(jù)的應用程序工程師的機密性/完整性。應使用一種與傳統(tǒng)使用��、服務訪問����、緊急訪問一致的加密密鑰管理機制。加密方法和強度考慮了數(shù)據(jù)的容量(記錄收集/聚合的程度)和靈敏度����。應根據(jù)器械的預期用途��、使用方式和風險評估綜合考慮此項能力的驗證與確認�。18.傳輸保密能力(Transmission confidentiality–TXCF)注冊申請人應確保在經(jīng)過身份驗證的節(jié)點之間傳輸期間保持健康數(shù)據(jù)機密性�����。這允許在相對開放的網(wǎng)絡和/或環(huán)境中傳輸健康數(shù)據(jù)�,在這些環(huán)境中使用用于健康數(shù)據(jù)完整性和保密性的強大保密策略(詳見:IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks)。應根據(jù)器械的預期用途����、使用方式和風險評估綜合考慮此項能力的驗證與確認。19.保障數(shù)據(jù)傳輸完整性的能力(Transmission integrity–TXIG)注冊申請人應提供確保傳輸過程中考慮風險分析后健康數(shù)據(jù)的完整性測試的結果���,這允許注冊申請人在相對開放的網(wǎng)絡或環(huán)境中傳輸健康數(shù)據(jù)�,需使用健康數(shù)據(jù)完整性強策略���。應根據(jù)器械的預期用途�����、使用方式和風險評估綜合考慮此項能力的驗證與確認�。
參考文獻:
1)《醫(yī)療器械軟件注冊技術審查指導原則》(原國家食品藥品監(jiān)督管理總局2015年第50號通告)
2)《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》(原國家食品藥品監(jiān)督管理總局2017年第13號通告)
3)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(中華人民共和國國務院令第147號)
4)中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡安全事件應急預案》(中網(wǎng)辦發(fā)文〔2017〕4號)
5)GB/T 29246-2012信息安全技術 信息安全管理體系概述和詞匯
6)GB/T 20984-2015 信息安全技術 信息安全風險評估規(guī)范
7)GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求
8)GB/T 25070-2019信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求
9)GB/T 28448-2019信息安全技術 網(wǎng)絡安全等級保護測評要求
10)YY/T 0316-2016 醫(yī)療器械 風險管理對醫(yī)療器械的應用
11)IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡的風險管理應用.第2-2部分 醫(yī)療器械安全
12)ISO/IEC 27035 Information technology - Security techniques - Information security incident management
13)ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14)ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15)ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
16)ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
17)ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
18)ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
19)ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
20)ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21)IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22)IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
23)HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security