今日����,器審中心發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)審查指導(dǎo)原則(第二版)征求意見稿》,全文如下:
醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)審查指導(dǎo)原則(第二版)征求意見稿
目錄
前言
一�����、適用范圍
二��、網(wǎng)絡(luò)安全基礎(chǔ)
(一)網(wǎng)絡(luò)安全基本概念
(二)網(wǎng)絡(luò)安全能力
(三)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)
(四)網(wǎng)絡(luò)安全更新
三、基本原則
(一)網(wǎng)絡(luò)安全定位
(二)風(fēng)險(xiǎn)導(dǎo)向
(三)全生命周期管理
四�、網(wǎng)絡(luò)安全生存周期過程
五、技術(shù)考量
(一)現(xiàn)成軟件
(二)醫(yī)療數(shù)據(jù)出境
(三)遠(yuǎn)程維護(hù)
(四)陳舊設(shè)備
六��、網(wǎng)絡(luò)安全研究資料
(一)自研軟件網(wǎng)絡(luò)安全研究報(bào)告
(二)自研軟件網(wǎng)絡(luò)安全更新研究報(bào)告
(三)現(xiàn)成軟件網(wǎng)絡(luò)安全研究資料
七����、注冊申報(bào)資料說明
(一)產(chǎn)品注冊
(二)許可事項(xiàng)變更
(三)延續(xù)注冊
八、參考文獻(xiàn)
醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)審查指導(dǎo)原則
(第二版)
本指導(dǎo)原則旨在指導(dǎo)注冊人規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全生存周期過程和準(zhǔn)備醫(yī)療器械網(wǎng)絡(luò)安全注冊申報(bào)資料���,同時(shí)規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評要求��,為醫(yī)療器械軟件和質(zhì)量管理軟件的體系核查提供參考��。
本指導(dǎo)原則是對醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求�,注冊人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報(bào)資料�����,判斷指導(dǎo)原則中的具體內(nèi)容是否適用����,不適用內(nèi)容詳述理由。注冊人也可采用其他滿足法規(guī)要求的替代方法�,但應(yīng)提供詳盡的研究資料����。
本指導(dǎo)原則基于當(dāng)前認(rèn)知水平和技術(shù)能力����,在現(xiàn)行法規(guī)體系下參考國外法規(guī)與指南、國際標(biāo)準(zhǔn)與技術(shù)報(bào)告予以制定����。隨著認(rèn)知水平和技術(shù)能力的不斷提高以及法規(guī)體系的不斷完善,相關(guān)內(nèi)容也將適時(shí)修訂����。
本指導(dǎo)原則作為注冊人、審評人員和檢查人員的指導(dǎo)性文件���,不包括審評審批所涉及的行政事項(xiàng),亦不作為法規(guī)強(qiáng)制執(zhí)行�����,應(yīng)在符合法規(guī)要求的前提下使用本指導(dǎo)原則����。
本指導(dǎo)原則作為《醫(yī)療器械軟件技術(shù)審查指導(dǎo)原則》(以下簡稱軟件指導(dǎo)原則)的補(bǔ)充���,應(yīng)結(jié)合軟件指導(dǎo)原則相關(guān)要求使用。本指導(dǎo)原則是醫(yī)療器械網(wǎng)絡(luò)安全的通用指導(dǎo)原則����,其他涉及網(wǎng)絡(luò)安全的醫(yī)療器械產(chǎn)品指導(dǎo)原則可在本指導(dǎo)原則基礎(chǔ)上進(jìn)行有針對性的調(diào)整、修改和完善�。
一、適用范圍
本指導(dǎo)原則適用于醫(yī)療器械網(wǎng)絡(luò)安全的注冊申報(bào)�,包括具備電子數(shù)據(jù)交換、遠(yuǎn)程控制或用戶訪問功能的第二���、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械���。
其中,網(wǎng)絡(luò)包括無線��、有線網(wǎng)絡(luò)����,電子數(shù)據(jù)交換包括基于網(wǎng)絡(luò)、存儲媒介的單向���、雙向數(shù)據(jù)傳輸���,遠(yuǎn)程控制包括基于網(wǎng)絡(luò)的實(shí)時(shí)����、非實(shí)時(shí)控制���,用戶訪問包括基于軟件用戶界面(含獨(dú)立軟件�、軟件組件)��、電子接口(含網(wǎng)絡(luò)接口����、電子數(shù)據(jù)交換接口)的人機(jī)交互方式。
二��、網(wǎng)絡(luò)安全基礎(chǔ)
(一)網(wǎng)絡(luò)安全基本概念
1.醫(yī)療器械網(wǎng)絡(luò)安全
醫(yī)療器械網(wǎng)絡(luò)安全是指保護(hù)醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)不受未授權(quán)活動(dòng)影響的狀態(tài)�,其保密性(Confidentiality)、完整性(Integrity)���、可得性(Availability)[1]相關(guān)風(fēng)險(xiǎn)在全生命周期均處于可接受水平。
其中��,保密性是指信息不被未授權(quán)實(shí)體(含個(gè)人���、組織)獲得或知悉的特性����,即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪問和使用。完整性是指信息的創(chuàng)建��、傳輸�����、存儲�����、顯示未以非授權(quán)方式進(jìn)行更改(含刪除���、添加)的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的�����,且未被篡改��。可得性是指信息可根據(jù)授權(quán)實(shí)體要求進(jìn)行訪問和使用的特性��,即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問和使用��。
除保密性�����、完整性�����、可得性三個(gè)基本特性外��,醫(yī)療器械網(wǎng)絡(luò)安全還包括真實(shí)性(Authenticity)��、抗抵賴性(Non-Repudiation)��、可核查性(Accountability)、可靠性(Reliability)等特性�。其中��,真實(shí)性是指實(shí)體符合其所聲稱的特性�����,抗抵賴性是指實(shí)體可證明所聲稱事件或活動(dòng)的發(fā)生及其發(fā)起實(shí)體的特性�,可核查性是指實(shí)體的活動(dòng)及結(jié)果可被追溯的特性�,可靠性是指實(shí)體的活動(dòng)及結(jié)果與預(yù)期保持一致的特性。
保密性����、完整性、可得性等網(wǎng)絡(luò)安全特性是相互制約的關(guān)系�,某一特性的能力提升會使得另一特性或多個(gè)特性的能力下降,例如可得性的提升通常會降低保密性和完整性�,因此需要基于產(chǎn)品特性進(jìn)行平衡兼顧�����。注冊人應(yīng)結(jié)合醫(yī)療器械的預(yù)期用途���、使用場景����、核心功能進(jìn)行綜合考量,從而確定醫(yī)療器械網(wǎng)絡(luò)安全特性的具體要求�����。
此外�,盡管信息安全、網(wǎng)絡(luò)安全���、數(shù)據(jù)安全的定義和范圍各有側(cè)重����,既有聯(lián)系又有區(qū)別��,不盡相同��,但是本指導(dǎo)原則從醫(yī)療器械軟件角度出發(fā)不做嚴(yán)格區(qū)分����,統(tǒng)一采用網(wǎng)絡(luò)安全進(jìn)行描述,即從網(wǎng)絡(luò)安全角度綜合考慮醫(yī)療器械的信息安全和數(shù)據(jù)安全���。
2.醫(yī)療器械相關(guān)數(shù)據(jù)
醫(yī)療器械相關(guān)數(shù)據(jù)可分為醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù)��。
(1)醫(yī)療數(shù)據(jù)是指醫(yī)療器械所使用的��、產(chǎn)生的與醫(yī)療活動(dòng)相關(guān)的數(shù)據(jù)(含日志)��,從個(gè)人信息保護(hù)角度又可分為敏感醫(yī)療數(shù)據(jù)��、非敏感醫(yī)療數(shù)據(jù)����,其中敏感醫(yī)療數(shù)據(jù)是指含有個(gè)人信息的醫(yī)療數(shù)據(jù)����,反之即為非敏感醫(yī)療數(shù)據(jù)。個(gè)人信息是指能夠單獨(dú)或與其他信息結(jié)合識別特定自然人個(gè)人身份的各種信息����,如自然人的姓名、出生日期����、身份證件號碼、個(gè)人生物識別信息(含容貌信息)�����、住址、電話號碼等����。敏感醫(yī)療數(shù)據(jù)屬于健康數(shù)據(jù),健康數(shù)據(jù)是指標(biāo)明生理��、心理健康狀況的私人數(shù)據(jù)�����,涵蓋醫(yī)療領(lǐng)域�、健康領(lǐng)域。
(2)設(shè)備數(shù)據(jù)是指描述醫(yī)療器械運(yùn)行狀況的數(shù)據(jù)�����,用于監(jiān)視���、控制醫(yī)療器械運(yùn)行或用于醫(yī)療器械的維護(hù)維修�,不應(yīng)含有個(gè)人信息���。
注冊人應(yīng)基于醫(yī)療器械相關(guān)數(shù)據(jù)的類型���、功能���、用途,結(jié)合網(wǎng)絡(luò)安全特性考慮醫(yī)療器械數(shù)據(jù)安全要求����。同時(shí),保證敏感醫(yī)療數(shù)據(jù)所含個(gè)人信息免于泄露�����、濫用和篡改��,以及醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù)的有效隔離�。
3.電子接口
醫(yī)療器械電子接口包括網(wǎng)絡(luò)接口����、電子數(shù)據(jù)交換接口。
(1)網(wǎng)絡(luò)接口:是指醫(yī)療器械通過網(wǎng)絡(luò)進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制��,此時(shí)需考慮網(wǎng)絡(luò)的技術(shù)特征要求�����,包括但不限于網(wǎng)絡(luò)形式(有線�����、無線)、物理接口(如電口�����、光口)����、數(shù)據(jù)接口(標(biāo)準(zhǔn)協(xié)議、私有協(xié)議)��、遠(yuǎn)程控制方式(實(shí)時(shí)���、非實(shí)時(shí))�、性能指標(biāo)(如端口����、傳輸速率、帶寬)等�。無線網(wǎng)絡(luò)包括Wi-Fi(IEEE 802.11)、藍(lán)牙(IEEE 802.15)����、無線電�、射頻����、紅外等形式,醫(yī)用無線專用設(shè)備(即未采用通用無線通信技術(shù)的醫(yī)療器械)應(yīng)符合中國無線電管理相關(guān)規(guī)定��。標(biāo)準(zhǔn)協(xié)議即業(yè)內(nèi)公認(rèn)標(biāo)準(zhǔn)所規(guī)范的數(shù)據(jù)傳輸協(xié)議�,需考慮定制化功能的兼容性問題。遠(yuǎn)程控制包括系統(tǒng)軟件所提供的運(yùn)程桌面功能����。
(2)電子數(shù)據(jù)交換接口:是指醫(yī)療器械通過非網(wǎng)絡(luò)接口的其他電子接口(如串口、并口�、USB口���、視頻接口���、音頻接口)或存儲媒介(如光盤、移動(dòng)硬盤���、U盤)進(jìn)行電子數(shù)據(jù)交換����。
其他電子接口可參照網(wǎng)絡(luò)接口明確其技術(shù)特征要求。數(shù)據(jù)存儲的技術(shù)特征要求包括但不限于存儲媒介形式��、文件儲存格式(標(biāo)準(zhǔn)格式�����、私有格式)���、數(shù)據(jù)壓縮方式(有損��、無損)����、性能指標(biāo)(如傳輸速率��、容量)等��。標(biāo)準(zhǔn)格式即業(yè)內(nèi)公認(rèn)標(biāo)準(zhǔn)所規(guī)范的文件存儲格式�����,需考慮文件格式完整性問題�����。
注冊人應(yīng)結(jié)合醫(yī)療器械電子接口(含內(nèi)部接口�、外部接口)的類型、方式���、技術(shù)特征���,基于網(wǎng)絡(luò)安全特性考慮其網(wǎng)絡(luò)安全的具體要求�。
(二)網(wǎng)絡(luò)安全能力
根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和技術(shù)報(bào)告的定義��,本指導(dǎo)原則所述醫(yī)療器械網(wǎng)絡(luò)安全能力包括:
1.自動(dòng)注銷:產(chǎn)品在使用閑置期間阻止非授權(quán)用戶訪問和使用的能力���。
2.審核:產(chǎn)品提供用戶活動(dòng)可被審核的能力�����。
3.授權(quán):產(chǎn)品確定用戶已獲授權(quán)的能力����。
4.網(wǎng)絡(luò)安全特征配置:產(chǎn)品根據(jù)用戶需求配置網(wǎng)絡(luò)安全特征的能力����。
5.網(wǎng)絡(luò)安全補(bǔ)丁升級:授權(quán)用戶或服務(wù)人員安裝/升級網(wǎng)絡(luò)安全補(bǔ)丁的能力�。
6.數(shù)據(jù)去標(biāo)識化:產(chǎn)品直接去除或匿名化數(shù)據(jù)所含個(gè)人信息的能力�����。
7.數(shù)據(jù)備份與災(zāi)難恢復(fù):產(chǎn)品的數(shù)據(jù)���、硬件或軟件受到損壞或破壞后恢復(fù)的能力����。
8.緊急訪問:產(chǎn)品在預(yù)期緊急情況下允許用戶訪問和使用的能力。
9.數(shù)據(jù)完整性與真實(shí)性:產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來自創(chuàng)建者或提供者的能力�。
10.惡意軟件探測與防護(hù):產(chǎn)品有效探測、阻止惡意軟件的能力����。
11.節(jié)點(diǎn)鑒別:產(chǎn)品鑒別網(wǎng)絡(luò)節(jié)點(diǎn)的能力��。
12.人員鑒別:產(chǎn)品鑒別授權(quán)用戶的能力����。
13.物理防護(hù):產(chǎn)品提供防止非授權(quán)用戶訪問和使用的物理防護(hù)措施的能力��。
14.現(xiàn)成軟件維護(hù):產(chǎn)品在全生命周期中對現(xiàn)成軟件提供網(wǎng)絡(luò)安全維護(hù)的能力�。
15.系統(tǒng)固化:產(chǎn)品通過固化措施對網(wǎng)絡(luò)攻擊和惡意軟件的抵御能力��。
16.網(wǎng)絡(luò)安全指導(dǎo):產(chǎn)品為用戶提供網(wǎng)絡(luò)安全指導(dǎo)的能力��。
17.存儲保密性與完整性:產(chǎn)品確保未授權(quán)訪問不會損壞存儲媒介所存數(shù)據(jù)保密性和完整性的能力。
18.傳輸保密性與完整性:產(chǎn)品確保數(shù)據(jù)傳輸保密性和完整性的能力���。
19.遠(yuǎn)程訪問與控制:產(chǎn)品確保用戶遠(yuǎn)程訪問與控制的網(wǎng)絡(luò)安全的能力�。
20.抗拒絕服務(wù)攻擊:產(chǎn)品具有抗拒絕服務(wù)攻擊的能力����。
注冊人應(yīng)根據(jù)醫(yī)療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò)安全能力的適用性。若適用����,明確網(wǎng)絡(luò)安全能力的實(shí)現(xiàn)方式,并根據(jù)產(chǎn)品風(fēng)險(xiǎn)水平明確網(wǎng)絡(luò)安全能力的強(qiáng)弱程度�����,例如:用戶訪問控制可采用用戶名和口令方式��,其中口令強(qiáng)度可采用不同設(shè)置或采用動(dòng)態(tài)口令��,亦可采用生物識別技術(shù)��,一般情況下醫(yī)療器械的風(fēng)險(xiǎn)水平越高則其用戶訪問控制要求越嚴(yán)格����。反之����,明確不適用理由并予以記錄���。
(三)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)
醫(yī)療器械設(shè)計(jì)開發(fā)只能針對已知網(wǎng)絡(luò)安全漏洞采取相應(yīng)風(fēng)險(xiǎn)控制措施,上市后仍會面臨潛在未知的網(wǎng)絡(luò)安全漏洞引發(fā)的網(wǎng)絡(luò)安全事件的威脅����,可能造成醫(yī)療器械無法訪問和使用、醫(yī)療數(shù)據(jù)發(fā)生泄露或遭到篡改����,進(jìn)而可能導(dǎo)致患者受到傷害或死亡以及隱私被侵犯。同時(shí)�,醫(yī)療器械網(wǎng)絡(luò)安全事件具有影響因素多、涉及面廣����、擴(kuò)散性強(qiáng)和突發(fā)性高等特點(diǎn),對于醫(yī)療器械上市后監(jiān)測要求相對較高��。因此�����,注冊人應(yīng)基于相關(guān)標(biāo)準(zhǔn)和技術(shù)報(bào)告建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制,保證醫(yī)療器械的安全有效性并保護(hù)患者隱私����。
注冊人應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案,涵蓋現(xiàn)成軟件要求��,明確計(jì)劃與準(zhǔn)備�、探測與報(bào)告、評估與決策����、應(yīng)急響應(yīng)實(shí)施、總結(jié)與改進(jìn)等階段的任務(wù)和要求�。建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)團(tuán)隊(duì),根據(jù)工作職能形成管理�、規(guī)劃、監(jiān)測����、響應(yīng)、實(shí)施��、分析等工作小組����,必要時(shí)可邀請外部網(wǎng)絡(luò)安全專家成立專家小組��。
注冊人應(yīng)根據(jù)網(wǎng)絡(luò)安全事件的嚴(yán)重程度��、緊迫程度���、廣泛程度等因素進(jìn)行分類分級管理,結(jié)合風(fēng)險(xiǎn)管理開展應(yīng)急響應(yīng)措施的驗(yàn)證工作并予以記錄�,在事件發(fā)生期間及時(shí)告知用戶應(yīng)對措施。造成嚴(yán)重后果或影響的事件應(yīng)向藥監(jiān)部門報(bào)告���,適用時(shí)按照醫(yī)療器械不良事件、召回相關(guān)法規(guī)要求處理����,必要時(shí)向國家網(wǎng)絡(luò)安全主管部門報(bào)告。
(四)網(wǎng)絡(luò)安全更新
1.基本概念
醫(yī)療器械網(wǎng)絡(luò)安全更新從內(nèi)容上可分為功能更新�、補(bǔ)丁更新,類似于增強(qiáng)類軟件更新�、糾正類軟件更新。根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
(1)重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新��,即重大網(wǎng)絡(luò)安全功能更新����,應(yīng)申請?jiān)S可事項(xiàng)變更����。
(2)輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,包括輕微網(wǎng)絡(luò)安全功能更新�、網(wǎng)絡(luò)安全補(bǔ)丁更新。輕微網(wǎng)絡(luò)安全更新通過質(zhì)量管理體系進(jìn)行控制�����,無需申請?jiān)S可事項(xiàng)變更�����,待下次許可事項(xiàng)變更時(shí)提交相應(yīng)注冊申報(bào)資料�?����?紤]到網(wǎng)絡(luò)安全更新亦具有累積效應(yīng)���,注冊申報(bào)資料應(yīng)涵蓋自前次注冊以來的全部網(wǎng)絡(luò)安全更新內(nèi)容��。
此外��,涉及召回的網(wǎng)絡(luò)安全更新均屬于重大網(wǎng)絡(luò)安全更新�,按照醫(yī)療器械召回相關(guān)法規(guī)要求處理。
網(wǎng)絡(luò)安全更新同樣遵循風(fēng)險(xiǎn)從高原則�,即同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò)安全更新按重大網(wǎng)絡(luò)安全更新處理。同時(shí)���,軟件版本命名規(guī)則應(yīng)涵蓋網(wǎng)絡(luò)安全更新情況����,區(qū)分重大和輕微網(wǎng)絡(luò)安全更新��。
2.重大網(wǎng)絡(luò)安全更新
網(wǎng)絡(luò)安全功能更新若影響到醫(yī)療器械的預(yù)期用途�����、使用場景或核心功能原則上均屬于重大網(wǎng)絡(luò)安全更新�,包括但不限于:產(chǎn)品所處網(wǎng)絡(luò)環(huán)境發(fā)生改變����,如由封閉網(wǎng)絡(luò)環(huán)境變?yōu)殚_放網(wǎng)絡(luò)環(huán)境、局域網(wǎng)變?yōu)閺V域網(wǎng)�、有線網(wǎng)絡(luò)變?yōu)闊o線網(wǎng)絡(luò);電子接口發(fā)生改變�,如接口形式由網(wǎng)口變?yōu)閁SB口、接口數(shù)量由少變多、接口功能由電子數(shù)據(jù)交換擴(kuò)至遠(yuǎn)程控制等�。
除非影響到醫(yī)療器械的安全性或有效性,以下網(wǎng)絡(luò)安全功能更新和網(wǎng)絡(luò)安全補(bǔ)丁更新一般視為輕微網(wǎng)絡(luò)安全更新:網(wǎng)絡(luò)環(huán)境�����、電子接口的數(shù)據(jù)傳輸效率單純提高��,電子接口原有功能單純優(yōu)化����;醫(yī)療器械軟件、必備軟件(醫(yī)療器械軟件正常運(yùn)行所必需的其他醫(yī)療器械軟件��、醫(yī)用中間件)�、外部軟件環(huán)境(醫(yī)療器械軟件正常運(yùn)行所必需的系統(tǒng)軟件、通用應(yīng)用軟件�����、通用中間件�����、支持軟件)的網(wǎng)絡(luò)安全補(bǔ)丁更新��。
三、基本原則
(一)網(wǎng)絡(luò)安全定位
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制��,在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅�����。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私�,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)�,導(dǎo)致患者或用戶受到傷害或死亡。因此��,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一��。
信息共享是保障醫(yī)療器械網(wǎng)絡(luò)安全的基本原則�。及時(shí)獲得網(wǎng)絡(luò)安全漏洞、事件等相關(guān)信息有助于識別���、評估和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn),保證醫(yī)療器械的安全有效性以及醫(yī)療活動(dòng)的業(yè)務(wù)持續(xù)性����,因此����,鼓勵(lì)所有利益相關(guān)方在醫(yī)療器械全生命周期中主動(dòng)積極共享網(wǎng)絡(luò)安全相關(guān)信息�����。注冊人應(yīng)充分利用網(wǎng)絡(luò)安全漏洞披露機(jī)制加強(qiáng)醫(yī)療器械網(wǎng)絡(luò)安全的設(shè)計(jì)開發(fā)和上市后監(jiān)測�,基于國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)、國家信息安全漏洞共享平臺(CNVD)披露的漏洞信息定期開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作�����。
醫(yī)療器械網(wǎng)絡(luò)安全需要注冊人���、用戶(含醫(yī)療機(jī)構(gòu)�����、個(gè)人)����、信息技術(shù)服務(wù)商等利益相關(guān)者的共同努力和通力合作方能得以保障���。雖然醫(yī)療器械在使用過程中常與非預(yù)期的設(shè)備或系統(tǒng)相連���,使得注冊人在保證醫(yī)療器械網(wǎng)絡(luò)安全方面存在諸多困難��,但這不意味注冊人可以免除醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)責(zé)任�。注冊人應(yīng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全��,明確預(yù)期的網(wǎng)絡(luò)環(huán)境和電子接口要求����,持續(xù)監(jiān)測、評估�、應(yīng)對、分享網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)����,與其他利益相關(guān)者密切合作,從而保證醫(yī)療器械的安全有效性����。
醫(yī)療器械網(wǎng)絡(luò)安全也是網(wǎng)絡(luò)安全國家戰(zhàn)略的重要組成部分之一,因此醫(yī)療器械網(wǎng)絡(luò)安全亦應(yīng)符合網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和部門規(guī)章的要求�。注冊人應(yīng)持續(xù)跟蹤相關(guān)法律法規(guī)和部門規(guī)章的制修訂情況,并滿足相應(yīng)適用要求�。
(二)風(fēng)險(xiǎn)導(dǎo)向
綜合考慮行業(yè)發(fā)展水平和風(fēng)險(xiǎn)分級管理導(dǎo)向,醫(yī)療器械網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)級別不同����,其生命周期質(zhì)控要求和注冊申報(bào)資料要求亦不同。
雖然網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與軟件風(fēng)險(xiǎn)存在差異����,但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為軟件風(fēng)險(xiǎn)的重要組成部分,其風(fēng)險(xiǎn)級別一般情況下可參照軟件安全性級別����,即醫(yī)療器械網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)級別與所屬醫(yī)療器械軟件的安全性級別相同。在特殊情況下�,網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)級別可低于軟件風(fēng)險(xiǎn)級別,此時(shí)應(yīng)詳述理由并按新軟件安全性級別提交相應(yīng)注冊申報(bào)資料���。
醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)同樣應(yīng)結(jié)合醫(yī)療器械的預(yù)期用途��、使用場景�、核心功能進(jìn)行綜合判定��,特別是使用場景��。不同使用場景的網(wǎng)絡(luò)環(huán)境不同���,甚至存在巨大差異�,對于醫(yī)療器械網(wǎng)絡(luò)安全的影響亦不同,因此對于適用于多個(gè)使用場景的醫(yī)療器械�����,注冊人應(yīng)保證醫(yī)療器械在每個(gè)使用場景的網(wǎng)絡(luò)安全�����。
醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)通常包括:識別資產(chǎn)(Asset����,對個(gè)人或組織有價(jià)值的物理和數(shù)字實(shí)體)、威脅(Threat����,可能導(dǎo)致對個(gè)人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因)和脆弱性(Vulnerability,可能會被威脅所利用的資產(chǎn)或風(fēng)險(xiǎn)控制措施的弱點(diǎn))����,評估威脅和脆弱性對于醫(yī)療器械和患者的影響以及被利用的可能性,確定風(fēng)險(xiǎn)水平并采取充分�����、有效、適宜的風(fēng)險(xiǎn)控制措施���,基于風(fēng)險(xiǎn)接受準(zhǔn)則評估剩余風(fēng)險(xiǎn)����。注冊人可結(jié)合醫(yī)療器械風(fēng)險(xiǎn)管理和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)和技術(shù)報(bào)告的要求�����,開展醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作�����。
(三)全生命周期管理
與軟件類似��,注冊人應(yīng)在醫(yī)療器械全生命周期中持續(xù)關(guān)注網(wǎng)絡(luò)安全問題�,包括但不限于設(shè)計(jì)開發(fā)�、生產(chǎn)、分銷���、部署��、更新維護(hù)��、上市后監(jiān)測等�。
醫(yī)療器械上市前應(yīng)結(jié)合質(zhì)量管理體系要求和醫(yī)療器械產(chǎn)品特性開展網(wǎng)絡(luò)安全質(zhì)控工作,保證醫(yī)療器械的安全有效性�����;上市后根據(jù)網(wǎng)絡(luò)安全更新情況開展更新請求評估�、驗(yàn)證與確認(rèn)、風(fēng)險(xiǎn)管理�、用戶告知等活動(dòng),持續(xù)保證醫(yī)療器械的安全有效性��。同時(shí)�����,建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)過程�,定期開展醫(yī)療器械網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)評估工作,及時(shí)將網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對措施告知用戶����。此外,可采用信息安全領(lǐng)域的良好工程實(shí)踐[2]來完善醫(yī)療器械網(wǎng)絡(luò)安全管理工作���,以保證醫(yī)療器械的安全有效性�����。
四�����、網(wǎng)絡(luò)安全生存周期過程
網(wǎng)絡(luò)安全生存周期過程作為軟件生存周期過程的重要組成部分��,應(yīng)在醫(yī)療器械軟件生存周期過程考慮醫(yī)療器械網(wǎng)絡(luò)安全的質(zhì)控要求�����,具體要求詳見軟件指導(dǎo)原則第六章以及《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范附錄獨(dú)立軟件》��、《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范獨(dú)立軟件現(xiàn)場檢查指導(dǎo)原則》��。
注冊人可參考信息安全領(lǐng)域相關(guān)標(biāo)準(zhǔn)�����、技術(shù)報(bào)告����,完善網(wǎng)絡(luò)安全生存周期過程質(zhì)控要求�����。
五、技術(shù)考量
(一)現(xiàn)成軟件
現(xiàn)成軟件同樣存在網(wǎng)絡(luò)安全問題����,注冊人應(yīng)根據(jù)質(zhì)量管理體系要求建立現(xiàn)成軟件網(wǎng)絡(luò)安全更新維護(hù)過程,及時(shí)將現(xiàn)成軟件網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對措施告知用戶��。
同時(shí)����,根據(jù)現(xiàn)成軟件與醫(yī)療器械軟件的關(guān)系類型開展相應(yīng)網(wǎng)絡(luò)安全質(zhì)控工作。對于現(xiàn)成軟件組件���,即作為醫(yī)療器械軟件組成部分的現(xiàn)成軟件����,重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械使用效果的影響�����。對于外部軟件環(huán)境�,即作為醫(yī)療器械軟件運(yùn)行環(huán)境組成部分的現(xiàn)成軟件,重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全補(bǔ)丁對醫(yī)療器械安全有效性的影響��;需要說明的是,網(wǎng)絡(luò)安全補(bǔ)丁屬于設(shè)計(jì)變更����,需要進(jìn)行驗(yàn)證、確認(rèn)�����。
(二)醫(yī)療數(shù)據(jù)出境
根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定��,在中國境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在中國境內(nèi)存儲�,因業(yè)務(wù)需要確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估�����?!度丝诮】敌畔⒐芾磙k法(試行)》亦規(guī)定�����,不得將人口健康信息在境外的服務(wù)器中存儲�����,不得托管、租賃在境外的服務(wù)器����。
醫(yī)療數(shù)據(jù)屬于重要數(shù)據(jù),特別是敏感醫(yī)療數(shù)據(jù)含有個(gè)人信息���,因此醫(yī)療數(shù)據(jù)出境應(yīng)符合個(gè)人信息���、重要數(shù)據(jù)出境安全評估辦法的相關(guān)規(guī)定。
(三)遠(yuǎn)程維護(hù)
具有遠(yuǎn)程維護(hù)功能的醫(yī)療器械可以訪問和使用設(shè)備數(shù)據(jù)�����,本身雖不涉及醫(yī)療數(shù)據(jù)��,但若未能實(shí)現(xiàn)設(shè)備數(shù)據(jù)和醫(yī)療數(shù)據(jù)的有效隔離��,則存在醫(yī)療數(shù)據(jù)未授權(quán)訪問和使用以及被篡改的可能性��。同時(shí)����,遠(yuǎn)程維護(hù)所用電子接口也面臨網(wǎng)絡(luò)攻擊的威脅,可能會影響醫(yī)療器械正常運(yùn)行����,導(dǎo)致患者受到傷害或死亡以及隱私被侵犯���。此外,醫(yī)療器械在遠(yuǎn)程維護(hù)過程中若無人值守��,則可能存在醫(yī)療器械非授權(quán)訪問和使用的風(fēng)險(xiǎn)��。
因此�,注冊人應(yīng)明確遠(yuǎn)程維護(hù)的實(shí)現(xiàn)方法、所用電子接口情況�、設(shè)備數(shù)據(jù)所含內(nèi)容、設(shè)備數(shù)據(jù)與醫(yī)療數(shù)據(jù)的隔離方法����、維護(hù)過程網(wǎng)絡(luò)安全保證措施等技術(shù)特征,并提供相應(yīng)研究資料和風(fēng)險(xiǎn)管理資料����。
(四)陳舊設(shè)備
本指導(dǎo)原則所述陳舊設(shè)備是指不能通過補(bǔ)丁更新��、補(bǔ)償控制等合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅的醫(yī)療器械��。陳舊設(shè)備由于無法應(yīng)對當(dāng)前網(wǎng)絡(luò)安全威脅����,導(dǎo)致產(chǎn)品綜合剩余風(fēng)險(xiǎn)無法降至可接受水平����,降低醫(yī)療器械的安全有效性����,因此應(yīng)盡快停運(yùn)退市。
醫(yī)療器械實(shí)際使用情況極為復(fù)雜����,一般情況下可結(jié)合醫(yī)療器械停售、停止售后服務(wù)兩個(gè)時(shí)間點(diǎn)判定其是否屬于陳舊設(shè)備:在售的醫(yī)療器械均非陳舊設(shè)備���;停售但未停止售后服務(wù)的醫(yī)療器械����,若無法通過合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅則為陳舊設(shè)備��,反之不屬于陳舊設(shè)備�;停止售后服務(wù)的醫(yī)療器械均為陳舊設(shè)備。
對于陳舊設(shè)備�,注冊人應(yīng)按照質(zhì)量管理體系關(guān)于軟件停運(yùn)/軟件退市的要求開展相應(yīng)工作,詳見《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范附錄獨(dú)立軟件》�����。
對于注冊證失效但尚未停止售后服務(wù)、注冊證有效但已停售的醫(yī)療器械��,注冊人應(yīng)根據(jù)質(zhì)量管理體系要求向現(xiàn)有用戶提供必要的網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對措施��,以保證醫(yī)療器械的網(wǎng)絡(luò)安全����。若無法保證醫(yī)療器械的網(wǎng)絡(luò)安全,按陳舊設(shè)備處理�����。
對于注冊證有效且在售的醫(yī)療器械�����,若無法通過合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅���,則注冊人應(yīng)根據(jù)質(zhì)量管理體系要求制定相應(yīng)風(fēng)險(xiǎn)控制措施,并申請?jiān)S可事項(xiàng)變更�����。
六、網(wǎng)絡(luò)安全研究資料
(一)自研軟件網(wǎng)絡(luò)安全研究報(bào)告
自研軟件網(wǎng)絡(luò)安全研究報(bào)告適用于自研軟件的初次發(fā)布和再次發(fā)布�,內(nèi)容包括基本信息、實(shí)現(xiàn)過程�、漏洞評估、結(jié)論�����,詳盡程度取決于軟件安全性級別����,每項(xiàng)條款的具體要求若不適用應(yīng)說明理由,詳見表1����。
1. 基本信息
(1)軟件信息
明確申報(bào)醫(yī)療器械軟件的名稱、型號規(guī)格�����、發(fā)布版本以及軟件安全性級別��。
若網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)級別低于軟件風(fēng)險(xiǎn)級別����,詳述理由并按新軟件安全性級別提交相應(yīng)注冊申報(bào)資料�。
(2)數(shù)據(jù)架構(gòu)
提供申報(bào)醫(yī)療器械在每個(gè)使用場景(含遠(yuǎn)程維護(hù))下的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖����,并依據(jù)圖示描述醫(yī)療器械相關(guān)數(shù)據(jù)和電子接口的基本情況。
數(shù)據(jù)情況明確醫(yī)療器械相關(guān)數(shù)據(jù)的類型(敏感與非敏感醫(yī)療數(shù)據(jù)�、設(shè)備數(shù)據(jù)),并依據(jù)數(shù)據(jù)類型明確每類數(shù)據(jù)的具體內(nèi)容(如個(gè)人信息��、醫(yī)療活動(dòng)信息��、設(shè)備運(yùn)行信息)�����、功能(如單向�、雙向電子數(shù)據(jù)交換,實(shí)時(shí)���、非實(shí)時(shí)遠(yuǎn)程控制)���、用途(如醫(yī)療活動(dòng)、設(shè)備維護(hù))等�。
電子接口情況逐項(xiàng)說明每個(gè)網(wǎng)口接口��、電子數(shù)據(jù)交換接口的預(yù)期用戶、使用場景�、預(yù)期用途、數(shù)據(jù)類型�、技術(shù)特征、使用限制����,其中技術(shù)特征要求詳見第二章。
(3)網(wǎng)絡(luò)安全能力
基于第二章所述20項(xiàng)網(wǎng)絡(luò)安全能力����,逐項(xiàng)分析申報(bào)醫(yī)療器械對于該項(xiàng)網(wǎng)絡(luò)安全能力的適用性,若適用詳述網(wǎng)絡(luò)安全能力的實(shí)現(xiàn)方法����,反之說明不適用的理由。
(4)網(wǎng)絡(luò)安全補(bǔ)丁
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全補(bǔ)丁列表����,明確網(wǎng)絡(luò)安全補(bǔ)丁的名稱、完整版本���、發(fā)布日期���。
(5)安全軟件
描述申報(bào)醫(yī)療器械兼容或所用的安全軟件(如殺毒軟件��、防火墻等)的名稱���、型號規(guī)格、完整版本����、供應(yīng)商、運(yùn)行環(huán)境���、防護(hù)規(guī)則配置要求��。
2. 實(shí)現(xiàn)過程
(1)風(fēng)險(xiǎn)管理
提供申報(bào)醫(yī)療器械網(wǎng)絡(luò)安全(含遠(yuǎn)程維護(hù))的風(fēng)險(xiǎn)分析報(bào)告��、風(fēng)險(xiǎn)管理報(bào)告�,另附原文��。亦可提供醫(yī)療器械軟件的風(fēng)險(xiǎn)管理文檔���,但需注明網(wǎng)絡(luò)安全情況��。
(2)需求規(guī)范
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全(含遠(yuǎn)程維護(hù))需求規(guī)范文檔�����,另附原文����。亦可提供醫(yī)療器械軟件的需求規(guī)范文檔�����,但需注明網(wǎng)絡(luò)安全情況�。
(3)驗(yàn)證與確認(rèn)
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全(含遠(yuǎn)程維護(hù))測試計(jì)劃和報(bào)告,另附原文����。亦可提供醫(yī)療器械軟件的系統(tǒng)測試計(jì)劃和報(bào)告,但需注明網(wǎng)絡(luò)安全情況����。
對于安全軟件,提供兼容性測試報(bào)告��。對于標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式���,出具真實(shí)性聲明即可����;對于私有傳輸協(xié)議或存儲格式,提供完整性測試總結(jié)報(bào)告�。對于實(shí)時(shí)遠(yuǎn)程控制功能,提供完整性和可得性測試報(bào)告����。對于醫(yī)用無線專用設(shè)備,提供符合無線電管理相關(guān)規(guī)定的證明材料�。
(4)可追溯性分析
提供申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全(含遠(yuǎn)程維護(hù))可追溯性分析報(bào)告,即追溯網(wǎng)絡(luò)安全能力��、網(wǎng)絡(luò)安全需求規(guī)范��、網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)范�、網(wǎng)絡(luò)安全測試報(bào)告、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告的關(guān)系表����。
(5)更新維護(hù)計(jì)劃
輕微級別:提供申報(bào)醫(yī)療器械網(wǎng)絡(luò)安全更新的流程圖,并依據(jù)圖示描述相關(guān)活動(dòng)����。
中等、嚴(yán)重級別:在輕微級別的基礎(chǔ)上�����,提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的流程圖,并依據(jù)圖示描述相關(guān)活動(dòng)��;或者提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案文檔����。
若適用,全部級別均應(yīng)提供遠(yuǎn)程維護(hù)的流程圖�,并依據(jù)圖示描述相關(guān)活動(dòng)����。
3. 漏洞評估
輕微級別:按照通用漏洞評分系統(tǒng)(CVSS)所定義的漏洞等級,明確已知漏洞總數(shù)和已知剩余漏洞數(shù)�����。
中等級別:提供網(wǎng)絡(luò)安全漏洞自評報(bào)告�,按照CVSS漏洞等級明確已知漏洞總數(shù)和已知剩余漏洞數(shù),列明已知剩余漏洞的內(nèi)容���、影響�、風(fēng)險(xiǎn)�,確保風(fēng)險(xiǎn)均可接受�?;蛱峁┑谌骄W(wǎng)絡(luò)安全漏洞評估報(bào)告。
嚴(yán)重級別:提供境內(nèi)第三方網(wǎng)絡(luò)安全評估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評估報(bào)告�����,以及已知剩余漏洞的維護(hù)方案�。
4. 結(jié)論
概述申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全實(shí)現(xiàn)過程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評估結(jié)果,判定申報(bào)醫(yī)療器械的網(wǎng)絡(luò)安全是否滿足要求�����。
表1:自研軟件網(wǎng)絡(luò)安全研究報(bào)告框架
|
條款
|
輕微
|
中等
|
嚴(yán)重
|
|
基本信息
|
軟件信息
|
明確軟件的基本情況和安全性級別
|
|
數(shù)據(jù)架構(gòu)
|
提供每個(gè)使用場景的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖�,描述醫(yī)療器械相關(guān)數(shù)據(jù)和電子接口的基本情況
|
|
網(wǎng)絡(luò)安全能力
|
逐項(xiàng)分析20項(xiàng)網(wǎng)絡(luò)安全能力的適用情況
|
|
網(wǎng)絡(luò)安全補(bǔ)丁
|
列明網(wǎng)絡(luò)安全補(bǔ)丁的基本情況
|
|
安全軟件
|
明確安全軟件的基本情況
|
|
實(shí)現(xiàn)過程
|
風(fēng)險(xiǎn)管理
|
提供網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析報(bào)告、風(fēng)險(xiǎn)管理報(bào)告
|
|
需求規(guī)范
|
提供網(wǎng)絡(luò)安全需求規(guī)范文檔
|
|
驗(yàn)證與確認(rèn)
|
提供網(wǎng)絡(luò)安全的測試計(jì)劃和報(bào)告
|
|
可追溯性分析
|
提供網(wǎng)絡(luò)安全可追溯性分析報(bào)告
|
|
更新維護(hù)計(jì)劃
|
提供網(wǎng)絡(luò)安全更新���、遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述
|
提供網(wǎng)絡(luò)安全更新�����、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)���、遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述
|
|
漏洞評估
|
按照漏洞等級明確已知漏洞總數(shù)和剩余漏洞數(shù)。
|
提供網(wǎng)絡(luò)安全漏洞自評報(bào)告或第三方網(wǎng)絡(luò)安全漏洞評估報(bào)告����,按照漏洞等級明確已知漏洞總數(shù)和剩余漏洞情況
|
提供境內(nèi)第三方網(wǎng)絡(luò)安全評估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評估報(bào)告�,以及已知剩余漏洞的維護(hù)方案�。
|
|
結(jié)論
|
概述網(wǎng)絡(luò)安全實(shí)現(xiàn)過程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評估結(jié)果,判定網(wǎng)絡(luò)安全是否滿足要求
|
(二)自研軟件網(wǎng)絡(luò)安全更新研究報(bào)告
自研軟件網(wǎng)絡(luò)安全更新研究報(bào)告適用于自研軟件的再次發(fā)布���,包括網(wǎng)絡(luò)安全功能更新���、網(wǎng)絡(luò)安全補(bǔ)丁更新研究報(bào)告。
網(wǎng)絡(luò)安全功能更新研究報(bào)告適用于重大����、輕微網(wǎng)絡(luò)安全功能更新����,或合并網(wǎng)絡(luò)安全補(bǔ)丁更新,內(nèi)容詳見表2�,不再贅述。
網(wǎng)絡(luò)安全補(bǔ)丁更新研究報(bào)告僅適用于醫(yī)療器械軟件�、必備軟件、外部軟件環(huán)境的網(wǎng)絡(luò)安全補(bǔ)丁更新����。其內(nèi)容包括軟件信息���、網(wǎng)絡(luò)安全補(bǔ)丁、風(fēng)險(xiǎn)管理�、驗(yàn)證與確認(rèn)、可追溯性分析�、更新維護(hù)計(jì)劃、漏洞評估��、結(jié)論����,具體要求詳見表2相應(yīng)說明。
表2:自研軟件網(wǎng)絡(luò)安全功能更新研究報(bào)告框架
|
條款
|
輕微
|
中等
|
嚴(yán)重
|
|
基本信息
|
軟件信息
|
明確申報(bào)版本軟件情況�,詳述變化。
|
|
數(shù)據(jù)架構(gòu)
|
明確申報(bào)版本軟件情況�,詳述變化。
|
|
網(wǎng)絡(luò)安全能力
|
明確申報(bào)版本軟件情況����,詳述變化。
|
|
網(wǎng)絡(luò)安全補(bǔ)丁
|
列明網(wǎng)絡(luò)安全更新部分的補(bǔ)丁情況
|
|
安全軟件
|
明確申報(bào)版本軟件情況�����,詳述變化。
|
|
實(shí)現(xiàn)過程
|
風(fēng)險(xiǎn)管理
|
提供網(wǎng)絡(luò)安全更新部分的風(fēng)險(xiǎn)分析報(bào)告�、風(fēng)險(xiǎn)管理報(bào)告
|
|
需求規(guī)范
|
提供網(wǎng)絡(luò)安全更新部分需求規(guī)范文檔
|
|
驗(yàn)證與確認(rèn)
|
提供網(wǎng)絡(luò)安全更新部分的測試計(jì)劃和報(bào)告
|
|
可追溯性分析
|
提供網(wǎng)絡(luò)安全更新部分的可追溯性分析報(bào)告
|
|
更新維護(hù)計(jì)劃
|
提供用戶告知計(jì)劃
|
提供用戶告知計(jì)劃、網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)總結(jié)報(bào)告
|
|
漏洞評估
|
明確申報(bào)版本軟件已知漏洞總數(shù)和剩余漏洞數(shù)
|
提供申報(bào)版本軟件的網(wǎng)絡(luò)安全自評報(bào)告�����,明確已知漏洞總數(shù)和剩余漏洞情況
|
提供申報(bào)版本軟件的境內(nèi)第三方網(wǎng)絡(luò)安全評估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評估報(bào)告
|
|
結(jié)論
|
概述網(wǎng)絡(luò)安全更新實(shí)現(xiàn)過程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評估結(jié)果����,判定網(wǎng)絡(luò)安全更新是否滿足要求
|
(三)現(xiàn)成軟件網(wǎng)絡(luò)安全研究資料
1.現(xiàn)成軟件組件網(wǎng)絡(luò)安全研究資料
(1)部分使用方式
對于部分使用方式,無需單獨(dú)提交網(wǎng)絡(luò)安全研究報(bào)告��,基于醫(yī)療器械軟件的安全性級別�,在自研軟件網(wǎng)絡(luò)安全研究報(bào)告適用條款中說明現(xiàn)成軟件的情況。
適用條款包括軟件信息�、數(shù)據(jù)架構(gòu)、網(wǎng)絡(luò)安全能力�、網(wǎng)絡(luò)安全補(bǔ)丁、風(fēng)險(xiǎn)管理�、需求規(guī)范�����、驗(yàn)證與確認(rèn)�、可追溯性分析、更新維護(hù)計(jì)劃、漏洞評估����、結(jié)論。
此時(shí)若現(xiàn)成軟件發(fā)生網(wǎng)絡(luò)安全更新�,功能更新在自研軟件網(wǎng)絡(luò)安全功能更新研究報(bào)告的基礎(chǔ)上,說明現(xiàn)成軟件的變化情況���,不適用條款說明理由�����;補(bǔ)丁更新要求與自研軟件相同����。
(2)全部使用方式
對于全部使用方式����,需要單獨(dú)提交現(xiàn)成軟件組件網(wǎng)絡(luò)安全研究報(bào)告,其內(nèi)容與自研軟件研究報(bào)告相同�,但需基于現(xiàn)成軟件(此時(shí)即醫(yī)療器械軟件)的安全性級別予以說明。
此時(shí)若現(xiàn)成軟件發(fā)生網(wǎng)絡(luò)安全更新��,功能更新在現(xiàn)成軟件組件網(wǎng)絡(luò)安全功能更新研究報(bào)告的基礎(chǔ)上��,說明現(xiàn)成軟件的變化情況,不適用條款說明理由����;補(bǔ)丁更新要求與自研軟件相同。
2.外部軟件環(huán)境網(wǎng)絡(luò)安全評估資料
外部軟件環(huán)境網(wǎng)絡(luò)安全評估作為外部軟件環(huán)境評估的重要組成部分����,其網(wǎng)絡(luò)安全及其更新的研究資料要求與外部軟件環(huán)境評估報(bào)告相同,具體要求詳見軟件指導(dǎo)原則第八章��。
七�����、注冊申報(bào)資料說明[3]
(一)產(chǎn)品注冊
1.軟件研究資料
注冊人應(yīng)在軟件研究資料中提交自研軟件網(wǎng)絡(luò)安全研究報(bào)告�、外部軟件環(huán)境評估報(bào)告。
若使用現(xiàn)成軟件組件����,根據(jù)其使用方式提交相應(yīng)研究資料。相關(guān)研究資料的具體要求詳見第六章����。
2.說明書
說明書應(yīng)提供網(wǎng)絡(luò)安全說明���,明確用戶訪問控制機(jī)制�����、電子接口(含網(wǎng)口接口�、電子數(shù)據(jù)交換接口)及其數(shù)據(jù)類型和技術(shù)特征、網(wǎng)絡(luò)安全特征配置����、數(shù)據(jù)備份與災(zāi)難恢復(fù)、運(yùn)行環(huán)境(含硬件配置����、外部軟件環(huán)境、網(wǎng)絡(luò)環(huán)境)�、安全軟件兼容性、外部軟件環(huán)境與安全軟件更新等要求��。
(二)許可事項(xiàng)變更
1.軟件研究資料
醫(yī)療器械許可事項(xiàng)變更應(yīng)根據(jù)網(wǎng)絡(luò)安全更新情況����,提交變化部分對產(chǎn)品安全性與有效性影響的研究資料:
(1)涉及網(wǎng)絡(luò)安全功能更新:適用于發(fā)生功能更新或合并補(bǔ)丁更新的情形,此時(shí)提交自研軟件網(wǎng)絡(luò)安全功能更新研究報(bào)告(或自研軟件網(wǎng)絡(luò)安全研究報(bào)告)��、外部軟件環(huán)境評估報(bào)告�;
(2)僅發(fā)生網(wǎng)絡(luò)安全補(bǔ)丁更新:提交自研軟件網(wǎng)絡(luò)安全補(bǔ)丁更新研究報(bào)告���;
(3)未發(fā)生網(wǎng)絡(luò)安全更新:出具真實(shí)性聲明。
若使用現(xiàn)成軟件組件�,根據(jù)其使用方式提交相應(yīng)研究資料。相關(guān)研究資料的具體要求詳見第六章��。
2.說明書
若適用�,說明書應(yīng)體現(xiàn)網(wǎng)絡(luò)安全的變更內(nèi)容。
(三)延續(xù)注冊
延續(xù)注冊無需提交網(wǎng)絡(luò)安全相關(guān)研究資料����。
產(chǎn)品技術(shù)要求“產(chǎn)品型號/規(guī)格及其劃分說明”所述軟件版本命名規(guī)則應(yīng)涵蓋網(wǎng)絡(luò)安全更新情況,區(qū)分重大網(wǎng)絡(luò)安全更新和輕微網(wǎng)絡(luò)安全更新�。若原注冊產(chǎn)品標(biāo)準(zhǔn)(或原產(chǎn)品技術(shù)要求)及其變更對比表未體現(xiàn)軟件相關(guān)信息,應(yīng)在產(chǎn)品未變化聲明中予以明確�,其中軟件版本命名規(guī)則涵蓋網(wǎng)絡(luò)安全更新情況。
八�、參考文獻(xiàn)
[1]《中華人民共和國網(wǎng)絡(luò)安全法》(中華人民共和國主席令第五十三號,2016.11)
[2]《中華人民共和國數(shù)據(jù)安全法(草案)》(全國人大��,2020.7)
[3]《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》(中央網(wǎng)信辦�����,2017.10)
[4]《個(gè)人信息出境安全評估辦法(征求意見稿)》(國家互聯(lián)網(wǎng)信息辦公室�,2019.6)
[5]《人口健康信息管理辦法(試行)》(國衛(wèi)規(guī)劃發(fā)〔2014〕24號)
[6]《醫(yī)療器械注冊管理辦法》(國家食品藥品監(jiān)督管理總局令第4號)
[7]《醫(yī)療器械說明書和標(biāo)簽管理規(guī)定》(國家食品藥品監(jiān)督管理總局令第6號)
[8]《醫(yī)療器械召回管理辦法》(國家食品藥品監(jiān)督管理總局令第29號)
[9]《醫(yī)療器械不良事件監(jiān)測和再評價(jià)管理辦法》(國家市場監(jiān)督管理總局令第1號)
[10]《醫(yī)療器械注冊申報(bào)資料要求和批準(zhǔn)證明文件格式》(征求意見稿)
[11]《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》(國家食品藥品監(jiān)管總局通告2015年第50號)
[12]《醫(yī)療器械軟件技術(shù)審查指導(dǎo)原則(第二版)》(征求意見稿)
[13]《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》(國家食品藥品監(jiān)督管理總局通告2017年第13號)
[14]《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范附錄獨(dú)立軟件》(國家藥品監(jiān)督管理局通告2019年第43號)
[15]《醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范獨(dú)立軟件現(xiàn)場檢查指導(dǎo)原則》(藥監(jiān)綜械管〔2020〕57號)
[16]《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則實(shí)施指南》(北京市藥品監(jiān)督管理局�,2019.12)
[17] GB/T 20985.1-2017《信息技術(shù)安全技術(shù)信息安全事件管理第1部分:事件管理原理》
[18] GB/T 22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求》
[19] GB/T 22081-2016《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》
[20] GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》
[21] GB/T 25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》
[22] GB/T 28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》
[23] GB/T 29246-2017《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》
[24] GB/T 31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》
[25] GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》
[26] GB/T 37964-2019《信息安全技術(shù)個(gè)人信息去標(biāo)識化指南》
[27] YY/T 0287-2017《醫(yī)療器械質(zhì)量管理體系用于法規(guī)的要求》
[28] YY/T 0316-2016《醫(yī)療器械風(fēng)險(xiǎn)管理對醫(yī)療器械的應(yīng)用》
[29] YY/T 0664-2020《醫(yī)療器械軟件軟件生存周期過程》(報(bào)批稿)
[30]YY/T 1708.1-2020《醫(yī)用診斷X射線影像設(shè)備連通性符合性基本要求第1部分:通用要求》
[31]YY/T 1708.2《醫(yī)用診斷X射線影像設(shè)備連通性符合性基本要求第2部分:X射線計(jì)算機(jī)體層攝影設(shè)備》
[32]YY/T 1708.3《醫(yī)用診斷X射線影像設(shè)備連通性符合性基本要求第3部分:數(shù)字化攝影X射線機(jī)(DR)》
[33]YY/T 1708.4《醫(yī)用X 射線影像設(shè)備連通性符合性基本要求第4 部分:數(shù)字減影血管造影X 射線機(jī)(DSA)》
[34]YY/T 1708.5《醫(yī)用診斷X 射線影像設(shè)備連通性符合性基本要求第5 部分:乳腺X 射線機(jī)》
[35] YY/T 1708.6《醫(yī)用診斷X 射線影像設(shè)備連通性符合性基本要求第6 部分:口腔X 射線機(jī)》
[36] YY/T《醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求》(討論稿)
[37] DB32/T 3769-2020《醫(yī)療器械網(wǎng)絡(luò)連接通用技術(shù)規(guī)范》
[38] IMDRF/SaMD WG/N12 FINAL: 2014, SaMD: Possible Framework for Risk Categorization and Corresponding Considerations, 2014.9
[39] IMDRF/SaMD WG/N23 FINAL:2015,SaMD: Application of Quality Management System, 2015.10
[40] IMDRF/CYBER WG/N60 FINAL:2020, Principles and Practices for Medical Device Cybersecurity, 2020.4
[41] FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005.1
[42] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, 2014.10
[43] FDA, Radio Frequency Wireless Technology in Medical Devices, 2013.8
[44] FDA, Postmarket Management of Cybersecurity in Medical Devices, 2016.12
[45] FDA, Design Considerations and Pre-market Submission Recommendations for Interoperable Medical Devices, 2017.9
[46] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices Draft, 2018.10
[47] MDCG, Guidance on Cybersecurity for medical devices, 2019.12
[48] AAMI TIR57:2016, Principles for medical device security - Risk management
[49] AAMI TIR 97:2019, Principles for medical device security - Postmarket risk management for device manufacturers
[50] HIMSS/NEMA HN 1-2013, Manufacturer Disclosure Statement for Medical Device Security
[51] IEC 60601-1 AMD1:2012, Medical electrical equipment - Part 1: General requirements for basic safety and essential performance
[52] IEC/TR 60601-4-5, Medical electrical equipment - Part 4-5. Safety related technical security specifications for medical devices
[53] IEC 80001-1:2010, Application of risk management for IT-networks incorporating medical devices - Part 1: Roles,responsibilities and activities
[54] IEC/TR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-1: Step-by-step risk management of medical IT-networks - Practical applications and examples
[55] IEC/TR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
[56] IEC/TR 80001-2-3:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-3: Guidance for wireless networks
[57] IEC/TR 80001-2-4:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-4: Application guidance - General implementation guidance for healthcare delivery organizations
[58] IEC/TR 80001-2-5:2014, Application of risk management for IT-networks incorporating medical devices - Part 2-5: Application guidance - Guidance on distributed alarm systems
[59] ISO/TR 80001-2-6:2014, Application of risk management for IT-networks incorporating medical devices -Part 2-6: Application guidance - Guidance for responsibility agreements
[60] ISO/TR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations (HDOs) on how to self-assess their conformance with IEC 80001-1
[61] IEC/TR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2
[62] IEC/TR 80001-2-9, Application of risk management for IT-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities
[63] ISO/IEC 80001-5-1, Application of Risk Management for IT networks incorporating medical device - Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software - Part 5-1: Activities in the product life-cycle
[64] ISO 81001-1, Health software and health IT systems safety, effectiveness and security - Foundational principles, concepts and terms
[65] ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management
[66] ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response
[67] ISO/IEC 29147:2018, Information Technology - Security Techniques - Vulnerability Disclosure
[68] ISO/IEC 30111:2013, Information Technology - Security Techniques - Vulnerability Handling Processes
[69] ISO 27799 Health informatics - Information security management in health using ISO/IEC 27002
[70] NEMA/MITA CSP 1-2016, Cybersecurity for Medical Imaging
[71] UL 2900-1:2017, Standard for Software Cybersecurity for Network Connectable Products - Part 1: General Requirements
[72] UL 2900-2-1:2017, Software Cybersecurity for Network Connectable Products - Part 2-1: Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems
[73] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會�,https://www.tc260.org.cn
[74] 國家互聯(lián)網(wǎng)應(yīng)急中心,https://www.cert.org.cn
[75] 國家信息安全漏洞共享平臺�����,https://www.cnvd.org.cn
[1]在信息安全領(lǐng)域availability譯為可用性��,而在醫(yī)療器械領(lǐng)域usability譯為可用性����,為避免引起歧義本指導(dǎo)原則將availability譯為可得性。
[2]在信息安全領(lǐng)域���,IEC 27000系列標(biāo)準(zhǔn)明確信息安全管理體系(ISMS)認(rèn)證要求���,本指導(dǎo)原則不要求注冊人進(jìn)行ISMS認(rèn)證,但建議參考相關(guān)標(biāo)準(zhǔn)要求���。
[3]產(chǎn)品技術(shù)要求關(guān)于網(wǎng)絡(luò)安全的要求詳見醫(yī)療器械軟件技術(shù)審查指導(dǎo)原則(第二版)��。
京公網(wǎng)安備11010802046783號