2022年3月�����,國家藥監(jiān)局器審中心發(fā)布修訂版的《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則》(2022年第7號)�����,新修訂的醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則針對網(wǎng)絡(luò)安全概念進(jìn)行了梳理,重點(diǎn)對網(wǎng)絡(luò)安全應(yīng)急響應(yīng)��、網(wǎng)絡(luò)安全更新��、全生命周期質(zhì)控��、數(shù)據(jù)出境����、軟件維護(hù)與升級��、自研軟件安全評估與管理等方面進(jìn)行了修訂����。其中注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性��。
目前,指導(dǎo)原則中提到的網(wǎng)絡(luò)安全能力共22項(xiàng)�����,其中19項(xiàng)參考了IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls����。美國國家電氣制造商協(xié)會(huì)和醫(yī)療保健信息和管理系統(tǒng)協(xié)會(huì)(NEMA)關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全能力披露出具了一份《Manufacturer Disclosure Statement for Medical Deceive Security-MDS2》(HN 1-2013)供制造商進(jìn)行參考,企業(yè)在進(jìn)行網(wǎng)絡(luò)安全能力自我評估時(shí)也可以參考這份文件�����。
《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則》未對網(wǎng)絡(luò)安全能力進(jìn)行詳細(xì)解釋�����,中關(guān)村器械產(chǎn)業(yè)聯(lián)盟等參考IECTR 80001系列標(biāo)準(zhǔn)制定了關(guān)于器械網(wǎng)絡(luò)安全能力的團(tuán)體標(biāo)準(zhǔn)��。
1.自動(dòng)注銷(ALOF):產(chǎn)品在無人值守期間阻止非授權(quán)用戶訪問和使用的能力��。
減少從無人值守的工作場所未經(jīng)授權(quán)訪問健康數(shù)據(jù)的風(fēng)險(xiǎn)
如果系統(tǒng)或工作地點(diǎn)閑置一段時(shí)間,防止被其他用戶濫用��。
在MDS2 (HN 1-2003)中的評估要素:
2.審核控制(AUDT):產(chǎn)品提供用戶活動(dòng)可被審核的能力�����。
制定統(tǒng)一的方法來審核數(shù)據(jù)正在被何人用做何事����,以方便醫(yī)療服務(wù)提供方能夠利用共有的機(jī)制��、標(biāo)準(zhǔn)和技術(shù)來進(jìn)行監(jiān)視
通過審核追蹤對系統(tǒng)的數(shù)據(jù)訪問�����、修改或刪除予以記錄��,從而跟蹤和檢查系統(tǒng)的活動(dòng)��。
在MDS2 (HN 1-2003)中的評估要素:
3.授權(quán)(AUTH):產(chǎn)品確定用戶已獲授權(quán)的能力�����。
避免未經(jīng)授權(quán)訪問數(shù)據(jù)和功能����,以確保系統(tǒng)和數(shù)據(jù)的保密性����、完整性和可用性��,以及確保數(shù)據(jù)和系統(tǒng)的有限制使用��。
正如醫(yī)療服務(wù)提供方的IT策略所定義的那樣��,基于經(jīng)過身份驗(yàn)證的個(gè)人用戶的身份��,授權(quán)能力允許每個(gè)用戶只能訪問已批準(zhǔn)的數(shù)據(jù)�����,并只能在設(shè)備上執(zhí)行已批準(zhǔn)的功能。
在MDS2 (HN 1-2003)中的評估要素:
4.網(wǎng)絡(luò)安全特征配置(CNFS):產(chǎn)品根據(jù)用戶需求配置網(wǎng)絡(luò)安全特征的能力����。
經(jīng)授權(quán)的IT管理員可以選擇如何配置器械的網(wǎng)絡(luò)安全功能��,來滿足醫(yī)療服務(wù)提供方的策略和工作流程
在MDS2 (HN 1-2003)中的評估要素:
5.網(wǎng)絡(luò)安全補(bǔ)丁升級(CSUP):授權(quán)用戶安裝/升級產(chǎn)品網(wǎng)絡(luò)安全補(bǔ)丁的能力����。
建立一個(gè)統(tǒng)一的方式��,由現(xiàn)場服務(wù)人員�����、遠(yuǎn)程服務(wù)人員以及可能授權(quán)的醫(yī)療服務(wù)提供方人員安裝/升級產(chǎn)品安全補(bǔ)丁(可下載補(bǔ)丁)����。
在MDS2 (HN 1-2003)中的評估要素:
網(wǎng)絡(luò)安全是醫(yī)療器械軟件產(chǎn)品安全性和有效性的重要組成部分����,含有軟件組件的有源醫(yī)療器械或獨(dú)立軟件產(chǎn)品注冊申報(bào)過程����,需要針對網(wǎng)絡(luò)安全制定相應(yīng)的安全措施��。本系列文章包含了二十二項(xiàng)醫(yī)療器械網(wǎng)絡(luò)安全能力的詳解����,醫(yī)療器械企業(yè)可參考自評�����,更多關(guān)于醫(yī)療器械軟件相關(guān)內(nèi)容可關(guān)注本公眾號或與我們聯(lián)系溝通實(shí)際軟件產(chǎn)品合規(guī)應(yīng)對技巧����。
6.數(shù)據(jù)去標(biāo)識化與匿名化(DIDT):產(chǎn)品直接去除��、匿名化數(shù)據(jù)所含個(gè)人信息的能力
設(shè)備(應(yīng)用軟件或附加工具)能夠直接刪除能夠識別患者的信息�����。
在運(yùn)回工廠前進(jìn)行數(shù)據(jù)清洗;架構(gòu)設(shè)計(jì)允許遠(yuǎn)程服務(wù)��,但不需要健康數(shù)據(jù)訪問/暴露
在MDS2 (HN 1-2003)中的評估要素:
|
6 |
數(shù)據(jù)去識別化與匿名化(DIDT) |
|
|
器械直接刪除允許識別個(gè)人身份的信息的能力��。 |
|
6月1日 |
器械是否提供了對私人數(shù)據(jù)進(jìn)行去識別化處理的完整功能����? |
7.數(shù)據(jù)備份與災(zāi)難恢復(fù)(DTBK):產(chǎn)品的數(shù)據(jù)、硬件或軟件受到損壞或破壞后恢復(fù)的能力��。
確保醫(yī)療服務(wù)機(jī)構(gòu)在數(shù)據(jù)�����、硬件�����、軟件遭到損壞或者破壞后仍能繼續(xù)服務(wù)
注:本項(xiàng)不適用于某些小型����、低成本的醫(yī)療器械�����;也不適用于某些具有能力采集新一輪數(shù)據(jù)的醫(yī)療器械(如:無線網(wǎng)絡(luò)的短暫斷開導(dǎo)致心率數(shù)據(jù)的短暫丟失)
在MDS2 (HN 1-2003)中的評估要素:
|
7 |
數(shù)據(jù)備份與災(zāi)難恢復(fù)(DTBK) |
|
|
器械數(shù)據(jù)、硬件或軟件損壞或破壞后恢復(fù)的能力�����。 |
|
7月1日 |
器械是否具有完整的數(shù)據(jù)備份功能(即:備份到遠(yuǎn)程存儲(chǔ)庫或磁帶、磁盤等可移動(dòng)介質(zhì))�����? |
8.緊急訪問(EMRG):產(chǎn)品在預(yù)期緊急情況下允許用戶訪問和使用的能力��。
在緊急情況下��,臨床用戶可以在不適用個(gè)人ID或者未經(jīng)授權(quán)的情況下訪問健康數(shù)據(jù)
緊急訪問應(yīng)可被檢測��、記錄和報(bào)告��。理想情況下����,包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員(除了審核記錄外)��。
緊急訪問仍可能要求用戶登記自我聲明(未經(jīng)認(rèn)證)的用戶身份
在MDS2 (HN 1-2003)中的評估要素:
|
8
|
緊急訪問(EMRG)
|
|
|
器械用戶在需要立即訪問存儲(chǔ)的私人數(shù)據(jù)的緊急情況下訪問私人數(shù)據(jù)的能力����。
|
|
8-1
|
器械是否具有緊急訪問(“打碎玻璃”)功能�����?
|
9.數(shù)據(jù)完整性與真實(shí)性(IGAU):產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來自創(chuàng)建者或提供者的能力�����。
保證健康數(shù)據(jù)來源可靠�����,不會(huì)在未經(jīng)授權(quán)的情況下被篡改或毀壞�����,確保數(shù)據(jù)的完整性
在MDS2 (HN 1-2003)中的評估要素:
|
9
|
數(shù)據(jù)完整性與真實(shí)性(IGAU)
|
|
|
器械如何保證器械處理的數(shù)據(jù)沒有被擅自更改或銷毀����,而是由原創(chuàng)者進(jìn)行相關(guān)操作�����。
|
|
9-1
|
器械是否通過隱式或顯式錯(cuò)誤檢測/糾正技術(shù)保證存儲(chǔ)數(shù)據(jù)的完整性��?
|
10.惡意軟件探測與防護(hù)(MLDP):產(chǎn)品有效探測�����、阻止惡意軟件的能力����。
產(chǎn)品滿足監(jiān)管�����、醫(yī)療服務(wù)提供方和使用者的要求�����,有效地防護(hù)��、探測和去除惡意軟件
由于惡意軟件會(huì)不斷更新��,因此操作系統(tǒng)和應(yīng)用程序要及時(shí)打補(bǔ)丁
在MDS2 (HN 1-2003)中的評估要素:
|
10
|
惡意軟件探測與防護(hù)(MLDP)
|
|
|
器械有效預(yù)防�����、檢測和刪除惡意軟件的能力�����。
|
|
10-1
|
器械是否支持使用反惡意軟件的軟件(或其他反惡意軟件機(jī)制)����?
|
|
|
10-1.1
|
用戶是否可以獨(dú)立地重新配置反惡意軟件設(shè)置?
|
|
|
10-1.2
|
器械用戶界面是否會(huì)出現(xiàn)惡意軟件檢測通知�����?
|
|
|
10-1.3
|
檢測到惡意軟件后�����,是否只有制造商授權(quán)的人員才能修復(fù)系統(tǒng)�����?
|
|
10-2
|
器械所有者是否可以安裝或更新殺毒軟件����?
|
|
10-3
|
器械所有者/操作員是否可以(從技術(shù)上/物理上)對制造商安裝的殺毒軟件的病毒定義進(jìn)行更新��?
|
醫(yī)療器械數(shù)據(jù)安全是醫(yī)療器械網(wǎng)絡(luò)安全的核心��,企業(yè)在設(shè)計(jì)產(chǎn)品時(shí)要保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性�����、完整性和可得性����。其中數(shù)據(jù)主要包括標(biāo)明生理����、心理健康狀況,涉及患者隱私信息的私人數(shù)據(jù)和用于監(jiān)視��、控制設(shè)備運(yùn)行或用于設(shè)備維護(hù)保養(yǎng)等描述設(shè)備運(yùn)行狀況的數(shù)據(jù)��。企業(yè)還應(yīng)保證醫(yī)療器械對網(wǎng)絡(luò)安全威脅應(yīng)當(dāng)具備相應(yīng)識別����、防護(hù)能力�����。在醫(yī)療器械全生命周期過程中保證其安全性和有效性�����。
參考資料:
(1)IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
(2)Manufacturer Disclosure Statement for Medical Deceive Security-MDS2
(3)T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制 醫(yī)療器械網(wǎng)絡(luò)安全能力信息
京公網(wǎng)安備11010802046783號