醫(yī)療器械網絡安全前言介紹
網絡安全注冊適用于醫(yī)療器械網絡安全的注冊申報,包括具備電子數據交換��、遠程訪問與控制�、用戶訪問三種功能當中一種及以上功能的第二����、三類獨立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械);適用于自研軟件�����、現成軟件的注冊申報。
其中�����,網絡包括無線�����、有線網絡���,電子數據交換包括基于網絡�、存儲媒介的單向����、雙向數據傳輸,遠程訪問與控制包括基于網絡的實時�、非實時的訪問與控制,用戶(如醫(yī)務人員��、患者��、維護人員等)訪問包括基于軟件用戶界面、電子接口的人機交互方式����。
網絡安全研究報告應單獨提交。 同時在產品注冊申報及變更/延續(xù)注冊時��,還應該補充以下內容至相應版塊兒:
(一)產品注冊
1.軟件研究資料
2.說明書
說明書提供網絡安全說明和使用指導��,明確用戶訪問控制機制��、電子接口(含網絡接口���、電子數據交換接口)及其數據類型和技術特征、網絡安全特征配置��、數據備份與災難恢復����、運行環(huán)境(含硬件配置、外部軟件環(huán)境���、網絡環(huán)境�����,若適用)��、安全軟件兼容性列表(若適用)�、外部軟件環(huán)境與安全軟件更新(若適用)、現成軟件清單(SBOM����,若適用)等要求。
(二)變更注冊
1.軟件研究資料
醫(yī)療器械變更注冊應根據網絡安全更新情況��,提交變化部分對產品安全性與有效性影響的研究資料:
(1)涉及網絡安全功能更新:適用于自研軟件發(fā)生網絡安全功能更新���,或合并網絡安全補丁更新的情形�,此時單獨提交一份自研軟件網絡安全功能更新研究報告(或自研軟件網絡安全研究報告)�;
(2)僅發(fā)生網絡安全補丁更新:適用于自研軟件(含必備軟件、外部軟件環(huán)境)僅發(fā)生網絡安全補丁更新的情形�����,此時單獨提交一份自研軟件網絡安全補丁更新研究報告�;
(3)未發(fā)生網絡安全更新:出具真實性聲明,明確對此承擔法律責任���。
若使用現成軟件組件����,根據其使用方式提交相應研究資料。相關研究資料的具體要求詳見第六章����。
2.說明書
若適用,提交說明書關于網絡安全內容的變更對比表����。
(三)延續(xù)注冊
延續(xù)注冊通常無需提交網絡安全相關研究資料。若適用��,根據注冊證“備注”所載明的要求提交相應網絡安全研究資料��。
產品技術要求“產品型號/規(guī)格及其劃分說明”所述軟件版本命名規(guī)則應涵蓋網絡安全更新情況��,區(qū)分重大網絡安全更新和輕微網絡安全更新��。若原注冊產品標準(或原產品技術要求)及其變更對比表未體現軟件相關信息�,需在符合性聲明中予以明確���,其中軟件版本命名規(guī)則需涵蓋網絡安全更新情況���。
自研軟件網絡安全研究報告
(一)自研軟件網絡安全研究報告
自研軟件網絡安全研究報告適用于自研軟件的初次發(fā)布和再次發(fā)布,包括基本信息、實現過程�、漏洞評估、結論���,詳盡程度取決于軟件安全性級別���,不適用內容詳述理由。
1.基本信息
(1)軟件信息
明確申報醫(yī)療器械軟件的名稱���、型號規(guī)格��、發(fā)布版本以及軟件安全性級別����。
若網絡安全的安全性級別低于軟件的安全性級別����,詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。
(2)數據架構
提供申報醫(yī)療器械在每個使用場景(含遠程維護與升級��,下同)下的網絡環(huán)境和數據流圖����,并依據圖示描述醫(yī)療器械相關數據和電子接口的基本情況�����。
數據情況明確醫(yī)療器械相關數據的類型(敏感醫(yī)療數據�����、非敏感醫(yī)療數據��、設備數據)�,并依據數據類型明確每類數據的具體內容(如個人信息����、醫(yī)療活動信息、設備運行信息)�����、功能(如單向�、雙向電子數據交換���,實時����、非實時遠程訪問與控制)、用途(如醫(yī)療活動��、設備維護)等���。
電子接口情況逐項說明每個網絡接口����、電子數據交換接口的預期用戶����、使用場景、預期用途����、數據類型、技術特征�����、使用限制���,其中技術特征要求詳見第二章�。
(3)網絡安全能力
基于第二章所述各項網絡安全能力����,逐項分析申報醫(yī)療器械對于該項網絡安全能力的適用性���,詳述適用網絡安全能力的實現方法以及不適用理由。若適用�����,提供其他網絡安全能力的適用情況說明���。
(4)網絡安全補丁
提供申報醫(yī)療器械(含必備軟件�、外部軟件環(huán)境)的網絡安全補丁列表�����,明確網絡安全補丁的名稱�����、完整版本�、發(fā)布日期�。可另附文件��。
(5)安全軟件
描述申報醫(yī)療器械兼容或所用的安全軟件(如殺毒軟件、防火墻等)的名稱���、型號規(guī)格��、完整版本��、供應商�����、運行環(huán)境�����、防護規(guī)則配置要求���。
2.實現過程
(1)風險管理
提供申報醫(yī)療器械網絡安全的風險分析報告、風險管理報告����,另附網絡安全開發(fā)所形成的原始文件。亦可提供醫(yī)療器械軟件的風險管理文檔�,但需注明網絡安全情況。
(2)需求規(guī)范
提供申報醫(yī)療器械的網絡安全需求規(guī)范文檔�,另附網絡安全開發(fā)所形成的原始文件��。亦可提供醫(yī)療器械軟件的需求規(guī)范文檔����,但需注明網絡安全情況����。
(3)驗證與確認
提供申報醫(yī)療器械的網絡安全測試計劃和報告,另附網絡安全開發(fā)所形成的原始文件��。亦可提供醫(yī)療器械軟件的系統測試計劃和報告����,但需注明網絡安全情況。
對于安全軟件�����,提供兼容性測試報告�����。對于標準傳輸協議或存儲格式����,若其滿足醫(yī)療器械網絡安全需求出具真實性聲明即可,反之提供相應證明材料�;對于私有傳輸協議或存儲格式,提供完整性測試總結報告�����。對于實時遠程訪問與控制功能�,提供完整性和可得性等網絡安全特性的測試報告。對于醫(yī)用無線專用設備��,提供符合無線電管理相關規(guī)定的證明材料���。
(4)可追溯性分析
提供申報醫(yī)療器械的網絡安全可追溯性分析報告��,匯總列明網絡安全需求規(guī)范文檔��、網絡安全設計規(guī)范文檔���、源代碼(明確軟件單元名稱即可)、網絡安全測試報告����、網絡安全風險分析報告之間的對應關系。亦可提供醫(yī)療器械軟件的可追溯性報告,但需注明網絡安全情況��。
(5)維護計劃
輕微級別:提供申報醫(yī)療器械網絡安全更新的流程圖��,并依據圖示描述相關活動�����。
中等�、嚴重級別:在輕微級別的基礎上,提供網絡安全事件應急響應的流程圖����,并依據圖示描述相關活動;或者提供網絡安全事件應急響應預案文檔�。
若適用,全部級別均需提供遠程維護與升級的流程圖��,并依據圖示描述相關活動��。
3.漏洞評估
輕微級別:按照現行有效的通用漏洞評分系統(CVSS)所定義的漏洞等級�����,明確申報醫(yī)療器械(含必備軟件����、外部軟件環(huán)境���,下同)已知漏洞總數和已知剩余漏洞數��。
中等級別:提供網絡安全漏洞自評報告�,明確漏洞掃描所用軟件工具、漏洞庫(基于國家信息安全漏洞庫或互認的國際信息安全漏洞庫)的基本信息(如名稱���、完整版本�����、發(fā)布日期����、供應商等)��,按照CVSS漏洞等級明確申報醫(yī)療器械已知漏洞總數和已知剩余漏洞數�����,列明已知剩余漏洞的內容����、對產品的影響及綜合剩余風險���,確保產品綜合剩余風險均可接受。亦可補充網絡安全評估機構出具的網絡安全漏洞評估報告����。
嚴重級別:提供網絡安全漏洞自評報告、網絡安全評估機構出具的網絡安全漏洞評估報告���,明確已知剩余漏洞的維護方案���,確保產品綜合剩余風險均可接受。
4.結論
概述申報醫(yī)療器械的網絡安全實現過程的規(guī)范性和網絡安全漏洞評估結果��,判定申報醫(yī)療器械的網絡安全是否滿足要求�,受益是否大于風險。
自研軟件網絡安全研究報告框架
|
報告條款
|
軟件安全性級別
|
|
輕微
|
中等
|
嚴重
|
|
基本信息
|
軟件信息
|
明確軟件的基本情況和安全性級別
|
|
數據架構
|
提供每個使用場景的網絡環(huán)境和數據流圖��,描述醫(yī)療器械相關數據和電子接口的基本情況
|
|
網絡安全能力
|
明確網絡安全能力情況
|
|
網絡安全補丁
|
列明網絡安全補丁的基本情況
|
|
安全軟件
|
明確安全軟件的基本情況
|
|
實現過程
|
風險管理
|
提供網絡安全的風險分析報告��、風險管理報告
|
|
需求規(guī)范
|
提供網絡安全需求規(guī)范文檔
|
|
驗證與確認
|
提供網絡安全的測試計劃和報告
|
|
可追溯性分析
|
提供網絡安全可追溯性分析報告
|
|
維護計劃
|
提供網絡安全更新��、遠程維護與升級的流程圖及活動描述
|
提供網絡安全更新����、網絡安全事件應急響應�����、遠程維護與升級的流程圖及活動描述
|
|
漏洞評估
|
按照漏洞等級明確已知漏洞總數和剩余漏洞數
|
提供網絡安全漏洞自評報告����,按照漏洞等級明確已知漏洞總數�、已知剩余漏洞情況
|
提供網絡安全漏洞自評報告�����、網絡安全評估機構出具的網絡安全漏洞評估報告����,明確已知剩余漏洞的維護方案
|
|
結論
|
概述網絡安全實現過程的規(guī)范性和網絡安全漏洞評估結果,判定網絡安全是否滿足要求
|
(二)自研軟件網絡安全更新研究報告
自研軟件網絡安全更新研究報告適用于自研軟件的再次發(fā)布���,包括網絡安全功能更新�、網絡安全補丁更新等研究報告���。
網絡安全功能更新研究報告適用于自研軟件發(fā)生重大��、輕微網絡安全功能更新���,或合并網絡安全補丁更新的情形�。
網絡安全補丁更新研究報告適用于自研軟件(含必備軟件�、外部軟件環(huán)境)僅發(fā)生網絡安全補丁更新的情形�����。其內容包括軟件信息、網絡安全補丁�����、風險管理�、驗證與確認、可追溯性分析�����、維護計劃�����、漏洞評估�、結論����,具體要求詳見下表相應說明�。
自研軟件網絡安全功能更新研究報告框架
|
報告條款
|
軟件安全性級別
|
|
輕微
|
中等
|
嚴重
|
|
基本信息
|
軟件信息
|
明確本次申報軟件情況,詳述變化
|
|
數據架構
|
明確本次申報軟件情況��,詳述變化
|
|
網絡安全能力
|
明確本次申報軟件情況��,詳述變化
|
|
網絡安全補丁
|
列明網絡安全更新部分的補丁情況
|
|
安全軟件
|
明確本次申報軟件情況��,詳述變化
|
|
實現過程
|
風險管理
|
提供網絡安全更新部分的風險分析報告����、風險管理報告
|
|
需求規(guī)范
|
提供網絡安全更新部分需求規(guī)范文檔
|
|
驗證與確認
|
提供網絡安全更新部分的測試計劃和報告
|
|
可追溯性分析
|
提供網絡安全更新部分的可追溯性分析報告
|
|
維護計劃
|
提供用戶告知計劃
|
提供用戶告知計劃��、網絡安全事件應急響應總結報告
|
|
漏洞評估
|
明確本次申報軟件已知漏洞總數和剩余漏洞數
|
提供本次申報軟件的網絡安全自評報告����,按照漏洞等級明確已知漏洞總數、已知剩余漏洞情況
|
提供本次申報軟件的網絡安全自評報告�����、網絡安全評估機構出具的網絡安全漏洞評估報告��,明確已知剩余漏洞的維護方案
|
|
結論
|
概述網絡安全更新實現過程的規(guī)范性和網絡安全漏洞評估結果,判定網絡安全更新是否滿足要求
|
現成軟件網絡安全研究資料
1.現成軟件組件網絡安全研究資料
(1)部分使用方式
對于部分使用方式��,即醫(yī)療器械軟件同時使用自研軟件和現成軟件組件��,無需單獨提交網絡安全研究報告����,基于醫(yī)療器械軟件的安全性級別,在自研軟件網絡安全研究報告適用條款中說明現成軟件組件的情況����。
適用條款包括軟件信息、數據架構�����、網絡安全能力����、網絡安全補丁、風險管理�、需求規(guī)范、驗證與確認��、可追溯性分析、維護計劃���、漏洞評估��、結論�。
此時若現成軟件組件發(fā)生網絡安全更新��,網絡安全功能更新在自研軟件網絡安全功能更新研究報告的基礎上��,說明現成軟件組件的變化情況�,不適用條款說明理由;網絡安全補丁更新要求與自研軟件相同�����。
(2)全部使用方式
對于全部使用方式��,即醫(yī)療器械軟件全部為現成軟件組件�,需要單獨提交現成軟件組件網絡安全研究報告����,其內容與自研軟件研究報告相同,但需基于現成軟件組件(此時即醫(yī)療器械軟件)的安全性級別予以說明�。
此時若現成軟件組件發(fā)生網絡安全更新,網絡安全功能更新在現成軟件組件網絡安全功能更新研究報告的基礎上�,說明現成軟件組件的變化情況�����,不適用條款說明理由�����;網絡安全補丁更新要求與自研軟件相同�。
2.外部軟件環(huán)境網絡安全評估資料
外部軟件環(huán)境網絡安全評估作為外部軟件環(huán)境評估的重要組成部分����,其網絡安全及其更新的研究資料要求與外部軟件環(huán)境評估報告相同。
考慮到醫(yī)療器械軟件指導原則已明確外部軟件環(huán)境評估報告要求�,同時自研軟件網絡安全研究資料亦含有外部軟件環(huán)境的網絡安全補丁、漏洞評估等要求��,故無需單獨提交外部軟件環(huán)境網絡安全評估資料�。
(一) 基本考量:隨著網絡技術的發(fā)展,越來越多的醫(yī)療器械具備網絡連接功能以進行電子數據交換或遠程控制�����,在提高醫(yī)療服務質量與效率的同時也面臨著網絡攻擊的威脅���。醫(yī)療器械網絡安全出現問題不僅可能會侵犯患者隱私����,而且可能會產生醫(yī)療器 械非預期運行的風險,導致患者受到傷害或死亡�。因此,醫(yī)療器械網絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一����。
醫(yī)療器械網絡安全是指保護醫(yī)療器械產品自身和相關數據不受未授權活動影響的狀態(tài),其保密性(Confidentiality)����、完整性(Integrity)、可得性(Availability)[在信息安全領域availability譯為可用性��,而在醫(yī)療器械領域usability譯為可用性��,為避免引起歧義本指導原則將availability譯為可得性�。]相關風險在全生命周期均處于可接受水平[詳見IMDRF/CYBER WG/N60FINAL:2020。]�。
其中�,保密性是指信息不被未授權實體(含產品、服務���、個人�����、組織)獲得或知悉的特性�,即醫(yī)療器械產品自身和相關數據僅可由授權用戶在授權時間以授權方式進行訪問和使用。完整性是指信息的創(chuàng)建���、傳輸����、存儲��、顯示未以非授權方式進行更改(含刪除�、添加)的特性,即醫(yī)療器械相關數據是準確和完整的���,且未被篡改�����?��?傻眯允侵感畔⒖筛鶕跈鄬嶓w要求進行訪問和使用的特性����,即醫(yī)療器械產品自身和相關數據能以預期方式適時進行訪問和使用��。
除保密性���、完整性���、可得性三個基本特性外,醫(yī)療器械網絡安全還包括真實性(Authenticity)�、抗抵賴性(Non-Repudiation)、可核查性(Accountability)�、可靠性(Reliability)等特性。其中��,真實性是指實體符合其所聲稱的特性����,抗抵賴性是指實體可證明所聲稱事件或活動的發(fā)生及其發(fā)起實體的特性,可核查性是指實體的活動及結果可被追溯的特性��,可靠性是指實體的活動及結果與預期保持一致的特性�。
保密性、完整性����、可得性等網絡安全特性通常是相互制約的關系,在同等條件下��,某一特性的能力提升可能會使得另一特性或多個特性的能力下降�,如可得性的提升可能會降低保密性和完整性,因此需要基于產品特性進行平衡兼顧���。注冊申請人需結合醫(yī)療器械的預期用途���、使用場景、核心功能進行綜合考量�,從而確定醫(yī)療器械網絡安全特性的具體要求。
此外��,盡管信息安全����、網絡安全、數據安全的定義和范圍各有側重�,既有聯系又有區(qū)別,不盡相同����,但本指導原則從醫(yī)療器械安全有效性評價角度出發(fā)對三者不做嚴格區(qū)分���,統一采用網絡安全進行表述,即從網絡安全角度綜合考慮醫(yī)療器械的信息安全和數據安全����。
(二)醫(yī)療器械相關數據
醫(yī)療器械相關數據可分為醫(yī)療數據和設備數據。
醫(yī)療數據是指醫(yī)療器械所產生的����、使用的與醫(yī)療活動相關的數據(含日志),從個人信息保護角度又可分為敏感醫(yī)療數據��、非敏感醫(yī)療數據���,其中敏感醫(yī)療數據是指含有個人信息的醫(yī)療數據[敏感醫(yī)療數據屬于IEC 80001所定義的健康數據(Health data)��。]����,反之即為非敏感醫(yī)療數據��。個人信息是指以電子或者其他方式記錄的能夠單獨或與其他信息結合識別自然人個人身份的各種信息��,如自然人的姓名�����、出生日期、身份證件號碼��、個人生物識別信息(含容貌信息)���、住址、電話號碼等�����。
設備數據是指記錄醫(yī)療器械運行狀況的數據(含日志)��,用于監(jiān)視����、控制醫(yī)療器械運行或者醫(yī)療器械的維護與升級,不得含有個人信息��。
注冊申請人需基于醫(yī)療器械相關數據的類型�����、功能���、用途�����,結合網絡安全特性考慮醫(yī)療器械網絡安全要求��。同時����,保證敏感醫(yī)療數據所含個人信息免于泄露、濫用和篡改��,以及醫(yī)療數據和設備數據的有效隔離(如訪問權限控制等方法)����。
(三)醫(yī)療器械電子接口
本指導原則所述醫(yī)療器械電子接口(含硬件接口、軟件接口)包括網絡接口�、電子數據交換接口,若無明示均指外部接口�����,分體式醫(yī)療器械各獨立部分的內部接口視為外部接口��,如服務器與客戶端、主機與從機的內部接口���。
1.網絡接口
網絡接口是指基于網絡的電子接口�����。醫(yī)療器械可通過網絡接口(含轉接接口)進行電子數據交換或遠程訪問與控制���,此時需考慮網絡的技術特征要求�����,包括但不限于網絡形式(有線����、無線)、網絡類型(如廣域網����、局域網、個域網)��、接口形式(如電口���、光口)����、數據接口(此時即數據協議,含標準協議��、私有協議)��、遠程訪問與控制方式(實時���、非實時)���、性能指標(如端口、傳輸速率�����、帶寬)等�。
無線網絡包括Wi-Fi(IEEE 802.11)、藍牙(IEEE 802.15)�、射頻、紅外���、4G/5G等形式�,其中醫(yī)用無線專用設備(即未采用通用無線通信技術的醫(yī)療器械)應符合中國無線電管理相關規(guī)定。標準協議即業(yè)內公認標準所規(guī)范的數據傳輸協議�����,如DICOM���、HL7等���,需考慮其定制化功能的兼容性問題;私有協議需考慮兼容性問題�。遠程訪問與控制亦包括操作系統軟件所提供的遠程會話或遠程桌面功能。
2.電子數據交換接口
電子數據交換接口是指基于非網絡的電子接口��。醫(yī)療器械可通過非網絡接口的其他電子接口(如串口�、并口�、USB口、視頻接口��、音頻接口�����,含調試接口��、轉接接口)或存儲媒介(如光盤、移動硬盤��、U盤)進行電子數據交換���。此時需考慮其他電子接口或數據存儲的技術特征要求��。
其他電子接口可參照網絡接口明確其技術特征要求�。數據存儲的技術特征要求包括但不限于存儲媒介形式�、數據接口(此時即文件存儲格式,含標準格式����、私有格式)、數據壓縮方式(有損�、無損)、性能指標(如傳輸速率�����、容量)等�����。標準格式即業(yè)內公認標準所規(guī)范的文件存儲格式���,如JPEG��、PNG等��,需考慮其文件格式完整性問題�����;私有格式需考慮兼容性問題����。
注冊申請人需結合醫(yī)療器械電子接口的類型、方式�、技術特征,基于網絡安全特性考慮其網絡安全的具體要求����。
(四)醫(yī)療器械網絡安全能力
考慮到預期用途、使用場景的限制�,醫(yī)療器械對于網絡安全威脅應具備必要的識別����、保護能力和適當的探測��、響應����、恢復能力。
本指導原則所述醫(yī)療器械網絡安全能力包括:
1.自動注銷(ALOF):產品在無人值守期間阻止非授權用戶訪問和使用的能力����。
2.審核(AUDT):產品提供用戶活動可被審核的能力。
3.授權(AUTH):產品確定用戶已獲授權的能力�����。
4.節(jié)點鑒別(NAUT):產品鑒別網絡節(jié)點的能力�。
5.人員鑒別(PAUT):產品鑒別授權用戶的能力。
6.連通性(CONN):產品保證連通網絡安全可控的能力�����。
7.物理防護(PLOK):產品提供防止非授權用戶訪問和使用的物理防護措施的能力���。
8.系統加固(SAHD):產品通過固化措施對網絡攻擊和惡意軟件的抵御能力����。
9.數據去標識化與匿名化(DIDT):產品直接去除�、匿名化數據所含個人信息的能力����。
10.數據完整性與真實性(IGAU):產品確保數據未以非授權方式更改且來自創(chuàng)建者或提供者的能力���。
11.數據備份與災難恢復(DTBK):產品的數據����、硬件或軟件受到損壞或破壞后恢復的能力��。
12.數據存儲保密性與完整性(STCF):產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力����。
13.數據傳輸保密性(TXCF):產品確保數據傳輸保密性的能力。
14.數據傳輸完整性(TXIG):產品確保數據傳輸完整性的能力���。
15.網絡安全補丁升級(CSUP):授權用戶安裝/升級產品網絡安全補丁的能力��。
16.現成軟件清單(SBOM):產品為用戶提供全部現成軟件清單的能力�。
17.現成軟件維護(RDMP):產品在全生命周期中對現成軟件提供網絡安全維護的能力�。
18.網絡安全使用指導(SGUD):產品為用戶提供網絡安全使用指導的能力。
19.網絡安全特征配置(CNFS):產品根據用戶需求配置網絡安全特征的能力。
20.緊急訪問(EMRG):產品在預期緊急情況下允許用戶訪問和使用的能力��。
21.遠程訪問與控制(RMOT):產品確保用戶遠程訪問與控制(含遠程維護與升級)的網絡安全的能力。
22.惡意軟件探測與防護(MLDP):產品有效探測���、阻止惡意軟件的能力��。
注冊申請人需根據醫(yī)療器械的產品特性分析上述網絡安全能力的適用性�����。若適用��,明確網絡安全能力的實現方式����,可通過產品自身功能實現���,亦可通過必備軟件����、外部軟件環(huán)境等外部措施實現。同時����,根據產品風險水平明確網絡安全能力的強弱程度,例如:用戶訪問控制可采用用戶名和口令方式��,其中口令強度可采用不同強度設置或采用動態(tài)口令����,亦可采用生物識別技術,通常情況下醫(yī)療器械的風險水平越高則其用戶訪問控制要求越嚴格�。反之,若不適用詳述理由并予以記錄��。
值得注意的是,對于特定醫(yī)療器械產品��,上述各項網絡安全能力可能不足以保證其網絡安全��,需結合產品具體情況補充其他網絡安全能力要求�����。
(五)網絡安全驗證與確認
網絡安全驗證與確認作為軟件驗證與確認的重要組成部分,需在軟件驗證與確認的框架下���,結合產品網絡安全特性開展相關質控工作,如源代碼安全審核�、威脅建模、漏洞掃描����、滲透測試、模糊測試等����。軟件驗證與確認相關要求詳見醫(yī)療器械軟件指導原則第二章。
注冊申請人需針對不同類型網絡威脅����,采用相應技術手段來保證醫(yī)療器械的網絡安全。例如:針對讀取攻擊����、操作攻擊、欺騙攻擊��、泛洪攻擊、重定向����、勒索攻擊等網絡威脅,可采用用戶訪問控制����、端口與服務關閉、加密��、數字簽名��、標準協議����、校驗、防火墻��、入侵檢測�、惡意代碼防護、防護規(guī)則配置等方法與技術來保證產品的網絡安全�����。
(六)網絡安全可追溯性分析
網絡安全可追溯性分析作為網絡安全驗證與確認的重要活動之一��,是指追蹤網絡安全需求、網絡安全設計�、源代碼、網絡安全測試���、網絡安全風險管理之間的關系����,分析已識別關系的正確性����、一致性�����、完整性�����、準確性�。
醫(yī)療器械網絡安全生存周期過程均應開展網絡安全可追溯性分析活動,具體要求可參照軟件可追溯性分析活動要求��,詳見醫(yī)療器械軟件指導原則第二章��。
(七)網絡安全事件應急響應
醫(yī)療器械設計開發(fā)只能針對已知網絡安全漏洞采取相應風險控制措施,上市后仍會面臨潛在未知的網絡安全漏洞引發(fā)的網絡安全事件的威脅����,可能造成醫(yī)療器械無法訪問和使用、醫(yī)療數據發(fā)生泄露或遭到篡改�����,進而可能導致患者受到傷害或死亡以及隱私被侵犯�����。同時�����,醫(yī)療器械網絡安全事件具有影響因素多���、涉及面廣�����、擴散性強和突發(fā)性高等特點�,對于醫(yī)療器械上市后監(jiān)測要求相對較高���。因此�,注冊申請人需基于相關標準和技術報告建立網絡安全事件應急響應機制,保證醫(yī)療器械的安全有效性并保護患者隱私����。
應制定網絡安全事件應急響應預案,涵蓋現成軟件要求�,明確計劃與準備、探測與報告�����、評估與決策��、應急響應實施����、總結與改進等階段的任務和要求�����。建立網絡安全事件應急響應團隊����,根據工作職能形成管理��、規(guī)劃���、監(jiān)測、響應�、實施、分析等工作小組�,必要時可邀請外部網絡安全專家成立專家小組。
根據網絡安全事件的嚴重程度�����、緊迫程度����、廣泛程度等因素進行分類分級管理,結合產品風險級別����,按照風險管理要求開展應急響應措施的驗證工作并予以記錄,在事件發(fā)生期間及時告知用戶應對措施���。若適用�����,按照醫(yī)療器械不良事件����、召回相關法規(guī)要求處理;必要時�,向國家網絡安全主管部門報告。
(八)醫(yī)療器械網絡安全更新
1.網絡安全更新
醫(yī)療器械網絡安全更新從內容上可分為功能更新����、補丁更新,類似于增強類軟件更新��、糾正類軟件更新���。根據其對醫(yī)療器械安全性和有效性的影響程度分為以下兩類:
(1)重大網絡安全更新:影響到醫(yī)療器械的安全性或有效性的網絡安全更新,即重大網絡安全功能更新����,應申請變更注冊。
(2)輕微網絡安全更新:不影響醫(yī)療器械的安全性與有效性的網絡安全更新�,包括輕微網絡安全功能更新、網絡安全補丁更新��。輕微網絡安全更新通過質量管理體系進行控制��,無需申請變更注冊,待下次變更注冊時提交相應注冊申報資料�。
此外,涉及召回的網絡安全更新�,無論功能更新還是補丁更新均屬于重大網絡安全更新,按照醫(yī)療器械召回相關法規(guī)要求處理����,不屬于本指導原則討論范疇。
網絡安全更新同樣遵循風險從高原則,即同時發(fā)生重大和輕微網絡安全更新按重大網絡安全更新處理��。同時����,軟件版本命名規(guī)則應涵蓋網絡安全更新情況,區(qū)分重大和輕微網絡安全更新����。
2.重大網絡安全更新判定原則
網絡安全功能更新若影響到醫(yī)療器械的預期用途、使用場景或核心功能原則上均屬于重大網絡安全更新���,包括但不限于:產品預期運行的網絡環(huán)境發(fā)生改變�����,如由封閉網絡環(huán)境變?yōu)殚_放網絡環(huán)境��、局域網變?yōu)閺V域網����、有線網絡變?yōu)闊o線網絡;產品預期使用的電子接口發(fā)生改變���,如接口形式由網口變?yōu)閁SB口����、接口類型由少變多�����、接口功能由電子數據交換擴至遠程控制��;產品網絡安全能力發(fā)生實質性改變����,如自動注銷能力由操作系統自帶功能實現改為產品自身功能實現��、物理防護能力由有變無等。
除非影響到醫(yī)療器械的安全性或有效性��,以下網絡安全功能更新和網絡安全補丁更新通常視為輕微網絡安全更新:產品預期運行的網絡環(huán)境數據傳輸效率單純提高�,預期使用的電子接口原有功能單純優(yōu)化、傳輸效率單純提高�,產品網絡安全能力發(fā)生非實質性改變;醫(yī)療器械軟件����、必備軟件、外部軟件環(huán)境的網絡安全補丁更新����。其中,必備軟件是指醫(yī)療器械軟件正常運行所必需的其他醫(yī)療器械軟件及醫(yī)用中間件��,外部軟件環(huán)境是指醫(yī)療器械軟件正常運行所必需的系統軟件�、通用應用軟件、通用中間件�、支持軟件,詳見醫(yī)療器械軟件指導原則。
監(jiān)管基本原則
(一)網絡安全定位
隨著網絡技術的發(fā)展,越來越多的醫(yī)療器械具備網絡連接功能以進行電子數據交換或遠程訪問與控制,在提高醫(yī)療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫(yī)療器械網絡安全出現問題不僅可能會侵犯患者隱私�,而且可能會產生醫(yī)療器械非預期運行的風險,導致患者或用戶受到傷害或死亡�����。因此,醫(yī)療器械網絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一。
信息共享是保障醫(yī)療器械網絡安全的基本原則[詳見IMDRF/CYBER WG/N60FINAL:2020。]。及時獲得網絡安全漏洞����、事件等相關信息有助于識別、評估和應對網絡安全風險�����,保證醫(yī)療器械的安全有效性以及醫(yī)療活動的業(yè)務持續(xù)性���,因此����,鼓勵所有利益相關方在醫(yī)療器械全生命周期中主動積極共享網絡安全相關信息。注冊申請人需充分利用網絡安全漏洞披露機制加強醫(yī)療器械網絡安全的設計開發(fā)和上市后監(jiān)測�,如基于國家互聯網應急中心(CNCERT/CC,www.cert.org.cn)的國家信息安全漏洞共享平臺(CNVD����,www.cnvd.org.cn),或其互認的國際信息安全漏洞庫所披露的漏洞信息���,定期開展網絡安全風險管理工作�。
醫(yī)療器械網絡安全需要注冊申請人、用戶����、信息技術服務商等利益相關者的共同努力和通力合作方能得以保障��。雖然醫(yī)療器械在使用過程中常與非預期的設備或系統相連����,使得注冊申請人在保證醫(yī)療器械網絡安全方面存在諸多困難���,但這不意味注冊申請人可以免除醫(yī)療器械網絡安全相關責任��。注冊申請人需保證醫(yī)療器械產品自身的網絡安全����,明確預期的網絡環(huán)境和電子接口要求����,持續(xù)監(jiān)測���、評估����、應對、分享網絡安全相關風險�,與其他利益相關者密切合作,從而保證醫(yī)療器械的安全有效性�。
醫(yī)療器械網絡安全也是網絡安全國家戰(zhàn)略的重要組成部分,因此醫(yī)療器械網絡安全亦應符合網絡安全相關法律法規(guī)和部門規(guī)章的要求�,如網絡安全法、數據安全法����、個人信息保護法以及數據出境�、重要數據識別等要求。注冊申請人應持續(xù)跟蹤相關法律法規(guī)和部門規(guī)章的制修訂情況����,并滿足相應適用要求����。
網絡安全新技術(如人工智能技術)研究處于快速發(fā)展階段,醫(yī)療器械若采用網絡安全新技術來保證網絡安全�����,亦需基于新技術特性,并結合風險管理開展相應驗證與確認工作����。
(二)風險導向
綜合考慮行業(yè)發(fā)展水平和風險分級管理導向,醫(yī)療器械網絡安全的風險級別不同��,其生命周期質控要求和注冊申報資料要求亦不同��。
雖然網絡安全風險與軟件風險存在差異����,但是網絡安全風險作為軟件風險的重要組成部分�,其風險級別亦可參照軟件采用安全性級別進行表述[詳見醫(yī)療器械軟件指導原則關于軟件安全性級別的說明。]��。在通常情形下�����,醫(yī)療器械網絡安全的安全性級別與所屬醫(yī)療器械軟件的安全性級別相同��;在特殊情形下�,網絡安全的安全性級別可低于軟件的安全性級別,此時需詳述理由并按網絡安全的安全性級別提交相應注冊申報資料��。
醫(yī)療器械網絡安全風險同樣結合醫(yī)療器械的預期用途��、使用場景����、核心功能進行綜合判定,特別是使用場景�����。不同使用場景的網絡環(huán)境不同�����,甚至存在巨大差異�,對于醫(yī)療器械網絡安全的影響亦不同,如門診��、手術����、住院、急救、家庭����、轉運、公共場所等使用場景的網絡環(huán)境均有所不同���,因此對于適用于多個使用場景的醫(yī)療器械��,注冊申請人需保證醫(yī)療器械在每個使用場景的網絡安全�。
醫(yī)療器械網絡安全風險管理活動通常包括:識別資產(Asset�,對個人或組織有價值的物理和數字實體)、威脅(Threat�,可能導致對個人或組織產生損害的非預期事件發(fā)生的潛在原因)和脆弱性(Vulnerability�,可能會被威脅所利用的資產或風險控制措施的弱點),評估威脅和脆弱性對于醫(yī)療器械和患者的影響以及被利用的可能性��,確定風險水平并采取充分�����、有效��、適宜的風險控制措施����,基于風險接受準則評估網絡安全綜合剩余風險�,保證網絡安全綜合剩余風險均處于可接受水平����。
注冊申請人可結合醫(yī)療器械風險管理和網絡安全風險管理相關標準和技術報告的要求,開展醫(yī)療器械網絡安全風險管理工作�����。值得注意的是��,醫(yī)療器械風險管理與網絡安全風險管理在傳統上存在一定差異����,注冊申請人若無法對二者進行有效整合���,則需分別獨立開展相應風險管理活動并予以記錄�,同時考慮不同類型風險控制措施的相互影響問題���。
(三)全生命周期質控
與醫(yī)療器械軟件類似�����,注冊申請人應在醫(yī)療器械全生命周期中持續(xù)關注網絡安全問題��,包括上市前�、上市后等階段。
醫(yī)療器械上市前結合質量管理體系要求和醫(yī)療器械產品特性開展網絡安全質控工作��,保證醫(yī)療器械的安全有效性��;上市后根據網絡安全更新情況開展更新請求評估�����、驗證與確認��、風險管理��、用戶告知等活動�����,持續(xù)保證醫(yī)療器械的安全有效性��。同時���,建立網絡安全事件應急響應過程,定期開展醫(yī)療器械網絡安全漏洞風險評估工作,根據網絡安全漏洞披露相關要求����,及時將必要的網絡安全相關信息以及應對措施告知用戶。此外��,可采用信息安全領域的良好工程實踐[在信息安全領域��,IEC 27000系列標準規(guī)范信息安全管理體系(ISMS)認證要求���,本指導原則不要求注冊申請人進行ISMS認證����,但建議參考相關標準要求�。]來完善醫(yī)療器械網絡安全質控工作,以保證醫(yī)療器械的安全有效性�。
京公網安備11010802046783號