隨著互聯(lián)網(wǎng)、IT技術(shù)與醫(yī)療器械的結(jié)合,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊進程中。關(guān)于醫(yī)療器械安全審查相關(guān)事項,北京市藥監(jiān)局發(fā)布《關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南征求意見的通知》,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評相關(guān)內(nèi)容。
引言:隨著互聯(lián)網(wǎng)、IT技術(shù)與醫(yī)療器械的結(jié)合,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊進程中。關(guān)于醫(yī)療器械安全審查相關(guān)事項,北京市藥監(jiān)局發(fā)布《關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南征求意見的通知》,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評相關(guān)內(nèi)容。
![醫(yī)療器械網(wǎng)絡(luò)安全.jpg 醫(yī)療器械網(wǎng)絡(luò)安全.jpg](http://zhengbiaoke-com.oss-cn-beijing.aliyuncs.com/1909/1909-de49d890-9202-4ac3-bb80-da45e4e29946.jpg)
北京市藥品監(jiān)督管理局
關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南
征求意見的通知
各有關(guān)單位:
為規(guī)范北京市第二類醫(yī)療器械產(chǎn)品注冊工作,根據(jù)原國家食品藥品監(jiān)督管理總局制定的《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》,北京市藥品監(jiān)督管理局組織制定了《醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南》。本指南從網(wǎng)絡(luò)安全特性和網(wǎng)絡(luò)安全能力的角度出發(fā),圍繞醫(yī)療器械申報資料及技術(shù)審評要求,為注冊申請人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)注冊申報提供指導(dǎo)?,F(xiàn)征求各有關(guān)單位意見,請各有關(guān)單位于2019年9月17日前將修改意見或建議反饋至我局醫(yī)療器械注冊管理處。
聯(lián)系人:趙娜;聯(lián)系電話:83979600;傳真:83560730;電子郵件:ylqxzcglc@yjj.beijing.gov.cn(郵件名稱請注明:醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南反饋意見);通信地址:北京市西城區(qū)棗林前街70號中環(huán)廣場A座1307房間,郵編100053。
附件:醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南(征求意見稿)
北京市藥品監(jiān)督管理局
2019年8月15日
醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南
(征求意見稿)
本指導(dǎo)原則實施指南旨在指導(dǎo)注冊申請人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料,同時為第二類醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評提供參考。本指導(dǎo)原則實施指南是對第二類醫(yī)療器械網(wǎng)絡(luò)安全一般性要求的細(xì)化和補充,注冊申請人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報資料,注冊申請人也可采用其他滿足法規(guī)要求的替代方法,但應(yīng)提供詳盡的研究資料和驗證資料。本指導(dǎo)原則實施指南是對注冊申請人和審評人員的指導(dǎo)性文件,不包括審評審批所涉及的行政事項,亦不作為法規(guī)強制執(zhí)行,應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則實施指南。本指導(dǎo)原則實施指南依據(jù)原國家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》和《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》編寫,因而采用時應(yīng)結(jié)合以上注冊技術(shù)審查指導(dǎo)原則的相關(guān)要求使用。本指導(dǎo)原則實施指南適用于具有網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類醫(yī)療器械產(chǎn)品的注冊申報,其中網(wǎng)絡(luò)連接包括無線網(wǎng)絡(luò)連接和有線網(wǎng)絡(luò)連接,電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸,遠(yuǎn)程控制包括實時控制和非實時控制。同時,本指導(dǎo)原則實施指南也適用于采用存儲媒介以進行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊申報,其中存儲媒介包括但不限于光盤、移動硬盤和U盤。需要指出的是,本指導(dǎo)原則實施指南中所述的文件應(yīng)來源于產(chǎn)品的開發(fā)過程。注冊申請人應(yīng)將網(wǎng)絡(luò)安全風(fēng)險管理與質(zhì)量管理體系充分融合,在確保產(chǎn)品安全有效性的同時提高產(chǎn)品的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進行電子數(shù)據(jù)交換或遠(yuǎn)程控制,這在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運行的風(fēng)險,導(dǎo)致患者或使用者受到傷害甚或死亡。因此,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分。同時,對于接入計算機信息系統(tǒng)的醫(yī)療器械,注冊申請人應(yīng)考慮醫(yī)療器械的使用環(huán)境,對預(yù)期接入定級系統(tǒng)1或非定級系統(tǒng)的醫(yī)療器械的網(wǎng)絡(luò)安全能力進行合理的設(shè)計。注冊申請人還應(yīng)考慮國家對于網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求,特別是計算機信息系統(tǒng)安全保護方面的要求,如《中華人民共和國計算機信息系統(tǒng)安全保護條例》,《GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求》,《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》等法規(guī)和標(biāo)準(zhǔn)。醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械,以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械。根據(jù)接口的類型可以分為有線網(wǎng)絡(luò)連接、無線網(wǎng)絡(luò)連接和連接本地存儲媒介。根據(jù)所處的網(wǎng)絡(luò)環(huán)境又可分為無網(wǎng)絡(luò)環(huán)境(僅連接本地存儲媒介)、受控的網(wǎng)絡(luò)環(huán)境和開放的網(wǎng)絡(luò)環(huán)境。注冊申請人應(yīng)根據(jù)不同的使用環(huán)境,識別網(wǎng)絡(luò)安全風(fēng)險,并采取相應(yīng)的網(wǎng)絡(luò)安全措施。三、 醫(yī)療器械的網(wǎng)絡(luò)安全(一) 醫(yī)療器械網(wǎng)絡(luò)安全基本要求醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性、完整性、可得性、真實性、可核查性、抗抵賴性以及可靠性等特性。指數(shù)據(jù)不能被未授權(quán)的個人、實體利用或知悉的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進行訪問。指保護數(shù)據(jù)準(zhǔn)確和完整的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的,且未被篡改。指根據(jù)授權(quán)個人、實體的要求可訪問和使用的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時進行訪問和使用。一個實體是其所聲稱實體的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)能夠體現(xiàn)真實的臨床狀態(tài),包括生理狀態(tài)、操作狀態(tài)、設(shè)備狀態(tài)等。實體的一種特性,表征對自己的動作和做出的決定負(fù)責(zé),即醫(yī)療器械相關(guān)數(shù)據(jù)表征對相關(guān)臨床動作和決定負(fù)責(zé)。證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實體的能力,以解決有關(guān)事態(tài)或行為發(fā)生與否以及事態(tài)中實體是否牽涉的爭端,即醫(yī)療器械相關(guān)數(shù)據(jù)可證明相關(guān)臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力。與預(yù)期行為和結(jié)果一致的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)與臨床的預(yù)期行為和結(jié)果一致。對醫(yī)療器械網(wǎng)絡(luò)安全的保障,是責(zé)任方、網(wǎng)絡(luò)設(shè)施提供方與醫(yī)療器械注冊申請人共同參與的結(jié)果。IEC 80001-2-22以及MDS23所識別的網(wǎng)絡(luò)安全能力,給醫(yī)療器械行業(yè)在考慮網(wǎng)絡(luò)安全風(fēng)險控制的手段上,以現(xiàn)有技術(shù)水平而言,提供了一個被廣泛接受的切入點。需要注意的是,注冊申請人對這些網(wǎng)絡(luò)安全能力進行配置以配合責(zé)任方進行網(wǎng)絡(luò)安全風(fēng)險管理時,必須綜合考慮具體醫(yī)療器械的預(yù)期用途與使用場景。醫(yī)療器械的預(yù)期用途是對疾病的預(yù)防、診斷與治療,故而在權(quán)衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時,仍然是以保證產(chǎn)品的安全性、有效性為首要任務(wù)。如在急救場景下要發(fā)揮醫(yī)療器械的有效性,可能不得不考慮對保密性的要求予以折衷。綜合考慮下來,最終的配置結(jié)果可能是大多數(shù)的醫(yī)療器械并不具備全部的網(wǎng)絡(luò)安全能力,這就需要醫(yī)療器械注冊申請人與責(zé)任方進行良好的溝通,以實現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡(luò)安全。以下列出了十九種醫(yī)療器械網(wǎng)絡(luò)安全能力,并依據(jù)有關(guān)標(biāo)準(zhǔn),結(jié)合醫(yī)療器械的產(chǎn)品特點對其主要內(nèi)容進行了描述,注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性,應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項能力的配置。無人值守的終端設(shè)備,存在被人進行非授權(quán)的操作、顯示信息被非授權(quán)人員閱讀的風(fēng)險。此項網(wǎng)絡(luò)安全能力確保器械在所設(shè)時段內(nèi)若未被用戶操作,則自動進入保護狀態(tài),從而降低上述風(fēng)險發(fā)生的概率。此項網(wǎng)絡(luò)安全能力,改善了器械的保密性與完整性,然而對器械的可得性會造成損害,應(yīng)結(jié)合器械的預(yù)期用途與使用場景,決定是否配置以及如何配置。如對急診用器械、長期監(jiān)護用器械、用戶無需獲得授權(quán)的器械等可得性要求較高的器械。器械的網(wǎng)絡(luò)安全與器械的使用方式息息相關(guān),不正確、非授權(quán)的使用會導(dǎo)致器械存在網(wǎng)絡(luò)安全方面的風(fēng)險。對器械使用環(huán)節(jié)的關(guān)鍵信息予以記錄,本身屬于風(fēng)險控制措施的一部分。此項能力的配置對網(wǎng)絡(luò)安全的保密性、完整性、可核查性均有提升,有利于對醫(yī)療器械使用記錄提供可追溯性檢測以及用于事后問責(zé)調(diào)查和對風(fēng)險的持續(xù)監(jiān)視,也為風(fēng)險控制的應(yīng)急響應(yīng)提供輸入。醫(yī)療器械的非授權(quán)使用,會導(dǎo)致多種危險情況,確保醫(yī)療器械的使用者、管理者、維護者、擁有者得到合適的授權(quán)是重要的風(fēng)險控制手段。用戶權(quán)限的管理可以提升保密性、完整性與可核查性,然而通常會導(dǎo)致可得性的損失。4.網(wǎng)絡(luò)安全配置能力 CNFS對器械網(wǎng)絡(luò)安全的保障是由責(zé)任方、使用者、網(wǎng)絡(luò)基礎(chǔ)設(shè)施供應(yīng)商、醫(yī)療器械注冊申請人多方共同參與的一項活動。開放網(wǎng)絡(luò)安全相關(guān)的配置有利于網(wǎng)絡(luò)安全在使用場景中的整體部署,但是另一方面器械在有意、無意情況下的配置錯誤也可能導(dǎo)致不可接受的風(fēng)險,此種情境是與系統(tǒng)的加固要求相矛盾的(SAHD),應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項能力的配置。5.網(wǎng)絡(luò)安全升級能力 CSUP器械以及器械所依賴的軟硬件環(huán)境,所面臨的威脅并不是一成不變的,作為風(fēng)險控制手段,有必要對器械或器械的運行環(huán)境予以修補以抵御新的網(wǎng)絡(luò)威脅。由于器械、運行環(huán)境、所受威脅的狀況千差萬別,部分修補可以由用戶自行升級完成;而部分修補,則可能需要注冊申請人的授權(quán)人員才能進行。6.健康數(shù)據(jù)去標(biāo)識化能力 DIDT在醫(yī)療服務(wù)過程中產(chǎn)生的健康數(shù)據(jù)常常具有預(yù)防、診斷、治療之外的其它價值,比如科研、培訓(xùn)、不良事件追溯、設(shè)備維護等。健康數(shù)據(jù)若直接用于非醫(yī)療用途,則存在隱私數(shù)據(jù)保護方面的風(fēng)險。數(shù)據(jù)交付之前,去除健康數(shù)據(jù)所附帶的身份信息,是提升保密性的重要手段。然而,去除標(biāo)志會破壞數(shù)據(jù)的可追溯性。7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力 DTBK健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風(fēng)險,保持?jǐn)?shù)據(jù)備份與災(zāi)難恢復(fù)的能力,可以提高數(shù)據(jù)的完整性與可得性。8.緊急訪問隱私數(shù)據(jù)的能力 EMRG醫(yī)療器械是以提供預(yù)防、診斷、治療目的為核心屬性,部分情況下器械、數(shù)據(jù)的可得性受損會導(dǎo)致不可接受的風(fēng)險。為器械配置被緊急訪問的能力以及相應(yīng)的安全可控的緊急訪問流程,對此項風(fēng)險的控制至關(guān)重要。然而,配置被緊急訪問的能力,常常會導(dǎo)致可得性之外的其它網(wǎng)絡(luò)安全特性受損,應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項能力的配置。9.數(shù)據(jù)完整性真實性確認(rèn)能力 IGAU當(dāng)數(shù)據(jù)的完整性受損而導(dǎo)致不可接受的風(fēng)險時,醫(yī)療器械具備此項能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞。惡意軟件侵入醫(yī)療器械可能會導(dǎo)致不可接受的風(fēng)險,此項能力可以對已知惡意軟件進行探測、報告并防止其侵害。由于惡意軟件的產(chǎn)生難以預(yù)知,此項能力需要在器械的使用過程中不斷維護,必要時采取緊急措施。11.通信對象、通信節(jié)點的身份驗證能力 NAUT器械若與未經(jīng)授權(quán)的通信節(jié)點進行互操作,可能導(dǎo)致不可接受的風(fēng)險。此項能力配合責(zé)任方的網(wǎng)絡(luò)安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識別并被授權(quán)進行數(shù)據(jù)傳輸。有一部分器械并非開放給所有的使用者,這部分器械如果被未獲授權(quán)的用戶使用,可能導(dǎo)致不可接受的風(fēng)險。此項能力配合責(zé)任方的網(wǎng)絡(luò)安全策略,可確保器械的使用者是經(jīng)過授權(quán)認(rèn)證的。醫(yī)療器械在物理上被進入,會造成保密性與完整性的破壞,可能導(dǎo)致不可接受的風(fēng)險。重點關(guān)注敏感信息的存儲介質(zhì)(可移動介質(zhì)除外)是否不借助工具就能被取出。醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分,比如第三方的操作系統(tǒng)或數(shù)據(jù)庫等。責(zé)任方若對此類組件不知情,則不利于此類組件未來的網(wǎng)絡(luò)安全管理,也不利于未來網(wǎng)絡(luò)安全事件的責(zé)任劃分,可能導(dǎo)致不可接受的風(fēng)險。15.系統(tǒng)與應(yīng)用加固能力 SAHD醫(yī)療器械中可能存在著與預(yù)期用途無關(guān)的配置,如某些非醫(yī)療預(yù)期用途的賬號、通信端口、共享文件、服務(wù)等。此類配置可能會成為網(wǎng)絡(luò)攻擊者所利用的通道,從而造成不可接受的風(fēng)險,對這些配置予以關(guān)閉有利于降低風(fēng)險發(fā)生的概率。16.對操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力 SGUD醫(yī)療器械的不當(dāng)使用可能在醫(yī)療器械網(wǎng)絡(luò)安全方面造成不可接受的風(fēng)險,對使用者提供產(chǎn)品說明、提供可索取的披露資料、予以培訓(xùn)等,均有利于降低使用者操作不當(dāng)?shù)娘L(fēng)險。健康數(shù)據(jù)的明文存儲有損于產(chǎn)品的保密性,對數(shù)據(jù)存儲予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險。值得指出,國家在市場監(jiān)督管理范疇之外,對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的規(guī)定,對商用密碼的使用,也應(yīng)遵守市場監(jiān)督管理范疇之外的法律法規(guī)要求。健康數(shù)據(jù)的明文傳輸有損于產(chǎn)品的保密性,對數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險。值得指出,國家在市場監(jiān)督管理范疇之外,對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的規(guī)定,對商用密碼的使用,也應(yīng)遵守市場監(jiān)督管理范疇之外的法律法規(guī)要求。19.保障數(shù)據(jù)傳輸完整性的能力 TXIG健康數(shù)據(jù)在傳輸過程中,數(shù)據(jù)可能受到無意的信道噪音干擾,也有可能受到惡意篡改,這都可能造成不可接受的風(fēng)險。采用技術(shù)手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性,可以降低此類風(fēng)險。注冊申請人可以通過綜合考慮這19項網(wǎng)絡(luò)安全能力來提高產(chǎn)品的網(wǎng)絡(luò)安全特性。網(wǎng)絡(luò)安全能力與網(wǎng)絡(luò)安全特性之間的關(guān)系如下:
網(wǎng)絡(luò)安全特性 網(wǎng)絡(luò)安全能力 | 保密性 | 完整性 | 可得性 | 可靠性 |
---|
ALOF 自動登出能力 | 2 | 2 | -1 | - |
AUDT審核控制能力 | 1 | 1 | - | 1 |
AUTH 確定用戶權(quán)限的能力 | 2 | 2 | -1 | 1 |
CNFS 網(wǎng)絡(luò)安全配置能力 | 1 | 1 | 1 | 1 |
CSUP 網(wǎng)絡(luò)安全升級能力 | 1 | 1 | 1 | - |
DTBK數(shù)據(jù)備份與災(zāi)難恢復(fù)能力 | - | 1 | 2 | - |
EMRG 緊急訪問隱私數(shù)據(jù)的能力 | - | - | 2 | -1 |
DIDT 健康數(shù)據(jù)去標(biāo)識化能力 | 2 | - | - | - |
IGAU 數(shù)據(jù)完整性真實性確認(rèn)能力 | - | 2 | - | 2 |
STCF 存儲保密能力 | 2 | - | - | - |
MLDP 惡意軟件的防止、檢測與清除能力 | 1 | 1 | 1 | - |
NAUT 通信對象、通信節(jié)點的身份驗證能力 | 1 | - | - | 1 |
PAUT 驗證合法用戶的能力 | 1 | - | - | 2 |
PLOK 物理保護能力 | 1 | 1 | 1 | - |
SGUD 對操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力 | 1 | 1 | 1 | 1 |
SAHD 系統(tǒng)與應(yīng)用加固能力 | 1 | 1 | 1 | - |
RDMP 第三方組件管理能力 | - | - | - | - |
TXDF 傳輸保密能力 | 2 | - | - | - |
TXIG 保障數(shù)據(jù)傳輸完整性的能力 | - | 2 | - | - |
注:“2”指可以顯著提高此項網(wǎng)絡(luò)安全特性,“1”指可以提高此項網(wǎng)絡(luò)安全特性,“-”指基本不對此項網(wǎng)絡(luò)安全特性產(chǎn)生影響,“-1”指可以降低此項網(wǎng)絡(luò)安全特性。
(三)網(wǎng)絡(luò)安全的上市后監(jiān)管
1.網(wǎng)絡(luò)安全事件4
網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等。網(wǎng)絡(luò)安全事件可能會造成醫(yī)療器械系統(tǒng)不能訪問、醫(yī)療數(shù)據(jù)泄露或者篡改,進而有可能導(dǎo)致病人受到嚴(yán)重傷害或死亡或病人的健康數(shù)據(jù)泄漏。
2.網(wǎng)絡(luò)安全事件的處置
醫(yī)療器械注冊人應(yīng)建立產(chǎn)品上市后的網(wǎng)絡(luò)安全事件處置流程。網(wǎng)絡(luò)安全事件發(fā)生后,醫(yī)療器械注冊人應(yīng)能夠及時有效地處理和管理安全事件,通常包括以下措施:
應(yīng)收集并確認(rèn)受網(wǎng)絡(luò)安全事故影響的客戶,識別網(wǎng)絡(luò)安全事件對相關(guān)系統(tǒng)帶來的風(fēng)險;
應(yīng)快速采取應(yīng)急對策,例如:告知客戶斷開網(wǎng)絡(luò)連接,提供臨時解決方案恢復(fù)系統(tǒng)至正常工作狀態(tài)等;
應(yīng)對網(wǎng)絡(luò)安全事件的做出詳細(xì)的風(fēng)險分析和評估;
應(yīng)提供經(jīng)過驗證和確認(rèn)的解決措施,并告知客戶相關(guān)的更新信息。
注冊申請人應(yīng)建立相應(yīng)的組織以確保網(wǎng)絡(luò)安全事件處置流程得以實施。
3.網(wǎng)絡(luò)安全事件上報
當(dāng)下列網(wǎng)絡(luò)安全事件發(fā)生,醫(yī)療器械注冊人應(yīng)及時報送信息給監(jiān)管部門:
——病人受到嚴(yán)重傷害或者死亡;
——醫(yī)療器械注冊人提供的大量醫(yī)療器械系統(tǒng)不能訪問;
——大量的病人健康數(shù)據(jù)泄露。
若涉及到病人受到嚴(yán)重傷害或者死亡的網(wǎng)絡(luò)安全事件,醫(yī)療器械注冊人應(yīng)按照醫(yī)療器械不良事件的相關(guān)規(guī)定上報。
4.涉及召回的網(wǎng)絡(luò)安全事件應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理。
5.網(wǎng)絡(luò)安全更新的管理
網(wǎng)絡(luò)安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
——重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新;——輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,如常規(guī)安全補丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新,應(yīng)進行許可事項變更;而發(fā)生輕微網(wǎng)絡(luò)安全更新,注冊人應(yīng)通過質(zhì)量管理體系進行控制,無需進行注冊變更,待到下次注冊(注冊變更和延續(xù)注冊)時提交相應(yīng)注冊申報資料。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡(luò)安全更新,遵循風(fēng)險從高原則應(yīng)進行許可事項變更。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理,不屬于本指導(dǎo)原則討論范圍。
軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況。
注冊申請人在提交注冊申報資料時,應(yīng)根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全的具體情況提交網(wǎng)絡(luò)安全描述文檔或常規(guī)安全補丁描述文檔。網(wǎng)絡(luò)安全描述文檔適用于產(chǎn)品注冊、重大網(wǎng)絡(luò)安全更新,常規(guī)安全補丁描述文檔適用于輕微網(wǎng)絡(luò)安全更新。
四、 網(wǎng)絡(luò)安全注冊資料
注冊申請人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)(如其它醫(yī)療器械、信息技術(shù)設(shè)備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性,提交網(wǎng)絡(luò)安全描述文檔。網(wǎng)絡(luò)安全描述文檔應(yīng)描述醫(yī)療器械的基本信息、風(fēng)險管理、驗證與確認(rèn)和維護計劃。
(一) 基本信息
應(yīng)描述醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的基本信息,這些信息包括:
1.醫(yī)療器械傳輸,存儲和處理的信息描述;
2.以上信息的類型:健康數(shù)據(jù)、設(shè)備數(shù)據(jù);
3.以上信息交換的方向(單向、雙向);
4.以上信息是否用于遠(yuǎn)程控制(實時、非實時);
5.以上信息的用途:如臨床應(yīng)用、設(shè)備維護等;
6.以上信息的交換方式:網(wǎng)絡(luò)(無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò))及要求(如傳輸協(xié)議(標(biāo)準(zhǔn)、自定義)、接口、帶寬等),存儲媒介(如光盤、移動硬盤、U盤等)及要求(如存儲格式(標(biāo)準(zhǔn)、自定義)、容量等);對于專用無線設(shè)備(非通用信息技術(shù)設(shè)備),還應(yīng)提交符合無線電管理規(guī)定的證明材料;如涉及個人敏感數(shù)據(jù),應(yīng)明確個人敏感數(shù)據(jù)的儲存和傳輸方式;
7.醫(yī)療器械包含的安全軟件:描述安全軟件(如殺毒軟件、防火墻等)的名稱、型號規(guī)格、完整版本、供應(yīng)商、運行環(huán)境要求;
8.醫(yī)療器械包含的現(xiàn)成軟件:描述現(xiàn)成軟件(包括應(yīng)用軟件、系統(tǒng)軟件、支持軟件)的名稱、型號規(guī)格、完整版本和供應(yīng)商。
(二)風(fēng)險管理
1.網(wǎng)絡(luò)安全風(fēng)險管理概述
網(wǎng)絡(luò)安全風(fēng)險管理是指注冊申請人基于醫(yī)療器械產(chǎn)品的預(yù)期用途和使用場景進行網(wǎng)絡(luò)安全風(fēng)險分析,評價并采取網(wǎng)絡(luò)安全風(fēng)險控制手段確保產(chǎn)品的網(wǎng)絡(luò)安全能力。注冊申請人可對網(wǎng)絡(luò)安全采用醫(yī)療器械風(fēng)險管理的方法(可參照《YY/T 0316 醫(yī)療器械 風(fēng)險管理對醫(yī)療器械的應(yīng)用》)對產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的風(fēng)險進行分析、評價和控制,也可采用信息安全網(wǎng)絡(luò)安全風(fēng)險評估的方法(可參照《GB/T20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》)進行評估,并進行風(fēng)險控制。
如適用,醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理應(yīng)考慮對個人敏感信息的保護。對個人信息的處理,應(yīng)遵循個人信息安全基本原則5和相關(guān)的法律法規(guī)。如有必要,應(yīng)對個人信息進行匿名化或去標(biāo)識化處理。
風(fēng)險管理除了從網(wǎng)絡(luò)安全角度來考慮產(chǎn)品的網(wǎng)絡(luò)安全能力外,還應(yīng)當(dāng)根據(jù)醫(yī)療器械的預(yù)期用途考慮網(wǎng)絡(luò)安全風(fēng)險對醫(yī)療器械的安全性和有效性的影響。
醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險管理需要考慮醫(yī)療器械產(chǎn)品整個產(chǎn)品生命周期并作適時更新。2.網(wǎng)絡(luò)安全風(fēng)險管理過程注冊申請人應(yīng)對網(wǎng)絡(luò)安全管理活動進行策劃并制定網(wǎng)絡(luò)安全風(fēng)險可接受性準(zhǔn)則。注冊申請人應(yīng)考慮網(wǎng)絡(luò)安全損害的嚴(yán)重度和網(wǎng)絡(luò)安全損害的發(fā)生概率并按照接受性準(zhǔn)則決定是否需要降低風(fēng)險。
a、網(wǎng)絡(luò)安全損害的嚴(yán)重度,例如:
等級名稱 | 代碼 | 網(wǎng)絡(luò)安全損害的嚴(yán)重度 |
輕度 | 1 | 例如:輕微傷或者無須處理,少量設(shè)備數(shù)據(jù)泄露… |
中度 | 2 | 例如:中等人身傷害需要專業(yè)醫(yī)治,有限的設(shè)備數(shù)據(jù)泄露… |
嚴(yán)重 | 3 | 例如:一人重傷或者死亡,有限的病人數(shù)據(jù)泄露… |
災(zāi)難 | 4 | 例如:多人重傷或者死亡,大規(guī)模病人數(shù)據(jù)泄露… |
b、網(wǎng)絡(luò)安全損害的發(fā)生概率,例如:
等級名稱 | 代碼 | 網(wǎng)絡(luò)安全損害的發(fā)生概率 |
極少 | 1 | <10-3 |
非常少 | 2 | 10-2-10-3 |
偶爾 | 3 | 10-1 - 10 -2 |
有時 | 4 | 1 - 10-1 |
經(jīng)常 | 5 | >1 |
注:發(fā)生概率應(yīng)和醫(yī)療器械具體情況相適應(yīng)根據(jù)風(fēng)險評價結(jié)果需要降低風(fēng)險時,注冊申請人應(yīng)當(dāng)識別適當(dāng)?shù)娘L(fēng)險控制措施,以把風(fēng)險降低到可接受的水平。
風(fēng)險分析、評價和風(fēng)險控制措施記錄表舉例
漏洞 | 威脅 | 描述 | 技術(shù)風(fēng)險 |
系統(tǒng)設(shè)計,實施或操作和管理中的一系列條件,使其易受影響 | 有可能造成不良后果的來源??梢允亲饔梦?,人,事件或事物,動機可以是有意的或無意的 | 原因,影響因素 描述風(fēng)險場景,漏洞和緩解因素=漏洞+可利用性 | 初始風(fēng)險 | 緩解措施 | 剩余技術(shù)風(fēng)險 |
漏洞編號 | 漏洞描述 | 威脅描述 | 風(fēng)險狀況 | 可能性 | 影響 | 風(fēng)險 | 緩解措施 | 緩解措施編號 | 可能性 | 影響 | 風(fēng)險 |
|
|
|
|
|
|
|
|
|
|
|
|
風(fēng)險評估矩陣模型舉例
a、 初始風(fēng)險分布
概率 | 嚴(yán)重度 | 總計 |
---|
4 | 3 | 2 | 1 |
|
---|
災(zāi)難 | 嚴(yán)重 | 中度 | 輕度 |
|
---|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時 | 4 | 1 | 0 | 2 | 2 | 5 |
偶爾 | 3 | 0 | 2 | 4 | 1 | 7 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 2 | 0 | 2 | 1 | 5 |
總計 |
| 3 | 2 | 8 | 7 | 20 |
b、 措施后風(fēng)險分布
概率 | 嚴(yán)重度 | 總計 |
4 | 3 | 2 | 1 |
|
災(zāi)難 | 嚴(yán)重 | 中度 | 輕度 |
|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時 | 4 | 0 | 0 | 0 | 1 | 1 |
偶爾 | 3 | 0 | 1 | 2 | 1 | 4 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 0 | 0 | 2 | 1 | 3 |
總計 |
| 0 | 1 | 4 | 6 | 11 |
注冊申請人應(yīng)形成網(wǎng)絡(luò)安全風(fēng)險管理報告,并完成風(fēng)險管理過程的評審,確認(rèn)綜合剩余風(fēng)險是可接受的。注冊人要持續(xù)關(guān)注產(chǎn)品上市后與產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險,根據(jù)實際情況適時更新風(fēng)險分析、評價和控制文件,如法規(guī)更新、不良事件報告等。網(wǎng)絡(luò)安全驗證和確認(rèn)活動的目的是確定風(fēng)險管理中采用的網(wǎng)絡(luò)安全控制手段均已得到正確的實施,從而確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求(如保密性、完整性、可得性等特性)均已得到滿足。對于現(xiàn)成軟件,注冊申請人應(yīng)當(dāng)在網(wǎng)絡(luò)安全風(fēng)險分析過程中將其作為產(chǎn)品的一部分進行充分的網(wǎng)絡(luò)安全評估,并在產(chǎn)品的網(wǎng)絡(luò)安全能力配置中予以綜合考慮。注冊申請人應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品研制的全生命周期過程中進行網(wǎng)絡(luò)安全的驗證與確認(rèn)活動,通過分析、測試、評估、審查等手段,確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求得到滿足。網(wǎng)絡(luò)安全驗證與確認(rèn)活動可以參考附錄中的19項網(wǎng)絡(luò)安全能力評價準(zhǔn)則。A)應(yīng)當(dāng)確保在醫(yī)療器械產(chǎn)品的需求、設(shè)計、測試以及風(fēng)險管理各個階段考慮并落實網(wǎng)絡(luò)安全需求,并且保證網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范、測試以及風(fēng)險管理的一致性和完整性。B)應(yīng)當(dāng)針對醫(yī)療器械產(chǎn)品進行網(wǎng)絡(luò)安全測試驗證,確保所有網(wǎng)絡(luò)安全風(fēng)險控制措施都得到正確的實施。a)應(yīng)對網(wǎng)絡(luò)安全測試活動進行合理的策劃,包括確定測試的內(nèi)容(包括產(chǎn)品需求中要求配置的網(wǎng)絡(luò)安全能力)、測試人員和相應(yīng)的職責(zé)、測試所需的環(huán)境、測試的技術(shù)和方法(如漏洞測試、惡意軟件測試、缺陷輸入測試、結(jié)構(gòu)化滲透測試)、異常處理方式、測試通過的準(zhǔn)則、測試所需的資源以及測試進度安排等。b)應(yīng)根據(jù)測試計劃的安排仔細(xì)設(shè)計測試用例,并按照測試用例的要求執(zhí)行測試活動,如實記錄原始測試結(jié)果,確保測試過程的可追溯性。對于安全軟件,注冊申請人應(yīng)當(dāng)針對不同的軟件、硬件運行平臺,進行兼容性測試;如果產(chǎn)品采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式,應(yīng)當(dāng)進行審查或測試驗證其對相關(guān)標(biāo)準(zhǔn)的符合性;如果產(chǎn)品采用自定義的傳輸協(xié)議和存儲格式,應(yīng)當(dāng)進行完整性測試驗證。c) 應(yīng)對測試結(jié)果進行仔細(xì)的分析和評價,確保測試活動的有效性,并對測試遺留的問題進行評價。
(3)驗證與確認(rèn)記錄
注冊申請人應(yīng)當(dāng)將醫(yī)療器械網(wǎng)絡(luò)安全驗證與確認(rèn)活動的結(jié)果以文檔的方式進行記錄,確保網(wǎng)絡(luò)安全驗證與確認(rèn)活動的可追溯性。
1)應(yīng)當(dāng)以文檔的形式記錄醫(yī)療器械網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范、測試以及風(fēng)險管理的追溯性關(guān)系。2)應(yīng)當(dāng)對網(wǎng)絡(luò)安全測試策劃活動進行記錄并形成網(wǎng)絡(luò)安全測試計劃文檔。3)應(yīng)當(dāng)對網(wǎng)絡(luò)安全測試執(zhí)行過程、測試結(jié)果以及測試結(jié)果的分析評估進行記錄,形成網(wǎng)絡(luò)安全測試報告。4)對于安全軟件,注冊申請人應(yīng)將兼容性測試結(jié)果進行單獨文檔記錄,并形成兼容性測試報告。5)對于采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式的產(chǎn)品,注冊申請人應(yīng)當(dāng)記錄標(biāo)準(zhǔn)符合性審查結(jié)果;對于采用自定義的傳輸協(xié)議和存儲格式的產(chǎn)品,注冊申請人應(yīng)當(dāng)對完整性測試結(jié)果進行記錄并形成完整性測試報告。6)可以對實時遠(yuǎn)程程控功能的產(chǎn)品中關(guān)于遠(yuǎn)程數(shù)據(jù)相關(guān)的測試進行單獨的文檔記錄,并形成相應(yīng)的完整性和可得性測試報告。在醫(yī)療器械產(chǎn)品上市后,注冊人應(yīng)結(jié)合自身質(zhì)量管理體系要求,制定網(wǎng)絡(luò)安全維護流程,保證醫(yī)療器械產(chǎn)品的安全性和有效性。網(wǎng)絡(luò)安全維護流程涉及到以下方面:1)監(jiān)控網(wǎng)絡(luò)安全信息源(包括第三方軟件組件)以識別和檢測網(wǎng)絡(luò)漏洞;2)了解、檢測可能發(fā)生的漏洞,評估其風(fēng)險影響;3)與設(shè)備的安全和基本性能有關(guān)的網(wǎng)絡(luò)安全問題,特別是網(wǎng)絡(luò)安全事件相關(guān)的問題,重點分析其風(fēng)險和影響,制定減輕策略,使得醫(yī)療器械產(chǎn)品及時得到保護和恢復(fù);4)用于修補漏洞的軟件更新和補丁程序,需要進行驗證和確認(rèn),包括第三方軟件組件的漏洞修復(fù)(例如,操作系統(tǒng),安全軟件等);5)盡早地部署軟件網(wǎng)絡(luò)安全更新程序至客戶站點,并告知客戶相關(guān)更新內(nèi)容。有關(guān)醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理,可參閱文獻ISO/IEC 291476和ISO/IEC 301117。具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡(luò)問題可能不斷變化,注冊申請人在產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò)安全問題。醫(yī)療器械注冊人應(yīng)對已上市產(chǎn)品進行有效、及時并持續(xù)地網(wǎng)絡(luò)安全更新。對于已發(fā)現(xiàn)的漏洞,應(yīng)分析漏洞的可被利用性,對病人傷害的嚴(yán)重程度以及病人信息泄露的可能性,醫(yī)療器械注冊人應(yīng)決定該漏洞的風(fēng)險是可控還是處于失控狀態(tài),制定相應(yīng)的解決措施修復(fù)該網(wǎng)絡(luò)漏洞。與網(wǎng)絡(luò)安全事件相關(guān)的網(wǎng)絡(luò)更新,需要重點分析其風(fēng)險和影響,及時有效地提供經(jīng)驗證的解決方案。通常的網(wǎng)絡(luò)安全更新應(yīng)包括:2)第三方軟件(包括操作系統(tǒng)等)的漏洞安全更新;3)安全軟件(如殺毒軟件等)的病毒掃描引擎的更新。若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡(luò)安全設(shè)計是不可行的或者不能馬上實施,注冊人應(yīng)考慮使用網(wǎng)絡(luò)補償控制方案來減輕網(wǎng)絡(luò)漏洞風(fēng)險。網(wǎng)絡(luò)補償控制是在缺乏有效網(wǎng)絡(luò)安全設(shè)計的前提下,提供補充性網(wǎng)絡(luò)防護措施。例如注冊申請人對醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)漏洞評估后,認(rèn)為對設(shè)備未被授權(quán)的情況下進行訪問極有可能影響設(shè)備的安全和基本性能,但是若該設(shè)備沒有連接到外部網(wǎng)絡(luò)(例如,醫(yī)院網(wǎng)絡(luò))或者使用路由器對連接進行限定,則醫(yī)療器械仍然可以安全有效的工作。對于預(yù)期接入IT-網(wǎng)絡(luò)或與其它醫(yī)療器械進行交互的醫(yī)療器械,其數(shù)據(jù)交換方式有兩種:網(wǎng)絡(luò)(包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò))或存儲媒介(如光盤、移動硬盤、U盤等)。對于數(shù)據(jù)交換的接口,常見的有線接口如USB、RS232、RS485、CAN、RJ45等。近些年,無線通訊被廣泛使用,如藍(lán)牙、WiFi、Zigbee、RFID、各種蜂窩無線網(wǎng)絡(luò)等。對于有線接口,技術(shù)要求中應(yīng)明確連接接口的規(guī)格,有線網(wǎng)絡(luò)要明確帶寬要求。對于無線網(wǎng)絡(luò),應(yīng)描述網(wǎng)絡(luò)類型或制式、使用頻段、數(shù)據(jù)特性(例如上下行傳輸速率)等。注冊申請人可以采用已經(jīng)標(biāo)準(zhǔn)化的數(shù)據(jù)傳輸協(xié)議或存儲格式。醫(yī)療器械常用的傳輸協(xié)議如HL7、DICOM,存儲格式如EDF等。注冊申請人也可以使用通用的網(wǎng)絡(luò)傳輸協(xié)議如TCP/IP、UDP、HTTP、HTTPS等。注冊申請人在產(chǎn)品技術(shù)要求中,應(yīng)明確傳輸協(xié)議/存儲格式。對于已經(jīng)標(biāo)準(zhǔn)化的傳輸協(xié)議或存儲格式除了說明協(xié)議類型之外,還應(yīng)說明協(xié)議的版本,如果對設(shè)備進行控制,應(yīng)說明是否為實時控制。對于注冊申請人自定義的數(shù)據(jù)傳輸協(xié)議或存儲格式,應(yīng)在隨機文件中描述或在產(chǎn)品技術(shù)要求中提供相應(yīng)的驗證方法。醫(yī)療器械在執(zhí)行用戶訪問控制之前,應(yīng)完成對用戶身份的鑒別或認(rèn)證。認(rèn)證是系統(tǒng)驗證希望訪問系統(tǒng)的用戶身份的過程。基本的認(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證、數(shù)字摘要和簡單的身份認(rèn)證等。在產(chǎn)品技術(shù)要求中醫(yī)療器械注冊申請人應(yīng)明確醫(yī)療器械所采用的用戶身份簽別技術(shù)。用戶訪問控制策略對醫(yī)療器械的保密性、完整性起直接的作用,是對越權(quán)使用資源的防御措施,是網(wǎng)絡(luò)安全的重要組成部分。醫(yī)療器械的使用者應(yīng)依據(jù)訪問控制策略來限制對數(shù)據(jù)和系統(tǒng)功能的訪問。用戶訪問控制的種類早期分為自主訪問控制(DAC)和強制訪問控制(MAC),但隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,又出現(xiàn)了基于角色的訪問控制(RBAC)、基于任務(wù)的訪問控制(TBAC)、以及基于屬性、上下文、信譽等等的訪問控制模型。隨著系統(tǒng)的復(fù)雜度變高,一個系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術(shù)要求中,醫(yī)療器械注冊申請人應(yīng)明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法、用戶類型及權(quán)限。預(yù)期接入網(wǎng)絡(luò)或與其它醫(yī)療器械進行交互的醫(yī)療器械具有更復(fù)雜的運行環(huán)境與技術(shù)生態(tài)系統(tǒng),例如:復(fù)雜的信息與技術(shù)基礎(chǔ)設(shè)施(例如硬件、軟件、網(wǎng)絡(luò)、其他系統(tǒng)和數(shù)據(jù)接口等),眾多的參與開發(fā)、實施、使用所涉及的人員、組織和服務(wù)機構(gòu)。預(yù)期接入網(wǎng)絡(luò)的醫(yī)療器械生命周期不僅包含設(shè)計與開發(fā)、也應(yīng)包含實施與臨床使用,包括涉及醫(yī)療器械的采購、安裝、配置、數(shù)據(jù)集成或遷移、工作流實現(xiàn)與優(yōu)化、培訓(xùn)、使用與維護、退市等各種環(huán)節(jié)。一般情況下,醫(yī)療器械注冊申請人只涉及醫(yī)療器械的設(shè)計與開發(fā)過程,而后期的實施與臨床使用等環(huán)節(jié)的網(wǎng)絡(luò)安全由另外的組織來負(fù)責(zé)。注冊申請人雖無法保證整個醫(yī)療器械生命周期的網(wǎng)絡(luò)安全,但應(yīng)在說明書或其他文檔中提供在實施與臨床使用環(huán)節(jié)中所需要的必要信息,如運行環(huán)境、接口與訪問控制、安全軟件及軟件更新等,以保證在實施與臨床使用環(huán)節(jié)的網(wǎng)絡(luò)安全。如適用,注冊申請人在說明書中應(yīng)明確醫(yī)療器械的運行環(huán)境,包括硬件配置、軟件環(huán)境和網(wǎng)絡(luò)條件。硬件配置應(yīng)明確醫(yī)療器械安全運行所需要的最低硬件資源配置要求,比如CPU、內(nèi)存、存儲與顯示要求等。軟件環(huán)境應(yīng)明確要求醫(yī)療器械運行所需要的操作系統(tǒng)等。網(wǎng)絡(luò)條件應(yīng)明確醫(yī)療器械運行所需要的網(wǎng)絡(luò)類型、帶寬等。如適用,注冊申請人在說明書中應(yīng)描述接口與訪問控制,以滿足醫(yī)療器械實施與臨床使用過程中的要求。對于接口的描述,應(yīng)能夠滿足醫(yī)療器械與網(wǎng)絡(luò)、或其它設(shè)備的安全連接。對于訪問控制的描述,應(yīng)能指導(dǎo)使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中。在資源允許的情況下,醫(yī)療器械可使用一些安全軟件來提高產(chǎn)品的網(wǎng)絡(luò)安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用,注冊申請人應(yīng)在說明書中明確這些軟件的名稱、版本等信息。如適用,注冊申請人應(yīng)在說明書中明確軟件環(huán)境與安全軟件的更新需求,更新的來源、執(zhí)行的步驟等。
附錄
19項網(wǎng)絡(luò)安全能力評價準(zhǔn)則
1.自動登出能力(Automatic logoff–ALOF)注冊申請人應(yīng)考慮,未授權(quán)的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù),授權(quán)用戶會話需要在預(yù)先設(shè)置的一段時間后自動終止或鎖定;自動注銷需要包括清除所有顯示器上的健康數(shù)據(jù);本地授權(quán)的IT管理員需要能夠禁用該功能并設(shè)置過期時間(包括屏幕保護程序);當(dāng)短時間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時,可以調(diào)用此對健康數(shù)據(jù)顯示清除;臨床用戶不應(yīng)因自動下線而丟失未提交的工作,這是可取的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。2.審核控制能力(Audit controls–AUDT)注冊申請人應(yīng)考慮,通過在設(shè)備上創(chuàng)建審計跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)訪問、修改或刪除,從而記錄和檢查系統(tǒng)活動的能力。支持將日志記錄信息作為獨立存儲庫(在其自己的文件系統(tǒng)中記錄審計文件)使用。使用適當(dāng)?shù)膶徲媽彶楣ぞ咧С謱徲媱?chuàng)建和維護,確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下),并確保無法編輯或刪除審計數(shù)據(jù)。審計數(shù)據(jù)可能包含個人數(shù)據(jù)和/或健康數(shù)據(jù),所有處理(例如存取、儲存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂?。?yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。3.確定用戶權(quán)限的能力(Authorization–AUTH)注冊申請人應(yīng)基于經(jīng)過身份驗證的單個用戶進行標(biāo)識,授權(quán)功能允許每個用戶僅有訪問已批準(zhǔn)的數(shù)據(jù)權(quán)利,并僅在設(shè)備上執(zhí)行已批準(zhǔn)的功能。授權(quán)用戶包括注冊申請人安全控制人員和該策略定義的服務(wù)人員。醫(yī)療器械通常支持基于許可的系統(tǒng),提供對注冊申請人安全控制人員中個人角色(基于角色的訪問控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)的訪問。例如:1)操作者可使用所有適當(dāng)?shù)脑O(shè)備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作。2)質(zhì)量人員(如醫(yī)學(xué)物理學(xué)家)可以從事所有適當(dāng)?shù)馁|(zhì)量和保證測試活動。3)服務(wù)人員可以以支持預(yù)防性維護、問題調(diào)查和問題消除活動的方式訪問系統(tǒng)。4)授權(quán)允許注冊申請人在有效交付醫(yī)療保健機構(gòu)的同時:①維護系統(tǒng)和數(shù)據(jù)安全;②遵循適當(dāng)?shù)臄?shù)據(jù)訪問最小化原則。授權(quán)可以在本地或注冊申請人范圍內(nèi)管理(例如通過集中目錄)。注:如果預(yù)期使用不允許登錄和注銷設(shè)備所需的時間(例如高吞吐量使用),則本地IT策略可以允許減少授權(quán)控制,假定受控制和受限制的物理訪問是否足夠。應(yīng)根據(jù)器械預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。4.網(wǎng)絡(luò)安全配置能力(Configuration of security features–CNFS)注冊申請人應(yīng)考慮,本地授權(quán)的IT管理員能夠選擇使用產(chǎn)品安全功能還是不使用產(chǎn)品安全功能。這需要考慮網(wǎng)絡(luò)安全風(fēng)險評估內(nèi)容,可以包括與安全能力控制交互的特權(quán)管理方面。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。5.網(wǎng)絡(luò)安全升級能力(Cyber security product upgrades–CSUP)注冊申請人應(yīng)按照規(guī)定,盡快在醫(yī)療產(chǎn)品上安裝第三方安全補丁: 根據(jù)客觀的、權(quán)威的、文檔化的漏洞風(fēng)險評估,優(yōu)先考慮解決高風(fēng)險漏洞的補丁。要求醫(yī)療產(chǎn)品供應(yīng)商和醫(yī)療服務(wù)提供商確保其產(chǎn)品持續(xù)安全和有效的臨床功能。了解本地醫(yī)療器械法規(guī)。進行充分的測試,以發(fā)現(xiàn)對醫(yī)療產(chǎn)品(性能或功能)可能危及患者的任何意外副作用。注冊申請人需要提供關(guān)于評估/驗證補丁的主動信息。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。6.健康數(shù)據(jù)去標(biāo)識化能力(HEALTH DATA de-identification–DIDT)注冊申請人應(yīng)考慮,臨床用戶、服務(wù)工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數(shù)據(jù)。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力(Data backup and disaster recovery–DTBK)注冊申請人應(yīng)合理保證在系統(tǒng)故障或損壞后,可以恢復(fù)存儲在產(chǎn)品上的持久保存的系統(tǒng)設(shè)置和敏感數(shù)據(jù),以便業(yè)務(wù)能夠繼續(xù)進行。特別需要注意的是,這一要求可能不適用于較小的低成本設(shè)備。這實際上可能依賴于在下一個采集周期中收集新的相關(guān)數(shù)據(jù)的能力(例如由于偶爾的無線信號丟失而丟失的短時心率數(shù)據(jù))。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。8.緊急訪問隱私數(shù)據(jù)的能力(Emergency access–EMRG)注冊申請人應(yīng)考慮,在緊急情況下,臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數(shù)據(jù)(break-glass功能)。應(yīng)檢測、記錄和報告應(yīng)急通道。理想情況下,包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員(除了審計記錄之外)。緊急訪問需要在輸入時要求并記錄自認(rèn)證用戶標(biāo)識(無需身份驗證)。注冊申請人可以通過使用特定用戶帳戶或系統(tǒng)功能的過程方法來解決這個問題。管理員需要能夠啟用/禁用依賴于技術(shù)或過程控制的產(chǎn)品提供的任何緊急功能。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。9.數(shù)據(jù)完整性真實性確認(rèn)能力(HEALTH DATA integrity and authenticity–IGAU)注冊申請人可以通過使用包括固定介質(zhì)和可移動介質(zhì),來確保健康數(shù)據(jù)是可靠的,不會被篡改。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證。10.惡意軟件的防止、檢測與清除能力(Malware detection/protection–MLDP)注冊申請人應(yīng)考慮,產(chǎn)品支持法規(guī)和用戶需求,以確保有效和統(tǒng)一的支持,可以預(yù)防、檢測和刪除惡意軟件。防止惡意軟件,對應(yīng)用程序及時進行軟件更新,關(guān)注惡意軟件模式,及時對當(dāng)前操作環(huán)境、系統(tǒng)、數(shù)據(jù)文件和應(yīng)用程序進行補丁更新。并經(jīng)常需要對設(shè)備運行更新后進行驗證測試,以確保持續(xù)使用和安全。注冊申請人需要檢測傳統(tǒng)的惡意軟件以及可能干擾設(shè)備/系統(tǒng)正常運行的未授權(quán)軟件的影響,并提供詳細(xì)的測試結(jié)果。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。11.通信對象、通信節(jié)點的身份驗證能力(Node authentication–NAUT)注冊申請人應(yīng)能夠以一種方式管理跨機器的賬戶,以保護健康數(shù)據(jù)訪問。支持獨立管理和集中管理。支持根據(jù)行業(yè)標(biāo)準(zhǔn)進行節(jié)點認(rèn)證。檢測和防止實體偽造(提供不可抵賴性)。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。12.驗證合法用戶的能力(Person authentication–PAUT)注冊申請人在為控制和監(jiān)視網(wǎng)絡(luò)訪問和活動的網(wǎng)絡(luò)連接設(shè)備創(chuàng)建和使用用戶的唯一賬戶和基于角色的訪問控制(RBAC、本地和遠(yuǎn)程)。以一種方式管理賬戶以保護健康數(shù)據(jù)訪問的能力。用戶可能需要將個人首選項與用戶賬戶關(guān)聯(lián)。這可能有助于多個運營商、部門甚至多個使用的設(shè)備和系統(tǒng)。支持獨立和中央管理。單點登錄和所有工作地點的密碼相同??刂茖υO(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問,并生成不可否認(rèn)的審計跟蹤,發(fā)現(xiàn)和防止人員造假(提供不可抵賴性)。注意,這個要求在臨床中緊急訪問操作期間是放松的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。13.物理保護能力(Physical locks on device–PLOK)注冊申請人應(yīng)合理保證儲存在產(chǎn)品或媒體上的健康數(shù)據(jù)是和保持安全的方式與設(shè)備上數(shù)據(jù)記錄的靈敏度和容量成比例。系統(tǒng)合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。篡改(包括設(shè)備移除)是可以檢測到的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。14.第三方組件管理能力(Third-party components in product lifecycle roadmaps–RDMP)注冊申請人應(yīng)對醫(yī)療器械提供明確的預(yù)期壽命說明,并對提供第三方組件的服務(wù)商對其產(chǎn)品生命周期內(nèi)維護或支持相應(yīng)的系統(tǒng)進行要求。當(dāng)平臺組件過時的情況下,需要及時進行更新和升級。在存儲設(shè)備退役(丟棄、重用、轉(zhuǎn)售或回收)之前,服務(wù)提供商需不可逆地擦除健康數(shù)據(jù)。這些活動應(yīng)該被記錄和審計。銷售和服務(wù)人員應(yīng)了解對每個產(chǎn)品在其生命周期中提供的安全支持。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。15.系統(tǒng)與應(yīng)用加固能力(System and application hardening–SAHD)注冊申請人應(yīng)給用戶提供一個穩(wěn)定的系統(tǒng),并且只提供那些根據(jù)其預(yù)期用途而指定和需要的服務(wù),同時進行最少的維護活動。并且要求連接到它們的網(wǎng)絡(luò)的系統(tǒng)在交付時是安全的,加強了對誤用和攻擊的抵御能力。注冊申請人應(yīng)將用戶反饋的用戶設(shè)備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風(fēng)險分析和管理進行漏洞的修復(fù),并及時更新提交。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。16.對操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力(Security guides–SGUD)注冊申請人應(yīng)讓操作人員清楚地了解自己的職責(zé)和安全的系統(tǒng)工作方式。管理員需要關(guān)于管理、定制和監(jiān)視系統(tǒng)的信息(即訪問控制列表、審計日志等)。管理員需要清楚地了解安全功能,以便根據(jù)適當(dāng)?shù)姆ㄒ?guī)要求進行健康數(shù)據(jù)風(fēng)險評估。銷售和服務(wù)應(yīng)包括系統(tǒng)的安全能力和安全工作方式的信息。用戶應(yīng)知道如何以及何時將用戶設(shè)備中可能存在的安全漏洞和察覺到的弱點通知注冊人。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。17.存儲保密能力(HEALTH DATA storage confidentiality–STCF)注冊申請人應(yīng)合理保證儲存在產(chǎn)品或媒體上的健康數(shù)據(jù)是保持安全的。基于風(fēng)險分析,必須考慮對存儲在醫(yī)療器械上的健康數(shù)據(jù)進行加密。對于存儲在可移動介質(zhì)上的健康數(shù)據(jù),加密可以保護臨床用戶、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師的機密性/完整性。應(yīng)使用一種與傳統(tǒng)使用、服務(wù)訪問、緊急訪問一致的加密密鑰管理機制。加密方法和強度考慮了數(shù)據(jù)的容量(記錄收集/聚合的程度)和靈敏度。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。18.傳輸保密能力(Transmission confidentiality–TXCF)注冊申請人應(yīng)確保在經(jīng)過身份驗證的節(jié)點之間傳輸期間保持健康數(shù)據(jù)機密性。這允許在相對開放的網(wǎng)絡(luò)和/或環(huán)境中傳輸健康數(shù)據(jù),在這些環(huán)境中使用用于健康數(shù)據(jù)完整性和保密性的強大保密策略(詳見:IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks)。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。19.保障數(shù)據(jù)傳輸完整性的能力(Transmission integrity–TXIG)注冊申請人應(yīng)提供確保傳輸過程中考慮風(fēng)險分析后健康數(shù)據(jù)的完整性測試的結(jié)果,這允許注冊申請人在相對開放的網(wǎng)絡(luò)或環(huán)境中傳輸健康數(shù)據(jù),需使用健康數(shù)據(jù)完整性強策略。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮此項能力的驗證與確認(rèn)。
參考文獻:
1)《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》(原國家食品藥品監(jiān)督管理總局2015年第50號通告)
2)《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》(原國家食品藥品監(jiān)督管理總局2017年第13號通告)
3)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(中華人民共和國國務(wù)院令第147號)
4)中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》(中網(wǎng)辦發(fā)文〔2017〕4號)
5)GB/T 29246-2012信息安全技術(shù) 信息安全管理體系概述和詞匯
6)GB/T 20984-2015 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范
7)GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求
8)GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求
9)GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求
10)YY/T 0316-2016 醫(yī)療器械 風(fēng)險管理對醫(yī)療器械的應(yīng)用
11)IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險管理應(yīng)用.第2-2部分 醫(yī)療器械安全
12)ISO/IEC 27035 Information technology - Security techniques - Information security incident management
13)ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14)ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15)ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
16)ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
17)ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
18)ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
19)ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
20)ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21)IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22)IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
23)HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security