隨著互聯(lián)網(wǎng)��、IT技術(shù)與醫(yī)療器械的結(jié)合����,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊(cè)進(jìn)程中。關(guān)于醫(yī)療器械安全審查相關(guān)事項(xiàng)��,北京市藥監(jiān)局發(fā)布《關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南征求意見的通知》,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評(píng)相關(guān)內(nèi)容�����。
引言:隨著互聯(lián)網(wǎng)、IT技術(shù)與醫(yī)療器械的結(jié)合,越來越多的智慧醫(yī)療產(chǎn)品在醫(yī)療器械注冊(cè)進(jìn)程中����。關(guān)于醫(yī)療器械安全審查相關(guān)事項(xiàng)�,北京市藥監(jiān)局發(fā)布《關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南征求意見的通知》����,我們可以提前了解一下醫(yī)療器械安全監(jiān)管審評(píng)相關(guān)內(nèi)容。
北京市藥品監(jiān)督管理局
關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南
征求意見的通知
各有關(guān)單位:
為規(guī)范北京市第二類醫(yī)療器械產(chǎn)品注冊(cè)工作�����,根據(jù)原國(guó)家食品藥品監(jiān)督管理總局制定的《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》��,北京市藥品監(jiān)督管理局組織制定了《醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南》�。本指南從網(wǎng)絡(luò)安全特性和網(wǎng)絡(luò)安全能力的角度出發(fā),圍繞醫(yī)療器械申報(bào)資料及技術(shù)審評(píng)要求�����,為注冊(cè)申請(qǐng)人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)注冊(cè)申報(bào)提供指導(dǎo)?����,F(xiàn)征求各有關(guān)單位意見���,請(qǐng)各有關(guān)單位于2019年9月17日前將修改意見或建議反饋至我局醫(yī)療器械注冊(cè)管理處��。
聯(lián)系人:趙娜����;聯(lián)系電話:83979600���;傳真:83560730���;電子郵件:ylqxzcglc@yjj.beijing.gov.cn(郵件名稱請(qǐng)注明:醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南反饋意見);通信地址:北京市西城區(qū)棗林前街70號(hào)中環(huán)廣場(chǎng)A座1307房間���,郵編100053�����。
附件:醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南(征求意見稿)
北京市藥品監(jiān)督管理局
2019年8月15日
醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實(shí)施指南
(征求意見稿)
本指導(dǎo)原則實(shí)施指南旨在指導(dǎo)注冊(cè)申請(qǐng)人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料�����,同時(shí)為第二類醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評(píng)提供參考�。本指導(dǎo)原則實(shí)施指南是對(duì)第二類醫(yī)療器械網(wǎng)絡(luò)安全一般性要求的細(xì)化和補(bǔ)充,注冊(cè)申請(qǐng)人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料���,注冊(cè)申請(qǐng)人也可采用其他滿足法規(guī)要求的替代方法���,但應(yīng)提供詳盡的研究資料和驗(yàn)證資料。本指導(dǎo)原則實(shí)施指南是對(duì)注冊(cè)申請(qǐng)人和審評(píng)人員的指導(dǎo)性文件����,不包括審評(píng)審批所涉及的行政事項(xiàng),亦不作為法規(guī)強(qiáng)制執(zhí)行�����,應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則實(shí)施指南����。本指導(dǎo)原則實(shí)施指南依據(jù)原國(guó)家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》和《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》編寫,因而采用時(shí)應(yīng)結(jié)合以上注冊(cè)技術(shù)審查指導(dǎo)原則的相關(guān)要求使用����。本指導(dǎo)原則實(shí)施指南適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)�,其中網(wǎng)絡(luò)連接包括無線網(wǎng)絡(luò)連接和有線網(wǎng)絡(luò)連接�,電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸��,遠(yuǎn)程控制包括實(shí)時(shí)控制和非實(shí)時(shí)控制���。同時(shí)�,本指導(dǎo)原則實(shí)施指南也適用于采用存儲(chǔ)媒介以進(jìn)行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)����,其中存儲(chǔ)媒介包括但不限于光盤、移動(dòng)硬盤和U盤���。需要指出的是�,本指導(dǎo)原則實(shí)施指南中所述的文件應(yīng)來源于產(chǎn)品的開發(fā)過程�����。注冊(cè)申請(qǐng)人應(yīng)將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與質(zhì)量管理體系充分融合����,在確保產(chǎn)品安全有效性的同時(shí)提高產(chǎn)品的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展���,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制,這在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅����。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會(huì)侵犯患者隱私,而且可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)��,導(dǎo)致患者或使用者受到傷害甚或死亡���。因此�,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分����。同時(shí),對(duì)于接入計(jì)算機(jī)信息系統(tǒng)的醫(yī)療器械���,注冊(cè)申請(qǐng)人應(yīng)考慮醫(yī)療器械的使用環(huán)境����,對(duì)預(yù)期接入定級(jí)系統(tǒng)1或非定級(jí)系統(tǒng)的醫(yī)療器械的網(wǎng)絡(luò)安全能力進(jìn)行合理的設(shè)計(jì)。注冊(cè)申請(qǐng)人還應(yīng)考慮國(guó)家對(duì)于網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求����,特別是計(jì)算機(jī)信息系統(tǒng)安全保護(hù)方面的要求,如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,《GB/T 22239-2019信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等法規(guī)和標(biāo)準(zhǔn)��。二�����、醫(yī)療器械的使用環(huán)境醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械�����,以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械�。根據(jù)接口的類型可以分為有線網(wǎng)絡(luò)連接���、無線網(wǎng)絡(luò)連接和連接本地存儲(chǔ)媒介���。根據(jù)所處的網(wǎng)絡(luò)環(huán)境又可分為無網(wǎng)絡(luò)環(huán)境(僅連接本地存儲(chǔ)媒介)、受控的網(wǎng)絡(luò)環(huán)境和開放的網(wǎng)絡(luò)環(huán)境�。注冊(cè)申請(qǐng)人應(yīng)根據(jù)不同的使用環(huán)境,識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�,并采取相應(yīng)的網(wǎng)絡(luò)安全措施。三、 醫(yī)療器械的網(wǎng)絡(luò)安全(一) 醫(yī)療器械網(wǎng)絡(luò)安全基本要求醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性�����、完整性�����、可得性���、真實(shí)性��、可核查性���、抗抵賴性以及可靠性等特性。指數(shù)據(jù)不能被未授權(quán)的個(gè)人��、實(shí)體利用或知悉的特性�,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪問。指保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的,且未被篡改�。指根據(jù)授權(quán)個(gè)人����、實(shí)體的要求可訪問和使用的特性��,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問和使用��。一個(gè)實(shí)體是其所聲稱實(shí)體的特性��,即醫(yī)療器械相關(guān)數(shù)據(jù)能夠體現(xiàn)真實(shí)的臨床狀態(tài)����,包括生理狀態(tài)�����、操作狀態(tài)�、設(shè)備狀態(tài)等。實(shí)體的一種特性,表征對(duì)自己的動(dòng)作和做出的決定負(fù)責(zé)��,即醫(yī)療器械相關(guān)數(shù)據(jù)表征對(duì)相關(guān)臨床動(dòng)作和決定負(fù)責(zé)�。證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實(shí)體的能力,以解決有關(guān)事態(tài)或行為發(fā)生與否以及事態(tài)中實(shí)體是否牽涉的爭(zhēng)端,即醫(yī)療器械相關(guān)數(shù)據(jù)可證明相關(guān)臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力�。與預(yù)期行為和結(jié)果一致的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)與臨床的預(yù)期行為和結(jié)果一致����。對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的保障�����,是責(zé)任方�����、網(wǎng)絡(luò)設(shè)施提供方與醫(yī)療器械注冊(cè)申請(qǐng)人共同參與的結(jié)果����。IEC 80001-2-22以及MDS23所識(shí)別的網(wǎng)絡(luò)安全能力����,給醫(yī)療器械行業(yè)在考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的手段上,以現(xiàn)有技術(shù)水平而言��,提供了一個(gè)被廣泛接受的切入點(diǎn)�。需要注意的是,注冊(cè)申請(qǐng)人對(duì)這些網(wǎng)絡(luò)安全能力進(jìn)行配置以配合責(zé)任方進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理時(shí)����,必須綜合考慮具體醫(yī)療器械的預(yù)期用途與使用場(chǎng)景。醫(yī)療器械的預(yù)期用途是對(duì)疾病的預(yù)防���、診斷與治療����,故而在權(quán)衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時(shí)�����,仍然是以保證產(chǎn)品的安全性����、有效性為首要任務(wù)。如在急救場(chǎng)景下要發(fā)揮醫(yī)療器械的有效性�,可能不得不考慮對(duì)保密性的要求予以折衷。綜合考慮下來����,最終的配置結(jié)果可能是大多數(shù)的醫(yī)療器械并不具備全部的網(wǎng)絡(luò)安全能力����,這就需要醫(yī)療器械注冊(cè)申請(qǐng)人與責(zé)任方進(jìn)行良好的溝通,以實(shí)現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡(luò)安全�����。以下列出了十九種醫(yī)療器械網(wǎng)絡(luò)安全能力,并依據(jù)有關(guān)標(biāo)準(zhǔn)�����,結(jié)合醫(yī)療器械的產(chǎn)品特點(diǎn)對(duì)其主要內(nèi)容進(jìn)行了描述����,注冊(cè)申請(qǐng)人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性,應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項(xiàng)能力的配置��。無人值守的終端設(shè)備����,存在被人進(jìn)行非授權(quán)的操作、顯示信息被非授權(quán)人員閱讀的風(fēng)險(xiǎn)��。此項(xiàng)網(wǎng)絡(luò)安全能力確保器械在所設(shè)時(shí)段內(nèi)若未被用戶操作���,則自動(dòng)進(jìn)入保護(hù)狀態(tài)����,從而降低上述風(fēng)險(xiǎn)發(fā)生的概率�����。此項(xiàng)網(wǎng)絡(luò)安全能力,改善了器械的保密性與完整性��,然而對(duì)器械的可得性會(huì)造成損害�,應(yīng)結(jié)合器械的預(yù)期用途與使用場(chǎng)景,決定是否配置以及如何配置�。如對(duì)急診用器械、長(zhǎng)期監(jiān)護(hù)用器械���、用戶無需獲得授權(quán)的器械等可得性要求較高的器械���。器械的網(wǎng)絡(luò)安全與器械的使用方式息息相關(guān),不正確�、非授權(quán)的使用會(huì)導(dǎo)致器械存在網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)。對(duì)器械使用環(huán)節(jié)的關(guān)鍵信息予以記錄���,本身屬于風(fēng)險(xiǎn)控制措施的一部分�����。此項(xiàng)能力的配置對(duì)網(wǎng)絡(luò)安全的保密性、完整性���、可核查性均有提升����,有利于對(duì)醫(yī)療器械使用記錄提供可追溯性檢測(cè)以及用于事后問責(zé)調(diào)查和對(duì)風(fēng)險(xiǎn)的持續(xù)監(jiān)視,也為風(fēng)險(xiǎn)控制的應(yīng)急響應(yīng)提供輸入��。醫(yī)療器械的非授權(quán)使用����,會(huì)導(dǎo)致多種危險(xiǎn)情況,確保醫(yī)療器械的使用者��、管理者���、維護(hù)者�����、擁有者得到合適的授權(quán)是重要的風(fēng)險(xiǎn)控制手段���。用戶權(quán)限的管理可以提升保密性、完整性與可核查性��,然而通常會(huì)導(dǎo)致可得性的損失��。4.網(wǎng)絡(luò)安全配置能力 CNFS對(duì)器械網(wǎng)絡(luò)安全的保障是由責(zé)任方�、使用者�����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施供應(yīng)商��、醫(yī)療器械注冊(cè)申請(qǐng)人多方共同參與的一項(xiàng)活動(dòng)����。開放網(wǎng)絡(luò)安全相關(guān)的配置有利于網(wǎng)絡(luò)安全在使用場(chǎng)景中的整體部署���,但是另一方面器械在有意���、無意情況下的配置錯(cuò)誤也可能導(dǎo)致不可接受的風(fēng)險(xiǎn),此種情境是與系統(tǒng)的加固要求相矛盾的(SAHD)���,應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項(xiàng)能力的配置�����。5.網(wǎng)絡(luò)安全升級(jí)能力 CSUP器械以及器械所依賴的軟硬件環(huán)境�,所面臨的威脅并不是一成不變的����,作為風(fēng)險(xiǎn)控制手段,有必要對(duì)器械或器械的運(yùn)行環(huán)境予以修補(bǔ)以抵御新的網(wǎng)絡(luò)威脅���。由于器械�����、運(yùn)行環(huán)境��、所受威脅的狀況千差萬別��,部分修補(bǔ)可以由用戶自行升級(jí)完成�;而部分修補(bǔ)��,則可能需要注冊(cè)申請(qǐng)人的授權(quán)人員才能進(jìn)行���。6.健康數(shù)據(jù)去標(biāo)識(shí)化能力 DIDT在醫(yī)療服務(wù)過程中產(chǎn)生的健康數(shù)據(jù)常常具有預(yù)防���、診斷、治療之外的其它價(jià)值����,比如科研、培訓(xùn)、不良事件追溯�、設(shè)備維護(hù)等。健康數(shù)據(jù)若直接用于非醫(yī)療用途��,則存在隱私數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)����。數(shù)據(jù)交付之前,去除健康數(shù)據(jù)所附帶的身份信息����,是提升保密性的重要手段。然而���,去除標(biāo)志會(huì)破壞數(shù)據(jù)的可追溯性�����。7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力 DTBK健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風(fēng)險(xiǎn)���,保持?jǐn)?shù)據(jù)備份與災(zāi)難恢復(fù)的能力,可以提高數(shù)據(jù)的完整性與可得性����。8.緊急訪問隱私數(shù)據(jù)的能力 EMRG醫(yī)療器械是以提供預(yù)防���、診斷、治療目的為核心屬性���,部分情況下器械、數(shù)據(jù)的可得性受損會(huì)導(dǎo)致不可接受的風(fēng)險(xiǎn)����。為器械配置被緊急訪問的能力以及相應(yīng)的安全可控的緊急訪問流程,對(duì)此項(xiàng)風(fēng)險(xiǎn)的控制至關(guān)重要�����。然而�,配置被緊急訪問的能力,常常會(huì)導(dǎo)致可得性之外的其它網(wǎng)絡(luò)安全特性受損�����,應(yīng)根據(jù)器械的預(yù)期用途與使用方式綜合考慮此項(xiàng)能力的配置�。9.數(shù)據(jù)完整性真實(shí)性確認(rèn)能力 IGAU當(dāng)數(shù)據(jù)的完整性受損而導(dǎo)致不可接受的風(fēng)險(xiǎn)時(shí),醫(yī)療器械具備此項(xiàng)能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞��。10.惡意軟件的防止���、檢測(cè)與清除能力 MLDP惡意軟件侵入醫(yī)療器械可能會(huì)導(dǎo)致不可接受的風(fēng)險(xiǎn)����,此項(xiàng)能力可以對(duì)已知惡意軟件進(jìn)行探測(cè)、報(bào)告并防止其侵害�����。由于惡意軟件的產(chǎn)生難以預(yù)知���,此項(xiàng)能力需要在器械的使用過程中不斷維護(hù)�����,必要時(shí)采取緊急措施����。11.通信對(duì)象�、通信節(jié)點(diǎn)的身份驗(yàn)證能力 NAUT器械若與未經(jīng)授權(quán)的通信節(jié)點(diǎn)進(jìn)行互操作,可能導(dǎo)致不可接受的風(fēng)險(xiǎn)�。此項(xiàng)能力配合責(zé)任方的網(wǎng)絡(luò)安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識(shí)別并被授權(quán)進(jìn)行數(shù)據(jù)傳輸。有一部分器械并非開放給所有的使用者����,這部分器械如果被未獲授權(quán)的用戶使用��,可能導(dǎo)致不可接受的風(fēng)險(xiǎn)��。此項(xiàng)能力配合責(zé)任方的網(wǎng)絡(luò)安全策略�����,可確保器械的使用者是經(jīng)過授權(quán)認(rèn)證的����。醫(yī)療器械在物理上被進(jìn)入�,會(huì)造成保密性與完整性的破壞����,可能導(dǎo)致不可接受的風(fēng)險(xiǎn)。重點(diǎn)關(guān)注敏感信息的存儲(chǔ)介質(zhì)(可移動(dòng)介質(zhì)除外)是否不借助工具就能被取出�。醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分,比如第三方的操作系統(tǒng)或數(shù)據(jù)庫等��。責(zé)任方若對(duì)此類組件不知情��,則不利于此類組件未來的網(wǎng)絡(luò)安全管理�,也不利于未來網(wǎng)絡(luò)安全事件的責(zé)任劃分,可能導(dǎo)致不可接受的風(fēng)險(xiǎn)��。15.系統(tǒng)與應(yīng)用加固能力 SAHD醫(yī)療器械中可能存在著與預(yù)期用途無關(guān)的配置,如某些非醫(yī)療預(yù)期用途的賬號(hào)�����、通信端口���、共享文件���、服務(wù)等。此類配置可能會(huì)成為網(wǎng)絡(luò)攻擊者所利用的通道����,從而造成不可接受的風(fēng)險(xiǎn),對(duì)這些配置予以關(guān)閉有利于降低風(fēng)險(xiǎn)發(fā)生的概率���。16.對(duì)操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力 SGUD醫(yī)療器械的不當(dāng)使用可能在醫(yī)療器械網(wǎng)絡(luò)安全方面造成不可接受的風(fēng)險(xiǎn)��,對(duì)使用者提供產(chǎn)品說明��、提供可索取的披露資料�、予以培訓(xùn)等���,均有利于降低使用者操作不當(dāng)?shù)娘L(fēng)險(xiǎn)����。健康數(shù)據(jù)的明文存儲(chǔ)有損于產(chǎn)品的保密性,對(duì)數(shù)據(jù)存儲(chǔ)予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)��。值得指出���,國(guó)家在市場(chǎng)監(jiān)督管理范疇之外�,對(duì)商用密碼產(chǎn)品的科研��、生產(chǎn)����、銷售�����、使用等都有相應(yīng)的規(guī)定��,對(duì)商用密碼的使用���,也應(yīng)遵守市場(chǎng)監(jiān)督管理范疇之外的法律法規(guī)要求���。健康數(shù)據(jù)的明文傳輸有損于產(chǎn)品的保密性�����,對(duì)數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)��。值得指出��,國(guó)家在市場(chǎng)監(jiān)督管理范疇之外�����,對(duì)商用密碼產(chǎn)品的科研�����、生產(chǎn)���、銷售、使用等都有相應(yīng)的規(guī)定�����,對(duì)商用密碼的使用�����,也應(yīng)遵守市場(chǎng)監(jiān)督管理范疇之外的法律法規(guī)要求。19.保障數(shù)據(jù)傳輸完整性的能力 TXIG健康數(shù)據(jù)在傳輸過程中�,數(shù)據(jù)可能受到無意的信道噪音干擾,也有可能受到惡意篡改�����,這都可能造成不可接受的風(fēng)險(xiǎn)�����。采用技術(shù)手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性�,可以降低此類風(fēng)險(xiǎn)。注冊(cè)申請(qǐng)人可以通過綜合考慮這19項(xiàng)網(wǎng)絡(luò)安全能力來提高產(chǎn)品的網(wǎng)絡(luò)安全特性���。網(wǎng)絡(luò)安全能力與網(wǎng)絡(luò)安全特性之間的關(guān)系如下:
網(wǎng)絡(luò)安全特性 網(wǎng)絡(luò)安全能力 | 保密性 | 完整性 | 可得性 | 可靠性 |
|---|
ALOF 自動(dòng)登出能力 | 2 | 2 | -1 | - |
AUDT審核控制能力 | 1 | 1 | - | 1 |
AUTH 確定用戶權(quán)限的能力 | 2 | 2 | -1 | 1 |
CNFS 網(wǎng)絡(luò)安全配置能力 | 1 | 1 | 1 | 1 |
CSUP 網(wǎng)絡(luò)安全升級(jí)能力 | 1 | 1 | 1 | - |
DTBK數(shù)據(jù)備份與災(zāi)難恢復(fù)能力 | - | 1 | 2 | - |
EMRG 緊急訪問隱私數(shù)據(jù)的能力 | - | - | 2 | -1 |
DIDT 健康數(shù)據(jù)去標(biāo)識(shí)化能力 | 2 | - | - | - |
IGAU 數(shù)據(jù)完整性真實(shí)性確認(rèn)能力 | - | 2 | - | 2 |
STCF 存儲(chǔ)保密能力 | 2 | - | - | - |
MLDP 惡意軟件的防止��、檢測(cè)與清除能力 | 1 | 1 | 1 | - |
NAUT 通信對(duì)象、通信節(jié)點(diǎn)的身份驗(yàn)證能力 | 1 | - | - | 1 |
PAUT 驗(yàn)證合法用戶的能力 | 1 | - | - | 2 |
PLOK 物理保護(hù)能力 | 1 | 1 | 1 | - |
SGUD 對(duì)操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力 | 1 | 1 | 1 | 1 |
SAHD 系統(tǒng)與應(yīng)用加固能力 | 1 | 1 | 1 | - |
RDMP 第三方組件管理能力 | - | - | - | - |
TXDF 傳輸保密能力 | 2 | - | - | - |
TXIG 保障數(shù)據(jù)傳輸完整性的能力 | - | 2 | - | - |
注:“2”指可以顯著提高此項(xiàng)網(wǎng)絡(luò)安全特性��,“1”指可以提高此項(xiàng)網(wǎng)絡(luò)安全特性�,“-”指基本不對(duì)此項(xiàng)網(wǎng)絡(luò)安全特性產(chǎn)生影響,“-1”指可以降低此項(xiàng)網(wǎng)絡(luò)安全特性����。
(三)網(wǎng)絡(luò)安全的上市后監(jiān)管
1.網(wǎng)絡(luò)安全事件4
網(wǎng)絡(luò)安全事件分為有害程序事件����、網(wǎng)絡(luò)攻擊事件���、信息破壞事件�、信息內(nèi)容安全事件����、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等��。網(wǎng)絡(luò)安全事件可能會(huì)造成醫(yī)療器械系統(tǒng)不能訪問��、醫(yī)療數(shù)據(jù)泄露或者篡改���,進(jìn)而有可能導(dǎo)致病人受到嚴(yán)重傷害或死亡或病人的健康數(shù)據(jù)泄漏�����。
2.網(wǎng)絡(luò)安全事件的處置
醫(yī)療器械注冊(cè)人應(yīng)建立產(chǎn)品上市后的網(wǎng)絡(luò)安全事件處置流程�����。網(wǎng)絡(luò)安全事件發(fā)生后�����,醫(yī)療器械注冊(cè)人應(yīng)能夠及時(shí)有效地處理和管理安全事件��,通常包括以下措施:
應(yīng)收集并確認(rèn)受網(wǎng)絡(luò)安全事故影響的客戶����,識(shí)別網(wǎng)絡(luò)安全事件對(duì)相關(guān)系統(tǒng)帶來的風(fēng)險(xiǎn);
應(yīng)快速采取應(yīng)急對(duì)策���,例如:告知客戶斷開網(wǎng)絡(luò)連接���,提供臨時(shí)解決方案恢復(fù)系統(tǒng)至正常工作狀態(tài)等;
應(yīng)對(duì)網(wǎng)絡(luò)安全事件的做出詳細(xì)的風(fēng)險(xiǎn)分析和評(píng)估���;
應(yīng)提供經(jīng)過驗(yàn)證和確認(rèn)的解決措施�,并告知客戶相關(guān)的更新信息�。
注冊(cè)申請(qǐng)人應(yīng)建立相應(yīng)的組織以確保網(wǎng)絡(luò)安全事件處置流程得以實(shí)施。
3.網(wǎng)絡(luò)安全事件上報(bào)
當(dāng)下列網(wǎng)絡(luò)安全事件發(fā)生���,醫(yī)療器械注冊(cè)人應(yīng)及時(shí)報(bào)送信息給監(jiān)管部門:
——病人受到嚴(yán)重傷害或者死亡;
——醫(yī)療器械注冊(cè)人提供的大量醫(yī)療器械系統(tǒng)不能訪問;
——大量的病人健康數(shù)據(jù)泄露��。
若涉及到病人受到嚴(yán)重傷害或者死亡的網(wǎng)絡(luò)安全事件����,醫(yī)療器械注冊(cè)人應(yīng)按照醫(yī)療器械不良事件的相關(guān)規(guī)定上報(bào)。
4.涉及召回的網(wǎng)絡(luò)安全事件應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理����。
5.網(wǎng)絡(luò)安全更新的管理
網(wǎng)絡(luò)安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對(duì)醫(yī)療器械的影響程度可分為以下兩類:
——重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新;——輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新���,如常規(guī)安全補(bǔ)丁����。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新��,應(yīng)進(jìn)行許可事項(xiàng)變更����;而發(fā)生輕微網(wǎng)絡(luò)安全更新,注冊(cè)人應(yīng)通過質(zhì)量管理體系進(jìn)行控制�,無需進(jìn)行注冊(cè)變更,待到下次注冊(cè)(注冊(cè)變更和延續(xù)注冊(cè))時(shí)提交相應(yīng)注冊(cè)申報(bào)資料�。醫(yī)療器械同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò)安全更新����,遵循風(fēng)險(xiǎn)從高原則應(yīng)進(jìn)行許可事項(xiàng)變更�����。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理���,不屬于本指導(dǎo)原則討論范圍�。
軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況�����。
注冊(cè)申請(qǐng)人在提交注冊(cè)申報(bào)資料時(shí)����,應(yīng)根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全的具體情況提交網(wǎng)絡(luò)安全描述文檔或常規(guī)安全補(bǔ)丁描述文檔。網(wǎng)絡(luò)安全描述文檔適用于產(chǎn)品注冊(cè)���、重大網(wǎng)絡(luò)安全更新�,常規(guī)安全補(bǔ)丁描述文檔適用于輕微網(wǎng)絡(luò)安全更新���。
四��、 網(wǎng)絡(luò)安全注冊(cè)資料
注冊(cè)申請(qǐng)人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途���、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)(如其它醫(yī)療器械、信息技術(shù)設(shè)備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性�,提交網(wǎng)絡(luò)安全描述文檔。網(wǎng)絡(luò)安全描述文檔應(yīng)描述醫(yī)療器械的基本信息��、風(fēng)險(xiǎn)管理�、驗(yàn)證與確認(rèn)和維護(hù)計(jì)劃。
(一) 基本信息
應(yīng)描述醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的基本信息�����,這些信息包括:
1.醫(yī)療器械傳輸�,存儲(chǔ)和處理的信息描述;
2.以上信息的類型:健康數(shù)據(jù)��、設(shè)備數(shù)據(jù)��;
3.以上信息交換的方向(單向����、雙向);
4.以上信息是否用于遠(yuǎn)程控制(實(shí)時(shí)����、非實(shí)時(shí))��;
5.以上信息的用途:如臨床應(yīng)用����、設(shè)備維護(hù)等����;
6.以上信息的交換方式:網(wǎng)絡(luò)(無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò))及要求(如傳輸協(xié)議(標(biāo)準(zhǔn)�、自定義)、接口�、帶寬等),存儲(chǔ)媒介(如光盤�、移動(dòng)硬盤、U盤等)及要求(如存儲(chǔ)格式(標(biāo)準(zhǔn)��、自定義)��、容量等)�����;對(duì)于專用無線設(shè)備(非通用信息技術(shù)設(shè)備)���,還應(yīng)提交符合無線電管理規(guī)定的證明材料����;如涉及個(gè)人敏感數(shù)據(jù)����,應(yīng)明確個(gè)人敏感數(shù)據(jù)的儲(chǔ)存和傳輸方式;
7.醫(yī)療器械包含的安全軟件:描述安全軟件(如殺毒軟件��、防火墻等)的名稱�、型號(hào)規(guī)格、完整版本�、供應(yīng)商、運(yùn)行環(huán)境要求��;
8.醫(yī)療器械包含的現(xiàn)成軟件:描述現(xiàn)成軟件(包括應(yīng)用軟件�����、系統(tǒng)軟件���、支持軟件)的名稱�����、型號(hào)規(guī)格�、完整版本和供應(yīng)商。
(二)風(fēng)險(xiǎn)管理
1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理概述
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是指注冊(cè)申請(qǐng)人基于醫(yī)療器械產(chǎn)品的預(yù)期用途和使用場(chǎng)景進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析��,評(píng)價(jià)并采取網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制手段確保產(chǎn)品的網(wǎng)絡(luò)安全能力�。注冊(cè)申請(qǐng)人可對(duì)網(wǎng)絡(luò)安全采用醫(yī)療器械風(fēng)險(xiǎn)管理的方法(可參照《YY/T 0316 醫(yī)療器械 風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用》)對(duì)產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)進(jìn)行分析、評(píng)價(jià)和控制�,也可采用信息安全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法(可參照《GB/T20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》)進(jìn)行評(píng)估,并進(jìn)行風(fēng)險(xiǎn)控制���。
如適用�,醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理應(yīng)考慮對(duì)個(gè)人敏感信息的保護(hù)��。對(duì)個(gè)人信息的處理��,應(yīng)遵循個(gè)人信息安全基本原則5和相關(guān)的法律法規(guī)�����。如有必要�����,應(yīng)對(duì)個(gè)人信息進(jìn)行匿名化或去標(biāo)識(shí)化處理。
風(fēng)險(xiǎn)管理除了從網(wǎng)絡(luò)安全角度來考慮產(chǎn)品的網(wǎng)絡(luò)安全能力外���,還應(yīng)當(dāng)根據(jù)醫(yī)療器械的預(yù)期用途考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)醫(yī)療器械的安全性和有效性的影響�����。
醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需要考慮醫(yī)療器械產(chǎn)品整個(gè)產(chǎn)品生命周期并作適時(shí)更新����。2.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理過程(1)風(fēng)險(xiǎn)分析與評(píng)價(jià)注冊(cè)申請(qǐng)人應(yīng)對(duì)網(wǎng)絡(luò)安全管理活動(dòng)進(jìn)行策劃并制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可接受性準(zhǔn)則�。注冊(cè)申請(qǐng)人應(yīng)考慮網(wǎng)絡(luò)安全損害的嚴(yán)重度和網(wǎng)絡(luò)安全損害的發(fā)生概率并按照接受性準(zhǔn)則決定是否需要降低風(fēng)險(xiǎn)��。
a���、網(wǎng)絡(luò)安全損害的嚴(yán)重度��,例如:
等級(jí)名稱 | 代碼 | 網(wǎng)絡(luò)安全損害的嚴(yán)重度 |
輕度 | 1 | 例如:輕微傷或者無須處理����,少量設(shè)備數(shù)據(jù)泄露… |
中度 | 2 | 例如:中等人身傷害需要專業(yè)醫(yī)治����,有限的設(shè)備數(shù)據(jù)泄露… |
嚴(yán)重 | 3 | 例如:一人重傷或者死亡,有限的病人數(shù)據(jù)泄露… |
災(zāi)難 | 4 | 例如:多人重傷或者死亡,大規(guī)模病人數(shù)據(jù)泄露… |
b�����、網(wǎng)絡(luò)安全損害的發(fā)生概率����,例如:
等級(jí)名稱 | 代碼 | 網(wǎng)絡(luò)安全損害的發(fā)生概率 |
極少 | 1 | <10-3 |
非常少 | 2 | 10-2-10-3 |
偶爾 | 3 | 10-1 - 10 -2 |
有時(shí) | 4 | 1 - 10-1 |
經(jīng)常 | 5 | >1 |
注:發(fā)生概率應(yīng)和醫(yī)療器械具體情況相適應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果需要降低風(fēng)險(xiǎn)時(shí),注冊(cè)申請(qǐng)人應(yīng)當(dāng)識(shí)別適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施�����,以把風(fēng)險(xiǎn)降低到可接受的水平�����。
風(fēng)險(xiǎn)分析��、評(píng)價(jià)和風(fēng)險(xiǎn)控制措施記錄表舉例
漏洞 | 威脅 | 描述 | 技術(shù)風(fēng)險(xiǎn) |
系統(tǒng)設(shè)計(jì)�����,實(shí)施或操作和管理中的一系列條件��,使其易受影響 | 有可能造成不良后果的來源���?����?梢允亲饔梦?���,人,事件或事物�,動(dòng)機(jī)可以是有意的或無意的 | 原因,影響因素 描述風(fēng)險(xiǎn)場(chǎng)景�����,漏洞和緩解因素=漏洞+可利用性 | 初始風(fēng)險(xiǎn) | 緩解措施 | 剩余技術(shù)風(fēng)險(xiǎn) |
漏洞編號(hào) | 漏洞描述 | 威脅描述 | 風(fēng)險(xiǎn)狀況 | 可能性 | 影響 | 風(fēng)險(xiǎn) | 緩解措施 | 緩解措施編號(hào) | 可能性 | 影響 | 風(fēng)險(xiǎn) |
|
|
|
|
|
|
|
|
|
|
|
|
風(fēng)險(xiǎn)評(píng)估矩陣模型舉例
a�����、 初始風(fēng)險(xiǎn)分布
概率 | 嚴(yán)重度 | 總計(jì) |
|---|
4 | 3 | 2 | 1 |
|
|---|
災(zāi)難 | 嚴(yán)重 | 中度 | 輕度 |
|
|---|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時(shí) | 4 | 1 | 0 | 2 | 2 | 5 |
偶爾 | 3 | 0 | 2 | 4 | 1 | 7 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 2 | 0 | 2 | 1 | 5 |
總計(jì) |
| 3 | 2 | 8 | 7 | 20 |
b�、 措施后風(fēng)險(xiǎn)分布
概率 | 嚴(yán)重度 | 總計(jì) |
4 | 3 | 2 | 1 |
|
災(zāi)難 | 嚴(yán)重 | 中度 | 輕度 |
|
經(jīng)常 | 5 | 0 | 0 | 0 | 0 | 0 |
有時(shí) | 4 | 0 | 0 | 0 | 1 | 1 |
偶爾 | 3 | 0 | 1 | 2 | 1 | 4 |
非常少 | 2 | 0 | 0 | 0 | 3 | 3 |
極少 | 1 | 0 | 0 | 2 | 1 | 3 |
總計(jì) |
| 0 | 1 | 4 | 6 | 11 |
(3)風(fēng)險(xiǎn)管理報(bào)告注冊(cè)申請(qǐng)人應(yīng)形成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告���,并完成風(fēng)險(xiǎn)管理過程的評(píng)審�����,確認(rèn)綜合剩余風(fēng)險(xiǎn)是可接受的�����。(4) 關(guān)于上市后的風(fēng)險(xiǎn)注冊(cè)人要持續(xù)關(guān)注產(chǎn)品上市后與產(chǎn)品相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����,根據(jù)實(shí)際情況適時(shí)更新風(fēng)險(xiǎn)分析、評(píng)價(jià)和控制文件���,如法規(guī)更新�����、不良事件報(bào)告等��。網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)活動(dòng)的目的是確定風(fēng)險(xiǎn)管理中采用的網(wǎng)絡(luò)安全控制手段均已得到正確的實(shí)施����,從而確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求(如保密性��、完整性��、可得性等特性)均已得到滿足���。對(duì)于現(xiàn)成軟件����,注冊(cè)申請(qǐng)人應(yīng)當(dāng)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析過程中將其作為產(chǎn)品的一部分進(jìn)行充分的網(wǎng)絡(luò)安全評(píng)估,并在產(chǎn)品的網(wǎng)絡(luò)安全能力配置中予以綜合考慮��。(2)驗(yàn)證與確認(rèn)活動(dòng)注冊(cè)申請(qǐng)人應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品研制的全生命周期過程中進(jìn)行網(wǎng)絡(luò)安全的驗(yàn)證與確認(rèn)活動(dòng)�����,通過分析�����、測(cè)試�����、評(píng)估�、審查等手段�,確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求得到滿足。網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)可以參考附錄中的19項(xiàng)網(wǎng)絡(luò)安全能力評(píng)價(jià)準(zhǔn)則����。A)應(yīng)當(dāng)確保在醫(yī)療器械產(chǎn)品的需求��、設(shè)計(jì)��、測(cè)試以及風(fēng)險(xiǎn)管理各個(gè)階段考慮并落實(shí)網(wǎng)絡(luò)安全需求���,并且保證網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計(jì)規(guī)范�����、測(cè)試以及風(fēng)險(xiǎn)管理的一致性和完整性�����。B)應(yīng)當(dāng)針對(duì)醫(yī)療器械產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全測(cè)試驗(yàn)證��,確保所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制措施都得到正確的實(shí)施�����。a)應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試活動(dòng)進(jìn)行合理的策劃�,包括確定測(cè)試的內(nèi)容(包括產(chǎn)品需求中要求配置的網(wǎng)絡(luò)安全能力)、測(cè)試人員和相應(yīng)的職責(zé)�、測(cè)試所需的環(huán)境、測(cè)試的技術(shù)和方法(如漏洞測(cè)試���、惡意軟件測(cè)試��、缺陷輸入測(cè)試���、結(jié)構(gòu)化滲透測(cè)試)����、異常處理方式���、測(cè)試通過的準(zhǔn)則�、測(cè)試所需的資源以及測(cè)試進(jìn)度安排等����。b)應(yīng)根據(jù)測(cè)試計(jì)劃的安排仔細(xì)設(shè)計(jì)測(cè)試用例,并按照測(cè)試用例的要求執(zhí)行測(cè)試活動(dòng)�,如實(shí)記錄原始測(cè)試結(jié)果,確保測(cè)試過程的可追溯性��。對(duì)于安全軟件�,注冊(cè)申請(qǐng)人應(yīng)當(dāng)針對(duì)不同的軟件、硬件運(yùn)行平臺(tái)����,進(jìn)行兼容性測(cè)試;如果產(chǎn)品采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式���,應(yīng)當(dāng)進(jìn)行審查或測(cè)試驗(yàn)證其對(duì)相關(guān)標(biāo)準(zhǔn)的符合性����;如果產(chǎn)品采用自定義的傳輸協(xié)議和存儲(chǔ)格式��,應(yīng)當(dāng)進(jìn)行完整性測(cè)試驗(yàn)證��。c) 應(yīng)對(duì)測(cè)試結(jié)果進(jìn)行仔細(xì)的分析和評(píng)價(jià)���,確保測(cè)試活動(dòng)的有效性����,并對(duì)測(cè)試遺留的問題進(jìn)行評(píng)價(jià)��。
(3)驗(yàn)證與確認(rèn)記錄
注冊(cè)申請(qǐng)人應(yīng)當(dāng)將醫(yī)療器械網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的結(jié)果以文檔的方式進(jìn)行記錄�,確保網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的可追溯性。
1)應(yīng)當(dāng)以文檔的形式記錄醫(yī)療器械網(wǎng)絡(luò)安全需求規(guī)范����、設(shè)計(jì)規(guī)范、測(cè)試以及風(fēng)險(xiǎn)管理的追溯性關(guān)系��。2)應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)安全測(cè)試策劃活動(dòng)進(jìn)行記錄并形成網(wǎng)絡(luò)安全測(cè)試計(jì)劃文檔。3)應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)安全測(cè)試執(zhí)行過程�、測(cè)試結(jié)果以及測(cè)試結(jié)果的分析評(píng)估進(jìn)行記錄,形成網(wǎng)絡(luò)安全測(cè)試報(bào)告����。4)對(duì)于安全軟件,注冊(cè)申請(qǐng)人應(yīng)將兼容性測(cè)試結(jié)果進(jìn)行單獨(dú)文檔記錄�����,并形成兼容性測(cè)試報(bào)告�����。5)對(duì)于采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式的產(chǎn)品���,注冊(cè)申請(qǐng)人應(yīng)當(dāng)記錄標(biāo)準(zhǔn)符合性審查結(jié)果�;對(duì)于采用自定義的傳輸協(xié)議和存儲(chǔ)格式的產(chǎn)品�,注冊(cè)申請(qǐng)人應(yīng)當(dāng)對(duì)完整性測(cè)試結(jié)果進(jìn)行記錄并形成完整性測(cè)試報(bào)告。6)可以對(duì)實(shí)時(shí)遠(yuǎn)程程控功能的產(chǎn)品中關(guān)于遠(yuǎn)程數(shù)據(jù)相關(guān)的測(cè)試進(jìn)行單獨(dú)的文檔記錄�����,并形成相應(yīng)的完整性和可得性測(cè)試報(bào)告。在醫(yī)療器械產(chǎn)品上市后�,注冊(cè)人應(yīng)結(jié)合自身質(zhì)量管理體系要求,制定網(wǎng)絡(luò)安全維護(hù)流程�,保證醫(yī)療器械產(chǎn)品的安全性和有效性�。網(wǎng)絡(luò)安全維護(hù)流程涉及到以下方面:1)監(jiān)控網(wǎng)絡(luò)安全信息源(包括第三方軟件組件)以識(shí)別和檢測(cè)網(wǎng)絡(luò)漏洞;2)了解���、檢測(cè)可能發(fā)生的漏洞���,評(píng)估其風(fēng)險(xiǎn)影響;3)與設(shè)備的安全和基本性能有關(guān)的網(wǎng)絡(luò)安全問題�����,特別是網(wǎng)絡(luò)安全事件相關(guān)的問題�����,重點(diǎn)分析其風(fēng)險(xiǎn)和影響����,制定減輕策略,使得醫(yī)療器械產(chǎn)品及時(shí)得到保護(hù)和恢復(fù)����;4)用于修補(bǔ)漏洞的軟件更新和補(bǔ)丁程序�����,需要進(jìn)行驗(yàn)證和確認(rèn)���,包括第三方軟件組件的漏洞修復(fù)(例如,操作系統(tǒng)����,安全軟件等);5)盡早地部署軟件網(wǎng)絡(luò)安全更新程序至客戶站點(diǎn)��,并告知客戶相關(guān)更新內(nèi)容�����。有關(guān)醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理�,可參閱文獻(xiàn)ISO/IEC 291476和ISO/IEC 301117。具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡(luò)問題可能不斷變化���,注冊(cè)申請(qǐng)人在產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò)安全問題����。醫(yī)療器械注冊(cè)人應(yīng)對(duì)已上市產(chǎn)品進(jìn)行有效、及時(shí)并持續(xù)地網(wǎng)絡(luò)安全更新��。對(duì)于已發(fā)現(xiàn)的漏洞��,應(yīng)分析漏洞的可被利用性��,對(duì)病人傷害的嚴(yán)重程度以及病人信息泄露的可能性�����,醫(yī)療器械注冊(cè)人應(yīng)決定該漏洞的風(fēng)險(xiǎn)是可控還是處于失控狀態(tài)��,制定相應(yīng)的解決措施修復(fù)該網(wǎng)絡(luò)漏洞���。與網(wǎng)絡(luò)安全事件相關(guān)的網(wǎng)絡(luò)更新,需要重點(diǎn)分析其風(fēng)險(xiǎn)和影響��,及時(shí)有效地提供經(jīng)驗(yàn)證的解決方案�����。通常的網(wǎng)絡(luò)安全更新應(yīng)包括:2)第三方軟件(包括操作系統(tǒng)等)的漏洞安全更新�;3)安全軟件(如殺毒軟件等)的病毒掃描引擎的更新�����。若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡(luò)安全設(shè)計(jì)是不可行的或者不能馬上實(shí)施���,注冊(cè)人應(yīng)考慮使用網(wǎng)絡(luò)補(bǔ)償控制方案來減輕網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)。網(wǎng)絡(luò)補(bǔ)償控制是在缺乏有效網(wǎng)絡(luò)安全設(shè)計(jì)的前提下�,提供補(bǔ)充性網(wǎng)絡(luò)防護(hù)措施。例如注冊(cè)申請(qǐng)人對(duì)醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)漏洞評(píng)估后���,認(rèn)為對(duì)設(shè)備未被授權(quán)的情況下進(jìn)行訪問極有可能影響設(shè)備的安全和基本性能��,但是若該設(shè)備沒有連接到外部網(wǎng)絡(luò)(例如��,醫(yī)院網(wǎng)絡(luò))或者使用路由器對(duì)連接進(jìn)行限定�,則醫(yī)療器械仍然可以安全有效的工作�。對(duì)于預(yù)期接入IT-網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械,其數(shù)據(jù)交換方式有兩種:網(wǎng)絡(luò)(包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò))或存儲(chǔ)媒介(如光盤���、移動(dòng)硬盤��、U盤等)���。對(duì)于數(shù)據(jù)交換的接口���,常見的有線接口如USB、RS232�、RS485、CAN�、RJ45等。近些年����,無線通訊被廣泛使用,如藍(lán)牙��、WiFi����、Zigbee���、RFID���、各種蜂窩無線網(wǎng)絡(luò)等。對(duì)于有線接口�����,技術(shù)要求中應(yīng)明確連接接口的規(guī)格,有線網(wǎng)絡(luò)要明確帶寬要求����。對(duì)于無線網(wǎng)絡(luò),應(yīng)描述網(wǎng)絡(luò)類型或制式�、使用頻段、數(shù)據(jù)特性(例如上下行傳輸速率)等�����。注冊(cè)申請(qǐng)人可以采用已經(jīng)標(biāo)準(zhǔn)化的數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式�。醫(yī)療器械常用的傳輸協(xié)議如HL7、DICOM���,存儲(chǔ)格式如EDF等����。注冊(cè)申請(qǐng)人也可以使用通用的網(wǎng)絡(luò)傳輸協(xié)議如TCP/IP�、UDP、HTTP���、HTTPS等��。注冊(cè)申請(qǐng)人在產(chǎn)品技術(shù)要求中����,應(yīng)明確傳輸協(xié)議/存儲(chǔ)格式。對(duì)于已經(jīng)標(biāo)準(zhǔn)化的傳輸協(xié)議或存儲(chǔ)格式除了說明協(xié)議類型之外��,還應(yīng)說明協(xié)議的版本����,如果對(duì)設(shè)備進(jìn)行控制,應(yīng)說明是否為實(shí)時(shí)控制���。對(duì)于注冊(cè)申請(qǐng)人自定義的數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式���,應(yīng)在隨機(jī)文件中描述或在產(chǎn)品技術(shù)要求中提供相應(yīng)的驗(yàn)證方法。醫(yī)療器械在執(zhí)行用戶訪問控制之前���,應(yīng)完成對(duì)用戶身份的鑒別或認(rèn)證。認(rèn)證是系統(tǒng)驗(yàn)證希望訪問系統(tǒng)的用戶身份的過程�����?;镜恼J(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證�、數(shù)字摘要和簡(jiǎn)單的身份認(rèn)證等����。在產(chǎn)品技術(shù)要求中醫(yī)療器械注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械所采用的用戶身份簽別技術(shù)�。用戶訪問控制策略對(duì)醫(yī)療器械的保密性、完整性起直接的作用����,是對(duì)越權(quán)使用資源的防御措施,是網(wǎng)絡(luò)安全的重要組成部分����。醫(yī)療器械的使用者應(yīng)依據(jù)訪問控制策略來限制對(duì)數(shù)據(jù)和系統(tǒng)功能的訪問。用戶訪問控制的種類早期分為自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)�,但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,又出現(xiàn)了基于角色的訪問控制(RBAC)����、基于任務(wù)的訪問控制(TBAC)、以及基于屬性�、上下文、信譽(yù)等等的訪問控制模型��。隨著系統(tǒng)的復(fù)雜度變高��,一個(gè)系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術(shù)要求中����,醫(yī)療器械注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法、用戶類型及權(quán)限���。預(yù)期接入網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械具有更復(fù)雜的運(yùn)行環(huán)境與技術(shù)生態(tài)系統(tǒng)��,例如:復(fù)雜的信息與技術(shù)基礎(chǔ)設(shè)施(例如硬件����、軟件�����、網(wǎng)絡(luò)����、其他系統(tǒng)和數(shù)據(jù)接口等),眾多的參與開發(fā)��、實(shí)施�����、使用所涉及的人員���、組織和服務(wù)機(jī)構(gòu)�����。預(yù)期接入網(wǎng)絡(luò)的醫(yī)療器械生命周期不僅包含設(shè)計(jì)與開發(fā)���、也應(yīng)包含實(shí)施與臨床使用,包括涉及醫(yī)療器械的采購(gòu)��、安裝���、配置����、數(shù)據(jù)集成或遷移�����、工作流實(shí)現(xiàn)與優(yōu)化�、培訓(xùn)、使用與維護(hù)���、退市等各種環(huán)節(jié)�。一般情況下,醫(yī)療器械注冊(cè)申請(qǐng)人只涉及醫(yī)療器械的設(shè)計(jì)與開發(fā)過程��,而后期的實(shí)施與臨床使用等環(huán)節(jié)的網(wǎng)絡(luò)安全由另外的組織來負(fù)責(zé)�。注冊(cè)申請(qǐng)人雖無法保證整個(gè)醫(yī)療器械生命周期的網(wǎng)絡(luò)安全,但應(yīng)在說明書或其他文檔中提供在實(shí)施與臨床使用環(huán)節(jié)中所需要的必要信息����,如運(yùn)行環(huán)境、接口與訪問控制��、安全軟件及軟件更新等�����,以保證在實(shí)施與臨床使用環(huán)節(jié)的網(wǎng)絡(luò)安全����。如適用,注冊(cè)申請(qǐng)人在說明書中應(yīng)明確醫(yī)療器械的運(yùn)行環(huán)境��,包括硬件配置��、軟件環(huán)境和網(wǎng)絡(luò)條件�����。硬件配置應(yīng)明確醫(yī)療器械安全運(yùn)行所需要的最低硬件資源配置要求��,比如CPU����、內(nèi)存、存儲(chǔ)與顯示要求等��。軟件環(huán)境應(yīng)明確要求醫(yī)療器械運(yùn)行所需要的操作系統(tǒng)等�。網(wǎng)絡(luò)條件應(yīng)明確醫(yī)療器械運(yùn)行所需要的網(wǎng)絡(luò)類型、帶寬等����。如適用,注冊(cè)申請(qǐng)人在說明書中應(yīng)描述接口與訪問控制��,以滿足醫(yī)療器械實(shí)施與臨床使用過程中的要求��。對(duì)于接口的描述�����,應(yīng)能夠滿足醫(yī)療器械與網(wǎng)絡(luò)��、或其它設(shè)備的安全連接。對(duì)于訪問控制的描述����,應(yīng)能指導(dǎo)使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中。在資源允許的情況下���,醫(yī)療器械可使用一些安全軟件來提高產(chǎn)品的網(wǎng)絡(luò)安全特性����。這些安全軟件包括但不限于防火墻�����、殺毒軟件���、反流氓軟件���、工具軟件等。如適用��,注冊(cè)申請(qǐng)人應(yīng)在說明書中明確這些軟件的名稱����、版本等信息���。如適用,注冊(cè)申請(qǐng)人應(yīng)在說明書中明確軟件環(huán)境與安全軟件的更新需求�,更新的來源��、執(zhí)行的步驟等����。
附錄
19項(xiàng)網(wǎng)絡(luò)安全能力評(píng)價(jià)準(zhǔn)則
1.自動(dòng)登出能力(Automatic logoff–ALOF)注冊(cè)申請(qǐng)人應(yīng)考慮,未授權(quán)的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù)�����,授權(quán)用戶會(huì)話需要在預(yù)先設(shè)置的一段時(shí)間后自動(dòng)終止或鎖定��;自動(dòng)注銷需要包括清除所有顯示器上的健康數(shù)據(jù);本地授權(quán)的IT管理員需要能夠禁用該功能并設(shè)置過期時(shí)間(包括屏幕保護(hù)程序);當(dāng)短時(shí)間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時(shí)����,可以調(diào)用此對(duì)健康數(shù)據(jù)顯示清除;臨床用戶不應(yīng)因自動(dòng)下線而丟失未提交的工作��,這是可取的���。應(yīng)根據(jù)器械的預(yù)期用途�����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證����。2.審核控制能力(Audit controls–AUDT)注冊(cè)申請(qǐng)人應(yīng)考慮�,通過在設(shè)備上創(chuàng)建審計(jì)跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)訪問、修改或刪除�,從而記錄和檢查系統(tǒng)活動(dòng)的能力。支持將日志記錄信息作為獨(dú)立存儲(chǔ)庫(在其自己的文件系統(tǒng)中記錄審計(jì)文件)使用����。使用適當(dāng)?shù)膶徲?jì)審查工具支持審計(jì)創(chuàng)建和維護(hù),確保審核資料的安全(特別是在這些資料本身含有個(gè)人資料的情況下)�,并確保無法編輯或刪除審計(jì)數(shù)據(jù)。審計(jì)數(shù)據(jù)可能包含個(gè)人數(shù)據(jù)和/或健康數(shù)據(jù)��,所有處理(例如存取�、儲(chǔ)存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂啤?yīng)根據(jù)器械的預(yù)期用途��、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證�。3.確定用戶權(quán)限的能力(Authorization–AUTH)注冊(cè)申請(qǐng)人應(yīng)基于經(jīng)過身份驗(yàn)證的單個(gè)用戶進(jìn)行標(biāo)識(shí),授權(quán)功能允許每個(gè)用戶僅有訪問已批準(zhǔn)的數(shù)據(jù)權(quán)利�,并僅在設(shè)備上執(zhí)行已批準(zhǔn)的功能���。授權(quán)用戶包括注冊(cè)申請(qǐng)人安全控制人員和該策略定義的服務(wù)人員。醫(yī)療器械通常支持基于許可的系統(tǒng)��,提供對(duì)注冊(cè)申請(qǐng)人安全控制人員中個(gè)人角色(基于角色的訪問控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)的訪問�����。例如:1)操作者可使用所有適當(dāng)?shù)脑O(shè)備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作����。2)質(zhì)量人員(如醫(yī)學(xué)物理學(xué)家)可以從事所有適當(dāng)?shù)馁|(zhì)量和保證測(cè)試活動(dòng)����。3)服務(wù)人員可以以支持預(yù)防性維護(hù)、問題調(diào)查和問題消除活動(dòng)的方式訪問系統(tǒng)����。4)授權(quán)允許注冊(cè)申請(qǐng)人在有效交付醫(yī)療保健機(jī)構(gòu)的同時(shí):①維護(hù)系統(tǒng)和數(shù)據(jù)安全;②遵循適當(dāng)?shù)臄?shù)據(jù)訪問最小化原則�。授權(quán)可以在本地或注冊(cè)申請(qǐng)人范圍內(nèi)管理(例如通過集中目錄)。注:如果預(yù)期使用不允許登錄和注銷設(shè)備所需的時(shí)間(例如高吞吐量使用)�����,則本地IT策略可以允許減少授權(quán)控制,假定受控制和受限制的物理訪問是否足夠���。應(yīng)根據(jù)器械預(yù)期用途����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證�����。4.網(wǎng)絡(luò)安全配置能力(Configuration of security features–CNFS)注冊(cè)申請(qǐng)人應(yīng)考慮��,本地授權(quán)的IT管理員能夠選擇使用產(chǎn)品安全功能還是不使用產(chǎn)品安全功能�����。這需要考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容����,可以包括與安全能力控制交互的特權(quán)管理方面。應(yīng)根據(jù)器械的預(yù)期用途����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。5.網(wǎng)絡(luò)安全升級(jí)能力(Cyber security product upgrades–CSUP)注冊(cè)申請(qǐng)人應(yīng)按照規(guī)定,盡快在醫(yī)療產(chǎn)品上安裝第三方安全補(bǔ)丁: 根據(jù)客觀的��、權(quán)威的����、文檔化的漏洞風(fēng)險(xiǎn)評(píng)估,優(yōu)先考慮解決高風(fēng)險(xiǎn)漏洞的補(bǔ)丁�����。要求醫(yī)療產(chǎn)品供應(yīng)商和醫(yī)療服務(wù)提供商確保其產(chǎn)品持續(xù)安全和有效的臨床功能����。了解本地醫(yī)療器械法規(guī)�。進(jìn)行充分的測(cè)試,以發(fā)現(xiàn)對(duì)醫(yī)療產(chǎn)品(性能或功能)可能危及患者的任何意外副作用���。注冊(cè)申請(qǐng)人需要提供關(guān)于評(píng)估/驗(yàn)證補(bǔ)丁的主動(dòng)信息����。應(yīng)根據(jù)器械的預(yù)期用途�、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。6.健康數(shù)據(jù)去標(biāo)識(shí)化能力(HEALTH DATA de-identification–DIDT)注冊(cè)申請(qǐng)人應(yīng)考慮�����,臨床用戶、服務(wù)工程師和營(yíng)銷人員能夠在不需要患者身份的信息的情況下去識(shí)別敏感數(shù)據(jù)��。應(yīng)根據(jù)器械的預(yù)期用途����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力(Data backup and disaster recovery–DTBK)注冊(cè)申請(qǐng)人應(yīng)合理保證在系統(tǒng)故障或損壞后�,可以恢復(fù)存儲(chǔ)在產(chǎn)品上的持久保存的系統(tǒng)設(shè)置和敏感數(shù)據(jù),以便業(yè)務(wù)能夠繼續(xù)進(jìn)行����。特別需要注意的是,這一要求可能不適用于較小的低成本設(shè)備���。這實(shí)際上可能依賴于在下一個(gè)采集周期中收集新的相關(guān)數(shù)據(jù)的能力(例如由于偶爾的無線信號(hào)丟失而丟失的短時(shí)心率數(shù)據(jù))����。應(yīng)根據(jù)器械的預(yù)期用途�、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。8.緊急訪問隱私數(shù)據(jù)的能力(Emergency access–EMRG)注冊(cè)申請(qǐng)人應(yīng)考慮��,在緊急情況下����,臨床用戶需要能夠在沒有個(gè)人用戶ID和身份驗(yàn)證的情況下訪問敏感數(shù)據(jù)(break-glass功能)���。應(yīng)檢測(cè)、記錄和報(bào)告應(yīng)急通道�。理想情況下,包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員(除了審計(jì)記錄之外)�����。緊急訪問需要在輸入時(shí)要求并記錄自認(rèn)證用戶標(biāo)識(shí)(無需身份驗(yàn)證)�����。注冊(cè)申請(qǐng)人可以通過使用特定用戶帳戶或系統(tǒng)功能的過程方法來解決這個(gè)問題���。管理員需要能夠啟用/禁用依賴于技術(shù)或過程控制的產(chǎn)品提供的任何緊急功能�����。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證���。9.數(shù)據(jù)完整性真實(shí)性確認(rèn)能力(HEALTH DATA integrity and authenticity–IGAU)注冊(cè)申請(qǐng)人可以通過使用包括固定介質(zhì)和可移動(dòng)介質(zhì)���,來確保健康數(shù)據(jù)是可靠的����,不會(huì)被篡改���。應(yīng)根據(jù)器械的預(yù)期用途��、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證���。10.惡意軟件的防止、檢測(cè)與清除能力(Malware detection/protection–MLDP)注冊(cè)申請(qǐng)人應(yīng)考慮��,產(chǎn)品支持法規(guī)和用戶需求��,以確保有效和統(tǒng)一的支持�����,可以預(yù)防�����、檢測(cè)和刪除惡意軟件��。防止惡意軟件,對(duì)應(yīng)用程序及時(shí)進(jìn)行軟件更新�,關(guān)注惡意軟件模式,及時(shí)對(duì)當(dāng)前操作環(huán)境���、系統(tǒng)����、數(shù)據(jù)文件和應(yīng)用程序進(jìn)行補(bǔ)丁更新��。并經(jīng)常需要對(duì)設(shè)備運(yùn)行更新后進(jìn)行驗(yàn)證測(cè)試���,以確保持續(xù)使用和安全��。注冊(cè)申請(qǐng)人需要檢測(cè)傳統(tǒng)的惡意軟件以及可能干擾設(shè)備/系統(tǒng)正常運(yùn)行的未授權(quán)軟件的影響�,并提供詳細(xì)的測(cè)試結(jié)果�。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)��。11.通信對(duì)象�、通信節(jié)點(diǎn)的身份驗(yàn)證能力(Node authentication–NAUT)注冊(cè)申請(qǐng)人應(yīng)能夠以一種方式管理跨機(jī)器的賬戶�����,以保護(hù)健康數(shù)據(jù)訪問。支持獨(dú)立管理和集中管理�����。支持根據(jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行節(jié)點(diǎn)認(rèn)證�。檢測(cè)和防止實(shí)體偽造(提供不可抵賴性)。應(yīng)根據(jù)器械的預(yù)期用途����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。12.驗(yàn)證合法用戶的能力(Person authentication–PAUT)注冊(cè)申請(qǐng)人在為控制和監(jiān)視網(wǎng)絡(luò)訪問和活動(dòng)的網(wǎng)絡(luò)連接設(shè)備創(chuàng)建和使用用戶的唯一賬戶和基于角色的訪問控制(RBAC����、本地和遠(yuǎn)程)。以一種方式管理賬戶以保護(hù)健康數(shù)據(jù)訪問的能力����。用戶可能需要將個(gè)人首選項(xiàng)與用戶賬戶關(guān)聯(lián)。這可能有助于多個(gè)運(yùn)營(yíng)商����、部門甚至多個(gè)使用的設(shè)備和系統(tǒng)。支持獨(dú)立和中央管理���。單點(diǎn)登錄和所有工作地點(diǎn)的密碼相同����。控制對(duì)設(shè)備����、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問,并生成不可否認(rèn)的審計(jì)跟蹤���,發(fā)現(xiàn)和防止人員造假(提供不可抵賴性)�����。注意��,這個(gè)要求在臨床中緊急訪問操作期間是放松的����。應(yīng)根據(jù)器械的預(yù)期用途�����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)��。13.物理保護(hù)能力(Physical locks on device–PLOK)注冊(cè)申請(qǐng)人應(yīng)合理保證儲(chǔ)存在產(chǎn)品或媒體上的健康數(shù)據(jù)是和保持安全的方式與設(shè)備上數(shù)據(jù)記錄的靈敏度和容量成比例��。系統(tǒng)合理地避免了可能危及完整性�����、保密性或可用性的篡改或組件刪除�����。篡改(包括設(shè)備移除)是可以檢測(cè)到的����。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)�����。14.第三方組件管理能力(Third-party components in product lifecycle roadmaps–RDMP)注冊(cè)申請(qǐng)人應(yīng)對(duì)醫(yī)療器械提供明確的預(yù)期壽命說明����,并對(duì)提供第三方組件的服務(wù)商對(duì)其產(chǎn)品生命周期內(nèi)維護(hù)或支持相應(yīng)的系統(tǒng)進(jìn)行要求。當(dāng)平臺(tái)組件過時(shí)的情況下��,需要及時(shí)進(jìn)行更新和升級(jí)�。在存儲(chǔ)設(shè)備退役(丟棄、重用�����、轉(zhuǎn)售或回收)之前,服務(wù)提供商需不可逆地擦除健康數(shù)據(jù)���。這些活動(dòng)應(yīng)該被記錄和審計(jì)��。銷售和服務(wù)人員應(yīng)了解對(duì)每個(gè)產(chǎn)品在其生命周期中提供的安全支持�����。應(yīng)根據(jù)器械的預(yù)期用途��、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)�����。15.系統(tǒng)與應(yīng)用加固能力(System and application hardening–SAHD)注冊(cè)申請(qǐng)人應(yīng)給用戶提供一個(gè)穩(wěn)定的系統(tǒng)�,并且只提供那些根據(jù)其預(yù)期用途而指定和需要的服務(wù)���,同時(shí)進(jìn)行最少的維護(hù)活動(dòng)��。并且要求連接到它們的網(wǎng)絡(luò)的系統(tǒng)在交付時(shí)是安全的���,加強(qiáng)了對(duì)誤用和攻擊的抵御能力��。注冊(cè)申請(qǐng)人應(yīng)將用戶反饋的用戶設(shè)備中可疑的安全漏洞和察覺到的弱點(diǎn)以報(bào)告的形式記錄�。并通過風(fēng)險(xiǎn)分析和管理進(jìn)行漏洞的修復(fù)��,并及時(shí)更新提交�。應(yīng)根據(jù)器械的預(yù)期用途���、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)�。16.對(duì)操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力(Security guides–SGUD)注冊(cè)申請(qǐng)人應(yīng)讓操作人員清楚地了解自己的職責(zé)和安全的系統(tǒng)工作方式�����。管理員需要關(guān)于管理�、定制和監(jiān)視系統(tǒng)的信息(即訪問控制列表、審計(jì)日志等)�。管理員需要清楚地了解安全功能,以便根據(jù)適當(dāng)?shù)姆ㄒ?guī)要求進(jìn)行健康數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估��。銷售和服務(wù)應(yīng)包括系統(tǒng)的安全能力和安全工作方式的信息�����。用戶應(yīng)知道如何以及何時(shí)將用戶設(shè)備中可能存在的安全漏洞和察覺到的弱點(diǎn)通知注冊(cè)人。應(yīng)根據(jù)器械的預(yù)期用途���、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)�。17.存儲(chǔ)保密能力(HEALTH DATA storage confidentiality–STCF)注冊(cè)申請(qǐng)人應(yīng)合理保證儲(chǔ)存在產(chǎn)品或媒體上的健康數(shù)據(jù)是保持安全的����。基于風(fēng)險(xiǎn)分析���,必須考慮對(duì)存儲(chǔ)在醫(yī)療器械上的健康數(shù)據(jù)進(jìn)行加密��。對(duì)于存儲(chǔ)在可移動(dòng)介質(zhì)上的健康數(shù)據(jù)�����,加密可以保護(hù)臨床用戶����、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師的機(jī)密性/完整性�。應(yīng)使用一種與傳統(tǒng)使用、服務(wù)訪問���、緊急訪問一致的加密密鑰管理機(jī)制��。加密方法和強(qiáng)度考慮了數(shù)據(jù)的容量(記錄收集/聚合的程度)和靈敏度��。應(yīng)根據(jù)器械的預(yù)期用途�����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)���。18.傳輸保密能力(Transmission confidentiality–TXCF)注冊(cè)申請(qǐng)人應(yīng)確保在經(jīng)過身份驗(yàn)證的節(jié)點(diǎn)之間傳輸期間保持健康數(shù)據(jù)機(jī)密性��。這允許在相對(duì)開放的網(wǎng)絡(luò)和/或環(huán)境中傳輸健康數(shù)據(jù),在這些環(huán)境中使用用于健康數(shù)據(jù)完整性和保密性的強(qiáng)大保密策略(詳見:IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks)�。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)�。19.保障數(shù)據(jù)傳輸完整性的能力(Transmission integrity–TXIG)注冊(cè)申請(qǐng)人應(yīng)提供確保傳輸過程中考慮風(fēng)險(xiǎn)分析后健康數(shù)據(jù)的完整性測(cè)試的結(jié)果,這允許注冊(cè)申請(qǐng)人在相對(duì)開放的網(wǎng)絡(luò)或環(huán)境中傳輸健康數(shù)據(jù)�����,需使用健康數(shù)據(jù)完整性強(qiáng)策略���。應(yīng)根據(jù)器械的預(yù)期用途����、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。
參考文獻(xiàn):
1)《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》(原國(guó)家食品藥品監(jiān)督管理總局2015年第50號(hào)通告)
2)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》(原國(guó)家食品藥品監(jiān)督管理總局2017年第13號(hào)通告)
3)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(中華人民共和國(guó)國(guó)務(wù)院令第147號(hào))
4)中華人民共和國(guó)互聯(lián)網(wǎng)信息辦公室《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》(中網(wǎng)辦發(fā)文〔2017〕4號(hào))
5)GB/T 29246-2012信息安全技術(shù) 信息安全管理體系概述和詞匯
6)GB/T 20984-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
7)GB/T 22239-2019信息系統(tǒng)安全等級(jí)保護(hù)基本要求
8)GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
9)GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求
10)YY/T 0316-2016 醫(yī)療器械 風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用
11)IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理應(yīng)用.第2-2部分 醫(yī)療器械安全
12)ISO/IEC 27035 Information technology - Security techniques - Information security incident management
13)ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14)ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15)ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
16)ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
17)ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
18)ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
19)ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
20)ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21)IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22)IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
23)HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security