《医疗器械网络安全注册审查指导原则实施指南2021.docx》由会员分享,可在线阅读,更多相关《医疗器械网络安全注册审查指导原则实施指南2021.docx(41页珍藏版)》请在第一文库网上搜索。
1、医疗器械网络安全注册审查指导原则实施指南发布时间:2021年06月03日分享:医疗器械网络安全注册审查指导原则实施指南一.综述E疗器械的使用环境三、医疗器械的网络安全(-)医疗器械网络安全特性(二)网络安全能力(三)网络安全的上市后监管网络安全注册资料(-)基本信息(二)风险管理(三)验证与确认(四)维护计划(五)产品技术要求(六)说明书附录:19项网络安全能力应用参考本指导原则实施指南旨在指导注册申请人提交第二类医疗器械网络安全注册申报资料,同时为第二类医疗器械网络安全的技术审评提供参考。本指导原则实施指南是对第二类医疗器械网络安全一般性要求的细化和补充,注册申请人应根据医疗器械产品特性提交
2、网络安全注册申报资料,注册申请人也可采用其他满足法规要求的替代方法,但应提供详尽的研究资料和验证资料。本指导原则实施指南是对注册申请人和审评人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在遵循相关法规的前提下使用本指导原则实施指南。本指导原则实施指南依据原国家食品药品监督管理总局发布的医疗器械软件注册技术审查指导原则和医疗器械网络安全注册技术审查指导原则编写,因而采用时应结合以上注册技术审查指导原则的相关要求使用。本指导原则实施指南适用于具有网络连接功能以进行电子数据交换或远程控制的第二类医疗器械产品的注册申报,其中网络连接包括无线网络连接和有线网络连接,电子数据交
3、换包括单向数据传输和双向数据传输,远程控制包括实时控制和非实时控制。同时,本指导原则实施指南也适用于采用存储媒介以进行电子数据交换的第二类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘。需要指出的是,本指导原则实施指南中所述的文件应来源于医疗器械的开发过程。注册申请人应将网络安全风险管理与质量管理体系充分融合,在确保医疗器械安全有效性的同时提高医疗器械的网络安全。一、综述随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,这在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医
4、疗器械非预期运行的风险,导致患者或使用者受到伤害甚或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分。同时,对于接入计算机信息系统的医疗器械,注册申请人应考虑医疗器械的使用环境,对预期接入定级系统或非定级系统的医疗器械的网络安全能力进行合理的设计。注册申请人还应考虑国家对于网络安全相关的法律法规和标准要求,特别是计算机信息系统安全保护方面的要求,例如中华人民共和国计算机信息系统安全保护条例,GB/T 22239-2019信息系统安全等级保护基本要求,GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求等法规和标准。二、医疗器械的使用环境医疗器械根据使用环
5、境可以分为家用医疗器械和医院用医疗器械,以及既可以在家庭使用也可以在医院使用的医疗器械。根据接口的类型可以分为有线网络连接、无线网络连接和连接本地存储媒介。根据所处的网络环境又可分为无网络环境(仅连接本地存储媒介)、受控的网络环境和开放的网络环境。注册申请人应根据不同的使用环境,识别网络安全风险,并采取相应的网络安全措施。I疗器械的网络安全(-)医疗器械网络安全特性医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性、可得性、真实性、可核查性、抗抵赖性以及可靠性等特性。L保密性指数据不能被未授权的个人、实体利用或知悉的特性,即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问;指保
6、护数据准确和完整的特性,即医疗器械相关数据是准确和完整的,且未被篡改;3 .可得性指根据授权个人、实体的要求可访问和使用的特性,即医疗器械相关数据能以预期方式适时进行访问和使用;4 .真实性一个实体是其所声称实体的特性,即医疗器械相关数据能够体现其真实的临床状态,例如:生理状态、操作状态、设备状态等;5 .可核查性实体表征对自己的动作和做出的决定负责的特性,即医疗器械相关数据表征对相关临床动作和决定负责;6抗抵赖性证明所声称事态或行为的发生及其发起实体的能力,以解决有关事态或行为发生与否以及事态中实体是否牵涉的争端,即医疗器械相关数据可证明相关临床事态和行为的发生及其发起的能力;7 .可靠性与
7、预期行为和结果一致的特性,即医疗器械相关数据与临床的预期行为和结果一致。(二)网络安全能力对医疗器械网络安全的保障,是用户、网络设施提供方与注册申请人共同参与的结果。以现有技术水平而言,注册申请人可以参考IEC TR 80001-2-2-2012包含医疗器械的IT网络的风险管理应用.第2-2部分医疗器械安全以及T/ZMDS 20003-2019医疗器械网络安全风险控制-医疗器械网络安全能力信息等标准,识别医疗器械网络安全能力,进行网络安全风险控制。需要注意的是,注册申请人对这些网络安全能力进行配置以配合用户进行网络安全风险管理时,应综合考虑具体医疗器械的预期用途与使用场景。医疗器械的预期用途一
8、般是对疾病的预防、诊断与治疗,在权衡医疗器械的安全性、有效性以及数据安全时,需要首先保证医疗器械的安全性、有效性。例如,为了在急救环境下发挥医疗器械的有效性,可能会对保密性的要求予以折衷。综合考虑的结果导致大部分的医疗器械可能并不具备全部的网络安全能力,此时需要注册申请人与用户进行良好的沟通,以实现最终医疗环境下的网络安全。以下列出了 19种医疗器械网络安全能力,并依据相关标准,结合医疗器械的产品特点对其主要内容进行了描述,注册申请人可根据医疗器械的产品特性,预期用途和使用方式考虑其网络安全能力要求的适用性。1 .自动登出能力(ALOF)无人值守的医疗器械终端设备,存在被进行非授权操作、显示信
9、息被非授权人员阅读的风险。此项网络安全能力确保医疗器械在所设时段内若未被用户操作,则自动进入保护状态,从而降低上述风险发生的概率。此项网络安全能力,改善了医疗器械的保密性与完整性,但会降低医疗器械的可得性,对急诊用医疗器械、长期监护用医疗器械、用户无需获得授权的医疗器械等可得性要求较高的医疗器械应结合医疗器械的预期用途与使用场景,决定是否配置以及如何配置。2 .审核控制能力(AUDT)医疗器械的网络安全与医疗器械的使用方式息息相关,不正确、非授权的使用会导致医疗器械存在网络安全方面的风险。对医疗器械使用环节的关键信息予以记录,是风险控制措施的一部分。此项能力的配置对网络安全的保密性、完整性、可
10、核查性均有提高,有利于对医疗器械使用记录提供可追溯性检测以及用于事后问责调查和对风险的持续监视,也为风险控制的应急响应提供输入。3 确定用户权限的能力(AUTH )医疗器械的非授权使用,会导致多种危险情况,确保医疗器械的使用者、管理者、维护者、拥有者得到合适的授权是重要的风险控制手段。用户权限的管理可以提高保密性、完整性与可核查性,但可能会降低可得性。4 .网络安全配置能力(CNFS )对医疗器械网络安全的保障是由用户、使用者、网络设施提供方、注册申请人多方共同参与的一项活动。开放网络安全相关的配置有利于网络安全在使用场景中的整体部署,但是另一方面医疗器械在有意、无意情况下的配置错误也可能导致
11、不可接受的风险,此项能力与系统的加固要求(SAHD )相矛盾,应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。5 .网络安全升级能力(CSUP )医疗器械以及医疗器械所依赖的软硬件环境,所面临的威胁并不是一成不变的,作为风险控制手段,有必要对医疗器械或医疗器械的运行环境予以修补以抵御新的网络威胁。由于医疗器械、运行环境、所受威胁的状况千差万别,部分修补可以由用户自行升级完成;而部分修补则可能需要注册申请人的授权人员才能进行。6 .健康数据去标识化能力(DIDT)在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值,例如科研、培训I、不良事件追溯、设备维护等。健康数据若
12、直接用于非医疗用途,则存在隐私数据保护方面的风险。数据交付之前,去除健康数据所附带的身份信息,是提高保密性的重要手段。但去除标识会降低数据的可追溯性。7 .数据备份与灾难恢复能力(DTBK )健康数据在处理过程中面临着数据被破坏甚至丢失的风险,保持数据备份与灾难恢复的能力,可以提高数据的完整性与可得性。8 .紧急访问隐私数据的能力(EMRG )医疗器械是以提供预防、诊断、治疗目的为核心属性,部分情况下医疗器械、数据的可得性受损会导致不可接受的风险。为医疗器械配置被紧急访问的能力以及相应的安全可控的紧急访问流程,对此项风险的控制至关重要。然而,配置被紧急访问的能力,常常会导致可得性之外的其它网络
13、安全特性降低,应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。9 数据完整性真实性确认能力(IGAU )当数据的完整性受损而导致不可接受的风险时,医疗器械具备此项能力可以确保健康数据的来源可靠且未经篡改与破坏。10 .恶意软件的防止、检测与清除能力(MLDP )恶意软件侵入医疗器械可能会导致不可接受的风险,此项能力可以对已知恶意软件进行探测、报告并防止受其侵害。由于恶意软件的产生难以预知,此项能力需要在医疗器械的使用过程中不断维护,必要时采取紧急措施。11 .通信对象、通信节点的身份验证能力(NAUT)医疗器械如与未经授权的通信节点进行互操作,可能导致不可接受的风险。此项能力配合用户
14、的网络安全策略可确保数据的发送方与接收方相互识别并被授权进行数据传输。12 .验证合法用户的能力(PAUT)有一部分医疗器械并非开放给所有的使用者,这部分医疗器械如果被未获授权的用户使用,可能导致不可接受的风险。此项能力配合用户的网络安全策略,可确保医疗器械的使用者是经过授权认证的。13 .物理保护能力(PLOK )医疗器械在物理上被侵入,会造成保密性与完整性的破坏,可能导致不可接受的风险。可以重点关注敏感信息的存储媒介(可移动媒介除外)是否不借助工具就能被取出。14 .第三方组件管理能力(RDMP )医疗器械可能用到第三方组件作为整体医疗器械的一部分,例如第三方的操作系统或数据库等。用户若对
15、此类组件不知情,则不利于此类组件未来的网络安全管理,也不利于未来网络安全事件的责任划分,可能导致不可接受的风险。15 .系统与应用加固能力(SAHD )医疗器械中可能存在着与预期用途无关的配置,例如:某些非医疗预期用途的账号、通信端口、共享文件、服务等。此类配置可能会成为网络攻击者所利用的通道,从而造成不可接受的风险,对这些配置予以关闭有利于降低风险发生的概率。16 .对操作者与管理员提供网络安全指导的能力(SGUD )医疗器械的不当使用可能在医疗器械网络安全方面造成不可接受的风险,对使用者提供产品说明、提供可索取的披露资料、予以培训等,均有利于降低使用者操作不当的风险。17,存储保密能力(STCF )健康数据的明文存储会降低产品的保密性,对数据存储予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。18 .传输保密能力(TXCF )健康数据的明文传输
免费区 
