醫療器械網絡安全注冊審查指導原則 (2022年修訂版)
本指導原則旨在指導注冊申請人規范醫療器械網絡安全生存周期過程和準備醫療器械網絡安全注冊申報資料,同時規范醫療器械網絡安全的技術審評要求,為醫療器械軟件、質量管理軟件的體系核查提供參考。本指導原則是對醫療器械網絡安全的一般要求,注冊申請人需根據產品特性和風險程度確定本指導原則具體內容的適用性,若不適用詳述理由。注冊申請人也可采用其他滿足法規要求的替代方法,但需提供詳盡的研究資料。本指導原則是在現行法規、強制性標準體系以及當前科技能力、認知水平下制定的,隨著法規、強制性標準體系的不斷完善以及科技能力、認知水平的不斷發展,本指導原則相關內容也將適時調整。本指導原則作為注冊申請人、審評人員和檢查人員的指導性文件,不包括審評審批所涉及的行政事項,亦不作為法規強制執行,應在符合法規要求的前提下使用本指導原則。本指導原則是數字醫療(Digital Health)指導原則體系的重要組成部分,亦是醫療器械軟件指導原則的補充,采用和遵循醫療器械軟件、獨立軟件生產質量現場檢查等相關指導原則的概念和要求。本指導原則是醫療器械網絡安全的通用指導原則,其他涉及網絡安全的醫療器械產品指導原則可在本指導原則基礎上進行有針對性的調整、修改和完善。本指導原則適用于醫療器械網絡安全的注冊申報,包括具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械(包括體外診斷醫療器械);適用于自研軟件、現成軟件的注冊申報。其中,網絡包括無線、有線網絡,電子數據交換包括基于網絡、存儲媒介的單向、雙向數據傳輸,遠程訪問與控制包括基于網絡的實時、非實時的訪問與控制,用戶(如醫務人員、患者、維護人員等)訪問包括基于軟件用戶界面、電子接口的人機交互方式。本指導原則也可用作醫療器械軟件、質量管理軟件的體系核查參考。醫療器械網絡安全是指保護醫療器械產品自身和相關數據不受未授權活動影響的狀態,其保密性(Confidentiality)、完整性(Integrity)、可得性(Availability)相關風險在全生命周期均處于可接受水平。其中,保密性是指信息不被未授權實體(含產品、服務、個人、組織)獲得或知悉的特性,即醫療器械產品自身和相關數據僅可由授權用戶在授權時間以授權方式進行訪問和使用。完整性是指信息的創建、傳輸、存儲、顯示未以非授權方式進行更改(含刪除、添加)的特性,即醫療器械相關數據是準確和完整的,且未被篡改。可得性是指信息可根據授權實體要求進行訪問和使用的特性,即醫療器械產品自身和相關數據能以預期方式適時進行訪問和使用。除保密性、完整性、可得性三個基本特性外,醫療器械網絡安全還包括真實性(Authenticity)、抗抵賴性(Non-Repudiation)、可核查性(Accountability)、可靠性(Reliability)等特性。其中,真實性是指實體符合其所聲稱的特性,抗抵賴性是指實體可證明所聲稱事件或活動的發生及其發起實體的特性,可核查性是指實體的活動及結果可被追溯的特性,可靠性是指實體的活動及結果與預期保持一致的特性。保密性、完整性、可得性等網絡安全特性通常是相互制約的關系,在同等條件下,某一特性的能力提升可能會使得另一特性或多個特性的能力下降,如可得性的提升可能會降低保密性和完整性,因此需要基于產品特性進行平衡兼顧。注冊申請人需結合醫療器械的預期用途、使用場景、核心功能進行綜合考量,從而確定醫療器械網絡安全特性的具體要求。此外,盡管信息安全、網絡安全、數據安全的定義和范圍各有側重,既有聯系又有區別,不盡相同,但本指導原則從醫療器械安全有效性評價角度出發對三者不做嚴格區分,統一采用網絡安全進行表述,即從網絡安全角度綜合考慮醫療器械的信息安全和數據安全。醫療數據是指醫療器械所產生的、使用的與醫療活動相關的數據(含日志),從個人信息保護角度又可分為敏感醫療數據、非敏感醫療數據,其中敏感醫療數據是指含有個人信息的醫療數據,反之即為非敏感醫療數據。個人信息是指以電子或者其他方式記錄的能夠單獨或與其他信息結合識別自然人個人身份的各種信息,如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息(含容貌信息)、住址、電話號碼等。設備數據是指記錄醫療器械運行狀況的數據(含日志),用于監視、控制醫療器械運行或者醫療器械的維護與升級,不得含有個人信息。注冊申請人需基于醫療器械相關數據的類型、功能、用途,結合網絡安全特性考慮醫療器械網絡安全要求。同時,保證敏感醫療數據所含個人信息免于泄露、濫用和篡改,以及醫療數據和設備數據的有效隔離(如訪問權限控制等方法)。本指導原則所述醫療器械電子接口(含硬件接口、軟件接口)包括網絡接口、電子數據交換接口,若無明示均指外部接口,分體式醫療器械各獨立部分的內部接口視為外部接口,如服務器與客戶端、主機與從機的內部接口。網絡接口是指基于網絡的電子接口。醫療器械可通過網絡接口(含轉接接口)進行電子數據交換或遠程訪問與控制,此時需考慮網絡的技術特征要求,包括但不限于網絡形式(有線、無線)、網絡類型(如廣域網、局域網、個域網)、接口形式(如電口、光口)、數據接口(此時即數據協議,含標準協議、私有協議)、遠程訪問與控制方式(實時、非實時)、性能指標(如端口、傳輸速率、帶寬)等。無線網絡包括Wi-Fi(IEEE 802.11)、藍牙(IEEE 802.15)、射頻、紅外、4G/5G等形式,其中醫用無線專用設備(即未采用通用無線通信技術的醫療器械)應符合中國無線電管理相關規定。標準協議即業內公認標準所規范的數據傳輸協議,如DICOM、HL7等,需考慮其定制化功能的兼容性問題;私有協議需考慮兼容性問題。遠程訪問與控制亦包括操作系統軟件所提供的遠程會話或遠程桌面功能。電子數據交換接口是指基于非網絡的電子接口。醫療器械可通過非網絡接口的其他電子接口(如串口、并口、USB口、視頻接口、音頻接口,含調試接口、轉接接口)或存儲媒介(如光盤、移動硬盤、U盤)進行電子數據交換。此時需考慮其他電子接口或數據存儲的技術特征要求。其他電子接口可參照網絡接口明確其技術特征要求。數據存儲的技術特征要求包括但不限于存儲媒介形式、數據接口(此時即文件存儲格式,含標準格式、私有格式)、數據壓縮方式(有損、無損)、性能指標(如傳輸速率、容量)等。標準格式即業內公認標準所規范的文件存儲格式,如JPEG、PNG等,需考慮其文件格式完整性問題;私有格式需考慮兼容性問題。注冊申請人需結合醫療器械電子接口的類型、方式、技術特征,基于網絡安全特性考慮其網絡安全的具體要求。考慮到預期用途、使用場景的限制,醫療器械對于網絡安全威脅應具備必要的識別、保護能力和適當的探測、響應、恢復能力。1.自動注銷(ALOF):產品在無人值守期間阻止非授權用戶訪問和使用的能力。2.審核(AUDT):產品提供用戶活動可被審核的能力。3.授權(AUTH):產品確定用戶已獲授權的能力。4.節點鑒別(NAUT):產品鑒別網絡節點的能力。5.人員鑒別(PAUT):產品鑒別授權用戶的能力。6.連通性(CONN):產品保證連通網絡安全可控的能力。7.物理防護(PLOK):產品提供防止非授權用戶訪問和使用的物理防護措施的能力。8.系統加固(SAHD):產品通過固化措施對網絡攻擊和惡意軟件的抵御能力。9.數據去標識化與匿名化(DIDT):產品直接去除、匿名化數據所含個人信息的能力。10.數據完整性與真實性(IGAU):產品確保數據未以非授權方式更改且來自創建者或提供者的能力。11.數據備份與災難恢復(DTBK):產品的數據、硬件或軟件受到損壞或破壞后恢復的能力。12.數據存儲保密性與完整性(STCF):產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力。13.數據傳輸保密性(TXCF):產品確保數據傳輸保密性的能力。14.數據傳輸完整性(TXIG):產品確保數據傳輸完整性的能力。15.網絡安全補丁升級(CSUP):授權用戶安裝/升級產品網絡安全補丁的能力。16.現成軟件清單(SBOM):產品為用戶提供全部現成軟件清單的能力。17.現成軟件維護(RDMP):產品在全生命周期中對現成軟件提供網絡安全維護的能力。18.網絡安全使用指導(SGUD):產品為用戶提供網絡安全使用指導的能力。19.網絡安全特征配置(CNFS):產品根據用戶需求配置網絡安全特征的能力。20.緊急訪問(EMRG):產品在預期緊急情況下允許用戶訪問和使用的能力。21.遠程訪問與控制(RMOT):產品確保用戶遠程訪問與控制(含遠程維護與升級)的網絡安全的能力。22.惡意軟件探測與防護(MLDP):產品有效探測、阻止惡意軟件的能力。注冊申請人需根據醫療器械的產品特性分析上述網絡安全能力的適用性。若適用,明確網絡安全能力的實現方式,可通過產品自身功能實現,亦可通過必備軟件、外部軟件環境等外部措施實現。同時,根據產品風險水平明確網絡安全能力的強弱程度,例如:用戶訪問控制可采用用戶名和口令方式,其中口令強度可采用不同強度設置或采用動態口令,亦可采用生物識別技術,通常情況下醫療器械的風險水平越高則其用戶訪問控制要求越嚴格。反之,若不適用詳述理由并予以記錄。值得注意的是,對于特定醫療器械產品,上述各項網絡安全能力可能不足以保證其網絡安全,需結合產品具體情況補充其他網絡安全能力要求。網絡安全驗證與確認作為軟件驗證與確認的重要組成部分,需在軟件驗證與確認的框架下,結合產品網絡安全特性開展相關質控工作,如源代碼安全審核、威脅建模、漏洞掃描、滲透測試、模糊測試等。軟件驗證與確認相關要求詳見醫療器械軟件指導原則第二章。注冊申請人需針對不同類型網絡威脅,采用相應技術手段來保證醫療器械的網絡安全。例如:針對讀取攻擊、操作攻擊、欺騙攻擊、泛洪攻擊、重定向、勒索攻擊等網絡威脅,可采用用戶訪問控制、端口與服務關閉、加密、數字簽名、標準協議、校驗、防火墻、入侵檢測、惡意代碼防護、防護規則配置等方法與技術來保證產品的網絡安全。網絡安全可追溯性分析作為網絡安全驗證與確認的重要活動之一,是指追蹤網絡安全需求、網絡安全設計、源代碼、網絡安全測試、網絡安全風險管理之間的關系,分析已識別關系的正確性、一致性、完整性、準確性。醫療器械網絡安全生存周期過程均應開展網絡安全可追溯性分析活動,具體要求可參照軟件可追溯性分析活動要求,詳見醫療器械軟件指導原則第二章。醫療器械設計開發只能針對已知網絡安全漏洞采取相應風險控制措施,上市后仍會面臨潛在未知的網絡安全漏洞引發的網絡安全事件的威脅,可能造成醫療器械無法訪問和使用、醫療數據發生泄露或遭到篡改,進而可能導致患者受到傷害或死亡以及隱私被侵犯。同時,醫療器械網絡安全事件具有影響因素多、涉及面廣、擴散性強和突發性高等特點,對于醫療器械上市后監測要求相對較高。因此,注冊申請人需基于相關標準和技術報告建立網絡安全事件應急響應機制,保證醫療器械的安全有效性并保護患者隱私。應制定網絡安全事件應急響應預案,涵蓋現成軟件要求,明確計劃與準備、探測與報告、評估與決策、應急響應實施、總結與改進等階段的任務和要求。建立網絡安全事件應急響應團隊,根據工作職能形成管理、規劃、監測、響應、實施、分析等工作小組,必要時可邀請外部網絡安全專家成立專家小組。根據網絡安全事件的嚴重程度、緊迫程度、廣泛程度等因素進行分類分級管理,結合產品風險級別,按照風險管理要求開展應急響應措施的驗證工作并予以記錄,在事件發生期間及時告知用戶應對措施。若適用,按照醫療器械不良事件、召回相關法規要求處理;必要時,向國家網絡安全主管部門報告。醫療器械網絡安全更新從內容上可分為功能更新、補丁更新,類似于增強類軟件更新、糾正類軟件更新。根據其對醫療器械安全性和有效性的影響程度分為以下兩類:(1)重大網絡安全更新:影響到醫療器械的安全性或有效性的網絡安全更新,即重大網絡安全功能更新,應申請變更注冊。(2)輕微網絡安全更新:不影響醫療器械的安全性與有效性的網絡安全更新,包括輕微網絡安全功能更新、網絡安全補丁更新。輕微網絡安全更新通過質量管理體系進行控制,無需申請變更注冊,待下次變更注冊時提交相應注冊申報資料。此外,涉及召回的網絡安全更新,無論功能更新還是補丁更新均屬于重大網絡安全更新,按照醫療器械召回相關法規要求處理,不屬于本指導原則討論范疇。網絡安全更新同樣遵循風險從高原則,即同時發生重大和輕微網絡安全更新按重大網絡安全更新處理。同時,軟件版本命名規則應涵蓋網絡安全更新情況,區分重大和輕微網絡安全更新。網絡安全功能更新若影響到醫療器械的預期用途、使用場景或核心功能原則上均屬于重大網絡安全更新,包括但不限于:產品預期運行的網絡環境發生改變,如由封閉網絡環境變為開放網絡環境、局域網變為廣域網、有線網絡變為無線網絡;產品預期使用的電子接口發生改變,如接口形式由網口變為USB口、接口類型由少變多、接口功能由電子數據交換擴至遠程控制;產品網絡安全能力發生實質性改變,如自動注銷能力由操作系統自帶功能實現改為產品自身功能實現、物理防護能力由有變無等。除非影響到醫療器械的安全性或有效性,以下網絡安全功能更新和網絡安全補丁更新通常視為輕微網絡安全更新:產品預期運行的網絡環境數據傳輸效率單純提高,預期使用的電子接口原有功能單純優化、傳輸效率單純提高,產品網絡安全能力發生非實質性改變;醫療器械軟件、必備軟件、外部軟件環境的網絡安全補丁更新。其中,必備軟件是指醫療器械軟件正常運行所必需的其他醫療器械軟件及醫用中間件,外部軟件環境是指醫療器械軟件正常運行所必需的系統軟件、通用應用軟件、通用中間件、支持軟件,詳見醫療器械軟件指導原則。隨著網絡技術的發展,越來越多的醫療器械具備網絡連接功能以進行電子數據交換或遠程訪問與控制,在提高醫療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者或用戶受到傷害或死亡。因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分之一。信息共享是保障醫療器械網絡安全的基本原則。及時獲得網絡安全漏洞、事件等相關信息有助于識別、評估和應對網絡安全風險,保證醫療器械的安全有效性以及醫療活動的業務持續性,因此,鼓勵所有利益相關方在醫療器械全生命周期中主動積極共享網絡安全相關信息。注冊申請人需充分利用網絡安全漏洞披露機制加強醫療器械網絡安全的設計開發和上市后監測,如基于國家互聯網應急中心(CNCERT/CC,www.cert.org.cn)的國家信息安全漏洞共享平臺(CNVD,www.cnvd.org.cn),或其互認的國際信息安全漏洞庫所披露的漏洞信息,定期開展網絡安全風險管理工作。醫療器械網絡安全需要注冊申請人、用戶、信息技術服務商等利益相關者的共同努力和通力合作方能得以保障。雖然醫療器械在使用過程中常與非預期的設備或系統相連,使得注冊申請人在保證醫療器械網絡安全方面存在諸多困難,但這不意味注冊申請人可以免除醫療器械網絡安全相關責任。注冊申請人需保證醫療器械產品自身的網絡安全,明確預期的網絡環境和電子接口要求,持續監測、評估、應對、分享網絡安全相關風險,與其他利益相關者密切合作,從而保證醫療器械的安全有效性。醫療器械網絡安全也是網絡安全國家戰略的重要組成部分,因此醫療器械網絡安全亦應符合網絡安全相關法律法規和部門規章的要求,如網絡安全法、數據安全法、個人信息保護法以及數據出境、重要數據識別等要求。注冊申請人應持續跟蹤相關法律法規和部門規章的制修訂情況,并滿足相應適用要求。網絡安全新技術(如人工智能技術)研究處于快速發展階段,醫療器械若采用網絡安全新技術來保證網絡安全,亦需基于新技術特性,并結合風險管理開展相應驗證與確認工作。綜合考慮行業發展水平和風險分級管理導向,醫療器械網絡安全的風險級別不同,其生命周期質控要求和注冊申報資料要求亦不同。雖然網絡安全風險與軟件風險存在差異,但是網絡安全風險作為軟件風險的重要組成部分,其風險級別亦可參照軟件采用安全性級別進行表述。在通常情形下,醫療器械網絡安全的安全性級別與所屬醫療器械軟件的安全性級別相同;在特殊情形下,網絡安全的安全性級別可低于軟件的安全性級別,此時需詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。醫療器械網絡安全風險同樣結合醫療器械的預期用途、使用場景、核心功能進行綜合判定,特別是使用場景。不同使用場景的網絡環境不同,甚至存在巨大差異,對于醫療器械網絡安全的影響亦不同,如門診、手術、住院、急救、家庭、轉運、公共場所等使用場景的網絡環境均有所不同,因此對于適用于多個使用場景的醫療器械,注冊申請人需保證醫療器械在每個使用場景的網絡安全。醫療器械網絡安全風險管理活動通常包括:識別資產(Asset,對個人或組織有價值的物理和數字實體)、威脅(Threat,可能導致對個人或組織產生損害的非預期事件發生的潛在原因)和脆弱性(Vulnerability,可能會被威脅所利用的資產或風險控制措施的弱點),評估威脅和脆弱性對于醫療器械和患者的影響以及被利用的可能性,確定風險水平并采取充分、有效、適宜的風險控制措施,基于風險接受準則評估網絡安全綜合剩余風險,保證網絡安全綜合剩余風險均處于可接受水平。注冊申請人可結合醫療器械風險管理和網絡安全風險管理相關標準和技術報告的要求,開展醫療器械網絡安全風險管理工作。值得注意的是,醫療器械風險管理與網絡安全風險管理在傳統上存在一定差異,注冊申請人若無法對二者進行有效整合,則需分別獨立開展相應風險管理活動并予以記錄,同時考慮不同類型風險控制措施的相互影響問題。與醫療器械軟件類似,注冊申請人應在醫療器械全生命周期中持續關注網絡安全問題,包括上市前、上市后等階段。醫療器械上市前結合質量管理體系要求和醫療器械產品特性開展網絡安全質控工作,保證醫療器械的安全有效性;上市后根據網絡安全更新情況開展更新請求評估、驗證與確認、風險管理、用戶告知等活動,持續保證醫療器械的安全有效性。同時,建立網絡安全事件應急響應過程,定期開展醫療器械網絡安全漏洞風險評估工作,根據網絡安全漏洞披露相關要求,及時將必要的網絡安全相關信息以及應對措施告知用戶。此外,可采用信息安全領域的良好工程實踐來完善醫療器械網絡安全質控工作,以保證醫療器械的安全有效性。考慮到行業實際情況,本指導原則不要求注冊申請人單獨建立醫療器械網絡安全生存周期(又稱生命周期)過程,而是將其作為醫療器械軟件生存周期過程的重要組成部分予以整體考慮,待時機成熟時予以考量。注冊申請人需在醫療器械軟件生存周期過程考慮醫療器械網絡安全的質控要求,并可基于醫療器械網絡安全能力建設要求予以實施,具體要求詳見醫療器械軟件指導原則第六章以及獨立軟件生產質量管理規范及其現場檢查指導原則。同時,注冊申請人可參考信息安全領域相關標準和技術報告,完善醫療器械網絡安全生存周期過程的質控要求,本指導原則不再贅述。現成軟件同樣存在網絡安全問題,注冊申請人應根據質量管理體系要求建立現成軟件網絡安全更新過程,結合風險管理要求,及時將必要的現成軟件網絡安全信息及應對措施告知用戶。同時,根據現成軟件與醫療器械軟件的關系類型開展相應網絡安全質控工作。對于現成軟件組件(即作為醫療器械軟件組成部分的現成軟件),重點關注其網絡安全問題對醫療器械使用效果的影響,網絡安全的安全性級別判定亦需將其納入考量。對于外部軟件環境(即作為醫療器械軟件運行環境組成部分的現成軟件),重點關注其網絡安全補丁對醫療器械安全有效性的影響,網絡安全的安全性級別判定通常無需將其納入考量;需要說明的是,網絡安全補丁對于醫療器械而言屬于設計變更,需對醫療器械進行驗證、確認。根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國人類遺傳資源管理條例》等法律法規相關規定,在中國境內收集和產生的重要數據、個人信息和人類遺傳資源信息原則上應在中國境內存儲,因業務需要確需向境外提供的,應按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。《國家健康醫療大數據標準、安全和服務管理辦法(試行)》明確:健康醫療大數據應存儲在境內安全可信的服務器上,因業務需要確需向境外提供的,應按照相關法律法規及有關要求進行安全評估審核。醫療數據通常屬于重要數據,特別是敏感醫療數據含有個人信息,因此醫療數據出境應符合重要數據、個人信息、人類遺傳資源信息出境安全評估相關規定。遠程維護與升級雖為非醫療器械功能,但會影響醫療器械的安全有效性,故亦需納入考量。具有遠程維護與升級功能的醫療器械可訪問和使用設備數據,本身雖不涉及醫療數據,但若未能實現設備數據和醫療數據的有效隔離,則存在醫療數據未授權訪問和使用以及被篡改的可能性。遠程維護與升級所用電子接口也面臨網絡攻擊的威脅,可能會影響醫療器械正常運行,導致患者受到傷害或死亡以及隱私被侵犯。醫療器械在遠程維護與升級過程中若無人值守,則可能存在醫療器械非授權訪問和使用的風險。家用醫療器械的遠程維護與升級需考慮其對產品正常使用的影響及其風險。因此,注冊申請人需明確遠程維護與升級的實現方法、所用電子接口情況、設備數據所含內容、設備數據與醫療數據的隔離方法、網絡安全保證措施等技術特征,并提供相應研究資料和風險管理資料。此外,境外遠程維護與升級若可訪問醫療數據,亦應符合醫療數據出境要求。本指導原則所述遺留設備是指不能通過補丁更新、補償控制等合理風險控制措施抵御當前網絡安全威脅的醫療器械。遺留設備可能無法應對當前網絡安全威脅,導致產品綜合剩余風險無法降至可接受水平,降低醫療器械的安全有效性。
注:本文轉載自國家藥品監督管理局 醫療器械技術審評中心,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。如有侵權行為,請聯系我們,我們會及時刪除。
