医疗处理器械网络项目计划规划方案规划方案安全注册技术审查指导原则.doc

医疗办理器材网络项目计划规划方案规划方案安全注册技术审察指导原则.~附件医 疗 器 械 网 络 安 全 注 册 技 术 审察 指 导 原 则本指导原则旨在指导注册申请人提交医疗器材网络安全注册申报资料，同时规范医疗器材网络安全的技术审评要求本指导原则是对医疗器材网络安全的一般性要求，注册申请人应依据医疗器材产品特征提交网络安全注册申报资料， 判断指导原则中的详细内容能否合用， 不合用内容详述原由 注册申请人也可采纳其余知足法例要求的代替方法， 但应供给详细的研究资料和考证资料本指导原则是在现行法例和标准系统以及目前认知水平下、并参照了外国法例与指南、 国际标准与技术报告拟订的 跟着法例和标准的不停完美， 以及认知水平易技术能力的不停提升， 有关内容也将合时进行订正本指导原则是对注册申请人和审评人员的指导性文件， 不包含审评审批所波及的行政事项， 亦不作为法例强迫履行， 应在依据有关法例的前提下使用本指导原则本指导原则作为 《医疗器材软件注册技术审察指导原则》的增补，应联合《医疗器材软件注册技术审察指导原则》的有关要.~求使用 本指导原则是医疗器材网络安全的通用指导原则，波及网络安全的医疗器材产品指导原则可在本指导原则基础长进行有针对性的调整、改正和完美。

一、合用范围其余本指导原则合用于拥有网络连结功能以进行电子数据互换或远程控制的第二类、 第三类医疗器材产品的注册申报， 此中网络包含无线、 有线网络，电子数据互换包含单向、 双向数据传输，远程控制包含及时、非及时控制同时，本指导原则也合用于采纳储存媒介以进行电子数据交换的第二类、 第三类医疗器材产品的注册申报， 此中储存媒介包含但不限于光盘、挪动硬盘和 U 盘二、基来源则跟着网络技术的发展， 愈来愈多的医疗器材具备网络连结功能以进行电子数据互换或远程控制， 在提升医疗服务质量与效率的同时也面对着网络攻击的威迫 医疗器材网络安全出现问题不单可能会入侵患者隐私， 并且可能会产生医疗器材非预期运转的风险，致使患者或使用者遇到伤害或死亡 所以，医疗器材网络安所有是医疗器材安全性和有效性的重要构成部分之一医疗器材网络安所有是指保持医疗器材有关数据的保密性（ confidentiality ）、完好性（ integrity ）和可得性1（availability ）1在信息安全领域 availability 译为可用性， 而在医疗器材领域 usability 译为可用性，为防止惹起歧义本指导原则将 availability 译为可得性。

~（改自 GB/T 29246-2012《信息技术安全技术信息安全管理系统概括和词汇》）：1.保密性：指数据不可以被未受权的个人、实体利用或知悉的特征，即医疗器材有关数据仅可由受权用户在受权时间以受权方式进行接见；2.完好性：指保护数据正确和完好的特征，即医疗器材有关数据是正确和完好的，且未被窜改；3.可得性：指依据受权个人、实体的要求可接见和使用的特性，即医疗器材有关数据能以预期方式合时进行接见和使用其余，医疗器材网络安全特征还包含真切性 （ authenticity ）、可核查性（ accountability ）、抗狡辩（ non-repudiation ）和靠谱性（ reliability ）等特征，相应定义详见 GB/T 29246-2012 注册申请人应该联合医疗器材产品的预期用途、 使用环境和核心功能以及预期相连设施或系统 （如其余医疗器材、 信息技术设施）的状况来确立医疗器材产品的网络安全特征， 并采纳鉴于风险管理的方法来保证医疗器材产品的网络安全：辨别财产（ asset，对个人或组织有价值的任何东西）、威迫（threat，可能致使对个人或组织产生伤害的非预期事件发生的潜伏原由） 和柔弱性（vulnerability ，可能会被威迫所利用的财产或风险控制措施的短处） ，评估威迫和柔弱性对于医疗器材产品和患者的影响以及被利用的可能性， 确立风险水平并采纳适合的风险控制举措，.~鉴于风险接受准则评估节余风险。

注册申请人应该在医疗器材产品全生命周期过程中连续关注网络安全问题，包含医疗器材产品的设计开发、生产、分销、部署和保护 同时，注册申请人应该联合自己质量管理系统的要乞降医疗器材产品特色来保证医疗器材产品的网络安全， 包含上市前和上市后的有关要求， 如风险管理、设计开发、 网络安全保护及用户见告等要求 其余，注册申请人可采纳信息安全领域的优秀工程 2 实践来完美医疗器材产品的网络安全管理，保证医疗器材产品的安全性和有效性注册申请人应该连续追踪与网络安全有关的国家法律法例（如《中华人民共和国网络安全法》 ）以及有关部门 （如公安部、国家网信办、卫生计生委、工业和信息化部）的规章，医疗器材的网络安全应该切合相应法律法例和部门规章的要求医疗器材产品在使用过程中常与非注册申请人预期的设施或系统相连结， 这就使得注册申请人自己难以控制和保证医疗器材产品的网络安全 所以，医疗器材的网络安全需要注册申请人、用户和信息技术服务商的共同努力和共同努力才能得以保障 可是这其实不意味着注册申请人能够免去医疗器材网络安全的有关责任，注册申请人应该保证医疗器材产品自己的网络安全， 并明确与其预期相连设施或系统的接口要求， 进而保证医疗器材产品2在信息安全领域， IEC 27000 系列标准规范了信息安全管理系统（ ISMS）认证要求，本指导原则不要求制造商进行 ISMS 认证，但建议制造商参照有关标准要求。

~的安全性和有效性医疗器材网络安全防备层级可分为产等级和系统级， 保证举措包含管理举措、 物理举措和技术举措， 本指导原则以医疗器材数据安全为核心主要关注产等级的技术保证举措鉴于医疗器材网络安全拥有影响要素多、 波及面广、 扩散性强和突发性高等特色， 独自考虑医疗器材产品的软件安全性级别不足以保证其网络安全， 所以对于与医疗器材网络安全有关的注册申报资料一致进行要求三、网络安全考量（一）数据考量医疗器材有关数据从内容上可分为以下两种种类：1.健康数据： 注明生理、 心理健康状况的个人数据 （“ Private Data”，又称个人数据 “ Personal Data”、敏感数据“Sensitive Data”，指可用于人员身份识其余有关信息） ，波及患者隐私信息；2.设施数据：描绘设施运转状况的数据，用于监督、控制设备运转或用于设施的保护养护，自己不波及患者隐私信息医疗器材有关数据的互换方式可分为以下两种状况：1. 网络：经过网络（包含无线网络、有线网络）进行电子数据互换或远程控制， 需要考虑网络有关要求 （如接口、 带宽等），数据传输协议需考虑能否为标准协议 （即业内公认标准所规范的协议），远程控制需考虑能否为及时控制；.~2.储存媒介：经过储存媒介（如光盘、挪动硬盘、U 盘等）进行电子数据互换， 数据储藏格式需考虑能否为标准格式（即业内公认标准所规范的格式） 。

注册申请人应该鉴于医疗器材有关数据的种类、功能、用途、互换方式及要求， 并联合医疗器材产品特征考虑其网络安全问题对于健康数据， 注册申请人应该依据患者隐私保护的有关规定对于无线设施， 注册申请人应该依据无线电管理的有关规定二）技术考量用户接见控制体制应该与医疗器材产品特征相适应，包含但不限于用户身份鉴识方法（如用户名、口令等）、用户种类及权限（如系统管理员、一般用户、设施保护人员等） 、口令强度设置、软件更新受权等医疗器材有关数据在网络传输或数据互换过程中应该保证保密性和完好性， 同时均衡可得性的要求， 特别是拥有远程控制功能的医疗器材 注册申请人可采纳加密、 数字署名、标准协议、校验等技术来保证医疗器材的网络安全鉴于预期用途、 使用环境的限制， 医疗器材对于网络安全威迫的探测、响应和恢复能力应该与医疗器材的产品特征相适应注册申请人可采纳防火墙、 入侵检测和歹意代码防备等技术来保证医疗器材的网络安全医疗器材网络安全能力建设可参照有关的国际、国家标准.~和技术报告，如 IEC/TR 80001-2-2 3规范了十九项网络安全能力：自动注销（ ALOF ）、审察控制（ AUDT ）、受权（ AUTH ）、安全特征配置（ CNFS ）、网络安全产品升级（CSUP）、健康数据身份信息去除（ DIDT ）、数据备份与灾害恢复（DTBK ）、紧迫接见（ EMRG ）、健康数据完好性与真切性（IGAU ）、歹意软件探测与防备（MLDP ）、网络节点鉴识 （ NAUT ）、人员鉴识 （ PAUT ）、物理锁（ PLOK ）、第三方组件保护计划（RDMP ）、系统与应用软件硬化（ SAHD ）、安全指导（SGUD ）、健康数据储存保密性（ STCF）、传输保密性（ TXCF ）和传输完好性（ TXIG ），注册申请人可依据医疗器材的产品特征考虑其网络安全能力要求的合用性。

三）现成软件考量医疗器材使用现成软件的状况日趋广泛， 特别是系统软件和支持软件 所以，注册申请人相同需要关注现成软件的网络安全问题，应该依据质量管理系统要求成立网络安全保护流程， 并将医疗器材网络安全信息及时通知用户对于应用软件， 注册申请人需要要点关注其网络安全问题对医疗器材临床应用的影响 而对于系统软件和支持软件， 注册申请人需要要点关注其安全补丁更新对医疗器材的影响，安全补丁3 详 见 IEC/TR 80001-2-2:2012Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls.~更新属于设计更改， 需要进行考证与确认，但往常状况下可视为稍微软件更新，除非影响到医疗器材的安全性和有效性四、网络安全文档（一）基本考量网络安全更新 （包含自主开发软件和现成软件）依据其对医疗器材的影响程度可分为以下两类：1.重要网络安全更新：影响到医疗器材的安全性或有效性的网络安全更新；2.稍微网络安全更新：不影响医疗器材的安全性与有效性的网络安全更新，如惯例安全补丁。

医疗器材产品发生重要网络安全更新应进行允许事项更改，而发生稍微网络安全更新经过质量管理系统进行控制， 无需进行注册更改，待到下次注册（注册更改和连续注册）时提交相应注册申报资料 医疗器材同时发生重要和稍微网络安全更新， 依据风险从高原则应进行允许事项更改波及召回的网络安全更新应依据医疗器材召回的有关法例办理，不属于本指导原则议论范围软件版本命名规则应试虑网络安全更新的状况注册申请人在提交注册申报资料时， 应依据医疗器材网络安全的详细状况提交网络安全描绘文档或惯例安全补丁描绘文档网络安全描绘文档合用于产品注册、重要网络安全更新，惯例安.~全补丁描绘文档合用于稍微网络安全更新二）网络安全描绘文档1.基本信息描绘医疗器材产品的有关信息：（ 1）种类：健康数据、设施数据；（ 2）功能：电子数据互换 （单向、 双向）、远程控制（及时、非及时）；（ 3）用途：如临床应用、设施保护等；（ 4）互换方式：网络（无线网络、有线网络）及要求（如传输协议（标准、自定义）、接口、带宽等），储存。