医疗器械网络安全注册审查指导原则（2022年修订版）.docx

医疗器械网络安全注册审查指导原则（2022年修订版）本指导原则旨在指导注册申请人规范医疗器械网络安全生存周期过程和准备医疗器械网络安全注册申报资料，同时规范医疗器械网络安全的技术审评要求，为医疗器械软件、质量管理软件的体系核查提供参考本指导原则是对医疗器械网络安全的一般要求，注册申请人需根据产品特性和风险程度确定本指导原则具体内容的适用性，若不适用详述理由注册申请人也可采用其他满足法规要求的替代方法，但需提供详尽的研究资料本指导原则是在现行法规、强制性标准体系以及当前科技能力、认知水平下制定的，随着法规、强制性标准体系的不断完善以及科技能力、认知水平的不断发展，本指导原则相关内容也将适时调整本指导原则作为注册申请人、审评人员和检查人员的指导性文件，不包括审评审批所涉及的行政事项，亦不作为法规强制执行，应在符合法规要求的前提下使用本指导原则本指导原则是数字医疗（Digital Health）指导原则体系的重要组成部分，亦是医疗器械软件指导原则的补充，采用和遵循医疗器械软件、独立软件生产质量现场检查等相关指导原则的概念和要求本指导原则是医疗器械网络安全的通用指导原则，其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。

一、适用范围本指导原则适用于医疗器械网络安全的注册申报，包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械）；适用于自研软件、现成软件的注册申报其中，网络包括无线、有线网络，电子数据交换包括基于网络、存储媒介的单向、双向数据传输，远程访问与控制包括基于网络的实时、非实时的访问与控制，用户（如医务人员、患者、维护人员等）访问包括基于软件用户界面、电子接口的人机交互方式本指导原则也可用作医疗器械软件、质量管理软件的体系核查参考二、主要概念（一）医疗器械网络安全医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态，其保密性（Confidentiality）、完整性（Integrity）、可得性（Availability）在信息安全领域availability译为可用性，而在医疗器械领域usability译为可用性，为避免引起歧义本指导原则将availability译为可得性相关风险在全生命周期均处于可接受水平详见IMDRF/CYBER WG/N60FINAL:2020其中，保密性是指信息不被未授权实体（含产品、服务、个人、组织）获得或知悉的特性，即医疗器械产品自身和相关数据仅可由授权用户在授权时间以授权方式进行访问和使用。

完整性是指信息的创建、传输、存储、显示未以非授权方式进行更改（含删除、添加）的特性，即医疗器械相关数据是准确和完整的，且未被篡改可得性是指信息可根据授权实体要求进行访问和使用的特性，即医疗器械产品自身和相关数据能以预期方式适时进行访问和使用除保密性、完整性、可得性三个基本特性外，医疗器械网络安全还包括真实性（Authenticity）、抗抵赖性（Non-Repudiation）、可核查性（Accountability）、可靠性（Reliability）等特性其中，真实性是指实体符合其所声称的特性，抗抵赖性是指实体可证明所声称事件或活动的发生及其发起实体的特性，可核查性是指实体的活动及结果可被追溯的特性，可靠性是指实体的活动及结果与预期保持一致的特性保密性、完整性、可得性等网络安全特性通常是相互制约的关系，在同等条件下，某一特性的能力提升可能会使得另一特性或多个特性的能力下降，如可得性的提升可能会降低保密性和完整性，因此需要基于产品特性进行平衡兼顾注册申请人需结合医疗器械的预期用途、使用场景、核心功能进行综合考量，从而确定医疗器械网络安全特性的具体要求此外，尽管信息安全、网络安全、数据安全的定义和范围各有侧重，既有联系又有区别，不尽相同，但本指导原则从医疗器械安全有效性评价角度出发对三者不做严格区分，统一采用网络安全进行表述，即从网络安全角度综合考虑医疗器械的信息安全和数据安全。

二）医疗器械相关数据医疗器械相关数据可分为医疗数据和设备数据医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据（含日志），从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据，其中敏感医疗数据是指含有个人信息的医疗数据敏感医疗数据属于IEC 80001所定义的健康数据（Health data）反之即为非敏感医疗数据个人信息是指以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息，如自然人的姓名、出生日期、身份证件号码、个人生物识别信息（含容貌信息）、住址、号码等设备数据是指记录医疗器械运行状况的数据（含日志），用于监视、控制医疗器械运行或者医疗器械的维护与升级，不得含有个人信息注册申请人需基于医疗器械相关数据的类型、功能、用途，结合网络安全特性考虑医疗器械网络安全要求同时，保证敏感医疗数据所含个人信息免于泄露、滥用和篡改，以及医疗数据和设备数据的有效隔离（如访问权限控制等方法）三）医疗器械电子接口本指导原则所述医疗器械电子接口（含硬件接口、软件接口）包括网络接口、电子数据交换接口，若无明示均指外部接口，分体式医疗器械各独立部分的内部接口视为外部接口，如服务器与客户端、主机与从机的内部接口。

1.网络接口网络接口是指基于网络的电子接口医疗器械可通过网络接口（含转接接口）进行电子数据交换或远程访问与控制，此时需考虑网络的技术特征要求，包括但不限于网络形式（有线、无线）、网络类型（如广域网、局域网、个域网）、接口形式（如电口、光口）、数据接口（此时即数据协议，含标准协议、私有协议）、远程访问与控制方式（实时、非实时）、性能指标（如端口、传输速率、带宽）等无线网络包括Wi-Fi（IEEE 802.11）、蓝牙（IEEE 802.15）、射频、红外、4G/5G等形式，其中医用无线专用设备（即未采用通用无线通信技术的医疗器械）应符合中国无线电管理相关规定标准协议即业内公认标准所规范的数据传输协议，如DICOM、HL7等，需考虑其定制化功能的兼容性问题；私有协议需考虑兼容性问题远程访问与控制亦包括操作系统软件所提供的远程会话或远程桌面功能2.电子数据交换接口电子数据交换接口是指基于非网络的电子接口医疗器械可通过非网络接口的其他电子接口（如串口、并口、USB口、视频接口、音频接口，含调试接口、转接接口）或存储媒介（如光盘、移动硬盘、U盘）进行电子数据交换此时需考虑其他电子接口或数据存储的技术特征要求。

其他电子接口可参照网络接口明确其技术特征要求数据存储的技术特征要求包括但不限于存储媒介形式、数据接口（此时即文件存储格式，含标准格式、私有格式）、数据压缩方式（有损、无损）、性能指标（如传输速率、容量）等标准格式即业内公认标准所规范的文件存储格式，如JPEG、PNG等，需考虑其文件格式完整性问题；私有格式需考虑兼容性问题注册申请人需结合医疗器械电子接口的类型、方式、技术特征，基于网络安全特性考虑其网络安全的具体要求四）医疗器械网络安全能力考虑到预期用途、使用场景的限制，医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力本指导原则所述医疗器械网络安全能力包括：1.自动注销（ALOF）：产品在无人值守期间阻止非授权用户访问和使用的能力2.审核（AUDT）：产品提供用户活动可被审核的能力3.授权（AUTH）：产品确定用户已获授权的能力4.节点鉴别（NAUT）：产品鉴别网络节点的能力5.人员鉴别（PAUT）：产品鉴别授权用户的能力6.连通性（CONN）：产品保证连通网络安全可控的能力7.物理防护（PLOK）：产品提供防止非授权用户访问和使用的物理防护措施的能力8.系统加固（SAHD）：产品通过固化措施对网络攻击和恶意软件的抵御能力。

9.数据去标识化与匿名化（DIDT）：产品直接去除、匿名化数据所含个人信息的能力10.数据完整性与真实性（IGAU）：产品确保数据未以非授权方式更改且来自创建者或提供者的能力11.数据备份与灾难恢复（DTBK）：产品的数据、硬件或软件受到损坏或破坏后恢复的能力12.数据存储保密性与完整性（STCF）：产品确保未授权访问不会损坏存储媒介所存数据保密性和完整性的能力13.数据传输保密性（TXCF）：产品确保数据传输保密性的能力14.数据传输完整性（TXIG）：产品确保数据传输完整性的能力15.网络安全补丁升级（CSUP）：授权用户安装/升级产品网络安全补丁的能力16.现成软件清单（SBOM）：产品为用户提供全部现成软件清单的能力17.现成软件维护（RDMP）：产品在全生命周期中对现成软件提供网络安全维护的能力18.网络安全使用指导（SGUD）：产品为用户提供网络安全使用指导的能力19.网络安全特征配置（CNFS）：产品根据用户需求配置网络安全特征的能力20.紧急访问（EMRG）：产品在预期紧急情况下允许用户访问和使用的能力21.远程访问与控制（RMOT）：产品确保用户远程访问与控制（含远程维护与升级）的网络安全的能力。

22.恶意软件探测与防护（MLDP）：产品有效探测、阻止恶意软件的能力注册申请人需根据医疗器械的产品特性分析上述网络安全能力的适用性若适用，明确网络安全能力的实现方式，可通过产品自身功能实现，亦可通过必备软件、外部软件环境等外部措施实现同时，根据产品风险水平明确网络安全能力的强弱程度，例如：用户访问控制可采用用户名和口令方式，其中口令强度可采用不同强度设置或采用动态口令，亦可采用生物识别技术，通常情况下医疗器械的风险水平越高则其用户访问控制要求越严格反之，若不适用详述理由并予以记录值得注意的是，对于特定医疗器械产品，上述各项网络安全能力可能不足以保证其网络安全，需结合产品具体情况补充其他网络安全能力要求五）网络安全验证与确认网络安全验证与确认作为软件验证与确认的重要组成部分，需在软件验证与确认的框架下，结合产品网络安全特性开展相关质控工作，如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等软件验证与确认相关要求详见医疗器械软件指导原则第二章注册申请人需针对不同类型网络威胁，采用相应技术手段来保证医疗器械的网络安全例如：针对读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向、勒索攻击等网络威胁，可采用用户访问控制、端口与服务关闭、加密、数字签名、标准协议、校验、防火墙、入侵检测、恶意代码防护、防护规则配置等方法与技术来保证产品的网络安全。

六）网络安全可追溯性分析网络安全可追溯性分析作为网络安全验证与确认的重要活动之一，是指追踪网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险管理之间的关系，分析已识别关系的正确性、一致性、完整性、准确性医疗器械网络安全生存周期过程均应开展网络安全可追溯性分析活动，具体要求可参照软件可追溯性分析活动要求，详见医疗器械软件指导原则第二章七）网络安全事件应急响应医疗器械设计开发只能针对已知网络安全漏洞采取相应风险控制措施，上市后仍会面临潜在未知的网络安全漏洞引发的网络安全事件的威胁，可能造成医疗器械无法访问和使用、医疗数据发生泄露或遭到篡改，进而可能导致患者受到伤害或死亡以及隐私被侵犯同时，医疗器械网络安全事件具有影响因素多、涉及面广、扩散性强和突发性高等特点，对于医疗器械上市后监测要求相对较高因此，注册申请人需基于相关标准和技术报告建立网络安全事件应急响应机制，保证医疗器械的安全有效性并保护患者隐私应制定网络安全事件应。