医疗器械网络安全注册审查指导原则实施指南.docx
《医疗器械网络安全注册审查指导原则实施指南.docx》由会员分享,可在线阅读,更多相关《医疗器械网络安全注册审查指导原则实施指南.docx(24页珍藏版)》请在课桌文档上搜索。
1、医疗器械网络安全注册审查指导原则实施指南目录一、综述二、医疗器械的使用环境三、医疗器械的网络安全(一)医疗器械网络安全特性(一)网络安全能力(三)网络安全的上市后监管四、网络安全注册资料(一)基本信息(二)风险管理(三)验证与确认(四)维护计划(五)产品技术要求(六)说明书附录:19项网络安全能力应用参考医疗器械网络安全注册审查指导原则实施指南本指导原则实施指南旨在指导注册申请人提交第二类医疗器械网络安全注册申报资料,同时为第二类医疗器械网络安全的技术审评提供参考。本指导原则实施指南是对第二类医疗器械网络安全一般性要求的细化和补充,注册申请人应根据医疗器械产品特性提交网络安全注册申报资料,注册
2、申请人也可采用其他满足法规要求的替代方法,但应提供详尽的研究资料和验证资料。本指导原则实施指南是对注册申请人和审评人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在遵循相关法规的前提下使用本指导原则实施指南。本指导原则实施指南依据原国家食品药品监督管理总局发布的医疗器械软件注册技术审查指导原则和医疗器械网络安全注册技术审查指导原则编写,因而采用时应结合以上注册技术审查指导原则的相关要求使用。本指导原则实施指南适用于具有网络连接功能以进行电子数据交换或远程控制的第二类医疗器械产品的注册申报,其中网络连接包括无线网络连接和有线网络连接,电子数据交换包括单向数据传输和双向数
3、据传输,远程控制包括实时控制和非实时控制。同时,本指导原则实施指南也适用于采用存储媒介以进行电子数据交换的第二类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘。需要指出的是,本指导原则实施指南中所述的文件应来源于医疗器械的开发过程。注册申请人应将网络安全风险管理与质量管理体系充分融合,在确保医疗器械安全有效性的同时提高医疗器械的网络安全。一、综述随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,这在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导
4、致患者或使用者受到伤害甚或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分。同时,对于接入计算机信息系统的医疗器械,注册申请人应考虑医疗器械的使用环境,对预期接入定级系统或非定级系统的医疗器械的网络安全能力进行合理的设计。注册申请人还应考虑国家对于网络安全相关的法律法规和标准要求,特别是计算机信息系统安全保护方面的要求,例如中华人民共和国计算机信息系统安全保护条例,GB/T222392019信息系统安全等级保护基本要求,GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求等法规和标准。二、医疗器械的使用环境医疗器械根据使用环境可以分为家用医疗器械和医院用医
5、疗器械,以及既可以在家庭使用也可以在医院使用的医疗器械。根据接口的类型可以分为有线网络连接、无线网络连接和连接本地存储媒介。根据所处的网络环境又可分为无网络环境(仅连接本地存储媒介)、受控的网络环境和开放的网络环境。注册申请人应根据不同的使用环境,识别网络安全风险,并采取相应的网络安全措施。三、医疗器械的网络安全(一)医疗器械网络安全特性医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性、可得性、真实性、可核查性、抗抵赖性以及可靠性等特性。1 .保密性指数据不能被未授权的个人、实体利用或知悉的特性,即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问;2 .完整性指保护数据准确和
6、完整的特性,即医疗器械相关数据是准确和完整的,且未被篡改;3 .可得性指根据授权个人、实体的要求可访问和使用的特性,即医疗器械相关数据能以预期方式适时进行访问和使用;4 .真实性一个实体是其所声称实体的特性,即医疗器械相关数据能够体现其真实的临床状态,例如:生理状态、操作状态、设备状态等;5 .可核查性实体表征对自己的动作和做出的决定负责的特性,即医疗器械相关数据表征对相关临床动作和决定负责;6 .抗抵赖性证明所声称事态或行为的发生及其发起实体的能力,以解决有关事态或行为发生与否以及事态中实体是否牵涉的争端,即医疗器械相关数据可证明相关临床事态和行为的发生及其发起的能力;7 .可靠性与预期行为
7、和结果一致的特性,即医疗器械相关数据与临床的预期行为和结果一致。(二)网络安全能力对医疗器械网络安全的保障,是用户、网络设施提供方与注册申请人共同参与的结果。以现有技术水平而言,注册申请人可以参考1ECTR80001-2-2-2012包含医疗器械的IT网络的风险管理应用.第22部分医疗器械安全以及TZMDS20003-2019医疗器械网络安全风险控制-医疗器械网络安全能力信息等标准,识别医疗器械网络安全能力,进行网络安全风险控制。需要注意的是,注册申请人对这些网络安全能力进行配置以配合用户进行网络安全风险管理时,应综合考虑具体医疗器械的预期用途与使用场景。医疗器械的预期用途一般是对疾病的预防、
8、诊断与治疗,在权衡医疗器械的安全性、有效性以及数据安全时,需要首先保证医疗器械的安全性、有效性。例如,为了在急救环境下发挥医疗器械的有效性,可能会对保密性的要求予以折衷。综合考虑的结果导致大部分的医疗器械可能并不具备全部的网络安全能力,此时需要注册申请人与用户进行良好的沟通,以实现最终医疗环境下的网络安全。以下列出了19种医疗器械网络安全能力,并依据相关标准,结合医疗器械的产品特点对其主要内容进行了描述,注册申请人可根据医疗器械的产品特性,预期用途和使用方式考虑其网络安全能力要求的适用性。1 .自动登出能力(ALOF)无人值守的医疗器械终端设备,存在被进行非授权操作、显示信息被非授权人员阅读的
9、风险。此项网络安全能力确保医疗器械在所设时段内若未被用户操作,则自动进入保护状态,从而降低上述风险发生的概率。此项网络安全能力,改善了医疗器械的保密性与完整性,但会降低医疗器械的可得性,对急诊用医疗器械、长期监护用医疗器械、用户无需获得授权的医疗器械等可得性要求较高的医疗器械应结合医疗器械的预期用途与使用场景,决定是否配置以及如何配置。2 .审核控制能力(AUDT)医疗器械的网络安全与医疗器械的使用方式息息相关,不正确、非授权的使用会导致医疗器械存在网络安全方面的风险。对医疗器械使用环节的关键信息予以记录,是风险控制措施的一部分。此项能力的配置对网络安全的保密性、完整性、可核查性均有提高,有利
10、于对医疗器械使用记录提供可追溯性检测以及用于事后问责调查和对风险的持续监视,也为风险控制的应急响应提供输入。3 .确定用户权限的能力(AUTH)医疗器械的非授权使用,会导致多种危险情况,确保医疗器械的使用者、管理者、维护者、拥有者得到合适的授权是重要的风险控制手段。用户权限的管理可以提高保密性、完整性与可核查性,但可能会降低可得性。4 .网络安全配置能力(CNFS)对医疗器械网络安全的保障是由用户、使用者、网络设施提供方、注册申请人多方共同参与的一项活动。开放网络安全相关的配置有利于网络安全在使用场景中的整体部署,但是另一方面医疗器械在有意、无意情况下的配置错误也可能导致不可接受的风险,此项能
11、力与系统的加固要求(SAHD)相矛盾,应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。5 .网络安全升级能力(CSUP)医疗器械以及医疗器械所依赖的软硬件环境,所面临的威胁并不是一成不变的,作为风险控制手段,有必要对医疗器械或医疗器械的运行环境予以修补以抵御新的网络威胁。由于医疗器械、运行环境、所受威胁的状况千差万别,部分修补可以由用户自行升级完成;而部分修补则可能需要注册申请人的授权人员才能进行。6 .健康数据去标识化能力(DIDT)在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值,例如科研、培训、不良事件追溯、设备维护等。健康数据若直接用于非医疗用途,则存在隐
12、私数据保护方面的风险。数据交付之前,去除健康数据所附带的身份信息,是提高保密性的重要手段。但去除标识会降低数据的可追溯性。7 .数据备份与灾难恢复能力(DTBK)健康数据在处理过程中面临着数据被破坏甚至丢失的风险,保持数据备份与灾难恢复的能力,可以提高数据的完整性与可得性。8 .紧急访问隐私数据的能力(EMRG)医疗器械是以提供预防、诊断、治疗目的为核心属性,部分情况下医疗器械、数据的可得性受损会导致不可接受的风险。为医疗器械配置被紧急访问的能力以及相应的安全可控的紧急访问流程,对此项风险的控制至关重要。然而,配置被紧急访问的能力,常常会导致可得性之外的其它网络安全特性降低,应根据医疗器械的预
13、期用途与使用方式综合考虑此项能力的配置。9 .数据完整性真实性确认能力(IGAU)当数据的完整性受损而导致不可接受的风险时,医疗器械具备此项能力可以确保健康数据的来源可靠且未经篡改与破坏。10 .恶意软件的防止、检测与清除能力(MLDP)恶意软件侵入医疗器械可能会导致不可接受的风险,此项能力可以对已知恶意软件进行探测、报告并防止受其侵害。由于恶意软件的产生难以预知,此项能力需要在医疗器械的使用过程中不断维护,必要时采取紧急措施。11 .通信对象、通信节点的身份验证能力(NAUT)医疗器械如与未经授权的通信节点进行互操作,可能导致不可接受的风险。此项能力配合用户的网络安全策略可确保数据的发送方与
14、接收方相互识别并被授权进行数据传输。12 .验证合法用户的能力(PAuT)有一部分医疗器械并非开放给所有的使用者,这部分医疗器械如果被未获授权的用户使用,可能导致不可接受的风险。此项能力配合用户的网络安全策略,可确保医疗器械的使用者是经过授权认证的。13 .物理保护能力(PLOK)医疗器械在物理上被侵入,会造成保密性与完整性的破坏,可能导致不可接受的风险。可以重点关注敏感信息的存储媒介(可移动媒介除外)是否不借助工具就能被取出。14 .第三方组件管理能力(RDMP)医疗器械可能用到第三方组件作为整体医疗器械的一部分,例如第三方的操作系统或数据库等。用户若对此类组件不知情,则不利于此类组件未来的
15、网络安全管理,也不利于未来网络安全事件的责任划分,可能导致不可接受的风险。15 .系统与应用加固能力(SAHD)医疗器械中可能存在着与预期用途无关的配置,例如:某些非医疗预期用途的账号、通信端口、共享文件、服务等。此类配置可能会成为网络攻击者所利用的通道,从而造成不可接受的风险,对这些配置予以关闭有利于降低风险发生的概率。16 .对操作者与管理员提供网络安全指导的能力(SGUD)医疗器械的不当使用可能在医疗器械网络安全方面造成不可接受的风险,对使用者提供产品说明、提供可索取的披露资料、予以培训等,均有利于降低使用者操作不当的风险。17 .存储保密能力(STCF)健康数据的明文存储会降低产品的保
16、密性,对数据存储予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。18 .传输保密能力(TXCF)健康数据的明文传输会降低医疗器械的保密性,对数据传输予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。19 .保障数据传输完整性的能力(TXIG)健康数据在传输过程中,数据可能受到无意的信道噪声干扰,也有可能受到恶意篡改,这都可能造成不可接受的风险。采用技术手段确保所接受到的数据与所发送出数据具有一致性,可以降低此类风险
17、。注册申请人可以通过综合考虑上述19项网络安全能力来提高医疗器械的网络安全特性。网络安全能力与网络安全特性之间的关系如下:网络安全特性网络安全能力jJ保密性完整性可得性可靠性自动登出能力(ALOF)22-1-审核控制能力(AUDT)11-1确定用户权限的能力(AUTH)22-11网络安全配置能力(CNFS)1111网络安全升级能力(CSUP)111-数据备份与灾难恢复能力(DTBK)-12-紧急访问隐私数据的能力(EMRG)-2-I健康数据去标识化能力(DIDT)2-数据完整性真实性确认能力(IGAU)-2-2存储保密能力(STCF)2-恶意软件的防止、检测与清除能力(MLDP)111-通信对
18、象、通信节点的身份验证能力(NAUT)1-1验证合法用户的能力(PAUT)1-2物理保护能力(PLOK)111-对操作者与管理员提供网络安全指导的能力(SGUD)1111系统与应用加固能力(SAHD)111-第三方组件管理能力(RDMP)-传输保密能力(TXDF)2-保障数据传输完整性的能力(TXIG)-2-注:“2”指可以显著提高此项网络安全特性,“1”指可以提高此项网络安全特性,指基本不对此项网络安全特性产生影响,“-1”指可以降低此项网络安全特性。(三)网络安全的上市后监管1 .网络安全事件网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害
19、,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。网络安全事件可能会造成医疗器械系统不能访问、医疗数据泄露或者篡改,进而导致病人受到严重伤害,死亡或病人的健康数据泄漏。2 .网络安全事件的处置注册申请人应建立医疗器械上市后的网络安全事件处置流程。网络安全事件发生后,注册申请人应能够及时有效地处理和管理安全事件,一般包括以下措施:应收集并确认受网络安全事件影响的用户,识别网络安全事件对相关系统带来的风险;应快速采取应急对策,例如:告知用户断开网络连接,提供临时解决方案恢复系统至正常工作状态等;应对网络安全事
20、件的做出详细的风险分析和评估;应提供经过验证和确认的解决措施,并告知用户相关的更新信息。注册申请人应建立相应的组织以确保网络安全事件处置流程得以实施。3 .网络安全事件上报当下列网络安全事件发生,注册申请人应及时向相关监管部门报送信息:病人受到严重伤害或者死亡;注册申请人提供的大量医疗器械系统不能访问;大量的病人健康数据泄露。若涉及到病人受到严重伤害或死亡的网络安全事件,注册申请人应按照医疗器械不良事件的相关规定上报。4 .涉及召回的网络安全事件应按照医疗器械召回的相关法规处理,不属于本指导原则讨论范围。5 .网络安全更新的管理网络安全更新(包括自主开发软件和现成软件)根据其对医疗器械的影响程
21、度可分为以下两类:重大网络安全更新:影响到医疗器械的安全性或有效性的网络安全更新;轻微网络安全更新:不影响医疗器械的安全性与有效性的网络安全更新,例如常规安全补丁。医疗器械产品发生重大网络安全更新,应进行许可事项变更;而发生轻微网络安全更新,注册申请人应通过质量管理体系进行控制,无需进行注册变更,待到下次注册(注册变更或延续注册)时提交相应注册申报资料。医疗器械同时发生重大和轻微网络安全更新,遵循风险从高原则应进行许可事项变更。涉及召回的网络安全更新应按照医疗器械召回的相关法规处理,不属于本指导原则讨论范围。软件版本命名规则应考虑网络安全更新的情况。注册申请人在提交注册申报资料时,应根据医疗器
22、械网络安全的具体情况提交网络安全描述文档或常规安全补丁描述文档。网络安全描述文档适用于医疗器械注册、重大网络安全更新,常规安全补丁描述文档适用于轻微网络安全更新。四、网络安全注册资料注册申请人应结合医疗器械产品的预期用途、使用环境和核心功能以及预期相连设备或系统(例如:其它医疗器械、信息技术设备)的情况来确定医疗器械产品的网络安全特性,提交网络安全描述文档。网络安全描述文档应描述医疗器械的基本信息、风险管理、验证与确认以及维护计划。(一)基本信息应描述医疗器械产品网络安全相关的基本信息,这些信息包括:1 .医疗器械传输,存储和处理信息的总结性描述;2 .以上信息的类型:健康数据、设备数据;3
23、.以上信息的传输方向:单向、双向;4 .以上信息是否用于实时远程控制:实时、非实时或不用于远程控制;5 .以上信息的用途:如临床应用、设备维护等;6 .以上信息的交换方式:网络(无线网络、有线网络)及要求(如传输协议、接口、带宽等),存储媒介(如光盘、移动硬盘、U盘等)及要求(如存储格式、容量等);对于专用无线设备(非通用信息技术设备),还应提交符合无线电管理规定的证明材料,如涉及个人敏感数据,应明确个人敏感数据的储存和传输方式;7 .医疗器械包含的安全软件:描述安全软件(如杀毒软件、防火墙等)的名称、型号规格、完整版本、供应商、运行环境要求;8 .医疗器械包含的现成软件:描述现成软件(包括应
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医疗器械 网络安全 注册 审查 指导 原则 实施 指南
链接地址:https://www.desk33.com/p-505444.html