医疗器械网络安全注册审查指导原则 (2022年修订版)


医疗器械网络安全注册审查指导原则

(2022年修订版)
 
本指导原则旨在指导注册申请人规范医疗器械网络安全生存周期过程和准备医疗器械网络安全注册申报资料,同时规范医疗器械网络安全的技术审评要求,为医疗器械软件、质量管理软件的体系核查提供参考。
本指导原则是对医疗器械网络安全的一般要求,注册申请人需根据产品特性和风险程度确定本指导原则具体内容的适用性,若不适用详述理由。注册申请人也可采用其他满足法规要求的替代方法,但需提供详尽的研究资料。
本指导原则是在现行法规、强制性标准体系以及当前科技能力、认知水平下制定的,随着法规、强制性标准体系的不断完善以及科技能力、认知水平的不断发展,本指导原则相关内容也将适时调整。
本指导原则作为注册申请人、审评人员和检查人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在符合法规要求的前提下使用本指导原则。
本指导原则是数字医疗(Digital Health)指导原则体系的重要组成部分,亦是医疗器械软件指导原则的补充,采用和遵循医疗器械软件、独立软件生产质量现场检查等相关指导原则的概念和要求。
本指导原则是医疗器械网络安全的通用指导原则,其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。
一、适用范围
本指导原则适用于医疗器械网络安全的注册申报,包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械(包括体外诊断医疗器械);适用于自研软件、现成软件的注册申报。
其中,网络包括无线、有线网络,电子数据交换包括基于网络、存储媒介的单向、双向数据传输,远程访问与控制包括基于网络的实时、非实时的访问与控制,用户(如医务人员、患者、维护人员等)访问包括基于软件用户界面、电子接口的人机交互方式。
本指导原则也可用作医疗器械软件、质量管理软件的体系核查参考。


二、主要概念
(一)医疗器械网络安全
医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态,其保密性(Confidentiality)、完整性(Integrity)、可得性(Availability)相关风险在全生命周期均处于可接受水平。
其中,保密性是指信息不被未授权实体(含产品、服务、个人、组织)获得或知悉的特性,即医疗器械产品自身和相关数据仅可由授权用户在授权时间以授权方式进行访问和使用。完整性是指信息的创建、传输、存储、显示未以非授权方式进行更改(含删除、添加)的特性,即医疗器械相关数据是准确和完整的,且未被篡改。可得性是指信息可根据授权实体要求进行访问和使用的特性,即医疗器械产品自身和相关数据能以预期方式适时进行访问和使用。
除保密性、完整性、可得性三个基本特性外,医疗器械网络安全还包括真实性(Authenticity)、抗抵赖性(Non-Repudiation)、可核查性(Accountability)、可靠性(Reliability)等特性。其中,真实性是指实体符合其所声称的特性,抗抵赖性是指实体可证明所声称事件或活动的发生及其发起实体的特性,可核查性是指实体的活动及结果可被追溯的特性,可靠性是指实体的活动及结果与预期保持一致的特性。
保密性、完整性、可得性等网络安全特性通常是相互制约的关系,在同等条件下,某一特性的能力提升可能会使得另一特性或多个特性的能力下降,如可得性的提升可能会降低保密性和完整性,因此需要基于产品特性进行平衡兼顾。注册申请人需结合医疗器械的预期用途、使用场景、核心功能进行综合考量,从而确定医疗器械网络安全特性的具体要求。
此外,尽管信息安全、网络安全、数据安全的定义和范围各有侧重,既有联系又有区别,不尽相同,但本指导原则从医疗器械安全有效性评价角度出发对三者不做严格区分,统一采用网络安全进行表述,即从网络安全角度综合考虑医疗器械的信息安全和数据安全。
(二)医疗器械相关数据
医疗器械相关数据可分为医疗数据和设备数据。
医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据(含日志),从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据,其中敏感医疗数据是指含有个人信息的医疗数据,反之即为非敏感医疗数据。个人信息是指以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,如自然人的姓名、出生日期、身份证件号码、个人生物识别信息(含容貌信息)、住址、电话号码等。
设备数据是指记录医疗器械运行状况的数据(含日志),用于监视、控制医疗器械运行或者医疗器械的维护与升级,不得含有个人信息。
注册申请人需基于医疗器械相关数据的类型、功能、用途,结合网络安全特性考虑医疗器械网络安全要求。同时,保证敏感医疗数据所含个人信息免于泄露、滥用和篡改,以及医疗数据和设备数据的有效隔离(如访问权限控制等方法)。
(三)医疗器械电子接口
本指导原则所述医疗器械电子接口(含硬件接口、软件接口)包括网络接口、电子数据交换接口,若无明示均指外部接口,分体式医疗器械各独立部分的内部接口视为外部接口,如服务器与客户端、主机与从机的内部接口。
1.网络接口
网络接口是指基于网络的电子接口。医疗器械可通过网络接口(含转接接口)进行电子数据交换或远程访问与控制,此时需考虑网络的技术特征要求,包括但不限于网络形式(有线、无线)、网络类型(如广域网、局域网、个域网)、接口形式(如电口、光口)、数据接口(此时即数据协议,含标准协议、私有协议)、远程访问与控制方式(实时、非实时)、性能指标(如端口、传输速率、带宽)等。
无线网络包括Wi-Fi(IEEE 802.11)、蓝牙(IEEE 802.15)、射频、红外、4G/5G等形式,其中医用无线专用设备(即未采用通用无线通信技术的医疗器械)应符合中国无线电管理相关规定。标准协议即业内公认标准所规范的数据传输协议,如DICOM、HL7等,需考虑其定制化功能的兼容性问题;私有协议需考虑兼容性问题。远程访问与控制亦包括操作系统软件所提供的远程会话或远程桌面功能。
2.电子数据交换接口
电子数据交换接口是指基于非网络的电子接口。医疗器械可通过非网络接口的其他电子接口(如串口、并口、USB口、视频接口、音频接口,含调试接口、转接接口)或存储媒介(如光盘、移动硬盘、U盘)进行电子数据交换。此时需考虑其他电子接口或数据存储的技术特征要求。
其他电子接口可参照网络接口明确其技术特征要求。数据存储的技术特征要求包括但不限于存储媒介形式、数据接口(此时即文件存储格式,含标准格式、私有格式)、数据压缩方式(有损、无损)、性能指标(如传输速率、容量)等。标准格式即业内公认标准所规范的文件存储格式,如JPEG、PNG等,需考虑其文件格式完整性问题;私有格式需考虑兼容性问题。
注册申请人需结合医疗器械电子接口的类型、方式、技术特征,基于网络安全特性考虑其网络安全的具体要求。
(四)医疗器械网络安全能力
考虑到预期用途、使用场景的限制,医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。
本指导原则所述医疗器械网络安全能力包括:
1.自动注销(ALOF):产品在无人值守期间阻止非授权用户访问和使用的能力。
2.审核(AUDT):产品提供用户活动可被审核的能力。
3.授权(AUTH):产品确定用户已获授权的能力。
4.节点鉴别(NAUT):产品鉴别网络节点的能力。
5.人员鉴别(PAUT):产品鉴别授权用户的能力。
6.连通性(CONN):产品保证连通网络安全可控的能力。
7.物理防护(PLOK):产品提供防止非授权用户访问和使用的物理防护措施的能力。
8.系统加固(SAHD):产品通过固化措施对网络攻击和恶意软件的抵御能力。
9.数据去标识化与匿名化(DIDT):产品直接去除、匿名化数据所含个人信息的能力。
10.数据完整性与真实性(IGAU):产品确保数据未以非授权方式更改且来自创建者或提供者的能力。
11.数据备份与灾难恢复(DTBK):产品的数据、硬件或软件受到损坏或破坏后恢复的能力。
12.数据存储保密性与完整性(STCF):产品确保未授权访问不会损坏存储媒介所存数据保密性和完整性的能力。
13.数据传输保密性(TXCF):产品确保数据传输保密性的能力。
14.数据传输完整性(TXIG):产品确保数据传输完整性的能力。
15.网络安全补丁升级(CSUP):授权用户安装/升级产品网络安全补丁的能力。
16.现成软件清单(SBOM):产品为用户提供全部现成软件清单的能力。
17.现成软件维护(RDMP):产品在全生命周期中对现成软件提供网络安全维护的能力。
18.网络安全使用指导(SGUD):产品为用户提供网络安全使用指导的能力。
19.网络安全特征配置(CNFS):产品根据用户需求配置网络安全特征的能力。
20.紧急访问(EMRG):产品在预期紧急情况下允许用户访问和使用的能力。
21.远程访问与控制(RMOT):产品确保用户远程访问与控制(含远程维护与升级)的网络安全的能力。
22.恶意软件探测与防护(MLDP):产品有效探测、阻止恶意软件的能力。
注册申请人需根据医疗器械的产品特性分析上述网络安全能力的适用性。若适用,明确网络安全能力的实现方式,可通过产品自身功能实现,亦可通过必备软件、外部软件环境等外部措施实现。同时,根据产品风险水平明确网络安全能力的强弱程度,例如:用户访问控制可采用用户名和口令方式,其中口令强度可采用不同强度设置或采用动态口令,亦可采用生物识别技术,通常情况下医疗器械的风险水平越高则其用户访问控制要求越严格。反之,若不适用详述理由并予以记录。
值得注意的是,对于特定医疗器械产品,上述各项网络安全能力可能不足以保证其网络安全,需结合产品具体情况补充其他网络安全能力要求。
(五)网络安全验证与确认
网络安全验证与确认作为软件验证与确认的重要组成部分,需在软件验证与确认的框架下,结合产品网络安全特性开展相关质控工作,如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等。软件验证与确认相关要求详见医疗器械软件指导原则第二章。
注册申请人需针对不同类型网络威胁,采用相应技术手段来保证医疗器械的网络安全。例如:针对读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向、勒索攻击等网络威胁,可采用用户访问控制、端口与服务关闭、加密、数字签名、标准协议、校验、防火墙、入侵检测、恶意代码防护、防护规则配置等方法与技术来保证产品的网络安全。
(六)网络安全可追溯性分析
网络安全可追溯性分析作为网络安全验证与确认的重要活动之一,是指追踪网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险管理之间的关系,分析已识别关系的正确性、一致性、完整性、准确性。
医疗器械网络安全生存周期过程均应开展网络安全可追溯性分析活动,具体要求可参照软件可追溯性分析活动要求,详见医疗器械软件指导原则第二章。
(七)网络安全事件应急响应
医疗器械设计开发只能针对已知网络安全漏洞采取相应风险控制措施,上市后仍会面临潜在未知的网络安全漏洞引发的网络安全事件的威胁,可能造成医疗器械无法访问和使用、医疗数据发生泄露或遭到篡改,进而可能导致患者受到伤害或死亡以及隐私被侵犯。同时,医疗器械网络安全事件具有影响因素多、涉及面广、扩散性强和突发性高等特点,对于医疗器械上市后监测要求相对较高。因此,注册申请人需基于相关标准和技术报告建立网络安全事件应急响应机制,保证医疗器械的安全有效性并保护患者隐私。
应制定网络安全事件应急响应预案,涵盖现成软件要求,明确计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进等阶段的任务和要求。建立网络安全事件应急响应团队,根据工作职能形成管理、规划、监测、响应、实施、分析等工作小组,必要时可邀请外部网络安全专家成立专家小组。
根据网络安全事件的严重程度、紧迫程度、广泛程度等因素进行分类分级管理,结合产品风险级别,按照风险管理要求开展应急响应措施的验证工作并予以记录,在事件发生期间及时告知用户应对措施。若适用,按照医疗器械不良事件、召回相关法规要求处理;必要时,向国家网络安全主管部门报告。
(八)医疗器械网络安全更新
1.网络安全更新
医疗器械网络安全更新从内容上可分为功能更新、补丁更新,类似于增强类软件更新、纠正类软件更新。根据其对医疗器械安全性和有效性的影响程度分为以下两类:
1)重大网络安全更新:影响到医疗器械的安全性或有效性的网络安全更新,即重大网络安全功能更新,应申请变更注册。
2)轻微网络安全更新:不影响医疗器械的安全性与有效性的网络安全更新,包括轻微网络安全功能更新、网络安全补丁更新。轻微网络安全更新通过质量管理体系进行控制,无需申请变更注册,待下次变更注册时提交相应注册申报资料。
此外,涉及召回的网络安全更新,无论功能更新还是补丁更新均属于重大网络安全更新,按照医疗器械召回相关法规要求处理,不属于本指导原则讨论范畴。
网络安全更新同样遵循风险从高原则,即同时发生重大和轻微网络安全更新按重大网络安全更新处理。同时,软件版本命名规则应涵盖网络安全更新情况,区分重大和轻微网络安全更新。
2.重大网络安全更新判定原则
网络安全功能更新若影响到医疗器械的预期用途、使用场景或核心功能原则上均属于重大网络安全更新,包括但不限于:产品预期运行的网络环境发生改变,如由封闭网络环境变为开放网络环境、局域网变为广域网、有线网络变为无线网络;产品预期使用的电子接口发生改变,如接口形式由网口变为USB口、接口类型由少变多、接口功能由电子数据交换扩至远程控制;产品网络安全能力发生实质性改变,如自动注销能力由操作系统自带功能实现改为产品自身功能实现、物理防护能力由有变无等。
除非影响到医疗器械的安全性或有效性,以下网络安全功能更新和网络安全补丁更新通常视为轻微网络安全更新:产品预期运行的网络环境数据传输效率单纯提高,预期使用的电子接口原有功能单纯优化、传输效率单纯提高,产品网络安全能力发生非实质性改变;医疗器械软件、必备软件、外部软件环境的网络安全补丁更新。其中,必备软件是指医疗器械软件正常运行所必需的其他医疗器械软件及医用中间件,外部软件环境是指医疗器械软件正常运行所必需的系统软件、通用应用软件、通用中间件、支持软件,详见医疗器械软件指导原则。


三、基本原则
(一)网络安全定位
随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程访问与控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者或用户受到伤害或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。
信息共享是保障医疗器械网络安全的基本原则。及时获得网络安全漏洞、事件等相关信息有助于识别、评估和应对网络安全风险,保证医疗器械的安全有效性以及医疗活动的业务持续性,因此,鼓励所有利益相关方在医疗器械全生命周期中主动积极共享网络安全相关信息。注册申请人需充分利用网络安全漏洞披露机制加强医疗器械网络安全的设计开发和上市后监测,如基于国家互联网应急中心(CNCERT/CC,www.cert.org.cn)的国家信息安全漏洞共享平台(CNVD,www.cnvd.org.cn),或其互认的国际信息安全漏洞库所披露的漏洞信息,定期开展网络安全风险管理工作。
医疗器械网络安全需要注册申请人、用户、信息技术服务商等利益相关者的共同努力和通力合作方能得以保障。虽然医疗器械在使用过程中常与非预期的设备或系统相连,使得注册申请人在保证医疗器械网络安全方面存在诸多困难,但这不意味注册申请人可以免除医疗器械网络安全相关责任。注册申请人需保证医疗器械产品自身的网络安全,明确预期的网络环境和电子接口要求,持续监测、评估、应对、分享网络安全相关风险,与其他利益相关者密切合作,从而保证医疗器械的安全有效性。
医疗器械网络安全也是网络安全国家战略的重要组成部分,因此医疗器械网络安全亦应符合网络安全相关法律法规和部门规章的要求,如网络安全法、数据安全法、个人信息保护法以及数据出境、重要数据识别等要求。注册申请人应持续跟踪相关法律法规和部门规章的制修订情况,并满足相应适用要求。
网络安全新技术(如人工智能技术)研究处于快速发展阶段,医疗器械若采用网络安全新技术来保证网络安全,亦需基于新技术特性,并结合风险管理开展相应验证与确认工作。
(二)风险导向
综合考虑行业发展水平和风险分级管理导向,医疗器械网络安全的风险级别不同,其生命周期质控要求和注册申报资料要求亦不同。
虽然网络安全风险与软件风险存在差异,但是网络安全风险作为软件风险的重要组成部分,其风险级别亦可参照软件采用安全性级别进行表述。在通常情形下,医疗器械网络安全的安全性级别与所属医疗器械软件的安全性级别相同;在特殊情形下,网络安全的安全性级别可低于软件的安全性级别,此时需详述理由并按网络安全的安全性级别提交相应注册申报资料。
医疗器械网络安全风险同样结合医疗器械的预期用途、使用场景、核心功能进行综合判定,特别是使用场景。不同使用场景的网络环境不同,甚至存在巨大差异,对于医疗器械网络安全的影响亦不同,如门诊、手术、住院、急救、家庭、转运、公共场所等使用场景的网络环境均有所不同,因此对于适用于多个使用场景的医疗器械,注册申请人需保证医疗器械在每个使用场景的网络安全。
医疗器械网络安全风险管理活动通常包括:识别资产(Asset,对个人或组织有价值的物理和数字实体)、威胁(Threat,可能导致对个人或组织产生损害的非预期事件发生的潜在原因)和脆弱性(Vulnerability,可能会被威胁所利用的资产或风险控制措施的弱点),评估威胁和脆弱性对于医疗器械和患者的影响以及被利用的可能性,确定风险水平并采取充分、有效、适宜的风险控制措施,基于风险接受准则评估网络安全综合剩余风险,保证网络安全综合剩余风险均处于可接受水平。
注册申请人可结合医疗器械风险管理和网络安全风险管理相关标准和技术报告的要求,开展医疗器械网络安全风险管理工作。值得注意的是,医疗器械风险管理与网络安全风险管理在传统上存在一定差异,注册申请人若无法对二者进行有效整合,则需分别独立开展相应风险管理活动并予以记录,同时考虑不同类型风险控制措施的相互影响问题。
(三)全生命周期质控
与医疗器械软件类似,注册申请人应在医疗器械全生命周期中持续关注网络安全问题,包括上市前、上市后等阶段。
医疗器械上市前结合质量管理体系要求和医疗器械产品特性开展网络安全质控工作,保证医疗器械的安全有效性;上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动,持续保证医疗器械的安全有效性。同时,建立网络安全事件应急响应过程,定期开展医疗器械网络安全漏洞风险评估工作,根据网络安全漏洞披露相关要求,及时将必要的网络安全相关信息以及应对措施告知用户。此外,可采用信息安全领域的良好工程实践来完善医疗器械网络安全质控工作,以保证医疗器械的安全有效性。


四、医疗器械网络安全生存周期过程
考虑到行业实际情况,本指导原则不要求注册申请人单独建立医疗器械网络安全生存周期(又称生命周期)过程,而是将其作为医疗器械软件生存周期过程的重要组成部分予以整体考虑,待时机成熟时予以考量。
注册申请人需在医疗器械软件生存周期过程考虑医疗器械网络安全的质控要求,并可基于医疗器械网络安全能力建设要求予以实施,具体要求详见医疗器械软件指导原则第六章以及独立软件生产质量管理规范及其现场检查指导原则。
同时,注册申请人可参考信息安全领域相关标准和技术报告,完善医疗器械网络安全生存周期过程的质控要求,本指导原则不再赘述。


五、技术考量
(一)现成软件
现成软件同样存在网络安全问题,注册申请人应根据质量管理体系要求建立现成软件网络安全更新过程,结合风险管理要求,及时将必要的现成软件网络安全信息及应对措施告知用户。
同时,根据现成软件与医疗器械软件的关系类型开展相应网络安全质控工作。对于现成软件组件(即作为医疗器械软件组成部分的现成软件),重点关注其网络安全问题对医疗器械使用效果的影响,网络安全的安全性级别判定亦需将其纳入考量。对于外部软件环境(即作为医疗器械软件运行环境组成部分的现成软件),重点关注其网络安全补丁对医疗器械安全有效性的影响,网络安全的安全性级别判定通常无需将其纳入考量;需要说明的是,网络安全补丁对于医疗器械而言属于设计变更,需对医疗器械进行验证、确认。
(二)医疗数据出境
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国人类遗传资源管理条例》等法律法规相关规定,在中国境内收集和产生的重要数据、个人信息和人类遗传资源信息原则上应在中国境内存储,因业务需要确需向境外提供的,应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
《国家健康医疗大数据标准、安全和服务管理办法(试行)》明确:健康医疗大数据应存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应按照相关法律法规及有关要求进行安全评估审核。
医疗数据通常属于重要数据,特别是敏感医疗数据含有个人信息,因此医疗数据出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。
(三)远程维护与升级
远程维护与升级虽为非医疗器械功能,但会影响医疗器械的安全有效性,故亦需纳入考量。
具有远程维护与升级功能的医疗器械可访问和使用设备数据,本身虽不涉及医疗数据,但若未能实现设备数据和医疗数据的有效隔离,则存在医疗数据未授权访问和使用以及被篡改的可能性。远程维护与升级所用电子接口也面临网络攻击的威胁,可能会影响医疗器械正常运行,导致患者受到伤害或死亡以及隐私被侵犯。医疗器械在远程维护与升级过程中若无人值守,则可能存在医疗器械非授权访问和使用的风险。家用医疗器械的远程维护与升级需考虑其对产品正常使用的影响及其风险。
因此,注册申请人需明确远程维护与升级的实现方法、所用电子接口情况、设备数据所含内容、设备数据与医疗数据的隔离方法、网络安全保证措施等技术特征,并提供相应研究资料和风险管理资料。
此外,境外远程维护与升级若可访问医疗数据,亦应符合医疗数据出境要求。
(四)遗留设备
本指导原则所述遗留设备是指不能通过补丁更新、补偿控制等合理风险控制措施抵御当前网络安全威胁的医疗器械。遗留设备可能无法应对当前网络安全威胁,导致产品综合剩余风险无法降至可接受水平,降低医疗器械的安全有效性。

注:本文转载自国家药品监督管理局 医疗器械技术审评中心,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除。