附件
醫(yī)療器械網絡安全注冊技術審查指導原則
本指導原則旨在指導注冊申請人提交醫(yī)療器械網絡安全注冊申報資料,同時規(guī)范醫(yī)療器械網絡安全的技術審評要求。
本指導原則是對醫(yī)療器械網絡安全的一般性要求,注冊申請人應根據醫(yī)療器械產品特性提交網絡安全注冊申報資料,判斷指導原則中的具體內容是否適用,不適用內容詳述理由。注冊申請人也可采用其他滿足法規(guī)要求的替代方法,但應提供詳盡的研究資料和驗證資料。
本指導原則是在現行法規(guī)和標準體系以及當前認知水平下、并參考了國外法規(guī)與指南、國際標準與技術報告制定的。隨著法規(guī)和標準的不斷完善,以及認知水平和技術能力的不斷提高,相關內容也將適時進行修訂。
本指導原則是對注冊申請人和審評人員的指導性文件,不包括審評審批所涉及的行政事項,亦不作為法規(guī)強制執(zhí)行,應在遵循相關法規(guī)的前提下使用本指導原則。
本指導原則作為《醫(yī)療器械軟件注冊技術審查指導原則》的補充,應結合《醫(yī)療器械軟件注冊技術審查指導原則》的相關要求使用。本指導原則是醫(yī)療器械網絡安全的通用指導原則,其他涉及網絡安全的醫(yī)療器械產品指導原則可在本指導原則基礎上進行有針對性的調整、修改和完善。
一、適用范圍
本指導原則適用于具有網絡連接功能以進行電子數據交換或遠程控制的第二類、第三類醫(yī)療器械產品的注冊申報,其中網絡包括無線、有線網絡,電子數據交換包括單向、雙向數據傳輸,遠程控制包括實時、非實時控制。
同時,本指導原則也適用于采用存儲媒介以進行電子數據交換的第二類、第三類醫(yī)療器械產品的注冊申報,其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
二、基本原則
隨著網絡技術的發(fā)展,越來越多的醫(yī)療器械具備網絡連接功能以進行電子數據交換或遠程控制,在提高醫(yī)療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫(yī)療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫(yī)療器械非預期運行的風險,導致患者或使用者受到傷害或死亡。因此,醫(yī)療器械網絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一。
醫(yī)療器械網絡安全是指保持醫(yī)療器械相關數據的保密性(confidentiality)、完整性(integrity)和可得性[1](availability)(改自GB/T 29246-2012《信息技術安全技術信息安全管理體系概述和詞匯》):
1.保密性:指數據不能被未授權的個人、實體利用或知悉的特性,即醫(yī)療器械相關數據僅可由授權用戶在授權時間以授權方式進行訪問;
2.完整性:指保護數據準確和完整的特性,即醫(yī)療器械相關數據是準確和完整的,且未被篡改;
3.可得性:指根據授權個人、實體的要求可訪問和使用的特性,即醫(yī)療器械相關數據能以預期方式適時進行訪問和使用。
此外,醫(yī)療器械網絡安全特性還包括真實性(authenticity)、可核查性(accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等特性,相應定義詳見GB/T 29246-2012。
注冊申請人應當結合醫(yī)療器械產品的預期用途、使用環(huán)境和核心功能以及預期相連設備或系統(tǒng)(如其它醫(yī)療器械、信息技術設備)的情況來確定醫(yī)療器械產品的網絡安全特性,并采用基于風險管理的方法來保證醫(yī)療器械產品的網絡安全:識別資產(asset,對個人或組織有價值的任何東西)、威脅(threat,可能導致對個人或組織產生損害的非預期事件發(fā)生的潛在原因)和脆弱性(vulnerability,可能會被威脅所利用的資產或風險控制措施的弱點),評估威脅和脆弱性對于醫(yī)療器械產品和患者的影響以及被利用的可能性,確定風險水平并采取適宜的風險控制措施,基于風險接受準則評估剩余風險。
注冊申請人應當在醫(yī)療器械產品全生命周期過程中持續(xù)關注網絡安全問題,包括醫(yī)療器械產品的設計開發(fā)、生產、分銷、部署和維護。同時,注冊申請人應當結合自身質量管理體系的要求和醫(yī)療器械產品特點來保證醫(yī)療器械產品的網絡安全,包括上市前和上市后的相關要求,如風險管理、設計開發(fā)、網絡安全維護及用戶告知等要求。此外,注冊申請人可采用信息安全領域的良好工程[2]實踐來完善醫(yī)療器械產品的網絡安全管理,保證醫(yī)療器械產品的安全性和有效性。
注冊申請人應當持續(xù)跟蹤與網絡安全相關的國家法律法規(guī)(如《中華人民共和國網絡安全法》)以及有關部門(如公安部、國家網信辦、衛(wèi)生計生委、工業(yè)和信息化部)的規(guī)章,醫(yī)療器械的網絡安全應當符合相應法律法規(guī)和部門規(guī)章的要求。
醫(yī)療器械產品在使用過程中常與非注冊申請人預期的設備或系統(tǒng)相連接,這就使得注冊申請人自身難以控制和保證醫(yī)療器械產品的網絡安全。因此,醫(yī)療器械的網絡安全需要注冊申請人、用戶和信息技術服務商的共同努力和通力合作才能得以保障。但是這并不意味著注冊申請人可以免除醫(yī)療器械網絡安全的相關責任,注冊申請人應當保證醫(yī)療器械產品自身的網絡安全,并明確與其預期相連設備或系統(tǒng)的接口要求,從而保證醫(yī)療器械產品的安全性和有效性。
醫(yī)療器械網絡安全防護層級可分為產品級和系統(tǒng)級,保證措施包括管理措施、物理措施和技術措施,本指導原則以醫(yī)療器械數據安全為核心主要關注產品級的技術保證措施。
鑒于醫(yī)療器械網絡安全具有影響因素多、涉及面廣、擴散性強和突發(fā)性高等特點,單獨考慮醫(yī)療器械產品的軟件安全性級別不足以保證其網絡安全,因此對于與醫(yī)療器械網絡安全有關的注冊申報資料統(tǒng)一進行要求。
三、網絡安全考量
(一)數據考量
醫(yī)療器械相關數據從內容上可分為以下兩種類型:
1.健康數據:標明生理、心理健康狀況的私人數據(“Private Data”,又稱個人數據“Personal Data”、敏感數據“Sensitive Data”,指可用于人員身份識別的相關信息),涉及患者隱私信息;
2.設備數據:描述設備運行狀況的數據,用于監(jiān)視、控制設備運行或用于設備的維護保養(yǎng),本身不涉及患者隱私信息。
醫(yī)療器械相關數據的交換方式可分為以下兩種情況:
1. 網絡:通過網絡(包括無線網絡、有線網絡)進行電子數據交換或遠程控制,需要考慮網絡相關要求(如接口、帶寬等),數據傳輸協(xié)議需考慮是否為標準協(xié)議(即業(yè)內公認標準所規(guī)范的協(xié)議),遠程控制需考慮是否為實時控制;
2.存儲媒介:通過存儲媒介(如光盤、移動硬盤、U盤等)進行電子數據交換,數據儲存格式需考慮是否為標準格式(即業(yè)內公認標準所規(guī)范的格式)。
注冊申請人應當基于醫(yī)療器械相關數據的類型、功能、用途、交換方式及要求,并結合醫(yī)療器械產品特性考慮其網絡安全問題。
對于健康數據,注冊申請人應當遵循患者隱私保護的相關規(guī)定。對于無線設備,注冊申請人應當遵循無線電管理的相關規(guī)定。
(二)技術考量
用戶訪問控制機制應當與醫(yī)療器械產品特性相適應,包括但不限于用戶身份鑒別方法(如用戶名、口令等)、用戶類型及權限(如系統(tǒng)管理員、普通用戶、設備維護人員等)、口令強度設置、軟件更新授權等。
醫(yī)療器械相關數據在網絡傳輸或數據交換過程中應當保證保密性和完整性,同時平衡可得性的要求,特別是具有遠程控制功能的醫(yī)療器械。注冊申請人可采用加密、數字簽名、標準協(xié)議、校驗等技術來保證醫(yī)療器械的網絡安全。
鑒于預期用途、使用環(huán)境的限制,醫(yī)療器械對于網絡安全威脅的探測、響應和恢復能力應當與醫(yī)療器械的產品特性相適應。注冊申請人可采用防火墻、入侵檢測和惡意代碼防護等技術來保證醫(yī)療器械的網絡安全。
醫(yī)療器械網絡安全能力建設可參照相關的國際、國家標準和技術報告,如IEC/TR 80001-2-2[3]規(guī)范了十九項網絡安全能力:自動注銷(ALOF)、審核控制(AUDT)、授權(AUTH)、安全特性配置(CNFS)、網絡安全產品升級(CSUP)、健康數據身份信息去除(DIDT)、數據備份與災難恢復(DTBK)、緊急訪問(EMRG)、健康數據完整性與真實性(IGAU)、惡意軟件探測與防護(MLDP)、網絡節(jié)點鑒別(NAUT)、人員鑒別(PAUT)、物理鎖(PLOK)、第三方組件維護計劃(RDMP)、系統(tǒng)與應用軟件硬化(SAHD)、安全指導(SGUD)、健康數據存儲保密性(STCF)、傳輸保密性(TXCF)和傳輸完整性(TXIG),注冊申請人可根據醫(yī)療器械的產品特性考慮其網絡安全能力要求的適用性。
(三)現成軟件考量
醫(yī)療器械使用現成軟件的情況日益普遍,特別是系統(tǒng)軟件和支持軟件。因此,注冊申請人同樣需要關注現成軟件的網絡安全問題,應當根據質量管理體系要求建立網絡安全維護流程,并將醫(yī)療器械網絡安全信息及時通知用戶。
對于應用軟件,注冊申請人需要重點關注其網絡安全問題對醫(yī)療器械臨床應用的影響。而對于系統(tǒng)軟件和支持軟件,注冊申請人需要重點關注其安全補丁更新對醫(yī)療器械的影響,安全補丁更新屬于設計變更,需要進行驗證與確認,但通常情況下可視為輕微軟件更新,除非影響到醫(yī)療器械的安全性和有效性。
四、網絡安全文檔
(一)基本考量
網絡安全更新(包括自主開發(fā)軟件和現成軟件)根據其對醫(yī)療器械的影響程度可分為以下兩類:
1.重大網絡安全更新:影響到醫(yī)療器械的安全性或有效性的網絡安全更新;
2.輕微網絡安全更新:不影響醫(yī)療器械的安全性與有效性的網絡安全更新,如常規(guī)安全補丁。
醫(yī)療器械產品發(fā)生重大網絡安全更新應進行許可事項變更,而發(fā)生輕微網絡安全更新通過質量管理體系進行控制,無需進行注冊變更,待到下次注冊(注冊變更和延續(xù)注冊)時提交相應注冊申報資料。醫(yī)療器械同時發(fā)生重大和輕微網絡安全更新,遵循風險從高原則應進行許可事項變更。
涉及召回的網絡安全更新應按照醫(yī)療器械召回的相關法規(guī)處理,不屬于本指導原則討論范圍。
軟件版本命名規(guī)則應考慮網絡安全更新的情況。
注冊申請人在提交注冊申報資料時,應根據醫(yī)療器械網絡安全的具體情況提交網絡安全描述文檔或常規(guī)安全補丁描述文檔。網絡安全描述文檔適用于產品注冊、重大網絡安全更新,常規(guī)安全補丁描述文檔適用于輕微網絡安全更新。
(二)網絡安全描述文檔
1.基本信息
描述醫(yī)療器械產品的相關信息:
(1)類型:健康數據、設備數據;
(2)功能:電子數據交換(單向、雙向)、遠程控制(實時、非實時);
(3)用途:如臨床應用、設備維護等;
(4)交換方式:網絡(無線網絡、有線網絡)及要求(如傳輸協(xié)議(標準、自定義)、接口、帶寬等),存儲媒介(如光盤、移動硬盤、U盤等)及要求(如存儲格式(標準、自定義)、容量等);對于專用無線設備(非通用信息技術設備),還應提交符合無線電管理規(guī)定的證明材料;
(5)安全軟件:描述安全軟件(如殺毒軟件、防火墻等)的名稱、型號規(guī)格、完整版本、供應商、運行環(huán)境要求;
(6)現成軟件:描述現成軟件(包括應用軟件、系統(tǒng)軟件、支持軟件)的名稱、型號規(guī)格、完整版本和供應商。
2.風險管理
提供醫(yī)療器械網絡安全風險管理的分析報告和總結報告,確保全部剩余風險均是可接受的。
3.驗證與確認
提供網絡安全測試計劃和報告,證明醫(yī)療器械產品的網絡安全需求(如保密性、完整性、可得性等特性)均已得到滿足。同時還應提供網絡安全可追溯性分析報告,即追溯網絡安全需求規(guī)范、設計規(guī)范、測試、風險管理的關系表。
對于安全軟件,應提供兼容性測試報告。
對于標準傳輸協(xié)議或存儲格式,應提供標準符合性證明材料,而對于自定義傳輸協(xié)議或存儲格式,應提供完整性測試總結報告。
對于實時遠程控制功能,應提供完整性和可得性測試報告。
4.維護計劃
描述軟件(含現成軟件)網絡安全更新的維護流程,包括更新確認和用戶告知。
(三)常規(guī)安全補丁描述文檔
提交軟件(含現成軟件)常規(guī)安全補丁的情況說明(補丁描述、影響分析、用戶告知計劃)、測試計劃與報告、新增已知剩余缺陷情況說明(證明新增風險均是可接受的)。
五、注冊申報資料要求
(一)產品注冊
1.軟件研究資料
注冊申請人應單獨提交一份網絡安全描述文檔,具體要求詳見第四節(jié)。
2.產品技術要求
注冊申請人應在產品技術要求性能指標中明確數據接口、用戶訪問控制的要求:
(1)數據接口:傳輸協(xié)議/存儲格式;
(2)用戶訪問控制:用戶身份鑒別方法、用戶類型及權限。
3.說明書
說明書應提供關于網絡安全的相關說明,明確運行環(huán)境(含硬件配置、軟件環(huán)境和網絡條件)、安全軟件(如殺毒軟件、防火墻等)、數據與設備(系統(tǒng))接口、用戶訪問控制機制、軟件環(huán)境(含系統(tǒng)軟件、支持軟件、應用軟件)與安全軟件更新的相關要求。
(二)許可事項變更
1.軟件研究資料
醫(yī)療器械許可事項變更應根據網絡安全更新情況提交變化部分對產品安全性與有效性影響的研究資料:
(1)涉及重大網絡安全更新:單獨提交一份網絡安全描述文檔,具體要求詳見第四節(jié);
(2)僅發(fā)生輕微網絡安全更新:單獨提交一份常規(guī)安全補丁描述文檔,具體要求詳見第四節(jié);
(3)未發(fā)生網絡安全更新:出具真實性聲明。
2.產品技術要求
如適用,產品技術要求應體現關于網絡安全的變更情況。
3.說明書
如適用,說明書應體現關于網絡安全的變更內容。
(三)延續(xù)注冊
如適用,醫(yī)療器械延續(xù)注冊產品分析報告第(六)項應單獨提交一份常規(guī)安全補丁描述文檔,具體要求詳見第四節(jié)。
六、參考文獻
(一)《中華人民共和國網絡安全法》(中華人民共和國主席令第五十三號)
(二)國務院辦公廳關于促進和規(guī)范健康醫(yī)療大數據應用發(fā)展的指導意見(國辦發(fā)〔2016〕47號)
(三)《醫(yī)療器械注冊管理辦法》(國家食品藥品監(jiān)督管理總局令第4號)
(四)《醫(yī)療器械說明書和標簽管理規(guī)定》(國家食品藥品監(jiān)督管理總局令第6號)
(五)國家食品藥品監(jiān)督管理總局關于公布醫(yī)療器械注冊申報資料要求和批準證明文件格式的公告(國家食品藥品監(jiān)管總局公告2014年第43號)
(六)國家食品藥品監(jiān)督管理總局關于發(fā)布醫(yī)療器械軟件注冊技術審查指導原則的通告(國家食品藥品監(jiān)管總局通告2015年第50號)
(七)《醫(yī)療器械召回管理辦法(試行)》(原衛(wèi)生部令第82號)
(八)《人口健康信息管理辦法(試行)》(國衛(wèi)規(guī)劃發(fā)〔2014〕24號)
(九)國家衛(wèi)生計生委關于推進醫(yī)療機構遠程醫(yī)療服務的意見(國衛(wèi)醫(yī)發(fā)〔2014〕51號)
(十)GB/T 20271-2006《信息安全技術信息系統(tǒng)通用安全技術要求》
(十一)GB/T 20984-2007 《信息安全技術信息安全風險評估規(guī)范》
(十二)GB/T 22080-2016《信息技術安全技術信息安全管理體系要求》
(十三)GB/T 22081-2016《信息技術安全技術信息安全管理實用規(guī)則》
(十四)GB/T 29246-2012《信息技術安全技術信息安全管理體系概述和詞匯》
(十五)GB/Z 24364-2009《信息安全技術信息安全風險管理指南》
(十六)YY/T 0287-2003《醫(yī)療器械質量管理體系用于法規(guī)的要求》
(十七)YY/T 0316-2016《醫(yī)療器械風險管理對醫(yī)療器械的應用》
(十八)YY/T 0664-2008《醫(yī)療器械軟件軟件生存周期過程》
(十九)YY/T 1474-2016 《醫(yī)療器械可用性工程對醫(yī)療器械的應用》
(二十)FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005-1-14
(二十一)FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2014-10-2
(二十二)FDA, Radio Frequency Wireless Technology in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2013-8-14
(二十三)FDA, Postmarket Management ofCybersecurity in Medical Devices – Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-22
(二十四)FDA, Design Considerations and Pre-market SubmissionRecommendations for InteroperableMedical Devices – Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-26
(二十五)IEC 60601-1Edition3.1:2012, Medical electrical equipment - Part 1: General requirements for basic safety and essential performance
(二十六)IEC 82304-1, Health Software - Part 1: General requirements for product safety
(二十七)IEC80001-1:2010, Application of risk management for IT-networks incorporating medical devices - Part 1: Roles,responsibilities and activities
(二十八)IEC/TR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-1: Step-by-step risk management of medical IT-networks - Practical applications and examples
(二十九)IEC/TR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
(三十)IEC/TR 80001-2-3:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-3: Guidance for wireless networks
(三十一)IEC/TR 80001-2-4:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-4: Application guidance - General implementation guidance for healthcare delivery organizations
(三十二)IEC/TR 80001-2-5:2014, Application of risk management for IT-networks incorporating medical devices - Part 2-5: Application guidance - Guidance on distributed alarm systems
(三十三)ISO/TR 80001-2-6:2014, Application of risk management for IT-networks incorporating medical devices -Part 2-6: Application guidance - Guidance for responsibility agreements
(三十四)ISO/TR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations (HDOs) on how to self-assess their conformance with IEC 80001-1
(三十五)IEC/TR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2
(三十六)IEC/TR 80001-2-9, Application of risk management for IT-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities
(三十七)ISO/DIS 27799Health informatics - Information security management in health using ISO/IEC 27002
(三十八)HIMSS/NEMA HN 1-2013, Manufacturer Disclosure Statement for Medical Device Security
(三十九)NEMA/MITA CSP 1-2016, Cybersecurity for Medical Imaging
(四十)IMDRF/SaMD WG/N12FINAL:2014, Software as a Medical Device (SaMD): Possible Framework for Risk Categorization and Corresponding Considerations, 2014-9-18
[1]在信息安全領域availability譯為可用性,而在醫(yī)療器械領域usability譯為可用性,為避免引起歧義本指導原則將availability譯為可得性。
[2]在信息安全領域,IEC 27000系列標準規(guī)范了信息安全管理體系(ISMS)認證要求,本指導原則不要求制造商進行ISMS認證,但建議制造商參考相關標準要求。
[3]詳見IEC/TR 80001-2-2:2012Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls