關(guān)于《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則》(征求意見稿)征求意見的通知
為了規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的注冊申報資料要求���,提高技術(shù)審評工作的質(zhì)量和效率,我中心組織起草了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則》征求意見稿,即日起在網(wǎng)上公開征求意見。如有意見或建議����,請?zhí)顚懛答佉庖姳聿⒁噪娮余]件形式于2016年10月28日前反饋至我中心審評一部���。
聯(lián)系人:彭亮
電話:010-68390626
電子郵箱:pengliang@cmde.org.cn
附件:1.醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)指導(dǎo)原則(征求意見稿).docx
2.反饋意見表
國家食品藥品監(jiān)督管理總局
醫(yī)療器械技術(shù)審評中心
2016年9月28日
附件1
醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則
(征求意見稿)
本指導(dǎo)原則旨在指導(dǎo)制造商提交醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料��,同時規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評要求�。
本指導(dǎo)原則是對醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求�����,制造商應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報資料,判斷指導(dǎo)原則中的具體內(nèi)容是否適用���,不適用內(nèi)容詳述理由���。制造商也可采用其他滿足法規(guī)要求的替代方法����,但應(yīng)提供詳盡的研究資料和驗證資料。
本指導(dǎo)原則是在現(xiàn)行法規(guī)和標(biāo)準(zhǔn)體系以及當(dāng)前認(rèn)知水平下�����、并參考了國外法規(guī)與指南�、國際標(biāo)準(zhǔn)與技術(shù)報告制定的。隨著法規(guī)和標(biāo)準(zhǔn)的不斷完善���,以及認(rèn)知水平和技術(shù)能力的不斷提高����,相關(guān)內(nèi)容也將適時進(jìn)行修訂�����。
本指導(dǎo)原則是對制造商和審評人員的指導(dǎo)性文件,不包括審評審批所涉及的行政事項�����,亦不作為法規(guī)強(qiáng)制執(zhí)行�����,應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則����。
本指導(dǎo)原則作為《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》的補(bǔ)充,應(yīng)結(jié)合《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》相關(guān)要求進(jìn)行使用��。本指導(dǎo)原則是醫(yī)療器械網(wǎng)絡(luò)安全的通用指導(dǎo)原則����,其他涉及網(wǎng)絡(luò)安全的醫(yī)療器械產(chǎn)品指導(dǎo)原則可在本指導(dǎo)原則基礎(chǔ)上進(jìn)行有針對性的調(diào)整、修改和完善�����。
一��、范圍
本指導(dǎo)原則適用于醫(yī)療器械網(wǎng)絡(luò)安全的注冊申報,包括具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類��、第三類醫(yī)療器械產(chǎn)品����,其中網(wǎng)絡(luò)包括無線、有線網(wǎng)絡(luò)����,電子數(shù)據(jù)交換包括單向、雙向數(shù)據(jù)傳輸�,遠(yuǎn)程控制包括實時�、非實時控制。
同時����,本指導(dǎo)原則也適用于采用存儲媒介以進(jìn)行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械產(chǎn)品的注冊申報�����,其中存儲媒介包括但不限于光盤�、移動硬盤和U盤。
二��、基本原則
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制�,在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私�,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險,導(dǎo)致患者受到傷害或死亡��。因此�����,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一�����。
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性(confidentiality)�、完整性(integrity)和可得性(availability)(改自GB/T 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》):
1. 保密性:指數(shù)據(jù)不能被未授權(quán)的個人、實體利用或知悉的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進(jìn)行訪問;
2. 完整性:指保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性���,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的�����,且未被篡改�;
3. 可得性:指根據(jù)授權(quán)個人、實體的要求可訪問和使用的特性�����,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時進(jìn)行訪問和使用���。
此外����,醫(yī)療器械網(wǎng)絡(luò)安全特性還包括真實性(authenticity)���、可核查性(accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等特性�,相應(yīng)定義詳見GB/T 29246-2012。
制造商應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途��、使用環(huán)境和核心功能以及相連設(shè)備或系統(tǒng)(如其它醫(yī)療器械���、信息技術(shù)設(shè)備)的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性����,并采用基于風(fēng)險管理的方法來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全:識別資產(chǎn)(asset,對個人或組織有價值的任何東西)�����、威脅(threat���,可能導(dǎo)致對個人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因)和脆弱性(vulnerability�����,可能會被威脅所利用的資產(chǎn)或風(fēng)險控制措施的弱點(diǎn))���,評估威脅和脆弱性對于醫(yī)療器械產(chǎn)品和患者的影響以及被利用的可能性,確定風(fēng)險水平并采取適宜的風(fēng)險緩解措施���,基于風(fēng)險接受準(zhǔn)則評估剩余風(fēng)險��。
制造商應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品整個生命周期過程中持續(xù)關(guān)注網(wǎng)絡(luò)安全問題��,包括醫(yī)療器械產(chǎn)品的設(shè)計開發(fā)����、生產(chǎn)���、分銷�、部署和維護(hù)。同時����,制造商應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點(diǎn)來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全,包括上市前和上市后的相關(guān)要求�����,如風(fēng)險管理���、設(shè)計開發(fā)��、網(wǎng)絡(luò)安全維護(hù)及用戶告知等要求���。此外,制造商可采用信息安全領(lǐng)域的良好工程實踐來完善醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全管理���,保證醫(yī)療器械產(chǎn)品的安全性和有效性。
制造商應(yīng)當(dāng)持續(xù)跟蹤與網(wǎng)絡(luò)安全相關(guān)的國家法律法規(guī)以及有關(guān)部門(如公安部��、衛(wèi)生計生委����、工信部)的規(guī)章�����,醫(yī)療器械的網(wǎng)絡(luò)安全應(yīng)當(dāng)符合相應(yīng)法律法規(guī)和部門規(guī)章的要求��。
醫(yī)療器械產(chǎn)品在使用過程中常與非制造商預(yù)期的設(shè)備或系統(tǒng)相連接�,這就使得制造商難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全���。因此�,醫(yī)療器械的網(wǎng)絡(luò)安全需要制造商��、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障����。制造商應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全,并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求�����,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性���。
鑒于醫(yī)療器械網(wǎng)絡(luò)安全具有影響因素多���、涉及面廣���、擴(kuò)散性強(qiáng)和突發(fā)性高等特點(diǎn),單獨(dú)考慮醫(yī)療器械產(chǎn)品的軟件安全性級別不足以保證其網(wǎng)絡(luò)安全�����,因此醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料統(tǒng)一進(jìn)行要求��。
三�、網(wǎng)絡(luò)安全考量
(一)數(shù)據(jù)考量
醫(yī)療器械相關(guān)數(shù)據(jù)從內(nèi)容上可分為以下兩種類型:
1. 健康數(shù)據(jù):標(biāo)明生理、心理健康狀況的私人數(shù)據(jù)(“Private Data”��,又稱個人數(shù)據(jù)“Personal Data”��、敏感數(shù)據(jù)“Sensitive Data”���,指可用于人員身份識別的相關(guān)信息)����,涉及患者隱私信息�;
2. 設(shè)備數(shù)據(jù):描述設(shè)備運(yùn)行狀況的數(shù)據(jù)�����,用于監(jiān)視、控制設(shè)備運(yùn)行或用于設(shè)備的維護(hù)保養(yǎng)���,本身不涉及患者隱私信息��。
醫(yī)療器械相關(guān)數(shù)據(jù)的交換方式可分為以下兩種情況:
1. 網(wǎng)絡(luò):通過網(wǎng)絡(luò)(包括無線網(wǎng)絡(luò)�����、有線網(wǎng)絡(luò))進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制�,需要明確網(wǎng)絡(luò)相關(guān)要求(如接口�、帶寬等),數(shù)據(jù)傳輸協(xié)議需考慮是否為標(biāo)準(zhǔn)協(xié)議(即業(yè)內(nèi)公認(rèn)標(biāo)準(zhǔn)所規(guī)范的協(xié)議)����,遠(yuǎn)程控制需考慮是否為實時控制;
2. 存儲媒介:通過存儲媒介(如光盤����、移動硬盤、U盤等)進(jìn)行電子數(shù)據(jù)交換�����,數(shù)據(jù)儲存格式需考慮是否為標(biāo)準(zhǔn)格式(即業(yè)內(nèi)公認(rèn)標(biāo)準(zhǔn)所規(guī)范的格式)。
制造商應(yīng)當(dāng)基于醫(yī)療器械相關(guān)數(shù)據(jù)的類型�����、功能��、用途�、交換方式及要求,并結(jié)合醫(yī)療器械產(chǎn)品特性考慮其網(wǎng)絡(luò)安全問題���。
對于健康數(shù)據(jù)�����,制造商應(yīng)當(dāng)遵循患者隱私保護(hù)的相關(guān)規(guī)定�。
(二)技術(shù)考量
用戶訪問控制機(jī)制應(yīng)當(dāng)與醫(yī)療器械產(chǎn)品特性相適應(yīng)�����,包括但不限于用戶身份鑒別方法(如用戶名�����、口令等)、用戶類型及權(quán)限(如系統(tǒng)管理員���、普通用戶、設(shè)備維護(hù)人員等)�����、口令強(qiáng)度設(shè)置�����、軟件更新授權(quán)等�����。
醫(yī)療器械相關(guān)數(shù)據(jù)在網(wǎng)絡(luò)傳輸或數(shù)據(jù)交換過程中應(yīng)當(dāng)保證保密性和完整性���,同時平衡可得性的要求���,特別是具有遠(yuǎn)程控制功能的醫(yī)療器械。制造商可采用加密��、數(shù)字簽名�����、標(biāo)準(zhǔn)協(xié)議、校驗等技術(shù)來保證醫(yī)療器械的網(wǎng)絡(luò)安全�。
醫(yī)療器械對于網(wǎng)絡(luò)安全威脅的探測、響應(yīng)和恢復(fù)能力應(yīng)當(dāng)與醫(yī)療器械的產(chǎn)品特性相適應(yīng)�。制造商可采用防火墻、入侵檢測和惡意代碼防護(hù)等技術(shù)來保證醫(yī)療器械的網(wǎng)絡(luò)安全����。
醫(yī)療器械網(wǎng)絡(luò)安全能力建設(shè)可參照相關(guān)的國際、國家標(biāo)準(zhǔn)和技術(shù)報告��,如IEC/TR 80001-2-2規(guī)范了十九項網(wǎng)絡(luò)安全能力:自動注銷(ALOF)����、審核控制(AUDT)、授權(quán)(AUTH)���、安全特性配置(CNFS)�、網(wǎng)絡(luò)安全產(chǎn)品升級(CSUP)��、健康數(shù)據(jù)身份信息去除(DIDT)��、數(shù)據(jù)備份與災(zāi)難恢復(fù)(DTBK)����、緊急訪問(EMRG)�、健康數(shù)據(jù)完整性與真實性(IGAU)���、惡意軟件探測與防護(hù)(MLDP)�、網(wǎng)絡(luò)節(jié)點(diǎn)鑒別(NAUT)��、人員鑒別(PAUT)��、物理鎖(PLOK)����、第三方組件維護(hù)計劃(RDMP)���、系統(tǒng)與應(yīng)用軟件硬化(SAHD)�、安全指導(dǎo)(SGUD)��、健康數(shù)據(jù)存儲保密性(STCF)��、傳輸保密性(TXCF)和傳輸完整性(TXIG)�����,制造商可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性。
(三)現(xiàn)成軟件
醫(yī)療器械使用現(xiàn)成軟件的情況日益普遍���,特別是系統(tǒng)軟件和支持軟件�。因此���,制造商同樣需要關(guān)注現(xiàn)成軟件的網(wǎng)絡(luò)安全問題���,應(yīng)當(dāng)根據(jù)質(zhì)量管理體系要求建立網(wǎng)絡(luò)安全維護(hù)流程,并將醫(yī)療器械網(wǎng)絡(luò)安全信息及時通知用戶�。
對于應(yīng)用軟件,制造商需要重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械臨床應(yīng)用的影響��。而對于系統(tǒng)軟件和支持軟件��,制造商需要重點(diǎn)關(guān)注其安全補(bǔ)丁更新對醫(yī)療器械的影響�,安全補(bǔ)丁更新屬于設(shè)計變更,需要進(jìn)行驗證與確認(rèn)��,但通常情況下可視為輕微軟件更新�����,除非影響到醫(yī)療器械的安全性和有效性�。
四����、網(wǎng)絡(luò)安全文檔
(一)基本考量
網(wǎng)絡(luò)安全更新(包括自主開發(fā)軟件和現(xiàn)成軟件)根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類:
1.重大網(wǎng)絡(luò)安全更新:影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新�;
2.輕微網(wǎng)絡(luò)安全更新:不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,如常規(guī)安全補(bǔ)丁�����。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新應(yīng)進(jìn)行許可事項變更��,而發(fā)生輕微網(wǎng)絡(luò)安全更新通過質(zhì)量管理體系進(jìn)行控制���,無需進(jìn)行注冊變更,待到下次注冊(注冊變更和延續(xù)注冊)時提交相應(yīng)注冊申報資料�。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理,不屬于本指導(dǎo)原則討論范圍�。
醫(yī)療器械產(chǎn)品注冊或發(fā)生重大網(wǎng)絡(luò)安全更新時應(yīng)單獨(dú)提交一份網(wǎng)絡(luò)安全描述文檔,發(fā)生輕微網(wǎng)絡(luò)安全更新時單獨(dú)提交一份常規(guī)安全補(bǔ)丁描述文檔即可��。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡(luò)安全更新�,依據(jù)風(fēng)險從高原則應(yīng)提交一份網(wǎng)絡(luò)安全描述文檔。
(二)網(wǎng)絡(luò)安全描述文檔
1. 基本信息
描述醫(yī)療器械產(chǎn)品的相關(guān)信息:
(1)類型:健康數(shù)據(jù)��、設(shè)備數(shù)據(jù)�����;
(2)功能:電子數(shù)據(jù)交換(單向、雙向)�����、遠(yuǎn)程控制(實時�、非實時);
(3)用途:如臨床應(yīng)用�、設(shè)備維護(hù)等;
(4)交換方式:網(wǎng)絡(luò)(無線網(wǎng)絡(luò)�、有線網(wǎng)絡(luò))及要求(如傳輸協(xié)議(標(biāo)準(zhǔn)、自定義)�、接口、帶寬等)��,存儲媒介(如光盤���、移動硬盤����、U盤等)及要求(如存儲格式(標(biāo)準(zhǔn)����、自定義)�����、容量等)���;對于專用無線設(shè)備(非通用信息技術(shù)設(shè)備),還應(yīng)提交無線電發(fā)射設(shè)備核準(zhǔn)證書�����;
(5)安全軟件:描述安全軟件(如殺毒軟件�、防火墻等)的名稱、型號規(guī)格��、完整版本和供應(yīng)商����;
(6)現(xiàn)成軟件:描述現(xiàn)成軟件(包括應(yīng)用軟件���、系統(tǒng)軟件�����、支持軟件)的名稱����、型號規(guī)格、完整版本和供應(yīng)商����。
2.風(fēng)險管理
提供醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理的分析報告和總結(jié)報告,確保全部剩余風(fēng)險均是可接受的�。
3. 驗證與確認(rèn)
提供網(wǎng)絡(luò)安全測試計劃和報告,證明醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求(如保密性�����、完整性���、可得性等特性)均已得到滿足����。同時還應(yīng)提供網(wǎng)絡(luò)安全可追溯性分析報告����,即追溯網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范��、測試、風(fēng)險管理的關(guān)系表�。
對于安全軟件,應(yīng)提供兼容性測試報告����。
對于標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式,應(yīng)提供標(biāo)準(zhǔn)符合性證明材料�,而對于自定義傳輸協(xié)議或存儲格式,應(yīng)提供完整性測試報告�����。
對于實時遠(yuǎn)程控制功能�,應(yīng)提供完整性和可得性測試報告。
4. 維護(hù)計劃
描述軟件(含現(xiàn)成軟件)網(wǎng)絡(luò)安全更新的維護(hù)流程����,包括更新確認(rèn)和用戶告知。
(三)常規(guī)安全補(bǔ)丁描述文檔
提交軟件(含現(xiàn)成軟件)常規(guī)安全補(bǔ)丁的情況說明��、測試計劃與報告�、新增已知剩余缺陷情況說明(證明新增風(fēng)險均是可接受的)。
五���、注冊申報資料要求
(一)產(chǎn)品注冊
1. 軟件研究資料
制造商應(yīng)單獨(dú)提交一份網(wǎng)絡(luò)安全描述文檔,具體要求詳見第四節(jié)����。
2. 產(chǎn)品技術(shù)要求
制造商應(yīng)在產(chǎn)品技術(shù)要求性能指標(biāo)中明確數(shù)據(jù)接口����、用戶訪問控制的要求:
(1)數(shù)據(jù)接口:傳輸協(xié)議/存儲格式�����;
(2)用戶訪問控制:用戶身份鑒別方法�、用戶類型及權(quán)限。
3. 說明書
說明書應(yīng)提供關(guān)于網(wǎng)絡(luò)安全的相關(guān)說明����,明確運(yùn)行環(huán)境(含硬件配置、軟件環(huán)境和網(wǎng)絡(luò)條件)���、安全軟件(如殺毒軟件�����、防火墻等)��、數(shù)據(jù)與設(shè)備(系統(tǒng))接口����、用戶訪問控制機(jī)制、運(yùn)行環(huán)境與安全軟件更新的相關(guān)要求��。
(二)許可事項變更
1. 軟件研究資料
醫(yī)療器械許可事項變更應(yīng)根據(jù)網(wǎng)絡(luò)安全更新情況提交變化部分對產(chǎn)品安全性與有效性影響的研究資料:
(1)涉及重大網(wǎng)絡(luò)安全更新:單獨(dú)提交一份網(wǎng)絡(luò)安全描述文檔����,具體要求詳見第四節(jié);
(2)僅發(fā)生輕微網(wǎng)絡(luò)安全更新:單獨(dú)提交一份常規(guī)安全補(bǔ)丁描述文檔����,具體要求詳見第四節(jié);
(3)未發(fā)生網(wǎng)絡(luò)安全更新:出具真實性聲明��。
2. 產(chǎn)品技術(shù)要求
如適用���,產(chǎn)品技術(shù)要求應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更情況�。
3. 說明書
如適用�����,說明書應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更內(nèi)容����。
(三)延續(xù)注冊
如適用�,醫(yī)療器械延續(xù)注冊產(chǎn)品分析報告第(六)項應(yīng)單獨(dú)提交一份常規(guī)安全補(bǔ)丁描述文檔���,具體要求詳見第四節(jié)。
六�����、參考文獻(xiàn)
略
編制說明
一���、編寫目的和依據(jù)
本指導(dǎo)原則旨在指導(dǎo)制造商提交醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料����,同時規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評要求�。
本指導(dǎo)原則是在現(xiàn)行法規(guī)和標(biāo)準(zhǔn)體系以及當(dāng)前認(rèn)知水平下、并參考了國外法規(guī)與指南���、國際標(biāo)準(zhǔn)與技術(shù)報告而制定的���。本指導(dǎo)原則是對《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》的補(bǔ)充。
二��、有關(guān)內(nèi)容說明
美國和歐盟涉及醫(yī)療器械信息安全的指南和標(biāo)準(zhǔn)名稱多使用網(wǎng)絡(luò)安全這一用語���,而在信息安全領(lǐng)域�����,網(wǎng)絡(luò)安全屬于信息安全的子集����。為了與國際醫(yī)療器械監(jiān)管用語相統(tǒng)一,并與信息安全領(lǐng)域用語相協(xié)調(diào)�,本指導(dǎo)原則名稱也將信息安全改為網(wǎng)絡(luò)安全。
美國醫(yī)療器械網(wǎng)絡(luò)安全指南適用于全部醫(yī)療器械軟件�����,歐盟醫(yī)療器械網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和技術(shù)報告適用于醫(yī)療信息技術(shù)網(wǎng)絡(luò)(Medical IT-network)�,本指導(dǎo)原則適用于具有電子數(shù)據(jù)交換(經(jīng)網(wǎng)絡(luò)、存儲媒介)�、遠(yuǎn)程控制功能(經(jīng)網(wǎng)絡(luò))的醫(yī)療器械,適用范圍介于美國和歐盟之間��。
醫(yī)療器械網(wǎng)絡(luò)安全防護(hù)層級可分為產(chǎn)品級和系統(tǒng)級����,保證措施包括管理措施、物理措施和技術(shù)措施����,本指導(dǎo)原則以醫(yī)療器械數(shù)據(jù)安全為核心主要關(guān)注產(chǎn)品級的技術(shù)保證措施���。
在信息安全領(lǐng)域��,信息安全的三個基本特性為保密性(confidentiality)�、完整性(integrity)和可用性(availability)。鑒于可用性在醫(yī)療器械領(lǐng)域已有定義����,即usability的譯文,為了避免引起歧義�����,本指導(dǎo)原則將availability譯為可得性����。
在信息安全領(lǐng)域,IEC 27000系列標(biāo)準(zhǔn)規(guī)范了信息安全管理體系(ISMS)的認(rèn)證要求�,而ISO/DIS 27799規(guī)范了醫(yī)療領(lǐng)域的信息安全管理體系要求,我國已對IEC 27000系列標(biāo)準(zhǔn)的部分標(biāo)準(zhǔn)進(jìn)行了等同轉(zhuǎn)化��。本指導(dǎo)原則不要求制造商進(jìn)行信息安全管理體系認(rèn)證���,但建議制造商參考相關(guān)標(biāo)準(zhǔn)要求以保證醫(yī)療器械的網(wǎng)絡(luò)安全�����,并鼓勵有條件的制造商開展相關(guān)認(rèn)證工作�。
IEC/TR 80001-2-2、IEC 60601-1����、IEC82304-1等國際標(biāo)準(zhǔn)和技術(shù)報告規(guī)范了醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)要求。鑒于國際標(biāo)準(zhǔn)轉(zhuǎn)化工作不屬于指導(dǎo)原則范疇���,本指導(dǎo)原則未對相關(guān)國際標(biāo)準(zhǔn)的要求進(jìn)行翻譯��,而是建議制造商遵循相關(guān)國際標(biāo)準(zhǔn)的要求�����。
制造商應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品整個生命周期過程中持續(xù)關(guān)注網(wǎng)絡(luò)安全問題�,并結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品的特點(diǎn)來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全��,包括上市前和上市后的相關(guān)要求���。
醫(yī)療器械使用現(xiàn)成軟件日益普遍��,特別是系統(tǒng)軟件和支持軟件��。制造商同樣要考慮現(xiàn)成軟件的網(wǎng)絡(luò)安全問題�����,對于應(yīng)用軟件需要重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械臨床應(yīng)用的影響�����,而對于系統(tǒng)軟件和支持軟件需要重點(diǎn)關(guān)注安全補(bǔ)丁更新對醫(yī)療器械的影響����。
醫(yī)療器械網(wǎng)絡(luò)安全需要制造商���、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障����。制造商自身難以控制和保證醫(yī)療器械的網(wǎng)絡(luò)安全�����,但這并不意味著制造商可以免除醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)責(zé)任��,相反制造商應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全,并明確與預(yù)期相連設(shè)備或系統(tǒng)的接口要求�����,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性��。
醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)法規(guī)雖然尚未出臺���,但醫(yī)療器械的網(wǎng)絡(luò)安全應(yīng)當(dāng)符合國家相應(yīng)法律法規(guī)和部門規(guī)章的要求�,包括正在制訂的《中華人民共和國網(wǎng)絡(luò)安全法》以及國家有關(guān)部委的相關(guān)規(guī)定��,如《人口健康信息管理辦法(試行)》規(guī)定各級各類醫(yī)療衛(wèi)生計生服務(wù)機(jī)構(gòu)(含中醫(yī)藥服務(wù)機(jī)構(gòu))不得將人口健康信息在境外服務(wù)器中存儲���,不得托管�����、租賃境外服務(wù)器�����;《國家衛(wèi)生計生委關(guān)于推進(jìn)醫(yī)療機(jī)構(gòu)遠(yuǎn)程醫(yī)療服務(wù)的意見》規(guī)定非醫(yī)療機(jī)構(gòu)不得開展遠(yuǎn)程醫(yī)療服務(wù)��。
鑒于醫(yī)療器械網(wǎng)絡(luò)安全具有影響因素多�����、涉及面廣����、擴(kuò)散性強(qiáng)和突發(fā)性高等特點(diǎn),單獨(dú)考慮醫(yī)療器械產(chǎn)品的軟件安全性級別不足以保證其網(wǎng)絡(luò)安全�。同時考慮到我國醫(yī)療器械網(wǎng)絡(luò)安全監(jiān)管工作尚處于起步階段,注冊申報資料要求不宜過于復(fù)雜����。因此,本指導(dǎo)原則未基于軟件安全性級別區(qū)分注冊申報資料的要求����,而是統(tǒng)一進(jìn)行要求���。今后����,本指導(dǎo)原則將綜合考慮國際醫(yī)療器械網(wǎng)絡(luò)安全的監(jiān)管趨勢和國內(nèi)行業(yè)發(fā)展的整體水平�����,在適當(dāng)時機(jī)下開展修訂工作。
三�����、起草單位
國家食品藥品監(jiān)督管理總局醫(yī)療器械技術(shù)審評中心
|
附件2 反饋意見表
|
|
序號
|
頁碼/章節(jié)
|
修改意見
|
修改理由
|
采納情況及理由
|
|
1
|
|
|
|
|
|
2
|
|
|
|
|
|
3
|
|
|
|
|
|
4
|
|
|
|
|
|
5
|
|
|
|
|
|
6
|
|
|
|
|
|
7
|
|
|
|
|
|
8
|
|
|
|
|
|
9
|
|
|
|
|
