北京市藥品監督管理局關于醫療器械網絡安全審查指導原則實施指南征求意見的通知
北京市藥品監督管理局文件
京藥監發〔 2019〕164號
北京市藥品監督管理局
關于醫療器械網絡安全審查指導原則實施指南
征求意見的通知
各有關單位:
為規范北京市第二類醫療器械產品注冊工作,根據原國家食品藥品監督管理總局制定的《醫療器械網絡安全注冊技術審查指導原則》,北京市藥品監督管理局組織制定了《醫療器械網絡安全審查指導原則實施指南》。本指南從網絡安全特性和網絡安全能力的角度出發,圍繞醫療器械申報資料及技術審評要求,為注冊申請人提交第二類醫療器械網絡安全相關注冊申報提供指導。現征求各有關單位意見,請各有關單位于2019年9月17日前將修改意見或建議反饋至我局醫療器械注冊管理處。
聯系人:趙娜;聯系電話:83979600;傳真:83560730;電子郵件:ylqxzcglc@yjj.beijing.gov.cn(郵件名稱請注明:醫療器械網絡安全審查指導原則實施指南反饋意見);通信地址:北京市西城區棗林前街70號中環廣場A座1307房間,郵編100053。
附件:醫療器械網絡安全審查指導原則實施指南(征求意見稿)
北京市藥品監督管理局
2019年8月15日
醫療器械網絡安全審查指導原則實施指南
(征求意見稿)
目 錄
TOC o “1-3” h z u
本指導原則實施指南旨在指導注冊申請人提交第二類醫療器械網絡安全注冊申報資料,同時為第二類醫療器械網絡安全的技術審評提供參考。
本指導原則實施指南是對第二類醫療器械網絡安全一般性要求的細化和補充,注冊申請人應根據醫療器械產品特性提交網絡安全注冊申報資料,注冊申請人也可采用其他滿足法規要求的替代方法,但應提供詳盡的研究資料和驗證資料。
本指導原則實施指南是對注冊申請人和審評人員的指導性文件,不包括審評審批所涉及的行政事項,亦不作為法規強制執行,應在遵循相關法規的前提下使用本指導原則實施指南。
本指導原則實施指南依據原國家食品藥品監督管理總局發布的《醫療器械軟件注冊技術審查指導原則》和《醫療器械網絡安全注冊技術審查指導原則》編寫,因而采用時應結合以上注冊技術審查指導原則的相關要求使用。
本指導原則實施指南適用于具有網絡連接功能以進行電子數據交換或遠程控制的第二類醫療器械產品的注冊申報,其中網絡連接包括無線網絡連接和有線網絡連接,電子數據交換包括單向數據傳輸和雙向數據傳輸,遠程控制包括實時控制和非實時控制。
同時,本指導原則實施指南也適用于采用存儲媒介以進行電子數據交換的第二類醫療器械產品的注冊申報,其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
需要指出的是,本指導原則實施指南中所述的文件應來源于產品的開發過程。注冊申請人應將網絡安全風險管理與質量管理體系充分融合,在確保產品安全有效性的同時提高產品的網絡安全。
一、綜述
隨著網絡技術的發展,越來越多的醫療器械具備網絡連接功能以進行電子數據交換或遠程控制,這在提高醫療服務質量與效率的同時也面臨著網絡攻擊的威脅。醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者或使用者受到傷害甚或死亡。因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分。
同時,對于接入計算機信息系統的醫療器械,注冊申請人應考慮醫療器械的使用環境,對預期接入定級系統1 或非定級系統的醫療器械的網絡安全能力進行合理的設計。注冊申請人還應考慮國家對于網絡安全相關的法律法規和標準要求,特別是計算機信息系統安全保護方面的要求,如《中華人民共和國計算機信息系統安全保護條例》,《GB/T 22239-2019信息系統安全等級保護基本要求》,《GB/T 25070-2019信息安全技術網絡安全等級保護安全設計技術要求》等法規和標準。
二、醫療器械的使用環境
醫療器械根據使用環境可以分為家用醫療器械和醫院用醫療器械,以及既可以在家庭使用也可以在醫院使用的醫療器械。根據接口的類型可以分為有線網絡連接、無線網絡連接和連接本地存儲媒介。根據所處的網絡環境又可分為無網絡環境(僅連接本地存儲媒介)、受控的網絡環境和開放的網絡環境。注冊申請人應根據不同的使用環境,識別網絡安全風險,并采取相應的網絡安全措施。
3? 醫療器械的網絡安全
(1? 醫療器械網絡安全基本要求
醫療器械網絡安全是指保持醫療器械相關數據的保密性、完整性、可得性、真實性、可核查性、抗抵賴性以及可靠性等特性。
1.保密性(confidentiality)
指數據不能被未授權的個人、實體利用或知悉的特性,即醫療器械相關數據僅可由授權用戶在授權時間以授權方式進行訪問。
2.完整性(integrity)
指保護數據準確和完整的特性,即醫療器械相關數據是準確和完整的,且未被篡改。
3.可得性(availability)
指根據授權個人、實體的要求可訪問和使用的特性,即醫療器械相關數據能以預期方式適時進行訪問和使用。
4.真實性
一個實體是其所聲稱實體的特性,即醫療器械相關數據能夠體現真實的臨床狀態,包括生理狀態、操作狀態、設備狀態等。
5.可核查性
實體的一種特性,表征對自己的動作和做出的決定負責,即醫療器械相關數據表征對相關臨床動作和決定負責。
6.抗抵賴性
證明所聲稱事態或行為的發生及其發起實體的能力,以解決有關事態或行為發生與否以及事態中實體是否牽涉的爭端,即醫療器械相關數據可證明相關臨床事態和行為的發生及其發起的能力。
7.可靠性
與預期行為和結果一致的特性,即醫療器械相關數據與臨床的預期行為和結果一致。
(二)網絡安全能力
對醫療器械網絡安全的保障,是責任方、網絡設施提供方與醫療器械注冊申請人共同參與的結果。IEC 80001-2-22 以及MDS23 所識別的網絡安全能力,給醫療器械行業在考慮網絡安全風險控制的手段上,以現有技術水平而言,提供了一個被廣泛接受的切入點。
需要注意的是,注冊申請人對這些網絡安全能力進行配置以配合責任方進行網絡安全風險管理時,必須綜合考慮具體醫療器械的預期用途與使用場景。醫療器械的預期用途是對疾病的預防、診斷與治療,故而在權衡醫療器械的安全性、有效性以及數據安全時,仍然是以保證產品的安全性、有效性為首要任務。如在急救場景下要發揮醫療器械的有效性,可能不得不考慮對保密性的要求予以折衷。綜合考慮下來,最終的配置結果可能是大多數的醫療器械并不具備全部的網絡安全能力,這就需要醫療器械注冊申請人與責任方進行良好的溝通,以實現最終醫療環境下的網絡安全。
以下列出了十九種醫療器械網絡安全能力,并依據有關標準,結合醫療器械的產品特點對其主要內容進行了描述,注冊申請人可根據醫療器械的產品特性考慮其網絡安全能力要求的適用性,應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
1.自動登出能力 ALOF
無人值守的終端設備,存在被人進行非授權的操作、顯示信息被非授權人員閱讀的風險。此項網絡安全能力確保器械在所設時段內若未被用戶操作,則自動進入保護狀態,從而降低上述風險發生的概率。此項網絡安全能力,改善了器械的保密性與完整性,然而對器械的可得性會造成損害,應結合器械的預期用途與使用場景,決定是否配置以及如何配置。如對急診用器械、長期監護用器械、用戶無需獲得授權的器械等可得性要求較高的器械。
2.審核控制能力AUDT
器械的網絡安全與器械的使用方式息息相關,不正確、非授權的使用會導致器械存在網絡安全方面的風險。對器械使用環節的關鍵信息予以記錄,本身屬于風險控制措施的一部分。此項能力的配置對網絡安全的保密性、完整性、可核查性均有提升,有利于對醫療器械使用記錄提供可追溯性檢測以及用于事后問責調查和對風險的持續監視,也為風險控制的應急響應提供輸入。
3.確定用戶權限的能力 AUTH
醫療器械的非授權使用,會導致多種危險情況,確保醫療器械的使用者、管理者、維護者、擁有者得到合適的授權是重要的風險控制手段。用戶權限的管理可以提升保密性、完整性與可核查性,然而通常會導致可得性的損失。
4.網絡安全配置能力 CNFS
對器械網絡安全的保障是由責任方、使用者、網絡基礎設施供應商、醫療器械注冊申請人多方共同參與的一項活動。開放網絡安全相關的配置有利于網絡安全在使用場景中的整體部署,但是另一方面器械在有意、無意情況下的配置錯誤也可能導致不可接受的風險,此種情境是與系統的加固要求相矛盾的(SAHD),應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
5.網絡安全升級能力 CSUP
器械以及器械所依賴的軟硬件環境,所面臨的威脅并不是一成不變的,作為風險控制手段,有必要對器械或器械的運行環境予以修補以抵御新的網絡威脅。由于器械、運行環境、所受威脅的狀況千差萬別,部分修補可以由用戶自行升級完成;而部分修補,則可能需要注冊申請人的授權人員才能進行。
6.健康數據去標識化能力 DIDT
在醫療服務過程中產生的健康數據常常具有預防、診斷、治療之外的其它價值,比如科研、培訓、不良事件追溯、設備維護等。健康數據若直接用于非醫療用途,則存在隱私數據保護方面的風險。數據交付之前,去除健康數據所附帶的身份信息,是提升保密性的重要手段。然而,去除標志會破壞數據的可追溯性。
7.數據備份與災難恢復能力 DTBK
健康數據在處理過程中面臨著數據被破壞甚至丟失的風險,保持數據備份與災難恢復的能力,可以提高數據的完整性與可得性。
8.緊急訪問隱私數據的能力 EMRG
醫療器械是以提供預防、診斷、治療目的為核心屬性,部分情況下器械、數據的可得性受損會導致不可接受的風險。為器械配置被緊急訪問的能力以及相應的安全可控的緊急訪問流程,對此項風險的控制至關重要。然而,配置被緊急訪問的能力,常常會導致可得性之外的其它網絡安全特性受損,應根據器械的預期用途與使用方式綜合考慮此項能力的配置。
9.數據完整性真實性確認能力 IGAU
當數據的完整性受損而導致不可接受的風險時,醫療器械具備此項能力可以確保健康數據的來源可靠且未經篡改與破壞。
10.惡意軟件的防止、檢測與清除能力 MLDP
惡意軟件侵入醫療器械可能會導致不可接受的風險,此項能力可以對已知惡意軟件進行探測、報告并防止其侵害。由于惡意軟件的產生難以預知,此項能力需要在器械的使用過程中不斷維護,必要時采取緊急措施。
11.通信對象、通信節點的身份驗證能力 NAUT
器械若與未經授權的通信節點進行互操作,可能導致不可接受的風險。此項能力配合責任方的網絡安全策略可確保數據的發送方與接收方相互識別并被授權進行數據傳輸。
12.驗證合法用戶的能力 PAUT
有一部分器械并非開放給所有的使用者,這部分器械如果被未獲授權的用戶使用,可能導致不可接受的風險。此項能力配合責任方的網絡安全策略,可確保器械的使用者是經過授權認證的。
13.物理保護能力 PLOK
醫療器械在物理上被進入,會造成保密性與完整性的破壞,可能導致不可接受的風險。重點關注敏感信息的存儲介質(可移動介質除外)是否不借助工具就能被取出。
14.第三方組件管理能力 RDMP
醫療器械可能用到第三方組件作為整體醫療器械的一部分,比如第三方的操作系統或數據庫等。責任方若對此類組件不知情,則不利于此類組件未來的網絡安全管理,也不利于未來網絡安全事件的責任劃分,可能導致不可接受的風險。
15.系統與應用加固能力 SAHD
醫療器械中可能存在著與預期用途無關的配置,如某些非醫療預期用途的賬號、通信端口、共享文件、服務等。此類配置可能會成為網絡攻擊者所利用的通道,從而造成不可接受的風險,對這些配置予以關閉有利于降低風險發生的概率。
16.對操作者與管理員提供網絡安全指導的能力 SGUD
醫療器械的不當使用可能在醫療器械網絡安全方面造成不可接受的風險,對使用者提供產品說明、提供可索取的披露資料、予以培訓等,均有利于降低使用者操作不當的風險。
17.存儲保密能力 STCF
健康數據的明文存儲有損于產品的保密性,對數據存儲予以加密有利于降低數據泄露相關的風險。值得指出,國家在市場監督管理范疇之外,對商用密碼產品的科研、生產、銷售、使用等都有相應的規定,對商用密碼的使用,也應遵守市場監督管理范疇之外的法律法規要求。
18.傳輸保密能力 TXCF
健康數據的明文傳輸有損于產品的保密性,對數據傳輸予以加密有利于降低數據泄露相關的風險。值得指出,國家在市場監督管理范疇之外,對商用密碼產品的科研、生產、銷售、使用等都有相應的規定,對商用密碼的使用,也應遵守市場監督管理范疇之外的法律法規要求。
19.保障數據傳輸完整性的能力 TXIG
健康數據在傳輸過程中,數據可能受到無意的信道噪音干擾,也有可能受到惡意篡改,這都可能造成不可接受的風險。采用技術手段確保所接受到的數據與所發送出數據具有一致性,可以降低此類風險。
注冊申請人可以通過綜合考慮這19項網絡安全能力來提高產品的網絡安全特性。網絡安全能力與網絡安全特性之間的關系如下:
網絡安全特性
網絡安全能力
保密性
完整性
可得性
可靠性
ALOF 自動登出能力
2
2
-1
–
AUDT審核控制能力
1
1
–
1
AUTH 確定用戶權限的能力
2
2
-1
1
CNFS 網絡安全配置能力
1
1
1
1
CSUP 網絡安全升級能力
1
1
1
–
DTBK數據備份與災難恢復能力
–
1
2
–
EMRG 緊急訪問隱私數據的能力
–
–
2
-1
DIDT 健康數據去標識化能力
2
–
–
–
IGAU 數據完整性真實性確認能力
–
2
–
2
STCF 存儲保密能力
2
–
–
–
MLDP 惡意軟件的防止、檢測與清除能力
1
1
1
–
NAUT 通信對象、通信節點的身份驗證能力
1
–
–
1
PAUT 驗證合法用戶的能力
1
–
–
2
PLOK 物理保護能力
1
1
1
–
SGUD 對操作者與管理員提供網絡安全指導的能力
1
1
1
1
SAHD 系統與應用加固能力
1
1
1
–
RDMP 第三方組件管理能力
–
–
–
–
TXDF 傳輸保密能力
2
–
–
–
TXIG 保障數據傳輸完整性的能力
–
2
–
–
注:“2”指可以顯著提高此項網絡安全特性,“1”指可以提高此項網絡安全特性,“-”指基本不對此項網絡安全特性產生影響,“-1”指可以降低此項網絡安全特性。
(三)網絡安全的上市后監管
1.網絡安全事件4
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。網絡安全事件可能會造成醫療器械系統不能訪問、醫療數據泄露或者篡改,進而有可能導致病人受到嚴重傷害或死亡或病人的健康數據泄漏。
2.網絡安全事件的處置
醫療器械 注冊人應建立產品上市后的網絡安全事件處置流程。 網絡安全事件發生后,醫療器械 注冊人 應 能夠 及時有效地處理和管理安全事件 ,通常包括以下措施:
應收集并確認 受 網絡安全事故 影響的 客戶,識別網絡安全事件對相關系統帶來的風險 ;
應快速采取應急對策,例如 : 告知客戶斷開網絡連接, 提供 臨時解決方案恢復系統至正常工作狀態 等;
應對網絡安全事件的做出詳細的風險分析和評估 ;
應提供經過驗證和確認的解決措施,并告知客戶相關的更新信息。
注冊申請人應建立相應的組織以確保網絡安全事件處置流程得以實施。
3.網絡安全事件上報
當下列網絡安全事件發生,醫療器械注冊人應及時報送信息給監管部門:
——病人受到嚴重傷害或者死亡;
——醫療器械注冊人提供的大量醫療器械系統不能訪問;
——大量的病人健康數據泄露。
若涉及到病人受到嚴重傷害或者死亡的網絡安全事件,醫療器械注冊人應按照醫療器械不良事件的相關規定上報。
4.涉及召回的網絡安全事件應按照醫療器械召回的相關法規處理。
5.網絡安全更新的管理
網絡安全更新(包括自主開發軟件和現成軟件)根據其對醫療器械的影響程度可分為以下兩類:
——重大網絡安全更新:影響到醫療器械的安全性或有效性的網絡安全更新;
——輕微網絡安全更新:不影響醫療器械的安全性與有效性的網絡安全更新,如常規安全補丁。
醫療器械產品發生重大網絡安全更新,應進行許可事項變更;而發生輕微網絡安全更新,注冊人應通過質量管理體系進行控制,無需進行注冊變更,待到下次注冊(注冊變更和延續注冊)時提交相應注冊申報資料。醫療器械同時發生重大和輕微網絡安全更新,遵循風險從高原則應進行許可事項變更。
涉及召回的網絡安全更新應按照醫療器械召回的相關法規處理,不屬于本指導原則討論范圍。
軟件版本命名規則應考慮網絡安全更新的情況。
注冊申請人在提交注冊申報資料時,應根據醫療器械網絡安全的具體情況提交網絡安全描述文檔或常規安全補丁描述文檔。網絡安全描述文檔適用于產品注冊、重大網絡安全更新,常規安全補丁描述文檔適用于輕微網絡安全更新。
4? 網絡安全注冊資料
注冊申請人應當結合醫療器械產品的預期用途、使用環境和核心功能以及預期相連設備或系統(如其它醫療器械、信息技術設備)的情況來確定醫療器械產品的網絡安全特性,提交網絡安全描述文檔。網絡安全描述文檔應描述醫療器械的基本信息、風險管理、驗證與確認和維護計劃。
(1? 基本信息
應描述醫療器械產品網絡安全相關的基本信息,這些信息包括:
1.醫療器械傳輸,存儲和處理的信息描述;
2.以上信息的類型:健康數據、設備數據;
3.以上信息交換的方向(單向、雙向);
4.以上信息是否用于遠程控制(實時、非實時);
5.以上信息的用途:如臨床應用、設備維護等;
6.以上信息的交換方式:網絡(無線網絡、有線網絡)及要求(如傳輸協議 (標準、自定義) 、接口、帶寬等),存儲媒介(如光盤、移動硬盤、U盤等)及要求(如存儲格式(標準、自定義)、容量等);對于專用無線設備(非通用信息技術設備),還應提交符合無線電管理規定的證明材料;如涉及個人敏感數據,應明確個人敏感數據的儲存和傳輸方式;
7.醫療器械包含的安全軟件:描述安全軟件(如殺毒軟件、防火墻等)的名稱、型號規格、完整版本、供應商、運行環境要求;
8.醫療器械包含的現成軟件: 描述現成軟件(包括應用軟件、系統軟件、支持軟件)的名稱、型號規格、完整版本和供應商 。
(二)風險管理
1.網絡安全風險管理概述
網絡安全風險管理是指注冊申請人基于醫療器械產品的預期用途和使用場景進行網絡安全風險分析,評價并采取網絡安全風險控制手段確保產品的網絡安全能力。注冊申請人可對網絡安全采用醫療器械風險管理的方法(可參照《YY/T 0316 醫療器械 風險管理對醫療器械的應用》)對產品網絡安全相關的風險進行分析、評價和控制,也可采用信息安全網絡安全風險評估的方法(可參照《GB/T20984 信息安全技術 信息安全風險評估規范》)進行評估,并進行風險控制。
如適用,醫療器械網絡安全風險管理應考慮對個人敏感信息的保護。對個人信息的處理,應遵循個人信息安全基本原則5 和相關的法律法規。如有必要,應對個人信息進行匿名化或去標識化處理。
風險管理除了從網絡安全角度來考慮產品的網絡安全能力外,還應當根據醫療器械的預期用途考慮網絡安全風險對醫療器械的安全性和有效性的影響。
醫療器械產品網絡安全風險管理需要考慮醫療器械產品整個產品生命周期并作適時更新。
2.網絡安全風險管理過程
(1)風險分析與評價
注冊申請人應對網絡安全管理活動進行策劃并制定網絡安全風險可接受性準則。注冊申請人應考慮網絡安全損害的嚴重度和網絡安全損害的發生概率并按照接受性準則決定是否需要降低風險。
a? 網絡安全損害的嚴重度,例如:
等級名稱
代碼
網絡安全損害的嚴重度
輕度
1
例如:輕微傷或者無須處理,少量設備數據泄露…
中度
2
例如:中等人身傷害需要專業醫治,有限的設備數據泄露…
嚴重
3
例如:一人重傷或者死亡,有限的病人數據泄露…
災難
4
例如:多人重傷或者死亡,大規模病人數據泄露…
b? 網絡安全損害的發生概率,例如:
等級名稱
代碼
網絡安全損害的發生概率
極少
1
<10 -3 非常少 2 10 -2 -10 -3 偶爾 3 10 -1 – 10 -2 有時 4 1 – 10 -1 經常 5 >1
注:發生概率應和醫療器械具體情況相適應
(2)風險控制
根據風險評價結果需要降低風險時,注冊申請人應當識別適當的風險控制措施,以把風險降低到可接受的水平。
風險分析、評價和風險控制措施記錄表舉例
漏洞
威脅
描述
技術風險
系統設計,實施或操作和管理中的一系列條件,使其易受影響
有可能造成不良后果的來源。可以是作用物,人,事件或事物,動機可以是有意的或無意的
原因,影響因素 描述風險場景,漏洞和緩解因素=漏洞+可利用性
初始風險
緩解措施
剩余技術風險
漏洞編號
漏洞描述
威脅描述
風險狀況
可能性
影響
風險
緩解措施
緩解措施編號
可能性
影響
風險
風險評估矩陣模型舉例
a? 初始風險分布
概率
嚴重度
總計
4
3
2
1
災難
嚴重
中度
輕度
經常
5
0
0
0
0
0
有時
4
1
0
2
2
5
偶爾
3
0
2
4
1
7
非常少
2
0
0
0
3
3
極少
1
2
0
2
1
5
總計
3
2
8
7
20
b? 措施后風險分布
概率
嚴重度
總計
4
3
2
1
災難
嚴重
中度
輕度
經常
5
0
0
0
0
0
有時
4
0
0
0
1
1
偶爾
3
0
1
2
1
4
非常少
2
0
0
0
3
3
極少
1
0
0
2
1
3
總計
0
1
4
6
11
(3)風險管理報告
注冊申請人應形成網絡安全風險管理報告,并完成風險管理過程的評審,確認綜合剩余風險是可接受的。
(4? 關于上市后的風險
注冊人要持續關注產品上市后與產品相關的網絡安全風險,根據實際情況適時更新風險分析、評價和控制文件,如法規更新、不良事件報告等。
(三) 驗證與確認
(1)總體原則
網絡安全驗證和確認活動的目的是確定風險管理中采用的網絡安全控制手段均已得到正確的實施,從而確保醫療器械產品的網絡安全需求(如保密性、完整性、可得性等特性)均已得到滿足。
對于現成軟件,注冊申請人應當在網絡安全風險分析過程中將其作為產品的一部分進行充分的網絡安全評估,并在產品的網絡安全能力配置中予以綜合考慮。
(2)驗證與確認活動
注冊申請人應當在醫療器械產品研制的全生命周期過程中進行網絡安全的驗證與確認活動,通過分析、測試、評估、審查等手段,確保醫療器械產品的網絡安全需求得到滿足。網絡安全驗證與確認活動可以參考附錄中的19項網絡安全能力評價準則。
A)應當 確保在醫療器械產品的需求、設計、測試以及風險管理各個階段考慮并落實網絡安全需求,并且保證網絡安全需求規范、設計規范、測試以及風險管理的一致性和完整性。
B)應當針對醫療器械產品進行網絡安全測試驗證,確保所有網絡安全風險控制措施都得到正確的實施。
a)應對網絡安全測試活動進行合理的策劃,包括確定測試的內容(包括產品需求中要求配置的網絡安全能力)、測試人員和相應的職責、測試所需的環境、測試的技術和方法(如漏洞測試、惡意軟件測試、缺陷輸入測試、結構化滲透測試)、異常處理方式、測試通過的準則、測試所需的資源以及測試進度安排等。
b)應根據測試計劃的安排仔細設計測試用例,并按照測試用例的要求執行測試活動,如實記錄原始測試結果,確保測試過程的可追溯性。對于安全軟件,注冊申請人應當針對不同的軟件、硬件運行平臺,進行兼容性測試;如果產品采用標準傳輸協議或存儲格式,應當進行審查或測試驗證其對相關標準的符合性;如果產品采用自定義的傳輸協議和存儲格式,應當進行完整性測試驗證。
c? 應對測試結果進行仔細的分析和評價,確保測試活動的有效性,并對測試遺留的問題進行評價。
(3)驗證與確認記錄
注冊申請人應當將醫療器械網絡安全驗證與確認活動的結果以文檔的方式進行記錄,確保網絡安全驗證與確認活動的可追溯性。
1)應當以文檔的形式記錄醫療器械網絡安全需求規范、設計規范、測試以及風險管理的追溯性關系。
2)應當對網絡安全測試策劃活動進行記錄并形成網絡安全測試計劃文檔。
3)應當對網絡安全測試執行過程、測試結果以及測試結果的分析評估進行記錄,形成網絡安全測試報告。
4)對于安全軟件,注冊申請人應將兼容性測試結果進行單獨文檔記錄,并形成兼容性測試報告。
5)對于采用標準傳輸協議或存儲格式的產品,注冊申請人應當記錄標準符合性審查結果;對于采用自定義的傳輸協議和存儲格式的產品,注冊申請人應當對完整性測試結果進行記錄并形成完整性測試報告。
6)可以對實時遠程程控功能的產品中關于遠程數據相關的測試進行單獨的文檔記錄,并形成相應的完整性和可得性測試報告。
(四)維護計劃
(1)維護流程
在醫療器械產品上市后,注冊人應結合自身質量管理體系要求,制定網絡安全維護流程,保證醫療器械產品的安全性和有效性。
網絡安全維護流程涉及到以下方面:
1)監控網絡安全信息源(包括第三方軟件組件)以識別和檢測網絡漏洞;
2)了解、檢測可能發生的漏洞,評估其風險影響;
3)與設備的安全和基本性能有關的網絡安全問題,特別是網絡安全事件相關的問題,重點分析其風險和影響,制定減輕策略,使得醫療器械產品及時得到保護和恢復;
4)用于修補漏洞的軟件更新和補丁程序,需要進行驗證和確認,包括第三方軟件組件的漏洞修復(例如,操作系統,安全軟件等);
5)盡早地部署軟件網絡安全更新程序至客戶站點,并告知客戶相關更新內容。
有關醫療器械產品中網絡漏洞的披露和處理,可參閱文獻ISO/IEC 291476 和ISO/IEC 301117 。
(2)網絡安全更新
具備聯網功能的醫療器械產品面臨的網絡問題可能不斷變化,注冊申請人在產品上市前難以解決所有的網絡安全問題。醫療器械注冊人應對已上市產品進行有效、及時并持續地網絡安全更新。
對于已發現的漏洞,應分析漏洞的可被利用性,對病人傷害的嚴重程度以及病人信息泄露的可能性,醫療器械注冊人應決定該漏洞的風險是可控還是處于失控狀態,制定相應的解決措施修復該網絡漏洞。與網絡安全事件相關的網絡更新,需要重點分析其風險和影響,及時有效地提供經驗證的解決方案。
通常的網絡安全更新應包括:
1)自研軟件的漏洞安全更新;
2)第三方軟件(包括操作系統等)的漏洞安全更新;
3)安全軟件(如殺毒軟件等)的病毒掃描引擎的更新。
若在醫療器械產品中新的網絡安全設計是不可行的或者不能馬上實施,注冊人應考慮使用網絡補償控制方案來減輕網絡漏洞風險。
網絡補償控制是在缺乏有效網絡安全設計的前提下,提供補充性網絡防護措施。例如注冊申請人對醫療器械產品的網絡漏洞評估后,認為對設備未被授權的情況下進行訪問極有可能影響設備的安全和基本性能,但是若該設備沒有連接到外部網絡(例如,醫院網絡)或者使用路由器對連接進行限定,則醫療器械仍然可以安全有效的工作。
(五) 產品技術要求
1.數據接口
對于預期接入IT-網絡或與其它醫療器械進行交互的 醫療器械,其數據交換方式有兩種:網絡(包括有線網絡和無線網絡)或存儲媒介(如光盤、移動硬盤、U盤等)。
對于數據交換的接口,常見的有線接口如USB、RS232、RS485、CAN、RJ45等。近些年,無線通訊被廣泛使用,如藍牙、WiFi、Zigbee、RFID、各種蜂窩無線網絡等。對于有線接口,技術要求中應明確連接接口的規格,有線網絡要明確帶寬要求。對于無線網絡,應描述網絡類型 或 制式、使用頻段、數據特性(例如上下行傳輸速率)等。
注冊申請人可以采用已經標準化的數據傳輸協議或存儲格式。醫療器械常用的傳輸協議如HL7、DICOM,存儲格式如EDF等。注冊申請人也可以使用通用的網絡傳輸協議如TCP/IP、UDP、HTTP、HTTPS等。注冊申請人在產品技術要求中,應明確傳輸協議/存儲格式。對于已經標準化的傳輸協議或存儲格式除了說明協議類型之外,還應說明協議的版本,如果對設備進行控制,應說明是否為實時控制。
對于注冊申請人自定義的數據傳輸協議或存儲格式,應在隨機文件中描述或在產品技術要求中提供相應的驗證方法。
2.用戶訪問控制
醫療器械在執行用戶訪問控制之前,應完成對用戶身份的鑒別或認證。認證是系統驗證希望訪問系統的用戶身份的過程。基本的認證技術包括數字簽名、消息認證、數字摘要和簡單的身份認證等。在產品技術要求中醫療器械注冊申請人應明確醫療器械所采用的用戶身份簽別技術。
用戶訪問控制策略對醫療器械的保密性、完整性起直接的作用,是對越權使用資源的防御措施,是網絡安全的重要組成部分。醫療器械的使用者應依據訪問控制策略來限制對數據和系統功能的訪問。用戶訪問控制的種類早期分為自主訪問控制(DAC)和強制訪問控制(MAC),但隨著計算機和網絡技術的發展,又出現了基于角色的訪問控制(RBAC)、基于任務的訪問控制(TBAC)、以及基于屬性、上下文、信譽等等的訪問控制模型。隨著系統的復雜度變高,一個系統中也可以融合多種訪問控制策略。在產品技術要求中,醫療器械注冊申請人應明確醫療器械執行的用戶訪問控制的方法、用戶類型及權限。
(六) 說明書
預期接入網絡或與其它醫療器械進行交互的 醫療器械具有更復雜的運行環境與技術生態系統,例如:復雜的信息與技術基礎設施(例如硬件、軟件、網絡、其他系統和數據接口等),眾多的參與開發、實施、使用所涉及的人員、組織和服務機構。預期接入網絡的醫療器械生命周期不僅包含設計與開發、也應包含實施與臨床使用,包括涉及醫療器械的采購、安裝、配置、數據集成或遷移、工作流實現與優化、培訓、使用與維護、退市等各種環節。
一般情況下,醫療器械注冊申請人只涉及醫療器械的設計與開發過程,而后期的實施與臨床使用等環節的網絡安全由另外的組織來負責。注冊申請人雖無法保證整個醫療器械生命周期的網絡安全,但應在說明書或其他文檔中提供在實施與臨床使用環節中所需要的必要信息,如運行環境、接口與訪問控制、安全軟件及軟件更新等,以保證在實施與臨床使用環節的網絡安全。
1.運行環境
如適用,注冊申請人在說明書中應明確醫療器械的運行環境,包括硬件配置、軟件環境和網絡條件。硬件配置應明確醫療器械安全運行所需要的最低硬件資源配置要求,比如CPU、內存、存儲與顯示要求等。軟件環境應明確要求醫療器械運行所需要的操作系統等。網絡條件應明確醫療器械運行所需要的網絡類型、帶寬等。
2. 接口與訪問控制
如適用,注冊申請人在說明書中應描述接口與訪問控制,以滿足醫療器械實施與臨床使用過程中的要求。對于接口的描述,應能夠滿足醫療器械與網絡、或其它設備的安全連接。對于訪問控制的描述,應能指導使用者安全使用系統提供的訪問控制策略并集成到工作流程中。
3.安全軟件
在資源允許的情況下,醫療器械可使用一些安全軟件來提高產品的網絡安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用,注冊申請人應在說明書中明確這些軟件的名稱、版本等信息。
4.軟件更新
如適用,注冊申請人應在說明書中明確軟件環境與安全軟件的更新需求,更新的來源、執行的步驟等。
附錄
19項網絡安全能力評價準則
1.自動登出能力(Automatic logoff–ALOF)
注冊申請人應考慮,未授權的用戶不能在無人值守的工作區訪問健康數據,授權用戶會話需要在預先設置的一段時間后自動終止或鎖定;自動注銷需要包括清除所有顯示器上的健康數據;本地授權的IT管理員需要能夠禁用該功能并設置過期時間(包括屏幕保護程序);當短時間內(例如15秒到幾分鐘)沒有按下鍵時,可以調用此對健康數據顯示清除;臨床用戶不應因自動下線而丟失未提交的工作,這是可取的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
2.審核控制能力(Audit controls–AUDT)
注冊申請人應考慮,通過在設備上創建審計跟蹤來跟蹤系統和健康數據訪問、修改或刪除,從而記錄和檢查系統活動的能力。支持將日志記錄信息作為獨立存儲庫(在其自己的文件系統中記錄審計文件)使用。使用適當的審計審查工具支持審計創建和維護,確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下),并確保無法編輯或刪除審計數據。審計數據可能包含個人數據和/或健康數據,所有處理(例如存取、儲存和轉移)都應該有適當的控制。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
3.確定用戶權限的能力(Authorization–AUTH)
注冊申請人應基于經過身份驗證的單個用戶進行標識,授權功能允許每個用戶僅有訪問已批準的數據權利,并僅在設備上執行已批準的功能。授權用戶包括注冊申請人安全控制人員和該策略定義的服務人員。醫療器械通常支持基于許可的系統,提供對注冊申請人安全控制人員中個人角色(基于角色的訪問控制)適當的系統功能和數據的訪問。例如:
1)操作者可使用所有適當的設備功能(例如監察或掃描病人)執行指定的工作。
2)質量人員(如醫學物理學家)可以從事所有適當的質量和保證測試活動。
3)服務人員可以以支持預防性維護、問題調查和問題消除活動的方式訪問系統。
4)授權允許注冊申請人在有效交付醫療保健機構的同時:①維護系統和數據安全;②遵循適當的數據訪問最小化原則。授權可以在本地或注冊申請人范圍內管理(例如通過集中目錄)。
注:如果預期使用不允許登錄和注銷設備所需的時間(例如高吞吐量使用),則本地IT策略可以允許減少授權控制,假定受控制和受限制的物理訪問是否足夠。
應根據器械預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
4.網絡安全配置能力(Configuration of security features–CNFS)
注冊申請人應考慮,本地授權的IT管理員能夠選擇使用產品安全功能還是不使用產品安全功能。這需要考慮網絡安全風險評估內容,可以包括與安全能力控制交互的特權管理方面。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
5.網絡安全升級能力(Cyber security product upgrades–CSUP)
注冊申請人應按照規定,盡快在醫療產品上安裝第三方安全補丁: 根據客觀的、權威的、文檔化的漏洞風險評估,優先考慮解決高風險漏洞的補丁。要求醫療產品供應商和醫療服務提供商確保其產品持續安全和有效的臨床功能。了解本地醫療器械法規。進行充分的測試,以發現對醫療產品(性能或功能)可能危及患者的任何意外副作用。注冊申請人需要提供關于評估/驗證補丁的主動信息。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
6.健康數據去標識化能力(HEALTH DATA de-identification–DIDT)
注冊申請人應考慮,臨床用戶、服務工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數據。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
7.數據備份與災難恢復能力(Data backup and disaster recovery–DTBK)
注冊申請人應合理保證在系統故障或損壞后,可以恢復存儲在產品上的持久保存的系統設置和敏感數據,以便業務能夠繼續進行。特別需要注意的是,這一要求可能不適用于較小的低成本設備。這實際上可能依賴于在下一個采集周期中收集新的相關數據的能力(例如由于偶爾的無線信號丟失而丟失的短時心率數據)。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
8.緊急訪問隱私數據的能力(Emergency access–EMRG)
注冊申請人應考慮,在緊急情況下,臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數據(break-glass功能)。應檢測、記錄和報告應急通道。理想情況下,包括以某種方式立即通知系統管理員或醫務人員(除了審計記錄之外)。緊急訪問需要在輸入時要求并記錄自認證用戶標識(無需身份驗證)。注冊申請人可以通過使用特定用戶帳戶或系統功能的過程方法來解決這個問題。管理員需要能夠啟用/禁用依賴于技術或過程控制的產品提供的任何緊急功能。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
9.數據完整性真實性確認能力(HEALTH DATA integrity and authenticity–IGAU)
注冊申請人可以通過使用包括固定介質和可移動介質,來確保健康數據是可靠的,不會被篡改。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證。
10.惡意軟件的防止、檢測與清除能力(Malware detection/protection–MLDP)
注冊申請人應考慮,產品支持法規和用戶需求,以確保有效和統一的支持,可以預防、檢測和刪除惡意軟件。防止惡意軟件,對應用程序及時進行軟件更新,關注惡意軟件模式,及時對當前操作環境、系統、數據文件和應用程序進行補丁更新。并經常需要對設備運行更新后進行驗證測試,以確保持續使用和安全。注冊申請人需要檢測傳統的惡意軟件以及可能干擾設備/系統正常運行的未授權軟件的影響,并提供詳細的測試結果。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
11.通信對象、通信節點的身份驗證能力(Node authentication–NAUT)
注冊申請人應能夠以一種方式管理跨機器的賬戶,以保護健康數據訪問。支持獨立管理和集中管理。支持根據行業標準進行節點認證。檢測和防止實體偽造(提供不可抵賴性)。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
12.驗證合法用戶的能力(Person authentication–PAUT)
注冊申請人在為控制和監視網絡訪問和活動的網絡連接設備創建和使用用戶的唯一賬戶和基于角色的訪問控制(RBAC、本地和遠程)。以一種方式管理賬戶以保護健康數據訪問的能力。用戶可能需要將個人首選項與用戶賬戶關聯。這可能有助于多個運營商、部門甚至多個使用的設備和系統。支持獨立和中央管理。單點登錄和所有工作地點的密碼相同。控制對設備、網絡資源和健康數據的訪問,并生成不可否認的審計跟蹤,發現和防止人員造假(提供不可抵賴性)。注意,這個要求在臨床中緊急訪問操作期間是放松的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
13.物理保護能力(Physical locks on device–PLOK)
注冊申請人應合理保證儲存在產品或媒體上的健康數據是和保持安全的方式與設備上數據記錄的靈敏度和容量成比例。系統合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。篡改(包括設備移除)是可以檢測到的。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
14.第三方組件管理能力(Third-party components in product lifecycle roadmaps–RDMP)
注冊申請人應對醫療器械提供明確的預期壽命說明,并對提供第三方組件的服務商對其產品生命周期內維護或支持相應的系統進行要求。當平臺組件過時的情況下,需要及時進行更新和升級。在存儲設備退役(丟棄、重用、轉售或回收)之前,服務提供商需不可逆地擦除健康數據。這些活動應該被記錄和審計。銷售和服務人員應了解對每個產品在其生命周期中提供的安全支持。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
15.系統與應用加固能力(System and application hardening–SAHD)
注冊申請人應給用戶提供一個穩定的系統,并且只提供那些根據其預期用途而指定和需要的服務,同時進行最少的維護活動。并且要求連接到它們的網絡的系統在交付時是安全的,加強了對誤用和攻擊的抵御能力。注冊申請人應將用戶反饋的用戶設備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風險分析和管理進行漏洞的修復,并及時更新提交。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
16.對操作者與管理員提供網絡安全指導的能力(Security guides–SGUD)
注冊申請人應讓操作人員清楚地了解自己的職責和安全的系統工作方式。管理員需要關于管理、定制和監視系統的信息(即訪問控制列表、審計日志等)。管理員需要清楚地了解安全功能,以便根據適當的法規要求進行健康數據風險評估。銷售和服務應包括系統的安全能力和安全工作方式的信息。用戶應知道如何以及何時將用戶設備中可能存在的安全漏洞和察覺到的弱點通知注冊人。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
17.存儲保密能力(HEALTH DATA storage confidentiality–STCF)
注冊申請人應合理保證儲存在產品或媒體上的健康數據是保持安全的。基于風險分析,必須考慮對存儲在醫療器械上的健康數據進行加密。對于存儲在可移動介質上的健康數據,加密可以保護臨床用戶、提供服務和收集臨床數據的應用程序工程師的機密性/完整性。應使用一種與傳統使用、服務訪問、緊急訪問一致的加密密鑰管理機制。加密方法和強度考慮了數據的容量(記錄收集/聚合的程度)和靈敏度。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
18.傳輸保密能力(Transmission confidentiality–TXCF)
注冊申請人應確保在經過身份驗證的節點之間傳輸期間保持健康數據機密性。這允許在相對開放的網絡和/或環境中傳輸健康數據,在這些環境中使用用于健康數據完整性和保密性的強大保密策略(詳見:I EC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices – Part 2-3: Guidance for wireless networks)。 應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
19.保障數據傳輸完整性的能力(Transmission integrity–TXIG)
注冊申請人應提供確保傳輸過程中考慮風險分析后健康數據的完整性測試的結果,這允許注冊申請人在相對開放的網絡或環境中傳輸健康數據,需使用健康數據完整性強策略。應根據器械的預期用途、使用方式和風險評估綜合考慮此項能力的驗證與確認。
參考文獻:
1)《醫療器械軟件注冊技術審查指導原則》(原國家食品藥品監督管理總局2015年第50號通告)
2)《醫療器械網絡安全注冊技術審查指導原則》(原國家食品藥品監督管理總局2017年第13號通告)
3)《中華人民共和國計算機信息系統安全保護條例》(中華人民共和國國務院令第147號)
4)中華人民共和國互聯網信息辦公室《國家網絡安全事件應急預案》(中網辦發文〔2017〕4號)
5) GB/T 29246-2012 信息安全技術 信息安全管理體系概述和詞匯
6)GB/T 20984-2015 信息安全技術 信息安全風險評估規范
7) GB/T 22239-2019信息系統安全等級保護基本要求
8)GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要求
9)GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求
10) YY/T 0316-2016 醫療器械 風險管理對醫療器械的應用
11)IEC TR 80001-2-2-2012 包含醫療器械的IT網絡的風險管理應用.第2-2部分 醫療器械安全
12)ISO/IEC 27035 Information technology – Security techniques – Information security incident management
13)ISO/IEC 27035-1:2016 Part 1: Principles of incident management
14)ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
15)ISO/IEC 27043:2015 Information technology – Security techniques – Incident investigation principles and processes
16) ISO 27799 :2016 Health informatics—Information security management in health using ISO/IEC 27002
17)ISO/IEC 29147:2014 Information technology – Security techniques – Vulnerability disclosure
18)ISO/IEC 30111:2013 Information technology – Security techniques – Vulnerability handling processes
19)ISO/IEC TS 33052:2016 Information technology – Process reference model (PRM) for information security management
20)ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
21)IEC/TR 80001-2-8:2016 Part 2-8: Application guidance – Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
22)IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes ( IEC 62304 )
23)HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security
(公開屬性: 主動公開 )
北京市藥品監督管理局辦公室 2019年8月19日 印發
