藥監(jiān)系統(tǒng)官方培訓(xùn) 7.醫(yī)療器械網(wǎng)絡(luò)安全、移動醫(yī)療器械審評指導(dǎo)原則解讀

1、國家藥監(jiān)局器審中心 彭亮2019.8 北京內(nèi)容摘要 醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則 移動醫(yī)療器械指導(dǎo)原則網(wǎng)絡(luò)安全指導(dǎo)原則目錄 前言 網(wǎng)絡(luò)安全文檔 適用范圍網(wǎng)絡(luò)安全更新類型網(wǎng)絡(luò)安全描述文檔常規(guī)安全補(bǔ)丁描述文檔 基本原則 數(shù)據(jù)考量 技術(shù)考量 現(xiàn)成軟件 注冊申報(bào)資料要求 參考文獻(xiàn)適用范圍 適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類、第三類醫(yī)療器械 網(wǎng)絡(luò)包括無線、有線網(wǎng)絡(luò) 電子數(shù)據(jù)交換包括單向、雙向數(shù)據(jù)傳輸 遠(yuǎn)程控制包括實(shí)時、非實(shí)時控制 適用于采用存儲媒介以進(jìn)行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械基本原則 定位 網(wǎng)絡(luò)安全是安全有效性的重要組成部分 網(wǎng)絡(luò)安全指導(dǎo)原則作為軟件指導(dǎo)原則的補(bǔ)充 基本

2、考量 基于風(fēng)險：資產(chǎn)、威脅、脆弱性 全生命周期：質(zhì)量體系、工程實(shí)踐 責(zé)任共享：制造商、用戶、IT服務(wù)商 法規(guī)關(guān)注：國家法律法規(guī)、部委規(guī)章關(guān)注重點(diǎn) 防護(hù)層級 產(chǎn)品級：醫(yī)療器械產(chǎn)品自身 系統(tǒng)級：醫(yī)療信息技術(shù)網(wǎng)絡(luò) 保證措施 管理措施：如使用規(guī)范等 物理措施：如防盜措施等 技術(shù)措施：如加密技術(shù)等 關(guān)注重點(diǎn) 以醫(yī)療器械數(shù)據(jù)安全為核心 關(guān)注產(chǎn)品級的技術(shù)保證措施醫(yī)療器械網(wǎng)絡(luò)安全 醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性、完整性和可得性 保密性：醫(yī)療器械數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進(jìn)行訪問 完整性：醫(yī)療器械數(shù)據(jù)是準(zhǔn)確和完整的，未被篡改 可得性：醫(yī)療器械數(shù)據(jù)能以預(yù)期方式適時訪問和使用 補(bǔ)充說明

3、 基于預(yù)期用途、使用場景、核心功能 保密性、完整性、可得性相互制約，需平衡兼顧 其它特性：真實(shí)性、可核查性、抗抵賴、可靠性醫(yī)療器械數(shù)據(jù) 健康數(shù)據(jù) 標(biāo)明生理、心理健康狀況的個人數(shù)據(jù) 涉及患者隱私信息，遵循患者隱私保護(hù)相關(guān)規(guī)定 設(shè)備數(shù)據(jù) 描述設(shè)備運(yùn)行狀況的數(shù)據(jù)，用于監(jiān)視、控制設(shè)備運(yùn)行或用于設(shè)備的維護(hù)保養(yǎng) 本身不涉及患者隱私信息，保證與健康數(shù)據(jù)的有效隔離數(shù)據(jù)交換方式 網(wǎng)絡(luò) 通過網(wǎng)絡(luò)（包括無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)）進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制 考慮網(wǎng)絡(luò)（如接口、帶寬、無線電管理）、數(shù)據(jù)傳輸協(xié)議（是否為標(biāo)準(zhǔn)協(xié)議）、遠(yuǎn)程控制（是否為實(shí)時控制）等要求 存儲媒介 通過存儲媒介（如光盤、移動硬盤、U盤等）進(jìn)行電子數(shù)據(jù)交

4、換 考慮數(shù)據(jù)儲存格式（是否為標(biāo)準(zhǔn)格式）等要求醫(yī)療器械網(wǎng)絡(luò)安全能力 識別、防護(hù) 用戶訪問控制機(jī)制 可采用加密、數(shù)字簽名、標(biāo)準(zhǔn)協(xié)議、校驗(yàn)等技術(shù) 探測、響應(yīng)、恢復(fù) 可采用防火墻、入侵檢測和惡意代碼防護(hù)等技術(shù) 網(wǎng)絡(luò)安全能力建設(shè) 醫(yī)療器械對于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識別、保護(hù)能力和適當(dāng)?shù)奶綔y、響應(yīng)、恢復(fù)能力 建議參考IEC/TR 80001-2-2、HIMSS/NEMA HN-1開展風(fēng)險管理、驗(yàn)證與確認(rèn)工作醫(yī)療器械網(wǎng)絡(luò)安全能力 自動注銷（ALOF） 審核控制（AUDT） 授權(quán)（AUTH） 網(wǎng)絡(luò)節(jié)點(diǎn)鑒別（NAUT） 人員鑒別（PAUT） 物理鎖（PLOK） 安全特性配置（CNFS） 網(wǎng)絡(luò)安全產(chǎn)品升級（CS

5、UP） 第三方組件維護(hù)計(jì)劃（RDMP） 系統(tǒng)與應(yīng)用軟件硬化（SAHD） 健康數(shù)據(jù)身份信息去除（DIDT） 安全指導(dǎo)（SGUD） 數(shù)據(jù)備份與災(zāi)難恢復(fù)（DTBK） 緊急訪問（EMRG） 健康數(shù)據(jù)存儲保密性（STCF） 傳輸保密性（TXCF） 健康數(shù)據(jù)完整性與真實(shí)性（IGAU） 傳輸完整性（TXIG） 惡意軟件探測與防護(hù)（MLDP） 遠(yuǎn)程訪問醫(yī)療器械網(wǎng)絡(luò)安全能力 自動注銷 自動注銷、自動鎖定、密碼屏保 審核控制 記錄和追蹤用戶操作行為 授權(quán) 用戶賬號與密碼 安全特性配置 網(wǎng)絡(luò)安全特性可配置 網(wǎng)絡(luò)安全產(chǎn)品升級 網(wǎng)絡(luò)安全補(bǔ)丁安裝醫(yī)療器械網(wǎng)絡(luò)安全能力 健康數(shù)據(jù)身份信息去除 去除患者身份信息、匿名化 數(shù)據(jù)備

6、份與災(zāi)難恢復(fù) 數(shù)據(jù)備份、數(shù)據(jù)恢復(fù) 緊急訪問 用戶緊急情況可無需認(rèn)證即可訪問數(shù)據(jù)，但需記錄 健康數(shù)據(jù)完整性與真實(shí)性 保證健康數(shù)據(jù)未經(jīng)創(chuàng)建人許可而被篡改 惡意軟件探測與防護(hù) 安全軟件兼容性醫(yī)療器械網(wǎng)絡(luò)安全能力 網(wǎng)絡(luò)節(jié)點(diǎn)鑒別 網(wǎng)絡(luò)節(jié)點(diǎn)認(rèn)證 人員鑒別 設(shè)備鑒別用戶的能力 物理鎖 物理訪問限制措施 第三方組件維護(hù)計(jì)劃 產(chǎn)品生命周期對于第三方組件的維護(hù)要求 系統(tǒng)與應(yīng)用軟件硬化 網(wǎng)絡(luò)端口禁用、未授權(quán)軟硬件安裝限制醫(yī)療器械網(wǎng)絡(luò)安全能力 安全指導(dǎo) 不同用戶均應(yīng)有相應(yīng)操作指南 健康數(shù)據(jù)存儲保密性 數(shù)據(jù)加密 傳輸保密性 點(diǎn)對點(diǎn)傳輸、數(shù)據(jù)加密 傳輸完整性 數(shù)據(jù)加密、校驗(yàn)碼 遠(yuǎn)程訪問 遠(yuǎn)程訪問、遠(yuǎn)程維護(hù)現(xiàn)成軟件網(wǎng)絡(luò)安全

7、 應(yīng)用軟件 遺留軟件、成品軟件、外包軟件 重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問題對醫(yī)療器械臨床應(yīng)用的影響 系統(tǒng)軟件與支持軟件 成品軟件 重點(diǎn)關(guān)注安全補(bǔ)丁更新對醫(yī)療器械的影響網(wǎng)絡(luò)安全更新 更新類型 重大網(wǎng)絡(luò)安全更新 輕微網(wǎng)絡(luò)安全更新，如常規(guī)安全補(bǔ)丁 監(jiān)管原則 重大網(wǎng)絡(luò)安全更新：許可事項(xiàng)變更 輕微網(wǎng)絡(luò)安全更新：無需注冊變更，待下次注冊時提交 遵循風(fēng)險從高原則 軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況申報(bào)要求 注冊形式 產(chǎn)品注冊 許可事項(xiàng)變更 延續(xù)注冊 文檔形式 網(wǎng)絡(luò)安全描述文檔 常規(guī)安全補(bǔ)丁描述文檔產(chǎn)品注冊 軟件研究資料 單獨(dú)一份提交網(wǎng)絡(luò)安全描述文檔 軟件版本命名規(guī)則應(yīng)當(dāng)涵蓋網(wǎng)絡(luò)安全的情況 產(chǎn)品技術(shù)要求 數(shù)據(jù)接口

8、：傳輸協(xié)議/存儲格式 用戶訪問控制：用戶身份鑒別方法、用戶類型及權(quán)限 說明書 運(yùn)行環(huán)境：硬件配置、軟件環(huán)境、網(wǎng)絡(luò)條件 安全軟件：殺毒軟件、防火墻，更新要求 數(shù)據(jù)與設(shè)備（系統(tǒng)）接口 用戶訪問控制機(jī)制許可事項(xiàng)變更 變更情況聲明 軟件版本命名規(guī)則應(yīng)當(dāng)涵蓋網(wǎng)絡(luò)安全的情況 軟件研究資料 涉及重大網(wǎng)絡(luò)安全更新：單獨(dú)提交網(wǎng)絡(luò)安全描述文檔 僅發(fā)生輕微網(wǎng)絡(luò)安全更新：單獨(dú)提交常規(guī)安全補(bǔ)丁描述文檔 未發(fā)生網(wǎng)絡(luò)安全更新：出具真實(shí)性聲明 產(chǎn)品技術(shù)要求與說明書 如適用體現(xiàn)網(wǎng)絡(luò)安全的變更內(nèi)容延續(xù)注冊 產(chǎn)品未變化聲明 軟件版本命名規(guī)則應(yīng)當(dāng)涵蓋網(wǎng)絡(luò)安全的情況 產(chǎn)品分析報(bào)告第（六）項(xiàng) 如適用單獨(dú)提交一份常規(guī)安全補(bǔ)丁描述文檔 無需

9、提交網(wǎng)絡(luò)安全描述文檔文檔形式 網(wǎng)絡(luò)安全描述文檔 基本信息、風(fēng)險管理、驗(yàn)證與確認(rèn)、維護(hù)計(jì)劃 適用于首次注冊、重大網(wǎng)絡(luò)安全更新 常規(guī)安全補(bǔ)丁描述文檔 情況說明、測試計(jì)劃與報(bào)告、新增剩余缺陷情況說明 適用于輕微網(wǎng)絡(luò)安全更新網(wǎng)絡(luò)安全描述文檔 基本信息 類型：健康數(shù)據(jù)、設(shè)備數(shù)據(jù) 功能：電子數(shù)據(jù)交換、遠(yuǎn)程控制 用途：如臨床應(yīng)用、設(shè)備維護(hù)等 交換方式：網(wǎng)絡(luò)及要求，存儲媒介及要求；對于專用無線設(shè)備，應(yīng)提交符合無線電管理規(guī)定的證明材料 安全軟件：描述安全軟件的名稱、型號規(guī)格、完整版本、供應(yīng)商、運(yùn)行環(huán)境要求 現(xiàn)成軟件：描述現(xiàn)成軟件（包括應(yīng)用軟件、系統(tǒng)軟件、支持軟件）的名稱、型號規(guī)格、完整版本和供應(yīng)商網(wǎng)絡(luò)安全描述文

10、檔 風(fēng)險管理 提供醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理的分析報(bào)告和總結(jié)報(bào)告，確保全部剩余風(fēng)險均是可接受的 驗(yàn)證與確認(rèn) 提供網(wǎng)絡(luò)安全測試計(jì)劃和報(bào)告、網(wǎng)絡(luò)安全可追溯性分析報(bào)告；安全軟件提供兼容性測試報(bào)告；標(biāo)準(zhǔn)傳輸協(xié)議提供符合性證明材料，自定義傳輸協(xié)議提供完整性測試總結(jié)報(bào)告；實(shí)時遠(yuǎn)程控制提供完整性和可得性測試報(bào)告 維護(hù)計(jì)劃 提供軟件（含現(xiàn)成軟件）網(wǎng)絡(luò)安全更新的維護(hù)流程，包括更新確認(rèn)和用戶告知常規(guī)安全補(bǔ)丁描述文檔 常規(guī)安全補(bǔ)丁情況說明 補(bǔ)丁描述、影響分析、用戶告知計(jì)劃 回歸測試計(jì)劃與報(bào)告 新增剩余缺陷情況說明 證明新增風(fēng)險均是可接受的常見問題 首次許可事項(xiàng)變更需提交網(wǎng)絡(luò)安全描述文檔 基本信息未圍繞數(shù)據(jù)進(jìn)行描述 風(fēng)

11、險管理、驗(yàn)證與確認(rèn)未與網(wǎng)絡(luò)安全能力建立關(guān)系 對部分網(wǎng)絡(luò)安全能力理解有誤 驗(yàn)證與確認(rèn)未含可追溯性分析報(bào)告 維護(hù)計(jì)劃未含網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案 軟件版本命名規(guī)則未涵蓋網(wǎng)絡(luò)安全情況移動器械指導(dǎo)原則目錄 前言 適用范圍 移動醫(yī)療器械 基本原則 技術(shù)考量 注冊申報(bào)資料要求 參考文獻(xiàn)適用范圍與基本原則 適用范圍 適用于移動醫(yī)療器械的注冊申報(bào)，包括第二、三類醫(yī)療器械 基本原則 移動醫(yī)療器械 = 醫(yī)療器械 + 移動計(jì)算技術(shù) 綜合考慮等效傳統(tǒng)醫(yī)療器械、移動計(jì)算技術(shù)的風(fēng)險 移動計(jì)算技術(shù)風(fēng)險包括但不限于顯示屏尺寸小、分辨率低、亮度低，受環(huán)境光影響大，電池容量小，數(shù)據(jù)傳輸失真等移動醫(yī)療器械 定義 采用無創(chuàng)“移動計(jì)算

12、終端”實(shí)現(xiàn)一項(xiàng)或多項(xiàng)醫(yī)療用途的設(shè)備和/或軟件 移動計(jì)算終端：供個人使用的移動計(jì)算技術(shù)產(chǎn)品終端，包括通用（商業(yè)現(xiàn)成）終端和專用（自制醫(yī)用）終端 使用形式：手持式、穿戴式、混合式 補(bǔ)充說明 移動醫(yī)療器械含有醫(yī)療器械軟件（移動App） 植入和侵入醫(yī)療器械如采用移動計(jì)算終端參考使用移動醫(yī)療器械類型 移動醫(yī)療設(shè)備 采用通用或?qū)Ｓ靡苿佑?jì)算終端實(shí)現(xiàn)一項(xiàng)或多項(xiàng)醫(yī)療用途的設(shè)備，即移動App+傳感器 移動獨(dú)立軟件 采用通用移動計(jì)算終端（含外觀改裝）實(shí)現(xiàn)一項(xiàng)或多項(xiàng)醫(yī)療用途的獨(dú)立軟件，即移動App 移動醫(yī)療附件 采用通用或?qū)Ｓ靡苿佑?jì)算終端控制醫(yī)療器械運(yùn)行（即控制型）或與醫(yī)療器械進(jìn)行電子數(shù)據(jù)交換（即數(shù)據(jù)型）的設(shè)備或軟件

13、，即移動App+醫(yī)療器械移動醫(yī)療器械判定原則 基本原則 凡符合醫(yī)療器械定義的移動計(jì)算設(shè)備或軟件屬于移動醫(yī)療器械，必要時申請分類界定 判定要素 預(yù)期用途：健康管理、疾病管理 目標(biāo)人群：健康人群、醫(yī)護(hù)人員、患者 核心功能：健康信息記錄統(tǒng)計(jì)、醫(yī)療器械控制驅(qū)動、醫(yī)療數(shù)據(jù)處理分析監(jiān)測技術(shù)考量 網(wǎng)絡(luò)安全能力 自動清除、加密技術(shù)，需性能驗(yàn)證 顯示屏限制 屏幕尺寸、分辨率、亮度，需性能驗(yàn)證、臨床評價 環(huán)境光影響 環(huán)境光檢測、亮度矯正，需性能驗(yàn)證、臨床評價 電池容量限制 電池續(xù)航能力、剩余電量提示，需性能驗(yàn)證技術(shù)考量 注冊信息用戶確認(rèn) 患者使用（特別是在家庭環(huán)境使用）的移動醫(yī)療器械若有用戶界面應(yīng)具備產(chǎn)品注冊信息

14、用戶確認(rèn)功能 開機(jī)自檢 采用通用終端的移動醫(yī)療器械（特別是移動獨(dú)立軟件）應(yīng)具備運(yùn)行環(huán)境開機(jī)自檢功能 專用終端 若為無線設(shè)備應(yīng)符合無線電管理的相關(guān)規(guī)定 穿戴計(jì)算技術(shù) 除移動計(jì)算技術(shù)風(fēng)險之外還應(yīng)考慮可用性、可靠性云計(jì)算服務(wù) 云計(jì)算服務(wù) 服務(wù)模式：軟件即服務(wù)、平臺即服務(wù)、基礎(chǔ)設(shè)施即服務(wù) 部署模式：私有云、公有云、社區(qū)云、混合云 監(jiān)管原則 云計(jì)算服務(wù)視為現(xiàn)成軟件 云服務(wù)商視為醫(yī)療器械供應(yīng)商 自建云計(jì)算平臺 制造商應(yīng)遵循云服務(wù)商的規(guī)定 申報(bào)資料參照自主開發(fā)獨(dú)立軟件和云計(jì)算服務(wù)的要求云計(jì)算服務(wù)申報(bào)資料 基本信息 云計(jì)算的名稱和配置，云服務(wù)商的名稱、住所和資質(zhì) 技術(shù)要求 服務(wù)與部署模式、核心功能、數(shù)據(jù)接口、網(wǎng)絡(luò)安全能力 風(fēng)險管理 驗(yàn)證與確認(rèn) 維護(hù)計(jì)劃 云計(jì)算服務(wù)協(xié)議 網(wǎng)絡(luò)安全保證、患者數(shù)據(jù)與隱私保護(hù)、數(shù)據(jù)殘留處理移動醫(yī)療設(shè)備申報(bào)要求 參照移動器械指導(dǎo)原則、軟件指導(dǎo)原則、網(wǎng)絡(luò)安全指導(dǎo)原則、等效傳統(tǒng)醫(yī)療器械指導(dǎo)原則（如有） 風(fēng)險管理應(yīng)當(dāng)綜合考慮等效傳統(tǒng)醫(yī)療器械的風(fēng)險以及移動計(jì)算終端的風(fēng)險 產(chǎn)品技術(shù)要求應(yīng)當(dāng)包含等效傳統(tǒng)醫(yī)療器械適用的性能指標(biāo)、移動計(jì)算終端的性能指標(biāo) 臨床評價可選取等效傳統(tǒng)醫(yī)療器械進(jìn)行實(shí)質(zhì)等同對比 說明書應(yīng)當(dāng)明確移動計(jì)算終端的性能指標(biāo)和使用方法 若采用云計(jì)算服務(wù)提交響應(yīng)注冊申報(bào)資料移動獨(dú)立軟件申報(bào)要求 參照移動器