1、.附件医 疗 器 械 网 络 安 全 注 册 技 术 审察 指 导 原 则本指导原则旨在指导注册申请人提交医疗器材网络安全注册申报资料，同时规范医疗器材网络安全的技术审评要求。本指导原则是对医疗器材网络安全的一般性要求，注册申请人应依据医疗器材产品特征提交网络安全注册申报资料， 判断指导原则中的详细内容能否合用， 不合用内容详述原由。 注册申请人也可采纳其余知足法例要求的代替方法， 但应供给详细的研究资料和考证资料。本指导原则是在现行法例和标准系统以及目前认知水平下、并参照了外国法例与指南、 国际标准与技术报告拟订的。 跟着法例和标准的不停完美， 以及认知水平易技术能力的不停提升， 有关内容也2、将合时进行订正。本指导原则是对注册申请人和审评人员的指导性文件， 不包含审评审批所波及的行政事项， 亦不作为法例强迫履行， 应在依据有关法例的前提下使用本指导原则。本指导原则作为 医疗器材软件注册技术审察指导原则的增补，应联合医疗器材软件注册技术审察指导原则的有关要.求使用。 本指导原则是医疗器材网络安全的通用指导原则，波及网络安全的医疗器材产品指导原则可在本指导原则基础长进行有针对性的调整、改正和完美。一、合用范围其余本指导原则合用于拥有网络连结功能以进行电子数据互换或远程控制的第二类、 第三类医疗器材产品的注册申报， 此中网络包含无线、 有线网络，电子数据互换包含单向、 双向数据传输，远程3、控制包含及时、非及时控制。同时，本指导原则也合用于采纳储存媒介以进行电子数据交换的第二类、 第三类医疗器材产品的注册申报， 此中储存媒介包含但不限于光盘、挪动硬盘和 U 盘。二、基来源则跟着网络技术的发展， 愈来愈多的医疗器材具备网络连结功能以进行电子数据互换或远程控制， 在提升医疗服务质量与效率的同时也面对着网络攻击的威迫。 医疗器材网络安全出现问题不单可能会入侵患者隐私， 并且可能会产生医疗器材非预期运转的风险，致使患者或使用者遇到伤害或死亡。 所以，医疗器材网络安所有是医疗器材安全性和有效性的重要构成部分之一。医疗器材网络安所有是指保持医疗器材有关数据的保密性（ confidential4、ity ）、完好性（ integrity ）和可得性1（availability ）1在信息安全领域 availability 译为可用性， 而在医疗器材领域 usability 译为可用性，为防止惹起歧义本指导原则将 availability 译为可得性。.（改自 GB/T 29246-2012信息技术安全技术信息安全管理系统概括和词汇）：1.保密性：指数据不可以被未受权的个人、实体利用或知悉的特征，即医疗器材有关数据仅可由受权用户在受权时间以受权方式进行接见；2.完好性：指保护数据正确和完好的特征，即医疗器材有关数据是正确和完好的，且未被窜改；3.可得性：指依据受权个人、实体的要求可接见和5、使用的特性，即医疗器材有关数据能以预期方式合时进行接见和使用。其余，医疗器材网络安全特征还包含真切性 （ authenticity ）、可核查性（ accountability ）、抗狡辩（ non-repudiation ）和靠谱性（ reliability ）等特征，相应定义详见 GB/T 29246-2012 。注册申请人应该联合医疗器材产品的预期用途、 使用环境和核心功能以及预期相连设施或系统 （如其余医疗器材、 信息技术设施）的状况来确立医疗器材产品的网络安全特征， 并采纳鉴于风险管理的方法来保证医疗器材产品的网络安全：辨别财产（ asset，对个人或组织有价值的任何东西）、威迫（t6、hreat，可能致使对个人或组织产生伤害的非预期事件发生的潜伏原由） 和柔弱性（vulnerability ，可能会被威迫所利用的财产或风险控制措施的短处） ，评估威迫和柔弱性对于医疗器材产品和患者的影响以及被利用的可能性， 确立风险水平并采纳适合的风险控制举措，.鉴于风险接受准则评估节余风险。注册申请人应该在医疗器材产品全生命周期过程中连续关注网络安全问题，包含医疗器材产品的设计开发、生产、分销、部署和保护。 同时，注册申请人应该联合自己质量管理系统的要乞降医疗器材产品特色来保证医疗器材产品的网络安全， 包含上市前和上市后的有关要求， 如风险管理、设计开发、 网络安全保护及用户见告等要求。 7、其余，注册申请人可采纳信息安全领域的优秀工程 2 实践来完美医疗器材产品的网络安全管理，保证医疗器材产品的安全性和有效性。注册申请人应该连续追踪与网络安全有关的国家法律法例（如中华人民共和国网络安全法 ）以及有关部门 （如公安部、国家网信办、卫生计生委、工业和信息化部）的规章，医疗器材的网络安全应该切合相应法律法例和部门规章的要求。医疗器材产品在使用过程中常与非注册申请人预期的设施或系统相连结， 这就使得注册申请人自己难以控制和保证医疗器材产品的网络安全。 所以，医疗器材的网络安全需要注册申请人、用户和信息技术服务商的共同努力和共同努力才能得以保障。 可是这其实不意味着注册申请人能够免去医疗器8、材网络安全的有关责任，注册申请人应该保证医疗器材产品自己的网络安全， 并明确与其预期相连设施或系统的接口要求， 进而保证医疗器材产品2在信息安全领域， IEC 27000 系列标准规范了信息安全管理系统（ ISMS）认证要求，本指导原则不要求制造商进行 ISMS 认证，但建议制造商参照有关标准要求。.的安全性和有效性。医疗器材网络安全防备层级可分为产等级和系统级， 保证举措包含管理举措、 物理举措和技术举措， 本指导原则以医疗器材数据安全为核心主要关注产等级的技术保证举措。鉴于医疗器材网络安全拥有影响要素多、 波及面广、 扩散性强和突发性高等特色， 独自考虑医疗器材产品的软件安全性级别不足以保9、证其网络安全， 所以对于与医疗器材网络安全有关的注册申报资料一致进行要求。三、网络安全考量（一）数据考量医疗器材有关数据从内容上可分为以下两种种类：1.健康数据： 注明生理、 心理健康状况的个人数据 （“ Private Data”，又称个人数据 “ Personal Data”、敏感数据“Sensitive Data”，指可用于人员身份识其余有关信息） ，波及患者隐私信息；2.设施数据：描绘设施运转状况的数据，用于监督、控制设备运转或用于设施的保护养护，自己不波及患者隐私信息。医疗器材有关数据的互换方式可分为以下两种状况：1. 网络：经过网络（包含无线网络、有线网络）进行电子数据互换或远程控10、制， 需要考虑网络有关要求 （如接口、 带宽等），数据传输协议需考虑能否为标准协议 （即业内公认标准所规范的协议），远程控制需考虑能否为及时控制；.2.储存媒介：经过储存媒介（如光盘、挪动硬盘、U 盘等）进行电子数据互换，数据储藏格式需考虑能否为标准格式（即业内公认标准所规范的格式）。注册申请人应该鉴于医疗器材有关数据的种类、功能、用途、互换方式及要求， 并联合医疗器材产品特征考虑其网络安全问题。对于健康数据， 注册申请人应该依据患者隐私保护的有关规定。对于无线设施， 注册申请人应该依据无线电管理的有关规定。（二）技术考量用户接见控制体制应该与医疗器材产品特征相适应，包含但不限于用户身份鉴识方11、法（如用户名、口令等）、用户种类及权限（如系统管理员、一般用户、设施保护人员等） 、口令强度设置、软件更新受权等。医疗器材有关数据在网络传输或数据互换过程中应该保证保密性和完好性， 同时均衡可得性的要求， 特别是拥有远程控制功能的医疗器材。 注册申请人可采纳加密、 数字署名、标准协议、校验等技术来保证医疗器材的网络安全。鉴于预期用途、 使用环境的限制， 医疗器材对于网络安全威迫的探测、响应和恢复能力应该与医疗器材的产品特征相适应。注册申请人可采纳防火墙、 入侵检测和歹意代码防备等技术来保证医疗器材的网络安全。医疗器材网络安全能力建设可参照有关的国际、国家标准.和技术报告，如 IEC/TR 8012、001-2-2 3规范了十九项网络安全能力：自动注销（ ALOF ）、审察控制（ AUDT ）、受权（ AUTH ）、安全特征配置（ CNFS ）、网络安全产品升级（CSUP）、健康数据身份信息去除（ DIDT ）、数据备份与灾害恢复（DTBK ）、紧迫接见（ EMRG ）、健康数据完好性与真切性（IGAU ）、歹意软件探测与防备（MLDP ）、网络节点鉴识 （ NAUT ）、人员鉴识 （ PAUT ）、物理锁（ PLOK ）、第三方组件保护计划（RDMP ）、系统与应用软件硬化（ SAHD ）、安全指导（SGUD ）、健康数据储存保密性（ STCF）、传输保密性（ TXCF ）和传输完好性（13、 TXIG ），注册申请人可依据医疗器材的产品特征考虑其网络安全能力要求的合用性。（三）现成软件考量医疗器材使用现成软件的状况日趋广泛， 特别是系统软件和支持软件。 所以，注册申请人相同需要关注现成软件的网络安全问题，应该依据质量管理系统要求成立网络安全保护流程， 并将医疗器材网络安全信息及时通知用户。对于应用软件， 注册申请人需要要点关注其网络安全问题对医疗器材临床应用的影响。 而对于系统软件和支持软件， 注册申请人需要要点关注其安全补丁更新对医疗器材的影响，安全补丁3 详 见 IEC/TR 80001-2-2:2012Application of risk management for I14、T-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls.更新属于设计更改，需要进行考证与确认，但往常状况下可视为稍微软件更新，除非影响到医疗器材的安全性和有效性。四、网络安全文档（一）基本考量网络安全更新 （包含自主开发软件和现成软件）依据其对医疗器材的影响程度可分为以下两类：1.重要网络安全更新：影响到医疗器材的安全性或有效性的网络安全更新；2.稍15、微网络安全更新：不影响医疗器材的安全性与有效性的网络安全更新，如惯例安全补丁。医疗器材产品发生重要网络安全更新应进行允许事项更改，而发生稍微网络安全更新经过质量管理系统进行控制， 无需进行注册更改，待到下次注册（注册更改和连续注册）时提交相应注册申报资料。 医疗器材同时发生重要和稍微网络安全更新， 依据风险从高原则应进行允许事项更改。波及召回的网络安全更新应依据医疗器材召回的有关法例办理，不属于本指导原则议论范围。软件版本命名规则应试虑网络安全更新的状况。注册申请人在提交注册申报资料时， 应依据医疗器材网络安全的详细状况提交网络安全描绘文档或惯例安全补丁描绘文档。网络安全描绘文档合用于产品注册16、重要网络安全更新，惯例安.全补丁描绘文档合用于稍微网络安全更新。（二）网络安全描绘文档1.基本信息描绘医疗器材产品的有关信息：（ 1）种类：健康数据、设施数据；（ 2）功能：电子数据互换 （单向、 双向）、远程控制（及时、非及时）；（ 3）用途：如临床应用、设施保护等；（ 4）互换方式：网络（无线网络、有线网络）及要求（如传输协议（标准、自定义）、接口、带宽等），储存媒介（如光盘、挪动硬盘、 U 盘等）及要求（如储存格式（标准、自定义） 、容量等）；对于专用无线设施（非通用信息技术设施） ，还应提交切合无线电管理规定的证明资料；（ 5）安全软件：描绘安全软件（如杀毒软件、防火墙等）的名称、型17、号规格、完好版本、供给商、运转环境要求；（ 6）现成软件： 描绘现成软件 （包含应用软件、 系统软件、支持软件）的名称、型号规格、完好版本和供给商。2.风险管理供给医疗器材网络安全风险管理的剖析报告和总结报告，确保所有节余风险均是可接受的。3.考证与确认供给网络安全测试计划和报告，证明医疗器材产品的网络安.全需求（如保密性、完好性、可得性等特征）均已获得知足。同时还应供给网络安全可追忆性剖析报告，即追忆网络安全需求规范、设计规范、测试、风险管理的关系表。对于安全软件，应供给兼容性测试报告。对于标准传输协议或储存格式，应供给标准切合性证明资料，而对于自定义传输协议或储存格式，应供给完好性测试总结18、报告。对于及时远程控制功能，应供给完好性和可得性测试报告。4.保护计划描绘软件（含现成软件）网络安全更新的保护流程，包含更新确认和用户见告。（三）惯例安全补丁描绘文档提交软件（含现成软件）惯例安全补丁的状况说明（补丁描述、影响剖析、用户见告计划）、测试计划与报告、新增已知剩余缺点状况说明（证明新增风险均是可接受的）。五、注册申报资料要求（一）产品注册1.软件研究资料注册申请人应独自提交一份网络安全描绘文档，详细要求详见第四节。2.产品技术要求注册申请人应在产品技术要求性能指标中明确数据接口、用.户接见控制的要求：（ 1）数据接口：传输协议 /储存格式；（ 2）用户接见控制： 用户身份鉴识方法、19、 用户种类及权限。3.说明书说明书应供给对于网络安全的有关说明，明确运转环境 （含硬件配置、软件环境和网络条件）、安全软件（如杀毒软件、防火墙等）、数据与设施（系统）接口、用户接见控制体制、软件环境（含系统软件、支持软件、应用软件）与安全软件更新的相关要求。（二）允许事项更改1.软件研究资料医疗器材允许事项更改应依据网络安全更新状况提交变化部分对产品安全性与有效性影响的研究资料：（ 1）波及重要网络安全更新：独自提交一份网络安全描绘文档，详细要求详见第四节；（ 2）仅发生稍微网络安全更新：独自提交一份惯例安全补丁描绘文档，详细要求详见第四节；（ 3）未发生网络安全更新：出具真切性申明。2.产品20、技术要求如合用，产品技术要求应表现对于网络安全的更改状况。3.说明书如合用，说明书应表现对于网络安全的更改内容。.（三）连续注册如合用，医疗器材连续注册产品剖析报告第 （六）项应独自提交一份惯例安全补丁描绘文档，详细要求详见第四节。六、参照文件（一）中华人民共和国网络安全法 （中华人民共和国主席令第五十三号）（二）国务院办公厅对于促使和规范健康医疗大数据应用发展的指导建议（国办发 201647 号）（三）医疗器材注册管理方法 （国家食品药品监察管理总局令第 4 号）（四）医疗器材说明书和标签管理规定 （国家食品药品监察管理总局令第 6 号）（五）国家食品药品监察管理总局对于宣布医疗器材注册申报21、资料要乞降同意证明文件格式的通告 （国家食品药品看管总局通告 2014 年第 43 号）（六）国家食品药品监察管理总局对于公布医疗器材软件注册技术审察指导原则的通知（国家食品药品看管总局通知2015年第 50 号）（七）医疗器材召回管理方法（试行）（原卫生部令第82 号）.（八）人口健康信息管理方法 （试行）（国卫规划发 201424 号）（九）国家卫生计生委对于推动医疗机构远程医疗服务的建议（国卫医发 2014 51 号）（十） GB/T 20271-2006信息安全技术信息系统通用安全技术要求（十一） GB/T 20984-2007 信息安全技术信息安全风险评估规范（十二） GB/T 2222、080-2016信息技术安全技术信息安全管理系统要求（十三） GB/T 22081-2016信息技术安全技术信息安全管理适用规则（十四） GB/T 29246-2012信息技术安全技术信息安全管理系统概括和词汇（十五） GB/Z 24364-2009信息安全技术信息安全风险管理指南（十六） YY/T 0287-2003 医疗器材质量管理系统用于法例的要求（十七） YY/T 0316-2016 医疗器材风险管理对医疗器材的应用（十八） YY/T 0664-2008医疗器材软件软件生计周期过程.（十九） YY/T1474-2016 医疗器材可用性工程对医疗器械的应用（二十） FDA, Cybers23、ecurity for Networked Medical Devices Containing Off-the-Shelf Software, 2005-1-14（ 二 十 一 ） FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2014-10-2（二十二） FDA, Radio Frequency Wireless Technology24、 in Medical Devices - Guidance for Industry and Food and Drug Administration Staff, 2013-8-14（二十三） FDA, Postmarket Management ofCybersecurity in Medical Devices Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-22（ 二 十 四 ） FDA, Design Considerations and Pre-market Submission25、Recommendations for InteroperableMedical Devices Draft Guidance for Industry and Food and Drug Administration Staff, 2016-1-26（二十五） IEC 60601-1Edition3.1:2012, Medical electrical equipment - Part 1: General requirements for basic safety andessential performance（二十六） IEC 82304-1, Health Software - Pa26、rt 1: General.requirements for product safety（二十七） IEC80001-1:2010, Application of risk managementfor IT-networks incorporating medicaldevices-Part1:Roles,responsibilities and activities（ 二 十 八 ） IEC/TR80001-2-1:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-1: S27、tep-by-step riskmanagement of medical IT-networks -Practical applications and examples（ 二 十 九 ） IEC/TR80001-2-2:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-2: Guidance for the disclosure and communication ofmedicaldevice security needs, risks and controls（ 三 十28、 ） IEC/TR80001-2-3:2012,Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-3: Guidance for wireless networks（ 三 十 一 ） IEC/TR80001-2-4:2012, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part2-4: Applicationguidance -General implementationguidance 29、forhealthcare delivery organizations（ 三 十 二 ） IEC/TR80001-2-5:2014, Applicationofriskmanagement forIT-networksincorporatingmedicaldevices - Part.2-5: Application guidance - Guidance on distributed alarm systems（ 三 十 三 ） ISO/TR 80001-2-6:2014, Application of risk management for IT-networks incorporat30、ing medical devices -Part2-6: Application guidance - Guidance for responsibility agreements（ 三 十 四 ） ISO/TR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations (HDOs) on how to se31、lf-assess their conformance withIEC 80001-1（ 三 十 五 ） IEC/TR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2（三十六） IEC/TR 8000132、-2-9, Application of risk management for IT-networks incorporating medical devices - Part 2-9:Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities （三十七） ISO/DIS 27799Health informatics - Informationsecurity management33、 in health using ISO/IEC 27002（ 三 十 八 ） HIMSS/NEMA HN 1-2013, Manufacturer Disclosure Statement for Medical Device Security.（ 三 十 九 ） NEMA/MITACSP 1-2016,CybersecurityforMedical Imaging（四十） IMDRF/SaMD WG/N12FINAL:2014, Software as a Medical Device (SaMD): Possible Framework for Risk Categorization and Corresponding Considerations, 2014-9-18