相比于通用的ISO27001信息安全管理體系��,醫(yī)療器械行業(yè)有其自身的有關醫(yī)療器械網絡安全的指導文件����。2020年9月8日��,藥監(jiān)總局發(fā)布關于公開征求《醫(yī)療器械網絡安全技術審查指導原則(第二版)征求意見稿》意見的通知�,詳見正文���。
引言:相比于通用的ISO27001信息安全管理體系�,醫(yī)療器械行業(yè)有其自身的有關醫(yī)療器械網絡安全的指導文件�����。2020年9月8日,藥監(jiān)總局發(fā)布關于公開征求《醫(yī)療器械網絡安全技術審查指導原則(第二版)征求意見稿》意見的通知��,詳見正文�����。
醫(yī)療器械網絡安全技術審查指導原則
(第二版)
本指導原則旨在指導注冊人規(guī)范醫(yī)療器械網絡安全生存周期過程和準備醫(yī)療器械網絡安全注冊申報資料��,同時規(guī)范醫(yī)療器械網絡安全的技術審評要求��,為醫(yī)療器械軟件和質量管理軟件的體系核查提供參考���。
本指導原則是對醫(yī)療器械網絡安全的一般性要求��,注冊人應根據醫(yī)療器械產品特性提交網絡安全注冊申報資料����,判斷指導原則中的具體內容是否適用���,不適用內容詳述理由���。注冊人也可采用其他滿足法規(guī)要求的替代方法,但應提供詳盡的研究資料�。
本指導原則基于當前認知水平和技術能力�,在現行法規(guī)體系下參考國外法規(guī)與指南��、國際標準與技術報告予以制定�����。隨著認知水平和技術能力的不斷提高以及法規(guī)體系的不斷完善����,相關內容也將適時修訂。
本指導原則作為注冊人����、審評人員和檢查人員的指導性文件,不包括審評審批所涉及的行政事項��,亦不作為法規(guī)強制執(zhí)行�,應在符合法規(guī)要求的前提下使用本指導原則。
本指導原則作為《醫(yī)療器械軟件技術審查指導原則》(以下簡稱軟件指導原則)的補充����,應結合軟件指導原則相關要求使用����。本指導原則是醫(yī)療器械網絡安全的通用指導原則��,其他涉及網絡安全的醫(yī)療器械產品指導原則可在本指導原則基礎上進行有針對性的調整���、修改和完善。
一�、適用范圍
本指導原則適用于醫(yī)療器械網絡安全的注冊申報,包括具備電子數據交換�����、遠程控制或用戶訪問功能的第二��、三類獨立軟件和含有軟件組件的醫(yī)療器械����。
其中,網絡包括無線��、有線網絡�����,電子數據交換包括基于網絡��、存儲媒介的單向�����、雙向數據傳輸,遠程控制包括基于網絡的實時����、非實時控制,用戶訪問包括基于軟件用戶界面(含獨立軟件���、軟件組件)���、電子接口(含網絡接口、電子數據交換接口)的人機交互方式��。
二��、網絡安全基礎
(一)網絡安全基本概念
1.醫(yī)療器械網絡安全
醫(yī)療器械網絡安全是指保護醫(yī)療器械產品自身和相關數據不受未授權活動影響的狀態(tài)����,其保密性(Confidentiality)、完整性(Integrity)��、可得性(Availability)[1]相關風險在全生命周期均處于可接受水平��。
其中,保密性是指信息不被未授權實體(含個人�����、組織)獲得或知悉的特性�����,即醫(yī)療器械產品自身和相關數據僅可由授權用戶在授權時間以授權方式進行訪問和使用����。完整性是指信息的創(chuàng)建��、傳輸�、存儲、顯示未以非授權方式進行更改(含刪除����、添加)的特性,即醫(yī)療器械相關數據是準確和完整的�����,且未被篡改�����。可得性是指信息可根據授權實體要求進行訪問和使用的特性�����,即醫(yī)療器械產品自身和相關數據能以預期方式適時進行訪問和使用���。
除保密性�����、完整性�、可得性三個基本特性外���,醫(yī)療器械網絡安全還包括真實性(Authenticity)�����、抗抵賴性(Non-Repudiation)���、可核查性(Accountability)、可靠性(Reliability)等特性��。其中,真實性是指實體符合其所聲稱的特性��,抗抵賴性是指實體可證明所聲稱事件或活動的發(fā)生及其發(fā)起實體的特性��,可核查性是指實體的活動及結果可被追溯的特性�����,可靠性是指實體的活動及結果與預期保持一致的特性��。
保密性��、完整性����、可得性等網絡安全特性是相互制約的關系���,某一特性的能力提升會使得另一特性或多個特性的能力下降���,例如可得性的提升通常會降低保密性和完整性,因此需要基于產品特性進行平衡兼顧���。注冊人應結合醫(yī)療器械的預期用途��、使用場景�����、核心功能進行綜合考量����,從而確定醫(yī)療器械網絡安全特性的具體要求。
此外�����,盡管信息安全��、網絡安全��、數據安全的定義和范圍各有側重�����,既有聯(lián)系又有區(qū)別�����,不盡相同�,但是本指導原則從醫(yī)療器械軟件角度出發(fā)不做嚴格區(qū)分�����,統(tǒng)一采用網絡安全進行描述����,即從網絡安全角度綜合考慮醫(yī)療器械的信息安全和數據安全�����。
2.醫(yī)療器械相關數據
醫(yī)療器械相關數據可分為醫(yī)療數據和設備數據�。
(1)醫(yī)療數據是指醫(yī)療器械所使用的�、產生的與醫(yī)療活動相關的數據(含日志),從個人信息保護角度又可分為敏感醫(yī)療數據��、非敏感醫(yī)療數據��,其中敏感醫(yī)療數據是指含有個人信息的醫(yī)療數據��,反之即為非敏感醫(yī)療數據���。個人信息是指能夠單獨或與其他信息結合識別特定自然人個人身份的各種信息���,如自然人的姓名���、出生日期、身份證件號碼���、個人生物識別信息(含容貌信息)����、住址�、電話號碼等。敏感醫(yī)療數據屬于健康數據���,健康數據是指標明生理���、心理健康狀況的私人數據,涵蓋醫(yī)療領域��、健康領域�。
(2)設備數據是指描述醫(yī)療器械運行狀況的數據,用于監(jiān)視���、控制醫(yī)療器械運行或用于醫(yī)療器械的維護維修����,不應含有個人信息。
注冊人應基于醫(yī)療器械相關數據的類型����、功能、用途��,結合網絡安全特性考慮醫(yī)療器械數據安全要求��。同時��,保證敏感醫(yī)療數據所含個人信息免于泄露����、濫用和篡改,以及醫(yī)療數據和設備數據的有效隔離�����。
3.電子接口
醫(yī)療器械電子接口包括網絡接口�����、電子數據交換接口��。
(1)網絡接口:是指醫(yī)療器械通過網絡進行電子數據交換或遠程控制����,此時需考慮網絡的技術特征要求,包括但不限于網絡形式(有線����、無線)、物理接口(如電口���、光口)���、數據接口(標準協(xié)議、私有協(xié)議)�、遠程控制方式(實時、非實時)���、性能指標(如端口���、傳輸速率、帶寬)等����。無線網絡包括Wi-Fi(IEEE 802.11)、藍牙(IEEE 802.15)、無線電�����、射頻�、紅外等形式,醫(yī)用無線專用設備(即未采用通用無線通信技術的醫(yī)療器械)應符合中國無線電管理相關規(guī)定�。標準協(xié)議即業(yè)內公認標準所規(guī)范的數據傳輸協(xié)議,需考慮定制化功能的兼容性問題�。遠程控制包括系統(tǒng)軟件所提供的運程桌面功能。
(2)電子數據交換接口:是指醫(yī)療器械通過非網絡接口的其他電子接口(如串口��、并口�����、USB口����、視頻接口、音頻接口)或存儲媒介(如光盤��、移動硬盤�、U盤)進行電子數據交換����。
其他電子接口可參照網絡接口明確其技術特征要求�。數據存儲的技術特征要求包括但不限于存儲媒介形式����、文件儲存格式(標準格式、私有格式)�����、數據壓縮方式(有損���、無損)�、性能指標(如傳輸速率�����、容量)等��。標準格式即業(yè)內公認標準所規(guī)范的文件存儲格式���,需考慮文件格式完整性問題��。
注冊人應結合醫(yī)療器械電子接口(含內部接口�����、外部接口)的類型�����、方式���、技術特征����,基于網絡安全特性考慮其網絡安全的具體要求��。
(二)網絡安全能力
根據醫(yī)療器械網絡安全相關標準和技術報告的定義�����,本指導原則所述醫(yī)療器械網絡安全能力包括:
1.自動注銷:產品在使用閑置期間阻止非授權用戶訪問和使用的能力����。
2.審核:產品提供用戶活動可被審核的能力。
3.授權:產品確定用戶已獲授權的能力����。
4.網絡安全特征配置:產品根據用戶需求配置網絡安全特征的能力。
5.網絡安全補丁升級:授權用戶或服務人員安裝/升級網絡安全補丁的能力����。
6.數據去標識化:產品直接去除或匿名化數據所含個人信息的能力。
7.數據備份與災難恢復:產品的數據�、硬件或軟件受到損壞或破壞后恢復的能力。
8.緊急訪問:產品在預期緊急情況下允許用戶訪問和使用的能力��。
9.數據完整性與真實性:產品確保數據未以非授權方式更改且來自創(chuàng)建者或提供者的能力���。
10.惡意軟件探測與防護:產品有效探測�、阻止惡意軟件的能力����。
11.節(jié)點鑒別:產品鑒別網絡節(jié)點的能力。
12.人員鑒別:產品鑒別授權用戶的能力��。
13.物理防護:產品提供防止非授權用戶訪問和使用的物理防護措施的能力�。
14.現成軟件維護:產品在全生命周期中對現成軟件提供網絡安全維護的能力。
15.系統(tǒng)固化:產品通過固化措施對網絡攻擊和惡意軟件的抵御能力�����。
16.網絡安全指導:產品為用戶提供網絡安全指導的能力�����。
17.存儲保密性與完整性:產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力。
18.傳輸保密性與完整性:產品確保數據傳輸保密性和完整性的能力��。
19.遠程訪問與控制:產品確保用戶遠程訪問與控制的網絡安全的能力�����。
20.抗拒絕服務攻擊:產品具有抗拒絕服務攻擊的能力���。
注冊人應根據醫(yī)療器械的產品特性分析上述網絡安全能力的適用性����。若適用���,明確網絡安全能力的實現方式����,并根據產品風險水平明確網絡安全能力的強弱程度���,例如:用戶訪問控制可采用用戶名和口令方式����,其中口令強度可采用不同設置或采用動態(tài)口令,亦可采用生物識別技術����,一般情況下醫(yī)療器械的風險水平越高則其用戶訪問控制要求越嚴格�。反之,明確不適用理由并予以記錄�。
(三)網絡安全事件應急響應
醫(yī)療器械設計開發(fā)只能針對已知網絡安全漏洞采取相應風險控制措施,上市后仍會面臨潛在未知的網絡安全漏洞引發(fā)的網絡安全事件的威脅�����,可能造成醫(yī)療器械無法訪問和使用��、醫(yī)療數據發(fā)生泄露或遭到篡改�,進而可能導致患者受到傷害或死亡以及隱私被侵犯。同時���,醫(yī)療器械網絡安全事件具有影響因素多���、涉及面廣、擴散性強和突發(fā)性高等特點��,對于醫(yī)療器械上市后監(jiān)測要求相對較高���。因此�,注冊人應基于相關標準和技術報告建立網絡安全事件應急響應機制,保證醫(yī)療器械的安全有效性并保護患者隱私���。
注冊人應制定網絡安全事件應急響應預案��,涵蓋現成軟件要求�����,明確計劃與準備�����、探測與報告����、評估與決策���、應急響應實施���、總結與改進等階段的任務和要求。建立網絡安全事件應急響應團隊��,根據工作職能形成管理、規(guī)劃��、監(jiān)測����、響應、實施����、分析等工作小組����,必要時可邀請外部網絡安全專家成立專家小組。
注冊人應根據網絡安全事件的嚴重程度�、緊迫程度、廣泛程度等因素進行分類分級管理���,結合風險管理開展應急響應措施的驗證工作并予以記錄��,在事件發(fā)生期間及時告知用戶應對措施����。造成嚴重后果或影響的事件應向藥監(jiān)部門報告�����,適用時按照醫(yī)療器械不良事件、召回相關法規(guī)要求處理�,必要時向國家網絡安全主管部門報告。
(四)網絡安全更新
1.基本概念
醫(yī)療器械網絡安全更新從內容上可分為功能更新�、補丁更新,類似于增強類軟件更新�、糾正類軟件更新。根據其對醫(yī)療器械的影響程度可分為以下兩類:
(1)重大網絡安全更新:影響到醫(yī)療器械的安全性或有效性的網絡安全更新��,即重大網絡安全功能更新����,應申請許可事項變更。
(2)輕微網絡安全更新:不影響醫(yī)療器械的安全性與有效性的網絡安全更新�,包括輕微網絡安全功能更新、網絡安全補丁更新��。輕微網絡安全更新通過質量管理體系進行控制�,無需申請許可事項變更,待下次許可事項變更時提交相應注冊申報資料�。考慮到網絡安全更新亦具有累積效應��,注冊申報資料應涵蓋自前次注冊以來的全部網絡安全更新內容。
此外�����,涉及召回的網絡安全更新均屬于重大網絡安全更新���,按照醫(yī)療器械召回相關法規(guī)要求處理���。
網絡安全更新同樣遵循風險從高原則,即同時發(fā)生重大和輕微網絡安全更新按重大網絡安全更新處理����。同時��,軟件版本命名規(guī)則應涵蓋網絡安全更新情況�����,區(qū)分重大和輕微網絡安全更新���。
2.重大網絡安全更新
網絡安全功能更新若影響到醫(yī)療器械的預期用途��、使用場景或核心功能原則上均屬于重大網絡安全更新��,包括但不限于:產品所處網絡環(huán)境發(fā)生改變����,如由封閉網絡環(huán)境變?yōu)殚_放網絡環(huán)境、局域網變?yōu)閺V域網�、有線網絡變?yōu)闊o線網絡;電子接口發(fā)生改變�,如接口形式由網口變?yōu)閁SB口、接口數量由少變多�����、接口功能由電子數據交換擴至遠程控制等����。
除非影響到醫(yī)療器械的安全性或有效性,以下網絡安全功能更新和網絡安全補丁更新一般視為輕微網絡安全更新:網絡環(huán)境���、電子接口的數據傳輸效率單純提高�����,電子接口原有功能單純優(yōu)化��;醫(yī)療器械軟件�、必備軟件(醫(yī)療器械軟件正常運行所必需的其他醫(yī)療器械軟件、醫(yī)用中間件)����、外部軟件環(huán)境(醫(yī)療器械軟件正常運行所必需的系統(tǒng)軟件、通用應用軟件���、通用中間件����、支持軟件)的網絡安全補丁更新���。
三���、基本原則
(一)網絡安全定位
隨著網絡技術的發(fā)展,越來越多的醫(yī)療器械具備網絡連接功能以進行電子數據交換或遠程控制��,在提高醫(yī)療服務質量與效率的同時也面臨著網絡攻擊的威脅��。醫(yī)療器械網絡安全出現問題不僅可能會侵犯患者隱私�,而且可能會產生醫(yī)療器械非預期運行的風險�,導致患者或用戶受到傷害或死亡���。因此,醫(yī)療器械網絡安全是醫(yī)療器械安全性和有效性的重要組成部分之一�����。
信息共享是保障醫(yī)療器械網絡安全的基本原則�����。及時獲得網絡安全漏洞�、事件等相關信息有助于識別、評估和應對網絡安全風險����,保證醫(yī)療器械的安全有效性以及醫(yī)療活動的業(yè)務持續(xù)性,因此��,鼓勵所有利益相關方在醫(yī)療器械全生命周期中主動積極共享網絡安全相關信息����。注冊人應充分利用網絡安全漏洞披露機制加強醫(yī)療器械網絡安全的設計開發(fā)和上市后監(jiān)測,基于國家互聯(lián)網應急中心(CNCERT/CC)���、國家信息安全漏洞共享平臺(CNVD)披露的漏洞信息定期開展網絡安全風險管理工作���。
醫(yī)療器械網絡安全需要注冊人����、用戶(含醫(yī)療機構�、個人)、信息技術服務商等利益相關者的共同努力和通力合作方能得以保障���。雖然醫(yī)療器械在使用過程中常與非預期的設備或系統(tǒng)相連���,使得注冊人在保證醫(yī)療器械網絡安全方面存在諸多困難,但這不意味注冊人可以免除醫(yī)療器械網絡安全相關責任�����。注冊人應保證醫(yī)療器械產品自身的網絡安全����,明確預期的網絡環(huán)境和電子接口要求,持續(xù)監(jiān)測��、評估�、應對�、分享網絡安全相關風險,與其他利益相關者密切合作�,從而保證醫(yī)療器械的安全有效性����。
醫(yī)療器械網絡安全也是網絡安全國家戰(zhàn)略的重要組成部分之一�,因此醫(yī)療器械網絡安全亦應符合網絡安全相關法律法規(guī)和部門規(guī)章的要求。注冊人應持續(xù)跟蹤相關法律法規(guī)和部門規(guī)章的制修訂情況�,并滿足相應適用要求。
(二)風險導向
綜合考慮行業(yè)發(fā)展水平和風險分級管理導向���,醫(yī)療器械網絡安全的風險級別不同�,其生命周期質控要求和注冊申報資料要求亦不同����。
雖然網絡安全風險與軟件風險存在差異,但是網絡安全風險作為軟件風險的重要組成部分�����,其風險級別一般情況下可參照軟件安全性級別�����,即醫(yī)療器械網絡安全的風險級別與所屬醫(yī)療器械軟件的安全性級別相同����。在特殊情況下�����,網絡安全的風險級別可低于軟件風險級別�,此時應詳述理由并按新軟件安全性級別提交相應注冊申報資料��。
醫(yī)療器械網絡安全風險同樣應結合醫(yī)療器械的預期用途�、使用場景、核心功能進行綜合判定����,特別是使用場景。不同使用場景的網絡環(huán)境不同�,甚至存在巨大差異,對于醫(yī)療器械網絡安全的影響亦不同���,因此對于適用于多個使用場景的醫(yī)療器械����,注冊人應保證醫(yī)療器械在每個使用場景的網絡安全���。
醫(yī)療器械網絡安全風險管理活動通常包括:識別資產(Asset���,對個人或組織有價值的物理和數字實體)、威脅(Threat�,可能導致對個人或組織產生損害的非預期事件發(fā)生的潛在原因)和脆弱性(Vulnerability,可能會被威脅所利用的資產或風險控制措施的弱點)�����,評估威脅和脆弱性對于醫(yī)療器械和患者的影響以及被利用的可能性���,確定風險水平并采取充分��、有效���、適宜的風險控制措施,基于風險接受準則評估剩余風險��。注冊人可結合醫(yī)療器械風險管理和網絡安全風險管理相關標準和技術報告的要求����,開展醫(yī)療器械網絡安全風險管理工作。
(三)全生命周期管理
與軟件類似����,醫(yī)療器械注冊人應在醫(yī)療器械全生命周期中持續(xù)關注網絡安全問題,包括但不限于設計開發(fā)���、生產�����、分銷�����、部署��、更新維護����、上市后監(jiān)測等。
醫(yī)療器械上市前應結合質量管理體系要求和醫(yī)療器械產品特性開展網絡安全質控工作��,保證醫(yī)療器械的安全有效性����;上市后根據網絡安全更新情況開展更新請求評估、驗證與確認����、風險管理、用戶告知等活動,持續(xù)保證醫(yī)療器械的安全有效性����。同時,建立網絡安全事件應急響應過程�,定期開展醫(yī)療器械網絡安全漏洞風險評估工作��,及時將網絡安全相關信息以及應對措施告知用戶��。此外����,可采用信息安全領域的良好工程實踐[2]來完善醫(yī)療器械網絡安全管理工作,以保證醫(yī)療器械的安全有效性��。
四��、網絡安全生存周期過程
網絡安全生存周期過程作為軟件生存周期過程的重要組成部分���,應在醫(yī)療器械軟件生存周期過程考慮醫(yī)療器械網絡安全的質控要求�,具體要求詳見軟件指導原則第六章以及《醫(yī)療器械生產質量管理規(guī)范附錄獨立軟件》����、《醫(yī)療器械生產質量管理規(guī)范獨立軟件現場檢查指導原則》。
注冊人可參考信息安全領域相關標準、技術報告�����,完善網絡安全生存周期過程質控要求�����。
五��、技術考量
(一)現成軟件
現成軟件同樣存在網絡安全問題����,注冊人應根據質量管理體系要求建立現成軟件網絡安全更新維護過程,及時將現成軟件網絡安全相關信息以及應對措施告知用戶���。
同時��,根據現成軟件與醫(yī)療器械軟件的關系類型開展相應網絡安全質控工作�。對于現成軟件組件����,即作為醫(yī)療器械軟件組成部分的現成軟件,重點關注其網絡安全問題對醫(yī)療器械使用效果的影響��。對于外部軟件環(huán)境,即作為醫(yī)療器械軟件運行環(huán)境組成部分的現成軟件��,重點關注其網絡安全補丁對醫(yī)療器械安全有效性的影響�����;需要說明的是�,網絡安全補丁屬于設計變更,需要進行驗證����、確認���。
(二)醫(yī)療數據出境
根據《中華人民共和國網絡安全法》相關規(guī)定���,在中國境內收集和產生的個人信息和重要數據應當在中國境內存儲,因業(yè)務需要確需向境外提供的�,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估?!度丝诮】敌畔⒐芾磙k法(試行)》亦規(guī)定,不得將人口健康信息在境外的服務器中存儲���,不得托管����、租賃在境外的服務器。
醫(yī)療數據屬于重要數據�����,特別是敏感醫(yī)療數據含有個人信息�,因此醫(yī)療數據出境應符合個人信息、重要數據出境安全評估辦法的相關規(guī)定��。
(三)遠程維護
具有遠程維護功能的醫(yī)療器械可以訪問和使用設備數據��,本身雖不涉及醫(yī)療數據�,但若未能實現設備數據和醫(yī)療數據的有效隔離,則存在醫(yī)療數據未授權訪問和使用以及被篡改的可能性�。同時,遠程維護所用電子接口也面臨網絡攻擊的威脅����,可能會影響醫(yī)療器械正常運行,導致患者受到傷害或死亡以及隱私被侵犯���。此外�����,醫(yī)療器械在遠程維護過程中若無人值守�,則可能存在醫(yī)療器械非授權訪問和使用的風險。
因此��,注冊人應明確遠程維護的實現方法���、所用電子接口情況�、設備數據所含內容���、設備數據與醫(yī)療數據的隔離方法�、維護過程網絡安全保證措施等技術特征���,并提供相應研究資料和風險管理資料。
(四)陳舊設備
本指導原則所述陳舊設備是指不能通過補丁更新���、補償控制等合理風險控制措施抵御當前網絡安全威脅的醫(yī)療器械�����。陳舊設備由于無法應對當前網絡安全威脅����,導致產品綜合剩余風險無法降至可接受水平,降低醫(yī)療器械的安全有效性���,因此應盡快停運退市��。
醫(yī)療器械實際使用情況極為復雜��,一般情況下可結合醫(yī)療器械停售����、停止售后服務兩個時間點判定其是否屬于陳舊設備:在售的醫(yī)療器械均非陳舊設備����;停售但未停止售后服務的醫(yī)療器械,若無法通過合理風險控制措施抵御當前網絡安全威脅則為陳舊設備���,反之不屬于陳舊設備�;停止售后服務的醫(yī)療器械均為陳舊設備�����。
對于陳舊設備�,注冊人應按照質量管理體系關于軟件停運/軟件退市的要求開展相應工作,詳見《醫(yī)療器械生產質量管理規(guī)范附錄獨立軟件》����。
對于注冊證失效但尚未停止售后服務���、注冊證有效但已停售的醫(yī)療器械,注冊人應根據質量管理體系要求向現有用戶提供必要的網絡安全相關信息以及應對措施��,以保證醫(yī)療器械的網絡安全�����。若無法保證醫(yī)療器械的網絡安全����,按陳舊設備處理。
對于注冊證有效且在售的醫(yī)療器械�����,若無法通過合理風險控制措施抵御當前網絡安全威脅���,則注冊人應根據質量管理體系要求制定相應風險控制措施,并申請許可事項變更�����。
六、網絡安全研究資料
(一)自研軟件網絡安全研究報告
自研軟件網絡安全研究報告適用于自研軟件的初次發(fā)布和再次發(fā)布����,內容包括基本信息、實現過程���、漏洞評估�����、結論��,詳盡程度取決于軟件安全性級別�����,每項條款的具體要求若不適用應說明理由����,詳見表1���。
1. 基本信息
(1)軟件信息
明確申報醫(yī)療器械軟件的名稱��、型號規(guī)格��、發(fā)布版本以及軟件安全性級別�����。
若網絡安全的風險級別低于軟件風險級別�,詳述理由并按新軟件安全性級別提交相應注冊申報資料。
(2)數據架構
提供申報醫(yī)療器械在每個使用場景(含遠程維護)下的網絡環(huán)境和數據流圖��,并依據圖示描述醫(yī)療器械相關數據和電子接口的基本情況���。
數據情況明確醫(yī)療器械相關數據的類型(敏感與非敏感醫(yī)療數據��、設備數據)�����,并依據數據類型明確每類數據的具體內容(如個人信息����、醫(yī)療活動信息�、設備運行信息)�����、功能(如單向、雙向電子數據交換����,實時、非實時遠程控制)�、用途(如醫(yī)療活動、設備維護)等���。
電子接口情況逐項說明每個網口接口���、電子數據交換接口的預期用戶、使用場景����、預期用途、數據類型����、技術特征、使用限制��,其中技術特征要求詳見第二章����。
(3)網絡安全能力
基于第二章所述20項網絡安全能力�,逐項分析申報醫(yī)療器械對于該項網絡安全能力的適用性��,若適用詳述網絡安全能力的實現方法���,反之說明不適用的理由����。
(4)網絡安全補丁
提供申報醫(yī)療器械的網絡安全補丁列表���,明確網絡安全補丁的名稱����、完整版本�����、發(fā)布日期����。
(5)安全軟件
描述申報醫(yī)療器械兼容或所用的安全軟件(如殺毒軟件、防火墻等)的名稱����、型號規(guī)格、完整版本���、供應商��、運行環(huán)境���、防護規(guī)則配置要求。
2. 實現過程
(1)風險管理
提供申報醫(yī)療器械網絡安全(含遠程維護)的風險分析報告���、風險管理報告�����,另附原文��。亦可提供醫(yī)療器械軟件的風險管理文檔�����,但需注明網絡安全情況�。
(2)需求規(guī)范
提供申報醫(yī)療器械的網絡安全(含遠程維護)需求規(guī)范文檔�,另附原文����。亦可提供醫(yī)療器械軟件的需求規(guī)范文檔��,但需注明網絡安全情況���。
(3)驗證與確認
提供申報醫(yī)療器械的網絡安全(含遠程維護)測試計劃和報告���,另附原文。亦可提供醫(yī)療器械軟件的系統(tǒng)測試計劃和報告�,但需注明網絡安全情況。
對于安全軟件�,提供兼容性測試報告。對于標準傳輸協(xié)議或存儲格式�,出具真實性聲明即可;對于私有傳輸協(xié)議或存儲格式����,提供完整性測試總結報告。對于實時遠程控制功能���,提供完整性和可得性測試報告�����。對于醫(yī)用無線專用設備��,提供符合無線電管理相關規(guī)定的證明材料����。
(4)可追溯性分析
提供申報醫(yī)療器械的網絡安全(含遠程維護)可追溯性分析報告����,即追溯網絡安全能力、網絡安全需求規(guī)范���、網絡安全設計規(guī)范��、網絡安全測試報告�����、網絡安全風險分析報告的關系表����。
(5)更新維護計劃
輕微級別:提供申報醫(yī)療器械網絡安全更新的流程圖����,并依據圖示描述相關活動��。
中等����、嚴重級別:在輕微級別的基礎上����,提供網絡安全事件應急響應的流程圖,并依據圖示描述相關活動���;或者提供網絡安全事件應急響應預案文檔��。
若適用�����,全部級別均應提供遠程維護的流程圖����,并依據圖示描述相關活動�����。
3. 漏洞評估
輕微級別:按照通用漏洞評分系統(tǒng)(CVSS)所定義的漏洞等級�,明確已知漏洞總數和已知剩余漏洞數���。
中等級別:提供網絡安全漏洞自評報告,按照CVSS漏洞等級明確已知漏洞總數和已知剩余漏洞數��,列明已知剩余漏洞的內容�、影響、風險����,確保風險均可接受��?;蛱峁┑谌骄W絡安全漏洞評估報告。
嚴重級別:提供境內第三方網絡安全評估機構出具的網絡安全漏洞評估報告�����,以及已知剩余漏洞的維護方案���。
4. 結論
概述申報醫(yī)療器械的網絡安全實現過程的規(guī)范性和網絡安全漏洞評估結果����,判定申報醫(yī)療器械的網絡安全是否滿足要求���。
表1:自研軟件網絡安全研究報告框架
條款 | 輕微 | 中等 | 嚴重 |
基本信息 | 軟件信息 | 明確軟件的基本情況和安全性級別 |
數據架構 | 提供每個使用場景的網絡環(huán)境和數據流圖���,描述醫(yī)療器械相關數據和電子接口的基本情況 |
網絡安全能力 | 逐項分析20項網絡安全能力的適用情況 |
網絡安全補丁 | 列明網絡安全補丁的基本情況 |
安全軟件 | 明確安全軟件的基本情況 |
實現過程 | 風險管理 | 提供網絡安全的風險分析報告���、風險管理報告 |
需求規(guī)范 | 提供網絡安全需求規(guī)范文檔 |
驗證與確認 | 提供網絡安全的測試計劃和報告 |
可追溯性分析 | 提供網絡安全可追溯性分析報告 |
更新維護計劃 | 提供網絡安全更新、遠程維護的流程圖及活動描述 | 提供網絡安全更新���、網絡安全事件應急響應�、遠程維護的流程圖及活動描述 |
漏洞評估 | 按照漏洞等級明確已知漏洞總數和剩余漏洞數�����。 | 提供網絡安全漏洞自評報告或第三方網絡安全漏洞評估報告�����,按照漏洞等級明確已知漏洞總數和剩余漏洞情況 | 提供境內第三方網絡安全評估機構出具的網絡安全漏洞評估報告��,以及已知剩余漏洞的維護方案�����。 |
結論 | 概述網絡安全實現過程的規(guī)范性和網絡安全漏洞評估結果,判定網絡安全是否滿足要求 |
(二)自研軟件網絡安全更新研究報告
自研軟件網絡安全更新研究報告適用于自研軟件的再次發(fā)布����,包括網絡安全功能更新、網絡安全補丁更新研究報告���。
網絡安全功能更新研究報告適用于重大��、輕微網絡安全功能更新����,或合并網絡安全補丁更新�����,內容詳見表2�,不再贅述���。
網絡安全補丁更新研究報告僅適用于醫(yī)療器械軟件�����、必備軟件���、外部軟件環(huán)境的網絡安全補丁更新��。其內容包括軟件信息����、網絡安全補丁����、風險管理、驗證與確認�����、可追溯性分析����、更新維護計劃、漏洞評估�、結論,具體要求詳見表2相應說明����。
表2:自研軟件網絡安全功能更新研究報告框架
條款 | 輕微 | 中等 | 嚴重 |
基本信息 | 軟件信息 | 明確申報版本軟件情況,詳述變化��。 |
數據架構 | 明確申報版本軟件情況,詳述變化��。 |
網絡安全能力 | 明確申報版本軟件情況��,詳述變化��。 |
網絡安全補丁 | 列明網絡安全更新部分的補丁情況 |
安全軟件 | 明確申報版本軟件情況��,詳述變化���。 |
實現過程 | 風險管理 | 提供網絡安全更新部分的風險分析報告�、風險管理報告 |
需求規(guī)范 | 提供網絡安全更新部分需求規(guī)范文檔 |
驗證與確認 | 提供網絡安全更新部分的測試計劃和報告 |
可追溯性分析 | 提供網絡安全更新部分的可追溯性分析報告 |
更新維護計劃 | 提供用戶告知計劃 | 提供用戶告知計劃��、網絡安全事件應急響應總結報告 |
漏洞評估 | 明確申報版本軟件已知漏洞總數和剩余漏洞數 | 提供申報版本軟件的網絡安全自評報告�,明確已知漏洞總數和剩余漏洞情況 | 提供申報版本軟件的境內第三方網絡安全評估機構出具的網絡安全漏洞評估報告 |
結論 | 概述網絡安全更新實現過程的規(guī)范性和網絡安全漏洞評估結果,判定網絡安全更新是否滿足要求 |
(三)現成軟件網絡安全研究資料
1.現成軟件組件網絡安全研究資料
(1)部分使用方式
對于部分使用方式��,無需單獨提交網絡安全研究報告����,基于醫(yī)療器械軟件的安全性級別�,在自研軟件網絡安全研究報告適用條款中說明現成軟件的情況。
適用條款包括軟件信息����、數據架構����、網絡安全能力�、網絡安全補丁、風險管理���、需求規(guī)范���、驗證與確認、可追溯性分析����、更新維護計劃、漏洞評估�、結論。
此時若現成軟件發(fā)生網絡安全更新�����,功能更新在自研軟件網絡安全功能更新研究報告的基礎上����,說明現成軟件的變化情況�,不適用條款說明理由����;補丁更新要求與自研軟件相同。
(2)全部使用方式
對于全部使用方式����,需要單獨提交現成軟件組件網絡安全研究報告,其內容與自研軟件研究報告相同���,但需基于現成軟件(此時即醫(yī)療器械軟件)的安全性級別予以說明�����。
此時若現成軟件發(fā)生網絡安全更新�,功能更新在現成軟件組件網絡安全功能更新研究報告的基礎上��,說明現成軟件的變化情況���,不適用條款說明理由���;補丁更新要求與自研軟件相同。
2.外部軟件環(huán)境網絡安全評估資料
外部軟件環(huán)境網絡安全評估作為外部軟件環(huán)境評估的重要組成部分�����,其網絡安全及其更新的研究資料要求與外部軟件環(huán)境評估報告相同�,具體要求詳見軟件指導原則第八章。
七�����、注冊申報資料說明[3]
(一)產品注冊
1.軟件研究資料
注冊人應在軟件研究資料中提交自研軟件網絡安全研究報告�、外部軟件環(huán)境評估報告。
若使用現成軟件組件���,根據其使用方式提交相應研究資料�。相關研究資料的具體要求詳見第六章����。
2.說明書
說明書應提供網絡安全說明,明確用戶訪問控制機制�、電子接口(含網口接口、電子數據交換接口)及其數據類型和技術特征����、網絡安全特征配置、數據備份與災難恢復�、運行環(huán)境(含硬件配置��、外部軟件環(huán)境��、網絡環(huán)境)�����、安全軟件兼容性��、外部軟件環(huán)境與安全軟件更新等要求�。
(二)許可事項變更
1.軟件研究資料
醫(yī)療器械許可事項變更應根據網絡安全更新情況�,提交變化部分對產品安全性與有效性影響的研究資料:
(1)涉及網絡安全功能更新:適用于發(fā)生功能更新或合并補丁更新的情形,此時提交自研軟件網絡安全功能更新研究報告(或自研軟件網絡安全研究報告)��、外部軟件環(huán)境評估報告�����;
(2)僅發(fā)生網絡安全補丁更新:提交自研軟件網絡安全補丁更新研究報告���;
(3)未發(fā)生網絡安全更新:出具真實性聲明����。
若使用現成軟件組件�,根據其使用方式提交相應研究資料��。相關研究資料的具體要求詳見第六章���。
2.說明書
若適用���,說明書應體現網絡安全的變更內容�����。
(三)延續(xù)注冊
延續(xù)注冊無需提交網絡安全相關研究資料���。
產品技術要求“產品型號/規(guī)格及其劃分說明”所述軟件版本命名規(guī)則應涵蓋網絡安全更新情況,區(qū)分重大網絡安全更新和輕微網絡安全更新�����。若原注冊產品標準(或原產品技術要求)及其變更對比表未體現軟件相關信息�����,應在產品未變化聲明中予以明確�����,其中軟件版本命名規(guī)則涵蓋網絡安全更新情況。
八���、參考文獻(略)