為加強(qiáng)醫(yī)療器械產(chǎn)品注冊(cè)工作的監(jiān)督和指導(dǎo)����,進(jìn)一步提高注冊(cè)審查質(zhì)量,國(guó)家食品藥品監(jiān)督管理總局組織制定了醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則(見(jiàn)附件)�,現(xiàn)予發(fā)布。本指導(dǎo)原則自2018年1月1日起施行����。指導(dǎo)原則施行前,企業(yè)可以自主決定是否按照該指導(dǎo)原則要求���,提交相關(guān)注冊(cè)申報(bào)資料���。
特此通告。
附件:醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則
食品藥品監(jiān)管總局
2017年1月20日
附件
醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則
本指導(dǎo)原則旨在指導(dǎo)注冊(cè)申請(qǐng)人提交醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料��,同時(shí)規(guī)范醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評(píng)要求�����。
本指導(dǎo)原則是對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求,注冊(cè)申請(qǐng)人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料���,判斷指導(dǎo)原則中的具體內(nèi)容是否適用����,不適用內(nèi)容詳述理由��。注冊(cè)申請(qǐng)人也可采用其他滿(mǎn)足法規(guī)要求的替代方法���,但應(yīng)提供詳盡的研究資料和驗(yàn)證資料�����。
本指導(dǎo)原則是在現(xiàn)行法規(guī)和標(biāo)準(zhǔn)體系以及當(dāng)前認(rèn)知水平下�、并參考了國(guó)外法規(guī)與指南����、國(guó)際標(biāo)準(zhǔn)與技術(shù)報(bào)告制定的。隨著法規(guī)和標(biāo)準(zhǔn)的不斷完善�,以及認(rèn)知水平和技術(shù)能力的不斷提高,相關(guān)內(nèi)容也將適時(shí)進(jìn)行修訂�。
本指導(dǎo)原則是對(duì)注冊(cè)申請(qǐng)人和審評(píng)人員的指導(dǎo)性文件,不包括審評(píng)審批所涉及的行政事項(xiàng)�,亦不作為法規(guī)強(qiáng)制執(zhí)行,應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則����。
本指導(dǎo)原則作為《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》的補(bǔ)充,應(yīng)結(jié)合《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》的相關(guān)要求使用�。本指導(dǎo)原則是醫(yī)療器械網(wǎng)絡(luò)安全的通用指導(dǎo)原則,其他涉及網(wǎng)絡(luò)安全的醫(yī)療器械產(chǎn)品指導(dǎo)原則可在本指導(dǎo)原則基礎(chǔ)上進(jìn)行有針對(duì)性的調(diào)整�、修改和完善。
一���、適用范圍
本指導(dǎo)原則適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類(lèi)�����、第三類(lèi)醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)���,其中網(wǎng)絡(luò)包括無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)��,電子數(shù)據(jù)交換包括單向��、雙向數(shù)據(jù)傳輸�,遠(yuǎn)程控制包括實(shí)時(shí)、非實(shí)時(shí)控制。
同時(shí)����,本指導(dǎo)原則也適用于采用存儲(chǔ)媒介以進(jìn)行電子數(shù)據(jù)交換的第二類(lèi)、第三類(lèi)醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)�,其中存儲(chǔ)媒介包括但不限于光盤(pán)、移動(dòng)硬盤(pán)和U盤(pán)��。
二�、基本原則
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,越來(lái)越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制��,在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅�。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題不僅可能會(huì)侵犯患者隱私,而且可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)���,導(dǎo)致患者或使用者受到傷害或死亡���。因此,醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分之一��。
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性(confidentiality)�、完整性(integrity)和可得性 (availability)(改自GB/T 29246-2012《信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯》):
1.保密性:指數(shù)據(jù)不能被未授權(quán)的個(gè)人、實(shí)體利用或知悉的特性���,即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶(hù)在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪(fǎng)問(wèn)���;
2.完整性:指保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性�����,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的,且未被篡改���;
3.可得性:指根據(jù)授權(quán)個(gè)人�、實(shí)體的要求可訪(fǎng)問(wèn)和使用的特性����,即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪(fǎng)問(wèn)和使用。
此外��,醫(yī)療器械網(wǎng)絡(luò)安全特性還包括真實(shí)性(authenticity)��、可核查性(accountability)�����、抗抵賴(lài)(non-repudiation)和可靠性(reliability)等特性�����,相應(yīng)定義詳見(jiàn)GB/T 29246-2012。
注冊(cè)申請(qǐng)人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途�����、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)(如其它醫(yī)療器械���、信息技術(shù)設(shè)備)的情況來(lái)確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性�,并采用基于風(fēng)險(xiǎn)管理的方法來(lái)保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全:識(shí)別資產(chǎn)(asset�����,對(duì)個(gè)人或組織有價(jià)值的任何東西)���、威脅(threat��,可能導(dǎo)致對(duì)個(gè)人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因)和脆弱性(vulnerability�,可能會(huì)被威脅所利用的資產(chǎn)或風(fēng)險(xiǎn)控制措施的弱點(diǎn))���,評(píng)估威脅和脆弱性對(duì)于醫(yī)療器械產(chǎn)品和患者的影響以及被利用的可能性���,確定風(fēng)險(xiǎn)水平并采取適宜的風(fēng)險(xiǎn)控制措施����,基于風(fēng)險(xiǎn)接受準(zhǔn)則評(píng)估剩余風(fēng)險(xiǎn)�。
注冊(cè)申請(qǐng)人應(yīng)當(dāng)在醫(yī)療器械產(chǎn)品全生命周期過(guò)程中持續(xù)關(guān)注網(wǎng)絡(luò)安全問(wèn)題,包括醫(yī)療器械產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)���、生產(chǎn)��、分銷(xiāo)、部署和維護(hù)�����。同時(shí)�����,注冊(cè)申請(qǐng)人應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點(diǎn)來(lái)保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全���,包括上市前和上市后的相關(guān)要求�,如風(fēng)險(xiǎn)管理�、設(shè)計(jì)開(kāi)發(fā)、網(wǎng)絡(luò)安全維護(hù)及用戶(hù)告知等要求����。此外����,注冊(cè)申請(qǐng)人可采用信息安全領(lǐng)域的良好工程 實(shí)踐來(lái)完善醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全管理�,保證醫(yī)療器械產(chǎn)品的安全性和有效性。
注冊(cè)申請(qǐng)人應(yīng)當(dāng)持續(xù)跟蹤與網(wǎng)絡(luò)安全相關(guān)的國(guó)家法律法規(guī)(如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》)以及有關(guān)部門(mén)(如公安部�����、國(guó)家網(wǎng)信辦��、衛(wèi)生計(jì)生委����、工業(yè)和信息化部)的規(guī)章,醫(yī)療器械的網(wǎng)絡(luò)安全應(yīng)當(dāng)符合相應(yīng)法律法規(guī)和部門(mén)規(guī)章的要求����。
醫(yī)療器械產(chǎn)品在使用過(guò)程中常與非注冊(cè)申請(qǐng)人預(yù)期的設(shè)備或系統(tǒng)相連接,這就使得注冊(cè)申請(qǐng)人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全���。因此����,醫(yī)療器械的網(wǎng)絡(luò)安全需要注冊(cè)申請(qǐng)人、用戶(hù)和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障�����。但是這并不意味著注冊(cè)申請(qǐng)人可以免除醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)責(zé)任�����,注冊(cè)申請(qǐng)人應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全���,并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求�����,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性。
醫(yī)療器械網(wǎng)絡(luò)安全防護(hù)層級(jí)可分為產(chǎn)品級(jí)和系統(tǒng)級(jí)�����,保證措施包括管理措施����、物理措施和技術(shù)措施,本指導(dǎo)原則以醫(yī)療器械數(shù)據(jù)安全為核心主要關(guān)注產(chǎn)品級(jí)的技術(shù)保證措施�。
鑒于醫(yī)療器械網(wǎng)絡(luò)安全具有影響因素多�����、涉及面廣���、擴(kuò)散性強(qiáng)和突發(fā)性高等特點(diǎn),單獨(dú)考慮醫(yī)療器械產(chǎn)品的軟件安全性級(jí)別不足以保證其網(wǎng)絡(luò)安全��,因此對(duì)于與醫(yī)療器械網(wǎng)絡(luò)安全有關(guān)的注冊(cè)申報(bào)資料統(tǒng)一進(jìn)行要求��。
三����、網(wǎng)絡(luò)安全考量
(一)數(shù)據(jù)考量
醫(yī)療器械相關(guān)數(shù)據(jù)從內(nèi)容上可分為以下兩種類(lèi)型:
1.健康數(shù)據(jù):標(biāo)明生理、心理健康狀況的私人數(shù)據(jù)(“Private Data”����,又稱(chēng)個(gè)人數(shù)據(jù)“Personal Data”、敏感數(shù)據(jù)“Sensitive Data”�����,指可用于人員身份識(shí)別的相關(guān)信息)���,涉及患者隱私信息���;
2.設(shè)備數(shù)據(jù):描述設(shè)備運(yùn)行狀況的數(shù)據(jù)����,用于監(jiān)視�����、控制設(shè)備運(yùn)行或用于設(shè)備的維護(hù)保養(yǎng)����,本身不涉及患者隱私信息。
醫(yī)療器械相關(guān)數(shù)據(jù)的交換方式可分為以下兩種情況:
1. 網(wǎng)絡(luò):通過(guò)網(wǎng)絡(luò)(包括無(wú)線(xiàn)網(wǎng)絡(luò)��、有線(xiàn)網(wǎng)絡(luò))進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制��,需要考慮網(wǎng)絡(luò)相關(guān)要求(如接口����、帶寬等)��,數(shù)據(jù)傳輸協(xié)議需考慮是否為標(biāo)準(zhǔn)協(xié)議(即業(yè)內(nèi)標(biāo)準(zhǔn)所規(guī)范的協(xié)議)�����,遠(yuǎn)程控制需考慮是否為實(shí)時(shí)控制;
