医疗器械网络安全注册技术审查指导原则

三、网络安全考量

（一）数据考量

医疗器械相关数据从内容上可分为以下两种类型：

1.健康数据：标明生理、心理健康状况的私人数据（“Private Data”，又称个人数据“Personal Data”、敏感数据“Sensitive Data”，指可用于人员身份识别的相关信息），涉及患者隐私信息；

2.设备数据：描述设备运行状况的数据，用于监视、控制设备运行或用于设备的维护保养，本身不涉及患者隐私信息。

医疗器械相关数据的交换方式可分为以下两种情况：

1. 网络：通过网络（包括无线网络、有线网络）进行电子数据交换或远程控制，需要考虑网络相关要求（如接口、带宽等），数据传输协议需考虑是否为标准协议（即业内公认标准所规范的协议），远程控制需考虑是否为实时控制；

2.存储媒介：通过存储媒介（如光盘、移动硬盘、U盘等）进行电子数据交换，数据储存格式需考虑是否为标准格式（即业内公认标准所规范的格式）。

注册申请人应当基于医疗器械相关数据的类型、功能、用途、交换方式及要求，并结合医疗器械产品特性考虑其网络安全问题。

对于健康数据，注册申请人应当遵循患者隐私保护的相关规定。对于无线设备，注册申请人应当遵循无线电管理的相关规定。

（二）技术考量

用户访问控制机制应当与医疗器械产品特性相适应，包括但不限于用户身份鉴别方法（如用户名、口令等）、用户类型及权限（如系统管理员、普通用户、设备维护人员等）、口令强度设置、软件更新授权等。

医疗器械相关数据在网络传输或数据交换过程中应当保证保密性和完整性，同时平衡可得性的要求，特别是具有远程控制功能的医疗器械。注册申请人可采用加密、数字签名、标准协议、校验等技术来保证医疗器械的网络安全。

鉴于预期用途、使用环境的限制，医疗器械对于网络安全威胁的探测、响应和恢复能力应当与医疗器械的产品特性相适应。注册申请人可采用防火墙、入侵检测和恶意代码防护等技术来保证医疗器械的网络安全。

医疗器械网络安全能力建设可参照相关的国际、国家标准和技术报告，如IEC/TR 80001-2-2[3]规范了十九项网络安全能力：自动注销（ALOF）、审核控制（AUDT）、授权（AUTH）、安全特性配置（CNFS）、网络安全产品升级（CSUP）、健康数据身份信息去除（DIDT）、数据备份与灾难恢复（DTBK）、紧急访问（EMRG）、健康数据完整性与真实性（IGAU）、恶意软件探测与防护（MLDP）、网络节点鉴别（NAUT）、人员鉴别（PAUT）、物理锁（PLOK）、第三方组件维护计划（RDMP）、系统与应用软件硬化（SAHD）、安全指导（SGUD）、健康数据存储保密性（STCF）、传输保密性（TXCF）和传输完整性（TXIG），注册申请人可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。

（三）现成软件考量

医疗器械使用现成软件的情况日益普遍，特别是系统软件和支持软件。因此，注册申请人同样需要关注现成软件的网络安全问题，应当根据质量管理体系要求建立网络安全维护流程，并将医疗器械网络安全信息及时通知用户。

对于应用软件，注册申请人需要重点关注其网络安全问题对医疗器械临床应用的影响。而对于系统软件和支持软件，注册申请人需要重点关注其安全补丁更新对医疗器械的影响，安全补丁更新属于设计变更，需要进行验证与确认，但通常情况下可视为轻微软件更新，除非影响到医疗器械的安全性和有效性。

四、网络安全文档

（一）基本考量

网络安全更新（包括自主开发软件和现成软件）根据其对医疗器械的影响程度可分为以下两类：

1.重大网络安全更新：影响到医疗器械的安全性或有效性的网络安全更新；

2.轻微网络安全更新：不影响医疗器械的安全性与有效性的网络安全更新，如常规安全补丁。

医疗器械产品发生重大网络安全更新应进行许可事项变更，而发生轻微网络安全更新通过质量管理体系进行控制，无需进行注册变更，待到下次注册（注册变更和延续注册）时提交相应注册申报资料。医疗器械同时发生重大和轻微网络安全更新，遵循风险从高原则应进行许可事项变更。

涉及召回的网络安全更新应按照医疗器械召回的相关法规处理，不属于本指导原则讨论范围。

软件版本命名规则应考虑网络安全更新的情况。

注册申请人在提交注册申报资料时，应根据医疗器械网络安全的具体情况提交网络安全描述文档或常规安全补丁描述文档。网络安全描述文档适用于产品注册、重大网络安全更新，常规安全补丁描述文档适用于轻微网络安全更新。

（二）网络安全描述文档

1.基本信息

描述医疗器械产品的相关信息：

（1）类型：健康数据、设备数据；

（2）功能：电子数据交换（单向、双向）、远程控制（实时、非实时）；

（3）用途：如临床应用、设备维护等；

（4）交换方式：网络（无线网络、有线网络）及要求（如传输协议（标准、自定义）、接口、带宽等），存储媒介（如光盘、移动硬盘、U盘等）及要求（如存储格式（标准、自定义）、容量等）；对于专用无线设备（非通用信息技术设备），还应提交符合无线电管理规定的证明材料；

（5）安全软件：描述安全软件（如杀毒软件、防火墙等）的名称、型号规格、完整版本、供应商、运行环境要求；

（6）现成软件：描述现成软件（包括应用软件、系统软件、支持软件）的名称、型号规格、完整版本和供应商。

2.风险管理

提供医疗器械网络安全风险管理的分析报告和总结报告，确保全部剩余风险均是可接受的。

3.验证与确认

提供网络安全测试计划和报告，证明医疗器械产品的网络安全需求（如保密性、完整性、可得性等特性）均已得到满足。同时还应提供网络安全可追溯性分析报告，即追溯网络安全需求规范、设计规范、测试、风险管理的关系表。

对于安全软件，应提供兼容性测试报告。

对于标准传输协议或存储格式，应提供标准符合性证明材料，而对于自定义传输协议或存储格式，应提供完整性测试总结报告。

对于实时远程控制功能，应提供完整性和可得性测试报告。

4.维护计划

描述软件（含现成软件）网络安全更新的维护流程，包括更新确认和用户告知。

（三）常规安全补丁描述文档

提交软件（含现成软件）常规安全补丁的情况说明（补丁描述、影响分析、用户告知计划）、测试计划与报告、新增已知剩余缺陷情况说明（证明新增风险均是可接受的）。