为贯彻落实国家对网络安全的要求,加强医疗器械产品注册工作的监督和指导,保障医疗器械产品的网络安全,国家食品药品监管总局制定颁布了《医疗器械网络安全注册技术审查指导原则》(以下简称《指导原则》)。该《指导原则》于2018年1月1日起施行。
一、《指导原则》制定背景
随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者、使用者受到伤害或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分,也是国家网络安全的组成部分之一。
医疗器械网络安全具有影响因素多、涉及面广、扩散性强和突发性高等特点,风险相对较高,因此需要加强相应监管工作,以保证医疗器械安全性和有效性,保障人民群众用械安全。
《指导原则》于2014年启动制定工作,依据《中华人民共和国网络安全法》,在前期国内外文献调研、企业调研、专家研讨的基础上,结合我国国情实际情况,经征求各方意见,反复讨论修改予以制定,于2017年1月20日发布,并于2018年1月1日实施。
二、《指导原则》主要内容
(一)适用范围
《指导原则》适用于具有网络连接功能以进行电子数据交换或远程控制以及采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品(包括境内、进口)的注册申报,适用的注册方式包括产品注册、许可事项变更、延续注册。
(二)注册人责任
注册人应当在医疗器械全生命周期过程(包括设计开发、生产、分销、部署、维护)中保证医疗器械产品自身的网络安全,从而保证其安全性和有效性。
注册人应当在医疗器械产品注册申请中提交相应网络安全注册申报资料,以证明医疗器械产品的安全性和有效性。
(三)关注重点
医疗器械网络安全防护层级包括产品级(即医疗器械产品自身)和系统级(即医疗信息技术网络),保证措施包括管理措施(如使用规范等)、物理措施(如防盗措施等)和技术措施(如加密技术等),《指导原则》以医疗器械数据安全为核心主要关注产品级的技术保证措施。
(四)医疗器械网络安全
医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性和可得性。
1.保密性:指数据不能被未授权的个人、实体利用或知悉的特性,即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问;
2.完整性:指保护数据准确和完整的特性,即医疗器械相关数据是准确和完整的,且未被篡改;
3.可得性:指根据授权个人、实体的要求可访问和使用的特性,即医疗器械相关数据能以预期方式适时进行访问和使用。
(五)医疗器械相关数据
医疗器械相关数据包括健康数据和设备数据。
1.健康数据:指标明生理、心理健康状况的私人数据(又称个人数据或敏感数据,指可用于人员身份识别的相关信息),涉及患者隐私信息;
2.设备数据:指描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息。
(六)医疗器械网络安全能力
医疗器械网络安全能力包括对网络安全威胁的识别、防护、探测、响应、恢复的能力。医疗器械对网络安全威胁应当具备相应识别、防护能力,而由于预期用途、使用环境的限制,医疗器械对网络安全威胁的探测、响应、恢复能力应当与其产品特性相适应。
(七)现成软件网络安全
对于属于应用软件的现成软件,应当重点关注其网络安全问题对医疗器械临床应用的影响。
对于属于系统软件或支持软件的现成软件,应当重点关注安全补丁更新对医疗器械的影响。
(八)医疗器械网络安全更新
医疗器械网络安全更新可分为重大网络安全更新和轻微网络安全更新。
1.重大网络安全更新:指影响到医疗器械的安全性或有效性的网络安全更新;
2.轻微网络安全更新:指不影响医疗器械的安全性与有效性的网络安全更新,如常规安全补丁。
医疗器械产品发生重大网络安全更新应进行许可事项变更,而发生轻微网络安全更新通过质量管理体系进行控制,无需进行许可事项变更,待到下次注册时提交相应注册申报资料。
(九)与其它指导原则关系
《指导原则》是对《医疗器械软件注册技术审查指导原则》(以下简称《软件指导原则》)的补充,应结合《软件指导原则》的相关要求使用《指导原则》。
三、《指导原则》实施要求
(一)实施过渡期
为平衡医疗器械网络安全监管和行业健康发展的关系,保证《指导原则》顺利实施,《指导原则》的实施设置了过渡期,将于2018年1月1日正式施行。
在过渡期内,注册人应当结合《指导原则》要求做好相应准备工作,同时可以自主决定是否按照《指导原则》要求提交医疗器械网络安全注册申报资料。自实施之日起,注册人应当提交医疗器械网络安全注册申报资料。
(二)注册申报资料要求
1.产品注册:注册人应当单独提交一份网络安全描述文档,在产品技术要求中明确数据接口、用户访问控制的要求,在说明书中明确网络安全相关要求。
2.许可事项变更:注册人应当根据网络安全更新情况提交网络安全描述文档、常规安全补丁描述文档或无变化真实性声明,如适用应当在产品技术要求和说明书中体现网络安全的变更内容。
3.延续注册:如适用,注册人应当单独提交一份常规安全补丁描述文档。
(三)医疗器械网络安全文档
医疗器械网络安全文档包括网络安全描述文档、常规安全补丁描述文档。
1.网络安全描述文档:内容包括基本信息、风险管理、验证与确认、维护计划,适用于产品注册、重大网络安全更新;
2.常规安全补丁描述文档:内容包括情况说明、测试计划与报告、新增已知剩余缺陷情况说明,适用于轻微网络安全更新。
(四)注册人实施要求
注册人应当结合自身质量管理体系的要求和医疗器械产品特点来保证其网络安全,包括上市前和上市后的要求。注册人还可采用信息安全领域良好工程实践来完善医疗器械产品的网络安全管理。
注册人应当结合医疗器械产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。
注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。
注册人应当根据医疗器械的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证医疗器械产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。
注册人应当重视现成软件的网络安全问题,结合质量管理体系的要求和现成软件的类型,采用基于风险管理的方法保证现成软件的网络安全。
注册人应当区分医疗器械网络安全更新的类型,根据网络安全更新对于医疗器械产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按《指导原则》要求提交相应注册申报资料。在软件版本号定义里,应该注意考虑网络安全更新的内容。
注册人应当遵循网络安全相关国家法律法规和有关部门规章的规定,如《中华人民共和国网络安全法》、《人口健康信息管理办法(试行)》《国家卫生计生委关于推进医疗机构远程医疗服务的意见》等。
注册人可参考与网络安全相关的国际标准及技术报告的要求来保证医疗器械产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。