北京市药品监督管理局关于发布医疗器械网络安全注册审查指导原则实施指南的通知

近日，为规范北京市第二类医疗器械产品注册工作，根据原国家食品药品监督管理总局制定的《医疗器械网络安全注册技术审查指导原则》，北京市药品监督管理局组织制定了《医疗器械网络安全注册审查指导原则实施指南》，并经北京市药品监督管理局正式发布。

附原文如下

医疗器械网络安全注册审查指导原则实施指南

　　目 录

一、综述

二、医疗器械的使用环境

三、医疗器械的网络安全

     （一）医疗器械网络安全特性

     （二）网络安全能力

     （三）网络安全的上市后监管

四、网络安全注册资料

     （一）基本信息

     （二）风险管理

     （三）验证与确认

     （四）维护计划

     （五）产品技术要求

     （六）说明书

附录：19项网络安全能力应用参考

　　本指导原则实施指南旨在指导注册申请人提交第二类医疗器械网络安全注册申报资料，同时为第二类医疗器械网络安全的技术审评提供参考。

　　本指导原则实施指南是对第二类医疗器械网络安全一般性要求的细化和补充，注册申请人应根据医疗器械产品特性提交网络安全注册申报资料，注册申请人也可采用其他满足法规要求的替代方法，但应提供详尽的研究资料和验证资料。

　　本指导原则实施指南是对注册申请人和审评人员的指导性文件，不包括审评审批所涉及的行政事项，亦不作为法规强制执行，应在遵循相关法规的前提下使用本指导原则实施指南。

　　本指导原则实施指南依据原国家食品药品监督管理总局发布的《医疗器械软件注册技术审查指导原则》和《医疗器械网络安全注册技术审查指导原则》编写，因而采用时应结合以上注册技术审查指导原则的相关要求使用。

　　本指导原则实施指南适用于具有网络连接功能以进行电子数据交换或远程控制的第二类医疗器械产品的注册申报，其中网络连接包括无线网络连接和有线网络连接，电子数据交换包括单向数据传输和双向数据传输，远程控制包括实时控制和非实时控制。

　　同时，本指导原则实施指南也适用于采用存储媒介以进行电子数据交换的第二类医疗器械产品的注册申报，其中存储媒介包括但不限于光盘、移动硬盘和U盘。

　　需要指出的是，本指导原则实施指南中所述的文件应来源于医疗器械的开发过程。注册申请人应将网络安全风险管理与质量管理体系充分融合，在确保医疗器械安全有效性的同时提高医疗器械的网络安全。

　　一、综述

　　随着网络技术的发展，越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制，这在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者或使用者受到伤害甚或死亡。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分。

　　同时，对于接入计算机信息系统的医疗器械，注册申请人应考虑医疗器械的使用环境，对预期接入定级系统或非定级系统的医疗器械的网络安全能力进行合理的设计。注册申请人还应考虑国家对于网络安全相关的法律法规和标准要求，特别是计算机信息系统安全保护方面的要求，例如《中华人民共和国计算机信息系统安全保护条例》,《GB/T 22239-2019信息系统安全等级保护基本要求》,《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》等法规和标准。

　　二、医疗器械的使用环境

　　医疗器械根据使用环境可以分为家用医疗器械和医院用医疗器械，以及既可以在家庭使用也可以在医院使用的医疗器械。根据接口的类型可以分为有线网络连接、无线网络连接和连接本地存储媒介。根据所处的网络环境又可分为无网络环境（仅连接本地存储媒介）、受控的网络环境和开放的网络环境。注册申请人应根据不同的使用环境，识别网络安全风险，并采取相应的网络安全措施。

　　三、 医疗器械的网络安全

　　（一） 医疗器械网络安全特性

　　医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性、可得性、真实性、可核查性、抗抵赖性以及可靠性等特性。

　　1.保密性

　　指数据不能被未授权的个人、实体利用或知悉的特性，即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问；

　　2.完整性

　　指保护数据准确和完整的特性，即医疗器械相关数据是准确和完整的，且未被篡改；

　　3.可得性

　　指根据授权个人、实体的要求可访问和使用的特性，即医疗器械相关数据能以预期方式适时进行访问和使用；

　　4.真实性

　　一个实体是其所声称实体的特性，即医疗器械相关数据能够体现其真实的临床状态，例如：生理状态、操作状态、设备状态等；

　　5.可核查性

　　实体表征对自己的动作和做出的决定负责的特性，即医疗器械相关数据表征对相关临床动作和决定负责；

　　6.抗抵赖性

　　证明所声称事态或行为的发生及其发起实体的能力，以解决有关事态或行为发生与否以及事态中实体是否牵涉的争端，即医疗器械相关数据可证明相关临床事态和行为的发生及其发起的能力；

　　7.可靠性

　　与预期行为和结果一致的特性，即医疗器械相关数据与临床的预期行为和结果一致。

　　（二）网络安全能力

　　对医疗器械网络安全的保障，是用户、网络设施提供方与注册申请人共同参与的结果。以现有技术水平而言，注册申请人可以参考《IEC TR 80001-2-2-2012 包含医疗器械的IT网络的风险管理应用.第2-2部分 医疗器械安全》以及《T/ZMDS 20003-2019 医疗器械网络安全风险控制 - 医疗器械网络安全能力信息》等标准，识别医疗器械网络安全能力，进行网络安全风险控制。

　　需要注意的是，注册申请人对这些网络安全能力进行配置以配合用户进行网络安全风险管理时，应综合考虑具体医疗器械的预期用途与使用场景。医疗器械的预期用途一般是对疾病的预防、诊断与治疗，在权衡医疗器械的安全性、有效性以及数据安全时，需要首先保证医疗器械的安全性、有效性。例如，为了在急救环境下发挥医疗器械的有效性，可能会对保密性的要求予以折衷。综合考虑的结果导致大部分的医疗器械可能并不具备全部的网络安全能力，此时需要注册申请人与用户进行良好的沟通，以实现最终医疗环境下的网络安全。

　　以下列出了19种医疗器械网络安全能力，并依据相关标准，结合医疗器械的产品特点对其主要内容进行了描述，注册申请人可根据医疗器械的产品特性，预期用途和使用方式考虑其网络安全能力要求的适用性。

　　1.自动登出能力（ALOF）

　　无人值守的医疗器械终端设备，存在被进行非授权操作、显示信息被非授权人员阅读的风险。此项网络安全能力确保医疗器械在所设时段内若未被用户操作，则自动进入保护状态，从而降低上述风险发生的概率。此项网络安全能力，改善了医疗器械的保密性与完整性，但会降低医疗器械的可得性，对急诊用医疗器械、长期监护用医疗器械、用户无需获得授权的医疗器械等可得性要求较高的医疗器械应结合医疗器械的预期用途与使用场景，决定是否配置以及如何配置。

　　2.审核控制能力（AUDT）

　　医疗器械的网络安全与医疗器械的使用方式息息相关，不正确、非授权的使用会导致医疗器械存在网络安全方面的风险。对医疗器械使用环节的关键信息予以记录，是风险控制措施的一部分。此项能力的配置对网络安全的保密性、完整性、可核查性均有提高，有利于对医疗器械使用记录提供可追溯性检测以及用于事后问责调查和对风险的持续监视，也为风险控制的应急响应提供输入。

　　3.确定用户权限的能力（AUTH）

　　医疗器械的非授权使用，会导致多种危险情况，确保医疗器械的使用者、管理者、维护者、拥有者得到合适的授权是重要的风险控制手段。用户权限的管理可以提高保密性、完整性与可核查性，但可能会降低可得性。

　　4.网络安全配置能力（CNFS）

　　对医疗器械网络安全的保障是由用户、使用者、网络设施提供方、注册申请人多方共同参与的一项活动。开放网络安全相关的配置有利于网络安全在使用场景中的整体部署，但是另一方面医疗器械在有意、无意情况下的配置错误也可能导致不可接受的风险，此项能力与系统的加固要求（SAHD）相矛盾，应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。

　　5.网络安全升级能力（CSUP）

　　医疗器械以及医疗器械所依赖的软硬件环境，所面临的威胁并不是一成不变的，作为风险控制手段，有必要对医疗器械或医疗器械的运行环境予以修补以抵御新的网络威胁。由于医疗器械、运行环境、所受威胁的状况千差万别，部分修补可以由用户自行升级完成；而部分修补则可能需要注册申请人的授权人员才能进行。

　　6.健康数据去标识化能力（DIDT）

　　在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值，例如科研、培训、不良事件追溯、设备维护等。健康数据若直接用于非医疗用途，则存在隐私数据保护方面的风险。数据交付之前，去除健康数据所附带的身份信息，是提高保密性的重要手段。但去除标识会降低数据的可追溯性。

　　7.数据备份与灾难恢复能力（DTBK）

　　健康数据在处理过程中面临着数据被破坏甚至丢失的风险，保持数据备份与灾难恢复的能力，可以提高数据的完整性与可得性。

　　8.紧急访问隐私数据的能力（EMRG）

　　医疗器械是以提供预防、诊断、治疗目的为核心属性，部分情况下医疗器械、数据的可得性受损会导致不可接受的风险。为医疗器械配置被紧急访问的能力以及相应的安全可控的紧急访问流程，对此项风险的控制至关重要。然而，配置被紧急访问的能力，常常会导致可得性之外的其它网络安全特性降低，应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。

　　9.数据完整性真实性确认能力（IGAU）

　　当数据的完整性受损而导致不可接受的风险时，医疗器械具备此项能力可以确保健康数据的来源可靠且未经篡改与破坏。

　　10.恶意软件的防止、检测与清除能力（MLDP）

　　恶意软件侵入医疗器械可能会导致不可接受的风险，此项能力可以对已知恶意软件进行探测、报告并防止受其侵害。由于恶意软件的产生难以预知，此项能力需要在医疗器械的使用过程中不断维护，必要时采取紧急措施。

　　11.通信对象、通信节点的身份验证能力（NAUT）

　　医疗器械如与未经授权的通信节点进行互操作，可能导致不可接受的风险。此项能力配合用户的网络安全策略可确保数据的发送方与接收方相互识别并被授权进行数据传输。

　　12.验证合法用户的能力（PAUT）

　　有一部分医疗器械并非开放给所有的使用者，这部分医疗器械如果被未获授权的用户使用，可能导致不可接受的风险。此项能力配合用户的网络安全策略，可确保医疗器械的使用者是经过授权认证的。

　　13.物理保护能力（PLOK）

　　医疗器械在物理上被侵入，会造成保密性与完整性的破坏，可能导致不可接受的风险。可以重点关注敏感信息的存储媒介（可移动媒介除外）是否不借助工具就能被取出。

　　14.第三方组件管理能力（RDMP）

　　医疗器械可能用到第三方组件作为整体医疗器械的一部分，例如第三方的操作系统或数据库等。用户若对此类组件不知情，则不利于此类组件未来的网络安全管理，也不利于未来网络安全事件的责任划分，可能导致不可接受的风险。

　　15.系统与应用加固能力（SAHD）

　　医疗器械中可能存在着与预期用途无关的配置，例如：某些非医疗预期用途的账号、通信端口、共享文件、服务等。此类配置可能会成为网络攻击者所利用的通道，从而造成不可接受的风险，对这些配置予以关闭有利于降低风险发生的概率。

　　16.对操作者与管理员提供网络安全指导的能力（SGUD）

　　医疗器械的不当使用可能在医疗器械网络安全方面造成不可接受的风险，对使用者提供产品说明、提供可索取的披露资料、予以培训等，均有利于降低使用者操作不当的风险。

　　17.存储保密能力（STCF）

　　健康数据的明文存储会降低产品的保密性，对数据存储予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。

　　18.传输保密能力（TXCF）

　　健康数据的明文传输会降低医疗器械的保密性，对数据传输予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。

　　19.保障数据传输完整性的能力（TXIG）

　　健康数据在传输过程中，数据可能受到无意的信道噪声干扰，也有可能受到恶意篡改，这都可能造成不可接受的风险。采用技术手段确保所接受到的数据与所发送出数据具有一致性，可以降低此类风险。

　　注册申请人可以通过综合考虑上述19项网络安全能力来提高医疗器械的网络安全特性。网络安全能力与网络安全特性之间的关系如下:

注：“2”指可以显著提高此项网络安全特性，“1”指可以提高此项网络安全特性，“-”指基本不对此项网络安全特性产生影响，“-1”指可以降低此项网络安全特性。

　　（三）网络安全的上市后监管

　　1.网络安全事件

　　网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

　　网络安全事件可能会造成医疗器械系统不能访问、医疗数据泄露或者篡改，进而导致病人受到严重伤害，死亡或病人的健康数据泄漏。

　　2.网络安全事件的处置

　　注册申请人应建立医疗器械上市后的网络安全事件处置流程。网络安全事件发生后，注册申请人应能够及时有效地处理和管理安全事件，一般包括以下措施：

　　应收集并确认受网络安全事件影响的用户，识别网络安全事件对相关系统带来的风险；

　　应快速采取应急对策，例如：告知用户断开网络连接，提供临时解决方案恢复系统至正常工作状态等；

　　应对网络安全事件的做出详细的风险分析和评估；

　　应提供经过验证和确认的解决措施，并告知用户相关的更新信息。

　　注册申请人应建立相应的组织以确保网络安全事件处置流程得以实施。

　　3.网络安全事件上报

　　当下列网络安全事件发生，注册申请人应及时向相关监管部门报送信息：

　　——病人受到严重伤害或者死亡；

　　——注册申请人提供的大量医疗器械系统不能访问；

　　——大量的病人健康数据泄露。

　　若涉及到病人受到严重伤害或死亡的网络安全事件，注册申请人应按照医疗器械不良事件的相关规定上报。

　　4.涉及召回的网络安全事件应按照医疗器械召回的相关法规处理，不属于本指导原则讨论范围。

　　5.网络安全更新的管理

　　网络安全更新（包括自主开发软件和现成软件）根据其对医疗器械的影响程度可分为以下两类：

　　——重大网络安全更新：影响到医疗器械的安全性或有效性的网络安全更新；

　　——轻微网络安全更新：不影响医疗器械的安全性与有效性的网络安全更新，例如常规安全补丁。

　　医疗器械产品发生重大网络安全更新，应进行许可事项变更；而发生轻微网络安全更新，注册申请人应通过质量管理体系进行控制，无需进行注册变更，待到下次注册（注册变更或延续注册）时提交相应注册申报资料。医疗器械同时发生重大和轻微网络安全更新，遵循风险从高原则应进行许可事项变更。

　　涉及召回的网络安全更新应按照医疗器械召回的相关法规处理，不属于本指导原则讨论范围。

　　软件版本命名规则应考虑网络安全更新的情况。

　　注册申请人在提交注册申报资料时，应根据医疗器械网络安全的具体情况提交网络安全描述文档或常规安全补丁描述文档。网络安全描述文档适用于医疗器械注册、重大网络安全更新，常规安全补丁描述文档适用于轻微网络安全更新。

　　四、 网络安全注册资料

　　注册申请人应结合医疗器械产品的预期用途、使用环境和核心功能以及预期相连设备或系统（例如：其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，提交网络安全描述文档。网络安全描述文档应描述医疗器械的基本信息、风险管理、验证与确认以及维护计划。

　　（一） 基本信息

　　应描述医疗器械产品网络安全相关的基本信息，这些信息包括：

　　1.医疗器械传输，存储和处理信息的总结性描述；

　　2.以上信息的类型：健康数据、设备数据；

　　3.以上信息的传输方向：单向、双向；

　　4.以上信息是否用于实时远程控制：实时、非实时或不用于远程控制；

　　5.以上信息的用途：如临床应用、设备维护等；

　　6.以上信息的交换方式：网络（无线网络、有线网络）及要求（如传输协议、接口、带宽等），存储媒介（如光盘、移动硬盘、U盘等）及要求（如存储格式、容量等）；对于专用无线设备（非通用信息技术设备），还应提交符合无线电管理规定的证明材料，如涉及个人敏感数据，应明确个人敏感数据的储存和传输方式；

　　7.医疗器械包含的安全软件：描述安全软件（如杀毒软件、防火墙等）的名称、型号规格、完整版本、供应商、运行环境要求；

　　8.医疗器械包含的现成软件：描述现成软件（包括应用软件、系统软件、支持软件）的名称、型号规格、完整版本和供应商。

　　（二）风险管理

　　1.网络安全风险管理概述

　　网络安全风险管理是指注册申请人基于医疗器械产品的预期用途和使用场景进行网络安全风险分析，评价并采取网络安全风险控制手段确保产品的网络安全能力。注册申请人可对网络安全采用医疗器械风险管理的方法（可参照《YY/T 0316-2016医疗器械 风险管理对医疗器械的应用》）对医疗器械网络安全相关的风险进行分析、评价和控制，也可采用信息安全风险评估的方法（可参照《GB/T20984 信息安全技术 信息安全风险评估规范》）进行评估，并进行风险控制。

　　如适用，医疗器械网络安全风险管理应考虑对个人敏感信息的保护。对个人信息的处理，应遵循个人信息安全基本原则和相关的法律法规以及标准，如《GB/T 35273-2017信息安全技术 个人信息安全规范》。如有必要，应对个人信息进行匿名化或去标识化处理。

　　风险管理除了从网络安全角度来考虑医疗器械的网络安全能力外，还应根据医疗器械的预期用途考虑网络安全风险对医疗器械的安全性和有效性的影响。

　　医疗器械网络安全风险管理需要考虑整个医疗器械生命周期并适时更新。

　　2.网络安全风险管理过程

　　（1）风险分析与评价

　　注册申请人应对网络安全管理活动进行策划并制定网络安全风险可接受性准则。注册申请人应考虑网络安全损害的严重度和网络安全损害的发生概率并按照接受性准则决定是否需要降低风险。

1） 网络安全损害的严重度，例如：

2） 网络安全损害的发生概率，例如：

注：发生概率应和医疗器械具体情况相适应

　　（2）风险控制

　　根据风险评价结果需要降低风险时，注册申请人应识别适当的风险控制措施，以把风险降低到可接受的水平。

　　例如：风险分析、评价和风险控制措施记录表

例如：风险评估矩阵模型

　　注：下表中红色表示不可接受风险，黄色和绿色表示可接受风险。表格中的数字仅作为举例。采取风险控制措施后，剩余风险中不可接受风险数量为0。

1）初始风险分布

2）采取风险控制措施后风险分布

（3）风险管理报告

　　注册申请人应形成网络安全风险管理报告，并完成风险管理过程的评审，确认综合剩余风险是可接受的。

（4）关于上市后的风险

　　注册申请人要持续关注医疗器械上市后与医疗器械相关的网络安全风险，根据实际情况适时更新风险分析、评价和控制文件，如法规更新、不良事件报告等。

　　（三）验证与确认

　　1．总体原则

　　网络安全验证和确认活动的目的是确定风险管理中采用的网络安全控制手段均已得到正确的实施，确保医疗器械产品的网络安全需求（例如保密性、完整性、可得性等特性）均已得到满足。

　　对于现成软件，注册申请人应在网络安全风险分析过程中将其作为医疗器械的一部分进行充分的网络安全评估，并在医疗器械的网络安全能力配置中予以综合考虑。

　　2．验证与确认活动

　　注册申请人应在医疗器械产品研制过程中进行网络安全的验证与确认活动，通过分析、测试、评估、审查等手段，确保医疗器械产品的网络安全需求得到满足。网络安全验证与确认活动可以参考附录中的19项网络安全能力应用参考，应根据医疗器械的预期用途、使用方式和风险评估综合考虑每项网络安全能力的验证。

　　（1）应确保在医疗器械产品的需求、设计、测试以及风险管理各个阶段考虑并落实网络安全需求，并且保证网络安全需求规范、设计规范、测试以及风险管理的一致性和完整性。

　　（2）应针对医疗器械产品进行网络安全测试验证，确保所有网络安全风险控制措施都得到正确的实施。

　　1）应对网络安全测试活动进行合理的策划，包括确定测试的内容（包括医疗器械需求中要求配置的网络安全能力）、测试人员和相应的职责、测试所需的环境、测试的技术和方法（如漏洞测试、恶意软件测试、缺陷输入测试、结构化渗透测试等）、异常处理方式、测试通过的准则、测试所需的资源以及测试进度安排等。

　　2）应根据测试计划的安排设计测试用例，并按照测试用例的要求执行测试活动，记录原始测试结果，确保测试过程的可追溯性。对于安全软件，注册申请人应针对不同的软件、硬件运行平台，进行兼容性测试；如医疗器械采用标准传输协议或存储格式，应进行审查或测试验证其对相关标准的符合性；如医疗器械采用自定义的传输协议和存储格式，应进行完整性测试验证。

　　3）应对测试结果进行分析和评价，确保测试活动的有效性，并对测试遗留的问题进行评价。

　　3．验证与确认记录

　　注册申请人应将医疗器械网络安全验证与确认活动的结果以文档的方式进行记录，确保网络安全验证与确认活动的可追溯性。

　　（1）应以文档的形式记录医疗器械网络安全需求规范、设计规范、测试以及风险管理的追溯性关系。

　　（2）应对网络安全测试策划活动进行记录并形成网络安全测试计划文档。

　　（3）应对网络安全测试执行过程、测试结果以及测试结果的分析评估进行记录，形成网络安全测试报告。

　　（4）对于安全软件，注册申请人可将兼容性测试结果进行单独文档记录，并形成兼容性测试报告。

　　（5）对于采用标准传输协议或存储格式的医疗器械，注册申请人应记录标准符合性审查结果；对于采用自定义的传输协议和存储格式的医疗器械，注册申请人应对完整性测试结果进行记录并形成完整性测试报告。

　　（6）可