本指導(dǎo)原則實施指南旨在指導(dǎo)注冊申請人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全注冊申報資料，同時為第二類醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評提供參考。
本指導(dǎo)原則實施指南是對第二類醫(yī)療器械網(wǎng)絡(luò)安全一般性要求的細(xì)化和補(bǔ)充，注冊申請人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報資料，注冊申請人也可采用其他滿足法規(guī)要求的替代方法，但應(yīng)提供詳盡的研究資料和驗證資料。
本指導(dǎo)原則實施指南是對注冊申請人和審評人員的指導(dǎo)性文件，不包括審評審批所涉及的行政事項，亦不作為法規(guī)強(qiáng)制執(zhí)行，應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則實施指南。
本指導(dǎo)原則實施指南依據(jù)原國家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》和《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》編寫，因而采用時應(yīng)結(jié)合以上注冊技術(shù)審查指導(dǎo)原則的相關(guān)要求使用。
本指導(dǎo)原則實施指南適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類醫(yī)療器械產(chǎn)品的注冊申報，其中網(wǎng)絡(luò)連接包括無線網(wǎng)絡(luò)連接和有線網(wǎng)絡(luò)連接，電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸，遠(yuǎn)程控制包括實時控制和非實時控制。
同時，本指導(dǎo)原則實施指南也適用于采用存儲媒介以進(jìn)行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊申報，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
需要指出的是，本指導(dǎo)原則實施指南中所述的文件應(yīng)來源于醫(yī)療器械的開發(fā)過程。注冊申請人應(yīng)將網(wǎng)絡(luò)安全風(fēng)險管理與質(zhì)量管理體系充分融合，在確保醫(yī)療器械安全有效性的同時提高醫(yī)療器械的網(wǎng)絡(luò)安全。

一、綜述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制，這在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運行的風(fēng)險，導(dǎo)致患者或使用者受到傷害甚或死亡。因此，醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分。
同時，對于接入計算機(jī)信息系統(tǒng)的醫(yī)療器械，注冊申請人應(yīng)考慮醫(yī)療器械的使用環(huán)境，對預(yù)期接入定級系統(tǒng)或非定級系統(tǒng)的醫(yī)療器械的網(wǎng)絡(luò)安全能力進(jìn)行合理的設(shè)計。注冊申請人還應(yīng)考慮國家對于網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求，特別是計算機(jī)信息系統(tǒng)安全保護(hù)方面的要求，例如《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》,《GB/T 22239-2019信息系統(tǒng)安全等級保護(hù)基本要求》,《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》等法規(guī)和標(biāo)準(zhǔn)。

二、醫(yī)療器械的使用環(huán)境

醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械，以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械。根據(jù)接口的類型可以分為有線網(wǎng)絡(luò)連接、無線網(wǎng)絡(luò)連接和連接本地存儲媒介。根據(jù)所處的網(wǎng)絡(luò)環(huán)境又可分為無網(wǎng)絡(luò)環(huán)境（僅連接本地存儲媒介）、受控的網(wǎng)絡(luò)環(huán)境和開放的網(wǎng)絡(luò)環(huán)境。注冊申請人應(yīng)根據(jù)不同的使用環(huán)境，識別網(wǎng)絡(luò)安全風(fēng)險，并采取相應(yīng)的網(wǎng)絡(luò)安全措施。

三、 醫(yī)療器械的網(wǎng)絡(luò)安全

（一） 醫(yī)療器械網(wǎng)絡(luò)安全特性
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性、完整性、可得性、真實性、可核查性、抗抵賴性以及可靠性等特性。
1.保密性
指數(shù)據(jù)不能被未授權(quán)的個人、實體利用或知悉的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時間以授權(quán)方式進(jìn)行訪問；
2.完整性
指保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的，且未被篡改；
3.可得性
指根據(jù)授權(quán)個人、實體的要求可訪問和使用的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時進(jìn)行訪問和使用；
4.真實性
一個實體是其所聲稱實體的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)能夠體現(xiàn)其真實的臨床狀態(tài)，例如：生理狀態(tài)、操作狀態(tài)、設(shè)備狀態(tài)等；
5.可核查性
實體表征對自己的動作和做出的決定負(fù)責(zé)的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)表征對相關(guān)臨床動作和決定負(fù)責(zé)；
6.抗抵賴性
證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實體的能力，以解決有關(guān)事態(tài)或行為發(fā)生與否以及事態(tài)中實體是否牽涉的爭端，即醫(yī)療器械相關(guān)數(shù)據(jù)可證明相關(guān)臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力；
7.可靠性
與預(yù)期行為和結(jié)果一致的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)與臨床的預(yù)期行為和結(jié)果一致。
（二）網(wǎng)絡(luò)安全能力
對醫(yī)療器械網(wǎng)絡(luò)安全的保障，是用戶、網(wǎng)絡(luò)設(shè)施提供方與注冊申請人共同參與的結(jié)果。以現(xiàn)有技術(shù)水平而言，注冊申請人可以參考《IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險管理應(yīng)用.第2-2部分 醫(yī)療器械安全》以及《T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險控制 - 醫(yī)療器械網(wǎng)絡(luò)安全能力信息》等標(biāo)準(zhǔn)，識別醫(yī)療器械網(wǎng)絡(luò)安全能力，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險控制。
需要注意的是，注冊申請人對這些網(wǎng)絡(luò)安全能力進(jìn)行配置以配合用戶進(jìn)行網(wǎng)絡(luò)安全風(fēng)險管理時，應(yīng)綜合考慮具體醫(yī)療器械的預(yù)期用途與使用場景。醫(yī)療器械的預(yù)期用途一般是對疾病的預(yù)防、診斷與治療，在權(quán)衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時，需要首先保證醫(yī)療器械的安全性、有效性。例如，為了在急救環(huán)境下發(fā)揮醫(yī)療器械的有效性，可能會對保密性的要求予以折衷。綜合考慮的結(jié)果導(dǎo)致大部分的醫(yī)療器械可能并不具備全部的網(wǎng)絡(luò)安全能力，此時需要注冊申請人與用戶進(jìn)行良好的溝通，以實現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡(luò)安全。
以下列出了19種醫(yī)療器械網(wǎng)絡(luò)安全能力，并依據(jù)相關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)療器械的產(chǎn)品特點對其主要內(nèi)容進(jìn)行了描述，注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性，預(yù)期用途和使用方式考慮其網(wǎng)絡(luò)安全能力要求的適用性。
1.自動登出能力（ALOF）
無人值守的醫(yī)療器械終端設(shè)備，存在被進(jìn)行非授權(quán)操作、顯示信息被非授權(quán)人員閱讀的風(fēng)險。此項網(wǎng)絡(luò)安全能力確保醫(yī)療器械在所設(shè)時段內(nèi)若未被用戶操作，則自動進(jìn)入保護(hù)狀態(tài)，從而降低上述風(fēng)險發(fā)生的概率。此項網(wǎng)絡(luò)安全能力，改善了醫(yī)療器械的保密性與完整性，但會降低醫(yī)療器械的可得性，對急診用醫(yī)療器械、長期監(jiān)護(hù)用醫(yī)療器械、用戶無需獲得授權(quán)的醫(yī)療器械等可得性要求較高的醫(yī)療器械應(yīng)結(jié)合醫(yī)療器械的預(yù)期用途與使用場景，決定是否配置以及如何配置。
2.審核控制能力（AUDT）
醫(yī)療器械的網(wǎng)絡(luò)安全與醫(yī)療器械的使用方式息息相關(guān)，不正確、非授權(quán)的使用會導(dǎo)致醫(yī)療器械存在網(wǎng)絡(luò)安全方面的風(fēng)險。對醫(yī)療器械使用環(huán)節(jié)的關(guān)鍵信息予以記錄，是風(fēng)險控制措施的一部分。此項能力的配置對網(wǎng)絡(luò)安全的保密性、完整性、可核查性均有提高，有利于對醫(yī)療器械使用記錄提供可追溯性檢測以及用于事后問責(zé)調(diào)查和對風(fēng)險的持續(xù)監(jiān)視，也為風(fēng)險控制的應(yīng)急響應(yīng)提供輸入。
3.確定用戶權(quán)限的能力（AUTH）
醫(yī)療器械的非授權(quán)使用，會導(dǎo)致多種危險情況，確保醫(yī)療器械的使用者、管理者、維護(hù)者、擁有者得到合適的授權(quán)是重要的風(fēng)險控制手段。用戶權(quán)限的管理可以提高保密性、完整性與可核查性，但可能會降低可得性。
4.網(wǎng)絡(luò)安全配置能力（CNFS）
對醫(yī)療器械網(wǎng)絡(luò)安全的保障是由用戶、使用者、網(wǎng)絡(luò)設(shè)施提供方、注冊申請人多方共同參與的一項活動。開放網(wǎng)絡(luò)安全相關(guān)的配置有利于網(wǎng)絡(luò)安全在使用場景中的整體部署，但是另一方面醫(yī)療器械在有意、無意情況下的配置錯誤也可能導(dǎo)致不可接受的風(fēng)險，此項能力與系統(tǒng)的加固要求（SAHD）相矛盾，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途與使用方式綜合考慮此項能力的配置。
5.網(wǎng)絡(luò)安全升級能力（CSUP）
醫(yī)療器械以及醫(yī)療器械所依賴的軟硬件環(huán)境，所面臨的威脅并不是一成不變的，作為風(fēng)險控制手段，有必要對醫(yī)療器械或醫(yī)療器械的運行環(huán)境予以修補(bǔ)以抵御新的網(wǎng)絡(luò)威脅。由于醫(yī)療器械、運行環(huán)境、所受威脅的狀況千差萬別，部分修補(bǔ)可以由用戶自行升級完成；而部分修補(bǔ)則可能需要注冊申請人的授權(quán)人員才能進(jìn)行。
6.健康數(shù)據(jù)去標(biāo)識化能力（DIDT）
在醫(yī)療服務(wù)過程中產(chǎn)生的健康數(shù)據(jù)常常具有預(yù)防、診斷、治療之外的其它價值，例如科研、培訓(xùn)、不良事件追溯、設(shè)備維護(hù)等。健康數(shù)據(jù)若直接用于非醫(yī)療用途，則存在隱私數(shù)據(jù)保護(hù)方面的風(fēng)險。數(shù)據(jù)交付之前，去除健康數(shù)據(jù)所附帶的身份信息，是提高保密性的重要手段。但去除標(biāo)識會降低數(shù)據(jù)的可追溯性。
7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力（DTBK）
健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風(fēng)險，保持?jǐn)?shù)據(jù)備份與災(zāi)難恢復(fù)的能力，可以提高數(shù)據(jù)的完整性與可得性。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
醫(yī)療器械是以提供預(yù)防、診斷、治療目的為核心屬性，部分情況下醫(yī)療器械、數(shù)據(jù)的可得性受損會導(dǎo)致不可接受的風(fēng)險。為醫(yī)療器械配置被緊急訪問的能力以及相應(yīng)的安全可控的緊急訪問流程，對此項風(fēng)險的控制至關(guān)重要。然而，配置被緊急訪問的能力，常常會導(dǎo)致可得性之外的其它網(wǎng)絡(luò)安全特性降低，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途與使用方式綜合考慮此項能力的配置。
9.數(shù)據(jù)完整性真實性確認(rèn)能力（IGAU）
當(dāng)數(shù)據(jù)的完整性受損而導(dǎo)致不可接受的風(fēng)險時，醫(yī)療器械具備此項能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞。
10.惡意軟件的防止、檢測與清除能力（MLDP）
惡意軟件侵入醫(yī)療器械可能會導(dǎo)致不可接受的風(fēng)險，此項能力可以對已知惡意軟件進(jìn)行探測、報告并防止受其侵害。由于惡意軟件的產(chǎn)生難以預(yù)知，此項能力需要在醫(yī)療器械的使用過程中不斷維護(hù)，必要時采取緊急措施。
11.通信對象、通信節(jié)點的身份驗證能力（NAUT）
醫(yī)療器械如與未經(jīng)授權(quán)的通信節(jié)點進(jìn)行互操作，可能導(dǎo)致不可接受的風(fēng)險。此項能力配合用戶的網(wǎng)絡(luò)安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識別并被授權(quán)進(jìn)行數(shù)據(jù)傳輸。
12.驗證合法用戶的能力（PAUT）
有一部分醫(yī)療器械并非開放給所有的使用者，這部分醫(yī)療器械如果被未獲授權(quán)的用戶使用，可能導(dǎo)致不可接受的風(fēng)險。此項能力配合用戶的網(wǎng)絡(luò)安全策略，可確保醫(yī)療器械的使用者是經(jīng)過授權(quán)認(rèn)證的。
13.物理保護(hù)能力（PLOK）
醫(yī)療器械在物理上被侵入，會造成保密性與完整性的破壞，可能導(dǎo)致不可接受的風(fēng)險?？梢灾攸c關(guān)注敏感信息的存儲媒介（可移動媒介除外）是否不借助工具就能被取出。
14.第三方組件管理能力（RDMP）
醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分，例如第三方的操作系統(tǒng)或數(shù)據(jù)庫等。用戶若對此類組件不知情，則不利于此類組件未來的網(wǎng)絡(luò)安全管理，也不利于未來網(wǎng)絡(luò)安全事件的責(zé)任劃分，可能導(dǎo)致不可接受的風(fēng)險。
15.系統(tǒng)與應(yīng)用加固能力（SAHD）
醫(yī)療器械中可能存在著與預(yù)期用途無關(guān)的配置，例如：某些非醫(yī)療預(yù)期用途的賬號、通信端口、共享文件、服務(wù)等。此類配置可能會成為網(wǎng)絡(luò)攻擊者所利用的通道，從而造成不可接受的風(fēng)險，對這些配置予以關(guān)閉有利于降低風(fēng)險發(fā)生的概率。
16.對操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力（SGUD）
醫(yī)療器械的不當(dāng)使用可能在醫(yī)療器械網(wǎng)絡(luò)安全方面造成不可接受的風(fēng)險，對使用者提供產(chǎn)品說明、提供可索取的披露資料、予以培訓(xùn)等，均有利于降低使用者操作不當(dāng)?shù)娘L(fēng)險。
17.存儲保密能力（STCF）
健康數(shù)據(jù)的明文存儲會降低產(chǎn)品的保密性，對數(shù)據(jù)存儲予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的管理規(guī)定。使用商用密碼應(yīng)遵守相關(guān)的法律法規(guī)要求。
18.傳輸保密能力（TXCF）
健康數(shù)據(jù)的明文傳輸會降低醫(yī)療器械的保密性，對數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的管理規(guī)定。使用商用密碼應(yīng)遵守相關(guān)的法律法規(guī)要求。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
健康數(shù)據(jù)在傳輸過程中，數(shù)據(jù)可能受到無意的信道噪聲干擾，也有可能受到惡意篡改，這都可能造成不可接受的風(fēng)險。采用技術(shù)手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性，可以降低此類風(fēng)險。
注冊申請人可以通過綜合考慮上述19項網(wǎng)絡(luò)安全能力來提高醫(yī)療器械的網(wǎng)絡(luò)安全特性。網(wǎng)絡(luò)安全能力與網(wǎng)絡(luò)安全特性之間的關(guān)系如下:

注：“2”指可以顯著提高此項網(wǎng)絡(luò)安全特性，“1”指可以提高此項網(wǎng)絡(luò)安全特性，“-”指基本不對此項網(wǎng)絡(luò)安全特性產(chǎn)生影響，“-1”指可以降低此項網(wǎng)絡(luò)安全特性。
（三）網(wǎng)絡(luò)安全的上市后監(jiān)管
1.網(wǎng)絡(luò)安全事件
網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負(fù)面影響的事件，可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等。
網(wǎng)絡(luò)安全事件可能會造成醫(yī)療器械系統(tǒng)不能訪問、醫(yī)療數(shù)據(jù)泄露或者篡改，進(jìn)而導(dǎo)致病人受到嚴(yán)重傷害，死亡或病人的健康數(shù)據(jù)泄漏。
2.網(wǎng)絡(luò)安全事件的處置
注冊申請人應(yīng)建立醫(yī)療器械上市后的網(wǎng)絡(luò)安全事件處置流程。網(wǎng)絡(luò)安全事件發(fā)生后，注冊申請人應(yīng)能夠及時有效地處理和管理安全事件，一般包括以下措施：
應(yīng)收集并確認(rèn)受網(wǎng)絡(luò)安全事件影響的用戶，識別網(wǎng)絡(luò)安全事件對相關(guān)系統(tǒng)帶來的風(fēng)險；
應(yīng)快速采取應(yīng)急對策，例如：告知用戶斷開網(wǎng)絡(luò)連接，提供臨時解決方案恢復(fù)系統(tǒng)至正常工作狀態(tài)等；
應(yīng)對網(wǎng)絡(luò)安全事件的做出詳細(xì)的風(fēng)險分析和評估；
應(yīng)提供經(jīng)過驗證和確認(rèn)的解決措施，并告知用戶相關(guān)的更新信息。
注冊申請人應(yīng)建立相應(yīng)的組織以確保網(wǎng)絡(luò)安全事件處置流程得以實施。
3.網(wǎng)絡(luò)安全事件上報
當(dāng)下列網(wǎng)絡(luò)安全事件發(fā)生，注冊申請人應(yīng)及時向相關(guān)監(jiān)管部門報送信息：
——病人受到嚴(yán)重傷害或者死亡；
——注冊申請人提供的大量醫(yī)療器械系統(tǒng)不能訪問；
——大量的病人健康數(shù)據(jù)泄露。
若涉及到病人受到嚴(yán)重傷害或死亡的網(wǎng)絡(luò)安全事件，注冊申請人應(yīng)按照醫(yī)療器械不良事件的相關(guān)規(guī)定上報。
4.涉及召回的網(wǎng)絡(luò)安全事件應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理，不屬于本指導(dǎo)原則討論范圍。
5.網(wǎng)絡(luò)安全更新的管理
網(wǎng)絡(luò)安全更新（包括自主開發(fā)軟件和現(xiàn)成軟件）根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類：
——重大網(wǎng)絡(luò)安全更新：影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新；
——輕微網(wǎng)絡(luò)安全更新：不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新，例如常規(guī)安全補(bǔ)丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新，應(yīng)進(jìn)行許可事項變更；而發(fā)生輕微網(wǎng)絡(luò)安全更新，注冊申請人應(yīng)通過質(zhì)量管理體系進(jìn)行控制，無需進(jìn)行注冊變更，待到下次注冊（注冊變更或延續(xù)注冊）時提交相應(yīng)注冊申報資料。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡(luò)安全更新，遵循風(fēng)險從高原則應(yīng)進(jìn)行許可事項變更。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理，不屬于本指導(dǎo)原則討論范圍。
軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況。
注冊申請人在提交注冊申報資料時，應(yīng)根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全的具體情況提交網(wǎng)絡(luò)安全描述文檔或常規(guī)安全補(bǔ)丁描述文檔。網(wǎng)絡(luò)安全描述文檔適用于醫(yī)療器械注冊、重大網(wǎng)絡(luò)安全更新，常規(guī)安全補(bǔ)丁描述文檔適用于輕微網(wǎng)絡(luò)安全更新。

四、 網(wǎng)絡(luò)安全注冊資料

注冊申請人應(yīng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)（例如：其它醫(yī)療器械、信息技術(shù)設(shè)備）的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性，提交網(wǎng)絡(luò)安全描述文檔。網(wǎng)絡(luò)安全描述文檔應(yīng)描述醫(yī)療器械的基本信息、風(fēng)險管理、驗證與確認(rèn)以及維護(hù)計劃。
（一） 基本信息
應(yīng)描述醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的基本信息，這些信息包括：
1.醫(yī)療器械傳輸，存儲和處理信息的總結(jié)性描述；
2.以上信息的類型：健康數(shù)據(jù)、設(shè)備數(shù)據(jù)；
3.以上信息的傳輸方向：單向、雙向；
4.以上信息是否用于實時遠(yuǎn)程控制：實時、非實時或不用于遠(yuǎn)程控制；
5.以上信息的用途：如臨床應(yīng)用、設(shè)備維護(hù)等；
6.以上信息的交換方式：網(wǎng)絡(luò)（無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)）及要求（如傳輸協(xié)議、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式、容量等）；對于專用無線設(shè)備（非通用信息技術(shù)設(shè)備），還應(yīng)提交符合無線電管理規(guī)定的證明材料，如涉及個人敏感數(shù)據(jù)，應(yīng)明確個人敏感數(shù)據(jù)的儲存和傳輸方式；
7.醫(yī)療器械包含的安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規(guī)格、完整版本、供應(yīng)商、運行環(huán)境要求；
8.醫(yī)療器械包含的現(xiàn)成軟件：描述現(xiàn)成軟件（包括應(yīng)用軟件、系統(tǒng)軟件、支持軟件）的名稱、型號規(guī)格、完整版本和供應(yīng)商。
（二）風(fēng)險管理
1.網(wǎng)絡(luò)安全風(fēng)險管理概述
網(wǎng)絡(luò)安全風(fēng)險管理是指注冊申請人基于醫(yī)療器械產(chǎn)品的預(yù)期用途和使用場景進(jìn)行網(wǎng)絡(luò)安全風(fēng)險分析，評價并采取網(wǎng)絡(luò)安全風(fēng)險控制手段確保產(chǎn)品的網(wǎng)絡(luò)安全能力。注冊申請人可對網(wǎng)絡(luò)安全采用醫(yī)療器械風(fēng)險管理的方法（可參照《YY/T 0316-2016醫(yī)療器械 風(fēng)險管理對醫(yī)療器械的應(yīng)用》）對醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)的風(fēng)險進(jìn)行分析、評價和控制，也可采用信息安全風(fēng)險評估的方法（可參照《GB/T20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》）進(jìn)行評估，并進(jìn)行風(fēng)險控制。
如適用，醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理應(yīng)考慮對個人敏感信息的保護(hù)。對個人信息的處理，應(yīng)遵循個人信息安全基本原則和相關(guān)的法律法規(guī)以及標(biāo)準(zhǔn)，如《GB/T 35273-2017信息安全技術(shù) 個人信息安全規(guī)范》。如有必要，應(yīng)對個人信息進(jìn)行匿名化或去標(biāo)識化處理。
風(fēng)險管理除了從網(wǎng)絡(luò)安全角度來考慮醫(yī)療器械的網(wǎng)絡(luò)安全能力外，還應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途考慮網(wǎng)絡(luò)安全風(fēng)險對醫(yī)療器械的安全性和有效性的影響。
醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險管理需要考慮整個醫(yī)療器械生命周期并適時更新。
2.網(wǎng)絡(luò)安全風(fēng)險管理過程
（1）風(fēng)險分析與評價
注冊申請人應(yīng)對網(wǎng)絡(luò)安全管理活動進(jìn)行策劃并制定網(wǎng)絡(luò)安全風(fēng)險可接受性準(zhǔn)則。注冊申請人應(yīng)考慮網(wǎng)絡(luò)安全損害的嚴(yán)重度和網(wǎng)絡(luò)安全損害的發(fā)生概率并按照接受性準(zhǔn)則決定是否需要降低風(fēng)險。
1） 網(wǎng)絡(luò)安全損害的嚴(yán)重度，例如：

2） 網(wǎng)絡(luò)安全損害的發(fā)生概率，例如：

注：發(fā)生概率應(yīng)和醫(yī)療器械具體情況相適應(yīng)
（2）風(fēng)險控制
根據(jù)風(fēng)險評價結(jié)果需要降低風(fēng)險時，注冊申請人應(yīng)識別適當(dāng)?shù)娘L(fēng)險控制措施，以把風(fēng)險降低到可接受的水平。
例如：風(fēng)險分析、評價和風(fēng)險控制措施記錄表

例如：風(fēng)險評估矩陣模型
注：下表中紅色表示不可接受風(fēng)險，黃色和綠色表示可接受風(fēng)險。表格中的數(shù)字僅作為舉例。采取風(fēng)險控制措施后，剩余風(fēng)險中不可接受風(fēng)險數(shù)量為0。
1）初始風(fēng)險分布

2）采取風(fēng)險控制措施后風(fēng)險分布

（3）風(fēng)險管理報告
注冊申請人應(yīng)形成網(wǎng)絡(luò)安全風(fēng)險管理報告，并完成風(fēng)險管理過程的評審，確認(rèn)綜合剩余風(fēng)險是可接受的。
（4） 關(guān)于上市后的風(fēng)險
注冊申請人要持續(xù)關(guān)注醫(yī)療器械上市后與醫(yī)療器械相關(guān)的網(wǎng)絡(luò)安全風(fēng)險，根據(jù)實際情況適時更新風(fēng)險分析、評價和控制文件，如法規(guī)更新、不良事件報告等。
（三）驗證與確認(rèn)
1．總體原則
網(wǎng)絡(luò)安全驗證和確認(rèn)活動的目的是確定風(fēng)險管理中采用的網(wǎng)絡(luò)安全控制手段均已得到正確的實施，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求（例如保密性、完整性、可得性等特性）均已得到滿足。
對于現(xiàn)成軟件，注冊申請人應(yīng)在網(wǎng)絡(luò)安全風(fēng)險分析過程中將其作為醫(yī)療器械的一部分進(jìn)行充分的網(wǎng)絡(luò)安全評估，并在醫(yī)療器械的網(wǎng)絡(luò)安全能力配置中予以綜合考慮。
2．驗證與確認(rèn)活動
注冊申請人應(yīng)在醫(yī)療器械產(chǎn)品研制過程中進(jìn)行網(wǎng)絡(luò)安全的驗證與確認(rèn)活動，通過分析、測試、評估、審查等手段，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求得到滿足。網(wǎng)絡(luò)安全驗證與確認(rèn)活動可以參考附錄中的19項網(wǎng)絡(luò)安全能力應(yīng)用參考，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途、使用方式和風(fēng)險評估綜合考慮每項網(wǎng)絡(luò)安全能力的驗證。
（1）應(yīng)確保在醫(yī)療器械產(chǎn)品的需求、設(shè)計、測試以及風(fēng)險管理各個階段考慮并落實網(wǎng)絡(luò)安全需求，并且保證網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范、測試以及風(fēng)險管理的一致性和完整性。
（2）應(yīng)針對醫(yī)療器械產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全測試驗證，確保所有網(wǎng)絡(luò)安全風(fēng)險控制措施都得到正確的實施。
1）應(yīng)對網(wǎng)絡(luò)安全測試活動進(jìn)行合理的策劃，包括確定測試的內(nèi)容（包括醫(yī)療器械需求中要求配置的網(wǎng)絡(luò)安全能力）、測試人員和相應(yīng)的職責(zé)、測試所需的環(huán)境、測試的技術(shù)和方法（如漏洞測試、惡意軟件測試、缺陷輸入測試、結(jié)構(gòu)化滲透測試等）、異常處理方式、測試通過的準(zhǔn)則、測試所需的資源以及測試進(jìn)度安排等。
2）應(yīng)根據(jù)測試計劃的安排設(shè)計測試用例，并按照測試用例的要求執(zhí)行測試活動，記錄原始測試結(jié)果，確保測試過程的可追溯性。對于安全軟件，注冊申請人應(yīng)針對不同的軟件、硬件運行平臺，進(jìn)行兼容性測試；如醫(yī)療器械采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式，應(yīng)進(jìn)行審查或測試驗證其對相關(guān)標(biāo)準(zhǔn)的符合性；如醫(yī)療器械采用自定義的傳輸協(xié)議和存儲格式，應(yīng)進(jìn)行完整性測試驗證。
3）應(yīng)對測試結(jié)果進(jìn)行分析和評價，確保測試活動的有效性，并對測試遺留的問題進(jìn)行評價。
3．驗證與確認(rèn)記錄
注冊申請人應(yīng)將醫(yī)療器械網(wǎng)絡(luò)安全驗證與確認(rèn)活動的結(jié)果以文檔的方式進(jìn)行記錄，確保網(wǎng)絡(luò)安全驗證與確認(rèn)活動的可追溯性。
（1）應(yīng)以文檔的形式記錄醫(yī)療器械網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計規(guī)范、測試以及風(fēng)險管理的追溯性關(guān)系。
（2）應(yīng)對網(wǎng)絡(luò)安全測試策劃活動進(jìn)行記錄并形成網(wǎng)絡(luò)安全測試計劃文檔。
（3）應(yīng)對網(wǎng)絡(luò)安全測試執(zhí)行過程、測試結(jié)果以及測試結(jié)果的分析評估進(jìn)行記錄，形成網(wǎng)絡(luò)安全測試報告。
（4）對于安全軟件，注冊申請人可將兼容性測試結(jié)果進(jìn)行單獨文檔記錄，并形成兼容性測試報告。
（5）對于采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲格式的醫(yī)療器械，注冊申請人應(yīng)記錄標(biāo)準(zhǔn)符合性審查結(jié)果；對于采用自定義的傳輸協(xié)議和存儲格式的醫(yī)療器械，注冊申請人應(yīng)對完整性測試結(jié)果進(jìn)行記錄并形成完整性測試報告。
（6）可以對實時遠(yuǎn)程控制功能醫(yī)療器械中關(guān)于遠(yuǎn)程數(shù)據(jù)相關(guān)的測試進(jìn)行單獨的文檔記錄，并形成相應(yīng)的完整性和可得性測試報告。
（四）維護(hù)計劃
1．維護(hù)流程
在醫(yī)療器械產(chǎn)品上市后，注冊申請人應(yīng)結(jié)合自身質(zhì)量管理體系要求，制定網(wǎng)絡(luò)安全維護(hù)流程，保證醫(yī)療器械的安全性和有效性。
網(wǎng)絡(luò)安全維護(hù)流程涉及到以下方面：
（1）監(jiān)控網(wǎng)絡(luò)安全信息源（包括第三方軟件組件）以識別和檢測網(wǎng)絡(luò)漏洞；
（2）了解、檢測可能發(fā)生的漏洞，評估其風(fēng)險影響；
（3）重點分析與醫(yī)療器械的安全和基本性能有關(guān)的網(wǎng)絡(luò)安全問題，特別是網(wǎng)絡(luò)安全事件相關(guān)的問題，針對其風(fēng)險和影響，制定緩解策略，使得醫(yī)療器械及時得到保護(hù)和恢復(fù)；
（4）用于修補(bǔ)漏洞的軟件更新和補(bǔ)丁程序，包括第三方軟件組件的漏洞修復(fù)（如操作系統(tǒng)，安全軟件等），需要進(jìn)行驗證和確認(rèn)；
（5）盡早地部署軟件網(wǎng)絡(luò)安全更新程序至用戶站點，并告知用戶相關(guān)更新內(nèi)容。
有關(guān)醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理，可參閱文獻(xiàn)《ISO/IEC 29147-2018 信息技術(shù) 安全技術(shù) 漏洞公告》和《ISO/IEC 30111-2013 信息技術(shù) 安全技術(shù) 漏洞處理流程》。
2. 網(wǎng)絡(luò)安全更新
具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡(luò)問題可能不斷變化，注冊申請人在醫(yī)療器械產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò)安全問題。注冊申請人應(yīng)對已上市醫(yī)療器械產(chǎn)品進(jìn)行有效、及時并持續(xù)地網(wǎng)絡(luò)安全更新。
對于已發(fā)現(xiàn)的漏洞，應(yīng)分析漏洞的可被利用性，對病人傷害的嚴(yán)重程度以及病人信息泄露的可能性，注冊申請人應(yīng)決定該漏洞的風(fēng)險是可控還是處于失控狀態(tài)，制定相應(yīng)的解決措施修復(fù)該網(wǎng)絡(luò)漏洞。與網(wǎng)絡(luò)安全事件相關(guān)的網(wǎng)絡(luò)更新，需要重點分析其風(fēng)險和影響，及時有效地提供經(jīng)驗證的解決方案。
通常的網(wǎng)絡(luò)安全更新應(yīng)包括：
（1）自研軟件的漏洞安全更新；
（2）第三方軟件（包括操作系統(tǒng)等）的漏洞安全更新；
（3）安全軟件（例如殺毒軟件等）的病毒掃描引擎的更新。
若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡(luò)安全設(shè)計是不可行的或者不能馬上實施，注冊申請人應(yīng)考慮使用網(wǎng)絡(luò)補(bǔ)償控制方案來減輕網(wǎng)絡(luò)漏洞風(fēng)險。
網(wǎng)絡(luò)補(bǔ)償控制是在缺乏有效網(wǎng)絡(luò)安全設(shè)計的前提下，提供補(bǔ)充性網(wǎng)絡(luò)防護(hù)措施。例如注冊申請人對醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)漏洞評估后，認(rèn)為對設(shè)備在未被授權(quán)的情況下進(jìn)行訪問極有可能影響設(shè)備的安全和基本性能，但是若該設(shè)備沒有連接到外部網(wǎng)絡(luò)(例如，醫(yī)院網(wǎng)絡(luò))或者使用路由器對連接進(jìn)行限定，則醫(yī)療器械仍然可以安全有效的工作。
（五）產(chǎn)品技術(shù)要求
1.數(shù)據(jù)接口
對于預(yù)期接入網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械，其數(shù)據(jù)交換方式有兩種：網(wǎng)絡(luò)（包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)）或存儲媒介（如光盤、移動硬盤、U盤等）。
對于數(shù)據(jù)交換的接口，常見的有線接口包括USB、RS232、RS485、CAN、RJ45等。近些年，無線通訊被廣泛使用，例如藍(lán)牙、WiFi、Zigbee、RFID、各種蜂窩無線網(wǎng)絡(luò)等。對于有線接口，技術(shù)要求中應(yīng)明確連接接口的規(guī)格。有線網(wǎng)絡(luò)應(yīng)明確帶寬要求。對于無線網(wǎng)絡(luò)，應(yīng)描述網(wǎng)絡(luò)類型、制式、使用頻段、數(shù)據(jù)特性（如上/下行傳輸速率）等。
注冊申請人可以采用已經(jīng)標(biāo)準(zhǔn)化的醫(yī)用數(shù)據(jù)傳輸協(xié)議或存儲格式。常見的醫(yī)療器械傳輸協(xié)議如HL7、DICOM等，醫(yī)療器械存儲格式如EDF等。注冊申請人也可以使用通用的網(wǎng)絡(luò)傳輸協(xié)議如TCP/IP、UDP、HTTP、HTTPS等。注冊申請人在產(chǎn)品技術(shù)要求中，應(yīng)明確傳輸協(xié)議/存儲格式。對于已經(jīng)標(biāo)準(zhǔn)化的傳輸協(xié)議或存儲格式除了說明協(xié)議類型之外，還應(yīng)說明協(xié)議的版本，如果用于控制，還應(yīng)說明是否為實時控制。
對于注冊申請人自定義的數(shù)據(jù)傳輸協(xié)議或存儲格式，應(yīng)在隨機(jī)文件中描述或在產(chǎn)品技術(shù)要求中提供相應(yīng)的驗證方法。
2.用戶訪問控制
醫(yī)療器械在執(zhí)行用戶訪問控制之前，應(yīng)完成對用戶身份的鑒別或認(rèn)證。認(rèn)證是系統(tǒng)驗證希望訪問系統(tǒng)的用戶身份的過程?；镜恼J(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證、數(shù)字摘要等。在產(chǎn)品技術(shù)要求中注冊申請人應(yīng)明確醫(yī)療器械所采用的用戶身份鑒別或認(rèn)證技術(shù)。
用戶訪問控制策略對醫(yī)療器械的保密性、完整性起直接的作用，是對越權(quán)使用資源的防御措施，是網(wǎng)絡(luò)安全的重要組成部分。醫(yī)療器械的使用者應(yīng)依據(jù)訪問控制策略來限制對數(shù)據(jù)和系統(tǒng)功能的訪問。用戶訪問控制的種類早期分為自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC），但隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，又出現(xiàn)了基于角色的訪問控制（RBAC）、基于任務(wù)的訪問控制（TBAC）、以及基于屬性、上下文、信譽等的訪問控制模型。隨著系統(tǒng)的復(fù)雜度變高，一個系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術(shù)要求中，注冊申請人應(yīng)明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法、用戶類型及權(quán)限。
（六）說明書
預(yù)期接入計算機(jī)網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械具有復(fù)雜的運行環(huán)境與技術(shù)生態(tài)系統(tǒng)。例如：復(fù)雜的信息基礎(chǔ)設(shè)施（如硬件、軟件、網(wǎng)絡(luò)、其他系統(tǒng)和數(shù)據(jù)接口等），參與開發(fā)、實施、臨床使用所涉及的眾多的人員、組織和機(jī)構(gòu)。醫(yī)療器械生命周期不僅包含設(shè)計、開發(fā)、也包括實施和臨床使用，其中包含醫(yī)療器械的采購、安裝、配置、數(shù)據(jù)集成或遷移、工作流實現(xiàn)與優(yōu)化、培訓(xùn)、使用與維護(hù)、退市等環(huán)節(jié)。
一般情況下，注冊申請人只涉及醫(yī)療器械的設(shè)計與開發(fā)過程，而后期的實施與臨床使用等環(huán)節(jié)的網(wǎng)絡(luò)安全可能由另外的組織和機(jī)構(gòu)來負(fù)責(zé)。注冊申請人但應(yīng)在說明書或其他文檔中提供在實施與臨床使用環(huán)節(jié)中所需要的必要信息，如運行環(huán)境、接口與訪問控制、安全軟件及軟件更新等，以保證在實施與臨床使用環(huán)節(jié)的網(wǎng)絡(luò)安全。
1.運行環(huán)境
如適用，注冊申請人在說明書中應(yīng)明確醫(yī)療器械的運行環(huán)境，包括硬件配置、軟件環(huán)境和網(wǎng)絡(luò)條件。硬件配置應(yīng)明確醫(yī)療器械安全運行所需要的最低硬件資源配置要求，如CPU、內(nèi)存、存儲與顯示要求等。軟件環(huán)境應(yīng)明確要求醫(yī)療器械運行所需要的操作系統(tǒng)等。網(wǎng)絡(luò)條件應(yīng)明確醫(yī)療器械運行所需要的網(wǎng)絡(luò)類型、帶寬等。
2.接口與訪問控制
如適用，注冊申請人在說明書中應(yīng)描述接口與訪問控制，以滿足醫(yī)療器械實施與臨床使用過程中的要求。對于接口的描述，應(yīng)能夠滿足醫(yī)療器械與網(wǎng)絡(luò)、或其它設(shè)備的安全連接。對于訪問控制的描述，應(yīng)能指導(dǎo)使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中。
3.安全軟件
在資源允許的情況下，醫(yī)療器械可使用一些安全軟件來提高醫(yī)療器械的網(wǎng)絡(luò)安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用，注冊申請人應(yīng)在說明書中明確這些軟件的名稱、版本等信息。
4.軟件更新
如適用，注冊申請人應(yīng)在說明書中明確軟件環(huán)境與安全軟件的更新需求，更新的來源、執(zhí)行的步驟等。

附錄

19項網(wǎng)絡(luò)安全能力應(yīng)用參考
1.自動登出能力（ALOF）
注冊申請人應(yīng)考慮，未授權(quán)的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù)，授權(quán)用戶會話在預(yù)先設(shè)置的一段時間后自動終止或鎖定；自動注銷能夠清除所有顯示器上的健康數(shù)據(jù)；本地授權(quán)的管理員能夠禁用該功能并設(shè)置過期時間(包括屏幕保護(hù)程序)；當(dāng)短時間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時，此功能被調(diào)用以清除顯示的健康數(shù)據(jù)；臨床用戶不會因自動下線而丟失未提交的工作。
2.審核控制能力（AUDT）
注冊申請人應(yīng)考慮，通過在設(shè)備上創(chuàng)建審計跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)的訪問、修改或刪除，從而記錄和檢查系統(tǒng)活動。將日志記錄信息作為獨立的存儲庫(在其自己的文件系統(tǒng)中記錄審計文件)使用。使用適當(dāng)?shù)膶徲媽彶楣ぞ咧С謱徲媱?chuàng)建和維護(hù)，確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下)，并確保無法編輯或刪除審計數(shù)據(jù)。審計數(shù)據(jù)可能包含個人數(shù)據(jù)和/或健康數(shù)據(jù)，所有處理(例如存取、儲存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂啤?br /> 3.確定用戶權(quán)限的能力（AUTH）
注冊申請人應(yīng)考慮適當(dāng)?shù)氖跈?quán)功能允許每個用戶僅訪問已批準(zhǔn)的數(shù)據(jù)，并執(zhí)行已批準(zhǔn)的功能。醫(yī)療器械一般支持基于許可的系統(tǒng)，提供對角色(基于角色的訪問控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)訪問。例如：
（1）操作者可使用所有適當(dāng)?shù)脑O(shè)備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作；
（2）質(zhì)量保證人員(如醫(yī)學(xué)物理學(xué)家)可以從事所有適當(dāng)?shù)馁|(zhì)量和保證測試活動；
（3）服務(wù)人員可以以支持預(yù)防性維護(hù)、問題調(diào)查和問題消除活動的方式訪問系統(tǒng)；
4.網(wǎng)絡(luò)安全配置能力（CNFS）
注冊申請人應(yīng)考慮，經(jīng)過授權(quán)的本地管理員能夠選擇使用醫(yī)療器械安全功能還是不使用醫(yī)療器械安全功能。
5.網(wǎng)絡(luò)安全升級能力（CSUP）
注冊申請人應(yīng)考慮，盡快在醫(yī)療產(chǎn)品上安裝第三方安全補(bǔ)丁。 根據(jù)客觀的、權(quán)威的、文檔化的漏洞風(fēng)險評估，優(yōu)先考慮解決高風(fēng)險漏洞的補(bǔ)丁。應(yīng)進(jìn)行充分的測試，以發(fā)現(xiàn)對醫(yī)療器械(性能或功能)可能危及患者的任何意外副作用。注冊申請人需要主動提供關(guān)于評估/驗證補(bǔ)丁的信息。
6.健康數(shù)據(jù)去標(biāo)識化能力（DIDT）
注冊申請人應(yīng)考慮，臨床用戶、服務(wù)工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數(shù)據(jù)。
7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力（DTBK）
注冊申請人應(yīng)保證在系統(tǒng)故障或損壞后，可以恢復(fù)存儲在醫(yī)療器械上的持久保存的系統(tǒng)設(shè)置和敏感數(shù)據(jù)，以便業(yè)務(wù)能夠繼續(xù)進(jìn)行。這一要求可以不適用于較小的低成本設(shè)備。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
注冊申請人應(yīng)考慮，在緊急情況下，臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數(shù)據(jù)（break-glass功能）。應(yīng)檢測、記錄和報告緊急通道。理想情況下，包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員（除了審計記錄之外）。注冊申請人可以使用特定用戶帳戶或系統(tǒng)功能的方法以滿足緊急訪問在輸入時要求并記錄自認(rèn)證用戶標(biāo)識（無需身份驗證）的要求。管理員能夠啟用/禁用依賴于技術(shù)或過程控制的醫(yī)療器械提供的緊急訪問功能。
9.數(shù)據(jù)完整性真實性確認(rèn)能力（IGAU）
注冊申請人應(yīng)考慮，通過使用包括固定媒介和可移動媒介，來確保健康數(shù)據(jù)是可靠的，不會被篡改。
10.惡意軟件的防止、檢測與清除能力（MLDP）
注冊申請人應(yīng)考慮，相關(guān)法規(guī)和用戶需求，以確?？梢杂行ьA(yù)防、檢測和刪除惡意軟件。對防止惡意軟件的應(yīng)用程序及惡意軟件模式數(shù)據(jù)文件及時進(jìn)行軟件更新，及時對當(dāng)前操作環(huán)境、系統(tǒng)、數(shù)據(jù)文件和應(yīng)用程序進(jìn)行補(bǔ)丁更新。并對設(shè)備更新后進(jìn)行驗證測試。
11.通信對象、通信節(jié)點的身份驗證能力（NAUT）
注冊申請人應(yīng)考慮管理跨節(jié)點的賬戶的訪問，以保護(hù)健康數(shù)據(jù)?？梢灾С知毩⒐芾砘蚣泄芾怼ＶС指鶕?jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行節(jié)點認(rèn)證。檢測和防止實體偽造（提供不可抵賴性）。
12.驗證合法用戶的能力（PAUT）
注冊申請人應(yīng)考慮管理賬戶以保護(hù)健康數(shù)據(jù)的能力。提供基于角色的訪問控制（RBAC）。用戶可以將個人**項與用戶賬戶關(guān)聯(lián)?？梢灾С知毩⒒蚣泄芾怼我毁~號登錄所有工作地點且密碼相同?？刂茖υO(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問并生成不可否認(rèn)的審計跟蹤。發(fā)現(xiàn)和防止人員造假（提供不可抵賴性）。
13.物理保護(hù)能力（PLOK）
注冊申請人應(yīng)根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)量保證其存儲安全性。合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。確保篡改（包括設(shè)備移除）是可以檢測到的。
14.第三方組件管理能力（RDMP）
注冊申請人應(yīng)對醫(yī)療器械提供明確的預(yù)期壽命說明，并對提供第三方組件的服務(wù)商對其醫(yī)療器械生命周期內(nèi)維護(hù)或支持相應(yīng)的系統(tǒng)進(jìn)行要求。當(dāng)平臺組件過時的情況下，需要及時進(jìn)行更新和升級。在存儲設(shè)備退役（丟棄、重用、轉(zhuǎn)售或回收）之前，服務(wù)提供商需不可逆地擦除健康數(shù)據(jù)。這些活動應(yīng)該被記錄和審計。銷售和服務(wù)人員應(yīng)了解對每個醫(yī)療器械在其生命周期中提供的安全支持。
15.系統(tǒng)與應(yīng)用加固能力（SAHD）
注冊申請人應(yīng)給用戶提供一個穩(wěn)定的系統(tǒng)，并且只提供那些根據(jù)其預(yù)期用途而指定和需要的服務(wù)，同時進(jìn)行最少的維護(hù)活動。并且要求連接到它們的網(wǎng)絡(luò)的系統(tǒng)在交付時是安全的以加強(qiáng)對誤用和攻擊的抵御能力。注冊申請人應(yīng)將用戶反饋的用戶設(shè)備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風(fēng)險分析和管理進(jìn)行漏洞的修復(fù)，并及時更新交付。
16.對操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力（SGUD）
注冊申請人應(yīng)讓操作人員清楚地了解自己的職責(zé)和安全的系統(tǒng)工作方式。管理員需要關(guān)于管理、定制和監(jiān)視系統(tǒng)的信息（即訪問控制列表、審計日志等）。管理員需要清楚地了解安全功能，以便根據(jù)適當(dāng)?shù)姆ㄒ?guī)要求進(jìn)行健康數(shù)據(jù)風(fēng)險評估。銷售和服務(wù)應(yīng)包括系統(tǒng)的安全能力和安全工作方式的信息。用戶應(yīng)知道如何以及何時將用戶設(shè)備中可能存在的安全漏洞和察覺到的弱點通知注冊申請人。
17.存儲保密能力（STCF）
注冊申請人應(yīng)合理保證儲存在醫(yī)療器械或媒介上的健康數(shù)據(jù)的安全。基于風(fēng)險分析，考慮對存儲在醫(yī)療器械上的健康數(shù)據(jù)進(jìn)行加密。對于臨床用戶、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師使用的存儲在可移動媒介上的健康數(shù)據(jù)，加密可以保護(hù)其機(jī)密性/完整性。應(yīng)考慮使用正常使用、服務(wù)訪問、緊急訪問一致的加密密鑰管理機(jī)制。加密方法和強(qiáng)度應(yīng)考慮數(shù)據(jù)量和敏感性。
18.傳輸保密能力（TXCF）
注冊申請人應(yīng)考慮在經(jīng)過身份驗證的節(jié)點之間傳輸健康數(shù)據(jù)的機(jī)密性。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
注冊申請人應(yīng)考慮在相對開放的網(wǎng)絡(luò)或環(huán)境中傳輸健康數(shù)據(jù)，需保證健康數(shù)據(jù)的完整性。

參考文獻(xiàn)：

1）《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》（原國家食品藥品監(jiān)督管理總局2015年第50號通告）
2）《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》（原國家食品藥品監(jiān)督管理總局2017年第13號通告）
3）《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（中華人民共和國國務(wù)院令第147號）
4）中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（中網(wǎng)辦發(fā)文〔2017〕4號）
5）GB/T 29246-2012信息安全技術(shù) 信息安全管理體系概述和詞匯
6）GB/T 20984-2015 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范
7）GB/T 22239-2019信息系統(tǒng)安全等級保護(hù)基本要求
8）GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求
9）GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求
10) GB 17859-1999 計算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則
11）YY/T 0316-2016 醫(yī)療器械 風(fēng)險管理對醫(yī)療器械的應(yīng)用
12）IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險管理應(yīng)用.第2-2部分 醫(yī)療器械安全
13）T/ZMDS 20001-2016 風(fēng)險管理在IT網(wǎng)絡(luò)引入醫(yī)療器械時的應(yīng)用 第1部分：角色、責(zé)任與活動
14）T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險控制 – 醫(yī)療器械網(wǎng)絡(luò)安全能力信息
15）ISO/IEC 27035-2011 Information technology - Security techniques - Information security incident management
16）ISO/IEC 27035-1:2016 Part 1: Principles of incident management
17）ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
18）ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
19）ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
20）ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
21）ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
22）ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
22）ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
23) IEC/TR 80001-2-3:2012: Part 2-3: Application of risk management for IT-networks incorporating medical devices - Guidance for wireless networks
24）IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
25）IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
26）HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security