医疗器械网络安全注册审查指导原则修订变化对比表.pdf

该【医疗器械网络安全注册审查指导原则修订变化对比表 】是由【青山代下】上传分享，文档一共【8】页，该文档可以免费在线阅读，需要了解更多关于【医疗器械网络安全注册审查指导原则修订变化对比表 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..序号与旧版新版项目本指导原则作为《医疗器械1指导本指导原则是数字医疗(DigitalHealth)指导原则体系的重软件注册技术审查指导原原则的则》的补充,应结合《医疗要组成部分,亦是医疗器械软件指导原则的补充地位器械软件注册技术审查指导原则》的相关要求使用。本指导原则适用于具有网络本指导原则适用于医疗器械网络安全的注册申报,、远程访问与控制、用户访问三种功能当中一换或远程控制的第二类、第种及以上功能的第二、三类独立软件和含有软件组件的医疗三类医疗器械产品的注册申器械(包括体外诊断医疗器械);适用于自研软件、现成软报。本指导原则也适用于采件的注册申报。本指导原则也可用作医疗器械软件、质量管用存储媒介以进行电子数据理软件的体系核查参考。交换的第二类、第三类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘。健康数据:标明生理、心理医疗数据是指医疗器械所产生的、(含日志),从个人信息保护角度又可分为敏感医疗数健康状况的私人数据(“Priv概念据、非敏感医疗数据,其中敏感医疗数据是指含有个人信息的医疗数据[1],反之即为非敏感医疗数据。个人信息是指以ateData”,又称个人数据“P电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,如自然人的姓名、出生日期、身ersonalData”、敏感数据“S份证件号码、个人生物识别信息(含容貌信息)、住址、电话号码等。ensitiveData”,指可用于人员身份识别的相关信息),涉及患者隐私信息;设备数据:描述设备运行状设备数据是指记录医疗器械运行状况的数据(含日志),用况的数据,用于监视、控制于监视、控制医疗器械运行或者医疗器械的维护与升级,不设备运行或用于设备的维护得含有个人信息。保养,本身不涉及患者隐私信息。医疗器械电子接口(含硬件接口、软件接口)包括网络接口、/电子数据交换接口,若无明示均指外部接口,分体式医疗器械各独立部分的内部接口视为外部接口,如服务器与客户端、主机与从机的内部接口。网络接口是指基于网络的电子接口。:通过网络(包括无口(含转接接口)进行电子数据交换或远程访问与控制,此线网络、有线网络)进行电时需考虑网络的技术特征要求,包括但不限于网络形式(有子数据交换或远程控制,需线、无线)、网络类型(如广域网、局域网、个域网)、接要考虑网络相关要求(如接口形式(如电口、光口)、数据接口(此时即数据协议,含口、带宽等),数据传输协标准协议、私有协议)、远程访问与控制方式(实时、非实议需考虑是否为标准协议时)、性能指标(如端口、传输速率、带宽)等。(即业内公认标准所规范的协议),远程控制需考虑是:..否为实时控制;/无线网络包括Wi-Fi()、蓝牙()、射频、红外、4G/5G等形式,其中医用无线专用设备(即未采用通用无线通信技术的医疗器械)应符合中国无线电管理相关规定。存储媒介:通过存储媒介(如电子数据交换接口是指基于非网络的电子接口。医疗器械可光盘、移动硬盘、U盘等)通过非网络接口的其他电子接口(如串口、并口、USB口、进行电子数据交换,数据储视频接口、音频接口,含调试接口、转接接口)或存储媒介存格式需考虑是否为标准格(如光盘、移动硬盘、U盘)进行电子数据交换。此时需考式(即业内公认标准所规范的格式)。虑其他电子接口或数据存储的技术特征要求。数据存储的技术特征要求包括但不限于存储媒介形式、数据接口(此时即文件存储格式,含标准格式、私有格式)、数据压缩方式(有损、无损)、性能指标(如传输速率、容量)等。标准格式即业内公认标准所规范的文件存储格式,如JPEG、PNG等,需考虑其文件格式完整性问题;私有格式需考虑兼容性问题。:自动注22项网络安全能力:(ALOF):产品在无人值守安全能销(ALOF)、审核控制(A期间阻止非授权用户访问和使用的能力。(AUDT):力UDT)、授权(AUTH)、安产品提供用户活动可被审核的能力。(AUTH):产品FS)、网络确定用户已获授权的能力。(NAUT):产品鉴别安全产品升级(CSUP)、健网络节点的能力。(PAUT):产品鉴别授权用户康数据身份信息去除(DID的能力。(CONN):产品保证连通网络安全可控T)、数据备份与灾难恢复(D的能力。(PLOK):产品提供防止非授权用户访TBK)、紧急访问(EMRG)、问和使用的物理防护措施的能力。(SAHD):产健康数据完整性与真实性(I品通过固化措施对网络攻击和恶意软件的抵御能力。)、恶意软件探测与防标识化与匿名化(DIDT):产品直接去除、匿名化数据所含护(MLDP)、网络节点鉴别个人信息的能力。(IGAU):产品确(NAUT)、人员鉴别(PA保数据未以非授权方式更改且来自创建者或提供者的能力。1UT)、物理锁(PLOK)、(DTBK):产品的数据、硬件或软件第三方组件维护计划(RDM受到损坏或破坏后恢复的能力。:..P)、系统与应用软件硬化(S(STCF):产品确保未授权访问不会损坏存储媒介所存数据AHD)、安全指导(SGUD)、保密性和完整性的能力。(TXCF):产品健康数据存储保密性(STC确保数据传输保密性的能力。(TXIG):F)、传输保密性(TXCF)产品确保数据传输完整性的能力。(CS传输完整性(TXIG)UP):授权用户安装/升级产品网络安全补丁的能力。(SBOM):产品为用户提供全部现成软件清单的能力。(RDMP):产品在全生命周期中对现成软件提供网络安全维护的能力。(SGUD):产品为用户提供网络安全使用指导的能力。):产品根据用户需求配置网络安全特征的能力。(EMRG):产品在预期紧急情况下允许用户访问和使用的能力。(RMOT):产品确保用户远程访问与控制(含远程维护与升级)的网络安全的能力。(MLDP):产品有效探测、阻止恶意软件的能力。应制定网络安全事件应急响应预案,涵盖现成软件要求,、探测与报告、评估与决策、应急响应实施、安全事总结与改进等阶段的任务和要求。建立网络安全事件应急响件应急应团队,根据工作职能形成管理、规划、监测、响应、实施、响应分析等工作小组,必要时可邀请外部网络安全专家成立专家小组。:影响(1)重大网络安全更新:影响到医疗器械的安全性或有效性器械网到医疗器械的安全性或有效的网络安全更新,即重大网络安全功能更新,应申请变更注络安全性的网络安全更新;。(2)轻微网络安全更新:不影响医疗器械的安全性与有更新网络安全更新:不影响医疗效性的网络安全更新,包括轻微网络安全功能更新、网络安器械的安全性与有效性的网全补丁更新。络安全更新,如常规安全补丁。网络安全功能更新若影响到医疗器械的预期用途、,包括但不限于:网络安产品预期运行的网络环境发生改变,如由封闭网络环境变为全更新开放网络环境、局域网变为广域网、有线网络变为无线网络;:..判定原产品预期使用的电子接口发生改变,如接口形式由网口变为U则SB口、接口类型由少变多、接口功能由电子数据交换扩至远程控制;产品网络安全能力发生实质性改变,如自动注销能力由操作系统自带功能实现改为产品自身功能实现、物理防护能力由有变无等。除非影响到医疗器械的安全性或有效性,以下网络安全功能更新和网络安全补丁更新通常视为轻微网络安全更新:产品预期运行的网络环境数据传输效率单纯提高,预期使用的电子接口原有功能单纯优化、传输效率单纯提高,产品网络安全能力发生非实质性改变;医疗器械软件、必备软件、外部软件环境的网络安全补丁更新。;在特殊情形下,网络安全的安全性级别可低于器械网软件的安全性级别,此时需详述理由并按网络安全的安全性络安全级别提交相应注册申报资料。的安全性级别与医疗器械软件类似,,包括上市前、上市后等阶段。医命周期疗器械上市前结合质量管理体系要求和医疗器械产品特性开质控展网络安全质控工作,保证医疗器械的安全有效性;上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动,持续保证医疗器械的安全有效性。同时,建立网络安全事件应急响应过程,定期开展医疗器械网络安全漏洞风险评估工作,根据网络安全漏洞披露相关要求,及时将必要的网络安全相关信息以及应对措施告知用户。此外,可采用信息安全领域的良好工程实践[2]来完善医疗器械网络安全质控工作,以保证医疗器械的安全有效性。本指导原则不要求注册申请人单独建立医疗器械网络安全生10医疗/存周期(又称生命周期)过程,而是将其作为医疗器械软件器械网生存周期过程的重要组成部分予以整体考虑,待时机成熟时络安全予以考量。生存周期过程《国家健康医疗大数据标准、安全和服务管理办法(试行)》:健康医疗大数据应存储在境内安全可信的服务器上,数据出因业务需要确需向境外提供的,应按照相关法律法规及有关境要求进行安全评估审核。医疗数据通常属于重要数据[3],特别是敏感医疗数据含有个人信息,因此医疗数据出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。,本身虽不涉及医疗数据,但若未能实现设备数据和医疗维护与数据的有效隔离,则存在医疗数据未授权访问和使用以及被升级篡改的可能性。远程维护与升级所用电子接口也面临网络攻击的威胁,可能会影响医疗器械正常运行,导致患者受到伤害或死亡以及隐私被侵犯。医疗器械在远程维护与升级过程:..中若无人值守,则可能存在医疗器械非授权访问和使用的风险。家用医疗器械的远程维护与升级需考虑其对产品正常使用的影响及其风险。因此,注册申请人需明确远程维护与升级的实现方法、所用电子接口情况、设备数据所含内容、设备数据与医疗数据的隔离方法、网络安全保证措施等技术特征,并提供相应研究资料和风险管理资料。此外,境外远程维护与升级若可访问医疗数据,亦应符合医疗数据出境要求。(EOL)、停止售后服务(E设备OS)两个时间点判定其是否属于遗留设备:在售(以注册证时效为准)的医疗器械均非遗留设备;停售但未停止售后服务的医疗器械,若无法通过合理风险控制措施抵御当前网络安全威胁则为遗留设备,反之不属于遗留设备;停止售后服务的医疗器械均为遗留设备。对于注册证失效但尚未停止售后服务、注册证有效但已停售的医疗器械,注册人应根据质量管理体系要求向现有用户提供必要的网络安全相关信息以及应对措施,以保证医疗器械的网络安全。若无法保证医疗器械的网络安全,按遗留设备处理。对于注册证有效且在售的医疗器械,若无法通过合理风险控制措施抵御当前网络安全威胁,则注册人应根据质量管理体系要求制定相应风险控制措施,并申请变更注册。(1)类型:(1)软件信息明确申报医疗器械软件的名称、型软件网号规格、发布版本以及软件安全性级别。若网络安全的安全数据、设备数据;(2)功能:络安全性级别低于软件的安全性级别,详述理由并按网络安全的安研究报电子数据交换(单向、双向)、全性级别提交相应注册申报资料。(2)数据架构提供申报医告远程控制(实时、非实时);疗器械在每个使用场景(含远程维护与升级,下同)下的网(3)用途:如临床应用、设络环境和数据流图,并依据图示描述医疗器械相关数据和电子接口的基本情况。数据情况明确医疗器械相关数据的类型备维护等;(4)交换方式:(敏感医疗数据、非敏感医疗数据、设备数据),并依据数网络(无线网络、有线网络)据类型明确每类数据的具体内容(如个人信息、医疗活动信及要求(如传输协议(标准、息、设备运行信息)、功能(如单向、双向电子数据交换,自定义)、接口、带宽等),实时、非实时远程访问与控制)、用途(如医疗活动、设备存储媒介(如光盘、移动硬维护)等。电子接口情况逐项说明每个网络接口、电子数据交换接口的预期用户、使用场景、预期用途、数据类型、技盘、U盘等)及要求(如存术特征、使用限制.(3)网络安全能力22项网络安全能力,储格式(标准、自定义)、容量等);对于专用无线设逐项分析申报医疗器械对于该项网络安全能力的适用性,详备(非通用信息技术设备),述适用网络安全能力的实现方法以及不适用理由。若适用,还应提交符合无线电管理规提供其他网络安全能力的适用情况说明。(4)网络安全补丁定的证明材料;(5)安全软提供申报医疗器械(含必备软件、外部软件环境)的网络安件:描述安全软件(如杀毒全补丁列表,明确网络安全补丁的名称、完整版本、发布日软件、防火墙等)的名称、期。可另附文件。(5)安全软件描述申报医疗器械兼容或所型号规格、完整版本、供应用的安全软件(如杀毒软件、防火墙等)的名称、型号规格、:..商、运行环境要求;(6)现完整版本、供应商、运行环境、防护规则配置要求。:描述现成软件(包程(1)风险管理提供申报医疗器械网络安全的风险分析报告、括应用软件、系统软件、支持软件)的名称、型号规格、风险管理报告,另附网络安全开发所形成的原始文件。亦可完整版本和供应提供医疗器械软件的风险管理文档,但需注明网络安全情况。商。(2)需求规范提供申报医疗器械的网络安全需求规范文档,管理提供医疗器械网络安全另附网络安全开发所形成的原始文件。亦可提供医疗器械软风险管理的分析报告和总结件的需求规范文档,但需注明网络安全情况。(3)验证与确报告,确保全部剩余风险均认提供申报医疗器械的网络安全测试计划和报告,另附网络是可接受的。。亦可提供医疗器械软件的系统确认提供网络安全测试计划测试计划和报告,但需注明网络安全情况。对于安全软件,和报告,证明医疗器械产品提供兼容性测试报告。对于标准传输协议或存储格式,若其满足的网络安全需求(如保密性、医疗器械网络安全需求出具真实性声明即可,反之提供相应证明材完整性、可得性等特性)均料;对于私有传输协议或存储格式,提供完整性测试总结报告。对已得到满足。同时还应提供于实时远程访问与控制功能,提供完整性和可得性等网络安网络安全可追溯性分析报全特性的测试报告。对于医用无线专用设备,提供符合无线告,即追溯网络安全需求规电管理相关规定的证明材料。(4)可追溯性分析提供申报医范、设计规范、测试、风险管理的关系表。对于安全软疗器械的网络安全可追溯性分析报告,汇总列明网络安全需件,应提供兼容性测试报告。求规范文档、网络安全设计规范文档、源代码(明确软件单对于标准传输协议或存储格元名称即可)、网络安全测试报告、网络安全风险分析报告式,应提供标准符合性证明材之间的对应关系。亦可提供医疗器械软件的可追溯性报告,料,而对于自定义传输协议或但需注明网络安全情况。(5)维护计划轻微级别:提供申报存储格式,应提供完整性测试总结报告。对于实时远程控制医疗器械网络安全更新的流程图,并依据图示描述相关活动。功能,应提供完整性和可得中等、严重级别:在轻微级别的基础上,提供网络安全事件应急响应的流程图,并依据图示描述相关活动;或者提供网性测试报告。。若适用,全部级别均需提供计划描述软件(含现成软件)远程维护与升级的流程图,并依据图示描述相关活动。,包括更新确认和用户告评估轻微级别:按照现行有效的通用漏洞评分系统(CVSS)知。//所定义的漏洞等级,明确申报医疗器械(含必备软件、外部软件环境,下同)已知漏洞总数和已知剩余漏洞数。中等级别:提供网络安全漏洞自评报告,明确***所用软件工具、漏洞库(基于国家信息安全漏洞库或互认的国际信息安全漏洞库)的基本信息(如名称、完整版本、发布日期、供应商等),按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数,列明已知剩余漏洞的内容、对产品的影响及综合剩余风险,确保产品综合剩余风险均可接受。亦可补充网络安全评估机构出具的网络安全漏洞评估报告。严重级别:提供网络安全漏洞自评报告、网络安全评估机构出具的网络安全漏洞评估报告,明确已知剩余漏洞的维护方:..案,确保产品综合剩余风险均可接受。,判定申报医疗器械的网络安全是否满足要求,受益是否大于风险。(含现成软件)常规安布,包括网络安全功能更新、网络安全补丁更新等研究报告。软件网全补丁的情况说明(补丁描网络安全功能更新研究报告适用于自研软件发生重大、轻微络安全述、影响分析、用户告知计网络安全功能更新,或合并网络安全补丁更新的情形1基本更新研划)、测试计划与报告、新究报告增已知剩余缺陷情况说明信息(1)软件信息(2)数据架构(3)网络安全能力(4)(证明新增风险均是可接受的)。网络安全补丁(5)(1)风险管理(2)验证与确认(3)可追溯性分析(4)(1)部分使用方式医疗软件网器械软件同时使用自研软件和现成软件组件,无需单独提交络安全网络安全研究报告,基于医疗器械软件的安全性级别,在自研究资研软件网络安全研究报告适用条款中说明现成软件组件的情料况。适用条款包括软件信息、数据架构、网络安全能力、网络安全补丁、风险管理、需求规范、验证与确认、可追溯性分析、维护计划、漏洞评估、结论。(2)全部使用方式对于全部使用方式,即医疗器械软件全部为现成软件组件,需要单独提交现成软件组件网络安全研究报告,其内容与自研软件研究报告相同,但需基于现成软件组件(此时即医疗器械软件)的安全性级别予以说明。,其网络安全及其更新的研究资料要求与外部软件环境评估报告相同,具体要求详见医疗器械软件指导原则第八章。自研软件网络安全研究资料亦含有外部软件环境的网络安全补丁、漏洞评估等要求,故无需单独提交外部软件环境网络安全评估资料。/(1)部分使用方式若现成软件组件发生网络安全更新,网络成软件安全功能更新在自研软件网络安全功能更新研究报告的基础网络安上,说明现成软件组件的变化情况,不适用条款说明理由;全更新网络安全补丁更新要求与自研软件相同。(2)全部使用方式研究若现成软件组件发生网络安全更新,网络安全功能更新在现成软件组件网络安全功能更新研究报告的基础上,说明现成软件组件的变化情况,不适用条款说明理由;网络安全补丁更新要求与自研软件相同。:..说明书应提供关于网络安全说明书提供网络安全说明和使用指导,,明确运行环境制、电子接口(含网络接口、电子数据交换接口)及其数据书(含硬件配置、软件环境和类型和技术特征、网络安全特征配置、数据备份与灾难恢复、网络条件)、安全软件(如运行环境(含硬件配置、外部软件环境、网络环境,若适用)、杀毒软件、防火墙等)、数安全软件兼容性列表(若适用)、外部软件环境与安全软件据与设备(系统)接口、用更新(若适用)、现成软件清单(SBOM,若适用)等要求。户访问控制机制、软件环境(含系统软件、支持软件、应用软件)与安全软件更新的相关要求。注册申请人应在产品技术要并入《医疗器械软件注册审查指导原则》、用户访问控制的要求:求(1)数据接口:传输协议/存储格式;(2)用户访问控制:用户身份鉴别方法、用户类型及权限。