服务热线:400-636-6888

健康生活
网站首页 > 新闻资讯 > 行业新闻

网络安全事关器械安全有效——总局解读《医疗器械网络安全注册技术审查指导原则》

2017-03-11 13:55:29 上海冠瑞医疗设备股份有限公司 阅读

11.jpg

      总局着重对《指导原则》的适用范围、注册人责任、关注重点、医疗器械网络安全、医疗器械相关数据、医疗器械网络安全能力、现成软件网络安全、医疗器械网络安全更新、与其他指导原则关系9个方面进行了解读。

      1、适用范围  
      《指导原则》适用于具有网络连接功能以进行电子数据交换或远程控制以及采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品(包括境内、进口)的注册申报,适用的注册方式包括产品注册、许可事项变更、延续注册。

      2、注册人责任  
      注册人应当在医疗器械全生命周期过程(包括设计开发、生产、分销、部署、维护)中保证医疗器械产品自身的网络安全,从而保证其安全性和有效性。注册人应当在医疗器械产品注册申请中提交相应网络安全注册申报资料,以证明医疗器械产品的安全性和有效性。

      3、关注重点  
      医疗器械网络安全防护层级包括产品级(即医疗器械产品自身)和系统级(即医疗信息技术网络),保证措施包括管理措施(如使用规范等)、物理措施(如防盗措施等)和技术措施(如加密技术等),《指导原则》以医疗器械数据安全为核心主要关注产品级的技术保证措施。

      4、医疗器械网络安全  
      医疗器械网络安全是指保持医疗器械相关数据的保密性、完整性和可得性。保密性指数据不能被未授权的个人、实体利用或知悉的特性,即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问;完整性指保护数据准确和完整的特性,即医疗器械相关数据是准确和完整的,且未被篡改;可得性指根据授权个人、实体的要求可访问和使用的特性,即医疗器械相关数据能以预期方式适时进行访问和使用。

      5、医疗器械相关数据  
      医疗器械相关数据包括健康数据和设备数据。健康数据指标明生理、心理健康状况的私人数据(又称个人数据或敏感数据,指可用于人员身份识别的相关信息),涉及患者隐私信息;设备数据指描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息。

      6、医疗器械网络安全能力  
      医疗器械网络安全能力包括对网络安全威胁的识别、防护、探测、响应、恢复的能力。医疗器械对网络安全威胁应当具备相应识别、防护能力,而由于预期用途、使用环境的限制,医疗器械对网络安全威胁的探测、响应、恢复能力应当与其产品特性相适应。

      7、现成软件网络安全  
      对属于应用软件的现成软件,应当重点关注其网络安全问题对医疗器械临床应用的影响。对属于系统软件或支持软件的现成软件,应当重点关注安全补丁更新对医疗器械的影响。

      8、医疗器械网络安全更新  
      医疗器械网络安全更新可分为重大网络安全更新和轻微网络安全更新。重大网络安全更新是指影响到医疗器械的安全性或有效性的网络安全更新;轻微网络安全更新是指不影响医疗器械的安全性与有效性的网络安全更新,如常规安全补丁。医疗器械产品发生重大网络安全更新应进行许可事项变更,而发生轻微网络安全更新通过质量管理体系进行控制,无须进行许可事项变更,待到下次注册时提交相应注册申报资料。

      9、与其他指导原则关系  
      《指导原则》是对《医疗器械软件注册技术审查指导原则》(以下简称《软件指导原则》)的补充,应结合《软件指导原则》的相关要求使用《指导原则》。
 
      明确注册人责任与要求
      总局指出,为平衡医疗器械网络安全监管和行业健康发展的关系,保证《指导原则》顺利实施,《指导原则》的实施设置过渡期,将于2018年1月1日正式施行。在过渡期内,注册人应当结合《指导原则》要求做好相应准备工作,同时可以自主决定是否按照《指导原则》要求提交医疗器械网络安全注册申报资料。自实施之日起,注册人应当提交医疗器械网络安全注册申报资料。

      按照要求,进行产品注册,注册人应当单独提交一份网络安全描述文档,在产品技术要求中明确数据接口、用户访问控制的要求,在说明书中明确网络安全相关要求。进行许可事项变更,注册人应当根据网络安全更新情况提交网络安全描述文档、常规安全补丁描述文档或无变化真实性声明,如适用应当在产品技术要求和说明书中体现网络安全的变更内容。进行延续注册,如适用,注册人应当单独提交一份常规安全补丁描述文档。

      医疗器械网络安全文档包括网络安全描述文档、常规安全补丁描述文档。网络安全描述文档内容包括基本信息、风险管理、验证与确认、维护计划,适用于产品注册、重大网络安全更新;常规安全补丁描述文档内容包括情况说明、测试计划与报告、新增已知剩余缺陷情况说明,适用于轻微网络安全更新。

      按照要求,注册人应当结合自身质量管理体系的要求和医疗器械产品特点来保证其网络安全,包括上市前和上市后的要求;还可采用信息安全领域良好工程实践来完善医疗器械产品的网络安全管理。应当结合医疗器械产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。

      注册人应当根据医疗器械的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证医疗器械产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。应当重视现成软件的网络安全问题,结合质量管理体系的要求和现成软件的类型,采用基于风险管理的方法保证现成软件的网络安全。应当区分医疗器械网络安全更新的类型,根据网络安全更新对于医疗器械产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按《指导原则》要求提交相应注册申报资料。软件版本命名规则应考虑网络安全更新的情况。应当遵循网络安全相关国家法律法规和有关部门规章的规定,如《中华人民共和国网络安全法》、《人口健康信息管理办法(试行)》《国家卫生计生委关于推进医疗机构远程医疗服务的意见》等。注册人可参考与网络安全相关的国际标准及技术报告的要求来保证医疗器械产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。


来源:网络