2022年3月,国家药监局器审中心发布修订版的《医疗器械网络安全注册审查指导原则》(2022年第7号),新修订的医疗器械网络安全指导原则针对网络安全概念进行了梳理,重点对网络安全应急响应、网络安全更新、全生命周期质控、数据出境、软件维护与升级、自研软件安全评估与管理等方面进行了修订。其中注册申请人可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。
目前,指导原则中提到的网络安全能力共22项,其中19项参考了IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls。美国国家电气制造商协会和医疗保健信息和管理系统协会(NEMA)关于医疗器械网络安全能力披露出具了一份《Manufacturer Disclosure Statement for Medical Deceive Security-MDS2》(HN 1-2013)供制造商进行参考,企业在进行网络安全能力自我评估时也可以参考这份文件。
《医疗器械网络安全注册审查指导原则》未对网络安全能力进行详细解释,中关村器械产业联盟等参考IECTR 80001系列标准制定了关于器械网络安全能力的团体标准。
1.自动注销(ALOF):产品在无人值守期间阻止非授权用户访问和使用的能力。
减少从无人值守的工作场所未经授权访问健康数据的风险
如果系统或工作地点闲置一段时间,防止被其他用户滥用。
在MDS2 (HN 1-2003)中的评估要素:
2.审核控制(AUDT):产品提供用户活动可被审核的能力。
制定统一的方法来审核数据正在被何人用做何事,以方便医疗服务提供方能够利用共有的机制、标准和技术来进行监视
通过审核追踪对系统的数据访问、修改或删除予以记录,从而跟踪和检查系统的活动。
在MDS2 (HN 1-2003)中的评估要素:
3.授权(AUTH):产品确定用户已获授权的能力。
避免未经授权访问数据和功能,以确保系统和数据的保密性、完整性和可用性,以及确保数据和系统的有限制使用。
正如医疗服务提供方的IT策略所定义的那样,基于经过身份验证的个人用户的身份,授权能力允许每个用户只能访问已批准的数据,并只能在设备上执行已批准的功能。
在MDS2 (HN 1-2003)中的评估要素:
4.网络安全特征配置(CNFS):产品根据用户需求配置网络安全特征的能力。
经授权的IT管理员可以选择如何配置器械的网络安全功能,来满足医疗服务提供方的策略和工作流程
在MDS2 (HN 1-2003)中的评估要素:
5.网络安全补丁升级(CSUP):授权用户安装/升级产品网络安全补丁的能力。
建立一个统一的方式,由现场服务人员、远程服务人员以及可能授权的医疗服务提供方人员安装/升级产品安全补丁(可下载补丁)。
在MDS2 (HN 1-2003)中的评估要素:
网络安全是医疗器械软件产品安全性和有效性的重要组成部分,含有软件组件的有源医疗器械或独立软件产品注册申报过程,需要针对网络安全制定相应的安全措施。本系列文章包含了二十二项医疗器械网络安全能力的详解,医疗器械企业可参考自评,更多关于医疗器械软件相关内容可关注本公众号或与我们联系沟通实际软件产品合规应对技巧。
6.数据去标识化与匿名化(DIDT):产品直接去除、匿名化数据所含个人信息的能力
设备(应用软件或附加工具)能够直接删除能够识别患者的信息。
在运回工厂前进行数据清洗;架构设计允许远程服务,但不需要健康数据访问/暴露
在MDS2 (HN 1-2003)中的评估要素:
6 |
数据去识别化与匿名化(DIDT) |
|
器械直接删除允许识别个人身份的信息的能力。 |
6月1日 |
器械是否提供了对私人数据进行去识别化处理的完整功能? |
7.数据备份与灾难恢复(DTBK):产品的数据、硬件或软件受到损坏或破坏后恢复的能力。
确保医疗服务机构在数据、硬件、软件遭到损坏或者破坏后仍能继续服务
注:本项不适用于某些小型、低成本的医疗器械;也不适用于某些具有能力采集新一轮数据的医疗器械(如:无线网络的短暂断开导致心率数据的短暂丢失)
在MDS2 (HN 1-2003)中的评估要素:
7 |
数据备份与灾难恢复(DTBK) |
|
器械数据、硬件或软件损坏或破坏后恢复的能力。 |
7月1日 |
器械是否具有完整的数据备份功能(即:备份到远程存储库或磁带、磁盘等可移动介质)? |
8.紧急访问(EMRG):产品在预期紧急情况下允许用户访问和使用的能力。
在紧急情况下,临床用户可以在不适用个人ID或者未经授权的情况下访问健康数据
紧急访问应可被检测、记录和报告。理想情况下,包括以某种方式立即通知系统管理员或医务人员(除了审核记录外)。
紧急访问仍可能要求用户登记自我声明(未经认证)的用户身份
在MDS2 (HN 1-2003)中的评估要素:
8
|
紧急访问(EMRG)
|
|
器械用户在需要立即访问存储的私人数据的紧急情况下访问私人数据的能力。
|
8-1
|
器械是否具有紧急访问(“打碎玻璃”)功能?
|
9.数据完整性与真实性(IGAU):产品确保数据未以非授权方式更改且来自创建者或提供者的能力。
保证健康数据来源可靠,不会在未经授权的情况下被篡改或毁坏,确保数据的完整性
在MDS2 (HN 1-2003)中的评估要素:
9
|
数据完整性与真实性(IGAU)
|
|
器械如何保证器械处理的数据没有被擅自更改或销毁,而是由原创者进行相关操作。
|
9-1
|
器械是否通过隐式或显式错误检测/纠正技术保证存储数据的完整性?
|
10.恶意软件探测与防护(MLDP):产品有效探测、阻止恶意软件的能力。
产品满足监管、医疗服务提供方和使用者的要求,有效地防护、探测和去除恶意软件
由于恶意软件会不断更新,因此操作系统和应用程序要及时打补丁
在MDS2 (HN 1-2003)中的评估要素:
10
|
恶意软件探测与防护(MLDP)
|
|
器械有效预防、检测和删除恶意软件的能力。
|
10-1
|
器械是否支持使用反恶意软件的软件(或其他反恶意软件机制)?
|
|
10-1.1
|
用户是否可以独立地重新配置反恶意软件设置?
|
|
10-1.2
|
器械用户界面是否会出现恶意软件检测通知?
|
|
10-1.3
|
检测到恶意软件后,是否只有制造商授权的人员才能修复系统?
|
10-2
|
器械所有者是否可以安装或更新杀毒软件?
|
10-3
|
器械所有者/操作员是否可以(从技术上/物理上)对制造商安装的杀毒软件的病毒定义进行更新?
|
医疗器械数据安全是医疗器械网络安全的核心,企业在设计产品时要保持医疗器械相关数据的保密性、完整性和可得性。其中数据主要包括标明生理、心理健康状况,涉及患者隐私信息的私人数据和用于监视、控制设备运行或用于设备维护保养等描述设备运行状况的数据。企业还应保证医疗器械对网络安全威胁应当具备相应识别、防护能力。在医疗器械全生命周期过程中保证其安全性和有效性。
参考资料:
(1)IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
(2)Manufacturer Disclosure Statement for Medical Deceive Security-MDS2
(3)T/ZMDS 20003-2019 医疗器械网络安全风险控制 医疗器械网络安全能力信息