1、第二类独立软件必须执行GB/T 25000.51吗?
参考《医疗器械软件注册审查指导原则(2022年修订版)》,GB/T 25000.51适用于医疗器械软件结合《中华人民共和国标准化法》规定和指导原则要求,鼓励申请人在技术要求中引用/采用,但不是产品技术要求的必需内容。企业在采用GB/T 25000.51时分为以下情形:
技术要求中引用/采用,并提交了自检报告或检验报告,出具检验报告的检验机构应具有GB/T 25000.51的国家级CMA检验资质。
软件研究资料中提交GB/T 25000.51自测报告该部分研究报告无资质要求,但申请人应保证自身测试能力的真实性,并符合医疗器械质量管理体系的要求。
2、 第二类医疗器械软件研究资料中的“网络安全”部分,“漏洞评估”的报告有什么要求?
该部分为研究性资料范畴,不强制提交检验报告。参考《医疗器械网络安全注册审查指导原则(2022年修订版)》,依其规定等级提交自评报告,亦可补充网络安全评估机构出具的网络安全漏洞评估报告。申请人应保证研究材料的真实性。
3、第二类有源医疗器械产品使用了外部提供的云计算服务,对数据是否出境应提交何种材料?
《医疗器械软件注册审查指导原则(2022年修订版)》提出:现成软件考虑采购控制、设计开发控制等要求,使用外包软件需与供应商签订质量协议。云计算视为现成软件,云服务商视为医疗器械供应商,因此,注册申请人可参照现成软件和医疗器械供应商相关要求,考虑云计算的需求分析、风险管理、验证与确认、维护计划等活动要求。
《医疗器械网络安全注册审查指导原则(2022年修订版)》提出:医疗数据通常属于重要数据,特别是敏感医疗数据含有个人信息。因此医疗数据出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。
综上所述,申请人应明确声明数据是否出境;同时,申请人应与云计算供应商签订质量协议,明确数据是否出境。数据需出境的,应通过国家相关部门的审核,并提供审核结果。