本指導(dǎo)原則實(shí)施指南旨在指導(dǎo)注冊(cè)申請(qǐng)人提交第二類醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料，同時(shí)為第二類醫(yī)療器械網(wǎng)絡(luò)安全的技術(shù)審評(píng)提供參考。
本指導(dǎo)原則實(shí)施指南是對(duì)第二類醫(yī)療器械網(wǎng)絡(luò)安全一般性要求的細(xì)化和補(bǔ)充，注冊(cè)申請(qǐng)人應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料，注冊(cè)申請(qǐng)人也可采用其他滿足法規(guī)要求的替代方法，但應(yīng)提供詳盡的研究資料和驗(yàn)證資料。
本指導(dǎo)原則實(shí)施指南是對(duì)注冊(cè)申請(qǐng)人和審評(píng)人員的指導(dǎo)性文件，不包括審評(píng)審批所涉及的行政事項(xiàng)，亦不作為法規(guī)強(qiáng)制執(zhí)行，應(yīng)在遵循相關(guān)法規(guī)的前提下使用本指導(dǎo)原則實(shí)施指南。
本指導(dǎo)原則實(shí)施指南依據(jù)原國(guó)家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》和《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》編寫，因而采用時(shí)應(yīng)結(jié)合以上注冊(cè)技術(shù)審查指導(dǎo)原則的相關(guān)要求使用。
本指導(dǎo)原則實(shí)施指南適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的第二類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)，其中網(wǎng)絡(luò)連接包括無線網(wǎng)絡(luò)連接和有線網(wǎng)絡(luò)連接，電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸，遠(yuǎn)程控制包括實(shí)時(shí)控制和非實(shí)時(shí)控制。
同時(shí)，本指導(dǎo)原則實(shí)施指南也適用于采用存儲(chǔ)媒介以進(jìn)行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)，其中存儲(chǔ)媒介包括但不限于光盤、移動(dòng)硬盤和U盤。
需要指出的是，本指導(dǎo)原則實(shí)施指南中所述的文件應(yīng)來源于醫(yī)療器械的開發(fā)過程。注冊(cè)申請(qǐng)人應(yīng)將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與質(zhì)量管理體系充分融合，在確保醫(yī)療器械安全有效性的同時(shí)提高醫(yī)療器械的網(wǎng)絡(luò)安全。

一、綜述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制，這在提高醫(yī)療服務(wù)質(zhì)量與效率的同時(shí)也面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會(huì)侵犯患者隱私，而且可能會(huì)產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害甚或死亡。因此，醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性和有效性的重要組成部分。
同時(shí)，對(duì)于接入計(jì)算機(jī)信息系統(tǒng)的醫(yī)療器械，注冊(cè)申請(qǐng)人應(yīng)考慮醫(yī)療器械的使用環(huán)境，對(duì)預(yù)期接入定級(jí)系統(tǒng)或非定級(jí)系統(tǒng)的醫(yī)療器械的網(wǎng)絡(luò)安全能力進(jìn)行合理的設(shè)計(jì)。注冊(cè)申請(qǐng)人還應(yīng)考慮國(guó)家對(duì)于網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)要求，特別是計(jì)算機(jī)信息系統(tǒng)安全保護(hù)方面的要求，例如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,《GB/T 22239-2019信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等法規(guī)和標(biāo)準(zhǔn)。

二、醫(yī)療器械的使用環(huán)境

醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械，以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械。根據(jù)接口的類型可以分為有線網(wǎng)絡(luò)連接、無線網(wǎng)絡(luò)連接和連接本地存儲(chǔ)媒介。根據(jù)所處的網(wǎng)絡(luò)環(huán)境又可分為無網(wǎng)絡(luò)環(huán)境（僅連接本地存儲(chǔ)媒介）、受控的網(wǎng)絡(luò)環(huán)境和開放的網(wǎng)絡(luò)環(huán)境。注冊(cè)申請(qǐng)人應(yīng)根據(jù)不同的使用環(huán)境，識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并采取相應(yīng)的網(wǎng)絡(luò)安全措施。

三、 醫(yī)療器械的網(wǎng)絡(luò)安全

（一） 醫(yī)療器械網(wǎng)絡(luò)安全特性
醫(yī)療器械網(wǎng)絡(luò)安全是指保持醫(yī)療器械相關(guān)數(shù)據(jù)的保密性、完整性、可得性、真實(shí)性、可核查性、抗抵賴性以及可靠性等特性。
1.保密性
指數(shù)據(jù)不能被未授權(quán)的個(gè)人、實(shí)體利用或知悉的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪問；
2.完整性
指保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的，且未被篡改；
3.可得性
指根據(jù)授權(quán)個(gè)人、實(shí)體的要求可訪問和使用的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問和使用；
4.真實(shí)性
一個(gè)實(shí)體是其所聲稱實(shí)體的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)能夠體現(xiàn)其真實(shí)的臨床狀態(tài)，例如：生理狀態(tài)、操作狀態(tài)、設(shè)備狀態(tài)等；
5.可核查性
實(shí)體表征對(duì)自己的動(dòng)作和做出的決定負(fù)責(zé)的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)表征對(duì)相關(guān)臨床動(dòng)作和決定負(fù)責(zé)；
6.抗抵賴性
證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實(shí)體的能力，以解決有關(guān)事態(tài)或行為發(fā)生與否以及事態(tài)中實(shí)體是否牽涉的爭(zhēng)端，即醫(yī)療器械相關(guān)數(shù)據(jù)可證明相關(guān)臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力；
7.可靠性
與預(yù)期行為和結(jié)果一致的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)與臨床的預(yù)期行為和結(jié)果一致。
（二）網(wǎng)絡(luò)安全能力
對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的保障，是用戶、網(wǎng)絡(luò)設(shè)施提供方與注冊(cè)申請(qǐng)人共同參與的結(jié)果。以現(xiàn)有技術(shù)水平而言，注冊(cè)申請(qǐng)人可以參考《IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理應(yīng)用.第2-2部分 醫(yī)療器械安全》以及《T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制 - 醫(yī)療器械網(wǎng)絡(luò)安全能力信息》等標(biāo)準(zhǔn)，識(shí)別醫(yī)療器械網(wǎng)絡(luò)安全能力，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制。
需要注意的是，注冊(cè)申請(qǐng)人對(duì)這些網(wǎng)絡(luò)安全能力進(jìn)行配置以配合用戶進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理時(shí)，應(yīng)綜合考慮具體醫(yī)療器械的預(yù)期用途與使用場(chǎng)景。醫(yī)療器械的預(yù)期用途一般是對(duì)疾病的預(yù)防、診斷與治療，在權(quán)衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時(shí)，需要首先保證醫(yī)療器械的安全性、有效性。例如，為了在急救環(huán)境下發(fā)揮醫(yī)療器械的有效性，可能會(huì)對(duì)保密性的要求予以折衷。綜合考慮的結(jié)果導(dǎo)致大部分的醫(yī)療器械可能并不具備全部的網(wǎng)絡(luò)安全能力，此時(shí)需要注冊(cè)申請(qǐng)人與用戶進(jìn)行良好的溝通，以實(shí)現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡(luò)安全。
以下列出了19種醫(yī)療器械網(wǎng)絡(luò)安全能力，并依據(jù)相關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)療器械的產(chǎn)品特點(diǎn)對(duì)其主要內(nèi)容進(jìn)行了描述，注冊(cè)申請(qǐng)人可根據(jù)醫(yī)療器械的產(chǎn)品特性，預(yù)期用途和使用方式考慮其網(wǎng)絡(luò)安全能力要求的適用性。
1.自動(dòng)登出能力（ALOF）
無人值守的醫(yī)療器械終端設(shè)備，存在被進(jìn)行非授權(quán)操作、顯示信息被非授權(quán)人員閱讀的風(fēng)險(xiǎn)。此項(xiàng)網(wǎng)絡(luò)安全能力確保醫(yī)療器械在所設(shè)時(shí)段內(nèi)若未被用戶操作，則自動(dòng)進(jìn)入保護(hù)狀態(tài)，從而降低上述風(fēng)險(xiǎn)發(fā)生的概率。此項(xiàng)網(wǎng)絡(luò)安全能力，改善了醫(yī)療器械的保密性與完整性，但會(huì)降低醫(yī)療器械的可得性，對(duì)急診用醫(yī)療器械、長(zhǎng)期監(jiān)護(hù)用醫(yī)療器械、用戶無需獲得授權(quán)的醫(yī)療器械等可得性要求較高的醫(yī)療器械應(yīng)結(jié)合醫(yī)療器械的預(yù)期用途與使用場(chǎng)景，決定是否配置以及如何配置。
2.審核控制能力（AUDT）
醫(yī)療器械的網(wǎng)絡(luò)安全與醫(yī)療器械的使用方式息息相關(guān)，不正確、非授權(quán)的使用會(huì)導(dǎo)致醫(yī)療器械存在網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)。對(duì)醫(yī)療器械使用環(huán)節(jié)的關(guān)鍵信息予以記錄，是風(fēng)險(xiǎn)控制措施的一部分。此項(xiàng)能力的配置對(duì)網(wǎng)絡(luò)安全的保密性、完整性、可核查性均有提高，有利于對(duì)醫(yī)療器械使用記錄提供可追溯性檢測(cè)以及用于事后問責(zé)調(diào)查和對(duì)風(fēng)險(xiǎn)的持續(xù)監(jiān)視，也為風(fēng)險(xiǎn)控制的應(yīng)急響應(yīng)提供輸入。
3.確定用戶權(quán)限的能力（AUTH）
醫(yī)療器械的非授權(quán)使用，會(huì)導(dǎo)致多種危險(xiǎn)情況，確保醫(yī)療器械的使用者、管理者、維護(hù)者、擁有者得到合適的授權(quán)是重要的風(fēng)險(xiǎn)控制手段。用戶權(quán)限的管理可以提高保密性、完整性與可核查性，但可能會(huì)降低可得性。
4.網(wǎng)絡(luò)安全配置能力（CNFS）
對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的保障是由用戶、使用者、網(wǎng)絡(luò)設(shè)施提供方、注冊(cè)申請(qǐng)人多方共同參與的一項(xiàng)活動(dòng)。開放網(wǎng)絡(luò)安全相關(guān)的配置有利于網(wǎng)絡(luò)安全在使用場(chǎng)景中的整體部署，但是另一方面醫(yī)療器械在有意、無意情況下的配置錯(cuò)誤也可能導(dǎo)致不可接受的風(fēng)險(xiǎn)，此項(xiàng)能力與系統(tǒng)的加固要求（SAHD）相矛盾，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途與使用方式綜合考慮此項(xiàng)能力的配置。
5.網(wǎng)絡(luò)安全升級(jí)能力（CSUP）
醫(yī)療器械以及醫(yī)療器械所依賴的軟硬件環(huán)境，所面臨的威脅并不是一成不變的，作為風(fēng)險(xiǎn)控制手段，有必要對(duì)醫(yī)療器械或醫(yī)療器械的運(yùn)行環(huán)境予以修補(bǔ)以抵御新的網(wǎng)絡(luò)威脅。由于醫(yī)療器械、運(yùn)行環(huán)境、所受威脅的狀況千差萬別，部分修補(bǔ)可以由用戶自行升級(jí)完成；而部分修補(bǔ)則可能需要注冊(cè)申請(qǐng)人的授權(quán)人員才能進(jìn)行。
6.健康數(shù)據(jù)去標(biāo)識(shí)化能力（DIDT）
在醫(yī)療服務(wù)過程中產(chǎn)生的健康數(shù)據(jù)常常具有預(yù)防、診斷、治療之外的其它價(jià)值，例如科研、培訓(xùn)、不良事件追溯、設(shè)備維護(hù)等。健康數(shù)據(jù)若直接用于非醫(yī)療用途，則存在隱私數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)。數(shù)據(jù)交付之前，去除健康數(shù)據(jù)所附帶的身份信息，是提高保密性的重要手段。但去除標(biāo)識(shí)會(huì)降低數(shù)據(jù)的可追溯性。
7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力（DTBK）
健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風(fēng)險(xiǎn)，保持?jǐn)?shù)據(jù)備份與災(zāi)難恢復(fù)的能力，可以提高數(shù)據(jù)的完整性與可得性。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
醫(yī)療器械是以提供預(yù)防、診斷、治療目的為核心屬性，部分情況下醫(yī)療器械、數(shù)據(jù)的可得性受損會(huì)導(dǎo)致不可接受的風(fēng)險(xiǎn)。為醫(yī)療器械配置被緊急訪問的能力以及相應(yīng)的安全可控的緊急訪問流程，對(duì)此項(xiàng)風(fēng)險(xiǎn)的控制至關(guān)重要。然而，配置被緊急訪問的能力，常常會(huì)導(dǎo)致可得性之外的其它網(wǎng)絡(luò)安全特性降低，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途與使用方式綜合考慮此項(xiàng)能力的配置。
9.數(shù)據(jù)完整性真實(shí)性確認(rèn)能力（IGAU）
當(dāng)數(shù)據(jù)的完整性受損而導(dǎo)致不可接受的風(fēng)險(xiǎn)時(shí)，醫(yī)療器械具備此項(xiàng)能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞。
10.惡意軟件的防止、檢測(cè)與清除能力（MLDP）
惡意軟件侵入醫(yī)療器械可能會(huì)導(dǎo)致不可接受的風(fēng)險(xiǎn)，此項(xiàng)能力可以對(duì)已知惡意軟件進(jìn)行探測(cè)、報(bào)告并防止受其侵害。由于惡意軟件的產(chǎn)生難以預(yù)知，此項(xiàng)能力需要在醫(yī)療器械的使用過程中不斷維護(hù)，必要時(shí)采取緊急措施。
11.通信對(duì)象、通信節(jié)點(diǎn)的身份驗(yàn)證能力（NAUT）
醫(yī)療器械如與未經(jīng)授權(quán)的通信節(jié)點(diǎn)進(jìn)行互操作，可能導(dǎo)致不可接受的風(fēng)險(xiǎn)。此項(xiàng)能力配合用戶的網(wǎng)絡(luò)安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識(shí)別并被授權(quán)進(jìn)行數(shù)據(jù)傳輸。
12.驗(yàn)證合法用戶的能力（PAUT）
有一部分醫(yī)療器械并非開放給所有的使用者，這部分醫(yī)療器械如果被未獲授權(quán)的用戶使用，可能導(dǎo)致不可接受的風(fēng)險(xiǎn)。此項(xiàng)能力配合用戶的網(wǎng)絡(luò)安全策略，可確保醫(yī)療器械的使用者是經(jīng)過授權(quán)認(rèn)證的。
13.物理保護(hù)能力（PLOK）
醫(yī)療器械在物理上被侵入，會(huì)造成保密性與完整性的破壞，可能導(dǎo)致不可接受的風(fēng)險(xiǎn)?？梢灾攸c(diǎn)關(guān)注敏感信息的存儲(chǔ)媒介（可移動(dòng)媒介除外）是否不借助工具就能被取出。
14.第三方組件管理能力（RDMP）
醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分，例如第三方的操作系統(tǒng)或數(shù)據(jù)庫(kù)等。用戶若對(duì)此類組件不知情，則不利于此類組件未來的網(wǎng)絡(luò)安全管理，也不利于未來網(wǎng)絡(luò)安全事件的責(zé)任劃分，可能導(dǎo)致不可接受的風(fēng)險(xiǎn)。
15.系統(tǒng)與應(yīng)用加固能力（SAHD）
醫(yī)療器械中可能存在著與預(yù)期用途無關(guān)的配置，例如：某些非醫(yī)療預(yù)期用途的賬號(hào)、通信端口、共享文件、服務(wù)等。此類配置可能會(huì)成為網(wǎng)絡(luò)攻擊者所利用的通道，從而造成不可接受的風(fēng)險(xiǎn)，對(duì)這些配置予以關(guān)閉有利于降低風(fēng)險(xiǎn)發(fā)生的概率。
16.對(duì)操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力（SGUD）
醫(yī)療器械的不當(dāng)使用可能在醫(yī)療器械網(wǎng)絡(luò)安全方面造成不可接受的風(fēng)險(xiǎn)，對(duì)使用者提供產(chǎn)品說明、提供可索取的披露資料、予以培訓(xùn)等，均有利于降低使用者操作不當(dāng)?shù)娘L(fēng)險(xiǎn)。
17.存儲(chǔ)保密能力（STCF）
健康數(shù)據(jù)的明文存儲(chǔ)會(huì)降低產(chǎn)品的保密性，對(duì)數(shù)據(jù)存儲(chǔ)予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的管理規(guī)定。使用商用密碼應(yīng)遵守相關(guān)的法律法規(guī)要求。
18.傳輸保密能力（TXCF）
健康數(shù)據(jù)的明文傳輸會(huì)降低醫(yī)療器械的保密性，對(duì)數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應(yīng)的管理規(guī)定。使用商用密碼應(yīng)遵守相關(guān)的法律法規(guī)要求。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
健康數(shù)據(jù)在傳輸過程中，數(shù)據(jù)可能受到無意的信道噪聲干擾，也有可能受到惡意篡改，這都可能造成不可接受的風(fēng)險(xiǎn)。采用技術(shù)手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性，可以降低此類風(fēng)險(xiǎn)。
注冊(cè)申請(qǐng)人可以通過綜合考慮上述19項(xiàng)網(wǎng)絡(luò)安全能力來提高醫(yī)療器械的網(wǎng)絡(luò)安全特性。網(wǎng)絡(luò)安全能力與網(wǎng)絡(luò)安全特性之間的關(guān)系如下:

注：“2”指可以顯著提高此項(xiàng)網(wǎng)絡(luò)安全特性，“1”指可以提高此項(xiàng)網(wǎng)絡(luò)安全特性，“-”指基本不對(duì)此項(xiàng)網(wǎng)絡(luò)安全特性產(chǎn)生影響，“-1”指可以降低此項(xiàng)網(wǎng)絡(luò)安全特性。
（三）網(wǎng)絡(luò)安全的上市后監(jiān)管
1.網(wǎng)絡(luò)安全事件
網(wǎng)絡(luò)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對(duì)社會(huì)造成負(fù)面影響的事件，可分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件等。
網(wǎng)絡(luò)安全事件可能會(huì)造成醫(yī)療器械系統(tǒng)不能訪問、醫(yī)療數(shù)據(jù)泄露或者篡改，進(jìn)而導(dǎo)致病人受到嚴(yán)重傷害，死亡或病人的健康數(shù)據(jù)泄漏。
2.網(wǎng)絡(luò)安全事件的處置
注冊(cè)申請(qǐng)人應(yīng)建立醫(yī)療器械上市后的網(wǎng)絡(luò)安全事件處置流程。網(wǎng)絡(luò)安全事件發(fā)生后，注冊(cè)申請(qǐng)人應(yīng)能夠及時(shí)有效地處理和管理安全事件，一般包括以下措施：
應(yīng)收集并確認(rèn)受網(wǎng)絡(luò)安全事件影響的用戶，識(shí)別網(wǎng)絡(luò)安全事件對(duì)相關(guān)系統(tǒng)帶來的風(fēng)險(xiǎn)；
應(yīng)快速采取應(yīng)急對(duì)策，例如：告知用戶斷開網(wǎng)絡(luò)連接，提供臨時(shí)解決方案恢復(fù)系統(tǒng)至正常工作狀態(tài)等；
應(yīng)對(duì)網(wǎng)絡(luò)安全事件的做出詳細(xì)的風(fēng)險(xiǎn)分析和評(píng)估；
應(yīng)提供經(jīng)過驗(yàn)證和確認(rèn)的解決措施，并告知用戶相關(guān)的更新信息。
注冊(cè)申請(qǐng)人應(yīng)建立相應(yīng)的組織以確保網(wǎng)絡(luò)安全事件處置流程得以實(shí)施。
3.網(wǎng)絡(luò)安全事件上報(bào)
當(dāng)下列網(wǎng)絡(luò)安全事件發(fā)生，注冊(cè)申請(qǐng)人應(yīng)及時(shí)向相關(guān)監(jiān)管部門報(bào)送信息：
——病人受到嚴(yán)重傷害或者死亡；
——注冊(cè)申請(qǐng)人提供的大量醫(yī)療器械系統(tǒng)不能訪問；
——大量的病人健康數(shù)據(jù)泄露。
若涉及到病人受到嚴(yán)重傷害或死亡的網(wǎng)絡(luò)安全事件，注冊(cè)申請(qǐng)人應(yīng)按照醫(yī)療器械不良事件的相關(guān)規(guī)定上報(bào)。
4.涉及召回的網(wǎng)絡(luò)安全事件應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理，不屬于本指導(dǎo)原則討論范圍。
5.網(wǎng)絡(luò)安全更新的管理
網(wǎng)絡(luò)安全更新（包括自主開發(fā)軟件和現(xiàn)成軟件）根據(jù)其對(duì)醫(yī)療器械的影響程度可分為以下兩類：
——重大網(wǎng)絡(luò)安全更新：影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新；
——輕微網(wǎng)絡(luò)安全更新：不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新，例如常規(guī)安全補(bǔ)丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡(luò)安全更新，應(yīng)進(jìn)行許可事項(xiàng)變更；而發(fā)生輕微網(wǎng)絡(luò)安全更新，注冊(cè)申請(qǐng)人應(yīng)通過質(zhì)量管理體系進(jìn)行控制，無需進(jìn)行注冊(cè)變更，待到下次注冊(cè)（注冊(cè)變更或延續(xù)注冊(cè)）時(shí)提交相應(yīng)注冊(cè)申報(bào)資料。醫(yī)療器械同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò)安全更新，遵循風(fēng)險(xiǎn)從高原則應(yīng)進(jìn)行許可事項(xiàng)變更。
涉及召回的網(wǎng)絡(luò)安全更新應(yīng)按照醫(yī)療器械召回的相關(guān)法規(guī)處理，不屬于本指導(dǎo)原則討論范圍。
軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況。
注冊(cè)申請(qǐng)人在提交注冊(cè)申報(bào)資料時(shí)，應(yīng)根據(jù)醫(yī)療器械網(wǎng)絡(luò)安全的具體情況提交網(wǎng)絡(luò)安全描述文檔或常規(guī)安全補(bǔ)丁描述文檔。網(wǎng)絡(luò)安全描述文檔適用于醫(yī)療器械注冊(cè)、重大網(wǎng)絡(luò)安全更新，常規(guī)安全補(bǔ)丁描述文檔適用于輕微網(wǎng)絡(luò)安全更新。

四、 網(wǎng)絡(luò)安全注冊(cè)資料

注冊(cè)申請(qǐng)人應(yīng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)（例如：其它醫(yī)療器械、信息技術(shù)設(shè)備）的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性，提交網(wǎng)絡(luò)安全描述文檔。網(wǎng)絡(luò)安全描述文檔應(yīng)描述醫(yī)療器械的基本信息、風(fēng)險(xiǎn)管理、驗(yàn)證與確認(rèn)以及維護(hù)計(jì)劃。
（一） 基本信息
應(yīng)描述醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的基本信息，這些信息包括：
1.醫(yī)療器械傳輸，存儲(chǔ)和處理信息的總結(jié)性描述；
2.以上信息的類型：健康數(shù)據(jù)、設(shè)備數(shù)據(jù)；
3.以上信息的傳輸方向：?jiǎn)蜗颉㈦p向；
4.以上信息是否用于實(shí)時(shí)遠(yuǎn)程控制：實(shí)時(shí)、非實(shí)時(shí)或不用于遠(yuǎn)程控制；
5.以上信息的用途：如臨床應(yīng)用、設(shè)備維護(hù)等；
6.以上信息的交換方式：網(wǎng)絡(luò)（無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)）及要求（如傳輸協(xié)議、接口、帶寬等），存儲(chǔ)媒介（如光盤、移動(dòng)硬盤、U盤等）及要求（如存儲(chǔ)格式、容量等）；對(duì)于專用無線設(shè)備（非通用信息技術(shù)設(shè)備），還應(yīng)提交符合無線電管理規(guī)定的證明材料，如涉及個(gè)人敏感數(shù)據(jù)，應(yīng)明確個(gè)人敏感數(shù)據(jù)的儲(chǔ)存和傳輸方式；
7.醫(yī)療器械包含的安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號(hào)規(guī)格、完整版本、供應(yīng)商、運(yùn)行環(huán)境要求；
8.醫(yī)療器械包含的現(xiàn)成軟件：描述現(xiàn)成軟件（包括應(yīng)用軟件、系統(tǒng)軟件、支持軟件）的名稱、型號(hào)規(guī)格、完整版本和供應(yīng)商。
（二）風(fēng)險(xiǎn)管理
1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理概述
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是指注冊(cè)申請(qǐng)人基于醫(yī)療器械產(chǎn)品的預(yù)期用途和使用場(chǎng)景進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，評(píng)價(jià)并采取網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制手段確保產(chǎn)品的網(wǎng)絡(luò)安全能力。注冊(cè)申請(qǐng)人可對(duì)網(wǎng)絡(luò)安全采用醫(yī)療器械風(fēng)險(xiǎn)管理的方法（可參照《YY/T 0316-2016醫(yī)療器械 風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用》）對(duì)醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)進(jìn)行分析、評(píng)價(jià)和控制，也可采用信息安全風(fēng)險(xiǎn)評(píng)估的方法（可參照《GB/T20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》）進(jìn)行評(píng)估，并進(jìn)行風(fēng)險(xiǎn)控制。
如適用，醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理應(yīng)考慮對(duì)個(gè)人敏感信息的保護(hù)。對(duì)個(gè)人信息的處理，應(yīng)遵循個(gè)人信息安全基本原則和相關(guān)的法律法規(guī)以及標(biāo)準(zhǔn)，如《GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規(guī)范》。如有必要，應(yīng)對(duì)個(gè)人信息進(jìn)行匿名化或去標(biāo)識(shí)化處理。
風(fēng)險(xiǎn)管理除了從網(wǎng)絡(luò)安全角度來考慮醫(yī)療器械的網(wǎng)絡(luò)安全能力外，還應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)醫(yī)療器械的安全性和有效性的影響。
醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需要考慮整個(gè)醫(yī)療器械生命周期并適時(shí)更新。
2.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理過程
（1）風(fēng)險(xiǎn)分析與評(píng)價(jià)
注冊(cè)申請(qǐng)人應(yīng)對(duì)網(wǎng)絡(luò)安全管理活動(dòng)進(jìn)行策劃并制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可接受性準(zhǔn)則。注冊(cè)申請(qǐng)人應(yīng)考慮網(wǎng)絡(luò)安全損害的嚴(yán)重度和網(wǎng)絡(luò)安全損害的發(fā)生概率并按照接受性準(zhǔn)則決定是否需要降低風(fēng)險(xiǎn)。
1） 網(wǎng)絡(luò)安全損害的嚴(yán)重度，例如：

2） 網(wǎng)絡(luò)安全損害的發(fā)生概率，例如：

注：發(fā)生概率應(yīng)和醫(yī)療器械具體情況相適應(yīng)
（2）風(fēng)險(xiǎn)控制
根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果需要降低風(fēng)險(xiǎn)時(shí)，注冊(cè)申請(qǐng)人應(yīng)識(shí)別適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施，以把風(fēng)險(xiǎn)降低到可接受的水平。
例如：風(fēng)險(xiǎn)分析、評(píng)價(jià)和風(fēng)險(xiǎn)控制措施記錄表

例如：風(fēng)險(xiǎn)評(píng)估矩陣模型
注：下表中紅色表示不可接受風(fēng)險(xiǎn)，黃色和綠色表示可接受風(fēng)險(xiǎn)。表格中的數(shù)字僅作為舉例。采取風(fēng)險(xiǎn)控制措施后，剩余風(fēng)險(xiǎn)中不可接受風(fēng)險(xiǎn)數(shù)量為0。
1）初始風(fēng)險(xiǎn)分布

2）采取風(fēng)險(xiǎn)控制措施后風(fēng)險(xiǎn)分布

（3）風(fēng)險(xiǎn)管理報(bào)告
注冊(cè)申請(qǐng)人應(yīng)形成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告，并完成風(fēng)險(xiǎn)管理過程的評(píng)審，確認(rèn)綜合剩余風(fēng)險(xiǎn)是可接受的。
（4） 關(guān)于上市后的風(fēng)險(xiǎn)
注冊(cè)申請(qǐng)人要持續(xù)關(guān)注醫(yī)療器械上市后與醫(yī)療器械相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，根據(jù)實(shí)際情況適時(shí)更新風(fēng)險(xiǎn)分析、評(píng)價(jià)和控制文件，如法規(guī)更新、不良事件報(bào)告等。
（三）驗(yàn)證與確認(rèn)
1．總體原則
網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)活動(dòng)的目的是確定風(fēng)險(xiǎn)管理中采用的網(wǎng)絡(luò)安全控制手段均已得到正確的實(shí)施，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求（例如保密性、完整性、可得性等特性）均已得到滿足。
對(duì)于現(xiàn)成軟件，注冊(cè)申請(qǐng)人應(yīng)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析過程中將其作為醫(yī)療器械的一部分進(jìn)行充分的網(wǎng)絡(luò)安全評(píng)估，并在醫(yī)療器械的網(wǎng)絡(luò)安全能力配置中予以綜合考慮。
2．驗(yàn)證與確認(rèn)活動(dòng)
注冊(cè)申請(qǐng)人應(yīng)在醫(yī)療器械產(chǎn)品研制過程中進(jìn)行網(wǎng)絡(luò)安全的驗(yàn)證與確認(rèn)活動(dòng)，通過分析、測(cè)試、評(píng)估、審查等手段，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求得到滿足。網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)可以參考附錄中的19項(xiàng)網(wǎng)絡(luò)安全能力應(yīng)用參考，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮每項(xiàng)網(wǎng)絡(luò)安全能力的驗(yàn)證。
（1）應(yīng)確保在醫(yī)療器械產(chǎn)品的需求、設(shè)計(jì)、測(cè)試以及風(fēng)險(xiǎn)管理各個(gè)階段考慮并落實(shí)網(wǎng)絡(luò)安全需求，并且保證網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計(jì)規(guī)范、測(cè)試以及風(fēng)險(xiǎn)管理的一致性和完整性。
（2）應(yīng)針對(duì)醫(yī)療器械產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全測(cè)試驗(yàn)證，確保所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制措施都得到正確的實(shí)施。
1）應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試活動(dòng)進(jìn)行合理的策劃，包括確定測(cè)試的內(nèi)容（包括醫(yī)療器械需求中要求配置的網(wǎng)絡(luò)安全能力）、測(cè)試人員和相應(yīng)的職責(zé)、測(cè)試所需的環(huán)境、測(cè)試的技術(shù)和方法（如漏洞測(cè)試、惡意軟件測(cè)試、缺陷輸入測(cè)試、結(jié)構(gòu)化滲透測(cè)試等）、異常處理方式、測(cè)試通過的準(zhǔn)則、測(cè)試所需的資源以及測(cè)試進(jìn)度安排等。
2）應(yīng)根據(jù)測(cè)試計(jì)劃的安排設(shè)計(jì)測(cè)試用例，并按照測(cè)試用例的要求執(zhí)行測(cè)試活動(dòng)，記錄原始測(cè)試結(jié)果，確保測(cè)試過程的可追溯性。對(duì)于安全軟件，注冊(cè)申請(qǐng)人應(yīng)針對(duì)不同的軟件、硬件運(yùn)行平臺(tái)，進(jìn)行兼容性測(cè)試；如醫(yī)療器械采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式，應(yīng)進(jìn)行審查或測(cè)試驗(yàn)證其對(duì)相關(guān)標(biāo)準(zhǔn)的符合性；如醫(yī)療器械采用自定義的傳輸協(xié)議和存儲(chǔ)格式，應(yīng)進(jìn)行完整性測(cè)試驗(yàn)證。
3）應(yīng)對(duì)測(cè)試結(jié)果進(jìn)行分析和評(píng)價(jià)，確保測(cè)試活動(dòng)的有效性，并對(duì)測(cè)試遺留的問題進(jìn)行評(píng)價(jià)。
3．驗(yàn)證與確認(rèn)記錄
注冊(cè)申請(qǐng)人應(yīng)將醫(yī)療器械網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的結(jié)果以文檔的方式進(jìn)行記錄，確保網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的可追溯性。
（1）應(yīng)以文檔的形式記錄醫(yī)療器械網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計(jì)規(guī)范、測(cè)試以及風(fēng)險(xiǎn)管理的追溯性關(guān)系。
（2）應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試策劃活動(dòng)進(jìn)行記錄并形成網(wǎng)絡(luò)安全測(cè)試計(jì)劃文檔。
（3）應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試執(zhí)行過程、測(cè)試結(jié)果以及測(cè)試結(jié)果的分析評(píng)估進(jìn)行記錄，形成網(wǎng)絡(luò)安全測(cè)試報(bào)告。
（4）對(duì)于安全軟件，注冊(cè)申請(qǐng)人可將兼容性測(cè)試結(jié)果進(jìn)行單獨(dú)文檔記錄，并形成兼容性測(cè)試報(bào)告。
（5）對(duì)于采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式的醫(yī)療器械，注冊(cè)申請(qǐng)人應(yīng)記錄標(biāo)準(zhǔn)符合性審查結(jié)果；對(duì)于采用自定義的傳輸協(xié)議和存儲(chǔ)格式的醫(yī)療器械，注冊(cè)申請(qǐng)人應(yīng)對(duì)完整性測(cè)試結(jié)果進(jìn)行記錄并形成完整性測(cè)試報(bào)告。
（6）可以對(duì)實(shí)時(shí)遠(yuǎn)程控制功能醫(yī)療器械中關(guān)于遠(yuǎn)程數(shù)據(jù)相關(guān)的測(cè)試進(jìn)行單獨(dú)的文檔記錄，并形成相應(yīng)的完整性和可得性測(cè)試報(bào)告。
（四）維護(hù)計(jì)劃
1．維護(hù)流程
在醫(yī)療器械產(chǎn)品上市后，注冊(cè)申請(qǐng)人應(yīng)結(jié)合自身質(zhì)量管理體系要求，制定網(wǎng)絡(luò)安全維護(hù)流程，保證醫(yī)療器械的安全性和有效性。
網(wǎng)絡(luò)安全維護(hù)流程涉及到以下方面：
（1）監(jiān)控網(wǎng)絡(luò)安全信息源（包括第三方軟件組件）以識(shí)別和檢測(cè)網(wǎng)絡(luò)漏洞；
（2）了解、檢測(cè)可能發(fā)生的漏洞，評(píng)估其風(fēng)險(xiǎn)影響；
（3）重點(diǎn)分析與醫(yī)療器械的安全和基本性能有關(guān)的網(wǎng)絡(luò)安全問題，特別是網(wǎng)絡(luò)安全事件相關(guān)的問題，針對(duì)其風(fēng)險(xiǎn)和影響，制定緩解策略，使得醫(yī)療器械及時(shí)得到保護(hù)和恢復(fù)；
（4）用于修補(bǔ)漏洞的軟件更新和補(bǔ)丁程序，包括第三方軟件組件的漏洞修復(fù)（如操作系統(tǒng)，安全軟件等），需要進(jìn)行驗(yàn)證和確認(rèn)；
（5）盡早地部署軟件網(wǎng)絡(luò)安全更新程序至用戶站點(diǎn)，并告知用戶相關(guān)更新內(nèi)容。
有關(guān)醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理，可參閱文獻(xiàn)《ISO/IEC 29147-2018 信息技術(shù) 安全技術(shù) 漏洞公告》和《ISO/IEC 30111-2013 信息技術(shù) 安全技術(shù) 漏洞處理流程》。
2. 網(wǎng)絡(luò)安全更新
具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡(luò)問題可能不斷變化，注冊(cè)申請(qǐng)人在醫(yī)療器械產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò)安全問題。注冊(cè)申請(qǐng)人應(yīng)對(duì)已上市醫(yī)療器械產(chǎn)品進(jìn)行有效、及時(shí)并持續(xù)地網(wǎng)絡(luò)安全更新。
對(duì)于已發(fā)現(xiàn)的漏洞，應(yīng)分析漏洞的可被利用性，對(duì)病人傷害的嚴(yán)重程度以及病人信息泄露的可能性，注冊(cè)申請(qǐng)人應(yīng)決定該漏洞的風(fēng)險(xiǎn)是可控還是處于失控狀態(tài)，制定相應(yīng)的解決措施修復(fù)該網(wǎng)絡(luò)漏洞。與網(wǎng)絡(luò)安全事件相關(guān)的網(wǎng)絡(luò)更新，需要重點(diǎn)分析其風(fēng)險(xiǎn)和影響，及時(shí)有效地提供經(jīng)驗(yàn)證的解決方案。
通常的網(wǎng)絡(luò)安全更新應(yīng)包括：
（1）自研軟件的漏洞安全更新；
（2）第三方軟件（包括操作系統(tǒng)等）的漏洞安全更新；
（3）安全軟件（例如殺毒軟件等）的病毒掃描引擎的更新。
若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡(luò)安全設(shè)計(jì)是不可行的或者不能馬上實(shí)施，注冊(cè)申請(qǐng)人應(yīng)考慮使用網(wǎng)絡(luò)補(bǔ)償控制方案來減輕網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)。
網(wǎng)絡(luò)補(bǔ)償控制是在缺乏有效網(wǎng)絡(luò)安全設(shè)計(jì)的前提下，提供補(bǔ)充性網(wǎng)絡(luò)防護(hù)措施。例如注冊(cè)申請(qǐng)人對(duì)醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)漏洞評(píng)估后，認(rèn)為對(duì)設(shè)備在未被授權(quán)的情況下進(jìn)行訪問極有可能影響設(shè)備的安全和基本性能，但是若該設(shè)備沒有連接到外部網(wǎng)絡(luò)(例如，醫(yī)院網(wǎng)絡(luò))或者使用路由器對(duì)連接進(jìn)行限定，則醫(yī)療器械仍然可以安全有效的工作。
（五）產(chǎn)品技術(shù)要求
1.數(shù)據(jù)接口
對(duì)于預(yù)期接入網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械，其數(shù)據(jù)交換方式有兩種：網(wǎng)絡(luò)（包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)）或存儲(chǔ)媒介（如光盤、移動(dòng)硬盤、U盤等）。
對(duì)于數(shù)據(jù)交換的接口，常見的有線接口包括USB、RS232、RS485、CAN、RJ45等。近些年，無線通訊被廣泛使用，例如藍(lán)牙、WiFi、Zigbee、RFID、各種蜂窩無線網(wǎng)絡(luò)等。對(duì)于有線接口，技術(shù)要求中應(yīng)明確連接接口的規(guī)格。有線網(wǎng)絡(luò)應(yīng)明確帶寬要求。對(duì)于無線網(wǎng)絡(luò)，應(yīng)描述網(wǎng)絡(luò)類型、制式、使用頻段、數(shù)據(jù)特性（如上/下行傳輸速率）等。
注冊(cè)申請(qǐng)人可以采用已經(jīng)標(biāo)準(zhǔn)化的醫(yī)用數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式。常見的醫(yī)療器械傳輸協(xié)議如HL7、DICOM等，醫(yī)療器械存儲(chǔ)格式如EDF等。注冊(cè)申請(qǐng)人也可以使用通用的網(wǎng)絡(luò)傳輸協(xié)議如TCP/IP、UDP、HTTP、HTTPS等。注冊(cè)申請(qǐng)人在產(chǎn)品技術(shù)要求中，應(yīng)明確傳輸協(xié)議/存儲(chǔ)格式。對(duì)于已經(jīng)標(biāo)準(zhǔn)化的傳輸協(xié)議或存儲(chǔ)格式除了說明協(xié)議類型之外，還應(yīng)說明協(xié)議的版本，如果用于控制，還應(yīng)說明是否為實(shí)時(shí)控制。
對(duì)于注冊(cè)申請(qǐng)人自定義的數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式，應(yīng)在隨機(jī)文件中描述或在產(chǎn)品技術(shù)要求中提供相應(yīng)的驗(yàn)證方法。
2.用戶訪問控制
醫(yī)療器械在執(zhí)行用戶訪問控制之前，應(yīng)完成對(duì)用戶身份的鑒別或認(rèn)證。認(rèn)證是系統(tǒng)驗(yàn)證希望訪問系統(tǒng)的用戶身份的過程?；镜恼J(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證、數(shù)字摘要等。在產(chǎn)品技術(shù)要求中注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械所采用的用戶身份鑒別或認(rèn)證技術(shù)。
用戶訪問控制策略對(duì)醫(yī)療器械的保密性、完整性起直接的作用，是對(duì)越權(quán)使用資源的防御措施，是網(wǎng)絡(luò)安全的重要組成部分。醫(yī)療器械的使用者應(yīng)依據(jù)訪問控制策略來限制對(duì)數(shù)據(jù)和系統(tǒng)功能的訪問。用戶訪問控制的種類早期分為自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC），但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，又出現(xiàn)了基于角色的訪問控制（RBAC）、基于任務(wù)的訪問控制（TBAC）、以及基于屬性、上下文、信譽(yù)等的訪問控制模型。隨著系統(tǒng)的復(fù)雜度變高，一個(gè)系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術(shù)要求中，注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法、用戶類型及權(quán)限。
（六）說明書
預(yù)期接入計(jì)算機(jī)網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械具有復(fù)雜的運(yùn)行環(huán)境與技術(shù)生態(tài)系統(tǒng)。例如：復(fù)雜的信息基礎(chǔ)設(shè)施（如硬件、軟件、網(wǎng)絡(luò)、其他系統(tǒng)和數(shù)據(jù)接口等），參與開發(fā)、實(shí)施、臨床使用所涉及的眾多的人員、組織和機(jī)構(gòu)。醫(yī)療器械生命周期不僅包含設(shè)計(jì)、開發(fā)、也包括實(shí)施和臨床使用，其中包含醫(yī)療器械的采購(gòu)、安裝、配置、數(shù)據(jù)集成或遷移、工作流實(shí)現(xiàn)與優(yōu)化、培訓(xùn)、使用與維護(hù)、退市等環(huán)節(jié)。
一般情況下，注冊(cè)申請(qǐng)人只涉及醫(yī)療器械的設(shè)計(jì)與開發(fā)過程，而后期的實(shí)施與臨床使用等環(huán)節(jié)的網(wǎng)絡(luò)安全可能由另外的組織和機(jī)構(gòu)來負(fù)責(zé)。注冊(cè)申請(qǐng)人但應(yīng)在說明書或其他文檔中提供在實(shí)施與臨床使用環(huán)節(jié)中所需要的必要信息，如運(yùn)行環(huán)境、接口與訪問控制、安全軟件及軟件更新等，以保證在實(shí)施與臨床使用環(huán)節(jié)的網(wǎng)絡(luò)安全。
1.運(yùn)行環(huán)境
如適用，注冊(cè)申請(qǐng)人在說明書中應(yīng)明確醫(yī)療器械的運(yùn)行環(huán)境，包括硬件配置、軟件環(huán)境和網(wǎng)絡(luò)條件。硬件配置應(yīng)明確醫(yī)療器械安全運(yùn)行所需要的最低硬件資源配置要求，如CPU、內(nèi)存、存儲(chǔ)與顯示要求等。軟件環(huán)境應(yīng)明確要求醫(yī)療器械運(yùn)行所需要的操作系統(tǒng)等。網(wǎng)絡(luò)條件應(yīng)明確醫(yī)療器械運(yùn)行所需要的網(wǎng)絡(luò)類型、帶寬等。
2.接口與訪問控制
如適用，注冊(cè)申請(qǐng)人在說明書中應(yīng)描述接口與訪問控制，以滿足醫(yī)療器械實(shí)施與臨床使用過程中的要求。對(duì)于接口的描述，應(yīng)能夠滿足醫(yī)療器械與網(wǎng)絡(luò)、或其它設(shè)備的安全連接。對(duì)于訪問控制的描述，應(yīng)能指導(dǎo)使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中。
3.安全軟件
在資源允許的情況下，醫(yī)療器械可使用一些安全軟件來提高醫(yī)療器械的網(wǎng)絡(luò)安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用，注冊(cè)申請(qǐng)人應(yīng)在說明書中明確這些軟件的名稱、版本等信息。
4.軟件更新
如適用，注冊(cè)申請(qǐng)人應(yīng)在說明書中明確軟件環(huán)境與安全軟件的更新需求，更新的來源、執(zhí)行的步驟等。

附錄

19項(xiàng)網(wǎng)絡(luò)安全能力應(yīng)用參考
1.自動(dòng)登出能力（ALOF）
注冊(cè)申請(qǐng)人應(yīng)考慮，未授權(quán)的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù)，授權(quán)用戶會(huì)話在預(yù)先設(shè)置的一段時(shí)間后自動(dòng)終止或鎖定；自動(dòng)注銷能夠清除所有顯示器上的健康數(shù)據(jù)；本地授權(quán)的管理員能夠禁用該功能并設(shè)置過期時(shí)間(包括屏幕保護(hù)程序)；當(dāng)短時(shí)間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時(shí)，此功能被調(diào)用以清除顯示的健康數(shù)據(jù)；臨床用戶不會(huì)因自動(dòng)下線而丟失未提交的工作。
2.審核控制能力（AUDT）
注冊(cè)申請(qǐng)人應(yīng)考慮，通過在設(shè)備上創(chuàng)建審計(jì)跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)的訪問、修改或刪除，從而記錄和檢查系統(tǒng)活動(dòng)。將日志記錄信息作為獨(dú)立的存儲(chǔ)庫(kù)(在其自己的文件系統(tǒng)中記錄審計(jì)文件)使用。使用適當(dāng)?shù)膶徲?jì)審查工具支持審計(jì)創(chuàng)建和維護(hù)，確保審核資料的安全(特別是在這些資料本身含有個(gè)人資料的情況下)，并確保無法編輯或刪除審計(jì)數(shù)據(jù)。審計(jì)數(shù)據(jù)可能包含個(gè)人數(shù)據(jù)和/或健康數(shù)據(jù)，所有處理(例如存取、儲(chǔ)存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂啤?br /> 3.確定用戶權(quán)限的能力（AUTH）
注冊(cè)申請(qǐng)人應(yīng)考慮適當(dāng)?shù)氖跈?quán)功能允許每個(gè)用戶僅訪問已批準(zhǔn)的數(shù)據(jù)，并執(zhí)行已批準(zhǔn)的功能。醫(yī)療器械一般支持基于許可的系統(tǒng)，提供對(duì)角色(基于角色的訪問控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)訪問。例如：
（1）操作者可使用所有適當(dāng)?shù)脑O(shè)備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作；
（2）質(zhì)量保證人員(如醫(yī)學(xué)物理學(xué)家)可以從事所有適當(dāng)?shù)馁|(zhì)量和保證測(cè)試活動(dòng)；
（3）服務(wù)人員可以以支持預(yù)防性維護(hù)、問題調(diào)查和問題消除活動(dòng)的方式訪問系統(tǒng)；
4.網(wǎng)絡(luò)安全配置能力（CNFS）
注冊(cè)申請(qǐng)人應(yīng)考慮，經(jīng)過授權(quán)的本地管理員能夠選擇使用醫(yī)療器械安全功能還是不使用醫(yī)療器械安全功能。
5.網(wǎng)絡(luò)安全升級(jí)能力（CSUP）
注冊(cè)申請(qǐng)人應(yīng)考慮，盡快在醫(yī)療產(chǎn)品上安裝第三方安全補(bǔ)丁。 根據(jù)客觀的、權(quán)威的、文檔化的漏洞風(fēng)險(xiǎn)評(píng)估，優(yōu)先考慮解決高風(fēng)險(xiǎn)漏洞的補(bǔ)丁。應(yīng)進(jìn)行充分的測(cè)試，以發(fā)現(xiàn)對(duì)醫(yī)療器械(性能或功能)可能危及患者的任何意外副作用。注冊(cè)申請(qǐng)人需要主動(dòng)提供關(guān)于評(píng)估/驗(yàn)證補(bǔ)丁的信息。
6.健康數(shù)據(jù)去標(biāo)識(shí)化能力（DIDT）
注冊(cè)申請(qǐng)人應(yīng)考慮，臨床用戶、服務(wù)工程師和營(yíng)銷人員能夠在不需要患者身份的信息的情況下去識(shí)別敏感數(shù)據(jù)。
7.數(shù)據(jù)備份與災(zāi)難恢復(fù)能力（DTBK）
注冊(cè)申請(qǐng)人應(yīng)保證在系統(tǒng)故障或損壞后，可以恢復(fù)存儲(chǔ)在醫(yī)療器械上的持久保存的系統(tǒng)設(shè)置和敏感數(shù)據(jù)，以便業(yè)務(wù)能夠繼續(xù)進(jìn)行。這一要求可以不適用于較小的低成本設(shè)備。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
注冊(cè)申請(qǐng)人應(yīng)考慮，在緊急情況下，臨床用戶需要能夠在沒有個(gè)人用戶ID和身份驗(yàn)證的情況下訪問敏感數(shù)據(jù)（break-glass功能）。應(yīng)檢測(cè)、記錄和報(bào)告緊急通道。理想情況下，包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員（除了審計(jì)記錄之外）。注冊(cè)申請(qǐng)人可以使用特定用戶帳戶或系統(tǒng)功能的方法以滿足緊急訪問在輸入時(shí)要求并記錄自認(rèn)證用戶標(biāo)識(shí)（無需身份驗(yàn)證）的要求。管理員能夠啟用/禁用依賴于技術(shù)或過程控制的醫(yī)療器械提供的緊急訪問功能。
9.數(shù)據(jù)完整性真實(shí)性確認(rèn)能力（IGAU）
注冊(cè)申請(qǐng)人應(yīng)考慮，通過使用包括固定媒介和可移動(dòng)媒介，來確保健康數(shù)據(jù)是可靠的，不會(huì)被篡改。
10.惡意軟件的防止、檢測(cè)與清除能力（MLDP）
注冊(cè)申請(qǐng)人應(yīng)考慮，相關(guān)法規(guī)和用戶需求，以確?？梢杂行ьA(yù)防、檢測(cè)和刪除惡意軟件。對(duì)防止惡意軟件的應(yīng)用程序及惡意軟件模式數(shù)據(jù)文件及時(shí)進(jìn)行軟件更新，及時(shí)對(duì)當(dāng)前操作環(huán)境、系統(tǒng)、數(shù)據(jù)文件和應(yīng)用程序進(jìn)行補(bǔ)丁更新。并對(duì)設(shè)備更新后進(jìn)行驗(yàn)證測(cè)試。
11.通信對(duì)象、通信節(jié)點(diǎn)的身份驗(yàn)證能力（NAUT）
注冊(cè)申請(qǐng)人應(yīng)考慮管理跨節(jié)點(diǎn)的賬戶的訪問，以保護(hù)健康數(shù)據(jù)。可以支持獨(dú)立管理或集中管理。支持根據(jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行節(jié)點(diǎn)認(rèn)證。檢測(cè)和防止實(shí)體偽造（提供不可抵賴性）。
12.驗(yàn)證合法用戶的能力（PAUT）
注冊(cè)申請(qǐng)人應(yīng)考慮管理賬戶以保護(hù)健康數(shù)據(jù)的能力。提供基于角色的訪問控制（RBAC）。用戶可以將個(gè)人**項(xiàng)與用戶賬戶關(guān)聯(lián)?？梢灾С知?dú)立或集中管理。單一賬號(hào)登錄所有工作地點(diǎn)且密碼相同。控制對(duì)設(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問并生成不可否認(rèn)的審計(jì)跟蹤。發(fā)現(xiàn)和防止人員造假（提供不可抵賴性）。
13.物理保護(hù)能力（PLOK）
注冊(cè)申請(qǐng)人應(yīng)根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)量保證其存儲(chǔ)安全性。合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。確保篡改（包括設(shè)備移除）是可以檢測(cè)到的。
14.第三方組件管理能力（RDMP）
注冊(cè)申請(qǐng)人應(yīng)對(duì)醫(yī)療器械提供明確的預(yù)期壽命說明，并對(duì)提供第三方組件的服務(wù)商對(duì)其醫(yī)療器械生命周期內(nèi)維護(hù)或支持相應(yīng)的系統(tǒng)進(jìn)行要求。當(dāng)平臺(tái)組件過時(shí)的情況下，需要及時(shí)進(jìn)行更新和升級(jí)。在存儲(chǔ)設(shè)備退役（丟棄、重用、轉(zhuǎn)售或回收）之前，服務(wù)提供商需不可逆地擦除健康數(shù)據(jù)。這些活動(dòng)應(yīng)該被記錄和審計(jì)。銷售和服務(wù)人員應(yīng)了解對(duì)每個(gè)醫(yī)療器械在其生命周期中提供的安全支持。
15.系統(tǒng)與應(yīng)用加固能力（SAHD）
注冊(cè)申請(qǐng)人應(yīng)給用戶提供一個(gè)穩(wěn)定的系統(tǒng)，并且只提供那些根據(jù)其預(yù)期用途而指定和需要的服務(wù)，同時(shí)進(jìn)行最少的維護(hù)活動(dòng)。并且要求連接到它們的網(wǎng)絡(luò)的系統(tǒng)在交付時(shí)是安全的以加強(qiáng)對(duì)誤用和攻擊的抵御能力。注冊(cè)申請(qǐng)人應(yīng)將用戶反饋的用戶設(shè)備中可疑的安全漏洞和察覺到的弱點(diǎn)以報(bào)告的形式記錄。并通過風(fēng)險(xiǎn)分析和管理進(jìn)行漏洞的修復(fù)，并及時(shí)更新交付。
16.對(duì)操作者與管理員提供網(wǎng)絡(luò)安全指導(dǎo)的能力（SGUD）
注冊(cè)申請(qǐng)人應(yīng)讓操作人員清楚地了解自己的職責(zé)和安全的系統(tǒng)工作方式。管理員需要關(guān)于管理、定制和監(jiān)視系統(tǒng)的信息（即訪問控制列表、審計(jì)日志等）。管理員需要清楚地了解安全功能，以便根據(jù)適當(dāng)?shù)姆ㄒ?guī)要求進(jìn)行健康數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估。銷售和服務(wù)應(yīng)包括系統(tǒng)的安全能力和安全工作方式的信息。用戶應(yīng)知道如何以及何時(shí)將用戶設(shè)備中可能存在的安全漏洞和察覺到的弱點(diǎn)通知注冊(cè)申請(qǐng)人。
17.存儲(chǔ)保密能力（STCF）
注冊(cè)申請(qǐng)人應(yīng)合理保證儲(chǔ)存在醫(yī)療器械或媒介上的健康數(shù)據(jù)的安全。基于風(fēng)險(xiǎn)分析，考慮對(duì)存儲(chǔ)在醫(yī)療器械上的健康數(shù)據(jù)進(jìn)行加密。對(duì)于臨床用戶、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師使用的存儲(chǔ)在可移動(dòng)媒介上的健康數(shù)據(jù)，加密可以保護(hù)其機(jī)密性/完整性。應(yīng)考慮使用正常使用、服務(wù)訪問、緊急訪問一致的加密密鑰管理機(jī)制。加密方法和強(qiáng)度應(yīng)考慮數(shù)據(jù)量和敏感性。
18.傳輸保密能力（TXCF）
注冊(cè)申請(qǐng)人應(yīng)考慮在經(jīng)過身份驗(yàn)證的節(jié)點(diǎn)之間傳輸健康數(shù)據(jù)的機(jī)密性。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
注冊(cè)申請(qǐng)人應(yīng)考慮在相對(duì)開放的網(wǎng)絡(luò)或環(huán)境中傳輸健康數(shù)據(jù)，需保證健康數(shù)據(jù)的完整性。

參考文獻(xiàn)：

1）《醫(yī)療器械軟件注冊(cè)技術(shù)審查指導(dǎo)原則》（原國(guó)家食品藥品監(jiān)督管理總局2015年第50號(hào)通告）
2）《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》（原國(guó)家食品藥品監(jiān)督管理總局2017年第13號(hào)通告）
3）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（中華人民共和國(guó)國(guó)務(wù)院令第147號(hào)）
4）中華人民共和國(guó)互聯(lián)網(wǎng)信息辦公室《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（中網(wǎng)辦發(fā)文〔2017〕4號(hào)）
5）GB/T 29246-2012信息安全技術(shù) 信息安全管理體系概述和詞匯
6）GB/T 20984-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
7）GB/T 22239-2019信息系統(tǒng)安全等級(jí)保護(hù)基本要求
8）GB/T 25070-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
9）GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求
10) GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則
11）YY/T 0316-2016 醫(yī)療器械 風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用
12）IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理應(yīng)用.第2-2部分 醫(yī)療器械安全
13）T/ZMDS 20001-2016 風(fēng)險(xiǎn)管理在IT網(wǎng)絡(luò)引入醫(yī)療器械時(shí)的應(yīng)用 第1部分：角色、責(zé)任與活動(dòng)
14）T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制 – 醫(yī)療器械網(wǎng)絡(luò)安全能力信息
15）ISO/IEC 27035-2011 Information technology - Security techniques - Information security incident management
16）ISO/IEC 27035-1:2016 Part 1: Principles of incident management
17）ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
18）ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
19）ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
20）ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
21）ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
22）ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
22）ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
23) IEC/TR 80001-2-3:2012: Part 2-3: Application of risk management for IT-networks incorporating medical devices - Guidance for wireless networks
24）IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
25）IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
26）HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security