需要安全审核不给出款处理方法 医疗器械网络安全注册审查指导原则（2022年修订版）2022年第7号解读

医疗器械网络安全越来越受重视，关注点也越来越多，涉及医疗器械网络安全的医疗器械产品越来越多，法规也越来越完善，至2022年3月9日发布了《医疗器械网络安全注册审查指导原则（2022年修订版）》，这份文件没有给予实施日期，也就是说发布即实施，很多即将递交注册申报的企业就会很急，新规发了我们受影响吗，影响大吗，我们需要做哪些，怎么做，咱们一起学习新规，就能知道怎么做，做什么了。

首先上定义概念和术语，了解定义才能明白我们做的是什么，知道范围才能确定该怎么做，言归正传，上定义：

医疗器械网络安全：是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态，其保密性（）、完整性（）、可得性（） 相关风险在全生命周期均处于可接受水平 。除保密性、完整性、可得性三个基本特性外，医疗器械网络安全还包括真实性（）、抗抵赖性（Non-）、可核查性（）、可靠性（）等特性。从这定义开始 我应思考软件应该跨多学科，如：信息科技、软件工程、生物工程、机械设计、医学专业等多学科，由此可以看出医疗软件的复杂性及难度。而我们企业在没有相关国际、国家、行业标准时推进一个医疗软件项目有多难，现在法规标准有了，我们要怎么做，我们一起来探讨下。

一、适用范围

适用于医疗器械网络安全的注册申报，包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械（包括体外诊断医疗器械）；适用于自研软件、现成软件的注册申报。

下图网络安全的范围：

用户界面和电子接口的人机交互方式也放在网络安全中了，范围比上版指导原则增大了，我们需要做的就更多了，比如：人因设计、可用性都要在设计输入输出中进行评审了。

再来学习下

二、医疗器械相关数据

医疗器械相关数据可分为医疗数据和设备数据。

医疗数据的要求不得含有敏感医疗数据，即不得含有个人信息的医疗数据（自然人的姓名、出生日期、身份证件号码、个人生物识别信息（含容貌信息）、住址、电话号码等）；设备数据：不得含有个人信息。

注册申请人需基于医疗器械相关数据的类型、功能、用途，结合网络安全特性考虑医疗器械网络安全要求。同时，保证敏感医疗数据所含个人信息免于泄露、滥用和篡改，以及医疗数据和设备数据的有效隔离（如访问权限控制等方法）。我们需要做的重点：防泄漏、防攻击、防识别。防泄漏做好访问控制、防攻击可以使用防护/安全软件，防识别采取保密措施。技术方法措施都给了您看咱们产品符合要求吗，根据2022年7号8号9号文件企业可以展开法规标准符合性自查，及早发现及时纠正。

三、医疗器械电子接口

接口类型、方式和技术特征如表所示：

接口分类

技术特征

主要用途

网络接口（有线、无线）

网络形式（有线、无线）、网络类型（如广域网、局域网、个域网）、接口形式（如电口、光口）、数据接口（此时即数据协议，含标准协议、私有协议）、远程访问与控制方式（实时、非实时）、性能指标（如端口、传输速率、带宽）

电子数据交换或远程访问与控制

无线网络包括Wi-Fi（IEEE 802.11）、蓝牙（IEEE 802.15）、射频、红外、4G/5G的中国无线电管理相关规定；标准协议如DICOM、HL7等定制功能的兼容性；私有协议兼容性。

远程访问与控制含远程会话或远程桌面功能。

电子数据交换接口

其他电子接口

串口、并口、USB口、视频接口、音频接口，含调试接口、转接接口

电子数据交换

存储媒介

不限于存储媒介形式、数据接口（此时即文件存储格式，含标准格式、私有格式）、数据压缩方式（有损、无损）、性能指标（如传输速率、容量）等。标准格式即业内公认标准所规范的文件存储格式，如JPEG、PNG等，需考虑其文件格式完整性问题；私有格式需考虑兼容性问题。

存储、电子数据交换

外部接口

分体式医疗器械各独立部分的内部接口视为外部接口，如服务器与客户端、主机与从机的内部接口。

电子数据交换、远程访问与控制

注：注册申请人需结合医疗器械电子接口的类型、方式、技术特征，基于网络安全特性考虑其网络安全的具体要求。

产品技术要求 明确的网络安全相关条款

2.1.4 接口 “明确软件供用户调用的应用程序接口（API）、数据接口（含传输协议、存储格式，如DICOM、HL7、JPG、PNG、私有协议与格式）、产品接口（可联合使用的其他医疗器械独立软件、医疗器械硬件产品）。”

2.1.9 用户界面“明确软件的用户界面类型和用户输入类型。”

2.1.12 访问控制 “明确软件的用户身份鉴别方法、用户类型及用户访问权限。”

产品说明书提供网络安全说明和使用指导，明确用户访问控制机制、电子接口（含网络接口、电子数据交换接口）及其数据类型和技术特征、网络安全特征配置、数据备份与灾难恢复、运行环境（含硬件配置、外部软件环境、网络环境，若适用）、安全软件兼容性列表（若适用）、外部软件环境与安全软件更新（若适用）、现成软件清单（SBOM，若适用）等要求。

研究资料也有相应的要求在软件研究资料中单独提交《自研软件网络安全研究报告》。若使用现成软件组件，根据其使用方式提交《现成软件网络安全研究资料》。自研软件的再次发布应提交《自研软件网络安全更新研究报告》，包括网络安全功能更新、网络安全补丁更新等研究报告。

四、医疗器械网络安全能力

考虑到预期用途、使用场景的限制，医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。

医疗器械网络安全能力：

自动注销（ALOF）

数据存储保密性与完整性（STCF）

审核（AUDT）

数据传输保密性（TXCF）

授权（AUTH）

数据传输完整性（TXIG）

节点鉴别（NAUT）

网络安全补丁升级（CSUP）

人员鉴别（PAUT）

现成软件清单（SBOM）

连通性（CONN）

现成软件维护（RDMP）

物理防护（PLOK）

网络安全使用指导（SGUD）

系统加固（SAHD）

网络安全特征配置（CNFS）

数据去标识化与匿名化（DIDT）

紧急访问（EMRG）

数据完整性与真实性（IGAU）

远程访问与控制（RMOT）

数据备份与灾难恢复（DTBK）

恶意软件探测与防护（MLDP）

22项网络安全能力认真听课的小伙伴应该都记得。强调下多学习的好处，2021年9月下旬的器审中心老师培训的内容就有哦，意不意外惊不惊喜，作为一个合格的RA要时刻注意国家动向，紧跟步伐，加强法规标准的学习，不断的自我提升，培养敏锐的嗅觉才能做更好的RA。

回归正题针对上述22项网络安全能力需要我们逐项分析，适用的需给出理由和相应的需求，不适应的给出不适应的理由，形成《网络安全能力分析报告》作为《自研软件网络安全研究报告》的附件一并提交注册申报。

连通性（CONN）现成软件清单（SBOM）远程访问与控制（RMOT）怎么分析怎么写，举个例子：

连通性：产品保证连通网络安全可控的能力。系统需求有权限限制，用户需求联网后信息要受保护。分析内容：适用，用户连接网络加密需有口令/密码可以联网。

远程访问与控制：产品确保用户远程访问与控制（含远程维护与升级）的网络安全的能力。最常见的就是用户需求不用到现场就可以随时随地解决产品的异常问题。分析内容：适用，我们可以实现一键升级更新。

五、网络安全验证与确认

旧版的网络安全验证与确认相对简单多了，结合产品的功能性能做黑盒测试并记录，形成网络安全测试报告就可以，网络安全测试计划和报告可系统测试计划和报告只有注明网络安全情况就行，新版可能这个做法就不接受了，需要专用的测试工具、测试环境、测试人员才能开展源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等，且需针对不同类型网络威胁，采用相应技术手段来保证医疗器械的网络安全。例如：针对读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向、勒索攻击等网络威胁，可采用用户访问控制、端口与服务关闭、加密、数字签名、标准协议、校验、防火墙、入侵检测、恶意代码防护、防护规则配置等方法与技术来保证产品的网络安全。

六、网络安全可追溯性分析

新版中明确了追踪内容，且追踪到了源代码“追踪网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险管理之间的关系，分析已识别关系的正确性、一致性、完整性、准确性。”要提醒大家，这里的关系不一定是一对一的关系，可能是一对多，多对一的关系，只要不缺不漏逐一梳理，源代码是完全可以追溯的。

七、网络安全事件应急响应

一个企业的网络安全事件应急响应能力也能看出一个企业的水平。相对旧版原则只在“更新维护计划”中提及“提供网络安全事件应急响应预案文档”，新版要高且明确，不仅要有相应的网络安全事件应急响应预案文档涵盖现成软件要求，明确计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进等阶段的任务和要求，还要建立网络安全事件应急响应团队，根据工作职能形成管理、规划、监测、响应、实施、分析等工作小组，必要时可邀请外部网络安全专家成立专家小组。网络安全要分类分级管理，并做相应的验证整个过程流程可参考《中央网信办. 国家网络安全事件应急预案[Z]，2017.1》制定实施。

八、基本原则

网络安全定位：医疗器械安全性和有效性的重要组成部分之一；

风险导向：通常情形下医疗器械网络安全的安全性级别与所属医疗器械软件的安全性级别相同；特殊情况下提交相应的验证注册申报资料。

全生命周期质控：要做好上市前后各个阶段的质控工作，上市前结合质量管理体系要求和医疗器械产品特性开展网络安全质控工作，上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动，定期开展医疗器械网络安全漏洞风险评估工作，将必要的网络安全相关信息以及应对措施告知用户。

建议参考IEC 27000系列标准规范信息安全管理体系（ISMS）认证要求做好医疗器械的网络安全质控工作。

九、技术考量

现成软件关注两个重点：重点关注其网络安全问题对医疗器械使用效果的影响，重点关注其网络安全补丁对医疗器械安全有效性的影响。

医疗数据出境：我关注的重点健康医疗大数据应存储在境内安全可信的服务器上。如需出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。医疗数据出境涉及法规标准很多，涉及网信部、人遗办等多个部门，申办流程也比较复杂，一般不建议带医疗数据出境。

远程维护与升级：注册申请人需明确远程维护与升级的实现方法、所用电子接口情况、设备数据所含内容、设备数据与医疗数据的隔离方法、网络安全保证措施等技术特征，并提供相应研究资料和风险管理资料。境外远程维护与升级若可访问医疗数据，亦应符合医疗数据出境要求。

遗留设备 -依据《独立软件生产质量管理规范及其现场检查指导原则》开展网络安全质控工作。

遗留设备的判定：通常情况下可结合医疗器械的停售（EOL）、停止售后服务（EOS）两个时间点判定其是否属于遗留设备：在售（以注册证时效为准）的医疗器械均非遗留设备；停售但未停止售后服务的医疗器械，若无法通过合理风险控制措施抵御当前网络安全威胁则为遗留设备，反之不属于遗留设备；停止售后服务的医疗器械均为遗留设备。

遗留设备的管控：对于注册证失效但尚未停止售后服务、注册证有效但已停售的医疗器械，注册人应根据质量管理体系要求向现有用户提供必要的网络安全相关信息以及应对措施，以保证医疗器械的网络安全。若无法保证医疗器械的网络安全，按遗留设备处理。如：动态心电分析软件注册证有效期是2021年09月28日，而2021年9月还要销售，产品有效期是5年，售后服务还继续提供，企业能提供数据导出的风险措施并保证网络安全，这就不是遗留设备。

对于注册证有效且在售的医疗器械，若无法通过合理风险控制措施抵御当前网络安全威胁，则注册人应根据质量管理体系要求制定相应风险控制措施，并申请变更注册。例如：某超声系统注册证（注册证有效期是2024年6月3日）在有效期内还在销售的状态，产品无用户访问控制（登录和用户权限划分），又不能通过措施纠正预防的，需要进行变更注册。这一信息可能很多2019年前后做了延续的医疗器械产品（带软件）的需要进行变更注册啦，小伙伴们行动吧。

医疗器械网络安全研究资料指导原则上有框架 我就不多说了，大家可以对照指导原则自查是否涉及网络安全了，不符合的就赶快动起来吧，如需帮助请找德大，真诚服务、质量保证。

往期内容回顾

指导原则及法规汇总

医械文学社