编者按

近日,为进一步规范医疗器械网络安全相关管理,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》,对于医疗机构普遍存在的“医疗器械网络安全管理难”问题提出了新的要求,立即引发了医院信息部门的广泛关注与讨论。

有着设备科工作经历的成都市第六人民医院信息部副主任彭先清第一时间发来她的学习笔记,认真比较和梳理了新版《指导原则》与2017年版本的差异,并分享了自己的学习心得。

针对医疗器械网络安全新规,欢迎更多同行来稿发表观点、看法!

成都市第六人民医院信息部 彭先清

2022年3月9日,国家药监局器审中心发布了《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则修订版》)。这与2017年1月20日国家食品药品监管总局发布的《医疗器械网络安全注册技术审查指导原则》(以下简称《指导原则》)相隔5年。

《指导原则修订版》与《指导原则》均贯彻《中华人民共和国网络安全法》的要求,符合国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务的要求,以及网络产品、服务应当符合相关国家标准的强制性要求。与《指导原则》相比较,《指导原则修订版》对医疗器械的网络安全全生命周期提出了更高的要求,现就笔者个人对《指导原则修订版》的理解归纳如下。

一、“适用范围”的修订符合信息技术发展现状

《指导原则》适用于具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品的注册申报,其中网络包括无线、有线网络,电子数据交换包括单向、双向数据传输,远程控制包括实时、非实时控制。

《指导原则修订版》将“适用范围”修改为适用于医疗器械网络安全的注册申报,包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械(包括体外诊断医疗器械);特别强调了用户(如医务人员、患者、维护人员等)访问包括基于软件用户界面、电子接口的人机交互方式。

《指导原则》的适用范围还包括:“采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品的注册申报,其中存储媒介包括但不限于光盘、移动硬盘和U盘”。由于光盘只能一次性写入、且写入后无法修改,移动硬盘和U盘又存在空间有限的限制,均不能满足医疗器械对数据存储持续提升的要求,所以此次《指导原则修订版》取消了“包括但不限于光盘、移动硬盘和U盘的存储媒介”的表述,以适应新形势下对数据存储的要求。

二、新增医疗器械网络安全相关内容的概念解释

《指导原则》仅在基本原则中对“医疗器械网络安全”做出了概念解释,即保持医疗器械相关数据的保密性、完整性和可得性,以及真实性、可核查性、抗抵赖和可靠性等,并未对“医疗器械相关数据” “医疗器械电子接口”“医疗器械网络安全能力”“网络安全验证与确认”“网络安全可追溯性分析”“网络安全事业应急响应”等做出解释。而《指导原则修订版》对以上内容均做出了明确的解释。

例如:《指导原则修订版》将医疗器械相关数据明确分为医疗数据和设备数据;所述医疗器械电子接口(含硬件接口、软件接口)包括网络接口、电子数据交换接口,若无明示均指外部接口,分体式医疗器械各独立部分的内部接口视为外部接口,如服务器与客户端、主机与从机的内部接口。

考虑到预期用途、使用场景的限制,《指导原则修订版》新增了医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。

考虑到医疗器械面临日益复杂严峻的网络安全威胁,《指导原则修订版》新增规定:注册申请人需基于相关标准和技术报告建立网络安全事件应急响应机制,保证医疗器械的安全有效性并保护患者隐私。

三、“基本原则”全面更新

在基本原则方面,《指导原则》仅对“医疗器械网络安全”做出了概念性解释,而《指导原则修订版》做出重大调整,将基本原则划分为三大原则:网络安全定位原则、风险导向原则、全生命周期质控原则。这对于医疗器械网络安全注册审查更具有指导意义。

在“网络安全定位”原则中,《指导原则修订版》明确医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一;强调信息共享是保障医疗器械网络安全的基本原则,鼓励所有利益相关方在医疗器械全生命周期中主动积极共享网络安全相关信息;明确要求注册申请人需保证医疗器械产品自身的网络安全,明确预期的网络环境和电子接口要求,保证医疗器械的安全有效性;更明确医疗器械网络安全是网络安全国家战略的重要组成部分,医疗器械网络安全亦应符合网络安全相关法律法规和部门规章的要求,如网络安全法、数据安全法、个人信息保护法以及数据出境、重要数据识别等要求。

综合考虑行业发展水平和风险分级管理导向,《指导原则修订版》新增“风险导向”原则,明确医疗器械网络安全风险管理活动包括识别资产、威胁和脆弱性三大类;注册申请人可结合医疗器械风险管理和网络安全风险管理相关标准和技术报告的要求,开展医疗器械网络安全风险管理工作。

《指导原则》对于“全生命周期质控”未提出任何指导意见,而《指导原则修订版》提出了明确要求,与医疗器械软件类似,注册申请人应在医疗器械全生命周期中持续关注网络安全问题;同时,建立网络安全事件应急响应过程,定期开展医疗器械网络安全漏洞风险评估工作。此外,为保证医疗器械的安全有效性,可采用信息安全领域的良好工程实践来完善医疗器械网络安全质控工作。

四、新增对医疗器械网络安全生存周期过程管理要求

《指导原则》仅在基本原则中提出:“注册申请人应当在医疗器械产品全生命周期过程中持续关注网络安全问题”,未提出实质性的要求。

《指导原则修订版》新增“医疗器械网络安全生存周期过程”的单独条目,指出:首先,考虑行业实际情况,不要求注册申请人单独建立医疗器械网络安全生存周期(又称生命周期)过程,而是将其作为医疗器械软件生存周期过程的重要组成部分予以整体考虑,待时机成熟时予以考量;其次,明确注册申请人需在医疗器械软件生存周期过程考虑医疗器械网络安全的质控要求,并可基于医疗器械网络安全能力建设要求予以实施;最后,明确注册申请人可参考信息安全领域相关标准和技术报告,完善医疗器械网络安全生存周期过程的质控要求。

从《指导原则》中的“关注”到《指导原则修订版》中的“切实符合行业实际情况”的“不要求”,再到“要求予以实施”,再到“完善质控要求”,这三个关键词突出了《指导原则修订版》对医疗器械网络安全生存周期过程管理要求的重大变化。

五、把技术考量纳入医疗器械网络安全注册审查的重中之重

《指导原则》将网络安全考量分为数据考量、技术考量、现成软件考量。在“技术考量”中,《指导原则》要求用户访问控制应当与医疗器械产品特性相适应,医疗器械相关数据网络传输过程应保证保密性和完整性,同时平衡可得性,医疗器械网络安全能力建设可参照相关的国际、国家标准和技术报告。

《指导原则修订版》将上述三类考量统一为“技术考量”。其中,将现成软件考量归集到了技术考量,并重点考虑其网络安全问题,要求注册申请人应根据质量管理体系要求建立现成软件网络安全更新过程,结合风险管理要求,及时将必要的现成软件网络安全信息及应对措施告知用户,根据现成软件与医疗器械软件的关系类型开展相应网络安全质控工作。这样的技术考量更具有操作性和指导意义。

《指导原则》中的“数据考量”在《指导原则修订版》中深化为数据安全保障措施,具体表现在医疗数据出境管理中;特别提到医疗数据通常属于重要数据,且敏感医疗数据含有个人信息,医疗数据出境应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。

《指导原则修订版》在“技术考量”部分新增“远程维护与升级”和“遗留设备”管理指导原则。对医疗机构来说,这两条规定更具有重大意义,医疗机构可以“名正言顺”地拒绝非授权、非委托的远程维护方式,避免遗留设备可能因无法应对当前网络安全威胁,导致产品综合剩余风险无法降至可接受水平,从而最大程度保障医院网络安全、减低数据安全风险。

六、重点新增医疗器械网络安全研究资料的相关要求

《指导原则》仅对网络安全文档做出解释,未全面体现医疗器械网络安全相关研究资料。《指导原则修订版》明确了医疗器械网络安全研究资料框架,分为两大类型,一是自研软件,包括网络安全研究报告、网络安全更新研究报告(含网络安全补丁更新研究报告),二是现成软件,包括部分使用方式、全部使用方式的现成软件组件和外部软件环境(含外部软件环境评估报告)。

《指导原则修订版》针对自研软件提供了网络安全研究报告框架和网络安全功能更新研究报告框架,分为四个部分:第一部分为基本信息,包含软件基本情况、安全性级别、数据架构、网络安全能力、网络安全补丁、安全软件;第二部分为实现过程,包含风险管理、需求规范等内容,要求提供网络安全的测试计划和报告的验证与确认过程、可追溯性分析,提供网络安全更新、远程维护与升级的流程图及活动描述的维护计划;第三部分为漏洞评估,按照漏洞等级明确已知漏洞总数和剩余漏洞数;第四部分为结论,概述网络安全实现过程的规范性和网络安全漏洞评估结果,判定网络安全是否满足要求。

《指导原则修订版》还明确规定,考虑到医疗器械软件指导原则已明确外部软件环境评估报告要求,同时自研软件网络安全研究资料亦含有外部软件环境的网络安全补丁、漏洞评估等要求,故无需单独提交外部软件环境网络安全评估资料。这也充分体现了《指导原则修订版》的可操作性。

七、优化注册申报时所需提交资料

与《指导原则》相比,《指导原则修订版》在注册申报资料方面更为精简,指导意义更强。当注册申报资料符合医疗器械注册申报等文件要求,且满足医疗器械软件等相关指导原则要求,在产品注册和产品变更注册时,均只需重点关注软件研究资料和说明书即可。

八、学习感言

纵观《指导原则修订版》,作为医疗器械网络安全的通用指导原则,对医疗机构的医疗器械管理工作提出了新的要求:

首先,医疗机构在采购医疗器械时须将医疗器械网络安全注册证纳入实质性响应;

其次,无论是医疗器械厂商在医院安装和交付医疗器械,还是后期医疗器械厂商与医院医学装备管理部门对医疗器械进行共同维护时,都应将医疗器械纳入医院信息安全统一管理体系;

最后,针对现阶段管理相对较为薄弱的医疗器械相关数据,更应遵照《中华人民共和国网络安全法》等法律法规要求,加强对数据安全的管理。

最近围绕《指导原则修订版》的出台,HIT专家网也有同行开始热议医学装备部和信息科“合久必分、分久必合”的话题。回想自己刚入职医院时是在设备科,和大多数医院一样,当时信息归属设备科统一管理,随着医院发展对信息技术的需求,2017年信息科正式从设备科独立出来,围绕医疗服务流程优化、医疗质量与效率提升在全力以赴。从笔者的从业经历来看,医疗机构普遍对医学装备、医院设施的网络安全问题关注甚少。

如今,医院越大、发展越快,医疗设备越来越多,缺乏信息支撑、网络安全保障的医疗器械,是否可以助力医院更高效、更长远的发展?这个问题值得从业人员深思。设备、信息的合并与否,不是目的,强信息支撑能力、保网络安全促发展才是目标。

笔者更认可HIT前辈陈金雄主任的观点:“信息化应该起到战略支撑作用,信息科无论是与医学装备部、后勤保障部,还是与医院任何一个部门都应找到结合点。这恰恰说明信息科要独立存在,才能从更高维度发挥战略支撑作用。”

声明:本文来自HIT专家网news,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。