根據(jù)國(guó)家藥監(jiān)局發(fā)布的《醫(yī)療器械注冊(cè)申報(bào)資料要求及說(shuō)明》，具備電子數(shù)據(jù)交換、遠(yuǎn)程控制或用戶訪問(wèn)功能的獨(dú)立軟件和含有軟件組件的產(chǎn)品，是需要提交網(wǎng)絡(luò)安全研究資料的，那么這一資料具體應(yīng)如何撰寫(xiě)呢？本期文章我們根據(jù)北京市藥監(jiān)局發(fā)布的《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則實(shí)施指南》，跟大家分享一下網(wǎng)絡(luò)安全注冊(cè)資料的相關(guān)內(nèi)容。

注冊(cè)申請(qǐng)人應(yīng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境和核心功能以及預(yù)期相連設(shè)備或系統(tǒng)（例如：其它醫(yī)療器械、信息技術(shù)設(shè)備）的情況來(lái)確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性，提交網(wǎng)絡(luò)安全描述文檔。網(wǎng)絡(luò)安全描述文檔應(yīng)描述醫(yī)療器械的基本信息、風(fēng)險(xiǎn)管理、驗(yàn)證與確認(rèn)以及維護(hù)計(jì)劃。

應(yīng)描述醫(yī)療器械產(chǎn)品網(wǎng)絡(luò)安全相關(guān)的基本信息，這些信息包括：

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是指注冊(cè)申請(qǐng)人基于醫(yī)療器械產(chǎn)品的預(yù)期用途和使用場(chǎng)景進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，評(píng)價(jià)并采取網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制手段確保產(chǎn)品的網(wǎng)絡(luò)安全能力。注冊(cè)申請(qǐng)人可對(duì)網(wǎng)絡(luò)安全采用醫(yī)療器械風(fēng)險(xiǎn)管理的方法（可參照GB/T 42062-2022《醫(yī)療器械 風(fēng)險(xiǎn)管理對(duì)醫(yī)療器械的應(yīng)用》）對(duì)醫(yī)療器械網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)進(jìn)行分析、評(píng)價(jià)和控制，也可采用信息安全風(fēng)險(xiǎn)評(píng)估的方法（可參照GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》）進(jìn)行評(píng)估，并進(jìn)行風(fēng)險(xiǎn)控制。

如適用，醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理應(yīng)考慮對(duì)個(gè)人敏感信息的保護(hù)。對(duì)個(gè)人信息的處理，應(yīng)遵循個(gè)人信息安全基本原則和相關(guān)的法律法規(guī)以及標(biāo)準(zhǔn)，如GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》。如有必要，應(yīng)對(duì)個(gè)人信息進(jìn)行匿名化或去標(biāo)識(shí)化處理。

風(fēng)險(xiǎn)管理除了從網(wǎng)絡(luò)安全角度來(lái)考慮醫(yī)療器械的網(wǎng)絡(luò)安全能力外，還應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)醫(yī)療器械的安全性和有效性的影響。

醫(yī)療器械網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理需要考慮整個(gè)醫(yī)療器械生命周期并適時(shí)更新。

（1）風(fēng)險(xiǎn)分析與評(píng)價(jià)

注冊(cè)申請(qǐng)人應(yīng)對(duì)網(wǎng)絡(luò)安全管理活動(dòng)進(jìn)行策劃并制定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可接受性準(zhǔn)則。注冊(cè)申請(qǐng)人應(yīng)考慮網(wǎng)絡(luò)安全損害的嚴(yán)重度和網(wǎng)絡(luò)安全損害的發(fā)生概率并按照接受性準(zhǔn)則決定是否需要降低風(fēng)險(xiǎn)。

① 網(wǎng)絡(luò)安全損害的嚴(yán)重度，例如：

② 網(wǎng)絡(luò)安全損害的發(fā)生概率，例如：

注：發(fā)生概率應(yīng)和醫(yī)療器械具體情況相適應(yīng)

（2）風(fēng)險(xiǎn)控制

根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果需要降低風(fēng)險(xiǎn)時(shí)，注冊(cè)申請(qǐng)人應(yīng)識(shí)別適當(dāng)?shù)?strong style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: break-word !important;">風(fēng)險(xiǎn)控制措施，以把風(fēng)險(xiǎn)降低到可接受的水平。

↑ 風(fēng)險(xiǎn)分析、評(píng)價(jià)和風(fēng)險(xiǎn)控制措施記錄表

↑ 風(fēng)險(xiǎn)評(píng)估矩陣模型-初始風(fēng)險(xiǎn)分布

↑ 風(fēng)險(xiǎn)評(píng)估矩陣模型-采取風(fēng)險(xiǎn)控制措施后風(fēng)險(xiǎn)分布

注：表格中的數(shù)字僅作為舉例。采取風(fēng)險(xiǎn)控制措施后，剩余風(fēng)險(xiǎn)中不可接受風(fēng)險(xiǎn)數(shù)量為0。

注冊(cè)申請(qǐng)人應(yīng)形成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告，并完成風(fēng)險(xiǎn)管理過(guò)程的評(píng)審，確認(rèn)綜合剩余風(fēng)險(xiǎn)是可接受的。

注冊(cè)申請(qǐng)人要持續(xù)關(guān)注醫(yī)療器械上市后與醫(yī)療器械相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，根據(jù)實(shí)際情況適時(shí)更新風(fēng)險(xiǎn)分析、評(píng)價(jià)和控制文件，如法規(guī)更新、不良事件報(bào)告等。

網(wǎng)絡(luò)安全驗(yàn)證和確認(rèn)活動(dòng)的目的是確定風(fēng)險(xiǎn)管理中采用的網(wǎng)絡(luò)安全控制手段均已得到正確的實(shí)施，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求（例如保密性、完整性、可得性等特性）均已得到滿足。

對(duì)于現(xiàn)成軟件，注冊(cè)申請(qǐng)人應(yīng)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析過(guò)程中將其作為醫(yī)療器械的一部分進(jìn)行充分的網(wǎng)絡(luò)安全評(píng)估，并在醫(yī)療器械的網(wǎng)絡(luò)安全能力配置中予以綜合考慮。

注冊(cè)申請(qǐng)人應(yīng)在醫(yī)療器械產(chǎn)品研制過(guò)程中進(jìn)行網(wǎng)絡(luò)安全的驗(yàn)證與確認(rèn)活動(dòng)，通過(guò)分析、測(cè)試、評(píng)估、審查等手段，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全需求得到滿足。網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)可以參考附錄中的19項(xiàng)網(wǎng)絡(luò)安全能力應(yīng)用參考，應(yīng)根據(jù)醫(yī)療器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮每項(xiàng)網(wǎng)絡(luò)安全能力的驗(yàn)證。

（1）應(yīng)確保在醫(yī)療器械產(chǎn)品的需求、設(shè)計(jì)、測(cè)試以及風(fēng)險(xiǎn)管理各個(gè)階段考慮并落實(shí)網(wǎng)絡(luò)安全需求，并且保證網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計(jì)規(guī)范、測(cè)試以及風(fēng)險(xiǎn)管理的一致性和完整性。

（2）應(yīng)針對(duì)醫(yī)療器械產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全測(cè)試驗(yàn)證，確保所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制措施都得到正確的實(shí)施。

① 應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試活動(dòng)進(jìn)行合理的策劃，包括確定測(cè)試的內(nèi)容（包括醫(yī)療器械需求中要求配置的網(wǎng)絡(luò)安全能力）、測(cè)試人員和相應(yīng)的職責(zé)、測(cè)試所需的環(huán)境、測(cè)試的技術(shù)和方法（如漏洞測(cè)試、惡意軟件測(cè)試、缺陷輸入測(cè)試、結(jié)構(gòu)化滲透測(cè)試等）、異常處理方式、測(cè)試通過(guò)的準(zhǔn)則、測(cè)試所需的資源以及測(cè)試進(jìn)度安排等。

② 應(yīng)根據(jù)測(cè)試計(jì)劃的安排設(shè)計(jì)測(cè)試用例，并按照測(cè)試用例的要求執(zhí)行測(cè)試活動(dòng)，記錄原始測(cè)試結(jié)果，確保測(cè)試過(guò)程的可追溯性。對(duì)于安全軟件，注冊(cè)申請(qǐng)人應(yīng)針對(duì)不同的軟件、硬件運(yùn)行平臺(tái)，進(jìn)行兼容性測(cè)試；如醫(yī)療器械采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式，應(yīng)進(jìn)行審查或測(cè)試驗(yàn)證其對(duì)相關(guān)標(biāo)準(zhǔn)的符合性；如醫(yī)療器械采用自定義的傳輸協(xié)議和存儲(chǔ)格式，應(yīng)進(jìn)行完整性測(cè)試驗(yàn)證。

③ 應(yīng)對(duì)測(cè)試結(jié)果進(jìn)行分析和評(píng)價(jià)，確保測(cè)試活動(dòng)的有效性，并對(duì)測(cè)試遺留的問(wèn)題進(jìn)行評(píng)價(jià)。

注冊(cè)申請(qǐng)人應(yīng)將醫(yī)療器械網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的結(jié)果以文檔的方式進(jìn)行記錄，確保網(wǎng)絡(luò)安全驗(yàn)證與確認(rèn)活動(dòng)的可追溯性。

（1）應(yīng)以文檔的形式記錄醫(yī)療器械網(wǎng)絡(luò)安全需求規(guī)范、設(shè)計(jì)規(guī)范、測(cè)試以及風(fēng)險(xiǎn)管理的追溯性關(guān)系。

（2）應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試策劃活動(dòng)進(jìn)行記錄并形成網(wǎng)絡(luò)安全測(cè)試計(jì)劃文檔。

（3）應(yīng)對(duì)網(wǎng)絡(luò)安全測(cè)試執(zhí)行過(guò)程、測(cè)試結(jié)果以及測(cè)試結(jié)果的分析評(píng)估進(jìn)行記錄，形成網(wǎng)絡(luò)安全測(cè)試報(bào)告。

（4）對(duì)于安全軟件，注冊(cè)申請(qǐng)人可將兼容性測(cè)試結(jié)果進(jìn)行單獨(dú)文檔記錄，并形成兼容性測(cè)試報(bào)告。

（5）對(duì)于采用標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式的醫(yī)療器械，注冊(cè)申請(qǐng)人應(yīng)記錄標(biāo)準(zhǔn)符合性審查結(jié)果；對(duì)于采用自定義的傳輸協(xié)議和存儲(chǔ)格式的醫(yī)療器械，注冊(cè)申請(qǐng)人應(yīng)對(duì)完整性測(cè)試結(jié)果進(jìn)行記錄并形成完整性測(cè)試報(bào)告。

（6）可以對(duì)實(shí)時(shí)遠(yuǎn)程控制功能醫(yī)療器械中關(guān)于遠(yuǎn)程數(shù)據(jù)相關(guān)的測(cè)試進(jìn)行單獨(dú)的文檔記錄，并形成相應(yīng)的完整性和可得性測(cè)試報(bào)告。

在醫(yī)療器械產(chǎn)品上市后，注冊(cè)申請(qǐng)人應(yīng)結(jié)合自身質(zhì)量管理體系要求，制定網(wǎng)絡(luò)安全維護(hù)流程，保證醫(yī)療器械的安全性和有效性。

網(wǎng)絡(luò)安全維護(hù)流程涉及到以下方面：

有關(guān)醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理，可參閱文獻(xiàn)《ISO/IEC 29147-2018 信息技術(shù) 安全技術(shù) 漏洞公告》和《ISO/IEC 30111-2013 信息技術(shù) 安全技術(shù) 漏洞處理流程》。

具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡(luò)問(wèn)題可能不斷變化，注冊(cè)申請(qǐng)人在醫(yī)療器械產(chǎn)品上市前難以解決所有的網(wǎng)絡(luò)安全問(wèn)題。注冊(cè)申請(qǐng)人應(yīng)對(duì)已上市醫(yī)療器械產(chǎn)品進(jìn)行有效、及時(shí)并持續(xù)地網(wǎng)絡(luò)安全更新。

對(duì)于已發(fā)現(xiàn)的漏洞，應(yīng)分析漏洞的可被利用性，對(duì)病人傷害的嚴(yán)重程度以及病人信息泄露的可能性，注冊(cè)申請(qǐng)人應(yīng)決定該漏洞的風(fēng)險(xiǎn)是可控還是處于失控狀態(tài)，制定相應(yīng)的解決措施修復(fù)該網(wǎng)絡(luò)漏洞。與網(wǎng)絡(luò)安全事件相關(guān)的網(wǎng)絡(luò)更新，需要重點(diǎn)分析其風(fēng)險(xiǎn)和影響，及時(shí)有效地提供經(jīng)驗(yàn)證的解決方案。

通常的網(wǎng)絡(luò)安全更新應(yīng)包括：

若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡(luò)安全設(shè)計(jì)是不可行的或者不能馬上實(shí)施，注冊(cè)申請(qǐng)人應(yīng)考慮使用網(wǎng)絡(luò)補(bǔ)償控制方案來(lái)減輕網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)。

網(wǎng)絡(luò)補(bǔ)償控制是在缺乏有效網(wǎng)絡(luò)安全設(shè)計(jì)的前提下，提供補(bǔ)充性網(wǎng)絡(luò)防護(hù)措施。例如注冊(cè)申請(qǐng)人對(duì)醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)漏洞評(píng)估后，認(rèn)為對(duì)設(shè)備在未被授權(quán)的情況下進(jìn)行訪問(wèn)極有可能影響設(shè)備的安全和基本性能，但是若該設(shè)備沒(méi)有連接到外部網(wǎng)絡(luò)（例如醫(yī)院網(wǎng)絡(luò)）或者使用路由器對(duì)連接進(jìn)行限定，則醫(yī)療器械仍然可以安全有效的工作。

對(duì)于預(yù)期接入網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械，其數(shù)據(jù)交換方式有兩種：網(wǎng)絡(luò)（包括有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)）或存儲(chǔ)媒介（如光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)等）。

對(duì)于數(shù)據(jù)交換的接口，常見(jiàn)的有線接口包括USB、RS232、RS485、CAN、RJ45等。近些年，無(wú)線通訊被廣泛使用，例如藍(lán)牙、WiFi、Zigbee、RFID、各種蜂窩無(wú)線網(wǎng)絡(luò)等。對(duì)于有線接口，技術(shù)要求中應(yīng)明確連接接口的規(guī)格。有線網(wǎng)絡(luò)應(yīng)明確帶寬要求。對(duì)于無(wú)線網(wǎng)絡(luò)，應(yīng)描述網(wǎng)絡(luò)類(lèi)型、制式、使用頻段、數(shù)據(jù)特性（如上/下行傳輸速率）等。

注冊(cè)申請(qǐng)人可以采用已經(jīng)標(biāo)準(zhǔn)化的醫(yī)用數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式。常見(jiàn)的醫(yī)療器械傳輸協(xié)議如HL7、DICOM等，醫(yī)療器械存儲(chǔ)格式如EDF等。注冊(cè)申請(qǐng)人也可以使用通用的網(wǎng)絡(luò)傳輸協(xié)議如TCP/IP、UDP、HTTP、HTTPS等。注冊(cè)申請(qǐng)人在產(chǎn)品技術(shù)要求中，應(yīng)明確傳輸協(xié)議/存儲(chǔ)格式。對(duì)于已經(jīng)標(biāo)準(zhǔn)化的傳輸協(xié)議或存儲(chǔ)格式除了說(shuō)明協(xié)議類(lèi)型之外，還應(yīng)說(shuō)明協(xié)議的版本，如果用于控制，還應(yīng)說(shuō)明是否為實(shí)時(shí)控制。

對(duì)于注冊(cè)申請(qǐng)人自定義的數(shù)據(jù)傳輸協(xié)議或存儲(chǔ)格式，應(yīng)在隨機(jī)文件中描述或在產(chǎn)品技術(shù)要求中提供相應(yīng)的驗(yàn)證方法。

醫(yī)療器械在執(zhí)行用戶訪問(wèn)控制之前，應(yīng)完成對(duì)用戶身份的鑒別或認(rèn)證。認(rèn)證是系統(tǒng)驗(yàn)證希望訪問(wèn)系統(tǒng)的用戶身份的過(guò)程?；镜恼J(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證、數(shù)字摘要等。在產(chǎn)品技術(shù)要求中注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械所采用的用戶身份鑒別或認(rèn)證技術(shù)。

用戶訪問(wèn)控制策略對(duì)醫(yī)療器械的保密性、完整性起直接的作用，是對(duì)越權(quán)使用資源的防御措施，是網(wǎng)絡(luò)安全的重要組成部分。醫(yī)療器械的使用者應(yīng)依據(jù)訪問(wèn)控制策略來(lái)限制對(duì)數(shù)據(jù)和系統(tǒng)功能的訪問(wèn)。用戶訪問(wèn)控制的種類(lèi)早期分為自主訪問(wèn)控制（DAC）和強(qiáng)制訪問(wèn)控制（MAC），但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，又出現(xiàn)了基于角色的訪問(wèn)控制（RBAC）、基于任務(wù)的訪問(wèn)控制（TBAC）、以及基于屬性、上下文、信譽(yù)等的訪問(wèn)控制模型。隨著系統(tǒng)的復(fù)雜度變高，一個(gè)系統(tǒng)中也可以融合多種訪問(wèn)控制策略。在產(chǎn)品技術(shù)要求中，注冊(cè)申請(qǐng)人應(yīng)明確醫(yī)療器械執(zhí)行的用戶訪問(wèn)控制的方法、用戶類(lèi)型及權(quán)限。

預(yù)期接入計(jì)算機(jī)網(wǎng)絡(luò)或與其它醫(yī)療器械進(jìn)行交互的醫(yī)療器械具有復(fù)雜的運(yùn)行環(huán)境與技術(shù)生態(tài)系統(tǒng)。例如：復(fù)雜的信息基礎(chǔ)設(shè)施（如硬件、軟件、網(wǎng)絡(luò)、其他系統(tǒng)和數(shù)據(jù)接口等），參與開(kāi)發(fā)、實(shí)施、臨床使用所涉及的眾多的人員、組織和機(jī)構(gòu)。醫(yī)療器械生命周期不僅包含設(shè)計(jì)、開(kāi)發(fā)、也包括實(shí)施和臨床使用，其中包含醫(yī)療器械的采購(gòu)、安裝、配置、數(shù)據(jù)集成或遷移、工作流實(shí)現(xiàn)與優(yōu)化、培訓(xùn)、使用與維護(hù)、退市等環(huán)節(jié)。

一般情況下，注冊(cè)申請(qǐng)人只涉及醫(yī)療器械的設(shè)計(jì)與開(kāi)發(fā)過(guò)程，而后期的實(shí)施與臨床使用等環(huán)節(jié)的網(wǎng)絡(luò)安全可能由另外的組織和機(jī)構(gòu)來(lái)負(fù)責(zé)。注冊(cè)申請(qǐng)人應(yīng)在說(shuō)明書(shū)或其他文檔中提供在實(shí)施與臨床使用環(huán)節(jié)中所需要的必要信息，如運(yùn)行環(huán)境、接口與訪問(wèn)控制、安全軟件及軟件更新等，以保證在實(shí)施與臨床使用環(huán)節(jié)的網(wǎng)絡(luò)安全。

如適用，注冊(cè)申請(qǐng)人在說(shuō)明書(shū)中應(yīng)明確醫(yī)療器械的運(yùn)行環(huán)境，包括硬件配置、軟件環(huán)境和網(wǎng)絡(luò)條件。硬件配置應(yīng)明確醫(yī)療器械安全運(yùn)行所需要的最低硬件資源配置要求，如CPU、內(nèi)存、存儲(chǔ)與顯示要求等。軟件環(huán)境應(yīng)明確要求醫(yī)療器械運(yùn)行所需要的操作系統(tǒng)等。網(wǎng)絡(luò)條件應(yīng)明確醫(yī)療器械運(yùn)行所需要的網(wǎng)絡(luò)類(lèi)型、帶寬等。

如適用，注冊(cè)申請(qǐng)人在說(shuō)明書(shū)中應(yīng)描述接口與訪問(wèn)控制，以滿足醫(yī)療器械實(shí)施與臨床使用過(guò)程中的要求。對(duì)于接口的描述，應(yīng)能夠滿足醫(yī)療器械與網(wǎng)絡(luò)、或其它設(shè)備的安全連接。對(duì)于訪問(wèn)控制的描述，應(yīng)能指導(dǎo)使用者安全使用系統(tǒng)提供的訪問(wèn)控制策略并集成到工作流程中。

在資源允許的情況下，醫(yī)療器械可使用一些安全軟件來(lái)提高醫(yī)療器械的網(wǎng)絡(luò)安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用，注冊(cè)申請(qǐng)人應(yīng)在說(shuō)明書(shū)中明確這些軟件的名稱、版本等信息。

如適用，注冊(cè)申請(qǐng)人應(yīng)在說(shuō)明書(shū)中明確軟件環(huán)境與安全軟件的更新需求，更新的來(lái)源、執(zhí)行的步驟等。