2022年3月,国家药监局器审中心发布修订版的《医疗器械网络安全注册审查指导原则》(2022年第7号),新修订的医疗器械网络安全指导原则针对网络安全概念进行了梳理,重点对网络安全应急响应、网络安全更新、全生命周期质控、数据出境、软件维护与升级、自研软件安全评估与管理等方面进行了修订。其中注册申请人可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。
目前,指导原则中提到的网络安全能力共22项,其中19项参考了IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls。美国国家电气制造商协会和医疗保健信息和管理系统协会(NEMA)关于医疗器械网络安全能力披露出具了一份《Manufacturer Disclosure Statement for Medical Deceive Security-MDS2》(HN 1-2013)供制造商进行参考,企业在进行网络安全能力自我评估时也可以参考这份文件。
《医疗器械网络安全注册审查指导原则》未对网络安全能力进行详细解释,中关村器械产业联盟等参考IECTR 80001系列标准制定了关于器械网络安全能力的团体标准。瑞旭集团医疗器械技术团队结合上述的几份文件整理了系列文章为大家介绍每一项网络安全能力。
1.自动注销(ALOF):产品在无人值守期间阻止非授权用户访问和使用的能力。
减少从无人值守的工作场所未经授权访问健康数据的风险
如果系统或工作地点闲置一段时间,防止被其他用户滥用。
在MDS2 (HN 1-2003)中的评估要素:
1 | 自动注销(ALOF) | |
如果器械闲置一段时间,器械防止未经授权的用户访问和滥用的能力。 | ||
1-1 | 是否可以将器械配置为在一段预设闲置时间(例如:自动注销、会话锁定、受密码保护的屏幕保护程序)后强制对登录用户进行重新授权? | |
1-1.1 | 用户或管理员是否可以设置自动注销/屏幕锁定之前的闲置时间长度?(在注释中注明时间[固定或可设置范围]。) | |
1-1.2 | 用户是否可以手动启用自动注销/屏幕锁定(例如:通过快捷键或接近传感器等)? |
2.审核控制(AUDT):产品提供用户活动可被审核的能力。
制定统一的方法来审核数据正在被何人用做何事,以方便医疗服务提供方能够利用共有的机制、标准和技术来进行监视
通过审核追踪对系统的数据访问、修改或删除予以记录,从而跟踪和检查系统的活动。
在MDS2 (HN 1-2003)中的评估要素:
2 | 审核控制(AUDT) | ||
对器械进行可靠审核活动的能力。 | |||
2-1 | 医疗器械是否可以创建审核追踪? | ||
2-2 | 注明审核日志中记录了以下哪些事件: | ||
2-2.1 | 登录/注销 | ||
2-2.2 | 显示/提示数据 | ||
2-2.3 | 创建/修改/删除数据 | ||
2-2.4 | 从可移动介质中导入/导出数据 | ||
2-2.5 | 从外部连接(例如:网络)接收数据/传输数据至外部连接 | ||
2-2.5.1 | 远程服务活动 | ||
2-2.6 | 其他事件?(在注释部分中进行说明) | ||
2-3 | 注明审核日志中记录的单个事件识别信息: | ||
2-3.1 | 使用者ID | ||
2-3.2 | 日期/时间 |
3.授权(AUTH):产品确定用户已获授权的能力。
避免未经授权访问数据和功能,以确保系统和数据的保密性、完整性和可用性,以及确保数据和系统的有限制使用。
正如医疗服务提供方的IT策略所定义的那样,基于经过身份验证的个人用户的身份,授权能力允许每个用户只能访问已批准的数据,并只能在设备上执行已批准的功能。
在MDS2 (HN 1-2003)中的评估要素:
3 | 授权(AUTH) |
器械确定对用户进行授权的能力。 | |
3-1 | 器械是否可以通过用户登录要求或其他机制防止未经授权用户访问? |
3-2 | 是否可以根据“角色”(例如:访客、普通用户,高级用户、管理员等)在应用程序中为用户赋予不同的特权级? |
3-3 | 器械所有者/操作员是否可以获得不受限制的管理特权(例如:通过本地根目录或admin帐户访问操作系统或应用程序)? |
4.网络安全特征配置(CNFS):产品根据用户需求配置网络安全特征的能力。
经授权的IT管理员可以选择如何配置器械的网络安全功能,来满足医疗服务提供方的策略和工作流程
在MDS2 (HN 1-2003)中的评估要素:
4 | 网络安全特征配置(CNFS) |
配置/重新配置器械安全功能以满足用户需求的能力。 | |
4-1 | 器械所有者/操作员是否可以重新配置产品安全功能? |
5.网络安全补丁升级(CSUP):授权用户安装/升级产品网络安全补丁的能力。
建立一个统一的方式,由现场服务人员、远程服务人员以及可能授权的医疗服务提供方人员安装/升级产品安全补丁(可下载补丁)。
在MDS2 (HN 1-2003)中的评估要素:
5 | 网络安全补丁升级(CSUP) | |
现场服务人员、远程服务人员或授权客户人员具有安装/升级器械安全补丁的能力。 | ||
5-1 | 相关操作系统和器械安全补丁是否可以应用于器械(这些安全补丁可用时)? | |
5-1.1 | 是否可以远程安装安全补丁或其他软件? |
网络安全是医疗器械软件产品安全性和有效性的重要组成部分 ,含有软件组件的有源医疗器械或独立软件产品注册申报过程,需要针对网络安全制定相应的安全措施。本系列文章包含了二十二项医疗器械网络安全能力的详解,医疗器械企业可参考自评,更多关于医疗器械软件相关内容可关注公众号或与我们联系沟通实际软件产品合规应对技巧。
参考资料:
(1) IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls
(2) Manufacturer Disclosure Statement for Medical Deceive Security-MDS2
(3) T/ZMDS 20003-2019 医疗器械网络安全风险控制 医疗器械网络安全能力信息