醫療器械網(wǎng)絡(luò )安全注冊審查指導原則（2022年修訂版）（2022年第7號）

國家藥監局器審中心關(guān)于發(fā)布醫療器械網(wǎng)絡(luò )安全注冊審查指導原則（2022年修訂版）的通告（2022年第7號）

2022-03-09 09:00

為進(jìn)一步規范醫療器械網(wǎng)絡(luò )安全的管理，國家藥監局器審中心組織制定了《醫療器械網(wǎng)絡(luò )安全注冊審查指導原則（2022年修訂版）》，現予發(fā)布。

特此通告。

附件：醫療器械網(wǎng)絡(luò )安全注冊審查指導原則（2022年修訂版）.doc

國家藥品監督管理局
醫療器械技術(shù)審評中心
2022年3月7日

附件：

醫療器械網(wǎng)絡(luò )安全注冊審查指導原則（2022年修訂版）

本指導原則旨在指導注冊申請人規范醫療器械網(wǎng)絡(luò )安全生存周期過(guò)程和準備醫療器械網(wǎng)絡(luò )安全注冊申報資料，同時(shí)規范醫療器械網(wǎng)絡(luò )安全的技術(shù)審評要求，為醫療器械軟件、質(zhì)量管理軟件的體系核查提供參考。

本指導原則是對醫療器械網(wǎng)絡(luò )安全的一般要求，注冊申請人需根據產(chǎn)品特性和風(fēng)險程度確定本指導原則具體內容的適用性，若不適用詳述理由。注冊申請人也可采用其他滿(mǎn)足法規要求的替代方法，但需提供詳盡的研究資料。

本指導原則是在現行法規、強制性標準體系以及當前科技能力、認知水平下制定的，隨著(zhù)法規、強制性標準體系的不斷完善以及科技能力、認知水平的不斷發(fā)展，本指導原則相關(guān)內容也將適時(shí)調整。

本指導原則作為注冊申請人、審評人員和檢查人員的指導性文件，不包括審評審批所涉及的行政事項，亦不作為法規強制執行，應在符合法規要求的前提下使用本指導原則。

本指導原則是數字醫療（Digital Health）指導原則體系的重要組成部分，亦是醫療器械軟件指導原則的補充，采用和遵循醫療器械軟件、獨立軟件生產(chǎn)質(zhì)量現場(chǎng)檢查等相關(guān)指導原則的概念和要求。

本指導原則是醫療器械網(wǎng)絡(luò )安全的通用指導原則，其他涉及網(wǎng)絡(luò )安全的醫療器械產(chǎn)品指導原則可在本指導原則基礎上進(jìn)行有針對性的調整、修改和完善。

一、適用范圍

本指導原則適用于醫療器械網(wǎng)絡(luò )安全的注冊申報，包括具備電子數據交換、遠程訪(fǎng)問(wèn)與控制、用戶(hù)訪(fǎng)問(wèn)三種功能當中一種及以上功能的第二、三類(lèi)獨立軟件和含有軟件組件的醫療器械（包括體外診斷醫療器械）;適用于自研軟件、現成軟件的注冊申報。

其中，網(wǎng)絡(luò )包括無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò )，電子數據交換包括基于網(wǎng)絡(luò )、存儲媒介的單向、雙向數據傳輸，遠程訪(fǎng)問(wèn)與控制包括基于網(wǎng)絡(luò )的實(shí)時(shí)、非實(shí)時(shí)的訪(fǎng)問(wèn)與控制，用戶(hù)（如醫務(wù)人員、患者、維護人員等）訪(fǎng)問(wèn)包括基于軟件用戶(hù)界面、電子接口的人機交互方式。

本指導原則也可用作醫療器械軟件、質(zhì)量管理軟件的體系核查參考。

二、主要概念

（一）醫療器械網(wǎng)絡(luò )安全

醫療器械網(wǎng)絡(luò )安全是指保護醫療器械產(chǎn)品自身和相關(guān)數據不受未授權活動(dòng)影響的狀態(tài)，其保密性（Confidentiality）、完整性（Integrity）、可得性（Availability）相關(guān)風(fēng)險在全生命周期均處于可接受水平。

其中，保密性是指信息不被未授權實(shí)體（含產(chǎn)品、服務(wù)、個(gè)人、組織）獲得或知悉的特性，即醫療器械產(chǎn)品自身和相關(guān)數據僅可由授權用戶(hù)在授權時(shí)間以授權方式進(jìn)行訪(fǎng)問(wèn)和使用。完整性是指信息的創(chuàng )建、傳輸、存儲、顯示未以非授權方式進(jìn)行更改（含刪除、添加）的特性，即醫療器械相關(guān)數據是準確和完整的，且未被篡改?？傻眯允侵感畔⒖筛鶕跈鄬?shí)體要求進(jìn)行訪(fǎng)問(wèn)和使用的特性，即醫療器械產(chǎn)品自身和相關(guān)數據能以預期方式適時(shí)進(jìn)行訪(fǎng)問(wèn)和使用。

除保密性、完整性、可得性三個(gè)基本特性外，醫療器械網(wǎng)絡(luò )安全還包括真實(shí)性（Authenticity）、抗抵賴(lài)性（Non-Repudiation）、可核查性（Accountability）、可靠性（Reliability）等特性。其中，真實(shí)性是指實(shí)體符合其所聲稱(chēng)的特性，抗抵賴(lài)性是指實(shí)體可證明所聲稱(chēng)事件或活動(dòng)的發(fā)生及其發(fā)起實(shí)體的特性，可核查性是指實(shí)體的活動(dòng)及結果可被追溯的特性，可靠性是指實(shí)體的活動(dòng)及結果與預期保持一致的特性。

保密性、完整性、可得性等網(wǎng)絡(luò )安全特性通常是相互制約的關(guān)系，在同等條件下，某一特性的能力提升可能會(huì )使得另一特性或多個(gè)特性的能力下降，如可得性的提升可能會(huì )降低保密性和完整性，因此需要基于產(chǎn)品特性進(jìn)行平衡兼顧。注冊申請人需結合醫療器械的預期用途、使用場(chǎng)景、核心功能進(jìn)行綜合考量，從而確定醫療器械網(wǎng)絡(luò )安全特性的具體要求。

此外，盡管信息安全、網(wǎng)絡(luò )安全、數據安全的定義和范圍各有側重，既有聯(lián)系又有區別，不盡相同，但本指導原則從醫療器械安全有效性評價(jià)角度出發(fā)對三者不做嚴格區分，統一采用網(wǎng)絡(luò )安全進(jìn)行表述，即從網(wǎng)絡(luò )安全角度綜合考慮醫療器械的信息安全和數據安全。

（二）醫療器械相關(guān)數據

醫療器械相關(guān)數據可分為醫療數據和設備數據。

醫療數據是指醫療器械所產(chǎn)生的、使用的與醫療活動(dòng)相關(guān)的數據（含日志），從個(gè)人信息保護角度又可分為敏感醫療數據、非敏感醫療數據，其中敏感醫療數據是指含有個(gè)人信息的醫療數據，反之即為非敏感醫療數據。個(gè)人信息是指以電子或者其他方式記錄的能夠單獨或與其他信息結合識別自然人個(gè)人身份的各種信息，如自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息（含容貌信息）、住址、電話(huà)號碼等。

設備數據是指記錄醫療器械運行狀況的數據（含日志），用于監視、控制醫療器械運行或者醫療器械的維護與升級，不得含有個(gè)人信息。

注冊申請人需基于醫療器械相關(guān)數據的類(lèi)型、功能、用途，結合網(wǎng)絡(luò )安全特性考慮醫療器械網(wǎng)絡(luò )安全要求。同時(shí)，保證敏感醫療數據所含個(gè)人信息免于泄露、濫用和篡改，以及醫療數據和設備數據的有效隔離（如訪(fǎng)問(wèn)權限控制等方法）。

（三）醫療器械電子接口

本指導原則所述醫療器械電子接口（含硬件接口、軟件接口）包括網(wǎng)絡(luò )接口、電子數據交換接口，若無(wú)明示均指外部接口，分體式醫療器械各獨立部分的內部接口視為外部接口，如服務(wù)器與客戶(hù)端、主機與從機的內部接口。

1.網(wǎng)絡(luò )接口

網(wǎng)絡(luò )接口是指基于網(wǎng)絡(luò )的電子接口。醫療器械可通過(guò)網(wǎng)絡(luò )接口（含轉接接口）進(jìn)行電子數據交換或遠程訪(fǎng)問(wèn)與控制，此時(shí)需考慮網(wǎng)絡(luò )的技術(shù)特征要求，包括但不限于網(wǎng)絡(luò )形式（有線(xiàn)、無(wú)線(xiàn)）、網(wǎng)絡(luò )類(lèi)型（如廣域網(wǎng)、局域網(wǎng)、個(gè)域網(wǎng)）、接口形式（如電口、光口）、數據接口（此時(shí)即數據協(xié)議，含標準協(xié)議、私有協(xié)議）、遠程訪(fǎng)問(wèn)與控制方式（實(shí)時(shí)、非實(shí)時(shí)）、性能指標（如端口、傳輸速率、帶寬）等。

無(wú)線(xiàn)網(wǎng)絡(luò )包括Wi-Fi（IEEE 802.11）、藍牙（IEEE 802.15）、射頻、紅外、4G/5G等形式，其中醫用無(wú)線(xiàn)專(zhuān)用設備（即未采用通用無(wú)線(xiàn)通信技術(shù)的醫療器械）應符合中國無(wú)線(xiàn)電管理相關(guān)規定。標準協(xié)議即業(yè)內公認標準所規范的數據傳輸協(xié)議，如DICOM、HL7等，需考慮其定制化功能的兼容性問(wèn)題;私有協(xié)議需考慮兼容性問(wèn)題。遠程訪(fǎng)問(wèn)與控制亦包括操作系統軟件所提供的遠程會(huì )話(huà)或遠程桌面功能。

2.電子數據交換接口

電子數據交換接口是指基于非網(wǎng)絡(luò )的電子接口。醫療器械可通過(guò)非網(wǎng)絡(luò )接口的其他電子接口（如串口、并口、USB口、視頻接口、音頻接口，含調試接口、轉接接口）或存儲媒介（如光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)）進(jìn)行電子數據交換。此時(shí)需考慮其他電子接口或數據存儲的技術(shù)特征要求。

其他電子接口可參照網(wǎng)絡(luò )接口明確其技術(shù)特征要求。數據存儲的技術(shù)特征要求包括但不限于存儲媒介形式、數據接口（此時(shí)即文件存儲格式，含標準格式、私有格式）、數據壓縮方式（有損、無(wú)損）、性能指標（如傳輸速率、容量）等。標準格式即業(yè)內公認標準所規范的文件存儲格式，如JPEG、PNG等，需考慮其文件格式完整性問(wèn)題;私有格式需考慮兼容性問(wèn)題。

注冊申請人需結合醫療器械電子接口的類(lèi)型、方式、技術(shù)特征，基于網(wǎng)絡(luò )安全特性考慮其網(wǎng)絡(luò )安全的具體要求。

（四）醫療器械網(wǎng)絡(luò )安全能力

考慮到預期用途、使用場(chǎng)景的限制，醫療器械對于網(wǎng)絡(luò )安全威脅應具備必要的識別、保護能力和適當的探測、響應、恢復能力。

本指導原則所述醫療器械網(wǎng)絡(luò )安全能力包括：

1.自動(dòng)注銷(xiāo)（ALOF）：產(chǎn)品在無(wú)人值守期間阻止非授權用戶(hù)訪(fǎng)問(wèn)和使用的能力。

2.審核（AUDT）：產(chǎn)品提供用戶(hù)活動(dòng)可被審核的能力。

3.授權（AUTH）：產(chǎn)品確定用戶(hù)已獲授權的能力。

4.節點(diǎn)鑒別（NAUT）：產(chǎn)品鑒別網(wǎng)絡(luò )節點(diǎn)的能力。

5.人員鑒別（PAUT）：產(chǎn)品鑒別授權用戶(hù)的能力。

6.連通性（CONN）：產(chǎn)品保證連通網(wǎng)絡(luò )安全可控的能力。

7.物理防護（PLOK）：產(chǎn)品提供防止非授權用戶(hù)訪(fǎng)問(wèn)和使用的物理防護措施的能力。

8.系統加固（SAHD）：產(chǎn)品通過(guò)固化措施對網(wǎng)絡(luò )攻擊和惡意軟件的抵御能力。

9.數據去標識化與匿名化（DIDT）：產(chǎn)品直接去除、匿名化數據所含個(gè)人信息的能力。

10.數據完整性與真實(shí)性（IGAU）：產(chǎn)品確保數據未以非授權方式更改且來(lái)自創(chuàng )建者或提供者的能力。

11.數據備份與災難恢復（DTBK）：產(chǎn)品的數據、硬件或軟件受到損壞或破壞后恢復的能力。

12.數據存儲保密性與完整性（STCF）：產(chǎn)品確保未授權訪(fǎng)問(wèn)不會(huì )損壞存儲媒介所存數據保密性和完整性的能力。

13.數據傳輸保密性（TXCF）：產(chǎn)品確保數據傳輸保密性的能力。

14.數據傳輸完整性（TXIG）：產(chǎn)品確保數據傳輸完整性的能力。

15.網(wǎng)絡(luò )安全補丁升級（CSUP）：授權用戶(hù)安裝/升級產(chǎn)品網(wǎng)絡(luò )安全補丁的能力。

16.現成軟件清單（SBOM）：產(chǎn)品為用戶(hù)提供全部現成軟件清單的能力。

17.現成軟件維護（RDMP）：產(chǎn)品在全生命周期中對現成軟件提供網(wǎng)絡(luò )安全維護的能力。

18.網(wǎng)絡(luò )安全使用指導（SGUD）：產(chǎn)品為用戶(hù)提供網(wǎng)絡(luò )安全使用指導的能力。

19.網(wǎng)絡(luò )安全特征配置（CNFS）：產(chǎn)品根據用戶(hù)需求配置網(wǎng)絡(luò )安全特征的能力。

20.緊急訪(fǎng)問(wèn)（EMRG）：產(chǎn)品在預期緊急情況下允許用戶(hù)訪(fǎng)問(wèn)和使用的能力。

21.遠程訪(fǎng)問(wèn)與控制（RMOT）：產(chǎn)品確保用戶(hù)遠程訪(fǎng)問(wèn)與控制（含遠程維護與升級）的網(wǎng)絡(luò )安全的能力。

22.惡意軟件探測與防護（MLDP）：產(chǎn)品有效探測、阻止惡意軟件的能力。

注冊申請人需根據醫療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò )安全能力的適用性。若適用，明確網(wǎng)絡(luò )安全能力的實(shí)現方式，可通過(guò)產(chǎn)品自身功能實(shí)現，亦可通過(guò)必備軟件、外部軟件環(huán)境等外部措施實(shí)現。同時(shí)，根據產(chǎn)品風(fēng)險水平明確網(wǎng)絡(luò )安全能力的強弱程度，例如：用戶(hù)訪(fǎng)問(wèn)控制可采用用戶(hù)名和口令方式，其中口令強度可采用不同強度設置或采用動(dòng)態(tài)口令，亦可采用生物識別技術(shù)，通常情況下醫療器械的風(fēng)險水平越高則其用戶(hù)訪(fǎng)問(wèn)控制要求越嚴格。反之，若不適用詳述理由并予以記錄。

值得注意的是，對于特定醫療器械產(chǎn)品，上述各項網(wǎng)絡(luò )安全能力可能不足以保證其網(wǎng)絡(luò )安全，需結合產(chǎn)品具體情況補充其他網(wǎng)絡(luò )安全能力要求。

（五）網(wǎng)絡(luò )安全驗證與確認

網(wǎng)絡(luò )安全驗證與確認作為軟件驗證與確認的重要組成部分，需在軟件驗證與確認的框架下，結合產(chǎn)品網(wǎng)絡(luò )安全特性開(kāi)展相關(guān)質(zhì)控工作，如源代碼安全審核、威脅建模、漏洞掃描、滲透測試、模糊測試等。軟件驗證與確認相關(guān)要求詳見(jiàn)醫療器械軟件指導原則第二章。

注冊申請人需針對不同類(lèi)型網(wǎng)絡(luò )威脅，采用相應技術(shù)手段來(lái)保證醫療器械的網(wǎng)絡(luò )安全。例如：針對讀取攻擊、操作攻擊、欺騙攻擊、泛洪攻擊、重定向、勒索攻擊等網(wǎng)絡(luò )威脅，可采用用戶(hù)訪(fǎng)問(wèn)控制、端口與服務(wù)關(guān)閉、加密、數字簽名、標準協(xié)議、校驗、防火墻、入侵檢測、惡意代碼防護、防護規則配置等方法與技術(shù)來(lái)保證產(chǎn)品的網(wǎng)絡(luò )安全。

（六）網(wǎng)絡(luò )安全可追溯性分析

網(wǎng)絡(luò )安全可追溯性分析作為網(wǎng)絡(luò )安全驗證與確認的重要活動(dòng)之一，是指追蹤網(wǎng)絡(luò )安全需求、網(wǎng)絡(luò )安全設計、源代碼、網(wǎng)絡(luò )安全測試、網(wǎng)絡(luò )安全風(fēng)險管理之間的關(guān)系，分析已識別關(guān)系的正確性、一致性、完整性、準確性。

醫療器械網(wǎng)絡(luò )安全生存周期過(guò)程均應開(kāi)展網(wǎng)絡(luò )安全可追溯性分析活動(dòng)，具體要求可參照軟件可追溯性分析活動(dòng)要求，詳見(jiàn)醫療器械軟件指導原則第二章。

（七）網(wǎng)絡(luò )安全事件應急響應

醫療器械設計開(kāi)發(fā)只能針對已知網(wǎng)絡(luò )安全漏洞采取相應風(fēng)險控制措施，上市后仍會(huì )面臨潛在未知的網(wǎng)絡(luò )安全漏洞引發(fā)的網(wǎng)絡(luò )安全事件的威脅，可能造成醫療器械無(wú)法訪(fǎng)問(wèn)和使用、醫療數據發(fā)生泄露或遭到篡改，進(jìn)而可能導致患者受到傷害或死亡以及隱私被侵犯。同時(shí)，醫療器械網(wǎng)絡(luò )安全事件具有影響因素多、涉及面廣、擴散性強和突發(fā)性高等特點(diǎn)，對于醫療器械上市后監測要求相對較高。因此，注冊申請人需基于相關(guān)標準和技術(shù)報告建立網(wǎng)絡(luò )安全事件應急響應機制，保證醫療器械的安全有效性并保護患者隱私。

應制定網(wǎng)絡(luò )安全事件應急響應預案，涵蓋現成軟件要求，明確計劃與準備、探測與報告、評估與決策、應急響應實(shí)施、總結與改進(jìn)等階段的任務(wù)和要求。建立網(wǎng)絡(luò )安全事件應急響應團隊，根據工作職能形成管理、規劃、監測、響應、實(shí)施、分析等工作小組，必要時(shí)可邀請外部網(wǎng)絡(luò )安全專(zhuān)家成立專(zhuān)家小組。

根據網(wǎng)絡(luò )安全事件的嚴重程度、緊迫程度、廣泛程度等因素進(jìn)行分類(lèi)分級管理，結合產(chǎn)品風(fēng)險級別，按照風(fēng)險管理要求開(kāi)展應急響應措施的驗證工作并予以記錄，在事件發(fā)生期間及時(shí)告知用戶(hù)應對措施。若適用，按照醫療器械不良事件、召回相關(guān)法規要求處理;必要時(shí)，向國家網(wǎng)絡(luò )安全主管部門(mén)報告。

（八）醫療器械網(wǎng)絡(luò )安全更新

1.網(wǎng)絡(luò )安全更新

醫療器械網(wǎng)絡(luò )安全更新從內容上可分為功能更新、補丁更新，類(lèi)似于增強類(lèi)軟件更新、糾正類(lèi)軟件更新。根據其對醫療器械安全性和有效性的影響程度分為以下兩類(lèi)：

（1）重大網(wǎng)絡(luò )安全更新：影響到醫療器械的安全性或有效性的網(wǎng)絡(luò )安全更新，即重大網(wǎng)絡(luò )安全功能更新，應申請變更注冊。

（2）輕微網(wǎng)絡(luò )安全更新：不影響醫療器械的安全性與有效性的網(wǎng)絡(luò )安全更新，包括輕微網(wǎng)絡(luò )安全功能更新、網(wǎng)絡(luò )安全補丁更新。輕微網(wǎng)絡(luò )安全更新通過(guò)質(zhì)量管理體系進(jìn)行控制，無(wú)需申請變更注冊，待下次變更注冊時(shí)提交相應注冊申報資料。

此外，涉及召回的網(wǎng)絡(luò )安全更新，無(wú)論功能更新還是補丁更新均屬于重大網(wǎng)絡(luò )安全更新，按照醫療器械召回相關(guān)法規要求處理，不屬于本指導原則討論范疇。

網(wǎng)絡(luò )安全更新同樣遵循風(fēng)險從高原則，即同時(shí)發(fā)生重大和輕微網(wǎng)絡(luò )安全更新按重大網(wǎng)絡(luò )安全更新處理。同時(shí)，軟件版本命名規則應涵蓋網(wǎng)絡(luò )安全更新情況，區分重大和輕微網(wǎng)絡(luò )安全更新。

2.重大網(wǎng)絡(luò )安全更新判定原則

網(wǎng)絡(luò )安全功能更新若影響到醫療器械的預期用途、使用場(chǎng)景或核心功能原則上均屬于重大網(wǎng)絡(luò )安全更新，包括但不限于：產(chǎn)品預期運行的網(wǎng)絡(luò )環(huán)境發(fā)生改變，如由封閉網(wǎng)絡(luò )環(huán)境變?yōu)殚_(kāi)放網(wǎng)絡(luò )環(huán)境、局域網(wǎng)變?yōu)閺V域網(wǎng)、有線(xiàn)網(wǎng)絡(luò )變?yōu)闊o(wú)線(xiàn)網(wǎng)絡(luò );產(chǎn)品預期使用的電子接口發(fā)生改變，如接口形式由網(wǎng)口變?yōu)閁SB口、接口類(lèi)型由少變多、接口功能由電子數據交換擴至遠程控制;產(chǎn)品網(wǎng)絡(luò )安全能力發(fā)生實(shí)質(zhì)性改變，如自動(dòng)注銷(xiāo)能力由操作系統自帶功能實(shí)現改為產(chǎn)品自身功能實(shí)現、物理防護能力由有變無(wú)等。

除非影響到醫療器械的安全性或有效性，以下網(wǎng)絡(luò )安全功能更新和網(wǎng)絡(luò )安全補丁更新通常視為輕微網(wǎng)絡(luò )安全更新：產(chǎn)品預期運行的網(wǎng)絡(luò )環(huán)境數據傳輸效率單純提高，預期使用的電子接口原有功能單純優(yōu)化、傳輸效率單純提高，產(chǎn)品網(wǎng)絡(luò )安全能力發(fā)生非實(shí)質(zhì)性改變;醫療器械軟件、必備軟件、外部軟件環(huán)境的網(wǎng)絡(luò )安全補丁更新。其中，必備軟件是指醫療器械軟件正常運行所必需的其他醫療器械軟件及醫用中間件，外部軟件環(huán)境是指醫療器械軟件正常運行所必需的系統軟件、通用應用軟件、通用中間件、支持軟件，詳見(jiàn)醫療器械軟件指導原則。

三、基本原則

（一）網(wǎng)絡(luò )安全定位

隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，越來(lái)越多的醫療器械具備網(wǎng)絡(luò )連接功能以進(jìn)行電子數據交換或遠程訪(fǎng)問(wèn)與控制，在提高醫療服務(wù)質(zhì)量與效率的同時(shí)也面臨著(zhù)網(wǎng)絡(luò )攻擊的威脅。醫療器械網(wǎng)絡(luò )安全出現問(wèn)題不僅可能會(huì )侵犯患者隱私，而且可能會(huì )產(chǎn)生醫療器械非預期運行的風(fēng)險，導致患者或用戶(hù)受到傷害或死亡。因此，醫療器械網(wǎng)絡(luò )安全是醫療器械安全性和有效性的重要組成部分之一。

信息共享是保障醫療器械網(wǎng)絡(luò )安全的基本原則。及時(shí)獲得網(wǎng)絡(luò )安全漏洞、事件等相關(guān)信息有助于識別、評估和應對網(wǎng)絡(luò )安全風(fēng)險，保證醫療器械的安全有效性以及醫療活動(dòng)的業(yè)務(wù)持續性，因此，鼓勵所有利益相關(guān)方在醫療器械全生命周期中主動(dòng)積極共享網(wǎng)絡(luò )安全相關(guān)信息。注冊申請人需充分利用網(wǎng)絡(luò )安全漏洞披露機制加強醫療器械網(wǎng)絡(luò )安全的設計開(kāi)發(fā)和上市后監測，如基于國家互聯(lián)網(wǎng)應急中心（CNCERT/CC，www.cert.org.cn）的國家信息安全漏洞共享平臺（CNVD，www.cnvd.org.cn），或其互認的國際信息安全漏洞庫所披露的漏洞信息，定期開(kāi)展網(wǎng)絡(luò )安全風(fēng)險管理工作。

醫療器械網(wǎng)絡(luò )安全需要注冊申請人、用戶(hù)、信息技術(shù)服務(wù)商等利益相關(guān)者的共同努力和通力合作方能得以保障。雖然醫療器械在使用過(guò)程中常與非預期的設備或系統相連，使得注冊申請人在保證醫療器械網(wǎng)絡(luò )安全方面存在諸多困難，但這不意味注冊申請人可以免除醫療器械網(wǎng)絡(luò )安全相關(guān)責任。注冊申請人需保證醫療器械產(chǎn)品自身的網(wǎng)絡(luò )安全，明確預期的網(wǎng)絡(luò )環(huán)境和電子接口要求，持續監測、評估、應對、分享網(wǎng)絡(luò )安全相關(guān)風(fēng)險，與其他利益相關(guān)者密切合作，從而保證醫療器械的安全有效性。

醫療器械網(wǎng)絡(luò )安全也是網(wǎng)絡(luò )安全國家戰略的重要組成部分，因此醫療器械網(wǎng)絡(luò )安全亦應符合網(wǎng)絡(luò )安全相關(guān)法律法規和部門(mén)規章的要求，如網(wǎng)絡(luò )安全法、數據安全法、個(gè)人信息保護法以及數據出境、重要數據識別等要求。注冊申請人應持續跟蹤相關(guān)法律法規和部門(mén)規章的制修訂情況，并滿(mǎn)足相應適用要求。

網(wǎng)絡(luò )安全新技術(shù)（如人工智能技術(shù)）研究處于快速發(fā)展階段，醫療器械若采用網(wǎng)絡(luò )安全新技術(shù)來(lái)保證網(wǎng)絡(luò )安全，亦需基于新技術(shù)特性，并結合風(fēng)險管理開(kāi)展相應驗證與確認工作。

（二）風(fēng)險導向

綜合考慮行業(yè)發(fā)展水平和風(fēng)險分級管理導向，醫療器械網(wǎng)絡(luò )安全的風(fēng)險級別不同，其生命周期質(zhì)控要求和注冊申報資料要求亦不同。

雖然網(wǎng)絡(luò )安全風(fēng)險與軟件風(fēng)險存在差異，但是網(wǎng)絡(luò )安全風(fēng)險作為軟件風(fēng)險的重要組成部分，其風(fēng)險級別亦可參照軟件采用安全性級別進(jìn)行表述。在通常情形下，醫療器械網(wǎng)絡(luò )安全的安全性級別與所屬醫療器械軟件的安全性級別相同;在特殊情形下，網(wǎng)絡(luò )安全的安全性級別可低于軟件的安全性級別，此時(shí)需詳述理由并按網(wǎng)絡(luò )安全的安全性級別提交相應注冊申報資料。

醫療器械網(wǎng)絡(luò )安全風(fēng)險同樣結合醫療器械的預期用途、使用場(chǎng)景、核心功能進(jìn)行綜合判定，特別是使用場(chǎng)景。不同使用場(chǎng)景的網(wǎng)絡(luò )環(huán)境不同，甚至存在巨大差異，對于醫療器械網(wǎng)絡(luò )安全的影響亦不同，如門(mén)診、手術(shù)、住院、急救、家庭、轉運、公共場(chǎng)所等使用場(chǎng)景的網(wǎng)絡(luò )環(huán)境均有所不同，因此對于適用于多個(gè)使用場(chǎng)景的醫療器械，注冊申請人需保證醫療器械在每個(gè)使用場(chǎng)景的網(wǎng)絡(luò )安全。

醫療器械網(wǎng)絡(luò )安全風(fēng)險管理活動(dòng)通常包括：識別資產(chǎn)（Asset，對個(gè)人或組織有價(jià)值的物理和數字實(shí)體）、威脅（Threat，可能導致對個(gè)人或組織產(chǎn)生損害的非預期事件發(fā)生的潛在原因）和脆弱性（Vulnerability，可能會(huì )被威脅所利用的資產(chǎn)或風(fēng)險控制措施的弱點(diǎn)），評估威脅和脆弱性對于醫療器械和患者的影響以及被利用的可能性，確定風(fēng)險水平并采取充分、有效、適宜的風(fēng)險控制措施，基于風(fēng)險接受準則評估網(wǎng)絡(luò )安全綜合剩余風(fēng)險，保證網(wǎng)絡(luò )安全綜合剩余風(fēng)險均處于可接受水平。

注冊申請人可結合醫療器械風(fēng)險管理和網(wǎng)絡(luò )安全風(fēng)險管理相關(guān)標準和技術(shù)報告的要求，開(kāi)展醫療器械網(wǎng)絡(luò )安全風(fēng)險管理工作。值得注意的是，醫療器械風(fēng)險管理與網(wǎng)絡(luò )安全風(fēng)險管理在傳統上存在一定差異，注冊申請人若無(wú)法對二者進(jìn)行有效整合，則需分別獨立開(kāi)展相應風(fēng)險管理活動(dòng)并予以記錄，同時(shí)考慮不同類(lèi)型風(fēng)險控制措施的相互影響問(wèn)題。

（三）全生命周期質(zhì)控

與醫療器械軟件類(lèi)似，注冊申請人應在醫療器械全生命周期中持續關(guān)注網(wǎng)絡(luò )安全問(wèn)題，包括上市前、上市后等階段。

醫療器械上市前結合質(zhì)量管理體系要求和醫療器械產(chǎn)品特性開(kāi)展網(wǎng)絡(luò )安全質(zhì)控工作，保證醫療器械的安全有效性;上市后根據網(wǎng)絡(luò )安全更新情況開(kāi)展更新請求評估、驗證與確認、風(fēng)險管理、用戶(hù)告知等活動(dòng)，持續保證醫療器械的安全有效性。同時(shí)，建立網(wǎng)絡(luò )安全事件應急響應過(guò)程，定期開(kāi)展醫療器械網(wǎng)絡(luò )安全漏洞風(fēng)險評估工作，根據網(wǎng)絡(luò )安全漏洞披露相關(guān)要求，及時(shí)將必要的網(wǎng)絡(luò )安全相關(guān)信息以及應對措施告知用戶(hù)。此外，可采用信息安全領(lǐng)域的良好工程實(shí)踐來(lái)完善醫療器械網(wǎng)絡(luò )安全質(zhì)控工作，以保證醫療器械的安全有效性。

四、醫療器械網(wǎng)絡(luò )安全生存周期過(guò)程

考慮到行業(yè)實(shí)際情況，本指導原則不要求注冊申請人單獨建立醫療器械網(wǎng)絡(luò )安全生存周期（又稱(chēng)生命周期）過(guò)程，而是將其作為醫療器械軟件生存周期過(guò)程的重要組成部分予以整體考慮，待時(shí)機成熟時(shí)予以考量。

注冊申請人需在醫療器械軟件生存周期過(guò)程考慮醫療器械網(wǎng)絡(luò )安全的質(zhì)控要求，并可基于醫療器械網(wǎng)絡(luò )安全能力建設要求予以實(shí)施，具體要求詳見(jiàn)醫療器械軟件指導原則第六章以及獨立軟件生產(chǎn)質(zhì)量管理規范及其現場(chǎng)檢查指導原則。

同時(shí)，注冊申請人可參考信息安全領(lǐng)域相關(guān)標準和技術(shù)報告，完善醫療器械網(wǎng)絡(luò )安全生存周期過(guò)程的質(zhì)控要求，本指導原則不再贅述。

五、技術(shù)考量

（一）現成軟件

現成軟件同樣存在網(wǎng)絡(luò )安全問(wèn)題，注冊申請人應根據質(zhì)量管理體系要求建立現成軟件網(wǎng)絡(luò )安全更新過(guò)程，結合風(fēng)險管理要求，及時(shí)將必要的現成軟件網(wǎng)絡(luò )安全信息及應對措施告知用戶(hù)。

同時(shí)，根據現成軟件與醫療器械軟件的關(guān)系類(lèi)型開(kāi)展相應網(wǎng)絡(luò )安全質(zhì)控工作。對于現成軟件組件（即作為醫療器械軟件組成部分的現成軟件），重點(diǎn)關(guān)注其網(wǎng)絡(luò )安全問(wèn)題對醫療器械使用效果的影響，網(wǎng)絡(luò )安全的安全性級別判定亦需將其納入考量。對于外部軟件環(huán)境（即作為醫療器械軟件運行環(huán)境組成部分的現成軟件），重點(diǎn)關(guān)注其網(wǎng)絡(luò )安全補丁對醫療器械安全有效性的影響，網(wǎng)絡(luò )安全的安全性級別判定通常無(wú)需將其納入考量;需要說(shuō)明的是，網(wǎng)絡(luò )安全補丁對于醫療器械而言屬于設計變更，需對醫療器械進(jìn)行驗證、確認。

（二）醫療數據出境

根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》《中華人民共和國人類(lèi)遺傳資源管理條例》等法律法規相關(guān)規定，在中國境內收集和產(chǎn)生的重要數據、個(gè)人信息和人類(lèi)遺傳資源信息原則上應在中國境內存儲，因業(yè)務(wù)需要確需向境外提供的，應按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估。

《國家健康醫療大數據標準、安全和服務(wù)管理辦法（試行）》明確：健康醫療大數據應存儲在境內安全可信的服務(wù)器上，因業(yè)務(wù)需要確需向境外提供的，應按照相關(guān)法律法規及有關(guān)要求進(jìn)行安全評估審核。

醫療數據通常屬于重要數據，特別是敏感醫療數據含有個(gè)人信息，因此醫療數據出境應符合重要數據、個(gè)人信息、人類(lèi)遺傳資源信息出境安全評估相關(guān)規定。

（三）遠程維護與升級

遠程維護與升級雖為非醫療器械功能，但會(huì )影響醫療器械的安全有效性，故亦需納入考量。

具有遠程維護與升級功能的醫療器械可訪(fǎng)問(wèn)和使用設備數據，本身雖不涉及醫療數據，但若未能實(shí)現設備數據和醫療數據的有效隔離，則存在醫療數據未授權訪(fǎng)問(wèn)和使用以及被篡改的可能性。遠程維護與升級所用電子接口也面臨網(wǎng)絡(luò )攻擊的威脅，可能會(huì )影響醫療器械正常運行，導致患者受到傷害或死亡以及隱私被侵犯。醫療器械在遠程維護與升級過(guò)程中若無(wú)人值守，則可能存在醫療器械非授權訪(fǎng)問(wèn)和使用的風(fēng)險。家用醫療器械的遠程維護與升級需考慮其對產(chǎn)品正常使用的影響及其風(fēng)險。

因此，注冊申請人需明確遠程維護與升級的實(shí)現方法、所用電子接口情況、設備數據所含內容、設備數據與醫療數據的隔離方法、網(wǎng)絡(luò )安全保證措施等技術(shù)特征，并提供相應研究資料和風(fēng)險管理資料。

此外，境外遠程維護與升級若可訪(fǎng)問(wèn)醫療數據，亦應符合醫療數據出境要求。

（四）遺留設備

本指導原則所述遺留設備是指不能通過(guò)補丁更新、補償控制等合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅的醫療器械。遺留設備可能無(wú)法應對當前網(wǎng)絡(luò )安全威脅，導致產(chǎn)品綜合剩余風(fēng)險無(wú)法降至可接受水平，降低醫療器械的安全有效性。

醫療器械實(shí)際使用情況極為復雜，使得遺留設備的判定較為困難。通常情況下可結合醫療器械的停售（EOL）、停止售后服務(wù)（EOS）兩個(gè)時(shí)間點(diǎn)判定其是否屬于遺留設備：在售（以注冊證時(shí)效為準）的醫療器械均非遺留設備;停售但未停止售后服務(wù)的醫療器械，若無(wú)法通過(guò)合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅則為遺留設備，反之不屬于遺留設備;停止售后服務(wù)的醫療器械均為遺留設備。

對于遺留設備，注冊人應按照質(zhì)量管理體系要求開(kāi)展相應質(zhì)控工作，以保證產(chǎn)品網(wǎng)絡(luò )安全，詳見(jiàn)獨立軟件生產(chǎn)質(zhì)量管理規范及其現場(chǎng)檢查指導原則。

對于注冊證失效但尚未停止售后服務(wù)、注冊證有效但已停售的醫療器械，注冊人應根據質(zhì)量管理體系要求向現有用戶(hù)提供必要的網(wǎng)絡(luò )安全相關(guān)信息以及應對措施，以保證醫療器械的網(wǎng)絡(luò )安全。若無(wú)法保證醫療器械的網(wǎng)絡(luò )安全，按遺留設備處理。

對于注冊證有效且在售的醫療器械，若無(wú)法通過(guò)合理風(fēng)險控制措施抵御當前網(wǎng)絡(luò )安全威脅，則注冊人應根據質(zhì)量管理體系要求制定相應風(fēng)險控制措施，并申請變更注冊。

六、醫療器械網(wǎng)絡(luò )安全研究資料

醫療器械網(wǎng)絡(luò )安全研究資料框架詳見(jiàn)圖1，包括自研軟件和現成軟件（含現成軟件組件、外部軟件環(huán)境），具體要求如下。

（一）自研軟件網(wǎng)絡(luò )安全研究報告

自研軟件網(wǎng)絡(luò )安全研究報告適用于自研軟件的初次發(fā)布和再次發(fā)布，內容框架詳見(jiàn)表1，包括基本信息、實(shí)現過(guò)程、漏洞評估、結論，詳盡程度取決于軟件安全性級別，不適用內容詳述理由。

1.基本信息

（1）軟件信息

明確申報醫療器械軟件的名稱(chēng)、型號規格、發(fā)布版本以及軟件安全性級別。

若網(wǎng)絡(luò )安全的安全性級別低于軟件的安全性級別，詳述理由并按網(wǎng)絡(luò )安全的安全性級別提交相應注冊申報資料。

（2）數據架構

提供申報醫療器械在每個(gè)使用場(chǎng)景（含遠程維護與升級，下同）下的網(wǎng)絡(luò )環(huán)境和數據流圖，并依據圖示描述醫療器械相關(guān)數據和電子接口的基本情況。

數據情況明確醫療器械相關(guān)數據的類(lèi)型（敏感醫療數據、非敏感醫療數據、設備數據），并依據數據類(lèi)型明確每類(lèi)數據的具體內容（如個(gè)人信息、醫療活動(dòng)信息、設備運行信息）、功能（如單向、雙向電子數據交換，實(shí)時(shí)、非實(shí)時(shí)遠程訪(fǎng)問(wèn)與控制）、用途（如醫療活動(dòng)、設備維護）等。

電子接口情況逐項說(shuō)明每個(gè)網(wǎng)絡(luò )接口、電子數據交換接口的預期用戶(hù)、使用場(chǎng)景、預期用途、數據類(lèi)型、技術(shù)特征、使用限制，其中技術(shù)特征要求詳見(jiàn)第二章。

（3）網(wǎng)絡(luò )安全能力

基于第二章所述各項網(wǎng)絡(luò )安全能力，逐項分析申報醫療器械對于該項網(wǎng)絡(luò )安全能力的適用性，詳述適用網(wǎng)絡(luò )安全能力的實(shí)現方法以及不適用理由。若適用，提供其他網(wǎng)絡(luò )安全能力的適用情況說(shuō)明。

（4）網(wǎng)絡(luò )安全補丁

提供申報醫療器械（含必備軟件、外部軟件環(huán)境）的網(wǎng)絡(luò )安全補丁列表，明確網(wǎng)絡(luò )安全補丁的名稱(chēng)、完整版本、發(fā)布日期?？闪砀轿募?。

（5）安全軟件

描述申報醫療器械兼容或所用的安全軟件（如殺毒軟件、防火墻等）的名稱(chēng)、型號規格、完整版本、供應商、運行環(huán)境、防護規則配置要求。

2.實(shí)現過(guò)程

（1）風(fēng)險管理

提供申報醫療器械網(wǎng)絡(luò )安全的風(fēng)險分析報告、風(fēng)險管理報告，另附網(wǎng)絡(luò )安全開(kāi)發(fā)所形成的原始文件。亦可提供醫療器械軟件的風(fēng)險管理文檔，但需注明網(wǎng)絡(luò )安全情況。

（2）需求規范

提供申報醫療器械的網(wǎng)絡(luò )安全需求規范文檔，另附網(wǎng)絡(luò )安全開(kāi)發(fā)所形成的原始文件。亦可提供醫療器械軟件的需求規范文檔，但需注明網(wǎng)絡(luò )安全情況。

（3）驗證與確認

提供申報醫療器械的網(wǎng)絡(luò )安全測試計劃和報告，另附網(wǎng)絡(luò )安全開(kāi)發(fā)所形成的原始文件。亦可提供醫療器械軟件的系統測試計劃和報告，但需注明網(wǎng)絡(luò )安全情況。

對于安全軟件，提供兼容性測試報告。對于標準傳輸協(xié)議或存儲格式，若其滿(mǎn)足醫療器械網(wǎng)絡(luò )安全需求出具真實(shí)性聲明即可，反之提供相應證明材料;對于私有傳輸協(xié)議或存儲格式，提供完整性測試總結報告。對于實(shí)時(shí)遠程訪(fǎng)問(wèn)與控制功能，提供完整性和可得性等網(wǎng)絡(luò )安全特性的測試報告。對于醫用無(wú)線(xiàn)專(zhuān)用設備，提供符合無(wú)線(xiàn)電管理相關(guān)規定的證明材料。

（4）可追溯性分析

提供申報醫療器械的網(wǎng)絡(luò )安全可追溯性分析報告，匯總列明網(wǎng)絡(luò )安全需求規范文檔、網(wǎng)絡(luò )安全設計規范文檔、源代碼（明確軟件單元名稱(chēng)即可）、網(wǎng)絡(luò )安全測試報告、網(wǎng)絡(luò )安全風(fēng)險分析報告之間的對應關(guān)系。亦可提供醫療器械軟件的可追溯性報告，但需注明網(wǎng)絡(luò )安全情況。

（5）維護計劃

輕微級別：提供申報醫療器械網(wǎng)絡(luò )安全更新的流程圖，并依據圖示描述相關(guān)活動(dòng)。

中等、嚴重級別：在輕微級別的基礎上，提供網(wǎng)絡(luò )安全事件應急響應的流程圖，并依據圖示描述相關(guān)活動(dòng);或者提供網(wǎng)絡(luò )安全事件應急響應預案文檔。

若適用，全部級別均需提供遠程維護與升級的流程圖，并依據圖示描述相關(guān)活動(dòng)。

3.漏洞評估

輕微級別：按照現行有效的通用漏洞評分系統（CVSS）所定義的漏洞等級，明確申報醫療器械（含必備軟件、外部軟件環(huán)境，下同）已知漏洞總數和已知剩余漏洞數。

中等級別：提供網(wǎng)絡(luò )安全漏洞自評報告，明確漏洞掃描所用軟件工具、漏洞庫（基于國家信息安全漏洞庫或互認的國際信息安全漏洞庫）的基本信息（如名稱(chēng)、完整版本、發(fā)布日期、供應商等），按照CVSS漏洞等級明確申報醫療器械已知漏洞總數和已知剩余漏洞數，列明已知剩余漏洞的內容、對產(chǎn)品的影響及綜合剩余風(fēng)險，確保產(chǎn)品綜合剩余風(fēng)險均可接受。亦可補充網(wǎng)絡(luò )安全評估機構出具的網(wǎng)絡(luò )安全漏洞評估報告。

嚴重級別：提供網(wǎng)絡(luò )安全漏洞自評報告、網(wǎng)絡(luò )安全評估機構出具的網(wǎng)絡(luò )安全漏洞評估報告，明確已知剩余漏洞的維護方案，確保產(chǎn)品綜合剩余風(fēng)險均可接受。

4.結論

概述申報醫療器械的網(wǎng)絡(luò )安全實(shí)現過(guò)程的規范性和網(wǎng)絡(luò )安全漏洞評估結果，判定申報醫療器械的網(wǎng)絡(luò )安全是否滿(mǎn)足要求，受益是否大于風(fēng)險。

表1 自研軟件網(wǎng)絡(luò )安全研究報告框架

（二）自研軟件網(wǎng)絡(luò )安全更新研究報告

自研軟件網(wǎng)絡(luò )安全更新研究報告適用于自研軟件的再次發(fā)布，包括網(wǎng)絡(luò )安全功能更新、網(wǎng)絡(luò )安全補丁更新等研究報告。

網(wǎng)絡(luò )安全功能更新研究報告適用于自研軟件發(fā)生重大、輕微網(wǎng)絡(luò )安全功能更新，或合并網(wǎng)絡(luò )安全補丁更新的情形，內容框架詳見(jiàn)表2，不再贅述。

網(wǎng)絡(luò )安全補丁更新研究報告適用于自研軟件（含必備軟件、外部軟件環(huán)境）僅發(fā)生網(wǎng)絡(luò )安全補丁更新的情形。其內容包括軟件信息、網(wǎng)絡(luò )安全補丁、風(fēng)險管理、驗證與確認、可追溯性分析、維護計劃、漏洞評估、結論，具體要求詳見(jiàn)表2相應說(shuō)明。

表2 自研軟件網(wǎng)絡(luò )安全功能更新研究報告框架

考慮到網(wǎng)絡(luò )安全更新具有累積效應，網(wǎng)絡(luò )安全更新研究報告需涵蓋醫療器械軟件自前次注冊（延續注冊除外）以來(lái)網(wǎng)絡(luò )安全更新的全部?jì)热荨?/p>

（三）現成軟件網(wǎng)絡(luò )安全研究資料

1.現成軟件組件網(wǎng)絡(luò )安全研究資料

（1）部分使用方式

對于部分使用方式，即醫療器械軟件同時(shí)使用自研軟件和現成軟件組件，無(wú)需單獨提交網(wǎng)絡(luò )安全研究報告，基于醫療器械軟件的安全性級別，在自研軟件網(wǎng)絡(luò )安全研究報告適用條款中說(shuō)明現成軟件組件的情況。

適用條款包括軟件信息、數據架構、網(wǎng)絡(luò )安全能力、網(wǎng)絡(luò )安全補丁、風(fēng)險管理、需求規范、驗證與確認、可追溯性分析、維護計劃、漏洞評估、結論。

此時(shí)若現成軟件組件發(fā)生網(wǎng)絡(luò )安全更新，網(wǎng)絡(luò )安全功能更新在自研軟件網(wǎng)絡(luò )安全功能更新研究報告的基礎上，說(shuō)明現成軟件組件的變化情況，不適用條款說(shuō)明理由;網(wǎng)絡(luò )安全補丁更新要求與自研軟件相同。

（2）全部使用方式

對于全部使用方式，即醫療器械軟件全部為現成軟件組件，需要單獨提交現成軟件組件網(wǎng)絡(luò )安全研究報告，其內容與自研軟件研究報告相同，但需基于現成軟件組件（此時(shí)即醫療器械軟件）的安全性級別予以說(shuō)明。

此時(shí)若現成軟件組件發(fā)生網(wǎng)絡(luò )安全更新，網(wǎng)絡(luò )安全功能更新在現成軟件組件網(wǎng)絡(luò )安全功能更新研究報告的基礎上，說(shuō)明現成軟件組件的變化情況，不適用條款說(shuō)明理由;網(wǎng)絡(luò )安全補丁更新要求與自研軟件相同。

2.外部軟件環(huán)境網(wǎng)絡(luò )安全評估資料

外部軟件環(huán)境網(wǎng)絡(luò )安全評估作為外部軟件環(huán)境評估的重要組成部分，其網(wǎng)絡(luò )安全及其更新的研究資料要求與外部軟件環(huán)境評估報告相同，具體要求詳見(jiàn)醫療器械軟件指導原則第八章。

考慮到醫療器械軟件指導原則已明確外部軟件環(huán)境評估報告要求，同時(shí)自研軟件網(wǎng)絡(luò )安全研究資料亦含有外部軟件環(huán)境的網(wǎng)絡(luò )安全補丁、漏洞評估等要求，故無(wú)需單獨提交外部軟件環(huán)境網(wǎng)絡(luò )安全評估資料。

七、注冊申報資料補充說(shuō)明

注冊申報資料在符合醫療器械注冊申報資料要求等文件要求基礎上，滿(mǎn)足醫療器械軟件等相關(guān)指導原則要求，同時(shí)重點(diǎn)關(guān)注以下要求。

（一）產(chǎn)品注冊

1.軟件研究資料

在軟件研究資料中單獨提交自研軟件網(wǎng)絡(luò )安全研究報告。

若使用現成軟件組件，根據其使用方式提交相應研究資料。相關(guān)研究資料的具體要求詳見(jiàn)第六章。

2.說(shuō)明書(shū)

說(shuō)明書(shū)提供網(wǎng)絡(luò )安全說(shuō)明和使用指導，明確用戶(hù)訪(fǎng)問(wèn)控制機制、電子接口（含網(wǎng)絡(luò )接口、電子數據交換接口）及其數據類(lèi)型和技術(shù)特征、網(wǎng)絡(luò )安全特征配置、數據備份與災難恢復、運行環(huán)境（含硬件配置、外部軟件環(huán)境、網(wǎng)絡(luò )環(huán)境，若適用）、安全軟件兼容性列表（若適用）、外部軟件環(huán)境與安全軟件更新（若適用）、現成軟件清單（SBOM，若適用）等要求。

（二）變更注冊

1.軟件研究資料

醫療器械變更注冊應根據網(wǎng)絡(luò )安全更新情況，提交變化部分對產(chǎn)品安全性與有效性影響的研究資料：

（1）涉及網(wǎng)絡(luò )安全功能更新：適用于自研軟件發(fā)生網(wǎng)絡(luò )安全功能更新，或合并網(wǎng)絡(luò )安全補丁更新的情形，此時(shí)單獨提交一份自研軟件網(wǎng)絡(luò )安全功能更新研究報告（或自研軟件網(wǎng)絡(luò )安全研究報告）;

（2）僅發(fā)生網(wǎng)絡(luò )安全補丁更新：適用于自研軟件（含必備軟件、外部軟件環(huán)境）僅發(fā)生網(wǎng)絡(luò )安全補丁更新的情形，此時(shí)單獨提交一份自研軟件網(wǎng)絡(luò )安全補丁更新研究報告;

（3）未發(fā)生網(wǎng)絡(luò )安全更新：出具真實(shí)性聲明，明確對此承擔法律責任。

若使用現成軟件組件，根據其使用方式提交相應研究資料。相關(guān)研究資料的具體要求詳見(jiàn)第六章。

2.說(shuō)明書(shū)

若適用，提交說(shuō)明書(shū)關(guān)于網(wǎng)絡(luò )安全內容的變更對比表。

（三）延續注冊

延續注冊通常無(wú)需提交網(wǎng)絡(luò )安全相關(guān)研究資料。若適用，根據注冊證“備注”所載明的要求提交相應網(wǎng)絡(luò )安全研究資料。

產(chǎn)品技術(shù)要求“產(chǎn)品型號/規格及其劃分說(shuō)明”所述軟件版本命名規則應涵蓋網(wǎng)絡(luò )安全更新情況，區分重大網(wǎng)絡(luò )安全更新和輕微網(wǎng)絡(luò )安全更新。若原注冊產(chǎn)品標準（或原產(chǎn)品技術(shù)要求）及其變更對比表未體現軟件相關(guān)信息，需在符合性聲明中予以明確，其中軟件版本命名規則需涵蓋網(wǎng)絡(luò )安全更新情況。

八、參考文獻

[1] 全國人大. 中華人民共和國網(wǎng)絡(luò )安全法[Z]，2016.11

[2] 全國人大. 中華人民共和國數據安全法[Z]，2021.6

[3] 全國人大. 中華人民共和國個(gè)人信息保護法[Z]，2021.8

[4] 國務(wù)院. 中華人民共和國人類(lèi)遺傳資源管理條例（國令第717號）[Z]，2019.5

[5] 中央網(wǎng)信辦. 國家網(wǎng)絡(luò )安全事件應急預案[Z]，2017.1

[6] 國家網(wǎng)信辦. 個(gè)人信息出境安全評估辦法（征求意見(jiàn)稿）[Z]，2019.6

[7] 國家網(wǎng)信辦. 數據出境安全評估辦法（征求意見(jiàn)稿）[Z]，2021.10

[8] 國家網(wǎng)信辦. 網(wǎng)絡(luò )安全審查辦法[Z]，2021.11

[9]原國家食品藥品監督管理總局.醫療器械說(shuō)明書(shū)和標簽管理規定（總局令第6號）[Z]，2014.7

[10]原國家食品藥品監督管理總局.醫療器械召回管理辦法（總局令第29號）[Z]，2017.1

[11]國家市場(chǎng)監督管理總局. 醫療器械不良事件監測和再評價(jià)管理辦法（總局令第1號）[Z]，2018.8

[12]國家市場(chǎng)監督管理總局.醫療器械注冊與備案管理辦法（總局令第47號）[Z]，2021.8

[13]原國家食品藥品監督管理總局.醫療器械生產(chǎn)質(zhì)量管理規范（2014年第64號公告）[Z]，2014.12

[14]國家市場(chǎng)監督管理總局.醫療器械注冊申報資料要求和批準證明文件格式（2021年第121號公告）[Z]，2021.9

[15]原國家食品藥品監督管理總局.醫療器械網(wǎng)絡(luò )安全注冊技術(shù)審查指導原則（2017年第13號通告）[Z]，2017.1

[16]國家藥品監督管理局.醫療器械生產(chǎn)質(zhì)量管理規范附錄獨立軟件（2019年第43號通告）[Z]，2019.7

[17]國家藥品監督管理局.醫療器械生產(chǎn)質(zhì)量管理規范獨立軟件現場(chǎng)檢查指導原則（藥監綜械管〔2020〕57號）[Z]，2020.5

[18]國家藥品監督管理局醫療器械技術(shù)審評中心. 醫療器械軟件技術(shù)審查指導原則（第二版）（征求意見(jiàn)稿）[Z]，2020.5

[19]北京市藥品監督管理局. 醫療器械網(wǎng)絡(luò )安全注冊審查指導原則實(shí)施指南[Z]，2019.12

[20]國家衛生健康委員會(huì ). 國家健康醫療大數據標準、安全和服務(wù)管理辦法（試行）（國衛規劃發(fā)〔2018〕23號）[Z]，2018.7

[21] GB9706.1-2020 醫用電氣設備 第1部分：基本安全和基本性能的通用要求[S]

[22] GB/T 20985.1-2017 信息技術(shù) 安全技術(shù) 信息安全事件管理 第1部分：事件管理原理[S]

[23] GB/T 22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求[S]

[24] GB/T 22081-2016信息技術(shù)安全技術(shù)信息安全管理實(shí)用規則[S]

[25] GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S]

[26] GB/T 25000.51-2016系統與軟件工程 系統與軟件質(zhì)量要求和評價(jià)（SQuaRE） 第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則[S]

[27] GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求[S]

[28] GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求[S]

[29] GB/T 29246-2017 信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯[S]

[30]GB/T 30276-2020信息安全技術(shù) 網(wǎng)絡(luò )安全漏洞管理規范[S]

[31] GB/T 31167-2014信息安全技術(shù) 云計算服務(wù)安全指南[S]

[32] GB/T 31168-2014信息安全技術(shù) 云計算服務(wù)安全能力要求[S]

[33] GB/T 31722-2015 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理[S]

[34] GB/T 35273-2020信息安全技術(shù) 個(gè)人信息安全規范[S]

[35] GB/T 35274-2017信息安全技術(shù) 大數據服務(wù)安全能力要求[S]

[36] GB/T 35278-2017信息安全技術(shù) 移動(dòng)終端安全保護技術(shù)要求[S]

[37] GB/T 37964-2019信息安全技術(shù) 個(gè)人信息去標識化指南[S]

[38] GB/T 37973-2019信息安全技術(shù) 大數據安全管理指南[S]

[39] GB/T 37988-2019信息安全技術(shù) 數據安全能力成熟度模型[S]

[40] GB/T 39335-2020信息安全技術(shù) 個(gè)人信息安全影響評估指南[S]

[41] GB/T 39725-2020信息安全技術(shù) 健康醫療數據安全指南[S]

[42] GB/T信息安全技術(shù) 數據出境安全評估指南（征求意見(jiàn)稿）[S]，2017.8

[43] GB/T信息安全技術(shù) 重要數據識別指南（征求意見(jiàn)稿）[S]，2022.1

[44] YY/T 0287-2017 醫療器械 質(zhì)量管理體系 用于法規的要求[S]

[45] YY/T 0316-2016醫療器械 風(fēng)險管理對醫療器械的應用[S]

[46] YY/T 0664-2020 醫療器械軟件 軟件生存周期過(guò)程[S]

[47] YY/T 1406.1-2016醫療器械軟件 第1部分：YY/T 0316應用于醫療器械軟件的指南[S]

[48]YY/T 1708.1-2020醫用診斷X射線(xiàn)影像設備連通性符合性基本要求 第1部分：通用要求[S]

[49]YY/T 1708.2-2020醫用診斷X射線(xiàn)影像設備連通性符合性基本要求 第2部分：X射線(xiàn)計算機體層攝影設備[S]

[50]YY/T 1708.3-2021 醫用診斷X射線(xiàn)影像設備連通性符合性基本要求 第3部分：數字化攝影X射線(xiàn)機（DR）[S]

[51]YY/T 1708.4-2021 醫用X射線(xiàn)影像設備連通性符合性基本要求 第4 部分：數字減影血管造影X射線(xiàn)機（DSA）[S]

[52]YY/T 1708.5-2021 醫用診斷X射線(xiàn)影像設備連通性符合性基本要求 第5 部分：乳腺X射線(xiàn)機[S]

[53]YY/T 1708.6-2021 醫用診斷X射線(xiàn)影像設備連通性符合性基本要求 第6 部分：口腔X射線(xiàn)機[S]

[54] YY/T醫用電氣設備網(wǎng)絡(luò )安全基本要求（報批稿）[S]，2020.12

[55] IMDRF/SaMDWG/N12 FINAL: 2014, SaMD:Possible Framework for Risk Categorization and Corresponding Considerations[Z], 2014.9

[56] IMDRF/SaMD WG/N23 FINAL:2015,SaMD:Application of Quality Management System[Z], 2015.10

[57] IMDRF/CYBER WG/N60FINAL:2020, Principles and Practices for Medical Device Cybersecurity[Z], 2020.4

[58] FDA, Cybersecurity for Networked Medical Devices Containing Off-the-Shelf Software[Z], 2005.1

[59] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices[Z],2014.10

[60] FDA, Postmarket Management of Cybersecurity in Medical Devices[Z], 2016.12

[61] FDA, Design Considerations and Pre-market Submission Recommendations for Interoperable Medical Devices[Z], 2017.9

[62] FDA, Content of Premarket Submissions for Management of Cybersecurity in Medical Devices（DraftGuidance）[Z], 2018.10

[63] FDA, Best Practices for Communicating Cybersecurity Vulnerabilities to Patients[Z], 2021.10

[64] FDA, Playbook for Threat Modeling Medical Devices[Z], 2021.11

[65]MDCG 2019-16 Rev.1, Guidance on Cybersecurity for medical devices[Z], 2020.7

[66]BSI. Cybersecurity of medical devices:Addressing patient safety and the security of patient health information[Z], 2017.3

[67]AAMI TIR57:2016/（R）2019, Principles for medical device security - Risk management[S]

[68]AAMI TIR97:2019, Principles for medical device security - Postmarket risk management for device manufacturers[S]

[69]IEC TR 60601-4-5:2021, Medical electrical equipment -Part 4-5:Guidance and interpretation - Safety-related technical security specifications[S]

[70] IEC80001-1:2021, Application of risk management for IT-networks incorporating medical devices - Part 1:Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software[S]

[71] IECTR 80001-2-1:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-1: Step-by-step risk management of medical IT-networks - Practical applications and examples[S]

[72] IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls[S]

[73] IECTR 80001-2-3:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-3: Guidance for wireless networks[S]

[74] IECTR 80001-2-4:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-4: Application guidance - General implementation guidance for healthcare delivery organizations[S]

[75] IECTR 80001-2-5:2014, Application of risk management for IT-networks incorporating medical devices - Part 2-5: Application guidance - Guidance on distributed alarm systems[S]

[76] ISOTR 80001-2-6:2014, Application of risk management for IT-networks incorporating medical devices -Part 2-6: Application guidance - Guidance for responsibility agreements[S]

[77] ISOTR 80001-2-7:2015, Application of risk management for IT-networks incorporating medical devices -Application guidance -Part 2-7: Guidance for Healthcare Delivery Organizations （HDOs） on how to self-assess their conformance with IEC 80001-1[S]

[78] IECTR 80001-2-8:2016, Application of risk management for IT-networks incorporating medical devices - Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC/TR 80001-2-2[S]

[79] IECTR 80001-2-9:2017, Application of risk management for IT-networks incorporating medical devices - Part 2-9: Application guidance - Guidance for use of security assurance cases to demonstrate confidence in IEC/TR 80001-2-2 security capabilities[S]

[80] IEC 80001-5-1:2021,Health software and health IT systems safety, effectiveness and security- Part 5-1: Security - Activities in the product life cycle[S]

[81] ISO 81001-1:2021, Health software and health IT systems safety, effectiveness and security - Part 1: Principles and concepts[S]

[82] ISO TS 81001-2-1, Health software and health IT systems safety,effectiveness and security - Part 2-1:Coordination - Guidance for the use of assurance cases for safety and security[S]

[83] ISO/IEC 27035-1:2016, Information technology - Security techniques - Information security incident management - Part 1: Principles of incident management[S]

[84] ISO/IEC 27035-2:2016, Information technology - Security techniques - Information security incident management - Part 2: Guidelines to plan and prepare for incident response[S]

[85] ISO/IEC 29147:2018, Information Technology - Security Techniques - Vulnerability Disclosure[S]

[86] ISO/IEC 30111:2013, Information Technology - Security Techniques - Vulnerability Handling Processes[S]

[87] ISO 27799:2016, Health informatics - Information security management in health using ISO/IEC 27002[S]

[88] NEMA CSP 1-2016, Cybersecurity for Medical Imaging[S]

[89] NEMA HN 1-2019, Manufacturer Disclosure Statement for Medical Device Security[S]

[90] UL 2900-1:2020, Standard for Software Cybersecurity for Network Connectable Products - Part 1: General Requirements[S]

[91] UL 2900-2-1:2018, Software Cybersecurity for Network Connectable Products - Part 2-1: Particular Requirements for Network Connectable Components of Healthcare and Wellness Systems[S]

[92] 全國信息安全標準化技術(shù)委員會(huì )[Z]，https://www. tc260.org.cn

[93] IMDRF CYBER WG[Z]，https://www.imdrf.org/work items/wi-mdc-guide.asp