醫(yī)療器械網(wǎng)絡(luò)安全能力詳解及自評(píng)

1、 1 / 9醫(yī)療器械網(wǎng)絡(luò)安全能力詳解及自評(píng)2022 年 3 月，國(guó)家藥監(jiān)局器審中心發(fā)布修訂版的《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則》（2022 年第 7 號(hào)），新修訂的醫(yī)療器械網(wǎng)絡(luò)安全指導(dǎo)原則針對(duì)網(wǎng)絡(luò)安全概念進(jìn)行了梳理，重點(diǎn)對(duì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全更新、全生命周期質(zhì)控、數(shù)據(jù)出境、軟件維護(hù)與升級(jí)、自研軟件安全評(píng)估與管理等方面進(jìn)行了修訂。其中注冊(cè)申請(qǐng)人可根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力要求的適用性。目前，指導(dǎo)原則中提到的網(wǎng)絡(luò)安全能

2、力共 22 項(xiàng)，其中 19 項(xiàng)參考了 IECTR 80001-2-2:2012, Application of risk management for IT-networks incorporating medical devices - Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and

3、controls。美國(guó)國(guó)家電氣制造商協(xié)會(huì)和醫(yī)療保健信息和管理系統(tǒng)協(xié)會(huì)（NEMA）關(guān)于醫(yī)療器械網(wǎng)絡(luò)安全能力披露出具了一份《Manufacturer Disclosure Statement for Medical Deceive Security-MDS2》（HN 1-2013）供制造商進(jìn)行參考，企業(yè)在進(jìn)行網(wǎng)絡(luò)安全能力自我評(píng)估時(shí)也可以參考這份文件?！夺t(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則》未對(duì)網(wǎng)絡(luò)安全能力進(jìn)行詳細(xì)解釋，中關(guān)村器械產(chǎn)業(yè)聯(lián)盟等參考

4、IECTR 80001 系列標(biāo)準(zhǔn)制定了關(guān)于器械網(wǎng)絡(luò)安全能力的團(tuán)體標(biāo)準(zhǔn)。3 / 93.授權(quán)（AUTH）：產(chǎn)品確定用戶已獲授權(quán)的能力。避免未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)和功能，以確保系統(tǒng)和數(shù)據(jù)的保密性、完整性和可用性，以及確保數(shù)據(jù)和系統(tǒng)的有限制使用。正如醫(yī)療服務(wù)提供方的 IT 策略所定義的那樣，基于經(jīng)過(guò)身份驗(yàn)證的個(gè)人用戶的身份，授權(quán)能力允許每個(gè)用戶只能訪問(wèn)已批準(zhǔn)的數(shù)據(jù)，并只能在設(shè)備上執(zhí)行已批準(zhǔn)的功能。在 MDS2 (HN 1-2003)中的評(píng)估要素：4.