医疗器械网络安全技术审查指导原则（第二版）.docVIP

——PAGE 20— 附件1: 医疗器械网络安全技术审查指导原则 （第二版）征求意见稿 目录 前言 一、适用范围 二、网络安全基础 （一）网络安全基本概念 （二）网络安全能力 （三）网络安全事件应急响应 （四）网络安全更新 三、基本原则 （一）网络安全定位 （二）风险导向 （三）全生命周期管理 四、网络安全生存周期过程 五、技术考量 （一）现成软件 （二）医疗数据出境 （三）远程维护 （四）陈旧设备 六、网络安全研究资料 （一）自研软件网络安全研究报告 （二）自研软件网络安全更新研究报告 （三）现成软件网络安全研究资料 七、注册申报资料说明 （一）产品注册 （二）许可事项变更 （三）延续注册 八、参考文献 PAGE 36 - 医疗器械网络安全技术审查指导原则 （第二版） 本指导原则旨在指导注册人规范医疗器械网络安全生存周期过程和准备医疗器械网络安全注册申报资料，同时规范医疗器械网络安全的技术审评要求，为医疗器械软件和质量管理软件的体系核查提供参考。 本指导原则是对医疗器械网络安全的一般性要求，注册人应根据医疗器械产品特性提交网络安全注册申报资料，判断指导原则中的具体内容是否适用，不适用内容详述理由。注册人也可采用其他满足法规要求的替代方法，但应提供详尽的研究资料。 本指导原则基于当前认知水平和技术能力，在现行法规体系下参考国外法规与指南、国际标准与技术报告予以制定。随着认知水平和技术能力的不断提高以及法规体系的不断完善，相关内容也将适时修订。 本指导原则作为注册人、审评人员和检查人员的指导性文件，不包括审评审批所涉及的行政事项，亦不作为法规强制执行，应在符合法规要求的前提下使用本指导原则。 本指导原则作为《医疗器械软件技术审查指导原则》（以下简称软件指导原则）的补充，应结合软件指导原则相关要求使用。本指导原则是医疗器械网络安全的通用指导原则，其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。 一、适用范围 本指导原则适用于医疗器械网络安全的注册申报，包括具备电子数据交换、远程控制或用户访问功能的第二、三类独立软件和含有软件组件的医疗器械。 其中，网络包括无线、有线网络，电子数据交换包括基于网络、存储媒介的单向、双向数据传输，远程控制包括基于网络的实时、非实时控制，用户访问包括基于软件用户界面（含独立软件、软件组件）、电子接口（含网络接口、电子数据交换接口）的人机交互方式。 二、网络安全基础 （一）网络安全基本概念 1.医疗器械网络安全 医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态，其保密性（Confidentiality）、完整性（Integrity）、可得性（Availability）在信息安全领域availability 在信息安全领域availability译为可用性，而在医疗器械领域 usability译为可用性，为避免引起歧义本指导原则将 availability译为可得性。 其中，保密性是指信息不被未授权实体（含个人、组织）获得或知悉的特性，即医疗器械产品自身和相关数据仅可由授权用户在授权时间以授权方式进行访问和使用。完整性是指信息的创建、传输、存储、显示未以非授权方式进行更改（含删除、添加）的特性，即医疗器械相关数据是准确和完整的，且未被篡改。可得性是指信息可根据授权实体要求进行访问和使用的特性，即医疗器械产品自身和相关数据能以预期方式适时进行访问和使用。 除保密性、完整性、可得性三个基本特性外，医疗器械网络安全还包括真实性（Authenticity）、抗抵赖性（Non-Repudiation）、可核查性（Accountability）、可靠性（Reliability）等特性。其中，真实性是指实体符合其所声称的特性，抗抵赖性是指实体可证明所声称事件或活动的发生及其发起实体的特性，可核查性是指实体的活动及结果可被追溯的特性，可靠性是指实体的活动及结果与预期保持一致的特性。 保密性、完整性、可得性等网络安全特性是相互制约的关系，某一特性的能力提升会使得另一特性或多个特性的能力下降，例如可得性的提升通常会降低保密性和完整性，因此需要基于产品特性进行平衡兼顾。注册人应结合医疗器械的预期用途、使用场景、核心功能进行综合考量，从而确定医疗器械网络安全特性的具体要求。 此外，尽管信息安全、网络安全、数据安全的定义和范围各有侧重，既有联系又有区别，不尽相同，但是本指导原则从医疗器械软件角度出发不做严格区分，统一采用网络安全进行描述，即从网络安全角度综合考虑医疗器械的信息安全和数据安全。 2.医疗器械相关数据 医疗器械相关数据可分为医疗数据和设备数据。 （1）医疗数据是指医疗器械所使用的、产生的与医疗活动相关的数据（含日志），从个人信息保护