医疗器械22项网络安全能力解读

* 本文转载至 知乎@尧其

--------------------

2022年3月，国家药监局器审中心发布修订版的《医疗器械网络安全注册审查指导原则》（2022年第7号），对网络安全概念进行了梳理，重点对网络安全应急响应、网络安全更新、全生命周期质控、数据出境、软件维护与升级、自研软件安全评估与管理等方面进行了修订。

其中注册申请人可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。

另外，

• 中关村器械产业联盟等参考IECTR 80001系列标准制定了T/ZMDS 20003-2019《医疗器械网络安全风险控制 –医疗器械网络安全能力信息》；

• 全国医用电器标准化技术委员会（ＳＡＣ／ＴＣ１０）制定了YY/T 1843-2022 《医用电气设备网络安全基本要求》；

• 美国国家电气制造商协会和医疗保健信息和管理系统协会（NEMA）发布了ANSI_NEMA_HN-1-2019。

笔者结合上述的几份文件，整理了医疗器械的22项网络安全能力，供大家学习和参考。

▼

01/ 现成软件清单（SBOM）

——产品为用户提供全部现成软件清单的能力

在IEC80001-2-2中有19项网络安全能力。但在我国的《医疗器械网络安全注册审查指导原则》（2022年版）中还额外提出了：现成软件清单（SBOM）。目前国内还未有文献对这项内容有更进一步的解释。ANSI_NEMA_HN-1-2019中提到了现成软件清单（SBOM）。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

SBOM需列出医疗服务提供机构为制定运营安全计划而描述的医疗器械中包含的所有软件组件。

a）此产品的SBOM是否可用？如果是，请提供细节或参考。

注：说明如何提供SBOM，以及是否有任何限制（例如，保密协议）。例如，SBOM可以作为表直接合并到表单中。或者，一个外部超链接可以引导医疗保健提供组织到一个在线版本。这些例子并不全面或包罗万象。

b）SBOM在描述软件组件时是否遵循标准或通用方法？如果是，请提供细节或参考。

—软件组件是否已标识？

—软件组件的开发商/制造商是否已确定？

—软件组件的主要版本号是否已标识？

—是否确定了其他的描述性元素？如果是，请提供细节或参考。

注：有关描述性元素（例如，补丁标签、软件ID标签）的其他详细信息可在以下标准和文档中获得：ISO/IEC 19770- 2:2015，软件包数据交换（SPDX）

c）该设备是否包含可用于生成设备上安装的软件组件列表的命令或处理方法？如果是，请提供细节或参考。

d）有SBOM的更新程序吗？如果是，请提供细节或参考。

 ▶【点此免费生成标准的SBOM文件】

（流程指引：点击体验版立即使用，登录后即可免费使用）

02/ 自动登出能力（ALOF）

——产品在无人值守期间阻止非授权用户访问和使用的能力

• 减少从无人值守的工作场所未经授权访问健康数据的风险。

• 如果系统或工作地点闲置一段时间，防止被其他用户滥用。

 评估要素——

无人值守的医疗器械终端设备，存在被进行非授权操作、显示信息被非授权人员阅读的风险。

此项网络安全能力确保医疗器械在所设时段内若未被用户操作，则自动进入保护状态，从而降低上述风险发生的概率。

此项网络安全能力，改善了医疗器械的保密性与完整性，但会降低医疗器械的可得性，对急诊用医疗器械、长期监护用医疗器械、用户无需获得授权的医疗器械等可得性要求较高的医疗器械应结合医疗器械的预期用途与使用场景，决定是否配置以及如何配置。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

• 当预设时间段内医疗器械无人操作时，能否配置医疗器械，使其自动登出？若需继续使用，则要求用户再次输入身份确认信息？（如：自动登出，会话锁定，带口令屏保）

• 无人操作的预设时间段能否由用户或管理员进行配置？

• 系统自动锁定后，能否由用户手工解锁？

03/ 审核控制能力（AUDT）

——产品提供用户活动可被审核的能力

• 制定统一的方法来审核数据正在被何人用做何事，以方便医疗服务提供方能够利用共有的机制、标准和技术来进行监视。

• 通过审核追踪对系统的数据访问、修改或删除予以记录，从而跟踪和检查系统的活动。

 评估要素——

医疗器械的网络安全与医疗器械的使用方式息息相关，不正确、非授权的使用会导致医疗器械存在网络安全方面的风险。

对医疗器械使用环节的关键信息予以记录，是风险控制措施的一部分。

此项能力的配置对网络安全的保密性、完整性、可核查性均有提高，有利于对医疗器械使用记录提供可追溯性检测以及用于事后问责调查和对风险的持续监视，也为风险控制的应急响应提供输入。

 制造商应答下述问题，向责任方披露医疗器械的本项网络安全能力——

• 本医疗器械是否具有保留审核踪迹的能力？

• 如保留审核踪迹，如下事件是否被记录？

– 登入、登出

– 隐私数据被显示，打印或以其它方式呈现

– 数据的增、改、删

– 基于移动存储介质的导入、导出数据

– 基于外部连接（如网络连接）的导入、导出数据

– 医疗器械的远程维护

– 上述事件之外的其它事件记录，如有，应说明。

• 在审核踪迹事件记录中，每个事件相关的如下识别信息是否被保留？

– 用户身份标识

– 日期、时间。如有，说明系统时间是否有网络同步。

04/ 确定用户权限的能力（AUTH）

——产品确定用户已获授权的能力

避免未经授权访问数据和功能，以确保系统和数据的保密性、完整性和可用性，以及确保数据和系统的有限制使用。

正如医疗服务提供方的IT策略所定义的那样，基于经过身份验证的个人用户的身份，授权能力允许每个用户只能访问已批准的数据，并只能在设备上执行已批准的功能。

 评估要素——

医疗器械的非授权使用，会导致多种危险情况，确保医疗器械的使用者、管理者、维护者、拥有者得到合适的授权是重要的风险控制手段。用户权限的管理可以提高保密性、完整性与可核查性，但可能会降低可得性。

制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

a) 医疗器械是否具有用户登录或其它措施，防止未经授权的用户进入？如有，应说明采用了何种技术措施（如：口令、生物认证、钥匙卡等）

b) 医疗器械能否区分用户身份而给予不同的权限？（如：访客、日常用户、高级用户、管理员等）

c) 医疗器械的拥有者、操作者能否获得不受限制的权限？（如：通过管理员账号、或通过获取根权限的方式进入操作系统或应用程序）。若医疗器械支持多个高权限账号（如：管理员，根账号），制造商应加注说明。若制造商对管理员账号的使用施加限制，可以加注予以说明。

05/ 网络安全特征配置（CNFS）

——产品根据用户需求配置网络安全特征的能力

经授权的IT管理员可以选择如何配置器械的网络安全功能，来满足医疗服务提供方的策略和工作流程。

 评估要素——

对医疗器械网络安全的保障是由用户、使用者、网络设施提供方、注册申请人多方共同参与的一项活动。

开放网络安全相关的配置有利于网络安全在使用场景中的整体部署，但是另一方面医疗器械在有意、无意情况下的配置错误也可能导致不可接受的风险。

此项能力与系统的加固要求（SAHD）相矛盾，应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

医疗器械的拥有者、操作者是否能重新配置产品的网络安全能力？如制造商对用户重新配置医疗器械的网络安全能力予以限制，则应加注说明。

06/ 网络安全补丁升级能力（CSUP）

——授权用户安装/升级产品网络安全补丁的能力

建立一个统一的方式，由现场服务人员、远程服务人员以及可能授权的医疗服务提供方人员安装/升级产品安全补丁(可下载补丁)。

 评估要素——

网络安全是医疗器械软件产品安全性和有效性的重要组成部分，含有软件组件的有源医疗器械或独立软件产品注册申报过程，需要针对网络安全制定相应的安全措施。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

当相关操作系统或医疗器械发布了网络安全补丁时，是否许可用户自行安装相应补丁？若制造商限制用户自行安装操作系统或医疗器械的网络安全补丁，则应对此类限制加注说明。

网络安全补丁或其它软件能否被远程安装？若制造商限制用户远程安装操作系统或医疗器械的网络安全补丁，则应对此类限制加注说明。

07/ 数据去标识化与匿名化能力（DIDT）

——产品直接去除、匿名化数据所含个人信息的能力

• 设备(应用软件或附加工具)能够直接删除能够识别患者的信息。

• 在运回工厂前进行数据清洗;架构设计允许远程服务，但不需要健康数据访问/暴露。

 评估要素——

在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值，例如科研、培训、不良事件追溯、设备维护等。

健康数据若直接用于非医疗用途，则存在隐私数据保护方面的风险。数据交付之前，去除健康数据所附带的身份信息，是提高保密性的重要手段。但去除标识会降低数据的可追溯性。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

医疗器械是否内置了隐私数据的去标识化能力？如适用，制造商应加注说明所用的匿名化标准或指导原则。若此能力可被配置，也应加注说明。

注：可参考国家标准 GB/T 37964-2019《信息安全技术个人信息去标识化指南》

08/ 数据备份与灾难性恢复能力（DTBK）

——产品的数据、硬件或软件受到损坏或破坏后恢复的能力

确保医疗服务机构在数据、硬件、软件遭到损坏或者破坏后仍能继续服务、

注：本项不适用于某些小型、低成本的医疗器械；也不适用于某些具有能力采集新一轮数据的医疗器械（如：无线网络的短暂断开导致心率数据的短暂丢失）

 评估要素——

健康数据在处理过程中面临着数据被破坏甚至丢失的风险，保持数据备份与灾难恢复的能力，可以提高数据的完整性与可得性。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

a) 医疗器械是否存在内置的数据备份能力？（如：备份到远程存储设备或备份到磁带、盘片等移动存储介质）

09/紧急访问隐私数据能力（EMRG）

——产品在预期紧急情况下允许用户访问和使用的能力

• 在紧急情况下，临床用户可以在不适用个人ID或者未经授权的情况下访问健康数据

• 紧急访问应可被检测、记录和报告。理想情况下，包括以某种方式立即通知系统管理员或医务人员(除了审核记录外)。

• 紧急访问仍可能要求用户登记自我声明（未经认证）的用户身份。

 评估要素——

医疗器械是以提供预防、诊断、治疗目的为核心属性，部分情况下医疗器械、数据的可得性受损会导致不可接受的风险。

为医疗器械配置被紧急访问的能力以及相应的安全可控的紧急访问流程，对此项风险的控制至关重要。

然而，配置被紧急访问的能力，常常会导致可得性之外的其它网络安全特性降低，应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

a) 医疗器械是否具备紧急受访的特性？

10/ 数据完整性与真实性确认能力（IGAU）

——产品确保数据未以非授权方式更改且来自创建者或提供者的能力

保证健康数据来源可靠，不会在未经授权的情况下被篡改或毁坏，确保数据的完整性。

 评估要素——

当数据的完整性受损而导致不可接受的风险时，医疗器械具备此项能力可以确保健康数据的来源可靠且未经篡改与破坏。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

a) 医疗器械是否通过隐式或显式的错误探测、错误纠正，对存储数据的完整性予以保障？

11/ 恶意软件防护、探测与清除能力（MLDP）

——产品有效探测、阻止恶意软件的能力

• 产品满足监管、医疗服务提供方和使用者的要求，有效地防护、探测和去除恶意软件

• 由于恶意软件会不断更新，因此操作系统和应用程序要及时打补丁

 评估要素——

恶意软件侵入医疗器械可能会导致不可接受的风险，此项能力可以对已知恶意软件进行探测、报告并防止受其侵害。由于恶意软件的产生难以预知，此项能力需要在医疗器械的使用过程中不断维护，必要时采取紧急措施。

 制造商应回答下述问题，向责任方披露医疗器械的本项网络安全能力——

a) 医疗器械是否支持反恶意软件（或其它反恶意软件机制）？

—可否由用户自己配置或重新配置反恶意软件？

—探测到恶意软件时，是否通过用户界面予以通知？

—探测到恶意软件时，是否仅能由经制造商授权的人员对系统进行修复？

b) 能否由医疗器械拥有者安装或升级反病毒软件？

c) 由制造商安装的反病毒软件，其病毒特征库的升级能否由医疗器械的拥有者、操作者来完成？

【篇幅有限，《医疗器械的22项网络安全能力》全文请搜索“网安云”公主号，后台回复“医疗”获取】