《贵宾会网络安全注册技术审查引导原则》解读

        为贯彻落实国家对网络安全的要求,加强贵宾会产品注册工作的监督和引导,保障贵宾会产品的网络安全,国家食品药品监管总局制定颁布了《贵宾会网络安全注册技术审查引导原则》(以下简称《引导原则》)。该《引导原则》于2018年1月1日起施行。

        一、《引导原则》制定背景

        随着网络技术的发展,越来越多的贵宾会具备网络连接功能以进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。贵宾会网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生贵宾会非预期运行的风险,导致患者、使用者受到伤害或死亡。因此,贵宾会网络安全是贵宾会安全性和有效性的重要组成部分,也是国家网络安全的组成部分之一。

        贵宾会网络安全具有影响因素多、涉及面广、扩散性强和突发性高等特点,风险相对较高,因此需要加强相应监管工作,以保证贵宾会安全性和有效性,保障人民群众用械安全。

        《引导原则》于2014年启动制定工作,依据《中华人民共和国网络安全法》,在前期国内外文献调研、企业调研、专家研讨的基础上,结合我国国情实际情况,经征求各方意见,反复讨论修改予以制定,于2017年1月20日发布,并于2018年1月1日实施。

        二、《引导原则》主要内容

        (一)适用范围

        《引导原则》适用于具有网络连接功能以进行电子数据交换或远程控制以及采用存储媒介以进行电子数据交换的第二类、第三类贵宾会产品(包括境内、进口)的注册申报,适用的注册方式包括产品注册、许可事项变更、延续注册。

        (二)注册人责任

        注册人应当在贵宾会全生命周期过程(包括设计开发、生产、分销、部署、维护)中保证贵宾会产品自身的网络安全,从而保证其安全性和有效性。

        注册人应当在贵宾会产品注册申请中提交相应网络安全注册申报资料,以证明贵宾会产品的安全性和有效性。

        (三)关注重点

        贵宾会网络安全防护层级包括产品级(即贵宾会产品自身)和系统级(即医疗信息技术网络),保证措施包括管理措施(如使用规范等)、物理措施(如防盗措施等)和技术措施(如加密技术等),《引导原则》以贵宾会数据安全为核心主要关注产品级的技术保证措施。

        (四)贵宾会网络安全

        贵宾会网络安全是指保持贵宾会相关数据的保密性、完整性和可得性。

        1.保密性:指数据不能被未授权的个人、实体利用或知悉的特性,即贵宾会相关数据仅可由授权用户在授权时间以授权方式进行访问;

        2.完整性:指保护数据准确和完整的特性,即贵宾会相关数据是准确和完整的,且未被篡改;

        3.可得性:指根据授权个人、实体的要求可访问和使用的特性,即贵宾会相关数据能以预期方式适时进行访问和使用。

        (五)贵宾会相关数据

        贵宾会相关数据包括健康数据和设备数据。

        1.健康数据:指标明生理、心理健康状况的私人数据(又称个人数据或敏感数据,指可用于人员身份识别的相关信息),涉及患者隐私信息;

        2.设备数据:指描述设备运行状况的数据,用于监视、控制设备运行或用于设备的维护保养,本身不涉及患者隐私信息。

        (六)贵宾会网络安全能力

        贵宾会网络安全能力包括对网络安全威胁的识别、防护、探测、响应、恢复的能力。贵宾会对网络安全威胁应当具备相应识别、防护能力,而由于预期用途、使用环境的限制,贵宾会对网络安全威胁的探测、响应、恢复能力应当与其产品特性相适应。

        (七)现成App网络安全

        对于属于应用App的现成App,应当重点关注其网络安全问题对贵宾会临床应用的影响。

        对于属于系统App或支撑App的现成App,应当重点关注安全补丁更新对贵宾会的影响。

        (八)贵宾会网络安全更新

        贵宾会网络安全更新可分为重大网络安全更新和轻微网络安全更新。

        1.重大网络安全更新:指影响到贵宾会的安全性或有效性的网络安全更新;

        2.轻微网络安全更新:指不影响贵宾会的安全性与有效性的网络安全更新,如常规安全补丁。

        贵宾会产品发生重大网络安全更新应进行许可事项变更,而发生轻微网络安全更新通过质量管理体系进行控制,无需进行许可事项变更,待到下次注册时提交相应注册申报资料。

        (九)与其它引导原则关系

        《引导原则》是对《贵宾会App注册技术审查引导原则》(以下简称《App引导原则》)的补充,应结合《App引导原则》的相关要求使用《引导原则》。

        三、《引导原则》实施要求

        (一)实施过渡期

        为平衡贵宾会网络安全监管和行业健康发展的关系,保证《引导原则》顺利实施,《引导原则》的实施设置了过渡期,将于2018年1月1日正式施行。

        在过渡期内,注册人应当结合《引导原则》要求做好相应准备工作,同时可以自主决定是否按照《引导原则》要求提交贵宾会网络安全注册申报资料。自实施之日起,注册人应当提交贵宾会网络安全注册申报资料。

        (二)注册申报资料要求

        1.产品注册:注册人应当单独提交一份网络安全描述文档,在产品技术要求中明确数据接口、用户访问控制的要求,在说明书中明确网络安全相关要求。

        2.许可事项变更:注册人应当根据网络安全更新情况提交网络安全描述文档、常规安全补丁描述文档或无变化真实性声明,如适用应当在产品技术要求和说明书中体现网络安全的变更内容。

        3.延续注册:如适用,注册人应当单独提交一份常规安全补丁描述文档。

        (三)贵宾会网络安全文档

        贵宾会网络安全文档包括网络安全描述文档、常规安全补丁描述文档。

        1.网络安全描述文档:内容包括基本信息、风险管理、验证与确认、维护计划,适用于产品注册、重大网络安全更新;

        2.常规安全补丁描述文档:内容包括情况说明、测试计划与报告、新增已知剩余缺陷情况说明,适用于轻微网络安全更新。

        (四)注册人实施要求

        注册人应当结合自身质量管理体系的要求和贵宾会产品特点来保证其网络安全,包括上市前和上市后的要求。注册人还可采用信息安全领域良好工程实践来完善贵宾会产品的网络安全管理。

        注册人应当结合贵宾会产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。

        注册人应当结合贵宾会相关数据的类型、功能、用途、交换方式及要求来考虑贵宾会产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。

        注册人应当根据贵宾会的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证贵宾会产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。

        注册人应当重视现成App的网络安全问题,结合质量管理体系的要求和现成App的类型,采用基于风险管理的方法保证现成App的网络安全。

        注册人应当区分贵宾会网络安全更新的类型,根据网络安全更新对于贵宾会产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按《引导原则》要求提交相应注册申报资料。App版本命名规则应考虑网络安全更新的情况。

        注册人应当遵循网络安全相关国家法律法规和有关部门规章的规定,如《中华人民共和国网络安全法》、《人口健康信息管理办法(试行)》《国家卫生计生委关于推进医疗机构远程医疗服务的意见》等。

        注册人可参考与网络安全相关的国际标准及技术报告的要求来保证贵宾会产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。


来源:国家食品药品监督管理局

XML 地图 | Sitemap 地图