医疗器械网络安全注册审查指导原则(2022年修订版)
本指导原则旨在指导注册申请人规范医疗器械网络安全生存周期过程和准备医疗器械网络安全注册申报资料,同时规范医疗器械网络安全的技术审评要求,为医疗器械软件、质量管理软件的体系核查提供参考。
本指导原则是对医疗器械网络安全的一般要求,注册申请人需根据产品特性和风险程度确定本指导原则具体内容的适用性,若不适用详述理由。注册申请人也可采用其他满足法规要求的替代方法,但需提供详尽的研究资料。
本指导原则作为注册申请人、审评人员和检查人员的指导性文件,不包括审评审批所涉及的行政事项,亦不作为法规强制执行,应在符合法规要求的前提下使用本指导原则。
本指导原则是医疗器械网络安全的通用指导原则,其他涉及网络安全的医疗器械产品指导原则可在本指导原则基础上进行有针对性的调整、修改和完善。
一、适用范围
本指导原则适用于医疗器械网络安全的注册申报,包括具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上功能的第二、三类独立软件和含有软件组件的医疗器械(包括体外诊断医疗器械);适用于自研软件、现成软件的注册申报。
其中,网络包括无线、有线网络,电子数据交换包括基于网络、存储媒介的单向、双向数据传输,远程访问与控制包括基于网络的实时、非实时的访问与控制,用户(如医务人员、患者、维护人员等)访问包括基于软件用户界面、电子接口的人机交互方式。
本指导原则也可用作医疗器械软件、质量管理软件的体系核查参考。
二、主要概念
(一)医疗器械网络安全
除保密性、完整性、可得性三个基本特性外,医疗器械网络安全还包括真实性(Authenticity)、抗抵赖性(Non-Repudiation)、可核查性(Accountability)、可靠性(Reliability)等特性。其中,真实性是指实体符合其所声称的特性,抗抵赖性是指实体可证明所声称事件或活动的发生及其发起实体的特性,可核查性是指实体的活动及结果可被追溯的特性,可靠性是指实体的活动及结果与预期保持一致的特性。
保密性、完整性、可得性等网络安全特性通常是相互制约的关系,在同等条件下,某一特性的能力提升可能会使得另一特性或多个特性的能力下降,如可得性的提升可能会降低保密性和完整性,因此需要基于产品特性进行平衡兼顾。注册申请人需结合医疗器械的预期用途、使用场景、核心功能进行综合考量,从而确定医疗器械网络安全特性的具体要求。
此外,尽管信息安全、网络安全、数据安全的定义和范围各有侧重,既有联系又有区别,不尽相同,但本指导原则从医疗器械安全有效性评价角度出发对三者不做严格区分,统一采用网络安全进行表述,即从网络安全角度综合考虑医疗器械的信息安全和数据安全。
设备数据是指记录医疗器械运行状况的数据(含日志),用于监视、控制医疗器械运行或者医疗器械的维护与升级,不得含有个人信息。
(三)医疗器械电子接口
本指导原则所述医疗器械电子接口(含硬件接口、软件接口)包括网络接口、电子数据交换接口,若无明示均指外部接口,分体式医疗器械各独立部分的内部接口视为外部接口,如服务器与客户端、主机与从机的内部接口。
1.网络接口
网络接口是指基于网络的电子接口。医疗器械可通过网络接口(含转接接口)进行电子数据交换或远程访问与控制,此时需考虑网络的技术特征要求,包括但不限于网络形式(有线、无线)、网络类型(如广域网、局域网、个域网)、接口形式(如电口、光口)、数据接口(此时即数据协议,含标准协议、私有协议)、远程访问与控制方式(实时、非实时)、性能指标(如端口、传输速率、带宽)等。
2.电子数据交换接口
电子数据交换接口是指基于非网络的电子接口。医疗器械可通过非网络接口的其他电子接口(如串口、并口、USB口、视频接口、音频接口,含调试接口、转接接口)或存储媒介(如光盘、移动硬盘、U盘)进行电子数据交换。此时需考虑其他电子接口或数据存储的技术特征要求。
其他电子接口可参照网络接口明确其技术特征要求。数据存储的技术特征要求包括但不限于存储媒介形式、数据接口(此时即文件存储格式,含标准格式、私有格式)、数据压缩方式(有损、无损)、性能指标(如传输速率、容量)等。标准格式即业内公认标准所规范的文件存储格式,如JPEG、PNG等,需考虑其文件格式完整性问题;私有格式需考虑兼容性问题。
注册申请人需结合医疗器械电子接口的类型、方式、技术特征,基于网络安全特性考虑其网络安全的具体要求。
(四)医疗器械网络安全能力
考虑到预期用途、使用场景的限制,医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。
本指导原则所述医疗器械网络安全能力包括:
2.审核(AUDT):产品提供用户活动可被审核的能力。
4.节点鉴别(NAUT):产品鉴别网络节点的能力。
6.连通性(CONN):产品保证连通网络安全可控的能力。
8.系统加固(SAHD):产品通过固化措施对网络攻击和恶意软件的抵御能力。
9.数据去标识化与匿名化(DIDT):产品直接去除、匿名化数据所含个人信息的能力。
11.数据备份与灾难恢复(DTBK):产品的数据、硬件或软件受到损坏或破坏后恢复的能力。
13.数据传输保密性(TXCF):产品确保数据传输保密性的能力。
14.数据传输完整性(TXIG):产品确保数据传输完整性的能力。
16.现成软件清单(SBOM):产品为用户提供全部现成软件清单的能力。
17.现成软件维护(RDMP):产品在全生命周期中对现成软件提供网络安全维护的能力。
18.网络安全使用指导(SGUD):产品为用户提供网络安全使用指导的能力。
19.网络安全特征配置(CNFS):产品根据用户需求配置网络安全特征的能力。
20.紧急访问(EMRG):产品在预期紧急情况下允许用户访问和使用的能力。
21.远程访问与控制(RMOT):产品确保用户远程访问与控制(含远程维护与升级)的网络安全的能力。
22.恶意软件探测与防护(MLDP):产品有效探测、阻止恶意软件的能力。
注册申请人需根据医疗器械的产品特性分析上述网络安全能力的适用性。若适用,明确网络安全能力的实现方式,可通过产品自身功能实现,亦可通过必备软件、外部软件环境等外部措施实现。同时,根据产品风险水平明确网络安全能力的强弱程度,例如:用户访问控制可采用用户名和口令方式,其中口令强度可采用不同强度设置或采用动态口令,亦可采用生物识别技术,通常情况下医疗器械的风险水平越高则其用户访问控制要求越严格。反之,若不适用详述理由并予以记录。
值得注意的是,对于特定医疗器械产品,上述各项网络安全能力可能不足以保证其网络安全,需结合产品具体情况补充其他网络安全能力要求。
(五)网络安全验证与确认
注册申请人需针对不同类型网络威胁,采用相应技术手段来保证医疗器械的网络安全。例如:针对读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向、勒索攻击等网络威胁,可采用用户访问控制、端口与服务关闭、加密、数字签名、标准协议、校验、防火墙、入侵检测、恶意代码防护、防护规则配置等方法与技术来保证产品的网络安全。
(六)网络安全可追溯性分析
网络安全可追溯性分析作为网络安全验证与确认的重要活动之一,是指追踪网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险管理之间的关系,分析已识别关系的正确性、一致性、完整性、准确性。
医疗器械网络安全生存周期过程均应开展网络安全可追溯性分析活动,具体要求可参照软件可追溯性分析活动要求,详见医疗器械软件指导原则第二章。
(七)网络安全事件应急响应
应制定网络安全事件应急响应预案,涵盖现成软件要求,明确计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进等阶段的任务和要求。建立网络安全事件应急响应团队,根据工作职能形成管理、规划、监测、响应、实施、分析等工作小组,必要时可邀请外部网络安全专家成立专家小组。
(八)医疗器械网络安全更新
1.网络安全更新
医疗器械网络安全更新从内容上可分为功能更新、补丁更新,类似于增强类软件更新、纠正类软件更新。根据其对医疗器械安全性和有效性的影响程度分为以下两类:
(1)重大网络安全更新:影响到医疗器械的安全性或有效性的网络安全更新,即重大网络安全功能更新,应申请变更注册。
(2)轻微网络安全更新:不影响医疗器械的安全性与有效性的网络安全更新,包括轻微网络安全功能更新、网络安全补丁更新。轻微网络安全更新通过质量管理体系进行控制,无需申请变更注册,待下次变更注册时提交相应注册申报资料。
网络安全更新同样遵循风险从高原则,即同时发生重大和轻微网络安全更新按重大网络安全更新处理。同时,软件版本命名规则应涵盖网络安全更新情况,区分重大和轻微网络安全更新。
2.重大网络安全更新判定原则
网络安全功能更新若影响到医疗器械的预期用途、使用场景或核心功能原则上均属于重大网络安全更新,包括但不限于:产品预期运行的网络环境发生改变,如由封闭网络环境变为开放网络环境、局域网变为广域网、有线网络变为无线网络;产品预期使用的电子接口发生改变,如接口形式由网口变为USB口、接口类型由少变多、接口功能由电子数据交换扩至远程控制;产品网络安全能力发生实质性改变,如自动注销能力由操作系统自带功能实现改为产品自身功能实现、物理防护能力由有变无等。
除非影响到医疗器械的安全性或有效性,以下网络安全功能更新和网络安全补丁更新通常视为轻微网络安全更新:产品预期运行的网络环境数据传输效率单纯提高,预期使用的电子接口原有功能单纯优化、传输效率单纯提高,产品网络安全能力发生非实质性改变;医疗器械软件、必备软件、外部软件环境的网络安全补丁更新。其中,必备软件是指医疗器械软件正常运行所必需的其他医疗器械软件及医用中间件,外部软件环境是指医疗器械软件正常运行所必需的系统软件、通用应用软件、通用中间件、支持软件,详见医疗器械软件指导原则。
三、基本原则
(一)网络安全定位
随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程访问与控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者或用户受到伤害或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。
网络安全新技术(如人工智能技术)研究处于快速发展阶段,医疗器械若采用网络安全新技术来保证网络安全,亦需基于新技术特性,并结合风险管理开展相应验证与确认工作。
(二)风险导向
综合考虑行业发展水平和风险分级管理导向,医疗器械网络安全的风险级别不同,其生命周期质控要求和注册申报资料要求亦不同。
虽然网络安全风险与软件风险存在差异,但是网络安全风险作为软件风险的重要组成部分,其风险级别亦可参照软件采用安全性级别进行表述[5]。在通常情形下,医疗器械网络安全的安全性级别与所属医疗器械软件的安全性级别相同;在特殊情形下,网络安全的安全性级别可低于软件的安全性级别,此时需详述理由并按网络安全的安全性级别提交相应注册申报资料。
医疗器械网络安全风险同样结合医疗器械的预期用途、使用场景、核心功能进行综合判定,特别是使用场景。不同使用场景的网络环境不同,甚至存在巨大差异,对于医疗器械网络安全的影响亦不同,如门诊、手术、住院、急救、家庭、转运、公共场所等使用场景的网络环境均有所不同,因此对于适用于多个使用场景的医疗器械,注册申请人需保证医疗器械在每个使用场景的网络安全。
医疗器械网络安全风险管理活动通常包括:识别资产(Asset,对个人或组织有价值的物理和数字实体)、威胁(Threat,可能导致对个人或组织产生损害的非预期事件发生的潜在原因)和脆弱性(Vulnerability,可能会被威胁所利用的资产或风险控制措施的弱点),评估威胁和脆弱性对于医疗器械和患者的影响以及被利用的可能性,确定风险水平并采取充分、有效、适宜的风险控制措施,基于风险接受准则评估网络安全综合剩余风险,保证网络安全综合剩余风险均处于可接受水平。
(三)全生命周期质控
四、医疗器械网络安全生存周期过程
考虑到行业实际情况,本指导原则不要求注册申请人单独建立医疗器械网络安全生存周期(又称生命周期)过程,而是将其作为医疗器械软件生存周期过程的重要组成部分予以整体考虑,待时机成熟时予以考量。
注册申请人需在医疗器械软件生存周期过程考虑医疗器械网络安全的质控要求,并可基于医疗器械网络安全能力建设要求予以实施,具体要求详见医疗器械软件指导原则第六章以及独立软件生产质量管理规范及其现场检查指导原则。
五、技术考量
(一)现成软件
现成软件同样存在网络安全问题,注册申请人应根据质量管理体系要求建立现成软件网络安全更新过程,结合风险管理要求,及时将必要的现成软件网络安全信息及应对措施告知用户。
(二)医疗数据出境
(三)远程维护与升级
远程维护与升级虽为非医疗器械功能,但会影响医疗器械的安全有效性,故亦需纳入考量。
因此,注册申请人需明确远程维护与升级的实现方法、所用电子接口情况、设备数据所含内容、设备数据与医疗数据的隔离方法、网络安全保证措施等技术特征,并提供相应研究资料和风险管理资料。
此外,境外远程维护与升级若可访问医疗数据,亦应符合医疗数据出境要求。
(四)遗留设备[8]
本指导原则所述遗留设备是指不能通过补丁更新、补偿控制等合理风险控制措施抵御当前网络安全威胁的医疗器械。遗留设备可能无法应对当前网络安全威胁,导致产品综合剩余风险无法降至可接受水平,降低医疗器械的安全有效性。
对于遗留设备,注册人应按照质量管理体系要求开展相应质控工作,以保证产品网络安全,详见独立软件生产质量管理规范及其现场检查指导原则。
对于注册证有效且在售的医疗器械,若无法通过合理风险控制措施抵御当前网络安全威胁,则注册人应根据质量管理体系要求制定相应风险控制措施,并申请变更注册。
六、医疗器械网络安全研究资料
(一)自研软件网络安全研究报告
自研软件网络安全研究报告适用于自研软件的初次发布和再次发布,内容框架详见表1,包括基本信息、实现过程、漏洞评估、结论,详尽程度取决于软件安全性级别,不适用内容详述理由。
1.基本信息
(1)软件信息
明确申报医疗器械软件的名称、型号规格、发布版本以及软件安全性级别。
若网络安全的安全性级别低于软件的安全性级别,详述理由并按网络安全的安全性级别提交相应注册申报资料。
(2)数据架构
电子接口情况逐项说明每个网络接口、电子数据交换接口的预期用户、使用场景、预期用途、数据类型、技术特征、使用限制,其中技术特征要求详见第二章。
(3)网络安全能力
基于第二章所述各项网络安全能力,逐项分析申报医疗器械对于该项网络安全能力的适用性,详述适用网络安全能力的实现方法以及不适用理由。若适用,提供其他网络安全能力的适用情况说明。
(4)网络安全补丁
提供申报医疗器械(含必备软件、外部软件环境)的网络安全补丁列表,明确网络安全补丁的名称、完整版本、发布日期。可另附文件。
(5)安全软件
描述申报医疗器械兼容或所用的安全软件(如杀毒软件、防火墙等)的名称、型号规格、完整版本、供应商、运行环境、防护规则配置要求。
2.实现过程
(1)风险管理
提供申报医疗器械网络安全的风险分析报告、风险管理报告,另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的风险管理文档,但需注明网络安全情况。
(2)需求规范
提供申报医疗器械的网络安全需求规范文档,另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的需求规范文档,但需注明网络安全情况。
(3)验证与确认
提供申报医疗器械的网络安全测试计划和报告,另附网络安全开发所形成的原始文件。亦可提供医疗器械软件的系统测试计划和报告,但需注明网络安全情况。
(4)可追溯性分析
提供申报医疗器械的网络安全可追溯性分析报告,汇总列明网络安全需求规范文档、网络安全设计规范文档、源代码(明确软件单元名称即可)、网络安全测试报告、网络安全风险分析报告之间的对应关系。亦可提供医疗器械软件的可追溯性报告,但需注明网络安全情况。
(5)维护计划
3.漏洞评估
轻微级别:按照现行有效的通用漏洞评分系统(CVSS)所定义的漏洞等级,明确申报医疗器械(含必备软件、外部软件环境,下同)已知漏洞总数和已知剩余漏洞数。
中等级别:提供网络安全漏洞自评报告,明确漏洞扫描所用软件工具、漏洞库(基于国家信息安全漏洞库或互认的国际信息安全漏洞库)的基本信息(如名称、完整版本、发布日期、供应商等),按照CVSS漏洞等级明确申报医疗器械已知漏洞总数和已知剩余漏洞数,列明已知剩余漏洞的内容、对产品的影响及综合剩余风险,确保产品综合剩余风险均可接受。亦可补充网络安全评估机构出具的网络安全漏洞评估报告。
严重级别:提供网络安全漏洞自评报告、网络安全评估机构出具的网络安全漏洞评估报告,明确已知剩余漏洞的维护方案,确保产品综合剩余风险均可接受。
4.结论
概述申报医疗器械的网络安全实现过程的规范性和网络安全漏洞评估结果,判定申报医疗器械的网络安全是否满足要求,受益是否大于风险。
表1自研软件网络安全研究报告框架
报告条款
软件安全性级别
轻微
中等
严重
基本信息
软件信息
明确软件的基本情况和安全性级别
数据架构
网络安全能力
明确网络安全能力情况
网络安全补丁
列明网络安全补丁的基本情况
安全软件
明确安全软件的基本情况
实现过程
风险管理
提供网络安全的风险分析报告、风险管理报告
需求规范
提供网络安全需求规范文档
验证与确认
提供网络安全的测试计划和报告
可追溯性分析
提供网络安全可追溯性分析报告
维护计划
提供网络安全更新、远程维护与升级的流程图及活动描述
提供网络安全更新、网络安全事件应急响应、远程维护与升级的流程图及活动描述
漏洞评估
按照漏洞等级明确已知漏洞总数和剩余漏洞数
提供网络安全漏洞自评报告,按照漏洞等级明确已知漏洞总数、已知剩余漏洞情况
提供网络安全漏洞自评报告、网络安全评估机构出具的网络安全漏洞评估报告,明确已知剩余漏洞的维护方案
结论
概述网络安全实现过程的规范性和网络安全漏洞评估结果,判定网络安全是否满足要求
(二)自研软件网络安全更新研究报告
自研软件网络安全更新研究报告适用于自研软件的再次发布,包括网络安全功能更新、网络安全补丁更新等研究报告。
网络安全功能更新研究报告适用于自研软件发生重大、轻微网络安全功能更新,或合并网络安全补丁更新的情形,内容框架详见表2,不再赘述。
网络安全补丁更新研究报告适用于自研软件(含必备软件、外部软件环境)仅发生网络安全补丁更新的情形。其内容包括软件信息、网络安全补丁、风险管理、验证与确认、可追溯性分析、维护计划、漏洞评估、结论,具体要求详见表2相应说明。
表2自研软件网络安全功能更新研究报告框架
明确本次申报软件情况,详述变化
列明网络安全更新部分的补丁情况
提供网络安全更新部分的风险分析报告、风险管理报告
提供网络安全更新部分需求规范文档
提供网络安全更新部分的测试计划和报告
提供网络安全更新部分的可追溯性分析报告
提供用户告知计划
提供用户告知计划、网络安全事件应急响应总结报告
明确本次申报软件已知漏洞总数和剩余漏洞数
提供本次申报软件的网络安全自评报告,按照漏洞等级明确已知漏洞总数、已知剩余漏洞情况
提供本次申报软件的网络安全自评报告、网络安全评估机构出具的网络安全漏洞评估报告,明确已知剩余漏洞的维护方案
概述网络安全更新实现过程的规范性和网络安全漏洞评估结果,判定网络安全更新是否满足要求
考虑到网络安全更新具有累积效应,网络安全更新研究报告需涵盖医疗器械软件自前次注册(延续注册除外)以来网络安全更新的全部内容。
(三)现成软件网络安全研究资料
1.现成软件组件网络安全研究资料
(1)部分使用方式
对于部分使用方式,即医疗器械软件同时使用自研软件和现成软件组件,无需单独提交网络安全研究报告,基于医疗器械软件的安全性级别,在自研软件网络安全研究报告适用条款中说明现成软件组件的情况。
适用条款包括软件信息、数据架构、网络安全能力、网络安全补丁、风险管理、需求规范、验证与确认、可追溯性分析、维护计划、漏洞评估、结论。
此时若现成软件组件发生网络安全更新,网络安全功能更新在自研软件网络安全功能更新研究报告的基础上,说明现成软件组件的变化情况,不适用条款说明理由;网络安全补丁更新要求与自研软件相同。
(2)全部使用方式
对于全部使用方式,即医疗器械软件全部为现成软件组件,需要单独提交现成软件组件网络安全研究报告,其内容与自研软件研究报告相同,但需基于现成软件组件(此时即医疗器械软件)的安全性级别予以说明。
此时若现成软件组件发生网络安全更新,网络安全功能更新在现成软件组件网络安全功能更新研究报告的基础上,说明现成软件组件的变化情况,不适用条款说明理由;网络安全补丁更新要求与自研软件相同。
2.外部软件环境网络安全评估资料
外部软件环境网络安全评估作为外部软件环境评估的重要组成部分,其网络安全及其更新的研究资料要求与外部软件环境评估报告相同,具体要求详见医疗器械软件指导原则第八章。
考虑到医疗器械软件指导原则已明确外部软件环境评估报告要求,同时自研软件网络安全研究资料亦含有外部软件环境的网络安全补丁、漏洞评估等要求,故无需单独提交外部软件环境网络安全评估资料。
七、注册申报资料补充说明[9]
(一)产品注册
1.软件研究资料
在软件研究资料中单独提交自研软件网络安全研究报告。
2.说明书
说明书提供网络安全说明和使用指导,明确用户访问控制机制、电子接口(含网络接口、电子数据交换接口)及其数据类型和技术特征、网络安全特征配置、数据备份与灾难恢复、运行环境(含硬件配置、外部软件环境、网络环境,若适用)、安全软件兼容性列表(若适用)、外部软件环境与安全软件更新(若适用)、现成软件清单(SBOM,若适用)等要求。
(二)变更注册
医疗器械变更注册应根据网络安全更新情况,提交变化部分对产品安全性与有效性影响的研究资料:
(1)涉及网络安全功能更新:适用于自研软件发生网络安全功能更新,或合并网络安全补丁更新的情形,此时单独提交一份自研软件网络安全功能更新研究报告(或自研软件网络安全研究报告);
(2)仅发生网络安全补丁更新:适用于自研软件(含必备软件、外部软件环境)仅发生网络安全补丁更新的情形,此时单独提交一份自研软件网络安全补丁更新研究报告;
若适用,提交说明书关于网络安全内容的变更对比表。
(三)延续注册
八、参考文献
[1]全国人大.中华人民共和国网络安全法[Z],2016.11
[2]全国人大.中华人民共和国数据安全法[Z],2021.6
[3]全国人大.中华人民共和国个人信息保护法[Z],2021.8
[4]国务院.中华人民共和国人类遗传资源管理条例(国令第717号)[Z],2019.5
[5]中央网信办.国家网络安全事件应急预案[Z],2017.1
[6]国家网信办.个人信息出境安全评估办法(征求意见稿)[Z],2019.6
[7]国家网信办.数据出境安全评估办法(征求意见稿)[Z],2021.10
[8]国家网信办.网络安全审查办法[Z],2021.11
[9]原国家食品药品监督管理总局.医疗器械说明书和标签管理规定(总局令第6号)[Z],2014.7
[10]原国家食品药品监督管理总局.医疗器械召回管理办法(总局令第29号)[Z],2017.1
[11]国家市场监督管理总局.医疗器械不良事件监测和再评价管理办法(总局令第1号)[Z],2018.8
[12]国家市场监督管理总局.医疗器械注册与备案管理办法(总局令第47号)[Z],2021.8
[13]原国家食品药品监督管理总局.医疗器械生产质量管理规范(2014年第64号公告)[Z],2014.12
[14]国家市场监督管理总局.医疗器械注册申报资料要求和批准证明文件格式(2021年第121号公告)[Z],2021.9
[15]原国家食品药品监督管理总局.医疗器械网络安全注册技术审查指导原则(2017年第13号通告)[Z],2017.1
[16]国家药品监督管理局.医疗器械生产质量管理规范附录独立软件(2019年第43号通告)[Z],2019.7
[17]国家药品监督管理局.医疗器械生产质量管理规范独立软件现场检查指导原则(药监综械管〔2020〕57号)[Z],2020.5
[18]国家药品监督管理局医疗器械技术审评中心.医疗器械软件技术审查指导原则(第二版)(征求意见稿)[Z],2020.5
[19]北京市药品监督管理局.医疗器械网络安全注册审查指导原则实施指南[Z],2019.12
[20]国家卫生健康委员会.国家健康医疗大数据标准、安全和服务管理办法(试行)(国卫规划发〔2018〕23号)[Z],2018.7
[21]GB9706.1-2020医用电气设备第1部分:基本安全和基本性能的通用要求[S]
[22]GB/T20985.1-2017信息技术安全技术信息安全事件管理第1部分:事件管理原理[S]
[23]GB/T22080-2016信息技术安全技术信息安全管理体系要求[S]
[24]GB/T22081-2016信息技术安全技术信息安全管理实用规则[S]
[25]GB/T22239-2019信息安全技术网络安全等级保护基本要求[S]
[26]GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则[S]
[27]GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求[S]
[28]GB/T28448-2019信息安全技术网络安全等级保护测评要求[S]
[29]GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇[S]
[30]GB/T30276-2020信息安全技术网络安全漏洞管理规范[S]
[31]GB/T31167-2014信息安全技术云计算服务安全指南[S]
[32]GB/T31168-2014信息安全技术云计算服务安全能力要求[S]
[33]GB/T31722-2015信息技术安全技术信息安全风险管理[S]
[34]GB/T35273-2020信息安全技术个人信息安全规范[S]
[35]GB/T35274-2017信息安全技术大数据服务安全能力要求[S]
[36]GB/T35278-2017信息安全技术移动终端安全保护技术要求[S]
[37]GB/T37964-2019信息安全技术个人信息去标识化指南[S]
[38]GB/T37973-2019信息安全技术大数据安全管理指南[S]
[39]GB/T37988-2019信息安全技术数据安全能力成熟度模型[S]
[40]GB/T39335-2020信息安全技术个人信息安全影响评估指南[S]
[41]GB/T39725-2020信息安全技术健康医疗数据安全指南[S]
[42]GB/T信息安全技术数据出境安全评估指南(征求意见稿)[S],2017.8
[43]GB/T信息安全技术重要数据识别指南(征求意见稿)[S],2022.1
[44]YY/T0287-2017医疗器械质量管理体系用于法规的要求[S]
[45]YY/T0316-2016医疗器械风险管理对医疗器械的应用[S]
[46]YY/T0664-2020医疗器械软件软件生存周期过程[S]
[47]YY/T1406.1-2016医疗器械软件第1部分:YY/T0316应用于医疗器械软件的指南[S]
[48]YY/T1708.1-2020医用诊断X射线影像设备连通性符合性基本要求第1部分:通用要求[S]
[49]YY/T1708.2-2020医用诊断X射线影像设备连通性符合性基本要求第2部分:X射线计算机体层摄影设备[S]
[50]YY/T1708.3-2021医用诊断X射线影像设备连通性符合性基本要求第3部分:数字化摄影X射线机(DR)[S]
[51]YY/T1708.4-2021医用X射线影像设备连通性符合性基本要求第4部分:数字减影血管造影X射线机(DSA)[S]
[52]YY/T1708.5-2021医用诊断X射线影像设备连通性符合性基本要求第5部分:乳腺X射线机[S]
[53]YY/T1708.6-2021医用诊断X射线影像设备连通性符合性基本要求第6部分:口腔X射线机[S]
[54]YY/T医用电气设备网络安全基本要求(报批稿)[S],2020.12
[55]IMDRF/SaMDWG/N12FINAL:2014,SaMD:PossibleFrameworkforRiskCategorizationandCorrespondingConsiderations[Z],2014.9
[56]IMDRF/SaMDWG/N23FINAL:2015,SaMD:ApplicationofQualityManagementSystem[Z],2015.10
[57]IMDRF/CYBERWG/N60FINAL:2020,PrinciplesandPracticesforMedicalDeviceCybersecurity[Z],2020.4
[58]FDA,CybersecurityforNetworkedMedicalDevicesContainingOff-the-ShelfSoftware[Z],2005.1
[59]FDA,ContentofPremarketSubmissionsforManagementofCybersecurityinMedicalDevices[Z],2014.10
[60]FDA,PostmarketManagementofCybersecurityinMedicalDevices[Z],2016.12
[61]FDA,DesignConsiderationsandPre-marketSubmissionRecommendationsforInteroperableMedicalDevices[Z],2017.9
[62]FDA,ContentofPremarketSubmissionsforManagementofCybersecurityinMedicalDevices(DraftGuidance)[Z],2018.10
[63]FDA,BestPracticesforCommunicatingCybersecurityVulnerabilitiestoPatients[Z],2021.10
[64]FDA,PlaybookforThreatModelingMedicalDevices[Z],2021.11
[65]MDCG2019-16Rev.1,GuidanceonCybersecurityformedicaldevices[Z],2020.7
[66]BSI.Cybersecurityofmedicaldevices:Addressingpatientsafetyandthesecurityofpatienthealthinformation[Z],2017.3
[67]AAMITIR57:2016/(R)2019,Principlesformedicaldevicesecurity-Riskmanagement[S]
[68]AAMITIR97:2019,Principlesformedicaldevicesecurity-Postmarketriskmanagementfordevicemanufacturers[S]
[69]IECTR60601-4-5:2021,Medicalelectricalequipment-Part4-5:Guidanceandinterpretation-Safety-relatedtechnicalsecurityspecifications[S]
[70]IEC80001-1:2021,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part1:Safety,effectivenessandsecurityintheimplementationanduseofconnectedmedicaldevicesorconnectedhealthsoftware[S]
[71]IECTR80001-2-1:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-1:Step-by-stepriskmanagementofmedicalIT-networks-Practicalapplicationsandexamples[S]
[72]IECTR80001-2-2:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurityneeds,risksandcontrols[S]
[73]IECTR80001-2-3:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-3:Guidanceforwirelessnetworks[S]
[74]IECTR80001-2-4:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-4:Applicationguidance-Generalimplementationguidanceforhealthcaredeliveryorganizations[S]
[75]IECTR80001-2-5:2014,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-5:Applicationguidance-Guidanceondistributedalarmsystems[S]
[76]ISOTR80001-2-6:2014,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-6:Applicationguidance-Guidanceforresponsibilityagreements[S]
[77]ISOTR80001-2-7:2015,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Applicationguidance-Part2-7:GuidanceforHealthcareDeliveryOrganizations(HDOs)onhowtoself-assesstheirconformancewithIEC80001-1[S]
[78]IECTR80001-2-8:2016,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-8:Applicationguidance-GuidanceonstandardsforestablishingthesecuritycapabilitiesidentifiedinIEC/TR80001-2-2[S]
[79]IECTR80001-2-9:2017,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-9:Applicationguidance-GuidanceforuseofsecurityassurancecasestodemonstrateconfidenceinIEC/TR80001-2-2securitycapabilities[S]
[80]IEC80001-5-1:2021,HealthsoftwareandhealthITsystemssafety,effectivenessandsecurity-Part5-1:Security-Activitiesintheproductlifecycle[S]
[81]ISO81001-1:2021,HealthsoftwareandhealthITsystemssafety,effectivenessandsecurity-Part1:Principlesandconcepts[S]
[82]ISOTS81001-2-1,HealthsoftwareandhealthITsystemssafety,effectivenessandsecurity-Part2-1:Coordination-Guidancefortheuseofassurancecasesforsafetyandsecurity[S]
[83]ISO/IEC27035-1:2016,Informationtechnology-Securitytechniques-Informationsecurityincidentmanagement-Part1:Principlesofincidentmanagement[S]
[84]ISO/IEC27035-2:2016,Informationtechnology-Securitytechniques-Informationsecurityincidentmanagement-Part2:Guidelinestoplanandprepareforincidentresponse[S]
[85]ISO/IEC29147:2018,InformationTechnology-SecurityTechniques-VulnerabilityDisclosure[S]
[86]ISO/IEC30111:2013,InformationTechnology-SecurityTechniques-VulnerabilityHandlingProcesses[S]
[87]ISO27799:2016,Healthinformatics-InformationsecuritymanagementinhealthusingISO/IEC27002[S]
[88]NEMACSP1-2016,CybersecurityforMedicalImaging[S]
[89]NEMAHN1-2019,ManufacturerDisclosureStatementforMedicalDeviceSecurity[S]
[90]UL2900-1:2020,StandardforSoftwareCybersecurityforNetworkConnectableProducts-Part1:GeneralRequirements[S]
[91]UL2900-2-1:2018,SoftwareCybersecurityforNetworkConnectableProducts-Part2-1:ParticularRequirementsforNetworkConnectableComponentsofHealthcareandWellnessSystems[S]