医疗器械网络安全注册审查19种医疗器械网络安全能力
医疗器械的预期用途一般是对疾病的预防、诊断与治疗,在权衡医疗器械的安全性、有效性以及数据安全时,需要首先保证医疗器械的安全性、有效性。例如,为了在急救环境下发挥医疗器械的有效性,可能会对保密性的要求予以折衷。综合考虑的结果导致大部分的医疗器械可能并不具备全部的网络安全能力,此时需要注册申请人与用户进行良好的沟通,以实现最终医疗环境下的网络安全。
医疗器械网络安全方面主要参考检测标准:GB/T25000.51-2016
19种医疗器械网络安全能力,并依据相关标准,结合医疗器械的产品特点对其主要内容进行了描述,注册申请人可根据医疗器械的产品特性,预期用途和使用方式考虑其网络安全能力要求的适用性。
1.自动登出能力(ALOF)
无人值守的医疗器械终端设备,存在被进行非授权操作、显示信息被非授权人员阅读的风险。此项网络安全能力确保医疗器械在所设时段内若未被用户操作,则自动进入保护状态,从而降低上述风险发生的概率。此项网络安全能力,改善了医疗器械的保密性与完整性,但会降低医疗器械的可得性,对急诊用医疗器械、长期监护用医疗器械、用户无需获得授权的医疗器械等可得性要求较高的医疗器械应结合医疗器械的预期用途与使用场景,决定是否配置以及如何配置。
2.审核控制能力(AUDT)
医疗器械的网络安全与医疗器械的使用方式息息相关,不正确、非授权的使用会导致医疗器械存在网络安全方面的风险。对医疗器械使用环节的关键信息予以记录,是风险控制措施的一部分。此项能力的配置对网络安全的保密性、完整性、可核查性均有提高,有利于对医疗器械使用记录提供可追溯性检测以及用于事后问责调查和对风险的持续监视,也为风险控制的应急响应提供输入。
3.确定用户权限的能力(AUTH)
医疗器械的非授权使用,会导致多种危险情况,确保医疗器械的使用者、管理者、维护者、拥有者得到合适的授权是重要的风险控制手段。用户权限的管理可以提高保密性、完整性与可核查性,但可能会降低可得性。
4.网络安全配置能力(CNFS)
对医疗器械网络安全的保障是由用户、使用者、网络设施提供方、注册申请人多方共同参与的一项活动。开放网络安全相关的配置有利于网络安全在使用场景中的整体部署,但是另一方面医疗器械在有意、无意情况下的配置错误也可能导致不可接受的风险,此项能力与系统的加固要求(SAHD)相矛盾,应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。
5.网络安全升级能力(CSUP)
医疗器械以及医疗器械所依赖的软硬件环境,所面临的威胁并不是一成不变的,作为风险控制手段,有必要对医疗器械或医疗器械的运行环境予以修补以抵御新的网络威胁。由于医疗器械、运行环境、所受威胁的状况千差万别,部分修补可以由用户自行升级完成;而部分修补则可能需要注册申请人的授权人员才能进行。
6.健康数据去标识化能力(DIDT)
在医疗服务过程中产生的健康数据常常具有预防、诊断、治疗之外的其它价值,例如科研、培训、不良事件追溯、设备维护等。健康数据若直接用于非医疗用途,则存在隐私数据保护方面的风险。数据交付之前,去除健康数据所附带的身份信息,是提高保密性的重要手段。但去除标识会降低数据的可追溯性。
7.数据备份与灾难恢复能力(DTBK)
健康数据在处理过程中面临着数据被破坏甚至丢失的风险,保持数据备份与灾难恢复的能力,可以提高数据的完整性与可得性。
8.紧急访问隐私数据的能力(EMRG)
医疗器械是以提供预防、诊断、治疗目的为核心属性,部分情况下医疗器械、数据的可得性受损会导致不可接受的风险。为医疗器械配置被紧急访问的能力以及相应的安全可控的紧急访问流程,对此项风险的控制至关重要。然而,配置被紧急访问的能力,常常会导致可得性之外的其它网络安全特性降低,应根据医疗器械的预期用途与使用方式综合考虑此项能力的配置。
9.数据完整性真实性确认能力(IGAU)
当数据的完整性受损而导致不可接受的风险时,医疗器械具备此项能力可以确保健康数据的来源可靠且未经篡改与破坏。
10.恶意软件的防止、检测与清除能力(MLDP)
恶意软件侵入医疗器械可能会导致不可接受的风险,此项能力可以对已知恶意软件进行探测、报告并防止受其侵害。由于恶意软件的产生难以预知,此项能力需要在医疗器械的使用过程中不断维护,必要时采取紧急措施。
11.通信对象、通信节点的身份验证能力(NAUT)
医疗器械如与未经授权的通信节点进行互操作,可能导致不可接受的风险。此项能力配合用户的网络安全策略可确保数据的发送方与接收方相互识别并被授权进行数据传输。
12.验证合法用户的能力(PAUT)
有一部分医疗器械并非开放给所有的使用者,这部分医疗器械如果被未获授权的用户使用,可能导致不可接受的风险。此项能力配合用户的网络安全策略,可确保医疗器械的使用者是经过授权认证的。
13.物理保护能力(PLOK)
医疗器械在物理上被侵入,会造成保密性与完整性的破坏,可能导致不可接受的风险。可以重点关注敏感信息的存储媒介(可移动媒介除外)是否不借助工具就能被取出。
14.第三方组件管理能力(RDMP)
医疗器械可能用到第三方组件作为整体医疗器械的一部分,例如第三方的操作系统或数据库等。用户若对此类组件不知情,则不利于此类组件未来的网络安全管理,也不利于未来网络安全事件的责任划分,可能导致不可接受的风险。
15.系统与应用加固能力(SAHD)
医疗器械中可能存在着与预期用途无关的配置,例如:某些非医疗预期用途的账号、通信端口、共享文件、服务等。此类配置可能会成为网络攻击者所利用的通道,从而造成不可接受的风险,对这些配置予以关闭有利于降低风险发生的概率。
16.对操作者与管理员提供网络安全指导的能力(SGUD)
医疗器械的不当使用可能在医疗器械网络安全方面造成不可接受的风险,对使用者提供产品说明、提供可索取的披露资料、予以培训等,均有利于降低使用者操作不当的风险。
17.存储保密能力(STCF)
健康数据的明文存储会降低产品的保密性,对数据存储予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。
18.传输保密能力(TXCF)
健康数据的明文传输会降低医疗器械的保密性,对数据传输予以加密有利于降低数据泄露相关的风险。国家对商用密码产品的科研、生产、销售、使用等都有相应的管理规定。使用商用密码应遵守相关的法律法规要求。
19.保障数据传输完整性的能力(TXIG)
健康数据在传输过程中,数据可能受到无意的信道噪声干扰,也有可能受到恶意篡改,这都可能造成不可接受的风险。采用技术手段确保所接受到的数据与所发送出数据具有一致性,可以降低此类风险。
注册申请人可以通过综合考虑上述19项网络安全能力来提高医疗器械的网络安全特性。网络安全能力与网络安全特性之间的关系如下:
自动登出能力(ALOF) |
2 |
2 |
-1 |
- |
审核控制能力(AUDT) |
1 |
1 |
- |
1 |
确定用户权限的能力(AUTH) |
2 |
2 |
-1 |
1 |
网络安全配置能力(CNFS) |
1 |
1 |
1 |
1 |
网络安全升级能力(CSUP) |
1 |
1 |
1 |
- |
数据备份与灾难恢复能力(DTBK) |
- |
1 |
2 |
- |
紧急访问隐私数据的能力(EMRG) |
- |
- |
2 |
-1 |
健康数据去标识化能力(DIDT) |
2 |
- |
- |
- |
数据完整性真实性确认能力(IGAU) |
- |
2 |
- |
2 |
存储保密能力(STCF) |
2 |
- |
- |
- |
恶意软件的防止、检测与清除能力(MLDP) |
1 |
1 |
1 |
- |
通信对象、通信节点的身份验证能力(NAUT)()()() |
1 |
- |
- |
1 |
验证合法用户的能力(PAUT) |
1 |
- |
- |
2 |
物理保护能力(PLOK) |
1 |
1 |
1 |
- |
对操作者与管理员提供网络安全指导的能力(SGUD) |
1 |
1 |
1 |
1 |
系统与应用加固能力(SAHD) |
1 |
1 |
1 |
- |
第三方组件管理能力(RDMP) |
- |
- |
- |
- |
传输保密能力(TXDF) |
2 |
- |
- |
- |
保障数据传输完整性的能力(TXIG) |
- |
2 |
- |
- |
网络安全特性 网络安全能力 |
保密性 |
完整性 |
可得性 |
可靠性 |
---|
注:“2”指可以显著提高此项网络安全特性,“1”指可以提高此项网络安全特性,“-”指基本不对此项网络安全特性产生影响,“-1”指可以降低此项网络安全特性。