【摘要】 本文着眼于介绍全球医疗设备网络安全指南文件和法规要求，旨在帮助医疗器械从业人员了解全球主要监管机构对于医疗设备网络安全现有的管理方式及合规要求。

【关键词】 医疗器械;网络安全;监管

【DOI编码】 10.3969/j.issn.1674-4977.2021.02.031

Progress of International Medical Device Network Security Regulatory Policy

YU Yuan-yuan

（Sinocare Inc，Changsha 410205，China）

Abstract： This paper focuses on the introduction of global medical device network security guidelines and regulatory requirements，aiming to help medical device practitioners understand the existing management methods and compliance requirements of major regulatory agencies for medical device network security.

Key words： medical devices;network security;supervision

全球医疗设备网络安全指南发布的步伐正在逐年加快，这给服务于各大医疗器械制造商的首席安全合规官（CSO）或者各国卫生组织（HDO）的首席信息官（CIO）带来了不少新的挑战，如何及时、适当、充分解读这些政策成为了工作的重心。一些监管机构强调上市前的管理但也有一些认为上市前和上市后的监管同样重要。毫无疑问的是，网络化和数字化的医疗设备有助于增强设备的功能，扩大患者受益，并促进病历的完整性，但是，将医疗设备接入网络（包括局域网）也大大增加了将设备以及病人隐私暴露在网络攻击的概率，成为威胁病人健康的潜在隐患。因此医疗器械的网络安全必须被视为整体安全性的一部分，是医疗生态系统重要的组成部分。

1 IMDRF

国际医疗器械监管者论坛（International Medical Device Regulators Forum，IMDRF）成立于2011年10月旨在以论坛的形式讨论未来医疗器械监管协调的方向，加速国际医疗器械监管的协调和融合。在2020年4月，IMDRF就医疗器械网络安全发布了官方指南《医疗器械网络安全原则与实践》。像FDA一样，IMDRF支持针对医疗设备网络安全的整个产品生命周期方法，并描述了一种安全风险管理流程，旨在识别，评估和控制从最初概念到支持终止的每个步骤中的风险。本指南同时引入了了上市前和上市后监管的理念，在上市前监管篇章里，IMDRF提出了医疗器械网络安全的全球协调应主要着眼于7个方面：设计、风险管理、标签、注册递交、信息共享、及上市后行动/措施。同时还强调了风险管理的重要性，提出制造商要在开发过程中纳入关键要素，如安全性风险评估，威胁建模和漏洞评分，指南给出了利用通用漏洞评分系统（CVSS）作为漏洞评分方法的示例，还提到了安全测试以及如何进行上市后网络安全管理的方法。标签作为与用户沟通的重要手段，似乎并没有很有效的被制造商利用作为交流网络安全的工具，因此IMDRF指南提出了13条建议，供制造商参考，其中就包括了软件物料清单（SBOM）。如果说上市前的要求主要针对医疗器械制造商，那么IMDRF指南上市后的要求所针对的群体更加广泛，强调“共同责任”，包括：制造商、监管方、医疗服务提供方（如医疗机构）、用户（临床医生/护士/消费者/患者）、及其他利益相关者（如漏洞发现者、信息共享法人实体、相关政府部门等）。对上市后考虑的内容，包括六大部分：预期环境下的使用，信息共享分析组织（ISAO），协调漏洞披露（CVD），漏洞修复，事件响应，遗留医疗器械。ISAO和CVD是指南推荐的两种信息共享机制，旨在通过主动的、充分的信息共享，以达到及时有效地确认威胁和漏洞、控制风险的目的。但是美国FDA并不打算将CVD纳入到自己的上市后体系中，所以这些措施是否可以实现还要看后续的工作进展。

2 美国

美国FDA是医疗器械网络安全政策制定方面的先驱，发表了这个领域内的第一篇指南也是第一个对器械上市前网络安全管理提出要求的监管机构，它的指南文件“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”也被很多国家参考。此份指南性文件向行业提供关于网络安全设备设计、标注以及FDA为可能存在网络安全风险的设备在上市前申报文件中需要体现的建议性内容。FDA第一次提出了“网络安全物料清单”（CSBOM）的概念，将其定义为可能易受网络安全风险影响的商业，开源和现成软件和硬件列表，认为这可能成为安全漏洞识别工作中的关键性因素，所以必须包括在上市前申报文档之中。制造商应该利用CSBOM更精确的来实施网络安全风险管理流程，以识别其设备，软件和系统的哪些组件更容易受到网络事件或攻击的影响。FDA将其网络安全要求与美国国家标准技术研究院（NIST）的网络安全框架紧密联系在一起，后者是全球公认的框架，为制造商提供了公认的风险和影响评估工具，以确定网络安全风险和脆弱性。在2016年发布的Postmarket Management of Cybersecurity in Medical Devices 指南中不仅囊括了新医疗设备和产品，也把上市后和临床上应用的医疗设备纳入其中，即 ：要求制造商、供应商有能力及时鉴别和处理网络安全所带来的各种技术问题，建立网络安全共管系統，更好地研究新对策和开发新方法。指南还引入了很多新的概念如补偿控制， 受控/非受控风险和网络安全预警信号等。此外它还介绍了威胁建模的概念并参考AAMI TIR57扩展了有关安全风险管理的建议。在医疗器械产品中网络漏洞的披露和处理上，FDA鼓励生产商采取自由裁量权，前提是生产商需要遵循21 CFR part 806的规定以及H-ISAC对于信息披露的指南文件。

3 欧盟

欧洲医疗器械协调小组（MDCG）于2019年12月颁布了MDCG 2019-16指导原则”Guidance on Cybersecurity for Medical Devices”，该指导原则旨在就如何满足MDR和IVDR附件I关于网络安全的所有相关基本要求向制造商提供指导。MDCG的指导原则与其他指南文件的不同之处在于，它是由所有成员国一起撰写，根据MDR和IVDR法规，欧盟市场上投放的医疗设备需确保满足网络安全风险相关的技术挑战的新要求。因此，提出了针对含电子编程系统和软件（本身就是医疗设备）的医疗设备新的基本安全要求。制造商需要按照要求在考虑风险管理原则（包括信息安全性）的同时，根据最新技术开发和制造其产品，并就IT安全措施（包括防止未经授权的访问）制定有关的最低要求。指导原则涵盖了上市前和上市后网络安全的要求，并概述了与每个类别相对应的活动。文中提到一些重要的网络安全要求在MDR中并未明确表述，尤其是与医疗设备使用相关的数据的隐私和机密性，这些要求需要与其他法规，如通用数据保护条例（GDPR）一起考虑。我们熟知ISO 14971是对单个医疗器械风险管理的指导，它提出了一个概念叫“合理可预见的滥用”，规定了制造商应在合理可预见的情况下评估风险，而对于涉及网络安全的风险，制造商更要考虑这些风险会不会被作为恶意攻击的对象，概率大小。指南的第三部分着眼于设计控制和生产过程，其中产品设计控制，需要考虑充分实现“设计安全”和“纵深防御”的理念，制造商可以参考工业界被广泛运用的IEC 62443系列标准和IEC/ISO TR 80001-2-2。另一个对于实现网络安全至关重要的方面是风险控制，在指南的3.5章节、MDR Annex I都有详细的说明，医疗器械网络风险管理的对象是整个医疗IT网络，当制造商在进行风险-收益分析时候，一定要合理的平衡安全性、有效性、网络信息安全性，需要在它们之间作出取舍时，应以病人利益为核心进行优先级的安排，即安全性具有最高优先级，有效性次之，信息安全再次。指南的3.6章节规范了生产商IT系统最低配置要求，这与MDR Annex I中针对IT环境设置的要求一致，包括了明确系统整体需求，设立对硬件设施，网络环境和安全措施的要求。对比美国和欧盟针对网络安全的要求，FDA监管深入到产品级，要求制造商根据风险对产品组成部分划分不同风险级别，属于主动防御，而欧盟相对要宽泛，属被动防御。

4 中国

2017年1月20日国家食品药品监督管理总局（NMPA）发布了《医疗器械网络安全注册技术指导原则》，将《中华人民共和国网络安全法》的基本原则应用到了医疗器械领域。自2018年起，制造商应根据医疗器械产品特性提交网络安全注册申报资料。制造商应当结合医疗器械产品的预期用途、使用环境和核心功能以及相连设备或系统（如其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，并采用基于风险管理的方法来保证医疗器械产品的网络安全。NMPA建议制造商遵循国际上通用的现行标准作为涉及开发以及风险控制的依据，虽然没有要求提供SBOM，但是指导原则特别指出要针对产品中的COTS软件进行风险评估。此外北京市药品监督管理局在2019年发布了《医疗器械网络安全注册审查指导原则实施指南的通知》，是对指导原则的一个有效补充。这份指南文件在编写时参考了不少国际上现行的标准，如IEC TR 80001-2-2：2012，UL 2900-1，UL 2900-2-1，医疗器械安全披露声明（MDS2）。附录A概述了进行网络安全测试过程的要求，并被视为规范性的标准。不过这份指南文件并非强制执行的法规，只是作为“最佳实践”供制造商参考。

【参考文献】

[1] 李耀华，塔娜.我国医疗器械指导原则的现状分析与建议[J].中国医疗设备，2020（9）：128-131+139.

[2] 王蘭明，袁鹏.国际医疗器械监管法规协调的进展与趋势[J].中国食品药品监管，2020（7）：4-13.

【作者简介】

于媛媛（1984-），女，硕士，研究方向为医疗数据安全和跨境传播合规。