根据国家药监局发布的《医疗器械注册申报资料要求及说明》，具备电子数据交换、远程控制或用户访问功能的独立软件和含有软件组件的产品，是需要提交网络安全研究资料的，那么这一资料具体应如何撰写呢？本期文章我们根据北京市药监局发布的《医疗器械网络安全注册审查指导原则实施指南》，跟大家分享一下网络安全注册资料的相关内容。

注册申请人应结合医疗器械产品的预期用途、使用环境和核心功能以及预期相连设备或系统（例如：其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，提交网络安全描述文档。网络安全描述文档应描述医疗器械的基本信息、风险管理、验证与确认以及维护计划。

应描述医疗器械产品网络安全相关的基本信息，这些信息包括：

网络安全风险管理是指注册申请人基于医疗器械产品的预期用途和使用场景进行网络安全风险分析，评价并采取网络安全风险控制手段确保产品的网络安全能力。注册申请人可对网络安全采用医疗器械风险管理的方法（可参照GB/T 42062-2022《医疗器械 风险管理对医疗器械的应用》）对医疗器械网络安全相关的风险进行分析、评价和控制，也可采用信息安全风险评估的方法（可参照GB/T 20984-2022《信息安全技术 信息安全风险评估方法》）进行评估，并进行风险控制。

如适用，医疗器械网络安全风险管理应考虑对个人敏感信息的保护。对个人信息的处理，应遵循个人信息安全基本原则和相关的法律法规以及标准，如GB/T 35273-2020《信息安全技术 个人信息安全规范》。如有必要，应对个人信息进行匿名化或去标识化处理。

风险管理除了从网络安全角度来考虑医疗器械的网络安全能力外，还应根据医疗器械的预期用途考虑网络安全风险对医疗器械的安全性和有效性的影响。

医疗器械网络安全风险管理需要考虑整个医疗器械生命周期并适时更新。

（1）风险分析与评价

注册申请人应对网络安全管理活动进行策划并制定网络安全风险可接受性准则。注册申请人应考虑网络安全损害的严重度和网络安全损害的发生概率并按照接受性准则决定是否需要降低风险。

① 网络安全损害的严重度，例如：

② 网络安全损害的发生概率，例如：

注：发生概率应和医疗器械具体情况相适应

（2）风险控制

根据风险评价结果需要降低风险时，注册申请人应识别适当的风险控制措施，以把风险降低到可接受的水平。

↑ 风险分析、评价和风险控制措施记录表

↑ 风险评估矩阵模型-初始风险分布

↑ 风险评估矩阵模型-采取风险控制措施后风险分布

注：表格中的数字仅作为举例。采取风险控制措施后，剩余风险中不可接受风险数量为0。

注册申请人应形成网络安全风险管理报告，并完成风险管理过程的评审，确认综合剩余风险是可接受的。

注册申请人要持续关注医疗器械上市后与医疗器械相关的网络安全风险，根据实际情况适时更新风险分析、评价和控制文件，如法规更新、不良事件报告等。

网络安全验证和确认活动的目的是确定风险管理中采用的网络安全控制手段均已得到正确的实施，确保医疗器械产品的网络安全需求（例如保密性、完整性、可得性等特性）均已得到满足。

对于现成软件，注册申请人应在网络安全风险分析过程中将其作为医疗器械的一部分进行充分的网络安全评估，并在医疗器械的网络安全能力配置中予以综合考虑。

注册申请人应在医疗器械产品研制过程中进行网络安全的验证与确认活动，通过分析、测试、评估、审查等手段，确保医疗器械产品的网络安全需求得到满足。网络安全验证与确认活动可以参考附录中的19项网络安全能力应用参考，应根据医疗器械的预期用途、使用方式和风险评估综合考虑每项网络安全能力的验证。

（1）应确保在医疗器械产品的需求、设计、测试以及风险管理各个阶段考虑并落实网络安全需求，并且保证网络安全需求规范、设计规范、测试以及风险管理的一致性和完整性。

（2）应针对医疗器械产品进行网络安全测试验证，确保所有网络安全风险控制措施都得到正确的实施。

① 应对网络安全测试活动进行合理的策划，包括确定测试的内容（包括医疗器械需求中要求配置的网络安全能力）、测试人员和相应的职责、测试所需的环境、测试的技术和方法（如漏洞测试、恶意软件测试、缺陷输入测试、结构化渗透测试等）、异常处理方式、测试通过的准则、测试所需的资源以及测试进度安排等。

② 应根据测试计划的安排设计测试用例，并按照测试用例的要求执行测试活动，记录原始测试结果，确保测试过程的可追溯性。对于安全软件，注册申请人应针对不同的软件、硬件运行平台，进行兼容性测试；如医疗器械采用标准传输协议或存储格式，应进行审查或测试验证其对相关标准的符合性；如医疗器械采用自定义的传输协议和存储格式，应进行完整性测试验证。

③ 应对测试结果进行分析和评价，确保测试活动的有效性，并对测试遗留的问题进行评价。

注册申请人应将医疗器械网络安全验证与确认活动的结果以文档的方式进行记录，确保网络安全验证与确认活动的可追溯性。

（1）应以文档的形式记录医疗器械网络安全需求规范、设计规范、测试以及风险管理的追溯性关系。

（2）应对网络安全测试策划活动进行记录并形成网络安全测试计划文档。

（3）应对网络安全测试执行过程、测试结果以及测试结果的分析评估进行记录，形成网络安全测试报告。

（4）对于安全软件，注册申请人可将兼容性测试结果进行单独文档记录，并形成兼容性测试报告。

（5）对于采用标准传输协议或存储格式的医疗器械，注册申请人应记录标准符合性审查结果；对于采用自定义的传输协议和存储格式的医疗器械，注册申请人应对完整性测试结果进行记录并形成完整性测试报告。

（6）可以对实时远程控制功能医疗器械中关于远程数据相关的测试进行单独的文档记录，并形成相应的完整性和可得性测试报告。

在医疗器械产品上市后，注册申请人应结合自身质量管理体系要求，制定网络安全维护流程，保证医疗器械的安全性和有效性。

网络安全维护流程涉及到以下方面：

有关医疗器械产品中网络漏洞的披露和处理，可参阅文献《ISO/IEC 29147-2018 信息技术 安全技术 漏洞公告》和《ISO/IEC 30111-2013 信息技术 安全技术 漏洞处理流程》。

具备联网功能的医疗器械产品面临的网络问题可能不断变化，注册申请人在医疗器械产品上市前难以解决所有的网络安全问题。注册申请人应对已上市医疗器械产品进行有效、及时并持续地网络安全更新。

对于已发现的漏洞，应分析漏洞的可被利用性，对病人伤害的严重程度以及病人信息泄露的可能性，注册申请人应决定该漏洞的风险是可控还是处于失控状态，制定相应的解决措施修复该网络漏洞。与网络安全事件相关的网络更新，需要重点分析其风险和影响，及时有效地提供经验证的解决方案。

通常的网络安全更新应包括：

若在医疗器械产品中新的网络安全设计是不可行的或者不能马上实施，注册申请人应考虑使用网络补偿控制方案来减轻网络漏洞风险。

网络补偿控制是在缺乏有效网络安全设计的前提下，提供补充性网络防护措施。例如注册申请人对医疗器械产品的网络漏洞评估后，认为对设备在未被授权的情况下进行访问极有可能影响设备的安全和基本性能，但是若该设备没有连接到外部网络（例如医院网络）或者使用路由器对连接进行限定，则医疗器械仍然可以安全有效的工作。

对于预期接入网络或与其它医疗器械进行交互的医疗器械，其数据交换方式有两种：网络（包括有线网络和无线网络）或存储媒介（如光盘、移动硬盘、U盘等）。

对于数据交换的接口，常见的有线接口包括USB、RS232、RS485、CAN、RJ45等。近些年，无线通讯被广泛使用，例如蓝牙、WiFi、Zigbee、RFID、各种蜂窝无线网络等。对于有线接口，技术要求中应明确连接接口的规格。有线网络应明确带宽要求。对于无线网络，应描述网络类型、制式、使用频段、数据特性（如上/下行传输速率）等。

注册申请人可以采用已经标准化的医用数据传输协议或存储格式。常见的医疗器械传输协议如HL7、DICOM等，医疗器械存储格式如EDF等。注册申请人也可以使用通用的网络传输协议如TCP/IP、UDP、HTTP、HTTPS等。注册申请人在产品技术要求中，应明确传输协议/存储格式。对于已经标准化的传输协议或存储格式除了说明协议类型之外，还应说明协议的版本，如果用于控制，还应说明是否为实时控制。

对于注册申请人自定义的数据传输协议或存储格式，应在随机文件中描述或在产品技术要求中提供相应的验证方法。

医疗器械在执行用户访问控制之前，应完成对用户身份的鉴别或认证。认证是系统验证希望访问系统的用户身份的过程。基本的认证技术包括数字签名、消息认证、数字摘要等。在产品技术要求中注册申请人应明确医疗器械所采用的用户身份鉴别或认证技术。

用户访问控制策略对医疗器械的保密性、完整性起直接的作用，是对越权使用资源的防御措施，是网络安全的重要组成部分。医疗器械的使用者应依据访问控制策略来限制对数据和系统功能的访问。用户访问控制的种类早期分为自主访问控制（DAC）和强制访问控制（MAC），但随着计算机和网络技术的发展，又出现了基于角色的访问控制（RBAC）、基于任务的访问控制（TBAC）、以及基于属性、上下文、信誉等的访问控制模型。随着系统的复杂度变高，一个系统中也可以融合多种访问控制策略。在产品技术要求中，注册申请人应明确医疗器械执行的用户访问控制的方法、用户类型及权限。

预期接入计算机网络或与其它医疗器械进行交互的医疗器械具有复杂的运行环境与技术生态系统。例如：复杂的信息基础设施（如硬件、软件、网络、其他系统和数据接口等），参与开发、实施、临床使用所涉及的众多的人员、组织和机构。医疗器械生命周期不仅包含设计、开发、也包括实施和临床使用，其中包含医疗器械的采购、安装、配置、数据集成或迁移、工作流实现与优化、培训、使用与维护、退市等环节。

一般情况下，注册申请人只涉及医疗器械的设计与开发过程，而后期的实施与临床使用等环节的网络安全可能由另外的组织和机构来负责。注册申请人应在说明书或其他文档中提供在实施与临床使用环节中所需要的必要信息，如运行环境、接口与访问控制、安全软件及软件更新等，以保证在实施与临床使用环节的网络安全。

如适用，注册申请人在说明书中应明确医疗器械的运行环境，包括硬件配置、软件环境和网络条件。硬件配置应明确医疗器械安全运行所需要的最低硬件资源配置要求，如CPU、内存、存储与显示要求等。软件环境应明确要求医疗器械运行所需要的操作系统等。网络条件应明确医疗器械运行所需要的网络类型、带宽等。

如适用，注册申请人在说明书中应描述接口与访问控制，以满足医疗器械实施与临床使用过程中的要求。对于接口的描述，应能够满足医疗器械与网络、或其它设备的安全连接。对于访问控制的描述，应能指导使用者安全使用系统提供的访问控制策略并集成到工作流程中。

在资源允许的情况下，医疗器械可使用一些安全软件来提高医疗器械的网络安全特性。这些安全软件包括但不限于防火墙、杀毒软件、反流氓软件、工具软件等。如适用，注册申请人应在说明书中明确这些软件的名称、版本等信息。

如适用，注册申请人应在说明书中明确软件环境与安全软件的更新需求，更新的来源、执行的步骤等。