醫療器械網絡安全注冊審查指導原則修訂變化對比表

序號與項目

舊版

新版

1指導原則的地位

本指導原則作為《醫療器械軟件注冊技術審查指導原則》的補充，應結合《醫療器械軟件注冊技術審查指導原則》的相關要求使用。

本指導原則是數字醫療（Digital Health）指導原則體系的重要組成部分，亦是醫療器械軟件指導原則的補充

2.范圍

本指導原則適用于具有網絡連接功能以進行電子數據交換或遠程控制的第二類、第三類醫療器械產品的注冊申報。本指導原則也適用于采用存儲媒介以進行電子數據交換的第二類、第三類醫療器械產品的注冊申報，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。

本指導原則適用于醫療器械網絡安全的注冊申報，包括具備電子數據交換、遠程訪問與控制、用戶訪問三種功能當中一種及以上功能的第二、三類獨立軟件和含有軟件組件的醫療器械（包括體外診斷醫療器械）；適用于自研軟件、現成軟件的注冊申報。

本指導原則也可用作醫療器械軟件、質量管理軟件的體系核查參考。

3.主要概念

健康數據：標明生理、心理健康狀況的私人數據（“Private Data”，又稱個人數據“Personal Data”、敏感數據“Sensitive Data”，指可用于人員身份識別的相關信息），涉及患者隱私信息；

醫療數據是指醫療器械所產生的、使用的與醫療活動相關的數據（含日志），從個人信息保護角度又可分為敏感醫療數據、非敏感醫療數據，其中敏感醫療數據是指含有個人信息的醫療數據[1]，反之即為非敏感醫療數據。個人信息是指以電子或者其他方式記錄的能夠單獨或與其他信息結合識別自然人個人身份的各種信息，如自然人的姓名、出生日期、身份證件號碼、個人生物識別信息（含容貌信息）、住址、電話號碼等。

設備數據：描述設備運行狀況的數據，用于監視、控制設備運行或用于設備的維護保養，本身不涉及患者隱私信息。

設備數據是指記錄醫療器械運行狀況的數據（含日志），用于監視、控制醫療器械運行或者醫療器械的維護與升級，不得含有個人信息。

/

醫療器械電子接口（含硬件接口、軟件接口）包括網絡接口、電子數據交換接口，若無明示均指外部接口，分體式醫療器械各獨立部分的內部接口視為外部接口，如服務器與客戶端、主機與從機的內部接口。

1. 網絡：通過網絡（包括無線網絡、有線網絡）進行電子數據交換或遠程控制，需要考慮網絡相關要求（如接口、帶寬等），數據傳輸協議需考慮是否為標準協議（即業內公認標準所規范的協議），遠程控制需考慮是否為實時控制；

網絡接口是指基于網絡的電子接口。醫療器械可通過網絡接口（含轉接接口）進行電子數據交換或遠程訪問與控制，此時需考慮網絡的技術特征要求，包括但不限于網絡形式（有線、無線）、網絡類型（如廣域網、局域網、個域網）、接口形式（如電口、光口）、數據接口（此時即數據協議，含標準協議、私有協議）、遠程訪問與控制方式（實時、非實時）、性能指標（如端口、傳輸速率、帶寬）等。

/

無線網絡包括Wi-Fi（IEEE 802.11）、藍牙（IEEE 802.15）、射頻、紅外、4G/5G等形式，其中醫用無線專用設備（即未采用通用無線通信技術的醫療器械）應符合中國無線電管理相關規定。

存儲媒介：通過存儲媒介（如光盤、移動硬盤、U盤等）進行電子數據交換，數據儲存格式需考慮是否為標準格式（即業內公認標準所規范的格式）。

電子數據交換接口是指基于非網絡的電子接口。醫療器械可通過非網絡接口的其他電子接口（如串口、并口、USB口、視頻接口、音頻接口，含調試接口、轉接接口）或存儲媒介（如光盤、移動硬盤、U盤）進行電子數據交換。此時需考慮其他電子接口或數據存儲的技術特征要求。

數據存儲的技術特征要求包括但不限于存儲媒介形式、數據接口（此時即文件存儲格式，含標準格式、私有格式）、數據壓縮方式（有損、無損）、性能指標（如傳輸速率、容量）等。標準格式即業內公認標準所規范的文件存儲格式，如JPEG、PNG等，需考慮其文件格式完整性問題；私有格式需考慮兼容性問題。

4.網絡安全能力

19項網絡安全能力：

自動注銷（ALOF）、

審核控制（AUDT）、

授權（AUTH）、

安全特性配置（CNFS）、

網絡安全產品升級（CSUP）、

健康數據身份信息去除（DIDT）、數據備份與災難恢復（DTBK）、

緊急訪問（EMRG）、

健康數據完整性與真實性（IGAU）、

惡意軟件探測與防護（MLDP）、

網絡節點鑒別（NAUT）、

人員鑒別（PAUT）、

物理鎖（PLOK）、

第三方組件維護計劃（RDMP）、

系統與應用軟件硬化（SAHD）、

安全指導（SGUD）、

健康數據存儲保密性（STCF）、

傳輸保密性（TXCF）

傳輸完整性（TXIG）

22項網絡安全能力：

1.自動注銷（ALOF）：產品在無人值守期間阻止非授權用戶訪問和使用的能力。

2.審核（AUDT）：產品提供用戶活動可被審核的能力。

3.授權（AUTH）：產品確定用戶已獲授權的能力。

4.節點鑒別（NAUT）：產品鑒別網絡節點的能力。

5.人員鑒別（PAUT）：產品鑒別授權用戶的能力。

6.連通性（CONN）：產品保證連通網絡安全可控的能力。

7.物理防護（PLOK）：產品提供防止非授權用戶訪問和使用的物理防護措施的能力。

8.系統加固（SAHD）：產品通過固化措施對網絡攻擊和惡意軟件的抵御能力。

9.數據去標識化與匿名化（DIDT）：產品直接去除、匿名化數據所含個人信息的能力。

10.數據完整性與真實性（IGAU）：產品確保數據未以非授權方式更改且來自創建者或提供者的能力。

11.數據備份與災難恢復（DTBK）：產品的數據、硬件或軟件受到損壞或破壞后恢復的能力。

12.數據存儲保密性與完整性（STCF）：產品確保未授權訪問不會損壞存儲媒介所存數據保密性和完整性的能力。

13.數據傳輸保密性（TXCF）：產品確保數據傳輸保密性的能力。

14.數據傳輸完整性（TXIG）：產品確保數據傳輸完整性的能力。

15.網絡安全補丁升級（CSUP）：授權用戶安裝/升級產品網絡安全補丁的能力。

16.現成軟件清單（SBOM）：產品為用戶提供全部現成軟件清單的能力。

17.現成軟件維護（RDMP）：產品在全生命周期中對現成軟件提供網絡安全維護的能力。

18.網絡安全使用指導（SGUD）：產品為用戶提供網絡安全使用指導的能力。

19.網絡安全特征配置（CNFS）：產品根據用戶需求配置網絡安全特征的能力。

20.緊急訪問（EMRG）：產品在預期緊急情況下允許用戶訪問和使用的能力。

21.遠程訪問與控制（RMOT）：產品確保用戶遠程訪問與控制（含遠程維護與升級）的網絡安全的能力。

22.惡意軟件探測與防護（MLDP）：產品有效探測、阻止惡意軟件的能力。

5.網絡安全事件應急響應

/

應制定網絡安全事件應急響應預案，涵蓋現成軟件要求，明確計劃與準備、探測與報告、評估與決策、應急響應實施、總結與改進等階段的任務和要求。建立網絡安全事件應急響應團隊，根據工作職能形成管理、規劃、監測、響應、實施、分析等工作小組，必要時可邀請外部網絡安全專家成立專家小組。

6.醫療器械網絡安全更新

1.重大網絡安全更新：影響到醫療器械的安全性或有效性的網絡安全更新；

2.輕微網絡安全更新：不影響醫療器械的安全性與有效性的網絡安全更新，如常規安全補丁。

（1）重大網絡安全更新：影響到醫療器械的安全性或有效性的網絡安全更新，即重大網絡安全功能更新，應申請變更注冊。

（2）輕微網絡安全更新：不影響醫療器械的安全性與有效性的網絡安全更新，包括輕微網絡安全功能更新、網絡安全補丁更新。

7.重大網絡安全更新判定原則

/

網絡安全功能更新若影響到醫療器械的預期用途、使用場景或核心功能原則上均屬于重大網絡安全更新，包括但不限于：產品預期運行的網絡環境發生改變，如由封閉網絡環境變為開放網絡環境、局域網變為廣域網、有線網絡變為無線網絡；產品預期使用的電子接口發生改變，如接口形式由網口變為USB口、接口類型由少變多、接口功能由電子數據交換擴至遠程控制；產品網絡安全能力發生實質性改變，如自動注銷能力由操作系統自帶功能實現改為產品自身功能實現、物理防護能力由有變無等。

除非影響到醫療器械的安全性或有效性，以下網絡安全功能更新和網絡安全補丁更新通常視為輕微網絡安全更新：產品預期運行的網絡環境數據傳輸效率單純提高，預期使用的電子接口原有功能單純優化、傳輸效率單純提高，產品網絡安全能力發生非實質性改變；醫療器械軟件、必備軟件、外部軟件環境的網絡安全補丁更新。

8.醫療器械網絡安全的安全性級別

/

醫療器械網絡安全的安全性級別與所屬醫療器械軟件的安全性級別相同；在特殊情形下，網絡安全的安全性級別可低于軟件的安全性級別，此時需詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。

9. 全生命周期質控

/

與醫療器械軟件類似，注冊申請人應在醫療器械全生命周期中持續關注網絡安全問題，包括上市前、上市后等階段。

醫療器械上市前結合質量管理體系要求和醫療器械產品特性開展網絡安全質控工作，保證醫療器械的安全有效性；上市后根據網絡安全更新情況開展更新請求評估、驗證與確認、風險管理、用戶告知等活動，持續保證醫療器械的安全有效性。同時，建立網絡安全事件應急響應過程，定期開展醫療器械網絡安全漏洞風險評估工作，根據網絡安全漏洞披露相關要求，及時將必要的網絡安全相關信息以及應對措施告知用戶。此外，可采用信息安全領域的良好工程實踐[2]來完善醫療器械網絡安全質控工作，以保證醫療器械的安全有效性。

10醫療器械網絡安全生存周期過程

/

本指導原則不要求注冊申請人單獨建立醫療器械網絡安全生存周期（又稱生命周期）過程，而是將其作為醫療器械軟件生存周期過程的重要組成部分予以整體考慮，待時機成熟時予以考量。

11.醫療數據出境

/

《國家健康醫療大數據標準、安全和服務管理辦法（試行）》明確：健康醫療大數據應存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應按照相關法律法規及有關要求進行安全評估審核。

醫療數據通常屬于重要數據[3]，特別是敏感醫療數據含有個人信息，因此醫療數據出境應符合重要數據、個人信息、人類遺傳資源信息出境安全評估相關規定。

12.遠程維護與升級

/

具有遠程維護與升級功能的醫療器械可訪問和使用設備數據，本身雖不涉及醫療數據，但若未能實現設備數據和醫療數據的有效隔離，則存在醫療數據未授權訪問和使用以及被篡改的可能性。遠程維護與升級所用電子接口也面臨網絡攻擊的威脅，可能會影響醫療器械正常運行，導致患者受到傷害或死亡以及隱私被侵犯。醫療器械在遠程維護與升級過程中若無人值守，則可能存在醫療器械非授權訪問和使用的風險。家用醫療器械的遠程維護與升級需考慮其對產品正常使用的影響及其風險。

因此，注冊申請人需明確遠程維護與升級的實現方法、所用電子接口情況、設備數據所含內容、設備數據與醫療數據的隔離方法、網絡安全保證措施等技術特征，并提供相應研究資料和風險管理資料。

此外，境外遠程維護與升級若可訪問醫療數據，亦應符合醫療數據出境要求。

13.遺留設備

/

通常情況下可結合醫療器械的停售（EOL）、停止售后服務（EOS）兩個時間點判定其是否屬于遺留設備：在售（以注冊證時效為準）的醫療器械均非遺留設備；停售但未停止售后服務的醫療器械，若無法通過合理風險控制措施抵御當前網絡安全威脅則為遺留設備，反之不屬于遺留設備；停止售后服務的醫療器械均為遺留設備。

對于注冊證失效但尚未停止售后服務、注冊證有效但已停售的醫療器械，注冊人應根據質量管理體系要求向現有用戶提供必要的網絡安全相關信息以及應對措施，以保證醫療器械的網絡安全。若無法保證醫療器械的網絡安全，按遺留設備處理。

對于注冊證有效且在售的醫療器械，若無法通過合理風險控制措施抵御當前網絡安全威脅，則注冊人應根據質量管理體系要求制定相應風險控制措施，并申請變更注冊。

14.自研軟件網絡安全研究報告

1.基本信息

（1）類型：健康數據、設備數據；

（2）功能：電子數據交換（單向、雙向）、遠程控制（實時、非實時）；

（3）用途：如臨床應用、設備維護等；

（4）交換方式：網絡（無線網絡、有線網絡）及要求（如傳輸協議（標準、自定義）、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式（標準、自定義）、容量等）；對于專用無線設備（非通用信息技術設備），還應提交符合無線電管理規定的證明材料；

（5）安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規格、完整版本、供應商、運行環境要求；

（6）現成軟件：描述現成軟件（包括應用軟件、系統軟件、支持軟件）的名稱、型號規格、完整版本和供應商。

2.風險管理

提供醫療器械網絡安全風險管理的分析報告和總結報告，確保全部剩余風險均是可接受的。

3.驗證與確認

提供網絡安全測試計劃和報告，證明醫療器械產品的網絡安全需求（如保密性、完整性、可得性等特性）均已得到滿足。同時還應提供網絡安全可追溯性分析報告，即追溯網絡安全需求規范、設計規范、測試、風險管理的關系表。

對于安全軟件，應提供兼容性測試報告。

對于標準傳輸協議或存儲格式，應提供標準符合性證明材料，而對于自定義傳輸協議或存儲格式，應提供完整性測試總結報告。

對于實時遠程控制功能，應提供完整性和可得性測試報告。

4.維護計劃

描述軟件（含現成軟件）網絡安全更新的維護流程，包括更新確認和用戶告知。

/

/

1.基本信息

（1）軟件信息

明確申報醫療器械軟件的名稱、型號規格、發布版本以及軟件安全性級別。

若網絡安全的安全性級別低于軟件的安全性級別，詳述理由并按網絡安全的安全性級別提交相應注冊申報資料。

（2）數據架構

提供申報醫療器械在每個使用場景（含遠程維護與升級，下同）下的網絡環境和數據流圖，并依據圖示描述醫療器械相關數據和電子接口的基本情況。

數據情況明確醫療器械相關數據的類型（敏感醫療數據、非敏感醫療數據、設備數據），并依據數據類型明確每類數據的具體內容（如個人信息、醫療活動信息、設備運行信息）、功能（如單向、雙向電子數據交換，實時、非實時遠程訪問與控制）、用途（如醫療活動、設備維護）等。

電子接口情況逐項說明每個網絡接口、電子數據交換接口的預期用戶、使用場景、預期用途、數據類型、技術特征、使用限制.

（3）網絡安全能力

22項網絡安全能力，逐項分析申報醫療器械對于該項網絡安全能力的適用性，詳述適用網絡安全能力的實現方法以及不適用理由。若適用，提供其他網絡安全能力的適用情況說明。

（4）網絡安全補丁

提供申報醫療器械（含必備軟件、外部軟件環境）的網絡安全補丁列表，明確網絡安全補丁的名稱、完整版本、發布日期。可另附文件。

（5）安全軟件

描述申報醫療器械兼容或所用的安全軟件（如殺毒軟件、防火墻等）的名稱、型號規格、完整版本、供應商、運行環境、防護規則配置要求。

2.實現過程

（1）風險管理

提供申報醫療器械網絡安全的風險分析報告、風險管理報告，另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的風險管理文檔，但需注明網絡安全情況。

（2）需求規范

提供申報醫療器械的網絡安全需求規范文檔，另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的需求規范文檔，但需注明網絡安全情況。

（3）驗證與確認

提供申報醫療器械的網絡安全測試計劃和報告，另附網絡安全開發所形成的原始文件。亦可提供醫療器械軟件的系統測試計劃和報告，但需注明網絡安全情況。

對于安全軟件，提供兼容性測試報告。

對于標準傳輸協議或存儲格式，若其滿足醫療器械網絡安全需求出具真實性聲明即可，反之提供相應證明材料；對于私有傳輸協議或存儲格式，提供完整性測試總結報告。

對于實時遠程訪問與控制功能，提供完整性和可得性等網絡安全特性的測試報告。

對于醫用無線專用設備，提供符合無線電管理相關規定的證明材料。

（4）可追溯性分析

提供申報醫療器械的網絡安全可追溯性分析報告，匯總列明網絡安全需求規范文檔、網絡安全設計規范文檔、源代碼（明確軟件單元名稱即可）、網絡安全測試報告、網絡安全風險分析報告之間的對應關系。亦可提供醫療器械軟件的可追溯性報告，但需注明網絡安全情況。

（5）維護計劃

輕微級別：提供申報醫療器械網絡安全更新的流程圖，并依據圖示描述相關活動。

中等、嚴重級別：在輕微級別的基礎上，提供網絡安全事件應急響應的流程圖，并依據圖示描述相關活動；或者提供網絡安全事件應急響應預案文檔。

若適用，全部級別均需提供遠程維護與升級的流程圖，并依據圖示描述相關活動。

3.漏洞評估

輕微級別：按照現行有效的通用漏洞評分系統（CVSS）所定義的漏洞等級，明確申報醫療器械（含必備軟件、外部軟件環境，下同）已知漏洞總數和已知剩余漏洞數。

中等級別：提供網絡安全漏洞自評報告，明確漏洞掃描所用軟件工具、漏洞庫（基于國家信息安全漏洞庫或互認的國際信息安全漏洞庫）的基本信息（如名稱、完整版本、發布日期、供應商等），按照CVSS漏洞等級明確申報醫療器械已知漏洞總數和已知剩余漏洞數，列明已知剩余漏洞的內容、對產品的影響及綜合剩余風險，確保產品綜合剩余風險均可接受。亦可補充網絡安全評估機構出具的網絡安全漏洞評估報告。

嚴重級別：提供網絡安全漏洞自評報告、網絡安全評估機構出具的網絡安全漏洞評估報告，明確已知剩余漏洞的維護方案，確保產品綜合剩余風險均可接受。

4.結論

概述申報醫療器械的網絡安全實現過程的規范性和網絡安全漏洞評估結果，判定申報醫療器械的網絡安全是否滿足要求，受益是否大于風險。

15.自研軟件網絡安全更新研究報告

常規安全補丁描述文檔

提交軟件（含現成軟件）常規安全補丁的情況說明（補丁描述、影響分析、用戶告知計劃）、測試計劃與報告、新增已知剩余缺陷情況說明（證明新增風險均是可接受的）。

自研軟件網絡安全更新研究報告適用于自研軟件的再次發布，包括網絡安全功能更新、網絡安全補丁更新等研究報告。

網絡安全功能更新研究報告適用于自研軟件發生重大、輕微網絡安全功能更新，或合并網絡安全補丁更新的情形

1基本信息

（1）軟件信息

（2）數據架構

（3）網絡安全能力

（4）網絡安全補丁

（5）安全軟件

2.實現過程

（1）風險管理

（2）驗證與確認

（3）可追溯性分析

（4）維護計劃

3.漏洞評估

4.結論

16.現成軟件網絡安全研究資料

/

1．現成軟件組件網絡安全研究資料

（1）部分使用方式

醫療器械軟件同時使用自研軟件和現成軟件組件，無需單獨提交網絡安全研究報告，基于醫療器械軟件的安全性級別，在自研軟件網絡安全研究報告適用條款中說明現成軟件組件的情況。適用條款包括軟件信息、數據架構、網絡安全能力、網絡安全補丁、風險管理、需求規范、驗證與確認、可追溯性分析、維護計劃、漏洞評估、結論。

（2）全部使用方式

對于全部使用方式，即醫療器械軟件全部為現成軟件組件，需要單獨提交現成軟件組件網絡安全研究報告，其內容與自研軟件研究報告相同，但需基于現成軟件組件（此時即醫療器械軟件）的安全性級別予以說明。

2．外部軟件環境網絡安全評估資料

外部軟件環境網絡安全評估作為外部軟件環境評估的重要組成部分，其網絡安全及其更新的研究資料要求與外部軟件環境評估報告相同，具體要求詳見醫療器械軟件指導原則第八章。

自研軟件網絡安全研究資料亦含有外部軟件環境的網絡安全補丁、漏洞評估等要求，故無需單獨提交外部軟件環境網絡安全評估資料。

17. 現成軟件網絡安全更新研究

/

（1）部分使用方式

若現成軟件組件發生網絡安全更新，網絡安全功能更新在自研軟件網絡安全功能更新研究報告的基礎上，說明現成軟件組件的變化情況，不適用條款說明理由；網絡安全補丁更新要求與自研軟件相同。

（2）全部使用方式

若現成軟件組件發生網絡安全更新，網絡安全功能更新在現成軟件組件網絡安全功能更新研究報告的基礎上，說明現成軟件組件的變化情況，不適用條款說明理由；網絡安全補丁更新要求與自研軟件相同。

18.說明書

說明書應提供關于網絡安全的相關說明，明確運行環境（含硬件配置、軟件環境和網絡條件）、安全軟件（如殺毒軟件、防火墻等）、數據與設備（系統）接口、用戶訪問控制機制、軟件環境（含系統軟件、支持軟件、應用軟件）與安全軟件更新的相關要求。

說明書提供網絡安全說明和使用指導，明確用戶訪問控制機制、電子接口（含網絡接口、電子數據交換接口）及其數據類型和技術特征、網絡安全特征配置、數據備份與災難恢復、運行環境（含硬件配置、外部軟件環境、網絡環境，若適用）、安全軟件兼容性列表（若適用）、外部軟件環境與安全軟件更新（若適用）、現成軟件清單（SBOM，若適用）等要求。

19.產品技術要求

注冊申請人應在產品技術要求性能指標中明確數據接口、用戶訪問控制的要求：

（1）數據接口：傳輸協議/存儲格式；

（2）用戶訪問控制：用戶身份鑒別方法、用戶類型及權限。

并入《醫療器械軟件注冊審查指導原則》