淺談國際醫(yī)療器械網(wǎng)絡(luò)安全監(jiān)管政策的進(jìn)展

【摘要】 本文著眼于介紹全球醫(yī)療設(shè)備網(wǎng)絡(luò)安全指南文件和法規(guī)要求，旨在幫助醫(yī)療器械從業(yè)人員了解全球主要監(jiān)管機(jī)構(gòu)對于醫(yī)療設(shè)備網(wǎng)絡(luò)安全現(xiàn)有的管理方式及合規(guī)要求。

【關(guān)鍵詞】 醫(yī)療器械;網(wǎng)絡(luò)安全;監(jiān)管

【DOI編碼】 10.3969/j.issn.1674-4977.2021.02.031

Progress of International Medical Device Network Security Regulatory Policy

YU Yuan-yuan

（Sinocare Inc，Changsha 410205，China）

Abstract： This paper focuses on the introduction of global medical device network security guidelines and regulatory requirements，aiming to help medical device practitioners understand the existing management methods and compliance requirements of major regulatory agencies for medical device network security.

Key words： medical devices;network security;supervision

全球醫(yī)療設(shè)備網(wǎng)絡(luò)安全指南發(fā)布的步伐正在逐年加快，這給服務(wù)于各大醫(yī)療器械制造商的首席安全合規(guī)官（CSO）或者各國衛(wèi)生組織（HDO）的首席信息官（CIO）帶來了不少新的挑戰(zhàn)，如何及時(shí)、適當(dāng)、充分解讀這些政策成為了工作的重心。一些監(jiān)管機(jī)構(gòu)強(qiáng)調(diào)上市前的管理但也有一些認(rèn)為上市前和上市后的監(jiān)管同樣重要。毫無疑問的是，網(wǎng)絡(luò)化和數(shù)字化的醫(yī)療設(shè)備有助于增強(qiáng)設(shè)備的功能，擴(kuò)大患者受益，并促進(jìn)病歷的完整性，但是，將醫(yī)療設(shè)備接入網(wǎng)絡(luò)（包括局域網(wǎng)）也大大增加了將設(shè)備以及病人隱私暴露在網(wǎng)絡(luò)攻擊的概率，成為威脅病人健康的潛在隱患。因此醫(yī)療器械的網(wǎng)絡(luò)安全必須被視為整體安全性的一部分，是醫(yī)療生態(tài)系統(tǒng)重要的組成部分。

1 IMDRF

國際醫(yī)療器械監(jiān)管者論壇（International Medical Device Regulators Forum，IMDRF）成立于2011年10月旨在以論壇的形式討論未來醫(yī)療器械監(jiān)管協(xié)調(diào)的方向，加速國際醫(yī)療器械監(jiān)管的協(xié)調(diào)和融合。在2020年4月，IMDRF就醫(yī)療器械網(wǎng)絡(luò)安全發(fā)布了官方指南《醫(yī)療器械網(wǎng)絡(luò)安全原則與實(shí)踐》。像FDA一樣，IMDRF支持針對醫(yī)療設(shè)備網(wǎng)絡(luò)安全的整個(gè)產(chǎn)品生命周期方法，并描述了一種安全風(fēng)險(xiǎn)管理流程，旨在識別，評估和控制從最初概念到支持終止的每個(gè)步驟中的風(fēng)險(xiǎn)。本指南同時(shí)引入了了上市前和上市后監(jiān)管的理念，在上市前監(jiān)管篇章里，IMDRF提出了醫(yī)療器械網(wǎng)絡(luò)安全的全球協(xié)調(diào)應(yīng)主要著眼于7個(gè)方面：設(shè)計(jì)、風(fēng)險(xiǎn)管理、標(biāo)簽、注冊遞交、信息共享、及上市后行動(dòng)/措施。同時(shí)還強(qiáng)調(diào)了風(fēng)險(xiǎn)管理的重要性，提出制造商要在開發(fā)過程中納入關(guān)鍵要素，如安全性風(fēng)險(xiǎn)評估，威脅建模和漏洞評分，指南給出了利用通用漏洞評分系統(tǒng)（CVSS）作為漏洞評分方法的示例，還提到了安全測試以及如何進(jìn)行上市后網(wǎng)絡(luò)安全管理的方法。標(biāo)簽作為與用戶溝通的重要手段，似乎并沒有很有效的被制造商利用作為交流網(wǎng)絡(luò)安全的工具，因此IMDRF指南提出了13條建議，供制造商參考，其中就包括了軟件物料清單（SBOM）。如果說上市前的要求主要針對醫(yī)療器械制造商，那么IMDRF指南上市后的要求所針對的群體更加廣泛，強(qiáng)調(diào)“共同責(zé)任”，包括：制造商、監(jiān)管方、醫(yī)療服務(wù)提供方（如醫(yī)療機(jī)構(gòu)）、用戶（臨床醫(yī)生/護(hù)士/消費(fèi)者/患者）、及其他利益相關(guān)者（如漏洞發(fā)現(xiàn)者、信息共享法人實(shí)體、相關(guān)政府部門等）。對上市后考慮的內(nèi)容，包括六大部分：預(yù)期環(huán)境下的使用，信息共享分析組織（ISAO），協(xié)調(diào)漏洞披露（CVD），漏洞修復(fù)，事件響應(yīng)，遺留醫(yī)療器械。ISAO和CVD是指南推薦的兩種信息共享機(jī)制，旨在通過主動(dòng)的、充分的信息共享，以達(dá)到及時(shí)有效地確認(rèn)威脅和漏洞、控制風(fēng)險(xiǎn)的目的。但是美國FDA并不打算將CVD納入到自己的上市后體系中，所以這些措施是否可以實(shí)現(xiàn)還要看后續(xù)的工作進(jìn)展。

2 美國

美國FDA是醫(yī)療器械網(wǎng)絡(luò)安全政策制定方面的先驅(qū)，發(fā)表了這個(gè)領(lǐng)域內(nèi)的第一篇指南也是第一個(gè)對器械上市前網(wǎng)絡(luò)安全管理提出要求的監(jiān)管機(jī)構(gòu)，它的指南文件“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”也被很多國家參考。此份指南性文件向行業(yè)提供關(guān)于網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)、標(biāo)注以及FDA為可能存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的設(shè)備在上市前申報(bào)文件中需要體現(xiàn)的建議性內(nèi)容。FDA第一次提出了“網(wǎng)絡(luò)安全物料清單”（CSBOM）的概念，將其定義為可能易受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)影響的商業(yè)，開源和現(xiàn)成軟件和硬件列表，認(rèn)為這可能成為安全漏洞識別工作中的關(guān)鍵性因素，所以必須包括在上市前申報(bào)文檔之中。制造商應(yīng)該利用CSBOM更精確的來實(shí)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理流程，以識別其設(shè)備，軟件和系統(tǒng)的哪些組件更容易受到網(wǎng)絡(luò)事件或攻擊的影響。FDA將其網(wǎng)絡(luò)安全要求與美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的網(wǎng)絡(luò)安全框架緊密聯(lián)系在一起，后者是全球公認(rèn)的框架，為制造商提供了公認(rèn)的風(fēng)險(xiǎn)和影響評估工具，以確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和脆弱性。在2016年發(fā)布的Postmarket Management of Cybersecurity in Medical Devices 指南中不僅囊括了新醫(yī)療設(shè)備和產(chǎn)品，也把上市后和臨床上應(yīng)用的醫(yī)療設(shè)備納入其中，即 ：要求制造商、供應(yīng)商有能力及時(shí)鑒別和處理網(wǎng)絡(luò)安全所帶來的各種技術(shù)問題，建立網(wǎng)絡(luò)安全共管系統(tǒng)，更好地研究新對策和開發(fā)新方法。指南還引入了很多新的概念如補(bǔ)償控制， 受控/非受控風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全預(yù)警信號等。此外它還介紹了威脅建模的概念并參考AAMI TIR57擴(kuò)展了有關(guān)安全風(fēng)險(xiǎn)管理的建議。在醫(yī)療器械產(chǎn)品中網(wǎng)絡(luò)漏洞的披露和處理上，F(xiàn)DA鼓勵(lì)生產(chǎn)商采取自由裁量權(quán)，前提是生產(chǎn)商需要遵循21 CFR part 806的規(guī)定以及H-ISAC對于信息披露的指南文件。

3 歐盟

歐洲醫(yī)療器械協(xié)調(diào)小組（MDCG）于2019年12月頒布了MDCG 2019-16指導(dǎo)原則”Guidance on Cybersecurity for Medical Devices”，該指導(dǎo)原則旨在就如何滿足MDR和IVDR附件I關(guān)于網(wǎng)絡(luò)安全的所有相關(guān)基本要求向制造商提供指導(dǎo)。MDCG的指導(dǎo)原則與其他指南文件的不同之處在于，它是由所有成員國一起撰寫，根據(jù)MDR和IVDR法規(guī)，歐盟市場上投放的醫(yī)療設(shè)備需確保滿足網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的技術(shù)挑戰(zhàn)的新要求。因此，提出了針對含電子編程系統(tǒng)和軟件（本身就是醫(yī)療設(shè)備）的醫(yī)療設(shè)備新的基本安全要求。制造商需要按照要求在考慮風(fēng)險(xiǎn)管理原則（包括信息安全性）的同時(shí)，根據(jù)最新技術(shù)開發(fā)和制造其產(chǎn)品，并就IT安全措施（包括防止未經(jīng)授權(quán)的訪問）制定有關(guān)的最低要求。指導(dǎo)原則涵蓋了上市前和上市后網(wǎng)絡(luò)安全的要求，并概述了與每個(gè)類別相對應(yīng)的活動(dòng)。文中提到一些重要的網(wǎng)絡(luò)安全要求在MDR中并未明確表述，尤其是與醫(yī)療設(shè)備使用相關(guān)的數(shù)據(jù)的隱私和機(jī)密性，這些要求需要與其他法規(guī)，如通用數(shù)據(jù)保護(hù)條例（GDPR）一起考慮。我們熟知ISO 14971是對單個(gè)醫(yī)療器械風(fēng)險(xiǎn)管理的指導(dǎo)，它提出了一個(gè)概念叫“合理可預(yù)見的濫用”，規(guī)定了制造商應(yīng)在合理可預(yù)見的情況下評估風(fēng)險(xiǎn)，而對于涉及網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，制造商更要考慮這些風(fēng)險(xiǎn)會(huì)不會(huì)被作為惡意攻擊的對象，概率大小。指南的第三部分著眼于設(shè)計(jì)控制和生產(chǎn)過程，其中產(chǎn)品設(shè)計(jì)控制，需要考慮充分實(shí)現(xiàn)“設(shè)計(jì)安全”和“縱深防御”的理念，制造商可以參考工業(yè)界被廣泛運(yùn)用的IEC 62443系列標(biāo)準(zhǔn)和IEC/ISO TR 80001-2-2。另一個(gè)對于實(shí)現(xiàn)網(wǎng)絡(luò)安全至關(guān)重要的方面是風(fēng)險(xiǎn)控制，在指南的3.5章節(jié)、MDR Annex I都有詳細(xì)的說明，醫(yī)療器械網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的對象是整個(gè)醫(yī)療IT網(wǎng)絡(luò)，當(dāng)制造商在進(jìn)行風(fēng)險(xiǎn)-收益分析時(shí)候，一定要合理的平衡安全性、有效性、網(wǎng)絡(luò)信息安全性，需要在它們之間作出取舍時(shí)，應(yīng)以病人利益為核心進(jìn)行優(yōu)先級的安排，即安全性具有最高優(yōu)先級，有效性次之，信息安全再次。指南的3.6章節(jié)規(guī)范了生產(chǎn)商IT系統(tǒng)最低配置要求，這與MDR Annex I中針對IT環(huán)境設(shè)置的要求一致，包括了明確系統(tǒng)整體需求，設(shè)立對硬件設(shè)施，網(wǎng)絡(luò)環(huán)境和安全措施的要求。對比美國和歐盟針對網(wǎng)絡(luò)安全的要求，F(xiàn)DA監(jiān)管深入到產(chǎn)品級，要求制造商根據(jù)風(fēng)險(xiǎn)對產(chǎn)品組成部分劃分不同風(fēng)險(xiǎn)級別，屬于主動(dòng)防御，而歐盟相對要寬泛，屬被動(dòng)防御。

4 中國

2017年1月20日國家食品藥品監(jiān)督管理總局（NMPA）發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則》，將《中華人民共和國網(wǎng)絡(luò)安全法》的基本原則應(yīng)用到了醫(yī)療器械領(lǐng)域。自2018年起，制造商應(yīng)根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報(bào)資料。制造商應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境和核心功能以及相連設(shè)備或系統(tǒng)（如其它醫(yī)療器械、信息技術(shù)設(shè)備）的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全特性，并采用基于風(fēng)險(xiǎn)管理的方法來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全。NMPA建議制造商遵循國際上通用的現(xiàn)行標(biāo)準(zhǔn)作為涉及開發(fā)以及風(fēng)險(xiǎn)控制的依據(jù)，雖然沒有要求提供SBOM，但是指導(dǎo)原則特別指出要針對產(chǎn)品中的COTS軟件進(jìn)行風(fēng)險(xiǎn)評估。此外北京市藥品監(jiān)督管理局在2019年發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導(dǎo)原則實(shí)施指南的通知》，是對指導(dǎo)原則的一個(gè)有效補(bǔ)充。這份指南文件在編寫時(shí)參考了不少國際上現(xiàn)行的標(biāo)準(zhǔn)，如IEC TR 80001-2-2：2012，UL 2900-1，UL 2900-2-1，醫(yī)療器械安全披露聲明（MDS2）。附錄A概述了進(jìn)行網(wǎng)絡(luò)安全測試過程的要求，并被視為規(guī)范性的標(biāo)準(zhǔn)。不過這份指南文件并非強(qiáng)制執(zhí)行的法規(guī)，只是作為“最佳實(shí)踐”供制造商參考。

【參考文獻(xiàn)】

[1] 李耀華，塔娜.我國醫(yī)療器械指導(dǎo)原則的現(xiàn)狀分析與建議[J].中國醫(yī)療設(shè)備，2020（9）：128-131+139.

[2] 王蘭明，袁鵬.國際醫(yī)療器械監(jiān)管法規(guī)協(xié)調(diào)的進(jìn)展與趨勢[J].中國食品藥品監(jiān)管，2020（7）：4-13.

【作者簡介】

于媛媛（1984-），女，碩士，研究方向?yàn)獒t(yī)療數(shù)據(jù)安全和跨境傳播合規(guī)。