淺談國際醫療器械網絡安全監管政策的進展

【摘要】 本文著眼于介紹全球醫療設備網絡安全指南文件和法規要求，旨在幫助醫療器械從業人員了解全球主要監管機構對于醫療設備網絡安全現有的管理方式及合規要求。

【關鍵詞】 醫療器械;網絡安全;監管

【DOI編碼】 10.3969/j.issn.1674-4977.2021.02.031

Progress of International Medical Device Network Security Regulatory Policy

YU Yuan-yuan

（Sinocare Inc，Changsha 410205，China）

Abstract： This paper focuses on the introduction of global medical device network security guidelines and regulatory requirements，aiming to help medical device practitioners understand the existing management methods and compliance requirements of major regulatory agencies for medical device network security.

Key words： medical devices;network security;supervision

全球醫療設備網絡安全指南發布的步伐正在逐年加快，這給服務于各大醫療器械制造商的首席安全合規官（CSO）或者各國衛生組織（HDO）的首席信息官（CIO）帶來了不少新的挑戰，如何及時、適當、充分解讀這些政策成為了工作的重心。一些監管機構強調上市前的管理但也有一些認為上市前和上市后的監管同樣重要。毫無疑問的是，網絡化和數字化的醫療設備有助于增強設備的功能，擴大患者受益，并促進病歷的完整性，但是，將醫療設備接入網絡（包括局域網）也大大增加了將設備以及病人隱私暴露在網絡攻擊的概率，成為威脅病人健康的潛在隱患。因此醫療器械的網絡安全必須被視為整體安全性的一部分，是醫療生態系統重要的組成部分。

1 IMDRF

國際醫療器械監管者論壇（International Medical Device Regulators Forum，IMDRF）成立于2011年10月旨在以論壇的形式討論未來醫療器械監管協調的方向，加速國際醫療器械監管的協調和融合。在2020年4月，IMDRF就醫療器械網絡安全發布了官方指南《醫療器械網絡安全原則與實踐》。像FDA一樣，IMDRF支持針對醫療設備網絡安全的整個產品生命周期方法，并描述了一種安全風險管理流程，旨在識別，評估和控制從最初概念到支持終止的每個步驟中的風險。本指南同時引入了了上市前和上市后監管的理念，在上市前監管篇章里，IMDRF提出了醫療器械網絡安全的全球協調應主要著眼于7個方面：設計、風險管理、標簽、注冊遞交、信息共享、及上市后行動/措施。同時還強調了風險管理的重要性，提出制造商要在開發過程中納入關鍵要素，如安全性風險評估，威脅建模和漏洞評分，指南給出了利用通用漏洞評分系統（CVSS）作為漏洞評分方法的示例，還提到了安全測試以及如何進行上市后網絡安全管理的方法。標簽作為與用戶溝通的重要手段，似乎并沒有很有效的被制造商利用作為交流網絡安全的工具，因此IMDRF指南提出了13條建議，供制造商參考，其中就包括了軟件物料清單（SBOM）。如果說上市前的要求主要針對醫療器械制造商，那么IMDRF指南上市后的要求所針對的群體更加廣泛，強調“共同責任”，包括：制造商、監管方、醫療服務提供方（如醫療機構）、用戶（臨床醫生/護士/消費者/患者）、及其他利益相關者（如漏洞發現者、信息共享法人實體、相關政府部門等）。對上市后考慮的內容，包括六大部分：預期環境下的使用，信息共享分析組織（ISAO），協調漏洞披露（CVD），漏洞修復，事件響應，遺留醫療器械。ISAO和CVD是指南推薦的兩種信息共享機制，旨在通過主動的、充分的信息共享，以達到及時有效地確認威脅和漏洞、控制風險的目的。但是美國FDA并不打算將CVD納入到自己的上市后體系中，所以這些措施是否可以實現還要看后續的工作進展。

2 美國

美國FDA是醫療器械網絡安全政策制定方面的先驅，發表了這個領域內的第一篇指南也是第一個對器械上市前網絡安全管理提出要求的監管機構，它的指南文件“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”也被很多國家參考。此份指南性文件向行業提供關于網絡安全設備設計、標注以及FDA為可能存在網絡安全風險的設備在上市前申報文件中需要體現的建議性內容。FDA第一次提出了“網絡安全物料清單”（CSBOM）的概念，將其定義為可能易受網絡安全風險影響的商業，開源和現成軟件和硬件列表，認為這可能成為安全漏洞識別工作中的關鍵性因素，所以必須包括在上市前申報文檔之中。制造商應該利用CSBOM更精確的來實施網絡安全風險管理流程，以識別其設備，軟件和系統的哪些組件更容易受到網絡事件或攻擊的影響。FDA將其網絡安全要求與美國國家標準技術研究院（NIST）的網絡安全框架緊密聯系在一起，后者是全球公認的框架，為制造商提供了公認的風險和影響評估工具，以確定網絡安全風險和脆弱性。在2016年發布的Postmarket Management of Cybersecurity in Medical Devices 指南中不僅囊括了新醫療設備和產品，也把上市后和臨床上應用的醫療設備納入其中，即 ：要求制造商、供應商有能力及時鑒別和處理網絡安全所帶來的各種技術問題，建立網絡安全共管系統，更好地研究新對策和開發新方法。指南還引入了很多新的概念如補償控制， 受控/非受控風險和網絡安全預警信號等。此外它還介紹了威脅建模的概念并參考AAMI TIR57擴展了有關安全風險管理的建議。在醫療器械產品中網絡漏洞的披露和處理上，FDA鼓勵生產商采取自由裁量權，前提是生產商需要遵循21 CFR part 806的規定以及H-ISAC對于信息披露的指南文件。

3 歐盟

歐洲醫療器械協調小組（MDCG）于2019年12月頒布了MDCG 2019-16指導原則”Guidance on Cybersecurity for Medical Devices”，該指導原則旨在就如何滿足MDR和IVDR附件I關于網絡安全的所有相關基本要求向制造商提供指導。MDCG的指導原則與其他指南文件的不同之處在于，它是由所有成員國一起撰寫，根據MDR和IVDR法規，歐盟市場上投放的醫療設備需確保滿足網絡安全風險相關的技術挑戰的新要求。因此，提出了針對含電子編程系統和軟件（本身就是醫療設備）的醫療設備新的基本安全要求。制造商需要按照要求在考慮風險管理原則（包括信息安全性）的同時，根據最新技術開發和制造其產品，并就IT安全措施（包括防止未經授權的訪問）制定有關的最低要求。指導原則涵蓋了上市前和上市后網絡安全的要求，并概述了與每個類別相對應的活動。文中提到一些重要的網絡安全要求在MDR中并未明確表述，尤其是與醫療設備使用相關的數據的隱私和機密性，這些要求需要與其他法規，如通用數據保護條例（GDPR）一起考慮。我們熟知ISO 14971是對單個醫療器械風險管理的指導，它提出了一個概念叫“合理可預見的濫用”，規定了制造商應在合理可預見的情況下評估風險，而對于涉及網絡安全的風險，制造商更要考慮這些風險會不會被作為惡意攻擊的對象，概率大小。指南的第三部分著眼于設計控制和生產過程，其中產品設計控制，需要考慮充分實現“設計安全”和“縱深防御”的理念，制造商可以參考工業界被廣泛運用的IEC 62443系列標準和IEC/ISO TR 80001-2-2。另一個對于實現網絡安全至關重要的方面是風險控制，在指南的3.5章節、MDR Annex I都有詳細的說明，醫療器械網絡風險管理的對象是整個醫療IT網絡，當制造商在進行風險-收益分析時候，一定要合理的平衡安全性、有效性、網絡信息安全性，需要在它們之間作出取舍時，應以病人利益為核心進行優先級的安排，即安全性具有最高優先級，有效性次之，信息安全再次。指南的3.6章節規范了生產商IT系統最低配置要求，這與MDR Annex I中針對IT環境設置的要求一致，包括了明確系統整體需求，設立對硬件設施，網絡環境和安全措施的要求。對比美國和歐盟針對網絡安全的要求，FDA監管深入到產品級，要求制造商根據風險對產品組成部分劃分不同風險級別，屬于主動防御，而歐盟相對要寬泛，屬被動防御。

4 中國

2017年1月20日國家食品藥品監督管理總局（NMPA）發布了《醫療器械網絡安全注冊技術指導原則》，將《中華人民共和國網絡安全法》的基本原則應用到了醫療器械領域。自2018年起，制造商應根據醫療器械產品特性提交網絡安全注冊申報資料。制造商應當結合醫療器械產品的預期用途、使用環境和核心功能以及相連設備或系統（如其它醫療器械、信息技術設備）的情況來確定醫療器械產品的網絡安全特性，并采用基于風險管理的方法來保證醫療器械產品的網絡安全。NMPA建議制造商遵循國際上通用的現行標準作為涉及開發以及風險控制的依據，雖然沒有要求提供SBOM，但是指導原則特別指出要針對產品中的COTS軟件進行風險評估。此外北京市藥品監督管理局在2019年發布了《醫療器械網絡安全注冊審查指導原則實施指南的通知》，是對指導原則的一個有效補充。這份指南文件在編寫時參考了不少國際上現行的標準，如IEC TR 80001-2-2：2012，UL 2900-1，UL 2900-2-1，醫療器械安全披露聲明（MDS2）。附錄A概述了進行網絡安全測試過程的要求，并被視為規范性的標準。不過這份指南文件并非強制執行的法規，只是作為“最佳實踐”供制造商參考。

【參考文獻】

[1] 李耀華，塔娜.我國醫療器械指導原則的現狀分析與建議[J].中國醫療設備，2020（9）：128-131+139.

[2] 王蘭明，袁鵬.國際醫療器械監管法規協調的進展與趨勢[J].中國食品藥品監管，2020（7）：4-13.

【作者簡介】

于媛媛（1984-），女，碩士，研究方向為醫療數據安全和跨境傳播合規。