• 《医疗器械网络安全注册审查指导原则（2022 年修订版）》
• YY/T 1843-2022《医用电气设备网络安全基本要求》
• YY/T 0664-2020《医疗器械软件 软件生存周期过程》
• GB 9706.1 - 2020《医用电气设备 第 1 部分：基本安全和基本性能的通用要求》

  
  

基本信息

• 产品标识：明确医疗器械的名称、型号、规格、注册证号等基本信息。
• 研究背景：阐述研究的背景和目的。
• 研究范围：界定研究涵盖的医疗器械类型、功能范围、网络环境等，如是否
  包含特定的无线或有线网络连接、电子数据交换方式等。

  
  

• 保密性：分析医疗器械采用的加密技术、访问控制策略。
• 完整性：说明产品如何保证数据在创建、传输、存储、显示过程中未以非授权方式进行更改，包括数据校验机制、防篡改技术。
• 可得性：阐述系统的容错能力、备份与恢复策略。

• 数据处理流程：描述数据的产生、收集、存储、传输、使用和删除等整个生命周期的处理流程，分析每个环节可能存在的网络安全风险。
• 数据安全措施：介绍为保护数据安全所采取的措施，如数据加密、匿名化处理、访问权限控制等，以及这些措施的有效性和局限性。

  
  

• 网络接口：描述网络接口的技术特征，包括网络形式、网络类型、接口形式、数据接口、远程访问与控制方式、性能指标等，分析网络接口可能面临的安全威胁及防范措施。
• 电子数据交换接口：说明基于非网络的电子接口或存储媒介的数据交换方式，包括接口类型、数据存储格式、数据压缩方式、性能指标等，评估其在数据传输和存储过程中的安全风险。

  
  

• 自动注销：评估产品在无人值守期间阻止非授权用户访问和使用的能力，包括自动注销的时间设置、触发条件等。
• 审核：分析产品提供用户活动可被审核的能力，如审核日志的记录内容、保存期限、查询和分析功能等。
• 授权：阐述产品确定用户是否具有访问和使用权限的机制，包括授权管理策略、权限分配方式、身份认证技术等

  
  

• 风险识别：全面识别医疗器械网络安全面临的各种风险，如恶意攻击、数据泄露、系统故障等，分析风险产生的原因和可能造成的影响。
• 风险评估：采用适当的风险评估方法，对识别出的风险进行评估，确定风险的等级和优先级，如使用风险矩阵、故障树分析等方法。
• 风险控制：针对不同等级的风险，制定相应的风险控制措施，如加强安全防护技术、完善安全管理制度、提高人员安全意识等，说明风险控制措施的实施效果和剩余风险情况。
• 总结：医疗器械网络安全的整体状况，对产品是否满足网络安全要求进行判断。

END

以上，介绍了医疗器械网络安全要求，适用范围和要求。这是一个系列介绍NMPA学术活动。Everbiz公司愿意和行业客户分享医疗器械的专业知识，希望用我们质量体系和产品注册方面的丰富实战经验，给到大家以帮助。共同为医疗器械事业发展做出贡献。