监管信息
医疗器械网络安全技术审查指导原则第二版要来了!
 
  近日,国家药品监督管理局医疗器械技术审评中心发布通知,就《医疗器械网络安全技术审查指导原则(第二版)征求意见稿》(以下简称《指导原则》),向社会公开征求意见。《指导原则》旨在指导医疗器械注册人(以下简称注册人)规范医疗器械网络安全生存周期过程和准备医疗器械网络安全注册申报资料,同时规范医疗器械网络安全的技术审评要求。意见反馈截止日期为2020年10月19日。
  《指导原则》包括适用范围、网络安全基础、基本原则、网络安全生存周期过程、技术考量、网络安全研究资料、注册申报资料说明等内容。作为《医疗器械软件技术审查指导原则》的补充,《指导原则》对医疗器械网络安全提出一般性要求,适用于医疗器械网络安全的注册申报,包括具备电子数据交换、远程控制或用户访问功能的第二、三类独立软件和含有软件组件的医疗器械。
 
  强调风险导向的全生命周期管理
  2017年1月,国家药监部门发布《医疗器械网络安全注册技术审查指导原则》。与其相比,此次发布的《指导原则》明确界定了网络安全基础相关概念,丰富了医疗器械网络安全技术审查基本原则的内涵,同时增加了网络安全生存周期过程、网络安全研究资料等内容。
  《指导原则》明确了医疗器械网络安全的网络安全定位、风险导向、全生命周期管理三大基本原则。
  《指导原则》指出,医疗器械网络安全的风险级别不同,其生命周期质控要求和注册申报资料要求也不同。医疗器械网络安全风险同样应结合医疗器械的预期用途、使用场景、核心功能进行综合判定,特别是使用场景。注册人可结合医疗器械风险管理和网络安全风险管理相关标准和技术报告的要求,开展医疗器械网络安全风险管理工作。
  注册人应在医疗器械全生命周期中持续关注网络安全问题。《指导原则》提出,医疗器械上市前,注册人应结合质量管理体系要求和医疗器械产品特性开展网络安全质控工作,保证医疗器械的安全有效性;上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动,持续保证医疗器械的安全有效性。
  对于医疗器械上市后面临的潜在未知网络安全漏洞引发的网络安全事件威胁,《指导原则》要求,注册人应制定网络安全事件应急响应预案,建立网络安全事件应急响应团队。同时,定期开展医疗器械网络安全漏洞风险评估工作,及时将网络安全相关信息以及应对措施告知用户。
 
  注重网络安全研究
  与2017年发布的《医疗器械网络安全注册技术审查指导原则》相比,此次《指导原则》增加了“网络安全研究资料”内容,分类细化了对自研软件网络安全研究报告、自研软件网络安全更新研究报告、现成软件网络安全研究资料的要求。尤其针对自研软件网络安全研究报告、自研软件网络安全更新研究报告,《指导原则》列出了包括基本信息、实现过程、漏洞评估、结论在内的研究报告框架。
  此外,《指导原则》还增加了对于医疗器械网络安全技术的考量。对于现成软件,注册人应根据质量管理体系要求,建立现成软件网络安全更新维护过程,重点关注其网络安全问题对医疗器械使用效果的影响。尤其是对于数据出境问题,《指导原则》明确,根据《网络安全法》相关规定,在中国境内收集和产生的个人信息和重要数据应当在中国境内存储,因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。
  对于产品申报资料,《指导原则》明确,对于申报注册的医疗器械产品,注册人应提交软件研究资料和说明书,且应在软件研究资料中提交自研软件网络安全研究报告、外部软件环境评估报告。对于许可事项变更,注册人应提交变化部分对产品安全性与有效性影响的研究资料,以及体现网络安全的变更内容的产品说明书。对于延续注册的产品,则无需提交网络安全相关研究资料。
 
(摘自中国食品药品网)
 
 
<关闭窗口>