【器审风采】第十八期：医疗器械审评员——朱颖峰

人物简介

朱颖峰，高级工程师，现任上海市医疗器械化妆品审评核查中心有源医疗器械审评部高级审评员、医疗器械分技术委员会委员，全国医用电器标准化技术委员会医用电子仪器标准化分技术委员会（SAC/TC10/SC5）委员和全国残疾人康复和专用设备标准化技术委员会轮椅车分技术委员会（SAC/TC148/SC1）委员。

从事医疗器械技术审评工作17年，朱颖峰在有源医疗器械的结构设计、功能实现等方面积累了丰富的审评实践经验，累计完成数百项各类医疗器械产品的注册审评工作，涵盖了多个细分领域，多次受邀担任讲师，参与国家及地方层面的医疗器械审评相关培训授课，积极分享专业知识与经验，助力行业人才培养。

作为核心骨干，参与多项国家药监局医疗器械审评指导原则的编制工作，包括《医用吸引设备注册技术审查指导原则》《电子血压计技术审查指导原则》（2016修订版）《紫外治疗设备类注册技术指导原则》《直接检眼镜注册审查技术指导原则》等。同时，承担了《上海市第二类独立软件医疗器械产品注册审评指南》的起草工作，为本市医疗器械审评标准统一夯实基础。此外，参与行业标准的制修订工作，包括YY 0455-2011《医用电气设备 第2部分：婴儿辐射保暖台安全专用要求》YY/T 0933-2022《医用普通摄影数字化X射线影像探测器》等。另有本市在研课题4项，发表论文2篇。

著作选刊

医疗器械网络安全审评要点研究

1、引言

随着信息技术的快速发展，医疗器械应用信息交换的手段越来越丰富，信息流动也越来越频繁，医疗服务的质量和效率也由此得以提高。与此对应的是信息泄露、安全漏洞等网络安全问题也始终相伴，并在近期成为颇受关注的问题。

2、网络安全指导原则的介绍

在2017年1月20日发布，并于2018年1月1日正式实施的《医疗器械网络安全注册技术审查指导原则》（以下称《原则》）正是在国家认识到医疗器械网络安全具有影响因素多、涉及面广、扩散性强、突发性和风险相对较高等特点，需要加强相应监管的背景下所颁布的一部指导性文件，旨在以软件注册技术审查指导原则为基础，进一步保证医疗器械安全性和有效性，保障人民群众用械安全。

3、信息收集

为了解该指导原则在实际工作中的运行情况，本课题采用了两种方法对网络安全的实施进行采样，希望以此契机发现当前可能存在的问题，并在此基础上提出对相关重点问题的建议。

 A）回顾性资料整理

选取2018年1月1日至2019年12月31日之间申报的有源医疗器械注册申报发补通知书进行回顾性整理。样本选取主要考虑以下因素：a）注册申报资料于2018年1月1日实施，至2019年12月31日有两年的时间周期，且目前所有的申报均在发补或审评完成时限内，数据较为完整。b）尽管适用的申报产品均应实施《原则》，但采用注册申报信息尺度统一性较高；而变更申请，由于变更事项的不确定性，甄别困难，适用性难以判断；延续注册因提交内容不同（如适用，医疗器械延续注册产品分析报告第（六）项应单独提交一份常规安全补丁描述文档），也不宜作为数据进行整理资料。以下是相关资料收集情况。

2018、2019网络安全发补情况

2018、2019网络安全发补内容分布

数据整理小结：

1）网络安全相关产品申报2018年占65%，2019年占74%，初步显示网络安全相关产品有增加趋势。

2）产品网络安全相关发补率总体稳定65%-67%，但占比较高。

3）要求申请人提交网络安全描述文档，或对文档完整性进行补充的要求占比很高，其中2018年91%，2019年81%。

4）提出具体补正要求的，以完善数据为主。

B）审评人员访谈：

通过与相关审评人员就网络安全审评目前的状况进行讨论，总结出以下几条意见：

1）能够对网络安全的适用性进行判断。

2）仍有申请人不了解网络安全要求。或不了解网络安全具体要求，如，虽然提交了相关资料，但内容极为简单。

3）难以对内容进行实质性的审查，缺少有效抓手。

4）执行程度难以把握，可操作性较差。

5）缺乏标准参照或标准要求抽象，没有标准化模板。

6）自身对网络安全指导原则了解不够。网络安全对专业性要求很高，涉及面很广，距离传统医疗器械知识很远。

7）网络安全需要从研发开始设计，后期补正难度已经太大。

4、总结上述数据与意见，本课题归纳相关原因如下：

发补率占比高的相关可能的原因：

1）申请人网络安全意识仍然较为淡薄，申报意识不强。

2）对网络安全指导原则范围认识不清，认为产品不适用网络安全要求。

3）部分发补要求完善相关文档的，申请人对资料提交要求不清晰。申请人对相关要求分析不完整，导致相关文件缺失。

补正要求以文件提交为主，少量为完善数据，尚不涉及实质性修改可能的原因。

1）申请人网络安全意识较为淡薄，或认为产品简单，不需要提交相关文件。

2）申请人对网络安全指导原则认识不足，概念模糊。部分原始设计在国外的产品（如转产、外购软件等）则基本简单采用国外文件翻译。

3）申请人对产品描述模糊，难以判断对网络安全指导原则的适用性。

4）申请人对网络安全文档中的内容描述尚不构成完整判断，仅能要求进行内容补正。

5）申请人对相关内容之间的关联性认识不足，难以形成完整的文件逻辑链条。

6）审评人员对指导原则要点尚缺乏总结，没有抓手。

7）审评人员专业知识不足，仅能以文件补正笼统提出。

8）产品实质性修改代价较大。

5、对策思考

作为《原则》的实施监管方，显然有必要进一步加大对《原则》的宣传力度，如组织企业进行指导原则的培训，明确企业实施《原则》的主体责任；也有必要加深对《原则》的了解结合产品特征，总结出较为清晰的思维逻辑脉络和执行重点，以便于实施操作；更有必要在专业知识上有所提高，以夯实基础。本课题则侧重于对《原则》的梳理和执行，以期在较短期内提高对《原则》实施操作的能力。

6、网络安全技术审查指导原则申报资料的框架与逻辑 

医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态，其保密性（Confidentiality）、完整性（Integrity）、可得性（Availability） 相关风险在全生命周期均处于可接受水平。

从《原则》文件本身来说，它包括了前言、适用范围、基本原则、网络安全文档、注册申报资料要求及参考文献六个板块。其中对注册申报资料提出具体要求的是在注册申报资料这一章节，其重点是需要单独递交的软件研究资料——网络安全描述文档，其他需要提交的产品技术要求、产品说明书中的相关要求和信息，实际是网络安全研究的产物，是其结果文件。所以，执行《原则》，其实质即企业实施提交网络安全描述文档，而技术审查单位审查网络安全描述文档。它是《原则》的重点。

进一步通过分解网络安全描述文档的框架来分析执行及审查的逻辑关系。网络安全指导原则的框架包含了 1）基本信息2）风险管理3）验证确认4）维护计划四个板块。

1）基本信息：文件的该部分旨在描述医疗器械产品的相关信息，审评人员可以由本节内容对产品及其网络安全概况有较为全面的认识。了解产品使用环境和场景等信息，是进行网络安全实质性审查的基础。本部分描述的详尽程度，很大程度地影响审评后续的理解性和可操作性 。本部分是对产品属性的一种阐述，通常应能够给出原则性的判断信息（大方向）。但值得注意的是，本部分并不是后续章节内容的完整输入。

2）风险管理：《原则》采用基于风险管理的方法来保证医疗器械产品的网络安全。风险管理应贯穿于医疗器械的设计、研发、生产、流通、使用直至销毁的整个环节，在各环节及各方面均需要确定风险水平并采取适宜的风险控制措施，基于风险接受准则评估剩余风险。在申报注册时，申请人应基于已有的信息，显示其在产品的设计、研发和生产中已考虑了相关的风险，并实施了相应的控制措施。

3）验证与确认：该部分要求申请人提供网络安全测试计划和报告，证明医疗器械产品的网络安全需求均已得到满足。网络安全需求的满足可认为是对上一节中风险管理对风险控制措施所进行的验证，也同时可以认为是对产品网络安全能力在某种形式上的确认。这样理解就能够明确，验证与确认的主体是什么？是风险控制措施——即网络安全需求的满足——也即网络安全能力。验证与确认的需要在什么时候进行也得到了明确——网络有安全需求时。而网络安全的需求如何确定？——风险分析、分析管理所得出。

4）维护计划：通过风险分析和风险控制，我们能够确保在某一时刻产品的全部剩余风险均是可接受的（即收益大于风险）。但网络安全环境及产品运行环境的变化往往可能有超出预期的情况。所以申请人应保留在产品生命周期内对新风险的感知，并不断进行调整，包括进行软件产品的紧急情况响应、补丁升级（漏洞修补）、用户告知等措施。维护计划是风险管理在生命周期上的不停的循环及产品能力对网络安全需求的不断满足的延伸产物。如果提交的风险管理和验证确认是在申报时刻的某一个“快照”，那么维护计划是申报主体是否有能力不断维持这一状态的一套运行机制，是对未来的一种防范措施。

综上所述，网络安全文档的逻辑基本可描述为，从基本信息认识产品到以风险分析得出网络安全需求确定网络安全能力，且以客观手段验证及确认相应的能力。并能够对紧急情况进行响应及完善。其中的1）～3）在逻辑上有很强的内在联系，而4）相对独立且偏重体系。

7、何为重点？ 

在上一段落中，我们理清了网络安全（描述）文档的主要关系，即基本信息、风险分析、网络安全能力、验证确认。虽然这些关系是相互影响，相互关联的，但作为技术审评，仍然需要明确相关工作的主次。显然，基本信息应尽可能详尽、真实、准确；因为这是后续工作的基础；验证和确认也应科学，合理并具有可操作性；但风险分析，才是贯穿整个网络安全工作的主轴。它通过识别资产（asset，对个人或组织有价值的任何东西）、威胁（threat，可能导致对个人或组织产生损害的非预期事件发生的潜在原因）和脆弱性（vulnerability，可能会被威胁所利用的资产或风险控制措施的弱点），评估威胁和脆弱性对于医疗器械产品和患者的影响以及被利用的可能性，确定风险水平并采取适宜的风险控制措施，基于风险接受准则评估剩余风险。通过风险分析过程，我们得出哪些方面具有风险，风险水平决定了是否需要采用控制措施，以及控制措施的效果。

目前，医疗器械网络安全技术审查指导原则（第二版）已经公开征求意见。其中，网络安全的风险分析仍然居于重要地位。申请人仍然需提交医疗器械网络安全（含远程维护）的风险分析报告、风险管理报告作为网络安全研究资料的一部分。但更值得注意的是，在首版《原则》中网络安全能力章节得到了更高的重视。在第二版《原则》中，网络安全能力部分提出，对十九项网络安全能力进行了逐项的说明的要求——“申请人须逐项分析申报医疗器械对网络安全能力的适用性，若适用详述网络安全能力的实现方法，反之说明不适用的理由。”

一般来说，网络安全能力的实施是以减少脆弱性或者说提升某一项网络安全的特性以弥补其脆弱性或降低安全事件发生可能性为目标的。故而，网络安全措施不是凭空产生或任意增加的，因为相关措施均有相应的成本，是对不可接受的风险的脆弱性所进行的处理。从笔者早期的梳理中，已经确认网络安全能力是网络安全风险分析的一个阶段。它存在于风险分析过程中的赋值及评估之后，剩余风险分析之前。

但实施网络安全风险分析（或者对其进行审评）并提出相应的网络安全措施在现阶段确实具有某种挑战。如1）网络安全风险分析需要对资产、威胁和脆弱性等进行半定量分析，对相关要素进行赋值计算。对于企业和审评机构的相应能力有很高的要求，其中的赋值和技术要素的识别是难点。2）目前的《原则》推荐的网络安全分析标准如GB/T 20984-2007《信息安全技术 信息安全风险评估规范》给出了产品针对保密性、完整性、可得性相关的计算方法，但对于其他网络安全特性真实性（authenticity）、可核查性（accountability）、抗抵赖（non-repudiation）和可靠性（reliability）等，没有相关的标准进行规范。由于产品网络安全的特性不仅与其自身有关，相关的特性之间也具有关联性，使得目前采用单一工具进行分析，难以和网络安全能力进行衔接。

通过网络安全能力（即第二版《原则》）作为分析手段的方法，实际可以认为是一种倒推法，确实具有某些优点。1）具有一定的确定性。作为网络安全风险分析的某种结果，不论采用何种分析方法，最终均指向这十九项网络安全能力。2）操作较为灵活。通过逐条分析网络安全能力的适用性，企业和审评人员都有了较为明确的可操作手段。在此基础上，审评和企业都能就具体问题进行评判。3）具有较强的兼容性。此问题可针对上述的段落的第二条。部分网络安全标准并不能完全正向得出网络安全特性所需的网络安全能力。但相关能力的实施理由可由不同的标准得出，操作尚具有灵活性。实际上提供了这种兼容性，这也是以网络安全能力为重点的情况下所能进行的合理要求。

8、网络安全能力简介

1）自动注销：产品在使用闲置期间阻止非授权用户访问和使用的能力。

2）审核：产品提供用户活动可被审核的能力。

3）授权：产品确定用户已获授权的能力。

4）网络安全特征配置：产品根据用户需求配置网络安全特征的能力。

5）网络安全补丁升级：授权用户或服务人员安装/升级网络安全补丁的能力。

6）数据去标识化：产品直接去除或匿名化数据所含个人信息的能力。

7）数据备份与灾难恢复：产品的数据、硬件或软件受到损坏或破坏后恢复的能力。

8）紧急访问：产品在预期紧急情况下允许用户访问和使用的能力。

9）数据完整性与真实性：产品确保数据未以非授权方式更改且来自创建者或提供者的能力。

10）恶意软件探测与防护：产品有效探测、阻止恶意软件的能力。

11）节点鉴别：产品鉴别网络节点的能力。

12）人员鉴别：产品鉴别授权用户的能力。

13）物理防护：产品提供防止非授权用户访问和使用的物理防护措施的能力。

14）现成软件维护：产品在全生命周期中对现成软件提供网络安全维护的能力。

15）系统固化：产品通过固化措施对网络攻击和恶意软件的抵御能力。

16）网络安全指导：产品为用户提供网络安全指导的能力。

17）存储保密性与完整性：产品确保未授权访问不会损坏存储媒介所存数据保密性和完整性的能力。

18）传输保密性与完整性：产品确保数据传输保密性和完整性的能力。

19）远程访问与控制：产品确保用户远程访问与控制的网络安全的能力。

20）抗拒绝服务攻击：产品具有抗拒绝服务攻击的能力。

对于网络安全能力IEC/TR 80001-2-2给出了更为详尽的说明。应注意的是，网络安全能力和网络安全特性之间也具有半定量的关系，IEC/TR 80001-2-2的附录C（在附录2中已附上）中即给出了一种关系的样本。这样，在实施网络安全能力时，我们可以回到风险分析中，对相应的特性进行重新赋值和评估，以此得出剩余风险的值，并重新评估不可接受的风险，并在产品生命周期中不断对此进行迭代评估。相关风险分析的内容可见附录1。

9、重要的工具 

《原则》给出了一种重要的工具，来帮助我们确认产品在技术层面上网络安全的符合情况，这就是可追溯性分析。

根据美国FDA对追溯性分析的定义：追溯性分析链接产品设计要求、设计规范和测试要求。它还提供了一种方法，将已识别的危险与减轻措施的实现和测试捆绑在一起。软件安全性级别为C级的软件要求提供可追溯性分析报告。而在网络安全指导原则的要求中，不论软件的安全性级别均要求提供网络安全可追溯性报告，要求是追溯网络安全需求规范、设计规范、测试、风险管理的关系表。可追溯性分析通常由一个矩阵组成，其中包含需求、设计规范和测试的项目，以及指向风险缓解措施的指针。通过共享的组织结构和通用的编号方案来记录可追溯性。

以下是可追溯性分析报告结构的示例：

上述的表格矩阵的一些特点：（网络安全）需求总是和风险管理相对应。设计和测试相对应。故而在此我这样理解：网络安全需求（也可认为是网络安全能力的缺乏，由前述的风险分析过程得出），可以通过网络安全设计来满足，相对性的设计由测试保证；同样也可由风险管理的其他方法来满足，或者其残余风险产生新的网络安全需求，此时则重复上述循环直至残余风险为可接受。

在实际工作中，各个企业使用的表格、采用的风险分析工具、相关字段的格式顺序完全可能不同，这种变形或变种的追溯性分析文件给审评工作带来了很大的困扰。

此处的建议是建议抽查任意网络安全特征（由基本信息导出），相关的网络安全需求（网络安全能力），其相关的设计、测试及分析或相关代码能够互相关联；或抽查任意网络安全测试，能够导出其网络安全需求，即网络安全措施不是凭空产生或任意增加的。

10、网络安全测试

网络安全验证和确认活动的目的是确定风险管理中采用的网络安全控制手段均已得到正确的实施，从而确保医疗器械产品的网络安全需求（如保密性、完整性、可得性等特性）均已得到满足。

网络安全验证与确认活动的结果以文档的方式进行记录。对于现成软件，注册申请人应当在网络安全风险分析过程中将其作为产品的一部分进行充分的网络安全评估，并在产品的网络安全能力配置中予以综合考虑。

注册申请人应当在医疗器械产品研制的全生命周期过程中进行网络安全的验证与确认活动，通过分析、测试、评估、审查等手段，确保医疗器械产品的网络安全需求得到满足。

审评可考察企业对网络安全测试活动是否进行合理的策划，包括确定测试的内容（产品设计中要求配置的网络安全能力）、测试人员和相应的职责、测试所需的环境、测试的技术和方法（如漏洞测试、恶意软件测试、缺陷输入测试、结构化渗透测试）、异常处理方式、测试通过的准则、测试所需的资源以及测试进度安排等。

此外可进一步考察根据测试计划的安排仔细设计测试用例，并按照测试用例的要求执行测试活动，对于安全软件，企业还应针对不同的软件、硬件运行平台，进行兼容性测试；如果产品采用标准传输协议或存储格式，应当进行审查或测试验证其对相关标准的符合性；如果产品采用自定义的传输协议和存储格式，应当进行完整性测试验证。对测试结果，应进行分析和评价，确保测试活动的有效性，并对测试遗留的问题进行评价。

11、无线电要求

《原则》在网络安全数据考量章节提出了“对于无线设备，注册申请人应当遵循无线电管理的相关规定。”的具体要求。

医疗设备往往使用无线电传输技术如：wifi 、蓝牙等进行信息化的功能设计，而以往这类产品也由于其功率低，而被认为是微功率无线电发射设备。

微功率设备：微功率设备具有发射功率小、传输距离短、设备数量多等特点，一般是指提供单向或双向通信，且对其他无线电设备仅具有较低干扰可能性的无线电发射设备。多数情况下微功率设备与相关频段内的无线电业务能够共用频率，并遵循不对其他无线电业务产生有害干扰，也不得提出免受有害干扰保护要求的使用原则。

根据《中华人民共和国无线电管理条例》第四十四条 除微功率短距离无线电发射设备外，生产或者进口在国内销售、使用的其他无线电发射设备，应当向国家无线电管理机构申请型号核准。无线电发射设备型号核准目录由国家无线电管理机构公布。

我国微功率设备管理的历史情况：2005年，原信息产业部修订了《微功率（短距离）无线电设备的技术要求》（信部无〔2005〕423号），修订发布了通用微功率设备、通用无线遥控设备等14类微功率设备及其技术要求，规定微功率设备无需办理频率使用许可和台站执照，但应当取得无线电发射设备型号核准证。

微功率设备在医疗注册中的具有一些争议，主要由于认识不足以及相关无线电管理的文件一直处于征求意见状态而迟迟无法明确。这一情况随着中华人民共和国工业和信息化部公告2019年第52号的发布而清晰。

该公告中可明确参考的相关要求如下：

a、生产或者进口在国内销售、使用列入并符合《微功率短距离无线电发射设备目录和技术要求》的无线电发射设备，无需取得无线电频率使用许可、无线电台执照、无线电发射设备型号核准，但应当符合产品质量等法律法规、国家标准和国家无线电管理有关规定。

根据附件《微功率短距离无线电发射设备目录和技术要求》的相关规定：

——F类设备使用频率：2400-2483.5MHz；发射功率限值：10mW(e.i.r.p)；频率容限：75kHz属于微功率设备。但工作于 2400-2483.5MHz 频段的蓝牙技术设备、数字无绳电话、模型无线电遥控设备、无人机用设备不适用本条款。

——G类设备使用频率：5725-5850MHz；发射功率限值：25mW(e.i.r.p)；频率容限：100×10 -6属于微功率设备。但工作于 5725-5850MHz 频段的蓝牙技术设备、无人机用设备不适用本条款。

综述以上，蓝牙、WIFI等设备虽然参数可能是微功率相关产品，但实际国家相关部门将此类产品与微功率无线电设备划分开来。所以，国内销售的蓝牙、wifi无线电设备应强制进行中国无线电设备型号核准认证。

b、属于微功率设备的产品在说明书应注明相关内容。微功率设备的生产厂商应声明该设备使用时温度和电压的环境条件，在正常使用和极限环境下发射功率和频率容限指标应满足本规定的要求。

c、使用微功率设备必须承受其他合法的无线电台（站）的干扰，在《中华人民共和国无线电频率划分规定》规定的工业、科学及医疗（ISM）应用频段内使用微功率设备，还应当承受ISM应用设备产生的射频能量的干扰。微功率设备受到干扰时不受法律保护，但可向当地无线电管理机构报告。

——故在使用其他微功率方式的情况下还需考虑相关的风险因素。

12、《指南》规定，网络安全描述文档应包含软件（含现成软件）网络安全更新的维护流程，包括更新确认和用户告知。该内容在新版本中拆分为“网络安全事件应急响应”“网络安全更新”。正如前文所述《指南》要求的网络安全描述均是针对上市前的已知信息和已知的安全威胁而制定的，而保持医疗器械的网络安全则是动态的，持续的。这部分内容均是对软件产品在上市后监管中，应对网络安全事件影响因素多、涉及面广、扩散性强和突发性高等特点，及医疗器械全寿命周期监管的要求。

如：注册人应制定网络安全事件应急响应预案，涵盖现成软件要求，明确计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进等阶段的任务和要求。建立网络安全事件应急响应团队，根据工作职能形成管理、规划、监测、响应、实施、分析等工作小组，必要时可邀请外部网络安全专家成立专家小组。

注册人应根据网络安全事件的严重程度、紧迫程度、广泛程度等因素进行分类分级管理，结合风险管理开展应急响应措施的验证工作并予以记录，在事件发生期间及时告知用户应对措施。造成严重后果或影响的事件应向药监部门报告，适用时按照医疗器械不良事件、召回相关法规要求处理，必要时向国家网络安全主管部门报告。

这些要求，在注册证表现为相关文件的提交，相关机制的解释。但同样重要的是在体系核查中，对相关机制的核实，对相关人员的配备及相关处理的记录。可结合产品风险在核查中予以关注。

13、结语

上面的文字，主要从逻辑关系和主要机制上对网络安全的审核工作进行梳理，总结出运用网络安全能力，可追溯性分析两大要点和贯穿其中的风险分析的运用，同时，也指出了在无线产品及上市后响应方面需要注意的情况，供审评工作中参考。

来源：2019年器审中心课题

*本文由上海市医疗器械化妆品审评核查中心编辑，为免费交流使用，不得用于任何商业目的，如需转载请注明出处。

上海器审

地址:南昌路210号 

电话：33163589