|
随着网络技术的发展,越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。由于医疗器械网络安全具有影响因素多、涉及面广、扩散性强和突发性高等特点,风险相对较高。因此,注册人实施医疗器械网络安全注册应满足要求:
一、注册人应当结合自身质量管理体系的要求和医疗器械产品特点来保证其网络安全,包括上市前和上市后的要求。注册人还可采用信息安全领域良好工程实践来完善医疗器械产品的网络安全管理。
二、注册人应当结合医疗器械产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。
三、注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。
四、注册人应当根据医疗器械的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证医疗器械产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。
五、注册人应当重视现成软件的网络安全问题,结合质量管理体系的要求和现成软件的类型,采用基于风险管理的方法保证现成软件的网络安全。
六、注册人应当区分医疗器械网络安全更新的类型,根据网络安全更新对于医疗器械产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按医疗器械网络安全注册技术审查指导原则要求提交相应注册申报资料。在软件版本号定义里,应该注意考虑网络安全更新的内容。
七、注册人应当遵循网络安全相关国家法律法规和有关部门规章的规定,如国家卫生计生委关于推进医疗机构远程医疗服务的意见等。
八、注册人可参考与网络安全相关的国际标准及技术报告的要求来保证医疗器械产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。
|
|