醫療器械網絡安全注冊技術審查指導原則---網絡安全文檔

（一）基本考量

網絡安全更新（包括自主開發軟件和現成軟件）根據其對醫療器械的影響程度可分為以下兩類：

1.重大網絡安全更新：影響到醫療器械的安全性或有效性的網絡安全更新；

2.輕微網絡安全更新：不影響醫療器械的安全性與有效性的網絡安全更新，如常規安全補丁。

醫療器械產品發生重大網絡安全更新應進行許可事項變更，而發生輕微網絡安全更新通過質量管理體系進行控制，無需進行注冊變更，待到下次注冊（注冊變更和延續注冊）時提交相應注冊申報資料。醫療器械同時發生重大和輕微網絡安全更新，遵循風險從高原則應進行許可事項變更。

涉及召回的網絡安全更新應按照醫療器械召回的相關法規處理，不屬于本指導原則討論范圍。

軟件版本命名規則應考慮網絡安全更新的情況。

注冊申請人在提交注冊申報資料時，應根據醫療器械網絡安全的具體情況提交網絡安全描述文檔或常規安全補丁描述文檔。網絡安全描述文檔適用于產品注冊、重大網絡安全更新，常規安全補丁描述文檔適用于輕微網絡安全更新。

（二）網絡安全描述文檔

1.基本信息

描述醫療器械產品的相關信息：

（1）類型：健康數據、設備數據；

（2）功能：電子數據交換（單向、雙向）、遠程控制（實時、非實時）；

（3）用途：如臨床應用、設備維護等；

（4）交換方式：網絡（無線網絡、有線網絡）及要求（如傳輸協議（標準、自定義）、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式（標準、自定義）、容量等）；對于專用無線設備（非通用信息技術設備），還應提交符合無線電管理規定的證明材料；

（5）安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規格、完整版本、供應商、運行環境要求；

（6）現成軟件：描述現成軟件（包括應用軟件、系統軟件、支持軟件）的名稱、型號規格、完整版本和供應商。

2.風險管理

提供醫療器械網絡安全風險管理的分析報告和總結報告，確保全部剩余風險均是可接受的。

3.驗證與確認

提供網絡安全測試計劃和報告，證明醫療器械產品的網絡安全需求（如保密性、完整性、可得性等特性）均已得到滿足。同時還應提供網絡安全可追溯性分析報告，即追溯網絡安全需求規范、設計規范、測試、風險管理的關系表。

對于安全軟件，應提供兼容性測試報告。

對于標準傳輸協議或存儲格式，應提供標準符合性證明材料，而對于自定義傳輸協議或存儲格式，應提供完整性測試總結報告。

對于實時遠程控制功能，應提供完整性和可得性測試報告。

4.維護計劃

描述軟件（含現成軟件）網絡安全更新的維護流程，包括更新確認和用戶告知。

（三）常規安全補丁描述文檔

提交軟件（含現成軟件）常規安全補丁的情況說明（補丁描述、影響分析、用戶告知計劃）、測試計劃與報告、新增已知剩余缺陷情況說明（證明新增風險均是可接受的）。

文章摘自醫療器械網

更多具體事宜請咨詢中拓檢測，為您提供專業高效的醫療器械網絡注冊服務

直接聯系：【中拓檢測】