医疗器械数据安全白皮书（2023）.pdf

1、医疗器械数据安全白皮书医疗器械数据安全白皮书(2023 年年)人工智能医疗器械创新合作平台智能化医疗器械产业发展研究工作组中国信息通信研究院云计算与大数据研究所通用电气医疗投资（中国）有限公司深圳迈瑞生物医疗电子股份有限公司2023 年 10 月前言前言数字经济时代，全球数据呈现爆发性增长趋势，数据资源已成为国家基础战略性资源和社会生产的创新要素，是决定数字经济发展水平和竞争力的核心资源。然而，数据安全形势日益严峻，高价值数据泄露、个人信息滥用情况突出，加快提升数据安全保护措施和个人信息保护能力迫在眉睫。近年来，随着国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见国务院办公厅关于促进

2、“互联网+医疗健康”行业发展的意见关于深入推进“互联网+医疗健康”“五个一”服务行动的通知等政策文件的出台，以及大数据、人工智能等新型技术的发展，健康医疗数据应用、“互联网+医疗健康”和智慧医疗迎来蓬勃发展，新的业务形态不断出现。与此同时，各类新型技术、应用的出现使得医疗行业数据安全治理面临越来越多的挑战。医疗数据天然的敏感性决定了有关方面必须采取有效措施来应对数据安全合规风险和各类内外部风险。伴随着医疗信息化、智慧医疗的发展，具备网络连接功能以实现电子数据交换或远程控制的医疗器械种类及数量日益增多，互联网可以改善医疗服务，但是相应地也会面对网络安全风险。和其他的计算机系统一样，医疗器械也容易

3、受到安全漏洞的影响。因此在提升诊断效率与质量的同时，带来了遭受网络攻击的风险，医疗器械网络安全逐渐成为国家必须面对的重要问题。需要说明的是，本文是针对现阶段的行业发展现状总结形成，以供参考，对于内容中的差错与不足，烦请各界批评指正，我们将充分采纳和吸收各方面的宝贵意见和建议，进一步深入相关研究，持续完善相关内容，并以适当的方式向社会公布。目目 录录前言.4第一章 医疗器械数据安全发展概况.1一、医疗器械数据概念.1二、医疗器械信息化发展历程.2三、医疗器械数据安全需求背景与现状.23.1 医疗器械网络安全事件频发，引发数据泄露担忧.33.2 医疗数据形式多样、数据种类繁杂，用途多样，管控难度加

4、大.43.3 医疗数据价值日益凸显，数字经济发展进入快车道.5四、医疗器械数据应用场景.54.1 互联互通数据安全.64.2 远程医疗数据安全.64.3 汇聚中心数据安全.74.4 健康传感数据安全.74.5 移动应用数据安全.84.6 临床研究数据安全.94.7 商保对接数据安全.94.8 器械维护数据安全.9五、医疗器械数据价值日益显著.10第二章 全球医疗器械数据安全政策.12一、中国数据战略.12二、美国数据战略.14三、欧盟数据战略.15第三章 医疗器械数据安全存在风险和挑战.18一、医疗器械数据安全治理尚在初期.18二、医疗器械采集的数据具有临床性质.19三、医疗器械数据传输缺少足

5、够的机密性保护.19四、医疗器械数据的存储缺乏明确规范.20五、医疗器械使用时安全意识薄弱.21六、医疗器械数据委托处理缺少有效隔离措施.22第四章 医疗器械数据安全发展规划.23一、建立医疗器械数据安全管理体系.231.1 建立数据安全组织架构.231.2 健全数据安全管理制度.231.3 加强数据安全培训.251.4 数据安全技术工具.26二、夯实医疗器械基础数据安全.322.1 医疗器械网络安全管理.322.2 医疗器械数据安全治理.332.3 加强数据安全审计.352.4 提升数据安全应急响应能力.35第五章 医疗器械数据安全行业应用实践.37一、数据安全合规管理体系.371.1 GE

6、 医疗数据安全体系框架.371.2 GE 医疗数据安全管理能力.381.3 GE 数据安全技术能力.38二、数据安全全生命周期管理.392.1 管理体系.392.2 设计研发.392.4 运营管理.41三、数据安全建设框架.41四、医疗数据自动化分类分级.43五、移动客户端安全防护.435.1 移动端安全加固平台.435.2 移动端个人信息保护检测平台.445.3 移动客户端安全检测平台.45第六章 医疗器械数据安全发展展望.46一、明确要求，推动医疗器械数据安全发展.46二、鼓励创新，提升行业数据安全管理水平.47三、产业聚焦，打造产业健康生态.471第一章第一章 医疗器械数据安全发展概况医

7、疗器械数据安全发展概况一、一、医疗器械数据概念医疗器械数据概念根据 2022 年 3 月国家药品监督管理局发布的医疗器械网络安全注册审查指导原则（2022 年修订版）定义，医疗器械中的数据可分为医疗数据和设备数据。医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据（含日志），从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据，其中敏感医疗数据是指含有个人信息的医疗数据，反之即为非敏感医疗数据。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者活动情况的各种信息。如自然人的姓名、出生日期、身份证件号码、个人生物识别信息（含容貌信息）、住址、电话号码等。

8、设备数据是指记录医疗器械运行状况的数据（含日志），用于监视、控制医疗器械运行或者医疗器械的维护与升级，不得含有个人信息。注册申请人需基于医疗器械相关数据的类型、功能、用途，结合网络安全特性考虑医疗器械网络安全要求。同时，保证敏感医疗数据所含个人信息免于泄露、滥用和篡改，以及医疗数据和设备数据的有效隔离（如访问权限控制等方法）。医疗器械数据还包括医疗器械研发、产品生产、运输、经营管理、产品使用、产品售后以及相关产业链上中下游等信息。包括但不限于设计图纸，零部件清单、设计软件、客户订单、制造工艺、售后资料等。医疗数据一是因其数据价值高、敏感程度高、数据体积大、覆盖2范围广、应用场景杂等特点，针对医

9、疗数据的窃取活动呈明显增加趋势，相关数据安全事件频发；二是伴随着网络技术的发展与业务数字化转型的深入，医疗数据逐步从以往局限于内网中使用向外网、云平台等处流通应用，相关数据安全风险进一步增加。二、二、医疗器械信息化发展历程医疗器械信息化发展历程时间时间里程碑里程碑19198 80 0S S以微处理器为核心的智能仪器（如自动化生化分析仪、血球计数器、免疫分析仪等）进入临床实验室2 2000000S S医疗信息化开始逐步推进，包括医院管理信息化、医疗设备信息化2 2010010S S新医改”强调信息化的支柱地位，医疗信息化迎来新一轮发展高峰。2 2018-018-至今至今人工智能、大数据等新型技术

10、引入，医疗器械数据安全新高度三、三、医疗器械数据安全需求背景与现状医疗器械数据安全需求背景与现状近年来，信息技术与卫生健康行业深度融合，医疗数据体量越来越大。医疗数据是产生于医疗机构诊疗活动关于患者的生理和健康状况的数据。作为电子化信息本身，这些来自广大地理范围内的各类感知数据不可避免地蕴含着患者的大量时间和空间信息，其敏感性较高，一旦泄露可能影响患者个人隐私保护、医疗行业发展乃至国家卫生安全。因此，医疗数据安全至关重要。其中，医疗器械数据作为医疗数据的范畴之一，更值得重视和关注。2022 年 3 月，国家卫生健康委发布国家三级公立医院绩效考核操作手册（2022 版），对大型医疗器械指标进行了

11、修订，进一步强调医疗器械网络安全。医疗器械是医疗卫生机构资产构成的重要组成部分，也是临床科室完成正常医疗诊治的重要保障。在医改处于攻坚阶段的形势下，大型公立医院虹吸现象仍然客观存在，院内医疗器械均高负荷运转。据调查分析，某医院每台 PET-CT 设备的年均治疗人次达 6000 以上，彩3超机多达 1.5 万人次，产生大量医疗数据。然而，在医疗器械管理领域，针对数据安全的重视程度亟待加强。部分医疗器械仍存在不同程度连接互联网和开启远程控制的现象，尤其很多医疗器械为进口，通过跨境服务器可能导致医疗数据出境，具有较高安全隐患。3.1 医疗器械网络安全事件频发，引发数据泄露担忧医疗器械网络安全事件频发

12、，引发数据泄露担忧伴随着医疗信息化、智慧医疗的发展，医疗设备种类及数量日益增多，医疗设备网络安全逐渐成为国家必须面对的重要问题。2019 年 3 月，某品牌心脏除颤仪所使用的 Conexus 无线遥测协议存在网络安全漏洞，未使用加密、身份验证或授权，可能导致未经授权的个人访问并操纵可植入设备。2019 年 6 月，某品牌部分型号及版本的胰岛素泵存在潜在的网络安全风险，攻击者可以通过更改胰岛素泵设置的手段，向患者过度输送胰岛素或停止输送胰岛素，导致高血糖和糖尿病酮症酸中毒。2019 年 7 月，美国国土安全部下属的网络安全和基础设施安全局发布了一份名为URGENT/11的网络安全漏洞公告，该公告

13、中记录了由相关安全研究人员在当时使用最为广泛的嵌入式设备实时操作系统VxWorks 中所发现的 11 个高危漏洞。同年 10 月，美国食品药品监督管理局向患者、医疗器械厂商及相关工作人员通报了该漏洞，该漏洞与在医疗器械中广泛使用的第三方通信组件 IPnet 有关，可导致攻击者在没有用户交互的情况下征用医疗器械，并更改或禁用其相关的功能，主要受影响的医疗器械包含影像系统，输液泵和麻醉机等。2022 年 6 月，某基因测序仪的本地运行管理软件存在网络安全漏4洞，可以实现对基因测序仪进行远程控制外，还可以影响患者的临床测序结果，从而导致诊断过程中的结果被篡改。3.2 医疗数据形式多样、数据种类繁杂，

14、用途多样，管控难度加大医疗数据形式多样、数据种类繁杂，用途多样，管控难度加大医疗器械种类众多，增长迅速。一方面，医疗器械信息化水平相较其他行业存在一定差距，在设计之初缺乏安全考虑，自身安全防护能力薄弱，一旦攻击者接入医疗卫生机构内部网络，医疗器械数据极易泄露或被篡改。另一方面，医疗器械种类与数量都有大幅增长，医疗设备接入医疗机构网络内，连接条件、连接方式、数据类型多种多样，传统数据防护工具无法满足现有医疗环境下数据安全需求，治理难度加大。医疗器械防护能力较差。医疗器械主要为满足医疗环境下检验检测与治疗需求。因此，医疗器械一般优先满足可靠性、可用性需求，避免了因医疗器械故障造成的安全事故和损失。

15、但在计算、存储、系统以及网络等资源方面存在一定限制，无法部署安装传统网络和数据安全防护工具，容易遭受恶意入侵。安全建设能力不足，数据安全建设处于起步阶段。在过去的十多年时间，医疗卫生机构已建立以网络安全等级保护定级为基础，围绕制度、组织、人员、建设、运维等安全管理措施，构建了一体化网络安全保障体系。在边界网络防护、攻击风险监测、防病毒、身份认证等方向建设投入大量精力，建设成果丰硕。但在数据安全上，整体来看，尚处于起步阶段，距离个人信息保护法数据安全法等相关法律要求还有一定差距。53.3 医疗数据价值日益凸显，数字经济发展进入快车道医疗数据价值日益凸显，数字经济发展进入快车道随着大数据、人工智能

16、、区块链、云计算等新技术和医疗器械产业快速发展与融合，为传统医疗体系的变革提供契机。可穿戴设备为个人健康提供动态实时监测，助力疾病预防和诊后管理；人工智能技术为医疗诊治效果分析、影像分析以及疾病康复提供了精准支持。数字医疗规模增长迅速，随着我国人民生活水平提高、人口老龄化不断加剧和居民健康管理意识的增强，我国医疗和健康服务需求不断提高，海量化的数据正呈现爆发式、几何式的增长，数据湖、主数据管理等数据关键技术将逐步规模化应用正在驱动整个医学的发展。我国医疗健康大数据产业规模不断扩大，从 2015 年的 18.67 亿元增长至 2021 年的 212.56 亿元，年均复合增长率约为 50%，初步统

17、计 2022年我国医疗大数据的市场规模约增加至 301.36 亿元。数据安全已成为我国总体国家安全的重要组成部分。数据是经济发展的重要生产要素和核心引擎，是开展医疗数字化的关键。关于构建数据基础制度更好发挥数据要素作用的意见数字中国建设整体布局规划“十四五”数字经济发展规划关于进一步完善医疗卫生服务体系的意见 关于促进“互联网+医疗健康”发展的意见等政策文件相继布局数字医疗产业发展，不断加大对数字基础设施的投资，数字医疗产业加速增长。四、四、医疗器械数据应用场景医疗器械数据应用场景随着人们的健康保护意识不断提升，各种医疗健康设备也不断走向大众视野，根据医疗器械的用途和性质，可将目前医疗器械发展

18、较6快，潜力较大的八类细分领域进行研究：影像设备、体外诊断、监护设备、家用医疗器械、可穿戴设备、高值耗材、口腔设备、医用机器人。医疗器械重点领域类别主要产品影像设备CT、核磁、超声、DR 血管造影机、乳腺机、胃肠机等体外诊断基因测序仪、生化分析仪、时间分辨荧光检测仪、酶标仪，和各类配套诊断试剂监护设备多参数监护仪、心电监护仪等家用医疗器械体温计、氧气囊、轮椅、血糖仪、血压计、急救箱等家用器械智能可穿戴设备智能眼镜、智能手表、智能腕带、智能跑鞋、智能戒指、智能腰带、智能头盔等高值耗材血管介入类、消化道介入类、骨科植入、颅内植入、起搏器等口腔设备口腔综合治疗设备、牙钻机及配件、牙科椅、补牙设备等医

19、用机器人手术机器人、外骨骼机器人等资料来源：九次方大数据研究院基于医疗器械数据在不同角色之间的流转，可以将以上八大细分领域的医疗器械数据应用安全场景分为以下几类：4.1 互联互通数据安全互联互通数据安全医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同，需要在各医疗机构、医联体信息平台之间实现数据（电子病历、电子健康档案等）的互联互通与信息共享。在此场景下，医院的医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料以及医疗器械等敏感数据进行访问浏览，以及通过内部信息共享交换系统进行文件数据传输、存储等操作时，均可能导致医患隐私等重要

20、信息面临泄露风险。4.2 远程医疗数据安全远程医疗数据安全一方医疗机构为邀请其他医疗机构对其诊疗患者提供技术支持等7医疗活动时，需要运用通讯、计算机及相关网络技术手段，过程中涉及近端/远端医院、患者，以及远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方参与。在此场景下，近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。如果远程诊疗网络出现被不明身份人员接入、相关服务器和终端存在病毒或漏洞等问题，则数据在远程诊疗过程中将面临由非法接入、漏洞攻击、病毒感染等导致的敏感数据被非法访问、窃取篡

21、改、恶意上传等风险。4.3 汇聚中心数据安全汇聚中心数据安全汇聚中心是指区域卫生信息平台、健康医疗大数据中心、学会数据中心、医院内部数据中心等为医生、患者、第三方的“诊疗参考、健康管理、分析利用”相关需求提供数据应用支撑的平台机构。在此场景下，汇聚中心涉及跨机构数据汇聚，集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息，A 医院医生会通过汇聚中心调阅某患者在 B 医院就诊时的健康医疗信息。如果没有建立对中心数据分级标注以及颗粒度匹配等机制，将面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全风险。4.4 健康传感数据安全健康传感数据安全健康传感数据是指通

22、过健康传感器收集的如个人身份信息、生活方式等与被采集者个人属性及健康状况相关的数据，主要应用于健康8监测、慢性疾病的治疗、康复护理等领域。一般是具备传感、无线通信等功能的、可直接穿戴在身上的医疗或者健康电子设备，通过软件，可以实现感知、记录、分析、调控、干预佩戴者的健康状态等功能。在使用的过程中可能涉及对个人数据的处理。例如远程监护，利用健康传感器实时、持续地监测患者的生命体征，再将获取到的数据传送给医护人员，医护人员通过获取的信息可以及时对患者的情况进行判断与处理。在此过程中，会对患者的生命体征数据进行采集、计算和传输。在此场景下，健康传感数据在采集、存储、使用阶段均存在着不同的安全隐患，应

23、评估各个阶段的安全风险并针对安全风险建立安全防护手段以保证健康传感数据的安全。4.5 移动应用数据安全移动应用数据安全移动应用数据是指通过网络技术为个人提供的在线健康医疗服务（如在线问诊、在线处方）或健康医疗信息服务应用（如个人电子健康档案）中设涉及的个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息。在此场景下，用户的隐私信息可能在经应用界面对外展示环节面临数据泄露风险；用户手机丢失、被窃后，其移动应用登录密码设置如过于简单，应用内数据可能被非授权人员登录浏览、截屏导致隐私信息泄露；同时，与应用程序相关的信息系统，因与大量移动设备进行数据传输，亦可能经

24、移动端感染病毒或被植入恶意程序。94.6 临床研究数据安全临床研究数据安全临床研究数据一般是指由医院、学术研究机构和医疗企业发起的，以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究中，所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息。在此场景下，参与临床研究的医患及有关信息，在通过专线、互联网线路、VPN 等链路进行传输，被临床试验电子系统的用户进行访问或被交由医疗机构进行存储和使用等过程中面临诸多数据安全风险。4.7 商保对接数据安全商保对接数据安全商业保险公司通过与医疗机构建立连接的医疗信息系统，及时掌握个人健康医疗信息主体的诊

25、疗情况及发生的相关费用信息，例如：个人属性信息、健康状况信息、医疗应用信息、医疗资金与支付信息、卫生资源信息等数据，从而根据商业保险机构的核赔规则自动进行支付结算等理赔业务。在此场景下，投保用户的健康医疗信息将由医疗结构向商业保险机构进行披露，因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险。如果双方在数据对接的前、中、后三个阶段中，没有形成具有法律约束性的、权责分明的正式协议，没有建立起有效的数据管理机制，则可能导致商保对接数据的泄露。4.8 器械维护数据安全器械维护数据安全医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据，影像系统可

26、能涉及病人的影像和影像10诊断报告，检验系统可能涉及病人的检验、检查报告及检验结果；此外，需保存的器械维护历史记录包括：维护的内容、维护的原因、维护的时间、维护的操作人员等信息。在此场景下，医疗器械厂商在进行远程维护时，可能会读取器械的维护记录和日志报告，用以分析医疗器械失败原因；也可能读取医疗器械产生的数据，用以分析应用的安全性和有效性。在以上流程中，数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险。根据医疗器械的具体应用场景的不同，梳理了医疗器械中采集、处理数据需要注意的合规要点，通过医疗器械采集和处理患者信息需要获取个人同意，如涉及个人敏感信息，还应遵守个保法其

27、他相关规定；医疗器械在远程维护时要做到设备数据和医疗数据的有效隔离以及个人信息去标识化；医疗器械中的医疗数据如涉及出境，须注意本地化存储和进行安全评估审核。五、五、医疗器械数据价值日益显著医疗器械数据价值日益显著当前，随着医疗数据价值的日益提升，医疗器械行业对患者数据的采集、合并与分析能力不断进步，包括机器学习能力在内的人工智能技术快速发展，数字医疗软件逐渐成为许多医疗器械产品的重要组件。然而，由于医疗器械数据具有高度敏感性，且许多医疗器械厂商提供患者数据收集、存储与分析等服务，2021 年 11 月，工业和信息化部、国家卫生健康委、国家发展改革委等 10 个部门联合发布“十四五”医疗装备产业

28、发展规划（下称“规划”）。规划特别指11出，医疗装备发展要统筹发展和安全，坚持安全第一的基本原则，将安全生产、产品质量作为发展生命线，利用各种安全技术提升产品安全防护能力、信息数据安全保护能力，筑牢风险防范的屏障和堤坝。2022 年 2 月工信部发布“十四五”医药工业发展规划提出“医疗器械是关系国计民生、经济发展和国家安全的战略性产业，是健康中国建设的重要基础。”2022 年 3 月，国家药监局发布医疗器械网络安全注册审查指导原则（2022 年修订版）。该指导原则重点关注医疗器械产品全生命周期过程中网络安全问题，包括医疗器械产品的设计开发、生产、分销、部署和维护。其中明确指出，医疗器械安全出现

29、问题不仅会侵犯患者的隐私，而且可能会产生医疗器械非预期运行的风险，导至患者或使用者受到伤害或死亡。2022 年 8 月，国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法，这个管理办法贯穿了全生命周期管理的主导思想，强调医疗卫生机构安全管理应围绕着顶层设计和制度保障两个要点着力推进。要求建立网络安全管理的制度体系，加强网络安全防护，通过管理和技术手段保障数据安全和数据应用的有效平衡。2022 年 11 月，国家卫生健康委联合国家中医药局、国家疾控局共同印发“十四五”全民健康信息化规划，提出加强医疗设备相关网络和数据安全监管，全面落实网络安全管理要求，不断深化在行业治理

30、、智能医疗设备等领域的创新应用。12第二章第二章 全球医疗器械数据安全政策全球医疗器械数据安全政策目前世界各国已针对医疗器械数据安全进行研究，各国监管机构也相继发布一系列政策指导文件，对医疗器械数据安全进行引导和规范。一、一、中国数据战略中国数据战略随着网络安全法数据安全法个人信息保护法以及关键信息基础设施安全保护条例等一系列法律法规和标准的出台，党中央、国务院及医疗监管部门相继发布一系列政策指导文件，逐步完善医疗器械网络安全与数据安全体系。2017 年 1 月国家食品药品监督管理总局（NMPA）发布了医疗器械网络安全注册技术审查指导原则，将中华人民共和国网络安全法的基本原则应用到了医疗器械领

31、域。自 2018 年起，制造商应根据医疗器械产品特性提交网络安全注册申报资料。制造商应当结合医疗器械产品的预期用途、使用环境和核心功能以及相连设备或系统（如其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，并采用基于风险管理的方法来保证医疗器械产品的网络安全。2019 年，为进一步加强医疗器械全生命周期的监督管理，创新新模式，国家药监局制定了医疗器械唯一标识系统规则（下称“规则”）。规则明确了医疗器械唯一标识系统建设的目的、适用对象、建设原则、各方职责和有关要求，由医疗器械唯一标识、唯一标识数据载体和唯一标识数据库组成。医疗器械唯一标识是指在医疗器械产品或者包装上附载的，由数

32、字、字母或者符号组成的代码，用于13对医疗器械进行唯一性识别；医疗器械唯一标识数据载体是指存储或者传输医疗器械唯一标识的数据媒介；医疗器械唯一标识数据库是指存储医疗器械唯一标识的产品标识与关联信息的数据库。规则提出，医疗器械唯一标识数据载体应当满足自动识别和数据采集技术以及人工识读的要求。如空间有限或者使用受限，应当优先采用符合自动识别和数据采集技术的载体形式。随着规则的发布实施，建立唯一标识系统有利于实现监管数据和共享，创新监管模式，提升监管效能，加强医疗器械全生命周期管理，净化市场、优化营商环境，实现政府监管与社会治理相结合，形成社会共治的局面，助力产业转型升级和健康发展，提升医疗器械管理

33、水平和效能，有力保障公众用械安全有效。随后 2022 年，国家药监局器审中心组织制定了医疗器械网络安全注册审查指导原则(2022 年修订版)。新修订的医疗器械网络安全指导原则针对网络安全概念进行了梳理，重点对网络安全应急响应、网络安全更新、全生命周期质控、数据出境、软件维护与升级、自研软件安全评估与管理等进行修订。2022 年 8 月，国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法，这个管理办法贯穿了全生命周期管理的主导思想，强调医疗卫生机构安全管理应围绕着顶层设计和制度保障两个要点着力推进。要求建立网络安全管理的制度体系，加强网络安全防护，通过管理和技术手段保障

34、数据安全和数据应用的有效平衡。142022 年 11 月，国家卫生健康委联合国家中医药局、国家疾控局共同印发“十四五”全民健康信息化规划，提出加强医疗器械相关网络安全和数据安全监管要求，全面落实网络安全管理要求，不断深化在行业治理、智能医疗器械等领域的创新应用。文件号文件名称发行年份2012017 7 年第 1 13 3 号医疗器械网络安全注册技术审查指导原则20172017 年 1 1 月 2020 日2 201019 9 年第 6 66 6 号医疗器械唯一标识系统规则2 2019019 年 8 8 月 2 26 6 日2 2022022 年第 7 7 号医疗器械网络安全注册审查指导原则(2

35、022(2022 年修订版)20222022 年 3 3 月 7 7 日国 卫 规 划 发202220222929 号医疗卫生机构网络安全管理办法20222022 年 8 8 月 8 8 日国 卫 规 划 发202220223030 号“十四五”全民健康信息化规划20222022 年 1111 月 7 7 日二、二、美国数据战略美国数据战略美国 FDA（美国食品药品监管局）是医疗器械网络安全政策制定方面的先驱，发表了这个领域内的第一篇指南也是第一个对器械上市前网络安全管理提出要求的监管机构，它的指南文件“Content ofPremarket Submissions for Managemen

36、t of Cybersecurity in MedicalDevices”也被很多国家参考。此份指南性文件向行业提供关于网络安全设备设计、标签及 FDA 为可能存在网络安全风险的设备在上市前申报文件中需要体现的建议性内容。FDA 第一次提出了“网络安全物料清单”（CSBOM）的概念，将其定义为可能易受网络安全风险影响的商业，开源和现成软件和硬件列表，认为这可能成为安全漏洞识别工作中的关键性因素，所以在上市前申报文档之中必须包括此安全物料清单。制造商应该利用 CSBOM 更精确的来实施网络安全风险管理流程，以识别其设备，软件和系统的哪些组件更容易受到网络事件或攻击的影响。FDA 将其网络安全要求

37、与美国国家标准技术研究院（NIST）的网络安全15框架紧密联系在一起，后者是全球公认的框架，为制造商提供了公认的风险和影响评估工具，以确定网络安全风险和脆弱性。在 2016 年发布的 Postmarket Management of Cybersecurity in Medical Devices指南中不仅囊括了新医疗器械和产品，也把上市后和临床上应用的医疗器械纳入其中，即:要求制造商、供应商有能力及时鉴别和处理网络安全所带来的各种技术问题，建立网络安全共管系统，更好地研究新对策和开发新方法。指南还引入了很多新的概念如补偿控制，受控/非受控风险和网络安全预警信号等。此外它还介绍了威胁建模的概念

38、并参考 AAMI TIR57 扩展了有关安全风险管理的建议。在医疗器械产品中网络漏洞的披露和处理上，FDA 鼓励生产商采取自由裁量权，前提是生产商需要遵循 21 CFR part 806 的规定以及 H-ISAC 对于信息披露的指南文件。文件号文件名称中文名称发布日期FDAFDA-2020-2020-D-D-0957-0957FDA,GuidanceFDA,GuidanceforforIndustry:Industry:CybersecurityCybersecurity forfor NetworkedNetworkedMedicalMedicalDevicesDevicesContaini

39、ngContainingOff-The-ShelfOff-The-Shelf(OTS)(OTS)SoftwareSoftware行业指南-包含现成（OTSOTS）软件的网络医疗器械的网络安全2 2005005 年 1 1 月 1 14 4 日FDAFDA-2013-2013-D D-0 0616616ContentContentofofPremarketPremarketSubmissionsSubmissionsforforManagementManagementofof CybersecurityCybersecurity inin MedicalMedicalDevicesDevices

40、医疗器械网络安全管理上市前提交的内容2 2014014 年 1 10 0 月 2 2 日F FDA-2015-D-5105DA-2015-D-5105PostmarketPostmarketManagementManagementofofCybersecurityCybersecurityininMedicalMedicalDevicesDevices医疗器械网络安全上市后管理2 2016016 年 1 12 2 月 2 28 8 日FDA-2021-D-1158FDA-2021-D-1158CybersecurityCybersecurityininMedicalMedicalDevices

41、:Devices:QualityQualitySystemSystemConsiderationsConsiderationsandandContentContentofof PremarketPremarket SubmissionsSubmissions医疗器械网络安全指南2 2022022 年 4 4 月 8 8 日三、三、欧盟数据战略欧盟数据战略2017 年 5 月 5 日，欧盟医疗器械法规（REGULATION(EU)2017/745，16简称 MDR）正式发布，并于 2017 年 5 月 26 日正式生效。欧盟委员会于 2020 年 4 月 17 日通过关于 MDR 实施日期推迟一

42、年的建议，MDR 生效日期推迟至 2021 年 5 月 26 日。2017 年 5 月 5日欧盟体外诊断医疗器械法规（IVDR）正式发布，于 2017 年 5 月 25日正式生效，并于 2022 年 5 月 26 日实施。自实施之日起，IVDR 将取代原欧盟体外诊断设备指令（IVDD）。欧洲医疗器械协调小组（MDCG）于 2019 年 12 月颁布了 MDCG2019-16 指导原则“Guidance on Cybersecurity for Medical Devices”，该指导原则旨在就如何满足 MDR 和 IVDR 附件 I 关于网络安全的所有相关基本要求向制造商提供指导。MDCG 的

43、指导原则与其他指南文件的不同之处在于，它是由所有成员国一起撰写，根据 MDR 和 IVDR 法规，欧盟市场上投放的医疗器械需确保满足网络安全风险相关的技术挑战的新要求。因此，提出了针对含电子编程系统和软件（本身就是医疗器械）的医疗器械新的基本安全要求。制造商需要按照要求在考虑风险管理原则（包括信息安全性）的同时，根据最新技术开发和制造其产品，并就 IT 安全措施（包括防止未经授权的访问）制定有关的最低要求。指导原则涵盖了上市前和上市后网络安全的要求，并概述了与每个类别相对应的活动。文中提到一些重要的网络安全要求在 MDR 中并未明确表述，尤其是与医疗器械使用相关的数据的隐私和机密性，这些要求需

44、要与其他法规，如通用数据保护条例（GDPR）一起考虑。我们熟知 ISO 14971 是对单个医疗器械风险管理的指导，它提出了一个概念叫“合理可预见的滥用”，规定了制造商应在合理可预见的情况17下评估风险，而对于涉及网络安全的风险，制造商更要考虑这些风险会不会被作为恶意攻击的对象，概率大小。指南的第三部分着眼于设计控制和生产过程，其中产品设计控制，需要考虑充分实现“设计安全”和“纵深防御”的理念，制造商可以参考工业界被广泛运用的 IEC62443 系列标准和 IEC/ISO TR 80001-2-2。另一个对于实现网络安全至关重要的方面是风险控制，在指南的 3.5 章节、MDR Annex I

45、都有详细的说明，医疗器械网络风险管理的对象是整个医疗 IT 网络，当制造商在进行风险-收益分析时候，一定要合理的平衡安全性、有效性、网络信息安全性，需要在它们之间作出取舍时，应以病人利益为核心进行优先级的安排，即安全性具有最高优先级，有效性次之，信息安全再次。指南的 3.6 章节规范了生产商 IT 系统最低配置要求，这与 MDRAnnex I 中针对 IT 环境设置的要求一致，包括了明确系统整体需求，设立对硬件设施，网络环境和安全措施的要求。对比美国和欧盟针对网络安全的要求，FDA 监管深入到产品级，要求制造商根据风险对产品组成部分划分不同风险级别，属于主动防御，而欧盟相对要宽泛，属被动防御。

46、文件号文件名称中文名称发行年份法规 2017/7452017/745MedicalMedicalDevicesDevices(MDR)(MDR)：RegulationRegulation(EU)(EU)2017/7452017/745欧盟医疗器械法规20172017 年 5 5 月 2 26 6 日法规 2017/7462017/746In-vitro-DiagnosticIn-vitro-DiagnosticMedicalMedicalDeviceDeviceRegulationRegulation(IVDR)(IVDR)：RegulationRegulation(EU)(EU)2017/7

47、462017/746欧盟体外诊断医疗器械20172017 年 5 5 月 5 5 日MDCGMDCG 2019-162019-16MDCGMDCG2019-162019-16GuidanceGuidanceononCybersecurityCybersecurityforformedicalmedicaldevicesdevices医疗器械网络安全指南20192019 年 1 12 2 月18第三章第三章 医疗器械数据安全存在风险和挑战医疗器械数据安全存在风险和挑战随着技术发展，医疗器械联网设备激增，分布广泛，应用场景多样，并展露出类型多、型号多、远程运维方式多的“三多”趋势，直接导致安全风险

48、暴露面的增加，原有的安全手段难以应对，由此引发的医疗网络安全风险和挑战与日俱增，主要体现在几个方面：一、一、医疗器械数据安全治理尚在初期医疗器械数据安全治理尚在初期经过等保的推动和落地，大部分医院系统都具有明确的网络安全规范要求，依赖于等保评估的网络安全整改，医院在宏观系统的网络防护层面建设相对成熟。但聚焦于医疗器械场景下，目前现有的医疗器械网络安全防护体系主要参考指导原则，但基于指导原则中针对医疗器械网络安全能力建设，仅给出 22 种网络安全能力的简要说明，尚未明确与医疗器械（类别：一类、二类、三类）风险等级（低、中、较高）相匹配的网络安全能力建设标准，再加上部分医疗器械厂商关注业务正常运行

49、的考量而忽略其网络安全能力的建设，导致医疗器械在初期设计研发中缺少实现数据保护功能的相应组件，尤其是在数据存储机密性和传输机密性等方面，缺乏相对应的安全防护机制。同时，医疗器械数据安全缺少能够贯穿整体数据生命周期的管理规程和标准，相应的数据安全监管措施无法得到落实，考核体系也无从建立，距离建立符合个人信息保护法、数据安全法以及网络数据安全管理条例（征求意见稿）的成熟数据安全体系还相差甚远。19二、二、医疗器械采集的数据具有临床性质医疗器械采集的数据具有临床性质区别于日常网络系统的数据安全治理，医疗器械往往存储着大量的患者个人信息（如身份证号、医保卡号、家庭住址、银行卡号等）以及医生数据诊疗信息

50、（病症处方、检验结果）等医疗数据，同时医疗器械数据还具有其独特的临床性质，即大部分医疗器械中存储着检查、检验过程中具体的化学药物用量或相关设备数据，该部分数据直接作用或间接影响着医生的实际诊疗过程。因此，如果医疗器械未能做到有效的数据安全防护，从而导致敏感信息泄露，不仅仅会造成医患信息泄露，对患者的个人隐私保护造成侵害，同时还有可能影响到医疗器械本身的使用，即攻击者通过特殊手段恶意篡改医疗器械底层数据，导致其无法正常运行，更有甚至会直接影响医院的正常运作。三、三、医疗器械数据传输缺少足够的机密性保护医疗器械数据传输缺少足够的机密性保护数据传输本质上就是数据从一个实体传输到另一个实体上的过程，由