美国食品药品管理局（FDA）于2018年10月18日发布了《医疗器械网络安全管理上市前申报指南草案》（以下简称“指南草案”），征求公众意见。该指南草案旨在向业界提供关于医疗器械网络安全设计、标识和上市前申报的建议。这些建议可以促进形成有效的上市前审查过程，有助于保证医疗器械的安全有效性。相较于2014年版的指南，修订后的指南草案纳入了新建议：将医疗器械网络安全风险层级分为“高网络安全风险”和“标准网络安全风险”，并引入网络安全物料清单（CBOM）概念。

　　现就草案内容简介如下。

　　范围

　　该指南草案适用于内含软件（包括固件）或可编程逻辑器件的医疗器械以及独立软件的上市前申报，包括上市前通知（510k）、再分类（de novo）、上市前批准（PMA）、产品开发协议（PDP）以及人道主义豁免（HDE）。

　　定义

　　网络安全：是防止未经授权的访问、修改、滥用或拒绝使用，或未经授权使用从医疗器械到外部接收者所存储、访问或传输信息的过程。

　　网络安全物料清单（CBOM）：一份清单包括但不限于商业、开放资源和现成的软件和硬件组件，这些组件可能易受网络脆弱性影响。

　　可信设备：包含硬件、软件和/或可编程逻辑器件的医疗器械，且保证网络安全入侵和误用时的安全，提供合理的可得性、可靠性和正确操作的级别，能够执行预期功能，兼容普遍适用的安全程序。

　　通用原则和风险评估

　　制造商必须建立并维护用于确认医疗器械设计的程序，其中应包括软件确认和风险分析。网络安全物料清单是识别资产、威胁和责任的关键要素，也可用于支持采购控制的合规性。根据网络安全风险层级定义两类医疗器械：

　　第一层为“高网络安全风险”。该医疗器械能够通过有线或无线连接到另一个医疗器械、非医疗产品、互联网，且医疗器械网络安全事件可能会直接导致多个患者发生伤害，如植入式心脏除颤器、心脏起搏器、脑和神经刺激器、透析设备、输注泵及其监控和程控设备。

　　第二层为“标准网络安全风险”。即不满足第一层定义的医疗器械。

　　可信医疗器械设计

　　可信医疗器械网络安全设计应包括：

　　识别和保护：防止所有未经授权的使用，确保代码、数据和执行的完整性，保护数据的保密性。

　　探测、响应和恢复：及时探测网络安全事件，响应和遏制潜在网络安全事故的影响，具有网络安全事故受损的恢复能力。

　　标识

　　制造商应在标识中明确以下内容：预期使用网络环境、设备关键功能特性、备份与恢复、基础设施使用指南、网络安全配置硬件、网络端口与接口、授权下载流程、网络异常提示、日志记录、特权用户配置、网络架构框图、网络安全物料清单、技术说明书、服务终止信息。

　　网络安全文件

　　医疗器械网络安全上市前申报文件包括：设计文件：对于第一层医疗器械，提交文件证明医疗器械的设计符合可信网络安全设计的要求；对于第二层医疗器械，提交文件证明医疗器械的设计满足可信网络安全设计的要求，或者基于风险说明不适用于网络安全可信设计的理由。提供网络架构框图并详述网络安全设计情况，提供软件更新确认设计特征。

　　风险管理文件：包括全生命周期的系统级别网络威胁模型、网络安全风险清单、网络安全风险控制措施、网络安全控制措施有效性测试、可追溯性分析矩阵、网络安全物料清单等内容。（ 作者：国家药监局医疗器械技术审评中心 宋美艳）

(责任编辑：)