美国食品药品监督管理局（FDA）于2018年10月18日发布了《医疗器械网络安全管理上市前申报指南》草案征求公众意见。相较于2014年版的指南，修订后的指南草案纳入了新建议：将医疗器械网络安全风险层级分为“高网络安全风险”和“标准网络安全风险”，引入网络安全物料清单(CBOM)概念。现就草案内容简介如下。

一、前言

该指南草案旨在向业界提供关于医疗器械网络安全设计、标识和上市前申报的建议。这些建议可以促进形成有效的上市前审查过程，有助于保证医疗器械的安全有效性。

二、范围

该指南草案适用于内含软件（包括固件）或可编程逻辑器件的医疗器械以及独立软件的上市前申报，包括上市前通知（510k）、再分类（de novo）、上市前批准（PMA）、产品开发协议（PDP）以及人道主义豁免（HDE）。

三、定义

网络安全：是防止未经授权的访问、修改、滥用或拒绝使用，或未经授权使用从医疗器械到外部接收者所存储、访问或传输信息的过程。

网络安全物料清单（CBOM）：一份清单包括但不限于商业、开放资源和现成的软件和硬件组件，这些组件可能易受网络脆弱性影响。

可信设备：包含硬件、软件和/或可编程逻辑器件的医疗器械，且：保证网络安全入侵和误用时的安全；提供合理的可得性、可靠性和正确操作的级别；能够执行预期功能；兼容普遍适用的安全程序。

四、通用原则和风险评估

制造商必须建立并维护用于确认医疗器械设计的程序，其中应包括软件确认和风险分析。网络安全物料清单是识别资产、威胁和责任的关键要素，也可用于支持采购控制的合规性。根据网络安全风险层级定义两类医疗器械：

（一）第1层“高网络安全风险”：该医疗器械能够通过有线或无线连接到另一个医疗器械、非医疗产品、网络或互联网，且医疗器械网络安全事件可能会直接导致多个病人发生伤害，如植入式心脏除颤器、心脏起搏器、脑和神经刺激器、透析设备、输注泵及其监控和程控设备。

（二）第2层“标准网络安全风险”：不满足第1层定义的医疗器械。

五、可信医疗器械设计

可信医疗器械网络安全设计应包括：

（一）识别和保护：防止所有未经授权的使用，确保代码、数据和执行的完整性，保护数据的保密性。

（二）探测、响应和恢复：及时探测网络安全事件，响应和遏制潜在网络安全事故的影响，具有网络安全事故受损的恢复能力。

六、标识

制造商应在标识中明确：预期使用网络环境、设备关键功能特性、备份与恢复、基础设施使用指南、网络安全配置硬化、网络端口与接口、授权下载流程、网络异常提示、日志记录、特权用户配置、网络架构框图、网络安全物料清单、技术说明书、服务终止信息。

七、网络安全文件

医疗器械网络安全上市前申报文件包括：

（一）设计文件

对于第1层医疗器械，提交文件证明医疗器械的设计符合可信网络安全设计的要求；对于第2层医疗器械，提交文件证明医疗器械的设计满足可信网络安全设计的要求，或者基于风险说明不适用于网络安全可信设计的理由。提供网络架构框图并详述网络安全设计情况，提供软件更新确认设计特征。

（二）风险管理文件

包括全生命周期的系统级别网络威胁模型、网络安全风险清单、网络安全风险控制措施、网络安全控制措施有效性测试、可追溯性分析矩阵、网络安全物料清单等内容。