HIPAA(Health Insurance Portability and Accountability Act)

健康保险可携带与责任法案

美国HIPAA出台之前，医疗卫生行业针对保护患者健康信息没有通用的要求或安全标准。由于无规可循，医疗服务提供商不能自信地断言病人敏感数据得到了适当保护。但在“健康保险可携带与责任法案”(HIPAA)经联邦政府审议通过之后，医疗服务提供商便有了需要遵循的明确标准和要求，以确保妥善地保存、转移和传输病例和病患信息。

安全规则需要适用于以电子形式接收、传输或存储的可单独识别的健康信息（称为ePHI）包括:

- 隐私规则

- 交易规则和代码集

- 唯一标识符规则(国家提供者标识符)

- 执行规则等等

HIPAA的“安全规则”针对其所涉及到的实体规定了保障措施，包括行政管理保障措施(Administrative Safeguards)、物理保障措施(PhysicalSafeguards)和技术保障措施(Technical Safeguards)。

Cybersecurity信息安全

信息安全-是防止未经授权的访问、修改、误用或拒绝的过程使用或未经授权使用存储、访问或从数据库传输的信息向外部接受者提供医疗器械。

医疗器械网络安全是指保持医疗器械相关数据的保密性（confidentiality）、完整性（integrity）和可得性（availability）

保密性：指数据不能被未授权的个人、实体利用或知悉的特性，即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问；

完整性：指保护数据准确和完整的特性，即医疗器械相关数据是准确和完整的，且未被篡改;

可得性：指根据授权个人、实体的要求可访问和使用的特性，即医疗器械相关数据能以预期方式适时进行访问和使用。

另外，医疗器械网络安全特性还包括真实性（authenticity）、可核查性（accountability）、抗抵赖（non-repudiation）和可靠性（reliability）等。

见GB/T 29246-2012。医疗器械的网络安全应当符合相应法律法规和部门规章的要求。

医疗器械产品的网络安全特性

应当基于医疗器械相关数据的类型、功能、用途、交换方式及要求，并结合医疗器械产品的预期用途、使用环境和核心功能以及预期相连设备或系统（如其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，并采用基于风险管理的方法来保证医疗器械产品的网络安全：识别资产（asset，对个人或组织有价值的任何东西）、威胁（threat，可能导致对个人或组织产生损害的非预期事件发生的潜在原因）和脆弱性（vulnerability，可能会被威胁所利用的资产或风险控制措施的弱点），评估威胁和脆弱性对于医疗器械产品和患者的影响以及被利用的可能性，确定风险水平并采取适宜的风险控制措施，基于风险接受准则评估剩余风险。

（一）数据考量（数据类型及数据交换方式）

医疗器械相关数据从内容上可分为2种类型：

健康数据：标明生理、心理健康状况的私人数据（“Private Data”，又称个人数据“Personal Data”、敏感数据“Sensitive Data”，指可用于人员身份识别的相关信息），涉及患者隐私信息；

设备数据：描述设备运行状况的数据，用于监视、控制设备运行或用于设备的维护保养，本身不涉及患者隐私信息。

医疗器械相关数据的交换方式可分为以下两种情况：

网络：通过网络（包括无线网络、有线网络）进行电子数据交换或远程控制，需要考虑网络相关要求（如接口、带宽等），数据传输协议需考虑是否为标准协议（即业内公认标准所规范的协议），远程控制需考虑是否为实时控制；

存储媒介：通过存储媒介（如光盘、移动硬盘、U盘等）进行电子数据交换，数据储存格式需考虑是否为标准格式（即业内公认标准所规范的格式）。

（二）技术考量

用户访问控制机制应当与医疗器械产品特性相适应，

包括但不限于用户身份鉴别方法（如用户名、口令等）、用户类型及权限（如系统管理员、普通用户、设备维护人员等）、口令强度设置、软件更新授权等。

医疗器械相关数据在网络传输或数据交换过程中应当保证保密性和完整性，同时平衡可得性的要求，特别是具有远程控制功能的医疗器械。鉴于预期用途、使用环境的限制，医疗器械对于网络安全威胁的探测、响应和恢复能力应当与医疗器械的产品特性相适应。

可采用加密、数字签名、标准协议、校验等技术来保证医疗器械的网络安全。

可采用防火墙、入侵检测和恶意代码防护等技术来保证医疗器械的网络安全。

医疗器械网络安全能力建设可参照相关的国际、国家标准和技术报告，如IEC/TR 80001-2-2规范了十九项网络安全能力：自动注销（ALOF）、审核控制（AUDT）、授权（AUTH）、安全特性配置（CNFS）、网络安全产品升级（CSUP）、健康数据身份信息去除（DIDT）、数据备份与灾难恢复（DTBK）、紧急访问（EMRG）、健康数据完整性与真实性（IGAU）、恶意软件探测与防护（MLDP）、网络节点鉴别（NAUT）、人员鉴别（PAUT）、物理锁（PLOK）、第三方组件维护计划（RDMP）、系统与应用软件硬化（SAHD）、安全指导（SGUD）、健康数据存储保密性（STCF）、传输保密性（TXCF）和传输完整性（TXIG）。

可根据医疗器械的产品特性考虑其网络安全能力要求的适用性。