□  王智

    《医疗器械网络安全注册技术审查指导原则》（以下简称《指导原则》）已经实施一年多了。但有很多企业对《指导原则》中提到的“网络安全可追溯性分析报告”仍有疑问，不了解应该如何出具。

    《指导原则》要求企业：“提供网络安全测试计划和报告，证明医疗器械产品的网络安全需求（如保密性、完整性、可得性等特性）均已得到满足。同时还应提供网络安全可追溯性分析报告，即追溯网络安全需求规范、设计规范、测试、风险管理的关系表。”

    从字面上理解，分析报告就是要将网络安全的“需求规范”“设计规范”“测试”和“风险管理”这四个部分列出，并给出对应的关系表。需要注意的是，上述四个部分是有限定范围的，其范围就是“网络安全”，也就是医疗器械相关数据的保密性（confidentiality）、完整性（integrity）和可得性（availability）。只有在这个范围内的需求规范、设计规范、测试和风险管理才需要编制可追溯性分析报告。

    “需求规范”主要内容

    网络安全范围的需求规范主要包括以下方面：数据交换　包括网线连接，如采用蓝牙还是采用WiFi、RFID等；采用的数据协议，是DICOM还是蓝牙？是TCP/IP还是自定的串口协议？

    数据加密or脱敏　这部分需要回答的问题是：是否对数据加密？加密方式是什么？是否采用通用的加密方式？是否对数据脱敏？是全部数据脱敏还部分数据（诊断数据、个人信息）脱敏？

    数据交换所依赖的软硬件环境　数据交换是否需要系统支持？采用的是Linux系统吗？是否有防火墙？

    数据使用　是否需要对数据控制权限进行划分控制？

    以上这些只是部分举例，实际要根据产品的特点，结合使用场景和风险等级进行进一步确认。

    “设计规范”设计参考

    设计规范是根据上述需求进行具体的设计参考。例如：

    数据交换　采用蓝牙通讯方式，通信协议选择4.0或2.0。

    数据加密　所采用的加密方式的加密效果如何？是否会影响数据传输速率？CPU能否提供足够的运算能力？

    操作系统　操作系统选择哪个版本？操作系统的更新情况如何？

    反复测试防控风险

    “测试”是指产品设计完成后，按照制定好的测试用例，对产品进行测试。注意，测试不是一次两次就可以完成的，也不是在正常条件下测试通过就可以的。测试一定要考虑极端条件，并且需要反复测试。

    蓝牙通讯　蓝牙通讯的距离是多少？产品如在家庭环境下使用，存在障碍物的情况下，是否能够连接？传输数据是否满足要求？最大连接距离是多少？在最大连接距离，数据是否能够传输完整？如果数据传输错误，是否有相应的处理措施？是否有用户提示？

    用户权限控制　分别有几级用户权限？每级用户权限的定义是什么？极端条件下（系统重启、数据库备份）是否能够正常显示？

    操作系统　操作系统的兼容性如何？是否可以由用户升级？升级失败会导致哪些问题？是否具有相应的处理机制？

    以上内容还可以延伸很多。那么，是不是所有产品都需要进行上面这些测试呢？不是的，产品的需求规范、设计规范和测试，都是与产品风险息息相关的。对于风险等级高的部分，企业就要进行大量测试，而风险相对较低的部分，可以只进行必要的测试。

    需要注意的是，这些风险分析都需要按照医疗器械的法规要求和风险管理控制程序进行。企业必须根据风险分析的结果来确定相应的内容。风险分析是一个动态的过程，可能企业在立项时确定的风险等级，在产品测试时，会发现产品所存在的风险隐患与当初确定的风险等级不符。这时企业需要重新进行风险评估，并根据新的风险等级重新确定需求规范和设计规范，执行开发过程，并进行测试。

    （作者单位：广州奥咨达医疗器械技术股份有限公司）