王文娟 唐力 张莉莉 张洁茹 吴佳妮
江苏省药品监督管理局审评中心 210008
摘要:云服务在医疗器械产品中的运用,是市场化不可阻挡的趋势,而作为监管部门,面临的是一种挑战和监管的考验,确保云服务的安全点及审评关注点将在本文中描述。
关键词:云计算、网络安全、核心功能
Absrtact: The application of cloud computing service in medical device products is an irresistible trend of marketization. As a regulatory department, it is facing a challenge and regulatory test. The security problem of cloud service will be described in this paper.
Key words: cloud computing, network security, core functions
前言
随着大数据和云计算的快速发展,很多领域顺应时代的发展正在转向大数据互联网的领域,云计算给医疗器械行业带来的冲击和潜力也是前所未有的,如医院的大量医疗数据的处理、电子病历的发展、化验单及影像报告的电子查询、网上挂号预约等,所以随着云计算在医疗行业的广泛应用,含有云服务的医疗器械也在大量上市,它能够降低信息化成本,提高资源利用率,那么对于药监审评部门而言,由此带来的审评关注点有哪些呢?云计算的技术审评关注点为是否能够证明产品的安全有效,下面就云服务带来的安全和有效性的关注点分别阐述相关要求。
一、云服务的有效性要求
注册申请人应提供相应的资料来保证云服务的有效性,主要体现在以下两点:
1、注册申请人应提供云计算的基本信息,包括云计算的名称和配置,云服务商的名称、住所和资质、与云服务商签订的质量协议及双方所承担的质量责任,如数据保护方法、数据残留处理等;同时,注册申请人应提供云计算服务测试的方案及报告,主要验证存储能力及安全可靠性。其中,云计算服务测试方案报告可以提供单独提供,也可以与软件测试方案报告、网络安全测试方案报告合并。
2、注册申请人应在技术要求中明确云计算的服务模式、核心功能、部署模式、数据接口、网络安全能力等。
(1)云计算的服务模式:常见有SAAS、PaaS、IaaS等
(2)部署模式:常见有公有云(资源和应用程序及服务都由供应商提供给用户) 、私有云(云基础设施为某一个注册申请人服务)、混合云(多个注册申请人共享一套基础设施)等;
(3)核心功能:云服务提供的核心功能主要为数据存储、传输、分析、控制等功能;
(4)网络安全方面:应参照《医疗器械网络安全注册技术审查指导原则》,云计算的网络安全应包含数据接口和用户访问控制。其中,数据接口包括传输协议或存储格式;用户访问控制应规定用户身份鉴别方法、用户类型及权限。
(5)应规定医疗器械产品存储或传输中涉及的关键信息的保密性手段,若关键信息可以导出,那么应提供移除用来识别患者身份的必要的信息的手段。
(6)为了防止数据在存储或传输过程中丢失或损坏,应对传输存储数据的准确性进行验证。
(7)应具有数据备份与灾难恢复的能力,参照GB/T25000.51-2016,主要体现在系统故障或遭受损害后可以恢复系统设置和相关健康数据,这也就是云服务的可靠性的保证。
二、云服务的安全性要求
注册申请人应提供相应的资料来保证云服务的安全性,主要体现在以下两点:
1、参照YY/T0316-2016,注册申请人在进行产品风险分析的时候,应充分考虑云服务及云计算给医疗器械产品带来的风险,并对风险的可控性进行评估与验证,确保全部剩余风险均是可接受的。
2、注册申请人在将产品提供给用户时,应在说明书中告知云服务相关信息及维护流程等,其中,云计算服务更新的维护流程要根据注册申请人的云服务特点而规定,常见的维护方式有以下几种:公有云一般由云服务商进行维护或者下载云服务商提供的补丁包或更新包等;私有云一般由注册申请人进行自行维护,包含例行维护、周期性维护等;混合云中的公有云部分一般由云服务商进行维护,私有云部分一般由注册申请人自行维护。注册申请人的告知信息能够让用户更安全、更方便地享受云服务带来的体验。
同时,云服务在医疗器械中的应用通常会伴随着独立软件、带有控制型的移动终端而产生,因此也应按照GB/T25000.51-2016、《移动医疗器械注册技术审查指导原则》和《医疗器械网络安全注册技术审查指导原则》等的要求,提交相关资料来验证产品的安全性和有效性。
综上所述,注册申请人应当遵守国家相关规定,在努力做好产品本身的同时,评估采用云计算服务带来的收益和风险,满足相关要求方可上市。药品监管部门也应当按照法规规定,严格监管过程,确保在云计算服务生存周期中保证产品的安全性和有效性。
参考文献:
1、GB/T25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第10部分:系统与软件质量模型》
2、《医疗器械网络安全注册技术审查指导原则》
3、《移动医疗器械注册技术审查指导原则》