专家一席谈：医械 络安全注册技术审查指导原则解读—软件分类

CFDA在今年3月份发布过一份关于《医疗器械 络安全注册技术审查指导原则》（以下简称指导原则）的解读。小编看完之后，获益良多。但在逐条研究条款时，发现有很多不同的软件，想要读懂指导原则，首先要了解软件分类，并结合实际在 络安全方面进行一些解读，以帮助大家更好的理解指导原则。

解读：控制型软件组件和独立软件类似，大多数和配套的医疗器械一起，在医院内使用。而嵌入式型软件组件，是 络安全考察的难点。对于应用在设备内部的嵌入式固件，受限于硬件性能，很难实施数据保护措施。即便进行数据保护，也是采用基本的数据校验。数据安全防护能力很弱。而对于具有配套APP的医疗器械，因为手机能够连接到移动互联 。加之手机上具有很多其他产品的APP，很容易产生数据漏洞，进而导致信息泄露。

解读：对于传统医疗器械，常用的系统软件是：windows系统、linux系统。近两年，医疗器械和移动互联 的结合日益增多。手机上的安卓系统、iOS系统也可算作系统软件。

解读:支持软件很容易让人感到混淆。哪些软件属于支持软件？法规要求对监视支持软件的安全补丁，并进行测试。如果不能正确识别支持软件，就无从谈起满足法规要求了。

小编认为，支持软件的划分不能只看定义，是要结合指导原则的监察重点来看的。指导原则的监察重点是保持医疗器械相关数据的保密性、完整性和可得性。识别支持软件同样需要从这三点出发。小编将结合一些例子，以帮助大家更好的理解指导原则。

实例1——软件配置管理工具

软件开发过程中，代码每天都会发生改变。昨天完成的一个软件功能代码，今天测试发现有缺陷，重新编写了代码。可能后天的又要进行修改。而软件配置管理工具的最基本功能就是代码的版本控制。将昨天的、今天的不同代码，给予特定的标识，用于区分。

假设小编我带领了10个工程师开发一款Holter数据分析软件的开发。每个工程师分配了不同的功能模块。我们团队采用了A软件作为配置管理工具。每个工程师每天都利用A软件将完成的代码上传到服务器。由我整合全部代码进行系统调试。

分析：因为A软件管理开发和维护过程中，所有的模块代码。假设A软件出现了BUG，或者操作不当，就会导致代码不是最新有效的。最终产品相应地出现BUG。A软件间接影响了产品的功能，影响了医疗器械数据的保密性、完整性和可得性。所以，A软件是支持软件。

如果是小编我自己一个人开发一款血压计产品的单片机代码。小编就不用A软件了。拿一个EXCEL表做版本记录。那么这个EXCEL就不算是支持软件了。

实例2——血糖仪配套的APP

小编我开发一款血糖仪。用户测量完成后，血糖仪通过蓝牙将血糖数据发送到手机APP上。APP显示血糖的趋势和统计数据。APP也会将测量数据发送到后端服务器上。这样，用户换了新手机，新下载APP。登录账 后，就可以看到以前的数据了。在这个产品中，后端服务器会管理全部数据。管理功能的核心，是一个现成软件：B软件。所有的数据，就是以这个B软件分门别类的存放，并根据需要进行处理的。

分析：B软件，一定是支持软件。B软件任何问题，都会导致数据不正确。如果BUG是数据显示不出来，那危害较低。如果BUG是数据显示错误，将正常值显示成高血糖。或者将低血糖显示成正常值，那就可能造成比较严重的危害了。B软件影响的是医疗器械数据的完整性和可得性，所以也是支持软件。

通过这篇文章，大家是不是对独立软件、软件组件、系统软件和支持软件有所了解呢。理解软件的分类只是读懂法规的第一步。随后，小编会给大家带来延伸解读（2）——注册要求。敬请期待。