網(wǎng)絡(luò)安全研究報(bào)告（產(chǎn)品首次注冊(cè)、重大網(wǎng)絡(luò)安全更新）模板

1、 型號(hào)-DHF-015 A1 版本號(hào)：V2.0 網(wǎng)絡(luò)安全研究報(bào)告（ 型號(hào)-DHF-015）編制： 日期：審核： 日期：批準(zhǔn)： 日期： 有限公司修訂記錄版本修改內(nèi)容編制審核批準(zhǔn)實(shí)施日期V1.0新版發(fā)布1.基本信息（1）軟件信息醫(yī)療器械軟件的名稱(chēng)：型號(hào)規(guī)格： 發(fā)布版本：V1.0軟件安全性級(jí)別：B級(jí)注意：若網(wǎng)絡(luò)安全的安全性級(jí)別低于軟件的安全性級(jí)別，詳述理由并按網(wǎng)絡(luò)安全的安全性級(jí)別提交相應(yīng)注冊(cè)申報(bào)資料。（2）數(shù)據(jù)架構(gòu)（2）-1醫(yī)療器械在每個(gè)使用場(chǎng)景（含遠(yuǎn)程維護(hù)與升級(jí)，下同）下的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流圖，并依據(jù)圖示描述醫(yī)療器械相關(guān)數(shù)據(jù)和電子接口的基本情況。（2）-2數(shù)據(jù)情況 序號(hào)醫(yī)療器械相關(guān)數(shù)據(jù)的類(lèi)型內(nèi)容1敏

2、感醫(yī)療數(shù)據(jù)1）具體內(nèi)容（ 個(gè)人信息、醫(yī)療活動(dòng)信息、設(shè)備運(yùn)行信息）2）功能（ 單向、雙向電子數(shù)據(jù)交換，實(shí)時(shí)、非實(shí)時(shí)遠(yuǎn)程訪(fǎng)問(wèn)與控制）3）用途（醫(yī)療活動(dòng)、設(shè)備維護(hù)）2非敏感醫(yī)療數(shù)據(jù)1）具體內(nèi)容（ 個(gè)人信息、醫(yī)療活動(dòng)信息、設(shè)備運(yùn)行信息）2）功能（ 單向、雙向電子數(shù)據(jù)交換，實(shí)時(shí)、非實(shí)時(shí)遠(yuǎn)程訪(fǎng)問(wèn)與控制）3）用途（醫(yī)療活動(dòng)、設(shè)備維護(hù)）3設(shè)備數(shù)據(jù)1）具體內(nèi)容（ 個(gè)人信息、醫(yī)療活動(dòng)信息、設(shè)備運(yùn)行信息）2）功能（ 單向、雙向電子數(shù)據(jù)交換，實(shí)時(shí)、非實(shí)時(shí)遠(yuǎn)程訪(fǎng)問(wèn)與控制）3）用途（醫(yī)療活動(dòng)、設(shè)備維護(hù)）（2）-3電子接口情況逐項(xiàng)說(shuō)明每個(gè)網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口的預(yù)期用戶(hù)、使用場(chǎng)景、預(yù)期用途、數(shù)據(jù)類(lèi)型、技術(shù)特征、使用限制

3、， 具體如下：網(wǎng)絡(luò)接口接口名稱(chēng)接口類(lèi)型網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口預(yù)期用戶(hù)使用場(chǎng)景預(yù)期用途技術(shù)特征使用限制故障應(yīng)對(duì)措施電子數(shù)據(jù)接口接口名稱(chēng)影像調(diào)閱接口his系統(tǒng)接口接口類(lèi)型數(shù)據(jù)接口數(shù)據(jù)接口預(yù)期用戶(hù)醫(yī)療機(jī)構(gòu)醫(yī)療機(jī)構(gòu)使用場(chǎng)景通過(guò)檢查號(hào)通知影像處理工作站調(diào)閱相關(guān)影像信息醫(yī)技科室各個(gè)系統(tǒng)與his系統(tǒng)交互使用預(yù)期用途調(diào)圖dicom影像，完成影像瀏覽醫(yī)技科室獲取HIS信息申請(qǐng)單信息，完成患者檢查登記并給his回填登記狀態(tài)和報(bào)告文字信息技術(shù)特征遵從DICOM協(xié)議，即醫(yī)學(xué)數(shù)字成像和通信，是醫(yī)學(xué)圖像和相關(guān)信息的國(guó)際標(biāo)準(zhǔn)（ISO 12052）采用webservice接口使用限制遵從DICOM協(xié)議使用限制遵從webservic

4、e接口限制故障應(yīng)對(duì)措施查詢(xún)?nèi)罩?確定故障原因查詢(xún)?nèi)罩?確定故障原因（3）產(chǎn)品安全相關(guān)事件的說(shuō)明產(chǎn)品安全相關(guān)事件與產(chǎn)品日志相關(guān)，日志應(yīng)記錄安全相關(guān)事件來(lái)保證產(chǎn)品的可核查性。例如：成功的登錄或嘗試失敗、用戶(hù)身份驗(yàn)證憑證的變更、有效用戶(hù)帳戶(hù)列表的更改、配置的修改保存、核心業(yè)務(wù)事件的觸發(fā)、成功的和不成功的軟件更新等等。序號(hào)日志記錄的安全相關(guān)事件特殊說(shuō)明12345678910（4）網(wǎng)絡(luò)安全補(bǔ)丁提供醫(yī)療器械（含必備軟件、外部軟件環(huán)境）的網(wǎng)絡(luò)安全補(bǔ)丁列表，明確網(wǎng)絡(luò)安全補(bǔ)丁的名稱(chēng)、完整版本、發(fā)布日期。 （5）安全軟件描述 醫(yī)療器械兼容或所用的安全軟件（如殺毒軟件、防火墻等）的名稱(chēng)、型號(hào)規(guī)格、完整版本、供應(yīng)商、

5、運(yùn)行環(huán)境、防護(hù)規(guī)則配置要求。（6）網(wǎng)絡(luò)安全能力具體見(jiàn)附件。2.實(shí)現(xiàn)過(guò)程（1）風(fēng)險(xiǎn)管理見(jiàn)風(fēng)險(xiǎn)管理報(bào)告和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告。（2）需求規(guī)范見(jiàn) 軟件需求說(shuō)明書(shū)。（3）驗(yàn)證與確認(rèn)提供 醫(yī)療器械的網(wǎng)絡(luò)安全測(cè)試計(jì)劃和報(bào)告，另附網(wǎng)絡(luò)安全開(kāi)發(fā)所形成的原始文件。亦可提供醫(yī)療器械軟件的系統(tǒng)測(cè)試計(jì)劃和報(bào)告，但需注明網(wǎng)絡(luò)安全情況。對(duì)于安全軟件，提供兼容性測(cè)試報(bào)告。對(duì)于標(biāo)準(zhǔn)傳輸協(xié)議或存儲(chǔ)格式，若其滿(mǎn)足醫(yī)療器械網(wǎng)絡(luò)安全需求出具真實(shí)性聲明即可，反之提供相應(yīng)證明材料；對(duì)于私有傳輸協(xié)議或存儲(chǔ)格式，提供完整性測(cè)試總結(jié)報(bào)告。對(duì)于實(shí)時(shí)遠(yuǎn)程訪(fǎng)問(wèn)與控制功能，提供完整性和可得性等網(wǎng)絡(luò)安全特性的測(cè)試報(bào)告。對(duì)于醫(yī)用無(wú)線(xiàn)專(zhuān)用設(shè)備，提供符合無(wú)線(xiàn)

6、電管理相關(guān)規(guī)定的證明材料。（4）可追溯性分析提供醫(yī)療器械的網(wǎng)絡(luò)安全可追溯性分析報(bào)告，匯總列明網(wǎng)絡(luò)安全需求規(guī)范文檔、網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)范文檔、源代碼（明確軟件單元名稱(chēng)即可）、網(wǎng)絡(luò)安全測(cè)試報(bào)告、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析報(bào)告之間的對(duì)應(yīng)關(guān)系。亦可提供醫(yī)療器械軟件的可追溯性報(bào)告，但需注明網(wǎng)絡(luò)安全情況。（5）維護(hù)計(jì)劃輕微級(jí)別：提供申報(bào)醫(yī)療器械網(wǎng)絡(luò)安全更新的流程圖，并依據(jù)圖示描述相關(guān)活動(dòng)。中等、嚴(yán)重級(jí)別：在輕微級(jí)別的基礎(chǔ)上，提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的流程圖，并依據(jù)圖示描述相關(guān)活動(dòng)；或者提供網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案文檔。注意：若適用，全部級(jí)別均需提供遠(yuǎn)程維護(hù)與升級(jí)的流程圖，并依據(jù)圖示描述相關(guān)活動(dòng)。3.漏洞評(píng)估輕微級(jí)別：按

7、照現(xiàn)行有效的通用漏洞評(píng)分系統(tǒng)（CVSS）所定義的漏洞等級(jí)，明確申報(bào)醫(yī)療器械（含必備軟件、外部軟件環(huán)境，下同）已知漏洞總數(shù)和已知剩余漏洞數(shù)。中等級(jí)別：提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告，明確漏洞掃描所用軟件工具、漏洞庫(kù)（基于國(guó)家信息安全漏洞庫(kù)或互認(rèn)的國(guó)際信息安全漏洞庫(kù)）的基本信息（如名稱(chēng)、完整版本、發(fā)布日期、供應(yīng)商等），按照CVSS漏洞等級(jí)明確申報(bào)醫(yī)療器械已知漏洞總數(shù)和已知剩余漏洞數(shù)，列明已知剩余漏洞的內(nèi)容、對(duì)產(chǎn)品的影響及綜合剩余風(fēng)險(xiǎn)，確保產(chǎn)品綜合剩余風(fēng)險(xiǎn)均可接受。亦可補(bǔ)充網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告。嚴(yán)重級(jí)別：提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告、網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告，明確已知剩

8、余漏洞的維護(hù)方案，確保產(chǎn)品綜合剩余風(fēng)險(xiǎn)均可接受。4.結(jié)論醫(yī)療器械的網(wǎng)絡(luò)安全實(shí)現(xiàn)過(guò)程符合醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)指導(dǎo)原則、軟件注冊(cè)審查指導(dǎo)原則、醫(yī)療器械生產(chǎn)質(zhì)量管理規(guī)范獨(dú)立軟件附錄的要求、網(wǎng)絡(luò)安全漏洞評(píng)估結(jié)果可以報(bào)證軟件不受網(wǎng)絡(luò)攻擊、保證數(shù)據(jù)網(wǎng)絡(luò)安全，最終判定醫(yī)療器械的網(wǎng)絡(luò)安全滿(mǎn)足要求，受益是否大于風(fēng)險(xiǎn)。附件：對(duì)產(chǎn)品進(jìn)行22項(xiàng)網(wǎng)絡(luò)安全能力分析： 網(wǎng)絡(luò)安全能力評(píng)價(jià)準(zhǔn)則是否適用具體措施1.自動(dòng)注銷(xiāo)（ALOF）：產(chǎn)品在無(wú)人值守期間阻止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和使用的能力。注冊(cè)申請(qǐng)人應(yīng)考慮，未授權(quán)的用戶(hù)不能在無(wú)人值守的工作區(qū)訪(fǎng)問(wèn)健康數(shù)據(jù)，授權(quán)用戶(hù)會(huì)話(huà)需要在預(yù)先設(shè)置的一段時(shí)間后自動(dòng)終止或鎖定；自動(dòng)注銷(xiāo)需要包括清除所有顯

9、示器上的健康數(shù)據(jù)；本地授權(quán)的IT管理員需要能夠禁用該功能并設(shè)置過(guò)期時(shí)間(包括屏幕保護(hù)程序)；當(dāng)短時(shí)間內(nèi)(例如15秒到幾分鐘)沒(méi)有按下鍵時(shí)，可以調(diào)用此對(duì)健康數(shù)據(jù)顯示清除；臨床用戶(hù)不應(yīng)因自動(dòng)下線(xiàn)而丟失未提交的工作，這是可取的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。2.審核（AUDT）：產(chǎn)品提供用戶(hù)活動(dòng)可被審核的能力。注冊(cè)申請(qǐng)人應(yīng)考慮，通過(guò)在設(shè)備上創(chuàng)建審計(jì)跟蹤來(lái)跟蹤系統(tǒng)和健康數(shù)據(jù)訪(fǎng)問(wèn)、修改或刪除，從而記錄和檢查系統(tǒng)活動(dòng)的能力。支持將日志記錄信息作為獨(dú)立存儲(chǔ)庫(kù)(在其自己的文件系統(tǒng)中記錄審計(jì)文件)使用。使用適當(dāng)?shù)膶徲?jì)審查工具支持審計(jì)創(chuàng)建和維護(hù)，確保審核資料的安全(特別是在這些資

10、料本身含有個(gè)人資料的情況下)，并確保無(wú)法編輯或刪除審計(jì)數(shù)據(jù)。審計(jì)數(shù)據(jù)可能包含個(gè)人數(shù)據(jù)和/或健康數(shù)據(jù)，所有處理(例如存取、儲(chǔ)存和轉(zhuǎn)移)都應(yīng)該有適當(dāng)?shù)目刂?。?yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。3.授權(quán)（AUTH）：產(chǎn)品確定用戶(hù)已獲授權(quán)的能力。注冊(cè)申請(qǐng)人應(yīng)基于經(jīng)過(guò)身份驗(yàn)證的單個(gè)用戶(hù)進(jìn)行標(biāo)識(shí)，授權(quán)功能允許每個(gè)用戶(hù)僅有訪(fǎng)問(wèn)已批準(zhǔn)的數(shù)據(jù)權(quán)利，并僅在設(shè)備上執(zhí)行已批準(zhǔn)的功能。授權(quán)用戶(hù)包括注冊(cè)申請(qǐng)人安全控制人員和該策略定義的服務(wù)人員。醫(yī)療器械通常支持基于許可的系統(tǒng)，提供對(duì)注冊(cè)申請(qǐng)人安全控制人員中個(gè)人角色(基于角色的訪(fǎng)問(wèn)控制)適當(dāng)?shù)南到y(tǒng)功能和數(shù)據(jù)的訪(fǎng)問(wèn)。例如：1）操作者可使用所有適當(dāng)?shù)?/p>

11、設(shè)備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作。2）質(zhì)量人員(如醫(yī)學(xué)物理學(xué)家)可以從事所有適當(dāng)?shù)馁|(zhì)量和保證測(cè)試活動(dòng)。3）服務(wù)人員可以以支持預(yù)防性維護(hù)、問(wèn)題調(diào)查和問(wèn)題消除活動(dòng)的方式訪(fǎng)問(wèn)系統(tǒng)。4）授權(quán)允許注冊(cè)申請(qǐng)人在有效交付醫(yī)療保健機(jī)構(gòu)的同時(shí)：維護(hù)系統(tǒng)和數(shù)據(jù)安全；遵循適當(dāng)?shù)臄?shù)據(jù)訪(fǎng)問(wèn)最小化原則。授權(quán)可以在本地或注冊(cè)申請(qǐng)人范圍內(nèi)管理(例如通過(guò)集中目錄)。注:如果預(yù)期使用不允許登錄和注銷(xiāo)設(shè)備所需的時(shí)間(例如高吞吐量使用)，則本地IT策略可以允許減少授權(quán)控制，假定受控制和受限制的物理訪(fǎng)問(wèn)是否足夠。應(yīng)根據(jù)器械預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。4.節(jié)點(diǎn)鑒別（NAUT）：產(chǎn)品鑒別網(wǎng)絡(luò)節(jié)點(diǎn)的能力。

12、注冊(cè)申請(qǐng)人應(yīng)能夠以一種方式管理跨機(jī)器的賬戶(hù)，以保護(hù)健康數(shù)據(jù)訪(fǎng)問(wèn)。支持獨(dú)立管理和集中管理。支持根據(jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行節(jié)點(diǎn)認(rèn)證。檢測(cè)和防止實(shí)體偽造(提供不可抵賴(lài)性)。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。5.人員鑒別（PAUT）：產(chǎn)品鑒別授權(quán)用戶(hù)的能力。注冊(cè)申請(qǐng)人在為控制和監(jiān)視網(wǎng)絡(luò)訪(fǎng)問(wèn)和活動(dòng)的網(wǎng)絡(luò)連接設(shè)備創(chuàng)建和使用用戶(hù)的唯一賬戶(hù)和基于角色的訪(fǎng)問(wèn)控制(RBAC、本地和遠(yuǎn)程)。以一種方式管理賬戶(hù)以保護(hù)健康數(shù)據(jù)訪(fǎng)問(wèn)的能力。用戶(hù)可能需要將個(gè)人首選項(xiàng)與用戶(hù)賬戶(hù)關(guān)聯(lián)。這可能有助于多個(gè)運(yùn)營(yíng)商、部門(mén)甚至多個(gè)使用的設(shè)備和系統(tǒng)。支持獨(dú)立和中央管理。單點(diǎn)登錄和所有工作地點(diǎn)的密碼相同?？刂茖?duì)設(shè)備

13、、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪(fǎng)問(wèn)，并生成不可否認(rèn)的審計(jì)跟蹤，發(fā)現(xiàn)和防止人員造假(提供不可抵賴(lài)性)。注意，這個(gè)要求在臨床中緊急訪(fǎng)問(wèn)操作期間是放松的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。6.連通性（CONN）：產(chǎn)品保證連通網(wǎng)絡(luò)安全可控的能力。7.物理防護(hù)（PLOK）：產(chǎn)品提供防止非授權(quán)用戶(hù)訪(fǎng)問(wèn)和使用的物理防護(hù)措施的能力。注冊(cè)申請(qǐng)人應(yīng)合理保證儲(chǔ)存在產(chǎn)品或媒體上的健康數(shù)據(jù)是和保持安全的方式與設(shè)備上數(shù)據(jù)記錄的靈敏度和容量成比例。系統(tǒng)合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。篡改(包括設(shè)備移除)是可以檢測(cè)到的。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此

14、項(xiàng)能力的驗(yàn)證與確認(rèn)。8.系統(tǒng)加固（SAHD）：產(chǎn)品通過(guò)固化措施對(duì)網(wǎng)絡(luò)攻擊和惡意軟件的抵御能力。注冊(cè)申請(qǐng)人應(yīng)給用戶(hù)提供一個(gè)穩(wěn)定的系統(tǒng)，并且只提供那些根據(jù)其預(yù)期用途而指定和需要的服務(wù)，同時(shí)進(jìn)行最少的維護(hù)活動(dòng)。并且要求連接到它們的網(wǎng)絡(luò)的系統(tǒng)在交付時(shí)是安全的，加強(qiáng)了對(duì)誤用和攻擊的抵御能力。注冊(cè)申請(qǐng)人應(yīng)將用戶(hù)反饋的用戶(hù)設(shè)備中可疑的安全漏洞和察覺(jué)到的弱點(diǎn)以報(bào)告的形式記錄。并通過(guò)風(fēng)險(xiǎn)分析和管理進(jìn)行漏洞的修復(fù)，并及時(shí)更新提交。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。9.數(shù)據(jù)去標(biāo)識(shí)化與匿名化（DIDT）：產(chǎn)品直接去除、匿名化數(shù)據(jù)所含個(gè)人信息的能力。注冊(cè)申請(qǐng)人應(yīng)考慮，臨床用戶(hù)、服務(wù)工

15、程師和營(yíng)銷(xiāo)人員能夠在不需要患者身份的信息的情況下去識(shí)別敏感數(shù)據(jù)。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。10.數(shù)據(jù)完整性與真實(shí)性（IGAU）：產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來(lái)自創(chuàng)建者或提供者的能力。注冊(cè)申請(qǐng)人可以通過(guò)使用包括固定介質(zhì)和可移動(dòng)介質(zhì)，來(lái)確保健康數(shù)據(jù)是可靠的，不會(huì)被篡改。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。11.數(shù)據(jù)備份與災(zāi)難恢復(fù)（DTBK）：產(chǎn)品的數(shù)據(jù)、硬件或軟件受到損壞或破壞后恢復(fù)的能力。注冊(cè)申請(qǐng)人應(yīng)合理保證在系統(tǒng)故障或損壞后，可以恢復(fù)存儲(chǔ)在產(chǎn)品上的持久保存的系統(tǒng)設(shè)置和敏感數(shù)據(jù)，以便業(yè)務(wù)能夠繼續(xù)進(jìn)行。特別需要注意的是，這一要求

16、可能不適用于較小的低成本設(shè)備。這實(shí)際上可能依賴(lài)于在下一個(gè)采集周期中收集新的相關(guān)數(shù)據(jù)的能力(例如由于偶爾的無(wú)線(xiàn)信號(hào)丟失而丟失的短時(shí)心率數(shù)據(jù))。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。12.數(shù)據(jù)存儲(chǔ)保密性與完整性（STCF）：產(chǎn)品確保未授權(quán)訪(fǎng)問(wèn)不會(huì)損壞存儲(chǔ)媒介所存數(shù)據(jù)保密性和完整性的能力。注冊(cè)申請(qǐng)人應(yīng)合理保證儲(chǔ)存在產(chǎn)品或媒體上的健康數(shù)據(jù)是保持安全的?；陲L(fēng)險(xiǎn)分析，必須考慮對(duì)存儲(chǔ)在醫(yī)療器械上的健康數(shù)據(jù)進(jìn)行加密。對(duì)于存儲(chǔ)在可移動(dòng)介質(zhì)上的健康數(shù)據(jù)，加密可以保護(hù)臨床用戶(hù)、提供服務(wù)和收集臨床數(shù)據(jù)的應(yīng)用程序工程師的機(jī)密性/完整性。應(yīng)使用一種與傳統(tǒng)使用、服務(wù)訪(fǎng)問(wèn)、緊急訪(fǎng)問(wèn)一致的加密密鑰管

17、理機(jī)制。加密方法和強(qiáng)度考慮了數(shù)據(jù)的容量(記錄收集/聚合的程度)和靈敏度。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。13.數(shù)據(jù)傳輸保密性（TXCF）：產(chǎn)品確保數(shù)據(jù)傳輸保密性的能力。注冊(cè)申請(qǐng)人應(yīng)確保在經(jīng)過(guò)身份驗(yàn)證的節(jié)點(diǎn)之間傳輸期間保持健康數(shù)據(jù)機(jī)密性。這允許在相對(duì)開(kāi)放的網(wǎng)絡(luò)和/或環(huán)境中傳輸健康數(shù)據(jù)，在這些環(huán)境中使用用于健康數(shù)據(jù)完整性和保密性的強(qiáng)大保密策略（詳見(jiàn)：IEC/TR 80001-2-3:2012 Application of risk management for IT-networks incorporating medical devices Part 2-3

18、: Guidance for wireless networks）。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。14.數(shù)據(jù)傳輸完整性（TXIG）：產(chǎn)品確保數(shù)據(jù)傳輸完整性的能力。注冊(cè)申請(qǐng)人應(yīng)提供確保傳輸過(guò)程中考慮風(fēng)險(xiǎn)分析后健康數(shù)據(jù)的完整性測(cè)試的結(jié)果，這允許注冊(cè)申請(qǐng)人在相對(duì)開(kāi)放的網(wǎng)絡(luò)或環(huán)境中傳輸健康數(shù)據(jù)，需使用健康數(shù)據(jù)完整性強(qiáng)策略。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。15.網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)（CSUP）：授權(quán)用戶(hù)安裝/升級(jí)產(chǎn)品網(wǎng)絡(luò)安全補(bǔ)丁的能力。注冊(cè)申請(qǐng)人應(yīng)按照規(guī)定，盡快在醫(yī)療產(chǎn)品上安裝第三方安全補(bǔ)丁: 根據(jù)客觀(guān)的、權(quán)威的、文檔化的漏洞風(fēng)險(xiǎn)

19、評(píng)估，優(yōu)先考慮解決高風(fēng)險(xiǎn)漏洞的補(bǔ)丁。要求醫(yī)療產(chǎn)品供應(yīng)商和醫(yī)療服務(wù)提供商確保其產(chǎn)品持續(xù)安全和有效的臨床功能。了解本地醫(yī)療器械法規(guī)。進(jìn)行充分的測(cè)試，以發(fā)現(xiàn)對(duì)醫(yī)療產(chǎn)品(性能或功能)可能危及患者的任何意外副作用。注冊(cè)申請(qǐng)人需要提供關(guān)于評(píng)估/驗(yàn)證補(bǔ)丁的主動(dòng)信息。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。16.現(xiàn)成軟件清單（SBOM）：產(chǎn)品為用戶(hù)提供全部現(xiàn)成軟件清單的能力。17.現(xiàn)成軟件維護(hù)（RDMP）：產(chǎn)品在全生命周期中對(duì)現(xiàn)成軟件提供網(wǎng)絡(luò)安全維護(hù)的能力。注冊(cè)申請(qǐng)人應(yīng)對(duì)醫(yī)療器械提供明確的預(yù)期壽命說(shuō)明，并對(duì)提供第三方組件的服務(wù)商對(duì)其產(chǎn)品生命周期內(nèi)維護(hù)或支持相應(yīng)的系統(tǒng)進(jìn)行要求。當(dāng)平臺(tái)組件

20、過(guò)時(shí)的情況下，需要及時(shí)進(jìn)行更新和升級(jí)。在存儲(chǔ)設(shè)備退役(丟棄、重用、轉(zhuǎn)售或回收)之前，服務(wù)提供商需不可逆地擦除健康數(shù)據(jù)。這些活動(dòng)應(yīng)該被記錄和審計(jì)。銷(xiāo)售和服務(wù)人員應(yīng)了解對(duì)每個(gè)產(chǎn)品在其生命周期中提供的安全支持。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。18.網(wǎng)絡(luò)安全使用指導(dǎo)（SGUD）：產(chǎn)品為用戶(hù)提供網(wǎng)絡(luò)安全使用指導(dǎo)的能力。注冊(cè)申請(qǐng)人應(yīng)讓操作人員清楚地了解自己的職責(zé)和安全的系統(tǒng)工作方式。管理員需要關(guān)于管理、定制和監(jiān)視系統(tǒng)的信息(即訪(fǎng)問(wèn)控制列表、審計(jì)日志等)。管理員需要清楚地了解安全功能，以便根據(jù)適當(dāng)?shù)姆ㄒ?guī)要求進(jìn)行健康數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估。銷(xiāo)售和服務(wù)應(yīng)包括系統(tǒng)的安全能力和安全工作方

21、式的信息。用戶(hù)應(yīng)知道如何以及何時(shí)將用戶(hù)設(shè)備中可能存在的安全漏洞和察覺(jué)到的弱點(diǎn)通知注冊(cè)人。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證與確認(rèn)。19.網(wǎng)絡(luò)安全特征配置（CNFS）：產(chǎn)品根據(jù)用戶(hù)需求配置網(wǎng)絡(luò)安全特征的能力。注冊(cè)申請(qǐng)人應(yīng)考慮，本地授權(quán)的IT管理員能夠選擇使用產(chǎn)品安全功能還是不使用產(chǎn)品安全功能。這需要考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估內(nèi)容，可以包括與安全能力控制交互的特權(quán)管理方面。應(yīng)根據(jù)器械的預(yù)期用途、使用方式和風(fēng)險(xiǎn)評(píng)估綜合考慮此項(xiàng)能力的驗(yàn)證。20.緊急訪(fǎng)問(wèn)（EMRG）：產(chǎn)品在預(yù)期緊急情況下允許用戶(hù)訪(fǎng)問(wèn)和使用的能力。注冊(cè)申請(qǐng)人應(yīng)考慮，在緊急情況下，臨床用戶(hù)需要能夠在沒(méi)有個(gè)人用戶(hù)ID和身份驗(yàn)證的情況下訪(fǎng)問(wèn)敏感數(shù)據(jù)(break-glass功能)。應(yīng)檢測(cè)、記錄和