YY/T 1843-2022醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

ICS1104001

CCSC.30.

中華人民共和國醫(yī)藥行業(yè)標(biāo)準(zhǔn)

YY/T1843—2022

醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

Basicrequirementsofcybersecurityformedicalelectricalequipment

2022-05-18發(fā)布2023-06-01實施

國家藥品監(jiān)督管理局發(fā)布

YY/T1843—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

通用要求

4…………………5

試驗方法

5…………………11

附錄規(guī)范性網(wǎng)絡(luò)安全能力測試過程的要求

A()………12

附錄資料性本文件與其他文件的關(guān)聯(lián)

B()……………14

附錄資料性特定條款的指南和原理說明

C()…………15

附錄資料性本文件關(guān)于個人敏感數(shù)據(jù)的考量

D()……………………20

參考文獻(xiàn)

……………………21

YY/T1843—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由國家藥品監(jiān)督管理局提出

。

本文件由全國醫(yī)用電器標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC10)。

本文件起草單位上海市醫(yī)療器械檢測所國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心國家計算

:、、

機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國食品藥品檢定研究院江蘇省醫(yī)療器械檢測所蘇州美華認(rèn)證

、、、UL

有限公司深圳邁瑞生物醫(yī)療電子股份有限公司東軟醫(yī)療系統(tǒng)股份有限公司深圳市理邦精密儀器股

、、、

份有限公司北京怡和嘉業(yè)醫(yī)療科技股份有限公司飛利浦中國投資有限公司上海西門子醫(yī)療器械

、、()、

有限公司通用電氣醫(yī)療系統(tǒng)貿(mào)易發(fā)展上海有限公司美敦力上海管理有限公司

、()、()。

本文件主要起草人劉重生彭亮邢瀟王晨希劉茹張波陶華馬銳兵陳勇強(qiáng)陳蓓諶達(dá)宇

:、、、、、、、、、、、

曹景泰秦川夏偉杰

、、。

Ⅰ

YY/T1843—2022

引言

隨著醫(yī)療應(yīng)用場景的不斷拓展以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普遍化醫(yī)療器械越來越

,,

多地進(jìn)行著不同目的不同類型的數(shù)據(jù)交換在提高診療效率提升數(shù)據(jù)分析能力的同時也出現(xiàn)了諸如

、,,,

患者信息泄露健康數(shù)據(jù)被篡改未授權(quán)修改治療參數(shù)以勒索或其他非法目的為目標(biāo)的惡意攻擊或數(shù)

、、、

據(jù)竊取等情況發(fā)生

。

在這樣的背景下當(dāng)下的醫(yī)療器械不論是單機(jī)使用還是在個域網(wǎng)局域網(wǎng)或廣域網(wǎng)中使用其網(wǎng)絡(luò)

,,、,

安全能力對于醫(yī)療器械的安全性有效性則變得至關(guān)重要而網(wǎng)絡(luò)安全從廣義來說凡是涉及醫(yī)用電

、。,,

氣設(shè)備醫(yī)用電氣系統(tǒng)及相關(guān)醫(yī)療器械軟件產(chǎn)品的信息的保密性完整性可得性等相關(guān)技術(shù)和理論都

、、、

是其范疇之內(nèi)的

。

雖然從保障網(wǎng)絡(luò)安全的責(zé)任角度講在使用環(huán)境中維系一個網(wǎng)絡(luò)的網(wǎng)絡(luò)安全是多方責(zé)任但

,,IT,

對制造商來說有義務(wù)識別產(chǎn)品本身可能遇到的網(wǎng)絡(luò)安全相關(guān)的風(fēng)險并予以識別和分析進(jìn)而在設(shè)計

,,、

開發(fā)的過程中實現(xiàn)對應(yīng)的風(fēng)險控制措施本文件則將對醫(yī)用電氣設(shè)備醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件

。、

產(chǎn)品在本文件中產(chǎn)品一般指醫(yī)用電氣設(shè)備醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件產(chǎn)品的網(wǎng)絡(luò)安全能力提

(,“”、)

出基本要求并規(guī)范了驗證過程見附錄以驗證制造商對產(chǎn)品網(wǎng)絡(luò)安全相關(guān)風(fēng)險的風(fēng)險控制措施的

(A),

實現(xiàn)情況

。

考慮到目前制造商在識別網(wǎng)絡(luò)安全風(fēng)險時普遍會參考對于風(fēng)險識別的維度

IEC/TR80001-2-2,,

本文件中也一定程度上參考了因此本文件和是有一定關(guān)聯(lián)性

IEC/TR80001-2-2,IEC/TR80001-2-2

的為了描述這種關(guān)聯(lián)性本文件列出了本文件與該文件相關(guān)條款之間的對應(yīng)關(guān)系見附錄

。,(B)。

星號*作為標(biāo)題的第一個字符段落或表格標(biāo)題的開頭表示在附錄中有與該項目相關(guān)的指南

()、,C

或原理說明

。

Ⅱ

YY/T1843—2022

醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

1*范圍

本文件規(guī)定了醫(yī)用電氣設(shè)備醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件的網(wǎng)絡(luò)安全基本要求

、。

本文件適用于有用戶訪問電子數(shù)據(jù)交換或遠(yuǎn)程控制功能的醫(yī)用電氣設(shè)備醫(yī)用電氣系統(tǒng)及醫(yī)療器

、、

械軟件

。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件

。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

31

.

安全性safety

不會對人員財產(chǎn)或環(huán)境造成不可接受的風(fēng)險

、。

來源有修改

[:ISO/IECGUIDE51:2014,3.14,]

32

.

保密性confidentiality

信息對未授權(quán)的個人實體或過程不可用或不泄露的特性

、。

來源

[:GB/T29246—2017,2.12]

33

.

惡意軟件malware

設(shè)計為惡意破壞正常功能收集敏感數(shù)據(jù)和或訪問其他連接系統(tǒng)的軟件

,/