新版《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)-技術(shù)審查指導(dǎo)原則》解讀培訓(xùn)講座PPT課件(可編輯)

新版《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》解讀Protectingyourhealthandbeautifyingyour

life目錄■指導(dǎo)原則（征求意見稿）

簡(jiǎn)介及與現(xiàn)行版的對(duì)比■醫(yī)療器械網(wǎng)絡(luò)安全的要求■醫(yī)療器械企業(yè)應(yīng)對(duì)方案■網(wǎng)絡(luò)安全注冊(cè)資料要求1.指導(dǎo)原則簡(jiǎn)介2018年1月1日《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》正式實(shí)施2017年1月20曰總局關(guān)于發(fā)布醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則的通告（2017年第13號(hào)）2020年9月8日，國(guó)家藥品監(jiān)督管理局醫(yī)療器械審評(píng)中心發(fā)布關(guān)于公開征求《醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)審查指導(dǎo)原則（第二版）征求意見稿》意見的通知

第二版具備電子數(shù)據(jù)交換、遠(yuǎn)程控制或用戶訪問(wèn)功能的第二、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械。網(wǎng)絡(luò)：無(wú)線、有線網(wǎng)絡(luò)，電子數(shù)據(jù)交換：基于網(wǎng)絡(luò)、存儲(chǔ)媒介的單向、雙向數(shù)據(jù)傳輸，遠(yuǎn)程控制：基于網(wǎng)絡(luò)的實(shí)時(shí)、非實(shí)時(shí)控制，用戶訪問(wèn)：基于軟件用戶界面（含獨(dú)立軟件、軟件組件）、電子接口（含網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口）的人機(jī)交互方式。第一版具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制、以及采用存儲(chǔ)媒介以進(jìn)行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)。網(wǎng)絡(luò)：無(wú)線、有線網(wǎng)絡(luò)，電子數(shù)據(jù)交換：?jiǎn)蜗?、雙向數(shù)據(jù)傳輸，遠(yuǎn)程控制：

實(shí)時(shí)、非實(shí)時(shí)控制。存“

媒介：

包括但不限于光盤、移動(dòng)硬盤和U盤。網(wǎng)絡(luò)安全電子數(shù)據(jù)交換存儲(chǔ)媒介

網(wǎng)絡(luò)連接軟件用戶界面電子接n2.

醫(yī)療器械網(wǎng)絡(luò)安全的要求網(wǎng)絡(luò)安全法規(guī)依據(jù)網(wǎng)絡(luò)安全基本概念網(wǎng)絡(luò)安全能力網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)網(wǎng)絡(luò)安全更新網(wǎng)絡(luò)安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全技術(shù)考量備注序號(hào)12法規(guī)名稱中華人民共和國(guó)網(wǎng)絡(luò)安全法（中華人民共和國(guó)主席令第五十三號(hào)）中華人民共和國(guó)數(shù)據(jù)安全法（草案）（全國(guó)人大34562020.7）國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（中央網(wǎng)信辦，2017.10）個(gè)人fe息出境女全評(píng)估辦法（征求思見稿）（國(guó)家互聯(lián)網(wǎng)信息辦公室，2019.6）人口健康信息管理辦法（試行）（國(guó)衛(wèi)規(guī)劃發(fā)〔2014）

24號(hào)）DB32/T

3769-2020《醫(yī)療器械網(wǎng)絡(luò)連接通用技術(shù)規(guī)范》江蘇省地標(biāo)2.2

網(wǎng)絡(luò)安全基本概念醫(yī)療器械相關(guān)數(shù)據(jù)可靠性保密性confidentiality)可核查性I

(accountability)保密性&信息不能被未授權(quán)的傘人。實(shí)體（含個(gè)人、組織）利用獲得或知悉的特性，即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪問(wèn)和使用。g對(duì)生?指信息的創(chuàng)建、傳輸、存儲(chǔ)、顯示未以非授權(quán)方式進(jìn)行更改（含刪除、添加）的特性，保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性，即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的，且未被篡改?？傻眯裕捎眯裕┲感畔⒖筛鶕?jù)授權(quán)傘人P實(shí)體的要求可訪問(wèn)和使用的特性，

即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問(wèn)和使用。reliabilitA7真實(shí)性?是指實(shí)體符合其所聲稱的特性，抗抵賴性?是指實(shí)體可證明所聲稱事件或活動(dòng)的發(fā)生及其發(fā)起實(shí)體的特性，可核查性?是指實(shí)體的活動(dòng)及結(jié)果可被追溯的特性，可靠性?是指實(shí)體的活動(dòng)及結(jié)果與預(yù)期保持一致的特性。保密性(confidentiality)注冊(cè)人應(yīng)基于醫(yī)療器械相關(guān)數(shù)據(jù)的類型、功能、用途，

結(jié)合網(wǎng)絡(luò)安全特性考慮醫(yī)療器械數(shù)據(jù)安全要求。同時(shí)，

保證敏感醫(yī)療數(shù)據(jù)所含個(gè)人信息免于泄露、濫用和篡改，

以及醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù)的有效隔離。敏感醫(yī)療數(shù)據(jù)/非敏感醫(yī)療數(shù)據(jù)?是指含有個(gè)人信息的醫(yī)療數(shù)據(jù)，反之即為非敏感醫(yī)療數(shù)據(jù)。個(gè)人信息?是I*旨-夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人個(gè)人身份的各種信息，如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息（含容貌信息）、住址、電話號(hào)碼等。設(shè)備數(shù)據(jù)?是指描述醫(yī)療器械運(yùn)行狀況的數(shù)據(jù)，用于監(jiān)視、控制醫(yī)療器械運(yùn)行或用于醫(yī)療器械的維護(hù)維修，不應(yīng)含有個(gè)人信息。網(wǎng)絡(luò)接口?

是指醫(yī)療器械通過(guò)網(wǎng)絡(luò)進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制，包括但不限于網(wǎng)絡(luò)形式（有線、無(wú)線）、物理接口（如電口、光口）、數(shù)據(jù)接口（標(biāo)準(zhǔn)協(xié)議、私有協(xié)議）、遠(yuǎn)程控制方式（實(shí)時(shí)、非實(shí)時(shí)）、性能指標(biāo)（如端口、傳輸速率、帶寬）等。無(wú)線網(wǎng)絡(luò)包括Wi-

Fi（IEEE

802.11）、藍(lán)牙

（IEEE802.15）、無(wú)線電、射頻、紅外等形式，?

遠(yuǎn)程控制包括系統(tǒng)軟件所提供的運(yùn)程桌面功能。

電子數(shù)據(jù)交換接口?

是指非網(wǎng)絡(luò)接口的其他電子接口（如串口、并口、USB口、視頻接口、音頻接口）或存儲(chǔ)媒介（如光盤、移動(dòng)硬盤、U盤）數(shù)據(jù)存儲(chǔ)的技術(shù)特征要求?包括但不限于存儲(chǔ)媒介形式、文件儲(chǔ)存格式（標(biāo)準(zhǔn)格式、私有格式）、數(shù)據(jù)壓縮

方式（有損、無(wú)損）、性能指標(biāo)（如傳輸速率、容量）等。接他口絡(luò)

其

接網(wǎng)的子自動(dòng)注銷：產(chǎn)品在使用閑置期間阻止非授權(quán)用戶訪問(wèn)和使用的能力。審核控制:產(chǎn)品提供用戶活動(dòng)可被審核的能力授權(quán)：產(chǎn)品確定用戶已獲授權(quán)的能力。網(wǎng)絡(luò)安全特性配置：產(chǎn)品根據(jù)用戶需求配置網(wǎng)絡(luò)安全特征的能力。網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)：授權(quán)用戶或服務(wù)人員安裝/升級(jí)網(wǎng)絡(luò)安全補(bǔ)丁的能力。數(shù)據(jù)去標(biāo)識(shí)化：產(chǎn)品直接去除或匿名化數(shù)據(jù)所含個(gè)人信息的能力。數(shù)據(jù)備份與災(zāi)難恢復(fù)：產(chǎn)品的數(shù)據(jù)、硬件或軟件受到損壞或破壞后恢復(fù)的能力。緊急訪問(wèn)：產(chǎn)品在預(yù)期緊急情況下允許用戶訪問(wèn)和使用的能力。數(shù)據(jù)完整性與真實(shí)性：產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來(lái)自創(chuàng)建者或提供者的能力。惡意軟件探測(cè)與防護(hù)：產(chǎn)品有效探測(cè)、阻止惡意軟件的能力。節(jié)點(diǎn)鑒別：產(chǎn)品鑒別網(wǎng)絡(luò)節(jié)點(diǎn)的能力。人員鑒別：產(chǎn)品鑒別授權(quán)用戶的能力。物理防護(hù)：產(chǎn)品提供防止非授權(quán)用戶訪問(wèn)和使用的物理防護(hù)措施的能力?，F(xiàn)成軟件維護(hù)：產(chǎn)品在全生命周期中對(duì)現(xiàn)成軟件提供網(wǎng)絡(luò)安全維護(hù)的能力。系統(tǒng)固化：產(chǎn)品通過(guò)固化措施對(duì)網(wǎng)絡(luò)攻擊和惡意軟件的抵御能力。網(wǎng)絡(luò)安全指導(dǎo)：產(chǎn)品為用戶提供網(wǎng)絡(luò)安全指導(dǎo)的能力。存儲(chǔ)數(shù)據(jù)存儲(chǔ)保密性：產(chǎn)品確保數(shù)據(jù)傳輸保密性和完整性的能力。遠(yuǎn)程訪問(wèn)與控制：產(chǎn)品確保用戶遠(yuǎn)程訪問(wèn)與控制的網(wǎng)絡(luò)安全的能力?？咕芙^服務(wù)攻擊：產(chǎn)品具有抗拒絕服務(wù)攻擊的能力。注冊(cè)人應(yīng)根據(jù)醫(yī)療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò)安全能力的適用性。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案要求：涵蓋現(xiàn)成軟件要求，明確計(jì)劃與準(zhǔn)備、探測(cè)與報(bào)告、評(píng)估與決策、應(yīng)急響應(yīng)實(shí)施、總結(jié)與改進(jìn)等階段的任務(wù)和要求。建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)團(tuán)隊(duì)，根據(jù)工作職能形成管理、規(guī)劃、監(jiān)測(cè)、響應(yīng)、實(shí)施、分析等工作小組，必要時(shí)可邀請(qǐng)外部網(wǎng)絡(luò)安全專家成立專家小組。根據(jù)網(wǎng)絡(luò)安全事件的嚴(yán)重程度、緊迫程度、廣泛程度等因素進(jìn)行分類分級(jí)管理，結(jié)合風(fēng)險(xiǎn)管理開展應(yīng)急響應(yīng)措施的驗(yàn)證工作并予以記錄，在事件發(fā)生期間及時(shí)告知用戶應(yīng)對(duì)措施。造成嚴(yán)重后果或影響的事件應(yīng)向藥監(jiān)部門報(bào)告，適用時(shí)按照醫(yī)療器械不良事件、召回相關(guān)法規(guī)要求處理，必要時(shí)向國(guó)家網(wǎng)絡(luò)安全主管部門報(bào)告。涉及召回的網(wǎng)絡(luò)安全更新均屬于重大網(wǎng)絡(luò)安全更新。網(wǎng)絡(luò)安全更新同樣遵循風(fēng)險(xiǎn)從高原則。同時(shí)，軟件版本命名規(guī)則應(yīng)涵蓋網(wǎng)絡(luò)安全更新情況，區(qū)分重大和輕微網(wǎng)絡(luò)安全更新。重大網(wǎng)絡(luò)安全更新?影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新包括但不限于：產(chǎn)品所處網(wǎng)絡(luò)環(huán)境發(fā)生改變，如由封閉網(wǎng)絡(luò)環(huán)境變?yōu)殚_放網(wǎng)絡(luò)環(huán)境、局域網(wǎng)變?yōu)閺V域網(wǎng)、有線網(wǎng)絡(luò)變?yōu)闊o(wú)線網(wǎng)絡(luò)；電子接口發(fā)生改變，如接口形式由網(wǎng)口變?yōu)閁SB

口、接口數(shù)量由少變多、接口功能由電子數(shù)據(jù)交換擴(kuò)至遠(yuǎn)程控制等。輕微網(wǎng)絡(luò)安全更新不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新，

包括輕微網(wǎng)絡(luò)安全功能更新、網(wǎng)絡(luò)安全補(bǔ)丁更新。網(wǎng)絡(luò)環(huán)境、電子接口的數(shù)據(jù)傳輸效率單純提高，電子接口原有功能單純優(yōu)化；醫(yī)療器械軟件、必備軟件（醫(yī)療器械軟件正常運(yùn)行所必需的其他醫(yī)療器械軟件、醫(yī)用中間件）、外部軟件環(huán)境（醫(yī)療器械軟件正常運(yùn)行所必需的系統(tǒng)軟件、通用應(yīng)用軟件、通用中間件、支持軟件）的網(wǎng)絡(luò)安全補(bǔ)丁更新。風(fēng)險(xiǎn)識(shí)別?資產(chǎn)Asset:對(duì)個(gè)人或組織有價(jià)值的物理和數(shù)字實(shí)體?威脅Threat:可能導(dǎo)致對(duì)個(gè)人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因?脆弱性Vulnerability

:可能會(huì)被威脅所利用的資產(chǎn)或風(fēng)險(xiǎn)控制措施的弱點(diǎn)評(píng)估威脅和脆弱性對(duì)于醫(yī)療器械和患者的影響以及被利用的可能性，確定風(fēng)險(xiǎn)水平采取充分、有效、適宜的風(fēng)險(xiǎn)控制措施，

以減低原有風(fēng)險(xiǎn)對(duì)產(chǎn)品安全有效性的影響IEC/TR80001-2-2:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurityneeds,risksandcontrols2.7

網(wǎng)絡(luò)安全技術(shù)考量現(xiàn)成軟件類型?應(yīng)用軟件：成品軟件、遺留軟件、外包軟件?系統(tǒng)軟件、支持軟件關(guān)注重點(diǎn)應(yīng)用軟重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問(wèn)題對(duì)醫(yī)療器械臨床應(yīng)用的影響系統(tǒng)軟件、支持軟件：重點(diǎn)關(guān)注安全補(bǔ)丁更新對(duì)醫(yī)療器械的影響注冊(cè)人工作注冊(cè)人應(yīng)根據(jù)質(zhì)量管理體系要求建立現(xiàn)成軟件網(wǎng)絡(luò)安全更新維護(hù)過(guò)程，

及時(shí)將現(xiàn)成軟件網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對(duì)措施告知用戶。在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在中國(guó)境內(nèi)存儲(chǔ)，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器。1.遠(yuǎn)程維護(hù)功能：遠(yuǎn)程訪問(wèn)和使用設(shè)備數(shù)據(jù)，若未能實(shí)現(xiàn)設(shè)備數(shù)據(jù)和醫(yī)療數(shù)據(jù)的有效隔離，則存在醫(yī)療數(shù)據(jù)未授權(quán)訪問(wèn)和使用以及被篡改的可能性。2.遠(yuǎn)程維護(hù)所用電子接口：面臨網(wǎng)絡(luò)攻擊的威脅，可能會(huì)影響醫(yī)療器械正常運(yùn)行，導(dǎo)致患者受到傷害或死亡以及隱私被侵犯。3.醫(yī)療器械在遠(yuǎn)程維護(hù)過(guò)程中若無(wú)人值守，則可能存在醫(yī)療器械非授權(quán)訪問(wèn)和使用的風(fēng)險(xiǎn)。注冊(cè)人工作注冊(cè)人應(yīng)明確遠(yuǎn)程維護(hù)的實(shí)現(xiàn)方法、所用電子接口情況、設(shè)備數(shù)據(jù)所含內(nèi)容、設(shè)備數(shù)據(jù)與醫(yī)療數(shù)據(jù)的隔離方法、維護(hù)過(guò)程網(wǎng)絡(luò)安全保證措施等技術(shù)特征，并提供相應(yīng)研究資料和風(fēng)險(xiǎn)管理資料。1.陳舊設(shè)備：指不能通過(guò)補(bǔ)丁更新、補(bǔ)償控制等合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅的醫(yī)療器械。2.陳舊設(shè)備應(yīng)盡快停運(yùn)退市。3.陳舊設(shè)備判定：醫(yī)療器械停售、停止售后服務(wù)。停售但未停止售后服務(wù)的醫(yī)療器械，若無(wú)法通過(guò)合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅則為陳舊設(shè)備，反之不屬于陳舊設(shè)備；停止售后服務(wù)的醫(yī)療器械均為陳舊設(shè)備。注冊(cè)人工作注冊(cè)人應(yīng)按照質(zhì)量管理體系關(guān)于軟件停運(yùn)/軟件退市的要求開展相應(yīng)工作。對(duì)于注冊(cè)證失效但尚未停止售后服務(wù)、注冊(cè)證有效但已停售的醫(yī)療器械，注冊(cè)人應(yīng)根據(jù)質(zhì)量管理體系要求向現(xiàn)有用戶提供必要的網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對(duì)措施，以保證醫(yī)療器械的網(wǎng)絡(luò)安全。3.

醫(yī)療器械企業(yè)應(yīng)對(duì)方案風(fēng)險(xiǎn)評(píng)估用戶訪問(wèn)控制機(jī)制安全補(bǔ)丁更新用戶告知書設(shè)計(jì)開發(fā)網(wǎng)絡(luò)安全維護(hù)及用戶告知加密、數(shù)字簽名、標(biāo)

防火墻、入侵檢測(cè)和準(zhǔn)協(xié)議、校驗(yàn)等技術(shù)

惡意代碼防護(hù)等技術(shù)符合網(wǎng)絡(luò)傳輸管理規(guī)定j資產(chǎn)（asset，對(duì)個(gè)人或組織有價(jià)值的任何東西）人或組織產(chǎn)生損害的非預(yù)期車件發(fā)牛的港在原閔）巨Tab'lluj

冃g(shù)會(huì)被威脅所利用的資產(chǎn)或風(fēng)瞼持制措施的弱點(diǎn)）備注序號(hào)12345678標(biāo)準(zhǔn)名稱GB/T

20271-2006《信息女全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T

20984-2007《佶息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T

22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T

22081-2016《信息技術(shù)女全技術(shù)佶息安全管理實(shí)用規(guī)則GB/T

29246-2012《信息技術(shù)安全技術(shù)信息女全管理體系概述和詞匯》GB/Z24364-2009《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》IEC/TR80001-2-2:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurityneeds,risksandcontrolsYY/T

1474-2016《醫(yī)療器械可用性工程對(duì)醫(yī)療器械的應(yīng)用》F防護(hù)層級(jí)產(chǎn)品級(jí)：

醫(yī)療器械產(chǎn)品自身?系統(tǒng)級(jí)：醫(yī)療信息技術(shù)網(wǎng)絡(luò)保證措施?管理措施：如使用規(guī)范等?物理措施：如防盜措施等?技術(shù)措施：如加密技術(shù)等關(guān)注重點(diǎn)?以醫(yī)療器械數(shù)據(jù)安全為核心關(guān)注產(chǎn)品級(jí)的技術(shù)保證措施"來(lái)源：CMDE培訓(xùn)資料z醫(yī)療器械對(duì)于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識(shí)別、保護(hù)能力和適當(dāng)?shù)奶綔y(cè)、響應(yīng)、恢復(fù)能力?可參考IEC/TR

80001-2-2等標(biāo)準(zhǔn)和技術(shù)報(bào)告

識(shí)別、防護(hù)?用戶訪問(wèn)控制機(jī)制?可采用加密、數(shù)字簽名、標(biāo)準(zhǔn)協(xié)議、校驗(yàn)等技術(shù)探測(cè)、響應(yīng)、恢復(fù)?可采用防火墻、入侵檢測(cè)和惡意代碼防護(hù)等技術(shù)自動(dòng)注銷審核控制授權(quán)網(wǎng)絡(luò)安全特性配置網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)數(shù)據(jù)去標(biāo)識(shí)化數(shù)據(jù)備份與災(zāi)難恢復(fù)緊急訪問(wèn)數(shù)據(jù)完整性與真實(shí)性惡意軟件探測(cè)與防護(hù)節(jié)點(diǎn)鑒別人員鑒別物理防護(hù)現(xiàn)成軟件維護(hù)系統(tǒng)固化網(wǎng)絡(luò)安全指導(dǎo)存儲(chǔ)數(shù)據(jù)存儲(chǔ)保密性遠(yuǎn)程訪問(wèn)與控制抗拒絕服務(wù)攻擊

輕微級(jí)別：按照通用漏洞評(píng)分系統(tǒng)（cvss）所定義的漏洞等級(jí)，明確已知漏洞總數(shù)和已知剩余漏洞數(shù)。中等級(jí)別：提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告，按照CVSS漏洞等級(jí)明確已知漏洞總數(shù)和已知剩余漏洞數(shù)，

列明已知剩余漏洞的內(nèi)容、影響、風(fēng)險(xiǎn)，

確保風(fēng)險(xiǎn)均可接受?；蛱峁┑谌骄W(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告。嚴(yán)重級(jí)別：提供境內(nèi)第三方網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告， 以及已知剩余漏洞的維護(hù)方案。4.

網(wǎng)絡(luò)安全注冊(cè)資料要求料號(hào)資編資料名稱資料內(nèi)容產(chǎn)品性能研究增加網(wǎng)絡(luò)安全保障的相關(guān)研究資料5.15.7軟件研究資料自研/現(xiàn)成軟件網(wǎng)絡(luò)安全研究報(bào)告外部軟件環(huán)境評(píng)估報(bào)告風(fēng)險(xiǎn)管理資料增加網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)評(píng)估和控制工作產(chǎn)品技術(shù)要求要求見軟件注冊(cè)審查指導(dǎo)原則（第版）征求意見稿8911.1說(shuō)明書網(wǎng)絡(luò)安全的相關(guān)說(shuō)明：明確用戶訪問(wèn)控制機(jī)制電子接口（含網(wǎng)口接口、電子數(shù)據(jù)交換接口）及其數(shù)據(jù)類型和技術(shù)特征網(wǎng)絡(luò)安全特征配置數(shù)據(jù)備份與災(zāi)難恢復(fù)運(yùn)行環(huán)境（含硬件配置、外部軟件環(huán)境、網(wǎng)絡(luò)環(huán)境）安全軟件兼容性外部軟件環(huán)境與安全軟件更新等要求。料號(hào)資編資料名稱資料內(nèi)容1軟件研究資 根據(jù)網(wǎng)絡(luò)安全更新情況提交變化部分對(duì)產(chǎn)品安全性與有效料 性影響的研究資料：1

涉及網(wǎng)絡(luò)安全功能更新：

發(fā)生功能更新或合并補(bǔ)丁更新，提交自研/現(xiàn)成軟件網(wǎng)絡(luò)安全功能更新研宄報(bào)告（或自研/現(xiàn)成軟件網(wǎng)絡(luò)安全研究報(bào)告）、外部軟件環(huán)境評(píng)估報(bào)告；2

僅發(fā)生網(wǎng)絡(luò)安全補(bǔ)丁更新：

提交自研軟件網(wǎng)絡(luò)安全 補(bǔ)丁更新研究報(bào)告3未發(fā)生網(wǎng)絡(luò)安全更新：出具真實(shí)性聲明。2產(chǎn)品技術(shù)要求如適用，產(chǎn)品技術(shù)要求應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更情況。3說(shuō)明書如適用，說(shuō)明書應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更內(nèi)容。資料編號(hào) 資料名稱 資料內(nèi)容延續(xù)注冊(cè)無(wú)需提交網(wǎng)絡(luò)安全相關(guān)研究資料。7其他若原注冊(cè)產(chǎn)品標(biāo)準(zhǔn)（

或原產(chǎn)品技術(shù)要求）

及其變更對(duì)比表未體現(xiàn)軟件相關(guān)f

e

息，

應(yīng)在廣品未變化聲明中予以明確，

其中軟件版本命名規(guī)則涵蓋網(wǎng)絡(luò)安全更新情況。輕微中等嚴(yán)重驗(yàn)證與確認(rèn)可追溯性分析條款軟件信息明確軟件的基本情況和安全性級(jí)別數(shù)據(jù)架構(gòu)士it

IE

明-士志 士口 來(lái)fr士Ein

i=b提供每個(gè)使用場(chǎng)景的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流E±|，佃處1大^了吝備偽父彳日大安乂士古不U

?=E子接口的基本*■

|

冃

//Li列明網(wǎng)絡(luò)安全補(bǔ)丁f 丨f

?

t

1

.、1—?1,I~~J▲

y|\7

ri-j-l1*歷

/1x1V-11—1'I1

歷4 x~| 1|-^j Ll網(wǎng)絡(luò)安全補(bǔ)丁安全軟件風(fēng)險(xiǎn)管理明確安全軟件的基本情況提供網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析報(bào)告、風(fēng)險(xiǎn)管理報(bào)告更新維護(hù)計(jì)劃提供網(wǎng)絡(luò)安全的測(cè)試計(jì)劃和報(bào)告提供網(wǎng)絡(luò)安全可追溯性分析報(bào)告提供網(wǎng)絡(luò)安全更新、 事件應(yīng)急響應(yīng)、遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述漏洞評(píng)估提供網(wǎng)絡(luò)安全更新、

遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述按照漏洞等級(jí)明確已知漏洞總數(shù)和剩余漏b告

估

已

況報(bào)

評(píng)

確

情評(píng)

洞

明

洞自

漏

級(jí)

漏洞

全

等

余漏

安

洞

剩全

絡(luò)

漏

和安

網(wǎng)

照

數(shù)絡(luò)

方

按

總網(wǎng)三

同供

第

記提或報(bào)知提供境內(nèi)第三方網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告，

以及已知結(jié)論洞數(shù)。 剩余漏洞的維護(hù)方案。概述網(wǎng)絡(luò)安全頭現(xiàn)過(guò)程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評(píng)估結(jié)果，判定網(wǎng)絡(luò)i全是否滿足要求基本信息實(shí)現(xiàn)過(guò)程更新維護(hù)計(jì)劃提供網(wǎng)絡(luò)安全更新部分的測(cè)試計(jì)劃和報(bào)告提供網(wǎng)絡(luò)安全更新