YYT 1843-2022 醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

CCSC30中華人民共和國醫(yī)藥行業(yè)標準醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求B2022-05-18發(fā)布2023-06-01實施國家藥品監(jiān)督管理局發(fā)布 2規(guī)范性引用文件 3術(shù)語和定義 4通用要求 5試驗方法 附錄A（規(guī)范性）網(wǎng)絡(luò)安全能力測試過程的要求 附錄B（資料性）本文件與其他文件的關(guān)聯(lián) 附錄C（資料性）特定條款的指南和原理說明 附錄D（資料性）本文件關(guān)于個人敏感數(shù)據(jù)的考量 參考文獻 Ⅰ本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由國家藥品監(jiān)督管理局提出。本文件由全國醫(yī)用電器標準化技術(shù)委員會(SAC/TC10)歸口。本文件起草單位：上海市醫(yī)療器械檢測所、國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國食品藥品檢定研究院、江蘇省醫(yī)療器械檢測所、蘇州UL美華認證有限公司、深圳邁瑞生物醫(yī)療電子股份有限公司、東軟醫(yī)療系統(tǒng)股份有限公司、深圳市理邦精密儀器股份有限公司、北京怡和嘉業(yè)醫(yī)療科技股份有限公司、飛利浦（中國）投資有限公司、上海西門子醫(yī)療器械有限公司、通用電氣醫(yī)療系統(tǒng)貿(mào)易發(fā)展（上海）有限公司、美敦力（上海）管理有限公司。本文件主要起草人：劉重生、彭亮、邢瀟、王晨希、劉茹、張波、陶華、馬銳兵、陳勇強、陳蓓、諶達宇、曹景泰、秦川、夏偉杰。Ⅱ隨著醫(yī)療應(yīng)用場景的不斷拓展，以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普遍化，醫(yī)療器械越來越多地進行著不同目的、不同類型的數(shù)據(jù)交換，在提高診療效率，提升數(shù)據(jù)分析能力的同時，也出現(xiàn)了諸如患者信息泄露、健康數(shù)據(jù)被篡改、未授權(quán)修改治療參數(shù)、以勒索或其他非法目的為目標的惡意攻擊或數(shù)據(jù)竊取等情況發(fā)生。在這樣的背景下，當下的醫(yī)療器械不論是單機使用，還是在個域網(wǎng)、局域網(wǎng)或廣域網(wǎng)中使用，其網(wǎng)絡(luò)安全能力對于醫(yī)療器械的安全性、有效性則變得至關(guān)重要。而網(wǎng)絡(luò)安全，從廣義來說，凡是涉及醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及相關(guān)醫(yī)療器械軟件產(chǎn)品的信息的保密性、完整性、可得性等相關(guān)技術(shù)和理論都是其范疇之內(nèi)的。雖然從保障網(wǎng)絡(luò)安全的責(zé)任角度講，在使用環(huán)境中，維系一個IT網(wǎng)絡(luò)的網(wǎng)絡(luò)安全是多方責(zé)任，但對制造商來說，有義務(wù)識別產(chǎn)品本身可能遇到的網(wǎng)絡(luò)安全相關(guān)的風(fēng)險并予以識別和分析，進而在設(shè)計、開發(fā)的過程中實現(xiàn)對應(yīng)的風(fēng)險控制措施。本文件則將對醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件產(chǎn)品（在本文件中，“產(chǎn)品”一般指醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件產(chǎn)品）的網(wǎng)絡(luò)安全能力提出基本要求并規(guī)范了驗證過程（見附錄A),以驗證制造商對產(chǎn)品網(wǎng)絡(luò)安全相關(guān)風(fēng)險的風(fēng)險控制措施的實現(xiàn)情況。考慮到目前制造商在識別網(wǎng)絡(luò)安全風(fēng)險時普遍會參考IEC/TR80001-2-2,對于風(fēng)險識別的維度，本文件中也一定程度上參考了IEC/TR80001-2-2,因此本文件和IEC/TR80001-2-2是有一定關(guān)聯(lián)性的。為了描述這種關(guān)聯(lián)性，本文件列出了本文件與該文件相關(guān)條款之間的對應(yīng)關(guān)系（見附錄B)。星號（*）作為標題的第一個字符、段落或表格標題的開頭，表示在附錄C中有與該項目相關(guān)的指南或原理說明。1醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求本文件規(guī)定了醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件的網(wǎng)絡(luò)安全基本要求。本文件適用于有用戶訪問、電子數(shù)據(jù)交換或遠程控制功能的醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1不會對人員、財產(chǎn)或環(huán)境造成不可接受的風(fēng)險。［來源：ISO/IECGUIDE51:2014,3.14,有修改］3.2信息對未授權(quán)的個人、實體或過程不可用或不泄露的特性。［來源：GB/T29246—2017,2.12]3.3設(shè)計為惡意破壞正常功能，收集敏感數(shù)據(jù)和／或訪問其他連接系統(tǒng)的軟件。3.4對經(jīng)過的數(shù)據(jù)流進行解析，并實現(xiàn)訪問控制及安全防護功能的網(wǎng)絡(luò)安全產(chǎn)品。3.5傷害發(fā)生的概率和該傷害嚴重度的組合。［來源：YY/T0316—2016,2.16]3.6系統(tǒng)地運用現(xiàn)有信息確定危險（源）和估計風(fēng)險的過程。［來源：YY/T0316—2016,2.17]3.7作出決策并實施措施，以便降低風(fēng)險或把風(fēng)險維持在規(guī)定水平的過程。［來源：YY/T0316—2016,2.19]23.8用于風(fēng)險的分析、評價、控制和監(jiān)視工作的管理方針、程序及其實踐的系統(tǒng)運用。3.9一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。注1：個人敏感數(shù)據(jù)可能包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。注2：在GB／T35273—2020中，被稱之為個人敏感信息，由于本文件主要是對數(shù)據(jù)進行規(guī)范，因此在本文件中改寫為數(shù)據(jù)。注3：關(guān)于個人敏感數(shù)據(jù)的判定方法和類型可參考GB／T35273—2020中的附錄B。在緊急的情況（如搶救、急救）下，臨床用戶能夠在不使用個人身份標識或未經(jīng)授權(quán)的情況下對健康數(shù)據(jù)進行訪問。與身體或心理健康相關(guān)的個人敏感數(shù)據(jù)。注1：通常在本文件中將健康數(shù)據(jù)定義為個人敏感數(shù)據(jù)的子集。注2：由于目前全球規(guī)定了不同的隱私合規(guī)性法律和法規(guī)。例如，在歐洲，可能需要采取的要求和參考變更為“個人數(shù)據(jù)”和“敏感數(shù)據(jù)”，在美國，健康數(shù)據(jù)可能會更改為“受保護的健康信息（PHI）”，這需要不同國家或地區(qū)的制造商進一步考慮中國當?shù)氐姆苫蚍ㄒ?guī)。證明所聲稱事件或行為的發(fā)生及其源頭的能力。實體的活動可以被唯一地追溯到該實體的程度。根據(jù)授權(quán)個人、實體的要求可訪問和使用的特性，即產(chǎn)品相關(guān)數(shù)據(jù)能以預(yù)期方式適時進行訪問和使用。ss敏感數(shù)據(jù)是任何可能危及產(chǎn)品使用和網(wǎng)絡(luò)安全的關(guān)鍵安全參數(shù)，如密碼、密鑰、隨機數(shù)生成器的種子、身份驗證數(shù)據(jù)、個人敏感數(shù)據(jù)以及未授權(quán)訪問可能危及產(chǎn)品網(wǎng)絡(luò)安全的任何數(shù)據(jù)。3通過對個人敏感數(shù)據(jù)的技術(shù)處理，使得個人敏感數(shù)據(jù)主體無法被識別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過程。［來源：GB/T35273—2020,3.14,有修改］-通過對個人敏感數(shù)據(jù)的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者關(guān)聯(lián)個人敏感數(shù)據(jù)主體的過程。注：去標識化建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人敏感數(shù)據(jù)的標識。［來源：GB/T35273—2020,3.15,有修改］描述設(shè)備運行狀況的數(shù)據(jù)，用于監(jiān)視、控制設(shè)備運行或用于設(shè)備的維護保養(yǎng)，本身不涉及個人敏感數(shù)據(jù)。為了評審和分析以及持續(xù)監(jiān)控而收集的有關(guān)信息安全事態(tài)的數(shù)據(jù)。［來源：GB/T25068.1—2020,3.4]基于風(fēng)險管理使產(chǎn)品數(shù)據(jù)和／或功能具有可接受水平的保密性、完整性、可得性等網(wǎng)絡(luò)安全特性的技術(shù)措施。［來源：IEC/TR80001-2-2:2012,3.27,有修改］闡明產(chǎn)品網(wǎng)絡(luò)安全能力的文檔，其主要目的是作為測試者對產(chǎn)品進行測試的依據(jù)。注：本文件并不規(guī)定網(wǎng)絡(luò)安全能力說明的形式，可以是一個文檔，也可以是一套文檔集，也可以是一個文檔的一部分。數(shù)據(jù)自創(chuàng)建、傳輸或存儲以來，無未經(jīng)授權(quán)的方式被更改的屬性。［來源：ISO/IEC29167-19:2016,3.40]IT-由通信節(jié)點和傳輸鏈路組成的一個或多個系統(tǒng)，以在兩個或多個指定的通信節(jié)點之間提供物理鏈接或無線傳輸。［來源：IEC/TR80001-2-2:2012,3.10]v在包括在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)，或者預(yù)期本身用作醫(yī)療器械而開發(fā)的軟件系統(tǒng)。4具有應(yīng)用部分或向患者傳送或取得能量或檢測這些所傳送或取得能量的電氣設(shè)備。這樣的電氣設(shè)備：1）對患者的診斷、治療或監(jiān)護；或2）消除或減輕疾病、損傷或殘疾。在制造商的規(guī)定下由功能連接或使用多位插座相互連接的若干設(shè)備構(gòu)成的組合，組合中至少有一個是ME設(shè)備。IT-包含至少一個醫(yī)療器械的信息技術(shù)網(wǎng)絡(luò)。產(chǎn)品在閑置一段時間后自動登出或鎖定以阻止未經(jīng)授權(quán)的使用和誤用。注：自動鎖定也可以理解為是一種自動注銷的手段。對產(chǎn)品的使用或保養(yǎng)負有責(zé)任的實體。注1：舉例來說，這樣負有責(zé)任的實體可以是一家醫(yī)院、一個臨床醫(yī)生或一個業(yè)外人士。對家用設(shè)備來說，患者、操作者和責(zé)任方有可能是同一個人。注2：“使用”包含了教育和培訓(xùn)。實體符合其所聲稱的特性。以其名義制造預(yù)期可用的醫(yī)療器械并負有醫(yī)療器械設(shè)計和／或制造責(zé)任的自然人或法人，無論此醫(yī)療器械的設(shè)計和／或制造是由該自然人或法人進行或由另外的一個或多個自然人或法人代表其進行。54通用要求4.1*網(wǎng)絡(luò)安全能力說明4.1.1.1網(wǎng)絡(luò)安全能力說明應(yīng)體現(xiàn)其文檔標識。4.1.1.2網(wǎng)絡(luò)安全能力說明應(yīng)能識別對應(yīng)產(chǎn)品的標識。4.1.1.4網(wǎng)絡(luò)安全能力說明中陳述的網(wǎng)絡(luò)安全特性應(yīng)是可測試或可驗證的。4.1.2.1按預(yù)期接入的網(wǎng)絡(luò)的類型可分為預(yù)期接入專用網(wǎng)絡(luò)、公共網(wǎng)絡(luò)的產(chǎn)品。4.1.2.2按預(yù)期接入網(wǎng)絡(luò)的域可以分為預(yù)期接入個域網(wǎng)、局域網(wǎng)、廣域網(wǎng)的產(chǎn)品。4.1.2.3按連接類型可分為預(yù)期與其他信息設(shè)備單獨進行有線、無線連接的產(chǎn)品。議的無線通訊等方式。4.1.2.4按數(shù)據(jù)交換過程中的數(shù)據(jù)傳輸方向可以分為單向傳輸、雙向傳輸。4.1.2.5按使用場景可分為醫(yī)療場景和非醫(yī)療場景。注：其中醫(yī)療場景可能包括了治療、診斷或監(jiān)護等場景，非醫(yī)療場景可能包括了維護場景等。4.1.3.1網(wǎng)絡(luò)安全能力說明應(yīng)按照4.1.2對產(chǎn)品進行分類。4.1.3.2網(wǎng)絡(luò)安全能力說明應(yīng)明確產(chǎn)品的預(yù)期用途。4.1.3.3網(wǎng)絡(luò)安全能力說明應(yīng)提供產(chǎn)品在其預(yù)期配置中的所有電子接口的列表，包括了：注：內(nèi)部接口指的是ME系統(tǒng)中各部件之間的接口。c4.1.3.4*網(wǎng)絡(luò)安全能力說明應(yīng)列明產(chǎn)品的軟件名稱和版本號，這里包括了所有第三方和包含在產(chǎn)品中的開源軟件。4.1.3.5網(wǎng)絡(luò)安全能力說明應(yīng)指明產(chǎn)品中使用的不同配置或所支持的配置。注1：這里指的配置是軟件、硬件配置，如：—操作系統(tǒng)、系統(tǒng)軟件或其他支持軟件；—處理器及其規(guī)模、主內(nèi)存及其規(guī)模、輸入輸出設(shè)備；—網(wǎng)絡(luò)環(huán)境。注2：針對不同的需求，可以規(guī)定不同的配置。但是制造商需識別不同的操作系統(tǒng)所帶來的網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)敏感數(shù)據(jù)的存儲保密性的陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)傳輸保密性的陳述，尤其是對敏感數(shù)據(jù)的考量。6注1：需著重考慮當設(shè)備在公用網(wǎng)絡(luò)進行網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的敏感數(shù)據(jù)保密性策略。注2：有關(guān)在無線網(wǎng)絡(luò)中傳輸保密性的更多信息，可參考IEC/TR80001-2-3:2012。4.1.6健康數(shù)據(jù)中的身份信息網(wǎng)絡(luò)安全能力說明應(yīng)列出產(chǎn)品包含的個人敏感數(shù)據(jù)的類型，以及選取的個人敏感數(shù)據(jù)類型的依從性文件。注1：關(guān)于可能的類型和內(nèi)容見附錄D或GB/T35273—2020。如適用，網(wǎng)絡(luò)安全能力說明應(yīng)包含數(shù)據(jù)導(dǎo)出時使個人敏感數(shù)據(jù)無法被識別的手段的陳述。注2：更多細節(jié)可參考GB/T37964—2019。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品用戶訪問控制的陳述，這包括采用的用戶訪問控制措施以及這種控制措施的細節(jié)。注：這包括了遠程訪問，其中也包括了遠程控制和用于維護的遠程訪問。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了用戶身份驗證的陳述，若提供了這種手段，則應(yīng)陳述所有現(xiàn)有用戶身份及其訪問權(quán)限。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)自動注銷的陳述。得性，制造商需要考慮這樣的場景下自動注銷功能所帶來的風(fēng)險。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了緊急訪問的陳述，若提供了用于緊急訪問的功能，則應(yīng)陳述該功能的必要性，以及使用該功能的同時如何兼顧完整性。網(wǎng)絡(luò)安全能力說明應(yīng)包含在傳輸過程中保證敏感數(shù)據(jù)完整性的策略的陳述。注：該陳述可以包括對數(shù)據(jù)傳輸?shù)穆窂降囊蟆＿m用時，網(wǎng)絡(luò)安全能力說明應(yīng)包含節(jié)點認證的陳述。若設(shè)備部署在HDO,身份驗證策略宜靈活適應(yīng)本地HDO信息技術(shù)網(wǎng)絡(luò)的安全策略。若產(chǎn)品包含了多個節(jié)點，且節(jié)點有可能被產(chǎn)品之外的其他節(jié)點接入，則應(yīng)考慮這種情況的節(jié)點認證。注：節(jié)點認證的方式一般包括了白名單、用戶名／口令、證書等。4.1.13惡意軟件探測與防護網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否支持惡意軟件探測與防護的陳述，這應(yīng)包括安全產(chǎn)品的配置方式，探測到惡意軟件時的處理和修復(fù)方式。注：安全產(chǎn)品一般包括殺毒軟件、輔助安全軟件和防火墻等。74.1.14*系統(tǒng)與應(yīng)用軟件固化制造商應(yīng)考慮產(chǎn)品的系統(tǒng)與應(yīng)用軟件固化，若需要實施固化，網(wǎng)絡(luò)安全能力說明應(yīng)包含系統(tǒng)與應(yīng)用軟件固化的措施的陳述，這樣的措施用于保證僅提供與預(yù)期用途相關(guān)的資源和服務(wù)，并保證盡可能少的維護活動。注：這樣的措施的舉例：—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的訪問端口；—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的服務(wù)；—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的應(yīng)用軟件；—限制／控制資源層的訪問；—限制／控制任務(wù)層的訪問。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品上的數(shù)據(jù)交換端口的物理防護的陳述。若產(chǎn)品部署在HDO,網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)物理防護的陳述。注：哪怕該物理設(shè)備的資產(chǎn)不屬于制造商，若存在相關(guān)的風(fēng)險，也需要進行陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)抗抵賴性的陳述。4.1.17健康數(shù)據(jù)的完整性和真實性網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)保證健康數(shù)據(jù)的完整性和真實性的陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)可核查性內(nèi)容及其手段的陳述。注：對于這樣的內(nèi)容的舉例：—成功或失敗的登錄嘗試；—健康數(shù)據(jù)的訪問、修改和刪除；—健康數(shù)據(jù)的導(dǎo)入、導(dǎo)出；—安全配置的更改（如，更改用戶身份驗證的憑據(jù)、更改有效的用戶賬戶列表—遠程訪問（可能是用于產(chǎn)品維護或?qū)崿F(xiàn)預(yù)期用途—緊急訪問。4.1.19數(shù)據(jù)備份與災(zāi)難恢復(fù)網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品進行數(shù)據(jù)備份與災(zāi)難恢復(fù)策略的陳述。注：其目標是為了確保醫(yī)療業(yè)務(wù)持續(xù)進行。利用第三方和操作系統(tǒng)的功能進行數(shù)據(jù)備份在本文件中是被認可的。這包含了系統(tǒng)遭災(zāi)的恢復(fù)的考量。尤其是需要存檔健康數(shù)據(jù)的產(chǎn)品，需要考慮提供災(zāi)難恢復(fù)的策略。4.1.20.1網(wǎng)絡(luò)安全能力說明中應(yīng)包含與產(chǎn)品維護計劃中與網(wǎng)絡(luò)安全有關(guān)的維護內(nèi)容，并明確網(wǎng)絡(luò)安全維護的責(zé)任方。若產(chǎn)品中包含了第三方組件，應(yīng)在網(wǎng)絡(luò)安全能力說明中列出第三方組件的信息。注：第三方組件可能包括操作系統(tǒng)、第三方的動態(tài)鏈接庫、第三方的應(yīng)用程序等現(xiàn)成軟件。第三方組件的信息可以8是標識、來源及版本號等。4.1.20.3產(chǎn)品的網(wǎng)絡(luò)安全升級網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品的網(wǎng)絡(luò)安全升級的陳述。注：這樣的升級可能包括安全補丁文件的安裝、安全產(chǎn)品的升級。4.2用戶文檔集的要求4.2.1.1用戶文檔集應(yīng)體現(xiàn)其唯一的文檔標識。4.2.1.2用戶文檔集應(yīng)能識別對應(yīng)產(chǎn)品的標識。4.2.1.3用戶文檔集中陳述的網(wǎng)絡(luò)安全特性應(yīng)是可測試或可驗證的。4.2.1.4用戶文檔集應(yīng)包含產(chǎn)品預(yù)期用途及其配置的安全注意事項的陳述。4.2.1.5用戶文檔集應(yīng)包含產(chǎn)品預(yù)期使用場景（見4.1.2)的陳述。4.2.1.6用戶文檔集應(yīng)包含網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品配置和產(chǎn)品部署環(huán)境的要求或建議的陳述。注：例如，對產(chǎn)品的物理訪問控制、防火墻端口和協(xié)議、本地接口的配置選項等方面的要求。若產(chǎn)品部署在HDO,用戶文檔集應(yīng)明確用戶的管理職能，尤其是IT管理員的責(zé)任。注1：考慮到IT管理員的職能的獨立性，推薦發(fā)布單獨的管理員手冊，以便僅能由管理員對其保管和查看。注2：關(guān)于“職能”，必要時，明確的指出管理員需要完成那些工作，如管理、定制和監(jiān)視系統(tǒng)的信息（如訪問控制列表、審計日志等且需要讓管理員清楚地了解與安全相關(guān)的功能。注3：即便IT管理員是由供應(yīng)商／制造商派遣，這樣的責(zé)任也要明確。4.2.3健康數(shù)據(jù)中的身份信息用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供如何去除健康數(shù)據(jù)中的身份信息必要的指導(dǎo)。4.2.4用戶訪問控制用戶文檔集應(yīng)包含有關(guān)用戶訪問控制的功能的指導(dǎo)。用戶文檔集應(yīng)陳述所有現(xiàn)有角色及其訪問權(quán)限。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)自動注銷的參考信息。用戶文檔集應(yīng)陳述緊急狀態(tài)下訪問必要的產(chǎn)品功能或健康數(shù)據(jù)的指導(dǎo)。若安全產(chǎn)品可由用戶安裝，則用戶文檔集應(yīng)陳述產(chǎn)品所兼容的安全產(chǎn)品，并應(yīng)提供安全產(chǎn)品的配置指導(dǎo)。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)產(chǎn)品物理防護的參考信息。9用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)如何查看網(wǎng)絡(luò)安全事件記錄的指導(dǎo)。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供產(chǎn)品數(shù)據(jù)備份與災(zāi)難恢復(fù)的必要的指導(dǎo)。用戶文檔集應(yīng)包含在網(wǎng)絡(luò)安全能力說明中陳述的維護性相關(guān)內(nèi)容的指導(dǎo)。用戶文檔集中應(yīng)陳述與產(chǎn)品維護計劃中和網(wǎng)絡(luò)安全有關(guān)的維護服務(wù)。用戶文檔集應(yīng)包括在存儲設(shè)備退役之際保證敏感數(shù)據(jù)不可再被訪問的指導(dǎo)。注：退役的情況可能有丟棄、重新使用、轉(zhuǎn)售或回收等。4.3網(wǎng)絡(luò)安全能力要求4.3.1.1產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明所陳述的保密性特征來實現(xiàn)。4.3.1.2產(chǎn)品應(yīng)提供該產(chǎn)品生成、存儲、使用或傳輸?shù)乃忻舾袛?shù)據(jù)的保密性手段。4.3.2健康數(shù)據(jù)中的身份信息若產(chǎn)品可將個人敏感數(shù)據(jù)導(dǎo)出，產(chǎn)品應(yīng)提供使其無法識別患者身份的必要的信息的手段。注1：這樣的手段可能包括匿名化、去標識化等。注2：使用制造商指定的第三方工具完成上述目標也是可以接受的。4.3.3*用戶訪問控制產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶訪問控制措施的陳述來實現(xiàn)。若產(chǎn)品預(yù)置了供操作者使用的缺省用戶名和口令，應(yīng)提供這樣的手段，在操作者第一次訪問之后被要求修改用戶名或口令。若產(chǎn)品部署在HDO,應(yīng)對設(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問進行控制。注：在緊急訪問期間，這個要求是放寬的，見4.3.6。若產(chǎn)品使用身份驗證憑據(jù)的機制來進行用戶訪問控制，則：產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶授權(quán)的陳述來實現(xiàn)。若產(chǎn)品可以基于用戶角色進行配置，則產(chǎn)品的網(wǎng)絡(luò)安全管理功能應(yīng)不能配置給臨床用戶這種角色。產(chǎn)品的用戶角色分配宜按照最小授權(quán)的原則進行分配。注：如果產(chǎn)品未實現(xiàn)用戶訪問控制措施，在本文件中則認為是授權(quán)給所有可以使用到產(chǎn)品的人。有些情況，如產(chǎn)品部署在設(shè)置了門禁的房間內(nèi)，雖然被認為是降低了未授權(quán)訪問的風(fēng)險，但這并不在本文件的評價范圍內(nèi)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明和用戶文檔中有關(guān)自動注銷的陳述來實現(xiàn)。注1：自動鎖定也可以被認為是一種等同于自動注銷的方式，但在解鎖時需要重新登錄。對有用戶訪問控制的產(chǎn)品應(yīng)實施閑置超時或其他適當?shù)臋C制，以防止永久授權(quán)。閑置超時的間隔可由用戶配置，或可基于產(chǎn)品對事件或動作的響應(yīng)類型進行配置。注2：這樣的配置可能包括了自動注銷禁用、自動注銷時間設(shè)置等。產(chǎn)品宜不能使用戶因自動鎖定而丟失未提交的臨床業(yè)務(wù)。除非有臨床需要，否則產(chǎn)品應(yīng)不能在自動注銷后的界面顯示健康數(shù)據(jù)或患者信息。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)緊急訪問的陳述。如適用，在緊急情況下，應(yīng)提供可以訪問健康數(shù)據(jù)的手段。緊急訪問的行為應(yīng)被記錄并可供核查。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)傳輸完整性的陳述。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)節(jié)點認證的陳述。如適用，產(chǎn)品應(yīng)支持通過添加、刪除和／或掛起需要認證的節(jié)點名稱，或添加、撤消或更新身份驗證憑據(jù)來管理有效的節(jié)點。4.3.9惡意軟件探測與防護產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)惡意軟件探測與防護的陳述。應(yīng)保證在用戶文檔集中陳述的安全軟件與產(chǎn)品的兼容性。產(chǎn)品的最終交付物應(yīng)不存在已知惡意軟件。4.3.10系統(tǒng)與應(yīng)用軟件固化產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)系統(tǒng)與應(yīng)用軟件固化的陳述實現(xiàn)。產(chǎn)品的最終交付物應(yīng)不存在網(wǎng)絡(luò)安全風(fēng)險不可接受的已知漏洞。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)物理防護的陳述進行防護。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)抗抵賴性的陳述實現(xiàn)。4.3.13健康數(shù)據(jù)的完整性和真實性產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)健康數(shù)據(jù)的完整性和真實性的陳述進行實現(xiàn)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)可核查性的陳述實現(xiàn)。產(chǎn)品應(yīng)能夠通過在設(shè)備上創(chuàng)建審計日志來記錄和檢查用戶的行為，審計日志應(yīng)能明確的追蹤到訪問網(wǎng)絡(luò)、設(shè)備或資源的用戶。審計日志應(yīng)僅由授權(quán)用戶訪問，且應(yīng)不能被編輯或非授權(quán)的刪除。制造商應(yīng)制定審計日志存儲策略，以保證審計日志不會非預(yù)期的丟失。注1：審計日志中記錄的行為屬性一般包括但不限于日期、時間、用戶身份標識、事件。注2：在緊急訪問期間，這個要求是被放寬的，見4.3.6。4.3.15數(shù)據(jù)備份與災(zāi)難恢復(fù)產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)數(shù)據(jù)備份與災(zāi)難恢復(fù)的陳述進行實現(xiàn)。適用時，應(yīng)提供一種手段確保在系統(tǒng)故障或遭受損害后可以恢復(fù)存儲在產(chǎn)品上的持久性系統(tǒng)設(shè)置和健康數(shù)據(jù)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明和用戶文檔集中有關(guān)維護性的陳述來執(zhí)行。5試驗方法5.1通過查驗產(chǎn)品網(wǎng)絡(luò)安全能力說明來驗證是否符合4.1的要求。5.2通過查驗用戶文檔集來驗證是否符合4.2的要求。5.3通過進行滿足附錄A要求的網(wǎng)絡(luò)安全能力測試過程的測試，來驗證產(chǎn)品是否符合4.3中陳述的要求的符合性。附錄A（規(guī)范性）網(wǎng)絡(luò)安全能力測試過程的要求按照此測試過程進行網(wǎng)絡(luò)安全測試的目的是有效證實產(chǎn)品是否符合4.3的要求?；诖藴y試過程的文檔一般應(yīng)包含測試計劃、測試說明和測試結(jié)果（報告但本文件并不對具體有哪些文檔做出規(guī)定。這些文檔不應(yīng)與產(chǎn)品矛盾，如果有多個文檔構(gòu)成，那么每個文檔之間也不應(yīng)自相矛盾。A.2內(nèi)容要求測試過程中通常包含以下文檔：測試計劃、測試說明和測試結(jié)果（報告）。注：本文件不對都有哪些測試文檔進行要求。A.3測試計劃的要求測試計劃的要求通常包括了以下內(nèi)容，但也可以由測試者自定義。測試計劃應(yīng)指明用于判定測試結(jié)果是否證實軟件與網(wǎng)絡(luò)安全能力說明和用戶文檔集的符合性準則。A.3.2測試環(huán)境測試計劃應(yīng)規(guī)定將要進行的測試所處的軟件測試環(huán)境或配置。測試計劃應(yīng)規(guī)定每個測試活動和測試里程碑的進度。測試計劃應(yīng)識別、更新并記錄測試活動中存在的風(fēng)險，并提供應(yīng)對措施。A.3.5人力資源測試計劃中應(yīng)明確每個測試活動所需的人力資源情況。A.3.6工具和環(huán)境資源A.3.6.1測試計劃中應(yīng)明確執(zhí)行測試活動所需的工具。A.3.6.2如果使用特殊的工具和環(huán)境，測試計劃中應(yīng)說明選擇這些工具和環(huán)境的原因以及預(yù)期的結(jié)果。A.4測試說明的要求對每個測試用例的說明可包括：cf編制的測試用例應(yīng)基于一定的測試規(guī)程來進行測試。注：本文件不會提供測試用例的模板，也不會對測試用例的模板進行要求，但GB/T15532—2008提供模板的參考。A.4.2測試規(guī)程A.4.2.1測試規(guī)程可包括：cA.4.2.2為提供測試的可重復(fù)性和可再現(xiàn)性，測試規(guī)程應(yīng)足夠詳細。A.4.2.3在產(chǎn)品被糾正后應(yīng)有一種重新測試的規(guī)程。A.5測試結(jié)果的要求A.5.1執(zhí)行報告應(yīng)包括測試用例結(jié)果的全部匯總。A.5.2執(zhí)行報告應(yīng)證實已按測試計劃執(zhí)行了所有測試用例，或?qū)y試計劃偏差進行了分析。A.5.3對于每個測試用例，執(zhí)行報告均應(yīng)包括以下內(nèi)容：c注：對于發(fā)現(xiàn)的異?；虿环享?，需考慮編寫異常情況報告給相關(guān)利益方。本文件雖然不對異常報告的格式和全部內(nèi)容進行要求，但若編寫異常報告，異常報告需具有可追溯性。A.6方法A.6.1本文件未推薦特定的技術(shù)或方法。A.6.2在網(wǎng)絡(luò)安全能力說明和4.3中提及的所有網(wǎng)絡(luò)安全能力均應(yīng)經(jīng)測試用例測試。A.6.3適用時，在網(wǎng)絡(luò)安全能力說明和4.3中提及的每個網(wǎng)絡(luò)安全能力至少應(yīng)經(jīng)一個測試用例測試。A.6.4測試用例應(yīng)能證實產(chǎn)品與用戶文檔集中的陳述的符合性。A.6.5當網(wǎng)絡(luò)安全能力說明中引用了任何需求文檔時，所涉及的內(nèi)容應(yīng)經(jīng)測試用例測試。A.6.6若產(chǎn)品實施了系統(tǒng)與應(yīng)用軟件固化，則所有的固化措施都應(yīng)經(jīng)過測試用例的測試。注：若使用漏洞掃描工具進行這樣的測試，漏洞庫的信息也需被記錄。A.6.7當4.3的任何要求不適用時，應(yīng)在測試記錄中闡述不適用的理由。附錄B（資料性）本文件與其他文件的關(guān)聯(lián)表B.1列出了本文件與IEC/TR80001-2-2相關(guān)條款的關(guān)聯(lián)性。表B.1與IEC／TR80001-2-2的關(guān)聯(lián)本文件條標題章條號IEC/TR80001-2-2中的縮寫存儲保密性STCF傳輸保密性TXCF健康數(shù)據(jù)中的身份信息DIDT用戶訪問控制PAUT用戶授權(quán)AUTH自動注銷ALOF緊急訪問EMRG傳輸完整性TXIG節(jié)點認證NAUT惡意軟件探測與防護MLDP系統(tǒng)與應(yīng)用軟件固化SAHD物理防護PLOK抗抵賴性—健康數(shù)據(jù)的完整性和真實性IGAU可核查性AUDT數(shù)據(jù)備份與災(zāi)難恢復(fù)DTBK維護性RDMP、CSUP、MLDP用戶文檔集的要求42CNFS、SGUD附錄C（資料性）特定條款的指南和原理說明C.1通用指南對于制造商來說，對網(wǎng)絡(luò)安全風(fēng)險的考慮是貫穿于整個產(chǎn)品的生命周期的，基于本文件進行的驗證同樣也可以在產(chǎn)品生命周期的任何時間進行，但更多的情況是會發(fā)生在驗收的時機。本文件第4章由網(wǎng)絡(luò)安全能力說明、用戶文檔集、網(wǎng)絡(luò)安全能力要求構(gòu)成，這些內(nèi)容構(gòu)成了符合性測試活動的輸入。制造商需要從風(fēng)險管理的角度考慮產(chǎn)品的網(wǎng)絡(luò)安全能力，并按4.1的要求陳述在網(wǎng)絡(luò)安全能力說明中。對于與本文件相關(guān)產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險，可以參考YY/T0316—2016的基礎(chǔ)流程，對于網(wǎng)絡(luò)安全風(fēng)險，目前國際上亦有一些標準可供參考，如GB9706.1—2020的第14章可編程醫(yī)用電氣系統(tǒng)(PEMS)、IEC80001-1及其系列技術(shù)報告、UL2900-2-1、AAMITIR57等標準中的相關(guān)內(nèi)容。本文件中網(wǎng)絡(luò)安全能力說明中要求的網(wǎng)絡(luò)安全能力則通常是為了緩解網(wǎng)絡(luò)安全風(fēng)險而實現(xiàn)的技術(shù)控制措施，對于其他的某些管理上的或行政上的控制措施則可能會作為某種警告性語言陳述在用戶文檔中。當這些風(fēng)險控制措施引入到設(shè)計需求時，制造商還需要考慮是否會引入新的風(fēng)險。C2以下是本文件中特定章條號的指南或原理說明，與本文件正文的章條號相對應(yīng)。本文件范圍的定制是基于參考ME設(shè)備、ME系統(tǒng)以及醫(yī)療器械軟件的定義。這樣的列舉也是為了明確與全國醫(yī)用電器標準化技術(shù)委員會(SAC/TC10)之間的關(guān)系。本文件中的ME設(shè)備和ME系統(tǒng)的定義是等同于GB9706.1的，然而考慮到醫(yī)療器械網(wǎng)絡(luò)安全特性的通用性，在GB9706.1中列出不適用的醫(yī)療器械（如：體外診斷設(shè)備、有源植入裝置的植入部分或醫(yī)用氣體管道系統(tǒng)等）也可以參考本文件進行評測。本文件中醫(yī)療器械軟件的定義則來自YY/T0664。在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)是基于本文件隨ME設(shè)備或ME系統(tǒng)共同評測的，而預(yù)期本身用作醫(yī)療器械而開發(fā)的軟件則通常單獨評測，但這也不排除有些情況下，需求方想要單獨基于本文件評測在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)。值得注意的是，本條中陳述的范圍排除了那些無網(wǎng)絡(luò)安全風(fēng)險的用戶交互，比如那些沒有用戶交互界面的人機交互模式為機械交互的產(chǎn)品。條款4.1網(wǎng)絡(luò)安全能力說明在更多的情況下，在進行產(chǎn)品網(wǎng)絡(luò)安全能力的驗證時，網(wǎng)絡(luò)安全測試的測試者需要制造商來陳述產(chǎn)品本身的網(wǎng)絡(luò)安全能力作為測試需求分析的輸入，因此網(wǎng)絡(luò)安全能力說明通常由制造商進行撰寫。制造商需要陳述的網(wǎng)絡(luò)安全能力的內(nèi)容通常是基于產(chǎn)品進行的網(wǎng)絡(luò)安全的風(fēng)險管理活動的風(fēng)險控制的技術(shù)措施，這些風(fēng)險管理活動應(yīng)結(jié)合產(chǎn)品的預(yù)期用途、使用場景及核心功能等進行分析，當產(chǎn)品的預(yù)期用途結(jié)合了不同的場景時，可能會產(chǎn)生不同的風(fēng)險，如果制造商在設(shè)計產(chǎn)品時基于不同的場景實現(xiàn)了不同的網(wǎng)絡(luò)安全能力，則制造商需要分別陳述這些網(wǎng)絡(luò)安全能力，這也是為什么網(wǎng)絡(luò)安全能力說明要按照4.1.3的要求對產(chǎn)品的特征進行陳述，以幫助潛在的測試者初步了解產(chǎn)品。這些網(wǎng)絡(luò)安全特性的適用性，適用的，則需要將實現(xiàn)的風(fēng)險控制的技術(shù)措施在網(wǎng)絡(luò)安全能力說明中進行陳述。對于不適用的項目，制造商仍需要陳述其不適用的理由。只有能夠通過風(fēng)險識別證明產(chǎn)品在不進行任何技術(shù)措施的情況下，產(chǎn)品不存在對應(yīng)的不可接受的網(wǎng)絡(luò)安全風(fēng)險，條款才可能被認為是不適用的。對于網(wǎng)絡(luò)安全能力說明中對網(wǎng)絡(luò)安全特性陳述的細化程度，首先需要考慮陳述的網(wǎng)絡(luò)安全能力的頻率等手段。這樣的目標是能夠一定程度上來提高網(wǎng)絡(luò)安全能力說明編寫的靈活性，以便更好地適應(yīng)特定的監(jiān)管政策或制造商的需求。本條的目標是為了讓產(chǎn)品網(wǎng)絡(luò)安全能力說明的編寫者在陳述產(chǎn)品特征描述中的分類提供一個指導(dǎo)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)是兩種廣泛的網(wǎng)絡(luò)類別。公共網(wǎng)絡(luò)，通常指任何人都可接入的網(wǎng)絡(luò)，互聯(lián)網(wǎng)是一個最常見的例子，由于這些數(shù)據(jù)交換設(shè)施都是公共的，故而其信任級別是相對較低的，風(fēng)險則較高，因此這需要更多的措施來降低一些有可能的風(fēng)險，比如安全網(wǎng)關(guān)等。專用網(wǎng)絡(luò)，一般指由本機構(gòu)擁有或租用線路構(gòu)成的網(wǎng)絡(luò)，也可以稱為私有網(wǎng)絡(luò)，對于需要傳輸資產(chǎn)價值較高的數(shù)據(jù)，比如包含健康數(shù)據(jù)在內(nèi)的個人敏感數(shù)據(jù)時，比起接入公共網(wǎng)絡(luò)，接入專用網(wǎng)絡(luò)通常風(fēng)險更低。一般情況下網(wǎng)絡(luò)連接架設(shè)可以在組織內(nèi)部，不同組織之間，亦或是組織與公共區(qū)域之間。公共網(wǎng)絡(luò)通常情況下是不同組織之間或者組織與公共區(qū)域之間。專用網(wǎng)絡(luò)通常是架設(shè)在組織內(nèi)部或者不同組織之間，但對于一些遠程用戶，也可以使用虛擬專用網(wǎng)絡(luò)(VPN),這相當于在組織與公共區(qū)域（公用網(wǎng)絡(luò)）上建立專用網(wǎng)絡(luò)，進行加密通信。個域網(wǎng)(PersonalAreaNetwork,PAN)、局域網(wǎng)(LocalAreaNetwork,LAN)和廣域網(wǎng)(WideAreaNetwork,WAN)節(jié)點之間互聯(lián)形成的域，通常這種網(wǎng)絡(luò)是相對封閉的。而廣域網(wǎng)一般情況下是使用電信供應(yīng)商提供的網(wǎng)絡(luò)設(shè)施將多個局域網(wǎng)或節(jié)點組成的范圍更廣的域，當然這也會引入更多的網(wǎng)絡(luò)安全方面的風(fēng)險。而個域網(wǎng)在某些認知中被認為是局域網(wǎng)的一種，但網(wǎng)絡(luò)互連技術(shù)發(fā)展至今日，個域網(wǎng)的應(yīng)用也越發(fā)廣泛，的風(fēng)險也需要制造商去考慮。對于使用場景，總的來說分為醫(yī)療場景和非醫(yī)療場景，但是建議制造商在陳述使用場景進行分類時，仍需要進一步的分析不同使用場景中不同的用途（見4.1.2.5注釋在不同的用途下，其可能遭受的網(wǎng)絡(luò)安全風(fēng)險的程度也是不同的。因此，不同分類的組合所可能遭遇的風(fēng)險也是不一樣的，在這個分類的樣例（表C.1)中使用了一個監(jiān)護類產(chǎn)品作為例子。C使用場景域類型網(wǎng)絡(luò)類型連接類型數(shù)據(jù)傳輸方向監(jiān)護場景局域網(wǎng)專用網(wǎng)絡(luò)有線網(wǎng)線雙向傳輸監(jiān)護場景局域網(wǎng)專用網(wǎng)絡(luò)無線wifi雙向傳輸遠程維護場景廣域網(wǎng)公共網(wǎng)絡(luò)有線網(wǎng)線單向向內(nèi)傳輸本地維護場景 有線USB單向向內(nèi)傳輸數(shù)據(jù)導(dǎo)出——有線USB單向向外傳輸條款4.1.3.4列明所有第三方和包含在產(chǎn)品中的開源軟件的目標主要是讓測試者更清楚地了解產(chǎn)品的情況。多數(shù)的情況下，獲知那些廣為人知的第三方軟件或開源軟件可以幫助測試者初步的判斷其網(wǎng)絡(luò)安全的風(fēng)險，這樣的活動有利于接下來對產(chǎn)品的網(wǎng)絡(luò)安全能力進行測試。條款4.1.7用戶訪問控制的細節(jié)可能包括密碼的強度、不成功嘗試的次數(shù)限制、禁止訪問的條件和后果、反自動破解的保護功能、密碼要求被更新的頻次等。制造商需要考慮為了提權(quán)或越過用戶訪問控制措施的攻擊帶來的風(fēng)險，而且若設(shè)計了這樣的風(fēng)險控制措施則需要在網(wǎng)絡(luò)安全能力說明中陳述。但顯而易見的是，這樣的攻擊的方式是未知的，且是具有發(fā)展性的，因此并不是說實現(xiàn)了某些風(fēng)險控制措施防止攻擊便可以稱其為“本產(chǎn)品可以抵御所有攻擊”。另外，用戶訪問控制需要考量與可得性之間的關(guān)系，有些用戶訪問控制措施，例如，多次嘗試不正確的訪問會引起一段時間之內(nèi)拒絕訪問，這有可能導(dǎo)致可得性變差，甚至?xí)g接導(dǎo)致一些不可接受的安全性方面的風(fēng)險。因此制造商需要考慮這種情況以避免單方面為了提升訪問控制而將可得性降低到不可接受的水平。條款4.1.11考慮到某些產(chǎn)品在特定的情況下，在HDO的部署責(zé)任方是制造商，那么在這種情況下，制造商要對傳輸過程中敏感數(shù)據(jù)的完整性負責(zé)。因為對于一些產(chǎn)品，在傳輸某些指令時，指令失去完整性會影響安全性?？赡芨鄨龊?，傳輸完整性的責(zé)任是HDO,但公鑰、秘鑰的管理、數(shù)據(jù)加密解密需要由HDO和制造商共同實現(xiàn)，但往往這種情況下，并不是產(chǎn)品本身的網(wǎng)絡(luò)安全能力，因此并不在本文件的范圍內(nèi)。條款4.1.14系統(tǒng)固化被認為是在應(yīng)用軟件難以修改或者不方便修改的前提下提高整體安全性的最有效的手段。合理的系統(tǒng)固化能夠消除系統(tǒng)上存在的已知漏洞，減小攻擊接口，提升產(chǎn)品整體安全等級。是否需要實施固化是需要制造商通過風(fēng)險分析來確認的，當然這也關(guān)乎于實施固化的責(zé)任方，下面則提供了幾個實施固化責(zé)任方的舉例。—若產(chǎn)品是ME設(shè)備或ME系統(tǒng)，且至少包含一套操作系統(tǒng)，則對操作系統(tǒng)的固化的責(zé)任方一般為制造商?！舢a(chǎn)品是ME設(shè)備或ME系統(tǒng)，制造商承擔(dān)了部署軟件的責(zé)任，且會提供部署軟件的平臺／操作系統(tǒng)，那么制造商亦是操作系統(tǒng)的責(zé)任方?！舢a(chǎn)品為／包含軟件，但預(yù)期產(chǎn)品會安裝在HDO提供的平臺／操作系統(tǒng)上，則操作系統(tǒng)的責(zé)任方可能不為制造商。但這并不意味著制造商不需要去考慮不實施固化所帶來的的風(fēng)險。條款4.1.16抗抵賴性即是不可否認性，也就是說節(jié)點A到節(jié)點B的傳輸完成后，節(jié)點A不能否認是節(jié)點A傳給節(jié)點B的?？沟仲囆跃哂须p向性，一方面是數(shù)據(jù)發(fā)送方不可抵賴其發(fā)送數(shù)據(jù)的行為，一方是數(shù)據(jù)接收方不可抵賴其接收數(shù)據(jù)的行為。這可以通過數(shù)字簽名和時間戳等手段來保證，這樣的方式同時可以保證對象和資源的真實性?？沟仲囆缘膶崿F(xiàn)原理可以是基于數(shù)字簽名技術(shù)，我們知道基于簽名及簽名驗證，可以判斷數(shù)據(jù)的發(fā)送方是真實存在的用戶。同時，通過對簽名的驗證，可以判斷數(shù)據(jù)在傳輸過程中是否被更改。從而，可以實現(xiàn)數(shù)據(jù)的發(fā)送方不能對發(fā)送的數(shù)據(jù)進行抵賴，發(fā)送的數(shù)據(jù)是完整的，實現(xiàn)產(chǎn)品的抗抵賴性和完整性需求。如果有需要，對于B/S架構(gòu)和C/S架構(gòu)，都需要采用基于簽名及簽名驗證的實現(xiàn)原理。對于B/S架構(gòu)，客戶端數(shù)據(jù)簽名模塊以控件的方式，配置在需要進行簽名的網(wǎng)頁中，供用戶訪問時下載。對于C/S架構(gòu)，客戶端數(shù)據(jù)簽名模塊以動態(tài)庫的方式，供專業(yè)客戶端軟件調(diào)用。當然，抗抵賴性也可通過用戶訪問控制、節(jié)點認證、健康數(shù)據(jù)的數(shù)字簽名、時間戳等方式聯(lián)合實現(xiàn)，雖然上述了一些技術(shù)上的舉例，但本文件并不限制實現(xiàn)抗抵賴性的手段。條款4.1.17目標是為了確保健康數(shù)據(jù)未經(jīng)非授權(quán)改動或銷毀，并且來自發(fā)起人，即是“確保用戶所見即為真”。數(shù)字簽名是一種典型的保證健康數(shù)據(jù)來自發(fā)起人手段。當然這也需要在節(jié)點認證的時候，需要保證節(jié)點的真實性。而保證完整性，則需要使用其他的手段。條款4.1.18允許機構(gòu)的安全官員對活動進行審計，評估對安全域策略的遵守情況，檢測違規(guī)行為的實例，并便于發(fā)現(xiàn)不正確的創(chuàng)建、訪問、修改和刪除受保護的個人敏感數(shù)據(jù)。對于審計日志，產(chǎn)品應(yīng)能夠維護所有與安全相關(guān)的事件的一個或多個日志。條款4.1.19保存、以臨時文件形式存儲和長期存儲是有區(qū)別的，否則對臨時存儲健康數(shù)據(jù)的設(shè)備去要求需要數(shù)據(jù)備份可能是不公平的（例如，床旁監(jiān)護儀、注射泵等這樣會增加此類設(shè)備的不必要的成本，是否需要提供數(shù)據(jù)備份與災(zāi)難恢復(fù)的手段應(yīng)通過制造商對產(chǎn)品的風(fēng)險分析來確定。制造商需要基于風(fēng)險分析，考慮是否制定災(zāi)難恢復(fù)計劃／策略，以對產(chǎn)品的關(guān)鍵數(shù)據(jù)進行恢復(fù)，達到滿足最低臨床需求。當然，這樣的策略應(yīng)是靈活的，用以應(yīng)對不同HDO的不同實際需求，可能需要釋放一些相關(guān)的配置權(quán)限給HDOIT。這意味著產(chǎn)品需要支持備份和恢復(fù)產(chǎn)品的配置和自定義設(shè)置（包括安全設(shè)置和賬號信息）。進行的實時保存和恢復(fù)并不是本條的目標。條款4.1.20.2目標是敦促制造商對第三方操作系統(tǒng)等第三方組件在產(chǎn)品生命周期過程中所帶來的網(wǎng)絡(luò)安全風(fēng)險的關(guān)注。條款4.1.20.3目標是希望產(chǎn)品中第三方安全補丁是最新的，進而保證產(chǎn)品不存在已知的高風(fēng)險漏洞，但有可能只會在測試時來確認這些補?。òú《編欤┦欠駷樽钚隆Ｈ粘５谋O(jiān)管中則可能是一種定期的行為，而對這樣的行為的規(guī)范并不在本文件中規(guī)定。如果供應(yīng)商／制造商提供了產(chǎn)品的維護，且明確要求產(chǎn)品應(yīng)不定期進行惡意軟件的探測，則安全軟件（包括病毒庫、木馬庫等）應(yīng)被更新，操作系統(tǒng)和應(yīng)用程序被及時打上補丁。條款4.3.3本文件并沒有對口令的復(fù)雜度做出要求。因為在某些臨床應(yīng)用當中，復(fù)雜的口令可能會限制產(chǎn)品的易用性／可用性，因此對于這些臨床應(yīng)用，簡單的密碼可能是必不可少的，但這需要制造商提供一定的說明來解釋使用簡單密碼的原因，并且必要時要通過風(fēng)險分析的方式來證明簡單密碼不會造成其他危害。同一類或不同型號的同類產(chǎn)品不宜保持同樣的默認憑證，以防止知道其中一臺產(chǎn)品的默認憑證就知道了全部產(chǎn)品的默認憑證。條款4.3.5在大多數(shù)場景下，最終用戶（操作者）可能會離開設(shè)備一段時間，在這段時間內(nèi)，可能會發(fā)生未授權(quán)的用戶對程序或系統(tǒng)進行訪問而不需要身份驗證的情況，這樣的情況在一些臨床應(yīng)用的場景下是危險的，尤其是那些輻射劑量較大的診斷場景。此外，這段時間也有可能未授權(quán)的用戶竊取或破壞健康數(shù)據(jù)。因此，管理員在設(shè)置時間時，應(yīng)考慮這些臨床應(yīng)用場景。但在另外一些臨床應(yīng)用中，操作者對應(yīng)用程序的需求可能只是查看應(yīng)用程序提供的影像數(shù)據(jù)而并非經(jīng)常會去操作應(yīng)用程序，類似于這樣的場景下，則可能需要關(guān)閉自動鎖定或注銷的功能，否則可能會嚴重影響產(chǎn)品的可得性，當然，在這種情況下，網(wǎng)絡(luò)安全風(fēng)險也應(yīng)是可接受的。條款4.3.6在緊急情況下，臨床用戶需要能夠訪問健康數(shù)據(jù)，而無需個人用戶標識和身份驗證［中斷功情況下，包括某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員（除審計記錄外）。緊急訪問的功能可能有各種不同的產(chǎn)品設(shè)計對應(yīng)的產(chǎn)品實現(xiàn)，這可能是無需驗證或者是簡單的