醫(yī)療器械網(wǎng)絡(luò)信息安全基本要求

DB32/TXXXX-2020PAGE3醫(yī)療器械網(wǎng)絡(luò)信息安全基本要求1范圍本標(biāo)準(zhǔn)規(guī)定了醫(yī)療器械網(wǎng)絡(luò)信息安全的基本要求。本標(biāo)準(zhǔn)適用于具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制的醫(yī)療器械產(chǎn)品，其中網(wǎng)絡(luò)包括無線、有線網(wǎng)絡(luò)，電子數(shù)據(jù)交換包括單向、雙向數(shù)據(jù)傳輸，遠(yuǎn)程控制包括實(shí)時(shí)、非實(shí)時(shí)控制。也適用于采用存儲媒介以進(jìn)行電子數(shù)據(jù)交換的醫(yī)療器械產(chǎn)品，其中存儲媒介包括但不限于光盤、移動(dòng)硬盤和U盤。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25000.10-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(jià)（SQuaRE）第10部分：系統(tǒng)與軟件質(zhì)量模型GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(jià)（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細(xì)則GB/T25069-2010信息安全技術(shù)術(shù)語GB/T29246-2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯GB/T35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范YY/T0316-2016醫(yī)療器械風(fēng)險(xiǎn)管理對醫(yī)療器械的應(yīng)用3術(shù)語和定義3.1接口electronicinterface就本標(biāo)準(zhǔn)而言，接口是指系統(tǒng)之間相互作用和/或相互通信的媒介，從而允許系統(tǒng)之間進(jìn)行信息交換。它包括連接類型(如USB端口、無線連接)和信息內(nèi)容。它是醫(yī)療設(shè)備與其他設(shè)備或其他醫(yī)療設(shè)備之間交換和使用信息的媒介。3.2產(chǎn)品敏感信息productsensitiveinformation產(chǎn)品敏感數(shù)據(jù)是指可以影響產(chǎn)品信息安全的任何重要數(shù)據(jù)。[注：包括但不限于密碼、密鑰、隨機(jī)數(shù)生成器的種子、身份驗(yàn)證數(shù)據(jù)、設(shè)備控制信息等。]3.3訪問權(quán)限accesspermission訪問權(quán)限，是根據(jù)在各種預(yù)定義的組中用戶的身份標(biāo)識及其成員身份來限制訪問某些信息項(xiàng)或某些控制的機(jī)制。

3.4隨附文件accompanyingdocuments隨同醫(yī)療器械的，為醫(yī)療器械安裝、使用和維護(hù)的責(zé)任方提供信息以及為操作者或使用者提供信息，特別是關(guān)于安全信息的文件[YY/T0316-2016，定義2.1]3.5制造商manufacturer在上市和/或投入服務(wù)前。對醫(yī)療器械的設(shè)計(jì)、制造、包裝或作標(biāo)記、系統(tǒng)的裝配或者改裝醫(yī)療器械負(fù)有責(zé)任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。[YY/T0316-2016，定義2.8]3.6個(gè)人敏感信息personalsensitiveinformation一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。注：個(gè)人敏感信息包括身份證件號碼、個(gè)人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個(gè)人信息等。[GB/T35273-2017，定義3.2]3.7訪問控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。[GB/T25069-2010，定義2]3.8完整性integrity準(zhǔn)確和完備的特性。[GB/T29246-2017，定義2.40]3.9真實(shí)性authenticity確保主體或資源的身份正是所聲稱的特性。真實(shí)性適用于用戶、進(jìn)程、系統(tǒng)和信息之類的實(shí)體。[GB/T25069-2010，定義2.1.69]3.10抗抵賴non-repudiation證明某一動(dòng)作或事件已經(jīng)發(fā)生的能力，以使事后不能否認(rèn)這一動(dòng)作或事件。[GB/T25069-2010，定義2.1.17]3.11可核查性accountability確保可將一個(gè)實(shí)體的行動(dòng)唯一地追蹤到此實(shí)體的特性。[GB/T25069-2010，定義2.1.18]

3.12保密性confidentiality信息對未授權(quán)的個(gè)人、實(shí)體或過程不可用或不泄露的特性。[GB/T29246-2017，定義2.12]3.13可得性已授權(quán)實(shí)體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。[注：改寫自GB/T25069-2010，定義2.1.20可用性]3.14信息安全informationsecurity對信息的保密性、完整性、和可得性的保持。注：另外，也可包括諸如真實(shí)性、可核查性、抗抵賴等其他特性。[GB/T29246-2017，定義2.33]3.15去標(biāo)識化de-identification通過對個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個(gè)人信息主體的過程。注：去標(biāo)識化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個(gè)人信息的標(biāo)識。[GB/T35273-2017，定義3.14]3.16最小特定權(quán)限minimumprivilege主體的訪問權(quán)限的最低限度，即僅執(zhí)行授權(quán)活動(dòng)所必需的那些權(quán)利。[GB/T25069-2010，定義42]4日志審計(jì)4.1醫(yī)療器械應(yīng)具有信息安全日志記錄功能。4.2醫(yī)療器械信息安全日志中應(yīng)包含充分信息，達(dá)到可核查性和抗抵賴性要求。4.3醫(yī)療器械應(yīng)將與信息安全相關(guān)的日志存儲在非易失性存儲器中，且不允許非授權(quán)用戶刪除或更改它們。通過觸發(fā)信息安全相關(guān)事件，用戶正常操作或異常操作來驗(yàn)證有無相關(guān)日志；通過審核日志內(nèi)容（如：用戶標(biāo)識、操作時(shí)間、來源、行為等信息）來驗(yàn)證日志描述是否清晰明了；通過對日志存儲記錄或文件進(jìn)行攻擊，驗(yàn)證日志存儲的安全性。

5授權(quán)訪問管理5.1接口訪問服務(wù)應(yīng)當(dāng)要求用戶在訪問前進(jìn)行身份認(rèn)證。遠(yuǎn)程訪問時(shí)，如涉及可能影響或改變產(chǎn)品信息安全的操作，應(yīng)要求用戶再次進(jìn)行身份認(rèn)證。注：不涉及可能影響或改變產(chǎn)品信息安全的操作且不涉及敏感信息（個(gè)人敏感信息和產(chǎn)品敏感信息）傳輸?shù)漠a(chǎn)品，可使用未經(jīng)身份認(rèn)證的訪問。5.2為防止永久授權(quán)，醫(yī)療器械的用戶授權(quán)服務(wù)應(yīng)當(dāng)實(shí)現(xiàn)會話超時(shí)注銷或其他等效功能。會話超時(shí)時(shí)間應(yīng)是可配置的。5.3對于使用用戶名和密碼進(jìn)行用戶認(rèn)證的產(chǎn)品：a）醫(yī)療器械密碼的存儲應(yīng)有防止信息泄露措施；b）醫(yī)療器械提供的認(rèn)證錯(cuò)誤信息不允許列舉有效憑證；c）醫(yī)療器械密碼需滿足長度、復(fù)雜度、更新頻率等特性要求；注：復(fù)雜度是特殊字符、大小寫字母、數(shù)字等選項(xiàng)的組合。更新頻率可配置。d）醫(yī)療器械應(yīng)當(dāng)對字典攻擊和暴力破解做出相應(yīng)的防護(hù)；e）醫(yī)療器械不應(yīng)含有硬編碼密碼；注：硬編碼密碼是指無法通過軟件功能修改的密碼。f）醫(yī)療器械應(yīng)具有管理有效用戶列表的功能。5.4對于使用基于角色訪問的醫(yī)療器械：a）應(yīng)清楚地記錄所有已存在的角色及其相關(guān)的權(quán)限；b）應(yīng)設(shè)置擁有管理產(chǎn)品專有權(quán)限的“管理員”或“系統(tǒng)”角色，這樣的權(quán)限不應(yīng)授予其他角色；c）應(yīng)能夠?qū)M(jìn)行身份認(rèn)證的每個(gè)帳號執(zhí)行最小特定權(quán)限原則。5.5在醫(yī)療器械使用之前，醫(yī)療器械需要改變?nèi)魏卧卺t(yī)療器械安全中起作用的系統(tǒng)默認(rèn)值，比如密碼和密鑰等。且醫(yī)療器械應(yīng)具有推薦更改系統(tǒng)默認(rèn)值的指導(dǎo)說明。

6非授權(quán)訪問管理6.1醫(yī)療器械不應(yīng)開放與預(yù)期用途無關(guān)的端口。6.2當(dāng)醫(yī)療器械的接口出現(xiàn)無效或意外的輸入時(shí)，醫(yī)療器械應(yīng)能繼續(xù)按預(yù)期運(yùn)行，并保障醫(yī)療器械的基本功能和數(shù)據(jù)的可得性。無效或意外輸入包含但不限于以下內(nèi)容：a）參數(shù)類型或長度異常；b）特殊字符或其它特殊語句；c）非法文件。6.3醫(yī)療器械應(yīng)具有訪問控制能力，非授權(quán)用戶不能訪問未授權(quán)的醫(yī)療器械功能和資源。7數(shù)據(jù)安全保護(hù)7.1醫(yī)療器械應(yīng)具備數(shù)據(jù)備份和恢復(fù)功能，當(dāng)存儲空間不足時(shí)有相應(yīng)提示。注：指明數(shù)據(jù)備份由操作系統(tǒng)的功能來執(zhí)行也是可接受的。7.2醫(yī)療器械應(yīng)確保在任何接口之間傳輸數(shù)據(jù)的完整性和真實(shí)性。7.3醫(yī)療器械應(yīng)確保由產(chǎn)品生成、儲存、使用或傳輸?shù)拿舾袛?shù)據(jù)的保密性。醫(yī)療器械應(yīng)使用可靠的安全機(jī)制來保證敏感數(shù)據(jù)的保密性或去標(biāo)識化。注：敏感數(shù)據(jù)包含個(gè)人敏感信息和產(chǎn)品敏感信息；安全機(jī)制可能為公認(rèn)的加密算法、數(shù)字證書等。8隨附文件對用戶管理產(chǎn)品信息安全說明的要求8.1制造商應(yīng)提供醫(yī)療器械中使用的主要軟件組件的版本。

8.2隨附文件中應(yīng)包含對醫(yī)療器械使用場景的詳細(xì)說明，及該使用場景下針對網(wǎng)絡(luò)連接功能的注意事項(xiàng)。注：使用場景可能是醫(yī)院、家庭、公共場所等。8.3隨附文件中應(yīng)包含該醫(yī)療器械對預(yù)期使用場景建議的軟硬件配置和運(yùn)行環(huán)境的詳細(xì)說明。8.4隨附文件應(yīng)包含對訪問權(quán)限的說明。8.5隨附文件應(yīng)包含醫(yī)療器械接口的詳細(xì)說明：a）所有遠(yuǎn)程接口；b）所有本地接口；c）所有無線接口。8.6隨附文件應(yīng)包含對醫(yī)療器械信息安全相關(guān)事件的說明。注：信息安全相關(guān)事件可以是成功的登錄或失敗的登錄、用戶身份認(rèn)證憑證的變更、有效用戶帳戶列表的更改、配置的修改保存、核心業(yè)務(wù)事件的觸發(fā)、成功的和不成功的軟件更新等。8.7制造商應(yīng)識別醫(yī)療器械中的個(gè)人敏感信息并記錄在隨附文件中。9產(chǎn)品設(shè)計(jì)文檔9.1制造商應(yīng)提供該醫(yī)療器械的信息安全風(fēng)險(xiǎn)分析文檔。9.2產(chǎn)品應(yīng)遵從4.2~4.5節(jié)所提到的所有風(fēng)險(xiǎn)控制方式，如果制造商選擇不遵守其中一個(gè)或多個(gè)風(fēng)險(xiǎn)控制，那么制造商應(yīng)在醫(yī)療器械信息安全風(fēng)險(xiǎn)分析文檔中記錄并證明這一點(diǎn)。附?錄?A（資料性附錄）物理拓?fù)涫纠鼳.1物理拓?fù)涫纠龍D一：物理拓?fù)涫纠龍DA.2接口說明示例編號接口類型傳輸協(xié)議接口用途ARJ45HL7或DICOM通過DICOM協(xié)議傳輸醫(yī)學(xué)影像B藍(lán)牙模塊藍(lán)牙4.0通過藍(lán)牙協(xié)議傳輸血氧數(shù)據(jù)CWIFI模塊SOAP或FTPS發(fā)送和接受xxxx數(shù)據(jù)D串口RS232/RS485MODBUS發(fā)送和接受xxxx數(shù)據(jù)EUSBUSB2.0或USB3.1拷貝xxxx數(shù)據(jù)F4G模塊HTTPS或FTP通過HTTPS協(xié)議加密傳輸通信數(shù)據(jù)G………………表一：接口說明示例表

參?考?文?獻(xiàn)[1]中華人民共和國網(wǎng)絡(luò)安全法（中華人民共和國主席令第五十三號）[2]醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則[3]UL2900-1StandardforSafetySoftwareCybersecurityforNetwork-ConnectableProducts,Part1:GeneralRequirements[4]UL2900-2-1OutlineofInvestigationforSoftwareCybersecurityforNetwork-ConnectableProducts,Part2-1:ParticularRequirementsforNetworkConnectableComponentsofHealthcareSystems[5]IEC80001-1:2010,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part1:Roles,responsibilitiesandactivities[6]IEC/TR80001-2-1:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-1:Step-by-stepriskmanagementofmedicalIT-networks-Pr