YYT 1843-2022 醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

CCSC30中華人民共和國醫(yī)藥行業(yè)標(biāo)準(zhǔn)醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求B2022-05-18發(fā)布2023-06-01實(shí)施國家藥品監(jiān)督管理局發(fā)布 2規(guī)范性引用文件 3術(shù)語和定義 4通用要求 5試驗(yàn)方法 附錄A（規(guī)范性）網(wǎng)絡(luò)安全能力測試過程的要求 附錄B（資料性）本文件與其他文件的關(guān)聯(lián) 附錄C（資料性）特定條款的指南和原理說明 附錄D（資料性）本文件關(guān)于個(gè)人敏感數(shù)據(jù)的考量 參考文獻(xiàn) Ⅰ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由國家藥品監(jiān)督管理局提出。本文件由全國醫(yī)用電器標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC10)歸口。本文件起草單位：上海市醫(yī)療器械檢測所、國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評(píng)中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國食品藥品檢定研究院、江蘇省醫(yī)療器械檢測所、蘇州UL美華認(rèn)證有限公司、深圳邁瑞生物醫(yī)療電子股份有限公司、東軟醫(yī)療系統(tǒng)股份有限公司、深圳市理邦精密儀器股份有限公司、北京怡和嘉業(yè)醫(yī)療科技股份有限公司、飛利浦（中國）投資有限公司、上海西門子醫(yī)療器械有限公司、通用電氣醫(yī)療系統(tǒng)貿(mào)易發(fā)展（上海）有限公司、美敦力（上海）管理有限公司。本文件主要起草人：劉重生、彭亮、邢瀟、王晨希、劉茹、張波、陶華、馬銳兵、陳勇強(qiáng)、陳蓓、諶達(dá)宇、曹景泰、秦川、夏偉杰。Ⅱ隨著醫(yī)療應(yīng)用場景的不斷拓展，以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)應(yīng)用的普遍化，醫(yī)療器械越來越多地進(jìn)行著不同目的、不同類型的數(shù)據(jù)交換，在提高診療效率，提升數(shù)據(jù)分析能力的同時(shí)，也出現(xiàn)了諸如患者信息泄露、健康數(shù)據(jù)被篡改、未授權(quán)修改治療參數(shù)、以勒索或其他非法目的為目標(biāo)的惡意攻擊或數(shù)據(jù)竊取等情況發(fā)生。在這樣的背景下，當(dāng)下的醫(yī)療器械不論是單機(jī)使用，還是在個(gè)域網(wǎng)、局域網(wǎng)或廣域網(wǎng)中使用，其網(wǎng)絡(luò)安全能力對(duì)于醫(yī)療器械的安全性、有效性則變得至關(guān)重要。而網(wǎng)絡(luò)安全，從廣義來說，凡是涉及醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及相關(guān)醫(yī)療器械軟件產(chǎn)品的信息的保密性、完整性、可得性等相關(guān)技術(shù)和理論都是其范疇之內(nèi)的。雖然從保障網(wǎng)絡(luò)安全的責(zé)任角度講，在使用環(huán)境中，維系一個(gè)IT網(wǎng)絡(luò)的網(wǎng)絡(luò)安全是多方責(zé)任，但對(duì)制造商來說，有義務(wù)識(shí)別產(chǎn)品本身可能遇到的網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)并予以識(shí)別和分析，進(jìn)而在設(shè)計(jì)、開發(fā)的過程中實(shí)現(xiàn)對(duì)應(yīng)的風(fēng)險(xiǎn)控制措施。本文件則將對(duì)醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件產(chǎn)品（在本文件中，“產(chǎn)品”一般指醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)或醫(yī)療器械軟件產(chǎn)品）的網(wǎng)絡(luò)安全能力提出基本要求并規(guī)范了驗(yàn)證過程（見附錄A),以驗(yàn)證制造商對(duì)產(chǎn)品網(wǎng)絡(luò)安全相關(guān)風(fēng)險(xiǎn)的風(fēng)險(xiǎn)控制措施的實(shí)現(xiàn)情況?？紤]到目前制造商在識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)普遍會(huì)參考IEC/TR80001-2-2,對(duì)于風(fēng)險(xiǎn)識(shí)別的維度，本文件中也一定程度上參考了IEC/TR80001-2-2,因此本文件和IEC/TR80001-2-2是有一定關(guān)聯(lián)性的。為了描述這種關(guān)聯(lián)性，本文件列出了本文件與該文件相關(guān)條款之間的對(duì)應(yīng)關(guān)系（見附錄B)。星號(hào)（*）作為標(biāo)題的第一個(gè)字符、段落或表格標(biāo)題的開頭，表示在附錄C中有與該項(xiàng)目相關(guān)的指南或原理說明。1醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求本文件規(guī)定了醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件的網(wǎng)絡(luò)安全基本要求。本文件適用于有用戶訪問、電子數(shù)據(jù)交換或遠(yuǎn)程控制功能的醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1不會(huì)對(duì)人員、財(cái)產(chǎn)或環(huán)境造成不可接受的風(fēng)險(xiǎn)。［來源：ISO/IECGUIDE51:2014,3.14,有修改］3.2信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過程不可用或不泄露的特性。［來源：GB/T29246—2017,2.12]3.3設(shè)計(jì)為惡意破壞正常功能，收集敏感數(shù)據(jù)和／或訪問其他連接系統(tǒng)的軟件。3.4對(duì)經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實(shí)現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。3.5傷害發(fā)生的概率和該傷害嚴(yán)重度的組合。［來源：YY/T0316—2016,2.16]3.6系統(tǒng)地運(yùn)用現(xiàn)有信息確定危險(xiǎn)（源）和估計(jì)風(fēng)險(xiǎn)的過程。［來源：YY/T0316—2016,2.17]3.7作出決策并實(shí)施措施，以便降低風(fēng)險(xiǎn)或把風(fēng)險(xiǎn)維持在規(guī)定水平的過程。［來源：YY/T0316—2016,2.19]23.8用于風(fēng)險(xiǎn)的分析、評(píng)價(jià)、控制和監(jiān)視工作的管理方針、程序及其實(shí)踐的系統(tǒng)運(yùn)用。3.9一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。注1：個(gè)人敏感數(shù)據(jù)可能包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個(gè)人信息等。注2：在GB／T35273—2020中，被稱之為個(gè)人敏感信息，由于本文件主要是對(duì)數(shù)據(jù)進(jìn)行規(guī)范，因此在本文件中改寫為數(shù)據(jù)。注3：關(guān)于個(gè)人敏感數(shù)據(jù)的判定方法和類型可參考GB／T35273—2020中的附錄B。在緊急的情況（如搶救、急救）下，臨床用戶能夠在不使用個(gè)人身份標(biāo)識(shí)或未經(jīng)授權(quán)的情況下對(duì)健康數(shù)據(jù)進(jìn)行訪問。與身體或心理健康相關(guān)的個(gè)人敏感數(shù)據(jù)。注1：通常在本文件中將健康數(shù)據(jù)定義為個(gè)人敏感數(shù)據(jù)的子集。注2：由于目前全球規(guī)定了不同的隱私合規(guī)性法律和法規(guī)。例如，在歐洲，可能需要采取的要求和參考變更為“個(gè)人數(shù)據(jù)”和“敏感數(shù)據(jù)”，在美國，健康數(shù)據(jù)可能會(huì)更改為“受保護(hù)的健康信息（PHI）”，這需要不同國家或地區(qū)的制造商進(jìn)一步考慮中國當(dāng)?shù)氐姆苫蚍ㄒ?guī)。證明所聲稱事件或行為的發(fā)生及其源頭的能力。實(shí)體的活動(dòng)可以被唯一地追溯到該實(shí)體的程度。根據(jù)授權(quán)個(gè)人、實(shí)體的要求可訪問和使用的特性，即產(chǎn)品相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問和使用。ss敏感數(shù)據(jù)是任何可能危及產(chǎn)品使用和網(wǎng)絡(luò)安全的關(guān)鍵安全參數(shù)，如密碼、密鑰、隨機(jī)數(shù)生成器的種子、身份驗(yàn)證數(shù)據(jù)、個(gè)人敏感數(shù)據(jù)以及未授權(quán)訪問可能危及產(chǎn)品網(wǎng)絡(luò)安全的任何數(shù)據(jù)。3通過對(duì)個(gè)人敏感數(shù)據(jù)的技術(shù)處理，使得個(gè)人敏感數(shù)據(jù)主體無法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過程。［來源：GB/T35273—2020,3.14,有修改］-通過對(duì)個(gè)人敏感數(shù)據(jù)的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別或者關(guān)聯(lián)個(gè)人敏感數(shù)據(jù)主體的過程。注：去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人敏感數(shù)據(jù)的標(biāo)識(shí)。［來源：GB/T35273—2020,3.15,有修改］描述設(shè)備運(yùn)行狀況的數(shù)據(jù)，用于監(jiān)視、控制設(shè)備運(yùn)行或用于設(shè)備的維護(hù)保養(yǎng)，本身不涉及個(gè)人敏感數(shù)據(jù)。為了評(píng)審和分析以及持續(xù)監(jiān)控而收集的有關(guān)信息安全事態(tài)的數(shù)據(jù)。［來源：GB/T25068.1—2020,3.4]基于風(fēng)險(xiǎn)管理使產(chǎn)品數(shù)據(jù)和／或功能具有可接受水平的保密性、完整性、可得性等網(wǎng)絡(luò)安全特性的技術(shù)措施。［來源：IEC/TR80001-2-2:2012,3.27,有修改］闡明產(chǎn)品網(wǎng)絡(luò)安全能力的文檔，其主要目的是作為測試者對(duì)產(chǎn)品進(jìn)行測試的依據(jù)。注：本文件并不規(guī)定網(wǎng)絡(luò)安全能力說明的形式，可以是一個(gè)文檔，也可以是一套文檔集，也可以是一個(gè)文檔的一部分。數(shù)據(jù)自創(chuàng)建、傳輸或存儲(chǔ)以來，無未經(jīng)授權(quán)的方式被更改的屬性。［來源：ISO/IEC29167-19:2016,3.40]IT-由通信節(jié)點(diǎn)和傳輸鏈路組成的一個(gè)或多個(gè)系統(tǒng)，以在兩個(gè)或多個(gè)指定的通信節(jié)點(diǎn)之間提供物理鏈接或無線傳輸。［來源：IEC/TR80001-2-2:2012,3.10]v在包括在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)，或者預(yù)期本身用作醫(yī)療器械而開發(fā)的軟件系統(tǒng)。4具有應(yīng)用部分或向患者傳送或取得能量或檢測這些所傳送或取得能量的電氣設(shè)備。這樣的電氣設(shè)備：1）對(duì)患者的診斷、治療或監(jiān)護(hù)；或2）消除或減輕疾病、損傷或殘疾。在制造商的規(guī)定下由功能連接或使用多位插座相互連接的若干設(shè)備構(gòu)成的組合，組合中至少有一個(gè)是ME設(shè)備。IT-包含至少一個(gè)醫(yī)療器械的信息技術(shù)網(wǎng)絡(luò)。產(chǎn)品在閑置一段時(shí)間后自動(dòng)登出或鎖定以阻止未經(jīng)授權(quán)的使用和誤用。注：自動(dòng)鎖定也可以理解為是一種自動(dòng)注銷的手段。對(duì)產(chǎn)品的使用或保養(yǎng)負(fù)有責(zé)任的實(shí)體。注1：舉例來說，這樣負(fù)有責(zé)任的實(shí)體可以是一家醫(yī)院、一個(gè)臨床醫(yī)生或一個(gè)業(yè)外人士。對(duì)家用設(shè)備來說，患者、操作者和責(zé)任方有可能是同一個(gè)人。注2：“使用”包含了教育和培訓(xùn)。實(shí)體符合其所聲稱的特性。以其名義制造預(yù)期可用的醫(yī)療器械并負(fù)有醫(yī)療器械設(shè)計(jì)和／或制造責(zé)任的自然人或法人，無論此醫(yī)療器械的設(shè)計(jì)和／或制造是由該自然人或法人進(jìn)行或由另外的一個(gè)或多個(gè)自然人或法人代表其進(jìn)行。54通用要求4.1*網(wǎng)絡(luò)安全能力說明4.1.1.1網(wǎng)絡(luò)安全能力說明應(yīng)體現(xiàn)其文檔標(biāo)識(shí)。4.1.1.2網(wǎng)絡(luò)安全能力說明應(yīng)能識(shí)別對(duì)應(yīng)產(chǎn)品的標(biāo)識(shí)。4.1.1.4網(wǎng)絡(luò)安全能力說明中陳述的網(wǎng)絡(luò)安全特性應(yīng)是可測試或可驗(yàn)證的。4.1.2.1按預(yù)期接入的網(wǎng)絡(luò)的類型可分為預(yù)期接入專用網(wǎng)絡(luò)、公共網(wǎng)絡(luò)的產(chǎn)品。4.1.2.2按預(yù)期接入網(wǎng)絡(luò)的域可以分為預(yù)期接入個(gè)域網(wǎng)、局域網(wǎng)、廣域網(wǎng)的產(chǎn)品。4.1.2.3按連接類型可分為預(yù)期與其他信息設(shè)備單獨(dú)進(jìn)行有線、無線連接的產(chǎn)品。議的無線通訊等方式。4.1.2.4按數(shù)據(jù)交換過程中的數(shù)據(jù)傳輸方向可以分為單向傳輸、雙向傳輸。4.1.2.5按使用場景可分為醫(yī)療場景和非醫(yī)療場景。注：其中醫(yī)療場景可能包括了治療、診斷或監(jiān)護(hù)等場景，非醫(yī)療場景可能包括了維護(hù)場景等。4.1.3.1網(wǎng)絡(luò)安全能力說明應(yīng)按照4.1.2對(duì)產(chǎn)品進(jìn)行分類。4.1.3.2網(wǎng)絡(luò)安全能力說明應(yīng)明確產(chǎn)品的預(yù)期用途。4.1.3.3網(wǎng)絡(luò)安全能力說明應(yīng)提供產(chǎn)品在其預(yù)期配置中的所有電子接口的列表，包括了：注：內(nèi)部接口指的是ME系統(tǒng)中各部件之間的接口。c4.1.3.4*網(wǎng)絡(luò)安全能力說明應(yīng)列明產(chǎn)品的軟件名稱和版本號(hào)，這里包括了所有第三方和包含在產(chǎn)品中的開源軟件。4.1.3.5網(wǎng)絡(luò)安全能力說明應(yīng)指明產(chǎn)品中使用的不同配置或所支持的配置。注1：這里指的配置是軟件、硬件配置，如：—操作系統(tǒng)、系統(tǒng)軟件或其他支持軟件；—處理器及其規(guī)模、主內(nèi)存及其規(guī)模、輸入輸出設(shè)備；—網(wǎng)絡(luò)環(huán)境。注2：針對(duì)不同的需求，可以規(guī)定不同的配置。但是制造商需識(shí)別不同的操作系統(tǒng)所帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)敏感數(shù)據(jù)的存儲(chǔ)保密性的陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)傳輸保密性的陳述，尤其是對(duì)敏感數(shù)據(jù)的考量。6注1：需著重考慮當(dāng)設(shè)備在公用網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的敏感數(shù)據(jù)保密性策略。注2：有關(guān)在無線網(wǎng)絡(luò)中傳輸保密性的更多信息，可參考IEC/TR80001-2-3:2012。4.1.6健康數(shù)據(jù)中的身份信息網(wǎng)絡(luò)安全能力說明應(yīng)列出產(chǎn)品包含的個(gè)人敏感數(shù)據(jù)的類型，以及選取的個(gè)人敏感數(shù)據(jù)類型的依從性文件。注1：關(guān)于可能的類型和內(nèi)容見附錄D或GB/T35273—2020。如適用，網(wǎng)絡(luò)安全能力說明應(yīng)包含數(shù)據(jù)導(dǎo)出時(shí)使個(gè)人敏感數(shù)據(jù)無法被識(shí)別的手段的陳述。注2：更多細(xì)節(jié)可參考GB/T37964—2019。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品用戶訪問控制的陳述，這包括采用的用戶訪問控制措施以及這種控制措施的細(xì)節(jié)。注：這包括了遠(yuǎn)程訪問，其中也包括了遠(yuǎn)程控制和用于維護(hù)的遠(yuǎn)程訪問。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了用戶身份驗(yàn)證的陳述，若提供了這種手段，則應(yīng)陳述所有現(xiàn)有用戶身份及其訪問權(quán)限。網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)自動(dòng)注銷的陳述。得性，制造商需要考慮這樣的場景下自動(dòng)注銷功能所帶來的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了緊急訪問的陳述，若提供了用于緊急訪問的功能，則應(yīng)陳述該功能的必要性，以及使用該功能的同時(shí)如何兼顧完整性。網(wǎng)絡(luò)安全能力說明應(yīng)包含在傳輸過程中保證敏感數(shù)據(jù)完整性的策略的陳述。注：該陳述可以包括對(duì)數(shù)據(jù)傳輸?shù)穆窂降囊?。適用時(shí)，網(wǎng)絡(luò)安全能力說明應(yīng)包含節(jié)點(diǎn)認(rèn)證的陳述。若設(shè)備部署在HDO,身份驗(yàn)證策略宜靈活適應(yīng)本地HDO信息技術(shù)網(wǎng)絡(luò)的安全策略。若產(chǎn)品包含了多個(gè)節(jié)點(diǎn)，且節(jié)點(diǎn)有可能被產(chǎn)品之外的其他節(jié)點(diǎn)接入，則應(yīng)考慮這種情況的節(jié)點(diǎn)認(rèn)證。注：節(jié)點(diǎn)認(rèn)證的方式一般包括了白名單、用戶名／口令、證書等。4.1.13惡意軟件探測與防護(hù)網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否支持惡意軟件探測與防護(hù)的陳述，這應(yīng)包括安全產(chǎn)品的配置方式，探測到惡意軟件時(shí)的處理和修復(fù)方式。注：安全產(chǎn)品一般包括殺毒軟件、輔助安全軟件和防火墻等。74.1.14*系統(tǒng)與應(yīng)用軟件固化制造商應(yīng)考慮產(chǎn)品的系統(tǒng)與應(yīng)用軟件固化，若需要實(shí)施固化，網(wǎng)絡(luò)安全能力說明應(yīng)包含系統(tǒng)與應(yīng)用軟件固化的措施的陳述，這樣的措施用于保證僅提供與預(yù)期用途相關(guān)的資源和服務(wù)，并保證盡可能少的維護(hù)活動(dòng)。注：這樣的措施的舉例：—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的訪問端口；—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的服務(wù)；—關(guān)閉／禁用與產(chǎn)品預(yù)期用途無關(guān)的應(yīng)用軟件；—限制／控制資源層的訪問；—限制／控制任務(wù)層的訪問。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品上的數(shù)據(jù)交換端口的物理防護(hù)的陳述。若產(chǎn)品部署在HDO,網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)物理防護(hù)的陳述。注：哪怕該物理設(shè)備的資產(chǎn)不屬于制造商，若存在相關(guān)的風(fēng)險(xiǎn)，也需要進(jìn)行陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)抗抵賴性的陳述。4.1.17健康數(shù)據(jù)的完整性和真實(shí)性網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)保證健康數(shù)據(jù)的完整性和真實(shí)性的陳述。網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)可核查性內(nèi)容及其手段的陳述。注：對(duì)于這樣的內(nèi)容的舉例：—成功或失敗的登錄嘗試；—健康數(shù)據(jù)的訪問、修改和刪除；—健康數(shù)據(jù)的導(dǎo)入、導(dǎo)出；—安全配置的更改（如，更改用戶身份驗(yàn)證的憑據(jù)、更改有效的用戶賬戶列表—遠(yuǎn)程訪問（可能是用于產(chǎn)品維護(hù)或?qū)崿F(xiàn)預(yù)期用途—緊急訪問。4.1.19數(shù)據(jù)備份與災(zāi)難恢復(fù)網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品進(jìn)行數(shù)據(jù)備份與災(zāi)難恢復(fù)策略的陳述。注：其目標(biāo)是為了確保醫(yī)療業(yè)務(wù)持續(xù)進(jìn)行。利用第三方和操作系統(tǒng)的功能進(jìn)行數(shù)據(jù)備份在本文件中是被認(rèn)可的。這包含了系統(tǒng)遭災(zāi)的恢復(fù)的考量。尤其是需要存檔健康數(shù)據(jù)的產(chǎn)品，需要考慮提供災(zāi)難恢復(fù)的策略。4.1.20.1網(wǎng)絡(luò)安全能力說明中應(yīng)包含與產(chǎn)品維護(hù)計(jì)劃中與網(wǎng)絡(luò)安全有關(guān)的維護(hù)內(nèi)容，并明確網(wǎng)絡(luò)安全維護(hù)的責(zé)任方。若產(chǎn)品中包含了第三方組件，應(yīng)在網(wǎng)絡(luò)安全能力說明中列出第三方組件的信息。注：第三方組件可能包括操作系統(tǒng)、第三方的動(dòng)態(tài)鏈接庫、第三方的應(yīng)用程序等現(xiàn)成軟件。第三方組件的信息可以8是標(biāo)識(shí)、來源及版本號(hào)等。4.1.20.3產(chǎn)品的網(wǎng)絡(luò)安全升級(jí)網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品的網(wǎng)絡(luò)安全升級(jí)的陳述。注：這樣的升級(jí)可能包括安全補(bǔ)丁文件的安裝、安全產(chǎn)品的升級(jí)。4.2用戶文檔集的要求4.2.1.1用戶文檔集應(yīng)體現(xiàn)其唯一的文檔標(biāo)識(shí)。4.2.1.2用戶文檔集應(yīng)能識(shí)別對(duì)應(yīng)產(chǎn)品的標(biāo)識(shí)。4.2.1.3用戶文檔集中陳述的網(wǎng)絡(luò)安全特性應(yīng)是可測試或可驗(yàn)證的。4.2.1.4用戶文檔集應(yīng)包含產(chǎn)品預(yù)期用途及其配置的安全注意事項(xiàng)的陳述。4.2.1.5用戶文檔集應(yīng)包含產(chǎn)品預(yù)期使用場景（見4.1.2)的陳述。4.2.1.6用戶文檔集應(yīng)包含網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品配置和產(chǎn)品部署環(huán)境的要求或建議的陳述。注：例如，對(duì)產(chǎn)品的物理訪問控制、防火墻端口和協(xié)議、本地接口的配置選項(xiàng)等方面的要求。若產(chǎn)品部署在HDO,用戶文檔集應(yīng)明確用戶的管理職能，尤其是IT管理員的責(zé)任。注1：考慮到IT管理員的職能的獨(dú)立性，推薦發(fā)布單獨(dú)的管理員手冊，以便僅能由管理員對(duì)其保管和查看。注2：關(guān)于“職能”，必要時(shí)，明確的指出管理員需要完成那些工作，如管理、定制和監(jiān)視系統(tǒng)的信息（如訪問控制列表、審計(jì)日志等且需要讓管理員清楚地了解與安全相關(guān)的功能。注3：即便IT管理員是由供應(yīng)商／制造商派遣，這樣的責(zé)任也要明確。4.2.3健康數(shù)據(jù)中的身份信息用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供如何去除健康數(shù)據(jù)中的身份信息必要的指導(dǎo)。4.2.4用戶訪問控制用戶文檔集應(yīng)包含有關(guān)用戶訪問控制的功能的指導(dǎo)。用戶文檔集應(yīng)陳述所有現(xiàn)有角色及其訪問權(quán)限。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)自動(dòng)注銷的參考信息。用戶文檔集應(yīng)陳述緊急狀態(tài)下訪問必要的產(chǎn)品功能或健康數(shù)據(jù)的指導(dǎo)。若安全產(chǎn)品可由用戶安裝，則用戶文檔集應(yīng)陳述產(chǎn)品所兼容的安全產(chǎn)品，并應(yīng)提供安全產(chǎn)品的配置指導(dǎo)。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)產(chǎn)品物理防護(hù)的參考信息。9用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)如何查看網(wǎng)絡(luò)安全事件記錄的指導(dǎo)。用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供產(chǎn)品數(shù)據(jù)備份與災(zāi)難恢復(fù)的必要的指導(dǎo)。用戶文檔集應(yīng)包含在網(wǎng)絡(luò)安全能力說明中陳述的維護(hù)性相關(guān)內(nèi)容的指導(dǎo)。用戶文檔集中應(yīng)陳述與產(chǎn)品維護(hù)計(jì)劃中和網(wǎng)絡(luò)安全有關(guān)的維護(hù)服務(wù)。用戶文檔集應(yīng)包括在存儲(chǔ)設(shè)備退役之際保證敏感數(shù)據(jù)不可再被訪問的指導(dǎo)。注：退役的情況可能有丟棄、重新使用、轉(zhuǎn)售或回收等。4.3網(wǎng)絡(luò)安全能力要求4.3.1.1產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明所陳述的保密性特征來實(shí)現(xiàn)。4.3.1.2產(chǎn)品應(yīng)提供該產(chǎn)品生成、存儲(chǔ)、使用或傳輸?shù)乃忻舾袛?shù)據(jù)的保密性手段。4.3.2健康數(shù)據(jù)中的身份信息若產(chǎn)品可將個(gè)人敏感數(shù)據(jù)導(dǎo)出，產(chǎn)品應(yīng)提供使其無法識(shí)別患者身份的必要的信息的手段。注1：這樣的手段可能包括匿名化、去標(biāo)識(shí)化等。注2：使用制造商指定的第三方工具完成上述目標(biāo)也是可以接受的。4.3.3*用戶訪問控制產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶訪問控制措施的陳述來實(shí)現(xiàn)。若產(chǎn)品預(yù)置了供操作者使用的缺省用戶名和口令，應(yīng)提供這樣的手段，在操作者第一次訪問之后被要求修改用戶名或口令。若產(chǎn)品部署在HDO,應(yīng)對(duì)設(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問進(jìn)行控制。注：在緊急訪問期間，這個(gè)要求是放寬的，見4.3.6。若產(chǎn)品使用身份驗(yàn)證憑據(jù)的機(jī)制來進(jìn)行用戶訪問控制，則：產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶授權(quán)的陳述來實(shí)現(xiàn)。若產(chǎn)品可以基于用戶角色進(jìn)行配置，則產(chǎn)品的網(wǎng)絡(luò)安全管理功能應(yīng)不能配置給臨床用戶這種角色。產(chǎn)品的用戶角色分配宜按照最小授權(quán)的原則進(jìn)行分配。注：如果產(chǎn)品未實(shí)現(xiàn)用戶訪問控制措施，在本文件中則認(rèn)為是授權(quán)給所有可以使用到產(chǎn)品的人。有些情況，如產(chǎn)品部署在設(shè)置了門禁的房間內(nèi)，雖然被認(rèn)為是降低了未授權(quán)訪問的風(fēng)險(xiǎn)，但這并不在本文件的評(píng)價(jià)范圍內(nèi)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明和用戶文檔中有關(guān)自動(dòng)注銷的陳述來實(shí)現(xiàn)。注1：自動(dòng)鎖定也可以被認(rèn)為是一種等同于自動(dòng)注銷的方式，但在解鎖時(shí)需要重新登錄。對(duì)有用戶訪問控制的產(chǎn)品應(yīng)實(shí)施閑置超時(shí)或其他適當(dāng)?shù)臋C(jī)制，以防止永久授權(quán)。閑置超時(shí)的間隔可由用戶配置，或可基于產(chǎn)品對(duì)事件或動(dòng)作的響應(yīng)類型進(jìn)行配置。注2：這樣的配置可能包括了自動(dòng)注銷禁用、自動(dòng)注銷時(shí)間設(shè)置等。產(chǎn)品宜不能使用戶因自動(dòng)鎖定而丟失未提交的臨床業(yè)務(wù)。除非有臨床需要，否則產(chǎn)品應(yīng)不能在自動(dòng)注銷后的界面顯示健康數(shù)據(jù)或患者信息。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)緊急訪問的陳述。如適用，在緊急情況下，應(yīng)提供可以訪問健康數(shù)據(jù)的手段。緊急訪問的行為應(yīng)被記錄并可供核查。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)傳輸完整性的陳述。產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)節(jié)點(diǎn)認(rèn)證的陳述。如適用，產(chǎn)品應(yīng)支持通過添加、刪除和／或掛起需要認(rèn)證的節(jié)點(diǎn)名稱，或添加、撤消或更新身份驗(yàn)證憑據(jù)來管理有效的節(jié)點(diǎn)。4.3.9惡意軟件探測與防護(hù)產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)惡意軟件探測與防護(hù)的陳述。應(yīng)保證在用戶文檔集中陳述的安全軟件與產(chǎn)品的兼容性。產(chǎn)品的最終交付物應(yīng)不存在已知惡意軟件。4.3.10系統(tǒng)與應(yīng)用軟件固化產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)系統(tǒng)與應(yīng)用軟件固化的陳述實(shí)現(xiàn)。產(chǎn)品的最終交付物應(yīng)不存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不可接受的已知漏洞。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)物理防護(hù)的陳述進(jìn)行防護(hù)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)抗抵賴性的陳述實(shí)現(xiàn)。4.3.13健康數(shù)據(jù)的完整性和真實(shí)性產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)健康數(shù)據(jù)的完整性和真實(shí)性的陳述進(jìn)行實(shí)現(xiàn)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)可核查性的陳述實(shí)現(xiàn)。產(chǎn)品應(yīng)能夠通過在設(shè)備上創(chuàng)建審計(jì)日志來記錄和檢查用戶的行為，審計(jì)日志應(yīng)能明確的追蹤到訪問網(wǎng)絡(luò)、設(shè)備或資源的用戶。審計(jì)日志應(yīng)僅由授權(quán)用戶訪問，且應(yīng)不能被編輯或非授權(quán)的刪除。制造商應(yīng)制定審計(jì)日志存儲(chǔ)策略，以保證審計(jì)日志不會(huì)非預(yù)期的丟失。注1：審計(jì)日志中記錄的行為屬性一般包括但不限于日期、時(shí)間、用戶身份標(biāo)識(shí)、事件。注2：在緊急訪問期間，這個(gè)要求是被放寬的，見4.3.6。4.3.15數(shù)據(jù)備份與災(zāi)難恢復(fù)產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)數(shù)據(jù)備份與災(zāi)難恢復(fù)的陳述進(jìn)行實(shí)現(xiàn)。適用時(shí)，應(yīng)提供一種手段確保在系統(tǒng)故障或遭受損害后可以恢復(fù)存儲(chǔ)在產(chǎn)品上的持久性系統(tǒng)設(shè)置和健康數(shù)據(jù)。產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明和用戶文檔集中有關(guān)維護(hù)性的陳述來執(zhí)行。5試驗(yàn)方法5.1通過查驗(yàn)產(chǎn)品網(wǎng)絡(luò)安全能力說明來驗(yàn)證是否符合4.1的要求。5.2通過查驗(yàn)用戶文檔集來驗(yàn)證是否符合4.2的要求。5.3通過進(jìn)行滿足附錄A要求的網(wǎng)絡(luò)安全能力測試過程的測試，來驗(yàn)證產(chǎn)品是否符合4.3中陳述的要求的符合性。附錄A（規(guī)范性）網(wǎng)絡(luò)安全能力測試過程的要求按照此測試過程進(jìn)行網(wǎng)絡(luò)安全測試的目的是有效證實(shí)產(chǎn)品是否符合4.3的要求。基于此測試過程的文檔一般應(yīng)包含測試計(jì)劃、測試說明和測試結(jié)果（報(bào)告但本文件并不對(duì)具體有哪些文檔做出規(guī)定。這些文檔不應(yīng)與產(chǎn)品矛盾，如果有多個(gè)文檔構(gòu)成，那么每個(gè)文檔之間也不應(yīng)自相矛盾。A.2內(nèi)容要求測試過程中通常包含以下文檔：測試計(jì)劃、測試說明和測試結(jié)果（報(bào)告）。注：本文件不對(duì)都有哪些測試文檔進(jìn)行要求。A.3測試計(jì)劃的要求測試計(jì)劃的要求通常包括了以下內(nèi)容，但也可以由測試者自定義。測試計(jì)劃應(yīng)指明用于判定測試結(jié)果是否證實(shí)軟件與網(wǎng)絡(luò)安全能力說明和用戶文檔集的符合性準(zhǔn)則。A.3.2測試環(huán)境測試計(jì)劃應(yīng)規(guī)定將要進(jìn)行的測試所處的軟件測試環(huán)境或配置。測試計(jì)劃應(yīng)規(guī)定每個(gè)測試活動(dòng)和測試?yán)锍瘫倪M(jìn)度。測試計(jì)劃應(yīng)識(shí)別、更新并記錄測試活動(dòng)中存在的風(fēng)險(xiǎn)，并提供應(yīng)對(duì)措施。A.3.5人力資源測試計(jì)劃中應(yīng)明確每個(gè)測試活動(dòng)所需的人力資源情況。A.3.6工具和環(huán)境資源A.3.6.1測試計(jì)劃中應(yīng)明確執(zhí)行測試活動(dòng)所需的工具。A.3.6.2如果使用特殊的工具和環(huán)境，測試計(jì)劃中應(yīng)說明選擇這些工具和環(huán)境的原因以及預(yù)期的結(jié)果。A.4測試說明的要求對(duì)每個(gè)測試用例的說明可包括：cf編制的測試用例應(yīng)基于一定的測試規(guī)程來進(jìn)行測試。注：本文件不會(huì)提供測試用例的模板，也不會(huì)對(duì)測試用例的模板進(jìn)行要求，但GB/T15532—2008提供模板的參考。A.4.2測試規(guī)程A.4.2.1測試規(guī)程可包括：cA.4.2.2為提供測試的可重復(fù)性和可再現(xiàn)性，測試規(guī)程應(yīng)足夠詳細(xì)。A.4.2.3在產(chǎn)品被糾正后應(yīng)有一種重新測試的規(guī)程。A.5測試結(jié)果的要求A.5.1執(zhí)行報(bào)告應(yīng)包括測試用例結(jié)果的全部匯總。A.5.2執(zhí)行報(bào)告應(yīng)證實(shí)已按測試計(jì)劃執(zhí)行了所有測試用例，或?qū)y試計(jì)劃偏差進(jìn)行了分析。A.5.3對(duì)于每個(gè)測試用例，執(zhí)行報(bào)告均應(yīng)包括以下內(nèi)容：c注：對(duì)于發(fā)現(xiàn)的異?；虿环享?xiàng)，需考慮編寫異常情況報(bào)告給相關(guān)利益方。本文件雖然不對(duì)異常報(bào)告的格式和全部內(nèi)容進(jìn)行要求，但若編寫異常報(bào)告，異常報(bào)告需具有可追溯性。A.6方法A.6.1本文件未推薦特定的技術(shù)或方法。A.6.2在網(wǎng)絡(luò)安全能力說明和4.3中提及的所有網(wǎng)絡(luò)安全能力均應(yīng)經(jīng)測試用例測試。A.6.3適用時(shí)，在網(wǎng)絡(luò)安全能力說明和4.3中提及的每個(gè)網(wǎng)絡(luò)安全能力至少應(yīng)經(jīng)一個(gè)測試用例測試。A.6.4測試用例應(yīng)能證實(shí)產(chǎn)品與用戶文檔集中的陳述的符合性。A.6.5當(dāng)網(wǎng)絡(luò)安全能力說明中引用了任何需求文檔時(shí)，所涉及的內(nèi)容應(yīng)經(jīng)測試用例測試。A.6.6若產(chǎn)品實(shí)施了系統(tǒng)與應(yīng)用軟件固化，則所有的固化措施都應(yīng)經(jīng)過測試用例的測試。注：若使用漏洞掃描工具進(jìn)行這樣的測試，漏洞庫的信息也需被記錄。A.6.7當(dāng)4.3的任何要求不適用時(shí)，應(yīng)在測試記錄中闡述不適用的理由。附錄B（資料性）本文件與其他文件的關(guān)聯(lián)表B.1列出了本文件與IEC/TR80001-2-2相關(guān)條款的關(guān)聯(lián)性。表B.1與IEC／TR80001-2-2的關(guān)聯(lián)本文件條標(biāo)題章條號(hào)IEC/TR80001-2-2中的縮寫存儲(chǔ)保密性STCF傳輸保密性TXCF健康數(shù)據(jù)中的身份信息DIDT用戶訪問控制PAUT用戶授權(quán)AUTH自動(dòng)注銷ALOF緊急訪問EMRG傳輸完整性TXIG節(jié)點(diǎn)認(rèn)證NAUT惡意軟件探測與防護(hù)MLDP系統(tǒng)與應(yīng)用軟件固化SAHD物理防護(hù)PLOK抗抵賴性—健康數(shù)據(jù)的完整性和真實(shí)性IGAU可核查性AUDT數(shù)據(jù)備份與災(zāi)難恢復(fù)DTBK維護(hù)性RDMP、CSUP、MLDP用戶文檔集的要求42CNFS、SGUD附錄C（資料性）特定條款的指南和原理說明C.1通用指南對(duì)于制造商來說，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的考慮是貫穿于整個(gè)產(chǎn)品的生命周期的，基于本文件進(jìn)行的驗(yàn)證同樣也可以在產(chǎn)品生命周期的任何時(shí)間進(jìn)行，但更多的情況是會(huì)發(fā)生在驗(yàn)收的時(shí)機(jī)。本文件第4章由網(wǎng)絡(luò)安全能力說明、用戶文檔集、網(wǎng)絡(luò)安全能力要求構(gòu)成，這些內(nèi)容構(gòu)成了符合性測試活動(dòng)的輸入。制造商需要從風(fēng)險(xiǎn)管理的角度考慮產(chǎn)品的網(wǎng)絡(luò)安全能力，并按4.1的要求陳述在網(wǎng)絡(luò)安全能力說明中。對(duì)于與本文件相關(guān)產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可以參考YY/T0316—2016的基礎(chǔ)流程，對(duì)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，目前國際上亦有一些標(biāo)準(zhǔn)可供參考，如GB9706.1—2020的第14章可編程醫(yī)用電氣系統(tǒng)(PEMS)、IEC80001-1及其系列技術(shù)報(bào)告、UL2900-2-1、AAMITIR57等標(biāo)準(zhǔn)中的相關(guān)內(nèi)容。本文件中網(wǎng)絡(luò)安全能力說明中要求的網(wǎng)絡(luò)安全能力則通常是為了緩解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而實(shí)現(xiàn)的技術(shù)控制措施，對(duì)于其他的某些管理上的或行政上的控制措施則可能會(huì)作為某種警告性語言陳述在用戶文檔中。當(dāng)這些風(fēng)險(xiǎn)控制措施引入到設(shè)計(jì)需求時(shí)，制造商還需要考慮是否會(huì)引入新的風(fēng)險(xiǎn)。C2以下是本文件中特定章條號(hào)的指南或原理說明，與本文件正文的章條號(hào)相對(duì)應(yīng)。本文件范圍的定制是基于參考ME設(shè)備、ME系統(tǒng)以及醫(yī)療器械軟件的定義。這樣的列舉也是為了明確與全國醫(yī)用電器標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC10)之間的關(guān)系。本文件中的ME設(shè)備和ME系統(tǒng)的定義是等同于GB9706.1的，然而考慮到醫(yī)療器械網(wǎng)絡(luò)安全特性的通用性，在GB9706.1中列出不適用的醫(yī)療器械（如：體外診斷設(shè)備、有源植入裝置的植入部分或醫(yī)用氣體管道系統(tǒng)等）也可以參考本文件進(jìn)行評(píng)測。本文件中醫(yī)療器械軟件的定義則來自YY/T0664。在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)是基于本文件隨ME設(shè)備或ME系統(tǒng)共同評(píng)測的，而預(yù)期本身用作醫(yī)療器械而開發(fā)的軟件則通常單獨(dú)評(píng)測，但這也不排除有些情況下，需求方想要單獨(dú)基于本文件評(píng)測在醫(yī)療器械內(nèi)的已開發(fā)的軟件系統(tǒng)。值得注意的是，本條中陳述的范圍排除了那些無網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的用戶交互，比如那些沒有用戶交互界面的人機(jī)交互模式為機(jī)械交互的產(chǎn)品。條款4.1網(wǎng)絡(luò)安全能力說明在更多的情況下，在進(jìn)行產(chǎn)品網(wǎng)絡(luò)安全能力的驗(yàn)證時(shí)，網(wǎng)絡(luò)安全測試的測試者需要制造商來陳述產(chǎn)品本身的網(wǎng)絡(luò)安全能力作為測試需求分析的輸入，因此網(wǎng)絡(luò)安全能力說明通常由制造商進(jìn)行撰寫。制造商需要陳述的網(wǎng)絡(luò)安全能力的內(nèi)容通常是基于產(chǎn)品進(jìn)行的網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理活動(dòng)的風(fēng)險(xiǎn)控制的技術(shù)措施，這些風(fēng)險(xiǎn)管理活動(dòng)應(yīng)結(jié)合產(chǎn)品的預(yù)期用途、使用場景及核心功能等進(jìn)行分析，當(dāng)產(chǎn)品的預(yù)期用途結(jié)合了不同的場景時(shí)，可能會(huì)產(chǎn)生不同的風(fēng)險(xiǎn)，如果制造商在設(shè)計(jì)產(chǎn)品時(shí)基于不同的場景實(shí)現(xiàn)了不同的網(wǎng)絡(luò)安全能力，則制造商需要分別陳述這些網(wǎng)絡(luò)安全能力，這也是為什么網(wǎng)絡(luò)安全能力說明要按照4.1.3的要求對(duì)產(chǎn)品的特征進(jìn)行陳述，以幫助潛在的測試者初步了解產(chǎn)品。這些網(wǎng)絡(luò)安全特性的適用性，適用的，則需要將實(shí)現(xiàn)的風(fēng)險(xiǎn)控制的技術(shù)措施在網(wǎng)絡(luò)安全能力說明中進(jìn)行陳述。對(duì)于不適用的項(xiàng)目，制造商仍需要陳述其不適用的理由。只有能夠通過風(fēng)險(xiǎn)識(shí)別證明產(chǎn)品在不進(jìn)行任何技術(shù)措施的情況下，產(chǎn)品不存在對(duì)應(yīng)的不可接受的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，條款才可能被認(rèn)為是不適用的。對(duì)于網(wǎng)絡(luò)安全能力說明中對(duì)網(wǎng)絡(luò)安全特性陳述的細(xì)化程度，首先需要考慮陳述的網(wǎng)絡(luò)安全能力的頻率等手段。這樣的目標(biāo)是能夠一定程度上來提高網(wǎng)絡(luò)安全能力說明編寫的靈活性，以便更好地適應(yīng)特定的監(jiān)管政策或制造商的需求。本條的目標(biāo)是為了讓產(chǎn)品網(wǎng)絡(luò)安全能力說明的編寫者在陳述產(chǎn)品特征描述中的分類提供一個(gè)指導(dǎo)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)是兩種廣泛的網(wǎng)絡(luò)類別。公共網(wǎng)絡(luò)，通常指任何人都可接入的網(wǎng)絡(luò)，互聯(lián)網(wǎng)是一個(gè)最常見的例子，由于這些數(shù)據(jù)交換設(shè)施都是公共的，故而其信任級(jí)別是相對(duì)較低的，風(fēng)險(xiǎn)則較高，因此這需要更多的措施來降低一些有可能的風(fēng)險(xiǎn)，比如安全網(wǎng)關(guān)等。專用網(wǎng)絡(luò)，一般指由本機(jī)構(gòu)擁有或租用線路構(gòu)成的網(wǎng)絡(luò)，也可以稱為私有網(wǎng)絡(luò)，對(duì)于需要傳輸資產(chǎn)價(jià)值較高的數(shù)據(jù)，比如包含健康數(shù)據(jù)在內(nèi)的個(gè)人敏感數(shù)據(jù)時(shí)，比起接入公共網(wǎng)絡(luò)，接入專用網(wǎng)絡(luò)通常風(fēng)險(xiǎn)更低。一般情況下網(wǎng)絡(luò)連接架設(shè)可以在組織內(nèi)部，不同組織之間，亦或是組織與公共區(qū)域之間。公共網(wǎng)絡(luò)通常情況下是不同組織之間或者組織與公共區(qū)域之間。專用網(wǎng)絡(luò)通常是架設(shè)在組織內(nèi)部或者不同組織之間，但對(duì)于一些遠(yuǎn)程用戶，也可以使用虛擬專用網(wǎng)絡(luò)(VPN),這相當(dāng)于在組織與公共區(qū)域（公用網(wǎng)絡(luò)）上建立專用網(wǎng)絡(luò)，進(jìn)行加密通信。個(gè)域網(wǎng)(PersonalAreaNetwork,PAN)、局域網(wǎng)(LocalAreaNetwork,LAN)和廣域網(wǎng)(WideAreaNetwork,WAN)節(jié)點(diǎn)之間互聯(lián)形成的域，通常這種網(wǎng)絡(luò)是相對(duì)封閉的。而廣域網(wǎng)一般情況下是使用電信供應(yīng)商提供的網(wǎng)絡(luò)設(shè)施將多個(gè)局域網(wǎng)或節(jié)點(diǎn)組成的范圍更廣的域，當(dāng)然這也會(huì)引入更多的網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)。而個(gè)域網(wǎng)在某些認(rèn)知中被認(rèn)為是局域網(wǎng)的一種，但網(wǎng)絡(luò)互連技術(shù)發(fā)展至今日，個(gè)域網(wǎng)的應(yīng)用也越發(fā)廣泛，的風(fēng)險(xiǎn)也需要制造商去考慮。對(duì)于使用場景，總的來說分為醫(yī)療場景和非醫(yī)療場景，但是建議制造商在陳述使用場景進(jìn)行分類時(shí)，仍需要進(jìn)一步的分析不同使用場景中不同的用途（見4.1.2.5注釋在不同的用途下，其可能遭受的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的程度也是不同的。因此，不同分類的組合所可能遭遇的風(fēng)險(xiǎn)也是不一樣的，在這個(gè)分類的樣例（表C.1)中使用了一個(gè)監(jiān)護(hù)類產(chǎn)品作為例子。C使用場景域類型網(wǎng)絡(luò)類型連接類型數(shù)據(jù)傳輸方向監(jiān)護(hù)場景局域網(wǎng)專用網(wǎng)絡(luò)有線網(wǎng)線雙向傳輸監(jiān)護(hù)場景局域網(wǎng)專用網(wǎng)絡(luò)無線wifi雙向傳輸遠(yuǎn)程維護(hù)場景廣域網(wǎng)公共網(wǎng)絡(luò)有線網(wǎng)線單向向內(nèi)傳輸本地維護(hù)場景 有線USB單向向內(nèi)傳輸數(shù)據(jù)導(dǎo)出——有線USB單向向外傳輸條款4.1.3.4列明所有第三方和包含在產(chǎn)品中的開源軟件的目標(biāo)主要是讓測試者更清楚地了解產(chǎn)品的情況。多數(shù)的情況下，獲知那些廣為人知的第三方軟件或開源軟件可以幫助測試者初步的判斷其網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，這樣的活動(dòng)有利于接下來對(duì)產(chǎn)品的網(wǎng)絡(luò)安全能力進(jìn)行測試。條款4.1.7用戶訪問控制的細(xì)節(jié)可能包括密碼的強(qiáng)度、不成功嘗試的次數(shù)限制、禁止訪問的條件和后果、反自動(dòng)破解的保護(hù)功能、密碼要求被更新的頻次等。制造商需要考慮為了提權(quán)或越過用戶訪問控制措施的攻擊帶來的風(fēng)險(xiǎn)，而且若設(shè)計(jì)了這樣的風(fēng)險(xiǎn)控制措施則需要在網(wǎng)絡(luò)安全能力說明中陳述。但顯而易見的是，這樣的攻擊的方式是未知的，且是具有發(fā)展性的，因此并不是說實(shí)現(xiàn)了某些風(fēng)險(xiǎn)控制措施防止攻擊便可以稱其為“本產(chǎn)品可以抵御所有攻擊”。另外，用戶訪問控制需要考量與可得性之間的關(guān)系，有些用戶訪問控制措施，例如，多次嘗試不正確的訪問會(huì)引起一段時(shí)間之內(nèi)拒絕訪問，這有可能導(dǎo)致可得性變差，甚至?xí)g接導(dǎo)致一些不可接受的安全性方面的風(fēng)險(xiǎn)。因此制造商需要考慮這種情況以避免單方面為了提升訪問控制而將可得性降低到不可接受的水平。條款4.1.11考慮到某些產(chǎn)品在特定的情況下，在HDO的部署責(zé)任方是制造商，那么在這種情況下，制造商要對(duì)傳輸過程中敏感數(shù)據(jù)的完整性負(fù)責(zé)。因?yàn)閷?duì)于一些產(chǎn)品，在傳輸某些指令時(shí)，指令失去完整性會(huì)影響安全性?？赡芨鄨龊希瑐鬏斖暾缘呢?zé)任是HDO,但公鑰、秘鑰的管理、數(shù)據(jù)加密解密需要由HDO和制造商共同實(shí)現(xiàn)，但往往這種情況下，并不是產(chǎn)品本身的網(wǎng)絡(luò)安全能力，因此并不在本文件的范圍內(nèi)。條款4.1.14系統(tǒng)固化被認(rèn)為是在應(yīng)用軟件難以修改或者不方便修改的前提下提高整體安全性的最有效的手段。合理的系統(tǒng)固化能夠消除系統(tǒng)上存在的已知漏洞，減小攻擊接口，提升產(chǎn)品整體安全等級(jí)。是否需要實(shí)施固化是需要制造商通過風(fēng)險(xiǎn)分析來確認(rèn)的，當(dāng)然這也關(guān)乎于實(shí)施固化的責(zé)任方，下面則提供了幾個(gè)實(shí)施固化責(zé)任方的舉例。—若產(chǎn)品是ME設(shè)備或ME系統(tǒng)，且至少包含一套操作系統(tǒng)，則對(duì)操作系統(tǒng)的固化的責(zé)任方一般為制造商?！舢a(chǎn)品是ME設(shè)備或ME系統(tǒng)，制造商承擔(dān)了部署軟件的責(zé)任，且會(huì)提供部署軟件的平臺(tái)／操作系統(tǒng)，那么制造商亦是操作系統(tǒng)的責(zé)任方?！舢a(chǎn)品為／包含軟件，但預(yù)期產(chǎn)品會(huì)安裝在HDO提供的平臺(tái)／操作系統(tǒng)上，則操作系統(tǒng)的責(zé)任方可能不為制造商。但這并不意味著制造商不需要去考慮不實(shí)施固化所帶來的的風(fēng)險(xiǎn)。條款4.1.16抗抵賴性即是不可否認(rèn)性，也就是說節(jié)點(diǎn)A到節(jié)點(diǎn)B的傳輸完成后，節(jié)點(diǎn)A不能否認(rèn)是節(jié)點(diǎn)A傳給節(jié)點(diǎn)B的?？沟仲囆跃哂须p向性，一方面是數(shù)據(jù)發(fā)送方不可抵賴其發(fā)送數(shù)據(jù)的行為，一方是數(shù)據(jù)接收方不可抵賴其接收數(shù)據(jù)的行為。這可以通過數(shù)字簽名和時(shí)間戳等手段來保證，這樣的方式同時(shí)可以保證對(duì)象和資源的真實(shí)性?？沟仲囆缘膶?shí)現(xiàn)原理可以是基于數(shù)字簽名技術(shù)，我們知道基于簽名及簽名驗(yàn)證，可以判斷數(shù)據(jù)的發(fā)送方是真實(shí)存在的用戶。同時(shí)，通過對(duì)簽名的驗(yàn)證，可以判斷數(shù)據(jù)在傳輸過程中是否被更改。從而，可以實(shí)現(xiàn)數(shù)據(jù)的發(fā)送方不能對(duì)發(fā)送的數(shù)據(jù)進(jìn)行抵賴，發(fā)送的數(shù)據(jù)是完整的，實(shí)現(xiàn)產(chǎn)品的抗抵賴性和完整性需求。如果有需要，對(duì)于B/S架構(gòu)和C/S架構(gòu)，都需要采用基于簽名及簽名驗(yàn)證的實(shí)現(xiàn)原理。對(duì)于B/S架構(gòu)，客戶端數(shù)據(jù)簽名模塊以控件的方式，配置在需要進(jìn)行簽名的網(wǎng)頁中，供用戶訪問時(shí)下載。對(duì)于C/S架構(gòu)，客戶端數(shù)據(jù)簽名模塊以動(dòng)態(tài)庫的方式，供專業(yè)客戶端軟件調(diào)用。當(dāng)然，抗抵賴性也可通過用戶訪問控制、節(jié)點(diǎn)認(rèn)證、健康數(shù)據(jù)的數(shù)字簽名、時(shí)間戳等方式聯(lián)合實(shí)現(xiàn)，雖然上述了一些技術(shù)上的舉例，但本文件并不限制實(shí)現(xiàn)抗抵賴性的手段。條款4.1.17目標(biāo)是為了確保健康數(shù)據(jù)未經(jīng)非授權(quán)改動(dòng)或銷毀，并且來自發(fā)起人，即是“確保用戶所見即為真”。數(shù)字簽名是一種典型的保證健康數(shù)據(jù)來自發(fā)起人手段。當(dāng)然這也需要在節(jié)點(diǎn)認(rèn)證的時(shí)候，需要保證節(jié)點(diǎn)的真實(shí)性。而保證完整性，則需要使用其他的手段。條款4.1.18允許機(jī)構(gòu)的安全官員對(duì)活動(dòng)進(jìn)行審計(jì)，評(píng)估對(duì)安全域策略的遵守情況，檢測違規(guī)行為的實(shí)例，并便于發(fā)現(xiàn)不正確的創(chuàng)建、訪問、修改和刪除受保護(hù)的個(gè)人敏感數(shù)據(jù)。對(duì)于審計(jì)日志，產(chǎn)品應(yīng)能夠維護(hù)所有與安全相關(guān)的事件的一個(gè)或多個(gè)日志。條款4.1.19保存、以臨時(shí)文件形式存儲(chǔ)和長期存儲(chǔ)是有區(qū)別的，否則對(duì)臨時(shí)存儲(chǔ)健康數(shù)據(jù)的設(shè)備去要求需要數(shù)據(jù)備份可能是不公平的（例如，床旁監(jiān)護(hù)儀、注射泵等這樣會(huì)增加此類設(shè)備的不必要的成本，是否需要提供數(shù)據(jù)備份與災(zāi)難恢復(fù)的手段應(yīng)通過制造商對(duì)產(chǎn)品的風(fēng)險(xiǎn)分析來確定。制造商需要基于風(fēng)險(xiǎn)分析，考慮是否制定災(zāi)難恢復(fù)計(jì)劃／策略，以對(duì)產(chǎn)品的關(guān)鍵數(shù)據(jù)進(jìn)行恢復(fù)，達(dá)到滿足最低臨床需求。當(dāng)然，這樣的策略應(yīng)是靈活的，用以應(yīng)對(duì)不同HDO的不同實(shí)際需求，可能需要釋放一些相關(guān)的配置權(quán)限給HDOIT。這意味著產(chǎn)品需要支持備份和恢復(fù)產(chǎn)品的配置和自定義設(shè)置（包括安全設(shè)置和賬號(hào)信息）。進(jìn)行的實(shí)時(shí)保存和恢復(fù)并不是本條的目標(biāo)。條款4.1.20.2目標(biāo)是敦促制造商對(duì)第三方操作系統(tǒng)等第三方組件在產(chǎn)品生命周期過程中所帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)注。條款4.1.20.3目標(biāo)是希望產(chǎn)品中第三方安全補(bǔ)丁是最新的，進(jìn)而保證產(chǎn)品不存在已知的高風(fēng)險(xiǎn)漏洞，但有可能只會(huì)在測試時(shí)來確認(rèn)這些補(bǔ)丁（包括病毒庫）是否為最新。日常的監(jiān)管中則可能是一種定期的行為，而對(duì)這樣的行為的規(guī)范并不在本文件中規(guī)定。如果供應(yīng)商／制造商提供了產(chǎn)品的維護(hù)，且明確要求產(chǎn)品應(yīng)不定期進(jìn)行惡意軟件的探測，則安全軟件（包括病毒庫、木馬庫等）應(yīng)被更新，操作系統(tǒng)和應(yīng)用程序被及時(shí)打上補(bǔ)丁。條款4.3.3本文件并沒有對(duì)口令的復(fù)雜度做出要求。因?yàn)樵谀承┡R床應(yīng)用當(dāng)中，復(fù)雜的口令可能會(huì)限制產(chǎn)品的易用性／可用性，因此對(duì)于這些臨床應(yīng)用，簡單的密碼可能是必不可少的，但這需要制造商提供一定的說明來解釋使用簡單密碼的原因，并且必要時(shí)要通過風(fēng)險(xiǎn)分析的方式來證明簡單密碼不會(huì)造成其他危害。同一類或不同型號(hào)的同類產(chǎn)品不宜保持同樣的默認(rèn)憑證，以防止知道其中一臺(tái)產(chǎn)品的默認(rèn)憑證就知道了全部產(chǎn)品的默認(rèn)憑證。條款4.3.5在大多數(shù)場景下，最終用戶（操作者）可能會(huì)離開設(shè)備一段時(shí)間，在這段時(shí)間內(nèi)，可能會(huì)發(fā)生未授權(quán)的用戶對(duì)程序或系統(tǒng)進(jìn)行訪問而不需要身份驗(yàn)證的情況，這樣的情況在一些臨床應(yīng)用的場景下是危險(xiǎn)的，尤其是那些輻射劑量較大的診斷場景。此外，這段時(shí)間也有可能未授權(quán)的用戶竊取或破壞健康數(shù)據(jù)。因此，管理員在設(shè)置時(shí)間時(shí)，應(yīng)考慮這些臨床應(yīng)用場景。但在另外一些臨床應(yīng)用中，操作者對(duì)應(yīng)用程序的需求可能只是查看應(yīng)用程序提供的影像數(shù)據(jù)而并非經(jīng)常會(huì)去操作應(yīng)用程序，類似于這樣的場景下，則可能需要關(guān)閉自動(dòng)鎖定或注銷的功能，否則可能會(huì)嚴(yán)重影響產(chǎn)品的可得性，當(dāng)然，在這種情況下，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也應(yīng)是可接受的。條款4.3.6在緊急情況下，臨床用戶需要能夠訪問健康數(shù)據(jù)，而無需個(gè)人用戶標(biāo)識(shí)和身份驗(yàn)證［中斷功情況下，包括某種方式立即通知系統(tǒng)管理員或醫(yī)務(wù)人員（除審計(jì)記錄外）。緊急訪問的功能可能有各種不同的產(chǎn)品設(shè)計(jì)對(duì)應(yīng)的產(chǎn)品實(shí)現(xiàn)，這可能是無需驗(yàn)證或者是簡單的