医疗器械网络信息安全基本要求

DB32/TXXXX-2020PAGE3医疗器械网络信息安全基本要求1范围本标准规定了医疗器械网络信息安全的基本要求。本标准适用于具有网络连接功能以进行电子数据交换或远程控制的医疗器械产品，其中网络包括无线、有线网络，电子数据交换包括单向、双向数据传输，远程控制包括实时、非实时控制。也适用于采用存储媒介以进行电子数据交换的医疗器械产品，其中存储媒介包括但不限于光盘、移动硬盘和U盘。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25000.10-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第10部分：系统与软件质量模型GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则GB/T25069-2010信息安全技术术语GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇GB/T35273-2017信息安全技术个人信息安全规范YY/T0316-2016医疗器械风险管理对医疗器械的应用3术语和定义3.1接口electronicinterface就本标准而言，接口是指系统之间相互作用和/或相互通信的媒介，从而允许系统之间进行信息交换。它包括连接类型(如USB端口、无线连接)和信息内容。它是医疗设备与其他设备或其他医疗设备之间交换和使用信息的媒介。3.2产品敏感信息productsensitiveinformation产品敏感数据是指可以影响产品信息安全的任何重要数据。[注：包括但不限于密码、密钥、随机数生成器的种子、身份验证数据、设备控制信息等。]3.3访问权限accesspermission访问权限，是根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制。

3.4随附文件accompanyingdocuments随同医疗器械的，为医疗器械安装、使用和维护的责任方提供信息以及为操作者或使用者提供信息，特别是关于安全信息的文件[YY/T0316-2016，定义2.1]3.5制造商manufacturer在上市和/或投入服务前。对医疗器械的设计、制造、包装或作标记、系统的装配或者改装医疗器械负有责任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。[YY/T0316-2016，定义2.8]3.6个人敏感信息personalsensitiveinformation一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。[GB/T35273-2017，定义3.2]3.7访问控制accesscontrol一种保证数据处理系统的资源只能由被授权主体按授权方式进行访问的手段。[GB/T25069-2010，定义2]3.8完整性integrity准确和完备的特性。[GB/T29246-2017，定义2.40]3.9真实性authenticity确保主体或资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。[GB/T25069-2010，定义2.1.69]3.10抗抵赖non-repudiation证明某一动作或事件已经发生的能力，以使事后不能否认这一动作或事件。[GB/T25069-2010，定义2.1.17]3.11可核查性accountability确保可将一个实体的行动唯一地追踪到此实体的特性。[GB/T25069-2010，定义2.1.18]

3.12保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的特性。[GB/T29246-2017，定义2.12]3.13可得性已授权实体一旦需要就可访问和使用的数据和资源的特性。[注：改写自GB/T25069-2010，定义2.1.20可用性]3.14信息安全informationsecurity对信息的保密性、完整性、和可得性的保持。注：另外，也可包括诸如真实性、可核查性、抗抵赖等其他特性。[GB/T29246-2017，定义2.33]3.15去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。[GB/T35273-2017，定义3.14]3.16最小特定权限minimumprivilege主体的访问权限的最低限度，即仅执行授权活动所必需的那些权利。[GB/T25069-2010，定义42]4日志审计4.1医疗器械应具有信息安全日志记录功能。4.2医疗器械信息安全日志中应包含充分信息，达到可核查性和抗抵赖性要求。4.3医疗器械应将与信息安全相关的日志存储在非易失性存储器中，且不允许非授权用户删除或更改它们。通过触发信息安全相关事件，用户正常操作或异常操作来验证有无相关日志；通过审核日志内容（如：用户标识、操作时间、来源、行为等信息）来验证日志描述是否清晰明了；通过对日志存储记录或文件进行攻击，验证日志存储的安全性。

5授权访问管理5.1接口访问服务应当要求用户在访问前进行身份认证。远程访问时，如涉及可能影响或改变产品信息安全的操作，应要求用户再次进行身份认证。注：不涉及可能影响或改变产品信息安全的操作且不涉及敏感信息（个人敏感信息和产品敏感信息）传输的产品，可使用未经身份认证的访问。5.2为防止永久授权，医疗器械的用户授权服务应当实现会话超时注销或其他等效功能。会话超时时间应是可配置的。5.3对于使用用户名和密码进行用户认证的产品：a）医疗器械密码的存储应有防止信息泄露措施；b）医疗器械提供的认证错误信息不允许列举有效凭证；c）医疗器械密码需满足长度、复杂度、更新频率等特性要求；注：复杂度是特殊字符、大小写字母、数字等选项的组合。更新频率可配置。d）医疗器械应当对字典攻击和暴力破解做出相应的防护；e）医疗器械不应含有硬编码密码；注：硬编码密码是指无法通过软件功能修改的密码。f）医疗器械应具有管理有效用户列表的功能。5.4对于使用基于角色访问的医疗器械：a）应清楚地记录所有已存在的角色及其相关的权限；b）应设置拥有管理产品专有权限的“管理员”或“系统”角色，这样的权限不应授予其他角色；c）应能够对进行身份认证的每个帐号执行最小特定权限原则。5.5在医疗器械使用之前，医疗器械需要改变任何在医疗器械安全中起作用的系统默认值，比如密码和密钥等。且医疗器械应具有推荐更改系统默认值的指导说明。

6非授权访问管理6.1医疗器械不应开放与预期用途无关的端口。6.2当医疗器械的接口出现无效或意外的输入时，医疗器械应能继续按预期运行，并保障医疗器械的基本功能和数据的可得性。无效或意外输入包含但不限于以下内容：a）参数类型或长度异常；b）特殊字符或其它特殊语句；c）非法文件。6.3医疗器械应具有访问控制能力，非授权用户不能访问未授权的医疗器械功能和资源。7数据安全保护7.1医疗器械应具备数据备份和恢复功能，当存储空间不足时有相应提示。注：指明数据备份由操作系统的功能来执行也是可接受的。7.2医疗器械应确保在任何接口之间传输数据的完整性和真实性。7.3医疗器械应确保由产品生成、储存、使用或传输的敏感数据的保密性。医疗器械应使用可靠的安全机制来保证敏感数据的保密性或去标识化。注：敏感数据包含个人敏感信息和产品敏感信息；安全机制可能为公认的加密算法、数字证书等。8随附文件对用户管理产品信息安全说明的要求8.1制造商应提供医疗器械中使用的主要软件组件的版本。

8.2随附文件中应包含对医疗器械使用场景的详细说明，及该使用场景下针对网络连接功能的注意事项。注：使用场景可能是医院、家庭、公共场所等。8.3随附文件中应包含该医疗器械对预期使用场景建议的软硬件配置和运行环境的详细说明。8.4随附文件应包含对访问权限的说明。8.5随附文件应包含医疗器械接口的详细说明：a）所有远程接口；b）所有本地接口；c）所有无线接口。8.6随附文件应包含对医疗器械信息安全相关事件的说明。注：信息安全相关事件可以是成功的登录或失败的登录、用户身份认证凭证的变更、有效用户帐户列表的更改、配置的修改保存、核心业务事件的触发、成功的和不成功的软件更新等。8.7制造商应识别医疗器械中的个人敏感信息并记录在随附文件中。9产品设计文档9.1制造商应提供该医疗器械的信息安全风险分析文档。9.2产品应遵从4.2~4.5节所提到的所有风险控制方式，如果制造商选择不遵守其中一个或多个风险控制，那么制造商应在医疗器械信息安全风险分析文档中记录并证明这一点。附 录 A（资料性附录）物理拓扑示例A.1物理拓扑示例图一：物理拓扑示例图A.2接口说明示例编号接口类型传输协议接口用途ARJ45HL7或DICOM通过DICOM协议传输医学影像B蓝牙模块蓝牙4.0通过蓝牙协议传输血氧数据CWIFI模块SOAP或FTPS发送和接受xxxx数据D串口RS232/RS485MODBUS发送和接受xxxx数据EUSBUSB2.0或USB3.1拷贝xxxx数据F4G模块HTTPS或FTP通过HTTPS协议加密传输通信数据G………………表一：接口说明示例表

参 考 文 献[1]中华人民共和国网络安全法（中华人民共和国主席令第五十三号）[2]医疗器械网络安全注册技术审查指导原则[3]UL2900-1StandardforSafetySoftwareCybersecurityforNetwork-ConnectableProducts,Part1:GeneralRequirements[4]UL2900-2-1OutlineofInvestigationforSoftwareCybersecurityforNetwork-ConnectableProducts,Part2-1:ParticularRequirementsforNetworkConnectableComponentsofHealthcareSystems[5]IEC80001-1:2010,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part1:Roles,responsibilitiesandactivities[6]IEC/TR80001-2-1:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-1:Step-by-stepriskmanagementofmedicalIT-networks-Pr