经验分享|医疗器械网络安全描述文档
医疗器械网络安全描述文档模板
1.基本信息
描述医疗器械产品的相关信息:
(1)类型:健康数据、设备数据;
(2)功能:电子数据交换(单向、双向)、远程控制(实时、非实时);
(3)用途:如临床应用、设备维护等;
(4)交换方式:网络(无线网络、有线网络)及要求(如传输协议(标准、自定义)、接口、带宽等),存储媒介(如光盘、移动硬盘、U盘等)及要求(如存储格式(标准、自定义)、容量等);对于专用无线设备(非通用信息技术设备),还应提交符合无线电管理规定的证明材料;
(5)安全软件:描述安全软件(如杀毒软件、防火墙等)的名称、型号规格、完整版本、供应商、运行环境要求;
(6)现成软件:描述现成软件(包括应用软件、系统软件、支持软件)的名称、型号规格、完整版本和供应商。
2.风险管理
医疗器械网络安全风险管理的分析报告和总结报告,确保全部剩余风险均是可接受的。
3.验证与确认
网络安全测试计划和报告,证明医疗器械产品的网络安全需求(如保密性、完整性、可得性等特性)均已得到满足。
网络安全可追溯性分析报告,即追溯网络安全需求规范、设计规范、测试、风险管理的关系表。
对于安全软件,应提供兼容性测试报告。
对于标准传输协议或存储格式,应提供标准符合性证明材料,
对于自定义传输协议或存储格式,应提供完整性测试总结报告。
对于实时远程控制功能,应提供完整性和可得性测试报告。
4.维护计划
描述软件(含现成软件)网络安全更新的维护流程,包括更新确认和用户告知。
5、常规安全补丁描述文档
提交软件(含现成软件)常规安全补丁的情况说明(补丁描述、影响分析、用户告知计划)、测试计划与报告、新增已知剩余缺陷情况说明(证明新增风险均是可接受的)。
Tips1:经常有医疗器械从业者小伙伴问me有木有模板?个人理解的模板,其实就是将要求理解透彻了,形成自己文档的框架结构。别人的模板是别人的思考模式,行文框架结构。本文提供的模板,其实来自《医疗器械网络安全注册技术审查指导原则(2017年第13号)》
Tips2:对于系统软件和支持软件,注册申请人需要重点关注其安全补丁更新对医疗器械的影响,安全补丁更新属于设计变更,需要进行验证与确认,但通常情况下可视为轻微软件更新,除非影响到医疗器械的安全性和有效性。
Tips3:十九+1项网络安全能力(注册申请人可根据医疗器械的产品特性考虑其网络安全能力要求的适用性)
暂无评论