問:醫(yī)療器械軟件的網(wǎng)絡(luò)安全漏洞評(píng)估有什么具體要求����?
答:根據(jù)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》規(guī)定的軟件安全性級(jí)別����,網(wǎng)絡(luò)安全評(píng)估具有不同的要求����,具體如下:
1)輕微級(jí)別:按照現(xiàn)行有效的通用漏洞評(píng)分系統(tǒng)(CVSS)所定義的漏洞等級(jí)����,明確申報(bào)醫(yī)療器械(含必備軟件����、外部軟件環(huán)境����,下同)已知漏洞總數(shù)和已知剩余漏洞數(shù)。
2)中等級(jí)別:提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告����,明確漏洞掃描所用軟件工具、漏洞庫(基于國家信息安全漏洞庫或互認(rèn)的國際信息安全漏洞庫)的基本信息(如名稱����、完整版本、發(fā)布日期����、供應(yīng)商等),按照CVSS漏洞等級(jí)明確申報(bào)醫(yī)療器械已知漏洞總數(shù)和已知剩余漏洞數(shù)����,列明已知剩余漏洞的內(nèi)容����、對(duì)產(chǎn)品的影響及綜合剩余風(fēng)險(xiǎn)����,確保產(chǎn)品綜合剩余風(fēng)險(xiǎn)均可接受����。亦可補(bǔ)充網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告。
3)嚴(yán)重級(jí)別:提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告����、網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告,明確已知剩余漏洞的維護(hù)方案����,確保產(chǎn)品綜合剩余風(fēng)險(xiǎn)均可接受。
問:在醫(yī)院內(nèi)部署的醫(yī)用軟件是否需要進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析����?
答:根據(jù)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》具備電子數(shù)據(jù)交換、遠(yuǎn)程訪問與控制����、用戶訪問三種功能當(dāng)中一種及以上功能的第二、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械)需提交相關(guān)網(wǎng)絡(luò)安全資料。
問:申報(bào)產(chǎn)品包含USB接口����,僅提供數(shù)據(jù)讀取功能,是否需要提交網(wǎng)絡(luò)安全研究資料����?
答:根據(jù)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》,可通過非網(wǎng)絡(luò)接口的其他電子接口(如串口����、并口、USB口����、視頻接口、音頻接口����,含調(diào)試接口、轉(zhuǎn)接接口)或存儲(chǔ)媒介(如光盤����、移動(dòng)硬盤、U盤)進(jìn)行電子數(shù)據(jù)交換(包括單向����、雙向數(shù)據(jù)傳輸)的第二����、三類含有軟件組件的醫(yī)療器械����,需要提交網(wǎng)絡(luò)安全研究資料����。
問:是否所有用戶界面的軟件都需要軟件網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析?哪些網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告能夠被認(rèn)可����?
答:根據(jù)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》具備電子數(shù)據(jù)交換、遠(yuǎn)程訪問與控制����、用戶訪問三種功能當(dāng)中一種及以上功能的第二、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械(包括體外診斷醫(yī)療器械)需提交相關(guān)網(wǎng)絡(luò)安全資料����。具有相關(guān)資質(zhì)的網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告可以被認(rèn)可。
京公網(wǎng)安備11010802046783號(hào)