最近有小伙伴來問去歐盟的網(wǎng)絡(luò)安全該怎么辦�����?能否按照國內(nèi)的GB/T 25000.51-2016來做�����?
很好的問題�����,基于MDR關(guān)于cybersecurity MDCG guidance 2019.16中Annex III的標(biāo)準(zhǔn)清單�,GB/T 25000.51-2016對應(yīng)的ISO /IEC 25051:2014還真的也就不在里面�。所以直接用顯然會有問題,雖然大家都知道很多的要求其實(shí)是相近的�����。
那么是否是所有的MDCG里列出來的標(biāo)準(zhǔn)都需要滿足呢�����?顯然也不是�����,目前來說國際上很多的國家其實(shí)在提交cybersecurity 的文件時都需要提供IEC 81001-5-1和MDS2,這個之前酒茶客寫過很多關(guān)于各國cyber的guidance都有要求���,在這就不累述了�,有興趣的小伙伴可以自行去爬爬樓�。
廢話說了一通,借這個小伙伴的問題�����,正好也知道IEC81001-5-1第二版正在起草中�����,趕緊去看看狀態(tài):
好吧���,有進(jìn)展�,但是距離預(yù)計發(fā)布日期2028-08-25還早著呢�����,所以還是用好目前的IEC 81001-5-1:2021就好了。
順手也翻了一下�����,還正有驚喜�, 2025-12-04 IEC 發(fā)布了一個關(guān)于IEC 81001-5-1 的解釋表。趕緊下載下來看看到底解釋了點(diǎn)啥�。
-
為了向 HEALTH SOFTWARE 產(chǎn)品的操作人員提供關(guān)于軟件項目風(fēng)險從制造商轉(zhuǎn)移到責(zé)任方或操作人員的必要的隨附文件的要求。
-
維護(hù) HEALTH SOFTWARE 產(chǎn)品安全所需的要求
1. 關(guān)于IEC 81001-5-1 4.1的解釋
4.1.7 披露與安全相關(guān)的問題�,增加了兩條注釋
注釋1 該活動與第 9.3 至 9.5 節(jié)相關(guān),這些章節(jié)提供額外支持的細(xì)節(jié)�。
注釋 2 在 a) “CVSS”和“ranking”部分�����,需涉及安全漏洞的嚴(yán)重度評級及其特征���。
簡單說就是解釋表明確了4.1.7需要的活動要按照標(biāo)準(zhǔn)9.3到9.5章節(jié)來進(jìn)行�,同時CVSS和ranking 部分應(yīng)需要增加漏洞的嚴(yán)重度評級和特征描述�����。
注釋:明確了提到的“安全指南”文檔在第 5.8.2 和 5.8.7 節(jié)中有詳細(xì)描述���。
簡單說就是解釋表明確了“SECURITY guidelines”需要按照5.8.2 和 5.8.7的要求來描述�����。不非原來標(biāo)準(zhǔn)那么籠統(tǒng)講要求有指南文件并按照ISO 13485的7.3來執(zhí)行���。
2. 關(guān)于IEC 81001-5-1 4.3的解釋
按照不同軟件項的分類:MAINTAINED���、SUPPORTED、REQUIRED 明確了所適用的標(biāo)準(zhǔn)條款所對應(yīng)的要求�����。原標(biāo)準(zhǔn)對于這一條的要求原本幾乎沒有細(xì)節(jié)要求�����,指要求參見ISO 13485的7.4來執(zhí)行���。
3. 關(guān)于IEC 81001-5-1 6.1的解釋
6.2.1 監(jiān)控公共事件報告
注意:為澄清�,本活動指的是“信息的審查”���,而不是對來源的審查�。
簡單來說對原標(biāo)準(zhǔn)本身relevant sources到執(zhí)行層面的確容易產(chǎn)生歧義。解釋表明確了指針對信息審查而非來源�。
所以,這個解釋表還是很具有實(shí)際的指導(dǎo)意義的�����, 大家在執(zhí)行M滿足法規(guī)對于網(wǎng)絡(luò)安全要求時如果參見了IEC 81001-5-1的話�,可以考慮引入這個最新的解釋表。
京公網(wǎng)安備11010802046783號