ICS11.040.99

C30

團體標準

T/CSBME007—2019

醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法

QualityEvaluationMethodofCybersecurityinMedicalDevices

2019-11-15發(fā)布2019-12-15實施

中國生物醫(yī)學(xué)工程學(xué)會發(fā)布

目??次

前??言...............................................................................................................................................................II

引??言.............................................................................................................................................................III

1范圍...................................................................................................................................................................1

2規(guī)范性引用文件...............................................................................................................................................1

3術(shù)語和定義.......................................................................................................................................................1

3.1制造商manufacturer............................................................................................................................1

3.2隨附文件accompanyingdocuments....................................................................................................1

3.3外部接口EXTERNALINTERFACE............................................................................................................1

3.4訪問控制accesscontrol..................................................................................................................1

3.5可核查性Accountability..................................................................................................................1

3.6鑒別authentication..........................................................................................................................2

3.7授權(quán)authorization............................................................................................................................2

3.8保密性confidentiality....................................................................................................................2

3.9數(shù)據(jù)交換datainterchange..............................................................................................................2

3.10加密encryption................................................................................................................................2

3.11防火墻firewall................................................................................................................................2

3.12運行環(huán)境operationalenvironment..............................................................................................2

3.13口令password....................................................................................................................................2

3.14權(quán)限permission................................................................................................................................2

4技術(shù)要求...........................................................................................................................................................2

4.1隨附文件應(yīng)包含以下要求：...............................................................................................................2

4.2產(chǎn)品設(shè)計要求.......................................................................................................................................3

4.3產(chǎn)品功能要求.......................................................................................................................................3

4.3.1訪問控制應(yīng)包含以下要求：..............................................................................................................3

5符合性評價細則...............................................................................................................................................4

5.1隨附文件符合性評價...........................................................................................................................4

5.2產(chǎn)品設(shè)計要求符合性評價...................................................................................................................4

5.3產(chǎn)品功能要求符合性評價...................................................................................................................4

參?考?文?獻.....................................................................................................................................................5

I

醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法

1范圍

本標準規(guī)定了醫(yī)療器械產(chǎn)品進行網(wǎng)絡(luò)安全評價時的技術(shù)要求和試驗方法。

本標準適用于同外部有數(shù)據(jù)交換功能的有源醫(yī)療器械產(chǎn)品，此類產(chǎn)品一般是指獨立醫(yī)療器械軟件

和包含醫(yī)療器械軟件組件的醫(yī)療器械。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本

文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25000.10-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第10部分：系統(tǒng)與

軟件質(zhì)量模型

GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分：就緒用

軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則

GB/T29246-2012信息安全技術(shù)信息安全管理體系概述和詞匯

YY/T0316-2016醫(yī)療器械風險管理對醫(yī)療器械的應(yīng)用

3術(shù)語和定義

3.1制造商manufacturer

在上市和/或投入服務(wù)前。對醫(yī)療器械的設(shè)計、制造、包裝或作標記、系統(tǒng)的裝配或者改裝醫(yī)療器

械負有責任地自然人或法人，不管上述工作是由他自己或由第三方代其完成。

[YY/T0316-2016，定義2.8]

3.2隨附文件accompanyingdocuments

隨同醫(yī)療器械的，為醫(yī)療器械安裝、使用和維護的責任方提供信息以及為操作者或使用者提供信

息，特別是關(guān)于安全信息的文件

[YY/T0316-2016，定義2.1隨附文件]

3.3外部接口EXTERNALINTERFACE

預(yù)期設(shè)計成允許醫(yī)療器械本身之外的實體訪問的接口，舉例來說，用戶接口、遠程接口、本地接

口、無線接口和文件導(dǎo)入

[UL2900-1,定義3.17]

3.4訪問控制accesscontrol

確保對醫(yī)療器械產(chǎn)品的訪問是基于業(yè)務(wù)和安全要求進行授權(quán)和限制的手段

[GB/T29246—2017，定義2.1，做了修改，范圍限定]

3.5可核查性Accountability

確保可從一個實體的行為唯一地追溯到該實體的特性。

[ISO/IEC21827:2008，定義3.1]

1

3.6鑒別authentication

為一個實體聲稱的特征是正確的而提供的保障措施。

[GB/T29246—2017，定義2.7]

3.7授權(quán)authorization

根據(jù)預(yù)先認可的安全策略，賦與主體可實施相應(yīng)行為權(quán)限的過程。

[GB/T25069—2010，定義2.1.33，做了修改]

3.8保密性confidentiality

信息不能對未授權(quán)的個人、實體或過程可用或泄露的特性。

[GB/T29246—2017，定義2.12]

3.9數(shù)據(jù)交換datainterchange

為滿足不同平臺或應(yīng)用間數(shù)據(jù)資源的傳送和處理需要，依據(jù)一定的原則，采取相應(yīng)的技術(shù)，實現(xiàn)

不同平臺和應(yīng)用間數(shù)據(jù)資源的流動過程。

[GB/T35274—2017，定義3.11]

3.10加密encryption

通過一種密碼算法產(chǎn)生密文的（可逆的）數(shù)據(jù)轉(zhuǎn)換，即隱藏數(shù)據(jù)的信息內(nèi)容。

[ISO/IEC10116:2017，定義3.6]

3.11防火墻firewall

設(shè)置在網(wǎng)絡(luò)環(huán)境之間的一種安全屏障。它由一臺專用設(shè)備或若干組件和技術(shù)的組合組成。從一個

網(wǎng)絡(luò)環(huán)境到另一個網(wǎng)絡(luò)環(huán)境的，以及反向的，所有通信流均通過此安全屏障，只有按照本地安全策略

定義的、已授權(quán)的通信流才允許通過。

[ISO/IEC27033-1:2015，定義3.12]

3.12運行環(huán)境operationalenvironment

由操作系統(tǒng)和硬件平臺組成的、模塊安全運行所需的所有軟硬件的集合。

[ISO/IEC19790:2015，定義3.83]

3.13口令password

用于實體鑒別的秘密的字、短語、數(shù)字或字符序列，是一個被默記的弱秘密。

[ISO/IEC11770-4:2017，定義3.27]

3.14權(quán)限permission

對一個主體訪問某一資源的授權(quán)。

[ISO/IEC29146:2016，定義3.8]

4技術(shù)要求

4.1隨附文件應(yīng)包含以下要求：

a)隨附文件應(yīng)包含產(chǎn)品所有功能描述，尤其是與安全相關(guān)管理功能的描述；

2

b)隨附文件應(yīng)明確所有與數(shù)據(jù)交換相關(guān)的物理接口和邏輯接口（遠程接口、串口、無線接口和文

件傳輸協(xié)議）；

c)隨附文件應(yīng)明確數(shù)據(jù)的存儲格式；

d)若適用，隨附文件應(yīng)明確產(chǎn)品安裝以及運行過程中與安全相關(guān)的運行環(huán)境配置的要求（殺毒軟

件、防火墻、操作系統(tǒng)更新補?。?；

e)若適用，隨附文件應(yīng)明確產(chǎn)品應(yīng)明確所有軟件組件的名稱

f)隨附文件應(yīng)明確軟件版本；

g)隨附文件應(yīng)明確與安全相關(guān)的并被產(chǎn)品的日志功能記錄的事件；

h)若適用，隨附文件應(yīng)明確產(chǎn)品的版權(quán)控制或認證方法；

i)隨附文件應(yīng)對用戶管理的每一項數(shù)據(jù)所對應(yīng)的軟件信息安全級別給出的必要的信息。

4.2產(chǎn)品設(shè)計要求

4.2.1配置管理應(yīng)包含以下要求：

a）制造商在產(chǎn)品的生存周期過程中，需求文檔、設(shè)計文檔、測試文檔、用戶文檔等應(yīng)置于配置管

理之下，產(chǎn)品開發(fā)工具應(yīng)在配置管理范圍內(nèi)；

b)產(chǎn)品的生存周期過程中，制造商應(yīng)有一個配置管理系統(tǒng)保持對改變代碼安全和變更的控制。

4.2.2產(chǎn)品開發(fā)應(yīng)包含以下要求：

a)制造商在產(chǎn)品設(shè)計研發(fā)過程中，應(yīng)保證數(shù)據(jù)的完整性。例如，檢查數(shù)據(jù)更新的規(guī)則、多重輸入

的正確處理、返回狀態(tài)的檢查、中間結(jié)果的檢查、異常值輸入檢查、處理更新的正確性檢查等；

b)內(nèi)部代碼檢查時，應(yīng)解決潛在的安全缺陷，關(guān)閉和取消所有后門；

c)產(chǎn)品的數(shù)據(jù)如口令和秘鑰不應(yīng)以明文形式存儲。

4.3產(chǎn)品功能要求

4.3.1訪問控制應(yīng)包含以下要求：

a)當產(chǎn)品的操作或管理服務(wù)會影響到產(chǎn)品安全時，需要做用戶身份驗證和授權(quán)；

b)產(chǎn)品的用戶身份驗證服務(wù)應(yīng)當有會話機制或其他機制來阻止持續(xù)的驗證，并且會話應(yīng)當是可配

置的；

c)通過外部接口或無線進行服務(wù)訪問時，訪問之前需要進行身份驗證；

d)產(chǎn)品應(yīng)該支持用戶名和口令的長度、復(fù)雜度和更新頻率的等設(shè)置；

e)產(chǎn)品基于角色訪問控制機制,產(chǎn)品應(yīng)具備管理員權(quán)限的角色，此類權(quán)限不能賦予其他用戶；

f)產(chǎn)品應(yīng)具備管理用戶功能：通過對用戶的增刪改查，賦予和修改權(quán)限；

g)軟件應(yīng)能防止對程序和數(shù)據(jù)的未授權(quán)訪問（不管是無意的還是有意的）；

h)軟件應(yīng)能識別出對結(jié)構(gòu)數(shù)據(jù)庫或文件完整性產(chǎn)生損害的事件，且能阻止該事件，并通報給授權(quán)

用戶；

i)軟件應(yīng)能對保密數(shù)據(jù)進行保護，只允許授權(quán)用戶訪問。

4.3.2可核查性應(yīng)包含以下要求：

a)產(chǎn)品應(yīng)具備安全事件的日志功能，如登錄成功與失敗、用戶認證的改變、有效用戶的改變和軟

件更新成功與否等；

b)產(chǎn)品的安全相關(guān)日志應(yīng)存儲在本地磁盤，并且非授權(quán)用戶不能刪除和更改。

4.3.3產(chǎn)品升級應(yīng)包含以下要求：

3

a)產(chǎn)品在設(shè)計和實施過程中應(yīng)能保證軟件可以正常升級，如果軟件升級失敗，應(yīng)能回滾到之前的

版本；

b)產(chǎn)品在安裝軟件更新之前，應(yīng)能確認任何軟件加密更新的可靠性和完整性，產(chǎn)品更新應(yīng)該離線

環(huán)境下進行，離線產(chǎn)品更新模式也應(yīng)能支持可靠性和完整性的確認；

c)產(chǎn)品初始化過程中，產(chǎn)品應(yīng)提示用戶對系統(tǒng)默認設(shè)置的修改，比如初始密碼的更改。

4.3.4接口可靠性

產(chǎn)品應(yīng)保證經(jīng)接口傳輸數(shù)據(jù)的保密性和完整性。

5符合性評價細則

5.1隨附文件符合性評價

實際檢查隨附文件，明確相關(guān)內(nèi)容，驗證其符合性。

5.2產(chǎn)品設(shè)計要求符合性評價

5.2.1配置管理

檢查配置管理相關(guān)文件，驗證其符合性。

5.2.2產(chǎn)品開發(fā)

檢查產(chǎn)品研發(fā)相關(guān)文件，驗證其符合性。

5.3產(chǎn)品功能要求符合性評價

5.3.1訪問控制

實際操作產(chǎn)品功能，驗證其符合性。

5.3.2可核查性

實際操作查看產(chǎn)品日志，驗證其符合性。

5.3.3產(chǎn)品升級

進行產(chǎn)品升級和更新安裝，驗證其符合性。

5.3.4接口可靠性

使用漏洞掃描工具，驗證接口的可靠性。

4

參?考?文?獻

[1]《醫(yī)療器械軟件注冊技術(shù)審查指導(dǎo)原則》（原國家食品藥品監(jiān)督管理總局2015年第50號通

告）

[2]《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》（原國家食品藥品監(jiān)督管理總局2017年第13

號通告）

[3]《中華人民共和國計算機信息系統(tǒng)安全保護條例》（中華人民共和國國務(wù)院令第147號）

[4]中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（中網(wǎng)辦發(fā)文〔2017〕

4號）

[5]《醫(yī)療器械網(wǎng)絡(luò)安全審查指導(dǎo)原則實施指南》（北京市藥品監(jiān)督管理局）

_________________________________

5

中國生物醫(yī)學(xué)工程學(xué)會團體標準

《醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法》（征求意見稿）

編制說明

一、工作簡況

1、任務(wù)來源

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡(luò)連接功能以

進行電子數(shù)據(jù)交換或遠程控制，在提高醫(yī)療服務(wù)質(zhì)量與效率的同時也

面臨著網(wǎng)絡(luò)攻擊的威脅。醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問題不僅可能會侵犯

患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運行的風險，導(dǎo)致患者或

使用者受到傷害或死亡。因此，醫(yī)療器械網(wǎng)絡(luò)安全是醫(yī)療器械安全性

和有效性的重要組成部分之一。2018年1月，國家藥品監(jiān)督管理局發(fā)

布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，其中規(guī)定了醫(yī)療

器械網(wǎng)絡(luò)安全的相關(guān)要求。此外，如GB/T35273-2017《信息安全技術(shù)

個人信息安全規(guī)范》圍繞個人信息安全針對個人信息控制者提出了更

為詳盡的要求、GB/T25000.51-2016《系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)

量要求和評價（SQuaRE）第51部分：就緒可用軟件產(chǎn)品（RUSP）的

質(zhì)量要求和測試細則》中規(guī)范了的信息安全性要求。IEC/TR80001-2-2

《包含醫(yī)療設(shè)備的IT網(wǎng)絡(luò)的風險管理應(yīng)用》中規(guī)范了十九項網(wǎng)絡(luò)安全

能力，以及美國UL-2900網(wǎng)絡(luò)安全系列標準等。

根據(jù)“中國生物醫(yī)學(xué)工程學(xué)會團體標準項目征集計劃”任務(wù)，中

國食品藥品檢定研究院于2017年1月11日向?qū)W會醫(yī)療器械標準工作

委員會正式提出“醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)評價規(guī)范”團體標準項目的

申報。2017年6月11日，中國生物醫(yī)學(xué)工程學(xué)會醫(yī)療器械標準工作

委員會第三次委員擴大會議上，對本標準申請項目進行了立項評審，

批準“醫(yī)療器械網(wǎng)絡(luò)安全質(zhì)量評價方法”團標申請項目予以立項。項

目獲得批準后，項目申報