YY/T 1843-2022 英文版 醫(yī)用電氣設(shè)備網(wǎng)絡(luò)安全基本要求

YY/T 1843-2022 英文版?

?

1 *范圍
本文件規(guī)定了醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件的網(wǎng)絡(luò)安全基本要求。
本文件適用于有用戶訪問、電子數(shù)據(jù)交換或遠(yuǎn)程控制功能的醫(yī)用電氣設(shè)備、醫(yī)用電氣系統(tǒng)及醫(yī)療器械軟件。
2 規(guī)范性引用文件
本文件沒有規(guī)范性引用文件。
4.1.3.4 *網(wǎng)絡(luò)安全能力說明應(yīng)列明產(chǎn)品的軟件名稱和版本號(hào),這里包括了所有第三方和包含在產(chǎn)品中的開源軟件。
4.1.3.5 網(wǎng)絡(luò)安全能力說明應(yīng)指明產(chǎn)品中使用的不同配置或所支持的配置。
4.1.4 存儲(chǔ)保密性
網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)敏感數(shù)據(jù)的存儲(chǔ)保密性的陳述。
4.1.5 傳輸保密性
網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)傳輸保密性的陳述,尤其是對(duì)敏感數(shù)據(jù)的考量。
注1:需著重考慮當(dāng)設(shè)備在公用網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的敏感數(shù)據(jù)保密性策略。
注2:有關(guān)在無線網(wǎng)絡(luò)中傳輸保密性的更多信息,可參考IEC/T R80001-2-3:2012。
4.1.6 健康數(shù)據(jù)中的身份信息
網(wǎng)絡(luò)安全能力說明應(yīng)列出產(chǎn)品包含的個(gè)人敏感數(shù)據(jù)的類型,以及選取的個(gè)人敏感數(shù)據(jù)類型的依從性文件。
注1:關(guān)于可能的類型和內(nèi)容見附錄D或GB/T 35273-2020。
如適用,網(wǎng)絡(luò)安全能力說明應(yīng)包含數(shù)據(jù)導(dǎo)出時(shí)使個(gè)人敏感數(shù)據(jù)無法被識(shí)別的手段的陳述。
注2:更多細(xì)節(jié)可參考GB/T 37964-2019。
4.1.7 *用戶訪問控制
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品用戶訪問控制的陳述,這包括采用的用戶訪問控制措施以及這種控制措施的細(xì)節(jié)。
注:這包括了遠(yuǎn)程訪問,其中也包括了遠(yuǎn)程控制和用于維護(hù)的遠(yuǎn)程訪問。
4.1.8 用戶授權(quán)
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了用戶身份驗(yàn)證的陳述,若提供了這種手段,則應(yīng)陳述所有現(xiàn)有用戶身份及其訪問權(quán)限。
4.1.9 自動(dòng)注銷
網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)自動(dòng)注銷的陳述。
得性,制造商需要考慮這樣的場景下自動(dòng)注銷功能所帶來的風(fēng)險(xiǎn)。
4.1.10 緊急訪問
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否提供了緊急訪問的陳述,若提供了用于緊急訪問的功能,則應(yīng)陳述該功能的必要性,以及使用該功能的同時(shí)如何兼顧完整性。
4.1.11 傳輸完整性
網(wǎng)絡(luò)安全能力說明應(yīng)包含在傳輸過程中保證敏感數(shù)據(jù)完整性的策略的陳述。
注:該陳述可以包括對(duì)數(shù)據(jù)傳輸?shù)穆窂降囊蟆?br>4.1.12 節(jié)點(diǎn)認(rèn)證
適用時(shí),網(wǎng)絡(luò)安全能力說明應(yīng)包含節(jié)點(diǎn)認(rèn)證的陳述。
若設(shè)備部署在HDO,身份驗(yàn)證策略宜靈活適應(yīng)本地HDO信息技術(shù)網(wǎng)絡(luò)的安全策略。
若產(chǎn)品包含了多個(gè)節(jié)點(diǎn),且節(jié)點(diǎn)有可能被產(chǎn)品之外的其他節(jié)點(diǎn)接入,則應(yīng)考慮這種情況的節(jié)點(diǎn)
認(rèn)證。
4.1.13 惡意軟件探測(cè)與防護(hù)
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品是否支持惡意軟件探測(cè)與防護(hù)的陳述,這應(yīng)包括安全產(chǎn)品的配置方式,探測(cè)到惡意軟件時(shí)的處理和修復(fù)方式。
注:安全產(chǎn)品一般包括殺毒軟件、輔助安全軟件和防火墻等。
4.1.14 *系統(tǒng)與應(yīng)用軟件固化
制造商應(yīng)考慮產(chǎn)品的系統(tǒng)與應(yīng)用軟件固化,若需要實(shí)施固化,網(wǎng)絡(luò)安全能力說明應(yīng)包含系統(tǒng)與應(yīng)用軟件固化的措施的陳述,這樣的措施用于保證僅提供與預(yù)期用途相關(guān)的資源和服務(wù),并保證盡可能少的維護(hù)活動(dòng)。
4.1.15 物理防護(hù)
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品上的數(shù)據(jù)交換端口的物理防護(hù)的陳述。
若產(chǎn)品部署在HDO,網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)物理防護(hù)的陳述。
注:哪怕該物理設(shè)備的資產(chǎn)不屬于制造商,若存在相關(guān)的風(fēng)險(xiǎn),也需要進(jìn)行陳述。
4.1.16 抗抵賴性
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)抗抵賴性的陳述。
4.1.17 健康數(shù)據(jù)的完整性和真實(shí)性
網(wǎng)絡(luò)安全能力說明應(yīng)包含有關(guān)保證健康數(shù)據(jù)的完整性和真實(shí)性的陳述。
4.1.18 可核查性
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品有關(guān)可核查性內(nèi)容及其手段的陳述。
4.1.19 數(shù)據(jù)備份與災(zāi)難恢復(fù)
網(wǎng)絡(luò)安全能力說明應(yīng)包含產(chǎn)品進(jìn)行數(shù)據(jù)備份與災(zāi)難恢復(fù)策略的陳述。
注:其目標(biāo)是為了確保醫(yī)療業(yè)務(wù)持續(xù)進(jìn)行。利用第三方和操作系統(tǒng)的功能進(jìn)行數(shù)據(jù)備份在本文件中是被認(rèn)可的。
這包含了系統(tǒng)遭災(zāi)的恢復(fù)的考量。尤其是需要存檔健康數(shù)據(jù)的產(chǎn)品,需要考慮提供災(zāi)難恢復(fù)的策略。
若產(chǎn)品部署在HDO,用戶文檔集應(yīng)明確用戶的管理職能,尤其是IT管理員的責(zé)任。
4.2.9 物理防護(hù)
用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)產(chǎn)品物理防護(hù)的參考信息。
4.2.10 可核查性
用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供有關(guān)如何查看網(wǎng)絡(luò)安全事件記錄的指導(dǎo)。
4.2.11 數(shù)據(jù)備份與災(zāi)難恢復(fù)
用戶文檔集應(yīng)按照網(wǎng)絡(luò)安全能力說明的陳述提供產(chǎn)品數(shù)據(jù)備份與災(zāi)難恢復(fù)的必要的指導(dǎo)。
4.2.12 維護(hù)性
用戶文檔集應(yīng)包含在網(wǎng)絡(luò)安全能力說明中陳述的維護(hù)性相關(guān)內(nèi)容的指導(dǎo)。
用戶文檔集中應(yīng)陳述與產(chǎn)品維護(hù)計(jì)劃中和網(wǎng)絡(luò)安全有關(guān)的維護(hù)服務(wù)。
用戶文檔集應(yīng)包括在存儲(chǔ)設(shè)備退役之際保證敏感數(shù)據(jù)不可再被訪問的指導(dǎo)。
注:退役的情況可能有丟棄、重新使用、轉(zhuǎn)售或回收等。
4.3 網(wǎng)絡(luò)安全能力要求
4.3.1 保密性
4.3.1.1 產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明所陳述的保密性特征來實(shí)現(xiàn)。
4.3.1.2 產(chǎn)品應(yīng)提供該產(chǎn)品生成、存儲(chǔ)、使用或傳輸?shù)乃忻舾袛?shù)據(jù)的保密性手段。
4.3.2 健康數(shù)據(jù)中的身份信息
若產(chǎn)品可將個(gè)人敏感數(shù)據(jù)導(dǎo)出,產(chǎn)品應(yīng)提供使其無法識(shí)別患者身份的必要的信息的手段。
注1:這樣的手段可能包括匿名化、去標(biāo)識(shí)化等。
注2:使用制造商指定的第三方工具完成上述目標(biāo)也是可以接受的。
4.3.3 *用戶訪問控制
產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶訪問控制措施的陳述來實(shí)現(xiàn)。
若產(chǎn)品預(yù)置了供操作者使用的缺省用戶名和口令,應(yīng)提供這樣的手段,在操作者第一次訪問之后被要求修改用戶名或口令。
若產(chǎn)品部署在HDO,應(yīng)對(duì)設(shè)備、網(wǎng)絡(luò)資源和健康數(shù)據(jù)的訪問進(jìn)行控制。
注:在緊急訪問期間,這個(gè)要求是放寬的,見4.3.6。
若產(chǎn)品使用身份驗(yàn)證憑據(jù)的機(jī)制來進(jìn)行用戶訪問控制,則:
a) 產(chǎn)品提供的身份驗(yàn)證錯(cuò)誤消息不準(zhǔn)許枚舉有效憑據(jù)。
b) 產(chǎn)品應(yīng)滿足制造商規(guī)定的憑證復(fù)雜度、不成功嘗試的次數(shù)、更新頻率、強(qiáng)度或長度的要求。
c) 產(chǎn)品的默認(rèn)憑證應(yīng)可以被修改或替代。
4.3.4 用戶授權(quán)
產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明中有關(guān)用戶授權(quán)的陳述來實(shí)現(xiàn)。
若產(chǎn)品可以基于用戶角色進(jìn)行配置,則產(chǎn)品的網(wǎng)絡(luò)安全管理功能應(yīng)不能配置給臨床用戶這種角色。
產(chǎn)品的用戶角色分配宜按照最小授權(quán)的原則進(jìn)行分配。
注:如果產(chǎn)品未實(shí)現(xiàn)用戶訪問控制措施,在本文件中則認(rèn)為是授權(quán)給所有可以使用到產(chǎn)品的人。有些情況,如產(chǎn)品部署在設(shè)置了門禁的房間內(nèi),雖然被認(rèn)為是降低了未授權(quán)訪問的風(fēng)險(xiǎn),但這并不在本文件的評(píng)價(jià)范圍內(nèi)。
4.3.5 *自動(dòng)注銷
產(chǎn)品應(yīng)按照網(wǎng)絡(luò)安全能力說明和用戶文檔中有關(guān)自動(dòng)注銷的陳述來實(shí)現(xiàn)。
注1:自動(dòng)鎖定也可以被認(rèn)為是一種等同于自動(dòng)注銷的方式,但在解鎖時(shí)需要重新登錄。
對(duì)有用戶訪問控制的產(chǎn)品應(yīng)實(shí)施閑置超時(shí)或其他適當(dāng)?shù)臋C(jī)制,以防止永久授權(quán)。閑置超時(shí)的間隔可由用戶配置,或可基于產(chǎn)品對(duì)事件或動(dòng)作的響應(yīng)類型進(jìn)行配置。
注2:這樣的配置可能包括了自動(dòng)注銷禁用、自動(dòng)注銷時(shí)間設(shè)置等。
產(chǎn)品宜不能使用戶因自動(dòng)鎖定而丟失未提交的臨床業(yè)務(wù)。
除非有臨床需要,否則產(chǎn)品應(yīng)不能在自動(dòng)注銷后的界面顯示健康數(shù)據(jù)或患者信息。
4.3.6 *緊急訪問
產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)緊急訪問的陳述。
如適用,在緊急情況下,應(yīng)提供可以訪問健康數(shù)據(jù)的手段。緊急訪問的行為應(yīng)被記錄并可供核查。
4.3.7 傳輸完整性
產(chǎn)品應(yīng)符合網(wǎng)絡(luò)安全能力說明中有關(guān)傳輸完整性的陳述。
5 試驗(yàn)方法
5.1 通過查驗(yàn)產(chǎn)品網(wǎng)絡(luò)安全能力說明來驗(yàn)證是否符合4.1的要求。
5.2 通過查驗(yàn)用戶文檔集來驗(yàn)證是否符合4.2的要求。
5.3 通過進(jìn)行滿足附錄A要求的網(wǎng)絡(luò)安全能力測(cè)試過程的測(cè)試,來驗(yàn)證產(chǎn)品是否符合4.3中陳述的要求的符合性。