• 关键字:

YY/T 1843-2022 医用电气设备网络安全基本要求.pdf

  • YY/T 1843-2022 医用电气设备网络安全基本要求.pdf为pdf格式
  • 文件大小:9.4 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-09-25
  • 发 布 人: 13648167612
  • 文档部分内容预览:

  • YY/T 1843-2022  医用电气设备网络安全基本要求

    4.1.2.1接预期接入的网络的类型可分为预期接入专用网络、公共网络的产品,

    4.1.2.2按预期接入网络的域可以分为预期接人个域网、局域网、广域网的产品。 4.1.2.3按连接类型可分为预期与其他信息设备单独进行有线、无线连接的产品。 注:其中有线连接可能包括了:USB、RS232等方式,无线连接可能包括了wifi通讯、蓝牙通讯、私有频段的私有协 议的无线通讯等方式。 4.1.2.4按数据交换过程中的数据传输方向可以分为单向传输、双向传输。 4.1.2.5按使用场景可分为医疗场景和非医疗场景。 计市原品可

    按预期接人网络的域可以分为预期接人个域网、局域网、广域网的产品。 按连接类型可分为预期与其他信息设备单独进行有线、无线连接的产品。 其中有线连接可能包括了:USB、RS232等方式,无线连接可能包括了wifi通讯、蓝牙通讯、私有频段的私有协 议的无线通讯等方式。 按数据交换过程中的数据传输方向可以分为单向传输、双向传输。 按使用场景可分为医疗场景和非医疗场景。 其中医疗场景可能包括了治疗、诊断或监护等场景,非医疗场景可能包括了维护场景等。

    航空标准4.1.2.3按连接类型可分为预期与其他信息设备单独进行有线、无线连接的产品。

    4.1.3产品特征描述

    .1.3.3 网络安全能力说明应提供产品在其预期配置 a) 所有远程接口; b) 所有本地接口、产品本地内部接口; 注:内部接口指的是ME系统中各部件之间的接口。 c 所有无线接口; d) 所有外部文件的输人接口; e 每个接口支持的所有通信协议及其用途。 4.1.3.4·网络安全能力说明应列明产品的软件名称和版本号,这里包括了所有第三方和包含在产品 中的开源软件。

    注1:这里指的配置是软件、硬件配置,如: 操作系统、系统软件或其他支持软件; 处理器及其规模、主内存及其规模、输人输出设备; 一网络环境。 注2:针对不同的需求,可以规定不同的配置。 但是制造商需识别不同的操作系统所带来的网络安全风险

    安全能力说明应包含有关敏感数据的存储保密性

    网络安全能力说明应包含有关传输保密性的陈述,尤其是对敏感数据的考量

    YY/T1843—2022

    主1:而有重 合性策略 注2:有关在无线图

    4.1.6健康数据中的身份信息

    网络安全能力说明应列出产品包含的个人敏感数据的类型,以及选取的个人敏感数据类型的依从 性文件。 注1:关于可能的类型和内容见附录D或GB/T35273—2020。 如适用,网络安全能力说明应包含数据导出时使个人敏感数据无法被识别的手段的陈述。 注2:更多细节可参考GB/T37964—2019

    网络安全能力说明应列出产品包含的个人敏感数据的类型,以及选取的个人敏感数据类型的依, 件。 注1:关于可能的类型和内容见附录D或GB/T35273一2020。 如适用,网络安全能力说明应包含数据导出时使个人敏感数据无法被识别的手段的陈述。 注2:更多细节可参考GB/T37964—2019

    4.1.7*用户访问控制

    网络安全能力说明应包含产品用户访问控制的陈述,这包括采用的用户访问控制措施以及这种控 制措施的细节。 注:这包括了远程访间,其中也包括了远程控制和用于维护的远程访问

    网络安全能力说明应包含产品是否提供了用户身份验证的陈述,若提供了这种手段,则应陈述所有 现有用户身份及其访问权限。

    网络安全能力说明应包含有关自动注销的陈述。 注:若产品部署于医疗服务提供组织(HealthcareDeliveryOrganization;HDO),某些场景自动注销功能会影响可 得性,制造商需要考虑这样的场景下自动注销功能所带来的风险。

    网络安全能力说目 提供了用于紧急访问的功能,则应陈 元整件仕

    4.1.11传输完整性

    网络安全能力说明应包含在传输过程中保证敏感数据完整性的策略的陈述。 主:该陈述可以包括对数据传输的路径的要求。

    力说明应包含在传输过程中保证敏感数据完整性 以包括对数据传输的路径的要求,

    适用时,网络安全能力说明应包含节点认证的陈述。 若设备部署在HDO,身份验证策略宜灵活适应本地HDO信息技术网络的安全策略。 若产品包含了多个节点,且节点有可能被产品之外的其他节点接入,则应考虑这种情况的节点 认证。 注:节点认证的方式一般包括了白名单、用户名/口令、证书等。

    4.1.13恶意软件探测与防护

    网络安全能力说明应包含产品是否支持恶意软件探测, 与防护的陈还,这应包括安全产品的配直 案测到恶意软件时的处理和修复方式。 注:安全产品一般包括杀毒软件、辅助安全软件和防火墙等。

    4.1.14系统与应用软件固化

    制造商应考虑产品的系统与应用软件固化,若需要实施固化,网络安全能力说明应包含系统与应用 软件固化的措施的陈述,这样的措施用于保证仅提供与预期用途相关的资源和服务,并保证尽可能少的 维护活动。 注:这样的措施的举例: 一关闭/禁用与产品预期用途无关的访问端口; 一关闭/禁用与产品预期用途无关的服务; 一关闭/禁用与产品预期用途无关的应用软件; 一限制/控制资源层的访间; 限制/控制任务层的访间。

    网络安全能力说明应包含产品上的数据交换端口的物理防护的陈述。 若产品部署在HDO,网络安全能力说明应包含产品有关物理防护的陈述 注:哪怕该物理设备的资产不属于制造商,若存在相关的风险,也需要进行陈述。

    网络安全能力说明应包含产品有关抗抵赖性的陈述。

    4.1.17健康数据的完整性和真实性

    网络安全能力说明应包含有关保证

    4.1.18 可核查性

    络安全能力说明应包含产品有关可核查性内容及其手段的陈述。 :对于这样的内容的举例: 成功或失败的登录尝试: 健康数据的访问、修改和删除; 健康数据的导人、导出; 安全配置的更改(如,更改用户身份验证的凭据、更改有效的用户账户列表); 远程访问(可能是用于产品维护或实现预期用途); 紧急访间。

    4.1.19数据备份与灾难恢复

    网络安全能力说明应包含产品进行数据备份与灾难恢复策略的陈述。 注:其目标是为了确保医疗业务持续进行。利用第三方和操作系统的功能进行数据备份在本文件中是被认可的。 这包含了系统遭灾的恢复的考量。尤其是需要

    4.1.20.1网络安全能力说明中应包含与产品维护计划中与网络安全有关的维护内容,并明确网络安全 维护的责任方。

    4.1.20.2*第三方组件

    若产品中包含了第三方组件,应在网络安全能力说明中列出第三方组件的信息。

    是标识、来源及版本号等

    4.1.20.3产品的网络安全升级

    网络安全能力说明应包含产品的网络安全开级的陈述 主:这样的升级可能包括安全补丁文件的安装、安全产品的升级

    4.2用户文档集的要求

    4.2.1.1用户文档集应体现其唯一的文档标识。

    4.2.1.1用户文档集应体现其唯一的文档标识。 4.2.1.2用户文档集应能识别对应产品的标识。 4.2.1.3用户文档集中陈述的网络安全特性应是可测试或可验证的。 4.2.1.4J 用户文档集应包含产品预期用途及其配置的安全注意事项的陈述。 4.2.1.5月 用户文档集应包含产品预期使用场景(见4.1.2)的陈述。 4.2.1.6用户文档集应包含网络安全相关的产品配置和产品部署环境的要求或建议的陈述。

    若产品部署在HDO,用户文档集应明确用户的管理职能,尤其是IT管理员的责任。 主1:考虑到IT管理员的职能的独立性,推荐发布单独的管理员手册,以便仅能由管理员对其保管和查看。 主2:关于“职能”,必要时,明确的指出管理员需要完成那些工作,如管理、定制和监视系统的信息(如访间控制列 表、审计日志等),且需要让管理员清楚地了解与安全相关的功能。 3.即便IT管理员是由供应商/制造商派遣,这样的责任也要明确

    4.2.3健康数据中的身份信息

    4.2.4用户访问控制

    用户文档集应包含有关用户访问控制的功能的指导。

    用户文档集应陈述所有现有角色及其访问权限。

    用户文档集应陈述紧急状态下访问必要的产品功能或健康数据的指导。

    若安全产品可由用户安装,则用户文档集应陈述产品所兼容的安全产品,并应提供安全产品的配置 指导

    用户文档集应按照网络安全能力说明的陈述提供有关产品物理防护的参考信息。

    4.2.11数据备份与灾难恢复

    YY/T1843—2022

    用户文档集应按照网络安全能力说明的陈述提供产品数据备份与灾难恢复的必要的指

    用户文档集应包含在网络安全能力说明中陈述的维护性相关内容的指导。 用户文档集中应陈述与产品维护计划中和网络安全有关的维护服务。 用户文档集应包括在存储设备退役之际保证敏感数据不可再被访问的指导。 注:退役的情况可能有丢弃重新使用、转售或回收等,

    4.3网络安全能力要求

    4.3.1.1产品应按照网络安全能力说明所陈述的保密性特征来实现。 4.3.1.2产品应提供该产品生成、存储、使用或传输的所有敏感数据的保密性手

    4.3.1.1产品应按照网络安全能力说明所陈述的保密性特征来实现。

    4.3.2健康数据中的身份信息

    若产品可将个人敏感数据导出,产品应提供使其无法识别患者身份的必要的信息的手段。 注1:这样的手段可能包括置名化、去标识化等。 注2:使用制造商指定的第三方工具完成上述目标也是可以接受的,

    4.3.3*用户访问控制

    产品应按照网络安全能力说明中有关用户访问控制措施的陈述来实现。 若产品预置了供操作者使用的缺省用户名和口令,应提供这样的手段,在操作者第一次访问之后被 要求修改用户名或口令。 若产品部署在HDO,应对设备、网络资源和健康数据的访问进行控制。 注:在紧急访间期间,这个要求是放宽的,见4.3.6。 若产品使用身份验证凭据的机制来进行用户访问控制,则: a)产品提供的身份验证错误消息不准许枚举有效凭据。 b)产品应满足制造商规定的凭证复杂度、不成功尝试的次数、更新频率、强度或长度的要求。 c)产品的默认凭证应可以被修改或替代。

    产品应按照网络安全能力说明中有关用户授权的陈述来实现。 若产品可以基于用户角色进行配置,则产品的网络安全管理功能应不能配置给临床用户这种角色。 产品的用户角色分配宜按照最小授权的原则进行分配。 注:如果产品未实现用户访间控制措施,在本文件中则认为是授权给所有可以使用到产品的人。有些情况,如产品 部署在设置了门禁的房间内,虽然被认为是降低 回的风险,但这并不在本文件的评价范围内。

    产品应按照网络安全能力说明和用户文档中有关自动注销的陈述来实现

    重新登求 对有用户访问控制的产品应实施闲置超时或其他适当的机制,以防止永久授权。闲置超时的间隔 可由用户配置,或可基于产品对事件或动作的响应类型进行配置。 注2:这样的配置可能包括了自动注销禁用、自动注销时间设置等。 产品宜不能使用户因自动锁定而丢失未提交的临床业务。 除非有临床需要,否则产品应不能在自动注销后的界面显示健康数据或患者信息

    产品应符合网络安全能力说明中有 天系急访问的陈还 如适用,在紧急情况下,应提供可以访问 据的手段。紧急访问的行为应被记录并可供核查

    产品应符合网络安全能力说明中有关传输完整性

    产品应符合网络安全能力说明中有关节点认证的陈述。 如适用,产品应支持通过添加、删除和/或挂起需要认证的节点名称,或添加、撤消或更新身份验证 凭据来管理有效的节点。

    4.3.9恶意软件探测与防护

    产品应符合网络安全能力说明中有关恶意软件探测与防护的陈述。 应保证在用户文档集中陈述的安全软件与产品的兼容性。 产品的最终交付物应不存在已知恶意软件

    4.3.10系统与应用软件固化

    金品应按照网络 环实现 产品的最终交付物应不存在网络安 的已知漏洞

    应按照网络安全能力说明中有关抗抵赖性的陈达

    4.3.13健康数据的完整性和真实性

    产品应按照网络安全能力说明中有关健康数据的完整性和真实性的陈述进行实现

    产品应按照网络安全能力说明中有关可核查性的陈述实现。 产品应能够通过在设备上创建审计日志来记录和检查用户的行为,审计日志应能明确的道踪到访 问网络、设备或资源的用户。 审计日志应仅由授权用户访问,且应不能被编辑或非授权的删除。制造商应制定审计日志存储策 略,以保证审计日志不会非预期的丢失。

    但不限于日期、时间、用户身份标识、事件。 注2:在紧急访间期间,这个要求是被放宽的,见4.3.6.

    4.3.15数据备份与灾难恢复

    产品应按照网络安全能力说明中有关数据备份与灾难恢复的陈述进行实现。 适用时,应提供一种手段确保在系统故障或遭受损害后可以恢复存储在产品上的持久性系统设置 和健康数据。

    网络安全能力说明和用户文档集中有关维护性的

    5.1通过查验产品网络安全能力说明来验证是否符合4.1的要求。 5.2通过查验用户文档集来验证是否符合4.2的要求。 5.3通过进行满足附录A要求的网络安全能力测试过程的测试,来验证产品是否符合4.3 求的符合性。

    过查验产品网络安全能力说明来验证是否符合4.1的要求。 过查验用户文档集来验证是否符合4.2的要求。 过进行满足附录A要求的网络安全能力测试过程的测试,来验证产品是否符合4.3中陈述的要 性。

    按照此测试过程进行网络安全测试的目的是有效证实产品是否符合4.3的要求。基于此测试过程 的文档一般应包含测试计划、测试说明和测试结果(报告),但本文件并不对具体有哪些文档做出规定。 这些文档不应与产品矛盾,如果有多个文档构成,那么每个文档之间也不应自相矛盾。

    则试过程中通常包含以下文档:测试计划、测试说明和测试结果(报告)。 注:本文件不对都有哪些测试文档进行要求

    星中通常包含以下文档:测试计划、测试说明和测 件不对都有哪些测试文档进行要求。

    要求通常包括了以下内容,但也可以由测试者自

    A.3.1通过/失败准则

    测试计划应指明用于判定测试结果是否证实软件与网络安全能力说明和用户文档集的符合

    测试计划应规定每个测试活动和测试里程碑的进度。

    测试计划应识别、更新并记录测试活动

    测试计划应识别、更新并记录测试活

    测试计划中应明确每个测试活动所需的人力资源情况。

    L3.6工具和环境资源

    A.3.6.1测试计划中应明确执行测试活动所需的工具。 A.3.6.2如果使用特殊的工具和环境,测试计划中应说明选择这些工具和环境的原因以 结果。

    对每个测试用例的说明可包括:

    对每个测试用例的说明可包括! 12

    a)测试自标; b)唯一性标识符; c)测试的输人数据和测试边界; d)实施步骤; e)系统的预期行为; f)测试用例的预期输出; g)结果解释的准则; h)用于判定测试用例的肯定或否定结果的准则。 编制的测试用例应基于一定的测试规程来进行测试。 注:本文件不会提供测试用例的模板基坑支护标准规范范本,也不会对测试用例的模板进行要求,但GB/T15532一2008提供模板的 参考。

    A.4.2.1测试规程可包括

    a)测试准备; b)开始和执行测试所必需的动作; 1 记录测试结果所必需的动作; d) 停止和最终重新启动测试的条件和动作。 A.4.2.2为提供测试的可重复性和可再现性,测试规程应足够详细。 A.4.2.3在产品被纠正后应有一种重新测试的规程

    5.3对于每个测试用例,执行报告均应包括以下内容: a)测试用例的标识符; 测试执行日期; C 实施测试的人员姓名和职责; d 测试用例执行的结果。 注:对于发现的异常或不符合项,需考虑编写异常情况报告给相关利益方。本文件虽然不对异常报告的格式和全 部内容进行要求,但若编写异常报告,异常报告需具有可追溯性

    A.6.1本文件未推荐特定的技术或方法。 A.6.2在网络安全能力说明和4.3中提及的所有网络安全能力均应经测试用例测试。 A.6.3 适用时,在网络安全能力说明和4.3中提及的每个网络安全能力至少应经一个测试用例测试。 A.6.4 测试用例应能证实产品与用户文档集中的陈述的符合性。 A.6.5 当网络安全能力说明中引用了任何需求文档时,所涉及的内容应经测试用例测试。 A.6.6 若产品实施了系统与应用软件固化,则所有的固化措施都应经过测试用例的测试。

    YY/T1843—2022

    附录B (资料性) 本文件与其他文件的关联

    附录C (资料性) 特定条款的指南和原理说明

    电动汽车标准规范范本C.2特定条款的指南或原理说明

    ....
  • 相关专题:

相关下载

相关推荐

快速入口  

下载排行

常用软件