T/ZMDS 20003-2024 医疗器械网络安全风险控制 医疗器械网络安全能力信息.pdf

ZMDS

中关村医疗器械产业技术创新联盟团体标准

T/ZMDS20003-2024

医疗器械网络安全风险控制医疗器械网络 安全能力信息

Medical device security risk control

- information of medical device security capabilities

中关村医疗器械产业技术创新联盟 发布

目次

前 言 III引 言 AI2术语和定义， 1范围.2.1网络安全能力Security Capability2.2个人信息管理（Management of Personally Identifiable Information MPII)2.3 自动注销（Automatic Logoff -ALOF)2.4审计控制（Audit Controls-AUDT) 2.5 授权 Authorization -AUTH)2.6 网络安全产品升级（Cyber Security Product Upgrades - CSUP) 22.7 健康数据身份信息去除（Health Data De-Identification- DIDT) 22.8 数据备份与灾难恢复（Data Backup And Disaster Recovery -DTBK) 22.10数据完整性与真实性（Health Data Integrity and Authenticity 2.9 紧急访间（Emergency Access - EMRG)... IGAU) 22.11 恶意软件探测与防护（Malware Detection/Protection-MLDP) 22.12网络节点鉴别(Node Authentication -NAUT) 22.13连通性（Connectivity Capabilities -CONN) 2.14人员鉴别（Person Authentication-PAUT) 22.15 物理锁（Physical Locks -PL0K) 22. 16 第三方组件维护 (Roadmap for Third Party Components in Device Life Cycle - RDMP). 32.18系统与应用软件加固（System and Aplication Hardening - SAHD) 2.17 现成软件清单（Software Billof Materials -SBoM) f2.19 网络安全指导（Security Guidance -SGUD) 32.20 健康数据存储保密性（Health Data Storage Confidentiality -STCF)2.21 传输保密性（Transmission Confidentiality-TXCF) 32.22 传输完整性（Transmission Integrity-TXIG) 32.23远程服务（Remote Service-RMOT) 2.24 贵任方 Responsible Organization f 32.25 医疗器械独立软件 Software as a Medical Device(SaMD) 33医疗器械制造商信息披露要求3.1总则. 3.2产品描述信息，3.3网络安全能力披露.3.3.1个人信息管理MPII 43.3.3审计控制AUDT 3.3.2自动注销ALOF 53.3.4授权AUTH. 5 63.3.5网络安全升级CSUP 73.3.6健康数据身份信息去除DIDT 8

T/ZMDS 20003-2024

3.3.7数据备份与灾难恢复DTBK.3.3.8紧急访间EMRG.. 63.3.9数据完整性与真实性IGAU 3.3.10恶意软件探测与防护MLDP. 9 93.3.11网络节点鉴别NAUT 103.3.12连通性CONN. 103.3.13人员鉴别PAUT. 113.3.14物理锁PL0K. 3.3.15第三方组件维护RDMP 11 113.3.16现成软件清单SBoM.. 123.3.17系统与应用加固能力SAHD. 123.3.18网络安全指导SGUD... 3.3.19健康数据存储保密性STCF. 13 133.3.20传输保密性TXCF 143.3.21传输完整性TXIG.. 143.3.22远程服务RMOT 143.4信息披露的方式.. 3.3.23其他网络安全能力0THR. 14 14参考文献... 15

前言

国家药品监督管理局医疗器械技术审评中心于2022年3月9日发布的《医疗器械网络安全注册技术审查指导原则（2022年修订版）》对医疗器械制造商在保障网络安全方面提供了重要的指导.有企业在使用该指导原则时，对指导原则中所提到的网络安全能力希望得到进一步的解释.从医疗器械制造商 的角度出发，需要有一份标准来使网络安全能力得到解读，以便于更好地实现对医疗器械网络安全的风险控制.

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

本文件由中关村医疗器械产业技术创新联盟提出.

本文件由中关村医疗器械产业技术创新联盟标准化技术委员会归口.

本文件起草单位有：深圳华大智造科技股份有限公司、北京怡和嘉业医疗科技股份有限公司、飞利浦（中国）投资有限公司、北京品驰医疗设备有限公司、北京歌锐科技有限公司、上海西门子医疗器械有限公司、北京市医疗器械技术审评中心、深圳迈瑞生物医疗电子股份有限公司、北京谊安医疗系统股份有限公司、通用电气医疗系统贸易发展（上海）有限公司

本文件主要起草人：汪锐典、李杰、谌达宇、陈浩、高上、朱雷、陈然、股骏、炼红文、秦川