中关村医疗器械产业技术创新联盟团体标准
医疗器械嵌入式软件漏洞评估方法
Method for vulnerability assessment of embedded software in medical devices
中关村医疗器械产业技术创新联盟 发布
目次
引言... .2医疗器械嵌入式软件漏洞评估方法. 31范围... .32规范性引用文件..3术语和定义、缩略语 .33.1术语和定义 .33.2缩略语. 44软件生命周期. ..54.1软件生命周期概述 ..54.2软件生命周期模型. ..55设计阶段 ..65.1安全评估任务 ..65.2网络安全需求 ..65.3SBOM清单 .66医疗器械研发阶段. .76.1威胁建模 76.2已知漏洞评估. ..76.3网络安全架构设计. ..77验证确认阶段(漏洞评估) ..7.1已知漏洞评估 ..77.2漏洞扫描. 8"7.3代码审计.. ..97.4固件包/二进制文件扫描 ..7.5硬件接口模糊测试. ..117.6攻击面分析 ..27.7漏洞链分析. ..1.27.8网络安全功能测试. .138医疗器械更新. ...148.1风险可追溯 ...148.2更新控制. ..149医疗器械维护 ..149.1维护策略. ...149.2已知漏洞维护过程 .15
10风险评估. T/ZMDS 200082024 ..16附录A瀑布模型(WaterfallModel)示意图 ..18附录BV模型(V-Mode1)示意图. ...18..19参考文... 附录C敏感数据典型示例.20
前言
本文件的某些内容可能涉及专利.本文件的发布机构不承担识别相关专利的责任.
本文件由北京水木金昇科技服务有限公司提出并归口.
本文件起草单位:北京水木金昇医疗科技服务有限公司、北京中关村水木医疗科技有限公司、上海安般信息科技有限公司、北京智精灵科技有限公司、中国卫生信息与健康医疗大数据学会信息及应用安全防护分会、创领心律管理医疗器械(上海)有限公司、哈尔滨工业大学(威海)、北京科技大学、中关村华安关键信息基础设施安全保护联盟.
本文件主要起草人:冯健、王斌、王春燕、王骁、王晓怡、张坤、张建林、张建锋、王凯、曹伟娜、徐源.
