YY/T 1843-2022 医用电气设备网络安全基本要求

ICS1104001

CCSC.30.

中华人民共和国医药行业标准

YY/T1843—2022

医用电气设备网络安全基本要求

Basicrequirementsofcybersecurityformedicalelectricalequipment

2022-05-18发布2023-06-01实施

国家药品监督管理局发布

YY/T1843—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

………………………

11

规范性引用文件

2…………………………1

术语和定义

3………………1

通用要求

4…………………5

试验方法

5…………………11

附录规范性网络安全能力测试过程的要求

A()………12

附录资料性本文件与其他文件的关联

()……………

B14

附录资料性特定条款的指南和原理说明

C()…………15

附录资料性本文件关于个人敏感数据的考量

D()……………………20

参考文献

……………………

21

YY/T1843—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由国家药品监督管理局提出

。

本文件由全国医用电器标准化技术委员会归口

(SAC/TC10)。

本文件起草单位上海市医疗器械检测所国家药品监督管理局医疗器械技术审评中心国家计算

:、、

机网络应急技术处理协调中心中国食品药品检定研究院江苏省医疗器械检测所苏州美华认证

、、、UL

有限公司深圳迈瑞生物医疗电子股份有限公司东软医疗系统股份有限公司深圳市理邦精密仪器股

、、、

份有限公司北京怡和嘉业医疗科技股份有限公司飞利浦中国投资有限公司上海西门子医疗器械

、、()、

有限公司通用电气医疗系统贸易发展上海有限公司美敦力上海管理有限公司

、()、()。

本文件主要起草人刘重生彭亮邢潇王晨希刘茹张波陶华马锐兵陈勇强陈蓓谌达宇

:、、、、、、、、、、、

曹景泰秦川夏伟杰

、、。

Ⅰ

YY/T1843—2022

引言

随着医疗应用场景的不断拓展以及网络技术的快速发展和互联网应用的普遍化医疗器械越来越

,,

多地进行着不同目的不同类型的数据交换在提高诊疗效率提升数据分析能力的同时也出现了诸如

、,,,

患者信息泄露健康数据被篡改未授权修改治疗参数以勒索或其他非法目的为目标的恶意攻击或数

、、、

据窃取等情况发生

。

在这样的背景下当下的医疗器械不论是单机使用还是在个域网局域网或广域网中使用其网络

,,、,

安全能力对于医疗器械的安全性有效性则变得至关重要而网络安全从广义来说凡是涉及医用电

、。,,

气设备医用电气系统及相关医疗器械软件产品的信息的保密性完整性可得性等相关技术和理论都

、、、

是其范畴之内的

。

虽然从保障网络安全的责任角度讲在使用环境中维系一个网络的网络安全是多方责任但

,,IT,

对制造商来说有义务识别产品本身可能遇到的网络安全相关的风险并予以识别和分析进而在设计

,,、

开发的过程中实现对应的风险控制措施本文件则将对医用电气设备医用电气系统或医疗器械软件

。、

产品在本文件中产品一般指医用电气设备医用电气系统或医疗器械软件产品的网络安全能力提

(,“”、)

出基本要求并规范了验证过程见附录以验证制造商对产品网络安全相关风险的风险控制措施的

(A),

实现情况

。

考虑到目前制造商在识别网络安全风险时普遍会参考对于风险识别的维度

IEC/TR80001-2-2,,

本文件中也一定程度上参考了因此本文件和是有一定关联性

IEC/TR80001-2-2,IEC/TR80001-2-2

的为了描述这种关联性本文件列出了本文件与该文件相关条款之间的对应关系见附录

。,()。

B

星号*作为标题的第一个字符段落或表格标题的开头表示在附录中有与该项目相关的指南

()、,

C

或原理说明

。

Ⅱ

YY/T1843—2022

医用电气设备网络安全基本要求

*范围

1

本文件规定了医用电气设备医用电气系统及医疗器械软件的网络安全基本要求

、。

本文件适用于有用户访问电子数据交换或远程控制功能的医用电气设备医用电气系统及医疗器

、、

械软件

。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

下列术语和定义适用于本文件

。

31

.

安全性safety

不会对人员财产或环境造成不可接受的风险

、。

来源有修改

[:ISO/IECGUIDE51:2014,3.14,]

32

.

保密性confidentiality

信息对未授权的个人实体或过程不可用或不泄露的特性

、。

来源

[:/—,]

GBT2924620172.12

33

.

恶意软件malware

设计为恶意破坏正常功能收集敏感数据和或访问其他连接系统的软件

,/。

34

.

防火墙firewall

对经过的数据流进行解析并实现访问控制及安全防护功能的网络安全产品

,。

35

.

风险

risk

伤害发生的概率和该伤害严重度的组合

。

来源

[:YY/T0316—2016,2.16]

36

.

风险分析riskanalysis

系统地运用现有信息确定危险源和估计风险的过程

()。

来源

[:YY/T0316—2016,2.17]

37

.

风险控制riskcontrol

作出决策并实施措施以便降低风险或把风险维持在规定水平的过程

,。

来源

[:YY/T0316—2016,2.19]

1

YY/T1843—2022

38

.

风险管理riskmanagement

用于风险的分析评价控制和监视工作的管理方针程序及其实践的系统运用

、、、。

来源

[:YY/T0316—2016,2.22]

39

.

个人敏感数据personalsensitivedata

一旦泄露非法提供或滥用可能危害人身和财产安全极易导致个人名誉身心健康受到损害或歧

、,、

视性待遇等的个人信息

。

注1个人敏感数据可能包括身份证件号码个人生物识别信息银行账号通信记录和内容财产信息征信信息

:、、、、、、

行踪轨迹住宿信息健康生理信息交易信息岁以下含儿童的个人信息等

、、、、14()。

注2在中被称之为个人敏感信息由于本文件主要是对数据进行规范因此在本文件中改写

:GB/T35273—2020,,,

为数据

。

注关于个人敏感数据的判定方法和类型可参考中的附录

3

:GB/T35273—2020B。

来源有修改

[:GB/T35273—2020,3.2,]

310

.

紧急访问emergencyaccess

在紧急的情况如抢救急救下临床用户能够在不使用个人身份标识或未经授权的情况下对健康

(、),

数据进行访问

。

311

.

健康数据

healthdata

与身体或心理健康相关的个人敏感数据

。

注1通常在本文件中将健康数据定义为个人敏感数据的子集

:。

注2由于目前全球规定了不同的隐私合规性法律和法规例如在欧洲可能需要采取的要求和参考变更为个

:。,,“

人数据和敏感数据在美国健康数据可能会更改为受保护的健康信息这需要不同国家或地区

”“”,,“(PHI)”,

的制造商进一步考虑中国当地的法律或法规

。

来源有修改

[:/:,,]

IECTR80001-2-220123.7

312

.

抗抵赖性non-repudiation

证明所声称事件或行为的发生及其源头的能力

。

来源有修改

[:GB/T29246—2017,2.54,]

313

.

可核查性accountability

实体的活动可以被唯一地追溯到该实体的程度

。

314

.

可得性availability

根据授权个人实体的要求可访问和使用的特性即产品相关数据能以预期方式适时进行访问和

、,

使用

。

来源有修改

[:GB/T29246—2017,2.9,]

315

.

敏感数据sensitivedata

敏感数据是任何可能危及产品使用和网络安全的关键安全参数如密码密钥随机数生成器的种

,、、

子身份验证数据个人敏感数据以及未授权访问可能危及产品网络安全的任何数据

、、。

来源

[:UL2900-1,3.41]

2

YY/T1843—2022

316

.

匿名化anonymization

通过对个人敏感数据的技术处理使得个人敏感数据主体无法被识别或者关联且处理后的信息不

,,

能被复原的过程

。

来源有修改

[:GB/T35273—2020,3.14,]

317

.

去标识化de-identification

通过对个人敏感数据的技术处理使其在不借助额外信息的情况下无法识别或者关联个人敏感数

,,

据主体的过程

。

注去标识化建立在个体基础之上保留了个体颗粒度采用假名加密哈希函数等技术手段替代对个人敏感数据

:,,、、

的标识

。

来源有修改

[:GB/T35273—2020,3.15,]

318

.

设备数据equipmentdata

描述设备运行状况的数据用于监视控制设备运行或用于设备的维护保养本身不涉及个人敏感

,、,

数据

。

319

.

审计日志auditloin

ggg

为了评审和分析以及持续监控而收集的有关信息安全事态的数据

。

来源

[:GB/T25068.1—2020,3.4]

320

.

网络安全能力securitycapability

基于风险管理使产品数据和或功能具有可接受水平的保密性完整性可得性等网络安全特性的

/、、

技术措施

。

注本文件中为了在区分和的中文将称之为网络安全而称之为安全性

:,,,。

securitysafetysecuritysafety

来源有修改

[:IEC/TR80001-2-2:2012,3.27,]

321

.

网络安全能力说明securitycapabilitydescription

阐明产品网络安全能力的文档其主要目的是作为测试者对产品进行测试的依据

,。

注本文件并不规定网络安全能力说明的形式可以是一个文档也可以是一套文档集也可以是一个文档的一

:,,,

部分

。

322

.

完整性

integrity

数据自创建传输或存储以来无未经授权的方式被更改的属性

、,。

来源

[:ISO/IEC29167-19:2016,3.40]

323

.

信息技术网络IT-network

由通信节点和传输链路组成的一个或多个系统以在两个或多个指定的通信节点之间提供物理链

,

接或无线传输

。

来源

[:IEC/TR80001-2-2:2012,3.10]

324

.

医疗器械软件medicaldevicesoftware

在包括在医疗器械内的已开发的软件系统或者预期本身用作医疗器械而开发的软件系统

,。

3

YY/T1843—2022

来源

[:YY/T0664—2020,3.11]

325

.

医用电气设备medicalelectricalequipment

ME设备MEequipment

具有应用部分或向患者传送或取得能量或检测这些所传送或取得能量的电气设备这样的电气

。

设备

:

与某一指定供电网有不多于一个的连接且

a);

其制造商旨在将它用于

):

b

对患者的诊断治疗或监护或

1)、;

消除或减轻疾病损伤或残疾

2)、。

来源

[:GB9706.1—2020,3.63]

326

.

医用电气系统medicalelectricalsystem

ME系统MEsystem

在制造商的规定下由功能连接或使用多位插座相互连接的若干设备构成的组合组合中至少有一

,

个是设备

ME。

来源

[:GB9706.1—2020,3.64]

327

.

医用信息技术网络

medicalIT-network

包含至少一个医疗器械的信息技术网络

。

来源

[:IEC80001-1:2010,2.16]

328

.

自动注销automaticlogoff

产品在闲置一段时间后自动登出或锁定以阻止未经授权的使用和误用

。

注自动锁定也可以理解为是一种自动注销的手段

:。

329

.

责任方responsibleorganization

对产品的使用或保养负有责任的实体

。

注1举例来说这样负有责任的实体可以是一家医院一个临床医生或一个业外人士对家用设备来说患者操

:,、。,、

作者和责任方有可能是同一个人

。

注2使用包含了教育和培训

:“”。

来源有修改

[:—,,]

GB9706.120203.101

330

.

真实性

authenticity

实体符合其所声称的特性

。

来源有修改

[:GB/T29246—2017,2.8,]

331

.

制造商manufacturer

以其名义制造预期可用的医疗器械并负有医疗器械设计和或制造责任的自然人或法人无论此医

/,

疗器械的设计和或制造是由该自然人或法人进行或由另外的一个或多个自然人或法人代表其进行

/。

来源

[:YY/T0287—2017,3.10]

4

YY/T1843—2022

4通用要求

41*网络安全能力说明

.

411标识和内容

..

网络安全能力说明应体现其文档标识

4111

...。

4112网络安全能力说明应能识别对应产品的标识

...。

网络安全能力说明应按照的要求根据产品的适用情况阐明网络安全能力

4113

...4.1.4~4.1.20,。

4114网络安全能力说明中陈述的网络安全特性应是可测试或可验证的

...。

412*分类

..

4121按预期接入的网络的类型可分为预期接入专用网络公共网络的产品

...、。

4122按预期接入网络的域可以分为预期接入个域网局域网广域网的产品

...、、。

4123按连接类型可分为预期与其他信息设备单独进行有线无线连接的产品

...、。

注其中有线连接可能包括了等方式无线连接可能包括了通讯蓝牙通讯私有频段的私有协

::USB、RS232,wifi、、

议的无线通讯等方式

。

4124按数据交换过程中的数据传输方向可以分为单向传输双向传输

...、。

按使用场景可分为医疗场景和非医疗场景

4125

...。

注其中医疗场景可能包括了治疗诊断或监护等场景非医疗场景可能包括了维护场景等

:、,。

413产品特征描述

..

4131网络安全能力说明应按照对产品进行分类

...4.1.2。

4132网络安全能力说明应明确产品的预期用途

...。

4133网络安全能力说明应提供产品在其预期配置中的所有电子接口的列表包括了

...,:

所有远程接口

a);

所有本地接口产品本地内部接口

b)、;

注内部接口指的是系统中各部件之间的接口

:ME。

所有无线接口

)