本指導原則實施指南旨在指導注冊申請人提交第二類醫(yī)療器械網(wǎng)絡安全注冊申報資料，同時為第二類醫(yī)療器械網(wǎng)絡安全的技術審評提供參考。
本指導原則實施指南是對第二類醫(yī)療器械網(wǎng)絡安全一般性要求的細化和補充，注冊申請人應根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡安全注冊申報資料，注冊申請人也可采用其他滿足法規(guī)要求的替代方法，但應提供詳盡的研究資料和驗證資料。
本指導原則實施指南是對注冊申請人和審評人員的指導性文件，不包括審評審批所涉及的行政事項，亦不作為法規(guī)強制執(zhí)行，應在遵循相關法規(guī)的前提下使用本指導原則實施指南。
本指導原則實施指南依據(jù)原國家食品藥品監(jiān)督管理總局發(fā)布的《醫(yī)療器械軟件注冊技術審查指導原則》和《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》編寫，因而采用時應結合以上注冊技術審查指導原則的相關要求使用。
本指導原則實施指南適用于具有網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制的第二類醫(yī)療器械產(chǎn)品的注冊申報，其中網(wǎng)絡連接包括無線網(wǎng)絡連接和有線網(wǎng)絡連接，電子數(shù)據(jù)交換包括單向數(shù)據(jù)傳輸和雙向數(shù)據(jù)傳輸，遠程控制包括實時控制和非實時控制。
同時，本指導原則實施指南也適用于采用存儲媒介以進行電子數(shù)據(jù)交換的第二類醫(yī)療器械產(chǎn)品的注冊申報，其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
需要指出的是，本指導原則實施指南中所述的文件應來源于醫(yī)療器械的開發(fā)過程。注冊申請人應將網(wǎng)絡安全風險管理與質量管理體系充分融合，在確保醫(yī)療器械安全有效性的同時提高醫(yī)療器械的網(wǎng)絡安全。

一、綜述

隨著網(wǎng)絡技術的發(fā)展，越來越多的醫(yī)療器械具備網(wǎng)絡連接功能以進行電子數(shù)據(jù)交換或遠程控制，這在提高醫(yī)療服務質量與效率的同時也面臨著網(wǎng)絡攻擊的威脅。醫(yī)療器械網(wǎng)絡安全出現(xiàn)問題不僅可能會侵犯患者隱私，而且可能會產(chǎn)生醫(yī)療器械非預期運行的風險，導致患者或使用者受到傷害甚或死亡。因此，醫(yī)療器械網(wǎng)絡安全是醫(yī)療器械安全性和有效性的重要組成部分。
同時，對于接入計算機信息系統(tǒng)的醫(yī)療器械，注冊申請人應考慮醫(yī)療器械的使用環(huán)境，對預期接入定級系統(tǒng)或非定級系統(tǒng)的醫(yī)療器械的網(wǎng)絡安全能力進行合理的設計。注冊申請人還應考慮國家對于網(wǎng)絡安全相關的法律法規(guī)和標準要求，特別是計算機信息系統(tǒng)安全保護方面的要求，例如《中華人民共和國計算機信息系統(tǒng)安全保護條例》,《GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求》,《GB/T 25070-2019信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》等法規(guī)和標準。

二、醫(yī)療器械的使用環(huán)境

醫(yī)療器械根據(jù)使用環(huán)境可以分為家用醫(yī)療器械和醫(yī)院用醫(yī)療器械，以及既可以在家庭使用也可以在醫(yī)院使用的醫(yī)療器械。根據(jù)接口的類型可以分為有線網(wǎng)絡連接、無線網(wǎng)絡連接和連接本地存儲媒介。根據(jù)所處的網(wǎng)絡環(huán)境又可分為無網(wǎng)絡環(huán)境（僅連接本地存儲媒介）、受控的網(wǎng)絡環(huán)境和開放的網(wǎng)絡環(huán)境。注冊申請人應根據(jù)不同的使用環(huán)境，識別網(wǎng)絡安全風險，并采取相應的網(wǎng)絡安全措施。

三、 醫(yī)療器械的網(wǎng)絡安全

（一） 醫(yī)療器械網(wǎng)絡安全特性
醫(yī)療器械網(wǎng)絡安全是指保持醫(yī)療器械相關數(shù)據(jù)的保密性、完整性、可得性、真實性、可核查性、抗抵賴性以及可靠性等特性。
1.保密性
指數(shù)據(jù)不能被未授權的個人、實體利用或知悉的特性，即醫(yī)療器械相關數(shù)據(jù)僅可由授權用戶在授權時間以授權方式進行訪問；
2.完整性
指保護數(shù)據(jù)準確和完整的特性，即醫(yī)療器械相關數(shù)據(jù)是準確和完整的，且未被篡改；
3.可得性
指根據(jù)授權個人、實體的要求可訪問和使用的特性，即醫(yī)療器械相關數(shù)據(jù)能以預期方式適時進行訪問和使用；
4.真實性
一個實體是其所聲稱實體的特性，即醫(yī)療器械相關數(shù)據(jù)能夠體現(xiàn)其真實的臨床狀態(tài)，例如：生理狀態(tài)、操作狀態(tài)、設備狀態(tài)等；
5.可核查性
實體表征對自己的動作和做出的決定負責的特性，即醫(yī)療器械相關數(shù)據(jù)表征對相關臨床動作和決定負責；
6.抗抵賴性
證明所聲稱事態(tài)或行為的發(fā)生及其發(fā)起實體的能力，以解決有關事態(tài)或行為發(fā)生與否以及事態(tài)中實體是否牽涉的爭端，即醫(yī)療器械相關數(shù)據(jù)可證明相關臨床事態(tài)和行為的發(fā)生及其發(fā)起的能力；
7.可靠性
與預期行為和結果一致的特性，即醫(yī)療器械相關數(shù)據(jù)與臨床的預期行為和結果一致。
（二）網(wǎng)絡安全能力
對醫(yī)療器械網(wǎng)絡安全的保障，是用戶、網(wǎng)絡設施提供方與注冊申請人共同參與的結果。以現(xiàn)有技術水平而言，注冊申請人可以參考《IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡的風險管理應用.第2-2部分 醫(yī)療器械安全》以及《T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡安全風險控制 - 醫(yī)療器械網(wǎng)絡安全能力信息》等標準，識別醫(yī)療器械網(wǎng)絡安全能力，進行網(wǎng)絡安全風險控制。
需要注意的是，注冊申請人對這些網(wǎng)絡安全能力進行配置以配合用戶進行網(wǎng)絡安全風險管理時，應綜合考慮具體醫(yī)療器械的預期用途與使用場景。醫(yī)療器械的預期用途一般是對疾病的預防、診斷與治療，在權衡醫(yī)療器械的安全性、有效性以及數(shù)據(jù)安全時，需要首先保證醫(yī)療器械的安全性、有效性。例如，為了在急救環(huán)境下發(fā)揮醫(yī)療器械的有效性，可能會對保密性的要求予以折衷。綜合考慮的結果導致大部分的醫(yī)療器械可能并不具備全部的網(wǎng)絡安全能力，此時需要注冊申請人與用戶進行良好的溝通，以實現(xiàn)最終醫(yī)療環(huán)境下的網(wǎng)絡安全。
以下列出了19種醫(yī)療器械網(wǎng)絡安全能力，并依據(jù)相關標準，結合醫(yī)療器械的產(chǎn)品特點對其主要內(nèi)容進行了描述，注冊申請人可根據(jù)醫(yī)療器械的產(chǎn)品特性，預期用途和使用方式考慮其網(wǎng)絡安全能力要求的適用性。
1.自動登出能力（ALOF）
無人值守的醫(yī)療器械終端設備，存在被進行非授權操作、顯示信息被非授權人員閱讀的風險。此項網(wǎng)絡安全能力確保醫(yī)療器械在所設時段內(nèi)若未被用戶操作，則自動進入保護狀態(tài)，從而降低上述風險發(fā)生的概率。此項網(wǎng)絡安全能力，改善了醫(yī)療器械的保密性與完整性，但會降低醫(yī)療器械的可得性，對急診用醫(yī)療器械、長期監(jiān)護用醫(yī)療器械、用戶無需獲得授權的醫(yī)療器械等可得性要求較高的醫(yī)療器械應結合醫(yī)療器械的預期用途與使用場景，決定是否配置以及如何配置。
2.審核控制能力（AUDT）
醫(yī)療器械的網(wǎng)絡安全與醫(yī)療器械的使用方式息息相關，不正確、非授權的使用會導致醫(yī)療器械存在網(wǎng)絡安全方面的風險。對醫(yī)療器械使用環(huán)節(jié)的關鍵信息予以記錄，是風險控制措施的一部分。此項能力的配置對網(wǎng)絡安全的保密性、完整性、可核查性均有提高，有利于對醫(yī)療器械使用記錄提供可追溯性檢測以及用于事后問責調查和對風險的持續(xù)監(jiān)視，也為風險控制的應急響應提供輸入。
3.確定用戶權限的能力（AUTH）
醫(yī)療器械的非授權使用，會導致多種危險情況，確保醫(yī)療器械的使用者、管理者、維護者、擁有者得到合適的授權是重要的風險控制手段。用戶權限的管理可以提高保密性、完整性與可核查性，但可能會降低可得性。
4.網(wǎng)絡安全配置能力（CNFS）
對醫(yī)療器械網(wǎng)絡安全的保障是由用戶、使用者、網(wǎng)絡設施提供方、注冊申請人多方共同參與的一項活動。開放網(wǎng)絡安全相關的配置有利于網(wǎng)絡安全在使用場景中的整體部署，但是另一方面醫(yī)療器械在有意、無意情況下的配置錯誤也可能導致不可接受的風險，此項能力與系統(tǒng)的加固要求（SAHD）相矛盾，應根據(jù)醫(yī)療器械的預期用途與使用方式綜合考慮此項能力的配置。
5.網(wǎng)絡安全升級能力（CSUP）
醫(yī)療器械以及醫(yī)療器械所依賴的軟硬件環(huán)境，所面臨的威脅并不是一成不變的，作為風險控制手段，有必要對醫(yī)療器械或醫(yī)療器械的運行環(huán)境予以修補以抵御新的網(wǎng)絡威脅。由于醫(yī)療器械、運行環(huán)境、所受威脅的狀況千差萬別，部分修補可以由用戶自行升級完成；而部分修補則可能需要注冊申請人的授權人員才能進行。
6.健康數(shù)據(jù)去標識化能力（DIDT）
在醫(yī)療服務過程中產(chǎn)生的健康數(shù)據(jù)常常具有預防、診斷、治療之外的其它價值，例如科研、培訓、不良事件追溯、設備維護等。健康數(shù)據(jù)若直接用于非醫(yī)療用途，則存在隱私數(shù)據(jù)保護方面的風險。數(shù)據(jù)交付之前，去除健康數(shù)據(jù)所附帶的身份信息，是提高保密性的重要手段。但去除標識會降低數(shù)據(jù)的可追溯性。
7.數(shù)據(jù)備份與災難恢復能力（DTBK）
健康數(shù)據(jù)在處理過程中面臨著數(shù)據(jù)被破壞甚至丟失的風險，保持數(shù)據(jù)備份與災難恢復的能力，可以提高數(shù)據(jù)的完整性與可得性。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
醫(yī)療器械是以提供預防、診斷、治療目的為核心屬性，部分情況下醫(yī)療器械、數(shù)據(jù)的可得性受損會導致不可接受的風險。為醫(yī)療器械配置被緊急訪問的能力以及相應的安全可控的緊急訪問流程，對此項風險的控制至關重要。然而，配置被緊急訪問的能力，常常會導致可得性之外的其它網(wǎng)絡安全特性降低，應根據(jù)醫(yī)療器械的預期用途與使用方式綜合考慮此項能力的配置。
9.數(shù)據(jù)完整性真實性確認能力（IGAU）
當數(shù)據(jù)的完整性受損而導致不可接受的風險時，醫(yī)療器械具備此項能力可以確保健康數(shù)據(jù)的來源可靠且未經(jīng)篡改與破壞。
10.惡意軟件的防止、檢測與清除能力（MLDP）
惡意軟件侵入醫(yī)療器械可能會導致不可接受的風險，此項能力可以對已知惡意軟件進行探測、報告并防止受其侵害。由于惡意軟件的產(chǎn)生難以預知，此項能力需要在醫(yī)療器械的使用過程中不斷維護，必要時采取緊急措施。
11.通信對象、通信節(jié)點的身份驗證能力（NAUT）
醫(yī)療器械如與未經(jīng)授權的通信節(jié)點進行互操作，可能導致不可接受的風險。此項能力配合用戶的網(wǎng)絡安全策略可確保數(shù)據(jù)的發(fā)送方與接收方相互識別并被授權進行數(shù)據(jù)傳輸。
12.驗證合法用戶的能力（PAUT）
有一部分醫(yī)療器械并非開放給所有的使用者，這部分醫(yī)療器械如果被未獲授權的用戶使用，可能導致不可接受的風險。此項能力配合用戶的網(wǎng)絡安全策略，可確保醫(yī)療器械的使用者是經(jīng)過授權認證的。
13.物理保護能力（PLOK）
醫(yī)療器械在物理上被侵入，會造成保密性與完整性的破壞，可能導致不可接受的風險?？梢灾攸c關注敏感信息的存儲媒介（可移動媒介除外）是否不借助工具就能被取出。
14.第三方組件管理能力（RDMP）
醫(yī)療器械可能用到第三方組件作為整體醫(yī)療器械的一部分，例如第三方的操作系統(tǒng)或數(shù)據(jù)庫等。用戶若對此類組件不知情，則不利于此類組件未來的網(wǎng)絡安全管理，也不利于未來網(wǎng)絡安全事件的責任劃分，可能導致不可接受的風險。
15.系統(tǒng)與應用加固能力（SAHD）
醫(yī)療器械中可能存在著與預期用途無關的配置，例如：某些非醫(yī)療預期用途的賬號、通信端口、共享文件、服務等。此類配置可能會成為網(wǎng)絡攻擊者所利用的通道，從而造成不可接受的風險，對這些配置予以關閉有利于降低風險發(fā)生的概率。
16.對操作者與管理員提供網(wǎng)絡安全指導的能力（SGUD）
醫(yī)療器械的不當使用可能在醫(yī)療器械網(wǎng)絡安全方面造成不可接受的風險，對使用者提供產(chǎn)品說明、提供可索取的披露資料、予以培訓等，均有利于降低使用者操作不當?shù)娘L險。
17.存儲保密能力（STCF）
健康數(shù)據(jù)的明文存儲會降低產(chǎn)品的保密性，對數(shù)據(jù)存儲予以加密有利于降低數(shù)據(jù)泄露相關的風險。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應的管理規(guī)定。使用商用密碼應遵守相關的法律法規(guī)要求。
18.傳輸保密能力（TXCF）
健康數(shù)據(jù)的明文傳輸會降低醫(yī)療器械的保密性，對數(shù)據(jù)傳輸予以加密有利于降低數(shù)據(jù)泄露相關的風險。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售、使用等都有相應的管理規(guī)定。使用商用密碼應遵守相關的法律法規(guī)要求。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
健康數(shù)據(jù)在傳輸過程中，數(shù)據(jù)可能受到無意的信道噪聲干擾，也有可能受到惡意篡改，這都可能造成不可接受的風險。采用技術手段確保所接受到的數(shù)據(jù)與所發(fā)送出數(shù)據(jù)具有一致性，可以降低此類風險。
注冊申請人可以通過綜合考慮上述19項網(wǎng)絡安全能力來提高醫(yī)療器械的網(wǎng)絡安全特性。網(wǎng)絡安全能力與網(wǎng)絡安全特性之間的關系如下:

注：“2”指可以顯著提高此項網(wǎng)絡安全特性，“1”指可以提高此項網(wǎng)絡安全特性，“-”指基本不對此項網(wǎng)絡安全特性產(chǎn)生影響，“-1”指可以降低此項網(wǎng)絡安全特性。
（三）網(wǎng)絡安全的上市后監(jiān)管
1.網(wǎng)絡安全事件
網(wǎng)絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件，可分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他網(wǎng)絡安全事件等。
網(wǎng)絡安全事件可能會造成醫(yī)療器械系統(tǒng)不能訪問、醫(yī)療數(shù)據(jù)泄露或者篡改，進而導致病人受到嚴重傷害，死亡或病人的健康數(shù)據(jù)泄漏。
2.網(wǎng)絡安全事件的處置
注冊申請人應建立醫(yī)療器械上市后的網(wǎng)絡安全事件處置流程。網(wǎng)絡安全事件發(fā)生后，注冊申請人應能夠及時有效地處理和管理安全事件，一般包括以下措施：
應收集并確認受網(wǎng)絡安全事件影響的用戶，識別網(wǎng)絡安全事件對相關系統(tǒng)帶來的風險；
應快速采取應急對策，例如：告知用戶斷開網(wǎng)絡連接，提供臨時解決方案恢復系統(tǒng)至正常工作狀態(tài)等；
應對網(wǎng)絡安全事件的做出詳細的風險分析和評估；
應提供經(jīng)過驗證和確認的解決措施，并告知用戶相關的更新信息。
注冊申請人應建立相應的組織以確保網(wǎng)絡安全事件處置流程得以實施。
3.網(wǎng)絡安全事件上報
當下列網(wǎng)絡安全事件發(fā)生，注冊申請人應及時向相關監(jiān)管部門報送信息：
——病人受到嚴重傷害或者死亡；
——注冊申請人提供的大量醫(yī)療器械系統(tǒng)不能訪問；
——大量的病人健康數(shù)據(jù)泄露。
若涉及到病人受到嚴重傷害或死亡的網(wǎng)絡安全事件，注冊申請人應按照醫(yī)療器械不良事件的相關規(guī)定上報。
4.涉及召回的網(wǎng)絡安全事件應按照醫(yī)療器械召回的相關法規(guī)處理，不屬于本指導原則討論范圍。
5.網(wǎng)絡安全更新的管理
網(wǎng)絡安全更新（包括自主開發(fā)軟件和現(xiàn)成軟件）根據(jù)其對醫(yī)療器械的影響程度可分為以下兩類：
——重大網(wǎng)絡安全更新：影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡安全更新；
——輕微網(wǎng)絡安全更新：不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡安全更新，例如常規(guī)安全補丁。
醫(yī)療器械產(chǎn)品發(fā)生重大網(wǎng)絡安全更新，應進行許可事項變更；而發(fā)生輕微網(wǎng)絡安全更新，注冊申請人應通過質量管理體系進行控制，無需進行注冊變更，待到下次注冊（注冊變更或延續(xù)注冊）時提交相應注冊申報資料。醫(yī)療器械同時發(fā)生重大和輕微網(wǎng)絡安全更新，遵循風險從高原則應進行許可事項變更。
涉及召回的網(wǎng)絡安全更新應按照醫(yī)療器械召回的相關法規(guī)處理，不屬于本指導原則討論范圍。
軟件版本命名規(guī)則應考慮網(wǎng)絡安全更新的情況。
注冊申請人在提交注冊申報資料時，應根據(jù)醫(yī)療器械網(wǎng)絡安全的具體情況提交網(wǎng)絡安全描述文檔或常規(guī)安全補丁描述文檔。網(wǎng)絡安全描述文檔適用于醫(yī)療器械注冊、重大網(wǎng)絡安全更新，常規(guī)安全補丁描述文檔適用于輕微網(wǎng)絡安全更新。

四、 網(wǎng)絡安全注冊資料

注冊申請人應結合醫(yī)療器械產(chǎn)品的預期用途、使用環(huán)境和核心功能以及預期相連設備或系統(tǒng)（例如：其它醫(yī)療器械、信息技術設備）的情況來確定醫(yī)療器械產(chǎn)品的網(wǎng)絡安全特性，提交網(wǎng)絡安全描述文檔。網(wǎng)絡安全描述文檔應描述醫(yī)療器械的基本信息、風險管理、驗證與確認以及維護計劃。
（一） 基本信息
應描述醫(yī)療器械產(chǎn)品網(wǎng)絡安全相關的基本信息，這些信息包括：
1.醫(yī)療器械傳輸，存儲和處理信息的總結性描述；
2.以上信息的類型：健康數(shù)據(jù)、設備數(shù)據(jù)；
3.以上信息的傳輸方向：單向、雙向；
4.以上信息是否用于實時遠程控制：實時、非實時或不用于遠程控制；
5.以上信息的用途：如臨床應用、設備維護等；
6.以上信息的交換方式：網(wǎng)絡（無線網(wǎng)絡、有線網(wǎng)絡）及要求（如傳輸協(xié)議、接口、帶寬等），存儲媒介（如光盤、移動硬盤、U盤等）及要求（如存儲格式、容量等）；對于專用無線設備（非通用信息技術設備），還應提交符合無線電管理規(guī)定的證明材料，如涉及個人敏感數(shù)據(jù)，應明確個人敏感數(shù)據(jù)的儲存和傳輸方式；
7.醫(yī)療器械包含的安全軟件：描述安全軟件（如殺毒軟件、防火墻等）的名稱、型號規(guī)格、完整版本、供應商、運行環(huán)境要求；
8.醫(yī)療器械包含的現(xiàn)成軟件：描述現(xiàn)成軟件（包括應用軟件、系統(tǒng)軟件、支持軟件）的名稱、型號規(guī)格、完整版本和供應商。
（二）風險管理
1.網(wǎng)絡安全風險管理概述
網(wǎng)絡安全風險管理是指注冊申請人基于醫(yī)療器械產(chǎn)品的預期用途和使用場景進行網(wǎng)絡安全風險分析，評價并采取網(wǎng)絡安全風險控制手段確保產(chǎn)品的網(wǎng)絡安全能力。注冊申請人可對網(wǎng)絡安全采用醫(yī)療器械風險管理的方法（可參照《YY/T 0316-2016醫(yī)療器械 風險管理對醫(yī)療器械的應用》）對醫(yī)療器械網(wǎng)絡安全相關的風險進行分析、評價和控制，也可采用信息安全風險評估的方法（可參照《GB/T20984 信息安全技術 信息安全風險評估規(guī)范》）進行評估，并進行風險控制。
如適用，醫(yī)療器械網(wǎng)絡安全風險管理應考慮對個人敏感信息的保護。對個人信息的處理，應遵循個人信息安全基本原則和相關的法律法規(guī)以及標準，如《GB/T 35273-2017信息安全技術 個人信息安全規(guī)范》。如有必要，應對個人信息進行匿名化或去標識化處理。
風險管理除了從網(wǎng)絡安全角度來考慮醫(yī)療器械的網(wǎng)絡安全能力外，還應根據(jù)醫(yī)療器械的預期用途考慮網(wǎng)絡安全風險對醫(yī)療器械的安全性和有效性的影響。
醫(yī)療器械網(wǎng)絡安全風險管理需要考慮整個醫(yī)療器械生命周期并適時更新。
2.網(wǎng)絡安全風險管理過程
（1）風險分析與評價
注冊申請人應對網(wǎng)絡安全管理活動進行策劃并制定網(wǎng)絡安全風險可接受性準則。注冊申請人應考慮網(wǎng)絡安全損害的嚴重度和網(wǎng)絡安全損害的發(fā)生概率并按照接受性準則決定是否需要降低風險。
1） 網(wǎng)絡安全損害的嚴重度，例如：

2） 網(wǎng)絡安全損害的發(fā)生概率，例如：

注：發(fā)生概率應和醫(yī)療器械具體情況相適應
（2）風險控制
根據(jù)風險評價結果需要降低風險時，注冊申請人應識別適當?shù)娘L險控制措施，以把風險降低到可接受的水平。
例如：風險分析、評價和風險控制措施記錄表

例如：風險評估矩陣模型
注：下表中紅色表示不可接受風險，黃色和綠色表示可接受風險。表格中的數(shù)字僅作為舉例。采取風險控制措施后，剩余風險中不可接受風險數(shù)量為0。
1）初始風險分布

2）采取風險控制措施后風險分布

（3）風險管理報告
注冊申請人應形成網(wǎng)絡安全風險管理報告，并完成風險管理過程的評審，確認綜合剩余風險是可接受的。
（4） 關于上市后的風險
注冊申請人要持續(xù)關注醫(yī)療器械上市后與醫(yī)療器械相關的網(wǎng)絡安全風險，根據(jù)實際情況適時更新風險分析、評價和控制文件，如法規(guī)更新、不良事件報告等。
（三）驗證與確認
1．總體原則
網(wǎng)絡安全驗證和確認活動的目的是確定風險管理中采用的網(wǎng)絡安全控制手段均已得到正確的實施，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡安全需求（例如保密性、完整性、可得性等特性）均已得到滿足。
對于現(xiàn)成軟件，注冊申請人應在網(wǎng)絡安全風險分析過程中將其作為醫(yī)療器械的一部分進行充分的網(wǎng)絡安全評估，并在醫(yī)療器械的網(wǎng)絡安全能力配置中予以綜合考慮。
2．驗證與確認活動
注冊申請人應在醫(yī)療器械產(chǎn)品研制過程中進行網(wǎng)絡安全的驗證與確認活動，通過分析、測試、評估、審查等手段，確保醫(yī)療器械產(chǎn)品的網(wǎng)絡安全需求得到滿足。網(wǎng)絡安全驗證與確認活動可以參考附錄中的19項網(wǎng)絡安全能力應用參考，應根據(jù)醫(yī)療器械的預期用途、使用方式和風險評估綜合考慮每項網(wǎng)絡安全能力的驗證。
（1）應確保在醫(yī)療器械產(chǎn)品的需求、設計、測試以及風險管理各個階段考慮并落實網(wǎng)絡安全需求，并且保證網(wǎng)絡安全需求規(guī)范、設計規(guī)范、測試以及風險管理的一致性和完整性。
（2）應針對醫(yī)療器械產(chǎn)品進行網(wǎng)絡安全測試驗證，確保所有網(wǎng)絡安全風險控制措施都得到正確的實施。
1）應對網(wǎng)絡安全測試活動進行合理的策劃，包括確定測試的內(nèi)容（包括醫(yī)療器械需求中要求配置的網(wǎng)絡安全能力）、測試人員和相應的職責、測試所需的環(huán)境、測試的技術和方法（如漏洞測試、惡意軟件測試、缺陷輸入測試、結構化滲透測試等）、異常處理方式、測試通過的準則、測試所需的資源以及測試進度安排等。
2）應根據(jù)測試計劃的安排設計測試用例，并按照測試用例的要求執(zhí)行測試活動，記錄原始測試結果，確保測試過程的可追溯性。對于安全軟件，注冊申請人應針對不同的軟件、硬件運行平臺，進行兼容性測試；如醫(yī)療器械采用標準傳輸協(xié)議或存儲格式，應進行審查或測試驗證其對相關標準的符合性；如醫(yī)療器械采用自定義的傳輸協(xié)議和存儲格式，應進行完整性測試驗證。
3）應對測試結果進行分析和評價，確保測試活動的有效性，并對測試遺留的問題進行評價。
3．驗證與確認記錄
注冊申請人應將醫(yī)療器械網(wǎng)絡安全驗證與確認活動的結果以文檔的方式進行記錄，確保網(wǎng)絡安全驗證與確認活動的可追溯性。
（1）應以文檔的形式記錄醫(yī)療器械網(wǎng)絡安全需求規(guī)范、設計規(guī)范、測試以及風險管理的追溯性關系。
（2）應對網(wǎng)絡安全測試策劃活動進行記錄并形成網(wǎng)絡安全測試計劃文檔。
（3）應對網(wǎng)絡安全測試執(zhí)行過程、測試結果以及測試結果的分析評估進行記錄，形成網(wǎng)絡安全測試報告。
（4）對于安全軟件，注冊申請人可將兼容性測試結果進行單獨文檔記錄，并形成兼容性測試報告。
（5）對于采用標準傳輸協(xié)議或存儲格式的醫(yī)療器械，注冊申請人應記錄標準符合性審查結果；對于采用自定義的傳輸協(xié)議和存儲格式的醫(yī)療器械，注冊申請人應對完整性測試結果進行記錄并形成完整性測試報告。
（6）可以對實時遠程控制功能醫(yī)療器械中關于遠程數(shù)據(jù)相關的測試進行單獨的文檔記錄，并形成相應的完整性和可得性測試報告。
（四）維護計劃
1．維護流程
在醫(yī)療器械產(chǎn)品上市后，注冊申請人應結合自身質量管理體系要求，制定網(wǎng)絡安全維護流程，保證醫(yī)療器械的安全性和有效性。
網(wǎng)絡安全維護流程涉及到以下方面：
（1）監(jiān)控網(wǎng)絡安全信息源（包括第三方軟件組件）以識別和檢測網(wǎng)絡漏洞；
（2）了解、檢測可能發(fā)生的漏洞，評估其風險影響；
（3）重點分析與醫(yī)療器械的安全和基本性能有關的網(wǎng)絡安全問題，特別是網(wǎng)絡安全事件相關的問題，針對其風險和影響，制定緩解策略，使得醫(yī)療器械及時得到保護和恢復；
（4）用于修補漏洞的軟件更新和補丁程序，包括第三方軟件組件的漏洞修復（如操作系統(tǒng)，安全軟件等），需要進行驗證和確認；
（5）盡早地部署軟件網(wǎng)絡安全更新程序至用戶站點，并告知用戶相關更新內(nèi)容。
有關醫(yī)療器械產(chǎn)品中網(wǎng)絡漏洞的披露和處理，可參閱文獻《ISO/IEC 29147-2018 信息技術 安全技術 漏洞公告》和《ISO/IEC 30111-2013 信息技術 安全技術 漏洞處理流程》。
2. 網(wǎng)絡安全更新
具備聯(lián)網(wǎng)功能的醫(yī)療器械產(chǎn)品面臨的網(wǎng)絡問題可能不斷變化，注冊申請人在醫(yī)療器械產(chǎn)品上市前難以解決所有的網(wǎng)絡安全問題。注冊申請人應對已上市醫(yī)療器械產(chǎn)品進行有效、及時并持續(xù)地網(wǎng)絡安全更新。
對于已發(fā)現(xiàn)的漏洞，應分析漏洞的可被利用性，對病人傷害的嚴重程度以及病人信息泄露的可能性，注冊申請人應決定該漏洞的風險是可控還是處于失控狀態(tài)，制定相應的解決措施修復該網(wǎng)絡漏洞。與網(wǎng)絡安全事件相關的網(wǎng)絡更新，需要重點分析其風險和影響，及時有效地提供經(jīng)驗證的解決方案。
通常的網(wǎng)絡安全更新應包括：
（1）自研軟件的漏洞安全更新；
（2）第三方軟件（包括操作系統(tǒng)等）的漏洞安全更新；
（3）安全軟件（例如殺毒軟件等）的病毒掃描引擎的更新。
若在醫(yī)療器械產(chǎn)品中新的網(wǎng)絡安全設計是不可行的或者不能馬上實施，注冊申請人應考慮使用網(wǎng)絡補償控制方案來減輕網(wǎng)絡漏洞風險。
網(wǎng)絡補償控制是在缺乏有效網(wǎng)絡安全設計的前提下，提供補充性網(wǎng)絡防護措施。例如注冊申請人對醫(yī)療器械產(chǎn)品的網(wǎng)絡漏洞評估后，認為對設備在未被授權的情況下進行訪問極有可能影響設備的安全和基本性能，但是若該設備沒有連接到外部網(wǎng)絡(例如，醫(yī)院網(wǎng)絡)或者使用路由器對連接進行限定，則醫(yī)療器械仍然可以安全有效的工作。
（五）產(chǎn)品技術要求
1.數(shù)據(jù)接口
對于預期接入網(wǎng)絡或與其它醫(yī)療器械進行交互的醫(yī)療器械，其數(shù)據(jù)交換方式有兩種：網(wǎng)絡（包括有線網(wǎng)絡和無線網(wǎng)絡）或存儲媒介（如光盤、移動硬盤、U盤等）。
對于數(shù)據(jù)交換的接口，常見的有線接口包括USB、RS232、RS485、CAN、RJ45等。近些年，無線通訊被廣泛使用，例如藍牙、WiFi、Zigbee、RFID、各種蜂窩無線網(wǎng)絡等。對于有線接口，技術要求中應明確連接接口的規(guī)格。有線網(wǎng)絡應明確帶寬要求。對于無線網(wǎng)絡，應描述網(wǎng)絡類型、制式、使用頻段、數(shù)據(jù)特性（如上/下行傳輸速率）等。
注冊申請人可以采用已經(jīng)標準化的醫(yī)用數(shù)據(jù)傳輸協(xié)議或存儲格式。常見的醫(yī)療器械傳輸協(xié)議如HL7、DICOM等，醫(yī)療器械存儲格式如EDF等。注冊申請人也可以使用通用的網(wǎng)絡傳輸協(xié)議如TCP/IP、UDP、HTTP、HTTPS等。注冊申請人在產(chǎn)品技術要求中，應明確傳輸協(xié)議/存儲格式。對于已經(jīng)標準化的傳輸協(xié)議或存儲格式除了說明協(xié)議類型之外，還應說明協(xié)議的版本，如果用于控制，還應說明是否為實時控制。
對于注冊申請人自定義的數(shù)據(jù)傳輸協(xié)議或存儲格式，應在隨機文件中描述或在產(chǎn)品技術要求中提供相應的驗證方法。
2.用戶訪問控制
醫(yī)療器械在執(zhí)行用戶訪問控制之前，應完成對用戶身份的鑒別或認證。認證是系統(tǒng)驗證希望訪問系統(tǒng)的用戶身份的過程?；镜恼J證技術包括數(shù)字簽名、消息認證、數(shù)字摘要等。在產(chǎn)品技術要求中注冊申請人應明確醫(yī)療器械所采用的用戶身份鑒別或認證技術。
用戶訪問控制策略對醫(yī)療器械的保密性、完整性起直接的作用，是對越權使用資源的防御措施，是網(wǎng)絡安全的重要組成部分。醫(yī)療器械的使用者應依據(jù)訪問控制策略來限制對數(shù)據(jù)和系統(tǒng)功能的訪問。用戶訪問控制的種類早期分為自主訪問控制（DAC）和強制訪問控制（MAC），但隨著計算機和網(wǎng)絡技術的發(fā)展，又出現(xiàn)了基于角色的訪問控制（RBAC）、基于任務的訪問控制（TBAC）、以及基于屬性、上下文、信譽等的訪問控制模型。隨著系統(tǒng)的復雜度變高，一個系統(tǒng)中也可以融合多種訪問控制策略。在產(chǎn)品技術要求中，注冊申請人應明確醫(yī)療器械執(zhí)行的用戶訪問控制的方法、用戶類型及權限。
（六）說明書
預期接入計算機網(wǎng)絡或與其它醫(yī)療器械進行交互的醫(yī)療器械具有復雜的運行環(huán)境與技術生態(tài)系統(tǒng)。例如：復雜的信息基礎設施（如硬件、軟件、網(wǎng)絡、其他系統(tǒng)和數(shù)據(jù)接口等），參與開發(fā)、實施、臨床使用所涉及的眾多的人員、組織和機構。醫(yī)療器械生命周期不僅包含設計、開發(fā)、也包括實施和臨床使用，其中包含醫(yī)療器械的采購、安裝、配置、數(shù)據(jù)集成或遷移、工作流實現(xiàn)與優(yōu)化、培訓、使用與維護、退市等環(huán)節(jié)。
一般情況下，注冊申請人只涉及醫(yī)療器械的設計與開發(fā)過程，而后期的實施與臨床使用等環(huán)節(jié)的網(wǎng)絡安全可能由另外的組織和機構來負責。注冊申請人但應在說明書或其他文檔中提供在實施與臨床使用環(huán)節(jié)中所需要的必要信息，如運行環(huán)境、接口與訪問控制、安全軟件及軟件更新等，以保證在實施與臨床使用環(huán)節(jié)的網(wǎng)絡安全。
1.運行環(huán)境
如適用，注冊申請人在說明書中應明確醫(yī)療器械的運行環(huán)境，包括硬件配置、軟件環(huán)境和網(wǎng)絡條件。硬件配置應明確醫(yī)療器械安全運行所需要的最低硬件資源配置要求，如CPU、內(nèi)存、存儲與顯示要求等。軟件環(huán)境應明確要求醫(yī)療器械運行所需要的操作系統(tǒng)等。網(wǎng)絡條件應明確醫(yī)療器械運行所需要的網(wǎng)絡類型、帶寬等。
2.接口與訪問控制
如適用，注冊申請人在說明書中應描述接口與訪問控制，以滿足醫(yī)療器械實施與臨床使用過程中的要求。對于接口的描述，應能夠滿足醫(yī)療器械與網(wǎng)絡、或其它設備的安全連接。對于訪問控制的描述，應能指導使用者安全使用系統(tǒng)提供的訪問控制策略并集成到工作流程中。
3.安全軟件
在資源允許的情況下，醫(yī)療器械可使用一些安全軟件來提高醫(yī)療器械的網(wǎng)絡安全特性。這些安全軟件包括但不限于防火墻、殺毒軟件、反流氓軟件、工具軟件等。如適用，注冊申請人應在說明書中明確這些軟件的名稱、版本等信息。
4.軟件更新
如適用，注冊申請人應在說明書中明確軟件環(huán)境與安全軟件的更新需求，更新的來源、執(zhí)行的步驟等。

附錄

19項網(wǎng)絡安全能力應用參考
1.自動登出能力（ALOF）
注冊申請人應考慮，未授權的用戶不能在無人值守的工作區(qū)訪問健康數(shù)據(jù)，授權用戶會話在預先設置的一段時間后自動終止或鎖定；自動注銷能夠清除所有顯示器上的健康數(shù)據(jù)；本地授權的管理員能夠禁用該功能并設置過期時間(包括屏幕保護程序)；當短時間內(nèi)(例如15秒到幾分鐘)沒有按下鍵時，此功能被調用以清除顯示的健康數(shù)據(jù)；臨床用戶不會因自動下線而丟失未提交的工作。
2.審核控制能力（AUDT）
注冊申請人應考慮，通過在設備上創(chuàng)建審計跟蹤來跟蹤系統(tǒng)和健康數(shù)據(jù)的訪問、修改或刪除，從而記錄和檢查系統(tǒng)活動。將日志記錄信息作為獨立的存儲庫(在其自己的文件系統(tǒng)中記錄審計文件)使用。使用適當?shù)膶徲媽彶楣ぞ咧С謱徲媱?chuàng)建和維護，確保審核資料的安全(特別是在這些資料本身含有個人資料的情況下)，并確保無法編輯或刪除審計數(shù)據(jù)。審計數(shù)據(jù)可能包含個人數(shù)據(jù)和/或健康數(shù)據(jù)，所有處理(例如存取、儲存和轉移)都應該有適當?shù)目刂啤?br /> 3.確定用戶權限的能力（AUTH）
注冊申請人應考慮適當?shù)氖跈喙δ茉试S每個用戶僅訪問已批準的數(shù)據(jù)，并執(zhí)行已批準的功能。醫(yī)療器械一般支持基于許可的系統(tǒng)，提供對角色(基于角色的訪問控制)適當?shù)南到y(tǒng)功能和數(shù)據(jù)訪問。例如：
（1）操作者可使用所有適當?shù)脑O備功能(例如監(jiān)察或掃描病人)執(zhí)行指定的工作；
（2）質量保證人員(如醫(yī)學物理學家)可以從事所有適當?shù)馁|量和保證測試活動；
（3）服務人員可以以支持預防性維護、問題調查和問題消除活動的方式訪問系統(tǒng)；
4.網(wǎng)絡安全配置能力（CNFS）
注冊申請人應考慮，經(jīng)過授權的本地管理員能夠選擇使用醫(yī)療器械安全功能還是不使用醫(yī)療器械安全功能。
5.網(wǎng)絡安全升級能力（CSUP）
注冊申請人應考慮，盡快在醫(yī)療產(chǎn)品上安裝第三方安全補丁。 根據(jù)客觀的、權威的、文檔化的漏洞風險評估，優(yōu)先考慮解決高風險漏洞的補丁。應進行充分的測試，以發(fā)現(xiàn)對醫(yī)療器械(性能或功能)可能危及患者的任何意外副作用。注冊申請人需要主動提供關于評估/驗證補丁的信息。
6.健康數(shù)據(jù)去標識化能力（DIDT）
注冊申請人應考慮，臨床用戶、服務工程師和營銷人員能夠在不需要患者身份的信息的情況下去識別敏感數(shù)據(jù)。
7.數(shù)據(jù)備份與災難恢復能力（DTBK）
注冊申請人應保證在系統(tǒng)故障或損壞后，可以恢復存儲在醫(yī)療器械上的持久保存的系統(tǒng)設置和敏感數(shù)據(jù)，以便業(yè)務能夠繼續(xù)進行。這一要求可以不適用于較小的低成本設備。
8.緊急訪問隱私數(shù)據(jù)的能力（EMRG）
注冊申請人應考慮，在緊急情況下，臨床用戶需要能夠在沒有個人用戶ID和身份驗證的情況下訪問敏感數(shù)據(jù)（break-glass功能）。應檢測、記錄和報告緊急通道。理想情況下，包括以某種方式立即通知系統(tǒng)管理員或醫(yī)務人員（除了審計記錄之外）。注冊申請人可以使用特定用戶帳戶或系統(tǒng)功能的方法以滿足緊急訪問在輸入時要求并記錄自認證用戶標識（無需身份驗證）的要求。管理員能夠啟用/禁用依賴于技術或過程控制的醫(yī)療器械提供的緊急訪問功能。
9.數(shù)據(jù)完整性真實性確認能力（IGAU）
注冊申請人應考慮，通過使用包括固定媒介和可移動媒介，來確保健康數(shù)據(jù)是可靠的，不會被篡改。
10.惡意軟件的防止、檢測與清除能力（MLDP）
注冊申請人應考慮，相關法規(guī)和用戶需求，以確?？梢杂行ьA防、檢測和刪除惡意軟件。對防止惡意軟件的應用程序及惡意軟件模式數(shù)據(jù)文件及時進行軟件更新，及時對當前操作環(huán)境、系統(tǒng)、數(shù)據(jù)文件和應用程序進行補丁更新。并對設備更新后進行驗證測試。
11.通信對象、通信節(jié)點的身份驗證能力（NAUT）
注冊申請人應考慮管理跨節(jié)點的賬戶的訪問，以保護健康數(shù)據(jù)?？梢灾С知毩⒐芾砘蚣泄芾?。支持根據(jù)行業(yè)標準進行節(jié)點認證。檢測和防止實體偽造（提供不可抵賴性）。
12.驗證合法用戶的能力（PAUT）
注冊申請人應考慮管理賬戶以保護健康數(shù)據(jù)的能力。提供基于角色的訪問控制（RBAC）。用戶可以將個人**項與用戶賬戶關聯(lián)?？梢灾С知毩⒒蚣泄芾?。單一賬號登錄所有工作地點且密碼相同?？刂茖υO備、網(wǎng)絡資源和健康數(shù)據(jù)的訪問并生成不可否認的審計跟蹤。發(fā)現(xiàn)和防止人員造假（提供不可抵賴性）。
13.物理保護能力（PLOK）
注冊申請人應根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)量保證其存儲安全性。合理地避免了可能危及完整性、保密性或可用性的篡改或組件刪除。確保篡改（包括設備移除）是可以檢測到的。
14.第三方組件管理能力（RDMP）
注冊申請人應對醫(yī)療器械提供明確的預期壽命說明，并對提供第三方組件的服務商對其醫(yī)療器械生命周期內(nèi)維護或支持相應的系統(tǒng)進行要求。當平臺組件過時的情況下，需要及時進行更新和升級。在存儲設備退役（丟棄、重用、轉售或回收）之前，服務提供商需不可逆地擦除健康數(shù)據(jù)。這些活動應該被記錄和審計。銷售和服務人員應了解對每個醫(yī)療器械在其生命周期中提供的安全支持。
15.系統(tǒng)與應用加固能力（SAHD）
注冊申請人應給用戶提供一個穩(wěn)定的系統(tǒng)，并且只提供那些根據(jù)其預期用途而指定和需要的服務，同時進行最少的維護活動。并且要求連接到它們的網(wǎng)絡的系統(tǒng)在交付時是安全的以加強對誤用和攻擊的抵御能力。注冊申請人應將用戶反饋的用戶設備中可疑的安全漏洞和察覺到的弱點以報告的形式記錄。并通過風險分析和管理進行漏洞的修復，并及時更新交付。
16.對操作者與管理員提供網(wǎng)絡安全指導的能力（SGUD）
注冊申請人應讓操作人員清楚地了解自己的職責和安全的系統(tǒng)工作方式。管理員需要關于管理、定制和監(jiān)視系統(tǒng)的信息（即訪問控制列表、審計日志等）。管理員需要清楚地了解安全功能，以便根據(jù)適當?shù)姆ㄒ?guī)要求進行健康數(shù)據(jù)風險評估。銷售和服務應包括系統(tǒng)的安全能力和安全工作方式的信息。用戶應知道如何以及何時將用戶設備中可能存在的安全漏洞和察覺到的弱點通知注冊申請人。
17.存儲保密能力（STCF）
注冊申請人應合理保證儲存在醫(yī)療器械或媒介上的健康數(shù)據(jù)的安全?；陲L險分析，考慮對存儲在醫(yī)療器械上的健康數(shù)據(jù)進行加密。對于臨床用戶、提供服務和收集臨床數(shù)據(jù)的應用程序工程師使用的存儲在可移動媒介上的健康數(shù)據(jù)，加密可以保護其機密性/完整性。應考慮使用正常使用、服務訪問、緊急訪問一致的加密密鑰管理機制。加密方法和強度應考慮數(shù)據(jù)量和敏感性。
18.傳輸保密能力（TXCF）
注冊申請人應考慮在經(jīng)過身份驗證的節(jié)點之間傳輸健康數(shù)據(jù)的機密性。
19.保障數(shù)據(jù)傳輸完整性的能力（TXIG）
注冊申請人應考慮在相對開放的網(wǎng)絡或環(huán)境中傳輸健康數(shù)據(jù)，需保證健康數(shù)據(jù)的完整性。

參考文獻：

1）《醫(yī)療器械軟件注冊技術審查指導原則》（原國家食品藥品監(jiān)督管理總局2015年第50號通告）
2）《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》（原國家食品藥品監(jiān)督管理總局2017年第13號通告）
3）《中華人民共和國計算機信息系統(tǒng)安全保護條例》（中華人民共和國國務院令第147號）
4）中華人民共和國互聯(lián)網(wǎng)信息辦公室《國家網(wǎng)絡安全事件應急預案》（中網(wǎng)辦發(fā)文〔2017〕4號）
5）GB/T 29246-2012信息安全技術 信息安全管理體系概述和詞匯
6）GB/T 20984-2015 信息安全技術 信息安全風險評估規(guī)范
7）GB/T 22239-2019信息系統(tǒng)安全等級保護基本要求
8）GB/T 25070-2019信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求
9）GB/T 28448-2019信息安全技術 網(wǎng)絡安全等級保護測評要求
10) GB 17859-1999 計算機信息系統(tǒng) 安全保護等級劃分準則
11）YY/T 0316-2016 醫(yī)療器械 風險管理對醫(yī)療器械的應用
12）IEC TR 80001-2-2-2012 包含醫(yī)療器械的IT網(wǎng)絡的風險管理應用.第2-2部分 醫(yī)療器械安全
13）T/ZMDS 20001-2016 風險管理在IT網(wǎng)絡引入醫(yī)療器械時的應用 第1部分：角色、責任與活動
14）T/ZMDS 20003-2019 醫(yī)療器械網(wǎng)絡安全風險控制 – 醫(yī)療器械網(wǎng)絡安全能力信息
15）ISO/IEC 27035-2011 Information technology - Security techniques - Information security incident management
16）ISO/IEC 27035-1:2016 Part 1: Principles of incident management
17）ISO/IEC 27035-2:2016 Part 2: Guidelines to plan and prepare for incident response
18）ISO/IEC 27043:2015 Information technology - Security techniques - Incident investigation principles and processes
19）ISO 27799:2016 Health informatics—Information security management in health using ISO/IEC 27002
20）ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
21）ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
22）ISO/IEC TS 33052:2016 Information technology - Process reference model (PRM) for information security management
22）ISO/IEC 80001 Application of risk management for IT-networks incorporating medical devices
23) IEC/TR 80001-2-3:2012: Part 2-3: Application of risk management for IT-networks incorporating medical devices - Guidance for wireless networks
24）IEC/TR 80001-2-8:2016 Part 2-8: Application guidance - Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2
25）IEC/TR 80002-3:2014 Part 3: Process reference model of medical device software life cycle processes (IEC 62304)
26）HIMSS/NEMA Manufacturer Disclosure Statement for Medical Device Security