版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
新版《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》解讀Protectingyourhealthandbeautifyingyour
life目錄■指導(dǎo)原則(征求意見稿)
簡介及與現(xiàn)行版的對(duì)比■醫(yī)療器械網(wǎng)絡(luò)安全的要求■醫(yī)療器械企業(yè)應(yīng)對(duì)方案■網(wǎng)絡(luò)安全注冊(cè)資料要求1.指導(dǎo)原則簡介2018年1月1日《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》正式實(shí)施2017年1月20曰總局關(guān)于發(fā)布醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則的通告(2017年第13號(hào))2020年9月8日,國家藥品監(jiān)督管理局醫(yī)療器械審評(píng)中心發(fā)布關(guān)于公開征求《醫(yī)療器械網(wǎng)絡(luò)安全技術(shù)審查指導(dǎo)原則(第二版)征求意見稿》意見的通知
第二版具備電子數(shù)據(jù)交換、遠(yuǎn)程控制或用戶訪問功能的第二、三類獨(dú)立軟件和含有軟件組件的醫(yī)療器械。網(wǎng)絡(luò):無線、有線網(wǎng)絡(luò),電子數(shù)據(jù)交換:基于網(wǎng)絡(luò)、存儲(chǔ)媒介的單向、雙向數(shù)據(jù)傳輸,遠(yuǎn)程控制:基于網(wǎng)絡(luò)的實(shí)時(shí)、非實(shí)時(shí)控制,用戶訪問:基于軟件用戶界面(含獨(dú)立軟件、軟件組件)、電子接口(含網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口)的人機(jī)交互方式。第一版具有網(wǎng)絡(luò)連接功能以進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制、以及采用存儲(chǔ)媒介以進(jìn)行電子數(shù)據(jù)交換的第二類、第三類醫(yī)療器械產(chǎn)品的注冊(cè)申報(bào)。網(wǎng)絡(luò):無線、有線網(wǎng)絡(luò),電子數(shù)據(jù)交換:單向、雙向數(shù)據(jù)傳輸,遠(yuǎn)程控制:
實(shí)時(shí)、非實(shí)時(shí)控制。存“
媒介:
包括但不限于光盤、移動(dòng)硬盤和U盤。網(wǎng)絡(luò)安全電子數(shù)據(jù)交換存儲(chǔ)媒介
網(wǎng)絡(luò)連接軟件用戶界面電子接n2.
醫(yī)療器械網(wǎng)絡(luò)安全的要求網(wǎng)絡(luò)安全法規(guī)依據(jù)網(wǎng)絡(luò)安全基本概念網(wǎng)絡(luò)安全能力網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)網(wǎng)絡(luò)安全更新網(wǎng)絡(luò)安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全技術(shù)考量備注序號(hào)12法規(guī)名稱中華人民共和國網(wǎng)絡(luò)安全法(中華人民共和國主席令第五十三號(hào))中華人民共和國數(shù)據(jù)安全法(草案)(全國人大34562020.7)國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(中央網(wǎng)信辦,2017.10)個(gè)人fe息出境女全評(píng)估辦法(征求思見稿)(國家互聯(lián)網(wǎng)信息辦公室,2019.6)人口健康信息管理辦法(試行)(國衛(wèi)規(guī)劃發(fā)〔2014)
24號(hào))DB32/T
3769-2020《醫(yī)療器械網(wǎng)絡(luò)連接通用技術(shù)規(guī)范》江蘇省地標(biāo)2.2
網(wǎng)絡(luò)安全基本概念醫(yī)療器械相關(guān)數(shù)據(jù)可靠性保密性confidentiality)可核查性I
(accountability)保密性&信息不能被未授權(quán)的傘人。實(shí)體(含個(gè)人、組織)利用獲得或知悉的特性,即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)僅可由授權(quán)用戶在授權(quán)時(shí)間以授權(quán)方式進(jìn)行訪問和使用。g對(duì)生?指信息的創(chuàng)建、傳輸、存儲(chǔ)、顯示未以非授權(quán)方式進(jìn)行更改(含刪除、添加)的特性,保護(hù)數(shù)據(jù)準(zhǔn)確和完整的特性,即醫(yī)療器械相關(guān)數(shù)據(jù)是準(zhǔn)確和完整的,且未被篡改。可得性(可用性)指信息可根據(jù)授權(quán)傘人P實(shí)體的要求可訪問和使用的特性,
即醫(yī)療器械產(chǎn)品自身和相關(guān)數(shù)據(jù)能以預(yù)期方式適時(shí)進(jìn)行訪問和使用。reliabilitA7真實(shí)性?是指實(shí)體符合其所聲稱的特性,抗抵賴性?是指實(shí)體可證明所聲稱事件或活動(dòng)的發(fā)生及其發(fā)起實(shí)體的特性,可核查性?是指實(shí)體的活動(dòng)及結(jié)果可被追溯的特性,可靠性?是指實(shí)體的活動(dòng)及結(jié)果與預(yù)期保持一致的特性。保密性(confidentiality)注冊(cè)人應(yīng)基于醫(yī)療器械相關(guān)數(shù)據(jù)的類型、功能、用途,
結(jié)合網(wǎng)絡(luò)安全特性考慮醫(yī)療器械數(shù)據(jù)安全要求。同時(shí),
保證敏感醫(yī)療數(shù)據(jù)所含個(gè)人信息免于泄露、濫用和篡改,
以及醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù)的有效隔離。敏感醫(yī)療數(shù)據(jù)/非敏感醫(yī)療數(shù)據(jù)?是指含有個(gè)人信息的醫(yī)療數(shù)據(jù),反之即為非敏感醫(yī)療數(shù)據(jù)。個(gè)人信息?是I*旨-夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人個(gè)人身份的各種信息,如自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息(含容貌信息)、住址、電話號(hào)碼等。設(shè)備數(shù)據(jù)?是指描述醫(yī)療器械運(yùn)行狀況的數(shù)據(jù),用于監(jiān)視、控制醫(yī)療器械運(yùn)行或用于醫(yī)療器械的維護(hù)維修,不應(yīng)含有個(gè)人信息。網(wǎng)絡(luò)接口?
是指醫(yī)療器械通過網(wǎng)絡(luò)進(jìn)行電子數(shù)據(jù)交換或遠(yuǎn)程控制,包括但不限于網(wǎng)絡(luò)形式(有線、無線)、物理接口(如電口、光口)、數(shù)據(jù)接口(標(biāo)準(zhǔn)協(xié)議、私有協(xié)議)、遠(yuǎn)程控制方式(實(shí)時(shí)、非實(shí)時(shí))、性能指標(biāo)(如端口、傳輸速率、帶寬)等。無線網(wǎng)絡(luò)包括Wi-
Fi(IEEE
802.11)、藍(lán)牙
(IEEE802.15)、無線電、射頻、紅外等形式,?
遠(yuǎn)程控制包括系統(tǒng)軟件所提供的運(yùn)程桌面功能。
電子數(shù)據(jù)交換接口?
是指非網(wǎng)絡(luò)接口的其他電子接口(如串口、并口、USB口、視頻接口、音頻接口)或存儲(chǔ)媒介(如光盤、移動(dòng)硬盤、U盤)數(shù)據(jù)存儲(chǔ)的技術(shù)特征要求?包括但不限于存儲(chǔ)媒介形式、文件儲(chǔ)存格式(標(biāo)準(zhǔn)格式、私有格式)、數(shù)據(jù)壓縮
方式(有損、無損)、性能指標(biāo)(如傳輸速率、容量)等。接他口絡(luò)
其
接網(wǎng)的子自動(dòng)注銷:產(chǎn)品在使用閑置期間阻止非授權(quán)用戶訪問和使用的能力。審核控制:產(chǎn)品提供用戶活動(dòng)可被審核的能力授權(quán):產(chǎn)品確定用戶已獲授權(quán)的能力。網(wǎng)絡(luò)安全特性配置:產(chǎn)品根據(jù)用戶需求配置網(wǎng)絡(luò)安全特征的能力。網(wǎng)絡(luò)安全補(bǔ)丁升級(jí):授權(quán)用戶或服務(wù)人員安裝/升級(jí)網(wǎng)絡(luò)安全補(bǔ)丁的能力。數(shù)據(jù)去標(biāo)識(shí)化:產(chǎn)品直接去除或匿名化數(shù)據(jù)所含個(gè)人信息的能力。數(shù)據(jù)備份與災(zāi)難恢復(fù):產(chǎn)品的數(shù)據(jù)、硬件或軟件受到損壞或破壞后恢復(fù)的能力。緊急訪問:產(chǎn)品在預(yù)期緊急情況下允許用戶訪問和使用的能力。數(shù)據(jù)完整性與真實(shí)性:產(chǎn)品確保數(shù)據(jù)未以非授權(quán)方式更改且來自創(chuàng)建者或提供者的能力。惡意軟件探測與防護(hù):產(chǎn)品有效探測、阻止惡意軟件的能力。節(jié)點(diǎn)鑒別:產(chǎn)品鑒別網(wǎng)絡(luò)節(jié)點(diǎn)的能力。人員鑒別:產(chǎn)品鑒別授權(quán)用戶的能力。物理防護(hù):產(chǎn)品提供防止非授權(quán)用戶訪問和使用的物理防護(hù)措施的能力?,F(xiàn)成軟件維護(hù):產(chǎn)品在全生命周期中對(duì)現(xiàn)成軟件提供網(wǎng)絡(luò)安全維護(hù)的能力。系統(tǒng)固化:產(chǎn)品通過固化措施對(duì)網(wǎng)絡(luò)攻擊和惡意軟件的抵御能力。網(wǎng)絡(luò)安全指導(dǎo):產(chǎn)品為用戶提供網(wǎng)絡(luò)安全指導(dǎo)的能力。存儲(chǔ)數(shù)據(jù)存儲(chǔ)保密性:產(chǎn)品確保數(shù)據(jù)傳輸保密性和完整性的能力。遠(yuǎn)程訪問與控制:產(chǎn)品確保用戶遠(yuǎn)程訪問與控制的網(wǎng)絡(luò)安全的能力。抗拒絕服務(wù)攻擊:產(chǎn)品具有抗拒絕服務(wù)攻擊的能力。注冊(cè)人應(yīng)根據(jù)醫(yī)療器械的產(chǎn)品特性分析上述網(wǎng)絡(luò)安全能力的適用性。網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案要求:涵蓋現(xiàn)成軟件要求,明確計(jì)劃與準(zhǔn)備、探測與報(bào)告、評(píng)估與決策、應(yīng)急響應(yīng)實(shí)施、總結(jié)與改進(jìn)等階段的任務(wù)和要求。建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)團(tuán)隊(duì),根據(jù)工作職能形成管理、規(guī)劃、監(jiān)測、響應(yīng)、實(shí)施、分析等工作小組,必要時(shí)可邀請(qǐng)外部網(wǎng)絡(luò)安全專家成立專家小組。根據(jù)網(wǎng)絡(luò)安全事件的嚴(yán)重程度、緊迫程度、廣泛程度等因素進(jìn)行分類分級(jí)管理,結(jié)合風(fēng)險(xiǎn)管理開展應(yīng)急響應(yīng)措施的驗(yàn)證工作并予以記錄,在事件發(fā)生期間及時(shí)告知用戶應(yīng)對(duì)措施。造成嚴(yán)重后果或影響的事件應(yīng)向藥監(jiān)部門報(bào)告,適用時(shí)按照醫(yī)療器械不良事件、召回相關(guān)法規(guī)要求處理,必要時(shí)向國家網(wǎng)絡(luò)安全主管部門報(bào)告。涉及召回的網(wǎng)絡(luò)安全更新均屬于重大網(wǎng)絡(luò)安全更新。網(wǎng)絡(luò)安全更新同樣遵循風(fēng)險(xiǎn)從高原則。同時(shí),軟件版本命名規(guī)則應(yīng)涵蓋網(wǎng)絡(luò)安全更新情況,區(qū)分重大和輕微網(wǎng)絡(luò)安全更新。重大網(wǎng)絡(luò)安全更新?影響到醫(yī)療器械的安全性或有效性的網(wǎng)絡(luò)安全更新包括但不限于:產(chǎn)品所處網(wǎng)絡(luò)環(huán)境發(fā)生改變,如由封閉網(wǎng)絡(luò)環(huán)境變?yōu)殚_放網(wǎng)絡(luò)環(huán)境、局域網(wǎng)變?yōu)閺V域網(wǎng)、有線網(wǎng)絡(luò)變?yōu)闊o線網(wǎng)絡(luò);電子接口發(fā)生改變,如接口形式由網(wǎng)口變?yōu)閁SB
口、接口數(shù)量由少變多、接口功能由電子數(shù)據(jù)交換擴(kuò)至遠(yuǎn)程控制等。輕微網(wǎng)絡(luò)安全更新不影響醫(yī)療器械的安全性與有效性的網(wǎng)絡(luò)安全更新,
包括輕微網(wǎng)絡(luò)安全功能更新、網(wǎng)絡(luò)安全補(bǔ)丁更新。網(wǎng)絡(luò)環(huán)境、電子接口的數(shù)據(jù)傳輸效率單純提高,電子接口原有功能單純優(yōu)化;醫(yī)療器械軟件、必備軟件(醫(yī)療器械軟件正常運(yùn)行所必需的其他醫(yī)療器械軟件、醫(yī)用中間件)、外部軟件環(huán)境(醫(yī)療器械軟件正常運(yùn)行所必需的系統(tǒng)軟件、通用應(yīng)用軟件、通用中間件、支持軟件)的網(wǎng)絡(luò)安全補(bǔ)丁更新。風(fēng)險(xiǎn)識(shí)別?資產(chǎn)Asset:對(duì)個(gè)人或組織有價(jià)值的物理和數(shù)字實(shí)體?威脅Threat:可能導(dǎo)致對(duì)個(gè)人或組織產(chǎn)生損害的非預(yù)期事件發(fā)生的潛在原因?脆弱性Vulnerability
:可能會(huì)被威脅所利用的資產(chǎn)或風(fēng)險(xiǎn)控制措施的弱點(diǎn)評(píng)估威脅和脆弱性對(duì)于醫(yī)療器械和患者的影響以及被利用的可能性,確定風(fēng)險(xiǎn)水平采取充分、有效、適宜的風(fēng)險(xiǎn)控制措施,
以減低原有風(fēng)險(xiǎn)對(duì)產(chǎn)品安全有效性的影響IEC/TR80001-2-2:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurityneeds,risksandcontrols2.7
網(wǎng)絡(luò)安全技術(shù)考量現(xiàn)成軟件類型?應(yīng)用軟件:成品軟件、遺留軟件、外包軟件?系統(tǒng)軟件、支持軟件關(guān)注重點(diǎn)應(yīng)用軟重點(diǎn)關(guān)注其網(wǎng)絡(luò)安全問題對(duì)醫(yī)療器械臨床應(yīng)用的影響系統(tǒng)軟件、支持軟件:重點(diǎn)關(guān)注安全補(bǔ)丁更新對(duì)醫(yī)療器械的影響注冊(cè)人工作注冊(cè)人應(yīng)根據(jù)質(zhì)量管理體系要求建立現(xiàn)成軟件網(wǎng)絡(luò)安全更新維護(hù)過程,
及時(shí)將現(xiàn)成軟件網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對(duì)措施告知用戶。在中國境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在中國境內(nèi)存儲(chǔ),因業(yè)務(wù)需要確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。不得將人口健康信息在境外的服務(wù)器中存儲(chǔ),不得托管、租賃在境外的服務(wù)器。1.遠(yuǎn)程維護(hù)功能:遠(yuǎn)程訪問和使用設(shè)備數(shù)據(jù),若未能實(shí)現(xiàn)設(shè)備數(shù)據(jù)和醫(yī)療數(shù)據(jù)的有效隔離,則存在醫(yī)療數(shù)據(jù)未授權(quán)訪問和使用以及被篡改的可能性。2.遠(yuǎn)程維護(hù)所用電子接口:面臨網(wǎng)絡(luò)攻擊的威脅,可能會(huì)影響醫(yī)療器械正常運(yùn)行,導(dǎo)致患者受到傷害或死亡以及隱私被侵犯。3.醫(yī)療器械在遠(yuǎn)程維護(hù)過程中若無人值守,則可能存在醫(yī)療器械非授權(quán)訪問和使用的風(fēng)險(xiǎn)。注冊(cè)人工作注冊(cè)人應(yīng)明確遠(yuǎn)程維護(hù)的實(shí)現(xiàn)方法、所用電子接口情況、設(shè)備數(shù)據(jù)所含內(nèi)容、設(shè)備數(shù)據(jù)與醫(yī)療數(shù)據(jù)的隔離方法、維護(hù)過程網(wǎng)絡(luò)安全保證措施等技術(shù)特征,并提供相應(yīng)研究資料和風(fēng)險(xiǎn)管理資料。1.陳舊設(shè)備:指不能通過補(bǔ)丁更新、補(bǔ)償控制等合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅的醫(yī)療器械。2.陳舊設(shè)備應(yīng)盡快停運(yùn)退市。3.陳舊設(shè)備判定:醫(yī)療器械停售、停止售后服務(wù)。停售但未停止售后服務(wù)的醫(yī)療器械,若無法通過合理風(fēng)險(xiǎn)控制措施抵御當(dāng)前網(wǎng)絡(luò)安全威脅則為陳舊設(shè)備,反之不屬于陳舊設(shè)備;停止售后服務(wù)的醫(yī)療器械均為陳舊設(shè)備。注冊(cè)人工作注冊(cè)人應(yīng)按照質(zhì)量管理體系關(guān)于軟件停運(yùn)/軟件退市的要求開展相應(yīng)工作。對(duì)于注冊(cè)證失效但尚未停止售后服務(wù)、注冊(cè)證有效但已停售的醫(yī)療器械,注冊(cè)人應(yīng)根據(jù)質(zhì)量管理體系要求向現(xiàn)有用戶提供必要的網(wǎng)絡(luò)安全相關(guān)信息以及應(yīng)對(duì)措施,以保證醫(yī)療器械的網(wǎng)絡(luò)安全。3.
醫(yī)療器械企業(yè)應(yīng)對(duì)方案風(fēng)險(xiǎn)評(píng)估用戶訪問控制機(jī)制安全補(bǔ)丁更新用戶告知書設(shè)計(jì)開發(fā)網(wǎng)絡(luò)安全維護(hù)及用戶告知加密、數(shù)字簽名、標(biāo)
防火墻、入侵檢測和準(zhǔn)協(xié)議、校驗(yàn)等技術(shù)
惡意代碼防護(hù)等技術(shù)符合網(wǎng)絡(luò)傳輸管理規(guī)定j資產(chǎn)(asset,對(duì)個(gè)人或組織有價(jià)值的任何東西)人或組織產(chǎn)生損害的非預(yù)期車件發(fā)牛的港在原閔)巨Tab'lluj
冃g(shù)會(huì)被威脅所利用的資產(chǎn)或風(fēng)瞼持制措施的弱點(diǎn))備注序號(hào)12345678標(biāo)準(zhǔn)名稱GB/T
20271-2006《信息女全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》GB/T
20984-2007《佶息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》GB/T
22080-2016《信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T
22081-2016《信息技術(shù)女全技術(shù)佶息安全管理實(shí)用規(guī)則GB/T
29246-2012《信息技術(shù)安全技術(shù)信息女全管理體系概述和詞匯》GB/Z24364-2009《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》IEC/TR80001-2-2:2012,ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-Part2-2:Guidanceforthedisclosureandcommunicationofmedicaldevicesecurityneeds,risksandcontrolsYY/T
1474-2016《醫(yī)療器械可用性工程對(duì)醫(yī)療器械的應(yīng)用》F防護(hù)層級(jí)產(chǎn)品級(jí):
醫(yī)療器械產(chǎn)品自身?系統(tǒng)級(jí):醫(yī)療信息技術(shù)網(wǎng)絡(luò)保證措施?管理措施:如使用規(guī)范等?物理措施:如防盜措施等?技術(shù)措施:如加密技術(shù)等關(guān)注重點(diǎn)?以醫(yī)療器械數(shù)據(jù)安全為核心關(guān)注產(chǎn)品級(jí)的技術(shù)保證措施"來源:CMDE培訓(xùn)資料z醫(yī)療器械對(duì)于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識(shí)別、保護(hù)能力和適當(dāng)?shù)奶綔y、響應(yīng)、恢復(fù)能力?可參考IEC/TR
80001-2-2等標(biāo)準(zhǔn)和技術(shù)報(bào)告
識(shí)別、防護(hù)?用戶訪問控制機(jī)制?可采用加密、數(shù)字簽名、標(biāo)準(zhǔn)協(xié)議、校驗(yàn)等技術(shù)探測、響應(yīng)、恢復(fù)?可采用防火墻、入侵檢測和惡意代碼防護(hù)等技術(shù)自動(dòng)注銷審核控制授權(quán)網(wǎng)絡(luò)安全特性配置網(wǎng)絡(luò)安全補(bǔ)丁升級(jí)數(shù)據(jù)去標(biāo)識(shí)化數(shù)據(jù)備份與災(zāi)難恢復(fù)緊急訪問數(shù)據(jù)完整性與真實(shí)性惡意軟件探測與防護(hù)節(jié)點(diǎn)鑒別人員鑒別物理防護(hù)現(xiàn)成軟件維護(hù)系統(tǒng)固化網(wǎng)絡(luò)安全指導(dǎo)存儲(chǔ)數(shù)據(jù)存儲(chǔ)保密性遠(yuǎn)程訪問與控制抗拒絕服務(wù)攻擊
輕微級(jí)別:按照通用漏洞評(píng)分系統(tǒng)(cvss)所定義的漏洞等級(jí),明確已知漏洞總數(shù)和已知剩余漏洞數(shù)。中等級(jí)別:提供網(wǎng)絡(luò)安全漏洞自評(píng)報(bào)告,按照CVSS漏洞等級(jí)明確已知漏洞總數(shù)和已知剩余漏洞數(shù),
列明已知剩余漏洞的內(nèi)容、影響、風(fēng)險(xiǎn),
確保風(fēng)險(xiǎn)均可接受?;蛱峁┑谌骄W(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告。嚴(yán)重級(jí)別:提供境內(nèi)第三方網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告, 以及已知剩余漏洞的維護(hù)方案。4.
網(wǎng)絡(luò)安全注冊(cè)資料要求料號(hào)資編資料名稱資料內(nèi)容產(chǎn)品性能研究增加網(wǎng)絡(luò)安全保障的相關(guān)研究資料5.15.7軟件研究資料自研/現(xiàn)成軟件網(wǎng)絡(luò)安全研究報(bào)告外部軟件環(huán)境評(píng)估報(bào)告風(fēng)險(xiǎn)管理資料增加網(wǎng)絡(luò)安全相關(guān)的風(fēng)險(xiǎn)評(píng)估和控制工作產(chǎn)品技術(shù)要求要求見軟件注冊(cè)審查指導(dǎo)原則(第版)征求意見稿8911.1說明書網(wǎng)絡(luò)安全的相關(guān)說明:明確用戶訪問控制機(jī)制電子接口(含網(wǎng)口接口、電子數(shù)據(jù)交換接口)及其數(shù)據(jù)類型和技術(shù)特征網(wǎng)絡(luò)安全特征配置數(shù)據(jù)備份與災(zāi)難恢復(fù)運(yùn)行環(huán)境(含硬件配置、外部軟件環(huán)境、網(wǎng)絡(luò)環(huán)境)安全軟件兼容性外部軟件環(huán)境與安全軟件更新等要求。料號(hào)資編資料名稱資料內(nèi)容1軟件研究資 根據(jù)網(wǎng)絡(luò)安全更新情況提交變化部分對(duì)產(chǎn)品安全性與有效料 性影響的研究資料:1
涉及網(wǎng)絡(luò)安全功能更新:
發(fā)生功能更新或合并補(bǔ)丁更新,提交自研/現(xiàn)成軟件網(wǎng)絡(luò)安全功能更新研宄報(bào)告(或自研/現(xiàn)成軟件網(wǎng)絡(luò)安全研究報(bào)告)、外部軟件環(huán)境評(píng)估報(bào)告;2
僅發(fā)生網(wǎng)絡(luò)安全補(bǔ)丁更新:
提交自研軟件網(wǎng)絡(luò)安全 補(bǔ)丁更新研究報(bào)告3未發(fā)生網(wǎng)絡(luò)安全更新:出具真實(shí)性聲明。2產(chǎn)品技術(shù)要求如適用,產(chǎn)品技術(shù)要求應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更情況。3說明書如適用,說明書應(yīng)體現(xiàn)關(guān)于網(wǎng)絡(luò)安全的變更內(nèi)容。資料編號(hào) 資料名稱 資料內(nèi)容延續(xù)注冊(cè)無需提交網(wǎng)絡(luò)安全相關(guān)研究資料。7其他若原注冊(cè)產(chǎn)品標(biāo)準(zhǔn)(
或原產(chǎn)品技術(shù)要求)
及其變更對(duì)比表未體現(xiàn)軟件相關(guān)f
e
息,
應(yīng)在廣品未變化聲明中予以明確,
其中軟件版本命名規(guī)則涵蓋網(wǎng)絡(luò)安全更新情況。輕微中等嚴(yán)重驗(yàn)證與確認(rèn)可追溯性分析條款軟件信息明確軟件的基本情況和安全性級(jí)別數(shù)據(jù)架構(gòu)士it
IE
明-士志 士口 來fr士Ein
i=b提供每個(gè)使用場景的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流E±|,佃處1大^了吝備偽父彳日大安乂士古不U
?=E子接口的基本*■
|
冃
//Li列明網(wǎng)絡(luò)安全補(bǔ)丁f 丨f
?
t
1
.、1—?1,I~~J▲
y|\7
ri-j-l1*歷
/1x1V-11—1'I1
歷4 x~| 1|-^j Ll網(wǎng)絡(luò)安全補(bǔ)丁安全軟件風(fēng)險(xiǎn)管理明確安全軟件的基本情況提供網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析報(bào)告、風(fēng)險(xiǎn)管理報(bào)告更新維護(hù)計(jì)劃提供網(wǎng)絡(luò)安全的測試計(jì)劃和報(bào)告提供網(wǎng)絡(luò)安全可追溯性分析報(bào)告提供網(wǎng)絡(luò)安全更新、 事件應(yīng)急響應(yīng)、遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述漏洞評(píng)估提供網(wǎng)絡(luò)安全更新、
遠(yuǎn)程維護(hù)的流程圖及活動(dòng)描述按照漏洞等級(jí)明確已知漏洞總數(shù)和剩余漏b告
估
已
況報(bào)
評(píng)
確
情評(píng)
洞
明
洞自
漏
級(jí)
漏洞
全
等
余漏
安
洞
剩全
絡(luò)
漏
和安
網(wǎng)
照
數(shù)絡(luò)
方
按
總網(wǎng)三
同供
第
記提或報(bào)知提供境內(nèi)第三方網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全漏洞評(píng)估報(bào)告,
以及已知結(jié)論洞數(shù)。 剩余漏洞的維護(hù)方案。概述網(wǎng)絡(luò)安全頭現(xiàn)過程的規(guī)范性和網(wǎng)絡(luò)安全漏洞評(píng)估結(jié)果,判定網(wǎng)絡(luò)i全是否滿足要求基本信息實(shí)現(xiàn)過程更新維護(hù)計(jì)劃提供網(wǎng)絡(luò)安全更新部分的測試計(jì)劃和報(bào)告提供網(wǎng)絡(luò)安全更新
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 高空考古挖掘服務(wù)合同
- 聯(lián)排別墅酒店租賃合同范本
- 高速公路土方施工合同范本
- 花卉市場租賃合同水電費(fèi)
- 電力工程改造合同范本
- 小學(xué)節(jié)能改造施工合同
- 冶金工程中標(biāo)合作協(xié)議
- 礦山設(shè)備廠房施工合同
- 演出票務(wù)租賃合同
- 古城墻遺址修復(fù)工程合同
- 高速公路路牌廣告合同范文(3篇)
- 上海市浦東惠南學(xué)區(qū)2024-2025學(xué)年九年級(jí)12月月考語文試題及答案
- 湖北省黃岡市2023-2024學(xué)年高二上學(xué)期期末調(diào)研考試 地理 含解析
- 抵制心理暴力與騷擾管理規(guī)定
- 銀行業(yè)專業(yè)人員職業(yè)資格初級(jí)(公司信貸)模擬試卷68
- 《全科醫(yī)學(xué)概論》課件-以家庭為單位的健康照顧
- 2024商場承包合同
- 月光德彪西原版五線譜鋼琴譜正譜樂譜
- 圖書館管理系統(tǒng)答辯
- 先天性心臟病封堵術(shù)護(hù)理
- 三級(jí)安全教育試題(公司級(jí)、部門級(jí)、班組級(jí))
評(píng)論
0/150
提交評(píng)論